审计的风险评估精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的审计的风险评估主题范文，仅供参考，欢迎阅读并收藏。

第1篇：审计的风险评估范文

风险导向审计模式是将风险理念引入审计的模式。风险理念是指事件发生的结果是否与预期一致，受内外部环境的影响。不稳定的内外部环境因素是造成风险演变为现实损失的原因。这里，不稳定的环境因素就是风险因素。控制风险因素成为确保事件实际结果与预期结果相符的方式和手段。它的核心观点是只要能将风险因素的概率控制在一定范围内，事件的结果就会符合预期。所以，风险导向审计是控制审计过程风险因素的模式。

实务中，审计过程的风险及相互关系用下面公式表示，即“审计风险=重大错报风险×检查风险”，其中，重大错报风险包括财务报表和认定两个层面的重大错报风险。本文要讨论的是财务报表层面的重大错报风险。财务报表层面是对财务报表影响广泛的意思，它涉及多个科目和账户余额，对财务报表真实、准确、完整影响广泛。那么，财务报表层面风险就是指与某一特定事件相关的多个科目和账户余额同时出现错报的可能性。从定义可以判断出，该风险是一个时间段下的结果，是被审计单位一定运作过程下的产物。经营过程作为财务报表数据的来源，正是企业期间运作的过程。所以，经营过程是财务报表层面风险的来源。经营过程是由若干经营活动组成，经营活动风险（也就是经营风险）过大就会引起相应财务报表层面风险的产生。也就是说，经营风险是造成财务报表层面风险的原因。为从根本上发掘风险来源，就有必要继续分析风险影响因素。所以，本文风险评估指标体系构建的对象是经营风险及经营风险的影响因素。

二、指标选取的理论探讨

经营风险是企业经营过程由于计划、决策、管理的不恰当造成企业经营失败的可能性，是企业必须要关注的风险。经营风险形成的原因很多，总体分为三个方面：一是战略失误，二是内部控制薄弱，三是经营活动低效率。从内部控制角度讲，企业的构成分成两个方面：一是企业占有的资源，二是内部控制。这样，企业的运作可以被表述为内部控制下的企业占有的资源在企业内部、企业内外部间的流动。基于此，企业运作下所有有形和无形的产物就与内部控制存在联系，而且这种联系具有广泛性和普遍性。因此，在内部控制被纳入指标评估后， 要区分其与战略、经营活动的关系。

当内部控制与知识资源结合时，就会生成战略。战略是企业经营总的方向和规划，是企业的知识资源和内部控制结合的产物，具有资源和内控的双重属性。战略具备内控属性，任何战略都是内部控制下的战略；但是，战略又具有资源属性，简单将其划入内部控制而不单独讨论是不恰当的。再者，战略对企业经营影响重大。其意义在于为企业确定正确恰当的目标和实现步骤。目标是否正确恰当对企业生存和发展是至关重要的，是第一位的；错误不当的目标只会使企业离成功越来越远，经营风险增大；目标实现步骤是否合理和可操作有助于企业循序渐进的发展，避免冒进式决策给企业带来的风险。因此，从上述两方面讲将战略放到与内部控制同等地位，讨论其对经营风险的影响是必要的。

经营活动风险的评估是对企业在内部控制约束下战略执行结果风险的评估，具有事后性。其意义在于印证战略风险在内部控制下和内部控制自身风险在自我修复完善机制下被控制的程度，以及有助于在发现计划外的风险后，重新追溯检查战略和内部控制风险评估的内容，使风险评估更加全面。因此，要把经营风险评估放到与内部控制、战略风险评估同等地位来对待。

在上述讨论中，明确了风险评估活动下，战略、内部控制和经营活动的关系和相同地位。由于三者间的联系，必须通过进一步分析找到风险的根源是战略、内控、还是经营活动。能明确区分被评估风险归属于战略、内部控制还是经营活动，对选择恰当的理论作指导，并进一步讨论意义重大。

（一）内部控制 内部控制是被审计单位为了合理保证财务报表的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策及程序。2008年6月28日的《企业内部控制基本规范》将内部控制分成了五个部分，即控制环境、风险评估、控制活动、信息与沟通和监督。这五部分组成内部控制的统一整体，但仍具有层次性。

由图1可以看出，内部控制分为三部分内容，即控制环境、控制主体部分（风险评估、控制活动和信息与沟通）、内部监督。其中，控制环境是基础，位于内部控制最低端；中间部分，包括风险评估、控制活动和信息与沟通，是主体和核心内容。内部监督是内部控制自我调节和完善部分，位于最顶端。从内容上讲，基础、主体、调节部分有鲜明的区分；从排列位置上讲，底部、中部、顶端是其功能性的体现，下面分别进行阐述。

控制环境作为内部控制框架体系的基础内容，其对整个内部控制的影响具有总体性。良性的控制环境能为内部控制的运转提供必需的条件，保证控制活动的顺利实现；薄弱的控制环境会造成有悖企业宗旨的因素流入控制循环中，阻碍控制的有效进行，降低内部控制运作效果，形成自身风险。相应审计风险增大。因此，在对内部控制自身风险分析时，控制环境风险评估是重要内容，应被纳入风险评估指标体系中去。

控制主体部分，包括风险评估、控制活动和信息与沟通，是内部控制的主体和实质部分。其运行机理如图：

由图2可以发现，控制主体部分是一动态部分，在现实中是企业运行最活跃、可观测性最强的部分。其以循环的形式存在，从企业制度、运作过程、员工、记录中都可以进行多次观测，便于风险的发现。再者，企业制度具备稳定性，在控制环境中的领导者诚信、企业文化和人力资源政策一定的前提下，不确定性内容减少，风险降低；加上其便于被发现，使得控制主体部分的风险对审计风险影响几乎为零，所以，控制主体部分（风险评估、控制活动和信息与沟通）的自身风险因素不被纳入本文风险评估指标体系构建中去。

内部监督是指对控制活动与控制制度是否相符的监察和督导，其目的是保证各控制活动受控制制度的约束，以使目标的实现更具有预测性和可控性。监督是对权力的一种制衡。因此，如果当监督关系是下级对上级监督，或平级间监督，那么这种关系不成立，内部监督是无效的。只有上级对下级监督形成的制衡关系才能成立（池国华2010）。这样，在内部控制体系中，治理层对管理层、管理层对执行层的制衡才是监督的真实体现，因此对内部监督的讨论，其实质是对治理层、管理层和执行层三者关系的讨论。可见治理层、管理层和执行层其实是控制环境中的内容，完善制衡关系与完善控制环境是一致的。

（二）战略 这里的战略指企业战略。企业战略是企业在考虑各种资源的情况下，根据企业的目标、目的制定实现这些目标、目的的方式。简而言之，企业战略是企业发展的长期性和全局性的谋划（丁宁、穆志强2005）。战略是企业的指导思想，为企业发展明确了方向；战略也是企业的规划，为企业发展制定了步骤。对于有持续经营意图的企业，正确的方向比经营能力更有意义；方向错误，经营能力越强，失败的概率就越大。同样，详细并且可操作性强的发展步骤，有助于企业发展的稳定性，增强了持续经营能力。由此可见，战略对企业经营成败的影响具有总体性和长远性特征，在影响企业经营的因素中处首要地位，其对审计风险的影响是重大的。因此，战略应被纳入到风险评估体系的构建中去。

企业的战略是否不利于企业近期发展，进而形成经营风险，试图通过从战略追溯至相对应经营活动和财务信息来验证，不具备可操作性。为证实两者的关系，有必要对战略形成过程进行分析，通过间接方式得出已有战略具体环节对企业经营风险的影响。

企业战略形成过程如图3：

企业远景与使命是与治理层的价值观和世界观直接联系的，是治理层主观世界的直接反映。由于治理层的建设是在控制环境部分探讨，因此，企业远景和使命应是内部控制下控制环境的内容。长期目标是远景和使命的现实化表现，可以一并归至控制环境中。企业环境分析是企业战略形成的关键，因为企业战略的实质就是平衡内外部环境的策略，既关注近期，又考虑到了远期。所以，企业环境分析对企业战略形成的意义重大，它是企业战略形成最主体内容。一方面企业环境分析是内部控制运作的一部分，是内部控制下的环境分析，带有浓重的控制色彩。另一方面内部控制有自身缺陷，无法100%达到运作预期，造成对一些环境分析的疏漏，企业外部复杂多变的环境仍给企业内控带来很重的压力。存在无法被控制的环境因素就比较正常了。因此，将企业环境分析与内部控制同等看待，纳入到风险评估体系中去，在审计谨慎性原则下就显得十分必要。

最后，企业战略方向选择和具体战略的制定，其是在环境分析后进行的。环境分析发现了风险问题，战略方向选择与战略制定提出解决问题的对策。对策合理与否，与已纳入风险评价体系中控制环境的人力资源政策直接相关，不再重复纳入。

（三）经营活动 由于影响经营风险的因素很多，仅对内部控制和战略相关因素评估无法完全涵盖对重大经营风险的评估。这样，对除内控和战略后剩余活动进行分析就显得很必要。再者，经营活动是内部控制下战略的延伸，对重大经营活动关注，发现其风险，并追溯至战略和内部控制加以验证，可以保证已完成的内部控制和战略评估结论的正确性和有效性。在坚持审计活动谨慎性原则下，将经营活动纳入到风险评估体系构建中是必要的。

综上所述，被纳入到风险指标构建的评估对象有内部控制中控制环境、战略中企业环境分析和经营活动。

三、指标选取

本文对三个方面（战略、经营活动和内部控制）具体内容细分，得出相应指标，如图4所示：

参考文献：

第2篇：审计的风险评估范文

【关键词】审计判断；审计师气质；重大错报风险；公司战略

1.引言

审计人员在执业过程中需要进行不断的专业判断。这些专业判断往往决定着审计人员工作的质量。然而审计人员的判断还是会受到诸如个体差异、执业环境、判断任务因素的影响。因此对审计人员判断绩效的研究已经成为国内外审计研究的重要领域。

同时，近年来上市公司舞弊案件以及事务所审计失败案件时有发生。其中影响较为重大的案件涉及的国内公司有银广夏、G外高桥、丰乐种业。在事件发生后，我们频频提到审计人员缺乏应有的职业谨慎。但某种程度上，审计人员自身气质对他们的判断产生了一定影响。正如个性心理学认为，气质是人的个性心理特征之一，它是指在人的认识、情感、言语、行动中，心理活动发生时力量的强弱、变化的快慢和均衡程度等稳定的动力特征。气质是在实践活动中发展，同时又影响着个体在实践活动的方方面面。具有某种气质特征的人，在内容完全不同的活动中显示出同样性质的动力特点。

自从2007年开始，新实施的《中国注册会计师审计准则》贯彻了风险导向审计的指导思想，它十分强调风险评估程序。其中第1211号第五节规定注册会计师应当了解被审计单位的目标和战略，以及可能导致财务报表重大错报的相关经营风险。

鉴于此，本文旨在研究审计人员气质与其对基于不同公司战略的风险做出的判断之间的关系。

2.假设生成

2.1 气质

心理学中，气质类型学说源于古希腊医生希波克里特（Hippo-

carates，公元前460—前377）的体液说。而现代的气质学说仍将气质分为四种典型的类型：①胆汁质；②多血质；③粘液质；④抑郁质[1]。而一般对这四种类型的人的描述分别为：胆汁质的人情形体验强烈、争强好斗、刚毅顽强但鲁莽冒失，易感情用事；多血质的人情感丰富、思维敏捷但缺乏耐心和稳定性；粘液质的人情绪平稳、安静稳重、踏踏实实、考虑问题细致周到，但其思维灵活性略差但；抑郁质的人情绪体验深刻、多愁善感、踏实稳重但软弱胆小、优柔寡断。

心理学认为人的气质与生俱来且不易改变。不同的气质类型的人，对人对事会产生不同的反应，对职业也有不同的需求，因此了解人格的这一生理层面上的自然倾向性，对于人的自我了解以及从事自己的职业等都有非常重要的作用。审计人员在执业过程中面对被审计单位的不同业务，在信息不对称的前提下，需要对各业务的合规、合理性做出判断，以保证会计信息的真实、可靠和完整。显然，处在不断与客户沟通并需要做出相关专业判断的情形下，气质同样会对审计人员的工作产生重大影响。

出于此种考虑，笔者选取了个体特征中的气质类型作为研究对象之一。

2.2 公司总体战略

随着风险导向审计的应用，被审计单位的公司战略与审计实务之间的关系越来越受到重视。众所周知，财务报表为被审计单位的财务活动提供了一个正式记录。财务活动开始于被审计单位的决策过程，受经营战略、控制活动和经营过程的影响[2]。因此目前的审计风险准则特别强调了注册会计师对被审计单位及其环境的了解，其中就包括被审计单位的公司战略。战略是管理层为实现经营目标采用的方法，为了实现某一既定的经营目标，企业可能有多个可行战略[3]。而被审计单位执行的战略可能不一定适合其所处的环境，这就需要审计人员在风险评估过程中对被审计单位采取的战略进行评估。

邓川博士认为，深入了解客户的行业和业务情况，熟悉公司经营情况对执行充分审计非常关键。他在《公司财务信息错报的分析程序研究：战略视角、量化模型和认知心理》中提到：在很多审计失败案件中，审计师之所以未能发现异常波动和重大错报，一个重要原因就是对客户的经营业务和行业特点缺乏必要的了解[4]。

派尔普、贝纳德和赫斯（Palepu、Bernard and Healy，1996）指出，客户的经营战略与财务报表中的认定有着明显的联系。因此，审计师需要了解客户的经营战略及相关经营目标，从而对客户的业绩形成一个有效的预期。

一般而言战略可以分为总体战略、业务战略和职能战略。而本研究主要针对公司总体战略。对战略的分类，不同学者有不同的看法，但是大致上可以归纳为以下三种，即：成长型战略、稳定型战略和收缩型战略。三种战略分别适合不同的环境。

成长型战略是以发展壮大企业为基本导向，致力于是企业在产销规模、资产、利润或新产品开发等某一方面或某几方面获得增长的战略。采取这种战略的企业一般拥有足够的资源、具有优势和增长潜力的产品或业务，并且对经济形势及其他环境持有乐观的态度。

稳定型战略即企业在战略方向上没有重大改变，在业务领域、市场地位和产销规模等方面基本保持现有状况，以安全经营为宗旨的战略。稳定性战略有利于降低企业实施新战略的经营风险，减少资源重新配置的成本，为创造一个加强内部管理和调整生产经营秩序的休整期，并有助于企业过快发展。

收缩型战略是指企业因经营状况恶化而采取的缩小生产规模或取消某些业务的战略。采取收缩型战略一般是因为企业的部分产品或所有产品处于竞争劣势，以至于销售额下降、出现亏损等[5]。

因此，本次研究选择公司战略作为另一个研究对象。

2.3 假设

鉴于各气质类型的特征，故笔者做出如下假设：

假设1：属于胆汁质类型的被试对风险的承受能力较高，即其判断的风险会偏低；抑郁质类型的被试对风险的承受能力较低，即其判断的风险会偏高；粘液质和多血质类型的被试没有明显的倾向性，根据战略的不同，其判断的风险会较理性。

假设2：三种战略中，对成长性战略判断的风险较高，对收缩型战略判断的风险较低，被试对稳定性战略判断的风险适中。

3.实验设计

3.1 实验模式

本次实验研究中，主要研究不同气质类型的审计人员在设定的环境下，对不同的战略风险判断的差异。如前所述，诸多气质类型中以四种典型型为主；其次实验中将公司战略初步分为成长、稳定和收缩型三类。故设计为如表3.1的4×3因素模式进行实验和分析。

3.2 被试

大量研究发现，有经验的审计人员与新手之间无论是在知识结构、知识的组织方式方面，还是判断绩效方面存在着巨大的差别，任务的复杂程度和不同任务对知识的不同要求就能够检验出二者的差别[6]。因此为了避免经验和知识结构对审计判断造成影响，本次实验主要选择经验较少的审计人员或审计专业学生进行。在研究过程中，通过有针对性的寻找被试群体，并在调查中设置专门的筛选题来保证研究被试的质量。为保证实验的有效性，被试都为随机抽取。其中涵盖多个高校审计专业大四学生以及多家会计师事务所审计人员。

3.3 实验任务

本次研究要求受试者主要完成两个部分内容：（一）测试气质类型。（二）测试对战略风险的评估。

3.3.1 测试气质类型

气质类型测试量表有很多，为了更好的适应中国人群的测试，笔者选用了由山西省教科院陈会昌等编制的“陈会昌六十气质量表”。该量表为自陈式量表，共60题，每种气质类型15题，测量出4种气质类型：胆汁质、多血质、粘液质和抑郁质，被试只需要选择符合自己实际情况的选项即可。

3.3.2 测试对战略风险的评估

对战略风险评估的测试，笔者事先设计了三个问题。问题中涉及三个企业，为了消除审计人员在判断时常见的锚定效应，笔者均没有明确指出对应的是实际生活中的哪三种企业。

另外，笔者也对涉及的这三个企业所处的行业环境进行了调整，使得行业环境不具有适应某种特定战略（成长型、稳定型和收缩型战略的其中一种）的显著特征，也就是说设置的环境使得企业采取任何一种战略在给定的条件下都是适当的，而被试判断是否接受给定的战略，完全取决于其对风险的感知。这种环境的模糊化设置目的在于，一方面能够还原真实的场景，另一方面能更好反映不同类型审计人员在风险感知过程时对信息加工、提取的关注点的差异。

需要指出的是，这样的设置灵感主要来源于心理学中著名的罗夏克墨渍测验（Rorschach ink blot test），这是由瑞士精神医学家罗夏克（H.Rorschach，1884—1922）于1921年设计的，共包括10张墨渍卡片。这一测验是投射测验的典型，主要通过给被试一些模棱两可的问题，使得被试的某些心理活动反映出来。

测试中，评估的风险等级被分为11级，即从-5（非常不接受）到5（非常接受），被试只需要根据自己的判断给出答案即可。笔者将对风险评价分值的高低作为判断绩效的考察标准。

3.4 实验过程

本次实验主要分两个部分进行，即按被试不同分为对事务所审计人员的调查和对审计专业学生的调查。首先，由笔者或者受委托者向被试作本次研究的目的以及相关注意事项，并告知笔者匿名作答。然后，将实验材料发放给被试，要求其完成材料中的所有问题，必要时进行相关的判断。实验者现场监督实验过程，以保证实验按既定要求进行。最后将答卷回收进行统计分析。

4.结果分析

通过统计，本次实验的有效被试包括74名审计相关专业学生及审计从业人员。其中全部被试平均工作年限为0.80年（学生工作年限设置为0年），审计从业人员占总被试的43.2%。

实验结果显示，被试中粘液质、多血质、抑郁质和胆汁质的被试分别占21.6%、27.0%、28.4%和23.0%。可见，无论是审计从业人员还是学生，气质类型是随机的。这也从另一个侧面说明，通过有效的教育和培训，可以在一定程度上克服气质对职业带来的影响。

其中就粘液质的被试而言，其对成长性战略风险的评估值为1.56，对稳定性战略的风险评估值为1.31，对紧缩性战略的风险评估值为-0.13；就多血质的被试而言，其对成长性战略风险的评估值为1.70，对稳定性战略的风险评估值为1.30，对紧缩性战略的风险评估值为-0.30；就抑郁质的被试而言，其对成长性战略风险的评估值为1.48，对稳定性战略的风险评估值为1.37，对紧缩性战略的风险评估值为-0.41；就胆汁质的被试而言，其对成长性战略风险的评估值为1.35，对稳定性战略的风险评估值为1.62，对紧缩性战略的风险评估值为-0.26。

横向分析：从数据中可以看出，四种气质类型的被试之间，对三种战略的风险评估趋势大致相同，并不存在实质性的区别。即：四种类型被试基本对案例中的成长型战略和稳定型战略的风险持接受态度，而对紧缩型战略的风险持不支持态度。这一结果并不支持假设1。

纵向分析，不同公司战略的风险评估结果排序基本遵循以下规律：成长型战略风险最高，稳定型战略风险次之，紧缩型战略风险最小。这便能够说明，被试对紧缩型战略的风险最能够接受，他们对稳定型战略的风险接受程度一般，而对成长型战略均表现为不易接受。而这一结果与假设2预测基本一致。

5.结论

审计判断中，多种因素制约着判断的绩效。其中审计人员的个体特征是其中重要的一个因素。气质作为个体与生俱来的特征，对工作会产生诸多影响。但通过本次研究发现，审计人员的气质类型对在不同公司战略背景下的风险判断并没有反映出很大的影响。笔者认为，审计人员的判断很大程度上是根据专业知识并基于理性的思考之后做出的，气质在理性思考中所起到的作用并不明显。其次笔者发现，在不同类型的公司战略中，不同气质类型的审计人员在判断风险的时候，对风险的规避效应是较为明显的，他们较为一致地认为紧缩型战略的风险最小，而成长型战略的风险最大。这比较符合一般认为的对未知领域风险的规避和对已有风险的控制的认识。

6.对今后研究的启示

影响审计判断的因素是多样的，通常包括判断任务、判断环境及审计人员个体差异。本次实验中，由于能力有限，笔者通过限定其他条件仅研究了审计人员个体特征中的气质因素在风险判断中产生的影响。因此今后的研究可以考虑其他可能影响审计判断的因素，并设计更复杂的场景，使得研究更接近实际情况。综合研究审计人员个体差异、审计环境和审计任务等多因素之间的互动关系将是审计判断研究的趋势。

本次研究对总体审计程序具有一定意义。这让笔者对公司战略以及审计人员个体差异在审计判断中的作用有了进一步的理解。研究中发现审计人员可能对某些特定的战略，如成长型战略过度评估审计风险，而这也可能使得审计人员在后续的审计工作中更小心谨慎最后导致“过度审计”。过度审计是指没有基于已存在的审计风险中应用审计程序（即未能有效运用审计资源）。例如，一个过度谨慎的审计人员会认为客户内部审计工作是极度不可信的，以致花费更多的资源进行实质性测试。理解这一结论可以通过更有效地分配审计资源和提高审计程序的有效性来提高审计效率。因此，今后可以进一步定量研究这种过度的谨慎，从而给审计实务提供参考。

7.结束语

非常感谢在本次研究中给笔者提供帮助的老师和同学，特别是骆铭民老师和邓川老师。尽管笔者能力有限，研究成果也不十分完美，但是这也为进一步研究如何避免审计判断过程中因个体差异，特别是气质类型不同而造成判断偏误提供了证据。

参考文献：

[1]彭聃龄.普通心理学[M].北京师范大学出版社,2004:449-450.

[2]中国注册会计师协会.审计[M].经济科学出版社,2011.

[3]邓川.公司财务信息错报的分析程序研究:战略视角、量化模型和认知心理[M].经济科学出版社,2009:93.

第3篇：审计的风险评估范文

关键词:审计风险评估内部审计应用

随着经济全球化的快速发展，企业之间的竞争日趋激烈，因此面临的经营风险不断增加。如何加强企业内部审计风险管理，对审计风险进行客观评估，并采取相应措施尽量避免和有效控制内部审计风险，提高审计质量，已成为当下审计理论研讨的主要课题和内部审计人员必须密切关注的问题。本文从审计风险定义、审计风险评估和风险评估步骤三个方面，结合具体事例探讨了企业内部审计风险规避问题。

■

一、审计风险与评估目的

国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”在内部审计领域，内部审计风险具体表现为内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性，是由客观风险和主观风险两方面要素组成的。

那么，这三者是如何导致审计风险的呢？一是固有风险独立于会计报表审计之外存在的，是审计人员无法改变其实际水平的一种风险。二是被审计单位内部控制未能及时防止或发现其会计报表上某项错报或漏报的可能性必然存在，审计人员无法防范控制风险。三是审计人员通过预定的审计程序未能发现被审计单位会计报表上存在的某项重大错报或漏报的可能性存在，会导致检查风险，但检查风险可以通过审计人员进行控制和管理。

风险管理旨在为组织目标的实现提供合理保证。首先，评估审计风险是为了控制审计风险，保证审计质量。其次，评估审计风险是为了更好的规划审计，提高审计效率。另外，在审计风险评估过程中，审计人员通过调查了解一旦确认被审计单位管理中存在的问题和面临的风险，审计人员可以据此提出有针对性地改进管理的建议，促进被审计单位进一步加强管理，从而增强审计效果。

二、审计风险评估的步骤和方法

(一)确定可以接受的审计风险

可接受审计风险水平的确定，应综合考虑各方面因素：一是报告方面的考虑，如报告主要使用者的需求、标准等；二是经营方面的考虑，如总体经济环境、行业、关键成功因素等；三是规章制度方面的考虑；四是被审计单位财务和资本化状况；五是被审计单位与主要客户、供应商、相关团体之间的独立程度；六是收集审计证据的轻松程度和成本。对于大多数被审计单位来说，除特殊情况外，一般情况下可接受审计风险水平为5%，审计保证系数为3，审计保证程度为95%。

(二)了解被审计单位及其环境，评估固有风险

了解被审计单位及其环境是审计人员对被审计单位经营活动及内部控制中存在的风险进行评估的必要程序，是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。审计人员应当运用职业判断确定需要了解被审计单位及其环境的程度，识别和评估重大错报风险。

1、询问程序

询问被审计单位管理层和内部其他相关人员，可以考虑向管理层和财务负责人询问。除了询问管理层和财务负责人外，还应当考虑询问内部审计人员、采购人员、销售人员、生产人员等人员，并考虑询问不同级别的员工，以获取对识别重大错报风险有用的信息。

2、分析程序

分析程序是指审计人员通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息作出评价。在实施分析程序时，要预期可能存在的合理关系，并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较。如果发现异常或未预期到的关系，应当在识别重大错报风险时考虑这些比较结果。

3、观察和检查

通过此程序，可以印证对管理层和其他相关人员的询问结果，并提供有关被审计单位及其环境的信息。一是观察被审计单位的生产经营活动；二是检查文件、记录和内部控制手册；三是阅读管理层和治理层编制的报告，如年度财务报告、股东大会、董事会、高级管理层会议的会议纪要，管理层的讨论分析材料、经营计划和战略，投资项目的可行分析报告等；四是实地察看被审计单位的生产经营场所和设备；五是追踪交易在财务报告信息系统中的处理过程（穿行测试），确定被审计单位的交易流程和相关控制是否与之前了解的相一致，并确定相关控制是否得到执行。

只要有某种迹象表明可能存在重大错误，就应取固有保证系数为0，固有风险评估为100%；一般情况下，即使在各方面情况较好，出错可能性较小的情况下，固有保证系数至少应取0.7，及固有风险水平为50%。

(三)对被审计单位内部控制进行测评，评估控制风险

1、了解被审计单位内部控制的主要内容

(1)针对被审单位整体，了解控制环境、风险评估和监督要素。一是了解控制环境，因为控制环境的好坏直接影响到特定控制活动的有效性；二是对风险评估要素调查，主要内容是被审计单位如何确定风险、评估风险，如何将风险发生的可能性与管理目标、经营计划和财务报告的相关内容联系起来并采取相应措施；三是对监督要素进行调查，主要内容是被审计单位为监督各项工作的运行而使用的预算、计划、责任报告等制度与方法，内部审计部门的设置和工作情况。

(2)针对被审单位整体和各主要业务领域，了解信息与沟通要素。审计人员调查信息与沟通要素的重点是被审计单位的会计系统，应查明以下事项：被审计单位经营活动的主要业务类型，处理各类经济业务的程序，各项业务的会计处理程序和所依据信息的来源，会计系统的设计和重要的会计凭证、账簿种类以及会计报表项目，各部门间信息的传递方式等。

(3)针对被审单位各主要业务领域，了解控制活动要素。审计人员调查了解控制活动要素的主要包括：被审计单位各项业务处理程序的授权批准，职责分工，实物控制，凭证与记录的实质和运用，独立的检查程序等控制手段的设置情况。

2、调查了解被审计单位内部控制的方法

(1)询问。询问的对象通常包括被审计单位管理部门、监督人员和普通工作人员等不同层次。通过向不同层次的人员实施相互印证式的询问，可以从侧面验证被询问者答复的真实性。

(2)检查。检查被审计单位的各项管理制度和相关文件，并与管理人员和工作人员进行讨论，从而判断他们对文件中的有关规定的解释和理解是否恰当。检查内部控制过程中生成的凭证和记录，一方面审计人员能更好的理解内部控制文件的精神，增加对内部控制各要素的感性认识，另一方面，还可以提供内部控制执行情况的证据。

(3)观察。实地观察被审计单位的业务活动和内部控制的实际运行情况。进一步加深对内部控制设置和执行情况的了解和认识。

(4)穿行测试。证实对交易流程和相关控制的了解。在若干主要业务领域中选择一笔或几笔具有代表性业务和事项进行测试，以验证内部控制的实际设置是否与审计工作底稿上所描述的内部控制相一致。可以将观察、询问以及检查等方法有效结合起来。

3、对内部控制进行初步评价

在识别和了解控制后，根据执行上述程序及获取的审计证据，需要评价控制设计的合理性并确定其是否得到执行。首先是初步评价内部控制的健全性和合理性。其次是对各主要业务和会计领域的控制风险水平作出初步评估。第三是对是否依赖被审计单位的内部控制进行审计做出决策。如果认为内部控制较为健全、合理，通过实施内部控制测试，验证内部控制的有效性，就相应缩小实质性测试的范围，确定实质性测试的程序和重点。如果进行了健全性和合理性评价后认为被审计单位的内部控制不够健全，弱点较多，不能作为实质性测试中抽样检查的基础，那么审计人员就不应对内部控制加以依赖，直接进入实质性测试。

通常进行健全性和合理性评价后，发现被审计单位存在以下问题时，就可决定不依赖其内部控制：一是相关的内部控制风险水平初步评估为高水平，二是对内部控制进行内部控制测试的工作量可能大于进行内部控制测试所能减少的实质性测试的工作量。

(四)在决定依赖内部控制的情况下，对内部控制的执行情况进行测试

1、内部控制测试的分类

内部控制测试是审计人员为了确定被审计单位内部控制的设置执行情况和有效程度而实施的审计程序。只有在审计人员决定依赖内部控制时，才有必要根据所评估的控制风险水平的高低，设计相应的内部控制测试程序。

(1)业务程序测试。即审计人员选择若干笔具体的典型业务，沿业务处理过程检查业务处理程序超过规定的控制点是否得到执行，以判断控制措施的遵循情况。

(2)功能测试。即审计人员针对业务处理程序中的关键控制点，选择若干时期的同类经济业务进行测试，检查其是否真正发挥作用，效果如何。

2、内部控制测试的方法

(1)询问。即审计人员在内部控制测试和评价中，为了了解被审计单位各项业务操作是否符合控制要求，而向有关人员询问某些业务执行情况的方法。

(2)观察。即审计人员在内部控制测试中，身临被审计单位的工作现场，实地察看有关人员的工作情况，以确定规定的控制措施是否得到了严格执行的方法。

(3)检查。即审计人员在内部控制测试中，抽取一定数量的账表、凭证等数据文档和其它有关资料文件，检查其是否存在控制措施线索，以判断内部控制是否得到有效贯彻执行的方法。

(4)重做。即审计人员在内部控制测试中，将某项交易业务按照被审计单位规定的程序全部或部分重做一次，以验证既定的控制措施是否被贯彻执行。

(五)根据测试结果对内部控制进行再评价

审计准备阶段，审计人员已通过调查了解，对内部控制的可依赖性和控制风险水平、控制保证系数作了初步评价，并在此基础上执行了审计方案。经过了内部控制测试后，审计人员对被审计单位内部控制的实际运行情况和控制效果有了更深入的了解，可能发现内部控制的实际运行情况和原先了解得不一致，这时就需要根据内控测试的结果对内部控制进行再评价，重新调整控制风险水平和控制保证系数，据以确定是否需要调整审计方案。首先，评价内部控制测试获得的证据，然后是评价控制风险。如果出现下列情况之一，该审计人员应将控制风险确定为高水平：一是被审计单位的内部控制薄弱，二是审计人员无法对内部控制的有效性作出评价，三是审计人员不准备进行内部控制测试。

(六)按照审计风险模型确定检查风险，并据此确定实质性测试的范围和重点

审计人员通过对被审计单位内部控制实施调查了解，评价固有风险，然后通过内部控制测试，对被审计单位控制风险作出评价。根据该评价结果，审计人员合理运用专业判断，考虑相关影响因素，按照审计风险模型（审计风险=固有风险×控制风险×检查风险）推导出检查风险（检查风险=审计风险/（固有风险*控制风险））。根据确定的检查风险水平，合理设计对各交易类别和帐户余额的实质性测试。

具体来说，如果审计人员评价被审计单位内部控制风险较低，那么审计人员可以重点进行符合性测试，执行有限的实质性测试，就可以确保审计风险处于可接受水平。相反，如果内部控制风险较高，那么审计人员只有依靠执行更多的实质性测试，才能确保审计风险保持在可接受水平。

结束语

综上所述，审计风险是客观存在的，审计风险评估必然始终贯穿整个审计过程。审计人员只有始终保持风险意识，充分应用风险评估程序，合理确定审计风险水平，才能提高审计工作质量，有效规避审计风险。

参考文献：

[1]中国注册会计师协会.《独立审计具体准则第9号――内部控制与审计风险》，1996年12

[2]中国内部审计协会.《内部审计具体准则第16号―――风险管理审计》，2005年5月

第4篇：审计的风险评估范文

关键词 风险评估 内部审计 应用实践

随着我国市场经济不断地发展和壮大，银行的各项事业都面临着重任，内部审计工作也不例外。然而，我国银行在开展内部审计的工作过程中还存在一些问题，制约着相关工作效率的提升。本文以银行内部风险评估的方式作为文章内容的切入点，并对相关的解决措施进行了详细的阐述。

一、银行内部风险评估的方式

（1）关于风险管理模式的选择。银行在对风险进行分析和评估的过程中，其内部审计部门一方面通过风险控制系统的应用，来了解银行进行风险控制水平；另一方面是采取有效的风险评估模式来对对风险程度进行有效评估。通过对风险的掌握程度以及抗风险能力的了解，来加速推进银行的发展进程，并给予正确的评价。银行在发展的过程中，无论是银行的风险还是其固定风险都和控制风险密切相关，固定风险指的是未经过银行的内部控制，会计处理和被审计的对象这两者之间发生差错的概率。控制风险指的是会计处理和被审计的对象这两者的差错没有被银行内部的控制系统纠正过来的概率。结合控制风险和固定风险的概率成积，就可以得出，银行在内部的控制下，所遗留的风险值。不难看出，风险评估系统在促进银行的发展方面有着不容忽视的作用，通过风险值数的获得再结合银行承受风险的能力，从而为银行提供行之有效的风险管理模式。

（2）对风险评估过程的探索。在进行风险评估过程的探索中，设计的主要内容有对风险事项加以明确、对审计对象进行划分、了解风险因素、对风险程度的测算、对风险能力进行评价和控制等等，具体内容如下：1）对审计对象进行划分。在对审计对象进行划分的过程中，应秉持不同维度不同划分方法的原则，帮助银行管理和内部审计工作人员之间能够进行良好的沟通，以便能在对审计对想进行风险评估的过程中，能够有效地分析结果，并对银行的审计工作提供更有效地指导。审计的维度，主要指的是银行结合自身的实际情况，对选择合适的发展战略。此外，在进行审计对象划分的过程中，可以结合银行的内部管理、产品类型、组织机构等方面的情况，使划分工作更具合理性和科学性。2）对风险事项加以明确。风险事项主要包括确定风险类别，也包括对风险因素和事件的明确。在进行类别划分的过程中，应把银行的运营情况、外部监管、成本效益纳入考虑范围之内。现阶段，我国银行面临的风险主要有法律风险、信用风险、市场风险、战略风险等等。风险因素主要包括资金、监督、技术的管理以及市场竞争等方面。3）对固定风险的测算。在开展固定风险的测算中，应考虑到发生风险的概率和影响程度这两方面因素。发生风险的概率测量算要结合具体情况对风险等级进行划分。而风险影响程度主要考虑的是银行的资产成本损失程度和安全系数等方面的情况。只有进行科学的固定风险测算，才能对银行在不断快速的发展中因风险带来的危害进行有效识别，才能为银行的高效发展提供有效的决策。4）对风险能力进行评价和控制。银行应结合固定风险的大小，对自身的抗风险能力进行预算和客观的评价，采取的预算方法有很多，比如，穿行测试法和差距分析法等等，从而得出企业控制风险的能力。同时，在进行风险评估的过程红，应对剩余风险进行最后的计算，以便为企业的深入发展提供可靠的信息和资料。

二、我国银行内审风险评估结果的应用与延伸

（1）以银行内审风险评估为中心整合审计资源。由于我国商业银行内部审计起步较晚，相比与发达国家银行内部审计较为落后，审计资源很难满足日益猛增的业务发展需要。目前，我国经济持续高速发展，商业银行发展势头迅猛，然而，我国商业银行内部审计资源稀缺，相关从业人员占银行总体员工比重较低，且专业技能素质参差不齐，难以满足繁复的银行内部审计工作需要。使得我国商业银行行业的网上银行、个人贷款、信息安全、理财产品等新兴业务面临巨大的风险。因此，为了提高银行内部审计部门工作效率和效果，必须要以风险为导向，科学合理的配置审计资源，将有限的审计资源按照风险评估结果分配到最需要的审计环节，并制定科学严谨的审计制度、审计工作流程、审计计划，明确审计项目及审计频率，从而对银行业务、经营的各个关键环节进行有效的监管。通过对银行业务进行全面的风险评估，发现并控制风险较高的业务领域，并分配审计经验丰富的人员进行审计。

（2）对风险管理进行完善。我国银行的风险管理框架正在构建的过程中，银行应结合国资委和银监会的要求，把流程再造、机构设置和人员配备作为入手点，从而有效实现对多种风险的全方位管理。而银行内部审计的风险评估工作的有效展开，不仅能够对制定审计计划以及审计方法进行有效的指导，同时，也能使银行内部的风险管理更具合理性和科学性。风险评估的结果有效地将各审计单元所剩余的风险程度反映了出来，并能够及时发现一些潜在的风险因素，优化内部控制的流程，对相关体制进行完善，强化风险管理，有效地促进银行风险控制能力的提升，以顺利实现控制目标。

（3）在以风险为导向的基础上对审计重点进行确定，实现内审职能地有效转变。我国银行的风险评估工作处于初级阶段，还没有较为成熟和完整的风险评估体系，银行要想依靠风险评估结果来指导银行的相关工作还有很长的一段路要走。因此，银行内部的审计部门能应将风险评估理念贯彻到银行开展各项工作的始终，从而促进审计工作质量和效率的提升，有效推进全面风险评估的发展进程。我国银行内部的审计部门一般都是从稽核监督部门转化而来，过去的工作注重的是查错纠弊的内容，其关注的对象也是银行内部的控制系统，这种在没有对风险进行评估，就对控制系统进行关注的工作模式存在着一定的弊端，主要体现在，控制的改变速度无法跟上经营环境的快速变化，而对已经成为过去式的控制并和当前所面临的风险无关进行的审计是毫无意义的。可以说，进行有效控制的前提就是对当前风险进行有效评估，由此可见，控制是依附于管理风险而存在的。而在对风险进行评估的基础上进行的风险导向审计，使工作人员在开展工作的时候更关心面临的风险，从而使审计工作更具针对性和目的性，有助于快速实现工作目标。

三、结束语

通过提升银行内部审计工作质量的渠道来促进银行的可持续发展是具有一定的现实意义的。而风险评估作为银行内部审计工作的重要内容，银行应给予其足够的重视，积极探索新的工作模式，转变工作理念，对风险管理进行完善，在以风险为导向的基础上对审计重点进行确定，实现内审职能地有效转变，提高银行抵抗风险的能力，只有这样，才能有效降低银行所面临的风险，为其高效长久可持续发展保驾护航。

（作者单位为中国农业银行审计局武汉分局）

[作者简介：桂艳芳（1978―），女，湖北武汉人，本科，中级经济师，研究方向：审计。]

参考文献

第5篇：审计的风险评估范文

一、企业所得税纳税日常风险预警分析模型的建立

（一）建立日常纳税风险预警评估方程式 企业所得税日常纳税风险预警评估是拦截及防范企业所得税纳税申报异常的首道防线，为了避免被税务机关列为企业所得税预警管理名单转化为纳税异常户，作为立案对象移交稽查部门查处，企业在每个季末企业所得税纳税申报前，借鉴税务机关制定的企业所得税纳税评估的15项指标，对利润表进行扩展，形成企业所得税进行日常纳税风险预警分析评估模型。

一是企业所得税纳税申报风险评估15项指标方程式。主营业务收入变动率=（本期主营业务收入－基期主营业务收入）÷基期主营业务收入×100%，单位产成品原材料耗用率=本期投入原材料÷本期产成品成本×100%，营业成本变动率=（本期主营业务成本-基期主营业务成本）÷基期主营业务成本。×100%，营业费用变动率=（本期营业费用-基期营业费用）÷基期营业费用×100%，管理、财务费用变动率=管理、财务费用-基期管理、财务费用）÷基期管理、财务费用×100%，成本费用率=期间费用÷本期主营业务成本×100%，成本费用利润率=利润总额÷成本费用总额×100%，主营业务利润变动率=（本期主营业务利润-基期主营业务利润）÷基期主营业务利润×100%，其他业务利润=变动率=（本期其他业务利润-基期其他业务利润）÷基期其他业务利润×100%，净资产收益率=净利润÷平均净资产×100%，总资产周转率=（利润总额+利息支出）÷平均总资产×100%，存货周转率=主营业务成本÷［（期初存货成本+期末存货成本）÷2］×100%，固定资产综合折旧率=基期固定资产折旧总额÷基期固定资产原值总额×100%，资产负债率=负债总额÷资产总额×100%，应收（付）账款变动率=（期末应收（付）账款－期初应收（付）账款）÷期初应收（付）账款×100%。

二是计算单项指标偏离预警值程度。根据公式提供的纳税评估单项指标数值，根据税务制定的不同地区不同行业的单项指标预警值，计算出单项指标偏离程度，偏离预警值程度=（纳税人某指标数值-该指标预警值）/该指标预警值（绝对值）。当单项指标偏离预警值程度为±5%-10%（含），得该项指标总分的20%，纳税申报安全零风险；偏离预警值程度为±10%-20%（含），该项指标总分的40%，纳税申报较安全零风险；偏离预警值程度为±20%-40%（含），得该项指标总分的60%，纳税申报异常有被税务一般评估风险；偏离预警值程度为±30%-40%（含），得该项指标总分的80%，纳税异常有被税务重点评估风险；偏离预警值程度为±40%-50%（含）、偏离预警值程度为±50%-60%（含）及偏离预警值程度为±60%-70%（含）及以上的，得该项指标总分的100%，纳税申报异常有被税务特重评估风险。单项指标偏离预警值程度的高低取决于单项指标预警值，平常要紧盯预警值。

（二）建立纳税申报风险日常评估模型以企业的利润表为主线，建立企业所得税日常纳税申报风险评估模型。（1）建立企业所得税纳税风险评估模型工作簿，在该工作簿中，把某制药股份公司2008年度的资产负债表引用到Sheet1中，并将Sheet1命名为资产负债表，把该公司的2008年度的利润表引用在Sheet2 中，并命名为“企业所得税日常纳税风险预警评估模型”中，对该模型中的利润表进行扩展，在相应的单元格内添加“增加减少金额”、“增加（减少）变动率”、“比值”、“预警值”、“预警值偏离程度”、“单项指标纳税申报风险被评估程度”、“单项指标纳税风险预警”、“单位产品原材料耗用率”、“成本费用率”、“成本费用率利用率”、“净资产收益率”、“总资产周转率”、“存货周转率”、“固定资产综合折旧率”、“资产负债率”、“应收（付）账款变动率”栏次，扩展后的利润表把反映收入、成本、费用、利润、资产这五大类15项企业所得税日常通用评估指标尽收表中。（2）在相应单元格中输入公式：C22=0.33，D22=0.35，C23=（C10+C11+C12）

/C7，C24=C19/（C7+C11+C121+C13），C25=C20/（（582789241+'资产负债表'!M22）/2），C26=（C18+C12）/（（'资产负债表'!C24+814056403.87）/2），C27=C7/（（'资产负债表'!C11+61209612.6）/2），C28='资产负债表'!C19/'资产负债表'!C18，C29='资产负债表'!M15/'资产负债表'!C24，C30='资产负债表'!C7-'资产负债表'!M6，D30='资产负债表'!D7-'资产负债表'!N6，然后利用自动填充功能，选中C21-C30单元格，按住C30单元格右下方的“+”填充柄往右拖拽至D30，系统根据这九个单元格默认的公式，在拖拽到的单元格内一次填充有规律的数据。E6=D6-C6，F6=IF（C6=0，0，E6/C6），G6=IF（D6=0，0，D6/C6），然后利用自动填充功能，选中E6-G6三个单元格，按住G6单元格右下方的“+”填充柄往下拖拽至G27，系统根据这三个单元格默认的公式，在拖拽到的单元格内一次填充有规律的数据。在H6-H30栏手工输入税收预警值（假设数据），I6=（G6-H6）/H6，J6=IF（AND（I6>=-5%，I6=-10%，I6=

-20%，I6=-30%，6=-40%，I6=-50，I6-60%，I6>70%），100%））））））），K6

为了更清晰了解15项通用指标的风险预警度，在“企业所得税日常纳税风险评估模型”中鼠标点击插入/数据透视表/选择一个表或一个区域表/'企业所得税日常纳税风险评估模型'!A5:K31/新建一张工作表/命名为“15项通用指标纳税风险预警”，通过直接筛选把15项纳税评估通用指标单列出来，应用数据透视表中的“移动”功能，预警排列15项通用指标纳税风险，风险预警显示：模型中有4项指标在纳税较安全以上，有一项未有发生数，其它10项（把”应收账款”与“应付账款”合并，把“财务费用”与“管理费用”合并）不同程度的存在将被税务机关评估或稽查风险。因此，会计应在第四季度企业所得税纳税申报季报前检查调整账补税或给税务机关一个合理解释，将企业所得税纳税日常申报异常风险拦截在企业内部。如图2所示。

二、企业所得税纳税风险重点预警评估模型的建立

（一）建立纳税风险重点预警评估方程式 采取纳税申报差异综合评分法。当会计将带有较多的纳税申报风险的季报已送达税务机关，企业有第二道措施拦截纳税申报风险，因为企业所得税是按年计征，按季预缴，年度汇算清缴，汇算清缴期限是年末后的5个月内，这就给企业提供了一个充足空间来提高全面自核自查调账补税缴库。具体操作为：以行业预警值为参照对象，从企业所得税日常纳税评估模型及资产负债表中提取对企业所得税纳税申报风险影响较大的11项风险指标，采用百分制，根据每个风险指标影响企业所得税纳税风险程度进行分值分配，用每个风险与预警值进行对照，偏差程度越大得分就越高，再将各指标分值汇总，即为该企业纳税申报风险综合评估指标总分值，当分数值达到一定程度，纳税人将被税务机关计算机选案作为一般或重点评估及检查对象。11项风险指标指标计算公式：评估期营业收入比值=（评估期营业收入/基期营业收入）100%，分值为11分，评估期营业成本率=（评估期营业成本/评估期营业收入）100%，分值为13分，评估期营业成本率比值=（评估期营业成本率/基期营业成本率）100%，分值为9分，评估期期间费用收入率=（评估期期间费用/评估期营业收入）100%，分值为13分，评估期期间费用收入率比值=（评估期期间费用收入率/基期费用收入率）100% ，分值为9分，评估期利润率=（评估期利润总额/评估期营业收入）100%，分值为8分，评估期利润率差值=评估期利润率-基期利润率，分值为7分，评估期所得税贡献率=（评估期应纳所得税额/评估期营业收入）100%，分值为12分，评估期所得税贡献率比值=（评估期所得税贡献率/基期所得税贡献率）100%，分值为8分，评估期所得税负担率= （评估期应纳所得税额/评估期利润总额）100%，分值为5分，评估期所得税负担率比值= 评估期所得税负担率/ 基期所得税负担率）100% ，分值为5分。

（二）建立纳税风险重点评估模型 在企业所得税纳税纳税风险评估模型工作簿中，新建企业所得税纳税风险重点评估模型。 （1）打开企业所得税纳税风险评估模型工作簿，在该工作簿中，把Sheet3命名为“企业所得税纳税风险重点评估模型”，在相应的单元格增加11项风险指标，并在增加“单项风险评估指标所占综合指标百分比”、“预警值”、“单项评估指标数值”、“单项指标偏离预警值程度”、“单项指标纳税差异程度”、“单项指标纳税申报风险预警”、“综合指标纳税风险预警”，在C3-C13栏输入纳税申报风险评估指标异常分值，在D3-D13输入预警值。（2）在相应单元格输入公式：E3=企业所得税日常纳税风险评估模型!G6，E4=企业所得税日常纳税风险评估模型!D7/企业所得税日常纳税风险评估模型!D6，E5=E4/（企业所得税日常纳税风险评估模型!C7/企业所得税日常纳税风险评估模型!C6），E6=（企业所得税日常纳税风险评估模型!D11+企业所得税日常纳税风险评估模型!D12+企业所得税日常纳税风险评估模型!D13）/企业所得税日常纳税风险评估模型!D6，E7=E6/（（企业所得税日常纳税风险评估模型!C11+企业所得税日常纳税风险评估模型!C12+企业所得税日常纳税风险评估模型!C13）/企业所得税日常纳税风险评估模型!C6），E8=企业所得税日常纳税风险评估模型!D19/企业所得税日常纳税风险评估模型!D6，E9=E8-（企业所得税日常纳税风险评估模型!C19/企业所得税日常纳税风险评估模型!C6），E10=企业所得税日常纳税风险评估模型!D20/企业所得税日常纳税风险评估模型!D6，E11=E10-（企业所得税日常纳税风险评估模型!C20/企业所得税日常纳税风险评估模型!C6），E12='企业所得税日常纳税风险评估模型'!D20/'企业所得税日常纳税风险评估模型'!D19，E13=E12-（企业所得税日常纳税风险评估模型!C20/企业所得税日常纳税风险评估模型!C19），F3=（E3-D3）/D3，G3=IF（AND（F3>=-5%，F3=-10%，F3=-20%，F3=-30%，F3=-40%，F3=-50%，F3=-60%，F3>70%），100%））））））），H3=IF（G3

当企业所得税年终汇算清缴完毕，企业未拦截企业所得税纳税申报风险，会计仍然有最后的补救措施：只要在收到税务稽查通知书之前，企业快速纠正纳税错误并调账补税缴库，税务稽查局一般会从轻处理。另外还要强调一个前提，如果企业在三年之内连续亏损或跳跃性盈亏或享受减税或免税且经营规模较大，将被税务机关作为纳税评估、税务检查和跟踪分析监控的重点，因此这些企业采用Excel企业所得税纳税申报纳税风险评估的方法效果甚微。

参考文献：

［1］杨沛山：《大学计算机基础简明教程》，高等教育出版社2008年版。

第6篇：审计的风险评估范文

摘要：个人信用卡申请风险评估是金融与银行界研究的重要内容，其评估结果是信贷审批的主要依据之一。利用层次分析法（AHP）和灰色GM（1，1）模型相结合的组合评价方法建立信用卡申请风险评估模型，对信用卡申办人进行信用等级评估，以寻求降低信用卡信用风险的有效措施。

关键词：信用卡风险；评估；层次分析法；灰色GM（1，1）模型

一、引言

近年来，中国消费信贷快速发展，对扩大内需、推动经济持续发展起到了重要作用。与国外银行信用卡业务相比，中国各商业银行信用卡业务的风险管理水平罗低，管理手段和方法相对落后，缺乏有效的申请评估方法来规避信用风险。如何有效分析信用风险状况，关系到银行自身的经营风险。

在信用评级研究中，多元判别分析技术（MDA）得到广泛应用，但其要求数据服从多元正态分布和协方差矩阵相等的前提条件，与现实中的大量情形相违背，由此在应用中产生很多问题[1]。因此，许多学者对MDA进行了改进，主要有对数、二次判别分析（QDA）模型、Logit分析模型、神经网络技术（NN）、决策树方法等，这些方法在解决部分问题的同时也带来新的问题。就中国的现状而言，存在的问题是用于评估的数据特性不稳定、历史数据样本容量小等，这就导致MDA方法所需的有效样本数量偏小而影响其使用效果[4~5]。

以往国内商业银行对信用风险评估相关数据重视不足，造成有效信息的缺失，灰色预测模型具有少样本预测的特点已被广泛应用在许多领域[6~9]。本文利用层次分析法（AHP）和灰色预测模型相结合的组合评价方法对信用卡申办人进行信用等级评估，以寻求降低信用卡信用风险的有效措施。

二、组合评估模型

（一）AHP计算信用卡申请指标权重

参照国际标准、国内外银行经验和个人信用等级评估方法，综合考虑商业银行特点与所在地区情况，通过对以往申请人群的考察，以专家判断为基础，选择四大类17个指标来评价个人信用等级（见表1）。

根据影响个个信用等级的主要因素建立系统的递阶层次结构，运用AHP确定各评估指标的权重。具体步骤

Step 1： 构建判断矩阵A=[aij]，i，j=1，2，…，n，式中aij就是上层某元素而言Bi与Bj两元素的相对重要性标度。

Step 2： 判断矩阵A的一致性检验，评估矩阵的可靠性。检验方法为：

1.计算一致性指标Ic=（λmax-n）/（n-1），当λmax=n，Ic＝0，为完全一致，Ic越大，判断矩阵A的完全一致性越差。 计算平均随机一致性指标IR：随机构造500个样本矩阵，随机地从1~9及其倒数中抽取数字构造正负反矩阵，求最大特征根的平均值λ′ max，和IR=（λ′ max-n）/（n-1）。查找相应的平均随机一致性指标IR（见表2）。 计算一致性比RC=IC/IR，当Rc0.1时，判断矩阵A的一致性为可接受的；否则应对判断矩阵A做适当修正。

Step 3： 计算层次单排序及总排序。层次单排序是根据判断计算对于上一层某元素而言本层次与之有联系的元素重要性次序的权值；层次总排序是依次沿递阶层次结构由上而逐层计算，即可计算出最低层因素相对于最高层总目标的相对重要性的排序值。

（二） GM（1，1）模型

设有已知序列：X （0 ）={x （0）（k）}nk=1，其1-AGO 生成序列：X （1 ）={x （1）（k）}nk=1，其中：x （1）（k）=x （0）（i），GM（1，1） 所建立的白化方程实际上是一个带初值的微分方程，见（1）式。

+ax （1）（t）=ux （1）（1）=x （0）（1），其中a，u为待定参数。 （1）

对（1）式求解得： （1）（k+1）=（x （0）（1）-）e-ak+ （2）

其中：=[a u]T=（BTB）-1BTYN （3）

背景值：z （1）（k+1）=0.5x （1）（k+1）+0.5x （1）（k）（4）

B=-z （1）（1）-z （1）（2）…-z （1）（n-1）11… 1T

YN=（ x （0）（2），……，x （0 ）（n））T

对式（2）通过累减还原，得预测值：

（0 ）（1）=x （0）（1） （0）（k）=（1-ea）（x （0）（1）-）e-a（k-1 ），k=2，3…，n （5）

（三）AHP-GM11模型及其实现

1．模型输入点的选取。通过AHP建立的指标体系，由于各判断矩阵的RC值均小于0.1，可认为它们均有满意的一致性。对权值累计贡献率＝95%的指标保留，否则删除该指标，从而得到简化后的风险指标体系，并作为输入值。

2．GM模型预测。有了评估体系后，银行就可根据信用卡申请者或者信用卡授卡对象的归一化数据通过GM（1，1）模型得到预测结果。如果预测值=0.8，说明申请者由于各种原因，申请者坏账风险比率高，银行应拒绝申请；如果0.4预测值0.8，说明信用一般，银行可以授予普通的信用卡；预测值=0.4，说明其信用高，银行可授予信用额度高的信用卡。 模型的实际应用。本文结合实际情况，选取10个样本进行预测[13]，预测结果（见表3）。

三、结论

运用基于AHP和GM模型的风险评估模型可以同时考虑客户的一些静态和动态指标，如职业、学历、还款记录等，可以通过反映申请者的综合情况来考核其信用状况，为商业银行开展信用卡业务风险防范提供了依据。

但与此同时，在评价每个因素时，有时会出现某些指标的权重过高导致其综合评价指数偏高，而影响其信用状况评定。所以，如何更好地确定指标权重，进一步提高评估模型的稳定性、合理性将是作者今后的研究方向。

：

[1]Eisenbeis R A.Pitfalls in the application discriminant analysis in business and economics[J].The Journal of F inance，1977，(2).

Tam K Y，KiangM.Managerial applications of neural network s：the case of bank failure predictions[J].Management Sciences，1992， (1).

F rydman H，A ltman E I，Kao D L.Introducing recursive partitioning for financial classification： the case of financial distress[J].Journal of F inance，1985，(1)：269-291.

王春峰，等.小样本数据信用风险评估研究[J].管理科学学报，2001，(1)：28-32.

李建平，徐伟宣，刘京礼，石勇.消费者信用评估中支持向量机方法研究[J].2004，(10)：35-39.

邓聚龙.灰色控制系统[M].武汉：华中理工大学出版社，1988.

刘思峰，郭天榜.灰色系统理论及其应用[M].郑州：河南大学出版社，1991.

DENG Julong.Control problems of grey systems[J].Syst &Contr Lett，1982，(5)：288 -294.

张岐山.灰朦胧集的差异信息理论[M].北京：石油工业出版社，2002.

[10]颜文.中国信用卡业务风险的宏微观分析[J].财会研究，2007，(4)：13-15.

[11]张颖，于海龙.中国信用卡业务现状和前景的综合分析[J].经济师，2007，(5)：23-24.

[12]信用评分及其应用[M].王晓蕾，石庆焱，吴晓惠，等，译.北京：中国金融出版社，2006：2-10.

[13]许速群，张岐山，杨美英.个人信用卡申请风险评估模型[J].中国信用卡，2007，(6)：30-33.

第7篇：审计的风险评估范文

[关键词]信用风险；模糊综合评价法；BP神经网络；评价指标体系

[中图分类号]F83[文献标识码]A[文章编号]

2095-3283（2013）09-0128-03

[作者简介]朱虹（1986-），女，满族，内蒙古人，研究生硕士，研究方向：现代化管理与技术支持、数据库与信息系统集成、决策支持系统；何泽恒（1956-），男，汉族，辽宁人，教授，硕士研究生导师，研究方向：数据库与信息系统集成。

一、引言

商业银行向多元化发展的同时面临着各种金融风险，其中，信用风险是当前主要的金融风险之一，且发生频率高。我国对商业银行信用风险评估的研究起步较晚，各商业银行信用风险的分析与评估一般都存在以下几方面问题。1信用风险评价指标体系不全面。2企业提供的财务数据不准确、不充分。商业银行往往不能从中了解到企业的真实经营状况。3信用风险评估的方法单一。目前，国内大多数商业银行采用信用评分法，即选取一些相关的财务指标根据事先确定的分值表打分加总，这种方法主观性较强。

本文针对当前我国商业银行信用风险分析与评估存在的问题并努力克服传统的纯管理模式或纯数学方法研究的不足，以计算机技术及管理理论为基础，采用定性分析和定量分析相结合的研究方法，提出了基于BP神经网络的商业银行信用风险评估体系的构建思路，使其能对客户信用风险作出快速、准确的反应。

二、相关理论

（一）模糊综合评价法

模糊综合评价法[1]（Fuzzy Comprehensive Evaluation，记为FCE）建立在模糊理论的基础上，它以隶属度为桥梁，通过对影响评价对象因素的综合分析，借助经验和隶属函数将非确定性的问题加以量化。具体步骤如下：

1建立集合

ⅰ评价因素集。指影响模糊问题因素的集合，用U表示，表示影响评价对象的因素，也称为评价指标，n为因素的个数。

ⅱ评语等级集合。指评价指标可能得出的所有评价结果的集合，用V表示，表示可能得到的一种评价结果，m为评价结果的个数。

2建立模糊评判矩阵（隶属度矩阵）

模糊评判矩阵是由单因素模糊向量组成的。单因素模糊向量表示针对单个因素ui评价所得到的v的模糊向量，也就是说，Ri表示评价因素ui对评语集中各个评语vj的隶属程度。其中rij表示评价因素ui对评语vj的隶属度。这里采用专家打分法来获取隶属度，即rij=对评价指标ui作出评语vj的专家人数/参加评价的专家人数。

3计算各评价因素的评价值

将评语等级集合中的元素数量化后可看作一个向量V1×m，则可得到第i个评价因素的数值化评价值。

（二）BP神经网络算法

BP（Back Propagation）神经网络[2-3]是一种按照误差逆向传播的多层前馈式神经网络，其学习过程由信号的正向传播与误差的反向传播组成。

设BP神经网络结构为n×q×m，网络包括输入层第i个神经元到隐含层第j个单元的权重，隐含层第j个神经元到输出层第k个神经元的权重，隐含层第j个神经元的阈值θHj，以及输出层第 k 个神经元的阈值θOk。非线性激活函数即sigmoid函数为：算法步骤：

1初始化。将网络的权值和阈值的初始值设置为[0，1] 区间内的数值；

2网络的正向传播。设第p组数据样本的输入为，期望输出为，L表示样本总数，则隐含层第j个神经元的输

判断误差平方和E是否收敛于所给的学习精度ε，如果E≤ε，则算法结束，网络停止训练，否则继续后面的步骤。

4误差反向传播。从输出层开始，逐层反向传播，采用非线性规划中的最速下降法。

式中，η表示步长值或网络学习速率，引入η是为了加快网络的收敛速率，通常在权值修正公式中还增加一个动量参数a，则第n次学习权值的修改公式为：

5重复步骤（2）～（4），直到样本的输出误差满足预定的条件，结束网络训练。

三、商业银行信用风险评价指标体系的构建

（一）指标体系建立的原则

1全面性和重要性相结合[4]。由于商业银行信用风险来源广泛，受到多种因素的影响，所以评价指标的选取应全面而充分并且有针对性地反映度量对象的运营状况。指标体系建立的全面性原则主要体现在对商业银行信用风险来源进行划分与归类时，要保证内容的充分性，即不应遗漏重要的风险来源因素。重要性原则主要体现在指标的选择要有代表性，应选取影响因素中占据较大比重的那些指标。

2统计上的可行性和可操作性。可行性是指指标体系的设计应从研究实际条件出发，要有足够的信息资料，可以利用必要的人力、物力和切实可行的量化方法进行采集。可操作性要求指标体系的设置避免过于繁琐，数据容易采集，来源可靠，适于量化和操作。

3定量指标与定性指标相结合。定量指标较为具体、直观，可以计算实际数值，而且可以制定明确的评价标准，通过量化表述，达到令评估结果直接、清晰的目的。然而，商业银行信用风险评估是一个多维复杂系统，不是所有反映商业银行信用风险的因素都能够量化，这就需要设计定性指标予以反映。

4可预见性。指标体系的建立应能够深入挖掘贷款企业和银行本身潜在的风险信息，因此评价指标应该能够体现未来的发展趋势。

（二）信用风险评价指标体系的建立

本文在借鉴国内外有关文献相关指标的基础上，根据巴塞尔新资本协议，并遵循以上基本原则，考虑我国信用风险的特殊性和数据的可获得性，最终选择了19个最具有解释力的指标，建立商业银行信用风险评价指标体系，如图1所示。

三、实施方案

BP神经网络具有自学习、自适应和获取知识的能力，可以很好地处理不确定性问题，是一种非线性方法，不带有明显的主观成分和人为因素，使评价结果更客观、有效。但是，对于定性指标的分析缺乏相应的处理能力，而信用风险的评价指标具有很大的不易确定性，所以采用模糊综合评价法对信用风险的定性指标进行量化。具体实施方案如下：

1进行模糊预处理，运用模糊综合评价法把评价指标体系中的定性指标量化。

2构建BP神经网络模型，把经模糊处理的输出和评价指标体系中原有的定量指标值一起作为神经网络的输入，学习、训练神经网络。

3运用测试样本对已训练好的神经网络模型进行检测，如果符合要求，则可以投入使用。完成后的系统可以根据输出数据给出风险建议。

四、结语

本文围绕商业银行信用风险评估存在的主要问题，根据巴塞尔新资本协议，以及需要遵循的基本原则，确立了商业银行信用风险评估模型的指标体系，并针对信用

风险度量方法存在的不足，采用定性和定量相结合的方法，即模糊综合评价法和BP神经网络算法，对我国商业银行信用风险评估进行研究，所构建的信用风险评估模型可以帮助银行决策者根据客户所处的不同信用风险等级，及时、有效地制定解决措施。希望本文的研究思想、实现方法能对商业银行信用风险评估研究提出有益的参考和借鉴。

[参考文献]

[1]李士勇 工程模糊数学及应用[M]哈尔滨：哈尔滨工业大学出版社， 2004：96-108

[2]魏海坤 神经网络结构设计的理论与方法[M]北京：国防工业出版社， 2005：25-27

第8篇：审计的风险评估范文

风险导向审计内涵特征缺陷

一、现代风险导向审计

1、风险导向审计的内涵

现代风险导向审计以系统理论和战略管理理论为指导，通过自上而下和自下而上相结合的审计思路对被审计单位进行风险职业判断，评价被审计单位风险控制，确定剩余风险，执行追加程序，它通过综合评估经营控制风险来确定检查风险，从企业的战略分析着手，通过战略系统分析-环节分析-剩余风险分析-具体审计目标分解-实质性测试时间、范围和性质的确定的思路，将被审计客户会计报表错报风险与企业经营风险紧密地结合起来。这种全新模式要求独立审计师从更开阔的视角发现与被审计单位会计报表中的重大错报行为，从而减少审计失败的风险。

2、风险导向审计的特征

（1）风险导向审计在审计程序上主要以风险评估为中心，将风险的识别和评估贯穿于审计的全过程，加强了风险评估程序，体现了风险导向审计的真正理念。

（2）风险导向审计采取以分析程序为中心，辅助使用询问、检查、观察、穿行测试等其他手段的方法。风险评估的分析对象也由财务信息扩展到了非财务信息，且分析方法工具多样化，如战略分析、绩效分析。

（3）风险导向审计的重点侧重于管理层的舞弊风险，审计人员采取更为个性化的审计程序，对于错报风险和员工舞弊风险，审计人员在审计过程很可能得到企业管理者的配合，因为这同时也是管理者和社会公众的需求，审计人员和管理层之间没有必然的利益冲突。而对管理舞弊风险，由于审计人员和管理者之间存在利益冲突，管理者不可能真正配合审计人员开展审计工作。

（4）风险导向审计要求审计师的知识结构达到一个复合型人才的标准。审计师不但需要精通审计知识，而且要熟练各个层面的风险评估和分析方法，先进的管理学工具，同时要关注行业和管制环境的动态、市场经济的规律、国家的财政、贸易、货币政策及法律的变动等领域的知识信息，最重要的是要具备职业判断能力。

二、现代风险导向审计与传统审计

1、传统审计风险模型的缺陷

（1）传统模式因为在评估固有风险时必须从内部控制入手，使得固有风险概念内涵与外延不一致，逻辑上不能一贯，这使风险模型的科学性受到了极大的损害。

（2）如果注册会计师能把控制风险评估得比较低就可以大大减少实质性测试的工作量。于是注册会计师只要通过控制测试得到了一个比较满意的结果，就理所当然地认为他们已经有了一个比较高的可接受检查风险水平。因为控制测试得到的是内部证据，因为其证明力比较差，并且内部控制在防止无意的错报以及员工舞弊方面虽然有着积极意义，但在防止管理当局舞弊方面，内部控制无能为力。因此，传统模式把控制风险单独作为风险模型的一个乘积因子，这就为审计失败埋下了一个很大的隐患。

（3）由于现有的审计风险模式只能用于账户余额或交易类别，而不能用于财务报表整体，因此，在此基础上构建出的风险导向审计模式在对待风险上只能是零散的、微观的，而不能形成整体的宏观的认识。这就必然导致传统风险模式不能用于财务报表整体，无法满足对财务报表审计整体审计风险的把握和控制。

2、与传统风险导向审计比较现代风险导向审计的特点

（1）审计重心前移，从以审计测试为中心到强调风险评估，审计程序主要包括风险评估程序、审计测试程序（包括控制测试和实质性测试）。充分体现了风险导向审计的核心即：深入了解客户、严格风险评估及强化风险评估对审计程序的指导作用。而传统风险导向审计的风险评估不到位，未能有效发现高风险审计领域，造成审计过量或审计不足，现在大大加强了风险评估程序，真正体现了风险导向审计的理念

（2）风险评估重心由控制风险向联合风险转移。现代管理层舞弊是绕过或逾越内控，导致控制风险很低而实际审计风险很高，所以现代风险导向审计重新认识到固有风险评估的重要性，评估联合风险，并以联合风险的评估水平确定审计测试（包括控制测试和实质性测试）的性质、时间和范围。

（3）风险评估更加重视对客户经营风险的间接评估。传统风险评估直接评估重大错报的概率，也就是直接对审计风险评估，现代风险评估仍落脚在审计风险评估，但更重视间接评估，充分借鉴和吸收了战略分析的成果，从了解客户经营环境、评估经营风险入手。

（4）自上而下和自下而上相结合。传统风险导向审计从控制风险评估入手，视野过于狭窄。而现代风险导向审计，从企业内外环境、经营风险分析入手，以此来发现可能出现重大错报的领域以及评估客户会计政策及会计估计的恰当性，有利于对经济业务实质做出判断。同时，现代风险导向审计并不忽视实质性测试的重要地位，实际上一些大案要案的查处也是从细微处入手的。

（5）重视审计策略，强调具体审计测试个性化。传统审计程序存在标准化的倾向，其一是不能对症下药，没有贯彻风险导向审计思想；二是客户的预期，由于很多客户的财务人员是审计人员出身，或系统学习过审计，或长期与审计师打交道，这使审计人员无法突破客户预先设置的障碍或防范措施。为此，国际新审计风险准则己要求对重大错报风险考虑选用“出其不意”的审计程序。

综上所述，现代风险导向审计以战略观和系统观思想指导重大错报风险评估和整个审计流程，以分析被审计单位的经营风险为导向，从宏观上了解被审计单位及其环境以充分识别和评估会计报表重大错报的风险，从而设计和实施控制测试和实质性程序。该审计模式具有“提高审计效率、降低审计成本”的优势，中小会计师事务所具有实施现代风险导向审计的需求且在实践中具有可行性。中会会计师事务所在具体实施审计中可以吸收现代风险导向审计中的风险理念、风险评估程序结合传统审计方法设计实施针对性的审计程序以达到最优效果。

参考文献：

[1]陈毓圭.对风险导向审计方法的由来及其发展的认识.会计研究，2004.

第9篇：审计的风险评估范文

在意大利上市的前100家大型企业运用风险导向审计的状况进行了调查，结果表明：有25%的企业未采用风险导向审计方法；有67%的企业只在年度审计计划编制过程中采用了风险导向审计方法；只有8%的企业在年度审计计划编制过程和具体审计项目的实施过程中都采用了风险导向审计方法。可见，风险导向审计并未在具体审计项目实施过程中得到广泛运用。而在理论研究方面，有关风险导向审计的研究也多停留在介绍基本概念、分析其必要性上，虽然提出了一些推广运用的设想，但多数较为笼统，缺少实践案例，对实际操作的借鉴性不强。鉴于此，我们以科技管理审计实施为切入点，将风险导向审计理念贯穿于整个审计过程的始终，为在具体审计项目中运用风险导向审计方法开展了积极探索。

二、风险导向审计实施过程风险导向审计过程主要分为审前准备、审计实施、审计报告三个阶段。

（一）审前准备。风险导向审计的一大特点是审计重心前移，在现场审计前需充分了解被审计对象的情况，分析、评估其面临的风险，这是风险导向审计的基础和关键环节，决定了审计的成败。

1、风险识别

为了识别被审计对象科技管理方面存在的风险，我们在审前采取询问被审计对象内部相关人员、咨询其上级主管部门、收集内外部相关资料、审计组内讨论等方式，收集了被审计对象科技管理和信息系统基本情况、内部控制和风险管理状况、被检查和考核资料等相关信息，为进行风险识别准备好了数据原料。对于科技管理的风险，可从风险源、风险影响和风险行为等多个角度来分类。由于考虑到审计的目的是为了完善风险控制，因此从风险控制措施的角度来看，同一风险源可能采取多种攻击方式，不同风险源也可能产生同样的危害，不便于提出控制措施；而从风险的影响来区分较为笼统，也不便于提出有针对性的控制措施。因此在审计中，我们从风险行为的角度，将科技管理风险主要分为操作失误、滥用授权、行为抵赖、身份假冒或密码分析、黑客攻击、恶意代码和病毒、泄露信息、篡改数据、破坏系统、系统意外故障、系统环境威胁、物理攻击和管理不到位等十多类。我们以以往开展的科技管理审计获取的数据和所收集到的被审计对象科技管理情况为基础，明确科技管理的目标，分析威胁目标实现的风险，依据风险分类方式，进行风险识别。由于风险不可能穷尽，为抓住主要矛盾，仅识别较重要的风险，共识别出7类、24个风险域、49个风险点，形成了科技管理风险清单。

2、风险评估

为对已识别风险进行评估，确定每个风险点的等级，采用了风险矩阵的方式（见图1），将风险分为4个等级：风险可忽略、风险较低、较高风险、重大风险。对于风险发生的可能性和影响程度，由于目前还未能建立完备的风险监测数据库，无法准确的量化风险的发生频率和影响，因此采取的是主观估计法，在审计组内部实施头脑风暴法，由审计人员根据以往科技管理审计的实际情况和经验，对风险的可能性和影响作出判断，在风险矩阵中得出对应的风险等级。对风险影响程度的判断，主要是从风险发生后影响的范围、损失金额大小、系统重要性和业务量、系统数据安全性和保密性要求、系统持续运行要求、系统操作难度等因素来考虑。需要注意的是，这里评估的是固有风险，非剩余风险，使用固有风险是因为审计的目的就是通过检查，评估已有控制措施的效力，进而确定剩余风险，因此，审计前的风险评估应评价的是固有风险的发生可能性和影响程度。在评估固有风险后，还可根据被审计对象的控制风险进行调整。调整因素包括：距上次审计或检查的时间、上次审计或检查的结果、上次审计或检查后的整改情况。调整原则是，如果被审计对象在近2年被审计或检查过，且未发现严重问题，整改情况良好，则被审计或检查过的那部分风险点全部降一个等级。

3、建立科技管理风险评估指标体系

为更好的指导审计实施，量化风险评估结果，提高科技管理风险评估的可比性，我们还研究建立了科技管理风险评估指标体系，制作了《对××单位科技管理审计风险评估表》。在风险评估表中，围绕科技管理内控机制建设、机房与设施管理、网络管理、安全保密管理、业务应用系统运行维护管理、采购和外包服务管理、应急备份和文档管理情况等7部分科技管理主要工作，确定了每部分的工作目标，列出每部分的风险域和风险域中存在的风险点，并针对每个风险点提示了相应的控制措施，便于审计人员根据控制措施的提示对风险点进行脆弱性检测。对于指标体系中权重的设置，由于存在分类、风险域、风险点3个层次，分2种方法进行处理。对于分类和风险域这两种较为抽象的指标，运用了层次分析法。向科技人员和审计骨干们发放调查问卷，请专家们按照1－9标度法对指标的重要性作两两比较，填写判断矩阵；将结果进行汇总平均后，得到最终的判断矩阵（见表2），计算各矩阵的特征根和特征向量，并检验其一致性，再对特征向量进行归一处理后，计算得出各分类和风险域的权重。对于风险点的权重，则利用之前已确定好的风险点等级进行相应赋值，对风险可忽略、风险较低、较高风险、重大风险这4个等级的风险点分别赋值1、2、4、8，在风险域范围内进行归一后获得各风险点的基础权重，再与其对应的风险域、分类的权重相乘后，得到风险点的最终权重。为了更好的评价被审计对象的风险管理情况，我们还编写了审计方案，不仅检查科技管理内控制度的充分性，机房、网络和业务应用系统的安全性，运维、采购和安全管理的规范性，还重点关注科技风险管理的情况，检测科技风险管理的环境建设、风险评估、风险控制和监督等情况，扩展了审计范围，综合评估被审计单位科技风险管理整体状况。审计中，将《对××单位科技管理审计风险评估表》作为审计方案的重要组成部分，要求审计人员在评估表的指导下，根据各风险点的高低实施相应的检查，根据审计结果填写对风险点的控制得分。

（二）审计实施。在审计实施阶段，我们针对不同的风险点，指派特定的审计人员花费一定的审计时间，采取适当的审计程序获取一定范围内具有说服力的审计证据，检测被审计对象的风险控制情况，评价其剩余风险。由于科技管理审计中，机房、网络和业务系统等部分审计内容是高风险点集中的区域，且具有专业技术要求高的特点，因此分派具有相应技能和丰富经验的审计人员负责。审计人员根据所负责部分的风险点高低来确定其审计重点，分配工作量，以风险为导向，采取多种方法检测被审计对象对风险点的控制情况。风险导向审计的审计程序主要分为控制测试和实质性程序两类。控制测试指的是测试控制运行的有效性，包括询问、观察、检查、重新执行和穿行测试等方法。实质性程序是指针对重大、特别风险实施的更深层次的审计方法，包括细节测试和实质性分析程序。由于实质性程序多用于财务性审计，因此，主要应用了控制测试的审计程序。审计人员运用了询问、观察、问卷调查、现场检查、重新执行等方法，多角度测试被审计对象的科技风险控制运行的有效性。对于审计中检查样本抽取数量，根据风险点等级和业务频率来判断（见表3）。高风险点按上限抽取，低风险点按下限抽取。

（三）审计报告。报告阶段的主要工作是评估所获取的审计证据，编写审计报告，提出审计建议，并持续跟踪、落实审计整改情况。现场审计结束后，审计组与被审计对象就事实确认书和风险评估的最终情况进行了沟通和确认，根据反馈情况编写了审计报告。审计报告以风险为中心，全面评价被审计对象的科技风险管理情况，指出了存在的问题和风险隐患，提出改进和完善的意见建议。为了突出审计发现的高风险管理情况和问题，引起关注，我们在审计报告的开始就对被审计对象的风险管理和控制执行情况进行简短的总体评价；将发现问题按照严重程度划分为严重、较严重、一般和轻微4类，依次列出。被审计对象的风险评估最终得分直接根据审计查出问题来赋值。对严重、较严重、一般和轻微问题分别赋值100、40、20、10分，每个风险点原始分值为100，统计每个风险点发现的问题数，单个风险点的最终得分V＝100－严重问题数×100-较严重问题数×40-一般问题数×20-轻微问题数×10，得分V最低为0分。风险评估最终得分为所有风险点得分的加权总和。在审计中，我们共发现11个问题，分别为7个一般问题、4个轻微问题。根据评分规则打分后，风险评估最终的得分为95.13分。为了将定量评估转换为定性评价，还建立了风险评估定级标准（见表4）。根据标准，审计组对被审计对象的科技管理情况给出了风险管理状况良好的评价。改情况，特别是要对所发现的严重、较严重问题做重点关注，注意这些重要问题是否得到了有效的控制和消除，并评估是否有新的风险和问题产生。根据被审计对象提交的整改报告和其他途径获取信息，判断是否需要开展后续审计或检查，以确认审计发现的纠正情况。

三、风险导向审计流程框架

基于此次风险导向审计实践，我们总结经验做法，提出了风险导向审计流程框架，以期对今后开展风险导向审计提供帮助。要在具体审计项目中应用风险导向审计，就应该将风险导向审计理念运用至审计计划编制到现场实施，直至审计后续的整个审计过程。在审计过程中，必须重视项目的审前调查和审计方案的编制工作，重点开展对审计对象的风险评估。审计方案的编制应与审前调查结果紧密结合，以风险评估得出的高风险领域作为审计重点，作为选择审计程序、确定审计抽样比例的依据，以提高审计工作的效率和质量。审计方案中应详细列示每一个审计要点对应的目标、风险、控制措施。同时应编制标准化检查表以规范、细化审计步骤，详细列示需要采取什么方法、访谈哪些人员、需要抽取哪些样本等，避免因审计人员经验不足或懈怠等原因而影响审计质量。在现场实施过程中，应根据新增信息不断调险评估结果，优化审计步骤，以修正审前调查中由于信息量不足而作出的不当估计和判断。对审计中发现的问题，也应以风险为导向，充分揭示存在的风险隐患，与被审计对象就发现问题和风险评估结果做充分的沟通确认。在审计报告中也以风险作为评价的重点，反映被审计对象的风险管理整体情况，提示风险，提出强化风险防范的建议。

四、结束语