審計中的風險評估范文

前言：我們精心挑選了數篇優質審計中的風險評估文章，供您閱讀參考。期待這些文章能為您帶來啟發，助您在寫作的道路上更上一層樓。

第1篇

（一）風險導向審計與金融機構洗錢風險評估的異同。具體運用中，兩者均采用抽樣評價方法，取證手段相同（如詢問、查閱、檢查等方式），評估流程類同。財務報表審計流程大致分三個階段，即承接業務階段的內外部風險評估，主要分析被審計單位高管層壓力、機會和借口等因素所引發的舞弊或錯報風險；風險初步評估階段，了解評價被審計單位環境、內控制度情況；進一步審計程序階段，控制測試和實質性測試（對被審計單位各類交易、賬戶余額和披露的細節測試以及實質性分析程序）。后續審計程序根據前階段的風險評估結果確定，當后續審計程序獲取的審計證據與初始評估獲取的審計證據相矛盾時，可以修正風險評估結果，并相應修改原計劃實施的進一步審計程序。審計風險評估的目的是根據風險，確定進一步審計程序的性質、范圍和時間安排，其目的在于內控風險較高時，更多的控制測試和實質性測試能推斷被審計單位的錯報或舞弊行為，繼而獲取被審計單位錯報或舞弊對財務報表的影響程度。洗錢風險評估與此類似，一是了解金融機構固有風險階段，與承接審計業務階段內外部風險評估相似，需了解金融機構所面臨的宏觀經濟狀況，所在行業的洗錢風險及經營狀況對洗錢風險的影響。二是初步評估階段，與審計風險初步評估階段相似，對金融機構反洗錢工作的環境、內控制度執行情況進行評估。三是深入評估階段，與進一步審計程序階段相似，對金融機構的反洗錢內控制度有效性和可疑交易分析報告工作的及時性和有效性進行分析評價。洗錢風險評估過程中，可以在了解金融機構固有風險的基礎上，確定初步評估的范圍，指導深入評估的時間、范圍和方法，包括對金融機構進行一次初步評估和一次深入評估，也包括根據評估結果，采取現場檢查、約見談話、現場走訪等后續監管措施。不同之處在于：一是業務性質不同。風險導向審計是對財務報表不存在由于錯誤或舞弊導致的重大錯報獲得合理保證；金融機構洗錢風險評估是對金融機構洗錢風險的高低作出評價。二是評價內容不同。前者是對被審計單位的外部環境、內部環境、內控制度，特別是對會計報表及賬務處理的準確性及真實性進行評價，具有經濟評價性質，較為復雜；后者是對被評估單位反洗錢相關的環境、內控制度及可疑交易分析能力進行評價，具有單一性風險評價性質，較為簡單。三是法律責任不同。審計主體對審計報告具有強制性報告義務，并對出具的審計報告承擔法律責任；洗錢風險評估是對風險進行判斷，不具有強制性報告義務，較少承擔法律責任。四是委托責任不同。前者是會計師事務所接受有關信息使用者的委托，對被審計單位進行審計，信息使用者包括政府、股東及投資者等相關人員；后者主要是評估主體接受政府部門委托，根據最新風險狀況對被評估機構洗錢風險進行評估。

（二）風險導向審計對洗錢風險評估的借鑒意義。風險導向審計理念成熟的理論和規則對新型的洗錢風險評估具有一定的參考意義，主要表現在：一是評估理念。實施審計的范圍包括被審計單位內外經濟、政治、法律環境、內部控制制度及經營狀況，體現出評估對象在極為復雜的情況下，仍講究審計的成本與效益。洗錢風險評估作為近年來推出的一種監管方法，強調合理配置監管成本，通過借鑒審計規則，才能將風險為本的評估理念落到實處。二是評價體系。審計風險評價體系采用類似于矩陣的評價方法評價，其基礎是被審計單位的風險不能通過細化風險點進行簡單匯總，理由在于風險之間存在交叉影響。金融機構洗錢風險評估是對金融機構反洗錢內控制度及控制措施進行評價，各風險控制點對整體風險的影響與審計實務基本相同，借鑒審計評價方法，能較好反映金融機構被利用洗錢的風險。三是評估方法。開展審計時，具體審計目的不同，取證手段也不同，各具優勢，金融機構洗錢風險評估的方法處于摸索階段，通過借鑒，能優化評價效能。

二、審計風險評價體系對洗錢風險評價體系的借鑒

層次分析法（AnalyticHierarchyProcess，AHP）是美國運籌學家T.L.Saaty于20世紀70年代初提出的一種決策分析方法，基本原理是：把一個復雜的決策問題視為一個系統，按總目標、子目標、評價因素的順序進行逐步分解，構建層次結構，然后通過模糊量化確定各元素對于上層指標的重要性，以此遞推到總目標層，從而為最終的決策問題提供較為科學的定量依據。洗錢風險評估方法之一為層次分析評價方法，通過采用分級細化、確定指標分值權重、逐級加減匯總的方式，確定總體水平。如澳大利亞評估洗錢風險主要考慮兩個因素，一是機構被用于洗錢和恐怖融資活動的可能性（剩余風險），若機構的內在風險（自身提供的產品、服務、銷售渠道、面對的客戶群體導致的內在風險）較高，但其各項內控政策措施足以有效管理風險的話，則剩余風險不大；如果被評機構屬于公共機構，則被用于洗錢的影響就比較大，其內控風險模塊和內在風險模塊的風險值根據各自重要性加總，前者減后者得出剩余風險值。我國試行的金融機構反洗錢風險評估標準中，將風險指標劃分為環境、產品／客戶、控制、溝通和調整五類一級指標，通過對各類指標中的標準評價得分匯總得出整體風險，優點在于，整體風險或工作情況受多個控制點、事項或交易的影響，各指標的匯總得分情況能較好反映整體水平，其在工作績效考核運用中的優勢尤其明顯。

審計風險值的確定方法與上不同，是在確定各類風險值（或風險高低）的基礎上，對各類風險值進行數值乘算（或選用“高”、“中”、“低”等文字的定性描述），并通過矩陣表的方式計算確定風險，本文將此方法描述為矩陣評價方法。審計風險值具體確定方法為，審計風險=重大錯報風險×檢查風險（實務中，注冊會計師不一定用絕對數量表示風險水平，還可以選用“高”、“中”、“低”等文字描述，即審計風險值可通過數值乘算，也可以定性確定），其中，檢查風險取決于審計程序設計的合理性和執行的有效性，可以通過職責分配、提供針對性審計計劃等方式解決。重大錯報風險包括固有風險和控制風險，評估時可以單獨對固有風險和控制風險進行評估，也可以合并進行評估。國內有關研究提議采用矩陣方式評價風險，第一種評價方法為，洗錢風險=固有風險×內控風險，其中，固有風險包括：國家／地域風險、產品／服務風險、客戶風險；內控風險主要是指反洗錢內控制度及執行風險。第二種評估方法為：反洗錢風險＝原本風險×管控風險×監管風險。與反洗錢風險管理的評估方法相似，金融機構洗錢風險水平受以下四個方面的因素影響：國家經濟，所在行業、地域環境；反洗錢內控制度與內部環境；金融產品、服務及客戶本身的洗錢風險水平；可疑交易報告的及時性和有效性。第三種評價方法為，金融機構洗錢風險=國家（地域、行業）風險×控制風險×產品（或客戶）風險×交易監測風險（與審計風險評估相似，洗錢風險值可通過數值乘算，亦可定性確定）。

國外有關監管機構采取類似的矩陣評價方法，如德國運用12格矩陣表示不同的風險等級，對金融機構的風險評估方法為，金融機構洗錢風險=潛在洗錢威脅×反洗錢措施的質量，其中金融機構潛在洗錢威脅分為高、中、低三檔，包括金融機構所處地理位置、業務范圍、產品結構、客戶構成及銷售方式。反洗錢措施的質量分高、中高、中低、低四檔，評估結果主要依據金融機構的年度審計報告。本文認為矩陣評價方法體現出風險與成本的一種均衡，避免將洗錢風險通過簡單匯總各級指標分值的方式進行評價。主要體現在：一是控制成本。風險導向審計理論認為，機構內部行使控制職能的人員素質及控制成本影響控制效果，若實施某項控制成本大于控制效果而發生損失時，就沒有必要設置該控制環節或控制措施。洗錢風險評估中，某金融產品被用于洗錢的風險較高，其相關控制風險也較高，但若金融機構的該類金融產品交易量很少，則其整體洗錢風險不能被認定為高風險，投入此部分的評估資源可以相對減少。二是風險項的交叉性影響。即各類風險相互之間的影響，如新客戶“職業”登記為“其他或無業”的比例較高，則不能認定客戶身份識別制度執行有效，被利用于洗錢的風險應該較高。三是不同類別風險對整體風險的影響程度。即當某類風險較高，而其他類風險較低時，須依據各類風險對整體的影響程度確定風險等級。金融機構的反洗錢義務在于預防，所有控制措施都是為做好可疑交易的監測、分析和報送服務，若客戶身份識別制度和客戶風險等級劃分制度執行的很好，但監測分析人員的人數配置不夠、分析能力不高，可疑交易分析系統的智能化不足，則應認定該單位的洗錢風險水平為高風險。

三、風險導向審計方法在洗錢風險評估方法中的運用

（一）運用抽樣評價方法。審計抽樣范圍受所鑒定會計期間的影響，并針對該會計期間各類控制、事項或交易中的部分樣本進行評價，通過樣本推斷總體，如年度財務報表審計，只有在審計報表期初余額，及評價期末、期后事項對報表的影響時，才會跨年度選取樣本。洗錢風險評估相對靈活，可以對某一年度的洗錢風險進行抽樣評估，也可以針對某類控制、事項或交易的樣本擴大至若干個年度進行抽樣評估。

（二）依據風險高低擴大或減少樣本量。審計實務中，若認為被審計單位控制環境薄弱，則很難認定某一相關流程的控制有效，其實質性測試的樣本量會大幅增加（實質性測試包括細節性測試和實質性分析程序，即對會計計量的真實性、準確性、合理性進行審查）。小型機構員工較少，限制了其職責分離的程度，雖然沒有文件形式的控制要素，但了解管理層的態度、認識和措施及其控制環境非常重要，應該更多的采取實質性程序。洗錢風險評估可借鑒以上方法，若金融機構的內控風險很高，則其客戶身份識別、交易記錄保存及客戶風險等級劃分相關控制點就較難得到有效執行，繼而影響異常交易分析識別的及時性和有效性，此時應擴大對異常交易分析及報告的樣本量，確定洗錢風險的高低。

（三）整合取證手段。審計取證方法包括查閱、詢問、觀察、穿行測試、重新執行、實質性分析程序等方法，具體審計目的不同，取證手段和工作流程也不同。如對收入確認的完整性測試，由原始憑證追查至明細賬（從發貨部門的發運憑證追查至有關銷售發票副本，再到收入明細賬），而對收入確認真實性的審計流程與上述流程相反。洗錢風險評估中，如評價金融機構的可疑交易報告是否有遺漏，可以選取部分存量客戶，從建立業務關系，到客戶風險等級劃分，再到可疑交易分析報告的整個流程進行取證；評價可疑交易報告是否合理，則與上述流程相反。在具體方法運用上，主要有以下幾種可供借鑒。1、詢問。向金融機構有關員工進行詢問，獲取與內部控制運行情況相關的信息。如果某項控制要求某一員工（復核人）在文件上簽字以證明他復核該份文件，那么應詢問其復核的性質，即對什么進行復核，復核的要點是什么，簽字復核的意義等等。如個人獨資企業、家族企業、合伙企業、存在隱名股東或匿名股東公司的盡職調查難度通常會高于一般公司，應詢問此類盡職調查的方法和措施。2、穿行測試。追蹤交易報告在業務流程中發生、處理和記錄的過程。業務流程中存在多個風險控制點，如客戶身份識別措施——身份識別記錄——風險等級劃分——交易記錄保存——可疑交易提取、分析——復核確認——分析報告結論，通過穿行測試，掌握內控薄弱環節，及對整體風險的影響程度。3、重新執行。審計實務中，檢查復核人員是否認真執行核對時，不僅應檢查是否在相關文件上簽字，還應選取一部分憑證如銷售發票進行核對。在風險評估中，可以選取部分可疑交易報告，評判可疑交易分析復核的合理性；在可疑交易分析系統及風險等級劃分系統（或者是功能模塊）中，評估人員從相關系統調取客戶身份資料（一般是開戶資料）和交易記錄，以評價系統設計的合理性。4、實質性分析程序。通過研究數據間關系評價一段期間的交易情況。審計實務中，實質性測試包括對各類交易、賬戶余額和披露的細節測試以及實質性分析程序（如財務指標的橫縱向比較）。在洗錢風險評估中，可以運用到實質性分析程序，如“可疑交易量／同類型交易量”的橫縱向比較，“未登記客戶職業信息數量／所有客戶數量”的橫縱向比較；如私人銀行業務的投資理財品種和交易金額的變動情況。

四、審計成本控制在洗錢風險評估成本中的借鑒

第2篇

【關鍵詞】風險導向審計 風險評估 審計信息化

黨的十七大報告中將原來的“四化”擴展為“五化”，專門加入了對信息化的要求。信息化已經廣泛地應用于各個領域之中，審計工作也面臨著沖擊和影響，傳統的審計理念、審計方法、審計手段已經制約了審計工作的發展，在信息化條件下不斷提高審計質量，降低審計成本，加快審計信息化建設的進程，提高管理能力和水平，是審計發展的必然趨勢。

一、審計信息化的現狀

隨著數據庫技術、網絡技術、存儲技術的發展，審計所需數據可以比較方便的從被審計單位系統遷移或轉換到審計業務系統中來，計算機審計已成為審計最重要的審計方法。改變傳統的作業手段，加快審計信息化建設步伐，從審計模式上將各個允許減少人工作業的模塊使用計算機自動分析，實現信息化集成和批量處理是審計發展的必然趨勢。

二、審計信息化在風險評估中的運用

（一）風險評估在風險導向審計中的作用

風險導向審計以戰略觀和系統觀思想指導重大錯報風險評估和整個審計流程，其思維與流程主線可以概括為：審計風險主要來源于企業財務報告的重大錯報風險，而重大錯報風險主要來源于整個企業的經營風險和舞弊風險，審計風險模型把審計風險和重大錯報風險有機的結合在一起。風險評估程序是注冊會計師為了了解被審計單位及其環境，以識別和評估報表層次和認定層次的重大錯報風險而實施的審計程序，是風險導向審計模式的重要組成部分。

（二）風險評估程序中如何運用審計信息化

首先，在風險評估程序中可以采取詢問、分析程序、觀察和檢查等方法來對被審計單位進行初步的風險評估，在此層面上，可以采用信息化給予輔助的可以有以下方面。

詢問管理層和相關人員獲取相應報表編制環境信息的時候，詢問人員的選擇可以由計算機自動篩選，相關管理層的履歷和報表年度業績要求和管理權限也會反映在計算機數據上，有助于排查管理層的誠信問題和是否存在舞弊壓力和動機；在員工人數比較多的被審計單位可以采用計算機網絡調查問卷的形式進行詢問，詢問可以選擇匿名或實名，更有助于發現問題，并由計算機后臺自動比對詢問結果，該結果可以作為注冊會計師詢問獲取是否存在由于舞弊產生的重大錯報風險的相關證據。

分析程序是能將審計信息化運用得最恰當的一個方面，將被審計單位業務情況市場情況以及相關業績要求導入審計分析系統，將其與報表數據進行比對分析，計算機自動分析的結果可以有助于注冊會計師快速識別出從數據層面上未被識別出的重大錯報風險。

其次，在風險評估程序中，執業指南要求注冊會計師從以下幾個方面了解被審計單位及其環境：被審計單位所處相關行業狀況、法律環境與監管環境及其他外部因素；被審計單位的性質；被審計單位對會計政策的選擇和運用；被審計單位的戰略目標以及可能導致重大錯報風險的相關經營風險；被審計單位財務業績的衡量和評價；被審計單位的相關內部控制。以下就從這幾個方面探討風險評估中如何運用審計信息化。

在了解相關行業狀況、法律環境與監管環境及其他外部因素時，可以運用風險導向審計信息化系統建立行業信息資料庫，按行業分類，審計人員在獲得被審計單位授權后可以進行比對查閱；同時資料庫對口連接各個監管部門的數據庫，配套法規政策出臺以及運用的時間點實現同步更新，按地區導入最新法律法規，按信息點分類檢索一致性，實現智能化對接，一步檢索到位；不僅能在了解層面對比被審計單位的相關外部因素，在后續的審計中檢查合法合規性時也可以作為參考標準使用，減少重復工作。

被審計單位的性質和被審計單位的內部控制這兩個可以同時通過風險導向審計信息化系統來進行分析，將被審計單位的各種所有權結構和治理結構對應分析，如果系統資源足夠完善的話，還能通過比較識別出潛在的關聯方和關聯方交易，從而提示審計人員給予充分的關注；被審計單位的內部控制體系可以直接導入審計方的風險導向審計信息化系統，實現數據無縫轉接，極大程度上減少了口頭溝通和面對面審計模式。在實務中，審計人員如果選擇信賴被審計單位的內部控制，都會適當減少控制測試和實質性程序，但內部控制中的人工成分不能全部依賴于系統的自動分析，還是需要注冊會計師的人工識別。

在了解被審計單位對會計政策的選擇和運用時，風險導向審計信息化系統可以將從被審計單位收集到的會計賬務具體處理方式和非數據信息分門別類，和現有的會計從政策逐一核對，將核對結果反映給審計人員，由審計人員做簡單的職業判斷即可，如有與常規會計處理不一致的交易將被系統自動識別出來，作為風險點反饋給審計人員。

在了解被審計單位的目標、戰略以及可能導致重大錯報風險的相關經營風險時，被審計單位的經營狀況應放到大經濟環境中加以考慮，被審計單位在歷年審計中所提到的目標戰略應該在審計信息化系統中保留下來，在承接新的審計任務時，可以通過密鑰或相關授權得到歷年的非數據信息，減少審計人員盲目收集資料的時間；對于被審計單位的業務拓張和新產品開發將會由系統上指派的行業專家進行評估，避免審計人員由于不了解行業而做出錯誤的職業判斷，這一評估過程將由特定的保密措施約束，被審計單位有權在系統中申請關閉本單位新產品和新戰略信息的評估權限。

在了解對被審計單位財務業績的衡量和評價時，關鍵業績指標的取得和比較是分析重大錯報風險的關鍵。現在的審計實務中，相應的指標數據都已經可以由計算機自動計算完成，但是比較的過程還是由審計人員逐一核對，新的風險導向審計信息化系統應該能夠把指標數據通過相應模型進行橫向縱向自動對比，自動標示出非線性變化點或異常點，再由審計人員將其導入審計風險模型中進行分析，以便確定進一步審計程序；管理層的獎金和激勵性績效如果和利潤掛鉤，運用系統導入同行業高管薪酬水平和利潤率進行比較，可以很好的檢測出是否存在管理層舞弊的潛在風險。

（三）風險應對中如何運用審計信息化

現有的審計信息化軟件僅能將同質化的會計信息數據遷移，然后進行自動比對，一般的核對項目僅限于和管理層認定進行比對，做出相應審計成果匯總。但在絕大多數審計中，報表層次的重大錯報風險是和特別風險緊密聯系的，特別風險的辨別不容易被常規處理所發現。

三、對于審計信息化與風險導向審計結合的延伸思考與展望

現代風險導向審計模式中重大錯報風險的評估，很大程度上依賴于審計人員的職業判斷，新的風險導向審計信息化系統完善后，審計人員只需要把被審計單位的基本信息導入系統，就可以得出相應的風險評估指標數據，極大了節約了審計成本。但是，由于風險導向審計信息化系統的公共性太強，這就對系統的安全性和可能接觸到系統的工作人員的職業道德提出了更高的要求。

風險導向審計信息化系統很大程度減小了審計人員和被審計單位的信息不對稱的可能性，在一定程度上約束了被審計企業信息造假的可能性，更大程度的發揮了審計的經濟監督職能。

參考文獻：

[1]蔡毓瑾.淺談內部審計信息化[J].財經界（學術版），2012，（2）.

第3篇

一、以排序經營風險大小為重點，編制計劃，確定項目

根據企業經營風險的大小來編制年度審計計劃和確定審計項目，是配合企業年度風險戰略、對年度審計任務所做的安排，是企業年度計劃的重要組成部分，也是體現風險評估重要作用的首要環節，其中的關鍵步驟是制定選擇被審計者的策略和按風險水平對潛在被審計者進行排序。以產能建設項目投資專項審計為例，按照因果樹方法進行定性分析，從“戰略目標——影響因素——開發優勢——投資價值”等鏈條環節逐一分析評估，認定“產能建設及其投資效益的不確定性成為高風險因素”，最終將產能建設投資專項審計項目列入年度審計計劃。該環節主要步驟是：

根據企業風險評估情況編制年度審計計劃時，要具體考慮以下幾方面因素：上一次審計的日期和結果，審計間隔期越長，風險就越大；企業對前次審計的整改情況，整改不徹底或未整改，說明風險較大；企業內部控制的強弱，薄弱環節或缺陷越多，說明內部控制不健全或執行不到位，越應該進行審計；重要業務領域，如資金管理、投資管理、物資采購等業務，存在風險的可能性較大，應該進行重點關注；企業領導特別關注的問題，此類問題存在特殊性、重要性的特點，應優先安排審計；職工群眾普遍關注的熱點、難點問題，是屬于容易引起大家爭議的領域，存在一定的風險，需要重點關注；企業風險防范措施的充分性、有效性；審計人員的勝任能力，也是編制年度計劃、確定審計項目時需要考慮的問題。

對企業風險進行評估時可靈活采用以下方式：安排審計人員查閱以前年度內外部審計和檢查的檔案資料，結合實際情況分析企業存在的風險；組織不同部門人員、不同行業的專家進行討論，分析企業面臨的風險；聘請中介機構對企業面臨的風險進行評估。

二、以識別風險評估范圍為導向，開展調查，圈定重點

審計部門按照年度審計計劃，按期逐項實施審計項目。審計項目準備階段的主要任務是組建審計組，選擇配備審計組長和主審，進行審前調查，制訂審計實施方案。其中，集中體現風險評估手段的是審前調查，采取的主要方法是分析性復核和內部控制測試。主要步驟是：

在該階段，應予識別和評估風險的范圍包括被審計者所有領域和所有經濟活動、業務流程；風險類別既有固有風險，也有控制風險。通過分析審前調查資料，不僅要了解企業與外部環境的聯系，發現潛在的重要風險；還要根據重要戰略風險和重大交易類別確定關鍵經營環節并進行分析，識別企業面臨的經營風險；然后根據分析情況，逐項列明企業經營風險清單，將審計范圍內的高風險領域作為審計重點。審前調查的主要內容包括：企業的經營規模、行業特點等內外部環境；產供銷活動、投資活動、籌資活動、財務報告等相關經營信息；內控體系建設、風險應對機制、風險管理過程等內部控制信息。

在審前調查中，審計人員可用以下方式獲取企業資料：通過詢問企業管理層并進行討論，了解風險管理、信息管理、戰略管理方面的有效性；通過查閱企業內外部審計檔案、會議記錄、財務報表、公司文件等內部資料，了解經營模式、關鍵績效指標、內控流程等相關情況及存在的內部風險因素等；查閱有關財務制度和行業法律法規、行業發展趨勢、本企業在行業中的地位、該行業其他公司的年度報告等外部資料，掌握企業經營管理、客戶信息、競爭對手、發展前景等方面信息，了解企業外部環境中存在的有利、不利因素，以及潛在的風險點。

三、以計價風險影響程度為參考，擬定方案，分配資源

審計小組在審前調查結束后，應根據審前調查掌握的風險程度編制審計工作方案。在審計方案中要著重考慮以下幾個方面：首先根據已列示的企業重大風險清單，通過分析，確定是目前已存在的風險還是潛在風險，以及風險發生的可能性；然后按照風險程度高低，確定現場審計的時間、范圍、審計程序及查證重點；最后根據上述內容，擬定適用的審計方案，合理分配審計資源，如安排業務能力強的審計人員對高風險領域進行全面詳細檢查；對不同層次的風險領域，安排不同的抽樣比例進行檢查，以突出審計重點，提高審計效率與效果。

分配審計資源時，可以采用風險計算公式：風險=暴露的金額×可能性×發生頻率。以計分的方式，將風險大的領域或環節作為審計的重點，從而使現場審計的目光始終聚焦于重大風險領域。另外，在配備審計人員時除選派本部門專職審計人員外，還應考慮配備具有豐富風險管理經驗的專業人員。尤其在實施大型審計項目時，審計組成員除專職審計人員參與外，可聘請風險管理、計算機、計劃統計等方面的專業人員參與；對于一般審計項目，可在審前培訓中增加有關風險管理知識和技能的培訓，加強審計人員在風險分析、風險評估等方面的學習與討論，為順利實施審計打好基礎。

四、以分析偏高風險領域為目的，把握方向，鎖定難點

審計組在上述各項準備工作完成后，要按審計通知書要求進駐企業。首先要召開進點動員會，聽取企業關于基本情況的匯報，向對方明確本次審計的目的、主要內容并提出相關要求。其次要開展現場查證，現場查證的內容與審前調查內容有所不同，現場查證的內容更具體，更側重于企業各經營環節，尤其要關注是企業高風險領域、關鍵經營環節的內控測試。通過現場查證要進一步分析企業存在的經營風險并按風險大小進行重新排序，若分析結果與審前調查有差別，應重新調整審計實施方案，調整審計測試的范圍、重點以及分工，做到把握好審計方向，鎖定下一步的工作難點。

結合《內部審計實務標準》要求，筆者認為，該階段按風險大小進行重新排序時應圍繞以下幾個方面：涉及財務暴露的問題，交易金額大的，存在風險也越大，應予以先審；涉及可能出現的損失或風險，損失或風險大的事項或業務應進行先審；涉及企業決策層要求的事項或重點關注的領域，應安排優先審計；涉及經營管理、計劃目標、內控系統方面存在重大變動的事項，要先行關注；曾使內部審計部門取得較大審計成果的事項，也應屬于先審之列。

五、以測試潛在風險環節為基礎，獲取證據，實施評價

筆者認為，因為我國目前企業治理結構及內部控制制度還不完善，當內部控制存在缺陷而審計人員未發現或測試內部控制不充分時，會出現極大的風險，因此在實務操作中應把企業內部控制測試作為必需程序，通過實質性測試，充分揭示企業經營管理中潛在的風險隱患，并對各種風險的程度、發生的可能性以及可能造成的損失等進行評估，在此基礎上獲取充分、適當、有效的審計證據，形成具有說服力的審計發現。控制測試時不能局限于會計控制系統，而更應側重經營風險控制的測試，以確定企業是否有效控制了經營風險。若測試過程中發現某經營環節特別是關鍵環節控制不存在、控制設計不合理或存在重大缺陷、內控執行不到位或執行無效等情況，審計組長或主審應考慮調整審計實施方案，擴大實質性測試范圍或采取其它替代程序，尤其是對于各類重大交易事項必須進行實質性測試。