B 以风险为基础制定计划确定内审重点（熟练掌握）

1、建立评估风险的框架

风险：是指发生对目标实现可能产生影响的事件的不确定性。衡量标准是后果和可能性，用潜在的货币化，或不利影响衡量，后果包括：错误决定、错误财务报告和损失、财产保全不当、被审计单位的信誉损失、不遵守规章、效率和资源利用低下、没有实现经营目标和任务

COSO（IIA和AICPA专业联盟）内部控制框架：（金字塔模型）

底层：内控该 内 容 由 中 审网校所属www .a uditcn .c om环境：影响内部控制的各种因素

调查：风险评估：是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。

措施：控制活动：包括确保管理层指令得以实施的政策和程序：批准、授权；核对会计分录；核实(包括内部控制模型)；检查业绩、风险披露限制；职责划分、生产安全。制定程序的原则有：避免由“相关人士”组成的集团从头到尾控制某个操作或交易；“四只眼睛”的原则（用四只眼睛盯一笔业务）。

联系：信息与交流：是整个内部控制系统的生命线，为管理层监督各项活动和在必要时采取纠正措施提供了保证。内控该 内 容 由 中 审网校所属www .a uditcn .c om是一个动态的过程，依据环境，制定措施，信息反馈，进行纠错，如此不断改进。但受成本效益原则的约束，内控该 内 容 由 中 审网校所属www .a uditcn .c om实际上是一个无止境的过程。

高层：监控：意在评估内部控制，贯穿于经营活动之中，具有一定的超然独立性。监测的实施途径可以是内部审计，也可以是内部控制自我评估。前者的实施人是独立的职能部门，而后者是由管理部门和员工完成的。内部审计的目的是，就控制系统的风险和操作情况向管理层提供独立保证并帮助管理层有效地履行责任。

2、应用该框架

首席执行官确定审计计划时采用的风险评估框架：

内部环境―目标设定―事件识别―风险评估―风险回应―控制活动―信息沟通－监督

考虑组织中风险、易受外界影响的薄弱环节以及潜在损失等是制定审计计划首要因素因素

风险损失：风险带来损失的金额乘以概率，但不是所有风险都可以量化的

审计风险：检查中可能没有发现重大错误或弱点，导致审计失败，不是制定计划考察的组织风险

3、识别内审资源需求

审什么：1、对组织可审活动进行分类

2、分析其带来的风险（潜在损失金额大的不是唯一标准，还要考虑发生的可能性）

3、按风险大小进行排序

4、特别关注部分，管理层的要求也许比审计委员会的要求更具有紧迫性

数量化风险评估模型：对全组织的各项风险因素进行排列，并赋予分值进行综合评估，得出审计重点，风险因素包括管理层对完成目标的信念意识和紧迫感、人力资源、资产配置、市场变化、内部信息化程度、预测能力等，审计纠错执行情况，

已审计过的对象也是考虑因素。优点：审计长期计划提供依据，主观判断减少，系统化。但不是所有风险都可以量化的。

对多个审计单位风险评估：给各单位5各风险因素，每个风险因素1－5分，分析后，加总各单位分值，那个分值最高，那个单位先审

计划安排审计资源：审计人员配置（人数、能力）和财务预算（经费），工作日程安排上应有一定的覆盖面，审计日常工作：工作日程安排、管理活动、教育培训、审计研究和发展

一般分工：CAE：审计工作计划的制定 与高级管理部门的沟通 审计工作的最终复核

经理：具体审计事项的组织实施

工作内容的初步调查

审计现场的监督管理

复核工作底稿和审计报告草稿

与被审计单位管理层沟通

人员：执行审计程序编制工作底稿

编制初步报告

现场沟通等

4、与各方面协调内审工作

需要协调的部门：外部审计师该 内 容 由 中 审网校所属www .a uditcn .c om（要求信息共享，工作底稿和审计方案的保密性不妨碍内审使用）、法规监督机构、其他内部保证部门（承担某些方面的监督、控制和保证工作，内部审计不根据他们的要求改变章程要求，以保证独立性），对于调查中发现人员的弱点应记录，并确定潜在的影响

5、选择审计业务

内审范围及重点：

1、财务和经营信息资料的可靠性和完整性

2、保证上述资料可靠性和完整性所建立的组织系统及遵循情况

3、审查资产保护方式

4、评价资源利用的经济性和有效性

5、审查经营项目，确认结果和目标是否一致

审计资源不足：向董事会和高级管理层报告可能带来的后果，报告还包括审计范围、资料的限制