风险分析对于审计师的工作和服务质量而言是非常重要的工具,因为它暗示了对审计师的诊断,以确保他们可能的表现。
在本文中,我们将提供一些元素,这些元素可以使前面的说明以及风险研究与审计服务之间的必要链接更为明了。
介绍
今天发生的深刻变化,其复杂性和发生的速度,是组织面临的不确定性和风险的根源。合并,全球竞争和技术进步,放松管制和新规定,消费者和居民的需求增加,组织对社会和环境的责任以及透明性产生了运营环境,由于在法律或道德规范之外运作的组织中出现的问题,每天都有更多的风险和复杂性出现,并带来新的挑战。
广义的风险管理意味着战略,流程,人员,技术和知识应保持一致,以应对组织面临的所有不确定性。
另一方面,风险和机遇总是并存的,关键是要确定这些风险与潜在风险的关系。
风险性
在每个组织中,重要的是要有一个工具来保证对实体的过程和活动所遭受的风险进行正确的评估,并且可以通过控制程序来评估实体的绩效。
如果我们当时认为,审计是“由审计师按照既定的技术标准和程序实行的系统过程,包括客观地获取和评估技术,经济性质的法律行为或事件中所包含陈述的证据,行政和其他方面,以便确定这些声明,现行法律规定和既定标准之间的对应程度。”它是负责对其活动进行独立评估的人。因此,审计必须作为旨在增加组织的价值和改善其运作并为实现其宗旨和目标做出贡献的活动;提供系统,规范的方法来评估和提高风险管理,控制和指导流程的有效性。
审计服务包括由审计师进行的客观证据评估,以提供独立结论,使之符合政策,法规,标准(包括国际审计标准),法律规定或其他法律要求;关于它们所属的组织的系统,过程,子过程,活动,任务或其他事项。
与某些分阶段定义审计执行方式的作者不同,我们认为这是一项致力于提供服务的活动,该活动根据必须完成的不同任务和活动的开发效率和有效性不断增加价值。通过确定流程逻辑连续性的子流程应逐步考虑的一系列价值体系,以最终提供预期的服务质量。
考虑到业务环境中对此类工具的需求,并考虑到子流程内问题的主要原因之一是对风险的预测不足,因此有必要研究每个子流程中可能出现的风险审计,这将有助于防止他们的适当表现。
从这个意义上讲,有必要考虑以下因素:
- 评估审计各个子过程中固有的风险,评估威胁或风险原因,用于最小化威胁或风险的控制措施,评估风险分析的要素。
一般而言,内部控制系统发展过程中的风险和风险概念假设三种风险:
控制风险:存在这种风险是由于对公司活动缺乏控制而导致的,并且可能导致内部控制系统出现缺陷。
发现风险:审核员认为这是一种风险,他们在审查中没有发现内部控制系统中的缺陷。
固有风险:那些内部控制系统固有的风险。
但是,无论在生产或服务过程中,还是在财务和市场运营中,任何执行的系统或过程中都存在风险,因此,我们可以确认审计并未免除这一概念。
在每个子流程中,也都称为阶段,审计师必须执行任务或验证,其中假定风险未按适当方式执行,当然,这些风险无法以相同的方式定义因此,为内部控制定义的风险。
审计师关于测试的范围和强度的标准(合规性和实质性)与以下风险相关,即重大会计错误或偏差在公司会计中仍未发现,并且会计准则可能未发现。审核员进行抽样测试。当所应用的审核程序的有效性提高时,风险往往会降到最低。
审计财务报表的目的不是要发现欺诈行为,但是由于恶意行为,总有可能获得错误的数字,因为可能有计划隐瞒犯罪行为的行动。在各种各样的情况中,可以提及以下内容:
- 故意遗漏交易记录伪造记录和文件给审计师提供虚假信息
以下是一些可能表明存在错误或不正常情况的情况。
a)审计师对公司官员的诚信有疑问时;如果不信任只与竞争有关,而与公司高管的诚实无关,则审计师应牢记,由于管理中的错误或不合规定,可能会遇到风险。
b)当审计师发现关键位置(例如出纳员,会计师,行政人员或经理)的离职率很高时,行政程序(包括会计程序)可能会出现可能导致错误或违规行为的失误。
c)实体会计部门的混乱情况包括逾期报告,交易记录不足,文件不完整,账目不对等。这种情况很容易理解,可能会导致错误,可能是出于善意甚至是欺诈行为。管理层有义务建立和维持允许适当控制运营的行政程序。
在审核中,必须验证数据准备或处理功能,其中必须检查以下方面:
- 有一种方法来确保所接收的评估数据是完整,准确和授权的;对所有操作使用标准化的程序并对其进行检查以确保遵循这些程序;存在一种方法来确保迅速发现错误和不当行为计算机系统的操作;必须有标准化的程序来防止或警告由于操作员故障或机器和程序故障而引起的意外错误。
风险控制系统
我们可以将风险控制结构建立在两个支柱上:共同管理系统和内部审计服务,其定义,目标,特征和功能如下。
通用管理系统
定义
通用管理系统开发了用于评估和控制风险的内部标准及其方法,并代表了企业管理中的共同文化,共享了积累的知识并制定了行动的标准和准则。
目标
1.识别可能的风险,尽管这些风险与任何业务相关,但都应设法减轻风险并意识到这些风险。
2.优化日常管理,应用旨在提高财务效率,降低成本,信息和管理系统同质化和兼容性的程序。
3.鼓励在协作环境中工作的不同业务组的协同作用和价值创造。
4.加强公司形象,尊重所有管理层及其共同的价值观。
5.通过中长期寻求创新和新选择的战略发展实现增长。
系统涵盖三个层次的整个组织:
a)所有业务部门和活动领域;
b)各级责任;
c)所有类型的操作。
风险管理
审计服务
内部审核员必须与组织的其他领域一起参与与以下方面有关的持续改进过程:
- 根据组织的领域或关键点的定义,识别组织内部和外部以及特定于组织的相关风险;估计所识别的风险发生的频率,以及评估他们可能造成的损失;确定最适当的具体控制目标,并与该实体特派团确立的全球和部门目标充分说明。
内部审计师必须评估与组织的可用资源,运营和信息系统的管理,保管和保护相关的风险暴露的数量和质量,同时考虑到在合理水平上保证以下目标的必要性:
- 财务和运营信息的可靠性和完整性,运营的有效性和效率,对实体可用的各种资源的控制;并遵守法律,法规,政策和合同。
咨询服务
在咨询业务中,内部审计师必须考虑与业务目标相符的风险,并警惕其他重大风险的存在。
内部审计师必须将咨询工作中获得的风险知识纳入组织中重大风险暴露的识别,分析和评估过程中。
自动化信息系统环境中固有的风险
风险可能来自:
- 自动化信息系统的一般活动,程序的开发和维护,系统软件的技术支持,操作,物理安全方面的缺陷;并控制对程序的访问。
风险可能会增加点应用程序,数据库,主文件或特定处理活动中出现错误或不合规定的可能性。
风险的性质和集成到自动化信息系统中的内部控制的特征包括以下内容:
- 缺乏交易跟踪。
- 某些自动化信息系统经过精心设计,以至于对内部审计有用的完整交易记录仅在很短时间内或仅以计算机可读形式存在。大量的过程可能无法完全跟踪,因此,很难通过手动过程及时检测到应用程序逻辑中的错误。
- 缺乏职责分离。
通常由人员通过手动系统逐个执行的某些控制程序可以集中在自动化信息系统中。必须考虑到同一工作人员不能访问通过计算机获得的自动化程序,信息处理和数据,因为这些功能的同时执行是不兼容的。
内部审计
定义
内部审计职能围绕联合审计服务构建,联合审计服务由业务部门和公司服务的审计团队组成,它们以协调的方式运作,并向审计委员会报告。
一般目标
1.防止集团管理层,项目和活动的审计风险,例如欺诈,资产损失,运营效率低下,以及总体上可能影响业务良好绩效的风险。
2.根据通用公司管理系统,控制应用程序并促进制定适当而有效的管理标准和程序。
3.创造价值,促进协同作用的建设和最佳管理实践的监督。
4.与外部审计师协调工作的标准和方法,以寻求更高的效率和利润。
具体的目标
- 根据客观程序评估审计风险,定义标准审计和内部控制工作的类型,以便针对每种情况制定适当范围的相应工作计划。这种类型与审计风险评估相关联,确定了要使用的工作计划,并暗示了适当的建议和报告的类型,因此必须在上述文件中明确使用。管理层和业务部门的审核和内部控制工作,定义了通知该工作以及与受影响方进行沟通的程序,并为该工作建立了编码系统,以进行适当的控制和监视。定义传达每个审核工作结果,受影响的人员以及具体实现文件的格式的过程,以审查计划的应用,工作的适当绩效和监督,及时分发结果,建议的后续行动及其相应的实施情况。
风险和相对重要性。
- 对内在风险和控制风险的预期评估以及对重要审计领域的识别为审计目的建立重要性水平可能出现错报或欺诈的可能性识别复杂会计领域,包括那些它们涉及会计估计。
工作计划
审核员应制定并记录工作计划,该计划概述实施总体审核计划所需的计划审核程序的性质,时间和范围。该工作程序是对参与审核的助手的一组指令,并且是监视和记录工作正确执行的一种手段。
在准备工作计划时,审计师应考虑对固有风险和控制风险的具体评估,以及实质性程序将需要提供的保证水平。它还应考虑进行控制和实质性程序测试的时间,协调实体预期提供的任何协助,助手的可用性以及其他审计师或专家的参与时间。
审计师在计划和开发审计服务时应考虑业务的重要性和风险关系,以减少表达不适当结论的风险。相对重要性的判断要考虑到定量和定性因素,这与修改或影响审计报告所针对的用户决策的合理预期有关。它需要了解和评估哪些因素可以影响报告所针对的用户的决策。在下令进行的审计工作的特定情况下,这是专业判断的问题。
定义与审计相关的风险概念
有序工作的风险是审核员表达不适当结论的风险。然后,审核员以某种方式计划和执行工作,以将表达不适当结论的风险降低到可接受的水平。一般而言,这些风险可以由上文所述并与审核相关的组件来代表;
a)固有风险-与问题性质相关的风险;
b)控制风险-对主体进行控制的风险不存在或无法有效发挥作用;并且,
c)侦查的风险-风险审计师的程序没有检测到可能会影响这一问题的重要方面。
1.获取和评估证据。
审核员应在审核中获取足够和适当的证据,以便能够得出合理的结论作为报告基础。
审核中的证据:是指审核员为得出其报告所依据的结论而获得的信息。审核中的证据将包括原始文件和会计记录,其他来源的确凿信息,区域或部门的管理程序以及管理指标。审计的证据是通过对控制测试,实质性程序,预测分析和成功关键指标进行适当组合而获得的。
控制测试:指为在审计中获取有关会计和内部控制系统的设计和有效运行的证据而进行的测试;拟议的目的和目标的实现;有效性,经济性和效率的程度以及实体的管理。
实质性程序:是指为了在审计中发现证据以发现财务报表或其运营中的重大错误陈述而进行的测试,分为两种类型:a)交易和余额明细测试;b)分析程序。
审计中的充分和适当的证据:充分性和适当性是相互关联的,并且适用于从控制测试和实质性程序中获得的审计中的证据。充分性是对审计中证据量的度量;适当的是对审计中证据质量及其与特定断言及其可靠性的相关性的度量。通常,审计师认为有必要依靠具有说服力且不确定的审计证据,并且经常会在审计中寻找来自不同来源或性质不同的证据来支持相同的主张。
为了获得有关该主题的结论,审计师通常不检查所有可用信息,因为通过行使其判断或抽样可以得出有关账户余额,流程,操作,交易或控制的结论。统计。审核员对审核中充分和适当证据的判断受以下因素影响:
- 审计师对财务报表范围内以及帐户余额或交易或业务类别级别上固有风险的性质和水平的评估会计和内部控制系统的性质以及风险评估被检查项目或交易的相对重要性先前审核中获得的经验审核程序的结果,包括可能发现的欺诈或错误,可用信息的来源和可靠性。
获得证据的来源:审计中证据的可靠性受其来源(内部或外部)及其性质(视觉,记录或口头)的影响。尽管审核中证据的可靠性取决于具体情况,但以下概括将有助于评估审核中证据的可靠性:
- 从外部来源获得的审计证据,例如从第三方收到的确认书或陈述书,比内部产生的证据更可靠;当相关会计和内部控制系统有效时,内部产生的审计证据更可靠。由审计师直接获得的审计证据比从实体获得的证据更可靠,以文件和书面陈述的形式进行的审计证据比口头陈述更可靠。
当来自不同来源或性质不同的证据项目一致时,审计中的证据最具说服力。在这种情况下,与单独考虑时相比,审计师可以获得的累积信任度要高于审计中的证据。相反,当从一个来源获得的审计证据与从另一个来源获得的审计证据不一致时,审计师应确定解决不一致问题所需的其他程序。
2.文件
审核员应记录重要的事项以支持审核报告中表达的结论,并留下证明审核是根据专业机构指示的技术工作标准进行的。
文件是指由审核员准备,为审核员准备,获取或保留的与审核绩效有关的材料,工作文件。工作文件可以采用存储在纸,胶卷,电子介质或其他介质上的数据形式,具有以下目的:
- 他们帮助计划和执行工作,帮助监督和审查工作;•他们将所执行工作产生的证据记录在审核中,以支持报告。
审核员应准备足够完整和详细的工作文件,以提供对审核的全面理解。
审核员必须在工作文件中记录所执行审核程序的计划,性质,时间和范围;以及从获得的证据中得出的结果和结论。工作文件将包括审计师对所有需要行使判断力的重要事项的推理以及结论。在涉及原则性或判断性难题的领域,工作文件将记录得出结论时审计师已知的相关事实。
工作文件的扩展是专业判断的一个案例,因为记录审核员检查的所有事项既没有必要也不实际。在评估准备和保留的参与文件的范围时,审核员可能需要考虑如何为没有事先审核经验的另一位审核员提供机会了解所执行的工作和做出的原则性决定的基础,而不是审核的详细方面。
工作文件的形式和内容受以下问题的影响:
- 工作主题审计报告的形式业务的性质和复杂性实体会计和内部控制系统的性质和条件在特定情况下的需求,指导,监督和审查助手执行的工作在工作过程中使用的特定审核方法和技术。
工作文件的设计和组织是为了满足每次特定审核的审核员的情况和需求。使用标准化工作文件可以提高编写和审查这些工作文件的效率;他们提供了一种控制其质量的方法,同时又方便了工作委派,请查阅组织中建立的相应审计程序手册。
为了提高审核效率,审核员可以使用审核员构想的其他分析以及由被审核方获取和准备的其他文档。在这种情况下,审核员将需要确信这些材料已经正确准备。
风险管理
风险是现实世界中处于逆境中的状况,它是由周围环境的组合所造成的,在这种情况下可能会造成损失。
因此,所有生产商品或服务的公司都必须进行研究,以确保识别风险是保证服务或最终产品质量的基本要素。
规程管理风险
- 规避风险:当风险在组织中未被接受时,规避风险。这种技术可能比积极技术更负面。如果过度使用风险规避,则企业将被剥夺许多获利机会(例如:冒险投资),并且可能无法实现其目标。降低风险:可以降低风险,例如通过:安全计划,安全警卫,警报和在专家建议下的未来损失估算风险防范:也许这是面对风险的最常见方法,因为很多时候,积极的行动不是转移或减少其行动。每个组织都必须根据其偶然性余量来决定保留或转移哪些风险,风险分担:如果风险被分担,则损失的可能性就从个人转移到了集团。
风险管理的定义
风险管理是一种针对风险行为的科学方法,通过设计和实施可最大程度减少损失发生或可能造成损失的财务影响的程序来预测可能的意外损失。
风险控制:一种旨在使组织所面临的风险所导致的潜在成本最小化的技术,该技术涵盖了拒绝因特定活动的损失而承担的任何风险以及减少潜在损失的可能性。
如我们所见,参考书目收集了不同的风险标准,但没有一个进行研究,更不用说研究每个审计子流程中假定的风险主题了,这是保证其质量至关重要的方面。
在分析的案例研究中,我们观察到,如果不了解审计过程的具体任务和活动,最终结果与订购审计员的预期结果不符,原因是缺乏对执行任务的预见性。在每个子流程中进行操作,当然还应采取措施避免错误和故障的发生,这些错误和故障使每个子流程的系统性和阶段性合规性处于危险之中,从而模拟了批量生产的过程。
在进行的研究中,我们已经观察到任何审计子流程带来的风险无疑会降低其服务质量。
专门用于审计服务的部门,而不是内部审计服务的部门,通常是为了诊断和评估执行审计服务所涉及的不同子流程中可能存在的风险而工作的。
无法从表中诊断风险,因为这不能用示意图表示,更不用说替代公式了。在每个组织中,都应该进行研究,并制定其价值链的策略和要执行的服务类型。
为此,有必要知道价值链在该组织中的运作方式,因为维护一个子项目的依赖关系以及维持和加强子流程的物流流程是至关重要的,因为一个过程依赖于另一个过程。
然后,我们将在所有审核线程中都有价值链,它应表示如下。
下面我们详细介绍了在为期2年的监督中对不同专业人员进行某些审核而进行的研究的结果。
可以看出,从内部审计组织中每个审计子流程的价值链的物流流开始,必须进行诊断,在此我们指示在此服务中,每项审计中最重要的任务,这是该组织执行的基本流程,我们提到合规风险,不同任务以及在提供审计服务的任何组织中可能发生的风险。
线程数 | 杂务 | 控制风险 |
先前的探索 | 1.了解实体的特征。 | 1.构思不必要的考试计划。 |
2.了解控制环境。 | 2.由于对控制环境的无知而扩展了测试。 | |
3.了解操作流程。 | 3.由于先前的审核而无视缺陷历史或所谓的犯罪行为。 | |
4.研究先前审核的存档工作文件。 | 4.审计师无法确定企业的运营性质,组织,设施的位置,销售,生产,提供的服务,财务结构,购销业务以及许多其他可能对企业产生重大影响的事项。将要审核的内容 | |
5.没有对要进行的工作进行适当的计划,和/或没有按照计划的目标将其引导到最令人关注的问题上 | ||
规划 | 1.根据勘探给出的期望定义应作为验证对象的方面,并确定区域,功能和关键事项。 | 1.扩展测试而未达到执行有序审核的必要目标。 |
2.分析缺陷及其原因的重申。 | 2.未制定考试的一般策略。 | |
3.定义要使用的验证形式或方式。 | 3.无法创建或调整审核程序。 | |
4.定义审计的具体目标。 | ||
5.考虑拟议的目标,工作量及其复杂性,确定所需的审核员和其他专家。 | ||
6.根据设定的目标专门设计的灵活计划,用于响应对三个E(经济,效率和有效性)的验证。 | ||
7.确定将用于进行审核的时间以及估计成本。 | ||
执行 | 1.获得足够的,有能力的和相关的证据来支持这些判断和结论。 | 1.未按照公认的审核标准进行检查。 |
2.遵守详细计划中预期的行动。 | 2.无法确保负责人和主管人员了解不同财务报表的合理性。 | |
3.为参加的所有考试准备工作文件。 | 3.审计师不准备怀疑证据的有效性和完整性。 | |
4.按照公认的审核标准进行审核。 | 4.所采集的样本不足以支持所进行的检查结果和计划目标的实现。 | |
5.无法使用确保其有效性和合理性的可靠技术来评估证据。 | ||
6.无法确定重要性级别和可能的证据风险。 | ||
7.书面证据并未明确表示所进行检查范围的目的。 | ||
8.结果没有明确定义,并且缺乏合理的证据支持检查结果,结论和建议以证明所开展工作的性质和范围。 | ||
9.不要将自己局限于相关和重要的事情。 | ||
10.检查及其结果不够清晰,易懂和详尽,以至于第三方无法通过其检查证实结论和建议。 | ||
报告书 | 1.遵守准备报告的技术。 | 1.与报告说明相对应的工作文件没有表达合理性以支持检查结果的重大发现。 |
2.制定对审计评价的定义。 | 2.与报告说明相对应的工作文件没有充分,清晰,可理解和详尽地表达结果。 | |
3.及时传达报告。 | 3.不遵守审计目标,范围和方法。 | |
4.对报告进行有关审核结果的讨论。 | 4.根据既定法规,未正确评估给出的结果。 | |
5.没有定义影响组织正常运行的违规责任。 | ||
6.无法促进后续行动,以确定是否采取了适当的纠正措施。 | ||
7.报告的内容未由负责和有兴趣的人员及时使用。 | ||
8.不参加管理人员和授权官员讨论报告结果。 | ||
文件准备 | 1.组织所有源自于审核执行的工作文件的文档,与所有阶段相对应。 | 1.审核员没有支持每个阶段发展的所有证据。 |
勘探 | 2.未能准备审计工作文件。 | |
规划 | 3.完成临时任务 | |
执行 | 4.工作文件备案安排不足。 | |
报告 | 5.第三方无法检查报告和与考试的对应关系。 | |
2.识别每篇论文,品牌等的索引 | ||
监理 | 1.在审核的任何阶段进行监督访问。 | 1.审核员的障碍限制了对被监督阶段的清晰,准确的理解。 |
2.编写监督报告。 | 2.以前的监督中留下的建议未得到满足。 | |
3.监督未在审核员和/或执行工作的审核员要求的必要时间进行。 | ||
4.主管很少准备评估活动的发展和/或审核。 | ||
审计专业人员的评估 | 1.评估直接参与审核的人员的工作。 | 1.错误的评估。 |
2.正确分析各项指标。 | 2.不公平地评估(不鼓励良好的个人成绩)。 | |
3.遵守并执行已建立的评估规模。 | 3.不遵守评估(不允许被评估者意识到所指出的限制)。 |
然后,有必要设计或实施一个内部程序,以最大程度地减少可能发生的财务影响,这可能是食品,住宿,薪金,交通,办公用品,通讯等方面的超额支出。这将使我们有可能提前了解估值并制定有助于减少损失的计划,在审计技术中,这将是不必要测试的延伸,并且将花费更多时间,这意味着需要区别对待,并且当然是经济损失。如果采取必要的措施来减少事故的发生,那么我们将在谈论减少审计中的损失。在本章中,我们先前曾讨论过评估会计控制风险的需求,这将有助于审计师进行充分的计划。当了解内部或外部组织的审计各个子流程执行中可能出现的风险时,进行评估,以了解影响及其所需的处理方法以及发生的可能性。风险计量与评估风险计量与评估
在知道可能的风险之后,有必要考虑以下因素:
a)发生风险的可能性
b)对发生风险的影响。
为了它:
- 发生概率必须在以下条件中确定:
a)不常见(FP)
b)中(M)
c)频繁(F)
罕见:仅在特殊情况下才发生风险。
中度:可能在某个时候发生。
常见:预期会在大多数情况下发生。
- 发生之前的影响将被视为:
a)轻度(L)
b)中度(M)
c)大(G)
轻度:可忍受的伤害。财务损失低。
中度:需要区别对待:中等财务损失。
大:需要区别对待。高财务损失。
风险评估为:
可接受:(低风险)。当可以维持当前控制时,请遵循常规步骤。
中度:(中等风险)。在控制措施中,它们被认为是可接受的风险。必须采取减少损害的措施,并规定实施和监督的责任。
不可接受:(高风险)。必须立即采取降低影响和可能性的措施来减轻风险的严重性。将指定负责人和系统审查的日期。
如果我们要评估子流程中的风险影响,则只需分析做出的诊断。
作为示例,我们将分析在案例研究中诊断出的先前勘探子过程,以得出该子过程。
让我们来看看:
线程数 | 杂务 | 控制风险 |
先前的探索 | ü了解实体的特征ü了解控制环境ü了解操作流程ü研究以前审核中提交的工作文件 | 1.审计师无法确定业务的运营性质,其组织,设施的位置,销售,生产,提供的服务,其财务结构,买卖业务以及许多其他可能对企业产生重大影响的事项要审核的内容2。没有对要进行的工作进行适当的计划,和/或没有按照计划的目标将其引导到最感兴趣的问题上3。构思不必要的考试计划4。由于对控制环境的无知而延长了测试时间5。由于先前的审核而对缺陷历史或所谓的犯罪行为一无所知。 |
在评估它们时,我们将有:
风险 | 风险评估 | |||||||||
不。 | 风险 | 和 | 一世 | 影响力(6) | 机率(7) | 风险等级 | ||||
大号 | 中号 | G | F | 中号 | f | |||||
之一 | 审计师无法确定业务的运营性质,组织,设施的位置,销售,生产,提供的服务,财务结构,购销业务以及许多其他可能对公司产生重大影响的事项将要进行审核 | X | X | X | 接受控制措施 | |||||
二 | 没有对要进行的工作进行适当的计划,并且/或者没有按照计划的目标将其引导到最感兴趣的问题上。 | X | X | X | 接受控制措施 | |||||
3 | 构思不必要的考试计划。 | X | X | X | 接受控制措施 | |||||
4 | 由于对控制环境的无知而扩展了测试。 | X | X | X | 不能接受 | |||||
5 | 由于先前的审核而对缺陷历史或所谓的犯罪行为一无所知。 | X | X | X | 控制措施可接受 |
图形表示法是一种众所周知且广泛使用的技术,它是一种工作工具,下面的示例让我们观察一下:
插图。风险等级(矩阵)
F | 不能接受 | 不能接受 | 不能接受 | |
可能性 | 中号 | 中等 | 中等 | 不能接受 |
f | 可以接受 | 中等 | 不能接受 | |
大号 | 中号 | G | ||
影响力 |
可以看出,上图根据风险的影响和发生的概率说明了这些风险所在的象限,并且其颜色标识了它们的评估,但这并不意味着度量计划未将所有风险都考虑在内。风险,因为必须保持对所有已识别风险的监控和每项风险的行动计划。
该行动计划将与风险的类型,与提供服务的组织,与审计的类型,与执行的子过程,以及与执行该过程的审计师或助理相对应。至关重要的是活动的领域,对未来行动的管理进行连续执行的监视以及在不同时间进行的审计的系统监督,以与影响最大的子流程中过去或重复发生的风险相对应。已经观察到。
由于今天在调查中观察到的风险的产生会产生影响,因此必须从根本上拟定一项行动计划并提出该行动计划。
- 为每个审计子流程设计组织执行系统培训审计专业人员进行理论实践培训,以确保他们行使职能时的质量评估监督结果保持监督在审计工作的系统开发中可能的风险承担的风险监控每个专业人员等对价值链的遵守情况。
总之,在该价值链中建立控制系统至关重要,在该系统中,审核中的所有子流程对于实现具有预期质量要求的有效和高效服务都是必不可少的。因此,有效的风险管理将是对其行为的科学方法,通过设计和实施可最大程度地减少损失发生或可能发生的损失的财务影响的程序来预测可能的意外损失。
负责人:
- 审核部主管组长审核员
标准:
- 它由一个指南组成,每个子流程都需要进行某些方面的评估,该指南必须以评估作为结束,评估必须根据发生的可能性和对其产生的影响进行分类,还必须进行汇总,以图形表示,为了制定相应的行动计划以减少发生的可能性。
控制项:
必须经常评估每个线程和每个工作区域的行为。