审计中的风险评估篇1

关键词：人民银行；信息技术；审计；风险评估模型

一、引言

随着信息化的迅猛发展，人民银行对信息技术的依赖程度不断提高，信息技术己经成为人民银行日常运营的基础平台和金融创新的重要手段。但信息技术在迅速发展的同时，也带来了巨大的技术风险，一旦发生问题，将直接影响业务的连续性，使人民银行而临财务损失和声誉风险，甚至影响银行业的安全。因此，发现信息技术潜在的风险点，采用风险导向审计模式开展信息技术审计，一方而能够最大程度防范信息技术风险，确保各项业务安全、稳定、高效运行;另一方而能够节约审计成本，提高审计效率和质量，增加审计的组织价值。

二、央行信息技术审计现状

人民银行自2000年左右提出信息技术审计的概念，经过多年的探索与发展，由对单个重要业务系统逐渐向对机房、数据库等信息技术的核心开展审计，审计范围覆盖了网络管理与安全、操作系统和数据库管理、电子化设备管理、大小额支付系统、会计核算系统、国库系统、征信系统和反洗钱系统等业务领域，有效促进了信息系统内部控制和风险管理水平的提高。在此基础上，2009年起，人民银行开展了更具综合性的信息技术应用和系统运行管理专项审计(后称为“科技综合管理专项审计”)，该项目涉及分支行科技管理的各个方而，促进了分支行科技管理水平和信息安全意识的提高。同时，在开展的过程中不断深化，融入绩效审计理念，在关注系统安全性的同时，也关注信息系统建设和运行的经济性、效率性和效果性。近两年，央行探索将信息技术审计与业务审计相结合，开展了国库会计核算业务与系统运行管理、二代支付系统等专项审计，力求从业务的角度审视技术的支持保障能力，从技术的角度评估业务的风险防控能力。近几年，传统的合规性信息技术审计所依赖的审计依据往往跟不上信息技术的发展和变化，同时也较多依赖审计人员的个人能力，审计中缺乏重点，虽然而而俱到，但审计成果琐碎平淡，缺少深度和建设性。因此，信息技术审计人员必须在审计中引入风险导向审计模式，不断地向技术的更深层而挖掘风险，不断提升审计成果的附加值和说服力。

三、央行信息技术风险评估模型构建

风险导向审计的基础是识别和评估风险，因此，开展风险导向审计首先要构建合适的风险评估模型，以实现对风险的量化分析。风险评估是指内审部门采用剩余风险评估模型，运用规范的定性、定量方法，通过风险识别、固有风险评估、控制有效性评估、剩余风险计算，确定评估对象的风险级别。

(一)风险识别

风险识别是风险评估工作的基础和关键环节，只有了解和掌握被审计业务领域存在的具体风险事件，才能进一步开展评估、实施审计。风险识别程序要求采用一种有计划的、经过深思熟虑的方法，来识别业务各个方而存在的潜在风险，并识别可能在合理的时间段内影响每项业务的较为重大的风险。信息技术风险是组织在信息处理和信息技术运用过程中产生的可能影响组织目标实现的各种不确定因素，表现形式有自然灾害、人为破坏、设备故障、内部与外部攻击、数据误用、数据丢失以及应用程序错误等。保障人民银行信息安全除了须保障物理环境、网络、主机、应用、数据等技术领域的安全之外，还涉及组织与计划、开发与采购、运维与外包以及应用控制等领域的安全控制。

(二)风险评估

风险评估就是对风险的成本、影响及发生的可能性进行评估，有效的风险管理技术一般会量化风险，运用风险评估模型，针对识别出的“风险事件清单”中的每一项风险事件，依次计算固有风险和剩余风险级别，风险的计算采用加权法，各风险级别均划分为1-4级，1级风险最低，4级风险最高。1.固有风险评估<1)风险事件固有风险评估风险事件固有风险评估是量化评估风险的起点和基础，利用德尔菲法，采用风险矩阵，从风险发生可能性和风险影响程度两个维度进行度量，将两者级别分别标注在风险矩阵的相应区域，交汇区域即为该风险事件的风险级别。风险矩阵如图1所示。<2)业务领域固有风险评估根据风险事件对应业务的业务量及工作量大小确定各风险事件权重，根据风险事件权重及风险等级计算业务领域固有风险级别。业务领域固有风险级别二E(该业务领域风险事件权重X该业务领域风险事件风险级别)一E该业务领域风险事件权重。2.内部控制有效性评估根据搜集的资料以及审计经验，从近期各类信J急技术审计、专项检查结果以及信息技术内部控制变化情况等方而，对各业务领域内部控制进行有效性评估。其中，各类审计、检查结果评定指标为检查频率、所发现问题的数量及严重程度;内部控制变化情况评定指标为问题整改情况以及内部控制变化情况。内部控制有效性越高，对应的风险级别越低，反之，风险级别越高。3.乘余风险评估根据内控有效性的风险，通过剩余风险评估模型计算各业务领域的剩余风险级别。剩余风险级别二(艺各类固有风险权重X风险级别十E各项内部控制有效性权重X风险级别)一<E各类固有风险权重十E各项内部控制有效性权重)，其中，各项内部控制有效性权重二25%XE该业务领域风险事件固有风险权重。

(三)风险管理效果评估及结果运用

根据各业务领域剩余风险级别计算剩余风险平均值，以此判断被审计单位信息技术风险控制状况，并提供合理的审计建议。同时，可参照剩余风险值，制定审计计划及频率，明确信息技术的审计重点。风险管理效果评估见表1所列。

(四)案例分析—以科技综合管理专项审计为例

在对某地市中支的科技综合管理专项审计中，笔者结合现场审计情况，运用此模型对被审计单位的信息技术风险管理情况进行评估。根据审计内容，将被审计单位科技综合管理划分成七大业务领域共33类风险事件。七大业务领域分别为内部控制、机房管理、网络管理、系统运维管理、管理、设备采购及外包服务管理，以及应急、备份和文档管理。以机房管理领域为例，共有6类风险事件，根据业务的重要程度、发生可能性以及业务量的大小，结合以往审计经验，利用德尔菲法，依次评定了各风险事件的固有风险、权重以及该业务领域的固有风险，其风险事件清单及固有风险评估见表2所列。根据现场审计情况，并调阅近期对被审计单位科技管理的各项审计、检查材料，对各业务领域的控制有效性风险级别进行评定，并计算出各业务领域的剩余风险以及科技综合管理剩余风险级别。剩余风险评估见表3所列。评估结果显示，被审计对象科技综合管理平均剩余风险级别为2.38，属于“0-2.5”层次，对照《风险管理效果评估表》，该单位的科技风险控制情况较好，可将审计频率定为5年一次，并在审计中重点关注管理、网络管理、机房管理以及设备采购和外包服务管理等风险级别较高领域。

四、建立央行信息技术风险导向审计模式

风险导向审计模式并不仅仅是风险评估，其核心在于围绕风险开展审计，下而将探讨如何围绕风险开展信息技术审计项目，将“风险引导审计，审计关注风险”的理念贯穿于信息技术审计项目的全过程。

(一)以风险为导向编制信息技术审计整体规划

这是风险导向内部审计方法在宏观层而的运用，根据风险评估的结果重新审视和规划信息技术审计的业务范围，各审计对象的审计频率以及审计方式、方法等。可通过构建信息技术风险数据库，从组织机构和业务领域两个维度记录信息技术风险评估数据，根据信息技术风险数据库“自上而下”制定信息技术审计整体规划。在构建信息技术风险数据库时，须根据业务关注度、信息资产的重要性、对信息技术的依赖程度、信息技术人员的专业胜任能力等因素对信息技术管理现状进行一次全而评估。

(二)以风险为导向编制信息技术年度审计计划

参照信息技术审计整体规划编制年度审计计划，优先对高风险领域、高风险机构实施审计。同时，应根据本年度工作重点、热点和难点以及管理层关注事项对年度审计计划作出适当调整，选择被审计对象及业务种类，梳理形成本年度信息技术审计项目清单、审计项目日程表以及审计项目所需资源等。在梳理信息技术审计项目清单时，可根据业务复杂度、业务间关联性等选择对某一个业务领域开展审计，或选择将多个业务领域组合起来开展综合性审计。

(三)以风险为导向开展审计项目

信息技术审计程序可以划分为审前准备阶段、现场实施阶段、审计报告与后续跟踪阶段，各阶段均应体现风险导向要求。在审前准备阶段，通过审前调查情况，动态调整权重和风险级别，并提前调取被审计单位内控制度、岗位分工、系统日志以及网络配置等电子版资料，对收集的资料、数据进行非现场分析，列出审计疑点和问题线索，并计算各业务领域剩余风险，根据审计风险评估结果制定实施方案。在现场实施阶段，应紧紧围绕风险实施现场审计，按照审计方案、风险事件清单，选择与风险性质和特点相适应的审计方法，对风险级别高的事件和隐患进行深入分析和排查，充分体现“风险引导审计”原则。在审计报告阶段，内审人员应以有效降低信息技术风险，保障各业务的连续性为目的，报告被审计对象信息技术问题缺陷，围绕风险深入分析问题产生的原因，从防范和化解风险的角度提出切实可行的审计建议。在后续跟踪阶段，对于审计中风险隐患较大、发生频率较高的问题应持续跟踪，并根据后续跟踪及整改情况更新信息技术风险数据库，调整信息技术审计整体规划。

五、行信息技术审计中的全方位推广奠定坚实的基础。

(二)着力培养信息技术审计与风险评估人才

在信息技术审计中运用风险导向审计方法，不仅要求审计人员具备信息技术领域的专业知识，还须具备运用风险评估技术的能力，因此，复合型人才的培养与储备是基于风险导向信息技术审计模式实施必不可少的前提条件。人民银行各级分支机构可以通过向审计部门输送新的信息技术人才、开展后续教育及培训等方式，逐步建立具有信息技术领域专业素养和风险评估技术的复合型内审人才队伍。

(三)循序渐进推行风险导向审计模式

基于风险导向的信息技术审计模式是在传统信息技术审计模式基础上发展起来的，因此，在实施新模式的同时应注重与传统模式的有机结合，注重对传统模式所取经验的吸收与利用，注重新旧审计模式的互为补充，循序渐进地推行新模式，从而更加有效地提升央行信息技术审计的质量与效率。

(四)建立风险导向信息技术审计模式运用机制

不断加大基于风险导向信息技术审计模式试点工作，加大新审计模式在实际审计项目中的运用探索，不断完善其运用流程、方法等，待时机成熟时出台相关规章制度，为新审计模式的运用提供制度保障，从而建立风险导向信息技术审计模式运用长效机制。

六、深入推进央行信息技术风险导向审计的建议

(一)尽快建立央行风险评估信息数据库

建立央行风险评估信息数据库，完整记录央行信J急技术风险评估各期数据，编制风险原因分析字典，这将有利于评估数据的采集、分析以及不同时期、不同对象风险状况之间的比对，为风险导向内部审计模式在央行信息技术审计中的全方位推广奠定坚实的基础。

(二)着力培养信息技术审计与风险评估人才

在信息技术审计中运用风险导向审计方法，不仅要求审计人员具备信息技术领域的专业知识，还须具备运用风险评估技术的能力，因此，复合型人才的培养与储备是基于风险导向信息技术审计模式实施必不可少的前提条件。人民银行各级分支机构可以通过向审计部门输送新的信息技术人才、开展后续教育及培训等方式，逐步建立具有信息技术领域专业素养和风险评估技术的复合型内审人才队伍。

(三)循序渐进推行风险导向审计模式

基于风险导向的信息技术审计模式是在传统信息技术审计模式基础上发展起来的，因此，在实施新模式的同时应注重与传统模式的有机结合，注重对传统模式所取经验的吸收与利用，注重新旧审计模式的互为补充，循序渐进地推行新模式，从而更加有效地提升央行信息技术审计的质量与效率。

(四)建立风险导向信息技术审计模式运用机制

审计中的风险评估篇2

一、风险导向审计模式的特点

风险导向审计模式是战略管理理论和系统理论在审计实践中的运用，以降低审计风险为根本途径，以评估重大错报风险为主线，并将识别和评估的风险与实施的审计程序有机结合，旨在提高审计效率和审计效果的一种审计技术。

风险导向审计是指审计人员在对被审单位的内部控制充分了解和评价的基础上，分析、判断被审单位的风险所在及其风险程度，把审计资源集中于高风险的审计领域，针对不同风险因素状况、程度采取相应的审计策略，加强对高风险点的实质性测试，将内部审计的剩余风险降低到最低水平。

二、风险导向审计基本程序、方法

首先进行风险评估：了解被审计单位及其环境，在整体层面了解内控，评估经营风险；在业务层面了解内控，评估认定风险；以此推断出企业可以接受的重大错报和检查风险（即剩余风险）；其次根据风险评估结果，制定具体审计计划，如果初步评价控制风险水平较低，则实施控制测试，依据控制测试的结果，确定是否扩大交易的实质性测试。如果初步评价控制风险水平较高，则应直接转入交易的实质性测试，评价财务报表的可能性。最后实施分析性程序和账户余额的实质性测试。在该种模式下，除采用账项导向审计和系统导向审计模式下的审计方法外，还大量采用分析性程序的方法，如：趋势分析法、比例分析法等。

三、风险导向审计模式在该公司的应用初探

1.首先在公司内部建立风险评估预警中心

在公司内部建立风险评估预警中心，该中心由董事长领导，从审计部及绩效推进部抽调具有一定理论经验和实践经验的专业人员组成，该中心主要职责是建立健全风险管理组织体系、定期进行风险评估及出具风险评估报告及应对策略等。

2.了解企业内部与外部环境风险

企业的外部环境是企业生存的基础，外部环境变化对企业蕴涵着越来越多的风险。风险导向内部审计要求审计人员不仅要了解本企业的经营情况，还要了解以下内容：（1）同行业竞争对手以及潜在的竞争对手的经营情况；（2）企业产品、原材料以及服务等的市场波动风险；（3）国家政策环境变动的风险；（4）科技进步风险；（5）自然灾害带来的风险等外部环境的风险。

3.以下以该公司税务管理活动为例，详细介绍风险导向审计模式的整个流程

（1）理清税务管理活动对应的风险清单，对税务风险有初步了解。

2.建立公司税务管理活动内部控制矩阵，通过对重大事项、关键控制点实施控制测试程序，确定公司可接受的风险大小。

3.对税务管理活动进行实质性测试

根据对控制测试结果的分析，实施实质性测试。定期评估主要分为季度或者半年进行税务活动检查，通过对内控各关键控制点的审查，发现内控的薄弱之处，找出问题发生的根源，然后针对这些环节扩大检查范围。在实施实质性测试时，从记账凭证、账簿、会计报表等，追查到所依据的相关会计原始凭证，验算其记账金额，核算账证、账账、账表之间的勾稽关系。

不定期检查评估主要是针对特殊事项，例专项税务稽查前针对稽查重点提前做好风险评估、风险防范、及修改完善等应对方案；税法政策变更前后的税务风险评估及税收策划，尤其是近期化肥产品免税政策取消及房地产行业预计营改增税收政策的变化等，则风险评估预警及税收策划的作用显得尤其明显。

4.出具风险评估报告及风险应对报告

税务管理活动的最终结果是出具风险评估报告及风险应对报告，以规避风险，保障公司稳定发展。

审计中的风险评估篇3

关键词：风险导向审计；企业经营风险；风险评估

中图分类号：F239文献标志码：A文章编号：1673-291X（2013）08-0135-03

一、现代风险导向审计的引入

风险导向审计产生于20世纪70年代的西方，当时的注册会计师职业界面临着空前的“诉讼爆炸”，审计人员的风险意识日益增强，风险导向审计应运而生。我国风险导向审计产生于20世纪90年代后期，由于公司经营本身存在的风险，以及审计技术的局限性等，使得注册会计师不可能对所作出的审计意见作完全的保证，而只对有能力作出保证的程度承担责任，这时，审计界就开始探讨风险导向审计运用。

（一）传统风险导向审计的缺陷

在运用传统风险导向审计方法时，审计人员往往不注重从宏观层面上了解企业及其环境，而从较低层面上评估风险，导致审计资源在低风险和高风险审计领域的分配不当，难以保证审计的效率和效果。传统风险导向审计方法注重对账户余额和交易层次风险的评估，但企业处于整个社会经济生活中，所处的经济环境、行业状况、经营目标、企业战略和经营风险都将最终对会计报表产生重大影响。而且，当企业管理当局串通舞弊时，内部控制是失效的。如果不把审计视角扩展到内部控制以外，就不能发现由于内部控制失效所导致的会计报表存在的重大错报和舞弊行为。因而急需一种全新审计模式来代替它，现代风险导向审计也就应运而生。

（二）现代风险导向审计的含义与特征

风险导向审计是以审计风险的分析和评估为基础，综合考虑评价影响审计风险的各种因素，并将风险水平加以量化，然后以此为根据来确定审计实施的重点和范围，进而对被审事项的真实、公允进行实质性检查。它按照战略管理论和系统论，将由企业整体经营风险所带来的重大错报风险作为一个重要构成要素进行评估，是评估审计风险观念、范围的扩大与延伸。

现代风险导向审计的重点是风险评估整个流程突出对重大错报风险的评估，运用“自上而下”和“自下而上”相结合的审计思路，审计起点从原来的会计报表项目转为从企业的环境、性质、目标战略及业务流程，全面评估企业可能存在的重大风险。

二、审计风险评估体系的建立

风险导向审计模式下审计的程序包括以下步骤：风险评估程序、控制测试、实质性程序，其中风险评估是基础和前提，通过风险评估来确定实施进一步审计程序的性质、时间和范围。

（一）审计风险评估指标体系设计思路。

审计风险是指，会计报表存在重大错报或漏报，而审计人员审计后发表不恰当意见的可能性。根据新的审计准则，总体审计风险包括重大错报风险和检查风险。重大错报风险是指财务报表在审计前存在的重大错报的可能性，重大错报风险的大小主要取决于生产经营风险的大小，而企业内部控制设置和执行的缺陷及具体认定本身固有缺陷也会造成错报风险。检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报而未能被实质性测试发现的可能性。

审计的最根本着眼点就是分析企业所面临的经营风险，审计风险评估指标体系的设计也从企业经营风险和控制风险上来进行设计。会计报表风险实际上是企业战略风险和相关经营风险的副产品，①其审计风险=企业经营风险+控制风险+检查风险。②

（二）审计风险评估指标体系的构成

审计风险评估指标体系可以依据注册会计师审计准则第1211号―了解被审计单位及其环境，并评估重大错报风险来确定。

1.外部环境。外部环境对企业的经营和发展产生重要影响，从而可能导致重大错报风险的产生。可能影响财务报表的外部环境包括企业所处行业状况、法律环境、监管环境、宏观经济环境。

2.被审计单位的性质。如果被审计单位的所有权结构、治理结构、组织结构不恰当或存在缺陷，就有可能造成财务报表出现重大错报。

3.经营活动。被审计单位的经营活动会产生经营风险，而多数经营风险最终都会产生财务后果从而影响财务报表。经营风险主要来源于对被审计单位实现目标、战略产生不利影响的重大情况、事项、环境和行动，或源于不恰当的目标和战略，以及为实现目标和战略制定的关键经营流程。

4.财务业绩的衡量和评价。被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力，促使其采取行动改善财务业绩或歪曲财务报表。财务业绩的衡量和评价因素包括关键业绩指标、业绩趋势、业绩考核与激励性报酬政策。

5.内部控制。内部控制能有效防止、发现和纠正被审计单位差错和舞弊，如果内部控制不利，被审计单位财务报表中出现重大错报的可能性就会大大增加。内部控制包括控制环境、被审单位的风险评估过程、信息系统与沟通控制活动、对控制的监督。

三、审计风险的评估

审计风险的评估方法采用定量分析法与定性法分析相结合的方法，在下面的审计风险评估中，我们采用了因素分析法、①审计风险模型法、分析性复核等方法。

（一）企业经营风险的评估

企业经营风险评估的目的主要是为了确定企业的总体层次和认定层次的发生重大错报的可能性，传统的风险评估注重于对账户余额和交易层次风险的评估，在现代风险导向审计下，是从经营风险的评估入手，评估企业可能产生的重大错报和漏报。目前审计人员的一般做法是：在各种情况都比较好的情况下，企业经营的水平应该高于50%；反之，如果有某种迹象表明有可能存在重大错误，就应该将企业经营风险定为非常高的水平，甚至100%。

评估企业经营风险的3个具体步骤如下：需要考虑企业经营风险的构成要素及其企业经营风险评估指标；各要素所占的权重以及各要素本身风险值的大小；最后将各要素风险值与其权重加权平均计算出企业经营风险值。

下面举例说明企业经营风险评估的具体实施。

步骤一、经过对企业经营风险要素的识别，从指标体系中，选择一部分指标来进行计算。

它们是企业长期偿债能力指标，盈利能力状况指标，资产营运效率、安全边际指标，顾客满意度，市场占有率，主营业务市场份额等。

步骤二、确定每个指标的取值

A=企业长期偿债能力，B=盈利能力状况，C=资产营运效率，D=安全边际，E=顾客满意度，F=市场占有率，G=主营业务市场份额，H=研究开发新产品周期，I=合格产品比率，以上指标取值均为1―5分。

其中1分表示企业盈利能力非常强、资产营运效率非常高、安全边际程度非常高、顾客满意度非常高、市场占有率非常高、主营业务市场份额非常大，研究开发新产品周期非常短、合格产品比率非常高。

5分表示企业盈利能力非常弱、资产营运效率非常低、安全边际程度非常低、顾客满意度非常低、市场占有率非常低、主营业务市场份额非常小，研究开发新产品周期非常长、合格产品比率非常低。

运用专家意见法，通过反复多次征求专家意见，形成基本一致的意见。根据专家的意见，假设每个指标取值如下：

需说明的是，本举证仅利用了一个简单的多元比较，而未采用高等数学中矩阵来求解。矩阵中每一数字表示该数字所载列的参数相对于该数字所在行的参数的相对重要性（主要取决于审计人员的职业判断）。相关加数值（即各自的权重）是由其上一行的平方根除以4得出。因此，可以计算出个指标的权重如下：

（二）企业控制风险的评估

控制风险是被审计单位内部控制要素效果的函数。审计人员无法改变控制风险水平，仅能评价控制系统和评估未能揭示出错报的概率。如果存在以下几种情况：（1）控制政策与程序与认定不相关；（2）控制政策和程序无效；（3）取得证据来评价内部控制显得不经济。那么审计人员可以将控制风险定为100%，直接进行实质性测试。如果审计人员将控制风险定为100%以下的某一水平，则要执行下面的步骤来评估控制风险的水平。

1.根据识别初步评价控制风险

审计人员在评估控制风险时，先了解相关的内部控制流程，识别相关的控制风险，对控制风险水平作一个初步的评估。了解内部控制时，主要从以下方面考虑：（1）每一结构要素中制度和程序如何设计；（2）这些制度和程序是否得到执行。考虑这两个因素的基础上结合控制风险识别的结果对控制风险做出初步评估。

2.通过控制测试降低估计的控制风险水平

审计人员决定通过有效方法进一步降低控制风险的估计水平时，可以设计追加的测试程序来进行，包括3种方法：重新执行、进一步观察和文件测试。审计人员进行测试时，应该对3个层次的内部控制进行测试，即对最高层、中层和最低层内部控制进行测试。由于内部控制的运行效果可以通过实施控制测试来更好地了解，所以大多数审计人员在没有实施控制测试时都不愿意将控制风险评估为低于最高水平。

3.控制风险的计量

内部控制是一个系统，按层次可分为3个控制层次，即最高层、中层和基层控制。每一个层次都是一个子系统，3个层次中的每个层次的可靠性程序决定着整个内部控制的可靠性。控制风险为：C=1-P；P=P1*P2*P3

其中，C表示控制风险，P表示内部控制的可信性，P1、P2、P3分别表示最高层控制的可信度、中层控制的可信度和基层控制的可信度。首先，对最高层控制所设计的控制风险指标包括权力决策人员知识结构、能力结构达标率。这些指标越高，则内部控制设计相对较为健全，控制风险较小。在中层控制流程上，所运用的指标主要为评价管理部门设立的全面性、互为牵制作用性指标，当这一指标越高时，即管理部门的设计越全面，各职能部门之间能起到很好的牵制作用，则控制风险就可能会小些。在基层控制流程上，评估控制风险的指标主要有一定会计期间内的岗位轮换率，业务操作的换人复核率，稽核程序执行率，稽核统计差错率，稽核重大事项的及时报告率等。当这些指标比率较高时，控制风险相对较小。上述控制风险评估的计量结果与控制测试的测试结果相结合，就可具体地评估出控制风险。

（三）检查风险的评估

检查风险是审计程序的有效性和审计人员运用审计程序有效性的函数。检查风险是必然存在的风险，其水平的高低与被审计单位无关，而与审计程序的有效性有关。审计人员能够控制检查风险，但受审计资源、审计时间等要素制约，以及审计人员出于成本效益的考虑，检查风险不能根除。与企业经营风险和控制风险不同，检查风险是根据审计风险模型的公式计算出来的，即：

检查风险=审计风险/企业经营风险*控制风险

检查风险的实际水平随着审计人员实施实质性测试的性质、时间和范围的变化而改变。

结束语

目前，审计风险评估体系还存在以下下问题：（1）非财务性指标运用较少，如企业面临的竞争环境、潜在的危机等指标如何计入指标体系；（2）非量化的财务指标操作性不强，易纵和受主观因素影响；（3）信息化运用水平不高，未形成统一风险评估软件，评估方法不一；（4）法律制度不健全，从业人员对审计风险重视不够，因此，审计风险评估体系有待完善。

参考文献：

[1]郭莉.现代风险模型及其推行难点分析[J].审计与经济研究，2006，（6）：46-48.

[2]谢志华，崔学岗.风险导向审计机理与运用[J].会计研究2006，（7）：15-20.

审计中的风险评估篇4

【关键词】风险评估诚信风险偏好人力资源政策

注册会计师实施财务报表审计，其目的是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证。风险导向审计是我国注册会计师审计准则要求鉴证业务必须采用的审计方法。风险导向审计要求注册会计师识别和评估重大错报风险，设计和实施进一步审计程序以应对评估的重大错报风险，并根据所获取的审计证据，发表审计意见、出具审计报告。

注册会计师评估财务报表层次重大错报风险需要了解被审计单位及其环境，其中对被审计单位内部控制的了解是重要的组成部分。内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策和程序。内部控制主要有五要素组成：①控制环境；②风险评估过程；③与财务报告相关的信息系统和沟通；④控制活动；⑤对控制的监督。以下主要分析风险评估程序中对控制环境的了解需要考虑的因素。

一、管理层诚信和道德价值观念

诚信和道德价值观念是控制环境的重要组成部分，影响到被审计单位重要业务流程的内部控制设计和运行。内部控制是否有效直接依赖于负责创建、管理和监控内部控制的人员的诚信和道德价值观念。

市场经济伦理中的诚信，即诚实守信，诚实就是指在生产经营管理活动中实事求是、不随意夸大或缩小事实、表里如一；守信就是信守契约信用，不弄虚作假、投机取巧。诚信的企业一般对自身行为有较高的道德标准，反对自私自利的行为，诚信的企业可能有更少的机会主义行为；诚信还将产生约束功能，主要体现为在一个共享的企业文化价值体系下，企业内部形成一种相互监督的氛围，从而对企业行为产生一种无形的制约。在以诚信为导向的企业中，企业对自身行为和道德标准有较严格的要求，不诚信的行为会受到内部员工的监督，从而在很大程度上抑制了不诚信行为的发生。

注册会计执行财务报表审计时，需要了解和评估被审计单位诚信和道德价值观念的沟通和落实情况，了解被审计单位管理层是否身体力行，在诚信和道德价值观念方面是否起到一定的表率作用；另一方面，被审计单位企业文化是否强调诚信和道德价值观念，是否以合适的方式传达给全体员工，并对不诚信行为制定了适当的惩罚措施。

二、管理层风险偏好

风险偏好是指为了实现目标，个体在承担风险的种类、大小等方面的基本态度。风险，通常是指未来事件或损失的不确定性。由于个体对于风险的感知存在差异，所以不同的人风险偏好也存在差异。根据风险偏好理论的一般划分方法，风险偏好分为风险追求型、风险中立型、风险厌恶型三种类型。企业管理层风险偏好对企业的经营管理决策有着决定性影响。由于存在“高风险、高回报”原理，管理层如果一味选择高风险项目，很可能会将企业的经营置于高度不确定状态中。

根据有关学者的研究，风险偏好水平较高的管理者可能会采取盈余管理进行利润操纵，而盈余管理活动与企业的正常经营活动有时很难区分，注册会计师在财务报表审计过程中，应该关注企业的盈余管理行为，通过不断加强独立审计能力以鉴别盈余管理与真实交易活动。

盈余管理主要是指企业管理层在编制财务报告时，通过各种会计手段或关联方交易等做出影响企业利益相关者决策的行为。企业的盈余管理行为在一定程度上扭曲了会计信息的真实性，降低了财务信息的有用性，并严重误导企业投资者、债权人、政府等利益相关方的决策。盈余管理之所以存在是因为该行为可以为企业管理层带来可观的经济利益，注册会计师应当注意分析被审计单位是否有一些特别的需求，例如：企业上市、负债融资等，使其有较强的动机进行盈余管理。

由于经济活动的复杂性和各个企业的特殊性，企业会计准则允许企业管理层在编制财务报告时进行职业判断。然而，管理层采用职业判断为盈余管理创造了机会，即管理层会选择不能准确反映公司真实经济情形的会计政策和会计估计粉饰报表，从而误导财务报表使用者作出错误的经济决策。

三、人力资源政策与实务

被审计单位员工的素质与胜任能力是控制环境中不可缺少的因素。人力资源政策与实务涉及招聘、薪酬、考核、培训、晋升等方面。被审计单位是否有足够的能力雇用并保留一定数量既有胜任能力又有责任心的员工在很大程度上取决于其完善的人事政策与实务。

企业应当制定有关人力资源的招聘、培训、考核、晋升等方面的制度和政策，明确每个职位或岗位的员工所应具备的知识、技艺和能力，确保所招聘的员工都能胜任其岗位要求。人力资源政策中，薪酬管理非常重要，它与员工自身的利益密切相关，公平、合理且具有竞争力的薪资福利待遇将有助于调动员工工作的积极性。

同时，注册会计师还应当关注被审计单位是否有针对性的制定和实施了相应的开发员工胜任能力的培训体系。良好的培训能够增强员工个体取得高绩效的胜任能力和适应未来环境的胜任力；培训内容可以从工作基本需要到拓展到员工个体的绩效行为、知识技能、诚信及道德价值观念等各个方面。在实际操作中，被审计单位是否有针对性的制定了切实可行的培训方案。

注册会计师在评估重大错报风险时，存在令人满意的控制环境是一个积极的因素。虽然令人满意的控制环境并不能绝对防止错误或舞弊的发生，但却有助于降低发生错误或舞弊的风险。

参考文献：

[1]姜付秀，石贝贝，李行天.“诚信”的企业诚信吗？――基于盈余管理的盈余管理的经验数据[J].会计研究，2015，（8）.

审计中的风险评估篇5

关键词：网络审计历史财务报表审计信息安全管理风险评估

一、引言

从审计的角度，风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中，现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心，通过对被审计单位及其环境的了解，评估确定被审计单位的高风险领域，从而确定审计的范围和重点，进一步决定如何收集、收集多少和收集何种性质的证据，以便更有效地控制和提高审计效果及审计效率。从企业管理的角度，企业风险管理将风险评估作为其基本的要素之一进行规范，要求企业在识别和评估风险可能对企业产生影响的基础上，采取积极的措施来控制风险，降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分，是企业信息安全管理的基础和关键环节。尽管如此，风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同，本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上，从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开，将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析，以期深化对网络审计风险评估的理解。

二、网络审计与历史财务报表审计的风险评估比较

(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型，审计风险又由固有风险、控制风险和检查风险构成。其中，固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下，其财务报表某项认定产生重大错报的可能性；控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性；检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中，审计风险仍然包括固有风险、控制风险和检查风险要素，但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率，为企业的经营管理带来很大的优越性，但同时也为企业带来了一些新的风险。这些新的风险主要表现为：(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了，这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求，非专业人员难以察觉计算机舞弊的线索，这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统，或者说，企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险，例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口，使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据，从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险，如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障，或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地，网络审计的固有风险主要是指系统环境风险，即财务电算化系统本身所处的环境引起的风险，它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险，其中，系统控制风险是指会计电算化系统的内部控制不严密造成的风险，财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险，审计软件风险是指计算机审计软件本身缺陷原因造成的风险，人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。

(二)风险评估目的无论在网络审计还是历史财务报表审计中，风险评估只是审计的一项重要程序，贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此，两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类，因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险，审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动，无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中，一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同，企业在不同阶段的控制目标和控制行为也会有所不同，因此，审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等，信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面：物理层，即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境；网络层，即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等；系统层，即信息系统本身的漏洞情况、配置的缺陷情况；应用层，即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况；管理层，即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险，审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性，它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的，审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险，主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中，审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然，这两类风险并非完全分离的，评估时审计人员应将两者结合起来考虑。

(三)风险评估内容广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同，因此两者在风险评估的内容上也是存在区别的。总的来说，网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风

险》，在历史财务报表审计中，审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险，审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险，审计人员除了从以上方面了解被审计单位及其环境外，还应该关注其他相关的潜在事件及其影响，尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中，威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件，它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素，也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节，它是系统或网络财务信息本身固有的，包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说，脆弱点本身不会带来损失或信息错报，威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此，我们认为网络审计申风险评估的内容应包括以下几方面：(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁，并分析威胁发生的可能性；(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点，并分析脆弱点的严重程度；(3)根据威胁发生的可能性和脆弱点发生的严重程度，判断风险发生的可能性；(4)根据风险发生的可能性，评价风险对财务信息系统和基于网络的财务信息可能带来的影响；(5)若被审计单位存在风险防范或化解措施，审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。

(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求，审计人员应当实施询问、分析程序、观察和检查等程序，以获取被审计单位的信息，进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时，审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类，分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时，除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外，审计人员应格外关注对信息系统及网络的特性情况，被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时，除执行常规程序外，审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外，针对特定系统或网络技术风险的评估，审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等；管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中，IDS取样分析是指通过在核心网络采样监听通信数据方式，获取网络中存在的攻击和蠕虫行为，并对通信流量进行分析；渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法；工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息，包括主机扫描、网络扫描、数据库扫描等，用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况，使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析，进而评价企业相关风险发生的概率以及可能带来的损失；文档审核是一种事前评价方法，属于前置软件测试的一部分，主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价，审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。

三、网络审计与信息安全管理的风险评估比较

(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制，信息安全风险评估是企业管理的组成部分，它具有规划、组织、协调和控制等管理的基本特征，其主要目的在于从企业内部风险管理的角度，在系统分析和评估风险发生的可能性及带来的损失的基础上，提出有针对性的防护和整改措施，将企业面临或遭遇的风险控制在可接受水平，最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务，其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度，从而指导进一步审计程序。因此，两者风险评估的目的是不一样。从评估所应关注的风险范围来看，两者具有一致性，即都需要考虑与信息系统和信息相关的风险。但是，具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，它要求评估人员关注与企业整个信息系统和所有的信息相关的风险，包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中，审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见，因此，风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险，而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同，信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动；他评估通常是由组织的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言，受托执行的信息安全风险评估应当归属于管理咨询类，即属于非鉴证业务，与网络审计严格区分开来。

(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中，它将信息安全风险评估的内容分为两部分：基本要素和相关属性，提出信息安全风险评估应围绕其基本要素展开，并充分考虑与这些基本要素相关的其他属性。其中，风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施；相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是：(1)对信息资产进行识别，并对资产赋值；(2)对威胁进行分析，并对威

胁发生的可能性赋值；(3)识别信息资产的脆弱性，并对弱点的严重程度赋值；(4)根据威胁和脆弱性计算安全事件发生的可能性；(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；(6)根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。结合上文网络审计风险评估五个方面的内容可以看出，网络审计和信息安全风险评估在内容上有相近之处，即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是，信息安全管理作为企业的一项内部管理，其风险评估工作需要从两个层次展开：一是评估风险发生的可能性及其影响；二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的，其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出，企业在确定出风险水平后，应对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。其中，风险处理的方式包括回避风险、降低风险、转移风险、接受风险，而控制措施的选择应兼顾管理和技术，考虑企业发展战略、企业文化、人员素质，并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次，即审计人员通过风险评估，为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此，两者的评估内容是存在区别的。

审计中的风险评估篇6

审计风险具有以下四个基本特征：一是审计风险的客观性。现代审计的一个显著特征，就是采用抽样审计的方法，即根据总体中的一部分样本的特性来推断总体的特性，而样本的特性与总体的特性或多或少有一点误差，这种误差可以控制，但一般难以消除。因此，风险总是存在于审计活动过程中，人们只能认识和控制审计风险，而不能完全消除审计风险。二是审计风险的普遍性。虽然审计风险通过最后的审计结论与预期的偏差表现出来，但这种偏差是由多方面的因素引起的，审计活动的每一个环节都可能导致风险因素的产生。因此，审计风险具有普遍性，它存在于审计过程的每一个环节，任何一个环节的审计失误，都会导致最后的审计结论与预期出现偏差,形成审计风险。三是审计风险的潜在性。审计责任的存在是形成审计风险的一个基本因素，如果审计人员在执业上不受任何约束，对自己的工作结果不承担任何责任，就不会形成审计风险，这就决定审计风险在一定时期里具有潜在性。在实际工作中，尽管审计人员可能发表了不恰当的审计意见，只要没有造成不良后果和损失，风险尚停留在潜在阶段,还不能称之为实在意义上的风险。因此,审计风险是一种可能的风险，它存在一个显化的过程,只有当审计人员被追究失误责任并承担风险损失时，才表现为实在性。四是审计风险的可控性。虽然审计风险是客观存在的,并且贯穿于所有审计项目和整个审计过程中的每一个环节,一旦发生将给审计组织和人员造成有形和无形的名誉及经济损失,但是这并不意味着审计人员在审计风险面前无能为力,它是可以被控制的。只要审计人员保持职业谨慎,运用职业判断,对审计风险进行评估,制定并实施合理的审计程序和方法,就可以将其降低至可接受的水平。

二、审计风险的构成要素及相互关系

审计风险是由固有风险、控制风险、检查风险三要素构成。固有风险是指在不考虑被审计单位相关的内部控制政策或程序的情况下，其会计报表上某项认定产生重大错报的可能性。它是独立于会计报表审计之外存在的，是注册会计师无法改变其实际水平的一种风险。控制风险是指被审计单位内部控制未能及时防止或发现其会计报表上某项错报或漏报的可能性。同固有风险一样，审计人员只能评估其水平而不能影响或降低它的大小。检查风险是指注册会计师通过预定的审计程序未能发现被审计单位会计报表上存在的某项重大错报或漏报的可能性。检查风险是审计风险要素中唯一可以通过注册会计师进行控制和管理的风险要素。审计风险的三要素之间的关系是：审计风险=固有风险×控制风险×检查风险。即：AR=IR×CR×DR。由于固有风险、控制风险是被审计单位客观存在的，审计人员只能评估其大小，不能改变其大小，因此要降低审计总体风险，只能通过降低检查风险实现。当审计风险一定的情况下：检查风险＝审计风险固有风险×控制风险允许的最高检查风险与审计总体风险成正比，与固有风险和控制风险成反比。

三、审计风险的评估

审计风险是客观存在的，审计人员在进行审计时，必须对其大小进行评估，根据评估结果，确定应当实施的审计程序。

（一）固有风险的评估固有风险除受宏观经济环境和行业性质影响外，从被审单位内部看主要受两大因素影响：一是被审计单位管理人员和财务人员因素的影响；二是会计报表项目（具体交易事项）的性质影响。1．管理人员、财务人员对固有风险的影响（1）管理人员及财务人员诚信越高，固有风险越小，反之则越大；（2）管理人员及财务人员政策水平越高，业务能力越强，固有风险越小，反之则越大；（3）管理人员及财务人员越稳定，固有风险越小，管理及财务人员变动越频繁，固有风险就越大；（4）管理人员及财务人员受到的异常压力越大，固有风险就越大，反之则小；2．会计报表项目对固有风险的影响（1）报表项目越多，产生错误漏报的可能性就越大，其固有风险就大，反之就小；（2）经济业务越复杂，专业技术要求越高，固有风险就越大，反之则越小；（3）在核算中需要判断和估算的项目越多，固有风险就越大，反之越小；（4）容易遭受损失或被挪用的资产，其固有风险大，反之则小；（5）异常变动的项目固有风险大，反之则小。对固有风险可以根据以上影响因素进行定性分析，评估固有风险的大小。

（二）控制风险的评估控制风险的大小，主要受内部控制要素的影响，内部控制要素包括：1．控制环境控制环境是对企业控制的建立和实施有重大影响的因素。包括经营观念、方式和风格、组织结构、人事政策、管理开展方法、内部责任制等。2．会计系统会计系统是指公司为了汇总、分析、分类、记录、报告公司交易，并保持对相关资产、负债的受托责任而建立的方法和记录。有效的会计系统应满足以下几点：（1）确认并记录所有真实交易；（2）及时充分描述交易；（3）计量交易的价值；（4）确定交易的时间；（5）在会计报表适当表达交易和披露相关事项。3．控制程序控制程序是指对任何交易或事项的进行都要制定实施步骤和开展的办法。主要包括交易的授权、职责的划分、凭证与记录控制、资产接触与记录使用、独立稽核等内容。企业进行内部控制都要通过一系列内部控制制度来实现的。因此若评估控制风险，就必须评价内部控制制度，审计人员对内部控制制度研究和评价可分为三个步骤：（1）了解企业内部控制制度的情况，并做出相应的记录—掌握被审单位是否存在内部控制制度，存在哪些内部控制制度，可采用调查表法；（2）进行符合性测试—证实有关内部控制制度的设计和执行是否有效，审计人员可以选择某一内部控制制度，结合被审单位的实际抽查内部控制制度是否有效执行；（3）评价内部控制的强弱若无内部控制制度，或虽有内部控制制度，但未贯彻执行均为高控制风险，其控制风险应与评估的固有风险相等。

（三）检查风险的评估对固有风险和控制风险评估后，为了达到预计的风险，应当评估允许的最大检查风险为：当审计风险一定的条件下，并且控制风险和固有已经评估出来后，允许的检查风险。

四、如何降低审计风险

评估审计风险的目的是审计人员努力将审计总风险降低到一个可以接受的水平，以避免承担过大的审计责任，审计人员可通过以下方式降低审计风险：

（一）在评估固有风险和控制风险时，宁可高估绝不可低估；适当增加审计抽样，虽然增加点工作量，但可降低审计风险；

（二）提高审计人员素质，提高审计人员的分析和判断能力，增强审计人员责任心，按审计准则要求实施审计工作；

（三）实行审计项目责任制和风险基金制度。首先，审计人员要实行项目负责制，谁负责的项目谁承担风险；其次，实行风险基金制度，凡是有单位的审计人员都要向所在单位交纳一定的风险基金。这可使审计人员的经济利益与审计风险挂钩，使审计人员从主观上增强风险意识，努力降低风险；

（四）摆正并处理好收入与质量的关系。收入是审计人员生存和发展的前提条件，质量是审计业务的生命线。只有在保证质量的前提下，增加审计人员的收入，才能保证自己的审计工作长期生存和发展；