制定基于风险的审计计划

国际专业实践框架®（IPPF®）是概念框架，它组织了IIA颁布的面向全球内部审计专业人员的权威指南。
强制性指导是在已建立的审计工作过程之后制定的，其中包括为利益相关者参与的公共披露期。IPPF的强制性内容包括：
内部审计专业实践的核心原则。
内部审计的定义。
道德准则。
国际专业标准内部审计实践
关于补充指导
补充指南提供了进行内部审计服务的其他信息，建议和最佳实践。它通过比执行指导更详细地解决主题问题和解决特定于审计部门的问题来支撑标准，并且得到了国际投资协会（IIA）通过正式审查和批准程序的认可。
实践指导
实践指导是补充指导的一种，提供了详细的方法，循序渐进的过程以及旨在为所有内部审计师提供支持的示例。选择实践指导重点在于：
金融服务。
公共部门。
信息技术（GTAG®）。
总体概要
在当今的商业环境中，有效的内部审计需要周密的计划以及应对快速变化的风险的敏捷响应能力。为了增加价值并提高组织的效率，内部审计优先级应与组织的目标保持一致，并应解决最有可能影响组织实现这些目标能力的风险。
确保这种一致性是2010年标准–计划，2010.A1、2010.A2和2010.C1的本质，该任务要求首席审计执行官（CAE）负责根据风险评估制定内部审计业务计划至少每年执行一次。
本实践指导介绍了系统的方法，用于创建和维护基于风险的内部审计计划。CAE和指定的内部审计师共同努力：
了解组织。
识别，评估风险并确定其优先级。
与其他提供商进行协调。
估算资源。
提出计划并征求反馈。
完成并沟通计划。
不断评估风险。
更新计划并传达。
正文

介绍
全面的基于风险的计划使内部审计活动能够适当地调整并集中其有限的资源，以针对组织最紧迫的问题提供洞察力、积极主动且具有前瞻性的确认和建议。确保内部审计优先级基于风险需要进行高层级规划，CAE负责根据至少每年进行一次的风险评估制定内部审计业务计划（Standard 2010 – Planning and Standard 2010.A1）。
尽管年度风险评估是标准中阐明的最低要求，但当今瞬息万变的风险形势要求内部审计师经常、甚至是连续评估风险。基于风险的内部审计计划应该是动态且灵活的。为了达到这些质量，一些CAE会每季度更新一次内部审计计划（或类似的定期计划），而另一些CAE则认为他们的计划是“滚动式”的，随时可能有微小的变化。
基于风险计划的沟通
在准备内部审计计划时，CAE应该考虑如何与利益相关者进行互动，并创建一个能够产生最大利益相关者价值的内部审计计划。注意事项包括：
哪种类型的内部审计业务可以为高级管理层和董事会提供充分的保证和建议，以有效地减轻重大风险？
内部审计活动将如何传达其风险评估和基于风险的内部审计计划？哪些类型的图文展示将有助于支持有效的交流？
高级管理层和董事会对内部审计活动有什么期望？事先，CAE应与高级管理层和董事会讨论，他们期望报告的频率以及保证报告、批准审计计划变更的要求（即问题的重要性和紧迫性），如《Standard2060 –向高级管理层和董事会报告》中所述。内部审计政策和程序应根据《道德守则》和《标准》解决机密性问题（参考“Standard 2040-政策与程序”，“Standard 2330 –文记录信息”有关条款和“2040 –结果发送”的有关条款）。
*谁负责基于风险的内部审计计划？*
虽然CAE负责内部审计计划，但是经验丰富的内部审计经理和内部审计人员可以在计划过程中执行活动。本指南讨论了CAE，内部审计经理，内部审计师以及内部审计活动的整体作用和职责。但是，没有一种方法适合所有组织，并且安排因组织而异（例如，根据内部审计活动的规模和资源而定）。
这些标准表达了与CAE基于风险的业务计划（2000系列）和个体审计计划（2200系列）相关的要求。本指导仅涉及CAE基于风险的内部审计计划。实践指导“参与计划：建立参与目标和范围”描述了如何计划个体项目。
计划变更
本指导说明了初步创建内部审核计划的步骤，以及计划的正式批准要求，这些要求可能会在预定的时间间隔内发生。另外，内部审计活动必须对影响组织目标和风险优先级的内部和外部变更做出快速响应。组织和外部条件不断变化，在执行任何参与活动期间可能会出现新的或更详细的风险信息。内部和外部审计师可能会在参与期间发现新信息，这将促使内部审计的全面风险评估和内部审计计划发生变化。
此类更改表明内部审计部门需要不断评估风险，重新评估风险优先级并调整计划以适应新的优先级。Standard2010–规划建议，CAE必须根据组织业务，风险，运营，程序，系统和控制的变化来审查和调整计划。该指南的后面各节提供有关CAE应如何管理计划变更的更多详细信息。
审核计划制定概述
制定的内部审计计划的过程一般包括以下几个阶段。然而，由于内部审计活动和组织的不同，内部审计计划的细节也会有所不同，因此，读者应该对阶段的概念灵活地理解。多个内部审计师可能同时工作以准备内部审计计划，包括支持风险评估；因此，某些阶段可能会偶尔重叠。CAE通常会在内部审计活动的政策和程序（Standard 2040-政策与程序）中记录其首选方法。本指导构建了图1所示的计划阶段。内部审核员应将整个准备周期视为对组织变更做出响应的一项综合工作。
图1：内部审计计划制定周期

Understand Organization
了解组织

确定目标，策略和结构
了解组织的风险管理流程需要确定如何协调风险管理和治理的角色和职责。通常，这种协调涉及：
通过运营和生产线管理来实施控制。
保证风险管理和控制系统已经有效设计并按设计运行。风险管理、合规性，质量控制和类似功能可提供此类保证。
由内部审计活动提供有关治理、风险管理和控制流程的独立保证和建议。

审查关键文件
在启动风险评估之前，CAE可能会审核关键的组织文件，例如组织结构图和战略计划。CAE可能会审核这些文档，以深入了解组织的业务流程以及潜在的风险和控制点。
如果管理层实施了用于持续风险监控的自动化工具，则内部审计师可能会从自动生成的风险报告中收集信息。补充信息可能来自内部和外部审计师先前的评估和报告。适用于可单独审核的单位的类似文档可能会详细说明操作流程和支持它们的服务功能。图2列出了内部审计员可以收集的信息和文件的示例。

图2：用于信息收集的文档来源

与主要利益相关者进行咨询
CAE必须与主要利益相关者协商，以实现与Standard 2010 – 计划有关的标准要求。持续的交流对于灵活地进行更改调整至关重要。此外，持续的沟通有助于确保高级管理层，董事会和内部审计活动对组织的风险和保证优先级具有共同的理解。

与董事会和治理委员会的会议
CAE应出席与董事会和主要治理委员会（例如，审计委员会，风险委员会）的会议，并可以与个别成员独立开会。参加此类会议有助于CAE了解组织中的最新发展，并警惕更改可能导致的潜在风险。

与管理层会面
除了与董事会会面外，CAE（或指定的内部审计师）还应参加高级管理层和/或直接向高级管理层汇报的人员（即第二道防线的职位）的例行会议（电话，网络或面谈） ，例如合规性、风险管理和质量控制的专属官员）。CAE应独立与个别高级管理人员交谈。在某些受到严格监管的行业或部门中，CAE可能还会与外部审计师和/或监管机构会面。
为了更好地理解业务流程和掌握业务优先级所面临的挑战，内部审计师可能会见运营或部门管理的关键成员，例如每个业务领域的副总裁和董事，以及执行运营任务的员工。

与主要利益相关者进行咨询
利益相关者包括
董事会：审计委员会，风险委员会，治理委员会，个别董事会成员。
高级管理层，首席风险官。
第二（防）线功能。
运营/生产线管理。
人力资源。
市场营销。
执行关键运营任务的员工。
外部审计员/监管者，如专管人员（特定行业）。
交流方式
面对面的会议。
电话/在线会议。
调查。
面谈。
小组集体讨论会，研讨会。
随时进行的非正式沟通。

非正式沟通
非正式获得的信息可能会完善内部审计对组织的理解，并提供未正式披露的现实细节。当内部审计师被指派与特定的业务线，职能，位置和/或法人合作时，关系通常会得到加强。与整个业务部门和职能部门（包括人力资源和市场营销等部门）的管理层和员工进行互动，有助于内部审计活动全面了解组织的计划和控制环境。
持续发生的非正式互动建立了信任，增加了各级雇员与内部审计师坦诚交流的可能性，并提出了在正式会议中可能未提及的问题。这种开放性提高了内部审计活动评估控制环境的能力。内部审计师轮流出任此类工作，可以分享非正式沟通的价值，以及起到保护内部审计师的独立性和客观性（Standard1130 –独立性或客观性受损）的作用。

调查，访谈，头脑风暴，研究
其他获取信息的工具包括调查，访谈和小组研讨会（例如，头脑风暴和聚焦研讨）。这些工具对于识别新兴风险和欺诈风险特别有用。
CAE和内部审计活动的成员还可以通过研究行业新闻，趋势和法规变化来提高对潜在新兴风险的认识；与其他专业人员建立联系；并继续进行相关的继续教育。要考虑的问题包括：
组织的十大目标与主要部门目标之间有何关系？
哪些策略用于实现这些目标？
如果发生了哪些风险，可能会干扰组织实现这些目标的能力？

风险信息来源
管理优先级，业务流程，技术（IT）和运营方面的变化。
欺诈风险的道德/举报系统。
地缘政治发展。
法律和法规变更。
来自高级管理层和董事会的要求。
新项目和变更计划。
来自管理层和内部审计活动（包括欺诈，IT和财务控制）的事先风险评估

创建或修订审计宇宙（Audit University）
一旦确定了主要策略和目标，CAE可能会想要创建或查看审核范围，这是组织内所有可能审核的单位的列表或目录。可审计单元可以是“由于存在风险而可以证明审计工作合理的任何主题，客体，项目，部门，过程，实体，职能或其他领域”。
审计宇宙简化了整个组织内风险的识别和评估。这是朝着发现哪些可审计单元具有一定风险水平迈出的一步，该风险水平值得在专门的内部审计业务中进行进一步审查。附录C提供了一个工作表示例，该工作表用于将组织目标和战略计划链接到审计领域中的类别。
如果未建立审计宇宙，内部审计师将首先了解组织如何查看和分类其活动，风险和控制，以及获得如何对其风险管理和控制的过程。这包括考虑组织使用的任何框架。使用与管理层的方法最接近的结构将最大程度地提高内部审计活动与其他内部保证和咨询服务提供商之间的协同作用，尤其是在组织已实施企业范围的风险管理（ERM）流程的情况下。井井有条的审计宇宙会增加内部审计的风险评估和审计计划对组织有用和有价值的可能性。
由于组织单位之间或组织与外部环境之间的交互中存在某些风险，因此确保审计宇宙将捕获所有风险具有挑战性。通过业务流程查看审计范围通常有助于揭示此类风险。侧边栏“确保审计宇宙的完整性”列出了CAE应考虑的风险信息来源。
CAE应咨询高级管理层，以确保整个领域都能准确反映组织的业务模式。一旦构建了审计宇宙，就可以各期流转以备将来使用。但是，应该经常更新宇宙以合并内部和外部业务更改，这可能随时会带来新的风险。审计宇宙有助于组织可审计范围，以全面评估风险和保证范围。

确保审计宇宙的完整性
为了确保审核范围的完整性，CAE应该考虑以下风险信息来源：
组织的战略和价值创造链。
所有主要领域，事业部，部门和项目及其战略，目标和流程（从组织结构图，法律和/或ERM框架的高层）。
第三方供应商（来自法律，采购或合同管理职能）。
所有主要职能的流程和子流程（来自流程要求的活动，例如ISO要求的）。
主要的IT应用程序和信息系统资产，包括硬件，软件及其包含的信息（来自IT管理）。
适用于组织的法规和法律合规性要求。
非财务绩效指标（例如环境，健康和安全，社会，治理）。

- END -

来源：审计撷英。版权归原作者所有（如有转载，请注明以上信息）。