CIA_以风险为基础制定计划确定内部审计活动的优先次序

《CIA_以风险为基础制定计划确定内部审计活动的优先次序》由会员分享，可在线阅读，更多相关《CIA_以风险为基础制定计划确定内部审计活动的优先次序（16页珍藏版）》请在装配图网上搜索。

1、01B以风险为基础制定计划确定内部审计活动的优先次序1. 建立评估风险的框架风险是指发生对目标的实现可能产生影响的事件的不确定性。风险的衡量标准是后果与可能性。通常使用潜在的可货币化或因暴露对组织将产生的不利影响来衡量。风险的后果（the effects of risk）包括：由于使用不正确、不及时、不全面的信息而作出了错误的决定；对于错误记录的保存、不适当的会计记录、舞弊的财务报告、财务损失的暴露;没有恰当地保护资产；被审计单位的不满意、负面的宣传、名誉的损失；没有遵守政策、程序、计划、法律和规章；不经济地获取资源或没有效率、没有效果地使用这些资源；没有达到项目经营所确定的目标和任务。首席审

2、计执行官应根据 COSO （ the committee of sponsoring organizations 的缩写，是 个由IIA和AICPA在内的众多组织组成的专业联盟）开发出的风险评估模型建立以下评估 风险的框架：内部环境目标设定事件识别风险评估风险回应控制活动信息与沟通内部审计师不可能去评估组织面临的所有可能的风险。 大量的潜在审计业务伴随着相应 范围内的工作需要对有限的内部审计资源进行有效的利用。 风险评估框架可以为首席审计执 行官和内部审计职能提供了一套系统的方式去评估内外部风险因素和制定年度审计计划。某种程度来讲，评估框架和以风险为基础制定的计划会因企业不同而有所不同。组织规

3、模、正规性、管理团队动态、行业、管理要求和其他人员问题都仅仅只是一部分的潜在影响因素。但通常来讲，大部分以风险为基础的框架包含如下步骤。1.1. 确定审计域识别所有潜在审计业务的组织资源和所有潜在的待审业务；不能仅仅局限于某些职能上面（例如付款和会计），还要考虑到产生潜在风险的职能内部的具体业务活动；随着行业或是组织的性质有所变化，例如，地点、进程、产品或区域都需要被考虑 至叽例：组织中所有单位和流程的列示（可能包含数百条要素）。1.2. 检查组织的风险要素假设主要是从对组织目标的影响角度而不是具体职能的变化角度考察组织的内外部风险；考虑潜在的审计业务资源；包括同组织高层管理人员讨论确定风险水

4、平、新计划的业务和/或程序变动；如果组织中有风险管理系统（ERM ）程序的话，考虑风险管理结果。例：考虑收入或资产的规模、区域的显著性、偿债能力或现金流、其他检查的结果，还 有财务报告问题。1.3. 确定审计顺序评价确认的审计业务；以风险的显著性为依据判断其对组织成功的影响标准和界限以及组织对于风险的容忍度；考虑是否内部审计人员已经足够可以控制所有的主要风险，一些是否可以推迟和/或由外部审计人员负责；最终形成年度审计计划。例：以最高水平的风险评估、计划程序变动、管理层的要求和可以获取的内部审计资源 为基础确定下一年度最重要的审计领域。以风险为基础的审计是一种预先行动的方式，它着重于未来的事件，

5、以阻止问题的出现。2. 应用评估风险的框架2.1.识别潜在审计业务的来源（如审计域，管理层的要求，法规要求）风险评估是对可能出现的不利情况或事件进行评价和综合的一个专业判断过程。风险评估使首席审计执行官能够确定审计工作日程安排的先后次序。首席审计执行官利用来自风险管理过程的综合性信息 （包括对管理层和董事会所关心问题的识别）制定内部审计本部门计划的风险评估过程，有别于内部审计师在审计过程对组织管理风险进行的评价工作。根据标准，首席审计执行官应在风险评估的基础上为内部审计部门至少一年制定一次审计业务计划，以确定符合内部审计部门章程和组织目标的内部审计工作重点。在某些情 况下，审计计划需要进行经常

6、性（例如，每季度）修改，目的是对组织管理层活动的变化作出反应。首席审计执行官通常对高风险的活动优先考虑实施审计。审计委员会要求的活动不一定比管理层要求的活动风险更高。风险评估的步骤如下：识别可审计的活动；分析可审计主体会给组织带来的风险；对风险进行排序，确定审计先后次序。内部审计的最终目的是向管理层提供信息，以减少在实现组织目标过程中可能带来的负面影响，因此，内部审计部门的计划应该反映组织的风险战略，组织的风险管理应与内部审计程序之间协调一致， 使之协同增效。因此，内部审计部门在制定 审计计划 时通常应考虑以 下因素：了解组织战略性计划、组织对待风险的态度和实现既定目标的困难程度以确定审计计划

7、目标；了解风险管理的过程和结果以确定审计范围；了解管理层的方针、目标、工作重心的变化以调整审计范围和相关计划内容；应用能反映风险重大性与发生可能性的技术与方法来监测和证实风险；确定风险模式（如风险因素模式）以帮助首席审计执行官排列审计目标的优先次序； 在向管理层的报告中传达对风险管理的结论和建议，以降低风险；准备一份关于内部控制充分性的声明，以减少风险。2.1.1. 审计域大多数组织中，潜在的审计域都很广泛，涉及组织经营的各个方面，如下面所示：应付账款?位置应收账款?生产现金管理?市场营销客户服务?薪酬环境？生产/经营财务？产品和服务通用服务?采购健康安全?研发人力资源?销售存货管理?证券法律

8、以风险为基础的审计域， 它不是单独依据经营实体来定义的。还包括组织的战略计划和内部控制管理来降低风险、实现组织目标、确保满足客户需要。正如前文所示，变化是持续 的，在变化的环境中产生了数量庞大的组织风险。内部审计师评估管理控制的经济有效性和实现组织预定战略目标的结果如何，并对结果加以报告。组织战略计划战略计划以一定程度上的环境分析为基础，环境分析对于组织内外可能发生与正在发生的情况作出判断。可以这样说，每个组织都是独特的，受其所在的环境所塑造。通常，组织 会检查几个领域来了解潜在机会和威胁的来源。法律因素一一法律机构（例如联邦、州、国家/省或者城市法规）颁布的法律、立法活动和诉讼、推行的处罚都

9、会对组织产品和服务的成功产生影响；监督因素一一法律实体下面的机构和非政府组织颁布的法规、原则和规章用以控制和治理行为，也能够导致某种程度的处罚和剥夺权力；市场力量、行业趋势和竞争一一组织竞争所处的环境；股东群体一一大批人、 机构和其他组织，他们或对组织有所投资，或对组织的成功或行动感兴趣；技术趋势和核心竞争力对竞争优势至关重要的核心技术，对竞争必不可少的基础技术和组织技术方面的优势、劣势和重点；客户一一假定内部和外部客户都能够了解他们的需要、偏好和行为等；内部职能分析一一假设当前组织机构、员工能力和流程能力可以支持或者妨碍组织活动；SWOT （优势、劣势、机会、威胁）分析一一可以对经营环境中众

10、多因素是促 进还是阻碍组织加以鉴别和分类的框架。内部审计关于环境分析的关注可以揭示出许多潜在风险。通过吸收战略计划，审计域将考虑到并反映总体业务目标。战略计划能反映出组织对待和实现既定目标的困难程度的态 度。一般来说，审计域受到风险管理过程结果的影响。组织战略计划的制定应当考虑到组织运营的环境。同样的环境因素很可能对审计域和相关风险的评估产生影响。管理层和员工除了职能部门和战略计划， 以风险为基础的审计的潜在审计域还应包括组织的管理层和 员工。行政人员和核心经营经理具备风险意识十分重要，因为他们负责制订计划、分配用以实现计划的资源、监督实现计划的活动和评估结果。员工的风险意识同样十分重要，因为

11、他们最接近经营活动。这两类群体都可以对于组织面对的风险有深入认识。从管理层和员工处获取信息有很多方式，主要的方式如下三种：访谈（In terviews）双方之间结构化的讨论：一方代表内部审计另一方代表潜在审计业务客户或者经营风险 的信息来源；希望能够从被访谈的人员中获取不偏颇的观点；通常是重点团队和调查的先兆。例：首席审计执行官每年同董事长、审计委员会主席、总顾问和其他识别组织风险和缓解控 制的人员进行会面；内部审计经理同部门经理和其他层次的经理进行会面，获取他们对于组织目标的观点。需要注意的事项包括：必须在客观的方式下开展，不能对结果有任何预先的看法；尽早建立友好气氛，必要的时候试探获得进一

12、步信息和不断汇总以利于真实的讨论，访谈最为有效；产生有质量的信息，这些信息能够在重点团队中得以发现或者调查中被数据支持。焦点小组(Focus groups)邀请由目前的经理或员工(大约612人)组成的小组参加有内部审计部门代表参加的结构化讨论；通常持续2 3小时。例：首席审计执行官或者内部审计经理与作业单位的领导者会面，根据事件的影响程度和发生的可能性安排活动来帮助汇总、讨论和优先处理风险。 或者团队可以在管理层访谈中明确更深层次的风险。可以实施内部控制自我评估会议对某些风险进行总体评价以及对工作流程进行全组织 方位的评价。需要注意的事项包括：需要有效的计划、清晰的目标和熟练业务的仲裁者来最充

13、分地利用时间；可以包括团队头脑风暴、决策制定和业务排序；如果参与人员易受其他人的言论影响的话，可能会导致从众现象。为定量调查打下良好的基础并为之补充。问卷/调查衡量管理层和员工态度和观点的方法。例：组织中的“十大风险”清单可以从访谈和核心团队的数据中获取。问卷/调查的参与者主要发表对内部控制和具体风险控制措施的效果和效率的看法。需要注意的事项包括：通常可以提供获取信息的一个简单方式；可以帮助识别严重风险；可能得不到诚实和/或彻底的答案；如果被调查者不能够花时间认真答复和在所有的开 放性问题中写明细节的话，收集的信息可能会过于笼统因而用途不大。2.1.2.管理层的要求管理层可能有一些计划应当包含

14、在审计域中。特殊的要求可能会有很多种形式，涵盖了有形资产和无形资产。例如，信息技术部门负责人可能向内部审计要求安装新的计算机平台。风险可以涉及实物损坏到系统损坏，或者硬件的丢失，以及此类破坏或损失的后果。2.1.3. 法规要求尽管有一些自律性制度是自发制定的，但其还是具有一定法律效力或者可能是法律的一部分。例如，如果不遵守行业要求，一个组织可能就不能够在行业内竞争。一些法规的要求横贯很多行业（例如环境保护署限制污染的标准或者职业安全与健康管理局保护美国工人健 康和安全的标准）。行业中可能也有一些特殊的要求（如联邦航空署对于机场、飞行交通控 制和安全问题的要求）。任何与组织相关的法规要求都应当作

15、为审计域的一部分加以考虑。2.1.4. 其他来源在些组织中，内部保证部门（例如，安全、质量、健康）也可能是潜在审计业务的来源。 外部审计师可能也会发现和报告一些具体的需要改进和进一步调查的弱点或领域。这些领域也应当被看作是审计域的部分。由此可见，审计域来源广泛且多变。 本步骤在风险评估中的作用就是识别一系列的潜在 审计业务来作进一步的考虑和顺序安排。2.1.5.收集定量和定性数据的重要性在风险评估过程中，从大量来源中收集可以解释的信息具有十分重要的作用。内部审计师应当有方法和能力获取定性和定量的数据，获取定性和定量数据的具体方法应用及注意事项如下：定性数据的获取：关注观点和态度的主观的或温和的

16、措施。具体方法：访谈焦点小组观察会议注意事项：个人有机会使用自己的语言提供信息；能够识别关键风险，深入了解组织的重点；可以允许打扰。定量数据的获取：由具体的客观标准产生的方案。具体方法：研究（例：质量与产量计量）报告（例：市场份额及其增长，收入和利润）调查（例：统计数据）注意事项：提供可以使用基准比较法的记分册、趋势数据等；或者其他易于平均的数字；可以显示 现象而不是原因。为什么两种数据都很重要 ？因为在评估关键风险时客观（定量）标准并不是总能适用的（例如董事会关注点），各类软性和硬性的数据的综合能够对于组织风险有更加全面的理解 和认识。对于这些问题的正确理解最终都会使公司有机会作出更好的商业

17、决定。2.2. 评估组织范围内的风险组织范围内的风险因素是指用于识别对整个组织产生不利影响的情况或事情的重要性 和可能性的鉴定标准。 一旦潜在审计业务来源确定， 就需要评估能够对组织目标产生影响的 风险和机会。根据标准，影响组织范围内的风险因素可以包括：管理层对完成目标的信念意识和紧迫感；人员的胜任能力、恰当性和完整性；资产的规模、流动性或经济业务量；财务和经济状况；竞争条件；活动的复杂和易变性；顾客、供应商和政府规定的影响；信息系统电算化的程度；经营活动的地理分布；内部控制系统的恰当性和有效性；组织、经营、技术和经济的变化；管理层的判断和会计预测；审计结果的认可和所采取的纠正行动；以前的审计

18、日期和结果。可以由不同的方式对组织范围内的风险因素进行评估，风险的分类方式也有所不同。但大多数模型遵照的程序包括：风险识别风险度量风险排序2.2.1.风险识别通常站在组织的立场上，以系统的观点对风险和机会的性质进行风险识别。风险和机会通常按照战略、项目/方案/程序、经营的角度进行分类。通常的组织风险类别包括以下三 类：战略风险关注内容：反映战略计划的因素。来源查阅组织文献，例如任务、愿景、价值和战略计划以获取对于组织目标的清晰认识。效果：制定矩阵，根据时间范围对战略风险进行分类，将短期问题同中期和长期问题区分开来：选择创造性的方式识别最显著的战略风险（例：头脑风暴法，复选法，假设情境分析）确定

19、哪些风险最可能对实现组织目标产生最大的影响（例如：对财务的影响，资产流动性，名誉）。项目/方案/程序风险关注内容：检查具体的项目、方案和程序。来源：从职能部门和外部客户处获取。效果：建立风险因素标准（例：财务影响、管理层能力、内部控制质量、复杂性、客户/顾客 满意度）。经营风险关注内容：组织面临的日常经营风险及风险所有者。来源：?健康风险?安全风险?外界（环境）风险?安全及系统功能效果：辨认出员工、组织参与者、实物资产的风险（例：设备和建筑）。2.2.2. 风险度量本步骤中以风险发生的可能性为基础来评估风险发生的潜在影响一一风险能够实质影 响组织实现目标的可能性。方法包括：可能性评估（例：预期

20、损失或年度损失）；风险因素测试（例：统计法或主观法）；平衡矩阵。首席审计执行官可以决定对风险因素进行权衡，以确定它们的相对重要性； 许多审计组织运用数学模型对组织风险程度进行评估，这种数学量化风险评估模型主要优势有：为必须坚持长期审计计划的首席审计执行官提供文件依据； 为针对风险和重点应用不同的权数提供系统化的方法； 在评估中如含有大量风险因素时，可帮助首席审计执行官确定其概率，而不完全依靠主观判断。2.2.3. 风险排序采用不同的方法对风险进行排序，判断其间的力量强弱以及潜在后果6方法包括：绝对排序一一按照风险评价的分数进行排序，并将他们按照等级进行排列；相对排序一一将风险评价的分数分为自然

21、的几类，分为高、中、低档；矩阵排序一一利用分析矩阵进一步分析风险及后果，分为高、中、低档。2.3. 从不同来源寻求潜在审计业务一般说来，内部审计业务的范围是由本组织的内部审计章程、管理层的要求和内部审计部门的具体目标等因素来确定的。在内部审计实务中，审计业务以及审计业务的来源却不易确定。也就是说，在一个组织中，哪些活动是可以作为审计对象的活动，并不是一目了 然的，需要内部审计师应用专业技能来判断和区分。因此，应用风险评估框架程序的第一阶段是识别潜在的审计业务来源，即确定组织中所有可以作为审计对象的活动。通常，可审计的活动由那些能评价和作出结论的问题、单位或系统组成。具体包括：政策、程序和惯例；

22、成本中心、利润中心和投资中心；总分类账户余额；信息系统（手工的或电算化的）；主要的合同和方案（计划）；企业组织的产品或服务；职能，如电子数据处理、采购、市场销售、生产、财务、会计 及人才资源；经济业务活动，如销售、收款、采购、付款、存货和成本核算、生产、出纳、 工资和资本性资产；财务报表；法律和规定。内部审计活动的业务计划应建立在风险评估的基础上，并且至少每年制定一次。在制定过程中，应考虑到高级管理层和董事会的意见。监管部门的指令也同样可行。首席审计执行官应根据以下标准考虑是否接受拟议开展的咨询业务，即该业务在改善风险管理、增加价值、改善组织的运营方面的潜在作用。已经接受的咨询工作应当包括在计

23、划内。2.4. 收集和分析拟审计业务的资料为了降低风险提高效率，首席审计执行官必须十分重视风险评估资料。首席审计执行官 应当制定以风险为基础的计划，以确定与组织目标相一致的内部审计活动重点。制定内部审计活动计划应该与内部审计章程和组织目标保持一致。计划过程应该确定下 述内容:目标业务工作安排 财务预算行动报告内部审计活动的目标应该能够在具体运营计划和预算范围内得到实现，并能够在可能的程度上计量。这些目标应该附有计量标准和预计完成日期。业务工作安排应该包括以下内容：即将开展哪些活动；何时开展这些活动；估计所需时间。进行估计时应考虑所计划的业务工作的范围以及其他人开展的相关 工作的性质和程度。在确

24、定业务工作安排重点时应该考虑的事项包括：最近一次业务的日期和结果；对风险和风险管理/控制过程及其效果的最新评价；董事会和高级管理层的要求；当前与组织治理有关的问题；企业的业务、运营、程序、系统和控制发生的主要变化；实现营业利益的机会；审计人员的变化和能力。工作安排应该具有充分的灵活性，以便适应对内部审计活 动的意外要求。2.5.对风险高低进行评分和证实之前的风险评估活动对风险的高低进行了排序。 现在首席审计执行官应当将得到认证的 高低风险同组织的风险战略相平衡。 换句话说，首席审计执行官不应该只选择最高风险作为 要开展的审计业务。风险能够以很多种方式处理，包括接受：寻找能够管理风险的方法，例如

25、建立突发事件应急预案；避免：寻找能够阻止风险发生的方法；转移：利用保险或者其他部门来分担或转移风险（通过契约合同安排）；控制：建立内部控制手段来降低风险或不确定性的潜在消极影响，或训练员工识别潜在风险和如何应对风险，防止危害减少损失。首席审计执行官应当以风险及其影响的显著性为基础，来决定如何应用有限的资源。风险评估的最后一步，就是将风险评估过程中所收集的信息资料进行综合分析，并尽可能对各种风险因素进行量化，按风险水平的高低对组织中的拟审计对象进行排序，从而确定开展内部审计的先后顺序。 根据标准的有关规定， 内部审计师在进行风险评估时应考虑如下各 种风险因素：金额的重要性资产流动性管理水平和能力

26、内部控制的质量变化或稳定的程度上次审计业务开展的时间复杂性员工政府关系等在开展审计业务时，用于检测、证实风险暴露的技术与方法应该能够反映出风险暴露的 重大性与发生的可能性。运用不同的风险因素来决定审计先后顺序的方法有很多。以下是一种简单但系统化的程序，分四个步骤：一是选择5种对组织的各单位最重要的风险因素；二是给每个审计业务客户的这5种风险因素逐一评分，每一种因素的评分范围从1分到5分，5分表示风险最大，1分代表风险最小；三是加总各审计业务客户的分数以得出“风险分值”；四是按各单位的风险值排序。在对风险高低程度进行确认和排序之后，首席审计执行官应当对高风险的活动优先考虑实施审计。3. 识别内部

27、审计资源需求首席审计执行官应确保审计工作有适当的、充分的资源，并有效利用，以完成审计工作 计划。识别内部审计资源需求包括：审计人员配置计划；财务预算；所需要的审计师数量；开展工作所需要的知识、技巧和其他能力。财务预算是费用方面的考虑。人员配置和财务预算应根据审计工作日程表、内审机构管理活动、人员的教育和培训，以及审计研究和开发工作的要求来制定。通常，首席审计执行官应制定选择和开发内部审计部门人力资源的方案，以规定各层次审计人员的岗位职责、选择合格和能胜任工作的人员、培训审计人员、提供审计人员后续教育的机会和专业发展建议、 至少一年一次对内部审计人员进行业绩评价、并向内部审计人员提供业绩和专业发

28、展方面的咨询建议。首席审计执行官应把审计业务计划与资源要求提交高级管理层和董事会通过，并有责任同高级管理层和董事会沟通目前可以获取哪些资源以及资源方面的任何限制都可能潜在的 会影响审计业务的范围或审计工作计划的执行。内部审计部门业务计划目标是按时、按质、按量、按预算完成审计任务。内部审计部门目标应能够在规定的计划和预算范围内得以实现，并尽可能量化。这些目标应该附带衡量标准和实现日期。内部审计部门审计日程安排是审计工作计划的重点， 包括即将开展哪些活动、 何时开展这些活动、完成这些活动估计所需时间等内容。 工作日程应能保证一定时期内适当的审计覆盖面。在确定开展业务所需的资源时，对下列要素的评估是

29、重要的：所需的内部审计人员的数量和经验水平应依据对每项业务的性质和复杂性、时间限制以及可获得资源的评价；在为业务选择内部审计人员时，应考虑内审人员的知识、技能和其它能力；由于每一项业务或任务都可以作为满足内部审计不断发展要求的基础，所以应考虑内部审计人员的培训需求；在需要进一步的知识、技能和其它能力的情况下利用外部资源。当然，即便资源有限也不需要消除计划审计业务的预定程序。首席审计执行官应当考虑相应的替代措施，如采用信息技术或者同审计业务监管部门进行协调。以上方法的特点连同其他的选择都应该同高级管理层和董事会进行讨论。4. 与各方面协调内部审计工作有效利用内审资源需要最大程度的审计覆盖面和最小

30、程度的冗余。这就需要将内部审计的覆盖面同外部审计、监管部门和其他内部保证部门进行协调。根据标准的有关规定， 内部审计部门应与提供相关保证与咨询服务的其他内外部人员共享信息、相互协调，以确保工作的全面性，最大限度地减少重复工作。为了使审计工作计划更合理、更符合实际、更加有利于实现审计目标，内部审计部门在制定审计工作计划时，应广泛听取包括董事会及高级管理层、外部审计师和组织的法规监管机构等在内的各有关方面的意见，有关意见包括：对财务和经营情况的分析；法律和法规的相关要求；审计前掌握的资料；行业或经济发展的趋势等。内部审计部门在广泛听取意见的基础上，对审计具体目标、审计对象、审计日程安排等事项应作恰

31、当的调整。与此同时，内部审计工作作为一项监督、检查工作，应当与本组织的其他监督、检查、保证等部门的工作协调一致。内部审计部门应当与组织的外部审计师、法 规监管机构和其他保证部门广泛展开合作，以实现信息共享、提高效率和效果。4.1. 外部审计师内部审计师和外部审计师的基本区别主要体现在工作范畴的不同：内部审计师的工作范畴：以系统、有规律的方式评估和促进组织在风险管理、控制和治理程序方面的有效性；关注组织的所有方面（例：防止财物的和非财务的以及任何形式的舞弊）；把将来发生的事件作为内部审计对于控制和程序的持续监督和评估的结果加以关 注。内部审计师工作范畴参照内部审计标准2100。外部审计师的工作范

32、畴: 设置常规检查来获取足够的证据支持其对年度财务报告公正与否的意见；关注历史情况。外部审计师的工作范畴参照他们的职业标准，他们应对审计程序执行情况及为评价年度财务报告而搜集的证据的充分性负责。外部审计师作为独立第三者对本组织进行审计，他们可以向内部审计师提供其所掌握和了解的潜在被审计对象的相关情况，这对于内部审计目标的确立和修订、具体审计对象的选择。审计日程安排的优化是非常有益的。外部审计师的工作范围由 独立审计准则等相关专业标准来规定，内部审计师的工作范围由标准和内部审计章程等进行规定，内外 部审计工作应充分协调以确保充分的审计范围，最大限度地减少重复工作。 在协调内外部审计人员的工作时，

33、首席审计执行官应确保内部审计人员遵循标准的有关规定，并经常评估内外部审计人员之间的工作协调情况。外部审计工作和内部审计工作在工作方法、判断标准、专业技术标准等很多方面有相似之处，可以互相借鉴、互相促进，内部审计工作应当充分借助外部审计的力量，积极利用外部审计的成果，在可能的情况下与外部审计师展开合作， 以达到提高内部审计工作效率、优化内部审计工作效率的效果。内部审计同外部审计进行协调的例子通常包括：对比年度内部审计计划和外部审计计划来消除重复，在适当的审计业务中鼓励双方进行合作；组织范围内对此达成认同，使得业务活动的结果（例如：最终的报告）能够共享，帮助组织实现目标消灭风险；交流/分享外部审计

34、关于风险管理、控制和治理程序方面的意见来帮助内部审计计 戈V。关于协调内部审计同外部审计的其他相关信息请参见F “计划审计业务”。4.2.法规监管机构为保证企业的经营活动符合相关的法律法规，避免法律风险，内部审计活动应对那些违法风险较高的领域给予较多的关注，因此，在制订审计日程安排表时， 内部审计师应与组织中的法规监管机构进行协调。法规监管机构作为组织中负责法规制定、监督控制等方面工作的部门，其工作与内部审计工作有一定的共通之处，内部审计师在从事内部审计工作尤其是合规性审计、风险审计、舞弊审计等具体审计业务时，应当主动征求法规监管机构的意见， 积极与法规监管机构展开合作。同监管部门进行沟通的程

35、度和方法取决于监管部门。例如，不同的行业有不同的监管部门和不同的要求。再次声明，交换信息的目的是减少重复劳动。例如，内部审计师可以向外部审计师提供审计文献和报告来作为遵守法规的证据。内部审计同外部监查者进行协调的例子通常包括：在计划相关内部审计业务时，内部审计师对监查报告加以回顾；外部监查者同内部审计分享他们对组织的合规性以及风险管理、控制和治理方面的见解。4.3. 其他内部保证部门根据相关法规的要求和组织自身的需要，在某些组织中还会存在其他内部保证部门，如健康和安全部门等。 这些部门承担了组织中某些方面的监督、控制和保证工作，与内部审计工作也有一定的共通之处，内部审计部门在开展内部审计具体业

36、务时，应充分考虑与这些业务相关的其他内部保证部门的合作，积极应用这些部门的工作成果和专业意见，注意与这些部门协调，以提高内部审计工作效率、完善内部审计工作成果。同其他内部保证部门的协调可以进一步的减少冗余， 最大程度的发挥内部审计活动的经济性和有效性。不同组织的内部保证部门受规模、行业和其他变量的影响而有所不同，通常会包括企业风险管理和质量控制部门。4.3.1. 保安部门同保安部门的潜在协调可以通过同保安部门人员定期召开会议的形式，来告知他们正在进行当中的审计项目。 这样的会议还可以成为一个论坛， 来收集潜在风险的保安投入、 当前 进行的可能同控制失效相关的保安调查，和任何过去曾经出现问题的领

37、域。4.3.2. 安全部门同安全部门的潜在协调应当建立一个机制，使得危险调查结果能够迅速被报告，且必要的时候纠正行为使其可以被评估。4.3.3. 企业风险管理每年度组织开展的风险识别与评估可以帮助管理层识别想要实现组织目标所最应关注的领域。内部审计对于此类信息的利用可以确认内部审计的优先顺序，并获取开展内部审计评估时的背景信息。4.3.4. 质量控制一项质量控制审计中常常需要开展一系列的审计，例如产品质量审计、程序质量审计和质量系统审计：内部审计活动与质量控制部门应当交换审计计划和报告。5. 选择审计业务5.1.参与审计业务的选择过程内部审计活动为管理层和监督主体（董事会和审计委员会）服务，保

38、护组织远离风险。一项及时进行的彻底的风险评估应当：对审计业务产生可靠的结果；通过参与过程获得认可；帮助管理层和监督主体关注核心风险。一项可靠的评估应当能够为内部审计的优势建立声望，并为内部审计参与审计业务选择过程中获得正式认可。只由审计委员会或管理层来确定审计业务将是被动的，也可能是不全面的。作为内部审 计业务工作的最高负责人首席审计执行官应当参与组织对审计业务的选择，并凭借其对组织内部控制的熟悉、以往各年审计的经验以及所具备的专业知识在审计业务的选择过程中起至 关重要的作用。同时，内部审计部门的各级审计人员也应根据审计岗位职责的要求和审计工 作的具体安排，共同参与审计项目的选择过程，为合理确

39、定审计业务工作重点和具体审计对象发挥作用。5.2.选择审计业务选择审计业务时通常会受到以下因素的影响：组织的战略性计划。组织的战略性计划可能会反映出其对待风险的态度和实现目标 的难度，因此，通常至少一年评估一次审计范围，以适应组织最新的战略和方针； 风险管理过程的结果。风险管理过程的结果反映机构内部控制和风险管理的适当性 和有效性，从而影响审计范围的确定；管理层的方针、目标、工作重心的变化。审计范围的调整应与管理层的方针、目标、 工作重心的变化相适应。内部审计工作的 范围及重点 主要在以下几方面：审查财务和经营信息资料的可靠性和完整性，以及鉴别、衡量、分类和报告这些信息资料所使用的方法；审查为

40、了保证遵循那些对经营和报告可能有重要影响的政策、计划、程序、法律和规定而建立起来的组织系统，并确定该组织是否遵循了这些要求；审查保护财产的方式，必要时要核实这类财产的实存情况；评价使用资源的经济性和有效性；审查经营或项目，以确认其结果是否与所制定的任务和目标一致，以及是否按预定 计划执行。为了保障内部审计工作的顺利完成和内部审计目标的实现，首席审计执行官在选择审计业务时不应受到外来或人为的限制。这些限制可能包括：违反内部审计章程中关于审计范围的规定；限制内部审计师在开展审计业务中接触相关的记录、人员和实物财产；限制经批准的审计工作项目计划的开展；限制必要审计程序的实施；限制经批准的内部审计人员

41、配置计划和财务预算。通过一项内部审计评估， 将内部审计活动同战略和经营目标结合起来， 可以在为风险管 理活动提供有价值的管理意见时， 帮助确保内部审计资源的有效利用。 由于风险分析和评估 不是那么简单易懂，依靠程序比直觉更好。可以对内部审计业务作出专业的决定。5.3. 与董事会沟通以获得其对审计业务计划的批准首席审计执行官应将内部审计部门的工作计划和资源要求报送高级管理层和董事会查阅和审批，包括重大的临时性变化；如果内部审计资源不足，首席审计执行官应向高级管理层和董事会报告资源不足可能带来的后果。内部审计部门向高级管理层和董事会报告的内容通常应包括工作安排、人员配备和财务计划、工作范围以及范围限制等方面，报告的信息应充分，以便董事会能够确定内部审计部门的目标和计划能否支持组织和董事会的目标和计 划。为了适应资源限制，外包与合包都是必须的。 最终的审计计划应当满足和支持内部审计 资源最有效的利用。风险评估程序应当每年进行， 但得到的审计业务计划不能够是不变的。管理方向、目标、重点、焦点以及其他相关因素（如新出现的趋势的变动）都应当在审计域以及相关审计业务 计划的变动中有所体现。 所以可能需要经常性的（季度）更新，任何重大变动都应当提交相关监管部门查阅和审批。第16页共16页