作者：iadit.c…2006-10-315:49:39来源：中内协

一、审计风险及其要素分析

根据审计风险的定义可以知道，其来源主要是审计对象和审计过程。特别是系统导向审计模式大量采用测试和抽样技术，如果抽样不能代表总体特征，那么依据审计样本得出的审计结论和提出的审计意见就会出现偏差，审计风险就不可避免。

审计风险由固有风险、控制风险和检查风险三要素组成。

1、固有风险分析(InherentRiskAnalysis)。固有风险是指企业业务活动本身在没有实施内部控制的前提下，具有发生重要错误或弊端的可能性。不同的经济业务其固有风险的大小亦不相同，如涉及实物财产的业务、不确定性高的业务所具有的风险相对要大一些。固有风险是审计人员所不能控制的，也是难以定量的，但是运用系统的观念，可以通过确定以下事项来界定和评估固有风险的概率：如企业所在的行业环境和业务性质；管理人员的能力、道德水平，对待风险的态度；经济业务的性质；对以往错弊的纠正情况等。如果存在不利环境因素时固有风险加大，如竞争剧烈、不利的国家政策出台等。业务性质复杂则固有风险加大，反之则会小些，如融资业务本身的固有风险要比其他的一般经营业务的风险大许多。

2、控制风险分析(ControlRiskAnalysis)。控制风险是指内部控制未能防止业务活动发生错误或弊端的可能性，即因失控而发生的风险。控制风险与人的主观意识相关联，可以通过内部控制进行预防、及时发现和纠正。一项业务的控制风险大也就意味着审计对象受损的可能性大、审计人员在相同条件下承担的审计风险也更大。由于控制风险取决于企业的内部控制的健全、有效程度，同样不是审计人员所能控制的，但是可以进行评估。控制风险水平的大小主要受内部控制结构设计和运行两个方面的因素的影响。如果一项内部控制设计不科学，则即使经过控制测试后展示出良好的符合性，也不能保证实现良性控制，这时如果审计人员对内部控制过分依赖，就可能承担较高的控制风险。

3、检查风险分析(DetectionRiskAnalysis)。检查风险是指在内部控制没有能及时纠正业务活动发生错误或弊端的情况下，在审计过程中错误或弊端同样没有被发现的可能性。应当说审计风险主要是由于审计主体自身的原因造成的，如经验不足、方法不当、资源所限、独立性不够、审计环境因素等。检查风险的高低是审计人员所能调节和控制的。

通过上面的分析，审计风险是客观存在的、不可完全避免的，所以审计人员必须在审计风险与审计成本之间寻找平衡点，也就是说在审计风险可以接受的条件下使审计成本最低。正是适应这种需要才产生了风险导向内部审计，所谓风险导向内部审计就是以对审计风险的评价作为内部审计工作的起点并且始终贯穿于审计全过程的审计模式，其根本目的是将审计风险控制或降低到审计人员和企业可以接受的水平。

二、审计风险数学模型及其应用

根据前面所述，审计风险的三种因素都是不可能完全消除的，也就是说风险不可能为零，它们三者相互作用和综合的效应，构成审计风险。其数学模型如下：

AR＝IR×CR×DR

其中:AR为审计风险、IR为固有风险、CR为控制风险、DR为检查风险。

内部控制测评就是运用这个风险模型，对被审计单位经济活动的固有风险和控制风险进行评价和测试，并根据测评结果及其对审计风险的不同要求，通过控制检查风险的大小，从而使审计结果达到满意和可以接受。

例如，某项经济活动经过调查和分析，测评结果为固有风险50%，控制风险60%，审计人员要把审计风险控制在3%以内，则检查风险应控制在10%以内。也就是说审计人员只有把审计过程中未发现的问题和弊端风险控制在10%以内，才能保证审计结果的可接受，否则就不可能达到预期3%的审计风险控制目标。

通过分析模型可以看出，在审计风险一定的条件下，当固有风险和控制风险增大时，就必须通过减小检查风险以保持既定的审计风险目标。为此，在审计时就要扩大抽样数量和测试工作范围，减少检查风险;反之，就可以适当地减少抽样数量和缩小测试工作范围，在不影响审计质量的前提下，节约审计费用。

三、风险评估矩阵模型分析

风险评估是一项困难且具有挑战性的工作，需要进行职业判断。目前国外许多企业的内部审计都在针对本企业建立风险评估模型来进行风险评估。

风险矩阵中内部审计的时间跨度为5年。

风险评估矩阵中，横向表示内部控制四个等级为A、B、C、D；纵向表示风险水平，它由规模和脆弱性确定：风险水平=规模+脆弱性；矩阵方格中的数字表示不同内部控制等级下与风险水平相对应的被审计项目的审计频率，即多少年审计一次。规模是指被审计单位的项目或经济活动总价值量，如产量总额、采购总费用、投资额等；规模越大，其影响度大，风险也可能越大。规模要设计量化标准和分等级，根据企业自身的特点量化标准和等级数可不同，分级越细对风险的评估结果就越理想，一般分为三级：3级，风险程度高；2级，风险程度中；1级，风险程度低。

脆弱性是指被审计单位或项目所包含的多种风险因素的综合风险水平，它包括法律法规、财务政策、经济环境、组织经营方针的变化、管理方式、业务自身的复杂性、竞争以及管理者的道德水平等。对这些风险因素进行评估并将其量化。一般来说，脆弱性程度越高，可能给企业造成的不良后果的可能性和危害程度就越大。脆弱性的量化标准一般分1－4个等级：4级，脆弱性高，表示风险高，危害大；3级，脆弱性较高，表示风险较高，危害较大；2级，脆弱性一般，表示风险一般，危害有限；1级，脆弱性最小，表示风险低，危害小。

内部控制等级是指被审计单位或项目的内部控制的健全、合理和有效程度，它一般是利用前面介绍的内部控制测评的结果。根据不同的情况也可以分4-5个等级，如A、B、C、D4个等级：A级，内部控制健全有效，测评中没有发现重大问题；B级，内部控制是满意的，测评中发现l-2个重大问题；C级，内部控制薄弱，测评中发现几个重大问题，需要改进内部控制；D级；内部控制差，测评中发现许多重大问题，内部控制失效，需要重新建立。

例如，对某单位或项目进行审计，规模价值总量为6500万元，规模等级为3级；脆弱性评估为高，为4级；内部控制测评较好，等级为B级；对照风险评估矩阵可知：规模=3、脆弱性=4，则风险水平=3+4=7；内部控制为B与风险水平为7对应的方格中数字为1，也就是说对该单位或项目每年都得审计一次。

风险评估矩阵主要是根据风险评估的大小，确定审计项目的顺序和工作重点，进而有效地使用企业内部审计资源而设计的。（作者：中国石油审计服务中心王海燕）

摘自：《中国内部审计》