1.3 基于风险的审计觃划

审计规划在审计流程开始时进行，以制定总体审计战略，并详细说明为实施战略和完成审计而需执行的特定程序。审计规划包含短期规划和长期规划。短期规划考虑当年将处理的审计问题，长期规划则应考虑与影响组织IT环境的组织IT战略方向变化有关的风险问题。

企业业务蓝图中的所有相关流程均应包含在审计范围之内。理想情况下，审计范围将列出可能会审计的所有流程。这些流程中，相关人员会针对确定的相关风险因素评估风险，从而进行定性或定量风险评估。风险因素是指影响风险场景出现频率和/或业务影响的因素。例如，若从事零售业务，声誉可能是一个关键的风险因素。理想情况下，风险评估应以业务流程所有者的意见为基础。虽然主观因素无法完全避免，但还是应基于客观标准评估风险因素。例如，就声誉因素而言，标准（根据从企业征求的意见）评级如下：

• 高：流程问题可能会导致声誉受损，组织将需要6个多月的时间来恢复。

• 中：流程问题可能会导致声誉受损，组织将需要3至6个月的时间来恢复。

• 低：流程问题可能会导致声誉受损，组织将需要不到3个月的时间来恢复。

在该例中，标准的客观因素是确定的时限，主观因素则存在于业务流程所有者对时限的确定过程中，无论该时限是超过6个月还是少于3个月均是如此。对照每个相关因素评估完风险后，就可定义标准以确定每个流程的总体风险。

然后可以制订审计计划，以将评级为“高”的所有流程囊括在内，该计划代表理想的年度审计计划。但实际上，可用资源通常不足以执行整个理想计划。该分析将帮助审计职能部门说明资源分配差距，并让高级管理层充分了解在不增大或扩充现有审计资源的情况下其承受的风险量。

每年应至少进行一次短期和长期问题分析。为了考虑新的控制问题、增强的评估技术以及风险环境、技术和业务流程的变化，这种频率是必要的。此类分析结果应由高级审计管理层审查，并经审计委员会（如果存在）或董事会批准，然后传达给相关管理层。如果风险环境的任何重要方面发生变化（例如，购置、新的法规问题、市场条件），应更新年度规划。