内部审计风险评估

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇内部审计风险评估范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

内部审计风险评估范文第1篇

关键词：湖南省；中小企业；内部审计；风险评估影响；实证研究

一、内部审计研究现状

1.内部审计的理论来源及定义

在中小型企业取得一定成就发展的同时，还有大量企业发展正处于倒闭、破产的边缘，其根本原因就是企业的内部审计制度不完善、不健全，造成在资金链、战略投资方向、企业融资能力等方面出现问题。于是开始有企业对内部审计进行各项内容的研究，但是就目前的研究情况来看还缺乏足够的理论分析和实证研究。经过多年的发展研究，内部审计逐渐被定义为：企业内部的一种独立客观的监督和评价活动，它是通过审查的手段对企业的经营活动进行评价，并根据审查结果及时采取具有适当性、合法性和有效性的内部控制方法来促进企业发展目标的实现。

2.内部审计治理效应表现形式分析

第一，内部审计与内部控制之间的关系。内部控制理论自上个世纪40年代前出现开始就不断被应用于企业的发展过程中，为企业的内部管理形成了一个整体的框架，其中内部审计是内部控制框架中的一个重要内部环境因素，对内部控制的实现发挥着重要作用。在现代企业制度中，内部审计与内部控制之间已经不在仅仅是一种包含与被包含的关系，而是相互渗透、相互促进与支持的一种协作关系。在湖南省的中小型企业发展过程中有过对内部控制的问卷调查，研究其中是否存在财务报告欺骗和舞弊等弊端，并对这类状况给以帮助。通过研究发现，在进行内部控制的过程中发挥内部审计的职能能够更加有效的改善企业内部的监控环境。

第二，内部审计与风险管理之间的关系。中小型企业加强内部审计的目的与进行风险管理的目的是一样的，就是维护企业股东的权益和保护企业的资产，对企业发展战略的制定与决策提供强有力的支持，使得风险管理与内部控制之间的联系更加紧密。虽然目的是一样的，但是两者在处理方式是有所不同的，风险管理要更加主动和全面，内部审计则是对企业发展方向进行风险评估，并在基于法律保障的前提下提出各项政策和操作支持。

第三，内部审计与企业绩效之间的关系。在早期的研究过程中，许多的企业对内部审计与内部控制之间的有效性给以过多关注，观察它对企业的财务状况所起的作用，没有注意到内部审计制度的发展为企业创造更大价值的目的提供了基本条件支持。内部审计的作用是否见效与企业决策之间有着密切联系，若对内部审计十分重视，则可以为企业的发展提供诸多合理有效的建议，对对外财务报告质量产生巨大的影响。

3.内部审计构成要素现状分析

根据企业内部审计多年的发展研究发现，内部审计的构成要素主要概括为：内部审计的独立性，企业的发展规模以及内部审计的环境，对这个主要要素进行现状分析可以发现以下几个方面。首先是对企业的治理结构方面，也就是内部审计的环境因素，可以将内部审计分为外部控制、内外共同控制和家族控制三个主要模式。其次是根据企业的性质进行划分，中小企业大都属于民营企业，通常是在家族的内部控制下发展，有专门的审计委员进行相关审计工作。最后是企业的发展规模，中小企业的发展规模通常较小，所从事的业务较为单一，所以内部审计工作由企业内部的总经理或财务经理进行。

二、内部审计变量量表设计及修正分析

1.研究变量的操作性定义与衡量量表

根据湖南省一家中小企业的内部审计风险评估影响实证进行分析，其衡量量表可以分为三个部分：内部审计、风险评估和企业绩效，并对三者之间的关系进行检验。其中内部审计的衡量量表是在各项指标体系建立的基础上进行不同角度、不同层面的审计操作，通过其职能对执行力和独立性、员工素质和技术水平情况进行衡量。企业绩效的衡量量表是对财务状况的各项指标进行考察，进而考虑整个企业的绩效，对其发展前景和创新能力进行分析。

2.资料收集和数据分析方法研究

资料的收集首先要搞清楚来源，并进行问卷收集，这是资料收集的主要方式之一，湖南省中小企业根据发展经验对15个有关风险评估的问题进行问卷调查收集，通过线上和线下以及邮件等方式进行收集资料，并不断完善调查的完整性。数据分析当前企业所采用的主要有数据分析法、描述性统计法、相关分析法、回归分析法以及单因素方差分析法，不同方法适用于不同的数据类型分析。

三、研究结论与建议

1.结论

影响企业内部审计对风险评估的因素有很多，之间相互联系，在企业的发展过程中，既要看到企业发展好的一面，也要看到其中存在的不足，不断采取积极措施改变。

2.样本企业中内部审计和风险评估问题

首先，内部审计独立性水平较低。当前湖南省各中小企业领导层的综合素质不统一，在对待企业发展态度上存在差距，不利于内部审计独立性的发展。其次，内部审计独立性对风险评估和企业绩效的影响力较弱。从回归分析来看，对各项要素的影响不显著，许多企业在发展过程中尚未意识到内部审计的重要性。最后，风险评估水平较低。根据湖南省中小企业相关发展的实证研究发现，对风险评估水平还有待提高，增强风险意识，对不同状况的应对方法进行研究。

3.研究建议

中小企业的进一步发展需要不断加快现代企业制度的建立进程，并加强企业内部的管理，发挥企业内部审计的重要作用。

参考文献：

内部审计风险评估范文第2篇

近期，笔者参加了江西省审计厅组织的审计培训团，赴澳大利亚进行为期20天的政府绩效审计培训。培训期间，听取了维多利亚大学教师的讲课，学习了澳大利亚政府绩效审计理论、程序、方法等内容，了解了澳大利亚联邦审计总署和维多利亚州审计署工作情况和绩效审计开展情况，还听取了墨尔本大学审计部审计人员的审计工作介绍。此次培训取得了良好效果，不但开阔了眼界、拓宽了思路，对澳大利亚以审计风险管理水平为核心的政府绩效审计及其他审计有了一定的了解和认识。纵观澳大利亚覆盖整个经济社会严密的审计监督网络，对比我国发展现状，在如何优化审计环境、改进审计工作等方面感触颇深，笔者认为内、外部审计紧密结合共同搭建完善的风险评估和风险管理体系是当前提高我国审计效率的首要任务，现介绍如下，以供参考。

一澳大利亚与我国开展绩效审计现状对比

由内、外部审计共同健全的风险评估和风险管理体系是澳大利亚绩效审计的出发点和目标。根据审计主体的不同，澳大利亚绩效审计由内、外部审计共同构成，两者紧密结合共同搭建和不断优化该体系，同时澳大利亚广泛将风险导向审计模式运用至包括绩效审计在内的全部审计类别中，取得了引人注目的成绩。

澳大利亚联邦审计总署的职责是从整体的角度不断改善国家机关各职能部门的效率和责任心及理财能力，增强其财务管理和业务管理的可评估性。其明确了以风险评估计划为主要内容的可评估性为首要职责任务。而完整的风险评估计划也正是澳大利亚绩效审计的关键和出发点。其内、外部审计紧密结合共同实现和推进风险评估计划的可评估性。被审计单位首先须具备以专业领域或管理范围风险管理为重点内容的详细风险分析和风险防范计划，及其详细的风险管理的内审报告，从而政府审计人员才能完成对被审单位风险管理水平进行预评估的首要审计工作环节。

澳大利亚政府机构、企业普遍建立和实行了以风险评估和风险管理体系为核心的内部审计制度。审计部门通过政府各部门的内审员，建立风险评估计划制度，并且其风险评估计划需经审计部门进行备案。澳大利亚《公司法》规定，上市公司要设立审计委员会，对公司进行风险管理和控制。其他企业内部审计师也是通过风险管理审计监督企业内部控制运行，从而改善企业管理和运营，由此审计部门实现风险评估数据积累的不断优化。澳大利亚是一个法制比较健全的国家，审计地位较高，信誉较强，方法科学，技术先进，在国民经济运行中发挥着重要的作用。

而目前我国政府和企业尚没有建立全面风险管理体系。对于建立企业全面风险管理机制以防范重大事件造成的损失，近几年国务院国资委已在逐步推进，2006年制定颁发了《中央企业全面风险管理指引》，在央企及所属上市公司内全面推进全面风险管理建设工作。2007年在几家大型国有中央企业进行试点操作后，2008年已将此项工作推进到全国国有中央企业和部分地方企业。但实际上，许多企业还没有建立完整的风险管理体系或开展全面风险管理工作。

二澳大利亚绩效审计的成功经验和主要做法

（一）广泛运用先进的理念和方法保障准确、高效的风险评估体系在实践中发挥实质作用。

从审计内容上看，澳大利亚风险导向性内部审计已较早走出单纯财务收支审计圈子，步入以内部控制和风险管理为主要内容的现代审计。风险评估是绩效审计的基础和出发点，绩效审计的审计人员与被审单位对风险评估结果达成共识成为审计成败的关键。其他审计分类中，风险评估体系也成为工作中的主导条件，如：风险评估是财务审计准备的要点，审计重点必须根据风险评估得出，结论应该包括财务风险评估报告和风险管理计划，从而不断对其进行优化；政府重大项目审计的重点是该项目风险管理计划的落实，审计所发现的问题将被列入新的风险管理范围等。

1.建立以风险评估和风险管理为核心的内部审计成为全体公务员和管理人员的共识。

在澳大利亚，审计部门通过政府各部门的内审员，建立风险评估计划制度。无论是政府部门还是公司都认为，在当前复杂的经济环境下是不能没有以风险评估和风险管理为核心的内部审计的。内审人员工作的角色越来越多元化，从监控向风险管理顾问方向发展。内部审计目前已从查错纠弊发展到更细致的工作，从着重财务审计扩展到人力资源、市场运作审计等，并将重点转移到上述审计领域。一些内审机构，如昆士兰州自然资源及矿产部非常注重“全部审计、突出重点”，在不断完善组织风险管理机制的基础上，尝试采用问卷方式向被审计对象了解情况，或让其进行自我审计，审计人员则重点关注风险较大的问题，从而在人力资源有限的条件下扩大了审计的范围，取得了明显的成效。

2.风险评估和风险管理体系控制严格且健全。在澳大利亚，每个企业都必须进行风险评估，尤其是安全生产方面的风险评估更占有举足轻重的地位，没有进行风险评估的生产就不可能获得批准。我国一些企业也在开展风险评估，但相比而言比较粗浅。

澳大利亚风险评估的构成要素主要为：

（1）风险等级：一般分为五个等级。造成的危害，需要调用的资源，产生的影响；

（2）风险概率：可能出现的时间频率，也分为五个等级；

（3）风险的预防性和可防范性、可控制性；

（4）防范风险需要的资金和资源配置；

（5）不断改进风险管理；

（6）风险评估和风险管理计划。风险评估计划应该包括：所有可能风险的名称、等级、概率、，防范措施、负责人员、资金资源配置、可防范等级。并在运用中严格落实风险管理的责任制原则。

3.广泛运用先进的风险评估及管理的方法和技术。澳大利亚的风险评估除了非常注重风险评估计划的细、量化及对风险评估的要素、步骤、计划、模式都有具体的统一规定外，还建立了合理的预警指标，有效评估企业的风险。评估后采取的措施也更具针对性。其风险评估的模式分为：静态模式/动态模式；封闭模式/开放模式；一般性评估模式/量化评估模式；不定因素对评估模式的影响；短期评估模式/长期评估模式。评估模式的多样化与适用性决定了审计部门需确定建立适合本地区、本行业的评估模式。

（二）高素质、综合性内部审计人才的参与进一步维护风险评估管理体系的科学、高效标准。

澳大利亚各级政府除加强对全体相关人员的风险管理教育培训外，更注重高素质、综合审计人才的培养。国际注册内部审计师（英文缩写CIA）资格在澳大利亚比较流行，越来越多有志于内审工作的人员报名参加CIA考试。它包括以下几个方面：一是聘请的内部审计师要具备与职业要求相符的专业资格，如CPA和CIA，具有CIA资格的审计师特别受到重视；二是审计中，审计师要严格执行国际内部审计师协会（英文缩写IIA）制定的内部审计标准，并接受审计主管的复核检查；三是建立了审计人员专业评估机制，定期对内审人员进行专业评估和培训；四是内审委员会要求审计人员定期提交工作报告并随时与审计人员进行谈话；五是审计委员会规定了完整的内审程序和措施。主要是：审计工作计划必须得到审计委员会的批准；审计主管不断审核并复查计划的执行；审计主管必须对审计报告进行全面审查和签署；审计工作结束后，抽查审计报告并进行详细的复查；与被审计单位保持经常、畅通的联系，以保证他们向审计主管提出改进工作的意见。

（三）内审协会发挥的积极推动效力促进风险评估管理体系功效的高水平发挥。

澳大利亚内审协会成立于1952年，有2 000多名会员，分别来自澳大利亚的公有或私有机构。协会的董事会由7位从各州选举的主席构成，协会建立了与各内审机构负责人联系的网络，有自己的网站，方便与内审人员的沟通和交流。内审协会的主要工作是为内部审计执业者、执行管理者、董事会和内审委员会提供各种规范的标准、指导和信息服务，包括：内审政策的制定，及时更新审计实务标准，提供更新知识的服务，保证内审专业水准不断提高。协会的主要作用是制定、检查审计标准执行，组织开展交流，推广先进经验，培训审计人员，促进内审工作职能的发挥。

三对我国建立完善的风险评估和风险管理体系的启示及建议

（一）立法建立相关的法律、法规依据。首先，在认真借鉴先进国家成功实例的基础上，总结已推行过程中取得的经验，制定比较系统、操作性较强的风险评估和风险管理准则。鉴于绩效审计具体情况比较复杂，应分门别类制定出具有各个行业特点的准则。其次，建立一套科学可行的指标评价体系也是开展风险评估管理体系的必要措施之一，并对其进行科学的细化和量化。风险评估的过程主要是风险辨识、风险分析和风险评价。应根据各种风险的分类，进一步细化，得出可能存在的风险之后，运用特定的风险评估方法，根据各种风险发生的可能性及影响程度，决定控制程度和策略。

（二）加强内、外部审计的联系，转变外部审计的最终目标。外部审计与内部审计相互合作，互为补充，是当代审计的一大特点。澳大利亚的成功经验告诉我们：政府审计独立性强，层次高，权威性强，但人力有限；民间的事务所审计，用人机制灵活，可以根据工作需要随时聘请所需专业技术人员，但受费用和时间限制，二者共同的弱点是对被审计单位内部情况不够熟悉；而内部审计熟悉被审计单位情况，但业务力量和权威性较弱，为了建立完善的风险评估和风险管理体系、综合使用审计资源，三者之间应通力合作，优势互补，并将外部审计的最终目标统一到对风险评估结果达成共识这一共同点上来，以提高被审计单位的风险管理水平。

（三）建立功能强大的信息库，存储与被审计单位相关的众多信息。建立完善的风险评估和风险管理体系所需的信息将面临着严重不足。其体系的建立使得审计重心前移，在实际的审计工作中需要先执行风险评估程序，对审计对象整体的经营管理环境进行充分的了解，再针对风险不同的审计对象以及同一对象不同的风险领域，制定出个性化的审计程序。必须获取足够多的信息，才能在风险评估时真正了解审计对象的战略、流程、风险管理、业绩等基本情况，最终做出恰当的职业判断。由此可见，为了实现审计目标，保证审计活动的顺利进行，审计部门必须建立功能强大的信息库，存储与被审计单位相关的众多信息。

（四）必须建立和提高全社会对风险评估和风险管理体系重要性的认识，使风险评估和风险管理成为全体公务员和管理人员的共识，同时要提高相关的业务水平与技能。不仅可以利用多种渠道广泛宣传，比如专业刊物、研讨会和论坛、业务会议等，还要积极广泛地组织风险管理的教育和培训，提高风险防范意识，建立健全风险评估和风险管理计划，整体提高管理水平。

（五）加强培训，建立一支高水平、高素质、综合型审计人员队伍。开展风险评估和风险管理要求审计人员在通晓会计审计税收以及相关法律知识的同时，也要具备管理学、统计学、人力资源管理等学科的知识，对审计人员的学识经验思维能力都提出了更高的要求。加强审计队伍建设，一方面要对现有审计人员进行培训，全面提高综合素质；另一方面也要相应引进管理、统计工程等方面专业人才充实审计队伍，优化审计人员结构。同时，应大力加强计算机应用水平。澳大利亚各行业计算机应用水平较高，因此审计的技术手段主要是运用审计软件，实行计算机审计。审计人员凭借审计软件，通过网络进行数据采集、原始资料分析处理、风险评估等工作，使审计效率得到大幅提高。

内部审计风险评估范文第3篇

关键词：网络审计　历史财务报表审计　信息安全管理　风险评估

一、引言

从审计的角度，风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中，现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心，通过对被审计单位及其环境的了解，评估确定被审计单位的高风险领域，从而确定审计的范围和重点，进一步决定如何收集、收集多少和收集何种性质的证据，以便更有效地控制和提高审计效果及审计效率。从企业管理的角度，企业风险管理将风险评估作为其基本的要素之一进行规范，要求企业在识别和评估风险可能对企业产生影响的基础上，采取积极的措施来控制风险，降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分，是企业信息安全管理的基础和关键环节。尽管如此，风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同，本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上，从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开，将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析，以期深化对网络审计风险评估的理解。

二、网络审计与历史财务报表审计的风险评估比较

(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型，审计风险又由固有风险、控制风险和检查风险构成。其中，固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下，其财务报表某项认定产生重大错报的可能性；控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性；检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中，审计风险仍然包括固有风险、控制风险和检查风险要素，但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率，为企业的经营管理带来很大的优越性，但同时也为企业带来了一些新的风险。这些新的风险主要表现为：(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了，这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求，非专业人员难以察觉计算机舞弊的线索，这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统，或者说，企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险，例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口，使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据，从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险，如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障，或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地，网络审计的固有风险主要是指系统环境风险，即财务电算化系统本身所处的环境引起的风险，它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险，其中，系统控制风险是指会计电算化系统的内部控制不严密造成的风险，财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险，审计软件风险是指计算机审计软件本身缺陷原因造成的风险，人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。

(二)风险评估目的无论在网络审计还是历史财务报表审计中，风险评估只是审计的一项重要程序，贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此，两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类，因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险，审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动，无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中，一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同，企业在不同阶段的控制目标和控制行为也会有所不同，因此，审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等，信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面：物理层，即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境；网络层，即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等；系统层，即信息系统本身的漏洞情况、配置的缺陷情况；应用层，即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况；管理层，即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险，审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性，它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的，审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险，主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中，审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然，这两类风险并非完全分离的，评估时审计人员应将两者结合起来考虑。

(三)风险评估内容　广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同，因此两者在风险评估的内容上也是存在区别的。总的来说，网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风

险》，在历史财务报表审计中，审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险，审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险，审计人员除了从以上方面了解被审计单位及其环境外，还应该关注其他相关的潜在事件及其影响，尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中，威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件，它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素，也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节，它是系统或网络财务信息本身固有的，包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说，脆弱点本身不会带来损失或信息错报，威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此，我们认为网络审计申风险评估的内容应包括以下几方面：(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁，并分析威胁发生的可能性；(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点，并分析脆弱点的严重程度；(3)根据威胁发生的可能性和脆弱点发生的严重程度，判断风险发生的可能性；(4)根据风险发生的可能性，评价风险对财务信息系统和基于网络的财务信息可能带来的影响；(5)若被审计单位存在风险防范或化解措施，审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。

(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求，审计人员应当实施询问、分析程序、观察和检查等程序，以获取被审计单位的信息，进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时，审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类，分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时，除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外，审计人员应格外关注对信息系统及网络的特性情况，被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时，除执行常规程序外，审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外，针对特定系统或网络技术风险的评估，审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等；管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中，IDS取样分析是指通过在核心网络采样监听通信数据方式，获取网络中存在的攻击和蠕虫行为，并对通信流量进行分析；渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法；工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息，包括主机扫描、网络扫描、数据库扫描等，用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况，使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析，进而评价企业相关风险发生的概率以及可能带来的损失；文档审核是一种事前评价方法，属于前置软件测试的一部分，主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价，审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。

三、网络审计与信息安全管理的风险评估比较

(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制，信息安全风险评估是企业管理的组成部分，它具有规划、组织、协调和控制等管理的基本特征，其主要目的在于从企业内部风险管理的角度，在系统分析和评估风险发生的可能性及带来的损失的基础上，提出有针对性的防护和整改措施，将企业面临或遭遇的风险控制在可接受水平，最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务，其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度，从而指导进一步审计程序。因此，两者风险评估的目的是不一样。从评估所应关注的风险范围来看，两者具有一致性，即都需要考虑与信息系统和信息相关的风险。但是，具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，它要求评估人员关注与企业整个信息系统和所有的信息相关的风险，包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中，审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见，因此，风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险，而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同，信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动；他评估通常是由组织的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言，受托执行的信息安全风险评估应当归属于管理咨询类，即属于非鉴证业务，与网络审计严格区分开来。

(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中，它将信息安全风险评估的内容分为两部分：基本要素和相关属性，提出信息安全风险评估应围绕其基本要素展开，并充分考虑与这些基本要素相关的其他属性。其中，风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施；相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是：(1)对信息资产进行识别，并对资产赋值；(2)对威胁进行分析，并对威

胁发生的可能性赋值；(3)识别信息资产的脆弱性，并对弱点的严重程度赋值；(4)根据威胁和脆弱性计算安全事件发生的可能性；(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；(6)根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。结合上文网络审计风险评估五个方面的内容可以看出，网络审计和信息安全风险评估在内容上有相近之处，即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是，信息安全管理作为企业的一项内部管理，其风险评估工作需要从两个层次展开：一是评估风险发生的可能性及其影响；二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的，其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出，企业在确定出风险水平后，应对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。其中，风险处理的方式包括回避风险、降低风险、转移风险、接受风险，而控制措施的选择应兼顾管理和技术，考虑企业发展战略、企业文化、人员素质，并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次，即审计人员通过风险评估，为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此，两者的评估内容是存在区别的。

内部审计风险评估范文第4篇

关键词：风险导向审计；全面风险管理；内部审计准则

中图分类号：F239.2 文献标识码：A 文章编号：1001—6260（2012）04—0149—07

中国内部审计协会一直致力于建立一套以内部控制和风险管理为导向的内部审计准则体系。但是，由于内部控制与风险管理之间的关系还没有理顺，这直接导致风险导向审计中的风险定位问题存在较大争议。正因为如此，中国内部审计准则中与内部控制和风险管理相关的各审计准则之间的关系也有待进一步明确，譬如：第5号准则《内部控制审计》与第16号准则《风险管理审计》之间是何关系；第12号《遵循性审计》、第21号《内部审计的控制自我评估法》、第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》等准则之间及其与第5号、第16号准则之间是何关系。在实务中，内部审计人员也产生了一些困惑：内部控制审计和风险管理审计究竟有何不同？风险导向审计与全面风险管理之间是何关系？因此，有必要在中国内部审计协会修订内部审计准则之际，对这些问题进行探讨①。

一、内部控制与风险管理之间的关系

在2003年6月实施的第5号准则《内部控制审计》中，中国内部审计协会提出，内部控制涵盖风险管理，风险管理是内部控制的五要素之一，并专门制订了《风险管理审计》准则。EOSO（2004）认为风险管理涵盖内部控制，其表述是：“内部控制是企业风险管理不可分割的一部分。”谢志华（2007）认为风险管理与内部控制虽表述不同，但涵义相同。

那么，二者之间究竟是何关系？问题的关键在于认清内部控制的本质。COSO（1992）指出：“内部控制是一个由企业董事会、管理层和其他员工实施的，为经营的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现提供合理保证的过程。”这种将内部控制理解为“一个过程”的做法被2008年5月中国财政部、证监会、审计署、银监会、保监会等五部委（下称“五部委”）的《企业内部控制基本规范》（下称《基本规范》）所采用。但是，“一个过程”的提法只是说明了一个事实，即内部控制是与企业的经营管理活动交织在一起而发挥作用的过程，它并没有给内部控制定性。COSO（1992）对“一个过程”有如下解释：“组织中各单位或各职能部门内部或跨单位或职能部门所实施的经营过程，都是通过计划、执行和监控等基本的管理过程来加以管理的。内部控制是这些过程的一部分，并与它们整合在一起。内部控制能让这些管理过程发挥作用，并对其实施和持续的关联性进行监控。内部控制是一个管理工具，而不是管理的替代品。”从中可以看出，COSO是结合管理过程来论述内部控制过程的，它认为内部控制是管理过程的一部分，是其中履行监控职能的管理工具。

那么，如何理解作为管理工具的内部控制呢？我们需要从管理的职能谈起。法约尔（1982）认为，管理有计划、组织、指挥、协调和控制等五大职能，他指出：“在一个企业里，控制就是要证实一下是否各项工作都与已定计划相吻合，是否与下达的指示及已定原则相吻合。控制的目的在于指出工作中的缺点和错误，以便加以纠正并避免重犯。”美国著名管理学家Robbins（1994）在法约尔五职能说的基础上提出了管理四职能说，即：计划、组织、领导、控制等职能。他认为，控制职能是指监控计划执行、比较分析偏差、纠正错误，确保计划顺利实施。可以看出，COSO对内部控制的解释与管理学中对“控制”的解释并无不同，都指出要保证计划的实施，都提及要对偏差进行监控。这样看来，COSO所讲的内部控制就是管理学中的“控制”。

法约尔（1982）在论述“控制”职能时，就使用了“内部控制”的提法，他说：“这里，我只讨论管理问题，所以就不谈两个企业之间的控制问题了……我着重谈一下企业内部控制，这种控制的目的是专门为了有助于各部门的工作的顺利进行，而总的来讲也有助于企业运营的顺利进行”（法约尔，1982）。可见，法约尔认为在一个企业内部讨论管理中的控制问题，可以用“内部控制”的提法。

以上分析足以证明内部控制就是控制。应该说，我们之所以称“控制”为“内部控制”是相对于外部监管而言的，强调的是企业自身应该重视对其经营管理活动的有效监控。以COSO为代表所开展的内部控制研究丰富和发展了“控制”理论，使我们更深入地了解“控制”在管理过程中发挥作用的方式和内在机理。但内部控制并不是一个独立于“控制”之外的，或与“控制”并列的一个新事物，它就是“控制”。因此，内部控制的本质就是管理职能中的控制职能。

既然内部控制只是一项管理职能，那么只要是管理活动，它就应该涵盖内部控制，因此，COSO（2004）认为风险管理涵盖内部控制是有道理的。自然，内部控制就不可能涵盖风险管理。在中国的《内部控制审计》准则中，将风险管理作为内部控制的一个要素值得商榷。COSO（1992）和中国《基本规范》认为内部控制由五要素构成，即控制环境（内部环境）、风险评估、控制活动、信息与沟通和监控。其中，都用到“风险评估”的提法。而COSO（2004）认为，内部控制由八要素构成，将风险评估要素细化为“目标设定”、“事项识别”、“风险评估”和“风险应对”等四个要素。但是，无论是五要素观还是八要素观，都没有使用“风险管理”的提法。COSO（2004）的标题就是《企业风险管理——整合框架》，其认为，在内部控制的要素中用“风险管理”的提法容易产生歧义，不如用“风险评估”好。

内部控制职能论也可以解释谢志华（2007）关于内部控制与风险管理涵义相同的观点。企业是一个风险组织，不冒风险的企业是不存在的。企业为达成自身目标，要采取有效措施防范和化解其所面临的各类风险。因此，可以认为，企业管理就是风险管理，或是“全面风险管理”。企业在“全面风险管理”之中，要综合运用计划、组织、领导和控制职能。如果侧重于强调控制职能在“全面风险管理”中的重要性，则可以将企业管理称之为“内部控制”。这样看来，内部控制和风险管理是同义语。用内部控制，是从管理职能上来讲的，侧重于强调控制职能的发挥；讲风险管理则是从控制的对象上来讲的，侧重于强调风险控制的重要性。通俗来讲，内部控制，控制的是风险，风险管理，管理的也是风险，二者涵义相同。

二、风险导向审计中的“风险”定位

在风险导向审计方法引入中国后，理论界围绕风险导向审计中的风险定位问题进行了讨论：陈毓圭（2004）认为是经营控制风险（含企业的经营战略及其业务流程）；谢荣等（2004）认为是企业战略风险及相关经营环节风险（统称经营风险）；王泽霞（2004）认为是管理舞弊风险；许莉（2005）认为是指被审计单位的“重大错报风险”；赵德武等（2006）认为是治理系统风险（含公司治理和内部控制）。评述这些观点的立场有三个：一是将企业管理等同于风险管理；二是将内部控制等同于风险管理；三是要区分风险评估的对象和结果。风险导向审计中“风险”定位之争的焦点是审计人员在评估审计风险时，所评估的对象究竟应该是什么。至于评估审计风险后，得出评估对象“重大错报风险”的情况如何则是评估的结果，不能将“对象”与“结果”混淆。基于上述立场，可以将理论界对风险的不同定位统一于“企业全面风险”之中。具体分析如下：

1.经营风险就是企业全面风险

陈毓圭（2004）和谢荣等（2004）所述的经营控制风险和经营风险，实质上就是企业全面风险。他们将风险评估的对象定位为“企业的经营战略及其业务流程”和“企业战略风险及相关经营环节”。从中可以看出，都涵盖了企业战略层面和经营层面的风险，这就是“企业全面风险”。但是，用“经营风险”的提法容易产生歧义，以为仅指企业经营层面的风险，而不包括战略层面的风险，不如用“企业全面风险”好。并且，用“企业全面风险”还可以与“企业全面风险管理”直接对接。这在国资委《中央企业全面风险管理指引》、国际标准化组织《ISO 31000风险管理——原则与指南》、中国标准化委员会国家标准《GB/T 24353—200险管理——原则与实施指南》的背景下，显得更为必要。企业要实施“全面风险管理”，相应地，审计人员风险评估的对象就应该是“企业全面风险”，从而使得审计部门和审计人员在“企业全面风险管理”中发挥应有的作用。

2.管理舞弊风险是企业全面风险的一部分

王泽霞（2004）将风险评估的对象定位为管理舞弊风险。这一观点主要针对管理层财务报表舞弊提出，试图通过重点评估管理舞弊风险来降低审计风险，这一做法只能算是权宜之计。试想，如果迫于法律和监管的压力，管理层不敢进行财务报表舞弊了，那么，管理舞弊导向审计也就没有存在的理由了。从内部审计的角度看，审计的目标不仅仅是“防弊”的问题，而是“防弊、兴利、增值”三大目标。显然，王泽霞（2004）对风险评估的对象界定过窄。按照五部委（2008）《基本规范》中的规定，企业全面风险应该包括：战略风险、合规风险、资产安全风险、财务报告风险、经营风险等。按大类就是两类，即战略层面的风险和经营层面的风险。管理舞弊风险只是合规风险中的一个方面。将风险评估的对象定位为管理舞弊风险只能算是一种审计策略，只是注册会计师在管理层舞弊比较严重的情况下，在审计实务中运用的一种审计方法，不宜将其作为风险导向审计中的“风险”定位。

3.重大错报风险的提法混淆了风险评估的对象和结果

许莉（2005）认为，风险导向审计中的风险，无论是所谓传统的还是现代的，都是指被审计单位可能带来审计风险的风险，在现代风险导向审计中就是指被审计单位的“重大错报风险”。这一提法混淆了风险评估的对象和结果。是否存在重大错报风险是审计人员通过风险评估后进行职业判断的结果。将一个职业判断的结果作为风险导向审计“风险”的定位显然不妥。现代风险导向审计与传统风险导向审计的区分并不在于审计风险模型用“审计风险=重大错报风险×检查风险”取代了“审计风险=固有风险×控制风险×检查风险”，而是强调了“自上而下”和“风险导向”的原则，强调既要有“森林”也要有“树木”。不能就报表而审计报表，要站在企业全面风险管理的视角来看报表。作为风险评估的结果，“重大错报风险”的提法可以运用于注册会计师财务报表审计中。但是站在内部审计的视角，就不仅仅是错报的风险问题，而是企业全面风险的问题。在第17号准则《重要性与审计风险》第十七条中就有规定：“审计风险包括两方面内容：一是重大差异或缺陷风险。是指被审计单位经营活动及内部控制中存在重大差异或缺陷的可能性；——是检查风险。是指审计人员未能通过审计测试发现重大差异或缺陷的可能性。”这里的“重大差异和缺陷风险”可以对应于注册会计师审计风险中的“重大错报风险”，它也是内部审计人员风险评估后的结果。虽然内、外部审计在风险评估的结果上用词不同，但是风险评估的对象都是“企业全面风险”。基于此，建议将第17号准则中的“重大差异或缺陷风险。是指被审计单位经营活动及内部控制中存在重大差异或缺陷的可能性”表述改为“重大差异或缺陷风险。是指被审计单位全面风险管理中存在重大差异或缺陷的可能性”。

4.治理系统风险就是企业全面风险

赵德武等（2006）认为是治理系统风险（含公司治理和内部控制），并指出公司治理是针对企业高层管理人员，而内部控制针对的是企业中低层人员。根据内部控制职能论，公司治理也需要运用控制职能，不可能只是对企业中低层人员的管理才需要内部控制，只要是管理就需要控制。撇开此点不论，赵德武等（2006）的治理系统风险也涵盖了企业全面风险，企业全员参与并受控。一般而言，公司治理主要涉及公司高层管理，那么，可以认为企业管理涵盖公司治理。但事实上，企业管理与公司治理的边界并不清晰，在早期企业中，或者在现代小企业中，一般就叫企业管理，而很少称之为公司治理。只是自1932年伯利和米恩斯发表《现代公司与私有财产》提出“所有权和控制权分离”的命题以来，理论界才逐渐有了公司治理之说，公司治理才逐渐从企业管理中分离出来。但是公司治理从本质上讲仍是企业管理，管理的职能仍然适用于公司治理之中。如果把公司治理泛化，使其包括中低层人员参与的日常管理，则公司治理可以等同于企业管理。赵德武等（2006）采取的正是这一做法，而企业管理就是风险管理。因此，治理系统风险就是企业全面风险。

基于以上认识，风险导向审计中的风险应该定位为“企业全面风险”。相应地，就内部审计而言，风险导向审计是指内部审计部门和人员为有效履行其在风险管理中的职责，基于对企业全面风险的评估，针对重大差异或缺陷风险，制订和实施的一整套审计方法。

三、风险导向审计与全面风险管理的关系

1999年6月，国际内部审计师协会理事会批准了关于内部审计的新定义：“内部审计是一种独立、客观的保证与咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，来评价和改善风险管理、控制及治理过程的效果，帮助组织实现其目标。”与此同时，《国际内部审计专业实务框架》（IPPF），并于2001年正式实施。新的框架在内容上全面体现了风险导向审计的思想，内部审计进入风险导向审计阶段。2004年9月，COSO《企业风险管理——整合框架》，将其1992年、1994年修订的内部控制框架发展为企业风险管理框架，强调了全面风险管理的重要性。国际内部审计师协会立即做出反应，于当月29日，以立场公告（Position Statement）的形式《内部审计在全面风险管理中的作用》报告，明确指出：内部审计在企业风险管理中的核心作用在于，客观地保证董事会在企业风险管理活动的作用得以有效发挥，为保证关键经营风险被恰当地为管理提供帮助，并保证内部控制系统有效运行。具体包括：为企业风险管理过程提供保证；为正确识别风险提供保证；评估风险管理过程；评估关键风险报告和评价关键风险的管理。

中国内部审计协会从2005年底以来，力推内部审计从“以真实性、合规性为导向的财务审计为主”向“以财务审计与内部控制和风险管理为导向的管理审计并重”的方向全面转型。内部审计应在企业风险管理中发挥作用，为企业提供增值服务，这已日益成为中国内部审计理论界和实务界的共识。

那么，内部审计该如何有效发挥其在企业全面风险管理中的作用呢？如前所述，风险导向审计中的风险应该被定位为“企业全面风险”，这就为内部审计发挥其应有作用找到了切人点，也为风险导向审计与全面风险管理之间的联系建立了内在基础。风险导向审计与全面风险管理存在的联系和区别表现为：

1.二者之间的联系

企业全面风险管理的对象是企业全面风险，而风险导向审计中所评估的风险就是企业全面风险。企业推行全面风险管理是基础，而风险导向审计是保障。风险导向审计通过对企业全面风险的评估，提出进一步改进措施，为全面风险管理的有效实施出谋划策。同时，内部审计部门也可以通过对企业全面风险的评估合理分配审计资源，将审计的重点放在风险较大的领域，从而更好地提供增值服务。

2.二者之间的区别

（1）实施主体不同。全面风险管理是在企业董事会的战略决策和领导下，为实现企业战略和经营目标，由企业管理层组织实施、全员参与的经营管理工作。风险导向审计是在企业董事会的领导下，由内部审计部门组织实施的对企业全面风险管理工作的有效性进行监控的工作。

（2）内涵不同。全面风险管理是一个管理过程，而风险导向审计是一套审计方法。

（3）风险导向审计既以全面风险管理为基础，又具有相对独立性。风险导向审计中的风险评估对象是企业的全面风险。企业管理越规范，开展全面风险管理的水平越高，相应地，内部审计部门开展风险导向审计的基础也越好，对风险的评估会更为准确，审计工作更为有效。但是这并不意味着企业不开展全面风险管理，内部审计部门就无法开展风险导向审计工作。企业管理就是风险管理。因此，无论企业是否推行命名为“全面风险管理”的管理举措，事实上都是在进行风险管理，只不过推行“全面风险管理”会使得企业管理工作更加规范，更能全面识别和防范企业面临的各类风险。风险导向审计作为一种审计方法，不依赖企业是否推行全面风险管理制度而独立存在，这一方法的优点主要有：一是有利于合理配置审计资源；二是能为企业提供增值服务。当然，归根结底是第二点，因为只有通过风险评估找到“重大差异或缺陷风险”，才能合理配置审计资源，才能指出企业风险管理中存在的问题，并提出改进建议，从而为企业提供增值服务。内部审计提供增值服务的对象是企业的管理层，提供增值服务的水平如何体现的是内部审计人员的专业胜任能力。如果企业风险管理水平较差，内部审计人员将会很容易指出企业管理中存在的问题，从而实现自身价值；反之，则对内部审计人员提出了挑战，很有可能难以提出有建设性的意见。这就说明，风险导向审计方法运用的关键在于内部审计人员对企业全面风险管理的认识，而不在于企业推行全面风险管理的实际情况如何。每一个内部审计人员都应该形成一个对所在企业规范的全面风险管理的总体把握，这是开展风险评估的基准线。在此线之下的，就存在差异和缺陷，需要改进。当然，这条线如何定，体现了内部审计人员的专业胜任能力，因此，风险导向审计方法的实施给内部审计人员带来了挑战，其必须具有全面评估企业风险管理状况的水平。这样看来，风险导向审计方法中，内部审计人员对企业风险进行评估时，企业风险管理的标准自存在于内部审计人员心中，并随着企业规模的扩大和业务范围的拓展而改变；其标准只能比企业现行的全面风险管理水平更高，至少不能低，这样才能提供增值服务。因此，风险导向审计具有相对独立性。

（4）二者对风险的评估结果不完全相同。如表1所示，二者对风险的评估结果有四种组合。二者都评价为高，说明这是一个高风险的领域，管理部门和审计部门均认为需要投入更多的资源进行管理和审计。二者都评价为低，说明这是一个低风险的领域，管理部门和审计部门均认为不需要投入更多的资源进行管理和审计。在呈现高低组合的情况下，若风险导向审计评价为高，全面风险管理评价为低，有两种可能：一种是管理人员水平低，应该识别的重大风险没有识别出来；另一种是审计人员水平低，本无风险却认为有重大风险。若风险导向审计评价为低，全面风险管理评价为高，则一种解释与前同；另一种解释是，确实是高风险的领域，但通过管理部门的风险管理，风险降低了，审计人员认为风险管理有效，将其评价为低风险的领域。

风险导向审计与全面风险管理之间错综复杂的关系，使得人们产生了理解上的歧义，有必要对此加以分析。上述研究结论为进一步提出风险管理相关内部审计准则的修订建议打下了坚实的基础。

四、风险管理相关内部审计准则的修订建议

由于现行内部审计准则是以内部控制和风险管理为导向的，所以整个准则体系，从《内部审计基本准则》到《内部审计具体准则》和《内部审计实务公告》，都与风险管理相关。但是，限于篇幅，本文仅探讨其中与风险管理直接相关的几个具体准则，包括：第5号《内部控制审计》、第12号《遵循性审计》、第16号《风险管理审计》、第21号《内部审计的控制自我评估法》、第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》等准则。

这些准则可以分为两个层次：一是总体层，包括第5号《内部控制审计》、第16号《风险管理审计》和第21号《内部审计的控制自我评估法》；二是具体层，包括第12号《遵循性审计》、第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》。

1.总体层次风险管理内部审计准则修订的建议

首先，第5号《内部控制审计》和第16号《风险管理审计》这两个准则可以合二为一，因为内部控制与风险管理涵义相同，所以不需要分别制订两个准则，可以用一个准则来涵盖这两个准则所包括的内容。也可以考虑为新修订的《内部控制审计》准则制订一个《风险评估》实务公告，将现行《风险管理审计》准则中的内容涵盖在内。

其次，第21号《内部审计的控制自我评估法》与新修订的《内部控制审计》准则之间的关系要理顺。《萨班斯法案》颁布以后，美国上市公司管理层内部控制自我评估和会计师事务所的内部控制审计成为法定要求。依《萨班斯法案》成立的美国上市公司会计监管委员会（PCAOB）先后制订了第2号和第5号审计准则来规范会计师事务所对内部控制的审计。2007年6月的取代第2号审计准则的第5号审计准则命名为《与财务报表审计相结合的财务报告内部控制审计》。同年，美国证交会（SEC）《管理层财务报告内部控制指引》，对上市公司管理层内部控制自我评估进行规范。中国财政部等五部委为加强内部控制监管，也于2010年4月了《企业内部控制配套指引》（含《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》）。

PCAOB第5号审计准则和中国五部委《企业内部控制审计指引》，都是内部控制审计准则，是站在注册会计师审计的立场做出的规范。而SEC《管理层财务报告内部控制指引》则是对管理层内部控制自我评估的规范。与之对应的是中国五部委的《企业内部控制评价指引》，这一指引的正是为了规范审计部门开展内部控制自我评估工作。那么，在中国监管当局已经内部控制相关规范的背景下，第5号准则《内部控制审计》该如何修订？第21号准则《内部审计的控制自我评估法》该如何定位？

在中国五部委《企业内部控制配套指引》后，按要求必须执行的公司，其审计部门每年都要对内部控制进行自我评估，其董事会要据此出具内部控制自我评估报告。内部审计部门进行自我评估的标准就是《企业内部控制评价指引》。因此，中国内部审计协会对第5号准则《内部控制审计》修订时，有必要吸收和借鉴《企业内部控制评价指引》的规定，以便于内部审计人员同时遵循这两个规范的要求。而第21号准则《内部审计的控制自我评估法》则是规范企业内部管理人员进行内部控制自我评估的准则。评估的主体是企业内部管理人员，内部审计部门主要扮演组织者和咨询专家的角色，所以在标题中不宜突出内部审计的作用。建议将题目改为《内部控制的自我评估》，以示与《内部控制审计》准则相区别。同时，在行文中，要避免出现内部控制审计的说法。若有，相关条文也应该直接与《内部控制审计》准则衔接，不宜再行做出规定。

2.具体层次风险管理内部审计准则修订的建议

具体层次风险管理内部审计准则修订主要是要理顺它们与新修订的《内部控制审计》准则之间的层次关系。从层次关系来看，它们与新修订的《内部控制审计》准则之间是主从关系，《内部控制审计》准则居于主导地位，具体层次风险管理审计准则居于从属地位，其相关规定不能逾越《内部控制审计》准则。同时要明确，第12号《遵循性审计》准则是为了防范企业全面风险管理中的合规风险；第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》准则是为了防范企业全面风险管理中的经营风险。也就是说，“3E”审计并非游离于《内部控制审计》准则之外，它是《内部控制审计》准则的延伸，是对《内部控制审计》准则中为防范经营的效率与效果风险和合规风险而开展的相关审计工作的具体规范。审计人员在年度内部控制自我评估时，应该运用具体层次风险管理审计准则的要求，全面评估企业风险管理中存在的问题。而在日常审计工作中，则可以就某一部门、某一业务、某一流程、某一项目分别运用《遵循性审计》、《经济性审计》、《效果性审计》和《效率性审计》等准则进行专项审计。

这样看来，新修订的总体层次的风险管理内部审计准则有两个，即《内部控制审计》和《内部控制的自我评估》；具体层次的准则有四个，分别是《经济性审计》、《效率性审计》、《效果性审计》和《遵循性审计》。同时，建议从总体层次到具体层次连续编号，或借鉴中国注册会计师审计准则的编号方式进行分类分层编号。此外，还可以制订几个相关的实务公告，如《风险评估》、《内部控制的自我评估》等。

参考文献：

伯利，米恩斯.2005.现代公司与私有财产[M].甘华鸣，罗锐韧，蔡如海，等，译.北京：商务印书馆.

财政部，证监会，审计署，银监会，保监会.2008.企业内部控制基本规范[S].

陈毓圭.2004.对风险导向审计方法的由来及其发展的认识[J].会计研究（2）：58—63.

法约尔.1982.工业管理与一般管理[M].周安华，林宗锦，展学仲，等，译.北京：中国社会科学出版社.

刘玉廷.2010.全面提升企业经营管理水平的重要举措：《企业内部控制配套指引》解读[J].会计研究（5）：3—16.

王泽霞.2005.论风险导向审计发展创新：管理舞弊导向审计[J].会计研究（12）：49—54.

谢荣，吴建友.2004.现代风险导向审计理论研究与实务发展[J].会计研究（4）：47—51.

谢志华.2007.内部控制、公司治理、风险管理：关系与整合[J].会计研究（10）：37—45.

内部审计风险评估范文第5篇

关键词：风险导向审计；审计模式；适用性分析

随着国内外重大审计失败事件的不断发生，风险导向审计作为一种重要的审计理念和方法，受到审计职业界和学者的关注。注册师协会在2004年10月发布了新的审计风险准则征求意见稿，要求注册会计师在审计中使用现代风险导向审计方法，实施风险评估程序，降低审计风险，提高审计质量。如果审计风险准则一旦正式生效，将使我国的审计风险准则与国际接轨，并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此，对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。

一、风险导向审计概述

随着的发展变化，审计方法适应审计环境的变化经历了三个发展阶段：一是审计发展的早期，由于组织结构简单、业务性质单一，注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为，审计方式是详细审计。审计的重心在资产负债表，是对会计凭证和账簿的详细审计，旨在发现和防止错误与舞弊，这种审计方法就是账项基础审计方法（accountingnumber-basedauditapproach）。二是从1950年代起，以内部控制测试为基础的抽样审计在西方国家得到广泛，这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节，注册会计师通常将其涉及交易和账户余额作为审计的重点，甚至进行详细审计；对于可以信赖的内部控制环节，通常将其涉及的交易和账户余额进行抽样审计，以提高审计效率和降低审计费用。从方法论的角度，这种审计方法被称作制度基础审计方法（system-basedauditap proach）。三是1970年代以后，由于制度基础审计方法显露缺陷，一种新的、以风险防范为基础的风险导向审计模式逐渐兴起，从方法论的角度，注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法（risk-orientedauditap proach）。

回顾审计方法的发展历程，风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”，把指导思想建立在“合理的职业怀疑假设”的基础上，不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价，而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉，将审计的视野扩大到被审计单位所处的经营环境（微观、中观乃至宏观），将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较，主要有以下区别：

（一）审计模式不同

制度基础审计模式以内部控制为核心，对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量，而对固有风险的评估常流于形式；风险导向审计模式不仅通过内部控制评估控制风险，还结合其他风险因素尤其是固有风险综合考虑，通过对企业环境、发展战略、公司治理结构等方面的评估，发现其潜在的经营风险及财务风险，并评估财务报表发生重大错报的风险，以便使审计风险降至可接受水平。

（二）审计基础不同

制度基础审计以内部控制制度为基础，根据被审单位内部控制制度的健全性及符合性评审结果，确定实质性测试的范围和重点；风险导向审计则以风险评估为基础，对被审单位经济活动的多种内外因素进行评估，确定审计范围、重点和方法，其不仅重视与内部控制系统直接相关的因素，而且重视各种环境因素。

（三）审计方法不同

两种审计模式都采用抽样技术，但风险导向审计是通过建立审计风险模型将风险量化。因此，相对于制度基础审计来说，风险导向审计的抽样技术是更完全意义上的审计抽样，更注重利用分析性测试方法，从而可以有效降低审计风险。

二、风险导向审计的两种模式

风险导向审计自产生以来经历了两个阶段，理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式；而将1990年代后期开始，在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的，以“审计风险=重大错报风险×检查风险”的模型为基础，以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。

传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同，后者是对前者的改进，其主要区别如下：

（一）审计起点不同

传统风险导向审计运用的审计风险模型中，固有风险是指假定不存在相关内部控制时，某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报，而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序，由于固有风险难以评估，审计的起点往往为企业的内部控制（如果没有必要测试内部控制，审计的起点则为会计报表项目）。

现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序，其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效，则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估，这将有利于充分识别和评估会计报表重大错报的风险，因此，主要针对风险设计、实施控制测试和实质性测试程序。此外，注册会计师容易全面掌握企业可能存在的重大风险，有利于节省审计成本，克服因缺乏全面性观点而导致的审计风险。

（二）风险评估识别以分析性复核程序为中心

现代风险导向审计注重运用分析性复核程序，以识别可能存在的重大错报风险；而传统风险导向审计对于信息的再加工程度不够，其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序，为了适应分析性程序功能扩大的要求，分析性程序开始走向多样化：在数据分析上不但要对财务数据进行分析，也要对非财务数据进行分析；在分析工具上借鉴现代管理方法，把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中，使风险因素不再惟一，变一元风险评估为多元风险评估，使得出的风险评估结果更加可靠。

（三）风险评估方式由直接评估转变为间接评估

传统风险导向审计的风险评估是一种直接的方式，即直接评估重大错报的概率。风险导向审计模式是从经营风险评估入手，间接地对审计风险进行评估，因为经营风险越高，审计风险也越大，也就是管理舞弊的可能性越大；并且从经营风险中能更有效地发现财务报表潜在的重大错报，因为财务报表是经营的反映，如果经营风险未能在报表中得到体现，则财务报表很可能失真。此外，政策、会计估计的合理性评估也只有从经营风险入手，才能进行正确的评估。

（四）审计程序实施具有个性化

传统风险导向审计模式审计程序是标准化形式，对不同的被审计单位都使用标准相同的审计程序，其缺陷是没有足够贯彻风险导向审计思想，使注册会计师无法突破客户预先设置或防范的措施，难以做出正确的审计结论。现代风险导向审计要求注册会计师将评估及识别的审计风险与实施的审计程序相结合，针对不同客户以及客户不同的风险领域实施个性化的审计程序。

（五）审计证据的内涵扩大

在现代风险导向审计方式下，审计重心向风险评估转移，审计证据也由内部向外部转移。因此，注册会计师必须充分了解整体经营环境，由此评估客户的经营及审计风险，同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下，注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据，还包括了解企业及其环境获取的证据。

（六）扩充了内部控制要素

传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行，保护资产的安全和完整，发现、纠正错误与防止舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法规的遵循，由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素，即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。

（七）对注册会计师的专业知识提出了更高要求

现代风险导向审计对注册会计师的专业素质提出更高要求，其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估，风险评估的各种方法要求掌握现代管理知识和行业知识（包括市场、研发、生产等方面），这对注册会计师提出了更高的要求。注册会计师应该是复合性人才，不但要掌握一般常用分析工具，还要接受现代管理知识和行业专业知识训练。

三、现代风险导向审计模式在我国的适用性分析

基于上述分析，现代风险导向审计模式是审计的一种必然趋势。2003年10月，国际审计与鉴证准则委员会（IAASB）通过了新的审计风险准则；中注协也在2004年10日发布了修订后的审计风险准则征求意见稿，不仅将使我国的审计风险准则与国际接轨，同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效，将引导注册会计师实务由传统风险导向审计向现代风险导向审计转变，会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的。

然而，要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的：

（一）会计师事务所审计成本与效益问题

实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段，注册会计师关注的范围扩大，程度加深，导致工作时间和审计成本的增加，在市场竞争激烈的情况下，成本的增加往往不可能过渡到收费的同步增加。此外，还需要一定的投入来培训注册会计师，使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿，就会使一部分中小会计师事务所在竞争中无法生存。

（二）信息系统的建设问题

现代风险导向审计的重要特征是审计重心前移，注册会计师必须首先执行风险评估程序，充分了解客户整体经营环境，然后针对风险不同的客户、客户不同的风险领域，设计个性化的审计程序。因此，会计师事务所必须建立强大的信息系统，以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解，客户的相关信息不够充分，信息系统的建设还达不到现代风险导向审计的要求，导致风险评估不准确。因此，风险导向审计的运用仅限于老客户，对新客户还是将大量时间用于实质性测试。

（三）审计从业人员素质问题

现代风险导向审计对审计从业人员的业务素质提出了新要求，不仅要具备丰富的审计和实践经验，还要具备必需的管知识和学知识，能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况，对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价，将审计视角扩展到内部控制以外，从较高层面上评估风险，而不是仅仅注重企业会计处理的细节。

（四）辅助审计软件的使用与完善问题

现代风险导向审计方法中分析性程序占据非常重要的地位，辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用，它可以直接对数据库进行加工分析，依据软件模型自行处理数据，使运用分析性测试程序成为节约成本的重要手段。另外，采用审计软件使统计抽样的样本更具代表性，审计抽样风险可控，为风险导向审计提供了技术支持。目前，我国在审计软件的开发和使用上不够理想，还有待提高，而且大部分注册会计师缺少相应的技术准备，在现阶段推行现代风险导向审计方法只能是一种愿望。

如上所述，目前在我国全面推行现代风险导向审计模式还受到许多制约，尽管它有很多优越之处，但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的，而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师，基本上仍然在运用账项基础审计模式。但是，现代风险导向审计的实行是一种理念的改变，我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下，吸取风险导向审计模式的基本观点和做法，则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中，使其他审计模式忽略审计风险的缺陷得到弥补，将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。

：

〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计，2004，（2）。

〔2〕常勋，黄京菁。从审计模式的演进看风险导向审计〔J〕。财会通讯，2004，（7）。