導(dǎo)語：科技管理風險導(dǎo)向?qū)徲嫷膽?yīng)用一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

一、引言

在意大利上市的前100家大型企業(yè)運用風險導(dǎo)向?qū)徲嫷臓顩r進行了調(diào)查，結(jié)果表明：有25%的企業(yè)未采用風險導(dǎo)向?qū)徲嫹椒?；?7%的企業(yè)只在年度審計計劃編制過程中采用了風險導(dǎo)向?qū)徲嫹椒ǎ恢挥?%的企業(yè)在年度審計計劃編制過程和具體審計項目的實施過程中都采用了風險導(dǎo)向?qū)徲嫹椒?。可見，風險導(dǎo)向?qū)徲嫴⑽丛诰唧w審計項目實施過程中得到廣泛運用。而在理論研究方面，有關(guān)風險導(dǎo)向?qū)徲嫷难芯恳捕嗤Ａ粼诮榻B基本概念、分析其必要性上，雖然提出了一些推廣運用的設(shè)想，但多數(shù)較為籠統(tǒng)，缺少實踐案例，對實際操作的借鑒性不強。鑒于此，我們以科技管理審計實施為切入點，將風險導(dǎo)向審計理念貫穿于整個審計過程的始終，為在具體審計項目中運用風險導(dǎo)向?qū)徲嫹椒ㄩ_展了積極探索。

二、風險導(dǎo)向?qū)徲媽嵤┻^程風險導(dǎo)向?qū)徲嬤^程主要分為審前準備、審計實施、審計報告三個階段。

（一）審前準備。風險導(dǎo)向?qū)徲嫷囊淮筇攸c是審計重心前移，在現(xiàn)場審計前需充分了解被審計對象的情況，分析、評估其面臨的風險，這是風險導(dǎo)向?qū)徲嫷幕A(chǔ)和關(guān)鍵環(huán)節(jié)，決定了審計的成敗。

1、風險識別

為了識別被審計對象科技管理方面存在的風險，我們在審前采取詢問被審計對象內(nèi)部相關(guān)人員、咨詢其上級主管部門、收集內(nèi)外部相關(guān)資料、審計組內(nèi)討論等方式，收集了被審計對象科技管理和信息系統(tǒng)基本情況、內(nèi)部控制和風險管理狀況、被檢查和考核資料等相關(guān)信息，為進行風險識別準備好了數(shù)據(jù)原料。對于科技管理的風險，可從風險源、風險影響和風險行為等多個角度來分類。由于考慮到審計的目的是為了完善風險控制，因此從風險控制措施的角度來看，同一風險源可能采取多種攻擊方式，不同風險源也可能產(chǎn)生同樣的危害，不便于提出控制措施；而從風險的影響來區(qū)分較為籠統(tǒng)，也不便于提出有針對性的控制措施。因此在審計中，我們從風險行為的角度，將科技管理風險主要分為操作失誤、濫用授權(quán)、行為抵賴、身份假冒或密碼分析、黑客攻擊、惡意代碼和病毒、泄露信息、篡改數(shù)據(jù)、破壞系統(tǒng)、系統(tǒng)意外故障、系統(tǒng)環(huán)境威脅、物理攻擊和管理不到位等十多類。我們以以往開展的科技管理審計獲取的數(shù)據(jù)和所收集到的被審計對象科技管理情況為基礎(chǔ)，明確科技管理的目標，分析威脅目標實現(xiàn)的風險，依據(jù)風險分類方式，進行風險識別。由于風險不可能窮盡，為抓住主要矛盾，僅識別較重要的風險，共識別出7類、24個風險域、49個風險點，形成了科技管理風險清單。

2、風險評估

為對已識別風險進行評估，確定每個風險點的等級，采用了風險矩陣的方式（見圖1），將風險分為4個等級：風險可忽略、風險較低、較高風險、重大風險。對于風險發(fā)生的可能性和影響程度，由于目前還未能建立完備的風險監(jiān)測數(shù)據(jù)庫，無法準確的量化風險的發(fā)生頻率和影響，因此采取的是主觀估計法，在審計組內(nèi)部實施頭腦風暴法，由審計人員根據(jù)以往科技管理審計的實際情況和經(jīng)驗，對風險的可能性和影響作出判斷，在風險矩陣中得出對應(yīng)的風險等級。對風險影響程度的判斷，主要是從風險發(fā)生后影響的范圍、損失金額大小、系統(tǒng)重要性和業(yè)務(wù)量、系統(tǒng)數(shù)據(jù)安全性和保密性要求、系統(tǒng)持續(xù)運行要求、系統(tǒng)操作難度等因素來考慮。需要注意的是，這里評估的是固有風險，非剩余風險，使用固有風險是因為審計的目的就是通過檢查，評估已有控制措施的效力，進而確定剩余風險，因此，審計前的風險評估應(yīng)評價的是固有風險的發(fā)生可能性和影響程度。在評估固有風險后，還可根據(jù)被審計對象的控制風險進行調(diào)整。調(diào)整因素包括：距上次審計或檢查的時間、上次審計或檢查的結(jié)果、上次審計或檢查后的整改情況。調(diào)整原則是，如果被審計對象在近2年被審計或檢查過，且未發(fā)現(xiàn)嚴重問題，整改情況良好，則被審計或檢查過的那部分風險點全部降一個等級。

3、建立科技管理風險評估指標體系

為更好的指導(dǎo)審計實施，量化風險評估結(jié)果，提高科技管理風險評估的可比性，我們還研究建立了科技管理風險評估指標體系，制作了《對××單位科技管理審計風險評估表》。在風險評估表中，圍繞科技管理內(nèi)控機制建設(shè)、機房與設(shè)施管理、網(wǎng)絡(luò)管理、安全保密管理、業(yè)務(wù)應(yīng)用系統(tǒng)運行維護管理、采購和外包服務(wù)管理、應(yīng)急備份和文檔管理情況等7部分科技管理主要工作，確定了每部分的工作目標，列出每部分的風險域和風險域中存在的風險點，并針對每個風險點提示了相應(yīng)的控制措施，便于審計人員根據(jù)控制措施的提示對風險點進行脆弱性檢測。對于指標體系中權(quán)重的設(shè)置，由于存在分類、風險域、風險點3個層次，分2種方法進行處理。對于分類和風險域這兩種較為抽象的指標，運用了層次分析法。向科技人員和審計骨干們發(fā)放調(diào)查問卷，請專家們按照1－9標度法對指標的重要性作兩兩比較，填寫判斷矩陣；將結(jié)果進行匯總平均后，得到最終的判斷矩陣（見表2），計算各矩陣的特征根和特征向量，并檢驗其一致性，再對特征向量進行歸一處理后，計算得出各分類和風險域的權(quán)重。對于風險點的權(quán)重，則利用之前已確定好的風險點等級進行相應(yīng)賦值，對風險可忽略、風險較低、較高風險、重大風險這4個等級的風險點分別賦值1、2、4、8，在風險域范圍內(nèi)進行歸一后獲得各風險點的基礎(chǔ)權(quán)重，再與其對應(yīng)的風險域、分類的權(quán)重相乘后，得到風險點的最終權(quán)重。為了更好的評價被審計對象的風險管理情況，我們還編寫了審計方案，不僅檢查科技管理內(nèi)控制度的充分性，機房、網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用系統(tǒng)的安全性，運維、采購和安全管理的規(guī)范性，還重點關(guān)注科技風險管理的情況，檢測科技風險管理的環(huán)境建設(shè)、風險評估、風險控制和監(jiān)督等情況，擴展了審計范圍，綜合評估被審計單位科技風險管理整體狀況。審計中，將《對××單位科技管理審計風險評估表》作為審計方案的重要組成部分，要求審計人員在評估表的指導(dǎo)下，根據(jù)各風險點的高低實施相應(yīng)的檢查，根據(jù)審計結(jié)果填寫對風險點的控制得分。

（二）審計實施。在審計實施階段，我們針對不同的風險點，指派特定的審計人員花費一定的審計時間，采取適當?shù)膶徲嫵绦颢@取一定范圍內(nèi)具有說服力的審計證據(jù)，檢測被審計對象的風險控制情況，評價其剩余風險。由于科技管理審計中，機房、網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)等部分審計內(nèi)容是高風險點集中的區(qū)域，且具有專業(yè)技術(shù)要求高的特點，因此分派具有相應(yīng)技能和豐富經(jīng)驗的審計人員負責。審計人員根據(jù)所負責部分的風險點高低來確定其審計重點，分配工作量，以風險為導(dǎo)向，采取多種方法檢測被審計對象對風險點的控制情況。風險導(dǎo)向?qū)徲嫷膶徲嫵绦蛑饕譃榭刂茰y試和實質(zhì)性程序兩類。控制測試指的是測試控制運行的有效性，包括詢問、觀察、檢查、重新執(zhí)行和穿行測試等方法。實質(zhì)性程序是指針對重大、特別風險實施的更深層次的審計方法，包括細節(jié)測試和實質(zhì)性分析程序。由于實質(zhì)性程序多用于財務(wù)性審計，因此，主要應(yīng)用了控制測試的審計程序。審計人員運用了詢問、觀察、問卷調(diào)查、現(xiàn)場檢查、重新執(zhí)行等方法，多角度測試被審計對象的科技風險控制運行的有效性。對于審計中檢查樣本抽取數(shù)量，根據(jù)風險點等級和業(yè)務(wù)頻率來判斷（見表3）。高風險點按上限抽取，低風險點按下限抽取。

（三）審計報告。報告階段的主要工作是評估所獲取的審計證據(jù)，編寫審計報告，提出審計建議，并持續(xù)跟蹤、落實審計整改情況?，F(xiàn)場審計結(jié)束后，審計組與被審計對象就事實確認書和風險評估的最終情況進行了溝通和確認，根據(jù)反饋情況編寫了審計報告。審計報告以風險為中心，全面評價被審計對象的科技風險管理情況，指出了存在的問題和風險隱患，提出改進和完善的意見建議。為了突出審計發(fā)現(xiàn)的高風險管理情況和問題，引起關(guān)注，我們在審計報告的開始就對被審計對象的風險管理和控制執(zhí)行情況進行簡短的總體評價；將發(fā)現(xiàn)問題按照嚴重程度劃分為嚴重、較嚴重、一般和輕微4類，依次列出。被審計對象的風險評估最終得分直接根據(jù)審計查出問題來賦值。對嚴重、較嚴重、一般和輕微問題分別賦值100、40、20、10分，每個風險點原始分值為100，統(tǒng)計每個風險點發(fā)現(xiàn)的問題數(shù)，單個風險點的最終得分V＝100－嚴重問題數(shù)×100-較嚴重問題數(shù)×40-一般問題數(shù)×20-輕微問題數(shù)×10，得分V最低為0分。風險評估最終得分為所有風險點得分的加權(quán)總和。在審計中，我們共發(fā)現(xiàn)11個問題，分別為7個一般問題、4個輕微問題。根據(jù)評分規(guī)則打分后，風險評估最終的得分為95.13分。為了將定量評估轉(zhuǎn)換為定性評價，還建立了風險評估定級標準（見表4）。根據(jù)標準，審計組對被審計對象的科技管理情況給出了風險管理狀況良好的評價。改情況，特別是要對所發(fā)現(xiàn)的嚴重、較嚴重問題做重點關(guān)注，注意這些重要問題是否得到了有效的控制和消除，并評估是否有新的風險和問題產(chǎn)生。根據(jù)被審計對象提交的整改報告和其他途徑獲取信息，判斷是否需要開展后續(xù)審計或檢查，以確認審計發(fā)現(xiàn)的糾正情況。

三、風險導(dǎo)向?qū)徲嬃鞒炭蚣?/p>

基于此次風險導(dǎo)向?qū)徲媽嵺`，我們總結(jié)經(jīng)驗做法，提出了風險導(dǎo)向?qū)徲嬃鞒炭蚣?，以期對今后開展風險導(dǎo)向?qū)徲嬏峁椭Ｒ诰唧w審計項目中應(yīng)用風險導(dǎo)向?qū)徲?，就?yīng)該將風險導(dǎo)向?qū)徲嬂砟钸\用至審計計劃編制到現(xiàn)場實施，直至審計后續(xù)的整個審計過程。在審計過程中，必須重視項目的審前調(diào)查和審計方案的編制工作，重點開展對審計對象的風險評估。審計方案的編制應(yīng)與審前調(diào)查結(jié)果緊密結(jié)合，以風險評估得出的高風險領(lǐng)域作為審計重點，作為選擇審計程序、確定審計抽樣比例的依據(jù)，以提高審計工作的效率和質(zhì)量。審計方案中應(yīng)詳細列示每一個審計要點對應(yīng)的目標、風險、控制措施。同時應(yīng)編制標準化檢查表以規(guī)范、細化審計步驟，詳細列示需要采取什么方法、訪談哪些人員、需要抽取哪些樣本等，避免因?qū)徲嬋藛T經(jīng)驗不足或懈怠等原因而影響審計質(zhì)量。在現(xiàn)場實施過程中，應(yīng)根據(jù)新增信息不斷調(diào)整風險評估結(jié)果，優(yōu)化審計步驟，以修正審前調(diào)查中由于信息量不足而作出的不當估計和判斷。對審計中發(fā)現(xiàn)的問題，也應(yīng)以風險為導(dǎo)向，充分揭示存在的風險隱患，與被審計對象就發(fā)現(xiàn)問題和風險評估結(jié)果做充分的溝通確認。在審計報告中也以風險作為評價的重點，反映被審計對象的風險管理整體情況，提示風險，提出強化風險防范的建議。

四、結(jié)束語

風險導(dǎo)向?qū)徲嬍琼槕?yīng)時展，解決審計資源有限與風險管理亟待加強矛盾的有效方法，也契合了國際內(nèi)部審計師協(xié)會對內(nèi)部審計的最新要求“通過系統(tǒng)的、規(guī)范的方法，評價并改善風險管理、控制和治理過程。”風險導(dǎo)向?qū)徲嫹椒☉?yīng)貫穿審計過程的始終，要廣泛運用風險導(dǎo)向?qū)徲嫹椒?，選擇審計項目，制定審計方案、指導(dǎo)現(xiàn)場實施、擬寫審計報告，真正實現(xiàn)“風險引導(dǎo)審計、審計關(guān)注風險”。將風險導(dǎo)向運用于具體的審計實踐，能夠幫助深化風險導(dǎo)向?qū)徲嬂砟?，拓展審計視野，改進審計方式，前移審計中心，更為科學(xué)的配置審計資源，積累風險導(dǎo)向?qū)徲嫷慕?jīng)驗，為不斷擴大風險導(dǎo)向?qū)徲嫷膽?yīng)用打下基礎(chǔ)。今后，我們還將在風險評估過程、風險評估指標體系建立、審計方案制定等方面繼續(xù)改進和加強，使風險導(dǎo)向?qū)徲嫷膽?yīng)用更為科學(xué)，更加完善。

作者：梁敏工作單位：中國人民銀行上?？偛?/p>