Risk Assessment and Audit Planning_风险评估与审计计.pdf

《Risk Assessment and Audit Planning_风险评估与审计计.pdf》由会员分享，可在线阅读，更多相关《Risk Assessment and Audit Planning_风险评估与审计计.pdf（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、风险评估和审计规划风险评估和审计规划领先内审职能的基础构建当今商业环境中的内在风险缺口当今商业环境中的内在风险缺口安永近期的一份对来自部分世界最大企业的144位首席执行官、首席财务官和财务人员进行的调查显示，67%的受访者认为在过去的两到三年中总体风险水平在上升。1公司认为风险水平在上升公司认为风险水平在上升大幅上升轻度上升无变化轻度下降大幅下降不知道1 安永，风险中的公司，2006年3月号，第6页风险评估与审计规划风险评估与审计规划商业环境的变化及其对内审职能的影响商业环境的变化及其对内审职能的影响目前的商业环境要求企业有效地适应持续变化的市场动态和监管部门的要求。随着业务的发展，与其相关的

2、商业风险也在发展。市场及其主要利益相关者需要更积极地响应这些变化，要求在整个企业范围内对风险进行更好的管理和监控。与其服务的业务单位一样，审计委员会和内审部门也需做出改变，以适应新的业务和监管部门的期望。审计委员会主要通过加强对企业面临的最重要的商业风险的了解，评估管理层是否能预先识别并应对这些风险，以满足市场需求和实现利益相关者期望。因此，审计委员会期望拓宽为企业提供风险管理的覆盖范围，要求企业的内审部门尽量达到这些期望。内审部门的角色变得前所未有的重要。内审部门必须适应更大的责任范围，并帮助识别那些尚不明确或不可接受的潜在风险。本文讨论的是在整个企业范围内识别重大商业风险的重要性，同时讨论

3、领先的内审部门是如何基于战略风险评估的结果制定审计计划，战略风险评估是由企业董事会及高级管理层进行的，用来识别那些可能影响企业商业目标的风险，这些风险在比较传统的风险评估中可能不会被发现。基于此类风险评估结果的审计计划使内审部门执行的计划能重点突出地关注整个企业中那些最重要的商业风险战略方面、运营方面、财务方面以及合规方面。风险缺口的产生风险缺口的产生产品开发产品开发合作伙伴关系合作伙伴关系员工关系员工关系资本计划资本计划技术创新技术创新国际市场拓展国际市场拓展业务和风险组合业务和风险组合经济条件经济条件兼并和业务剥离兼并和业务剥离风险缺口风险缺口经营效率经营效率管理层变更管理层变更风险范围风

4、险范围时间时间除了面临不断上升的风险外，42%的受访全球公司的高层领导认为他们的企业尚未对其面临的重要商业风险实现全面管理，同时，对于内审的需求已经提高以应对监管要求，比如对财务报告的内部控制（萨班斯法案和其他监管要求）。很多内审部门缺乏资源以关注主要的经营和商业风险，包括诸如新设备、共享服务中心、新系统的操作和升级以及并购等重大资本项目。对于内审部门来说，提供识别并评估企业面临的多种商业风险所需的广泛技能也变得更加困难。必须不断调整当前的资源水平和技能组合，使其适应不断提高的需求和审计委员会及管理层的期望。如果不能有效应对这种资源挑战，将导致在企业不断调整中的风险组合和实际风险之间出现“风险

5、缺口”。这样的风险缺口使企业面临出现战略和经营失误、法律诉讼和不必要的财务风险的可能。内审部门能识别内审部门能识别所有可能给经营带来重所有可能给经营带来重大影响的重要风险吗大影响的重要风险吗?商商业业环环境境的的变变化化风险评估与审计规划风险评估与审计规划打算在风险管理方面增加投资的公司打算在风险管理方面增加投资的公司增加40%以上增加20%-39%增加10%-19%增加10%以内无变化减少投资不知道基于战略的公司层面的风险评估基于战略的公司层面的风险评估管理层通过正式或非正式方式持续评估企业面临的风险。内审部门不仅应充分利用管理层的流程，还应该帮助管理层执行这些流程。由内审部门进行的正式的基

6、于战略的公司层面的风险评估有助于大幅度提高企业了解其主要商业风险的能力，如果执行正确，能够成为管理层风险评估流程的组成部分。有效的基于战略的公司层面的风险评估可以提供结构化的流程，这些流程可以成为对风险进行排序的基础，着重关注那些值得管理层审阅和监控的领域，并且当管理层变得更善于了解其面对的风险、管理这些风险的方法和如何提高风险管理效果时，知识和信心也就逐步的被建立起来了。2安永，风险中的公司，2006年3月号，第17页弥补弥补风险缺口风险缺口很多企业认为其内审部门缺乏必要的资金帮助管理层对其重要商业风险进行有效评估和监控。安永安永对全球企业的调查也显示66%的受访企业打算提高他们在风险管理方

7、面的投资，追加的投资主要用于应对经营和战略方面的风险。2即使是那些已经在风险管理方面进行过巨大投入的年收入在10亿美元以上的公司44%的受访公司，也打算继续提高这方面的投资。内部审计师学会（IIA）完全支持内审部门在管理整个企业范围内风险中承担更重要的角色。IIA标准2010指出，内审部门应进行一年一度或更频繁的风险评估，使之成为规划审计工作的基础。作为企业专职风险管理项目的一部分，领先的内审部门在帮助管理层评估和监控整个企业面临的商业风险方面能够并实际上承担着重要角色。内审部门内审部门是否是否有有有效有效覆盖覆盖所有重所有重要要商业商业风险的风险的预算预算?风险评估与审计规划风险评估与审计规

8、划内审部门的角色内审部门的角色内审部门的角色包括帮助管理层识别、按重要性排序、审阅和监控风险。第一步是有效的风险评估流程。在评价管理层现有的风险评估流程时内审部门应该提出的问题包括：管理层目前是否进行风险评估？风险评估流程是否符合企业战略？风险评估能否应对并评估整个企业面临的所有重要商业风险？有关人员是否参加了风险评估流程？管理层如何对待风险评估的结果?内审部门扮演着对管理层和审计委员会的顾问角色，以帮助企业保持强有力内部控制结构。有些人可能会问，内审部门是否应该评价管理层进行风险评估的方式。如有机会提高企业评估风险的能力，内审部门当然有责任就此进行报告，并帮助改进流程。董事会的角色董事会的角

9、色管理层责任和持续支持是积极参与风险评估流程的关键。领先的内审部门与董事会和管理层举行首次会议，通过对流程及其对企业的价值进行说明以推动他们承担责任，他们还要在整个流程中努力保持这种支持和责任水平。内审部门是否有内审部门是否有有效覆盖所有重要商业有效覆盖所有重要商业风险的预算?风险的预算?风险评估与审计规划风险评估与审计规划风险评估流程概述风险评估流程概述尚未进行基于战略的公司层面的风险评估的企业应鼓励内审部门启动该流程，包括以下内容：?了解企业的业务，包括战略和目标建立对主要商业风险和流程的初步认识，并使之符合企业的战略和目标创建客户化的风险范围对主要商业风险进行分类的架构反映企业面临的主要

10、风险确定目前的内部审计以外的风险监控活动了解公司层面控制的有效性，比如:-政策和程序-行为规范-职责分离人工和IT-为所有主要数据中心和业务部门的设备制定业务持续性和灾备计划-期末财务报告流程-舞弊与欺诈的防范/发现计划风险评估与审计规划风险评估与审计规划第第3步步战略性战略性第第4步步董事会风险组合风险组合弥补重大缺口研讨会的行动计划第第2步步第第5步步对董事战略性战略性审计计划进行单独访谈风险和控制风险和控制的制定第第1步步第第6步步业务单位业务单位的业务单位的内部审计层面的调查主要风险和控制主要风险和控制业务单位业务单位1 业务单位业务单位2 业务单位业务单位3 业务单位业务单位4 业务

11、单位业务单位5通过从主要参与者-审计委员会、董事会和业务单位管理者获得的支持进行风险评估和主要参与者一起评估、按重要性排序、验证主要商业风险报告风险评估的结果，并利用这些结果制定审计计划在进行基于战略的公司层面的风险评估时，有三个基本的方法可用来收集信息：调查、访谈和研讨会。包括企业文化和完成风险评估所需时间在内的多种因素都会影响方法的选择。领先的内审部门会把三个方法组合起来加以运用。比如，运用调查收集来自整个企业核心业务和支持系统的管理层的风险信息，然后通过访谈来实现与业务单位管理者对风险调查结果的共享，并获得他们掌握的关于其自身业务和整个公司面临的主要风险的信息。通过研讨会把综合性的风险组

12、合提交给企业和业务单位的管理者，并在研讨会上对最主要风险进行排序，以便监控和控制。领先性的内审部门都明白，一种执行风险评估流程的整个企业范围的方法可以提供对企业面临的战略性风险的全面了解。下图描绘了基于战略的公司层面的风险评估流程：这种方法有三重价值：这种方法有三重价值：管理层共同参与，制定行动计划，应对重大风险缺口在整个企业层面和业务单位层面企业都拥有一套按重要性排序的战略性风险内审计划符合企业的经营目标，并且针对其最具战略性的风险好处-识别主要的商业风险好处-识别主要的商业风险使用这些概念有助于识别那些在较传统的风险评估方式中容易被忽视的风险，这些风险包括：资本项目风险舞弊与欺诈风险受管制

13、行业中的合规风险系统执行风险合并业务带来的合并风险，包括并购带来的那些风险与合规有关的人力资源风险与在寻求税负最小化的同时实现税法合规有关的税务风险建立对主要商业风险的初步了解建立对主要商业风险的初步了解主要商业风险来自能够负面影响企业实现经营目标能力的重大事件情况、行动、不行动。下图描绘了企业的经营目标、为完成这些目标而设计的战略、可能影响这些战略执行的主要的商业风险、以及支持这些战略执行的经营流程之间的关系。在了解企业及其经营环境的基础上，内审部门可以帮助管理层识别需要评估和进一步监控的主要商业风险。达到对企业这种程度的了解是进行风险评估的必要前提。内审部门必须提出的问题是，“我们如何确保

14、已经识别所有主要商业风险并已对其进行了风险评估”。这一水平的信心来自对所有类别的风险(内部、外部、公司层面、舞弊)进行的检查。目标目标促进高速增长促进高速增长促进高速增长促进高速增长争取优越成绩争取优越成绩争取优越成绩争取优越成绩争取优越成绩争取优越成绩建立一流团队建立一流团队建立一流团队建立一流团队建立一流团队建立一流团队提供最优质客户服务提供最优质客户服务改善产品供应改善产品供应发展新市场发展新市场达到最大资本回报达到最大资本回报达到最大科技投资效益达到最大科技投资效益奖赏成果奖赏成果达到最高操作效率达到最高操作效率保留人才保留人才风险风险关关键流程键流程建建立立风风险险与与流流程程的的联

15、联系系确确认认关关键键性性的的控控制制?固有风险?固有风险?固有风险?固有风险?固有风险?固有风险?固有风险?固有风险?固有风险?固有风险?固有风险?固有风险?固有风险?固有风险?固有风险?固有风险策略策略风险评估与审计规划风险评估与审计规划风险评估与审计规划风险评估与审计规划内部风险内部风险内部风险来自由企业目标和战略、公司的举措和经营流程驱动的企业的核心经营活动和支持体系。对于识别所有与战略、经营、财务以及合规方面的活动有关的主要内部商业风险，审视企业结构是很重要的，审视 涵盖的范围包括核心经营、相关目标和固有风险、经营活动所在的地理位置、以及主要的经营流程和部门，还涵盖评估单独和综合的风

16、险领域，比如，资本项目、收购和业务剥离、信息科技、税务、精算、资金管理和人力资源。风险识别活动还应该涵盖所有重大的合资、战略合作伙伴关系、外包服务提供商及其它类似活动。外部风险外部风险外部风险包括政治、经济和市场的状况、司法和监管问题、竞争、技术进步和社会变革。外部风险可能难于识别。因此，企业有时要依靠根据历史（即市场趋势）或当前事件（即司法和监管方面）所做出的推论和预测。为了对外部风险进行评估，内部审计师需要具备识别和评估这些风险的知识和/或技能。有些内审部门在企业内部找出具有这方面知识的人员来帮助对外部风险进行识别。这些人员在诸如行政管理、司法、政府事务、人力资源、监控机构和环境卫生和安全

17、等领域工作。由于外部风险的复杂性以及它对企业的重大影响，内审部门经常借助于具有全球和多行业知识的第三方专家来识别、评估和有效地具体估价这些风险。公司层面的风险公司层面的风险领先的内审部门评估那些影响广泛或者可能具有“整个企业范围”影响力的风险。这些公司层面的评估可能涵盖：可能影响企业战略执行的战略风险并购和业务剥离带来的人力资源风险影响企业工作环境的文化和道德方面的风险影响企业及时、有效分享准确和相关信息能力的信息和通讯风险为了识别公司层面的主要商业风险，领先的内审部门监控可能带来新的风险或者改变现有风险的重大商业变化。此类变化来自收购、业务剥离、系统执行、业务单位合并、重大的资本和/或经营举

18、措，以及新的和变革中的第三方合同关系等方面，其中很多变化是通过管理层按照监管部门要求提交的报告（比如萨奥法302款报告）、当前进行的审计活动及现有的内审工作和/或管理体系得以识别的。舞弊风险舞弊风险很多经营活动都容易受到舞弊风险的影响。当前领先的内审活动能为管理层识别并“标注”舞弊风险。此类风险对于企业来说危险程度更大，要求企业管理层对其持续关注，并在制定审计计划时给予考虑。舞弊风险可能出现在企业的各个层面，可以通过执行企业层面和经营流程评估对其加以识别。行业风险模型与其他外部数据行业风险模型与其他外部数据除已讨论过的各种识别风险的方法以外，一些领先的内审部门也利用行业风险模型与其他外部数据来

19、识别可能对公司运作造成不利影响的关键业务风险。极为关键的一点就是，不能把目光只局限于眼前，只有把目光放得长远，才能掌握影响竞争优势的外部风险。行业风险模型有多种来源,其中包括专业服务提供商。一家公司的多种动态风险均可通过行业风险模型进行识别。对选择进行评估时，应认真了解以下内容：风险数据是否真正针对行业 数据是否强调了战略风险与外部风险 数据是如何收集的 数据更新的频率如何数据更新的频率与那些在动态业务环境里运作的公司息息相关。在一年中主动更新风险评估的内审部门通常依靠当前行业数据。利用风险体系利用风险体系越来越多的内审部门都在采用和定制那些反映公司所面临的大量风险的风险体系或风险模型。风险体

20、系是针对风险评估过程中收集到的关键业务风险的分类框架。同时它还提供管理功能，即通过另一个过滤器来确定是否某些关键业务风险领域被遗漏或低估，从而避免其为公司业务造成薄弱环节。风险体系存在于一个公司的关键业务风险之中，它是进行基于战略的、公司层面的风险评估的基础。以下为一例：内审部门是否能够利用内审部门是否能够利用正确的知识与技术工具来对公正确的知识与技术工具来对公司的主要业务风险进行有效的司的主要业务风险进行有效的识别、评估与重要性排序？识别、评估与重要性排序？规章制度规章制度风险宇宙风险宇宙战略战略合规合规运营运营财务报告财务报告法律法律有形资产有形资产合同管理合同管理安全安全人力资源人力资源

21、信息技术信息技术供应链供应链市场与销售市场与销售税务税务资本结构资本结构资本市场资本市场流动性与信贷流动性与信贷会计与报表会计与报表市场变动市场变动经营活动经营活动购并购并/剥离剥离规划与规划与资源分配资源分配公司治理公司治理信息交流与信息交流与投资者关系投资者关系风险评估与审计规划风险评估与审计规划风险评估与审计规划风险评估与审计规划利用从当前风险监控活动中获得的知识利用从当前风险监控活动中获得的知识两个时常被忽略的风险知识来源是“其他风险管理部门”与“管理层现有风险评估”。一些内审部门将这一知识纳入到公司的战略风险特征之中以准备风险评估。这使相关人员能够更好地理解公司的当前风险缺口以及一个

22、更为有效的审计方案以针对那些管理层可能无法接受的风险缺口。标准化方法，可比性结果标准化方法，可比性结果当进行的风险评估涉及公司多重的、独特的领域时，一个标准的方法可以为所有领域提供效率高、效果好的实用价值。它以公司的标准风险模型或风险体系作为开始，为风险识别过程制定了结构。为了便于通用方法的使用，内审部门使用认可的风险标准来进行风险评估。这些标准有助于将风险按照低、中、高进行分类。最普遍使用的标准为：影响力影响力已经被意识到的风险会给公司造成何种程度的不利影响可能性可能性在预先设定的一段时期内风险发生的可能性各个公司为这些标准记分的情况有所不同。大多数内审部门基本上仅通过从低到高的定性风险评级

23、来进行风险因子记分。然而，这些风险因子不仅可能是定性的，也有可能是定量的，或二者兼而有之。关键在于对公司所有领域一致地采用同样的标准和记分方法。严严重重影影响响高高中中低低发生的可能发生的可能性性低低中中高高以年度为基础以年度为基础衡量财务影响衡量财务影响序号序号主要潜在风险主要潜在风险在一个成熟的市场赢得新业务在一个成熟的市场赢得新业务现金流量持续运行现金流量持续运行业务连续性计划业务连续性计划实现全球的成本削减目标实现全球的成本削减目标客户基础和成长客户基础和成长计划和预测计划和预测客户定价压力客户定价压力领导和组织结构变化领导和组织结构变化钢铁、石油、公用事业定价压力钢铁、石油、公用事业

24、定价压力换汇换汇税法税法集权式的管理方式集权式的管理方式合同管理（销售、定价、租赁）合同管理（销售、定价、租赁）供应链优化与可持续性供应链优化与可持续性关键员工流动率关键员工流动率劳动关系与合同谈判劳动关系与合同谈判新启用的会计程序新启用的会计程序由于并购，管理层关注重心偏移由于并购，管理层关注重心偏移资金管理下放资金管理下放舞弊的调查和防范舞弊的调查和防范GAAP培训人员培训人员破产重组和危机计划破产重组和危机计划关键利益相关者的参与关键利益相关者的参与基于战略的、公司层面的风险评估涉及的利益相关者是指那些对所评估的关键业务流程负有直接责任或拥有直接相关知识的人。这不仅包括业务流程的直接负责

25、人，还包括来自其他风险管理部门的专门研究关键业务风险的主题专家。在一些大公司内部，这可能会造就规模庞大的管理团队，但鉴于其运作的重要性，先进的内审部门往往功能设置是非常全面的。业务层面的调查有助于节省完成风险评估所需的时间。确认得到正确利益相关方的参与这一点十分重要。在与CEO或其他执行发起人合作时，内部审计方面应提出下面两个关键问题：对这些业务流程与相关风险直接负责或拥有直接相关知识的利 益相关方是谁？为了得出关键业务风险的准确、完整的评估，需要多少利益相关方的参与？不断变化的风险环境不断变化的风险环境每年进行一次基于战略的、风险层面的风险评估就足够了吗？考虑到当今公司都是在动态的业务环境下

26、运行，出现新风险或不断面临现有风险的潜在可能性是永远存在的。很多先进的内审部门对年度风险评估一年中至少更新一次，一些内审部门甚至通过与业务管理层召开定期会议而每季度更新一次。在进行审计时，先进的内审部门会在开始一切审计工作之前对业务领域的风险特征再次进行评估，并利用重新评估的结果来最终确定审计方案。内部审计团队把年度风险评估期间生成的业务风险特征作为这一运作过程的始点。风险特征则可通过与管理层或其他关键业务利益相关方进行讨论而进行更新。风险评估与审计规划风险评估与审计规划不不可能可能可能的可能的,偶尔偶尔的的极极高高可能可能性性,不断不断持续持续可能可能性性新的/增强的系统应用出现轻度延迟系统

27、缺失导致（最多一小时的）业务中断不能及时获得整体管理层信息没有涉及某些功能性的系统增强或应用系统缺失或中断导致重大的（最多一天的）业务中断管理层报告所用信息不准确没有涉及主要功能性的系统增强或应用系统缺失导致严重的或持续的（多于一天的）业务中断关键决策中引用的管理层信息不准确运营方面在某些次要或隔离状况下出现法规合规方面的失误在某些情况下出现法规合规方面的失误不良公众影响/声誉在国家民众中造成损害的情况合规方面不良公众影响/声誉在当地民众中造成损害的情况不良公众影响/声誉在地区民众中造成损害的情况在法规合规方面的严重失误战略方面对年收入或实际成本造成的不利影响小于1百万美元外部审计管理建议书含

28、有重大问题对年收入或实际成本造成的不利影响介于1至3百万美元外部审计管理建议书含有重大问题实际收入或者实际成本的负面影响$3M 对财务报告进行外部审计的资格财务方面影响力低低中中高高风险风险类类别别合规风险合规风险风险评估与审计规划风险评估与审计规划在更新基于战略、企业层面的年度风险评估时，多数公司进行的风险评估范围较不广泛与年度风险评估相比，涉及的主要利益相关方更少。运用访谈还是研讨会的方式进行评估则取决于参与评估的利益相关方的数量。评估活动包括：验证年度风险评估的结果确定重大业务变化，例如新的资本计划或收购事项识别新增的业务活动，例如引入新产品或新增分销渠道确定管理层关注的领域了解监管环境

29、的变化更新风险评估可以帮助管理层和内审部门确保主要业务风险能够得到及时监控。风险审计计划风险审计计划审计计划旨在为拟实施的审计拟定工作细节、安排审计开始和完成时间以及具有必要技能审计团队的委派。基于战略、企业层面的风险评估为以风险为导向且具有足够的灵活性以满足企业快速变化业务环境要求的审计计划的制定提供了基础。整年的静态计划不再被视作管理企业动态需求的有效方法。领先的内审部门认为审计计划应适应不断变化的风险组合需求和/或控制与业务活动相一致的审计，并为管理层成功实施企业战略而做出的努力提供支持。不能适应变化的审计计划可能引发重大业务风险且无法使其得以解决。制订风险审计计划的主要步骤：绘制可审计

30、实体的主要业务风险表在不考虑可用技能的情况下，针对可审计实体的最高风险制订审计计划配备拥有所需技能的人力资源参与审计与管理层和审计委员会确认审计计划根据企业不断变化的业务环境，重新审视审计计划和更新风险评估绘制主要业务风险表绘制主要业务风险表根据公司和业务部门层面的主要业务风险清单，内部审计能够绘制出企业可审计实体的风险表。在执行绘制程序时，领先审计企业应用技术来提升流程实施的效率，并就向管理层和审计委员会报告审计计划提供帮助。具体而言，绘制流程涉及列示可审计实体清单，包括业务领域主要流程、资本计划、合资公司、战略性合作企业、外包服务供应商及重点支持项目，如IT和人力资源，并将这些实体与主要业

31、务风险相联系。一些内审部门采用补充标准以配合审计计划的制订。其中包括过往审计评级、上次审计的时间间隔和明显的过往缺陷。参照所有标准，内部审计能够确定拟审计的各项业务活动和流程的优先次序，并着手考虑审计的时间安排和人员配备。企业层面的风险因其普遍性质可能会同时在几个可审计业务实体中出现。因此，内审部门或许认为应对这些风险（实体普遍存在的风险）或与之相关的主要业务流程具有更大的价值。风险审计涉及整个企业而并非仅针对某项业务领域。通过整个企业范围内的审计，管理层可以及时解决普遍性缺陷。作为独立可审计实体的组成部分，风险审计使管理层能够解决局部缺陷，但此方法将不能确定该缺陷是否会对其他业务领域产生影响

32、。管理层必须利用额外的时间对审计结果进行汇总，确定风险是否在可接受的程度内得到管理。配备审计人员配备审计人员多数审计委员会要求针对企业的主要业务风险来确定内审部门人员编制的充分性。严密的审计计划、以及基于战略、企业层面的风险评估使审计委员会能够对审计内容所需的专业人员的适当水平做出更加明智的决定。领先内审部门拥有专业技能资源库，根据计划实施所需的技能进行人员配备。然而，当今许多内审部门发现拥有实施审计计划所需的广泛技能较为困难。因而，要覆盖识别出的所有主要业务风险则需要独特的技术知识、专业知识或增加内部审计人员编制才能实现，这样的审计计划是难以实施的。近期安永对涉及诸多行业的115家公司的首席

33、执行官进行了调查，结果显示发现并留住优秀的人力资源一直是企业面临的巨大挑战之一。3资源短缺包括IT、财政、舞弊、税务及复杂行业流程等方面的专业技能人员的短缺。为克服这个问题，领先内审部门与能够提供所需技能的外部专业服务供应商积极保持联系。经常使用外部资源的内审部门通常与主要的专业服务供应商建立战略关系，这样有助于与了解企业的独特需求和要求的专业人士保持沟通。检验检验审计计划审计计划在整个风险流程中，领先内审部门从管理层和审计委员会了解情况，并且在检验审计计划时该流程总是这样执行的。通过参与，管理层和审计委员会对企业面临的主要业务风险有了越来越多的了解，从而能够更好地对内部审计提交的审计计划进行

34、确认和批准。计划的批准为内部审计提供了补充确认，以便审计计划把重点放在企业的重要领域。管理层和审计委员会的补偿措施使内部审计能够通过执行审计计划对预期进行更好的管理。3安永，内部审计调查首席审计人员对其组织内审职能的讨论汇总，2006年6月内部审计内部审计是否是否拥拥有有足足够够的的资资源源和所和所需需的的专专业技能来业技能来帮助帮助管理层管理层解解决企决企业的业的高高风险风险领领域域并并执执行行审计计划审计计划？风险评估与审计规划风险评估与审计规划风险评估与审计规划风险评估与审计规划重新审视审计计划重新审视审计计划与企业的商业环境相同，审计计划也应是动态的，能够反映出企业风险状况的最新变化。

35、因此，应根据不断变化中的企业业务，如：新的资本计划、系统实施，以及并购交易等，来定期对审计计划进行重新评估。如果有必要对审计计划进行变动，则与企业管理层和审计委员会进行确认也是同样必不可少的。为对进行重大变动的情况进行调控，并避免对1年期计划进行返工，有些企业的内部审计部门发明了一种期间较短（如：3个月）的审计规划，以便提前将计划年度中可能进行变动的程度予以降低。这样一来，年度中其余期间（如：9个月）的情况就可以进行预期，从而保证在制定接下来3个月的计划时能够适应公司变化。这种方式降低或根除了中断正在进行工作和即期计划的可能性，能够及时解决情况发生变化的问题。有效的风险评估和审计计划流程的关键

36、成功因素有效的风险评估和审计计划流程的关键成功因素进行战略风险评估并利用评估结果制定以风险为中心的审计计划是一项相当复杂和颇费时日的工作。下述关键成功因素不但可以推动这一流程的执行，而且有利于将流程作为程式固定下来：审计委员会和高级管理层的支持审计委员会和高级管理层的支持无论怎样强调来自企业上层支持的重要性都不为过。若能获得必要的支持，许多障碍都可以克服。利益相关者的知情和参与利益相关者的知情和参与所有的利益相关者均能够知情并参与其中，对于有效识别和评估企业主要商业风险并确认审计计划至关重要。没有利益关联方的适时参与，这一流程的执行可能会推迟，或陷于停滞状态。在内部审计、管理层和审计委员会之间

37、建立起积极的工作关系，有助于在最大程度上降低推迟现象的发生，并鼓励利益关联方适时参与。高级管理层的支持亦有助于克服风险评估过程中的重重阻力，从而实现适时参与。必要的技能必要的技能进行风险评估的方法很多，应视不同企业具体而定，以适应不同企业的不同文化。负责准备和进行风险评估的内部审计人员必须拥有必要的技能，以帮助管理层识别和评估主要商业风险，包括拥有跨领域的本体性知识，来帮助管理层深刻理解那些复杂或独特的风险。保持客观性保持客观性内部审计师协会制定的内部审计实务标准(IIA Standards)1120和1130款倡导，工作中企业内部审计人员无论外在还是内在都应保持客观性。在与企业不同层级领导层

38、密切配合的过程中，内部审计团队必须保持一定程度的善意怀疑，即使在审计团队通过会面、访谈、培训等互动方式努力与利益关联方发展友好关系时也应如此。知情知情与受其影响的业务相仿，战略商业风险同样处于不断发展变化之中。能否及时获知相关的、领域特有风险的信息，意味着企业是能够及时、成功地管理主要商业风险，还是只能面对其本意并不愿面对的商业或市场风险。技术技术风险评估和审计计划可以通过手动方式，也可以借助技术手段来完成。处理风险评估、审计规划、时间安排和审计执行的技术平台很多，但是，能够利用单一平台处理上述所有活动的技术平台却少之又少。走在前面的一些企业的内部审计部门纷纷向单一技术平台方向发展，以更加有效

39、地对企业整体审计活动进行管理，并提高下述活动的效率：执行和更新以企业战略为基础的企业层面风险评估和审计规划流程；以能够反映企业独特需求和组织结构的方式，消化和评估风险因素；审计预算、时间安排、执行和报告活动，包括向企业管理层和审计委员会提供实时审计信息，如：审计计划执行情况审计过程中识别出的主要风险缺口和问题行动计划执行进展管理层考虑因素管理层考虑因素当前，内部审计部门在为企业提供更大价值方面面临着诸多挑战。不仅如此，在贯彻执行与企业实际相结合、重点关注企业主要商业风险的审计计划方面，内部审计部门还必须应对一系列的挑战。帮助内部审计部门处理这些挑战的问题包括：所有可能对企业产生重大影响的主要商

40、业风险是否都已识别出？何种流程、知识资源和技术有利于推动主要商业风险的评估和优先顺序的确定，以及立足风险基础的审计计划的制定？内部审计计划是否涵盖了企业所面临的所有主要商业风险？内部审计部门是否拥有资源和技能，来帮助管理层解决最主要风险和执行审计计划？为满足外界对于企业管理层和审计委员会寄予的厚望，走在前面的企业内部审计部门决心不断解决上述问题。而外界对于企业风险管理和内部审计部门予以的关注程度和寄予的期望，也将继续上升。这些部门的作用对于成功实现企业的战略目标至关重要，这些目标的实现在很大程度上取决于相关商业风险的有效管理与否。风险评估与审计规划风险评估与审计规划安永是全球顶级的专业服务公司

41、，在140多个国家及地区设有约700多个办事处，聘用超过114,000名专业人员。2006年度全球总收入約184亿美元。我们负责审计商业周刊(Business Week)全球1,200强中约30%的企业。除了提供会计和审计服务外，安永其他相关业务还包括提供重组上市、风险管理、改善内控制度、税务、收购合并、信息科技安全以及公司治理方案等增值服务。安永被公认为致力于了解客户业务挑战及战略，提供解决方案，并帮助客户达成其目标来传递价值。我们提供给客户最高诚信、品质、专业及独立的服务。在安永，我们的客户都是全球最成功的企业。他们之所以选择安永，是因为我们创造性的解决方案可以帮助他们更好、更快、更有信心地在不断变化的市场环境中应对挑战。