這是講述Auditor自己再審計過程中的風險,像是畢業專題報告時放一堆食物給評審吃,比較不會被問太多問題(想提早去上廁所?)
身為稽核員要避免各種不清楚行規、Log分散四處、稽核對象唬爛等等問題導致無法查出問題
圖片來源: Audit Risk and Compliance
圖片來源
Audit Risk Model
固有風險 (Inherent risk)
還沒開始做控制的情況下的風險,因為每個行業各有不同風險,可以先搜尋相關資訊了解
會計人員將200元記錄成200萬元的風險
控制風險 (Control risk)
無法經過控制檢測到的風險;可能因為時間不夠、沒有工具等問題,可以藉由交叉詢問的方式,找出問題
會計人員將200元記錄成200萬元而會計主管未能即時發現
檢測風險 (Detection risk)
已發生但未被稽核員檢測到的錯誤,因為不熟公司規範導致遺漏,可以藉由翻該公司的規範、SOP找尋問題
審計師檢查時未能發現財務報表錯報的風險
延伸閱讀審計都有風險?
量化/定量 - 計算出數字來描述可能影響的機率
SLE x ARO = ALE
資產 | 威脅 | 單一預期損失 (SLE) | 年發生率 (ARO) | 年度預期損失 (ALE) |
---|---|---|---|---|
桌電 | 中毒 | 2000 | 20 | 40000 |
印表機 | 故障 | 1000 | 10 | 10000 |
隨身碟 | 遺失 | 600 | 50 | 30000 |
質化/定性 - 使用文字的或分類等級來描述可能影響的機率
圖片來源
一步步教你用Excel 做出風險管理計劃書
應對風險的方式與CISSP相同緩解風險(mitigation)、轉移風險(transfer)、接受風險(acceptance)、拒絕風險(avoidance)
可以參考邦友的[Day03]今天我是首席資安官
有風險然後又不能接受的話就會進行控制,最終目的當然是把風險降至可以接受的等級
圖片來源ICT Risk Management Guidance
在CISA中與CISSP不同只有歸類成3種
預防性(Preventive)
職責分離、權限控管、加密等,避免意外發生
偵測性(Detective)
日誌、錯誤檢查、內部審查等,識別意外發生
糾正性(Corrective)
服務映像檔、災難恢復規劃(Disaster recovery)等,修復問題
依據戰略目標、政策及規則,檢視程序是否合乎預期,促進組織進步
圖片來源
How Auditors Assess Risk When Preparing Financial Statements
最後稽核不僅依賴於風險,還依賴於內部和運營控制以及對公司和業務的了解。 這種類型的風險評估決策可以幫助將控制的成本效益分析與已知風險相關聯,從而進行實際選擇,後面章節會陸續介紹各種業務類型。