導語：科技管理風險導向審計的應用一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

一、引言

在意大利上市的前100家大型企業運用風險導向審計的狀況進行了調查，結果表明：有25%的企業未采用風險導向審計方法；有67%的企業只在年度審計計劃編制過程中采用了風險導向審計方法；只有8%的企業在年度審計計劃編制過程和具體審計項目的實施過程中都采用了風險導向審計方法。可見，風險導向審計并未在具體審計項目實施過程中得到廣泛運用。而在理論研究方面，有關風險導向審計的研究也多停留在介紹基本概念、分析其必要性上，雖然提出了一些推廣運用的設想，但多數較為籠統，缺少實踐案例，對實際操作的借鑒性不強。鑒于此，我們以科技管理審計實施為切入點，將風險導向審計理念貫穿于整個審計過程的始終，為在具體審計項目中運用風險導向審計方法開展了積極探索。

二、風險導向審計實施過程風險導向審計過程主要分為審前準備、審計實施、審計報告三個階段。

（一）審前準備。風險導向審計的一大特點是審計重心前移，在現場審計前需充分了解被審計對象的情況，分析、評估其面臨的風險，這是風險導向審計的基礎和關鍵環節，決定了審計的成敗。

1、風險識別

為了識別被審計對象科技管理方面存在的風險，我們在審前采取詢問被審計對象內部相關人員、咨詢其上級主管部門、收集內外部相關資料、審計組內討論等方式，收集了被審計對象科技管理和信息系統基本情況、內部控制和風險管理狀況、被檢查和考核資料等相關信息，為進行風險識別準備好了數據原料。對于科技管理的風險，可從風險源、風險影響和風險行為等多個角度來分類。由于考慮到審計的目的是為了完善風險控制，因此從風險控制措施的角度來看，同一風險源可能采取多種攻擊方式，不同風險源也可能產生同樣的危害，不便于提出控制措施；而從風險的影響來區分較為籠統，也不便于提出有針對性的控制措施。因此在審計中，我們從風險行為的角度，將科技管理風險主要分為操作失誤、濫用授權、行為抵賴、身份假冒或密碼分析、黑客攻擊、惡意代碼和病毒、泄露信息、篡改數據、破壞系統、系統意外故障、系統環境威脅、物理攻擊和管理不到位等十多類。我們以以往開展的科技管理審計獲取的數據和所收集到的被審計對象科技管理情況為基礎，明確科技管理的目標，分析威脅目標實現的風險，依據風險分類方式，進行風險識別。由于風險不可能窮盡，為抓住主要矛盾，僅識別較重要的風險，共識別出7類、24個風險域、49個風險點，形成了科技管理風險清單。

2、風險評估

為對已識別風險進行評估，確定每個風險點的等級，采用了風險矩陣的方式（見圖1），將風險分為4個等級：風險可忽略、風險較低、較高風險、重大風險。對于風險發生的可能性和影響程度，由于目前還未能建立完備的風險監測數據庫，無法準確的量化風險的發生頻率和影響，因此采取的是主觀估計法，在審計組內部實施頭腦風暴法，由審計人員根據以往科技管理審計的實際情況和經驗，對風險的可能性和影響作出判斷，在風險矩陣中得出對應的風險等級。對風險影響程度的判斷，主要是從風險發生后影響的范圍、損失金額大小、系統重要性和業務量、系統數據安全性和保密性要求、系統持續運行要求、系統操作難度等因素來考慮。需要注意的是，這里評估的是固有風險，非剩余風險，使用固有風險是因為審計的目的就是通過檢查，評估已有控制措施的效力，進而確定剩余風險，因此，審計前的風險評估應評價的是固有風險的發生可能性和影響程度。在評估固有風險后，還可根據被審計對象的控制風險進行調整。調整因素包括：距上次審計或檢查的時間、上次審計或檢查的結果、上次審計或檢查后的整改情況。調整原則是，如果被審計對象在近2年被審計或檢查過，且未發現嚴重問題，整改情況良好，則被審計或檢查過的那部分風險點全部降一個等級。

3、建立科技管理風險評估指標體系

為更好的指導審計實施，量化風險評估結果，提高科技管理風險評估的可比性，我們還研究建立了科技管理風險評估指標體系，制作了《對××單位科技管理審計風險評估表》。在風險評估表中，圍繞科技管理內控機制建設、機房與設施管理、網絡管理、安全保密管理、業務應用系統運行維護管理、采購和外包服務管理、應急備份和文檔管理情況等7部分科技管理主要工作，確定了每部分的工作目標，列出每部分的風險域和風險域中存在的風險點，并針對每個風險點提示了相應的控制措施，便于審計人員根據控制措施的提示對風險點進行脆弱性檢測。對于指標體系中權重的設置，由于存在分類、風險域、風險點3個層次，分2種方法進行處理。對于分類和風險域這兩種較為抽象的指標，運用了層次分析法。向科技人員和審計骨干們發放調查問卷，請專家們按照1－9標度法對指標的重要性作兩兩比較，填寫判斷矩陣；將結果進行匯總平均后，得到最終的判斷矩陣（見表2），計算各矩陣的特征根和特征向量，并檢驗其一致性，再對特征向量進行歸一處理后，計算得出各分類和風險域的權重。對于風險點的權重，則利用之前已確定好的風險點等級進行相應賦值，對風險可忽略、風險較低、較高風險、重大風險這4個等級的風險點分別賦值1、2、4、8，在風險域范圍內進行歸一后獲得各風險點的基礎權重，再與其對應的風險域、分類的權重相乘后，得到風險點的最終權重。為了更好的評價被審計對象的風險管理情況，我們還編寫了審計方案，不僅檢查科技管理內控制度的充分性，機房、網絡和業務應用系統的安全性，運維、采購和安全管理的規范性，還重點關注科技風險管理的情況，檢測科技風險管理的環境建設、風險評估、風險控制和監督等情況，擴展了審計范圍，綜合評估被審計單位科技風險管理整體狀況。審計中，將《對××單位科技管理審計風險評估表》作為審計方案的重要組成部分，要求審計人員在評估表的指導下，根據各風險點的高低實施相應的檢查，根據審計結果填寫對風險點的控制得分。

（二）審計實施。在審計實施階段，我們針對不同的風險點，指派特定的審計人員花費一定的審計時間，采取適當的審計程序獲取一定范圍內具有說服力的審計證據，檢測被審計對象的風險控制情況，評價其剩余風險。由于科技管理審計中，機房、網絡和業務系統等部分審計內容是高風險點集中的區域，且具有專業技術要求高的特點，因此分派具有相應技能和豐富經驗的審計人員負責。審計人員根據所負責部分的風險點高低來確定其審計重點，分配工作量，以風險為導向，采取多種方法檢測被審計對象對風險點的控制情況。風險導向審計的審計程序主要分為控制測試和實質性程序兩類。控制測試指的是測試控制運行的有效性，包括詢問、觀察、檢查、重新執行和穿行測試等方法。實質性程序是指針對重大、特別風險實施的更深層次的審計方法，包括細節測試和實質性分析程序。由于實質性程序多用于財務性審計，因此，主要應用了控制測試的審計程序。審計人員運用了詢問、觀察、問卷調查、現場檢查、重新執行等方法，多角度測試被審計對象的科技風險控制運行的有效性。對于審計中檢查樣本抽取數量，根據風險點等級和業務頻率來判斷（見表3）。高風險點按上限抽取，低風險點按下限抽取。

（三）審計報告。報告階段的主要工作是評估所獲取的審計證據，編寫審計報告，提出審計建議，并持續跟蹤、落實審計整改情況?，F場審計結束后，審計組與被審計對象就事實確認書和風險評估的最終情況進行了溝通和確認，根據反饋情況編寫了審計報告。審計報告以風險為中心，全面評價被審計對象的科技風險管理情況，指出了存在的問題和風險隱患，提出改進和完善的意見建議。為了突出審計發現的高風險管理情況和問題，引起關注，我們在審計報告的開始就對被審計對象的風險管理和控制執行情況進行簡短的總體評價；將發現問題按照嚴重程度劃分為嚴重、較嚴重、一般和輕微4類，依次列出。被審計對象的風險評估最終得分直接根據審計查出問題來賦值。對嚴重、較嚴重、一般和輕微問題分別賦值100、40、20、10分，每個風險點原始分值為100，統計每個風險點發現的問題數，單個風險點的最終得分V＝100－嚴重問題數×100-較嚴重問題數×40-一般問題數×20-輕微問題數×10，得分V最低為0分。風險評估最終得分為所有風險點得分的加權總和。在審計中，我們共發現11個問題，分別為7個一般問題、4個輕微問題。根據評分規則打分后，風險評估最終的得分為95.13分。為了將定量評估轉換為定性評價，還建立了風險評估定級標準（見表4）。根據標準，審計組對被審計對象的科技管理情況給出了風險管理狀況良好的評價。改情況，特別是要對所發現的嚴重、較嚴重問題做重點關注，注意這些重要問題是否得到了有效的控制和消除，并評估是否有新的風險和問題產生。根據被審計對象提交的整改報告和其他途徑獲取信息，判斷是否需要開展后續審計或檢查，以確認審計發現的糾正情況。

三、風險導向審計流程框架

基于此次風險導向審計實踐，我們總結經驗做法，提出了風險導向審計流程框架，以期對今后開展風險導向審計提供幫助。要在具體審計項目中應用風險導向審計，就應該將風險導向審計理念運用至審計計劃編制到現場實施，直至審計后續的整個審計過程。在審計過程中，必須重視項目的審前調查和審計方案的編制工作，重點開展對審計對象的風險評估。審計方案的編制應與審前調查結果緊密結合，以風險評估得出的高風險領域作為審計重點，作為選擇審計程序、確定審計抽樣比例的依據，以提高審計工作的效率和質量。審計方案中應詳細列示每一個審計要點對應的目標、風險、控制措施。同時應編制標準化檢查表以規范、細化審計步驟，詳細列示需要采取什么方法、訪談哪些人員、需要抽取哪些樣本等，避免因審計人員經驗不足或懈怠等原因而影響審計質量。在現場實施過程中，應根據新增信息不斷調整風險評估結果，優化審計步驟，以修正審前調查中由于信息量不足而作出的不當估計和判斷。對審計中發現的問題，也應以風險為導向，充分揭示存在的風險隱患，與被審計對象就發現問題和風險評估結果做充分的溝通確認。在審計報告中也以風險作為評價的重點，反映被審計對象的風險管理整體情況，提示風險，提出強化風險防范的建議。

四、結束語

風險導向審計是順應時展，解決審計資源有限與風險管理亟待加強矛盾的有效方法，也契合了國際內部審計師協會對內部審計的最新要求“通過系統的、規范的方法，評價并改善風險管理、控制和治理過程。”風險導向審計方法應貫穿審計過程的始終，要廣泛運用風險導向審計方法，選擇審計項目，制定審計方案、指導現場實施、擬寫審計報告，真正實現“風險引導審計、審計關注風險”。將風險導向運用于具體的審計實踐，能夠幫助深化風險導向審計理念，拓展審計視野，改進審計方式，前移審計中心，更為科學的配置審計資源，積累風險導向審計的經驗，為不斷擴大風險導向審計的應用打下基礎。今后，我們還將在風險評估過程、風險評估指標體系建立、審計方案制定等方面繼續改進和加強，使風險導向審計的應用更為科學，更加完善。

作者：梁敏工作單位：中國人民銀行上?？偛?/p>