风险评估方法1.docVIP

风险评估方法 导言 内部审计与监督司(IAOD)已制定了一种风险评估方法，它所依据的是内部审计员协会(IIA)的咨询与指南以及审计业务所采用的得到公认的良好做法。风险评估方法的主要目的是为了提高客观性和透明度，并为编拟审计需求评估(ANA)和年度审计工作计划提供坚实的基础。 风险和风险评估的主要定义，可以使我们更好地了解IAOD所进行的风险评估流程。 风险评估定义 风险 风险是对实现一个组织的各项目标可能产生不利影响的一种不确定的未来事件。 风险发生可能性 发生风险的可能性是存在的。在确定风险发生可能性时，应考虑的因素包括：风险的根源、风险根源的能力、现有控制的脆弱性、存在和有效性。其可能性可用高、中和低三个级别来描述。 高：在大多数情况下预计会发生的某一事件 中：在许多情况下或许会发生的某一事件 低：可能偶尔发生的某一事件 风险影响 就是在出现一种风险时可能对该组织产生的潜在影响。这里需要说明的是，并非所有的危险都具有同样的影响，因为该组织每种制度或系统都是不同的。影响的幅度亦可被划分为高、中和低。 高：对业务、信誉或供资状况产生严重影响 中：对业务、信誉或供资状况产生重大影响 低：对业务、信誉或供资状况产生较小影响 可能性与影响结合起来考虑为我们提供了每一风险因素的数值 ? 风险评估流程 这是查明并分析实现一个组织目标的内在风险和剩余风险的过程。 风险模型的要素 下面详细说明的风险评估措施标准是根据IIA和信息系统保证与控制协会(ISACA)出版的职业咨询指南编制的。 风险评估计量评价的主要变数： 重要性：考虑了审计单位/实体创收/花费的财务价值，并按下列顺序分配了从1至5的数值。 收益/支出(000) 18.000,000瑞郎? -5 6.000,000至18.000,000瑞郎? -3.4 =6.000,000瑞郎? -1,2 活动性质：依据审计单位的重要程度对其进行评价并视其是否为核心活动或业务单位给予从1至5的数值。 核心活动? 4, 5 业务单位? 2, 3 地方系统? 1 应急方案：根据是否存在任何备选方案(如业务连续性、灾难恢复能力计划、手工程序、备份等)将审计领域分别标以1至5的数值。 已改变的系统或程序的范围：按照已经改变的程度将审计领域标以相应数值。 重大改造? 4, 5 中等改造? 2, 3 小型改造? 1 自上次审计之后的时段：按照自上一次内部审计后已过去的时段划分的级别为1至5。显然绝大多数审计领域都被标为5，因为从那时以来再没有进行任何内部审计或者只进行了非常有限的内部审计。 审计领域的复杂性：根据因复杂环境可能致使错误和滥用情况未被查觉而采用的标准，标以从1至5的级别。 一些复杂性的因素包括： 自动化程度， 复杂计算， 相互依赖的活动， 产品或服务的数量， 对第三方的依赖， 进展时间， 适用的法律和规定，等等 其他因素可能包括： 领域/单位之于行政管理的敏感性， 管理层所关注的问题， 有关不道德行为的历史数据等。 其他因素(领域的敏感性，高层管理的关注、历史数据、欺诈和不道德行为，等等) 业务风险因素1及其权值 与几乎所有组织和为其标注的等级相关的主要风险因素可被归纳为以下类别： 财务风险 35% 战略风险 25% 运作风险 25% 法律和履约风险 15% 显然财务风险被标注为最高级别5，因为一旦发生这种风险，它可对组织的财务活力产生重大影响，其后，可使本组织确定的战略、目标和目的处于岌岌可危境地的风险被划分为第二级别的风险，并且分配给它的数值为4。运作风险是日常业务活动的一部分，被标为3，任何可能出现的法律和履约风险则被给予数值2。 值得在此提及的是，风险因素的级别划分应根据潜在的可能性和对每一风险组的影响来进行审查，同时还要考虑到特别会影响到关键风险评估标准等级划分的管理行动。 风险评估方法简介 主要业务风险评估计量标准是与关键业务风险变量一起评估的，从而可以计算出风险加权等级并由此而划定审计单位/实体的风险等级。 具体而言，根据现有的历史或目前的数据、管理层的反馈意见和专业判断，审计域中的每一审计领域均被赋予了一个说明性的从最低的(1)至最高的(5)的数值。然后，划分级别的这些结果又被乘以从1(最低)至10(最高)的重要性权重因数，从而得出了一个扩大的权重风险级别值，由此为下一步骤划分审计单位的优先顺序提供了便利。 然后，权重风险级别值又乘以每一业务风险因数的复利终值，而这一复利终值则是给予每一风险组(参见上文)和每一风险因数相关性数值的产物；如果相关，则为1，如果不相关，则为0。 在下一步骤，根据其总和的风险因数值，对所有审计领域都进行从最高值到最低值的风险级别排序，并划分为高、中和低风险组。在确定高审计风险领域数目时考虑的主要因素，就是多年来在几乎所有的业务领域均没有进行内部审计，