该计划同时可能考虑使用不同方法实现预期 结果的成本和收益 ， 具体包括：与其他风险和控制监控职能的优化整合 ， 如法律、合规、信用、 市场、安全和舞弊风险管理职能；使用外包服务以提供专业的技术、技能；建立控制自我评估 程序 。
战略计划也十分强调沟通问题 ， 这是内审职能成功的关键 。
计划的沟通部分可针对如下问 题：由企业的审计委员会及高 。

7、级管理层向内部进行初步沟通 ，对内审职责和权力的通告 ，企业期望对内审使命的支持 ， 企业期望对解决内部审计发现的控制缺陷和问题的决心 。
最终 ， 战略计划应制定将来如何考核内审工作成果的标准 。
我们建议企业每年应重新审阅 和修订战略计划 ， 并得到利益相关方的批准 。
第四步： 风险评估并制定审计计划 风险是可能影响公司实现公司目标的任何事件 。
风险评估使内审人员考虑潜在事件如何影 响公司目标的实现 。
为了帮助企业提升价值 ， 内审应以风险为导向进行审计工作 。
对内审而言 ， 制定系统的方 法分析风险至关重要 。
风险评估程序开始于界定审计的领域 。
审计领域包括公司的所有单位、 流程和活动 。
然后 ， 内审人员从行业角度考虑公司的商业 。

8、模型和其主要商业目标 。
通过与利益 相关方的沟通 ， 内审应该确认其对审计领域、主要商业目标及实现这些目标中的固有风险的理 解 。
根据对公司及其目标和固有风险的理解 ， 内审人员应考虑各风险因素对公司实现目标的影 响及其发生的可能性 ， 并通过考虑这两点 ， 编制企业的风险概况 。
企业风险概况的一种常见形式是风险热度图 ，以不同的颜色区别企业高、中、 低风险领域 。
在风险评估中被识别为高风险的公司单位、流程及活动 ， 应成为审计的重点和优先点 。
风险评 估的结果能协助企业编制相关的内审计划来防范、应对公司的各种风险 。
有效审计计划提供系统的方法 ， 将风险分为高、中、低类别 。
在评估风险后 ， 审计负责人 还应该同审计委员会和高级管 。

9、理层一起将风险进行优先排序 ， 并决定在内审职能中所需的能力 和技能组合 ， 以专注于优先考虑的高风险领域和主要利益相关方的需求 。
在内审启动的第一年 ， 公司通常没有控制活动有效性评估的正式标准 。
这样 ， 初步的风险 评估及审计计划的制定主要从固有风险出发 。
固有风险包括内、外两方面 。
外部风险指全球、 国内及经济形势的变化 ， 技术、法律及政治的变化；内部因素则包括操作系统的变化 ， 发行新 的产品 ， 进入新的市场 ， 管理层和组织的变化以及海外业务的扩张 。
随着逐步了解内部控制有效性的标准 ， 定期的风险评估可考虑这些控制的可靠性和有效性 与规避相关风险的重要性及 / 或发生的可能性 。
基于这些知识 ，可根据对内控制度的了解将风 。

10、险 重新分类 。
然而 ， 即使在认为控制有效的领域 ， 内审也必须定期对关键控制进行测试 ， 以保证 这些关键控制可以继续规避重大风险 。
为了达到最佳的效果 ， 内审风险评估及风险结果概况应该与内审战略计划及审计委员会所 需的保证水平相连接 。
在建立了内审战略框架后 ，工作的重点将转移到战术执行上 。
如图 1 所示 ， 通过实施第 510 步的职能和活动 ， 内审工作将立见成效 ， 并取得长期的成功 。
第五步：编制当前和长期的预算完成框架的第 1-4 步后 ， 可得到足够的信息去建立当前和长期的预算 。
预算必须为内审提 供足够的资源 ， 以执行第 4 步制定的基于风险的审计计划 ， 并应有适当灵活度以应对业务改变 的需要 。
预算应在风险评估结果 。

11、和审计计划的基础上准备 ， 并根据国际内审协会或其他第三方制定 的内审标准 ， 与本行业的类似内审部门比较 ， 建立预算基准 。
像在框架第 3 步制定正式的战略 计划中讨论的 ， 预算应该跨越 35 年的时间段 。
内审预算必须有灵活性 ， 使内审能够应对突发事件 。
我们建议使用“灵活支出账户”， 在应 对变化的同时 ， 编制高质量的审计计划 ，“灵活支出账户”运行如下：在风险评估和内审计划结果的基础上建立核心内审预算 。
核心预算提供足够的资源 ， 以使 内审计划有效地执行 。
同时建立单独的“灵活支出账户”。

稿源：(未知)

【傻大方】网址：/a/2021/0815/0023727812.html

标题：战略|战略内审几步走( 二 )