審計風險防范論文精品(七篇)

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇審計風險防范論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

一、問題的提出

通常而言，在非理想社會運行狀態下，契約是非完全合約。我們也可以合理推論，會計師事務所與其員工(包括合伙人)簽訂的勞動用工契約也是非完全合約。在合約的實際簽訂中，會計師事務所應用的契約多是要式合約，即契約往往是某地區勞動局按照國家法律法規的規定而制定的具有相對比較固定條款和格式的書面合約。顯而易見，這種契約缺少會計師事務所所固有的勞動用工特征，在一定程度上將帶來不可估量的審計風險，使得審計成本無限放大。雖然我們可以通過外生的約束力量來控制，比如通過審計人員對自己出具的審計報告簽字從而負相應的法律責任，但當其無需簽字時，這時候對審計人員的約束更多的只能依賴職業道德因素。特別是在審計實務中，審計外勤負責人不簽字的現象是比較普遍的。本文擬就此進行分析并提出解決方案。

為了更好地分析問題，本文按照會計師事務所運行的三級審核制架構提出研究的基本假設條件：

(1)所有合伙人都擁有該會計師事務所，而且都是該會計師事務所的實際經營者；

(2)合伙人和主管某審計項目的負責人(部門經理)都在審計報告中簽字；

(3)審計外勤負責人不在他所審計的項目報告中簽字；

(4)審計外勤負責人知悉其所審計項目中的所有重大事項；

(5)審計外勤負責人的助理人員不可能隱瞞審計重大事項。

二、會計師事務所中非完全合約產生的原因

假設我們可以推知，由于會計師事務所勞動用工合約的不完全性，會計師事務所一般存在兩層風險比較大的委托關系合約。

第一層委托關系合約是A，即會計師事務所與合伙人之間形成的委托關系合約。一方面雖然從理論上說，會計師事務所屬于合伙人，但需要強調的是會計師事務所屬于全體合伙人而不屬于單個的合伙人。然而單個合伙人又恰恰是某個審計項目的經營者。這就存在由于合伙人之間的風險偏好不同導致合伙人之間的不同行為。例如某審計事項實際上風險是比較大的，但該合伙人卻認為該事項風險可以接受，并私自決斷而不提交給合伙人委員會或類似機構討論，最后該事項卻引發了整個會計師事務所的信譽危機。于是其他非當事合伙人卻不得不被動地搭這趟苦澀的便車。

從另一方面分析，單個合伙人作為一個理性經濟人，對于其所擁有的會計師事務所應盡心盡力，盡量避免風險。但從經濟學角度上說，合伙人對于自我的行為，作為風險偏好者，只是用效用最大化來替代利潤最大化，這種替代收益與費用由他享有和承擔。但由于事務所特殊的組織框架，其他合伙人在無形中承擔了部分溢出風險。因為，畢竟公司章程或合伙人協議等合約不可能是完美無缺的，而且我國很多會計師事務所都是改制而來，起始就可能存在著事業單位遺留下來的后遺癥，很多合約簽定是利益妥協的產物，這也積聚了非完全合約所致使的審計風險。

第二層委托關系合約是B、C、D，即委托方--會計師事務所、合伙人、部門經理與方--審計外勤負責人之間形成的委托關系合約。由于審計外勤負責人直接面對客戶，因而對客戶的經營成果和各種信息的擁有，相對于會計師事務所其他人而言，是最完備的。如果審計外勤負責人能力素質低下，或者存在故意敗德行為等，甚至與被審計單位管理當局合謀隱瞞重要審計事項而出具虛假審計報告，而此時委托方由于信息不對稱完全不知曉，那么會計師事務所的審計質量就存在巨大的控制真空，相應的潛在審計風險就凸顯出來。特別是對審計外勤負責人缺乏強有力的剛性契約約束時，他就可能存在逃避責任的機會主義行為，甚至把審計風險成本全部轉嫁到會計師事務所和合伙人身上。

可見，會計師事務所非完全合約所隱藏的風險是很大的。其中引起會計師事務所合約的非完全性主要原因如下：

1.人類的有限理性。由于人類在神經生理和語言方面的局限性以及外在事物的不確定性、復雜性，雖然從事經濟活動中的人在愿望上是追求理性的，但會計師事務所對員工所從事的審計活動的故意消極性不可能全面預見。而且，審計風險表現形式多種多樣，即使再高明的管理者也不可能在合約中對員工的審計活動進行完善的細化。自然這就肇始了合約的不完全性。當然，這除了人的思維和行為是有限理性外，還與交易成本息息相關。

2.交易成本的存在。在會計師事務所的員工合約中描述大量外在的隨機狀況要耗費大量成本。如果把這種情況細化，描述員工在審計時所應遵守的行為標準等特性，或者合約當事人各方為此必然采取行動，都需要花費成本。而且當勞動合約的限制條款太多，可能阻止某些業務精專、品德高尚的人才進入注冊會計師行業，就會產生劣幣驅逐良幣的現象。這就可能與初衷背道而馳，甚至阻礙會計師事務所的良性發展。正因為博弈雙方完善合約可能要耗費大量交易成本。會計師事務所及其員工只好作次優選擇，省略與主要情況相關條款，使之處于模糊狀態。這種不完備的合約卻從一開始就累積了后發審計風險。

3.非對稱信息。根據非對稱信息理論，市場上買賣雙方各自掌握的信息是有差異的，通常供方是有較完全的信息，需方有不完全的信息。在這種情況下，有信息優勢的一方就希望通過輸出對自己有利的信息使自己獲利，從而存在機會主義行為。這在會計師事務所的合約中其實是內生的非對稱信息，即會計師事務所在合約簽訂后無法完備地觀察和監督到審計人員的所有行為。也就是在合約中，無法推測審計人員在合約后的行為而導致信息不對稱。另外，在合伙人之間，正是因為信息的非對稱而使合伙人對風險的判斷產生差異，直接導致了會計師事務所第一層委托關系的形成。

4.違約成本低廉。由于審計外勤負責人沒有簽字承擔責任的約束，他就有可能存在逆向選擇和道德風險，甚至與管理當局合謀增大會計師事務所的風險，但他可能獲得大量造假收益。如果事件敗露，在目前的市場和文化環境中，受到的處罰可能僅是被會計師事務所解雇?？梢姡霞s的不完全性造成違約成本非常低廉，甚至會誘致某些審計人員鋌而走險。

5.對合約認識的局限性。絕大部分會計師事務所簽定的合約只是把勞動局所制作的要式合約直接運用，而對要式合約中的可自由發揮的部分視而不見。例如深圳經濟特區勞動合同書，其中第九條第三款和第十一條就分別有如下文句：“雙方另外約定以下違約責任(空白)、雙方認為需要約定的其他事項或對原對條款需要變更重新約定的事項(空白)?！睍嫀熓聞账緛砜衫眠@兩條彈性款項進一步完善合約，但大部分合約雙方都是一叉了事，沒有發揮合約應有的作用。正是缺乏對合約效力的充分認識，從而在某種意義上先天決定了合約的非完全性。

三、不完全合約所產生的審計風險防范

鑒于在中國目前所存在的經濟發展環境，注冊會計師的執業門檻很低，行業人員良莠不齊，那么通過合約的完善來對審計人員進行約束就顯得很必要了。但在注冊會計師實務中，這方面常常被忽略，會計師事務所通常很少關注用勞動合約去約束審計人員的行為，而過多地依賴職業道德。既然會計師事務所存在兩層風險比較大的委托關系合約，則我們可以根據不完全合約產生的原因提出相應的解決方案。

(一)對于第一層委托關系合約

1.建立審計風險硬性約束機制。會計師事務所各合伙人應統一認識，建立以風險基礎審計模式，對審計風險的評估盡可能數量化。特別是會計師事務所應對審計重要性水平，按不同客戶、不同資產分門別類的確定重要性金額，以便各合伙人在一個相對固定的重要性水平上確定應提交給合伙人委員會討論的重大事項。同時，因為審計重要性受到以往審計經驗、相關法規、客戶的經營規模和業務性質、內部控制與審計風險的評估結果以及會計報表各項目金額性質等多種因素的影響，所以各會計師事務所在制定本所的重要性水平時，應盡量遵循謹慎性原則。對另外一些與金額無關，但性質非常重要的非期望出現的錯報和漏報，如管理層舞弊等，則可以采取列舉法，把可能發生的性質嚴重影響審計報告的事項分類列舉出來，形成條款，并可以在會計師事務所與合伙人之間的合約中提及，以便合伙人不因偶然的疏忽而鑄成大的審計風險后果。通過對審計重要性水平的相對書面化，使合伙人的風險偏好形式化，從而更好地規范審計風險控制，而不因個人偏好因子影響整個會計師事務所的聲譽。

2.會計師事務所實行合伙制。由于有些名義上的合伙事務所實際上工商登記的是有限責任制，使得外部環境約束合伙人的資源減少。真正的合伙制度可以使得合伙人的審計行為更為謹慎，每一個合伙人都有互相監督的意識。因為每個合伙人都要對其他合伙人的業務活動負責，每個合伙人也就有互相監督的內在動機。這種相互監督增強了單個合伙人的風險意識，而承擔無限責任的巨大風險更是使合伙人對審計風險更加敏感。因而，如果要降低第一層委托制度的成本，根本的解決方案是實行中國會計師事務所第二次改制，把有限責任制改為合伙制，以避免由于會計師事務所先天不足造成合約的非完全性而衍生審計風險。

(二)對于第二層委托關系合約

1.完善相關法律。由于目前注冊會計師執業環境不好，因為有必要通過法規對審計外勤負責人的審計行為作出約束，規定審計外勤負責人也需要對其所審計的項目承擔一定的相應責任。如果行為特別惡劣，則可以規定已經有該種行為的人為財務審計職位的市場禁入者，當他被解雇后，其再尋找職位的成本無窮大，從而加大審計外勤負責人的違規成本。

2.完善勞動合約。在會計師事務所與審計人員簽訂審計勞動合約時，雙方可以充分討論，并盡量挖掘合約剛性約束潛力，以便在風險收益中相互求得最佳平衡點。從而做到合約既可以盡可能降低審計風險，又能夠吸引優秀人才加盟會計師事務所。

篇(2)

摘 要 本文首先對審計風險的概念進行了界定,從內部和外部兩個方面分析了我國會計師事務所審計風險產生的原因,并針對這些原因提出了會計師事務所防范審計風險的幾點建議,使會計師事務所在執業過程中加強對審計風險的控制,從而使整個社會的審計業務更加規范和健康地發展。

關鍵詞 審計風險 風險控制 會計師事務所

隨著現代審計業務的日益復雜,審計項目的風險水平越來越高。審計風險的存在必然會使會計師事務所發生風險損失,因此,實施審計風險管理顯得尤為重要。加強審計風險的管理和控制,對我國的會計師事務所提高審計質量,降低審計責任,增強自身的競爭力具有非常重要的意義。

一、審計風險的概念

審計風險是指當財務報表存在重大錯誤或漏報,注冊會計師對其進行審計后發表不恰當審計意見的可能性。對于盈虧自負、風險自擔的會計師事務所來說,既要在激烈的市場競爭中招攬業務,又要防范審計業務可能帶來的審計風險,這就使對審計風險的防范和控制成為會計師事務所的核心問題。

二、會計師事務所審計風險產生的原因

會計師事務所審計風險的產生由很多因素造成,以下從外部原因和內部原因兩個方面來探討我國會計師事務所審計風險產生的原因。

(一)外部原因

1.我國的法制體系不完善

改革開放以來,盡管我國在審計立法上取得了很大的發展并形成了一套審計法制體系,但隨著社會主義市場經濟的發展,審計執法過程中某些方面仍無法可依,另外,一些舊的審計法律法規已經不能適應新形勢的發展而需做出修改。這種情況加大了相關部門審計監督的難度,也加大了會計師事務所的審計風險。

2.被審計單位內部控制制度方面的原因

企業在經營管理時必須遵守成本收益原則,無論做出什么決策都必須考慮成本與收益的關系。企業實行內部控制固然能夠減少會計處理過程中錯弊的發生,降低會計師事務所的審計風險,提高審計效率,但如果內部控制的成本超過了發生錯弊時造成的損失,企業管理人員便會想盡一切辦法減少控制程序,這就使內部控制總會存在一定的缺陷。

(二)內部原因

1.審計收費比較低

目前,我國會計師事務所的審計收費普遍較低。如果會計師事務所的審計收費過低,就會迫使事務所和注冊會計師采用一些方法來降低審計成本,比如簡化審計程序、減少業務人員、縮短審計時間等。這種做法勢必會導致審計質量的降低和審計風險的增大。審計費用太低,會計師事務所就不可能花費大量人力和物力去審計某一項目,審計質量就不可能提高。

2.缺乏獨立性

實際中,事務所的聘用、續聘和費用支付等相關事項多是由企業管理層來決定的。也就是說,公司管理層可按其意愿來選擇事務所,這也決定了注冊會計師在出具審計報告時可能不得不考慮管理層的意見,審計的獨立性得不到保障。會計師事務所喪失了獨立性,到處受到四周環境的限制,當然就不能出具公正客觀的審計意見。

3.審計方法的落后

《中國注冊會計師獨立審計準則》提出了運用風險基礎審計方法的要求。然而在實踐中審計方法仍停留在賬項基礎審計向制度基礎審計過渡的階段,許多審計項目的大小都是由注冊會計師依靠主觀來判斷的。同時,審計中廣泛采用的抽樣技術只限于抽樣審計,并不能發現財務報表中的全部錯誤,這會導致某些隱蔽較好的欺詐極難偵破。由于審計成本的限制,又迫使注冊會計師不得不放棄部分審計程序,會喪失應有的職業謹慎,難以做到全面的審計工作,風險自然由此而生。

三、審計風險的防范對策

為了防范審計風險,會計師事務所可以從以下幾方面來加以控制,盡最大努力拒審計風險于門外。

(一)保持獨立性

注冊會計師執行審計或其他鑒定業務時,應當保持形式上和實質上的獨立。只有保持了獨立性后,會計師事務所和注冊會計師在執行具體的審計業務時才不會受到被審計單位的影響,才能更好地出具客觀公正的審計影響。審計獨立性是會計師事務所和注冊會計師在執業過程中必須遵守的最重要的原則。只有保證了審計獨立性后,才能降低審計風險的產生。

(二)改革審計方法

現時國內的審計方法,主要是采用賬項基礎審計或制度基礎審計的模式,審計的整個過程主要集中在期末余額的細節測試,進行抽樣測試時,審計人員沒有什么可以依據的科學方法,往往只憑自己的經驗任意抽樣而缺乏客觀性。這種習慣性做法,往往會讓有意舞弊者有機可乘。面對這種狀況,會計師事務所要學會轉換思考角度,改變傳統的審計理念和方法,樹立現代的審計意識、技術和方法,降低審計風險。

(三)謹慎選擇客戶

謹慎地選擇客戶也是會計師事務所防范審計風險的一個重要措施。對于那些可能存在重大經營風險或公司管理層舞弊風險等高審計風險的公司,會計師事務所要慎重考慮是否接受其委托。在接受一個新客戶時,應先做一個風險評估報告,當風險較高時就要多加留意,有時寧愿放棄該項審計收入。但也不能因為風險的存在就不敢承接客戶,會計師事務所可以通過客戶風險評估報告,識別風險領域,采取相應的措施加以降低審計風險。

參考文獻:

[1]呂繼英.王竹南會計師事務所審計風險的防范與控制.Economic and Trade Update.2008(6).

篇(3)

論文摘要：現代風險導向審計是對傳統審計方式的突破和創新，是內部審計發展的最新動向。企業推行現代風險導向審計，能將內部審計自身的職能與企業的目標有機地結合起來，充分發揮內部審計在企業風險管理中的重要作用。本文在闡明現代風險導向審計相關概念的基礎上，進一步闡述了企業內部審計開展現代風險導向審計的必要性以及現代風險導向審計的實施。 

 

一、什么是現代風險導向審計 

風險導向審計是在賬項基礎審計、制度基礎審計的基礎上產生的，現代風險導向審計產生的主要標志是：2003年10月，國際審計和鑒證準則委員會(iaasb)對審計風險準則進行了修訂，并執行新的風險導向模型“審計風險=重大錯報風險x檢查風險”，我國在2006年2月對審計準則進行大幅度調整，將傳統審計風險模型修改為新的審計風險模型?，F代風險導向審計是以系統論和戰略管理理論為指導，以降低信息風險為根本目的，以控制審計業務風險為中心，以降低審計風險為根本途徑，以經營風險的分析評估為導向，采用“自上而下，自下而上”審計思路的一種審計方法。 

二、對現代風險導向審計本質的認識 

(一)現代風險導向審計是一種新的審計基本方法。傳統審計風險模型的審計方法實質上仍然是制度基礎審計方法的延伸，它從分析客戶會計報表的固有風險和內部控制風險著手，根據內部控制測試的結果決定實質性測試的性質、時間和范圍。而現代風險導向審計則是從企業的戰略分析入手，通過“戰略分析——環節分析——會計報表剩余風險分析”的基本思路，決定實質性審計程序的性質、時間和范圍，并建立了企業會計報表風險與企業戰略風險之間的邏輯聯系，使這一方法更科學、更有效。 

(二)現代風險導向審計摒棄了傳統審計簡化主義的認知模式，代之以復雜系統的認知模式，并引入戰略管理分析工具?，F代風險導向審計的思考方法是系統理論所指導的復雜系統認知模式。審計要有效地把握會計報表的錯報風險，就必須從企業的戰略管理活動著手分析，對戰略管理活動進行分析，必須將企業置于廣泛的經濟網絡中進行系統分析。從方法論上講，現代風險導向審計要比傳統的制度基礎審計站得更高，看得更遠，對企業了解得更透。 

(三)現代風險導向審計運用“自上而下”和“自下而上”相結合的審計思路。它運用“自上而下”，“自下而上”相結合的手段，對會計報表錯報風險做出合理的專業判斷，要從企業的戰略管理分析入手，通過經營風險導向和嚴密的邏輯推理，一步一步地推導和落實審計的范圍和重點，確定相關的審計目標和審計程序。通過實施審計程序及取證的結果，并結合重要性的判斷，歸納和判斷整個會計報表的風險并形成最終的審計意見。 

三、現代風險導向內部審計的理解 

內部審計下的現代風險導向審計目前尚無統一的定義。第一種觀點認為，把社會審計中的現代風險導向審計運用于內部審計就是現代風險導向內部審計，即內部審計人員立足于對審計風險的分析和評價，并以此為出發點，制定審計計劃，實施審計行為的一種審計方法。第二種觀點認為，現代風險導向內部審計是指內審人員在審計過程自始至終都關注企業風險(不是審計風險)，依據風險選擇項目，識別風險，測試管理者降低風險的方法，并以企業風險為中心做審計報告，協助企業管理風險。 

而從第二種觀點的描述上看，所謂的“風險”不是單純意義的“審計風險”，在更大意義上是指企業在生產經營過程中面臨的各種企業風險。由此可見，此時的內部審計已經成為結合內部審計和風險管理的一種有效工具，審計計劃與公司最高層的風險戰略連接在一起，內部審計人員通過對當前的風險分析確保其審計計劃與經營計劃相一致，將風險管理原則貫穿于審計的全過程，內部審計重點不再是測試控制，而是確認風險及測試管理風險。用這種觀點來界定風險導向內部審計，會與內部審計具體準則對審計風險的定義相背。 

筆者認為，在現有準則下，以第一種觀點作為現代風險導向內部審計比較恰當，而第二種觀點與其說是現代風險導向內部審計，還不如說是企業風險管理中的內部審計作用。 

四、現代風險導向審計運用于內部審計的必要性及其實施 

我們姑且不去定論現代風險導向內部審計的定義，但是在內部審計中實施現代風險導向審計既是基于降低審計風險，又是為降低企業經營風險，進行風險管理的一種有效工具。 

(一)內部審計實施現代風險導向審計的必要性 

隨著內部審計的監督職能向服務管理職能的轉變，企業需要內部審計對整體的風險管理、內部控制及治理程序提供有效的審計監督和建設性評價，以幫助企業控制風險，實現目標。因此，內部審計不應停留在傳統審計模式上，而應在此基礎上進一步開展現代風險導向審計，將關口前移，充分發揮預警性作用。綜上所述，在企業內部審計中實施現代風險導向審計有著非常重要的現實意義。 

(二)現代風險導向審計在內部審計中的運用 

1.準確確定審計的重點和范圍。運用現代風險導向審計理論，從分析風險入手，準確確定審計的重點和范圍，在審計準備階段，就加大防范力度，即通過對被審計單位基本情況的了解和分析性測試的結果，充分關注被審單位的特殊風險，確定總體審計風險概率和評估的重大錯報風險概率，將審計風險減少到最小程度，確保內部審計能夠發現業務經營活動中的重大違法違規問題及存在的風險隱患，達到實現防范風險的目的。 

2.以《內部審計實務標準》為指導，執行現代風險導向審計的程序，使風險管理與內部審計程序之間協調一致，產生協同增效的作用。一是在制定審計計劃時，針對可能影響風險評估的基礎，制定審計計劃，確定審計項目。二是編制審計方案時，在評估風險優先次序的基礎上安排審計工作。三是確定審計范圍時，要考慮并反映整個企業的戰略性計劃目標，每年對審計范圍進行一次評估，以反映最新戰略和方針。四是在審計實施過程中，通過評價內部控制制度，查找其中的疏漏和薄弱環節。五是在編制審計報告時，應對風險管理狀況進行評價，指出風險管理中存在的漏洞和不足，提出加強管理的建議。六是以風險大小作為確定追蹤審計范圍的重要因素。 

3.實施控制測試和實質性測試。現代風險導向審計強調從宏觀上對風險進行評估，但并不是說可以忽視微觀層面的操作風險。因此，應繼續實施內部控制測試，并分析重點，實施實質性測試。在控制測試和實質性測試兩階段中，審計資源的合理配置是關鍵，也是風險導向審計理論的出發點與歸宿。因此，應結合重大風險各因素的綜合分析與判斷，將審計資源向重點風險領域傾斜，以實現“全面審計、突出重點”，在提高審計效率與效果的同時，強化企業風險管理。 

4.實現審計手段電子化，提高審計工作質量。一要運用計算機技術，進行內部控制風險的評估，確定標準內部控制的模型，并經常調整、完善，以提高內部控制風險的評估效率及其準確性。二要運用計算機軟件進行分析性測試，提高分析的速度和準確性，擴展分析的范圍。三要運用計算機進行統計抽樣，避免人工抽樣檢查的不足，有效降低審計風險。四要構建完整的審計信息系統，推進風險導向審計與非現場審計有機結合，提高內部審計的質量和效率。 

(三)內部審計實施現代風險導向審計的措施 

現代風險導向審計模式是為適應企業經營高風險的特點而產生的，同時也是為量化審計風險、減輕審計責任、提高審計效率和質量的一種審計方法。為加強現代風險導向審計在內部審計中的運用，筆者認為要從以下幾方面努力： 

1.建立內部控制評價的新模式。在現代風險導向審計中，內部審計更加關心的問題主要是：控制風險的目標是什么，控制要解決的問題，這種控制是否先進有效，控制風險有多大，是否影響管理當局的決策等。隨著市場競爭的加劇，新的審計環境要求審計人員應通過與企業管理層進行有效溝通的方式，采用新的評價模式，為企業提供更有價值的服務。 

2.加強內部審計工作的實效性。在審計技術方面，風險分析和計算機應用甚少，由此降低了審計工作效率。因此，內部審計在轉變目標定位，樹立管理理念的同時，更要重視審計工作的實效性，以確保審計建議的落實。 

3.提高內部審計人員的素質。對企業而言，需要界定風險范圍、理順風險責任、建立風險模型和風險防范機制，這就是要靠實施現代風險導向審計走出一條迎接風險、化解風險之路。因此要求內審人員都應懂得風險語言，加強風險意識和風險管理技能，提高內審人員對風險的敏感度，以風險為導向做好內部審計工作。 

五、結束語 

企業內部審計開展現代風險導向審計是內部審計的必然發展趨勢，既是職業自身發展的需要，也是當前形勢發展的需要。企業內部審計堅持開展對企業風險管理過程的充分性和有效性的檢查、評價和報告，促進企業改進管理、實現目標和增加價值，無疑是企業內部的一種最好資源。在實踐中，尚無完整的模式可參照執行，即使有關現代風險導向內部審計的準則出臺后，也需要在實踐中不斷完善。因此，內部審計師在現階段，應首先接受現代風險導向審計的理念，在執行過程中，將風險評估貫穿審計的全過程，不斷探索現代風險導向審計的方法，將審計風險降低到最低可接受水平。 

 

參考文獻： 

[1]馬文成,王有良.基于風險導向審計的內部審計創新研究[j].會計師,2009(06). 

[2]聶海斌.風險導向審計在應用中的問題及完善[j].當代經濟,2009(16). 

[3]汪壽成.現代風險導向審計[m].大連出版社,2009. 

[4]汪文文.論新形勢下的風險導向審計[j].經濟研究導刊,2009(04). 

篇(4)

［作者簡介］王會金（1962― ），男，浙江東陽人，南京審計學院副校長，教授，博士，從事信息系統審計研究。

［摘 要］當前，我國急需一套完善的中觀信息系統審計風險控制體系。這是因為我國的中觀經濟主體在控制信息系統審計風險時需要一套成熟的管理流程，且國家有關部門在制定信息系統審計風險防范標準方面也需要完善的控制體系作為支撐。在闡述COBIT與數據挖掘基本理論的基礎上，借鑒COBIT框架，構建中觀信息系統審計風險的明細控制框架，利用數據挖掘技術有針對性地探索每一個明細標準的數據挖掘路徑，創建挖掘流程，建立適用于我國中觀經濟特色的信息系統審計風險控制體系。

［關鍵詞］中觀信息系統審計；COBIT框架；數據挖掘；風險控制；中觀審計

［中圖分類號］F239.4 ［文獻標識碼］A ［文章編號］10044833(2012)01001608

中觀信息系統審計是中觀審計的重要組成部分，它從屬于中觀審計與信息系統審計的交叉領域。中觀信息系統審計是指IT審計師依據特定的規范，運用科學系統的程序方法，對中觀經濟主體信息系統的運行規程與應用政策所實施的一種監督活動，旨在增強中觀經濟主體特定信息網絡的有效性、安全性、機密性與一致性[1]。與微觀信息系統相比，中觀信息系統功能更為復雜，且區域內紛亂的個體間存在契約關系。中觀信息系統的復雜性主要體現在跨越單個信息系統邊界，參與者之間在信息技術基礎設施水平、信息化程度和能力上存在差異，參與者遵循一定的契約規則，依賴通信網絡支持，對安全性的要求程度很高等方面。中觀信息系統審計風險是指IT審計師在對中觀信息系統進行審計的過程中,由于受到某些不確定性因素的影響,而使審計結論與經濟事實不符，從而受到相關關系人指控或媒體披露并遭受經濟損失以及聲譽損失的可能性。中觀信息系統審計風險控制的研究成果能為我國大型企業集團、特殊的經濟聯合體等中觀經濟主體保持信息系統安全提供強有力的理論支持與實踐指導。

一、 相關理論概述與回顧

（一） COBIT

信息及相關技術的控制目標（簡稱COBIT）由美國信息系統審計與控制協會（簡稱ISACA）頒布，是最先進、最權威的安全與信息技術管理和控制的規范體系。COBIT將IT過程、IT資源及信息與企業的策略及目標聯系于一體，形成一個三維的體系框架。COBIT框架主要由執行工具集、管理指南、控制目標和審計指南四個部分組成，它主要是為管理層提供信息技術的應用構架。COBIT對信息及相關資源進行規劃與處理，從信息技術的規劃與組織、采集與實施、交付與支持以及監控等四個方面確定了34個信息技術處理過程。

ISACA自1976年COBIT1.0版以來，陸續頒布了很多版本，最近ISACA即將COBIT5.0版。ISACA對COBIT理論的研究已趨于成熟，其思路逐步由IT審計師的審計工具轉向IT內部控制框架，再轉向從高管層角度來思考IT治理。大多數國際組織在采納COSO框架時，都同時使用COBIT控制標準。升陽電腦公司等大型國際組織成功應用COBIT優化IT投資。2005年，歐盟也選擇將COBIT作為其審計準則。國內學者對COBIT理論的研究則以借鑒為主，如陽杰、張文秀等學者解讀了COBIT基本理論及其評價與應用方法[23]；謝羽霄、黃溶冰等學者嘗試將COBIT理論應用于銀行、會計、電信等不同的信息系統領域[45]。我國信息系統審計的研究目前正處于起步階段，因而將COBIT理論應用于信息系統的研究也不夠深入。王會金、劉國城研究了COBIT理論在中觀信息系統重大錯報風險評估中的運用，金文、張金城研究了信息系統控制與審計的模型[1，6]。

（二） 數據挖掘

數據挖掘技術出現于20世紀80年代，該技術引出了數據庫的知識發現理論，因此，數據挖掘又被稱為“基于數據庫的知識發現(KDD)”。1995年，在加拿大蒙特利爾召開的首屆KDD & Date Mining 國際學術會議上，學者們首次正式提出數據挖掘理論[7]。當前，數據挖掘的定義有很多，但較為公認的一種表述是：“從大型數據庫中的數據中提取人們感興趣的知識。這些知識是隱含的、事先未知的潛在有用信息，提取的知識表現為概念、規則、規律、模式等形式。數據挖掘所要處理的問題就是在龐大的數據庫中尋找有價值的隱藏事件，加以分析，并將有意義的信息歸納成結構模式，供有關部門在進行決策時參考?！盵7]1995年至2010年，KDD國際會議已經舉辦16次；1997年至2010年，亞太PAKDD會議已經舉辦14次，眾多會議對數據挖掘的探討主要圍繞理論、技術與應用三個方面展開。

目前國內外學者對數據挖掘的理論研究已趨于成熟。亞太PAKDD會議主辦方出版的論文集顯示，2001年至2007年僅7年時間共有32個國家與地區的593篇會議論文被論文集收錄。我國學者在數據挖掘理論的研究中取得了豐碩的成果，具體表現在兩個方面：一是挖掘算法的縱深研究。李也白、唐輝探索了頻繁模式挖掘進展，鄧勇、王汝傳研究了基于網絡服務的分布式數據挖掘，肖偉平、何宏研究了基于遺傳算法的數據挖掘方法[810]。二是數據挖掘的應用研究。我國學者對于數據挖掘的應用研究也積累了豐富的成果，并嘗試將數據挖掘技術應用于醫學、通訊、電力、圖書館、電子商務等諸多領域。2008年以來，僅在中國知網查到的關于數據挖掘應用研究的核心期刊論文就多達476篇。近年來，國際軟件公司也紛紛開發數據挖掘工具，如SPSS Clementine等。同時，我國也開發出數據挖掘軟件，如上海復旦德門公司開發的Dminer,東北大學軟件中心開發的Open Miner等。2000年以來，我國學者將數據挖掘應用于審計的研究成果很多，但將數據挖掘應用于信息系統審計的研究成果不多，且主要集中于安全審計領域具體數據挖掘技術的應用研究。

二、 中觀信息系統審計風險控制體系的構想

本文將中觀信息系統審計風險控制體系（圖1）劃分為以下三個層次。

（一） 第一層次：設計中觀信息系統審計風險的控制框架與明細控制標準

中觀信息系統審計的對象包括信息安全、數據中心運營、技術支持服務、災難恢復與業務持續、績效與容量、基礎設施、硬件管理、軟件管理、數據庫管理、系統開發、變革管理、問題管理、網絡管理、中觀系統通信協議與契約規則等共計14個主要方面[11]。中觀信息系統審計風險控制體系的第一層次是根據COBIT三維控制框架設計的。這一層次需要構架兩項內容：（1）中觀信息系統審計風險的控制框架。該控制框架需要完全融合COBIT理論的精髓，并需要考慮COBIT理論的每一原則、標準、解釋及說明。該控制框架由14項風險防范因子組成，這14個因子必須與中觀信息系統審計的14個具體對象相對應?？蚣苤械拿恳粋€因子也應該形成與自身相配套的風險控制子系統，且子系統應該包含控制的要素、結構、種類、目標、遵循的原則、執行概要等內容。（2）中觀信息系統審計風險的明細控制標準?？刂瓶蚣苤械?4項風險防范因子需要具備與自身相對應的審計風險明細控制規則，IT審計師只有具備相應的明細規范，才能在中觀信息系統審計實施過程中擁有可供參考的審計標準。每個因子的風險控制標準的設計需要以COBIT三維控制框架為平臺，以4個域、34個高層控制目標、318個明細控制目標為準繩。

（二） 第二層次：確定風險控制框架下的具體挖掘流程以及風險控制的原型系統

第一層次構建出了中觀信息系統審計風險控制的明細標準Xi（i∈1n）。在第一層次的基礎上，第二層次需要借助于數據挖掘技術，完成兩個方面的工作。一是針對Xi，設計適用于Xi自身特性的數據挖掘流程。這一過程的完成需要數據資料庫的支持，因而，中觀經濟主體在研討Xi明細控制標準下的數據挖掘流程時，必須以多年積累的信息系統控制與審計的經歷為平臺，建立適用于Xi的主題數據庫。針對明細標準Xi的內在要求以及主題數據庫的特點，我們就可以選擇數據概化、統計分析、聚類分析等眾多數據挖掘方法中的一種或若干種，合理選取特征字段，分層次、多角度地進行明細標準Xi下的數據挖掘實驗，總結挖掘規律，梳理挖掘流程。二是將適用于Xi的n個數據挖掘流程體系完善與融合，開發針對本行業的中觀信息系統審計風險控制的原型系統。原型系統是指系統生命期開始階段建立的，可運行的最小化系統模型。此過程通過對n個有關Xi的數據挖掘流程的融合，形成體系模型，并配以詳細的說明與解釋。對該模型要反復驗證，多方面關注IT審計師對該原型系統的實際需求，盡可能與IT審計師一道對該原型系統達成一致理解。

（三） 第三層次：整合前兩個步驟，構建中觀信息系統風險控制體系

第三層次是對第一層次與第二層次的整合。第三層次所形成的中觀信息系統風險控制體系包括四部分內容：（1）中觀信息系統審計風險控制框架；（2）中觀信息系統審計風險控制參照標準；（3）中觀信息系統審計風險控制明細標準所對應的數據挖掘流程集；（4）目標行業的中觀信息系統審計風險控制的原型系統。在此過程中，對前三部分內容，需要歸納、驗證、總結，并形成具有普遍性的中觀審計風險控制的書面成果；對第四部分內容，需要在對原型系統進行反復調試的基礎上將其開發成軟件，以形成適用于目標行業不同組織單位的“軟性”成果。在設計中觀信息系統風險控制體系的最后階段，需要遵循控制體系的前三部分內容與第四部分內容相互一致、相互補充的原則。相互一致表現在控制體系中的框架、明細控制標準、相關控制流程與原型系統中的設計規劃、屬項特征、挖掘原則相協調；相互補充表現在控制體系中的框架、明細控制標準及相關控制流程是IT審計師在中觀信息系統審計中所參照的一般理念，而原型系統可為IT審計師提供審計結論測試、理念指導測試以及驗證結論。 三、 COBIT框架對中觀信息系統審計風險控制的貢獻

（一） COBIT框架與中觀信息系統審計風險控制的契合分析

現代審計風險由重大錯報風險與檢查風險兩個方面組成，與傳統審計風險相比，現代審計風險拓展了風險評估的范圍，要求考慮審計客體所處的行業風險。但從微觀層面看，傳統審計風險與現代審計風險的主要內容都包括固有風險、控制風險與檢查風險。COBIT框架與中觀信息系統審計風險控制的契合面就是中觀信息系統的固有風險與控制風險。中觀信息系統的固有風險是指“假定不存在內部控制情況下，中觀信息系統存在嚴重錯誤或不法行為的可能性”；中觀信息系統的控制風險是指“內部控制體系未能及時預防某些錯誤或不法行為，以致使中觀信息系統依然存在嚴重錯誤或不法行為的可能性”；中觀信息系統的檢查風險是指“因IT審計師使用不恰當的審計程序，未能發現已經存在重大錯誤的可能性”。IT審計師若想控制中觀信息系統的審計風險，必須從三個方面著手：（1）對不存在內部控制的方面，能夠辨別和合理評價被審系統的固有風險；（2）對存在內部控制的方面，能夠確認內部控制制度的科學性、有效性、健全性，合理評價控制風險；（3）IT審計師在中觀信息系統審計過程中，能夠更大程度地挖掘出被審系統“已經存在”的重大錯誤。我國信息系統審計的理論研究起步較晚，IT審計師在分辨被審系統固有風險，確認控制風險，將檢查風險降低至可接受水平三個方面缺乏成熟的標準加以規范，因此我國的中觀信息系統審計還急需一套完備的流程與指南 當前我國有四項信息系統審計標準，具體為《審計機關計算機輔助審計辦法》、《獨立審計具體準則第20號――計算機信息系統環境下的審計》、《關于利用計算機信息系統開展審計工作有關問題的通知》（88號文件）以及《內部審計具體準則第28號――信息系統審計》。。

圖2 中觀信息系統審計風險的控制框架與控制標準的設計思路

COBIT框架能夠滿足IT審計師的中觀信息系統審計需求，其三維控制體系，4個控制域、34個高層控制目標、318個明細控制目標為IT審計師辨別固有風險，分析控制風險，降低檢查風險提供了絕佳的參照樣板與實施指南。COBIT控制框架的管理理念、一般原則完全可以與中觀信息系統審計風險的控制實現完美契合。通過對COBIT框架與中觀信息系統審計的分析，筆者認為COBIT框架對中觀信息系統審計風險控制的貢獻表現在三個方面（見圖2）：（1）由COBIT的管理指南，虛擬中觀信息系統的管理指南，進而評價中觀主體對自身信息系統的管理程度。COBIT的管理指南由四部分組成，其中成熟度模型用來確定每一控制階段是否符合行業與國際標準，關鍵成功因素用來確定IT程序中最需要控制的活動，關鍵目標指標用來定義IT控制的目標績效水準，關鍵績效指標用來測量IT控制程序是否達到目標。依據COBIT的管理指南，IT審計師可以探尋被審特定系統的行業與國際標準、IT控制活動的重要性層次、IT控制活動的目標績效水平以及評價IT控制活動成效的指標，科學地擬定被審系統的管理指南。（2）由COBIT的控制目標，構建中觀信息系統的控制目標體系，進而評價中觀信息系統的固有風險與檢查風險。COBIT的控制目標包括高層域控制、中層過程控制、下層任務活動控制三個方面，其中，高層域控制由規劃與組織、獲取與實施、交付與支持以及監控四部分組成，中層控制過程由“定義IT戰略規劃”在內的34個高層控制目標組成，下層任務活動控制由318個明細控制目標組成。COBIT的控制目標融合了“IT標準”、“IT資源”以及被審系統的“商業目標”，為IT審計師實施中觀信息系統審計風險控制提供了層級控制體系與明細控制目標。IT審計師可以直接套用COBIT的控制層級與目標擬定中觀信息系統管理與控制的層級控制體系以及明細控制目標，然后再進一步以所擬定的明細控制目標作為參照樣板，合理評判中觀信息系統的固有風險與控制風險。中觀信息系統中“域”、“高層”、“明細”控制目標的三層結構加強了IT審計師審計風險控制的可操作性。（3）由COBIT的審計指南，設計IT審計師操作指南，進而降低中觀信息系統審計的檢查風險。COBIT的審計指南由基本準則、具體準則、執業指南三個部分組成?；緶蕜t規定了信息系統審計行為和審計報告必須達到的基本要求，為IT審計師制定一般審計規范、具體審計計劃提供基本依據。具體準則對如何遵循IT審計的基本標準，提供詳細的規定、具體說明和解釋，為IT審計師如何把握、評價中觀經濟主體對自身系統的控制情況提供指導。執業指南是根據基本標準與具體準則制定的，是系統審計的操作規程和方法，為IT審計師提供了審計流程與操作指南。

（二） 中觀信息系統審計風險控制體系建設舉例――構建“設備管理”控制目標體系

前文所述，中觀信息系統審計的對象包括“信息安全”等14項內容，本文以“硬件管理”為例，運用COBIT的控制目標，構建“硬件管理”的控制目標體系，以利于IT審計師科學評價“硬件管理”存在的固有風險與控制風險。“設備管理”控制目標體系的構建思路參見表1。

注：IT標準對IT過程的影響中P表示直接且主要的，S表示間接且次要的；IT過程所涉及的IT資源中C表示涉及；空白表示關聯微小。

表1以“設備管理”為研究對象，結合COBIT控制框架，并將COBIT框架中與“設備管理”不相關的中層控制過程剔除，最終構建出“設備管理”控制的目標體系。該體系由4個域控制目標、21個中層過程控制目標、149個明細控制目標三個層級構成，各個層級的關系見表1。（1）第一層級是域控制，由“P.設備管理的組織規劃目標”、“A.設備管理的獲取與實施目標”、“DS.設備管理的交付與支持目標”以及“M.設備管理的監控目標”構成；（2）第二層級是中層過程控制，由21個目標構成，其中歸屬于P的目標5個，歸屬于A的目標3個，歸屬于D的目標9個，歸屬于M的目標4個；（3）第三層級是下層任務活動控制，由149個明細目標構成，該明細目標體系是中層過程控制目標（P、A、DS、M）針對“IT標準”與“IT資源”的進一步細分。IT標準是指信息系統在運營過程中所應盡可能實現的規則，具體包括有效性、效率性、機密性等7項；IT資源是指信息系統在運營過程中所要求的基本要素，具體有人員、應用等5項。根據表1中“有效性”、“人員”等“IT標準”與“IT資源”合計的12個屬項，每個具體中層控制目標都會衍生出多個明細控制目標。例如，中層控制目標“DS13.運營管理”基于“IT標準”與“IT資源”的特點具體能夠演繹出6項明細控制目標，此7項可表述為“DS13-01.利用各項設備，充分保證硬件設備業務處理與數據存取的及時、正確與有效”，“DS13-02.充分保證硬件設備運營的經濟性與效率性，在硬件設備投入成本一定的情況下，相對加大硬件設備運營所產生的潛在收益”，“DS13-03.硬件設備保持正常的運營狀態，未經授權，不可以改變硬件的狀態、使用范圍與運營特性，保證設備運營的完整性”，“DS13-04.設備應該在規定條件下和規定時間內完成規定的功能與任務，保證設備的可用性”，“DS13-05.硬件設備運營的參與人員必須具備較高的專業素質，工作中遵循相應的行為規范”以及“DS13-06.工作人員在使用各項硬件設備時，嚴格遵循科學的操作規程，工作中注意對硬件設備的保護，禁止惡意損壞設備”。上述三個層級組成了完整的“硬件設備”控制目標體系，若將中觀信息系統審計的14個對象都建立相應的控制目標體系，并將其融合為一體，則將會形成完備的中觀信息系統審計風險控制的整體目標體系。

四、 數據挖掘技術對中觀信息系統審計風險控制的貢獻

（一） 數據挖掘技術與中觀信息系統審計風險控制的融合分析

中觀信息系統是由兩個或兩個以上微觀個體所構成的中觀經濟主體所屬個體的信息資源，在整體核心控制臺的統一控制下，以Internet為依托，按照一定的契約規則實施共享的網狀結構式的有機系統。與微觀信息系統比較，中觀信息系統運行復雜，日志數據、用戶操作數據、監控數據的數量相對龐雜。因而，面對系統海量的數據信息，IT審計師針對前文所構建的明細控制目標Xi下的審計證據獲取工作將面臨很多問題，如數據信息的消化與吸收、數據信息的真假難辨等。而數據挖掘可以幫助決策者尋找數據間潛在的知識與規律，并通過關聯規則實現對異常、敏感數據的查詢、提取、統計與分析，支持決策者在現有的數據信息基礎上進行決策[12]。數據挖掘滿足了中觀信息系統審計的需求，當IT審計師對繁雜的系統數據一籌莫展時，數據挖掘理論中的聚類分析、關聯規則等技術卻能為中觀信息系統審計的方法提供創新之路。筆者認為，將數據挖掘技術應用于前文所述的明細控制目標Xi下審計證據篩選流程的構建是完全可行的。恰當的數據挖掘具體技術，科學的特征字段選取，對敏感與異常數據的精準調取，將會提高中觀信息系統審計的效率與效果，進而降低審計風險。

（二） 中觀信息系統審計風險控制目標Xi下數據挖掘流程的規劃

數據挖掘技術在中觀信息系統審計風險控制中的應用思路見圖3。

注：數據倉庫具體為目標行業特定中觀經濟主體的信息系統數據庫

中觀信息系統審計明細控制目標Xi下數據挖掘流程設計具體可分為六個過程：（1）闡明問題與假設。本部分的研究是在一個特定的應用領域中完成的，以“中觀信息系統審計風險明細控制目標Xi”為主旨，闡明相關問題、評估“控制目標Xi”所處的挖掘環境、詳盡的描述條件假設、合理確定挖掘的目標與成功標準，這些將是實現“控制目標Xi下”挖掘任務的關鍵。（2）數據收集。圖3顯示，本過程需要從原始數據、Web記錄與日志文件等處作為數據源采集數據信息，采集后，還需要進一步描述數據特征與檢驗數據質量。所采集數據的特征描述主要包括數據格式、關鍵字段、數據屬性、一致性，所采集數據的質量檢驗主要考慮是否滿足“控制目標Xi”下數據挖掘的需求，數據是否完整，是否存有錯誤，錯誤是否普遍等。（3）數據預處理。該過程是在圖3的“N.異構數據匯聚數據庫”與“U.全局/局部數據倉庫”兩個模塊下完成的。N模塊執行了整合異構數據的任務，這是因為N中的異構數據庫由不同性質的異構數據組合而成，數據屬性、數據一致性彼此間可能存在矛盾，故N模塊需要通過數據轉換與數據透明訪問實現異構數據的共享。U模塊承載著實現數據清理、數據集成與數據格式化的功能?！翱刂颇繕薠i”下的數據挖掘技術實施前，IT審計師需要事先完成清理與挖掘目標相關程度低的數據，將特征字段中的錯誤值剔除以及將缺省值補齊，將不同記錄的數據合并為新的記錄值以及對數據進行語法修改形成適用于挖掘技術的統一格式數據等系列工作。（4）模型建立。在“V.數據挖掘與知識發現”過程中，選擇與應用多種不同的挖掘技術，校準挖掘參數，實現最優化挖掘?！翱刂颇繕薠i”下的數據挖掘技術可以將分類與聚類分析、關聯規則、統計推斷、決策樹分析、離散點分析、孤立點檢測等技術相結合，用多種挖掘技術檢查同一個“控制目標Xi”的完成程度[12]。選擇挖掘技術后，選取少部分數據對目標挖掘技術的實用性與有效性進行驗證，并以此為基礎，以參數設計、模型設定、模型描述等方式對U模塊數據倉庫中的數據開展數據挖掘與進行知識發現。（5）解釋模型。此過程在模塊“W.模式解釋與評價”中完成，中觀信息系統審計風險領域專家與數據挖掘工程師需要依據各自的領域知識、數據挖掘成功標準共同解釋模塊V，審計領域專家從業務角度討論模型結果，數據挖掘工程師從技術角度驗證模型結果。（6）歸納結論。在“Z.挖掘規律與挖掘路徑歸納”中，以W模塊為基礎，整理上述挖掘實施過程，歸納“控制目標Xi”下的挖掘規律，探究“控制目標Xi”下的挖掘流程，整合“控制目標Xi”（i∈1n）的數據挖掘流程體系，并開發原型系統。

（三） 數據挖掘流程應用舉例――“訪問控制”下挖掘思路的設計

如前所述，中觀信息系統審計包括14個對象，其中“網絡管理”對象包含“訪問管理”等多個方面。結合COBIT框架下“M1.過程監控”與“IT標準-機密性”，“訪問管理”可以將“M1-i.用戶訪問網絡必須通過授權，拒絕非授權用戶的訪問”作為其控制目標之一?！癕1-i”數據挖掘的數據來源主要有日志等，本部分截取網絡日志對“M1-i”下數據挖掘流程的設計進行舉例分析。

假設某中觀信息系統在2011年4月20日18時至22時有如下一段日志記錄。

（1） “Sep 20 19:23:06 UNIX login［1015］：FAILED LOGIN 3 FROM(null) FOR wanghua”

（2） “Sep 20 19:51:57 UNIX―zhangli［1016］：LOGIN ON Pts/1 BY zhangli FROM 172.161.11.49”

（3） “Sep 20 20:01:19 UNIX login［1017］：FAILED LOGIN 1 FROM(null) FOR wanghua”

（4） “Sep 20 20:17:23 UNIX―wanyu ［1018］：LOGIN ON Pts/2 BY wanyu FROM 172.161.11.342”

（5） “Sep 20 21:33:20 UNIX―wanghua ［1019］：LOGIN ON Pts/5 BY wanghua FROM 191.34.25.17”

（6） “Sep 20 21:34:39 UNIX su(pam――unix)［1020］:session opened for user root by wanghua (uid=5856)”

… … …

選取上述日志作為數據庫，以前文“控制目標Xi”下數據挖掘的6個過程為范本，可以設計“M1-i.用戶訪問網絡必須通過授權，拒絕非授權用戶的訪問”下的審計證據挖掘流程。該挖掘流程的設計至少包括如下思路：a.選取“授權用戶”作為挖掘的“特征字段”，篩選出“非授權用戶”的日志數據；b.以a為基礎，以“LOGIN ON Pts BY 非授權用戶”作為 “特征字段”進行挖掘；c.以a為基礎，選取“opened … by …”作為“特征字段”實施挖掘。假如日志庫中只有wanghua為非授權用戶，則a將會挖出（1）（3）（5）（6），b會挖出（5），c將會挖掘出（6）。通過對（5）與（6）嫌疑日志的分析以及“M1-i”挖掘流程的建立，IT審計師就能夠得出被審系統的“訪問控制”存在固有風險，且wanghua已經享有了授權用戶權限的結論。

參考文獻：

［1］王會金，劉國城.COBIT及在中觀經濟主體信息系統審計的應用［J］.審計研究，2009(1):5862.

［2］陽杰，莊明來,陶黎娟.基于COBIT的會計業務流程控制［J］.審計與經濟研究，2009（2）：7886.

［3］張文秀，齊興利.基于COBIT的信息系統審計框架研究［J］.南京審計學院學報，2010(5):2934.

［4］謝羽霄,邱晨旭.基于COBIT的電信企業信息技術內部控制研究［J］.電信科學,2009(7):3035.

［5］黃溶冰,王躍堂.商業銀行信息化進程中審計風險與控制［J］.經濟問題探索,2008(2):134137.

［6］金文,張金城.基于COBIT的信息系統控制管理與審計［J］.審計研究，2005(4):7579.

［7］陳安,陳寧.數據挖掘技術與應用［M］.北京：科學工業出版社，2006.

［8］李也白,唐輝.基于改進的PE-tree的頻繁模式挖掘算法［J］.計算機應用，2011(1):101104.

［9］鄧勇,王汝傳.基于網格服務的分布式數據挖掘［J］.計算機工程與應用,2010(8):610.

［10］肖偉平,何宏.基于遺傳算法的數據挖掘方法及應用［J］.湖南科技大學學報，2009(9):8286.

［11］孫強.信息系統審計［M］.北京：機械工業出版社，2003.

［12］蘇新寧,楊建林.數據挖掘理論與技術［M］. 北京：科學技術出版社,2003.

Risk Control System of MesoInformation System Audit:From the Perspective of COBIT Framework of Date Mining Technology

WANG Huijin

（Nanjing Audit University, Nanjing 211815, China）

篇(5)

【關鍵詞】 網絡審計；信息共享；無紙化審計

網絡審計作為新興的審計形式，無論在理論上還是實踐上都使傳統審計發生了重大變革。網絡審計在便利工作、準確高效和節約精力的同時，也面臨著很多問題和風險。網絡審計的全面推行和實施將是時代的必然。

一、網絡審計的優勢

隨著網絡技術在會計和審計信息管理中應用的不斷深入，審計信息將提供更加專業化、準確化和智能化的服務，可以解決審計信息的海量存儲、智能檢索、高度共享等問題，對審計信息管理將產生變革性的影響。它與傳統審計相比，除了具有便捷、隱秘、準確高效和多單位聯合作業的協調等優勢以外，還具有以下方面的優勢：

（一）信息資源的充分共享

在實施審計過程中，計算機網絡通過數據傳輸和數據交換網，利用通訊技術將不同地區的計算機連接在一起組成一個有機信息系統，其最大的特點是信息共享性。隨著整個世界經濟國際化進程的加速，我國企業與世界上不同國家與地區間的貿易來往愈來愈頻繁，投資者、債權人及其他相關主體往往分布在世界不同國家與地區。因此，審計信息和審計報告是他們進行理性決策的必要信息資源。在網絡環境下，審計信息可以充分共享，這樣可以大大提高審計信息的使用效率。

（二）提供智能化服務

網絡環境下，審計人員可以充分利用網絡所特有的先進電子服務技術，查找跟蹤各網絡網站的審計數據資料，充分利用Web共享這些數據信息資源。網絡審計所提供的智能化服務，是面向客戶的智能化服務。同時在遇到難以解決、難以形成定論的問題時，也可以邀請國內外審計專家進行網上會議，共同尋找克服難點的途徑，以保證給客戶提供最完美、最優質的審計服務。

（三）大幅度降低費用

在網絡環境下，審計領域節約的有關交易費用主要表現在以下幾個方面：節約了有關搜尋審計信息、審計證據的長話、電傳以及審計資料傳遞的郵遞費，所有的一切工作都在網上進行;減輕了審計人員對審計信息的搜尋、整理、等待成本以及與其他單位、個人的聯絡費用;節約了有關審計人員的人力，減輕了勞動強度，節約了發生在審計工作中的能源、資源包括商品流、信息流、資金流、人員流的消耗。

（四）提供實時審計服務

在網絡環境下，審計部門隨時對企業進行審查，及時收集掌握被審計單位的最新會計信息和有關經濟業務信息，并向有關各方，審計的時效性大大提高。審計從事后審計轉變為實時審計，并從靜態走向動態。

二、網絡審計所面臨的問題

（一）網絡審計理論研究不足

在我國，網絡在企業管理中的推廣應用才剛剛開始，較大型的系統還不多。人們對網絡財務及其網絡審計的認識還較模糊，網絡審計理論研究尚處于初級階段。從發表在各種專業雜志上的有關網絡審計方面的論文看，涉及網絡審計理論研究的文章并不多，而市場上相關的各種審計軟件不斷出現，網絡審計的理論研究和實踐出現了不平衡的局面，網絡審計軟件將會因為缺乏理論的指導，重復會計軟件開發初期時的老路，誤入歧途，多走彎路。

（二）網絡審計的相關法律和審計準則不完善

在網絡時代，社會的信息化加大了社會的不確定性，而法律對規范社會經濟的運作、控制社會經濟秩序具有不可替代的作用，尤其在網絡經濟環境下，法律的重要性更為突出。網絡審計作為一個維護社會經濟秩序并服務于經濟領域的中介活動，迫切需要一套符合自身發展規律的法律來規范，建立起一套能規范網絡審計的審計準則，作為維護經濟秩序的法律屏障。

美、日、英等國都制定了有關計算機審計的審計準則。國際審計準則中，對此也有專門計算機審計的范圍、目標、程序、技術及方法。我國的《中國注冊會計師獨立審計準則》中也有涉及到計算機輔助審計的內容，但針對網絡經濟時代下日益發展的電子商務系統及隨之而出現的一系列新的問題，舊有的審計標準準則體系和法律法規體系已不能完全適應、指導和規范網絡經濟時代的審計實踐。網絡本身的虛擬性、實時性、廣泛性要求比傳統審計更加切實可行、更加完備的標準準則和法律法規的保證。

（三）網絡審計軟件不完善

目前，我國通用的高水平的審計軟件還很缺乏，主要原因是財務軟件在設計時大多沒有考慮專用的審計軟件接口，使得在財務軟件中嵌入適時跟蹤監控的審計程序難以實現，使審計人員采集數據出現一定困難。我國現有的審計軟件大多處于僅滿足穿過計算機進行審計的階段，現場審計和小規模的會計師事務所后期報告的制作幾乎還在依賴于手工操作，規模較大的一些會計師事務所開始利用VB，VC開發更為自動化的審計系統軟件。

（四）網絡審計面臨新的審計風險

1. 網絡安全的風險。網絡安全問題帶來的風險不僅表現在被審計企業在審計后發出的報表可能受到惡意攻擊，而且還表現在網絡本身對外界的高度依賴性，比如，突然斷電對電腦的影響和電腦數據的保存、計算機病毒的破壞、人為的毀損等異常情況等，會導致網絡審計系統的數據與信息丟失。

2. 審計動態取證的風險。在網絡環境下，企業幾乎所有的業務信息和財務信息都通過網絡傳輸，業務活動的數據處理都是實時的，審計人員要完成審計取證工作的同時又不能妨礙和終止被審計單位會計信息系統的運作。而在系統運作過程當中，進行取證，本身就難度很大，同時這部分無紙化審計線索的真實性、完整性、可靠性也難以保證，從而加大了審計風險。

3.傳統審計線索消失的風險。在傳統審計中，審計證據都以紙介質的形式保存，審計線索十分清楚。而在網絡審計中，所有的審計證據都存儲在磁介質上，這些在磁介質上的信息是機器可讀的，肉眼不能識別。存儲在磁性介質上的無紙化審計線索存在容易被修改、刪改、隱匿、轉移，又無明顯痕跡。這些都將使審計證據的真實性、完整性和可靠性大打折扣，這勢必會加大審計風險。

（五）審計人員計算機知識的缺乏

目前，我國審計人員中，能從事網絡審計的人員不論在數量上還是在質量上都有較大差距，審計人員由于不懂網絡經營與網絡會計的特點，不能識別審查和評價企業的風險與內部控制，難以對復雜的網絡會計系統進行正確有效的評價，越來越多的審計工作依賴于不懂審計的計算機專家。這樣，審計人員的獨立性、客觀公正性將會受到威脅。同時，在審計軟件的開發上，要求開發人員既有計算機軟件的開發能力又有熟練的審計流程知識。因此，我國迫切需要培養一批既懂網絡技術又懂審計、會計的復合型人才，各高校應對此引起高度的重視。

三、對策建議

（一）建立網絡審計理論體系

網絡審計理論的建立不僅是傳統審計理論的一大飛躍，而且有利于網絡經濟的健康發展。當然，理論的形成并不是實踐的簡單堆砌，而是需要一種理性的思維去引導實踐。因此，建立較完善的、全新的網絡審計理論體系是非常重要的，審計人員和有關人員應該加強這一領域的研究。

（二）加強網絡審計相關的立法和審計準則

網絡的出現和廣泛應用對傳統審計產生了強烈的沖擊。舊有的審計標準準則體系和法律法規體系已不能完全適應、指導和規范網絡審計的實踐。網絡本身的虛擬性、實時性、廣泛性要求比傳統審計更加切實可行、更加完備的標準準則和法律法規的保證。如對網絡審計人員的一般要求，網絡系統安全可靠性評價標準等。

美國的信息產業部在構建互聯網絡法律框架時指出，網絡立法應涉及9方面：1.身份認證與安全；2.消費者中心；3.內容與商業通信；4.信息基礎設施(包括可互操作性和互聯網管理)；5.知識產權保護；6.司法管轄權；7.責任；8.保護個人數據；9.稅賦。總之，我國要建立起適應網絡審計發展的良好的法律環境，使得網上交易的法律體系與國際框架基本保持一致。

（三）加快通用的審計軟件的開發

為適應會計信息化的發展，提高審計工作的效率，應組織力量加快開發會計信息化環境下的審計軟件，包括通用性好、實用性強、涵蓋項目管理、審計計劃、數據轉換、符合性測試、實質性測試、合并會計報表、審計工作底稿制作、會計報告的生成等全程一體化的審計軟件。從實際情況和科學性來說，最好選擇財務軟件公司，它在財務軟件制作方面的經驗有利于網絡審計測試軟件的開發。軟件開發時應考慮重新生成審計線索，如：財務軟件里增加“有痕跡”的修改操作功能，就可重建審計線索，可為審計人員提供可信的證據。

（四）加強網絡審計風險控制

為了有效地降低網絡審計風險，就必須采取相應的防范和控制措施，具體表現為：

1. 對相關網絡系統進行實時跟蹤。首先，對被審計單位的網絡系統進行評價，并利用專用的對比軟件，將存放于數據庫不同地址的同一種數據進行自動比較，以形成相應的記錄文件，并對有差異的文件數據進行詳細審查；其次，對被審計單位的自動檢測數據庫軟件和恢復軟件進行審查和評價；最后，要對被審計單位的異常貿易，通過網絡進行預警提示，以降低審計風險。

2. 加強對網絡系統的安全性和保密性。在網絡審計系統中，一方面要滿足系統開放性的要求；另一方面又必須保證系統的安全保密性。如何處理好這兩個方面的關系，是網絡審計信息系統設計成敗的關鍵。由于網絡審計系統是建立在Internet環境下的信息系統，其開放性無疑會得到滿足，現在困難的是如何保證系統的安全性。目前，從技術上講有這么一些措施：

（1）物理保護：物理保護主要是針對網絡系統的結構與硬件設備所實施的保護措施。（2）防火墻技術：防火墻控制技術是指在審計網絡與外部環境之間建立一種隔離“屏障”，它一方面能夠保證在CPA審計網絡與外部環境(Internet)之間進行通暢的信息交流，另一方面，授權的用戶可登錄進入CPA網絡審計系統，從而保證審計數據的安全性與保密性。（3）反病毒：審計軟件可以掛接反病毒軟件，如對電子郵件、文件傳輸FTP、網絡面程序，甚至對文檔中存在的病毒進行防范和查殺。（4）網絡端口保護：通常對CPA審計系統的網絡端口的保護可分為單端保護和雙端保護，包括主機端保護和用戶端保護，包括用戶驗證和終端驗證。

3. 審計人員參與網絡財務軟件的評審。為了有效地防范審計檢查風險和審計控制風險，審計人員應參與網絡財務軟件的評審。只有對網絡財務軟件在進入銷售市場之前進行事前審計，才能從整體上減輕審計人員的勞動強度，提高審計工作效率，為事中審計和事后審計打下良好基礎。

4. 充分利用計算機審計軟件進行輔助審計。審計人員在實施審計的過程中，應根據網絡“即時互動”的特點，充分利用通用的或專用的計算機審計軟件，有效地降低審計風險：（1）利用審計法規合法性與合規性進行全面檢查；（2）利用審計專家咨詢軟件對特定審計事項進行重點會診，以減少審計誤差；（3）利用審計接口軟件獲取充分、適當的審計證據，減少審計的固有風險和控制風險。

（五）大力培養網絡審計人才

擁有大批精通網絡、計算機及審計業務的審計人員隊伍是網絡審計能否得以實施的關鍵。網絡審計已遠遠超出了計算機和局域網操作的范疇，計算機與網絡專家、信息系統與電子商務專家對網絡審計參與將是必然趨勢。

針對網絡審計對人才的挑戰，一般可以嘗試以下解決方法：1.系統學習審計風險方面的理論知識，掌握新的審計方法。重視從審計立項到審計結論的每一個步驟，并采取相應的風險防范措施，使每一個環節的風險減少到最低程度。2.更新審計監督觀念。入世后，審計監督的重點應從有形資產審計轉移到無形資產審計，重視管理方面和社會效益的審計，強化高新技術產業的審計，并促使其快速成長。3.樹立競爭觀念，培養創新意識。知識經濟條件下，科學信息化技術對經濟的促進作用進一步加強，應提高審計人員對信息經濟的認識，樹立面向經濟的競爭觀念。改革教育和培訓模式，提高審計人員的素質和業務水平。

【主要參考文獻】

[1] 劉劍民，周詠梅. 網絡審計發展中的問題與建議[J].財會通訊,2005， ( 5 ).

[2] 王風化，李金克. 網絡審計風險的防范[J].

中國管理信息化,2007， ( 3 ).

[3] 文英. 網絡經濟環境下網絡審計的研究[J]. 經濟師,2004， ( 3 ).

篇(6)

文章摘要：隨著社會主義市場經濟制度的逐步完善，注冊會計師承擔的法律責任日益受到行業內外專業人士的關注，本文通過對注冊會計師的法律責任范圍、成因的分析，提出防范法律責任發生的具體措施。

注冊會計師被稱為經濟警察，在現經濟社會中發揮越來越重要的作用。其電益與風險并存，地位與責任并重，可以說注冊會計師從產生的那一刻起，就肩負走了相應的法律責任。為了保護注冊會計審計報告使用者的合法權益，強化注冊計師的責任意識，我國有關法律規定了沮冊會計師所要承擔的法律責任。解決好掃冊會計師法律責任問題，不僅會影響社審計的質量，決定審計職業社會地位的低，對于我國證券市場健康有序的運行、市場經濟的法制建設也將起到不可估量配作用。

一、注冊會計師的法律責任范圍

我國規范注冊會計師法律責任的法律主要有:《刑法》、《公司法》、《證券法》、《注冊會計師法》、《中國注冊會計師審計準則》等，規定注冊會計師的法律責任主要包括行政責任、民事責任、刑事責任三個方面。行政責任主要包括:警告、沒收違法所得、罰款、暫停其執行業務、責令停業、吊銷執業資格證書等;民事責任主要是賠償責任，是指注冊會計師及會計師事務所違反法律規定，給委托人、其他利害關系人造成損失的，應當依法承擔賠償責任;刑事責任是指:注冊會計師發生出具的證明文件有重大失實的，造成嚴重后果或故意提供虛假證明文件，情節嚴重等違法行為構成犯罪的，要依法承擔刑事責任。

二、注冊會計師的法律責任成因

1、會計目標多元化，審計風險增加

改革開放30年來，社會主義市場經濟逐步完善，會計主體目標由單一的經管責任向多元化發展，既為經管責任服務，又為經營決策服務，會計處理不得不在這聲種要求之間予以平衡，從而增加了對會討信息解釋的可爭議性。同時，市場經濟斗經管責任的關系人帶有很大的不確定性，受托人和委托人之間的經濟責任關系也成為具有雙向約束力的約定權責關系，這利平等權利，既給了受托方自主處理會計信息的機遇，也增強了委托方要求獲得合理保證的會計信息的需求。這就給會計信息的理解沖突埋下了伏筆。

2、會計信息的經濟后果性增加了審計法律責任

市場經濟條件下，證券市場的存在使得委托方與受托方的關系變得不確定，雙方的關系是否建立與解除，在很大程度上要依賴于會計信息的反映內容。因此，會計信息的決策作用變得非常重要。一項小小的錯誤會計信息，可能會導致整個社會資金幾萬、幾十萬，甚至幾個億的錯誤流向。正是由于會計信息的經濟后果性日益突出，一旦產生不應出現的經濟后果性，或者鑒定會計信息與使用會計信息的雙方對這種經濟后果性產生不同看法時，必將帶來法律上的沖突。會計信息經濟后果性的增大，勢必會引起相關的審計法律問題。

3、市場經濟主體的平等性，強化了各主體的法律責任

在市場經濟條件下，法律已成為調節個人與社會、秩序與自由、權威與服從三大矛盾的準則。法律地位的平等表明了受托方與委托方具有相同的經濟權利。當對會計信息的理解發生沖突時，雙方不再依據行政權利與級別，而更多的是依據原先制定的“游戲規則”一一法律條文來處理有關的爭議。由于權利的保障及法制的完善，使得各方都有了依法自衛的勇氣與能力。因此，運用法律手段來調節會計信息處理與理解的沖突，必將成為市場經濟環境中最為常見的手段之一。

4、注冊會計師的不規范行為最終導致法律責任的承擔

由于專業勝任能力、風險意識、責任意識和道德意識的差異，導致注冊會計師行業執業水平存在很大的差異，特別是注冊會計師在執業過程中風險防范意識問題，以及某些注冊會計師為個人謀取私利而不惜挺而走險等問題導致過失與欺詐等違規和犯罪行為的發生，使承擔法律責任成為必然。

三、注冊會計師法律責任的防范措施

1、嚴格執行審計準則

判別注冊會計師是否有故意欺詐或過 失行為的關鍵在于注冊會計師是否遵照審計準則的要求執業。因此注冊會計師應熟練掌握準則的各項規定及其操作辦法，嚴格依據審計準則的要求執行業務，出具報告。遵循“獨立、客觀、公正”的審計準則規范，不從事不能勝任的委托業務，不對未來事項的實現程度作出保證。

2、不代行委托單位管理決策的職能

注冊會計師不得以被審計單位一名管理人員的身份開展工作，不得代行管理決策的職能。注冊會計師接受委托從事相關業務，是運用自己專業和經驗的優勢，指導被審計單位進行會計核算，或向被審計單位提供更為合理、更為科學的建議或方案，對其經營結果進行鑒證，而不是代為行使相關職能。

3、健全會計師事務所質量控制制度

質量管理是會計師事務所各項管理工作的核心。如果質量控制不嚴，很有可能因某注冊會計師提供虛假證明報告而導致整個會計師事務所遭受法律訴訟。因此，會討一師事務所必須建立嚴密科學的內部質量控制制度，并切實落實到每個人、每個部門和每項業務上，加強逐級復核力度，以降低執業風險，最大限度地減少和杜絕審計犯罪行為。

4、加強后續教育、提高專業勝任能力

篇(7)

(一)產生基礎企業內審由“監督和服務導向型”向“管理導向型”發展需要為更好地配合管理者經營目標的實現，內審應充分分析、估計經營風險，及時提出預防風險的對策建議；做好內控制度的測試和評估，檢驗關鍵控制點設置的恰當性以及有效性、完整性，分別予以補設、重建和改進，使得內控制度得以健全并有效運行。由此，在現代內審工作中，企業內審必將由“監督和服務導向型”向內部“管理導向型”發展。

(二)產生間接原因企業面臨的風險日益增大減少企業面臨的風險是組織實現目標的關鍵，也是企業的管理人員十分關心的問題，企業經理人員對風險的空前重視，為內審發展提供了一個絕好的機會，內審對風險管理的介入，將會使內審在企業中成為一個重要的角色，并將其在企業中的作用推向一個新水平。

(三)產生直接原因風險控制內審新思維傳統內審采用的是從控制一風險一目標被動的風險控制審計模式，使得內審只能對企業存在的控制缺陷做出被動反應，其必然結果就是對發現的控制缺陷提出建議，以不斷地增加控制點或者是加強控制，最后就會出現控制點越來越多，越來越煩瑣的局面；很可能會造成多余的控制阻礙各項正常程序的運轉和效率。課題組調研中發現廣西企業普遍存在這樣的問題：07年得到確實有效落實的審計意見和建議僅占企業審計項目總數的65％；內部控制的完善和控制點的增加導致運營成本的增加和辦事效率的降低，部分審計意見操作起來困難，不符合企業實際情況，部分不斷完善的內部控制制度和流程并未得到有力的執行，存在書面與實際操作兩種流程，最終導致內審的整改建議過于理想化，執行起來難度較大，致使審計意見很難被落到實處，或者只得到了被審計單位表面上的敷衍，其結果使內審的作用無法充分發揮。風險導向理念下，風險控制內審模式采取的是從企業目標一風險一控制的主動控制內審模式。它首先要確認企業的目標或者是某件事項的目標，然后分析要實現這些目標會生產什么樣的風險，以確定審計風險水平和審計重點，安排審計步驟，以此來提出風險防范和控制建議，并通過后續審計來測試風險是否得到有效的防范和控制。實施風險管理最大的挑戰正是要變被動反應為主動控制，風險控制內審模式為我們內審工作帶來了新思維。只有積極轉變我們的工作思路，企業內審各種直接考慮企業實現目標過程中面臨的主要問題和風險，使得風險控制與企業目標的實現直接聯系起來。這樣的風險管理和控制，對公司治理層和管理人員而言才是非常有價值的，審計意見和建議才能得到認可和高度的重視，內審才能成為企業價值鏈環節中的重要組成部分。

二、風險控制內部審計模式實施的理性思考

(一)企業風險管理的再認識企業風險管理是指企業為了長遠發展，達到經營管理的預期目標以及為此而擬定的制度或程序能夠得以實現，在企業內部實施的各種制約和調節的組織、計劃、方法和程序，其目的在于防止目標的偏離或降低風險管理成本，并把風險控制在風險容量之內，增加企業價值的過程，也是將風險意識轉化為全體員工的共同認識和自覺行動。COSO的《企業風險管理框架》描述了企業風險管理定義為：企業風險管理是一個過程，受企業的董事會、管理層和其他人員的影響，應用于企業的戰略制定及各個方面，旨在確定影響企業的潛在重大事件，將企業的風險控制在可接受的程度內，從而為實現企業的目標提供合理保證。我們研究認為：該《框架》拓展了企業的內部控制，對企業風險管理這一更寬泛的主題作了更全面的關注，企業可以借鑒該《框架》向更完善的風險管理進程推進；企業風險管理也是一個立體框架模式的組織體系，在這個組織架構中，合規、風險、內控和內部審計成為一個不可分割的整體，共同筑起企業風險管理的三道防線。

(二)企業風險管理框架企業風險管理框架可以解剖為一個基礎，三道防線(如圖1)。

(1)一個基礎：公司治理，公司治理是涉及公司高層人員，它隱含著～家企業如何得到有效的管理，從而使其發揮最佳表現。公司治理是涉及責任的問題，它關系到董事會及管理層如何向股東負責，而使股東能從公司的表現中得益，公司治理是風險管理的一個必要的組成部份，因為它提供了對風險由上而下的監控與管理。如何構建一個有利風險管理的公司治理結構?就是需要建立一個健全的、以董事會為首的公司治理結構；訂立企業的目標和戰略，包括企業的風險政策和極限；貫徹一套重視風險管理的企業文化和價值觀。(2)第一道防線：業務單位防線。企業業務單位管理與控制著企業大部分的資產和業務，它們在日常工作中面對各類的風險，是企業的前線；企業必須把風險管理的手段和內控程序融入到業務單位的工作與流程中，才能建立好防范風險的第一道防線。如何建立第一道防線?了解企業戰略目標及可能影響企業達標的風險；識別風險類別；對相關風險作出評估；決定轉移、避免或減低風險的策略；設計及實施風險策略的相關內部控制。企業建立的第一道防線，就是要各業務單位就其戰略性風險、信貸風險、市場風場和操作風險等等，系統化地進行分析、確認、度量、管理和監控；企業需要把評估風險與內控措施的結果進行記錄和存檔，對內控措施的有效性不斷進行測試和更新。(3)第二道防線：風險管理部門防線。第二道防線是在業務單位之上建立一個更高層次的風險管理功能，它的組成可能包括風險管理部門、信貸審批委員會、投資審批委員會；風險管理部的責任是領導和協調公司內各單位在管理風險方面的工作，它的職責包括：編制規章制度，對各業務單位的風險進行組合管理，度量風險和評估風險的界限，建立風險信息系統和預警系統、確定關鍵風險指標，負責風險信息披露、溝通、協調員工培訓和學習的工作，按風險與回報的分析，為各業務單位分配經濟資本金。(4)第三道防線：內審審計防線。第三道防線涉及一個獨立于業務單位的部門，監控企業內控和其他企業關心的問題。內部審計在企業風險管理中的職責：一是要對整個系統的管治、風險管理和控制體系進行獨立評估，以確保的董事會及管理層所制定的準則、流程及內控得到遵循；二是要擔當董事會及高級管理層的顧問角色，提高風險管理系統的運作能力。

(三)企業風險控制與制度基礎及內部控制三種內審模式融合新審計模式的產生，并不意味著原有審計模式的淘汰和消亡，而是意味著我們在實施審計時有了更多的審計模式可供選擇，尤其是把防范風險的意識貫穿于內審全過程的主導思想，應是十分值得提倡的。如企業責(離)任審計、經營指標真實性審計等主要是采用制度導向內審模式，而一些專項審計則是在制度基礎與內部控制內審模式基礎上融合了風險控制內審方法。

(四)企業內部審計方法應用與審計環境相適應風險控制審計是一種較為科學的審計新理念，但任何方法都有其獨特指向，其運用也均有其必備條件，必須遵照實事求是的原則，視不同的具體對象及審計環境選用不同的審計方法，依不同的審計層次及審計目標選用不同的審計方法。

(五)企業內部審計技術與審計人員素質相配套從當前我區內審人員的素質來看，內審人員的知識水平及業務能力存在參差不齊現象，內審人員的素質、閱歷、判斷力、偏好等將直接影響審計方法的運用，在企業運用風險控制審計技術與方法時，不僅要求內審人員掌握工程、會計、中間業務等業務知識，而且要求內審人員孰悉管理知識、精通企業業務、具備內審人員獨特的敏銳性和判斷力。因此，在企業實施風險控制內審應遵循循序漸進原則，審計技術方法選擇要與內審人員素質相適應，才能保障我們內部審計質量。

風險控制內審是將企業置于一個大的經濟環境中，運用系統理論和戰略管理論，采取立體觀察的方式來控制企業各種風險因素，從企業所處的行業狀況，監管環境，經營目標，戰略規劃、經營方式、業務流程等內外部各個方面來分析評估企業風險水平，把企業風險水平植入到企業的風險管理中，并貫穿于內審工作的全過程，從而把重點放在控制企業風險水平上。然而，風險控制內審并不排除制度基礎審計或者賬項基礎審計的融合，但是，風險控制內審關注的是企業戰略風險并始終為企業所采用的風險管理框架提供合理有效保證，風險控制內審可以讓內審和風險管理框架直接聯系起來，實現杠桿協同效應。具體表現在企業內審要在企業風險管理的風險環境分析、風險事件識別、風險評估、風險反應和控制、風險信息溝通和管理系統監控環節中發揮重要作用。因此，風險控制內審模式是企業內審發展的必然趨勢，代表了企業內審未來的發展方向，開創了中國內審的新紀元。

[本文系廣西教育廳2008年科研項目《風險導向內部審計在我區的應用研究》課題(編號：200802MSl83)階段性研究成果]

參考文獻：