对企业而言，获利是企业经营的最终目标，也是企业生存与发展的前提。随着管理的信息化、经营的多元化，企业渐渐将决策权在更大程度上向中下层分散，从而致使其在市场竞争中会出现更多的风险，如何辨识、评估、监测、控制风险，已成为每个企业共同关心的问题。
　　对此企业利用审计手段通过现有的内控流程，结合已评估出的风险，找出流程中的关键风险控制点，梳理并细化具体控制内容，修改制度，增加监控指标，强化业务和管理流程中的内部风险控制，优化重大投资决策、财务报告、衍生产品交易流程。
　　一、风险导向审计的模式应适应于现代企业风险管理的现状
　　当前在一些欧美国家，风险管理的理念、技术和手段，已经应用在企业战略制定、投融资决策、财务报告管理、内部审计体系建设等，形成了系统化、制度化、规范化的全面风险管理体系。而在我国，风险管理是企业管理中的一个相对薄弱环节。风险意识不强，风险管理工作薄弱，是企业发生重大风险事件的重要原因。企业全面风险管理要求企业信息化水平加速发展。企业应将信息技术应用于风险管理各环节，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统。
　　风险导向审计的模式，理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式；而从九十年代后期开始，在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的，以“审计风险=重大错报风险×检查风险”的模型为基础，以被审计单位的经营风险为导向的审计方法被理论界称作现代风险导向审计模式。
　　风险导向内部审计模式是根据现代企业发展风险管理需求相对应。内部审计把安全发展，规避风险评估作为重要服务领域。内部审计不仅检查财务和经营信息的可靠性和完整性，并做出报告，确定对本组织经营活动和报告有关政策、计划、程序、法律和条例的遵循情况，评价资源利用的经济性、有效性、、安全性，还对组织内部控制的健全性、有效性和遵循情况进行评价等，这正是与我国新出台的以系统论为基础的风险导向审计具有相同的思想。内部审计人员在审计全过程自始至终都要关注风险，根据风险度选择项目，以降低风险为导向，进行内部控制制度的符合性测试、实质性测试，并进行监督检查和评价，提出建设性意见和建议。其审计报告可以作为提示风险、防范风险以及信息交流的预警信号。因此，风险导向内部审计既是基于降低审计风险，又是为降低企业经营风险，进行风险管理的一种有效工具。 (下转3版)
集团审计部 刘红梅
(上接2版)
　　二、构建风险导向内部审计的框架
　　1、完善内审委员会。实施风险导向内部审计对企业风险进行管理就必须具备完善的内审委员会结构。
　　2、了解外部环境风险。企业的外部环境是企业生存的基础，外部环境变化对企业蕴涵着越来越多的风险。
　　3、确定风险容忍度。风险容忍度是企业在实现其目标的过程中对差异的可接受程度，是在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。
　　4、识别风险。风险识别是风险管理框架中的关键，是对企业潜在的风险加以判断、归类和鉴定风险性质的过程。
　　5、应对风险。根据本企业的风险容忍度，制定风险应对策略：可规避性、可转移性、可缓解性、可接受性。
　　6、监控风险发展状况。风险不是静态的，风险的数量和可能性会随内外部环境的变化而变化，持续的监控可以有效地规避管理风险。
　　7、评价风险带来的影响。一个风险事件结束后，审计委员会应将此次事件所带来的影响进行归纳、总结，成为以后风险管理的经验。经过这个环节，可以总结工作的经验与教训，使风险管理框架更加完善
　　三、内部审计风险导围绕企业效益在决策与实施中扮演独特角色
　　企业经营目标是在一定时期内企业生产经营活动预期要达到的成果，是企业生产经营活动目的性的反映与体现；而风险导向内部审计的对象则是对企业生产经营活动中管理风险的评估与规避潜在风险的尽到独特的角色。
　　首先，就是充分利用在内部控制领域的专家地位，联系组织的目标评估与分析内部控制中的风险，直接报告给管理者，在需要时通过审计委员会报告给董事会；
　　其次，帮助董事会在进行战略决策、重大人事的任免和重大的投资和财务计划的制订方面识别和评估风险，以确保组织重大决策的正确实施；最后要利用自己对组织内部的全面了解和对风险的直观认识，为专业的风险管理部门提供咨询与保证活动，参与企业的整合风险管理。
　　四、风险导向内部审计在企业风险管理中发挥独特作用
　　首先，帮助企业管理当局了解风险信息。内部审计把工作的重点放在重要风险上，使得年度计划与组织治理层的战略风险相一致，具体审计计划与具体经营风险相一致，还运用一定的方法进行风险管理。在实施审计过程中，使治理层随时了解企业的风险信息，这就可以在风险和机遇中寻求均衡点，使企业在风险来临时从被动受损到主动控制和排除风险，从而能够谨慎而又快速地在风险环境中生存、壮大。
　　其次，帮助企业管理当局识别与评估风险。以系统论为基础产生的风险导向审计，要求内部审计人员不但要检查本企业的风险情况，还要观察同行业内其他企业的经营情况及整个市场的经营风险水平，站在一个较高的角度识别企业风险。
　　最后，帮助企业管理当局进行风险的管理与协调。从评价各部门内部控制制度入手，在各领域查找管理漏洞，帮助企业管理当局识别并防范风险。企业风险无处不在，不但各部门有内部风险，而且各管理部门还有共同承担的综合风险，内部审计人员作为独立的第三方，可协调各部门共同管理企业，以防范宏观决策带来的风险。
　　五、完善对企业风险管理过程审计
　　企业风险管理审计就是要对企业风险管理过程及其内容的适当性和有效性进行审查和评价，并提出改进建议。完善对企业风险管理过审计，要重点考虑对以下几方面：
　　1、对风险管理机制的审计。首先必须对风险管理机制进行审计，审查企业及其下属单位是否建立了风险管理机制，风险的识别、评价和应对机制的适应性和有效性如何，实际运行情况怎样，是否有利于企业管理的持续改善等。
　　2、对业务流程的审计。只有经常对业务流程进行风险管理和审计，才能使企业业务始终运行于相对较优的流程环境之中。
　　3、对关键控制点的审计。作为审计的重点，审计时要主要关注以下问题：是否对关键控制点进行了识别，识别是否全面；是否建立了关键控制点的风险评价体系；是否建立了关键控制点的预警机制和应对机制；关键控制点的识别、评价、预警和应对机制的适应性和有效性如何；控制方法和手段是否可进一步优化；有无控制不严或失控的现象和可能等。
　　4、对系统监控的审计。我们有必要对系统监控的风险管理进行审计，审查和评价企业及其下属单位是否利用供应链系统进行了业务和绩效的动态监控、监控点及其风险如何识别和评价、监控的权威性及其效果如何、发现问题的处理方式以及应对风险的效果如何、有无监控盲区或监控不力的区域、监控结果的利用情况如何等。
　　5、对计算机系统的审计。这包括对系统的开发与设计、软件的程序、系统的控制、功能的划分、硬件的架构、灾难恢复计划、备份模式及效果。
　　6、对系统人员的审计。首先，我们要审查和评价系统人员是否经过培训并取得相应资格，是否有识别和应对本岗位风险的能力，在本岗位控制和风险管理的实际效果如何等；其次，我们要审查和评价企业及其下属单位是否建立了相应的人才风险管理机制，识别、评价以及应对人才风险的措施和效果如何；同时，我们还要在对领导干部的经济责任审计中增加对系统控制和风险管理等方面的审计内容，对关键控制点和系统监控岗位上的人员以及关键的系统维护人员可以试行系统责任审计，以促进领导干部及相应系统人员增强供应链系统的风险意识和责任。
　　六、更新适用风险导向审计的理念
　　风险导向审计是一种新的审计模式，自从它产生以来便有着一些鲜明的特点：
　　1、重心前移。从以审计测试为中心到以风险评估为中心，审计程序主要包括风险评估程序、分析性测试程序、审计测试程序（包括控制测试和实质性测试）。
　　2、风险评估以分析性测试为中心。尽管风险评估包括检查、调查、询问、穿行测试等多种审计取证手法，但核心是分析性测试的运用，传统审计对于信息的再加工重视程度不够，分析性测试主要适用在报表分析上，现代风险评估以分析为中心，分析性测试成为最重要的程序。
　　3、审计范围无边界、专业能力无边界。了解企业的深度和广度都是以前所不能比的，大到宏观环境如朝鲜核危机问题、中到客户所处行业的整个产业链结构问题、小到一台机器的运作情况和一个保安的上班情况，都可能是风险评估和审计测试的范围，审计人员不再只关注与会计报表有关的内部控制，关注的是整个内部控制结构。
　　4、审计证据重点向外部证据转移。管理层舞弊是审计人员最大的敌人，但管理层又往往是审计人员的衣食父母和配合者，离开管理层的支持，审计将很难进行下去，需要管理层提供证据证明自己造假又太理想，在这种情况下，审计人员将眼光转向一般员工，强调“革命堡垒最容易从内部突破”的理念，发动员工举报管理层作假；此外，发挥内查外调的优势，积极向供应商、销售商询问，这为美国新舞弊准则所肯定，也是针对管理层舞弊的有效侦查措施。风险导向审计中，审计人员将更多地依赖外部证据来支持自己的专业判断。
　　5、审计测试程序个性化。审计测试程序个性化就是为了克服传统审计测试的缺陷，针对风险不同的领域，采用个性化的审计程序。审计人员不再是流水线上的工人，非常机械地重复着机械性的工作，对审计项目经理是这样，对审计助理人员也是这样。
　　七、创新开展风险导向审计的方法
　　风险管理审计是管理审计的主要内容之一，其具体方法很多，包括因素分析法、比较分析法、趋势分析法、定性定量分析法等。它们同样适用于企业实施风险导向审计。下述是几种可以采用的审计方法：
　　1、流程追溯法。任何信息都可通过流程追溯功能，逆向追溯到信息源头，正向追溯到最终结果。
　　2、循环测试法。任何经济活动的开展都有其相应的内、外部条件和特例。某一具体活动在单项功能中的运行结果，与在系统集成功能下运行的结果比较，可能会有不同的结论。
　　3、实时审计法。对经营管理活动利用现代办公工具进行审计实时监控与预防管理缺失。
　　4、系统辅助法。审计人员借助于审计软件或企业管理的审计模块，通过输入必要的条件进行样本抽取，对异常项目进行调查测试，可以确定审计重点，并在一定范围内进行逐笔审计。
　　5、专家分析法。审计人员由于专业以及时间和精力等方面的局限，不可能对所有管理问题和技术问题都很熟悉，在审计过程中，必须充分征求管理系统实施和运行维护专家的意见，采用专家分析法来帮助我们得出正确的审计结论。
　　随着企业大型ERP系统和电子商务的不断成熟，如何有效地分析、处理海量数据已经成为计算机审计迫切需要解决的问题。虽然目前计算机审计已经能利用DB2、Oracle等大型数据库进行数据处理，并进行简单的分析，但对于如何有效地处理、分析数据，有效地作出决策还有待于探索，这就需要引入数据挖掘和数据仓库技术。
　　在审计领域，需要利用数据挖掘技术实现数据仓库与数据抽取、转换、装载(ETL)、数据挖掘、联机分析处理(OLAP)的有机集成和实现各种数据挖掘算法，对海量数据进行智能化和多元化的分析、关联，从而发现审计线索，帮助审计人员做出正确决策。另外数据仓库和数据挖掘技术对于有效地开展效益审计会有很大帮助，甚至能起到决定性的作用。
　　（此文荣获浙江省内审协会2010年度内部审计论文优秀奖。）