风险评估包括管理层和员工在识别风险方面的投入. 在提交国际人道法批准之前,内部审计主任将与主席会面,讨论拟议的审计计划. 国际人道法首席审计执行官(CAE)向大学校长提供经批准的审计计划. 在一年中, 内部审计署署长可对计划作出更改, 与大学校长和国际人道法总审计长协商, 处理已识别风险的变化或管理层的要求, 这些变化记录在提交CAE的状态报告中. 风险评估中考虑的因素包括:
控制环境的质量和稳定性: 包括对现有控制结构的适当性的评价, 管理专业知识, 历史问题, 遵守预算, 操作的复杂性和经济影响. 需要考虑的问题包括:
- 部门内是否有行政人员变动?
- 是否发生了重大的程序修改?
- 部门主席/总监是否注意到部门程序上的问题?
- 上次审计有多久了?
- 是否每月对所有部门的收入和支出进行对账(与ERP“Banner”记录进行比较)?
经营风险: 较大的潜在损失通常与规模较大的活动有关, 如收入和支出所示. 在其他条件相同的情况下, 通过一个系统或承诺给一个活动或项目的大笔金额将增加审计的兴趣. 资产保障的金额和相对流动性将影响这一因素. 为每个可审计领域考虑的其他客观资料包括现金收入的美元数额, 应收账款, 维护库存和财产. 需要考虑的问题包括:
- 部门包含多少项目/领域?
- 整个部门的预算是多少?
- 整个部门的收入是多少?
- 所有项目/领域有多少全职员工?
公共 & 政治敏感性: 每当发生会削弱公众对大学信心的事件时,就会出现公共关系风险. 以下条件影响这一因素:不利宣传的可能性, 减少支持, 声誉受损或商誉枯竭, 对亚利桑那州立大学使命合法性的侵蚀或对传统价值观的误解. 需要考虑的问题包括:
- 这个部门对媒体的负面宣传有多敏感?
- 政治对实现部门目标有多大影响?
法规遵循需求: 与不合规相关的风险,涉及无法实现业务目标,可能由于不适当的业务实践而导致金钱损失, 征收罚款或提起诉讼, 资金来源的损失和来自资助机构的不允许的成本. 需要考虑的问题包括:
- 部门是否受州法律以外的外部法规管辖?
- 部门有外部审计吗?
资讯科技及管理报告: 一个组织的各个层面都需要可靠的信息来经营业务,并朝着实现实体所有类别的目标迈进. 可靠的内部措施, 包括资讯科技, 是生成信息所必需的吗. 需要考虑的问题包括:
- 除ERP系统外,其他电脑系统是否在部门内运作?
- 部门是否有任何对外报告的要求?
- 是否建立了备份数据文件的程序, 包括工作站和服务器上所有关键数据文件和程序的识别?
管理层对实现部门目标的关注, 欺诈, 部门的保密, 现行操作程序, 等. 也被考虑在内吗.