其他来源

　　在些组织中，内部保证部门(例如，安全、质量、健康)也可能是潜在审计业务

　　的来源。外部审计师可能也会发现和报告一些具体的需要改进和进一步调查的弱点或领域。这些领域也应当被看作是审计域的部分。

　　由此可见，审计域来源广泛且多变。本步骤在风险评估中的作用就是识别一系列的潜在审计业务来作进一步的考虑和顺序安排。

　　2.1.5　收集定量和定性数据的重要性

　　在风险评估过程中，从大量来源中收集可以解释的信息具有十分重要的作用。内部审计师应当有方法和能力获取定性和定量的数据，获取定性和定量数据的具体方法应用及注意事项如下：

　　定性数据的获取：关注观点和态度的主观的或温和的措施。具体方法：

　　访谈

　　焦点小组

　　观察

　　会议

　　注意事项：

　　个人有机会使用自己的语言提供信息;

　　能够识别关键风险，深入了解组织的重点;

　　可以允许打扰。

　　定量数据的获取：由具体的客观标准产生的方案。具体方法：

　　研究(例：质量与产量计量)

　　报告(例：市场份额及其增长，收入和利润)

　　调查(例：统计数据)

　　注意事项：

　　提供可以使用基准比较法的记分册、趋势数据等;或者其他易于平均的数字;可以显示现象而不是原因。

　　为什么两种数据都很重要?因为在评估关键风险时客观(定量)标准并不是总能适用的(例如董事会关注点)，各类软性和硬性的数据的综合能够对于组织风险有更加全面的理解和认识。对于这些问题的正确理解最终都会使公司有机会作出更好的商业决定。

　　【典型试题】

　　1.风险评估程序的第一步是将组织内部可审计活动进行识别和分类。以下哪项不应作为可审计活动?

　　a.审计委员会为其召开的一次季度会议而制订的会议日程。

　　b.总分类账余额。

　　c.电算化信息系统。

　　d.与本组织有关的法律及法规。

　　答案：a

　　解题思路：

　　a.正确。可审计的活动包括能评价和作出结论的问题、单位或系统，而对于内部审计来说，会议日程没有什么评价的价值，因此不属于可审计活动。

　　b.不正确。账户余额属于一种可审计活动。

　　c.不正确。电算化信息系统属于一种可审计活动。

　　d.不正确。与本组织有关的法律法规属于二种可审计活动。