索耶内部审计-风险评估

索耶内部审计-风险评估

谁运用风险评估

管理层把风险评估作为保证组织取得成功的程序的组成部分。该事实在COSO研究报告中有清晰的论述。管理层也把风险评估作为设计新系统的一个重要工具。无论是人工或是计算机化的新系统都是用来实现已认可的目标的。设计和开发程序的一个重要任务就是对所有的妨

碍系统实现目标的事件和行为进行确认。

目前的法律要求有一定规模银行做年度的风险评估，以此作为编制关于内部控制系统状况的公开声明的基础，并要求银行的注册会计师验证该声明的准确性。自1979年以来，人们试图要求所有依据1934年证券交易法报告的组织提供此类声明。很可能，通过法律或法规会

使这种提供报告的要求在越来越多的企业和公共部门成为强制性要求。

注册会计师必须使风险评估遵照他们的准则进行。美国注册会计师协会《内部审计准则公告》第55号讨论了会计师在获得对控制系统的了解方面的责任。会计师在计划他们的审计工作时也要进行风险评估。未达到审计目标的风险是什么？该运用哪种审计测试方法来保证审计目标的实现？一类风险是选择了错误的测试方法，另一类风险是采用不正确的抽样计划和技

术，等等。

毫无疑问，内部审计时从这一专业出现之日起就一直在从事风险评估工作，他们总是问：“什么地方出了问题？”对潜在错误或违规行为进行识别已是一项绝对的要求。只有找到风险，才能确定应采用什么样的控制程序。毕竟，如果没有风险，那么还有控制吗？除非风险已经被识别和评估，否则，内部审计师怎样才能确定在某种情况下一项特定的控制是否是一项有

效的控制？

在许多组织中，内部审计机构在形成管理层关于控制系统状况年度声明的风险评估重视关键的执行者。在该声明的陈述中必须考虑内部审计师正在进行的工作。有些组织要求实施特定

的审计，以监督在当年发现的弱点在南中报告日已得到纠正。

计划风险评估和暴露

制定审计计划要包括对组织风险和暴露程度的考虑。在战略计划中，审计计划应该评估对风险优先顺序和暴露的要素的关注程度，因此，风险管理过程的结果影响审计领域。该报告包括审计活动的详细方法如审计工作时间表的内容、审计的方法、审计的实施、报告内容以及

对“降低风险的内部控制”的评估。

扩展风险导向审计

风险导向审计的概念传统上是以对控制的观察和分析开始的，接着继续对与经营相关的风险进行确认，最后确认审计活动是否与组织的目标一致。Mc Namee和Selim认为这种方法是错误的。因为内部审计首先需要为目标服务，目标是经营的基础，并且不是一成不变的，必须灵活并且是或应当是着眼于未来的。他们提出了首先考虑建立组织目标的方法，接着通过

识别、衡量和优先排序等方法评估风险，最后通过下列方法进行风险管理：

※ 控制和接受风险

※ 规避或分散风险

※ 向其他部门分配和转移风险

※

管理风险的概念日益被人们所接受，因为风险在所有各类运营中不可避免，需要通过活动的

多重选择去容纳风险，这些风险包括：

※ 控制组织活动从而在规模和数量上降低风险；

※ 通过容许对于进步和利润所必须的谨慎的风险去接受风险；

※ 规避风险涉及到对业务程序的重新设计从而改变风险模式；

※ 分散风险通过将总体风险分散到许多分离的经营活动当中，一个实例是对关键材料

选用多个供应商；

※ 通过运用合同以及安排第三方接受部分或所有风险来分配和转移风险，如保险。

从风险确认扩展到风险管理就是未来的发展潮流。

没有风险管理程序的组织

本章的大部分论述了风险的两个方面：第一，，内部审计师为了编制审计计划应该检查被审计领域里的风险；第二，如果存在风险管理方案，作为审计的一部分，内部审计师应该对其进行评估。《实务公告》2100-4指出：内部审计在没有风险管理程序的组织中的作用，该

公告建议内部审计师：

⑴帮助组织识别、评估和实施风险管理以及董事会关注的问题，确定如何通过风险管理和控

制来解决这些问题。

⑵识别管理层和董事会关注的问题，并确定如何通过风险管理程序来解决这些问题。

⑶引起组织对缺乏风险管理程序的注意，并对建立风险管理程序提出建议。

⑷了解管理层和董事会对内部审计在建立风险管理程序方面提供帮助的期望。

⑸了解管理层对于内部审计师在建立风险评估程序中的作用的看法。

⑹如果被要求，可以在风险管理程序的开发中发挥主动作用，但应当谨防对自身独立性的损

害。

⑺避免成为“风险的所有者”。

首席审计执行官必须牢记：这种帮助不应超出正常的保证和咨询业务的范围。

审计风险及其在财务报表审计中的风险要素

审计师和管理层时常置疑风险的程度和概率。程度是指风险暴露的数额，概率是发生的可能

性。

管理特征

·管理决策由一个人控制；

·管理层对财务报告采取极端干预的态度；

·管理层流动比较快；

·管理层非常强调满足赢利项目；

·管理层在企业界的声誉较差。

经营和行业特征

·组织的获利能力与行业相比是不适当或不一致的；

·组织的经营结果对不同的经济因素比较敏感；

·组织处于衰退行业之中；

·组织的结构被分散后没有适当的监控活动；

·组织可能不是持续经营的。

业务特征

·有许多引起争议的或难于处理的会计问题；

·有重要的交易或余额难以审计；

·有重大和异常的关联方交易；

·在审计期间发现了存在重要误报的前期历史记录或没有可利用的前期历史记录。 诸如此类的因素不应被孤立地去看待，例如，规模、复杂性以及组织的所有权将会加强或减

缓这些因素。

审计师对财务报表层次审计风险的评价结论将影响：⑴业务人员的调配；⑵要求的监管；⑶全面的审计策略；⑷专业怀疑的态度。例如在审计师认为审计风险增加了的情况下，可能会

在期中和年终工作中调配更多的有经验的人员运用更为实质的程序。

风险清单

Allstate的内部审计机构开发了一种“业务风险清单”，它的用处是：

·提供一个框架，用来识别成为公司最大威胁的风险，使这些风险在计划中得以考虑；

·促进对业务风险的讨论；

·构建一个帮助组织持续识别新的风险的机制，用来监控一段时间内在业务风险中发生的变

化；

·使管理和内部审计能采取积极主动地方式来应对风险；

·增加审计人员的与风险有关的专门知识。

风险清单的制定必须经过四个步骤：

※识别可以接受的最高风险；

※合并和组织风险；

※制定一个标准的风险清单和风险术语表；

※精简风险清单。

风险清单由两个基本部分组成。外部风险包括：环境、灾难、金融市场、风险评级；内部风

险包括：人力资源、正直、信息和技术、会计和报告、财务。

然后，审计人员为每一个组织单元和共享的服务制定具体的风险清单，并确定那些成为组织

最大威胁的风险。

接着，审计人员根据风险的严重性和可能性，在一个三点标尺上对风险评级，即高值、中间值和最低值。那些最高级别的风险被标上“关键”风险，“威胁”和“关键”风险的结合点

被最先审计，并随之受到管理层的重视。

最后，审计人员为外部风险制定一系列的“风险触发器”，同时为内部风险制定一个“风险触发器”。假定对触发器和关键风险采用矩阵方法，审计师可以据此制定审查的重要区域。

风险的基本问题

组织总是尽力对风险保持更多的控制。因此组织提出许多已经被确认为是最重要的问题，并对涉及风险程度比较高的那些领域进行审计，以保持对风险的控制。当管理层和内部审计师认识到随着业务时间的改变，风险已经发生了显著改变时，这点就变得特别重要。例如，管理层已经日益关注市场风险和对组织产品的需求。在互联网时代，电子商务以及由电子商务构成的电子支付的高风险二者必居其一。没有认识到这种重大变化可能对组织产生灾难性的

损害。

组织一直在对风险评估的不同方法进行评价。下列问题（风险因素）已经被运用于风险评估

中：

·在先前的审计中有重大发现吗？

·上次审计的范围是什么？

·上次审计是在多长时间进行的？

·系统中已经发生了什么变化？

·人事安排已经发生了什么变化？

·该实体提供的产品和服务是否发生了什么变化？

·控制的资产的实际价值是多少？

·实体的交易金额是多少？

·该实体对母公司的重要性是什么？

·该实体资产的流动性如何？

·该实体的职责分离如何？

·该实体中的信息的敏感性如何？

·实现目标或其他业务标准的压力如何？

·法律法规是如何影响组织的？

·员工遭受非道德行为的潜在程度如何？

·发挥该实体作用要求什么样的知识？

·员工与该实体的顾客联系的频度？

·该实体经营的复杂性如何？

一些组织基本上已经建立了问题清单，其中的问题是内部审计师在其计划中必须解决的。还有一些组织对每一个问题已经设置了定量的答案供审计师使用。以这些答案为基础，可以得出一个分数，这可能是一个简单的总和，直至以专家系统为基础的加权计算结果。一旦确定了分数，内部审计师就能依据相关分数确定审计计划。对内部审计师来说，无论采用哪种方

法，相对于预测值来评估审计结果都是十分重要的。

Bell加拿大的风险评估策略

Bell加拿大已经把风险评估用作其审计计划程序的一个不可分割的部分，提出了一种帮助内部审计师确定在每一种被审计的作业中所暴露的风险种类或程度的工具。每一种审计作业被分成“关键”的子程序、功能或活动。这些项目构成了风险矩阵的一个轴。在另一个轴上，内部审计师列举了公司的10种普遍的业务风险。在每个单元中，内部审计师用一个简单的评分系统：“3”表是发生的概率高、“2”表示发生的概率中等、“1”表示发生的概率低。

这样内部审计师就可以专注于那些具有最高程度的固有风险的目标上。他可以对每一个公司程序提出一个风险分数，并且因此在那种指南中指出审计活动的方向。然而应当评估风险领域关于它们对组织的功能和健康运行的重要性。因此，对一个高风险的作业不应优先考虑，

如果该作业对组织的最终健康运行是不重要的。

管理层舞弊的风险

管理层舞弊的三要素结构：

⑴条件—允许管理层舞弊的条件；

⑵动机—构成舞弊行为的基础；

⑶态度—管理层的态度可能导致管理层实施舞弊行为。

一些实例：

条件—

※ 缺乏或较弱的内部控制

※ 没有或较弱的内部审计委员会

※ 快速增长；

※ 缺乏有优势的产品；

※ 集中化的决策；

※ 缺乏经验的管理层。

动机—

※ 鼓励外部投资；

※ 表明收入增长；

※ 消除负面的市场感觉；

※ 获得资金；

※ 表明遵守了融资契约；

※ 实现目标和目的；

※ 获取奖金。

※

态度—

※ 不诚实；

※ 对规章制度缺乏关注；

※ 缺乏对道德的信奉。

※

风险管理

内部审计师应该不仅通过识别风险领域去帮助管理层，而且一种积极的态度帮助管理层控制

风险。

内部审计师帮助管理层以“适当和有效的缓冲器”去承担有利润的和谨慎的风险，他们评估管理层对“缓冲器”的运用，从而为组织实现最大利益。因此，审计成为一种积极的控制评估者，它有助于识别应当承担的风险和相关的控制，以便从收入和利润方面改善经营状况。

然而，除了风险评估和帮助管理层把风险转变为本组织的一种收入元素外，内部审计应扩展

审计范围，它包括风险控制、风险理财和风险管理。

风险控制：

·支持积极的风险和损失控制计划；

·为参与风险控制计划提供最大的激励；

·监管风险控制活动的有效性。

风险理财：

·考虑全部可利用的财务资源；

·维持灾难保护制度；

·宰割运营单位均等分配风险理财成本。

风险管理：

·产生并维持管理层的风险管理责任；

·采用一个清楚明了的风险管理结构；

·建立清楚的指标化得年度目标；

·在所有受影响的管理层之间保持有效的沟通。

因此，在风险评估过程中内部审计事业关注风险管理的积极面并且引导内部审计功能发挥积

极的作用，从而有助于改善管理。

风险管理程序的目标：

· 来自于企业战略和活动的风险应被识别和优先考虑。

· 管理层和董事会已确定组织可接受的风险水平，包括用来完成组织战略计划的可接受风

险。

· 确定和实施风险缓解和活动从而将风险降低到管理层和董事会（或其他管理）确定的可

以接受的水平。

·实施持续得监管活动从而定期重新评估风险和管理风险的控制的有效性。

·董事会和管理层收到风险管理过程结果的定期报告；组织的公司治理程序应向股东提供风

险、风险战略和控制的定期沟通。

事件发生的概率可使用三个术语：

低可能—机会少 0-15%

有可能—比极少多但少于可能 20-50%

可能—可能发生 50-90%

近期—距离报表（报告）日前不超过一年

严重影响—在特定的集中发生的情况下某组织的脆弱性。虽然其重要性也可以中断组织正常的功能，然而他的影响小于灾难性。

Gregg R.Maynard 最佳实务

Gregg R.Maynard总结了对风险考虑的积极方法：全面的风险管理战略已经抛开了内部审计师传统的缺乏远见的方法，这种方法仅将注意力集中在控制住风险的不利方面。现在完全一体化的审计业务理解并把接受风险作为利润的一种来源。

他列出了12种最佳实务：

·结合审计领域的客观和主观分析来揭示审计的优先顺序；

·在预审描述中分析管理层实现其宣称的目标和目的的能力；

·用调查问卷去检查组织内全部的内部控制；

·分析用来构建和监视风险极限的程序；

·检查其他风险管理功能如资金、合规性和会计控制；

·观察战略规划过程及其结果；

·评估战略主动性；

·整合审计活动；

·把审计程序建立在风险的基本影响和补偿性控制基础上；

·通过提供咨询服务和增值信息与管理层合作；

·检查作为内部控制基本要素之一的道德；

·实施整个风险管理计划的综合计划。

索耶内部审计-风险评估

谁运用风险评估

管理层把风险评估作为保证组织取得成功的程序的组成部分。该事实在COSO研究报告中有清晰的论述。管理层也把风险评估作为设计新系统的一个重要工具。无论是人工或是计算机化的新系统都是用来实现已认可的目标的。设计和开发程序的一个重要任务就是对所有的妨

碍系统实现目标的事件和行为进行确认。

目前的法律要求有一定规模银行做年度的风险评估，以此作为编制关于内部控制系统状况的公开声明的基础，并要求银行的注册会计师验证该声明的准确性。自1979年以来，人们试图要求所有依据1934年证券交易法报告的组织提供此类声明。很可能，通过法律或法规会

使这种提供报告的要求在越来越多的企业和公共部门成为强制性要求。

注册会计师必须使风险评估遵照他们的准则进行。美国注册会计师协会《内部审计准则公告》第55号讨论了会计师在获得对控制系统的了解方面的责任。会计师在计划他们的审计工作时也要进行风险评估。未达到审计目标的风险是什么？该运用哪种审计测试方法来保证审计目标的实现？一类风险是选择了错误的测试方法，另一类风险是采用不正确的抽样计划和技

术，等等。

毫无疑问，内部审计时从这一专业出现之日起就一直在从事风险评估工作，他们总是问：“什么地方出了问题？”对潜在错误或违规行为进行识别已是一项绝对的要求。只有找到风险，才能确定应采用什么样的控制程序。毕竟，如果没有风险，那么还有控制吗？除非风险已经被识别和评估，否则，内部审计师怎样才能确定在某种情况下一项特定的控制是否是一项有

效的控制？

在许多组织中，内部审计机构在形成管理层关于控制系统状况年度声明的风险评估重视关键的执行者。在该声明的陈述中必须考虑内部审计师正在进行的工作。有些组织要求实施特定

的审计，以监督在当年发现的弱点在南中报告日已得到纠正。

计划风险评估和暴露

制定审计计划要包括对组织风险和暴露程度的考虑。在战略计划中，审计计划应该评估对风险优先顺序和暴露的要素的关注程度，因此，风险管理过程的结果影响审计领域。该报告包括审计活动的详细方法如审计工作时间表的内容、审计的方法、审计的实施、报告内容以及

对“降低风险的内部控制”的评估。

扩展风险导向审计

风险导向审计的概念传统上是以对控制的观察和分析开始的，接着继续对与经营相关的风险进行确认，最后确认审计活动是否与组织的目标一致。Mc Namee和Selim认为这种方法是错误的。因为内部审计首先需要为目标服务，目标是经营的基础，并且不是一成不变的，必须灵活并且是或应当是着眼于未来的。他们提出了首先考虑建立组织目标的方法，接着通过

识别、衡量和优先排序等方法评估风险，最后通过下列方法进行风险管理：

※ 控制和接受风险

※ 规避或分散风险

※ 向其他部门分配和转移风险

※

管理风险的概念日益被人们所接受，因为风险在所有各类运营中不可避免，需要通过活动的

多重选择去容纳风险，这些风险包括：

※ 控制组织活动从而在规模和数量上降低风险；

※ 通过容许对于进步和利润所必须的谨慎的风险去接受风险；

※ 规避风险涉及到对业务程序的重新设计从而改变风险模式；

※ 分散风险通过将总体风险分散到许多分离的经营活动当中，一个实例是对关键材料

选用多个供应商；

※ 通过运用合同以及安排第三方接受部分或所有风险来分配和转移风险，如保险。

从风险确认扩展到风险管理就是未来的发展潮流。

没有风险管理程序的组织

本章的大部分论述了风险的两个方面：第一，，内部审计师为了编制审计计划应该检查被审计领域里的风险；第二，如果存在风险管理方案，作为审计的一部分，内部审计师应该对其进行评估。《实务公告》2100-4指出：内部审计在没有风险管理程序的组织中的作用，该

公告建议内部审计师：

⑴帮助组织识别、评估和实施风险管理以及董事会关注的问题，确定如何通过风险管理和控

制来解决这些问题。

⑵识别管理层和董事会关注的问题，并确定如何通过风险管理程序来解决这些问题。

⑶引起组织对缺乏风险管理程序的注意，并对建立风险管理程序提出建议。

⑷了解管理层和董事会对内部审计在建立风险管理程序方面提供帮助的期望。

⑸了解管理层对于内部审计师在建立风险评估程序中的作用的看法。

⑹如果被要求，可以在风险管理程序的开发中发挥主动作用，但应当谨防对自身独立性的损

害。

⑺避免成为“风险的所有者”。

首席审计执行官必须牢记：这种帮助不应超出正常的保证和咨询业务的范围。

审计风险及其在财务报表审计中的风险要素

审计师和管理层时常置疑风险的程度和概率。程度是指风险暴露的数额，概率是发生的可能

性。

管理特征

·管理决策由一个人控制；

·管理层对财务报告采取极端干预的态度；

·管理层流动比较快；

·管理层非常强调满足赢利项目；

·管理层在企业界的声誉较差。

经营和行业特征

·组织的获利能力与行业相比是不适当或不一致的；

·组织的经营结果对不同的经济因素比较敏感；

·组织处于衰退行业之中；

·组织的结构被分散后没有适当的监控活动；

·组织可能不是持续经营的。

业务特征

·有许多引起争议的或难于处理的会计问题；

·有重要的交易或余额难以审计；

·有重大和异常的关联方交易；

·在审计期间发现了存在重要误报的前期历史记录或没有可利用的前期历史记录。 诸如此类的因素不应被孤立地去看待，例如，规模、复杂性以及组织的所有权将会加强或减

缓这些因素。

审计师对财务报表层次审计风险的评价结论将影响：⑴业务人员的调配；⑵要求的监管；⑶全面的审计策略；⑷专业怀疑的态度。例如在审计师认为审计风险增加了的情况下，可能会

在期中和年终工作中调配更多的有经验的人员运用更为实质的程序。

风险清单

Allstate的内部审计机构开发了一种“业务风险清单”，它的用处是：

·提供一个框架，用来识别成为公司最大威胁的风险，使这些风险在计划中得以考虑；

·促进对业务风险的讨论；

·构建一个帮助组织持续识别新的风险的机制，用来监控一段时间内在业务风险中发生的变

化；

·使管理和内部审计能采取积极主动地方式来应对风险；

·增加审计人员的与风险有关的专门知识。

风险清单的制定必须经过四个步骤：

※识别可以接受的最高风险；

※合并和组织风险；

※制定一个标准的风险清单和风险术语表；

※精简风险清单。

风险清单由两个基本部分组成。外部风险包括：环境、灾难、金融市场、风险评级；内部风

险包括：人力资源、正直、信息和技术、会计和报告、财务。

然后，审计人员为每一个组织单元和共享的服务制定具体的风险清单，并确定那些成为组织

最大威胁的风险。

接着，审计人员根据风险的严重性和可能性，在一个三点标尺上对风险评级，即高值、中间值和最低值。那些最高级别的风险被标上“关键”风险，“威胁”和“关键”风险的结合点

被最先审计，并随之受到管理层的重视。

最后，审计人员为外部风险制定一系列的“风险触发器”，同时为内部风险制定一个“风险触发器”。假定对触发器和关键风险采用矩阵方法，审计师可以据此制定审查的重要区域。

风险的基本问题

组织总是尽力对风险保持更多的控制。因此组织提出许多已经被确认为是最重要的问题，并对涉及风险程度比较高的那些领域进行审计，以保持对风险的控制。当管理层和内部审计师认识到随着业务时间的改变，风险已经发生了显著改变时，这点就变得特别重要。例如，管理层已经日益关注市场风险和对组织产品的需求。在互联网时代，电子商务以及由电子商务构成的电子支付的高风险二者必居其一。没有认识到这种重大变化可能对组织产生灾难性的

损害。

组织一直在对风险评估的不同方法进行评价。下列问题（风险因素）已经被运用于风险评估

中：

·在先前的审计中有重大发现吗？

·上次审计的范围是什么？

·上次审计是在多长时间进行的？

·系统中已经发生了什么变化？

·人事安排已经发生了什么变化？

·该实体提供的产品和服务是否发生了什么变化？

·控制的资产的实际价值是多少？

·实体的交易金额是多少？

·该实体对母公司的重要性是什么？

·该实体资产的流动性如何？

·该实体的职责分离如何？

·该实体中的信息的敏感性如何？

·实现目标或其他业务标准的压力如何？

·法律法规是如何影响组织的？

·员工遭受非道德行为的潜在程度如何？

·发挥该实体作用要求什么样的知识？

·员工与该实体的顾客联系的频度？

·该实体经营的复杂性如何？

一些组织基本上已经建立了问题清单，其中的问题是内部审计师在其计划中必须解决的。还有一些组织对每一个问题已经设置了定量的答案供审计师使用。以这些答案为基础，可以得出一个分数，这可能是一个简单的总和，直至以专家系统为基础的加权计算结果。一旦确定了分数，内部审计师就能依据相关分数确定审计计划。对内部审计师来说，无论采用哪种方

法，相对于预测值来评估审计结果都是十分重要的。

Bell加拿大的风险评估策略

Bell加拿大已经把风险评估用作其审计计划程序的一个不可分割的部分，提出了一种帮助内部审计师确定在每一种被审计的作业中所暴露的风险种类或程度的工具。每一种审计作业被分成“关键”的子程序、功能或活动。这些项目构成了风险矩阵的一个轴。在另一个轴上，内部审计师列举了公司的10种普遍的业务风险。在每个单元中，内部审计师用一个简单的评分系统：“3”表是发生的概率高、“2”表示发生的概率中等、“1”表示发生的概率低。

这样内部审计师就可以专注于那些具有最高程度的固有风险的目标上。他可以对每一个公司程序提出一个风险分数，并且因此在那种指南中指出审计活动的方向。然而应当评估风险领域关于它们对组织的功能和健康运行的重要性。因此，对一个高风险的作业不应优先考虑，

如果该作业对组织的最终健康运行是不重要的。

管理层舞弊的风险

管理层舞弊的三要素结构：

⑴条件—允许管理层舞弊的条件；

⑵动机—构成舞弊行为的基础；

⑶态度—管理层的态度可能导致管理层实施舞弊行为。

一些实例：

条件—

※ 缺乏或较弱的内部控制

※ 没有或较弱的内部审计委员会

※ 快速增长；

※ 缺乏有优势的产品；

※ 集中化的决策；

※ 缺乏经验的管理层。

动机—

※ 鼓励外部投资；

※ 表明收入增长；

※ 消除负面的市场感觉；

※ 获得资金；

※ 表明遵守了融资契约；

※ 实现目标和目的；

※ 获取奖金。

※

态度—

※ 不诚实；

※ 对规章制度缺乏关注；

※ 缺乏对道德的信奉。

※

风险管理

内部审计师应该不仅通过识别风险领域去帮助管理层，而且一种积极的态度帮助管理层控制

风险。

内部审计师帮助管理层以“适当和有效的缓冲器”去承担有利润的和谨慎的风险，他们评估管理层对“缓冲器”的运用，从而为组织实现最大利益。因此，审计成为一种积极的控制评估者，它有助于识别应当承担的风险和相关的控制，以便从收入和利润方面改善经营状况。

然而，除了风险评估和帮助管理层把风险转变为本组织的一种收入元素外，内部审计应扩展

审计范围，它包括风险控制、风险理财和风险管理。

风险控制：

·支持积极的风险和损失控制计划；

·为参与风险控制计划提供最大的激励；

·监管风险控制活动的有效性。

风险理财：

·考虑全部可利用的财务资源；

·维持灾难保护制度；

·宰割运营单位均等分配风险理财成本。

风险管理：

·产生并维持管理层的风险管理责任；

·采用一个清楚明了的风险管理结构；

·建立清楚的指标化得年度目标；

·在所有受影响的管理层之间保持有效的沟通。

因此，在风险评估过程中内部审计事业关注风险管理的积极面并且引导内部审计功能发挥积

极的作用，从而有助于改善管理。

风险管理程序的目标：

· 来自于企业战略和活动的风险应被识别和优先考虑。

· 管理层和董事会已确定组织可接受的风险水平，包括用来完成组织战略计划的可接受风

险。

· 确定和实施风险缓解和活动从而将风险降低到管理层和董事会（或其他管理）确定的可

以接受的水平。

·实施持续得监管活动从而定期重新评估风险和管理风险的控制的有效性。

·董事会和管理层收到风险管理过程结果的定期报告；组织的公司治理程序应向股东提供风

险、风险战略和控制的定期沟通。

事件发生的概率可使用三个术语：

低可能—机会少 0-15%

有可能—比极少多但少于可能 20-50%

可能—可能发生 50-90%

近期—距离报表（报告）日前不超过一年

严重影响—在特定的集中发生的情况下某组织的脆弱性。虽然其重要性也可以中断组织正常的功能，然而他的影响小于灾难性。

Gregg R.Maynard 最佳实务

Gregg R.Maynard总结了对风险考虑的积极方法：全面的风险管理战略已经抛开了内部审计师传统的缺乏远见的方法，这种方法仅将注意力集中在控制住风险的不利方面。现在完全一体化的审计业务理解并把接受风险作为利润的一种来源。

他列出了12种最佳实务：

·结合审计领域的客观和主观分析来揭示审计的优先顺序；

·在预审描述中分析管理层实现其宣称的目标和目的的能力；

·用调查问卷去检查组织内全部的内部控制；

·分析用来构建和监视风险极限的程序；

·检查其他风险管理功能如资金、合规性和会计控制；

·观察战略规划过程及其结果；

·评估战略主动性；

·整合审计活动；

·把审计程序建立在风险的基本影响和补偿性控制基础上；

·通过提供咨询服务和增值信息与管理层合作；

·检查作为内部控制基本要素之一的道德；

·实施整个风险管理计划的综合计划。