年度稽核風險評估

關於年度風險評估問題：

1.誰負責進行年度風險評估來建立以風險導向為基礎的稽核計劃決定內部稽核作業優先次序？

2. 你們是採用內部稽核部門自行發展的風險評估方法? 還是採用由風險管理部門或企業風險管理單位或組織中其他業務單元所發展的風險評估模型？

3.若採用其他單位所發展的風險評估方法來決定以風險導向為基礎的稽核計劃, 它是否會損害內部稽核的獨立性或違反稽核準則? 為什麼會或為什麼不會？

 

一般來說:

(1) 內部稽核主管將進行年度風險評估作業做為擬定以風險為導向年度稽核計劃的準備，該計畫會被送到審計委員會審核與討論，最後由董事會核准。

(2) 風險評估由內部稽核部門（IA）自行開發，如果組織裡面有設置企業風險管理部門，有風險註冊(Risk Register)功能，內部稽核部門可以參考他們的資料來編制年度稽核計劃，而內部稽核在進行風險分析與評估時，在按照自己發展的風險評分系統分析出風險等級之前，應該先將下列幾項因素考量進去：

(a)    要對內部及外部環境的評估（採用PEST和SWOT分析）

(b)   年度集團營運策略及目標

(c)    過去或現在由外部稽核(會計師)、內部稽核和主管機關（如果有的話）所提出過的重大稽核改進建議事項。

(d)   財報數據資料（資產負債表和損益表）

(e)    瞭解個別核心業務流程的控制，以及分析個別作業流程的風險

(3) 就如同以上兩點所提到的，內部稽核必須向審計委員會報告，他們更應該獨立進行風險評估作業。

一個充份實現治理、風險管理和控制流程作業的組織將會有下列情形：

1. 由管理部門做整個組織的風險評估，並進行整合工作。
2. 風險評估必須要經常性的更新(依照各風險評估要素-目標、標準、風險、風險偏好、風險重大性、風險策略、控制等變化立即進行更新)
3. 內部稽核人員從來不會因為任何理由替組織執行風險評估，他們只提供建議及評估管理單位是如何做的。
4. 風險評估對內部稽核計劃的發展效用是在監控組件應該總結治理、風險管理和控制流程作業是否適切和有效所提供的訊息裡。如果答案是否定的，一項諮詢建議就會被提出，若是正項，則就會提出確認性的服務工作。而要進行什麼樣的服務類型決定在專案規劃當中。
5. 合適的內部稽核計劃的其中一項目標，首先提供治理、風險管理和控制流程的實施意見，能夠延展到盡可能更多的組織單位使用，其次是提供相同的獨立評估，在適當情況下，並越來越多，提供給高階經理人所關注特定組織目標適當的諮詢或確認性服務。

隨著時間的推移，管理階層會覺得不再需要內部稽核進行確認了，那些作業流程都已經合理適當地確認過，有達到組織控管目標，這樣的確認性工作，應該可以直接由組織作業單位持續進行。而這種來自管理階層的要求，其實仍有待內部稽核部門確認中間的差距提供進一步的指示。