评估组织范围内的风险

　　组织范围内的风险因素是指用于识别对整个组织产生不利影响的情况或事情的重要性和可能性的鉴定标准。一旦潜在审计业务来源确定，就需要评估能够对组织目标产生影响的风险和机会。根据《标准》，影响组织范围内的风险因素可以包括：

　　管理层对完成目标的信念意识和紧迫感;

　　人员的胜任能力、恰当性和完整性;

　　资产的规模、流动性或经济业务量;

　　财务和经济状况;

　　竞争条件;

　　活动的复杂和易变性;

　　顾客、供应商和政府规定的影响;

　　信息系统电算化的程度;

　　经营活动的地理分布;

　　内部控制系统的恰当性和有效性;

　　组织、经营、技术和经济的变化;

　　管理层的判断和会计预测;

　　审计结果的认可和所采取的纠正行动;

　　以前的审计日期和结果。

　　可以由不同的方式对组织范围内的风险因素进行评估，风险的分类方式也有所不同。但大多数模型遵照的程序包括：

　　风险识别

　　风险度量

　　风险排序

　　2.2.1　风险识别

　　通常站在组织的立场上，以系统的观点对风险和机会的性质进行风险识别。风险和机会通常按照战略、项目/方案/程序、经营的角度进行分类。通常的组织风险类别包括以下三类：

　　战略风险

　　关注内容：

　　反映战略计划的因素。

　　来源

　　查阅组织文献，例如任务、愿景、价值和战略计划以获取对于组织目标的清晰认识。

　　效果：

　　制定矩阵，根据时间范围对战略风险进行分类，将短期问题同中期和长期问题区分开来：

　　选择创造性的方式识别最显着的战略风险(例：头脑风暴法，复选法，假设情境分析);

　　确定哪些风险最可能对实现组织目标产生最大的影响(例如：对财务的影响，资产流动性，名誉)。

　　项目/方案/程序风险

　　关注内容：

　　检查具体的项目、方案和程序。

　　来源：

　　从职能部门和外部客户处获取。

　　效果：

　　建立风险因素标准(例：财务影响、管理层能力、内部控制质量、复杂性、客户/顾客满意度)。

　　经营风险

　　关注内容：

　　组织面临的日常经营风险及风险所有者。