2017年CIA《内审基础》知识点:风险矩阵的工作步骤
 常见风险矩阵体现的具体工作步骤如下: 第一步:识别经营目标。本步骤中考虑的是该单元或程序的经营目标,而不是控制目标。通过让管理层讨论他们对于被审活动的目标便可以获得。如果没有,内部审计小组应当和管理层一起确认一个合适的目标。 第二步:识别经营目标的相关风险。需要控制或者降低的风险可以从下面的一种方式鉴别:(1)向管理层询问什么事件和环境是他们达成目标的障碍;(2)根据整体层面确定的组织风险逐一向管理层进行提问,看其中是否有一个可以影响到经营目标的实现。 第三步:按照可能性和重要性度量每一个风险。根据风险发生的可能性和其后果的重要性,风险通常被分为高、中、低三等。一些分类综合考虑了可能性和重要性。例如容易发生/很重要或者不易发生/不太重要。 第四步:识别控制活动。控制识别是真正的风险管理方法,常见的方法有: ·避免:按照某一方式重置流程来消灭某一特定风险或者如果风险不能够降低到可接受的水平则放弃这个活动; ·分担:通过像保险、外包或者套期保值这样的安排来转移部分风险到其他的组织当中,或者是通过分散投资或进程来转移风险; ·接受:如果风险不是灾难性的,或者降低这些风险不符合经济性原则,那么就接受这些风险; ·降低:采用方法降低有害事件的可能性或重要性,或者增强正面事件的可能性或重要性; ·增加:撤销限制以增加一些机会,虽然这样会增加风险,但仍然在可接受的范围内。 第五步:评价控制是否充分。在本步骤中提问:“这个风险的控制程序设计得怎么样?”使用分析技巧和职业判断来确定答案。内部审计师要: ·识别和记录管理层声称已经到位的控制; ·评价控制设计得如何,是否经济和有效率,是否按照设计的方式运行。 第六步:测试内部控制的有效性。对那些被认为是充分有效和设计良好的控制进行测试,看实际的运转是否同预期一样。 第七步:对控制的充分性和有效性做出最终的意见:最终的意见通常同时按照这两种标准进行阐述。例如,一项控制由于同程序的一致性不足虽然充分但并不有效。或者也可能是因为过分强调了非重要风险的控制使得控制设计有瑕疵而最终得到了“不充分”的意见。 |
