序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇審計風險防范論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

關(guān)鍵詞：審計；風險；防范；控制

1審計風險產(chǎn)生的原因、過程分析

1.1審計風險產(chǎn)生的主要原因

（1）外部原因。

主要是指獨立于審計主體之外的原因，諸如審計主體面臨的社會環(huán)境、經(jīng)濟環(huán)境、政治環(huán)境、法律環(huán)境等。社會環(huán)境是指公眾素質(zhì)、輿論導(dǎo)向等對審計風險的影響。如果社會公眾審計意識、參與意識、監(jiān)督意識增強，企業(yè)便會積極主動地加強內(nèi)部控制制度的建設(shè)，嚴格會計核算，降低審計風險。反之就會產(chǎn)生或增加審計風險。

經(jīng)濟環(huán)境是指經(jīng)濟政策、經(jīng)濟成份、經(jīng)濟體制、經(jīng)濟法規(guī)等對審計風險的影響。市場主體多元化、經(jīng)營方式多樣化、經(jīng)營區(qū)域國際化等給審計單位帶來復(fù)雜化，被審計單位行為的不穩(wěn)定性，如企業(yè)改組、改制、拍賣、兼并、政策性重組等，使審計人員對企業(yè)的情況難以及時全面地反映和科學(xué)評價，導(dǎo)致審計人員獲得信息不真實，作出審計結(jié)果不準確，從而增加了審計風險。

法律環(huán)境是指與審計相關(guān)的法律、法規(guī)、規(guī)章等對審計風險形成的影響，既有國家宏觀層次上的法律環(huán)境影響，也有地方層次上的法律環(huán)境影響。審計工作的依據(jù)是各級人大、政府和行業(yè)部門頒發(fā)的各種法律法規(guī)、規(guī)章、制度、意見等，如果法律體系不完備、不具體、不科學(xué)或與審計工作實踐不銜接，審計人員就失去統(tǒng)一的判斷標準，增加風險機會。

（2）內(nèi)部原因。

內(nèi)部原因主要是指審計組織、機構(gòu)或人員自身的原因。

①審計方法模式陳舊、單調(diào)，沿用過去傳統(tǒng)的賬項基礎(chǔ)審計和制度基礎(chǔ)審計方法，很難發(fā)現(xiàn)新形勢、新情況、新環(huán)境帶來的新問題，產(chǎn)生新風險。在審計方法的選擇上，僅憑主觀意志、長官意志，不可避免地影響審計結(jié)論的正確性，從而發(fā)生偏差等。

②抽樣方法陳舊，沒有采用現(xiàn)代科學(xué)發(fā)展的成果技術(shù)進行抽樣，仍然采用判斷抽樣或統(tǒng)計抽樣。靠審計人員的經(jīng)驗主觀判斷，極易出現(xiàn)漏、重、錯的現(xiàn)象，在具體審計工作中，審計人員取證、選用證據(jù)等方面帶有主觀隨意性，客觀上又存在很多不確定因素，一但工作馬虎，取證不充分，其審計結(jié)論也就很難做到合理。

③審計操作不規(guī)范，主要表現(xiàn)在一些審計人員隨意簡化程序，或抽調(diào)一些不懂業(yè)務(wù)的人員參與重要工作，主觀主義、形式主義，審計結(jié)論、報告采用格式化，只換名稱和數(shù)字，交差完事。審計人員思想素質(zhì)不高、政治立場不堅定、業(yè)務(wù)不熟、能力不強必然降低審計質(zhì)量，帶來審計風險。審計單位的制度不規(guī)范、責任不明確、處理不到位也會使審計工作走過場。

1.2審計風險產(chǎn)生的過程

（1）審計抽樣過程中產(chǎn)生的風險。注冊會計師在審計過程中正確運用審計抽樣方法不僅可以保證審計質(zhì)量、防范審計風險，同時也能提高審計效率。雖然公允的要求減輕了注冊會計師的責任和風險，但要達到公允的程度也并不容易，誤差必須控制在可容忍的范圍內(nèi)。這就要求抽樣要有可靠性，組成適量、有效的樣本，以盡可能提高樣本對總體的反映程度。否則，樣本總體反映的情況差異超出可一定的范圍，就會使注冊會計師對抽樣結(jié)果產(chǎn)生信賴過度和誤導(dǎo)錯誤，審計的公允性就會喪失，審計信息就有可能產(chǎn)生重大誤導(dǎo)作用，形成審計風險。

（2）審計取證環(huán)節(jié)產(chǎn)生的風險。審計證據(jù)是形成和支持審計意見的基礎(chǔ)，是保證審計質(zhì)量的關(guān)鍵。錯誤、失真的審計證據(jù)必然得出錯誤的審計結(jié)論，不全面、不充足的審計證據(jù)必然會得出片面、不可靠的審計結(jié)論。

（3）簽訂審計約定書環(huán)節(jié)產(chǎn)生的風險。簽訂審計約定書，是委托人與被委托機構(gòu)之間明確權(quán)利義務(wù)關(guān)系的法律過程，對雙方均具有約束力。在現(xiàn)實中存在這樣一種情況，只要客戶上門并滿足付款條件，審計機構(gòu)就把風險拋之腦后，按委托方的要求草率地訂立約定書。結(jié)果有的在接觸對方的審計資料后，才發(fā)現(xiàn)被審計單位財務(wù)記錄和原始憑證雖根本沒有可信度，但為了提供審計報告而憑經(jīng)驗和邏輯進行推理。這樣的審計報告通常會存在審計風險。因此，可以說簽訂約定書環(huán)節(jié)是產(chǎn)生審計風險的源頭。

（4）審計報告環(huán)節(jié)產(chǎn)生的風險。按照審計程序和正常邏輯思維，審計報告是依據(jù)審計約定書規(guī)定的內(nèi)容和要求，依據(jù)審計抽樣、取證所形成的工作底稿做出的，好像審計風險應(yīng)存在于審計報告以前各環(huán)節(jié)。事實上，撰寫審計報告本身不但存在風險，而且是防范風險的重要環(huán)節(jié)。因為審計風險是客觀存在的，如果在審計報告中忽視風險的客觀性，把查證結(jié)果的真實性進行絕對化肯定，并且忽視被審計單位的會計責任，一旦有誤，就可能產(chǎn)生風險。如果審計報告對審計的時間和空間范圍表述不清，也有可能使審計報告的使用者產(chǎn)生誤解，形成風險。

2審計風險的防范與控制的思考

2.1審計機構(gòu)、組織和人員對審計風險的防范與控制

審計主體是審計風險防范與控制的決定性因素，要建立健全科學(xué)、規(guī)范、系統(tǒng)的審計工作制度，加強業(yè)務(wù)工作的領(lǐng)導(dǎo)和指導(dǎo)力度，配齊配強業(yè)務(wù)人員，以確保審計工作質(zhì)量，制定規(guī)科學(xué)規(guī)范的工作標準、工作程序、工作目標考核體系，增強審計工作人員的政治素質(zhì)和業(yè)務(wù)素質(zhì)，提高審計人員的思想素質(zhì)和職業(yè)道德水平，堅持持證上崗；強化業(yè)務(wù)學(xué)習(xí)與培訓(xùn)，深入學(xué)習(xí)并遵守《注冊會計師法》、《會計法》、《審計法》和《獨立審計基本準則》及其相關(guān)法律法規(guī)，依法審計；嚴格按照《中國注冊會計師職業(yè)道德準則》的要求執(zhí)業(yè)，遵守獨立、客觀、公正的原則，認真履行自己的職責；做好審計計劃、籌劃，做好事前預(yù)測、事中監(jiān)督、事后控制相結(jié)合，尤其是審計風險的分析工作；有效運用現(xiàn)代、科學(xué)的審計抽樣方法和調(diào)查方法，重視審計取證工作，確保基礎(chǔ)工作扎實有效；謹慎選擇被審計單位，并與被審計單位簽訂業(yè)務(wù)約定書；提取風險基金或購買責任保險；聘請熟悉注冊會計師法律責任的律師。

2.2審計程序中的各個環(huán)節(jié)對審計風險的防范與控制

（1）受托階段。要詳細了解委托人的委托目的和業(yè)務(wù)內(nèi)容，對可能產(chǎn)生的風險進行預(yù)測和分析，只有通過充分了解確認有承辦能力，才能簽約。明確雙方的權(quán)利和義務(wù)，分清各自的職責范圍，并對委托事項進行協(xié)商。要如實向委托人介紹社會審計的規(guī)定，以防以后發(fā)生誤會。同時，審計機構(gòu)還要注意防止委托方提供的假證據(jù)，在簽約時要寫明委托方對提供的資料的完整性和真實性負責等內(nèi)容。

（2）準備階段。事務(wù)所要根據(jù)承辦項目的要求和任務(wù)，以及被審計單位的行業(yè)特點和情況復(fù)雜與否，確定選派專業(yè)性強、能勝任的審計人員組成審計組。制定好審計項目、內(nèi)容、目標、方法和任務(wù)等工作計劃。

（3）實施階段。重點把握以下三個重要環(huán)節(jié)：首先是審計取證，審計人員取得的證據(jù)必須充分有力、合理合法、客觀真實，具有可證性，收集的證據(jù)一定要經(jīng)過審計人員、被審計單位的主管和有關(guān)人員共同簽字蓋章才可生效。其次，應(yīng)規(guī)范審計工作底稿，因為，審計工作底稿是審計人員在審計活動中制作的“原始憑證”。最后，審計人員應(yīng)嚴格自律，自覺執(zhí)行執(zhí)業(yè)標準和職業(yè)道德規(guī)范。

（4）報告階段。提交報告前，應(yīng)對審計工作底稿中有關(guān)重點問題、重要程序和對審計報告有直接影響的部分進行認真復(fù)核，確保準確無誤。起草審計報告時，對審計報告中的審計結(jié)果及依據(jù)和審計評價及建議，要注意符合業(yè)務(wù)約定書約定的項目、內(nèi)容和要求，做到事實清楚、客觀公正。審計依據(jù)要準確，文字簡練、措辭恰當、表達清楚。初稿形成后，送交委托方征求意見并限期給予書面反饋意見，要對委托方反饋意見的采納情況予以說明，作為工作底稿歸檔。在發(fā)送報告的同時，要將各種相關(guān)資料整理歸檔。2.3審計項目實施過程中對審計風險的防范與控制

（1）在實施審計項目時，審計主體應(yīng)對審計客體的基本情況和內(nèi)部控制進行先期問卷調(diào)查和符合性測試，對審計客體風險性問題做出評估，以此作為實質(zhì)性測試時的重點和依據(jù)。

（2）在對審計客體的內(nèi)部控制進行問卷調(diào)查和符合性測試后，根據(jù)其評價以及對內(nèi)部控制松弛部分和匯總的弱項，確定實質(zhì)性測試的性質(zhì)、時間和范圍，并應(yīng)當實施詳盡的實質(zhì)性測試程序，以便將檢查風險以及總體審計風險降至可接受的水平。

①流動資產(chǎn)類實質(zhì)性測試。包括貨幣資金、短期投資、應(yīng)收票據(jù)、應(yīng)收賬款及壞賬準備、預(yù)付貨款、其他應(yīng)收款、存貨、待處理流動資產(chǎn)凈損失等項目的測試。有些項目收支頻繁，余額經(jīng)常變動，需要經(jīng)過盤點才能確認它的余額；有些項目是與其他單位的往來結(jié)算，必須通過向?qū)Ψ絾挝辉冏C才能確認。因此，盤存、函證是流動資產(chǎn)類實質(zhì)性測試常用的方法。

②長期和固定資產(chǎn)類實質(zhì)性測試。包括長期投資、固定資產(chǎn)和累計折舊、再建工程、無形資產(chǎn)和遞延資產(chǎn)等項目的測試。因此，盤存、計價、計算是長期和固定資產(chǎn)類實質(zhì)性測試常用的方法。

③負債類實質(zhì)性測試。包括短期借款、應(yīng)付票據(jù)、預(yù)收賬款、其他應(yīng)付款、未交款項、預(yù)提費用、長期借款等項目的測試。除預(yù)提費用外，都是往來結(jié)算項目，審計方法主要是函證或計算核實。

④所有者權(quán)益類實質(zhì)性測試。包括股本、資本公積、未分配利潤等項目的測試。審計方法主要是查證有關(guān)規(guī)定、計算核實。

⑤損益類實質(zhì)性測試。包括產(chǎn)品銷售收入、產(chǎn)品銷售成本、銷售費用、銷售稅金、其他業(yè)務(wù)利潤、管理費用、財務(wù)費用、投資收益、營業(yè)外收入、營業(yè)外支出、本年利潤、所得稅等。審計方法主要是查證有關(guān)規(guī)定，計算核實。

篇(2)

摘 要 本文首先對審計風險的概念進行了界定,從內(nèi)部和外部兩個方面分析了我國會計師事務(wù)所審計風險產(chǎn)生的原因,并針對這些原因提出了會計師事務(wù)所防范審計風險的幾點建議,使會計師事務(wù)所在執(zhí)業(yè)過程中加強對審計風險的控制,從而使整個社會的審計業(yè)務(wù)更加規(guī)范和健康地發(fā)展。

關(guān)鍵詞 審計風險 風險控制 會計師事務(wù)所

隨著現(xiàn)代審計業(yè)務(wù)的日益復(fù)雜,審計項目的風險水平越來越高。審計風險的存在必然會使會計師事務(wù)所發(fā)生風險損失,因此,實施審計風險管理顯得尤為重要。加強審計風險的管理和控制,對我國的會計師事務(wù)所提高審計質(zhì)量,降低審計責任,增強自身的競爭力具有非常重要的意義。

一、審計風險的概念

審計風險是指當財務(wù)報表存在重大錯誤或漏報,注冊會計師對其進行審計后發(fā)表不恰當審計意見的可能性。對于盈虧自負、風險自擔的會計師事務(wù)所來說,既要在激烈的市場競爭中招攬業(yè)務(wù),又要防范審計業(yè)務(wù)可能帶來的審計風險,這就使對審計風險的防范和控制成為會計師事務(wù)所的核心問題。

二、會計師事務(wù)所審計風險產(chǎn)生的原因

會計師事務(wù)所審計風險的產(chǎn)生由很多因素造成,以下從外部原因和內(nèi)部原因兩個方面來探討我國會計師事務(wù)所審計風險產(chǎn)生的原因。

(一)外部原因

1.我國的法制體系不完善

改革開放以來,盡管我國在審計立法上取得了很大的發(fā)展并形成了一套審計法制體系,但隨著社會主義市場經(jīng)濟的發(fā)展,審計執(zhí)法過程中某些方面仍無法可依,另外,一些舊的審計法律法規(guī)已經(jīng)不能適應(yīng)新形勢的發(fā)展而需做出修改。這種情況加大了相關(guān)部門審計監(jiān)督的難度,也加大了會計師事務(wù)所的審計風險。

2.被審計單位內(nèi)部控制制度方面的原因

企業(yè)在經(jīng)營管理時必須遵守成本收益原則,無論做出什么決策都必須考慮成本與收益的關(guān)系。企業(yè)實行內(nèi)部控制固然能夠減少會計處理過程中錯弊的發(fā)生,降低會計師事務(wù)所的審計風險,提高審計效率,但如果內(nèi)部控制的成本超過了發(fā)生錯弊時造成的損失,企業(yè)管理人員便會想盡一切辦法減少控制程序,這就使內(nèi)部控制總會存在一定的缺陷。

(二)內(nèi)部原因

1.審計收費比較低

目前,我國會計師事務(wù)所的審計收費普遍較低。如果會計師事務(wù)所的審計收費過低,就會迫使事務(wù)所和注冊會計師采用一些方法來降低審計成本,比如簡化審計程序、減少業(yè)務(wù)人員、縮短審計時間等。這種做法勢必會導(dǎo)致審計質(zhì)量的降低和審計風險的增大。審計費用太低,會計師事務(wù)所就不可能花費大量人力和物力去審計某一項目,審計質(zhì)量就不可能提高。

2.缺乏獨立性

實際中,事務(wù)所的聘用、續(xù)聘和費用支付等相關(guān)事項多是由企業(yè)管理層來決定的。也就是說,公司管理層可按其意愿來選擇事務(wù)所,這也決定了注冊會計師在出具審計報告時可能不得不考慮管理層的意見,審計的獨立性得不到保障。會計師事務(wù)所喪失了獨立性,到處受到四周環(huán)境的限制,當然就不能出具公正客觀的審計意見。

3.審計方法的落后

《中國注冊會計師獨立審計準則》提出了運用風險基礎(chǔ)審計方法的要求。然而在實踐中審計方法仍停留在賬項基礎(chǔ)審計向制度基礎(chǔ)審計過渡的階段,許多審計項目的大小都是由注冊會計師依靠主觀來判斷的。同時,審計中廣泛采用的抽樣技術(shù)只限于抽樣審計,并不能發(fā)現(xiàn)財務(wù)報表中的全部錯誤,這會導(dǎo)致某些隱蔽較好的欺詐極難偵破。由于審計成本的限制,又迫使注冊會計師不得不放棄部分審計程序,會喪失應(yīng)有的職業(yè)謹慎,難以做到全面的審計工作,風險自然由此而生。

三、審計風險的防范對策

為了防范審計風險,會計師事務(wù)所可以從以下幾方面來加以控制,盡最大努力拒審計風險于門外。

(一)保持獨立性

注冊會計師執(zhí)行審計或其他鑒定業(yè)務(wù)時,應(yīng)當保持形式上和實質(zhì)上的獨立。只有保持了獨立性后,會計師事務(wù)所和注冊會計師在執(zhí)行具體的審計業(yè)務(wù)時才不會受到被審計單位的影響,才能更好地出具客觀公正的審計影響。審計獨立性是會計師事務(wù)所和注冊會計師在執(zhí)業(yè)過程中必須遵守的最重要的原則。只有保證了審計獨立性后,才能降低審計風險的產(chǎn)生。

(二)改革審計方法

現(xiàn)時國內(nèi)的審計方法,主要是采用賬項基礎(chǔ)審計或制度基礎(chǔ)審計的模式,審計的整個過程主要集中在期末余額的細節(jié)測試,進行抽樣測試時,審計人員沒有什么可以依據(jù)的科學(xué)方法,往往只憑自己的經(jīng)驗任意抽樣而缺乏客觀性。這種習(xí)慣性做法,往往會讓有意舞弊者有機可乘。面對這種狀況,會計師事務(wù)所要學(xué)會轉(zhuǎn)換思考角度,改變傳統(tǒng)的審計理念和方法,樹立現(xiàn)代的審計意識、技術(shù)和方法,降低審計風險。

(三)謹慎選擇客戶

謹慎地選擇客戶也是會計師事務(wù)所防范審計風險的一個重要措施。對于那些可能存在重大經(jīng)營風險或公司管理層舞弊風險等高審計風險的公司,會計師事務(wù)所要慎重考慮是否接受其委托。在接受一個新客戶時,應(yīng)先做一個風險評估報告,當風險較高時就要多加留意,有時寧愿放棄該項審計收入。但也不能因為風險的存在就不敢承接客戶,會計師事務(wù)所可以通過客戶風險評估報告,識別風險領(lǐng)域,采取相應(yīng)的措施加以降低審計風險。

參考文獻:

[1]呂繼英.王竹南會計師事務(wù)所審計風險的防范與控制.Economic and Trade Update.2008(6).

篇(3)

論文摘要：現(xiàn)代風險導(dǎo)向?qū)徲嬍菍鹘y(tǒng)審計方式的突破和創(chuàng)新，是內(nèi)部審計發(fā)展的最新動向。企業(yè)推行現(xiàn)代風險導(dǎo)向?qū)徲嫞軐?nèi)部審計自身的職能與企業(yè)的目標有機地結(jié)合起來，充分發(fā)揮內(nèi)部審計在企業(yè)風險管理中的重要作用。本文在闡明現(xiàn)代風險導(dǎo)向?qū)徲嬒嚓P(guān)概念的基礎(chǔ)上，進一步闡述了企業(yè)內(nèi)部審計開展現(xiàn)代風險導(dǎo)向?qū)徲嫷谋匾砸约艾F(xiàn)代風險導(dǎo)向?qū)徲嫷膶嵤?nbsp;

 

一、什么是現(xiàn)代風險導(dǎo)向?qū)徲?nbsp;

風險導(dǎo)向?qū)徲嬍窃谫~項基礎(chǔ)審計、制度基礎(chǔ)審計的基礎(chǔ)上產(chǎn)生的，現(xiàn)代風險導(dǎo)向?qū)徲嫯a(chǎn)生的主要標志是：2003年10月，國際審計和鑒證準則委員會(iaasb)對審計風險準則進行了修訂，并執(zhí)行新的風險導(dǎo)向模型“審計風險=重大錯報風險x檢查風險”，我國在2006年2月對審計準則進行大幅度調(diào)整，將傳統(tǒng)審計風險模型修改為新的審計風險模型。現(xiàn)代風險導(dǎo)向?qū)徲嬍且韵到y(tǒng)論和戰(zhàn)略管理理論為指導(dǎo)，以降低信息風險為根本目的，以控制審計業(yè)務(wù)風險為中心，以降低審計風險為根本途徑，以經(jīng)營風險的分析評估為導(dǎo)向，采用“自上而下，自下而上”審計思路的一種審計方法。 

二、對現(xiàn)代風險導(dǎo)向?qū)徲嫳举|(zhì)的認識 

(一)現(xiàn)代風險導(dǎo)向?qū)徲嬍且环N新的審計基本方法。傳統(tǒng)審計風險模型的審計方法實質(zhì)上仍然是制度基礎(chǔ)審計方法的延伸，它從分析客戶會計報表的固有風險和內(nèi)部控制風險著手，根據(jù)內(nèi)部控制測試的結(jié)果決定實質(zhì)性測試的性質(zhì)、時間和范圍。而現(xiàn)代風險導(dǎo)向?qū)徲媱t是從企業(yè)的戰(zhàn)略分析入手，通過“戰(zhàn)略分析——環(huán)節(jié)分析——會計報表剩余風險分析”的基本思路，決定實質(zhì)性審計程序的性質(zhì)、時間和范圍，并建立了企業(yè)會計報表風險與企業(yè)戰(zhàn)略風險之間的邏輯聯(lián)系，使這一方法更科學(xué)、更有效。 

(二)現(xiàn)代風險導(dǎo)向?qū)徲嬣饤壛藗鹘y(tǒng)審計簡化主義的認知模式，代之以復(fù)雜系統(tǒng)的認知模式，并引入戰(zhàn)略管理分析工具。現(xiàn)代風險導(dǎo)向?qū)徲嫷乃伎挤椒ㄊ窍到y(tǒng)理論所指導(dǎo)的復(fù)雜系統(tǒng)認知模式。審計要有效地把握會計報表的錯報風險，就必須從企業(yè)的戰(zhàn)略管理活動著手分析，對戰(zhàn)略管理活動進行分析，必須將企業(yè)置于廣泛的經(jīng)濟網(wǎng)絡(luò)中進行系統(tǒng)分析。從方法論上講，現(xiàn)代風險導(dǎo)向?qū)徲嬕葌鹘y(tǒng)的制度基礎(chǔ)審計站得更高，看得更遠，對企業(yè)了解得更透。 

(三)現(xiàn)代風險導(dǎo)向?qū)徲嬤\用“自上而下”和“自下而上”相結(jié)合的審計思路。它運用“自上而下”，“自下而上”相結(jié)合的手段，對會計報表錯報風險做出合理的專業(yè)判斷，要從企業(yè)的戰(zhàn)略管理分析入手，通過經(jīng)營風險導(dǎo)向和嚴密的邏輯推理，一步一步地推導(dǎo)和落實審計的范圍和重點，確定相關(guān)的審計目標和審計程序。通過實施審計程序及取證的結(jié)果，并結(jié)合重要性的判斷，歸納和判斷整個會計報表的風險并形成最終的審計意見。 

三、現(xiàn)代風險導(dǎo)向內(nèi)部審計的理解 

內(nèi)部審計下的現(xiàn)代風險導(dǎo)向?qū)徲嬆壳吧袩o統(tǒng)一的定義。第一種觀點認為，把社會審計中的現(xiàn)代風險導(dǎo)向?qū)徲嬤\用于內(nèi)部審計就是現(xiàn)代風險導(dǎo)向內(nèi)部審計，即內(nèi)部審計人員立足于對審計風險的分析和評價，并以此為出發(fā)點，制定審計計劃，實施審計行為的一種審計方法。第二種觀點認為，現(xiàn)代風險導(dǎo)向內(nèi)部審計是指內(nèi)審人員在審計過程自始至終都關(guān)注企業(yè)風險(不是審計風險)，依據(jù)風險選擇項目，識別風險，測試管理者降低風險的方法，并以企業(yè)風險為中心做審計報告，協(xié)助企業(yè)管理風險。 

而從第二種觀點的描述上看，所謂的“風險”不是單純意義的“審計風險”，在更大意義上是指企業(yè)在生產(chǎn)經(jīng)營過程中面臨的各種企業(yè)風險。由此可見，此時的內(nèi)部審計已經(jīng)成為結(jié)合內(nèi)部審計和風險管理的一種有效工具，審計計劃與公司最高層的風險戰(zhàn)略連接在一起，內(nèi)部審計人員通過對當前的風險分析確保其審計計劃與經(jīng)營計劃相一致，將風險管理原則貫穿于審計的全過程，內(nèi)部審計重點不再是測試控制，而是確認風險及測試管理風險。用這種觀點來界定風險導(dǎo)向內(nèi)部審計，會與內(nèi)部審計具體準則對審計風險的定義相背。 

筆者認為，在現(xiàn)有準則下，以第一種觀點作為現(xiàn)代風險導(dǎo)向內(nèi)部審計比較恰當，而第二種觀點與其說是現(xiàn)代風險導(dǎo)向內(nèi)部審計，還不如說是企業(yè)風險管理中的內(nèi)部審計作用。 

四、現(xiàn)代風險導(dǎo)向?qū)徲嬤\用于內(nèi)部審計的必要性及其實施 

我們姑且不去定論現(xiàn)代風險導(dǎo)向內(nèi)部審計的定義，但是在內(nèi)部審計中實施現(xiàn)代風險導(dǎo)向?qū)徲嫾仁腔诮档蛯徲嬶L險，又是為降低企業(yè)經(jīng)營風險，進行風險管理的一種有效工具。 

(一)內(nèi)部審計實施現(xiàn)代風險導(dǎo)向?qū)徲嫷谋匾?nbsp;

隨著內(nèi)部審計的監(jiān)督職能向服務(wù)管理職能的轉(zhuǎn)變，企業(yè)需要內(nèi)部審計對整體的風險管理、內(nèi)部控制及治理程序提供有效的審計監(jiān)督和建設(shè)性評價，以幫助企業(yè)控制風險，實現(xiàn)目標。因此，內(nèi)部審計不應(yīng)停留在傳統(tǒng)審計模式上，而應(yīng)在此基礎(chǔ)上進一步開展現(xiàn)代風險導(dǎo)向?qū)徲嫞瑢㈥P(guān)口前移，充分發(fā)揮預(yù)警性作用。綜上所述，在企業(yè)內(nèi)部審計中實施現(xiàn)代風險導(dǎo)向?qū)徲嬘兄浅Ｖ匾默F(xiàn)實意義。 

(二)現(xiàn)代風險導(dǎo)向?qū)徲嬙趦?nèi)部審計中的運用 

1.準確確定審計的重點和范圍。運用現(xiàn)代風險導(dǎo)向?qū)徲嬂碚摚瑥姆治鲲L險入手，準確確定審計的重點和范圍，在審計準備階段，就加大防范力度，即通過對被審計單位基本情況的了解和分析性測試的結(jié)果，充分關(guān)注被審單位的特殊風險，確定總體審計風險概率和評估的重大錯報風險概率，將審計風險減少到最小程度，確保內(nèi)部審計能夠發(fā)現(xiàn)業(yè)務(wù)經(jīng)營活動中的重大違法違規(guī)問題及存在的風險隱患，達到實現(xiàn)防范風險的目的。 

2.以《內(nèi)部審計實務(wù)標準》為指導(dǎo)，執(zhí)行現(xiàn)代風險導(dǎo)向?qū)徲嫷某绦颍癸L險管理與內(nèi)部審計程序之間協(xié)調(diào)一致，產(chǎn)生協(xié)同增效的作用。一是在制定審計計劃時，針對可能影響風險評估的基礎(chǔ)，制定審計計劃，確定審計項目。二是編制審計方案時，在評估風險優(yōu)先次序的基礎(chǔ)上安排審計工作。三是確定審計范圍時，要考慮并反映整個企業(yè)的戰(zhàn)略性計劃目標，每年對審計范圍進行一次評估，以反映最新戰(zhàn)略和方針。四是在審計實施過程中，通過評價內(nèi)部控制制度，查找其中的疏漏和薄弱環(huán)節(jié)。五是在編制審計報告時，應(yīng)對風險管理狀況進行評價，指出風險管理中存在的漏洞和不足，提出加強管理的建議。六是以風險大小作為確定追蹤審計范圍的重要因素。 

3.實施控制測試和實質(zhì)性測試。現(xiàn)代風險導(dǎo)向?qū)徲嫃娬{(diào)從宏觀上對風險進行評估，但并不是說可以忽視微觀層面的操作風險。因此，應(yīng)繼續(xù)實施內(nèi)部控制測試，并分析重點，實施實質(zhì)性測試。在控制測試和實質(zhì)性測試兩階段中，審計資源的合理配置是關(guān)鍵，也是風險導(dǎo)向?qū)徲嬂碚摰某霭l(fā)點與歸宿。因此，應(yīng)結(jié)合重大風險各因素的綜合分析與判斷，將審計資源向重點風險領(lǐng)域傾斜，以實現(xiàn)“全面審計、突出重點”，在提高審計效率與效果的同時，強化企業(yè)風險管理。 

4.實現(xiàn)審計手段電子化，提高審計工作質(zhì)量。一要運用計算機技術(shù)，進行內(nèi)部控制風險的評估，確定標準內(nèi)部控制的模型，并經(jīng)常調(diào)整、完善，以提高內(nèi)部控制風險的評估效率及其準確性。二要運用計算機軟件進行分析性測試，提高分析的速度和準確性，擴展分析的范圍。三要運用計算機進行統(tǒng)計抽樣，避免人工抽樣檢查的不足，有效降低審計風險。四要構(gòu)建完整的審計信息系統(tǒng)，推進風險導(dǎo)向?qū)徲嬇c非現(xiàn)場審計有機結(jié)合，提高內(nèi)部審計的質(zhì)量和效率。 

(三)內(nèi)部審計實施現(xiàn)代風險導(dǎo)向?qū)徲嫷拇胧?nbsp;

現(xiàn)代風險導(dǎo)向?qū)徲嬆Ｊ绞菫檫m應(yīng)企業(yè)經(jīng)營高風險的特點而產(chǎn)生的，同時也是為量化審計風險、減輕審計責任、提高審計效率和質(zhì)量的一種審計方法。為加強現(xiàn)代風險導(dǎo)向?qū)徲嬙趦?nèi)部審計中的運用，筆者認為要從以下幾方面努力： 

1.建立內(nèi)部控制評價的新模式。在現(xiàn)代風險導(dǎo)向?qū)徲嬛校瑑?nèi)部審計更加關(guān)心的問題主要是：控制風險的目標是什么，控制要解決的問題，這種控制是否先進有效，控制風險有多大，是否影響管理當局的決策等。隨著市場競爭的加劇，新的審計環(huán)境要求審計人員應(yīng)通過與企業(yè)管理層進行有效溝通的方式，采用新的評價模式，為企業(yè)提供更有價值的服務(wù)。 

2.加強內(nèi)部審計工作的實效性。在審計技術(shù)方面，風險分析和計算機應(yīng)用甚少，由此降低了審計工作效率。因此，內(nèi)部審計在轉(zhuǎn)變目標定位，樹立管理理念的同時，更要重視審計工作的實效性，以確保審計建議的落實。 

3.提高內(nèi)部審計人員的素質(zhì)。對企業(yè)而言，需要界定風險范圍、理順風險責任、建立風險模型和風險防范機制，這就是要靠實施現(xiàn)代風險導(dǎo)向?qū)徲嬜叱鲆粭l迎接風險、化解風險之路。因此要求內(nèi)審人員都應(yīng)懂得風險語言，加強風險意識和風險管理技能，提高內(nèi)審人員對風險的敏感度，以風險為導(dǎo)向做好內(nèi)部審計工作。 

五、結(jié)束語 

企業(yè)內(nèi)部審計開展現(xiàn)代風險導(dǎo)向?qū)徲嬍莾?nèi)部審計的必然發(fā)展趨勢，既是職業(yè)自身發(fā)展的需要，也是當前形勢發(fā)展的需要。企業(yè)內(nèi)部審計堅持開展對企業(yè)風險管理過程的充分性和有效性的檢查、評價和報告，促進企業(yè)改進管理、實現(xiàn)目標和增加價值，無疑是企業(yè)內(nèi)部的一種最好資源。在實踐中，尚無完整的模式可參照執(zhí)行，即使有關(guān)現(xiàn)代風險導(dǎo)向內(nèi)部審計的準則出臺后，也需要在實踐中不斷完善。因此，內(nèi)部審計師在現(xiàn)階段，應(yīng)首先接受現(xiàn)代風險導(dǎo)向?qū)徲嫷睦砟睿趫?zhí)行過程中，將風險評估貫穿審計的全過程，不斷探索現(xiàn)代風險導(dǎo)向?qū)徲嫷姆椒ǎ瑢徲嬶L險降低到最低可接受水平。 

 

參考文獻： 

[1]馬文成,王有良.基于風險導(dǎo)向?qū)徲嫷膬?nèi)部審計創(chuàng)新研究[j].會計師,2009(06). 

[2]聶海斌.風險導(dǎo)向?qū)徲嬙趹?yīng)用中的問題及完善[j].當代經(jīng)濟,2009(16). 

[3]汪壽成.現(xiàn)代風險導(dǎo)向?qū)徲媅m].大連出版社,2009. 

[4]汪文文.論新形勢下的風險導(dǎo)向?qū)徲媅j].經(jīng)濟研究導(dǎo)刊,2009(04). 

篇(4)

［作者簡介］王會金（1962― ），男，浙江東陽人，南京審計學(xué)院副校長，教授，博士，從事信息系統(tǒng)審計研究。

［摘 要］當前，我國急需一套完善的中觀信息系統(tǒng)審計風險控制體系。這是因為我國的中觀經(jīng)濟主體在控制信息系統(tǒng)審計風險時需要一套成熟的管理流程，且國家有關(guān)部門在制定信息系統(tǒng)審計風險防范標準方面也需要完善的控制體系作為支撐。在闡述COBIT與數(shù)據(jù)挖掘基本理論的基礎(chǔ)上，借鑒COBIT框架，構(gòu)建中觀信息系統(tǒng)審計風險的明細控制框架，利用數(shù)據(jù)挖掘技術(shù)有針對性地探索每一個明細標準的數(shù)據(jù)挖掘路徑，創(chuàng)建挖掘流程，建立適用于我國中觀經(jīng)濟特色的信息系統(tǒng)審計風險控制體系。

［關(guān)鍵詞］中觀信息系統(tǒng)審計；COBIT框架；數(shù)據(jù)挖掘；風險控制；中觀審計

［中圖分類號］F239.4 ［文獻標識碼］A ［文章編號］10044833(2012)01001608

中觀信息系統(tǒng)審計是中觀審計的重要組成部分，它從屬于中觀審計與信息系統(tǒng)審計的交叉領(lǐng)域。中觀信息系統(tǒng)審計是指IT審計師依據(jù)特定的規(guī)范，運用科學(xué)系統(tǒng)的程序方法，對中觀經(jīng)濟主體信息系統(tǒng)的運行規(guī)程與應(yīng)用政策所實施的一種監(jiān)督活動，旨在增強中觀經(jīng)濟主體特定信息網(wǎng)絡(luò)的有效性、安全性、機密性與一致性[1]。與微觀信息系統(tǒng)相比，中觀信息系統(tǒng)功能更為復(fù)雜，且區(qū)域內(nèi)紛亂的個體間存在契約關(guān)系。中觀信息系統(tǒng)的復(fù)雜性主要體現(xiàn)在跨越單個信息系統(tǒng)邊界，參與者之間在信息技術(shù)基礎(chǔ)設(shè)施水平、信息化程度和能力上存在差異，參與者遵循一定的契約規(guī)則，依賴通信網(wǎng)絡(luò)支持，對安全性的要求程度很高等方面。中觀信息系統(tǒng)審計風險是指IT審計師在對中觀信息系統(tǒng)進行審計的過程中,由于受到某些不確定性因素的影響,而使審計結(jié)論與經(jīng)濟事實不符，從而受到相關(guān)關(guān)系人指控或媒體披露并遭受經(jīng)濟損失以及聲譽損失的可能性。中觀信息系統(tǒng)審計風險控制的研究成果能為我國大型企業(yè)集團、特殊的經(jīng)濟聯(lián)合體等中觀經(jīng)濟主體保持信息系統(tǒng)安全提供強有力的理論支持與實踐指導(dǎo)。

一、 相關(guān)理論概述與回顧

（一） COBIT

信息及相關(guān)技術(shù)的控制目標（簡稱COBIT）由美國信息系統(tǒng)審計與控制協(xié)會（簡稱ISACA）頒布，是最先進、最權(quán)威的安全與信息技術(shù)管理和控制的規(guī)范體系。COBIT將IT過程、IT資源及信息與企業(yè)的策略及目標聯(lián)系于一體，形成一個三維的體系框架。COBIT框架主要由執(zhí)行工具集、管理指南、控制目標和審計指南四個部分組成，它主要是為管理層提供信息技術(shù)的應(yīng)用構(gòu)架。COBIT對信息及相關(guān)資源進行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實施、交付與支持以及監(jiān)控等四個方面確定了34個信息技術(shù)處理過程。

ISACA自1976年COBIT1.0版以來，陸續(xù)頒布了很多版本，最近ISACA即將COBIT5.0版。ISACA對COBIT理論的研究已趨于成熟，其思路逐步由IT審計師的審計工具轉(zhuǎn)向IT內(nèi)部控制框架，再轉(zhuǎn)向從高管層角度來思考IT治理。大多數(shù)國際組織在采納COSO框架時，都同時使用COBIT控制標準。升陽電腦公司等大型國際組織成功應(yīng)用COBIT優(yōu)化IT投資。2005年，歐盟也選擇將COBIT作為其審計準則。國內(nèi)學(xué)者對COBIT理論的研究則以借鑒為主，如陽杰、張文秀等學(xué)者解讀了COBIT基本理論及其評價與應(yīng)用方法[23]；謝羽霄、黃溶冰等學(xué)者嘗試將COBIT理論應(yīng)用于銀行、會計、電信等不同的信息系統(tǒng)領(lǐng)域[45]。我國信息系統(tǒng)審計的研究目前正處于起步階段，因而將COBIT理論應(yīng)用于信息系統(tǒng)的研究也不夠深入。王會金、劉國城研究了COBIT理論在中觀信息系統(tǒng)重大錯報風險評估中的運用，金文、張金城研究了信息系統(tǒng)控制與審計的模型[1，6]。

（二） 數(shù)據(jù)挖掘

數(shù)據(jù)挖掘技術(shù)出現(xiàn)于20世紀80年代，該技術(shù)引出了數(shù)據(jù)庫的知識發(fā)現(xiàn)理論，因此，數(shù)據(jù)挖掘又被稱為“基于數(shù)據(jù)庫的知識發(fā)現(xiàn)(KDD)”。1995年，在加拿大蒙特利爾召開的首屆KDD & Date Mining 國際學(xué)術(shù)會議上，學(xué)者們首次正式提出數(shù)據(jù)挖掘理論[7]。當前，數(shù)據(jù)挖掘的定義有很多，但較為公認的一種表述是：“從大型數(shù)據(jù)庫中的數(shù)據(jù)中提取人們感興趣的知識。這些知識是隱含的、事先未知的潛在有用信息，提取的知識表現(xiàn)為概念、規(guī)則、規(guī)律、模式等形式。數(shù)據(jù)挖掘所要處理的問題就是在龐大的數(shù)據(jù)庫中尋找有價值的隱藏事件，加以分析，并將有意義的信息歸納成結(jié)構(gòu)模式，供有關(guān)部門在進行決策時參考。”[7]1995年至2010年，KDD國際會議已經(jīng)舉辦16次；1997年至2010年，亞太PAKDD會議已經(jīng)舉辦14次，眾多會議對數(shù)據(jù)挖掘的探討主要圍繞理論、技術(shù)與應(yīng)用三個方面展開。

目前國內(nèi)外學(xué)者對數(shù)據(jù)挖掘的理論研究已趨于成熟。亞太PAKDD會議主辦方出版的論文集顯示，2001年至2007年僅7年時間共有32個國家與地區(qū)的593篇會議論文被論文集收錄。我國學(xué)者在數(shù)據(jù)挖掘理論的研究中取得了豐碩的成果，具體表現(xiàn)在兩個方面：一是挖掘算法的縱深研究。李也白、唐輝探索了頻繁模式挖掘進展，鄧勇、王汝傳研究了基于網(wǎng)絡(luò)服務(wù)的分布式數(shù)據(jù)挖掘，肖偉平、何宏研究了基于遺傳算法的數(shù)據(jù)挖掘方法[810]。二是數(shù)據(jù)挖掘的應(yīng)用研究。我國學(xué)者對于數(shù)據(jù)挖掘的應(yīng)用研究也積累了豐富的成果，并嘗試將數(shù)據(jù)挖掘技術(shù)應(yīng)用于醫(yī)學(xué)、通訊、電力、圖書館、電子商務(wù)等諸多領(lǐng)域。2008年以來，僅在中國知網(wǎng)查到的關(guān)于數(shù)據(jù)挖掘應(yīng)用研究的核心期刊論文就多達476篇。近年來，國際軟件公司也紛紛開發(fā)數(shù)據(jù)挖掘工具，如SPSS Clementine等。同時，我國也開發(fā)出數(shù)據(jù)挖掘軟件，如上海復(fù)旦德門公司開發(fā)的Dminer,東北大學(xué)軟件中心開發(fā)的Open Miner等。2000年以來，我國學(xué)者將數(shù)據(jù)挖掘應(yīng)用于審計的研究成果很多，但將數(shù)據(jù)挖掘應(yīng)用于信息系統(tǒng)審計的研究成果不多，且主要集中于安全審計領(lǐng)域具體數(shù)據(jù)挖掘技術(shù)的應(yīng)用研究。

二、 中觀信息系統(tǒng)審計風險控制體系的構(gòu)想

本文將中觀信息系統(tǒng)審計風險控制體系（圖1）劃分為以下三個層次。

（一） 第一層次：設(shè)計中觀信息系統(tǒng)審計風險的控制框架與明細控制標準

中觀信息系統(tǒng)審計的對象包括信息安全、數(shù)據(jù)中心運營、技術(shù)支持服務(wù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)、績效與容量、基礎(chǔ)設(shè)施、硬件管理、軟件管理、數(shù)據(jù)庫管理、系統(tǒng)開發(fā)、變革管理、問題管理、網(wǎng)絡(luò)管理、中觀系統(tǒng)通信協(xié)議與契約規(guī)則等共計14個主要方面[11]。中觀信息系統(tǒng)審計風險控制體系的第一層次是根據(jù)COBIT三維控制框架設(shè)計的。這一層次需要構(gòu)架兩項內(nèi)容：（1）中觀信息系統(tǒng)審計風險的控制框架。該控制框架需要完全融合COBIT理論的精髓，并需要考慮COBIT理論的每一原則、標準、解釋及說明。該控制框架由14項風險防范因子組成，這14個因子必須與中觀信息系統(tǒng)審計的14個具體對象相對應(yīng)。框架中的每一個因子也應(yīng)該形成與自身相配套的風險控制子系統(tǒng)，且子系統(tǒng)應(yīng)該包含控制的要素、結(jié)構(gòu)、種類、目標、遵循的原則、執(zhí)行概要等內(nèi)容。（2）中觀信息系統(tǒng)審計風險的明細控制標準。控制框架中的14項風險防范因子需要具備與自身相對應(yīng)的審計風險明細控制規(guī)則，IT審計師只有具備相應(yīng)的明細規(guī)范，才能在中觀信息系統(tǒng)審計實施過程中擁有可供參考的審計標準。每個因子的風險控制標準的設(shè)計需要以COBIT三維控制框架為平臺，以4個域、34個高層控制目標、318個明細控制目標為準繩。

（二） 第二層次：確定風險控制框架下的具體挖掘流程以及風險控制的原型系統(tǒng)

第一層次構(gòu)建出了中觀信息系統(tǒng)審計風險控制的明細標準Xi（i∈1n）。在第一層次的基礎(chǔ)上，第二層次需要借助于數(shù)據(jù)挖掘技術(shù)，完成兩個方面的工作。一是針對Xi，設(shè)計適用于Xi自身特性的數(shù)據(jù)挖掘流程。這一過程的完成需要數(shù)據(jù)資料庫的支持，因而，中觀經(jīng)濟主體在研討Xi明細控制標準下的數(shù)據(jù)挖掘流程時，必須以多年積累的信息系統(tǒng)控制與審計的經(jīng)歷為平臺，建立適用于Xi的主題數(shù)據(jù)庫。針對明細標準Xi的內(nèi)在要求以及主題數(shù)據(jù)庫的特點，我們就可以選擇數(shù)據(jù)概化、統(tǒng)計分析、聚類分析等眾多數(shù)據(jù)挖掘方法中的一種或若干種，合理選取特征字段，分層次、多角度地進行明細標準Xi下的數(shù)據(jù)挖掘?qū)嶒灒偨Y(jié)挖掘規(guī)律，梳理挖掘流程。二是將適用于Xi的n個數(shù)據(jù)挖掘流程體系完善與融合，開發(fā)針對本行業(yè)的中觀信息系統(tǒng)審計風險控制的原型系統(tǒng)。原型系統(tǒng)是指系統(tǒng)生命期開始階段建立的，可運行的最小化系統(tǒng)模型。此過程通過對n個有關(guān)Xi的數(shù)據(jù)挖掘流程的融合，形成體系模型，并配以詳細的說明與解釋。對該模型要反復(fù)驗證，多方面關(guān)注IT審計師對該原型系統(tǒng)的實際需求，盡可能與IT審計師一道對該原型系統(tǒng)達成一致理解。

（三） 第三層次：整合前兩個步驟，構(gòu)建中觀信息系統(tǒng)風險控制體系

第三層次是對第一層次與第二層次的整合。第三層次所形成的中觀信息系統(tǒng)風險控制體系包括四部分內(nèi)容：（1）中觀信息系統(tǒng)審計風險控制框架；（2）中觀信息系統(tǒng)審計風險控制參照標準；（3）中觀信息系統(tǒng)審計風險控制明細標準所對應(yīng)的數(shù)據(jù)挖掘流程集；（4）目標行業(yè)的中觀信息系統(tǒng)審計風險控制的原型系統(tǒng)。在此過程中，對前三部分內(nèi)容，需要歸納、驗證、總結(jié)，并形成具有普遍性的中觀審計風險控制的書面成果；對第四部分內(nèi)容，需要在對原型系統(tǒng)進行反復(fù)調(diào)試的基礎(chǔ)上將其開發(fā)成軟件，以形成適用于目標行業(yè)不同組織單位的“軟性”成果。在設(shè)計中觀信息系統(tǒng)風險控制體系的最后階段，需要遵循控制體系的前三部分內(nèi)容與第四部分內(nèi)容相互一致、相互補充的原則。相互一致表現(xiàn)在控制體系中的框架、明細控制標準、相關(guān)控制流程與原型系統(tǒng)中的設(shè)計規(guī)劃、屬項特征、挖掘原則相協(xié)調(diào)；相互補充表現(xiàn)在控制體系中的框架、明細控制標準及相關(guān)控制流程是IT審計師在中觀信息系統(tǒng)審計中所參照的一般理念，而原型系統(tǒng)可為IT審計師提供審計結(jié)論測試、理念指導(dǎo)測試以及驗證結(jié)論。 三、 COBIT框架對中觀信息系統(tǒng)審計風險控制的貢獻

（一） COBIT框架與中觀信息系統(tǒng)審計風險控制的契合分析

現(xiàn)代審計風險由重大錯報風險與檢查風險兩個方面組成，與傳統(tǒng)審計風險相比，現(xiàn)代審計風險拓展了風險評估的范圍，要求考慮審計客體所處的行業(yè)風險。但從微觀層面看，傳統(tǒng)審計風險與現(xiàn)代審計風險的主要內(nèi)容都包括固有風險、控制風險與檢查風險。COBIT框架與中觀信息系統(tǒng)審計風險控制的契合面就是中觀信息系統(tǒng)的固有風險與控制風險。中觀信息系統(tǒng)的固有風險是指“假定不存在內(nèi)部控制情況下，中觀信息系統(tǒng)存在嚴重錯誤或不法行為的可能性”；中觀信息系統(tǒng)的控制風險是指“內(nèi)部控制體系未能及時預(yù)防某些錯誤或不法行為，以致使中觀信息系統(tǒng)依然存在嚴重錯誤或不法行為的可能性”；中觀信息系統(tǒng)的檢查風險是指“因IT審計師使用不恰當?shù)膶徲嫵绦颍茨馨l(fā)現(xiàn)已經(jīng)存在重大錯誤的可能性”。IT審計師若想控制中觀信息系統(tǒng)的審計風險，必須從三個方面著手：（1）對不存在內(nèi)部控制的方面，能夠辨別和合理評價被審系統(tǒng)的固有風險；（2）對存在內(nèi)部控制的方面，能夠確認內(nèi)部控制制度的科學(xué)性、有效性、健全性，合理評價控制風險；（3）IT審計師在中觀信息系統(tǒng)審計過程中，能夠更大程度地挖掘出被審系統(tǒng)“已經(jīng)存在”的重大錯誤。我國信息系統(tǒng)審計的理論研究起步較晚，IT審計師在分辨被審系統(tǒng)固有風險，確認控制風險，將檢查風險降低至可接受水平三個方面缺乏成熟的標準加以規(guī)范，因此我國的中觀信息系統(tǒng)審計還急需一套完備的流程與指南 當前我國有四項信息系統(tǒng)審計標準，具體為《審計機關(guān)計算機輔助審計辦法》、《獨立審計具體準則第20號――計算機信息系統(tǒng)環(huán)境下的審計》、《關(guān)于利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知》（88號文件）以及《內(nèi)部審計具體準則第28號――信息系統(tǒng)審計》。。

圖2 中觀信息系統(tǒng)審計風險的控制框架與控制標準的設(shè)計思路

COBIT框架能夠滿足IT審計師的中觀信息系統(tǒng)審計需求，其三維控制體系，4個控制域、34個高層控制目標、318個明細控制目標為IT審計師辨別固有風險，分析控制風險，降低檢查風險提供了絕佳的參照樣板與實施指南。COBIT控制框架的管理理念、一般原則完全可以與中觀信息系統(tǒng)審計風險的控制實現(xiàn)完美契合。通過對COBIT框架與中觀信息系統(tǒng)審計的分析，筆者認為COBIT框架對中觀信息系統(tǒng)審計風險控制的貢獻表現(xiàn)在三個方面（見圖2）：（1）由COBIT的管理指南，虛擬中觀信息系統(tǒng)的管理指南，進而評價中觀主體對自身信息系統(tǒng)的管理程度。COBIT的管理指南由四部分組成，其中成熟度模型用來確定每一控制階段是否符合行業(yè)與國際標準，關(guān)鍵成功因素用來確定IT程序中最需要控制的活動，關(guān)鍵目標指標用來定義IT控制的目標績效水準，關(guān)鍵績效指標用來測量IT控制程序是否達到目標。依據(jù)COBIT的管理指南，IT審計師可以探尋被審特定系統(tǒng)的行業(yè)與國際標準、IT控制活動的重要性層次、IT控制活動的目標績效水平以及評價IT控制活動成效的指標，科學(xué)地擬定被審系統(tǒng)的管理指南。（2）由COBIT的控制目標，構(gòu)建中觀信息系統(tǒng)的控制目標體系，進而評價中觀信息系統(tǒng)的固有風險與檢查風險。COBIT的控制目標包括高層域控制、中層過程控制、下層任務(wù)活動控制三個方面，其中，高層域控制由規(guī)劃與組織、獲取與實施、交付與支持以及監(jiān)控四部分組成，中層控制過程由“定義IT戰(zhàn)略規(guī)劃”在內(nèi)的34個高層控制目標組成，下層任務(wù)活動控制由318個明細控制目標組成。COBIT的控制目標融合了“IT標準”、“IT資源”以及被審系統(tǒng)的“商業(yè)目標”，為IT審計師實施中觀信息系統(tǒng)審計風險控制提供了層級控制體系與明細控制目標。IT審計師可以直接套用COBIT的控制層級與目標擬定中觀信息系統(tǒng)管理與控制的層級控制體系以及明細控制目標，然后再進一步以所擬定的明細控制目標作為參照樣板，合理評判中觀信息系統(tǒng)的固有風險與控制風險。中觀信息系統(tǒng)中“域”、“高層”、“明細”控制目標的三層結(jié)構(gòu)加強了IT審計師審計風險控制的可操作性。（3）由COBIT的審計指南，設(shè)計IT審計師操作指南，進而降低中觀信息系統(tǒng)審計的檢查風險。COBIT的審計指南由基本準則、具體準則、執(zhí)業(yè)指南三個部分組成。基本準則規(guī)定了信息系統(tǒng)審計行為和審計報告必須達到的基本要求，為IT審計師制定一般審計規(guī)范、具體審計計劃提供基本依據(jù)。具體準則對如何遵循IT審計的基本標準，提供詳細的規(guī)定、具體說明和解釋，為IT審計師如何把握、評價中觀經(jīng)濟主體對自身系統(tǒng)的控制情況提供指導(dǎo)。執(zhí)業(yè)指南是根據(jù)基本標準與具體準則制定的，是系統(tǒng)審計的操作規(guī)程和方法，為IT審計師提供了審計流程與操作指南。

（二） 中觀信息系統(tǒng)審計風險控制體系建設(shè)舉例――構(gòu)建“設(shè)備管理”控制目標體系

前文所述，中觀信息系統(tǒng)審計的對象包括“信息安全”等14項內(nèi)容，本文以“硬件管理”為例，運用COBIT的控制目標，構(gòu)建“硬件管理”的控制目標體系，以利于IT審計師科學(xué)評價“硬件管理”存在的固有風險與控制風險。“設(shè)備管理”控制目標體系的構(gòu)建思路參見表1。

注：IT標準對IT過程的影響中P表示直接且主要的，S表示間接且次要的；IT過程所涉及的IT資源中C表示涉及；空白表示關(guān)聯(lián)微小。

表1以“設(shè)備管理”為研究對象，結(jié)合COBIT控制框架，并將COBIT框架中與“設(shè)備管理”不相關(guān)的中層控制過程剔除，最終構(gòu)建出“設(shè)備管理”控制的目標體系。該體系由4個域控制目標、21個中層過程控制目標、149個明細控制目標三個層級構(gòu)成，各個層級的關(guān)系見表1。（1）第一層級是域控制，由“P.設(shè)備管理的組織規(guī)劃目標”、“A.設(shè)備管理的獲取與實施目標”、“DS.設(shè)備管理的交付與支持目標”以及“M.設(shè)備管理的監(jiān)控目標”構(gòu)成；（2）第二層級是中層過程控制，由21個目標構(gòu)成，其中歸屬于P的目標5個，歸屬于A的目標3個，歸屬于D的目標9個，歸屬于M的目標4個；（3）第三層級是下層任務(wù)活動控制，由149個明細目標構(gòu)成，該明細目標體系是中層過程控制目標（P、A、DS、M）針對“IT標準”與“IT資源”的進一步細分。IT標準是指信息系統(tǒng)在運營過程中所應(yīng)盡可能實現(xiàn)的規(guī)則，具體包括有效性、效率性、機密性等7項；IT資源是指信息系統(tǒng)在運營過程中所要求的基本要素，具體有人員、應(yīng)用等5項。根據(jù)表1中“有效性”、“人員”等“IT標準”與“IT資源”合計的12個屬項，每個具體中層控制目標都會衍生出多個明細控制目標。例如，中層控制目標“DS13.運營管理”基于“IT標準”與“IT資源”的特點具體能夠演繹出6項明細控制目標，此7項可表述為“DS13-01.利用各項設(shè)備，充分保證硬件設(shè)備業(yè)務(wù)處理與數(shù)據(jù)存取的及時、正確與有效”，“DS13-02.充分保證硬件設(shè)備運營的經(jīng)濟性與效率性，在硬件設(shè)備投入成本一定的情況下，相對加大硬件設(shè)備運營所產(chǎn)生的潛在收益”，“DS13-03.硬件設(shè)備保持正常的運營狀態(tài)，未經(jīng)授權(quán)，不可以改變硬件的狀態(tài)、使用范圍與運營特性，保證設(shè)備運營的完整性”，“DS13-04.設(shè)備應(yīng)該在規(guī)定條件下和規(guī)定時間內(nèi)完成規(guī)定的功能與任務(wù)，保證設(shè)備的可用性”，“DS13-05.硬件設(shè)備運營的參與人員必須具備較高的專業(yè)素質(zhì)，工作中遵循相應(yīng)的行為規(guī)范”以及“DS13-06.工作人員在使用各項硬件設(shè)備時，嚴格遵循科學(xué)的操作規(guī)程，工作中注意對硬件設(shè)備的保護，禁止惡意損壞設(shè)備”。上述三個層級組成了完整的“硬件設(shè)備”控制目標體系，若將中觀信息系統(tǒng)審計的14個對象都建立相應(yīng)的控制目標體系，并將其融合為一體，則將會形成完備的中觀信息系統(tǒng)審計風險控制的整體目標體系。

四、 數(shù)據(jù)挖掘技術(shù)對中觀信息系統(tǒng)審計風險控制的貢獻

（一） 數(shù)據(jù)挖掘技術(shù)與中觀信息系統(tǒng)審計風險控制的融合分析

中觀信息系統(tǒng)是由兩個或兩個以上微觀個體所構(gòu)成的中觀經(jīng)濟主體所屬個體的信息資源，在整體核心控制臺的統(tǒng)一控制下，以Internet為依托，按照一定的契約規(guī)則實施共享的網(wǎng)狀結(jié)構(gòu)式的有機系統(tǒng)。與微觀信息系統(tǒng)比較，中觀信息系統(tǒng)運行復(fù)雜，日志數(shù)據(jù)、用戶操作數(shù)據(jù)、監(jiān)控數(shù)據(jù)的數(shù)量相對龐雜。因而，面對系統(tǒng)海量的數(shù)據(jù)信息，IT審計師針對前文所構(gòu)建的明細控制目標Xi下的審計證據(jù)獲取工作將面臨很多問題，如數(shù)據(jù)信息的消化與吸收、數(shù)據(jù)信息的真假難辨等。而數(shù)據(jù)挖掘可以幫助決策者尋找數(shù)據(jù)間潛在的知識與規(guī)律，并通過關(guān)聯(lián)規(guī)則實現(xiàn)對異常、敏感數(shù)據(jù)的查詢、提取、統(tǒng)計與分析，支持決策者在現(xiàn)有的數(shù)據(jù)信息基礎(chǔ)上進行決策[12]。數(shù)據(jù)挖掘滿足了中觀信息系統(tǒng)審計的需求，當IT審計師對繁雜的系統(tǒng)數(shù)據(jù)一籌莫展時，數(shù)據(jù)挖掘理論中的聚類分析、關(guān)聯(lián)規(guī)則等技術(shù)卻能為中觀信息系統(tǒng)審計的方法提供創(chuàng)新之路。筆者認為，將數(shù)據(jù)挖掘技術(shù)應(yīng)用于前文所述的明細控制目標Xi下審計證據(jù)篩選流程的構(gòu)建是完全可行的。恰當?shù)臄?shù)據(jù)挖掘具體技術(shù)，科學(xué)的特征字段選取，對敏感與異常數(shù)據(jù)的精準調(diào)取，將會提高中觀信息系統(tǒng)審計的效率與效果，進而降低審計風險。

（二） 中觀信息系統(tǒng)審計風險控制目標Xi下數(shù)據(jù)挖掘流程的規(guī)劃

數(shù)據(jù)挖掘技術(shù)在中觀信息系統(tǒng)審計風險控制中的應(yīng)用思路見圖3。

注：數(shù)據(jù)倉庫具體為目標行業(yè)特定中觀經(jīng)濟主體的信息系統(tǒng)數(shù)據(jù)庫

中觀信息系統(tǒng)審計明細控制目標Xi下數(shù)據(jù)挖掘流程設(shè)計具體可分為六個過程：（1）闡明問題與假設(shè)。本部分的研究是在一個特定的應(yīng)用領(lǐng)域中完成的，以“中觀信息系統(tǒng)審計風險明細控制目標Xi”為主旨，闡明相關(guān)問題、評估“控制目標Xi”所處的挖掘環(huán)境、詳盡的描述條件假設(shè)、合理確定挖掘的目標與成功標準，這些將是實現(xiàn)“控制目標Xi下”挖掘任務(wù)的關(guān)鍵。（2）數(shù)據(jù)收集。圖3顯示，本過程需要從原始數(shù)據(jù)、Web記錄與日志文件等處作為數(shù)據(jù)源采集數(shù)據(jù)信息，采集后，還需要進一步描述數(shù)據(jù)特征與檢驗數(shù)據(jù)質(zhì)量。所采集數(shù)據(jù)的特征描述主要包括數(shù)據(jù)格式、關(guān)鍵字段、數(shù)據(jù)屬性、一致性，所采集數(shù)據(jù)的質(zhì)量檢驗主要考慮是否滿足“控制目標Xi”下數(shù)據(jù)挖掘的需求，數(shù)據(jù)是否完整，是否存有錯誤，錯誤是否普遍等。（3）數(shù)據(jù)預(yù)處理。該過程是在圖3的“N.異構(gòu)數(shù)據(jù)匯聚數(shù)據(jù)庫”與“U.全局/局部數(shù)據(jù)倉庫”兩個模塊下完成的。N模塊執(zhí)行了整合異構(gòu)數(shù)據(jù)的任務(wù)，這是因為N中的異構(gòu)數(shù)據(jù)庫由不同性質(zhì)的異構(gòu)數(shù)據(jù)組合而成，數(shù)據(jù)屬性、數(shù)據(jù)一致性彼此間可能存在矛盾，故N模塊需要通過數(shù)據(jù)轉(zhuǎn)換與數(shù)據(jù)透明訪問實現(xiàn)異構(gòu)數(shù)據(jù)的共享。U模塊承載著實現(xiàn)數(shù)據(jù)清理、數(shù)據(jù)集成與數(shù)據(jù)格式化的功能。“控制目標Xi”下的數(shù)據(jù)挖掘技術(shù)實施前，IT審計師需要事先完成清理與挖掘目標相關(guān)程度低的數(shù)據(jù)，將特征字段中的錯誤值剔除以及將缺省值補齊，將不同記錄的數(shù)據(jù)合并為新的記錄值以及對數(shù)據(jù)進行語法修改形成適用于挖掘技術(shù)的統(tǒng)一格式數(shù)據(jù)等系列工作。（4）模型建立。在“V.數(shù)據(jù)挖掘與知識發(fā)現(xiàn)”過程中，選擇與應(yīng)用多種不同的挖掘技術(shù)，校準挖掘參數(shù)，實現(xiàn)最優(yōu)化挖掘。“控制目標Xi”下的數(shù)據(jù)挖掘技術(shù)可以將分類與聚類分析、關(guān)聯(lián)規(guī)則、統(tǒng)計推斷、決策樹分析、離散點分析、孤立點檢測等技術(shù)相結(jié)合，用多種挖掘技術(shù)檢查同一個“控制目標Xi”的完成程度[12]。選擇挖掘技術(shù)后，選取少部分數(shù)據(jù)對目標挖掘技術(shù)的實用性與有效性進行驗證，并以此為基礎(chǔ)，以參數(shù)設(shè)計、模型設(shè)定、模型描述等方式對U模塊數(shù)據(jù)倉庫中的數(shù)據(jù)開展數(shù)據(jù)挖掘與進行知識發(fā)現(xiàn)。（5）解釋模型。此過程在模塊“W.模式解釋與評價”中完成，中觀信息系統(tǒng)審計風險領(lǐng)域?qū)＜遗c數(shù)據(jù)挖掘工程師需要依據(jù)各自的領(lǐng)域知識、數(shù)據(jù)挖掘成功標準共同解釋模塊V，審計領(lǐng)域?qū)＜覐臉I(yè)務(wù)角度討論模型結(jié)果，數(shù)據(jù)挖掘工程師從技術(shù)角度驗證模型結(jié)果。（6）歸納結(jié)論。在“Z.挖掘規(guī)律與挖掘路徑歸納”中，以W模塊為基礎(chǔ)，整理上述挖掘?qū)嵤┻^程，歸納“控制目標Xi”下的挖掘規(guī)律，探究“控制目標Xi”下的挖掘流程，整合“控制目標Xi”（i∈1n）的數(shù)據(jù)挖掘流程體系，并開發(fā)原型系統(tǒng)。

（三） 數(shù)據(jù)挖掘流程應(yīng)用舉例――“訪問控制”下挖掘思路的設(shè)計

如前所述，中觀信息系統(tǒng)審計包括14個對象，其中“網(wǎng)絡(luò)管理”對象包含“訪問管理”等多個方面。結(jié)合COBIT框架下“M1.過程監(jiān)控”與“IT標準-機密性”，“訪問管理”可以將“M1-i.用戶訪問網(wǎng)絡(luò)必須通過授權(quán)，拒絕非授權(quán)用戶的訪問”作為其控制目標之一。“M1-i”數(shù)據(jù)挖掘的數(shù)據(jù)來源主要有日志等，本部分截取網(wǎng)絡(luò)日志對“M1-i”下數(shù)據(jù)挖掘流程的設(shè)計進行舉例分析。

假設(shè)某中觀信息系統(tǒng)在2011年4月20日18時至22時有如下一段日志記錄。

（1） “Sep 20 19:23:06 UNIX login［1015］：FAILED LOGIN 3 FROM(null) FOR wanghua”

（2） “Sep 20 19:51:57 UNIX―zhangli［1016］：LOGIN ON Pts/1 BY zhangli FROM 172.161.11.49”

（3） “Sep 20 20:01:19 UNIX login［1017］：FAILED LOGIN 1 FROM(null) FOR wanghua”

（4） “Sep 20 20:17:23 UNIX―wanyu ［1018］：LOGIN ON Pts/2 BY wanyu FROM 172.161.11.342”

（5） “Sep 20 21:33:20 UNIX―wanghua ［1019］：LOGIN ON Pts/5 BY wanghua FROM 191.34.25.17”

（6） “Sep 20 21:34:39 UNIX su(pam――unix)［1020］:session opened for user root by wanghua (uid=5856)”

… … …

選取上述日志作為數(shù)據(jù)庫，以前文“控制目標Xi”下數(shù)據(jù)挖掘的6個過程為范本，可以設(shè)計“M1-i.用戶訪問網(wǎng)絡(luò)必須通過授權(quán)，拒絕非授權(quán)用戶的訪問”下的審計證據(jù)挖掘流程。該挖掘流程的設(shè)計至少包括如下思路：a.選取“授權(quán)用戶”作為挖掘的“特征字段”，篩選出“非授權(quán)用戶”的日志數(shù)據(jù)；b.以a為基礎(chǔ)，以“LOGIN ON Pts BY 非授權(quán)用戶”作為 “特征字段”進行挖掘；c.以a為基礎(chǔ)，選取“opened … by …”作為“特征字段”實施挖掘。假如日志庫中只有wanghua為非授權(quán)用戶，則a將會挖出（1）（3）（5）（6），b會挖出（5），c將會挖掘出（6）。通過對（5）與（6）嫌疑日志的分析以及“M1-i”挖掘流程的建立，IT審計師就能夠得出被審系統(tǒng)的“訪問控制”存在固有風險，且wanghua已經(jīng)享有了授權(quán)用戶權(quán)限的結(jié)論。

參考文獻：

［1］王會金，劉國城.COBIT及在中觀經(jīng)濟主體信息系統(tǒng)審計的應(yīng)用［J］.審計研究，2009(1):5862.

［2］陽杰，莊明來,陶黎娟.基于COBIT的會計業(yè)務(wù)流程控制［J］.審計與經(jīng)濟研究，2009（2）：7886.

［3］張文秀，齊興利.基于COBIT的信息系統(tǒng)審計框架研究［J］.南京審計學(xué)院學(xué)報，2010(5):2934.

［4］謝羽霄,邱晨旭.基于COBIT的電信企業(yè)信息技術(shù)內(nèi)部控制研究［J］.電信科學(xué),2009(7):3035.

［5］黃溶冰,王躍堂.商業(yè)銀行信息化進程中審計風險與控制［J］.經(jīng)濟問題探索,2008(2):134137.

［6］金文,張金城.基于COBIT的信息系統(tǒng)控制管理與審計［J］.審計研究，2005(4):7579.

［7］陳安,陳寧.數(shù)據(jù)挖掘技術(shù)與應(yīng)用［M］.北京：科學(xué)工業(yè)出版社，2006.

［8］李也白,唐輝.基于改進的PE-tree的頻繁模式挖掘算法［J］.計算機應(yīng)用，2011(1):101104.

［9］鄧勇,王汝傳.基于網(wǎng)格服務(wù)的分布式數(shù)據(jù)挖掘［J］.計算機工程與應(yīng)用,2010(8):610.

［10］肖偉平,何宏.基于遺傳算法的數(shù)據(jù)挖掘方法及應(yīng)用［J］.湖南科技大學(xué)學(xué)報，2009(9):8286.

［11］孫強.信息系統(tǒng)審計［M］.北京：機械工業(yè)出版社，2003.

［12］蘇新寧,楊建林.數(shù)據(jù)挖掘理論與技術(shù)［M］. 北京：科學(xué)技術(shù)出版社,2003.

Risk Control System of MesoInformation System Audit:From the Perspective of COBIT Framework of Date Mining Technology

WANG Huijin

（Nanjing Audit University, Nanjing 211815, China）

篇(5)

【關(guān)鍵詞】 網(wǎng)絡(luò)審計；信息共享；無紙化審計

網(wǎng)絡(luò)審計作為新興的審計形式，無論在理論上還是實踐上都使傳統(tǒng)審計發(fā)生了重大變革。網(wǎng)絡(luò)審計在便利工作、準確高效和節(jié)約精力的同時，也面臨著很多問題和風險。網(wǎng)絡(luò)審計的全面推行和實施將是時代的必然。

一、網(wǎng)絡(luò)審計的優(yōu)勢

隨著網(wǎng)絡(luò)技術(shù)在會計和審計信息管理中應(yīng)用的不斷深入，審計信息將提供更加專業(yè)化、準確化和智能化的服務(wù)，可以解決審計信息的海量存儲、智能檢索、高度共享等問題，對審計信息管理將產(chǎn)生變革性的影響。它與傳統(tǒng)審計相比，除了具有便捷、隱秘、準確高效和多單位聯(lián)合作業(yè)的協(xié)調(diào)等優(yōu)勢以外，還具有以下方面的優(yōu)勢：

（一）信息資源的充分共享

在實施審計過程中，計算機網(wǎng)絡(luò)通過數(shù)據(jù)傳輸和數(shù)據(jù)交換網(wǎng)，利用通訊技術(shù)將不同地區(qū)的計算機連接在一起組成一個有機信息系統(tǒng)，其最大的特點是信息共享性。隨著整個世界經(jīng)濟國際化進程的加速，我國企業(yè)與世界上不同國家與地區(qū)間的貿(mào)易來往愈來愈頻繁，投資者、債權(quán)人及其他相關(guān)主體往往分布在世界不同國家與地區(qū)。因此，審計信息和審計報告是他們進行理性決策的必要信息資源。在網(wǎng)絡(luò)環(huán)境下，審計信息可以充分共享，這樣可以大大提高審計信息的使用效率。

（二）提供智能化服務(wù)

網(wǎng)絡(luò)環(huán)境下，審計人員可以充分利用網(wǎng)絡(luò)所特有的先進電子服務(wù)技術(shù)，查找跟蹤各網(wǎng)絡(luò)網(wǎng)站的審計數(shù)據(jù)資料，充分利用Web共享這些數(shù)據(jù)信息資源。網(wǎng)絡(luò)審計所提供的智能化服務(wù)，是面向客戶的智能化服務(wù)。同時在遇到難以解決、難以形成定論的問題時，也可以邀請國內(nèi)外審計專家進行網(wǎng)上會議，共同尋找克服難點的途徑，以保證給客戶提供最完美、最優(yōu)質(zhì)的審計服務(wù)。

（三）大幅度降低費用

在網(wǎng)絡(luò)環(huán)境下，審計領(lǐng)域節(jié)約的有關(guān)交易費用主要表現(xiàn)在以下幾個方面：節(jié)約了有關(guān)搜尋審計信息、審計證據(jù)的長話、電傳以及審計資料傳遞的郵遞費，所有的一切工作都在網(wǎng)上進行;減輕了審計人員對審計信息的搜尋、整理、等待成本以及與其他單位、個人的聯(lián)絡(luò)費用;節(jié)約了有關(guān)審計人員的人力，減輕了勞動強度，節(jié)約了發(fā)生在審計工作中的能源、資源包括商品流、信息流、資金流、人員流的消耗。

（四）提供實時審計服務(wù)

在網(wǎng)絡(luò)環(huán)境下，審計部門隨時對企業(yè)進行審查，及時收集掌握被審計單位的最新會計信息和有關(guān)經(jīng)濟業(yè)務(wù)信息，并向有關(guān)各方，審計的時效性大大提高。審計從事后審計轉(zhuǎn)變?yōu)閷崟r審計，并從靜態(tài)走向動態(tài)。

二、網(wǎng)絡(luò)審計所面臨的問題

（一）網(wǎng)絡(luò)審計理論研究不足

在我國，網(wǎng)絡(luò)在企業(yè)管理中的推廣應(yīng)用才剛剛開始，較大型的系統(tǒng)還不多。人們對網(wǎng)絡(luò)財務(wù)及其網(wǎng)絡(luò)審計的認識還較模糊，網(wǎng)絡(luò)審計理論研究尚處于初級階段。從發(fā)表在各種專業(yè)雜志上的有關(guān)網(wǎng)絡(luò)審計方面的論文看，涉及網(wǎng)絡(luò)審計理論研究的文章并不多，而市場上相關(guān)的各種審計軟件不斷出現(xiàn)，網(wǎng)絡(luò)審計的理論研究和實踐出現(xiàn)了不平衡的局面，網(wǎng)絡(luò)審計軟件將會因為缺乏理論的指導(dǎo)，重復(fù)會計軟件開發(fā)初期時的老路，誤入歧途，多走彎路。

（二）網(wǎng)絡(luò)審計的相關(guān)法律和審計準則不完善

在網(wǎng)絡(luò)時代，社會的信息化加大了社會的不確定性，而法律對規(guī)范社會經(jīng)濟的運作、控制社會經(jīng)濟秩序具有不可替代的作用，尤其在網(wǎng)絡(luò)經(jīng)濟環(huán)境下，法律的重要性更為突出。網(wǎng)絡(luò)審計作為一個維護社會經(jīng)濟秩序并服務(wù)于經(jīng)濟領(lǐng)域的中介活動，迫切需要一套符合自身發(fā)展規(guī)律的法律來規(guī)范，建立起一套能規(guī)范網(wǎng)絡(luò)審計的審計準則，作為維護經(jīng)濟秩序的法律屏障。

美、日、英等國都制定了有關(guān)計算機審計的審計準則。國際審計準則中，對此也有專門計算機審計的范圍、目標、程序、技術(shù)及方法。我國的《中國注冊會計師獨立審計準則》中也有涉及到計算機輔助審計的內(nèi)容，但針對網(wǎng)絡(luò)經(jīng)濟時代下日益發(fā)展的電子商務(wù)系統(tǒng)及隨之而出現(xiàn)的一系列新的問題，舊有的審計標準準則體系和法律法規(guī)體系已不能完全適應(yīng)、指導(dǎo)和規(guī)范網(wǎng)絡(luò)經(jīng)濟時代的審計實踐。網(wǎng)絡(luò)本身的虛擬性、實時性、廣泛性要求比傳統(tǒng)審計更加切實可行、更加完備的標準準則和法律法規(guī)的保證。

（三）網(wǎng)絡(luò)審計軟件不完善

目前，我國通用的高水平的審計軟件還很缺乏，主要原因是財務(wù)軟件在設(shè)計時大多沒有考慮專用的審計軟件接口，使得在財務(wù)軟件中嵌入適時跟蹤監(jiān)控的審計程序難以實現(xiàn)，使審計人員采集數(shù)據(jù)出現(xiàn)一定困難。我國現(xiàn)有的審計軟件大多處于僅滿足穿過計算機進行審計的階段，現(xiàn)場審計和小規(guī)模的會計師事務(wù)所后期報告的制作幾乎還在依賴于手工操作，規(guī)模較大的一些會計師事務(wù)所開始利用VB，VC開發(fā)更為自動化的審計系統(tǒng)軟件。

（四）網(wǎng)絡(luò)審計面臨新的審計風險

1. 網(wǎng)絡(luò)安全的風險。網(wǎng)絡(luò)安全問題帶來的風險不僅表現(xiàn)在被審計企業(yè)在審計后發(fā)出的報表可能受到惡意攻擊，而且還表現(xiàn)在網(wǎng)絡(luò)本身對外界的高度依賴性，比如，突然斷電對電腦的影響和電腦數(shù)據(jù)的保存、計算機病毒的破壞、人為的毀損等異常情況等，會導(dǎo)致網(wǎng)絡(luò)審計系統(tǒng)的數(shù)據(jù)與信息丟失。

2. 審計動態(tài)取證的風險。在網(wǎng)絡(luò)環(huán)境下，企業(yè)幾乎所有的業(yè)務(wù)信息和財務(wù)信息都通過網(wǎng)絡(luò)傳輸，業(yè)務(wù)活動的數(shù)據(jù)處理都是實時的，審計人員要完成審計取證工作的同時又不能妨礙和終止被審計單位會計信息系統(tǒng)的運作。而在系統(tǒng)運作過程當中，進行取證，本身就難度很大，同時這部分無紙化審計線索的真實性、完整性、可靠性也難以保證，從而加大了審計風險。

3.傳統(tǒng)審計線索消失的風險。在傳統(tǒng)審計中，審計證據(jù)都以紙介質(zhì)的形式保存，審計線索十分清楚。而在網(wǎng)絡(luò)審計中，所有的審計證據(jù)都存儲在磁介質(zhì)上，這些在磁介質(zhì)上的信息是機器可讀的，肉眼不能識別。存儲在磁性介質(zhì)上的無紙化審計線索存在容易被修改、刪改、隱匿、轉(zhuǎn)移，又無明顯痕跡。這些都將使審計證據(jù)的真實性、完整性和可靠性大打折扣，這勢必會加大審計風險。

（五）審計人員計算機知識的缺乏

目前，我國審計人員中，能從事網(wǎng)絡(luò)審計的人員不論在數(shù)量上還是在質(zhì)量上都有較大差距，審計人員由于不懂網(wǎng)絡(luò)經(jīng)營與網(wǎng)絡(luò)會計的特點，不能識別審查和評價企業(yè)的風險與內(nèi)部控制，難以對復(fù)雜的網(wǎng)絡(luò)會計系統(tǒng)進行正確有效的評價，越來越多的審計工作依賴于不懂審計的計算機專家。這樣，審計人員的獨立性、客觀公正性將會受到威脅。同時，在審計軟件的開發(fā)上，要求開發(fā)人員既有計算機軟件的開發(fā)能力又有熟練的審計流程知識。因此，我國迫切需要培養(yǎng)一批既懂網(wǎng)絡(luò)技術(shù)又懂審計、會計的復(fù)合型人才，各高校應(yīng)對此引起高度的重視。

三、對策建議

（一）建立網(wǎng)絡(luò)審計理論體系

網(wǎng)絡(luò)審計理論的建立不僅是傳統(tǒng)審計理論的一大飛躍，而且有利于網(wǎng)絡(luò)經(jīng)濟的健康發(fā)展。當然，理論的形成并不是實踐的簡單堆砌，而是需要一種理性的思維去引導(dǎo)實踐。因此，建立較完善的、全新的網(wǎng)絡(luò)審計理論體系是非常重要的，審計人員和有關(guān)人員應(yīng)該加強這一領(lǐng)域的研究。

（二）加強網(wǎng)絡(luò)審計相關(guān)的立法和審計準則

網(wǎng)絡(luò)的出現(xiàn)和廣泛應(yīng)用對傳統(tǒng)審計產(chǎn)生了強烈的沖擊。舊有的審計標準準則體系和法律法規(guī)體系已不能完全適應(yīng)、指導(dǎo)和規(guī)范網(wǎng)絡(luò)審計的實踐。網(wǎng)絡(luò)本身的虛擬性、實時性、廣泛性要求比傳統(tǒng)審計更加切實可行、更加完備的標準準則和法律法規(guī)的保證。如對網(wǎng)絡(luò)審計人員的一般要求，網(wǎng)絡(luò)系統(tǒng)安全可靠性評價標準等。

美國的信息產(chǎn)業(yè)部在構(gòu)建互聯(lián)網(wǎng)絡(luò)法律框架時指出，網(wǎng)絡(luò)立法應(yīng)涉及9方面：1.身份認證與安全；2.消費者中心；3.內(nèi)容與商業(yè)通信；4.信息基礎(chǔ)設(shè)施(包括可互操作性和互聯(lián)網(wǎng)管理)；5.知識產(chǎn)權(quán)保護；6.司法管轄權(quán)；7.責任；8.保護個人數(shù)據(jù)；9.稅賦。總之，我國要建立起適應(yīng)網(wǎng)絡(luò)審計發(fā)展的良好的法律環(huán)境，使得網(wǎng)上交易的法律體系與國際框架基本保持一致。

（三）加快通用的審計軟件的開發(fā)

為適應(yīng)會計信息化的發(fā)展，提高審計工作的效率，應(yīng)組織力量加快開發(fā)會計信息化環(huán)境下的審計軟件，包括通用性好、實用性強、涵蓋項目管理、審計計劃、數(shù)據(jù)轉(zhuǎn)換、符合性測試、實質(zhì)性測試、合并會計報表、審計工作底稿制作、會計報告的生成等全程一體化的審計軟件。從實際情況和科學(xué)性來說，最好選擇財務(wù)軟件公司，它在財務(wù)軟件制作方面的經(jīng)驗有利于網(wǎng)絡(luò)審計測試軟件的開發(fā)。軟件開發(fā)時應(yīng)考慮重新生成審計線索，如：財務(wù)軟件里增加“有痕跡”的修改操作功能，就可重建審計線索，可為審計人員提供可信的證據(jù)。

（四）加強網(wǎng)絡(luò)審計風險控制

為了有效地降低網(wǎng)絡(luò)審計風險，就必須采取相應(yīng)的防范和控制措施，具體表現(xiàn)為：

1. 對相關(guān)網(wǎng)絡(luò)系統(tǒng)進行實時跟蹤。首先，對被審計單位的網(wǎng)絡(luò)系統(tǒng)進行評價，并利用專用的對比軟件，將存放于數(shù)據(jù)庫不同地址的同一種數(shù)據(jù)進行自動比較，以形成相應(yīng)的記錄文件，并對有差異的文件數(shù)據(jù)進行詳細審查；其次，對被審計單位的自動檢測數(shù)據(jù)庫軟件和恢復(fù)軟件進行審查和評價；最后，要對被審計單位的異常貿(mào)易，通過網(wǎng)絡(luò)進行預(yù)警提示，以降低審計風險。

2. 加強對網(wǎng)絡(luò)系統(tǒng)的安全性和保密性。在網(wǎng)絡(luò)審計系統(tǒng)中，一方面要滿足系統(tǒng)開放性的要求；另一方面又必須保證系統(tǒng)的安全保密性。如何處理好這兩個方面的關(guān)系，是網(wǎng)絡(luò)審計信息系統(tǒng)設(shè)計成敗的關(guān)鍵。由于網(wǎng)絡(luò)審計系統(tǒng)是建立在Internet環(huán)境下的信息系統(tǒng)，其開放性無疑會得到滿足，現(xiàn)在困難的是如何保證系統(tǒng)的安全性。目前，從技術(shù)上講有這么一些措施：

（1）物理保護：物理保護主要是針對網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)與硬件設(shè)備所實施的保護措施。（2）防火墻技術(shù)：防火墻控制技術(shù)是指在審計網(wǎng)絡(luò)與外部環(huán)境之間建立一種隔離“屏障”，它一方面能夠保證在CPA審計網(wǎng)絡(luò)與外部環(huán)境(Internet)之間進行通暢的信息交流，另一方面，授權(quán)的用戶可登錄進入CPA網(wǎng)絡(luò)審計系統(tǒng)，從而保證審計數(shù)據(jù)的安全性與保密性。（3）反病毒：審計軟件可以掛接反病毒軟件，如對電子郵件、文件傳輸FTP、網(wǎng)絡(luò)面程序，甚至對文檔中存在的病毒進行防范和查殺。（4）網(wǎng)絡(luò)端口保護：通常對CPA審計系統(tǒng)的網(wǎng)絡(luò)端口的保護可分為單端保護和雙端保護，包括主機端保護和用戶端保護，包括用戶驗證和終端驗證。

3. 審計人員參與網(wǎng)絡(luò)財務(wù)軟件的評審。為了有效地防范審計檢查風險和審計控制風險，審計人員應(yīng)參與網(wǎng)絡(luò)財務(wù)軟件的評審。只有對網(wǎng)絡(luò)財務(wù)軟件在進入銷售市場之前進行事前審計，才能從整體上減輕審計人員的勞動強度，提高審計工作效率，為事中審計和事后審計打下良好基礎(chǔ)。

4. 充分利用計算機審計軟件進行輔助審計。審計人員在實施審計的過程中，應(yīng)根據(jù)網(wǎng)絡(luò)“即時互動”的特點，充分利用通用的或?qū)Ｓ玫挠嬎銠C審計軟件，有效地降低審計風險：（1）利用審計法規(guī)合法性與合規(guī)性進行全面檢查；（2）利用審計專家咨詢軟件對特定審計事項進行重點會診，以減少審計誤差；（3）利用審計接口軟件獲取充分、適當?shù)膶徲嬜C據(jù)，減少審計的固有風險和控制風險。

（五）大力培養(yǎng)網(wǎng)絡(luò)審計人才

擁有大批精通網(wǎng)絡(luò)、計算機及審計業(yè)務(wù)的審計人員隊伍是網(wǎng)絡(luò)審計能否得以實施的關(guān)鍵。網(wǎng)絡(luò)審計已遠遠超出了計算機和局域網(wǎng)操作的范疇，計算機與網(wǎng)絡(luò)專家、信息系統(tǒng)與電子商務(wù)專家對網(wǎng)絡(luò)審計參與將是必然趨勢。

針對網(wǎng)絡(luò)審計對人才的挑戰(zhàn)，一般可以嘗試以下解決方法：1.系統(tǒng)學(xué)習(xí)審計風險方面的理論知識，掌握新的審計方法。重視從審計立項到審計結(jié)論的每一個步驟，并采取相應(yīng)的風險防范措施，使每一個環(huán)節(jié)的風險減少到最低程度。2.更新審計監(jiān)督觀念。入世后，審計監(jiān)督的重點應(yīng)從有形資產(chǎn)審計轉(zhuǎn)移到無形資產(chǎn)審計，重視管理方面和社會效益的審計，強化高新技術(shù)產(chǎn)業(yè)的審計，并促使其快速成長。3.樹立競爭觀念，培養(yǎng)創(chuàng)新意識。知識經(jīng)濟條件下，科學(xué)信息化技術(shù)對經(jīng)濟的促進作用進一步加強，應(yīng)提高審計人員對信息經(jīng)濟的認識，樹立面向經(jīng)濟的競爭觀念。改革教育和培訓(xùn)模式，提高審計人員的素質(zhì)和業(yè)務(wù)水平。

【主要參考文獻】

[1] 劉劍民，周詠梅. 網(wǎng)絡(luò)審計發(fā)展中的問題與建議[J].財會通訊,2005， ( 5 ).

[2] 王風化，李金克. 網(wǎng)絡(luò)審計風險的防范[J].

中國管理信息化,2007， ( 3 ).

[3] 文英. 網(wǎng)絡(luò)經(jīng)濟環(huán)境下網(wǎng)絡(luò)審計的研究[J]. 經(jīng)濟師,2004， ( 3 ).

篇(6)

文章摘要：隨著社會主義市場經(jīng)濟制度的逐步完善，注冊會計師承擔的法律責任日益受到行業(yè)內(nèi)外專業(yè)人士的關(guān)注，本文通過對注冊會計師的法律責任范圍、成因的分析，提出防范法律責任發(fā)生的具體措施。

注冊會計師被稱為經(jīng)濟警察，在現(xiàn)經(jīng)濟社會中發(fā)揮越來越重要的作用。其電益與風險并存，地位與責任并重，可以說注冊會計師從產(chǎn)生的那一刻起，就肩負走了相應(yīng)的法律責任。為了保護注冊會計審計報告使用者的合法權(quán)益，強化注冊計師的責任意識，我國有關(guān)法律規(guī)定了沮冊會計師所要承擔的法律責任。解決好掃冊會計師法律責任問題，不僅會影響社審計的質(zhì)量，決定審計職業(yè)社會地位的低，對于我國證券市場健康有序的運行、市場經(jīng)濟的法制建設(shè)也將起到不可估量配作用。

一、注冊會計師的法律責任范圍

我國規(guī)范注冊會計師法律責任的法律主要有:《刑法》、《公司法》、《證券法》、《注冊會計師法》、《中國注冊會計師審計準則》等，規(guī)定注冊會計師的法律責任主要包括行政責任、民事責任、刑事責任三個方面。行政責任主要包括:警告、沒收違法所得、罰款、暫停其執(zhí)行業(yè)務(wù)、責令停業(yè)、吊銷執(zhí)業(yè)資格證書等;民事責任主要是賠償責任，是指注冊會計師及會計師事務(wù)所違反法律規(guī)定，給委托人、其他利害關(guān)系人造成損失的，應(yīng)當依法承擔賠償責任;刑事責任是指:注冊會計師發(fā)生出具的證明文件有重大失實的，造成嚴重后果或故意提供虛假證明文件，情節(jié)嚴重等違法行為構(gòu)成犯罪的，要依法承擔刑事責任。

二、注冊會計師的法律責任成因

1、會計目標多元化，審計風險增加

改革開放30年來，社會主義市場經(jīng)濟逐步完善，會計主體目標由單一的經(jīng)管責任向多元化發(fā)展，既為經(jīng)管責任服務(wù)，又為經(jīng)營決策服務(wù)，會計處理不得不在這聲種要求之間予以平衡，從而增加了對會討信息解釋的可爭議性。同時，市場經(jīng)濟斗經(jīng)管責任的關(guān)系人帶有很大的不確定性，受托人和委托人之間的經(jīng)濟責任關(guān)系也成為具有雙向約束力的約定權(quán)責關(guān)系，這利平等權(quán)利，既給了受托方自主處理會計信息的機遇，也增強了委托方要求獲得合理保證的會計信息的需求。這就給會計信息的理解沖突埋下了伏筆。

2、會計信息的經(jīng)濟后果性增加了審計法律責任

市場經(jīng)濟條件下，證券市場的存在使得委托方與受托方的關(guān)系變得不確定，雙方的關(guān)系是否建立與解除，在很大程度上要依賴于會計信息的反映內(nèi)容。因此，會計信息的決策作用變得非常重要。一項小小的錯誤會計信息，可能會導(dǎo)致整個社會資金幾萬、幾十萬，甚至幾個億的錯誤流向。正是由于會計信息的經(jīng)濟后果性日益突出，一旦產(chǎn)生不應(yīng)出現(xiàn)的經(jīng)濟后果性，或者鑒定會計信息與使用會計信息的雙方對這種經(jīng)濟后果性產(chǎn)生不同看法時，必將帶來法律上的沖突。會計信息經(jīng)濟后果性的增大，勢必會引起相關(guān)的審計法律問題。

3、市場經(jīng)濟主體的平等性，強化了各主體的法律責任

在市場經(jīng)濟條件下，法律已成為調(diào)節(jié)個人與社會、秩序與自由、權(quán)威與服從三大矛盾的準則。法律地位的平等表明了受托方與委托方具有相同的經(jīng)濟權(quán)利。當對會計信息的理解發(fā)生沖突時，雙方不再依據(jù)行政權(quán)利與級別，而更多的是依據(jù)原先制定的“游戲規(guī)則”一一法律條文來處理有關(guān)的爭議。由于權(quán)利的保障及法制的完善，使得各方都有了依法自衛(wèi)的勇氣與能力。因此，運用法律手段來調(diào)節(jié)會計信息處理與理解的沖突，必將成為市場經(jīng)濟環(huán)境中最為常見的手段之一。

4、注冊會計師的不規(guī)范行為最終導(dǎo)致法律責任的承擔

由于專業(yè)勝任能力、風險意識、責任意識和道德意識的差異，導(dǎo)致注冊會計師行業(yè)執(zhí)業(yè)水平存在很大的差異，特別是注冊會計師在執(zhí)業(yè)過程中風險防范意識問題，以及某些注冊會計師為個人謀取私利而不惜挺而走險等問題導(dǎo)致過失與欺詐等違規(guī)和犯罪行為的發(fā)生，使承擔法律責任成為必然。

三、注冊會計師法律責任的防范措施

1、嚴格執(zhí)行審計準則

判別注冊會計師是否有故意欺詐或過 失行為的關(guān)鍵在于注冊會計師是否遵照審計準則的要求執(zhí)業(yè)。因此注冊會計師應(yīng)熟練掌握準則的各項規(guī)定及其操作辦法，嚴格依據(jù)審計準則的要求執(zhí)行業(yè)務(wù)，出具報告。遵循“獨立、客觀、公正”的審計準則規(guī)范，不從事不能勝任的委托業(yè)務(wù)，不對未來事項的實現(xiàn)程度作出保證。

2、不代行委托單位管理決策的職能

注冊會計師不得以被審計單位一名管理人員的身份開展工作，不得代行管理決策的職能。注冊會計師接受委托從事相關(guān)業(yè)務(wù)，是運用自己專業(yè)和經(jīng)驗的優(yōu)勢，指導(dǎo)被審計單位進行會計核算，或向被審計單位提供更為合理、更為科學(xué)的建議或方案，對其經(jīng)營結(jié)果進行鑒證，而不是代為行使相關(guān)職能。

3、健全會計師事務(wù)所質(zhì)量控制制度

質(zhì)量管理是會計師事務(wù)所各項管理工作的核心。如果質(zhì)量控制不嚴，很有可能因某注冊會計師提供虛假證明報告而導(dǎo)致整個會計師事務(wù)所遭受法律訴訟。因此，會討一師事務(wù)所必須建立嚴密科學(xué)的內(nèi)部質(zhì)量控制制度，并切實落實到每個人、每個部門和每項業(yè)務(wù)上，加強逐級復(fù)核力度，以降低執(zhí)業(yè)風險，最大限度地減少和杜絕審計犯罪行為。

4、加強后續(xù)教育、提高專業(yè)勝任能力

篇(7)

(一)產(chǎn)生基礎(chǔ)企業(yè)內(nèi)審由“監(jiān)督和服務(wù)導(dǎo)向型”向“管理導(dǎo)向型”發(fā)展需要為更好地配合管理者經(jīng)營目標的實現(xiàn)，內(nèi)審應(yīng)充分分析、估計經(jīng)營風險，及時提出預(yù)防風險的對策建議；做好內(nèi)控制度的測試和評估，檢驗關(guān)鍵控制點設(shè)置的恰當性以及有效性、完整性，分別予以補設(shè)、重建和改進，使得內(nèi)控制度得以健全并有效運行。由此，在現(xiàn)代內(nèi)審工作中，企業(yè)內(nèi)審必將由“監(jiān)督和服務(wù)導(dǎo)向型”向內(nèi)部“管理導(dǎo)向型”發(fā)展。

(二)產(chǎn)生間接原因企業(yè)面臨的風險日益增大減少企業(yè)面臨的風險是組織實現(xiàn)目標的關(guān)鍵，也是企業(yè)的管理人員十分關(guān)心的問題，企業(yè)經(jīng)理人員對風險的空前重視，為內(nèi)審發(fā)展提供了一個絕好的機會，內(nèi)審對風險管理的介入，將會使內(nèi)審在企業(yè)中成為一個重要的角色，并將其在企業(yè)中的作用推向一個新水平。

(三)產(chǎn)生直接原因風險控制內(nèi)審新思維傳統(tǒng)內(nèi)審采用的是從控制一風險一目標被動的風險控制審計模式，使得內(nèi)審只能對企業(yè)存在的控制缺陷做出被動反應(yīng)，其必然結(jié)果就是對發(fā)現(xiàn)的控制缺陷提出建議，以不斷地增加控制點或者是加強控制，最后就會出現(xiàn)控制點越來越多，越來越煩瑣的局面；很可能會造成多余的控制阻礙各項正常程序的運轉(zhuǎn)和效率。課題組調(diào)研中發(fā)現(xiàn)廣西企業(yè)普遍存在這樣的問題：07年得到確實有效落實的審計意見和建議僅占企業(yè)審計項目總數(shù)的65％；內(nèi)部控制的完善和控制點的增加導(dǎo)致運營成本的增加和辦事效率的降低，部分審計意見操作起來困難，不符合企業(yè)實際情況，部分不斷完善的內(nèi)部控制制度和流程并未得到有力的執(zhí)行，存在書面與實際操作兩種流程，最終導(dǎo)致內(nèi)審的整改建議過于理想化，執(zhí)行起來難度較大，致使審計意見很難被落到實處，或者只得到了被審計單位表面上的敷衍，其結(jié)果使內(nèi)審的作用無法充分發(fā)揮。風險導(dǎo)向理念下，風險控制內(nèi)審模式采取的是從企業(yè)目標一風險一控制的主動控制內(nèi)審模式。它首先要確認企業(yè)的目標或者是某件事項的目標，然后分析要實現(xiàn)這些目標會生產(chǎn)什么樣的風險，以確定審計風險水平和審計重點，安排審計步驟，以此來提出風險防范和控制建議，并通過后續(xù)審計來測試風險是否得到有效的防范和控制。實施風險管理最大的挑戰(zhàn)正是要變被動反應(yīng)為主動控制，風險控制內(nèi)審模式為我們內(nèi)審工作帶來了新思維。只有積極轉(zhuǎn)變我們的工作思路，企業(yè)內(nèi)審各種直接考慮企業(yè)實現(xiàn)目標過程中面臨的主要問題和風險，使得風險控制與企業(yè)目標的實現(xiàn)直接聯(lián)系起來。這樣的風險管理和控制，對公司治理層和管理人員而言才是非常有價值的，審計意見和建議才能得到認可和高度的重視，內(nèi)審才能成為企業(yè)價值鏈環(huán)節(jié)中的重要組成部分。

二、風險控制內(nèi)部審計模式實施的理性思考

(一)企業(yè)風險管理的再認識企業(yè)風險管理是指企業(yè)為了長遠發(fā)展，達到經(jīng)營管理的預(yù)期目標以及為此而擬定的制度或程序能夠得以實現(xiàn)，在企業(yè)內(nèi)部實施的各種制約和調(diào)節(jié)的組織、計劃、方法和程序，其目的在于防止目標的偏離或降低風險管理成本，并把風險控制在風險容量之內(nèi)，增加企業(yè)價值的過程，也是將風險意識轉(zhuǎn)化為全體員工的共同認識和自覺行動。COSO的《企業(yè)風險管理框架》描述了企業(yè)風險管理定義為：企業(yè)風險管理是一個過程，受企業(yè)的董事會、管理層和其他人員的影響，應(yīng)用于企業(yè)的戰(zhàn)略制定及各個方面，旨在確定影響企業(yè)的潛在重大事件，將企業(yè)的風險控制在可接受的程度內(nèi)，從而為實現(xiàn)企業(yè)的目標提供合理保證。我們研究認為：該《框架》拓展了企業(yè)的內(nèi)部控制，對企業(yè)風險管理這一更寬泛的主題作了更全面的關(guān)注，企業(yè)可以借鑒該《框架》向更完善的風險管理進程推進；企業(yè)風險管理也是一個立體框架模式的組織體系，在這個組織架構(gòu)中，合規(guī)、風險、內(nèi)控和內(nèi)部審計成為一個不可分割的整體，共同筑起企業(yè)風險管理的三道防線。

(二)企業(yè)風險管理框架企業(yè)風險管理框架可以解剖為一個基礎(chǔ)，三道防線(如圖1)。

(1)一個基礎(chǔ)：公司治理，公司治理是涉及公司高層人員，它隱含著～家企業(yè)如何得到有效的管理，從而使其發(fā)揮最佳表現(xiàn)。公司治理是涉及責任的問題，它關(guān)系到董事會及管理層如何向股東負責，而使股東能從公司的表現(xiàn)中得益，公司治理是風險管理的一個必要的組成部份，因為它提供了對風險由上而下的監(jiān)控與管理。如何構(gòu)建一個有利風險管理的公司治理結(jié)構(gòu)?就是需要建立一個健全的、以董事會為首的公司治理結(jié)構(gòu)；訂立企業(yè)的目標和戰(zhàn)略，包括企業(yè)的風險政策和極限；貫徹一套重視風險管理的企業(yè)文化和價值觀。(2)第一道防線：業(yè)務(wù)單位防線。企業(yè)業(yè)務(wù)單位管理與控制著企業(yè)大部分的資產(chǎn)和業(yè)務(wù)，它們在日常工作中面對各類的風險，是企業(yè)的前線；企業(yè)必須把風險管理的手段和內(nèi)控程序融入到業(yè)務(wù)單位的工作與流程中，才能建立好防范風險的第一道防線。如何建立第一道防線?了解企業(yè)戰(zhàn)略目標及可能影響企業(yè)達標的風險；識別風險類別；對相關(guān)風險作出評估；決定轉(zhuǎn)移、避免或減低風險的策略；設(shè)計及實施風險策略的相關(guān)內(nèi)部控制。企業(yè)建立的第一道防線，就是要各業(yè)務(wù)單位就其戰(zhàn)略性風險、信貸風險、市場風場和操作風險等等，系統(tǒng)化地進行分析、確認、度量、管理和監(jiān)控；企業(yè)需要把評估風險與內(nèi)控措施的結(jié)果進行記錄和存檔，對內(nèi)控措施的有效性不斷進行測試和更新。(3)第二道防線：風險管理部門防線。第二道防線是在業(yè)務(wù)單位之上建立一個更高層次的風險管理功能，它的組成可能包括風險管理部門、信貸審批委員會、投資審批委員會；風險管理部的責任是領(lǐng)導(dǎo)和協(xié)調(diào)公司內(nèi)各單位在管理風險方面的工作，它的職責包括：編制規(guī)章制度，對各業(yè)務(wù)單位的風險進行組合管理，度量風險和評估風險的界限，建立風險信息系統(tǒng)和預(yù)警系統(tǒng)、確定關(guān)鍵風險指標，負責風險信息披露、溝通、協(xié)調(diào)員工培訓(xùn)和學(xué)習(xí)的工作，按風險與回報的分析，為各業(yè)務(wù)單位分配經(jīng)濟資本金。(4)第三道防線：內(nèi)審審計防線。第三道防線涉及一個獨立于業(yè)務(wù)單位的部門，監(jiān)控企業(yè)內(nèi)控和其他企業(yè)關(guān)心的問題。內(nèi)部審計在企業(yè)風險管理中的職責：一是要對整個系統(tǒng)的管治、風險管理和控制體系進行獨立評估，以確保的董事會及管理層所制定的準則、流程及內(nèi)控得到遵循；二是要擔當董事會及高級管理層的顧問角色，提高風險管理系統(tǒng)的運作能力。

(三)企業(yè)風險控制與制度基礎(chǔ)及內(nèi)部控制三種內(nèi)審模式融合新審計模式的產(chǎn)生，并不意味著原有審計模式的淘汰和消亡，而是意味著我們在實施審計時有了更多的審計模式可供選擇，尤其是把防范風險的意識貫穿于內(nèi)審全過程的主導(dǎo)思想，應(yīng)是十分值得提倡的。如企業(yè)責(離)任審計、經(jīng)營指標真實性審計等主要是采用制度導(dǎo)向內(nèi)審模式，而一些專項審計則是在制度基礎(chǔ)與內(nèi)部控制內(nèi)審模式基礎(chǔ)上融合了風險控制內(nèi)審方法。

(四)企業(yè)內(nèi)部審計方法應(yīng)用與審計環(huán)境相適應(yīng)風險控制審計是一種較為科學(xué)的審計新理念，但任何方法都有其獨特指向，其運用也均有其必備條件，必須遵照實事求是的原則，視不同的具體對象及審計環(huán)境選用不同的審計方法，依不同的審計層次及審計目標選用不同的審計方法。

(五)企業(yè)內(nèi)部審計技術(shù)與審計人員素質(zhì)相配套從當前我區(qū)內(nèi)審人員的素質(zhì)來看，內(nèi)審人員的知識水平及業(yè)務(wù)能力存在參差不齊現(xiàn)象，內(nèi)審人員的素質(zhì)、閱歷、判斷力、偏好等將直接影響審計方法的運用，在企業(yè)運用風險控制審計技術(shù)與方法時，不僅要求內(nèi)審人員掌握工程、會計、中間業(yè)務(wù)等業(yè)務(wù)知識，而且要求內(nèi)審人員孰悉管理知識、精通企業(yè)業(yè)務(wù)、具備內(nèi)審人員獨特的敏銳性和判斷力。因此，在企業(yè)實施風險控制內(nèi)審應(yīng)遵循循序漸進原則，審計技術(shù)方法選擇要與內(nèi)審人員素質(zhì)相適應(yīng)，才能保障我們內(nèi)部審計質(zhì)量。

風險控制內(nèi)審是將企業(yè)置于一個大的經(jīng)濟環(huán)境中，運用系統(tǒng)理論和戰(zhàn)略管理論，采取立體觀察的方式來控制企業(yè)各種風險因素，從企業(yè)所處的行業(yè)狀況，監(jiān)管環(huán)境，經(jīng)營目標，戰(zhàn)略規(guī)劃、經(jīng)營方式、業(yè)務(wù)流程等內(nèi)外部各個方面來分析評估企業(yè)風險水平，把企業(yè)風險水平植入到企業(yè)的風險管理中，并貫穿于內(nèi)審工作的全過程，從而把重點放在控制企業(yè)風險水平上。然而，風險控制內(nèi)審并不排除制度基礎(chǔ)審計或者賬項基礎(chǔ)審計的融合，但是，風險控制內(nèi)審關(guān)注的是企業(yè)戰(zhàn)略風險并始終為企業(yè)所采用的風險管理框架提供合理有效保證，風險控制內(nèi)審可以讓內(nèi)審和風險管理框架直接聯(lián)系起來，實現(xiàn)杠桿協(xié)同效應(yīng)。具體表現(xiàn)在企業(yè)內(nèi)審要在企業(yè)風險管理的風險環(huán)境分析、風險事件識別、風險評估、風險反應(yīng)和控制、風險信息溝通和管理系統(tǒng)監(jiān)控環(huán)節(jié)中發(fā)揮重要作用。因此，風險控制內(nèi)審模式是企業(yè)內(nèi)審發(fā)展的必然趨勢，代表了企業(yè)內(nèi)審未來的發(fā)展方向，開創(chuàng)了中國內(nèi)審的新紀元。

[本文系廣西教育廳2008年科研項目《風險導(dǎo)向內(nèi)部審計在我區(qū)的應(yīng)用研究》課題(編號：200802MSl83)階段性研究成果]

參考文獻：