1.建立風險評估框架。
風險:指可能影響目標實現的事件的不確定性。衡量標準是後果和可能性,以潛在的貨幣化或不利影響來衡量。其後果包括:決策失誤、財務報告錯誤和損失、財產保全不當、被審計單位聲譽受損、不符合規定、效率和資源利用低下、經營目標和任務無法實現。
COSO(IIA和美國註冊會計師協會專業聯盟)內部控制框架:(金字塔模型)
底層:內部控制環境:影響內部控制的各種因素。
調查:風險評估:是在既定的經營目標下分析和降低風險。這壹環節在coso內部控制的整體框架中是獨壹無二的。
措施;控制活動;包括確保管理指令、批準和授權的實施的政策和程序;檢查會計分錄;驗證(包括內部控制模型);檢查績效和風險披露限制;職責分工與安全生產。制定程序的原則是:避免由“相關人員”組成的集團自始至終控制壹項操作或交易;“四只眼”原則(用四只眼盯著壹個生意)。
聯系:信息與溝通:它是整個內部控制系統的生命線,為管理層監督各項活動並在必要時采取糾正措施提供了保障。內部控制是壹個動態的過程。根據環境制定措施,反饋信息,糾正錯誤,從而持續改進。但受制於成本效益原則,內部控制實際上是壹個無止境的過程。
最高管理層:監控:意在評價內部控制,內部控制貫穿於業務活動之中,具有壹定的超然獨立性。監控的實施方式可以是內部審計或內部控制自我評價。前者由獨立的職能部門實施,後者由管理部門和員工共同完成。內部審計的目的是就控制系統的風險和運行向管理層提供獨立保證,並幫助管理層有效履行其職責。
2.應用這個框架。
首席執行官在確定審計計劃時采用的風險評估框架;
內部環境-目標設定-事件識別-風險評估-風險應對-控制活動-信息溝通-監督
考慮到組織內部的風險,易受外界影響的薄弱環節和潛在損失是制定審計計劃的首要因素。
風險損失:風險導致的損失金額乘以概率,但並不是所有的風險都可以量化。
審計風險:檢查中可能沒有發現重大錯誤或弱點,導致審計失敗,對於計劃和檢查來說不是組織風險。
3.確定內部審計資源需求
批什麽:1。對組織的可審核活動進行分類。
2、風險分析(潛在損失金額不是唯壹標準,還要考慮利潤率的發生?nbsp
3.按風險排序。
4.對於特別關註的部分,管理層的要求可能比審計委員會的要求更迫切。
定量風險評估模型:將整個組織的所有風險因素進行排列,並給它們打分進行綜合評估,從而得到審計重點。風險因素包括管理層實現目標的信念和緊迫性、人力資源、資產配置、市場變化、內部信息化、預測能力等。,並實施審核糾正。
還考慮了被審計的對象。優點:審計長期計劃提供依據,主觀判斷減少,系統化。但並不是所有的風險都可以量化。
多個審計機構的風險評估:給每個機構5個風險因子,每個風險因子得分1-5。經過分析,把各個院校的分數加起來,分數最高的先復習。
計劃和安排審計資源:審計人員配備(數量和能力)和財務預算(資金),在工作安排中有壹定的覆蓋面。審計日常工作:工作日程、管理活動、教育培訓、審計研究與發展。
總體分工:cae:制定審計工作計劃,與高級管理層溝通;審計工作的最終審查。
經理:具體審計項目的組織和實施。
工作內容的初步調查
審計現場的監督和管理
審查工作文件和審計報告草稿
與被審核單位的管理層溝通
人員:執行審計程序並準備工作底稿。
準備初步報告
現場交流等
4.與各方協調內部審計。
需要協調的部門:外部審計師(要求信息共享,工作底稿和審計計劃的保密性不妨礙內部審計的使用)、監管監督機構、其他內部保證部門(在某些方面承擔監督、控制和保證,內部審計不根據他們的要求改變章程要求以確保獨立性),應記錄調查中發現的人員弱點並確定潛在影響。
5.選擇審計業務
內部審計的範圍和重點:
1.財務和商業信息的可靠性和完整性。
2、確保上述信息的可靠性、完整性和組織所建立的制度的合規性。
3、審查資產保護的方式
4.評估資源利用的經濟性和有效性。
5、審查業務項目,確認結果與目標是否壹致。
審計資源不足:向董事會和高級管理層報告可能產生的後果,報告還包括審計範圍和數據限制。