導(dǎo)語：科技管理風(fēng)險導(dǎo)向?qū)徲嫷膽?yīng)用一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

一、引言

在意大利上市的前100家大型企業(yè)運用風(fēng)險導(dǎo)向?qū)徲嫷臓顩r進(jìn)行了調(diào)查，結(jié)果表明：有25%的企業(yè)未采用風(fēng)險導(dǎo)向?qū)徲嫹椒?；?7%的企業(yè)只在年度審計計劃編制過程中采用了風(fēng)險導(dǎo)向?qū)徲嫹椒ǎ恢挥?%的企業(yè)在年度審計計劃編制過程和具體審計項目的實施過程中都采用了風(fēng)險導(dǎo)向?qū)徲嫹椒??？梢姡L(fēng)險導(dǎo)向?qū)徲嫴⑽丛诰唧w審計項目實施過程中得到廣泛運用。而在理論研究方面，有關(guān)風(fēng)險導(dǎo)向?qū)徲嫷难芯恳捕嗤Ａ粼诮榻B基本概念、分析其必要性上，雖然提出了一些推廣運用的設(shè)想，但多數(shù)較為籠統(tǒng)，缺少實踐案例，對實際操作的借鑒性不強。鑒于此，我們以科技管理審計實施為切入點，將風(fēng)險導(dǎo)向審計理念貫穿于整個審計過程的始終，為在具體審計項目中運用風(fēng)險導(dǎo)向?qū)徲嫹椒ㄩ_展了積極探索。

二、風(fēng)險導(dǎo)向?qū)徲媽嵤┻^程風(fēng)險導(dǎo)向?qū)徲嬤^程主要分為審前準(zhǔn)備、審計實施、審計報告三個階段。

（一）審前準(zhǔn)備。風(fēng)險導(dǎo)向?qū)徲嫷囊淮筇攸c是審計重心前移，在現(xiàn)場審計前需充分了解被審計對象的情況，分析、評估其面臨的風(fēng)險，這是風(fēng)險導(dǎo)向?qū)徲嫷幕A(chǔ)和關(guān)鍵環(huán)節(jié)，決定了審計的成敗。

1、風(fēng)險識別

為了識別被審計對象科技管理方面存在的風(fēng)險，我們在審前采取詢問被審計對象內(nèi)部相關(guān)人員、咨詢其上級主管部門、收集內(nèi)外部相關(guān)資料、審計組內(nèi)討論等方式，收集了被審計對象科技管理和信息系統(tǒng)基本情況、內(nèi)部控制和風(fēng)險管理狀況、被檢查和考核資料等相關(guān)信息，為進(jìn)行風(fēng)險識別準(zhǔn)備好了數(shù)據(jù)原料。對于科技管理的風(fēng)險，可從風(fēng)險源、風(fēng)險影響和風(fēng)險行為等多個角度來分類。由于考慮到審計的目的是為了完善風(fēng)險控制，因此從風(fēng)險控制措施的角度來看，同一風(fēng)險源可能采取多種攻擊方式，不同風(fēng)險源也可能產(chǎn)生同樣的危害，不便于提出控制措施；而從風(fēng)險的影響來區(qū)分較為籠統(tǒng)，也不便于提出有針對性的控制措施。因此在審計中，我們從風(fēng)險行為的角度，將科技管理風(fēng)險主要分為操作失誤、濫用授權(quán)、行為抵賴、身份假冒或密碼分析、黑客攻擊、惡意代碼和病毒、泄露信息、篡改數(shù)據(jù)、破壞系統(tǒng)、系統(tǒng)意外故障、系統(tǒng)環(huán)境威脅、物理攻擊和管理不到位等十多類。我們以以往開展的科技管理審計獲取的數(shù)據(jù)和所收集到的被審計對象科技管理情況為基礎(chǔ)，明確科技管理的目標(biāo)，分析威脅目標(biāo)實現(xiàn)的風(fēng)險，依據(jù)風(fēng)險分類方式，進(jìn)行風(fēng)險識別。由于風(fēng)險不可能窮盡，為抓住主要矛盾，僅識別較重要的風(fēng)險，共識別出7類、24個風(fēng)險域、49個風(fēng)險點，形成了科技管理風(fēng)險清單。

2、風(fēng)險評估

為對已識別風(fēng)險進(jìn)行評估，確定每個風(fēng)險點的等級，采用了風(fēng)險矩陣的方式（見圖1），將風(fēng)險分為4個等級：風(fēng)險可忽略、風(fēng)險較低、較高風(fēng)險、重大風(fēng)險。對于風(fēng)險發(fā)生的可能性和影響程度，由于目前還未能建立完備的風(fēng)險監(jiān)測數(shù)據(jù)庫，無法準(zhǔn)確的量化風(fēng)險的發(fā)生頻率和影響，因此采取的是主觀估計法，在審計組內(nèi)部實施頭腦風(fēng)暴法，由審計人員根據(jù)以往科技管理審計的實際情況和經(jīng)驗，對風(fēng)險的可能性和影響作出判斷，在風(fēng)險矩陣中得出對應(yīng)的風(fēng)險等級。對風(fēng)險影響程度的判斷，主要是從風(fēng)險發(fā)生后影響的范圍、損失金額大小、系統(tǒng)重要性和業(yè)務(wù)量、系統(tǒng)數(shù)據(jù)安全性和保密性要求、系統(tǒng)持續(xù)運行要求、系統(tǒng)操作難度等因素來考慮。需要注意的是，這里評估的是固有風(fēng)險，非剩余風(fēng)險，使用固有風(fēng)險是因為審計的目的就是通過檢查，評估已有控制措施的效力，進(jìn)而確定剩余風(fēng)險，因此，審計前的風(fēng)險評估應(yīng)評價的是固有風(fēng)險的發(fā)生可能性和影響程度。在評估固有風(fēng)險后，還可根據(jù)被審計對象的控制風(fēng)險進(jìn)行調(diào)整。調(diào)整因素包括：距上次審計或檢查的時間、上次審計或檢查的結(jié)果、上次審計或檢查后的整改情況。調(diào)整原則是，如果被審計對象在近2年被審計或檢查過，且未發(fā)現(xiàn)嚴(yán)重問題，整改情況良好，則被審計或檢查過的那部分風(fēng)險點全部降一個等級。

3、建立科技管理風(fēng)險評估指標(biāo)體系

為更好的指導(dǎo)審計實施，量化風(fēng)險評估結(jié)果，提高科技管理風(fēng)險評估的可比性，我們還研究建立了科技管理風(fēng)險評估指標(biāo)體系，制作了《對××單位科技管理審計風(fēng)險評估表》。在風(fēng)險評估表中，圍繞科技管理內(nèi)控機制建設(shè)、機房與設(shè)施管理、網(wǎng)絡(luò)管理、安全保密管理、業(yè)務(wù)應(yīng)用系統(tǒng)運行維護(hù)管理、采購和外包服務(wù)管理、應(yīng)急備份和文檔管理情況等7部分科技管理主要工作，確定了每部分的工作目標(biāo)，列出每部分的風(fēng)險域和風(fēng)險域中存在的風(fēng)險點，并針對每個風(fēng)險點提示了相應(yīng)的控制措施，便于審計人員根據(jù)控制措施的提示對風(fēng)險點進(jìn)行脆弱性檢測。對于指標(biāo)體系中權(quán)重的設(shè)置，由于存在分類、風(fēng)險域、風(fēng)險點3個層次，分2種方法進(jìn)行處理。對于分類和風(fēng)險域這兩種較為抽象的指標(biāo)，運用了層次分析法。向科技人員和審計骨干們發(fā)放調(diào)查問卷，請專家們按照1－9標(biāo)度法對指標(biāo)的重要性作兩兩比較，填寫判斷矩陣；將結(jié)果進(jìn)行匯總平均后，得到最終的判斷矩陣（見表2），計算各矩陣的特征根和特征向量，并檢驗其一致性，再對特征向量進(jìn)行歸一處理后，計算得出各分類和風(fēng)險域的權(quán)重。對于風(fēng)險點的權(quán)重，則利用之前已確定好的風(fēng)險點等級進(jìn)行相應(yīng)賦值，對風(fēng)險可忽略、風(fēng)險較低、較高風(fēng)險、重大風(fēng)險這4個等級的風(fēng)險點分別賦值1、2、4、8，在風(fēng)險域范圍內(nèi)進(jìn)行歸一后獲得各風(fēng)險點的基礎(chǔ)權(quán)重，再與其對應(yīng)的風(fēng)險域、分類的權(quán)重相乘后，得到風(fēng)險點的最終權(quán)重。為了更好的評價被審計對象的風(fēng)險管理情況，我們還編寫了審計方案，不僅檢查科技管理內(nèi)控制度的充分性，機房、網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用系統(tǒng)的安全性，運維、采購和安全管理的規(guī)范性，還重點關(guān)注科技風(fēng)險管理的情況，檢測科技風(fēng)險管理的環(huán)境建設(shè)、風(fēng)險評估、風(fēng)險控制和監(jiān)督等情況，擴(kuò)展了審計范圍，綜合評估被審計單位科技風(fēng)險管理整體狀況。審計中，將《對××單位科技管理審計風(fēng)險評估表》作為審計方案的重要組成部分，要求審計人員在評估表的指導(dǎo)下，根據(jù)各風(fēng)險點的高低實施相應(yīng)的檢查，根據(jù)審計結(jié)果填寫對風(fēng)險點的控制得分。

（二）審計實施。在審計實施階段，我們針對不同的風(fēng)險點，指派特定的審計人員花費一定的審計時間，采取適當(dāng)?shù)膶徲嫵绦颢@取一定范圍內(nèi)具有說服力的審計證據(jù)，檢測被審計對象的風(fēng)險控制情況，評價其剩余風(fēng)險。由于科技管理審計中，機房、網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)等部分審計內(nèi)容是高風(fēng)險點集中的區(qū)域，且具有專業(yè)技術(shù)要求高的特點，因此分派具有相應(yīng)技能和豐富經(jīng)驗的審計人員負(fù)責(zé)。審計人員根據(jù)所負(fù)責(zé)部分的風(fēng)險點高低來確定其審計重點，分配工作量，以風(fēng)險為導(dǎo)向，采取多種方法檢測被審計對象對風(fēng)險點的控制情況。風(fēng)險導(dǎo)向?qū)徲嫷膶徲嫵绦蛑饕譃榭刂茰y試和實質(zhì)性程序兩類?？刂茰y試指的是測試控制運行的有效性，包括詢問、觀察、檢查、重新執(zhí)行和穿行測試等方法。實質(zhì)性程序是指針對重大、特別風(fēng)險實施的更深層次的審計方法，包括細(xì)節(jié)測試和實質(zhì)性分析程序。由于實質(zhì)性程序多用于財務(wù)性審計，因此，主要應(yīng)用了控制測試的審計程序。審計人員運用了詢問、觀察、問卷調(diào)查、現(xiàn)場檢查、重新執(zhí)行等方法，多角度測試被審計對象的科技風(fēng)險控制運行的有效性。對于審計中檢查樣本抽取數(shù)量，根據(jù)風(fēng)險點等級和業(yè)務(wù)頻率來判斷（見表3）。高風(fēng)險點按上限抽取，低風(fēng)險點按下限抽取。

（三）審計報告。報告階段的主要工作是評估所獲取的審計證據(jù)，編寫審計報告，提出審計建議，并持續(xù)跟蹤、落實審計整改情況。現(xiàn)場審計結(jié)束后，審計組與被審計對象就事實確認(rèn)書和風(fēng)險評估的最終情況進(jìn)行了溝通和確認(rèn)，根據(jù)反饋情況編寫了審計報告。審計報告以風(fēng)險為中心，全面評價被審計對象的科技風(fēng)險管理情況，指出了存在的問題和風(fēng)險隱患，提出改進(jìn)和完善的意見建議。為了突出審計發(fā)現(xiàn)的高風(fēng)險管理情況和問題，引起關(guān)注，我們在審計報告的開始就對被審計對象的風(fēng)險管理和控制執(zhí)行情況進(jìn)行簡短的總體評價；將發(fā)現(xiàn)問題按照嚴(yán)重程度劃分為嚴(yán)重、較嚴(yán)重、一般和輕微4類，依次列出。被審計對象的風(fēng)險評估最終得分直接根據(jù)審計查出問題來賦值。對嚴(yán)重、較嚴(yán)重、一般和輕微問題分別賦值100、40、20、10分，每個風(fēng)險點原始分值為100，統(tǒng)計每個風(fēng)險點發(fā)現(xiàn)的問題數(shù)，單個風(fēng)險點的最終得分V＝100－嚴(yán)重問題數(shù)×100-較嚴(yán)重問題數(shù)×40-一般問題數(shù)×20-輕微問題數(shù)×10，得分V最低為0分。風(fēng)險評估最終得分為所有風(fēng)險點得分的加權(quán)總和。在審計中，我們共發(fā)現(xiàn)11個問題，分別為7個一般問題、4個輕微問題。根據(jù)評分規(guī)則打分后，風(fēng)險評估最終的得分為95.13分。為了將定量評估轉(zhuǎn)換為定性評價，還建立了風(fēng)險評估定級標(biāo)準(zhǔn)（見表4）。根據(jù)標(biāo)準(zhǔn)，審計組對被審計對象的科技管理情況給出了風(fēng)險管理狀況良好的評價。改情況，特別是要對所發(fā)現(xiàn)的嚴(yán)重、較嚴(yán)重問題做重點關(guān)注，注意這些重要問題是否得到了有效的控制和消除，并評估是否有新的風(fēng)險和問題產(chǎn)生。根據(jù)被審計對象提交的整改報告和其他途徑獲取信息，判斷是否需要開展后續(xù)審計或檢查，以確認(rèn)審計發(fā)現(xiàn)的糾正情況。

三、風(fēng)險導(dǎo)向?qū)徲嬃鞒炭蚣?/p>

基于此次風(fēng)險導(dǎo)向?qū)徲媽嵺`，我們總結(jié)經(jīng)驗做法，提出了風(fēng)險導(dǎo)向?qū)徲嬃鞒炭蚣?，以期對今后開展風(fēng)險導(dǎo)向?qū)徲嬏峁椭?。要在具體審計項目中應(yīng)用風(fēng)險導(dǎo)向?qū)徲?，就?yīng)該將風(fēng)險導(dǎo)向?qū)徲嬂砟钸\用至審計計劃編制到現(xiàn)場實施，直至審計后續(xù)的整個審計過程。在審計過程中，必須重視項目的審前調(diào)查和審計方案的編制工作，重點開展對審計對象的風(fēng)險評估。審計方案的編制應(yīng)與審前調(diào)查結(jié)果緊密結(jié)合，以風(fēng)險評估得出的高風(fēng)險領(lǐng)域作為審計重點，作為選擇審計程序、確定審計抽樣比例的依據(jù)，以提高審計工作的效率和質(zhì)量。審計方案中應(yīng)詳細(xì)列示每一個審計要點對應(yīng)的目標(biāo)、風(fēng)險、控制措施。同時應(yīng)編制標(biāo)準(zhǔn)化檢查表以規(guī)范、細(xì)化審計步驟，詳細(xì)列示需要采取什么方法、訪談哪些人員、需要抽取哪些樣本等，避免因?qū)徲嬋藛T經(jīng)驗不足或懈怠等原因而影響審計質(zhì)量。在現(xiàn)場實施過程中，應(yīng)根據(jù)新增信息不斷調(diào)整風(fēng)險評估結(jié)果，優(yōu)化審計步驟，以修正審前調(diào)查中由于信息量不足而作出的不當(dāng)估計和判斷。對審計中發(fā)現(xiàn)的問題，也應(yīng)以風(fēng)險為導(dǎo)向，充分揭示存在的風(fēng)險隱患，與被審計對象就發(fā)現(xiàn)問題和風(fēng)險評估結(jié)果做充分的溝通確認(rèn)。在審計報告中也以風(fēng)險作為評價的重點，反映被審計對象的風(fēng)險管理整體情況，提示風(fēng)險，提出強化風(fēng)險防范的建議。

四、結(jié)束語

風(fēng)險導(dǎo)向?qū)徲嬍琼槕?yīng)時展，解決審計資源有限與風(fēng)險管理亟待加強矛盾的有效方法，也契合了國際內(nèi)部審計師協(xié)會對內(nèi)部審計的最新要求“通過系統(tǒng)的、規(guī)范的方法，評價并改善風(fēng)險管理、控制和治理過程?！憋L(fēng)險導(dǎo)向?qū)徲嫹椒☉?yīng)貫穿審計過程的始終，要廣泛運用風(fēng)險導(dǎo)向?qū)徲嫹椒ǎx擇審計項目，制定審計方案、指導(dǎo)現(xiàn)場實施、擬寫審計報告，真正實現(xiàn)“風(fēng)險引導(dǎo)審計、審計關(guān)注風(fēng)險”。將風(fēng)險導(dǎo)向運用于具體的審計實踐，能夠幫助深化風(fēng)險導(dǎo)向?qū)徲嬂砟?，拓展審計視野，改進(jìn)審計方式，前移審計中心，更為科學(xué)的配置審計資源，積累風(fēng)險導(dǎo)向?qū)徲嫷慕?jīng)驗，為不斷擴(kuò)大風(fēng)險導(dǎo)向?qū)徲嫷膽?yīng)用打下基礎(chǔ)。今后，我們還將在風(fēng)險評估過程、風(fēng)險評估指標(biāo)體系建立、審計方案制定等方面繼續(xù)改進(jìn)和加強，使風(fēng)險導(dǎo)向?qū)徲嫷膽?yīng)用更為科學(xué)，更加完善。

作者：梁敏工作單位：中國人民銀行上?？偛?/p>