導語：如何才能寫好一篇戰(zhàn)略風險評估，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

[關鍵詞] 戰(zhàn)略審計;風險評估;評分維度;戰(zhàn)略風險分布圖

doi:10.3969/j.issn.1673-0194.2009.18.017

[中圖分類號] F239

[文獻標識碼] A

[文章編號] 1673-0194(2009)18-0050-03

一、戰(zhàn)略風險與戰(zhàn)略審計解析

戰(zhàn)略風險是一種綜合性風險，所有對企業(yè)價值或發(fā)展路徑產(chǎn)生重大影響的事件或趨勢，都可謂企業(yè)的戰(zhàn)略風險。其影響因素可能來自于外部，如自然災害和經(jīng)濟危機;也可能源自于內部，如企業(yè)轉型和盲目并購。

基于風險控制的戰(zhàn)略審計是將企業(yè)置于一個大的經(jīng)濟環(huán)境中，運用立體觀察的理論來判斷影響因素，從企業(yè)所處的經(jīng)濟環(huán)境、經(jīng)營方式、管理機制等方面來評估企業(yè)戰(zhàn)略制定、實施過程的科學合理性，并把被審計單位的戰(zhàn)略風險評估納入審計程序中去。

二、戰(zhàn)略審計實施中的風險評估探索

在實施戰(zhàn)略風險評估中，審計人員需要對初步識別出的風險點進行進一步的綜合評估，從而對企業(yè)戰(zhàn)略管理過程中的風險狀況做出合理、準確的判斷，并參考其他審計內容的有關因素和對戰(zhàn)略風險的影響程度，對審計結果做出調整。

對戰(zhàn)略風險的評估可采用單體風險評分法。其中，固有風險是假設企業(yè)沒有對這一風險進行管控所面臨的狀態(tài)，固有風險越高說明這項工作的重要性越高。剩余風險是結合了企業(yè)的管控有效性之后所面臨的風險，也就是企業(yè)實際的狀況。固有風險和剩余風險的概念差體現(xiàn)的就是企業(yè)的管理水平。單一風險評分法分別對固有風險、剩余風險打分，以各自的評分維度作為打分標準。分為5個等級:很高(5分)、高(4分)、中(3分)、低(2分)、很低(1分)。固有風險、剩余風險內各個維度的評分結束后，將得分加權平均，可得固有風險及剩余風險的總評分。

(一) 固有風險及剩余風險的評分維度剖析

對于固有風險的個別維度不適用的情況，直接在“很低”一欄填寫“不適用”即可;剩余風險不存在“不適用”的打分，若是個別維度體現(xiàn)不明顯，則直接選擇“很低”。評級盡可能先做定量判斷;在很難定量的情況下，再進行定性判斷。固有風險及剩余風險的評分維度如表1、表2所示。

對固有風險評分表的分析:

(1)財務影響。該維度是假設沒有管控或管控不力的情況下，近一年該戰(zhàn)略風險對公司凈利潤或現(xiàn)金流量的直接影響。財務影響的分級數(shù)據(jù)可利用公司年度稅后凈利潤或現(xiàn)金流量乘以重要性水平得到。

(2)聲譽。該維度是假設沒有管控或管控不力的情況下，戰(zhàn)略風險導致的后果所引發(fā)的社會責任以及對公司聲譽的影響程度。其可從負面消息流傳的范圍及關注程度考慮，“很高”，是在世界范圍流傳;“很低”，是在企業(yè)內部流傳;“中”是在全國流傳。

(3)合法合規(guī)性。該維度是假設沒有管控或管控不力的情況下，公司違反相關法規(guī)的程度或金額。可從兩個方面考慮:一方面是違規(guī)的程度，反映在調查機關的級別高低上，“很高”是引起中央機關的調查，“中”是導致地方政府的調查，“很低”是輕微的違反法律法規(guī);另一方面是引起訴訟和罰款的金額。

(4)客戶。該維度是假設沒有管控或管控不力的情況下，與公司的銷售終端——客戶的關系受影響的程度，可用客戶的訂單量為參考依據(jù)?！昂芨摺笔强蛻敉Ｖ共少徎蛉∠?0%以上訂單;“高”是客戶尋找其他供應商或取消部分訂單;“中”是對客戶訂單基本無影響，但未來的業(yè)務發(fā)展受到限制;“低”是有部分投訴或發(fā)生補救費用;“很低”是對客戶影響很小，僅發(fā)生最少的投訴及補救費用。

(5)員工的流失。該維度是假設在不對該風險進行管控的情況下公司全體員工的流失程度。可從兩方面進行評價:一是關鍵員工的流失比率;二是普通員工的流失比率。員工流失的越多，級別越高。

(6)運營。該維度結合了對企業(yè)整體業(yè)務影響的時間、人力、成本等定量指標，即指挽回對運營造成的影響所需付出的成本、人力等。從“很高”到“很低”，對企業(yè)的業(yè)務的影響程度依次是:影響重大業(yè)務能力、影響部分業(yè)務能力、影響日常運作、有一定影響但不影響日常運作、影響微弱等，無法定量判斷時就采用定性判斷。

(7)其他利益相關者。這里是指除了客戶和員工以外的利益相關者，如股東和社會機構。其反映為對企業(yè)股價的影響，可以用消息是否外傳或公布來幫助理解?！昂芨摺钡健昂艿汀币来螌?股價連續(xù)大幅震蕩、股價數(shù)日大幅震蕩、股價非正常震蕩、股價單日漲(跌)停、不會實質性導致股票波動。

(8)發(fā)作速度。該維度假設在沒有管控或管控不力的情況下，從隱性不利跡象到風險導致實質損失的時間、非常迅速到很少或沒有預警時間?！昂芨摺钡健昂艿汀币来螌?在一到幾天以內就發(fā)作、經(jīng)過數(shù)天到數(shù)周才發(fā)作、潛伏期已達數(shù)月、潛伏期在數(shù)月以上到數(shù)年。

對剩余風險評分表的分析:

(1)響應速度。該維度衡量風險事件發(fā)生以后企業(yè)采取補救措施的速度，響應速度越快風險越低。

(2)控制效果和效率:控制/整改。該維度衡量風險事件發(fā)生之后企業(yè)是否針對原有流程進行優(yōu)化與整改:“很高”是沒有整改計劃，“高”是計劃不完善，“中”是有計劃但沒有例行測試，“低”是有計劃有定期測試，“很低”是將計劃和測試嵌入企業(yè)的整個流程，作為部門的長效管理機制。

(3)控制效果和效率:監(jiān)測和報告。該維度衡量有關風險的報告，“很高”和“高”的差別是有沒有分析風險，有沒有報告;“高”和“中”的差別是有沒有識別風險源頭，是口頭報告還是正式報告;“中”和“低”的差別是有沒有報告的時間表;“低”和“很低”的差別是有沒有風險指標。

(4)近一年的風險數(shù)據(jù):違規(guī)成本或造成的損失。該維度衡量近一年內該風險發(fā)生造成的實際損失的相關數(shù)據(jù)。

(5)風險管理能力:人/技能/知識。該維度考慮兩個方面:一是員工本身的管理戰(zhàn)略風險的意識和能力;二是員工獲取外部資源的途徑是否充分，即有助于戰(zhàn)略風險管理的渠道、信息、管理方法、管理模型等。員工的風險管理能力越強、能夠獲取的外部資源越多風險越低。

(6)風險管理能力:第三方。該維度衡量企業(yè)在進行戰(zhàn)略風險管理時與第三方的關系。對第三方的依賴程度越高，風險越高。第三方包括:客戶、商、供應商。

(7)風險管理能力:流程。對流程的影響是指改變流程的走向。主要看對關鍵流程的影響:影響多個關鍵流程對應“很高”;影響一個關鍵流程對應“高”;對關鍵流程沒有影響對應“中”。

(8)風險管理能力:系統(tǒng)/數(shù)據(jù)/信息系統(tǒng)/安全。該維度衡量對企業(yè)關鍵信息系統(tǒng)的依賴和影響程度。依賴和影響的程度越大，風險程度就越高。如果信息系統(tǒng)出現(xiàn)問題，考慮是否能夠由手工替代，若完全無法替代，則剩余風險較高。

(9)擴張或收縮。該維度是指未來12個月或更長的時間內管理這個風險的業(yè)務、人員、流程和系統(tǒng)發(fā)生變革的程度。發(fā)生變革的程度越大，則剩余風險越高。

(二)戰(zhàn)略風險分布圖評估

通過對識別出的各個戰(zhàn)略風險的評分，我們可以得到有關單體風險的一個分值(X，Y)，固有風險一個分

數(shù)(X)、剩余風險一個分數(shù)(Y)，據(jù)此可以得到四象限矩陣的戰(zhàn)略風險分布圖，如圖1所示。

戰(zhàn)略風險分布圖清晰地展示了企業(yè)目前面臨的戰(zhàn)略風險的現(xiàn)狀，固有風險展示的是戰(zhàn)略風險原生態(tài)的狀況，是該戰(zhàn)略風險的重要性的體現(xiàn);剩余風險展示的是管理層施加管理控制措施后的風險水平，其實質上反映了企業(yè)的管控水平及能力。戰(zhàn)略風險分布圖可以讓管理層一目了然地了解到戰(zhàn)略管理中存在的問題，即哪些程序、哪些環(huán)節(jié)仍需進一步的調整與控制。

戰(zhàn)略風險分布圖已成為審計人員提出審計意見及改進建議的依據(jù)。針對第一象限的戰(zhàn)略風險(雙高風險)，審計人員應建議管理層改善現(xiàn)有的管理措施，提升業(yè)務流程及人員的管理水平，加強對該風險事件的監(jiān)測與控制;針對第二象限內的戰(zhàn)略風險(固有風險高，剩余風險低)，表明企業(yè)針對重大風險事件所采取的管理措施是行之有效的，但仍需繼續(xù)關注，建議管理層定期評審相關流程的內部控制執(zhí)行效力;針對第三象限內的戰(zhàn)略風險(雙低風險)，審計人員應建議管理層重新部署有限的管理資源，將人力、時間投入到需要管控的其他流程上;針對位于第四象限的戰(zhàn)略風險(固有風險低，剩余風險高)，因其剩余風險是風險事件長期積累的結果，審計人員應進一步測量該風險的累積影響。

三、結束語

本文將戰(zhàn)略風險管理與企業(yè)戰(zhàn)略審計有機地融合，通過對基于風險控制的戰(zhàn)略審計評估技術的探討，并融合企業(yè)環(huán)環(huán)相扣的戰(zhàn)略管理活動，使其真正能夠起到改善并控制企業(yè)戰(zhàn)略風險的功效，以此促進我國審計事業(yè)的良性發(fā)展。同時，基于風險控制的戰(zhàn)略審計評估能促使企業(yè)內部控制系統(tǒng)不斷實施、執(zhí)行、評價和完善，趨于持續(xù)動態(tài)改進。

主要參考文獻

篇2

【關鍵詞】傳統(tǒng)風險導向審計現(xiàn)代風險導向審計風險評估策略審計風險

ComparingontheTacticsofRiskAssessmentofTraditionalRisk-basedAuditandModernRisk-basedAudit

Abstract:TraditionalRisk-basedAuditandModernRisk-basedAuditarethetwophasesthatRisk-basedAudithasevolved.tacticsofriskassessmentofTraditionalRisk-basedAuditandModernRisk-basedAuditdifferfromeachotherwhiletheystillhavesomesimilarities.ThispaperdoestheComparionontheTacticsofRiskAssessmentfromthefollowingfouraspects:orientationofriskassessment,extentofriskassessment,proceduresofriskassessmentandmethodsofriskassessment.

Keywords:TraditionalRisk-basedAuditModernRisk-basedAudit

TacticsofRiskAssessmentAuditrisk

一、引言

傳統(tǒng)風險導向審計和現(xiàn)代風險導向審計是風險導向審計模式發(fā)展的兩個不同階段。傳統(tǒng)風險導向審計和現(xiàn)代風險導向審計均以風險評估為起點，同時都將風險與控制方法貫穿運用于審計全過程，使審計過程成為一個不斷克服和降低審計風險的過程。因此傳統(tǒng)風險導向審計和現(xiàn)代風險導向審計兩種審計模式在風險評估策略上存在一定的相同之處，但同時更多地體現(xiàn)出了差異。鑒于兩種審計模式的風險評估策略較易被混淆，本文擬對兩種審計模式的風險評估策略作一比較，對兩者差異加以初步探討。二、傳統(tǒng)風險導向審計和現(xiàn)代風險導向審計涵義

（一）傳統(tǒng)風險導向審計傳統(tǒng)風險導向審計也稱為控制風險導向審計[1]。審計模式發(fā)展到傳統(tǒng)風險導向審計的標志性事件是AICPA在1983年了第47號《審計準則公告》（SASNo.47）——“審計業(yè)務中的審計風險和重要性”，首次提出了審計風險模型。傳統(tǒng)風險導向審計是指審計人員在審計過程中將風險分析、評價與控制融入傳統(tǒng)審計方法（賬項導向審計和制度導向審計）之中，進而獲取審計證據(jù)，形成審計結論的一種審計取證模式。傳統(tǒng)風險導向審計的基本程序并沒有脫離制度導向審計模式，但它在制度導向審計模式的基礎上更加注重風險評估和風險管理。針對制度導向審計不直接處理審計風險，不能對審計風險進行量化的缺點，傳統(tǒng)風險導向審計引入審計風險模型，通過該模型將從各種渠道所收集的證據(jù)聯(lián)系了起來，并在此基礎上對審計風險進行定量評估，將審計資源相對合理的分配到高風險領域。（二）現(xiàn)代風險導向審計

現(xiàn)代風險導向審計也稱為經(jīng)營（商業(yè)）風險導向審計、風險基礎戰(zhàn)略系統(tǒng)審計。1997年，Bell和Frank發(fā)表了名為《通過戰(zhàn)略系統(tǒng)的視角對組織進行審計》的研究報告，首次提出了畢馬威的BMP審計模式，這標志著現(xiàn)代風險導向審計的產(chǎn)生。現(xiàn)代風險導向審計是審計技術方法在系統(tǒng)和戰(zhàn)略管理理論基礎上的重大創(chuàng)新，它以被審計單位的戰(zhàn)略經(jīng)營風險為導向，通過“戰(zhàn)略分析——流程分析——經(jīng)營業(yè)績評價——財務報表剩余風險分析”的基本思路，將報表重大錯報風險和經(jīng)營風險聯(lián)系了起來，從而提出了審計師從源頭分析和發(fā)現(xiàn)會計報表錯報的觀念[2]。現(xiàn)代風險導向審計針對傳統(tǒng)風險導向審

計風險評估不到位，未能有效發(fā)現(xiàn)高風險審計領域，造成審計過量或審計不足的缺點，大大加強了風險評估程序，做到了以風險評估中心，真正體現(xiàn)了風險導向審計的理念。

2003年10月國際審計和保證準則委員會（IAASB）了國際審計準則第315號(ISA315)“了解被審計單位及其環(huán)境并評估重大錯報風險”，將傳統(tǒng)風險導向審計下的審計風險模型修改為：審計風險＝重大錯報風險×檢查風險，明確規(guī)定了審計工作以評估財務報表重大錯報風險作為新的起點和導向。這就導致了實務中普遍運用的現(xiàn)代風險導向審計在審計風險模型和審計具體風險導向等上和準則規(guī)定產(chǎn)生了一定的差異。鑒于這一點，特別指出本文所稱的現(xiàn)代風險導向審計是指國際會計師事務所在實務中運用的以戰(zhàn)略經(jīng)營風險為導向的現(xiàn)代風險導向審計。二、傳統(tǒng)風險導向審計和現(xiàn)代風險導向審計風險評估策略比較

風險評估是指對審計風險的評估。美國注冊會計師協(xié)會（AICPA）認為審計風險是指審計人員對于存在重大錯報的財務報表未能適當發(fā)表意見的風險[3]。風險評估的目標就是確定

高風險環(huán)節(jié)，從而確定審計的范圍和重點，并進一步確定如何收集、收集多少和收集何種性質的證據(jù)，以便更有效地控制和提高審計效果及審計效率。策略，是根據(jù)形勢發(fā)展而制定的行動方針和方法。借鑒中注協(xié)（1997）對審計策略的定義，筆者將風險評估策略定義為審計人員根據(jù)確定的風險評估范圍，選擇能夠達到風險評估目標而應當實施的最有效風險評估程序的基本思路、組織方式和具體方法。在本文中，筆者從風險評估導向、風險評估范圍、風險評估程序、以及風險評估具體方法四個方面來比較兩種審計模式的風險評估策略。

（一）風險評估導向

雖然國際審計準則規(guī)定，在傳統(tǒng)風險導向審計下審計人員首先應當對財務報表整體層次和交易類別、賬戶余額認定層次的固有風險進行評估，但由于固有風險和控制風險都受內外部環(huán)境的，兩者很難區(qū)分，因此審計人員通常難以對固有風險單獨做出準確評估。又鑒于穩(wěn)健性原則的考慮，實務中審計人員往往將固有風險簡單地確定為高水平，從而將風險評估重點鎖定在控制風險上。因此在實務中，傳統(tǒng)風險導向審計實際上是以對控制風險進行的評估為切入點的，所以傳統(tǒng)風險導向審計是以控制風險為導向的。

現(xiàn)代風險導向審計強調：審計人員的審計風險[i]主要來源于企業(yè)財務報表的錯報風險，而企業(yè)財務報表的錯報風險則主要來源于整個企業(yè)的戰(zhàn)略管理風險和經(jīng)營活動風險[4]。所以要充

分理解審計風險，審計人員就必須從企業(yè)的戰(zhàn)略分析入手，充分識別企業(yè)內、外部風險并理解內外部風險對財務報表認定的影響。因此，現(xiàn)代風險導向審計并不直接從對固有風險的評估入手，而是間接地以被審計單位的戰(zhàn)略經(jīng)營風險為導向，通過綜合評估戰(zhàn)略經(jīng)營風險從而確定財務報表剩余風險，并進一步確定實質性測試的范圍、時間和程序。因此，現(xiàn)代風險導向審計是以戰(zhàn)略經(jīng)營風險為導向的。（二）風險評估范圍

在實務中運用傳統(tǒng)風險導向審計時，審計人員往往忽略對固有風險的準確評估，而將固有風險簡單地確定為高水平。因此在傳統(tǒng)風險導向審計下審計人員往往不注重從宏觀層面上了解企業(yè)及其環(huán)境（如行業(yè)狀況、監(jiān)管環(huán)境；企業(yè)的性質；企業(yè)的目標、戰(zhàn)略、以及可能導致會計報表重大錯報的相關經(jīng)營風險；對企業(yè)財務業(yè)績的衡量和評價）[5]，而只關注企業(yè)的內部

控制。因此，在傳統(tǒng)風險導向審計方法下，審計人員實際上只僅僅依賴對控制風險所作的粗放型評估來直接、大致確定檢查風險水平。

現(xiàn)代風險導向審計要比傳統(tǒng)風險導向審計站得更高，看得更遠，對企業(yè)了解得更透。它將被審計單位置于廣泛的系統(tǒng)中，認為有效的審計需要對企業(yè)所處的宏觀經(jīng)濟環(huán)境和行業(yè)環(huán)境、戰(zhàn)略目標和措施、影響企業(yè)目標實現(xiàn)的主要業(yè)務活動和關鍵經(jīng)營環(huán)節(jié)以及剩余風險進行深入的了解。在現(xiàn)代風險導向審計下審計風險仍然由固有風險、控制風險和檢查風險三要素組成，審計人員也同樣要對固有風險和控制風險進行評估。但是相比傳統(tǒng)風險導向審計，現(xiàn)代風險導向審計下“固有風險”的內涵擴大了，除了包括會計報表項目本身的風險外，更多地考慮了企業(yè)的經(jīng)營風險。而且在現(xiàn)代風險導向審計下，企業(yè)內部控制已經(jīng)發(fā)展到內部控制框架階段，并有被企業(yè)全面風險管理框架取代的趨勢，相比傳統(tǒng)風險導向審計下的內部控制結構概念，現(xiàn)代風險導向審計下對控制風險進行評估時考慮的因素則更加全面了。

（三）風險評估程序傳統(tǒng)風險導向審計風險評估的基本程序可表示為：固有風險評估了解被審計單位的內部控制結構控制風險初步評估控制測試（可選）控制風險綜合評估確定檢查風險。審計人員在對固有風險進行評估時主要考慮以下因素：管理人員的品行、能力、變動情況和遭受異常壓力的情況；客戶業(yè)務特征；關聯(lián)方；非常規(guī)交易；以前審計結果等。但由于種種原因，實務中審計人員往往忽略對固有風險的準確評估，通常的做法是將固有風險簡單地確定為高水平，而將風險評估的重點放在控制風險上。審計人員在對被審計單位的內部控制進行了解時，首先從控制環(huán)境入手，再對制度和控制程序進行分析。分析控制環(huán)境時主要考慮以下因素：管理和經(jīng)營作風；組織機構；董事會及審計委員會職能；人事政策和程序；確定職權和責任的等。然后審計人員基于當前對內控的了解對控制風險水平進行初步評估（計劃估計水平）。如果審計人員將某一控制的控制風險初步評估為最高值，則對該控制不需執(zhí)行控制測試而直接進入實質性測試階段；但如果審計人員將某一控制的控制風險評估為低于最高值時，則就需要對該控制執(zhí)行控制測試，從而來獲取證據(jù)以支持低于最高值的風險水平。控制測試完成以后，審計人員對被測試控制的控制風險進行再次評估（最終估計水平），并根據(jù)最終估計水平來決定相應的檢查風險水平。風險導向審計風險評估的基本程序可用下圖表示。如圖所示（由于不能粘貼，此處圖略），審計人員首先需要對客戶的戰(zhàn)略進行分析，分析時需要對客戶的內外部環(huán)境進行了解，包括客戶行業(yè)狀況、監(jiān)管環(huán)境以及其他外部因素（宏觀環(huán)境等）；被審計單位的目標、戰(zhàn)略以及面臨的經(jīng)營風險；對威脅企業(yè)戰(zhàn)略的風險做出的反應等。對客戶的戰(zhàn)略進行分析后即可對戰(zhàn)略風險做出評估?，F(xiàn)代風險導向審計下內部控制被分為管理控制（戰(zhàn)略控制、高層控制）和流程控制（一般控制、員工控制）[6]，在對客戶的戰(zhàn)略進行分析時同時要對戰(zhàn)略控制進行了解并進行評價。然后審計人員對客戶的流程進行分析，分析時可從流程目標、投入、作業(yè)、交易類型、威脅流程目標的風險等八個維度來了解流程情況[7]。通過流程分析可

以了解客戶創(chuàng)造價值的方式、競爭優(yōu)勢及劣勢、威脅，從而來評估流程經(jīng)營風險。在對客戶的流程進行分析時同時要對流程控制進行了解并進行評價。在對戰(zhàn)略經(jīng)營風險和流程經(jīng)營風險進行評估時特別要注重對舞弊風險的評估。然后在此基礎上來對固有風險進行初步評估，在評估時除了要重點考慮經(jīng)營風險可能引起的重大錯報之外，還要考慮其他可能引起重大錯報的因素（管理當局遭受的異常壓力等）。審計人員在對客戶的戰(zhàn)略和流程進行分析時已經(jīng)從企業(yè)整體層次對內部控制進行了了解（戰(zhàn)略控制和流程控制）并做了評價，在這個基礎上還要對內部控制的其他方面進行了解并給予評價，特別是要關注有關交易重要類別的控制?；趯炔靠刂瞥浞值牧私?，審計人員然后對控制風險進行初步評估。由于固有風險和控制風險都受企業(yè)內外部環(huán)境的，兩者之間存在著緊密的聯(lián)系，因此審計人員在單獨對固有風險、控制風險進行初步評估的基礎上還須對兩者進行綜合評估，即固有風險和控制風險的聯(lián)合。對聯(lián)合風險的評估是審計工作的核心，因為接下來其余的審計工作都要圍繞聯(lián)合風險來進行，聯(lián)合風險的評估結果是審計人員決定實質性程序性質、時間以及范圍的基礎[8]。然后審計人員對值得信賴的控制進一步執(zhí)行控制測試，從而來獲取支持其較低控制風險水平的證據(jù)。最后根據(jù)控制測試結果并結合聯(lián)合風險評估水平，審計人員對會計報表重大錯報風險進行綜合評估，從而來確定會計報表剩余風險（即檢查風險），并進一步?jīng)Q定實質性程序的性質、時間以及范圍。（四）風險評估具體方法風險評估的方法主要有觀察、檢查、函證、詢問、穿行測試、分析性程序等多種審計取證手法。雖然傳統(tǒng)風險導向審計客觀上要求大量使用分析性程序來進行風險評估，但由于實務中審計人員往往忽略對固有風險的準確評估，因此限制了分析性程序的運用范圍。而且傳統(tǒng)風險導向審計對于信急的再加工重視程度不夠，分析性程序主要適用在報表分析上[9]。而在現(xiàn)代風險導向審計下，風險評估以分析性程序為中心，分析性程序成為最重要的程序。而且隨著分析性程序功能的不斷擴大，分析性程序開始走向多樣化，審計人員不僅對財務數(shù)據(jù)進行分析，同時也對非財務數(shù)據(jù)進行分析。由于分析性程序的多樣化運用，大量的分析工具以及現(xiàn)代管理方法被運用到分析性程序中去。如在戰(zhàn)略分析時審計人員運用了PSET分析和POPTER分析方法；在流程分析時運用到了價值鏈分析（VCA)）和波士頓矩陣（BCG）以及SWOT分析方法；績效分析時運用到了平衡積分卡（BSC）和標桿管理（Benchmarking）分析技術[10]。將分析工具運用到風險評估中使得風險因素不再獨立，而且風險評估不再是一元評估，而是多元評估，因此風險評估的結果將更加可靠。

三、結論

1.風險評估導向不同：

雖然國際審計準則規(guī)定傳統(tǒng)風險導向審計應以固有風險為切入點，但在實務中傳統(tǒng)風險導向審計實際上是以控制風險為導向的；而現(xiàn)代風險導向審計則是以戰(zhàn)略經(jīng)營風險為導向的。

2.風險評估范圍不同：

審計人員在實務中運用傳統(tǒng)風險導向審計時往往會忽略對固有風險的準確評估，只通過對控制風險所作的粗放型評估來決定實質性測試的性質、時間和范圍；而現(xiàn)代風險導向審計下審計人員除了要對傳統(tǒng)的固有風險，即會計報表項目本身的風險進行評估之外，更多地是要考慮企業(yè)的經(jīng)營風險，特別是注重對舞弊風險的評估[11]。同時由于內部控制概念內涵的擴

大，審計人員在對控制風險進行評估時考慮的因素相比傳統(tǒng)風險導向審計下更加全面了。

3.風險評估程序不同：相比傳統(tǒng)風險導向審計，由于現(xiàn)代風險導向審計增加了對企業(yè)戰(zhàn)略和經(jīng)營流程的分析，以及對經(jīng)營風險的評估，而且最后將固有風險和控制風險聯(lián)合起來進行評估，因此在評估程序方面現(xiàn)代風險導向審計比傳統(tǒng)風險導向審計更完善。由于現(xiàn)代風險導向審計對審計風險考慮的更全面了，所以在現(xiàn)代風險導向審計下能夠更好的將會計報表剩余風險降低到可接受水平。4.風險評估具體方法重點不一樣：兩種審計模式在風險評估時都運用了觀察、檢查、函證、詢問、穿行測試等風險評估方法，但相比傳統(tǒng)風險導向審計，現(xiàn)代風險導向審計更注重分析性程序的運用，做到了以分析性程序為中心。

________________________________________

[i]國際會計師事務所認為審計風險應該是廣義的，即不僅包括審計過程的缺陷而導致審計結果與實際不相符而產(chǎn)生損失或責任風險，還包括客戶經(jīng)營失敗而導致審計主體遭受損失或不利的可能性。

：

[1]王澤霞.論風險導向審計創(chuàng)新[J].會計，2004（12）:49-54

[2]謝榮，吳建友.現(xiàn)代風險導向審計研究與實務發(fā)展[J].會計研究，2004（14）:47-51

[3]AICPA：professionalStandardsAsofJune1,1992,AU.31

[4]謝榮，吳建友.現(xiàn)代風險導向審計基本內涵分析[J].審計研究，2004（05）:26-30

[5]陳毓圭.對風險導向審計方法的由來及其發(fā)展的認識[J].會計研究，2004（14）:58-63

[6]鄭朝暉.戰(zhàn)略系統(tǒng)審計：財務數(shù)據(jù)之合理預期[J/OL].會計視野，2004[2006-4-17]/showdoc.asp?docid=448&uchecked=true

[7]王義華.BMP審計模式介紹[J].中國注冊會計師，2005（06）:69-70

[8]Ernst&YoungGlobalAuditPlanningToolkit2004[M],2004:65-67

[9]馬賢明，鄭朝暉.現(xiàn)代風險導向審計探討[J].審計與經(jīng)濟研究，2005（01）:9-13

篇3

一、現(xiàn)代風險導向審計風險概述

現(xiàn)代風險導向審計也稱為經(jīng)營（商業(yè)）風險導向審計、風險基礎戰(zhàn)略系統(tǒng)審計?，F(xiàn)代風險導向審計是審計技術方法在系統(tǒng)理論和戰(zhàn)略管理理論基礎上的重大創(chuàng)新，它以被審計單位的戰(zhàn)略經(jīng)營風險為導向，通過戰(zhàn)略分析――流程分析――經(jīng)營業(yè)績評價――財務報表剩余風險分析的基本思路，將會計報表重大錯報風險和經(jīng)營風險聯(lián)系了起來，從而提出了審計師從源頭分析和發(fā)現(xiàn)會計報表錯報的觀念?，F(xiàn)代風險導向審計針對傳統(tǒng)風險導向審計風險評估不到位，未能有效發(fā)現(xiàn)高風險審計領域造成審計過量或審計不足的缺點，大大加強了風險評估程序，實現(xiàn)以風險評估為中心。

國際審計和鑒證準則委員會了一系列新的審計準則，風險模型也修改為：審計風險=重大錯報風險×檢查風險。重大錯報風險評估是通過“了解被審計單位及其環(huán)境并評估重大錯報風險”來實現(xiàn)的。這一思想將風險評估的范圍拓展了，要求將被審單位的各種風險，包括控制風險、賬戶及交易層次風險及其他如企業(yè)的經(jīng)營風險、行業(yè)風險、舞弊風險等都考慮進去?？傮w來說，現(xiàn)代風險導向審計是一種新的審計基本方法，它以被審計單位的經(jīng)營風險分析為導向，以審計理論、系統(tǒng)理論和戰(zhàn)略管理理論為指導，通過自上而下和自下而上相結合的審計思路完成審計工作。

現(xiàn)代風險導向審計模型改變了以往從局部到整體的審計思路，為注冊會計師從整體上把握和控制審計風險提供了基礎。現(xiàn)代風險導向審計模型要求針對會計報表整體層次和認定層次來分別評估重大錯報風險，并采取不同的應對措施來克服原模型側重于認定層次而忽視會計報表層次的缺陷。還要求注冊會計師識別和評估會計報表整體層次和認定層次的重大錯報風險，將識別出的風險與認定層次可能發(fā)生的錯報聯(lián)系起來，考慮風險的重大性和可能性。注冊會計師應針對評估出的兩個層次的重大錯報風險，合理運用職業(yè)判斷分別確定總體應對措施和設計、實施進一步的審計程序，以將審計風險降至可接受的水平。另外，還要求注冊會計師針對評估的會計報表整體層次的重大錯報風險，采取總體應對措施：向項目組強調在收集和評價審計證據(jù)過程中保持職業(yè)懷疑態(tài)度的必要性、分派更有經(jīng)驗的或具有特殊技能的注冊會計師，或利用專家的工作，提供更多的督導，在選擇進一步的審計程序時，應當注意某些程序不能被企業(yè)管理當局預見或事先了解，對擬實施審計程序的性質、時間和范圍做出總體修改。

二、現(xiàn)代風險導向審計風險評估基本程序

現(xiàn)代風險導向審計強調審計風險主要來源于企業(yè)財務報表的錯報風險，而企業(yè)財務報表的錯報風險則主要來源于整個企業(yè)的戰(zhàn)略管理風險和經(jīng)營活動風險。它認為，要充分理解審計風險，審計人員就必須從企業(yè)的戰(zhàn)略分析、流程分析入手，充分識別企業(yè)內、外部風險，并理解內、外部風險對財務報表認定的影響。因此，現(xiàn)代風險導向審計并不直接從對固有風險的評估入手，而是間接地以被審計單位的經(jīng)營風險（包括戰(zhàn)略經(jīng)營風險和流程經(jīng)營風險）為導向，通過綜合評估經(jīng)營風險從而確定財務報表剩余風險，并進一步確定實質性測試的范圍、時間和程序。（圖1）

三、風險評估

規(guī)避審計風險，必須從承接開始充分認識到風險的存在，這也是控制風險的關鍵一步。因此，根據(jù)獨立審計準則要求，在承接業(yè)務簽署審計業(yè)務書前，審計人員應對被審計單位的基本情況進行了解。如，業(yè)務性質、經(jīng)營情況、經(jīng)營風險、以前年度的審計情況、財務機構及組織工作等。根據(jù)了解的情況，審計人員運用專業(yè)判斷評估審計風險，決定有無能力勝任，被審計單位的性質如何等，進而決定是否接受委托、確定審計計劃及審計程序。

（一）戰(zhàn)略經(jīng)營風險評估。企業(yè)接受委托前需對客戶的行業(yè)狀況、監(jiān)管環(huán)境以及其他外部因素，如被審計單位的性質及對會計政策的選擇和運用、被審計單位的目標戰(zhàn)略以及相關經(jīng)營風險、對被審計單位財務業(yè)績的衡量和評價相關內部控制，在進行必要的了解后，評估會計報表總體層次和認定層次的重大錯報風險。

了解客戶及其環(huán)境，包括了解客戶的目標、戰(zhàn)略以及可能導致會計報表重大錯報的相關經(jīng)營風險，而不是了解和評估全部的經(jīng)營風險。這主要是因為不是客戶所有的經(jīng)營風險在任何情況下都最終具有財務后果且必然會導致會計報表重大錯報風險；評估和控制所有經(jīng)營風險、實現(xiàn)經(jīng)營目標是企業(yè)管理當局的責任；而注冊會計師的責任是評估被審計會計報表的所有重大錯報風險，以幫助其設計和實施有效的審計程序，及時保證發(fā)現(xiàn)重大錯報，實現(xiàn)審計目標。

戰(zhàn)略經(jīng)營風險評估主要是對組織內部環(huán)境戰(zhàn)略經(jīng)營風險（公司治理結構、內部組織文化、核心競爭力、內部信息溝通）、本地外部環(huán)境戰(zhàn)略經(jīng)營風險（直接競爭對手、本地勞動力市場、顧客/供應商關系）、全球環(huán)境戰(zhàn)略經(jīng)營風險（國外不確定的政治監(jiān)管環(huán)境、自然資源、全球競爭、文化優(yōu)勢）進行評估。

1、組織內部環(huán)境戰(zhàn)略經(jīng)營風險。合理的公司治理結構可以保障組織系統(tǒng)的正常運轉，幫助組織實現(xiàn)戰(zhàn)略經(jīng)營目標；不合理的公司治理結構，甚至是治理結構中的微弱不和諧因素都可能導致組織整體戰(zhàn)略的失敗。因此，公司治理結構的合理與否是組織內部環(huán)境中的一個重要戰(zhàn)略經(jīng)營風險來源。

組織文化是組織成員內在化的、共同的行為指向，也是企業(yè)解決如何在外部生存以及內部如何共同生活的一套哲學。員工誠信、員工士氣、忠誠度、管理層的領導風格等都可能抑制員工的靈活性和學習能力。因此，組織文化的功能是戰(zhàn)略經(jīng)營風險產(chǎn)生的主要來源。

組織中的信息不通暢、員工的情感或情緒問題得不到合理宣泄和回應，天長日久就沉淀淤積，導致組織有效運行障礙和日后組織病變，故組織中的信息溝通情況也是組織戰(zhàn)略目標實現(xiàn)的一個來源。

2、本地外部環(huán)境戰(zhàn)略經(jīng)營風險。直接競爭主要包括直接競爭對手不斷適應和改進其經(jīng)營，新競爭對手進入市場激化價格戰(zhàn)。競爭對手的銷售管理機制和市場政策對公司在既定市場上的銷售能力和市場開發(fā)能力的影響導致公司業(yè)績受到影響。如果公司采取有效的措施來提高銷售管理機制的競爭力和政策應變能力，則必然削弱市場開發(fā)能力，導致銷售業(yè)績降低，在失去競爭優(yōu)勢的同時，增大公司的戰(zhàn)略經(jīng)營風險。

本地勞動力市場風險來源主要是指組織與直接競爭對手在爭奪最優(yōu)勞動力資源方面展開的競爭。人力資源滿足公司發(fā)展的程度、人才資源的開發(fā)、管理機制和企業(yè)家資源是影響公司發(fā)展的重要戰(zhàn)略風險因素。

3、全球環(huán)境戰(zhàn)略經(jīng)營風險。國外不確定的政治、監(jiān)管環(huán)境、自然資源的地理位置、全球市場競爭狀況及一個國家或地區(qū)的語言、文化、風俗及都會深刻地影響企業(yè)的組織文化，從而影響企業(yè)的戰(zhàn)略經(jīng)營風險。

與戰(zhàn)略有關的審計程序會生成證據(jù)來幫助審計師提高對戰(zhàn)略經(jīng)營風險、重大錯報風險評估的準確性，有助于評估和控制檢查風險。戰(zhàn)略經(jīng)營風險評估是一個循環(huán)遞推過程，需要反復評估和獲得反饋，直到審計師的目標實現(xiàn)，即建立充分、合理的審計判斷。

（二）經(jīng)營環(huán)節(jié)風險評估。通過客戶戰(zhàn)略系統(tǒng)風險評估，審計師已經(jīng)識別出重要戰(zhàn)略風險和重大交易類別，從而可以推導出重大風險經(jīng)營環(huán)節(jié)。通過客戶戰(zhàn)略系統(tǒng)分析，審計人員應該考慮客戶的戰(zhàn)略和戰(zhàn)略管理程序同財務報告的關系，尤其是對于會計政策選擇和財務報表披露，客戶的經(jīng)營戰(zhàn)略和經(jīng)營風險對會計和審計意味著什么，會計估計和計價是否反映了重大的經(jīng)營風險，客戶的戰(zhàn)略風險如何影響經(jīng)營流程和交易流程的額外審計工作。

環(huán)節(jié)分析是為了使審計人員深入了解在初期審計中發(fā)現(xiàn)的關鍵經(jīng)營環(huán)節(jié)，了解客戶是如何創(chuàng)造價值的。特別是研究每一項核心經(jīng)營環(huán)節(jié)，以發(fā)現(xiàn)重要的環(huán)節(jié)目標、與這些目標有關的經(jīng)營風險，以及這些風險和控制對財務報表的影響。環(huán)節(jié)風險包括：領導風險、監(jiān)管風險、技術風險、財務計劃風險、人力資源風險、運營風險、信息風險。

審計師對環(huán)節(jié)風險進行分析時需要結合環(huán)節(jié)目標、環(huán)節(jié)關鍵成功要素的理解，審計師對重要環(huán)節(jié)風險進行分析、識別的原因是它們可能會導致會計報表的重大錯報。同時，重大交易類別也可能會導致會計報表的重大錯報。另外，審計師在進行環(huán)節(jié)風險分析的同時，需要結合客戶戰(zhàn)略系統(tǒng)分析階段識別出重大交易類別以及環(huán)節(jié)本身的業(yè)務活動，并評估其對會計交易的影響，幫助識別環(huán)節(jié)重大交易的類別及其對會計的影響。

（三）剩余風險評估?，F(xiàn)代風險導向審計中的剩余風險就是沒有控制在可接受范圍水平內的重要經(jīng)營與重大交易類別。在客戶戰(zhàn)略系統(tǒng)分析和環(huán)節(jié)分析完成后，剩余風險也就代表了審計師認為沒有被控制住，并對會計報表有潛在重要影響的經(jīng)營風險，它們可能來源于戰(zhàn)略分析，也可能來源于環(huán)節(jié)分析。剩余風險成為審計師需要關注的重點。審計師根據(jù)剩余風險的結論實施追加實質性測試程序，從而將會計報表重大錯報的風險，也就是審計風險控制在可接受的范圍內。

剩余風險會對以下五個方面產(chǎn)生影響：業(yè)績預期、信息質量、控制環(huán)境、生存能力、管理強化。對審計師來說，則關心與信息質量相關的風險，尤其是那些涉及財務報告的風險。剩余風險是在企業(yè)的控制措施失效時所產(chǎn)生的，審計人員應該把在審計過程中發(fā)現(xiàn)的企業(yè)控制不足之處同企業(yè)進行溝通，并向企業(yè)提出管理建議，從而協(xié)助企業(yè)預防或檢查將來可能出現(xiàn)的錯誤。不論是通過企業(yè)采取進一步措施，還是由審計師直接進行數(shù)據(jù)重新整理或其他實質性測試，審計師都要運用專業(yè)判斷評價剩余風險是否在經(jīng)過這些程序之后被降至可接受水平。如果剩余風險仍處在不可接受水平，則審計師不能出具標準無保留的審計意見，甚至要考慮是否應該從該審計客戶辭職。

四、實質性測試

篇4

標志著適應我國市場經(jīng)濟發(fā)展要求，與國際慣例趨同的審計準則體系正式建立。

一、傳統(tǒng)風險導向審計的缺陷

傳統(tǒng)風險導向審計的審計風險包括固有風險、控制風險和檢查風險。審計風險是由會計師事務所風險管理所確定的，謹慎從事的會計師事務所往往將其確定為低水平，固有風險和控制風險與企業(yè)有關，注冊會計師通過了解被審計單位和控制測試，確定檢查風險，設計和實施實質性程序。傳統(tǒng)風險導向審計從理論上解決了制度基礎審計方法的缺陷，要求將審計資源分配到評估固有風險、測試內部控制和實施實質性程序，使審計效率與效果有了實質性的提高，但它還不是一種新的審計基本方法，它實質上是制度基礎審計方法的發(fā)展，其在理論與實務兩方面都存在著固有的缺陷。

（一）從理論上分析

傳統(tǒng)的審計風險模型其實是假設固有風險、控制風險和檢查風險之間相互獨立。但固有風險和控制風險都受企業(yè)內外部環(huán)境的影響，兩者之間還相互影響。因此，隨著企業(yè)與內外部環(huán)境聯(lián)系緊密性的增強，這一假設的可靠性越來越受到質疑。并且大部分審計程序都是多重目的，都對會計報表是否有重要錯報有信息含量。因此Bell等甚至質疑檢查風險是否可以與固有風險和控制風險區(qū)分開來。在傳統(tǒng)風險導向審計模型下，一些學術界和實務界人士將注冊會計師發(fā)現(xiàn)會計報表重要錯報的問題與報告會計報表重要錯報的問題混為一談。

（二）從實務上分析

傳統(tǒng)風險導向審計忽視固有風險的評估。由于固有風險的評估主觀性較強，且不容易評估，因此在編制具體審計計劃時，注冊會計師應當考慮固有風險的評估對各重要賬戶或交易類別的認定所產(chǎn)生的影響，或者直接假定這種認定的固有風險為高水平。在實務中，許多事務所不重視固有風險的評估，審計起點退至了解和測試內部控制。由于內部控制具有固有的局限性，因此，審計風險增大。

二、傳統(tǒng)風險導向審計與現(xiàn)代風險導向審計的比較

（一）理論依據(jù)的改變

傳統(tǒng)風險導向審計主要依據(jù)的是審計理論；而現(xiàn)代風險導向審計的理論依據(jù)有戰(zhàn)略管理理論、系統(tǒng)理論、舞弊動因理論和審計理論。當今世界急劇變化，科學技術也是日新月異，作為其中一份子的企業(yè)的風險也是達到了前所未有的高度。因此，僅僅依靠審計理論作為指導依據(jù)是遠遠不夠的，而現(xiàn)代風險導向審計理論依據(jù)范圍與內涵的擴展便適應了經(jīng)濟技術的發(fā)展要求。

（二）審計風險模型的擴展

傳統(tǒng)風險導向審計的風險模型：審計風險＝固有風險×控制風險×檢查風險?，F(xiàn)代風險導向審計的風險模型：審計風險=重大錯報風險×檢查風險；重大錯報風險=固有風險×控制風險；檢查風險=分析程序風險×細節(jié)測試風險；因此，審計風險模型演變?yōu)閷徲嬶L險=固有風險×控制風險×分析程序風險×細節(jié)測試風險。

現(xiàn)代風險導向審計通過修訂審計風險模型，拓展審計證據(jù)的內涵，強調了解被審計單位及其環(huán)境，包括內部控制，以充分識別和評估財務報表重大錯報的風險，針對評估的重大錯報風險設計和實施控制測試和實質性程序。通過綜合評價被審計單位的情況以及戰(zhàn)略以確定審計測試的性質、時間和范圍，審計的起點為被審計單位的情況以及戰(zhàn)略，這樣注冊會計師很容易全面掌握被審計單位可能存在的重大風險，避免了只見“樹木不見森林”的尷尬局面。

（三）風險評估重心的轉變

傳統(tǒng)風險導向審計的風險評估重心是控制風險，直接評估審計風險，現(xiàn)代風險導向審計的風險評估重心前移，從了解客戶戰(zhàn)略經(jīng)營環(huán)境、評估經(jīng)營風險、剩余風險入手，由控制風險向聯(lián)合風險轉移，從偵查管理層舞弊的角度出發(fā)，注冊會計師直接評估固有風險和初步控制風險的聯(lián)合風險。在傳統(tǒng)風險導向審計的基礎上大大加強了風險評估程序，真正體現(xiàn)了風險導向審計的理念。

（四）風險評估方法的改變

首先，現(xiàn)代風險導向審計對風險的評估由直接評估改為間接評估。傳統(tǒng)風險評估直接評估重大錯報的概率，也就是直接對審計風險進行評估，而現(xiàn)代風險導向審計不再直接對審計風險進行評估，而是從經(jīng)營風險評估入手。

其次，分析性程序成為風險評估的中心。傳統(tǒng)風險導向審計對于信息的再加工重視程度不夠，分析性復核主要適用在報表分析上，現(xiàn)代風險評估以分析為中心，分析性復核成為最重要的程序，為了適應分析性復核功能擴大的要求，分析性復核開始走向多樣化，不再是對財務數(shù)據(jù)進行分析，也對非財務數(shù)據(jù)進行分析。分析工具也充分借鑒現(xiàn)代管理方法，將管理方法運用到分析性程序中去，如戰(zhàn)略分析、績效分析、財務分析、會計分析及前景分析。將分析工具運用到風險評估中去，將使風險因素不再獨立，且不再是一元評估，而是多元評估，幾種方法相互印證，使風險評估的結果更加可靠。

最后，風險評估結構的轉變。現(xiàn)代風險導向審計將戰(zhàn)略分析引進審計，對風險的評估從零散走向結構化，風險分析結構化最大的好處：考慮了多方面的風險因素；這些因素有機聯(lián)系在一起，便于綜合風險評估。

（五）注冊會計師專業(yè)知識重心的轉移

注冊會計師以會審知識為中心轉向管理知識、行業(yè)知識為中心，由于審計重心轉移，審計結果主要依賴風險評估，而不是審計測試，而風險評估采用的各種風險分析方法都是現(xiàn)代管理知識在審計中的運用，而且這種運用必須以行業(yè)知識為基礎。可見，現(xiàn)代風險導向審計對注冊會計師素質提出更高的要求，要求注冊會計師必須術業(yè)有專攻，必須掌握一些常用的分析工具，并接受行業(yè)知識訓練。

（六）審計測試程序的改變

傳統(tǒng)審計程序標準化，這種標準化審計程序存在很大問題，既不能對癥下藥，沒有貫徹風險導向審計思想；又使得注冊會計師無法突破客戶預先設置的障礙或防范措施?，F(xiàn)代風險導向審計的審計測試程序個性化，克服了傳統(tǒng)審計測試的缺陷，針對風險不同的客戶、客戶不同的風險領域，采用個性化的審計程序。由于現(xiàn)代風險導向審計測試計劃是基于注冊會計師的風險評估結果，且不同的客戶顯然存在不同的風險，因此審計測試程序必然會“因人而異”。

（七）“自上而下”與“自下而上”相結合

傳統(tǒng)風險導向審計從控制風險評估入手，視野過于狹窄，并主要依賴實質性測試，這種自下而上的方式過于注重會計的形式?，F(xiàn)代風險導向審計在吸收了其他審計方法的優(yōu)點的同時，密切地關注企業(yè)的主要戰(zhàn)略目標、管理層對風險的容忍程度、以及企業(yè)內部各項風險評價指標等情況，從審計風險產(chǎn)生的源頭來識別和評價風險，先“自上而下”對報表形成預期，根據(jù)預期確定審計重點，再“自下而上”，將實際審計結果與預期相比較，對企業(yè)的情況有了更深入、全面的了解，從而能更準確分配審計資源，保證審計的質量。

（八）審計證據(jù)的變化

傳統(tǒng)風險導向審計大多從管理層獲取審計證據(jù)；在現(xiàn)代風險導向審計模式下，由于審計重心向風險評估轉移，注冊會計師必須充分了解客戶整體戰(zhàn)略經(jīng)營環(huán)境，并由此出發(fā)評估客戶的經(jīng)營風險和審計風險，因此，必須取得大量的外部證據(jù)來證明風險評估的恰當性，外部審計證據(jù)的增加，內涵擴大，包括了解企業(yè)及其環(huán)境的證據(jù)，注冊會計師可以從一般員工或供應商、銷售商等獲取審計證據(jù)，這是針對管理層舞弊的有效偵查措施，業(yè)內人士和專業(yè)咨詢人士的意見也可以作為對注冊會計師審計專業(yè)判斷的補充。

由以上分析可看出，傳統(tǒng)風險導向審計只關心注冊會計師自身所面臨的風險，只關心控制風險、檢查風險和固有風險?，F(xiàn)代風險導向審計則更進一步，不僅關注審計風險，還關注經(jīng)營風險。為了分析被審計客戶的經(jīng)營風險，注冊會計師必須深入被審客戶，理解其運行模式，其所面臨的短期以及長期經(jīng)營風險，并基于此向管理層提供對影響企業(yè)經(jīng)營的所有因素的獨立評估報告。在傳統(tǒng)風險導向審計中，注冊會計師與被審計客戶在財務報表審計過程中處于對立面，各自只是從自己的角度，提出不同的觀點。而在現(xiàn)代風險導向審計中，注冊會計師與被審計客戶處于平行地位，以同一目標為導向考察企業(yè)的經(jīng)營狀況。

綜上所述，筆者認為現(xiàn)代風險導向審計是審計模式發(fā)展的必然趨勢，我國目前存在著諸多推行現(xiàn)代風險導向審計的有利因素，同時法律環(huán)境、公司治理等問題也存在著不利因素，但這些并不能因此阻礙審計模式的發(fā)展，而是需要同步完善。

參考文獻：

1、鄭朝暉,裝廣堂.審計模式發(fā)展探析[J].中國注冊會計師,2004(1).

2、胡春元.風險基礎審計[M].東北財經(jīng)大學出版社,2000.

3、姚煥然.事務所開展風險導向審計的五個基礎[J].中國注冊會計師,2006(2).

4、王詠梅,吳建有.現(xiàn)代風險導向審計發(fā)展及運用研究[J].審計研究,2005(6).

篇5

民航院校培養(yǎng)的人才首先要適應民航業(yè)快速發(fā)展的需要以及地方政府發(fā)展民航的人才需要?！豆矩攧諔?zhàn)略與風險管理》把服務民航、服務地方經(jīng)濟作為首要任務，結合航空公司經(jīng)濟運行的特點，分析民航企業(yè)為謀求企業(yè)資金均衡有效的流動和實現(xiàn)企業(yè)整體戰(zhàn)略而對企業(yè)資金流動進行全局性、長期性與創(chuàng)造性的謀劃，解析民航企業(yè)存在的風險因素及其形成機理，了解各種風險構成、計量、風險評估與規(guī)避機制，結合數(shù)據(jù)分析和收益管理系統(tǒng)，讓學生鍛煉對真實問題的分析能力。課程不但可以拓展學生的國際視野，提升民航運輸專業(yè)技能，還系統(tǒng)地鍛煉學生的綜合分析能力，將學生的業(yè)務技能培養(yǎng)和綜合分析能力相結合，很大程度上提升學生實踐能力。課程建設目標是通過分析民航企業(yè)為謀求企業(yè)資金均衡有效的流動和實現(xiàn)企業(yè)整體戰(zhàn)略而對企業(yè)資金流動進行全局性、長期性與創(chuàng)造性的謀劃，解析民航企業(yè)存在的風險因素及其形成機理，了解各種風險構成、計量、風險評估與規(guī)避機制，結合數(shù)據(jù)分析和收益管理系統(tǒng)，讓學生鍛煉對真實問題的分析能力和解決問題的能力，加深對行業(yè)的了解。

二、課程內容設計

（一）基于競爭力導向的財務戰(zhàn)略選擇與評價。隨著經(jīng)濟全球化快速發(fā)展，企業(yè)理財環(huán)境也變得愈來愈復雜化和不確定化，企業(yè)加強戰(zhàn)略管理已經(jīng)成為當前管理界的趨勢和潮流，與之相適應的財務戰(zhàn)略管理也日益受到關注。我國航空運輸企業(yè)目前正處于一個戰(zhàn)略調整和戰(zhàn)略發(fā)展的階段，因此對航空運輸企業(yè)財務戰(zhàn)略管理中存在的問題及對策進行研究和探討就顯得十分必要。企業(yè)財務戰(zhàn)略是企業(yè)諸多職能戰(zhàn)略之一，它不僅服務于企業(yè)的總體戰(zhàn)略，而且貫徹企業(yè)戰(zhàn)略的總體要求，同時對其他職能戰(zhàn)略起著支持和促進作用。在企業(yè)的競爭力中，財務戰(zhàn)略及其管理能力和水平是企業(yè)各方面能力的綜合體現(xiàn)，有了健全的財務體系和有利的融資、投資戰(zhàn)略，企業(yè)的發(fā)展戰(zhàn)略才能順利地實現(xiàn)。通過對航空公司、機場財務戰(zhàn)略管理情況的調查研究，可以將財務戰(zhàn)略管理思想真正有效地運用到民航的經(jīng)營管理中，為民用航空企業(yè)科學的財務管理提供參考。

現(xiàn)代企業(yè)戰(zhàn)略財務管理要求企業(yè)建立以競爭力為核心的戰(zhàn)略財務管理體系。它既可以用來推動價值創(chuàng)造的觀念，并深入到公司各個管理層和一線職工中，又與企業(yè)資本提供者（包括企業(yè)股東和債權人）要求比資本投資成本更高收益的目標相一致，從而也有助于實現(xiàn)企業(yè)價值和股東財富的最大化。核心競爭力關注于企業(yè)的競爭對手、企業(yè)在環(huán)境中的定位、企業(yè)價值鏈中最具有增值部分的作業(yè)、建立戰(zhàn)略聯(lián)盟。核心能力是形成企業(yè)競爭力的支撐點，是“內力”，核心競爭力是“外力”，兩種力量結合可擴大企業(yè)的競爭優(yōu)勢。競爭優(yōu)勢是在市場競爭環(huán)境中的綜合能力。

基于分析，財務戰(zhàn)略模塊可以重點討論財務戰(zhàn)略目標、企業(yè)核心競爭力的衡量（尤其是民航運輸企業(yè)的核心競爭力評價體系）、財務戰(zhàn)略決策、財務戰(zhàn)略實施與控制、財務戰(zhàn)略計量與評價。公司投資戰(zhàn)略、公司融資戰(zhàn)略、收益分配戰(zhàn)略一帶而過，主要航空公司（如三大航）和主要機場的財務戰(zhàn)略從制定到實施和評價可以以案例的形式穿插。主要教學內容安排見圖1、圖2。（圖1、圖2）

（二）價值導向的內部控制構建與評價——以民航運輸業(yè)為例。民航企業(yè)具有高投入、高技術與高風險等“三高”特點。從航空公司經(jīng)營過程來看，航空公司經(jīng)營過程中面臨諸如經(jīng)營風險、財務風險、匯率風險、安全風險、政治社會風險等各種風險。從全民航角度看，都需要一套科學與有效的風險評估與風險規(guī)避體系，這將有利于充分發(fā)揮民航總局的行業(yè)監(jiān)督與指導等宏觀調控作用，同時使得航空公司能夠預知風險并及時采取有效的措施規(guī)避與對抗各種風險。通過對民航企業(yè)所面臨的各種風險分析、評估、規(guī)避與對抗機制與體系的研究，建立航空公司風險評估系統(tǒng)，探尋規(guī)避風險的機制、途徑與方法，使得航空公司形成科學有效的風險分析評估、規(guī)避與對抗機制與規(guī)程具有重要的戰(zhàn)略意義。

課程從我國航空公司的自身需要出發(fā)，結合影響航空公司經(jīng)營的內外部環(huán)境特點，研究航空公司存在的各種風險的成因與機理，運用系統(tǒng)動力學對影響航空公司經(jīng)營的各種風險進行定性與定量分析，建立一套適應我國航空公司實際的風險分析、風險評價指標、風險處理及規(guī)避機制與規(guī)程，運用與建立航空公司風險評估評價模型，對航空公司風險評估進行實證研究。把握航空公司經(jīng)營的特點及其面臨的各種風險現(xiàn)狀，分析與研究航空公司風險形成機理，研究航空公司的各種風險構成（包括經(jīng)營風險、財務風險、匯率風險、安全風險、政治社會風險等研究）；對航空公司各種風險進行定性與定量研究（包括風險的定性分析研究：運用流程圖分析法等進行定性分析；各種風險的定量分析與研究：運用系統(tǒng)動力學原理，建立數(shù)學模型對航空公司所承擔風險進行量化分析與研究）；對航空公司風險評估與規(guī)避機制（包括風險評估與規(guī)避組織機制、信息收集與傳遞機制、分析評估機制、風險處理與對抗機制等方面）和航空公司風險分析評估指標與指標體系（包括分析評估原則與標準、分析與評估程序、風險衡量指標及指標體系、風險分析評估結果的修正與評價等研究）進行研究；建立與開發(fā)航空公司風險評估系統(tǒng)，并選擇試點單位運行檢驗航空公司風險評估系統(tǒng)，以驗證航空公司風險評估系統(tǒng)的穩(wěn)定性、有效性、準確性，并進行修正與完善。

從內部控制與價值管理和價值鏈的內在關系，不難發(fā)現(xiàn)內部控制是為實現(xiàn)企業(yè)的價值最大化目標而設計的，其主要內容就是要建立一個基于價值導向的內部控制環(huán)境，通過對各種價值活動的約束和激勵以保障各項價值活動高效地運行，從而實現(xiàn)公司價值鏈的整體增值。我們的課程要梳理內部控制相關理論，結合COSO委員會的《內部控制整合框架》和我國的《企業(yè)內部控制基本規(guī)范》，闡述內部控制的內涵，從控制環(huán)境、風險評估、控制活動、信息與溝通、內部監(jiān)督這五個要素分析我國民航機場和航空公司內部控制現(xiàn)狀，并提出優(yōu)化建議。結合全面風險管理理論，構建民航運輸企業(yè)的價值導向內部控制體系，并對其戰(zhàn)略風險、安全風險、經(jīng)營風險、財務風險、法律風險和市場風險等風險因子的成因、分類及其規(guī)避進行分析和探討。旨在預防和矯正錯誤和舞弊的萌生與發(fā)展，改善企業(yè)運營管理的科學性和可靠性，進一步降低事故率、減少損失，提升民航企業(yè)的核心競爭力，促進民航業(yè)的健康持續(xù)發(fā)展。我們尋求企業(yè)的風險分析、風險控制、風險預警、風險補償系統(tǒng)及其各系統(tǒng)的有機組合，擬定一個企業(yè)經(jīng)營戰(zhàn)略、組織架構、業(yè)務流程、信息系統(tǒng)、績效考核等多方面緊密配合的整體方案。

課程要討論價值導向內部控制評價模型。該模型的內部控制突破了企業(yè)的物理邊界，界定評價主體為控制主體，延伸了評價客體，評價模式采用過程指標和結果指標相結合的綜合評價模型，評價方法采用定性評價與定量評價相結合的綜合評價，避免了對于內部控制評價的盲自樂觀和短板效應。根據(jù)行業(yè)特性，我們搜集近兩年我國民航機場和航空公司的內部控制資料，計劃實證分析我國民航機場內部控制現(xiàn)狀，回歸分析實現(xiàn)內部控制目標的關鍵控制要素，發(fā)現(xiàn)內部控制建設與企業(yè)價值的博弈關系以及公司治理結構影響內部控制的有效性的證據(jù)。

三、教學方法與手段

根據(jù)課程的性質和教學內容，結合航空公司、機場工作特點，綜合運用靈活多樣的教學方法，包括案例展示教學、啟發(fā)式教學、討論式教學、協(xié)同式教學等，強調學生創(chuàng)新能力的培養(yǎng)。以團隊設計、教師指導、學生參與為形式，打造一批基于財務戰(zhàn)略與風險管理課程孵化的開放性題目。開放性題目不僅為學生提供了最貼近現(xiàn)實的科研場景，更是培養(yǎng)學生實踐能力和科研素養(yǎng)的最佳途徑。開展開放性科研項目運營探索，有效地實現(xiàn)了教學和科研的雙向貫通，培養(yǎng)了學生的創(chuàng)新能力。以培養(yǎng)學生參與實踐創(chuàng)新能力為目的，以民航經(jīng)濟與管理數(shù)據(jù)庫為依托，實現(xiàn)了利用科研項目成果和教師科研能力向學生創(chuàng)新實踐能力的提升轉化，而且通過學生參與項目的方式為一批研科研項目提供了支撐和幫助，真正實現(xiàn)了科研和教學的雙向貫通，培養(yǎng)了學生的創(chuàng)新能力。采用新的教學模式及教學方法，注意充分發(fā)揮學生的主動精神，使他們能夠綜合運用所學的經(jīng)濟管理理論知識和民航專業(yè)知識，在全面提高學生的素質，特別是實踐能力、創(chuàng)新精神與創(chuàng)新能力方面取得明顯的效果。采取各種小組討論、頭腦風暴等方式調動學生學習的主動性和自覺性，激發(fā)學生創(chuàng)造性思維的積極性，有利于學生綜合素質的培養(yǎng)，提高面對未來挑戰(zhàn)的自信心。

四、課程特色

篇6

一、現(xiàn)代風險導向審計的含義及特征

現(xiàn)代風險導向審計按照企業(yè)戰(zhàn)略風險、經(jīng)營流程風險、內部控制風險、剩余風險與個人主觀因素相結合形成審計風險自上而下的風險評估思路，將風險評估的范圍從微觀拓展到了企業(yè)的宏觀經(jīng)營背景、從財務指標拓展到了非財務指標，特別突出了個人主觀因素在形成實質性經(jīng)營風險中的關鍵作用，是對企業(yè)經(jīng)營風險的全過程、多視角評估，審計理念與傳統(tǒng)審計模式相比有了質的飛躍。

（一）審計重心前移。賬項導向審計模式的重心是詳細檢查；內控導向審計模式的重心移到控制風險，向前邁進了一步；現(xiàn)代風險導向審計的重心再次前移，注重對影響被審計單位生存能力的內、外部環(huán)境以及經(jīng)營計劃的戰(zhàn)略風險分析，能夠從宏觀上把握審計所面臨的風險。

（二）注重運用分析程序。采用自上而下的思路，從宏觀至微觀，對企業(yè)的財務及非財務業(yè)績指標建立風險分析模型，合理設定各項流程業(yè)績指標預期值，通過指標偏離度分析，查找預期差異的形成原因，以識別可能存在的重大錯報風險。

（三）審計程序更加有效。在全面風險評估的基礎上，減少對接近業(yè)績指標預期值的賬戶余額的實質性測試，增加對業(yè)績偏離較大且無合理解釋風險事項或例外事項的審計力度，針對不同的風險環(huán)節(jié)、風險領域，采用個性化的審計程序，自下而上進行實質性測試，提高了現(xiàn)場檢查的針對性和審計發(fā)現(xiàn)的準確度。

（四）擴大審計證據(jù)的內涵?，F(xiàn)代風險導向審計形成審計結論的依據(jù)不僅包括實施控制測試和實質性程序獲取的證據(jù)，而且包括了解企業(yè)及其環(huán)境獲取的證據(jù)，特別是分析性證據(jù)的運用豐富了審計證據(jù)的內涵，有利于全面、客觀、準確評價企業(yè)經(jīng)營成果。

（五）關注管理層舞弊風險?，F(xiàn)代風險導向審計關注個人主觀因素對企業(yè)經(jīng)營風險的作用，特別是管理層凌駕于內部控制之上的串通舞弊行為對企業(yè)經(jīng)營的廣泛影響。重視評估領導層管理風格對內部控制執(zhí)行效果的影響，以及可能的舞弊行為導致的重大錯報風險。適時調整審計程序的性質、時間和范圍，獲取可靠的審計證據(jù)，提高財務報表的可信度。

二、現(xiàn)代風險導向審計在商業(yè)銀行經(jīng)濟責任審計中的應用

將現(xiàn)代風險導向審計方法引入經(jīng)濟責任審計是商業(yè)銀行內部審計發(fā)展的必然選擇。引入現(xiàn)代風險導向審計方法要突出對被審計單位的全面風險評估，把風險評估滲透到審計作業(yè)的全過程，并在實質性程序中充分運用風險評估結果，實現(xiàn)提高審計效率和效果，充分揭示和化解風險，促進審計價值增值的目的。

（一）建立并及時更新經(jīng)濟責任審計信息數(shù)據(jù)庫，實現(xiàn)風險評估工作的日?；芾?。經(jīng)濟責任審計風險評估工作，需要收集、整理和分析大量資料，而且審計委托或提請具有批量提交特點，時間要求緊，任務重，工作量很大。因此，要在較短時間內，高質量完成審計任務，且能有效規(guī)避審計風險，經(jīng)濟責任審計風險評估工作必須實行日常化管理。

一是要建立經(jīng)濟責任審計信息資料庫，按照風險評估內容要求，定期收集更新被審計單位各種內外部經(jīng)營信息和金融政策，以及管理層職責履行情況的相關信息，包括商業(yè)銀行各層級業(yè)務發(fā)展規(guī)劃、年度綜合經(jīng)營計劃、績效考核辦法、KPI考核指標體系及考核結果，風險監(jiān)管部門的全面風險評估辦法及各年度評估結果、評估報告、年度工作總結、述職報告、重大經(jīng)營活動和決策行為、外部監(jiān)管情況、內部審計檢查資料等，為自上而下的宏觀層面的戰(zhàn)略風險分析奠定基礎。

二是建立內部審計非現(xiàn)場審計分析系統(tǒng)，收集整合形成商業(yè)銀行各生產(chǎn)系統(tǒng)、管理信息系統(tǒng)信息數(shù)據(jù)庫，為完成對交易賬戶的實質性分析程序建立數(shù)據(jù)及技術基礎，實現(xiàn)上下結合的微觀層面的經(jīng)營流程風險分析。

三是組織專門人員實施，結合非現(xiàn)場審計系統(tǒng)進行匯總分析，定期形成分析結果，提示剩余風險，緩解經(jīng)濟責任審計審前準備不足的困境。

（二）明確風險分析思路，建立風險分析模型，以分析模型為抓手，評估剩余風險，確定審計重點。全面風險評估是實施現(xiàn)代風險導向審計的核心環(huán)節(jié)，應充分體現(xiàn)“自上而下”的審計思路。

首先，進行基于外部因素的戰(zhàn)略分析，評估戰(zhàn)略風險，確認剩余風險。一是了解被審計單位基本情況和重大經(jīng)營決策及審批事項，弄清其戰(zhàn)略定位。對被審單位進行戰(zhàn)略決策分析和經(jīng)營管理分析，重點關注被審計單位的長期戰(zhàn)略規(guī)劃、年度綜合經(jīng)營計劃、經(jīng)營目標、資源配置、風險管理戰(zhàn)略等，全面評價分析被審計單位內部經(jīng)營環(huán)境。二是識別來源于被審計單位外部的威脅或風險，評價分析被審計單位外部環(huán)境，包括政治、法律環(huán)境；國內外經(jīng)濟金融形勢；區(qū)域經(jīng)濟特點，社會信用發(fā)展程度；當?shù)亟鹑诒O(jiān)管環(huán)境，同業(yè)競爭格局等。三是了解被審計單位風險應對措施，評價風險應對效果。依托經(jīng)營業(yè)績建立數(shù)理分析模型，在了解被審單位整體戰(zhàn)略風險的前提下，設置適合當?shù)亟?jīng)營環(huán)境的經(jīng)營業(yè)績指標期望值，利用經(jīng)營業(yè)績指標在整體評價中的不同權重，通過設置偏離度、偏離系數(shù)等，對被審機構經(jīng)營業(yè)績剩余風險進行量化考量和評價。

其次，進行基于內部因素的經(jīng)營流程分析，評估流程風險，確認剩余風險。一是了解評估被審計單位各類業(yè)務經(jīng)營流程及制度設計，識別重要風險點及風險領域。重點關注資產(chǎn)、負債、財務、中間業(yè)務等，其中：資產(chǎn)業(yè)務關注資產(chǎn)質量及問題成因；負債業(yè)務關注存款來源、利率執(zhí)行及賬戶設置合法合規(guī)性等；財務核算關注集中采購、資產(chǎn)處置管理的規(guī)范性及大額費用支出的真實性等；中間業(yè)務關注金融創(chuàng)新可能帶來的風險，如表外業(yè)務的或有風險、資產(chǎn)與中間業(yè)務收入調節(jié)，金融衍生工具運用、產(chǎn)品激勵失衡等；二是了解被審計單位經(jīng)營流程風險應對措施，評價風險應對效果。依托風險監(jiān)測業(yè)績指標建立數(shù)理分析模型，設置適合當?shù)仫L險監(jiān)測環(huán)境的流程風險業(yè)績指標期望值，通過設置偏離度、偏離系數(shù)、指標權重等，對被審機構經(jīng)營流程風險進行量化考量和評價，確認剩余風險。

再次，進行基于經(jīng)營風險的內部控制分析，評估控制風險，確認剩余風險。一是了解評估被審計單位各類業(yè)務制度設計及執(zhí)行情況，按照審計業(yè)務分塊，充分利用審計業(yè)務單元內控評價等級，識別重要風險點。重點關注對公貸款、個人貸款、對公負債、個人負債、財務管理等業(yè)務單元的制度缺陷及控制失效等；二是了解被審計單位內部控制措施，評價對經(jīng)營風險的控制效果。依托內控評價指標體系建立數(shù)理分析模型，確定適合內部控制業(yè)績指標期望值，通過設置審計頻率、偏離度、偏離系數(shù)、指標權重等，對被審機構各審計業(yè)務單元控制風險進行量化考量和評價，確認剩余風險。

（三）圍繞風險評估結果，細化審計策略，實施實質性程序。在風險導向審計模式下，風險分析從戰(zhàn)略風險分析開始直至審計樣本確認為止，貫穿審計過程始終。確認剩余風險后，應采取“上下結合”的現(xiàn)代風險導向審計思路，制定實質性程序計劃，完成審計證據(jù)收集工作。

篇7

本文以《內部審計具體準則》為指導，介紹了內部審計中風險評估和審計風險的概念，提出降低審計風險的基礎是風險評估，降低審計風險是做好審計工作的保證，通過對上述內容的理解可以更好加深內部審計人員對當今最新審計理論的認識。

【關鍵詞】

風險評估；審計風險關系

風險評估與審計風險是審計理論的兩個重要概念。很多學者對此發(fā)表的學術論文更多地是針對注冊會計師相關業(yè)務的研究，而內部審計理論文獻相對較少。隨著內部審計理論的發(fā)展，國家陸續(xù)出臺了內部審計相關的政策和準則，其中2005年年5月1日至今實行的《內部審計具體準則》將兩者的概念和應用作了明確的定義和指導。本文立足于內部審計具體準則的內容，將兩者的原理作一闡述，以加深內部審計人員對兩者概念及相互關系的理解和掌握。

1 風險評估與審計風險概念理解

1.1 風險評估

風險評估是指內部審計人員實施必要的審計程序對企業(yè)風險評估過程進行審查與評價，對發(fā)生的可能性、風險對組織目標的實現(xiàn)產(chǎn)生影響的嚴重程度進行重點關注。

內部審計人員在開展風險評估審計程序時，要當充分了解企業(yè)風險評估的方法，運用采用定性或定量的方法對企業(yè)風險評估過程進行評價，在風險難以量化、定量評價所需數(shù)據(jù)難以獲取時，一般應采用定性方法，并且需要充分考慮相關部門或人員的意見，以提高評估結果的客觀性。

1.2 審計風險

審計風險是指內部審計人員未能發(fā)現(xiàn)被審計單位經(jīng)營活動及內部控制中存在的重大差異或缺陷而做出不恰當審計結論的可能性。審計風險包括重大差異或缺陷風險和檢查風險的兩方面內容。

2 風險評估是降低審計風險的基礎

審計風險評估是通過對企業(yè)風險評估過程的評價，了解企業(yè)是否存在重大差異或缺陷風險，可以使審計人員確定重要性標準來評估審計風險。而審計風險評估的要求、程序和方法都是保障降低審計風險的第一步，是審計人員開展審計工作、提高效率、保護自我的根本保證。

風險評估是對企業(yè)風險管理-風險評估過程的評價。內部審計作為企業(yè)管理的一部分，在企業(yè)內部發(fā)揮著控制和監(jiān)督作用，風險評估主要體現(xiàn)在對企業(yè)內部控制效果的評價上，內部審計控制效果的好與壞，同樣體現(xiàn)審計人員對企業(yè)風險的揭示說明和預測的完整性、前瞻性上，也是審計風險的控制程度。

風險評估工作的重點就是要找到影響目標實現(xiàn)的風險，并分析這些風險影響的大?。òl(fā)生的可能性和對目標的影響程度），從而為管理層應對風險提供基礎支持。

風險辨識評估工作主要在集團的發(fā)展計劃部、資本運營部及財務部三個部門開展，因此在對風險進行分類時，主要考慮了三個部門的管理職責：發(fā)展計劃部是戰(zhàn)略和投資的管理部門、資本運營部是投資、資產(chǎn)管理及公司治理的管理部門、財務部是集團的財務及經(jīng)濟運行的主要管理部門，結合以上管理職責，對風險采用根據(jù)風險事件的特性，選擇適當?shù)娘L險評價維度，對風險事件進行評價。根據(jù)發(fā)展計劃部、資本運營部及財務部的管理職責，將風險事件分配到不同的部門，形成三個部門的風險評估問卷，問卷信息進行整理計算，得到風險事件排序和二級風險排序。將整理確定的風險事件設計成為風險評估問卷，在三個部門發(fā)放，由集團公司部門人員按“發(fā)生可能性”、“影響程度”和“管理有效性”三個維度進行評價，得到風險評估初步結果：風險及風險事件的重要性排序多數(shù)風險重要性排序符合項目組的研究認識。

■ 個別風險排名較高，包括庫存風險、關聯(lián)交易風險及資產(chǎn)管理風險等，需進一步分析論證

■ 同一類風險的排序略有出入。

風險的大小，是基于一套定性標準，業(yè)務和管理是視角的差異如何有效地反映到對不同業(yè)務和不同風險的判斷中。

3 風險評估和降低審計風險是做好審計工作的保證

審計工作中需要時刻強調審計風險意識，并加強對企業(yè)風險評估過程的評價，二者相符相成。一方面控制審計風險需要建立在風評評估的基礎之上，另一方面在加強風險評估過程中需要在審計風險理念下指導下進行風險評價，只有將兩者很好的相互融合才能提高審計效率、控制風險，最終達到加強企業(yè)經(jīng)營管理，提高企業(yè)依法經(jīng)營從而提高經(jīng)濟效益的目的。什么樣的風險評估才能滿足審計要求：

1）緊扣業(yè)務：評估工作緊扣經(jīng)營主線開展，集中識別和分析生產(chǎn)、項目管理過程中的風險；

2）圍繞指標：評估工作密切圍繞業(yè)績考核指標?；跇I(yè)績考核指標辨識風險事件，并依據(jù)業(yè)績考核指標制定風險評價標準；

3）突出重點：圍繞風險管理項目的整體目標，主要以運營部、市場部、物流部、工廠為重點；

強化企業(yè)高層對審計的重視程度和建立積極健康的內審文化。轉變觀念，調整位置，掌握價值高地；貼近業(yè)務，掌握業(yè)務，發(fā)掘價值提升空間?？炭嚆@研，提升能力，放大工作效能和效果。培養(yǎng)團隊，集團作戰(zhàn) ，保持核心競爭力。決策者就是風險管理者，找出他所關注的風險和背后的動因。 分析他解決風險的工作思路，描繪決策者風險地圖和風險戰(zhàn)略。

篇8

關鍵詞：企業(yè)；風險導向；內部審計

中圖分類號：F239.45 文獻標志碼：A 文章編號：1673-291X（2014）02-0193-03

風險導向內部審計是企業(yè)進行風險管理的一種有效工具，其目標是在全面評估企業(yè)風險的基礎上，通過對風險進行事前評估與控制，對風險處于何種狀態(tài)做出準確判斷，為控制風險提供依據(jù)。與傳統(tǒng)的審計模式相比，現(xiàn)代風險導向內部審計更注重從宏觀上把握審計風險，審計工作重心從實施階段前移到計劃階段，關注的核心從內部控制轉向風險，在審計的全過程自始至終都關注風險，依據(jù)風險選擇項目，識別風險，測試管理者降低風險的方法，并以風險為中心出具審計報告，協(xié)助企業(yè)進行風險管理。審計方法從以審計測試為中心轉移到以系統(tǒng)化的風險評估為中心，即計劃階段對風險進行評估，實施階段對相關風險進行持續(xù)監(jiān)控和報告，報告階段提出風險管理建議。2007年新審計準則要求全面實施風險導向審計，故本文對我國企業(yè)如何實施風險導向內部審計提出幾點建議，與大家探討。

一、建立全流程風險管控機制

建立審計戰(zhàn)略計劃、審計項目計劃和具體審計項目實施的全流程風險管控機制。

一是年度風險導向戰(zhàn)略計劃的制訂。年度風險導向戰(zhàn)略計劃要與企業(yè)目標相契合，建立在對公司重要領域的認定、風險自我評估的基礎上，以重大風險和重要風險為導向，明確審計重點，確定年度審計項目。在充分調研的基礎上，組織相關部門進行風險自我評估，識別各自存在的風險，排列風險次序，出具風險自我評估結果，以此為依據(jù)，確定本年度審計關注點，編制年度審計計劃。風險導向內部審計中，風險評估貫穿于年度審計計劃、項目計劃、執(zhí)行審計、總結發(fā)現(xiàn)和報告的各個階段，企業(yè)要根據(jù)風險評估結果和以前年度審計情況，合理分配審計資源，將審計資源重點放在高風險領域。

二是建立風險管控標準，有效識別風險。就是按統(tǒng)一的標準梳理各業(yè)務環(huán)節(jié)的流程，審計部門牽頭，各業(yè)務單元的內控負責人統(tǒng)一對采購與應付、生產(chǎn)循環(huán)、銷售與應收、存貨與倉儲、營銷管理等業(yè)務循環(huán)的流程圖和業(yè)務流程的風險點進行全面梳理，對應將風險點、控制措施嵌入到流程中，建立清晰的業(yè)務流程圖、明確的崗位控制標準和風險防范控制措施。

三是業(yè)務流程測試和風險評估。風險評估通過實施不同的測試程序識別審計風險，包括企業(yè)整體層面控制評估、信息系統(tǒng)一般控制評估、流程層面控制評估、控制測試以及實質性測試等。建立業(yè)務循環(huán)各個節(jié)點的穿行測試標準，指導各單位業(yè)務人員開展業(yè)務流程的穿行測試，通過全流程的穿行測試驗證各業(yè)務層面風險受控情況，運用自審、互審和復審相結合的方法，推進全員、全流程的風險自我審計。

四是出具風險評估報告及風險地圖。審計部出具企業(yè)各業(yè)務單元的風險評估報告和完整的風險地圖，建立企業(yè)審計風險資源庫，為相關部門提供風險關注和控制優(yōu)化的依據(jù)。

風險管控機制將風險管理流程與審計基本程序有機融合，更多地從全流程的角度對企業(yè)進行全面風險評估。企業(yè)要根據(jù)自身的具體情況設計風險管理流程、風險評估項目和評估標準，并根據(jù)風險環(huán)境的不斷變化及時調險評價標準，以適應管理需要。而且，風險管控是一個持續(xù)、循環(huán)的管理過程，不能將風險管理審計作為一次性的專項審計項目，在風險管控執(zhí)行過程中，要不斷地關注風險，針對問題制定有效的控制措施。

二、以風險為導向，優(yōu)化具體審計項目實施程序

以固定資產(chǎn)投資風險導向內部審計為例。固定資產(chǎn)投資項目投資額大、建設周期長，管理環(huán)節(jié)復雜，管理風險和審計風險都較高，采用風險導向固定資產(chǎn)投資審計，識別和評估重大管理風險和關鍵控制節(jié)點，全面審計，突出重點，可以有效提高審計效率，降低審計風險。其審計程序如下：

一是制訂固定資產(chǎn)投資風險導向項目審計計劃。風險導向項目審計計劃是對具體審計項目實施全過程審計所作的綜合安排，需要明確審計目的、審計范圍、審計方法和審計程序、項目風險評估、關鍵風險點、項目組人員分工、時間安排以及其他事項等。固定資產(chǎn)投資審計目標要與企業(yè)固定資產(chǎn)投資目標相聯(lián)系，審計范圍包括選定經(jīng)營單位、選定業(yè)務及流程、相關信息系統(tǒng)測試范圍、測試時間范圍等。

二是業(yè)務經(jīng)營單位初步評估和關鍵風險識別。審計人員要掌握固定資產(chǎn)投資項目整體情況，注重從宏觀層面了解固定資產(chǎn)投資項目的基本情況，獲取背景信息，包括行業(yè)狀況、監(jiān)管環(huán)境、建設模式、建設目標等信息，對固定資產(chǎn)投資項目面臨的風險進行分析，識別和評估固定資產(chǎn)投資項目系統(tǒng)風險和關鍵風險。

三是業(yè)務流程分析。在全面評估固定資產(chǎn)投資風險基礎上，從投資項目風險入手，進一步了解流程，更新識別的風險，對高風險項目和資金重點監(jiān)控，從整體上把握審計重點。

四是評估流程有效性和流程重大風險。在了解固定資產(chǎn)投資項目業(yè)務流程的基礎上，運用分析性程序，分析關鍵流程，評估固定資產(chǎn)投資項目重大風險，分析對目標產(chǎn)生影響的風險以及風險控制，測試實際的控制能否切實管理這些風險，這是風險導向審計關注的重點。

五是根據(jù)風險評估結果，確定項目審計范圍和審計重點，制定相應的審計策略。具體是設計審計步驟，根據(jù)審計步驟進行審計抽樣并對樣本進行監(jiān)督，實施實質性測試等審計程序。在審計實施過程中，要根據(jù)審計實施情況對項目方案進行重新評估，擴大審計范圍或增加審計程序，實施進一步測試以修訂審計方案，保證審計質量。

杜邦“沸騰壺”審計抽樣模型就是一種常用的審計抽樣方法。它以審計項目風險為對象，建立風險識別模型，對每一類風險進行排序，將其劃分為不同的級別，即高風險、敏感風險、適中風險、低風險，直觀地反映風險與審計面的關系。杜邦“沸騰壺”模型說明，在風險因素中，風險結構一般是高風險占10%，敏感風險占30%，適中風險占40%，低風險占20%。風險審計規(guī)劃在審計資源配置時，要依據(jù)風險水平高低配置審計資源，對不同級別的風險因素需實行差異化審計。高風險因素要進行詳細審計，對于處于敏感風險性質的風險因素一般抽樣50%進行重點審計，對于適中風險因素一般抽樣 25%，而對于低風險的風險因素只需要抽樣10%進行一般審計。風險級別越高，配置的審計資源越多，根據(jù)風險評估結果，將主要的審計資源分配在高風險領域，有的放矢，提高審計效率。

六是根據(jù)對流程設計有效性測試結果得出審計結論，出具審計報告，提出管理建議。

三、建立以審計調查法為基礎的風險評估機制

風險評估機制包括風險識別、風險評估、風險模型的建立及風險評估結果分析等。對確定的審計項目進行風險評估，主要是通過對業(yè)務流程的梳理，找出流程關鍵控制點，并選擇科學的風險評估方法對控制點進行風險分析，以準確識別和正確評價風險。以審計調查法為基礎的風險評估方法，能清晰揭示風險的高發(fā)區(qū)域和風險變化趨勢，操作性強，評估結果具有很強的說服力。即選取一定比例的被審單位實施風險典型調查，采用審計調查法對風險發(fā)生頻率和嚴重程度進行分析和預測，對風險進行分級分類管理，根據(jù)風險水平確定審計重點。步驟如下：一是確定評估范圍。評估范圍與審計范圍相關，對風險評估結果的運用有直接影響。二是風險評估數(shù)據(jù)的采集。采集近幾年的相關風險數(shù)據(jù)，這些數(shù)據(jù)可以是以往風險管理審計、綜合性審計及專項審計的相關資料和數(shù)據(jù)等。三是對風險評估基礎數(shù)據(jù)進行整理和加工。內部審計人員依據(jù)原始資料和專業(yè)判斷對一些定性資料進行量化處理，確定各組風險數(shù)據(jù)的影響程度級別，據(jù)此對項目風險進行評估。四是進行風險評估和預測。根據(jù)事先界定的評估范圍，分別對審計項目各類風險、各類子風險的概率和影響程度進行評估，對所采集的一定期間的風險數(shù)據(jù)，采用審計調查法分析歷史數(shù)據(jù)，尋找各風險的變化趨勢和集中趨勢，建立能描述各風險變量未來變化態(tài)勢的模型，運用數(shù)學方法對各類風險的主要變量——風險概率和影響程度進行風險變動趨勢分析及預測，求出風險預估值，并運用政策分析法，整理和分析可能影響各類風險變量的政策因素，對固定資產(chǎn)投資風險預測值進行修正和完善，確定風險估測值浮動區(qū)間。五是風險評估結果的分析和利用。根據(jù)風險分布情況，布局安排審計資源，對風險多發(fā)區(qū)域進行重點審計。風險評估結果可以應用于企業(yè)的風險管理，包括：將風險評估結果與企業(yè)事先確定的風險管理策略（如各類風險的承受度等）進行對比，并分別采取不同的風險應對措施；協(xié)助企業(yè)建立風險預警機制，對達到風險預警線的風險發(fā)出預警信號，采取相應的風險控制措施；對風險發(fā)展趨勢進行預測，幫助企業(yè)規(guī)避和防范風險。

四、建立風險自我評估和預警機制

建立風險預警機制，對風險進行實時監(jiān)控，可以有效管理和預防重大風險。風險預警機制前移風險管理關口，使風險管理重點由事后監(jiān)督向事前預防、事中控制轉移，防患于未然。企業(yè)可以根據(jù)風險評估結果，針對風險高發(fā)區(qū)域建立預警機制，完善風險預警指標體系，如利用DCCS法、盈虧臨界點法及財務比率法等有效捕捉企業(yè)風險征兆，對異常情況提前發(fā)出預警，幫助管理層完善風險管理程序，控制風險。在風險導向內部審計中，使用風險自我評估（RSA）法，可以有效提升風險預警效率。風險自我評估是指內部審計要監(jiān)督：（1）風險環(huán)境分析的恰當性。主要是對企業(yè)固有風險和控制風險進行評估，分析風險性質和影響程度的變化以及控制措施是否能與環(huán)境變化相符，并在審計報告中反映分析結果。（2）風險事件識別的充分性。（3）風險評估的恰當性。風險評估要從風險發(fā)生的可能性和影響性兩方面對已識別的風險事件進行定量分析和定性分析。（4）風險度以及風險預報合理性。主要是審核風險度的計算方法是否科學合理，是否反映企業(yè)實際風險水平。綜合分析企業(yè)的內外部環(huán)境，審核風險預報的根據(jù)及預報的級別是否合理。（5）風險控制措施的有效性。主要是對業(yè)務控制程序進行測試，檢查是否有效，是否能夠控制風險，并對檢查發(fā)現(xiàn)的問題提出改進措施和建議，幫助企業(yè)管理風險，降低風險損失。（6）風險信息溝通的有效性。內部審計人員要從風險識別、評估信息的獲得，風險警報的及時發(fā)出等方面評估風險信息是否被準確及時地傳達給所有相關人員，讓管理層了解風險是否被有效管理。風險信息溝通評估也可以提高外界對企業(yè)風險管理的信任度。

此外，企業(yè)應建立風險審計信息系統(tǒng)，完善審計資源數(shù)據(jù)庫，積極推進審計手段創(chuàng)新，加強內部審計隊伍建設，合理配備審計項目組成員，有效提高內部審計效率和質量，提升風險導向審計的價值增值功能。

參考文獻：

篇9

關鍵詞：商業(yè)銀行；稽核；風險導向模式；應用

一、風險導向稽核的定義和特點

（一）風險導向稽核的定義。

綜合國內外關于風險導向稽核的理論研究，可以概括出風險導向稽核是指在賬項基礎稽核和制度基礎稽核上發(fā)展起來的一種稽核模式，是指稽核人員充分了解稽核對象內部控制基礎上，分析、判斷其風險所在、風險程度及發(fā)生頻率，將稽核資源集中于高風險領域，進行實質性測試，將內部稽核剩余風險降低到最低水平，進行創(chuàng)造價值的一種稽核模式。

（二）風險導向稽核的特點。

風險導向稽核不僅僅是稽核技術方法、稽核程序上的一大變革，更重要也最根本的是稽核理念的更新，是一種基于戰(zhàn)略系統(tǒng)觀的稽核新理念。它的主要特點表現(xiàn)為：

1.稽核監(jiān)督層面趨于宏觀。風險導向稽核是建立在對被稽核單位全方位深入了解以及把指導思想建立在“合理的職業(yè)懷疑假設”的基礎上， 以對企業(yè)戰(zhàn)略風險和經(jīng)營風險的評估為稽核重心，從源頭上去識別和評估會計報表重大錯報的風險，通過了解被稽核單位所處的經(jīng)濟環(huán)境，分析其經(jīng)營戰(zhàn)略、經(jīng)營目標、經(jīng)營風險及其業(yè)務流程，評估重大錯報風險，從而針對風險點來設計和實施控制測試和實質性程序，以降低稽核風險至可接受水平。

2.風險評估貫穿稽核全過程。風險導向稽核的基本原則是全流程移動性風險評估，即將風險評估貫穿于稽核過程的每個環(huán)節(jié)，包括計劃、現(xiàn)場、報告等各個階段。全面風險分析評估是風險導向稽核的立足點和核心，對風險分析評估結果的充分運用則是風險導向稽核的重點。

3.注重分析性程序的運用。風險導向稽核從風險評估到最終稽核結論的確定均可使用分析性程序，尤其是在風險評估中。風險導向稽核中的分析性程序與傳統(tǒng)稽核中的分析性復核相比，其分析范圍更加廣泛，工具更加多樣，功能更加強大。風險導向稽核中的風險評估需要充分運用現(xiàn)代管理的分析工具，包括財務和非財務數(shù)據(jù)的分析；它擴大了傳統(tǒng)稽核模式的分析量，并充分運用信息化和計算機稽核等技術，使稽核抽樣更加全面和針對性，使得出的風險評估結論更加準確。

4.稽核證據(jù)內涵擴大?；巳藛T形成稽核結論所依據(jù)的證據(jù)不僅包括實施控制測試和實質性測試獲取的證據(jù)，還包括了解企業(yè)及其環(huán)境獲取的證據(jù)。風險導向稽核要求稽核人員擴大取證范圍，不僅從被稽核單位管理層獲取稽核證據(jù)，還要從一般員工或客戶、上級管理部門、監(jiān)管部門等處獲取稽核證據(jù)，這是獲取管理層舞弊線索的有效途徑。此外，由于作為稽核立足點的風險評估注重宏觀因素對重大錯報風險影響的分析，因此稽核人員也必須從外部獲取大量證據(jù)來證明風險評估結果的恰當性。

二、風險導向稽核在商業(yè)銀行稽核工作中應用的必然性和可行性

（一）風險導向稽核在商業(yè)銀行稽核工作中應用的必然性。

1.適應銀行內在發(fā)展要求的需要。隨著金融全球化趨勢的加深，金融風險也不斷加劇和分散，使商業(yè)銀行的風險管控難度越來越大。傳統(tǒng)的稽核理論和方法已不能適應現(xiàn)代銀行的發(fā)展需求。因此，商業(yè)銀行必須應用風險導向稽核，通過稽核評估、結果和建議等幫助改進管理控制系統(tǒng)，直接影響銀行的經(jīng)營決策，確保商業(yè)銀行風險管理目標與業(yè)務發(fā)展目標保持一致，從而在源頭上加強風險管理，實現(xiàn)稽核為銀行增值的目標。

2.改變銀行稽核現(xiàn)狀的迫切要求。雖然銀監(jiān)會在2006年出臺的《銀行業(yè)金融機構內部審計指引》中，就明確了銀行的內部審計方式要轉為“以風險為導向”。但目前我國商業(yè)銀行的稽核模式仍停留在以合規(guī)性稽核為重點的制度導向稽核上，而未完全轉為風險導向稽核，總體上呈現(xiàn)重事后監(jiān)督而非事前控制、重事后復核而非風險稽核、重部門稽核而非過程稽核、重高風險業(yè)務稽核而非全面評價的特點，稽核效果不夠明顯。近年來發(fā)生的齊魯銀行存單騙貸案、建行北京分行謝根榮騙貸案、“高山案”等銀行重案都反映了傳統(tǒng)銀行稽核方法的尷尬。這些案件說明當一個單位發(fā)生多個控制環(huán)節(jié)的責任人聯(lián)手作案的情況時，內部控制就會失效；所謂的低風險業(yè)務也往往會導致重大風險。因此銀行稽核應該以風險為導向，其工作重點必須從傳統(tǒng)的“查錯防弊”轉向“分析評價”，重視對管理層和全流程的稽核。

（二）風險導向稽核在商業(yè)銀行應用的可行性。

1.商業(yè)銀行已建立比較完善的計算機信息技術平臺。如何建立稽核對象的信息數(shù)據(jù)庫是實施風險導向稽核的難點之一。商業(yè)銀行目前已基本形成了包括業(yè)務處理系統(tǒng)、渠道處理系統(tǒng)、管理信息系統(tǒng)和其他系統(tǒng)在內的比較完善的計算機體系，實現(xiàn)了金融數(shù)據(jù)的集成管理與應用，這為稽核的數(shù)據(jù)采集奠定了良好的基礎，使稽核人員能夠充分了解被稽核單位的資產(chǎn)質量、負債狀況、客戶信息、結算信息、內部控制措施等。

2.商業(yè)銀行已初步實施全面風險管理。按照監(jiān)管要求，國有上市商業(yè)銀行需要建立起COSO框架下的全面風險管理體系（ERM）。全面風險管理（ERM）明確了風險管理的完整循環(huán)流程，即從目標設定到事項識別、風險應對、控制活動，最后是對整個過程的監(jiān)督控制和檢討糾正；同時強調了全程的風險管理過程、全員的風險管理文化和全員參與的風險管理機制。目前商業(yè)銀行已基本建立了全面風險管理框架下的內控三道防線，即一道防線強調過程實時控制和自我評估程序，二道防線強調各職能管理部門對一線部門（過程）進行設計、管理、指導、檢查和監(jiān)督，三道防線強調稽核部門對業(yè)務操作職能及業(yè)務管理職能進行再監(jiān)督和評價，發(fā)現(xiàn)問題并督促其及時采取相應措施。商業(yè)銀行的風險管理經(jīng)驗已比較成熟，為風險導向稽核的應用創(chuàng)造了條件。

三、風險導向稽核在商業(yè)銀行稽核工作中的實際應用談討

（一）充分開展風險評估，突出稽核重點和范圍。

全面風險分析評估是實施風險導向稽核的核心環(huán)節(jié)和立項的基礎，應采取“自上而下”和“自下而上”相結合的思路。只有做好風險評估工作，才能抓住稽核重點，制定有針對性的稽核措施。

1.進行集中于外部因素的環(huán)境與戰(zhàn)略風險評估。要通過評價分析被稽核單位外部環(huán)境包括政治、法律環(huán)境，國內外經(jīng)濟金融形勢，貨幣政策目標、社會信用體系的構建及金融監(jiān)管的有效性，所在地區(qū)的經(jīng)濟發(fā)展狀況、資金需求總體狀況，信用發(fā)展程度和金融機構競爭狀況等情況，來識別來源于被稽核單位外部的威脅或風險，了解其所采取的應對策略。結合外部環(huán)境評估，了解被稽核單位基本情況和戰(zhàn)略定位，重點關注其經(jīng)營目標與理念、風險管理戰(zhàn)略等，進行全面的戰(zhàn)略風險評估。

2.進行集中于內部因素的內控與流程風險評估。不僅要評估被稽核單位的會計控制、程序控制、風險控制等內部控制制度的健全性和有效性，還要評估其組織機構、經(jīng)營方式、資產(chǎn)管理、整個業(yè)務流程的風險管理水平和效果。識別重要風險點及風險領域，要關注董事、監(jiān)事、經(jīng)理及其他高級管理人員的職業(yè)操守、員工專業(yè)勝任能力與風險偏好等人力資源因素；關注財務狀況、經(jīng)營成果、現(xiàn)金流量等財務因素；更要重點關注資產(chǎn)、負債、財務、中間業(yè)務等業(yè)務經(jīng)營領域，對信息系統(tǒng)和金融創(chuàng)新情況進行實時監(jiān)控。

3.進行將經(jīng)營風險與稽核目標結合起來的剩余風險分析。剩余風險是那些未能為被稽核單位所控制的環(huán)境與戰(zhàn)略風險及內控與流程風險。針對被稽核單位的各分支機構、各業(yè)務流程、各金融產(chǎn)品，列出主要風險因素，分析得出其固有風險。結合被稽核單位自身針對其固有風險所采取的化解和防范措施進行分析，評估其控制風險的能力和主觀態(tài)度；用固有風險減去控制能力，計算出剩余風險的凈風險值。

4.進行以風險等級為主要內容的風險評估打分。針對稽核項目，將錯報風險劃分為低風險、適中風險、敏感風險和高風險等幾個層次，分別確定A級0.8-1、B級0.7、C級0.4-0.6和D級0-0.3的風險可能系數(shù)進行打分。對每個項目或產(chǎn)品等從涉及金額、監(jiān)管部門和管理層關注程度、核心業(yè)務熱點領域及變現(xiàn)能力等四項內容進行風險度打分評價，每項內容滿分10分，可根據(jù)項目實際情況打分。評估方法可使用定量與定性分析相結合、模糊綜合評價法等，通過對評估指標的定量分析和對各種風險的分類評價，進行綜合評估，客觀判斷風險狀況。

（二）針對性實施現(xiàn)場稽核，深入挖掘風險源頭和成因。

根據(jù)風險評估結果，確定稽核重點和范圍，制定稽核計劃和程序、措施，并開展現(xiàn)場稽核各項工作，完成稽核證據(jù)收集工作。 1.實施控制測試。通過控制測試可以檢驗相關規(guī)定是否被一貫執(zhí)行，控制措施是否恰當，能否達到控制目的。具體可以對業(yè)務量大、風險相對較高的重要業(yè)務或典型業(yè)務所進行業(yè)務測試，按照規(guī)定的業(yè)務處理程序進行檢查，確認有關控制點是否符合規(guī)定并得到認真執(zhí)行，以判斷內部控制的遵循情況，主要是判斷某一流程是否得到控制；也可以對某項控制的特定環(huán)節(jié)，選擇不同的時期的同類業(yè)務進行功能測試，確認該環(huán)節(jié)的控制措施是否一貫或持續(xù)發(fā)揮作用，主要是判斷某一環(huán)節(jié)是否持續(xù)得到控制。

2.實施實質性測試。要針對風險源，按照風險大小、緊急性等因素排出次序，抓大放小，關注重點，實施現(xiàn)場稽核。要按業(yè)務需要配置稽核人員并按特長合理分工，要將稽核資源向重點風險領域傾斜。充分運用細分風險層次的抽樣法，對高風險區(qū)域進行詳細稽核，對敏感風險區(qū)域抽樣50%，適中風險區(qū)域抽樣25%，低風險區(qū)域抽樣10%，以實現(xiàn)“全面稽核、突出重點”，提高稽核效率與效果。

3.時刻注意查找風險源頭和成因。風險導向稽核的職責不僅是檢查問題、揭示風險，更重要的是把問題的成因找準，把解決問題的方法找到，既要治標，更能治本。因此在現(xiàn)場稽核過程中，稽核人員不能忽視任何風險線索，要深入挖掘潛在風險，透過現(xiàn)象看問題本質，尋找現(xiàn)象背后的東西；發(fā)現(xiàn)問題之后要通過與相關人員溝通、查找其他資料證據(jù)等方式，從制度層面、流程控制和機制建設等方面，深刻剖析問題的成因，從而為提出有效的管理建議奠定基礎。如發(fā)現(xiàn)某分行一家支行存在月末滾動發(fā)放存單質押自助貸款時，稽核人員就應該對該分行的其他幾個是否存在類似情況進行延伸檢查；并了解導致問題發(fā)生的原因，如管理層的業(yè)務發(fā)展思路、考核導向、系統(tǒng)控制、人員素質等。

4.突出風險內容，出具稽核報告?，F(xiàn)場稽核工作完成后，稽核人員要以經(jīng)過核實的稽核證據(jù)為依據(jù)，形成稽核結論和建議，出具稽核報告，對業(yè)務風險予以充分揭示。如有必要，可以在稽核過程中提交期中報告，以便及時采取有效的糾正措施以改善經(jīng)營活動和內部控制?；藞蟾鎽斂陀^、完整、清晰、及時，并具有建設性，其針對稽核對象經(jīng)營活動和內部控制的缺陷提出的建議應當充分考慮可行性及稽核項目的重要性和風險水平；一般合規(guī)性、沒有實質風險的問題可以不反映在稽核報告中。

（三）圍繞日?；斯ぷ鳎鎽蔑L險導向稽核。

商業(yè)銀行的稽核工作不僅僅包括現(xiàn)場稽核，還包括非現(xiàn)場稽核、崗位稽核和日常監(jiān)督等工作，都應該推廣應用風險導向稽核。

1.在非現(xiàn)場稽核方面，要提高計算機稽核水平。要開發(fā)使用計算機稽核系統(tǒng)，注重計算機數(shù)據(jù)的采集與分析運用，根據(jù)業(yè)務風險點不斷建立完善風險模型，擴大業(yè)務領域覆蓋的廣度和深度，實現(xiàn)利用先進的稽核手段和平臺，通過非現(xiàn)場數(shù)據(jù)分析發(fā)現(xiàn)風險、提前預警的目的。

2.在崗位稽核方面，要重點揭示風險和經(jīng)營管理中的不足。關注領導班子成員盡職履責意識不強及不按規(guī)矩辦事、出現(xiàn)違規(guī)經(jīng)營苗頭現(xiàn)象；關注“表面清潔”和弄虛作假現(xiàn)象；關注長期發(fā)展較慢或過快、人員流動性較大、風險較為突出的區(qū)域、機構和崗位。

3.在日常監(jiān)督方面，要緊盯風險源頭快速跟進。在日?；吮O(jiān)督中，要注意收集分析被監(jiān)督單位的各類信息，結合被監(jiān)督單位經(jīng)營特點、風險特征及領導關心的問題等進行重點監(jiān)督；從機構、人員、客戶、業(yè)務等方面對信息進行系統(tǒng)性梳理，綜合內外部檢查發(fā)現(xiàn)問題，抓住潛在風險源頭對重點事項進行快速調研檢查，及時進行風險提示，提升稽核增值服務功能。

參考文獻

【1】余效明，商業(yè)銀行風險審計研究（M），中國時代經(jīng)濟出版社，2007

篇10

關鍵詞：信息安全風險評估風險分析

一、前言

電力系統(tǒng)越來越依賴電力信息網(wǎng)絡來保障其安全、可靠、高效的運行，該數(shù)據(jù)信息網(wǎng)絡出現(xiàn)的任何信息安全方面的問題都可能波及電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟運行，因此電力信息網(wǎng)絡的安全保障工作刻不容緩[1，2]。風險評估具體的評估方法從早期簡單的純技術操作，逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關標準的方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點，以威脅為觸發(fā)，以技術、管理、運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型[3]。

二、信息安全風險評估

在我國，風險評估工作已經(jīng)完成了調查研究階段、標準草案編制階段和全國試點工作階段，國信辦制定的標準草案《信息安全風險評估指南》[4]（簡稱《指南》）得到了較好地實踐。本文設計的工具是基于《指南》的，涉及內容包括：

（一）風險要素關系。圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開，在對基本要素的評估過程中，需要充分考慮業(yè)務戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風險等與基本要素相關的各類屬性。

（二）風險分析原理。資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產(chǎn)弱點的嚴重程度。

（三）風險評估流程。包括風險評估準備、資產(chǎn)識別、威脅識別、脆弱性識別、已有安全措施確認、風險分析、風險消減[5]。

三、電力信息網(wǎng)風險評估輔助系統(tǒng)設計與實現(xiàn)

本文設計的信息安全風險評估輔助系統(tǒng)是基于《指南》的標準，設計階段參考了Nipc-RiskAssessTool-V2.0，Microsoft Security Risk Self-Assessment Tool等風險評估工具。系統(tǒng)采用C/S結構，是一個多專家共同評估的風險評估工具。分為知識庫管理端、信息庫管理端、系統(tǒng)評估端、評估管理端。其中前兩個工具用于更新知識庫和信息庫。后兩個工具是風險評估的主體。下面對系統(tǒng)各部分的功能模塊進行詳細介紹：

（一）評估管理端。評估管理端控制風險評估的進度，綜合管理系統(tǒng)評估端的評估結果。具體表現(xiàn)在：開啟評估任務；分配風險評估專家；對準備階段、資產(chǎn)識別階段、威脅識別階段、脆弱性識別階段、已有控制措施識別階段、風險分析階段、選擇控制措施階段這七個階段多個專家的評估進行確認，對多個專家的評估數(shù)據(jù)進行綜合，得到綜合評估結果。

（二）系統(tǒng)評估端。系統(tǒng)評估端由多個專家操作，同時開展評估。系統(tǒng)評估端要經(jīng)歷如下階段：a.準備階段：評估系統(tǒng)中CIA的相對重要性；b.資產(chǎn)識別階段；c.威脅識別階段；d.脆弱性識別階段；e.已有控制措施識別階段；f.風險分析階段；g.控制措施選擇階段。在完成了風險評估的所有階段之后，和評估管理端一樣，可以瀏覽、導出、打印評估的結果—風險評估報表系列。

（三）信息庫管理端。信息庫管理端由資產(chǎn)管理，威脅管理，脆弱點管理，控制措施管理四部分組成。具體功能是：對資產(chǎn)大類、小類進行管理；對威脅列表進行管理；對脆弱點大類、列表進行管理；對控制措施列表進行管理。

（四）知識庫管理端。知識庫的管理分為系統(tǒng)CIA問卷管理，脆弱點問卷管理，威脅問卷管理，資產(chǎn)屬性問卷管理，控制措施問卷管理，控制措施損益問卷管理六部分。

四、總結

信息安全風險評估是一個新興的領域，本文在介紹了信息安全風險評估研究意義的基礎之上，詳細闡述了信息安全風險評估輔助工具的結構設計和系統(tǒng)主要部分的功能描述。測試結果表明系統(tǒng)能對已有的控制措施進行識別，分析出已有控制措施的實施效果，為風險處理計劃提供依據(jù)。

參考文獻：

[1]Huisheng Gao,Yiqun Sun，Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.

[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.

[3]左曉棟等.對信息安全風險評估中幾個重要問題的認識[J].計算機安全,2004,7:64-66