编者按:我国台湾内部稽核协会1996年10月2日以公报形式发布的《风险评估》,对我们当前开展的风险评估研讨有参考价值。现予刊登,供读者参考。 一、前言 第一条 稽核计划之拟定应基于风险评估,为提供风险评估之指引订定本公报。 第二条 任何机构均会面临不同程度之风险,致其竞争能力、财务状况及产品或服务品质等受到影响。 第三条 内部稽核单位主管拟定稽核计划时应考虑各种风险因素,以适当分配内部稽核部门之资源。 第四条 风险评估包括下列步骤: 1.辨识可稽核之活动。 2.辨识攸关之风险因素。 3.评估风险之相对重要性。 二、风险之性质 第五条 本公报所称之风险系指某一事件或行动对机构造成不利影响之可能性。 第六条 造成风险之事件或行动例举如下: 1.因使用不完整或不可靠之资讯导致决策错误。 2.记录错误、会计处理不当、财务报表不实。 3.资产安全缺乏充分保障。 4.客户不满意、机构形象受损。 5.未遵循法令或机构之政策、计划、程序及规章。 6.资源之取得不经济或未有效使用。 7.未能达成机构既定目的。 三、辨识可稽核之活动 第七条 风险评估应先辨识可稽核之活动,并列出其项目。 第八条 可稽核之活动,系指可界定及评估之组织单位、制度或事务,通常包括下列项目: 1.政策、计划与程序。 2.成本中心、利润中心与投资中心。 3.总分类账之账户余额。 4.资讯系统。 5.重要契约与专案计划。 6.组织单位,如各种事业部。 7.组织功能,如行销、制造、研发、采购、财务、会计、人力资源与电子资料处理。 8.交易循环,如销货及收款、采购及付款、生产、薪工、固定资产、融资与投资。 9.财务及营运报表。 10.法令规章。 四、风险因素 第九条 风险因素系用以衡量对机构可能造成不利影响之基准。 第十条 风险因素通常包括: 1.管理阶层之品德、经营理念及其达成目的所承受之压力。 2.员工之素质与数量。 3.管理阶层对会计事项之判断及估计。 4.资产之价值、流动性或交易量。 5.财务状况。 6.竞争情况。 7.营运活动之复杂性或善变性。 8.客户需求、供应来源及政府法令之冲击。 9.资讯系统电脑化之程度。 10.营运地区之分散程度。 11.内部控制制度之妥当性及有效性。 12.组织、营运、科技或经济之改变。 13.对稽核建议事项之改善程度。 14.前次稽核之日期及结果。 五、风险评估 第十一条 风险评估系依据风险因素对各种不利情况或事件做有系统之分析与评估,以判断风险发生之可能性及重大程度。内部稽核单位可对风险因素赋予权数,以显示其相对重要性。 第十二条 内部稽核单位主管在风险评估过程中,应考虑相关之资讯。资讯来源通常包括: 1.董事会及监察人之意见。 2.与管理阶层之讨论。 3.内部稽核单位人员之讨论。 4.外部稽核人员之意见。 5.相关法令之规定。 6.财务及营运资料之分析。 7.以前之稽核报告。 8.产业与经济之趋势。 第十三条 内部稽核单位主管根据风险评估结果,决定稽核项目之优先顺序,据以拟定稽核计划。但因董事会、监察人、管理阶层或主管机关之要求,或与外部稽核人员协调等,可能修改原定之计划项目及排程。 第十四条 稽核工作计划订定后,应对可稽核之活动或相关风险之重大改变,适时评估其影响,对稽核项目及排程作必要之调整。 六、附则 第十五条 本公报于××××年×月×日发布施行。