要点:风险矩阵的工作步骤
容易见到风险矩阵体现的具体工作步骤如下:
第一步:辨别经营目的。本步骤中考虑的是该单元或程序的经营目的,而不是控制目的。通过让管理层讨论他们对于被审活动的目的便可以获得。假如没,内部审计小组应当和管理层一块确认一个适合的目的。
第二步:辨别经营目的的有关风险。需要控制或者减少的风险可以从下面的一种方法辨别:(1)向管理层询问啥事件和环境是他们达成目的的障碍;(2)依据整体层面确定的组织风险逐一向管理层进行提问,看其中是不是有一个可以影响到经营目的的达成。
第三步:根据可能性和重要程度度量每个风险。依据风险发生的可能性和其后果的重要程度,风险一般被分为高、中、低三等。一些分类综合考虑了可能性和重要程度。比如容易发生/非常重要或者不容易发生/不太要紧。
第四步:辨别控制活动。控制辨别是真的的风险管理办法,容易见到的办法有:
·防止:根据某一方法重置步骤来消灭某一特定风险或者假如风险不可以够减少到可同意的水平则舍弃这个活动;
·分担:通过像保险、外包或者套期保值如此的安排来转移部分风险到其他的组织当中,或者是通过分散投资或进程来转移风险;
·同意:假如风险不是灾难性的,或者减少这类风险不符合经济性原则,那样就同意这类风险;
·减少:使用办法减少有害事件的可能性或重要程度,或者增强正面事件的可能性或重要程度;
·增加:撤销限制以增加一些机会,虽然如此会增加风险,但仍然在可同意的范围内。
第五步:评价控制是不是充分。在本步骤中提问:“这个风险的控制程序设计得如何?”用剖析方法和职业判断来确定答案。内部审计师要:
·辨别和记录管理层声称已经到位的控制;
·评价控制设计得怎么样,是不是经济和有效率,是不是根据设计的方法运行。
第六步:测试内部控制的有效性。对那些被觉得是充分有效和设计好的控制进行测试,看实质的运转是不是同预期一样。
第七步:对控制的充分性和有效性做出最后的建议:最后的建议一般同时根据这两种标准进行讲解。比如,一项控制因为同程序的一致性不足虽然充分但并不有效。或者也会是由于过分强调了非要紧风险的控制使得控制设计有缺陷而最后得到了“不充分”的建议。
更多详细常识,老师们都有解答哦!
更多阅读:
【618钜惠来袭】合适CIA考生的618备考攻略来啦!
CIA考试重点:风险辨别