科技管理风险导向审计的应用

一、引言

在意大利上市的前100家大型企业运用风险导向审计的状况进行了调查，结果表明：有25%的企业未采用风险导向审计方法；有67%的企业只在年度审计计划编制过程中采用了风险导向审计方法；只有8%的企业在年度审计计划编制过程和具体审计项目的实施过程中都采用了风险导向审计方法。可见，风险导向审计并未在具体审计项目实施过程中得到广泛运用。而在理论研究方面，有关风险导向审计的研究也多停留在介绍基本概念、分析其必要性上，虽然提出了一些推广运用的设想，但多数较为笼统，缺少实践案例，对实际操作的借鉴性不强。鉴于此，我们以科技管理审计实施为切入点，将风险导向审计理念贯穿于整个审计过程的始终，为在具体审计项目中运用风险导向审计方法开展了积极探索。

二、风险导向审计实施过程风险导向审计过程主要分为审前准备、审计实施、审计报告三个阶段。

（一）审前准备。风险导向审计的一大特点是审计重心前移，在现场审计前需充分了解被审计对象的情况，分析、评估其面临的风险，这是风险导向审计的基础和关键环节，决定了审计的成败。

1、风险识别

为了识别被审计对象科技管理方面存在的风险，我们在审前采取询问被审计对象内部相关人员、咨询其上级主管部门、收集内外部相关资料、审计组内讨论等方式，收集了被审计对象科技管理和信息系统基本情况、内部控制和风险管理状况、被检查和考核资料等相关信息，为进行风险识别准备好了数据原料。对于科技管理的风险，可从风险源、风险影响和风险行为等多个角度来分类。由于考虑到审计的目的是为了完善风险控制，因此从风险控制措施的角度来看，同一风险源可能采取多种攻击方式，不同风险源也可能产生同样的危害，不便于提出控制措施；而从风险的影响来区分较为笼统，也不便于提出有针对性的控制措施。因此在审计中，我们从风险行为的角度，将科技管理风险主要分为操作失误、滥用授权、行为抵赖、身份假冒或密码分析、黑客攻击、恶意代码和病毒、泄露信息、篡改数据、破坏系统、系统意外故障、系统环境威胁、物理攻击和管理不到位等十多类。我们以以往开展的科技管理审计获取的数据和所收集到的被审计对象科技管理情况为基础，明确科技管理的目标，分析威胁目标实现的风险，依据风险分类方式，进行风险识别。由于风险不可能穷尽，为抓住主要矛盾，仅识别较重要的风险，共识别出7类、24个风险域、49个风险点，形成了科技管理风险清单。

2、风险评估

为对已识别风险进行评估，确定每个风险点的等级，采用了风险矩阵的方式（见图1），将风险分为4个等级：风险可忽略、风险较低、较高风险、重大风险。对于风险发生的可能性和影响程度，由于目前还未能建立完备的风险监测数据库，无法准确的量化风险的发生频率和影响，因此采取的是主观估计法，在审计组内部实施头脑风暴法，由审计人员根据以往科技管理审计的实际情况和经验，对风险的可能性和影响作出判断，在风险矩阵中得出对应的风险等级。对风险影响程度的判断，主要是从风险发生后影响的范围、损失金额大小、系统重要性和业务量、系统数据安全性和保密性要求、系统持续运行要求、系统操作难度等因素来考虑。需要注意的是，这里评估的是固有风险，非剩余风险，使用固有风险是因为审计的目的就是通过检查，评估已有控制措施的效力，进而确定剩余风险，因此，审计前的风险评估应评价的是固有风险的发生可能性和影响程度。在评估固有风险后，还可根据被审计对象的控制风险进行调整。调整因素包括：距上次审计或检查的时间、上次审计或检查的结果、上次审计或检查后的整改情况。调整原则是，如果被审计对象在近2年被审计或检查过，且未发现严重问题，整改情况良好，则被审计或检查过的那部分风险点全部降一个等级。

3、建立科技管理风险评估指标体系

为更好的指导审计实施，量化风险评估结果，提高科技管理风险评估的可比性，我们还研究建立了科技管理风险评估指标体系，制作了《对××单位科技管理审计风险评估表》。在风险评估表中，围绕科技管理内控机制建设、机房与设施管理、网络管理、安全保密管理、业务应用系统运行维护管理、采购和外包服务管理、应急备份和文档管理情况等7部分科技管理主要工作，确定了每部分的工作目标，列出每部分的风险域和风险域中存在的风险点，并针对每个风险点提示了相应的控制措施，便于审计人员根据控制措施的提示对风险点进行脆弱性检测。对于指标体系中权重的设置，由于存在分类、风险域、风险点3个层次，分2种方法进行处理。对于分类和风险域这两种较为抽象的指标，运用了层次分析法。向科技人员和审计骨干们发放调查问卷，请专家们按照1－9标度法对指标的重要性作两两比较，填写判断矩阵；将结果进行汇总平均后，得到最终的判断矩阵（见表2），计算各矩阵的特征根和特征向量，并检验其一致性，再对特征向量进行归一处理后，计算得出各分类和风险域的权重。对于风险点的权重，则利用之前已确定好的风险点等级进行相应赋值，对风险可忽略、风险较低、较高风险、重大风险这4个等级的风险点分别赋值1、2、4、8，在风险域范围内进行归一后获得各风险点的基础权重，再与其对应的风险域、分类的权重相乘后，得到风险点的最终权重。为了更好的评价被审计对象的风险管理情况，我们还编写了审计方案，不仅检查科技管理内控制度的充分性，机房、网络和业务应用系统的安全性，运维、采购和安全管理的规范性，还重点关注科技风险管理的情况，检测科技风险管理的环境建设、风险评估、风险控制和监督等情况，扩展了审计范围，综合评估被审计单位科技风险管理整体状况。审计中，将《对××单位科技管理审计风险评估表》作为审计方案的重要组成部分，要求审计人员在评估表的指导下，根据各风险点的高低实施相应的检查，根据审计结果填写对风险点的控制得分。

（二）审计实施。在审计实施阶段，我们针对不同的风险点，指派特定的审计人员花费一定的审计时间，采取适当的审计程序获取一定范围内具有说服力的审计证据，检测被审计对象的风险控制情况，评价其剩余风险。由于科技管理审计中，机房、网络和业务系统等部分审计内容是高风险点集中的区域，且具有专业技术要求高的特点，因此分派具有相应技能和丰富经验的审计人员负责。审计人员根据所负责部分的风险点高低来确定其审计重点，分配工作量，以风险为导向，采取多种方法检测被审计对象对风险点的控制情况。风险导向审计的审计程序主要分为控制测试和实质性程序两类。控制测试指的是测试控制运行的有效性，包括询问、观察、检查、重新执行和穿行测试等方法。实质性程序是指针对重大、特别风险实施的更深层次的审计方法，包括细节测试和实质性分析程序。由于实质性程序多用于财务性审计，因此，主要应用了控制测试的审计程序。审计人员运用了询问、观察、问卷调查、现场检查、重新执行等方法，多角度测试被审计对象的科技风险控制运行的有效性。对于审计中检查样本抽取数量，根据风险点等级和业务频率来判断（见表3）。高风险点按上限抽取，低风险点按下限抽取。

（三）审计报告。报告阶段的主要工作是评估所获取的审计证据，编写审计报告，提出审计建议，并持续跟踪、落实审计整改情况。现场审计结束后，审计组与被审计对象就事实确认书和风险评估的最终情况进行了沟通和确认，根据反馈情况编写了审计报告。审计报告以风险为中心，全面评价被审计对象的科技风险管理情况，指出了存在的问题和风险隐患，提出改进和完善的意见建议。为了突出审计发现的高风险管理情况和问题，引起关注，我们在审计报告的开始就对被审计对象的风险管理和控制执行情况进行简短的总体评价；将发现问题按照严重程度划分为严重、较严重、一般和轻微4类，依次列出。被审计对象的风险评估最终得分直接根据审计查出问题来赋值。对严重、较严重、一般和轻微问题分别赋值100、40、20、10分，每个风险点原始分值为100，统计每个风险点发现的问题数，单个风险点的最终得分V＝100－严重问题数×100-较严重问题数×40-一般问题数×20-轻微问题数×10，得分V最低为0分。风险评估最终得分为所有风险点得分的加权总和。在审计中，我们共发现11个问题，分别为7个一般问题、4个轻微问题。根据评分规则打分后，风险评估最终的得分为95.13分。为了将定量评估转换为定性评价，还建立了风险评估定级标准（见表4）。根据标准，审计组对被审计对象的科技管理情况给出了风险管理状况良好的评价。改情况，特别是要对所发现的严重、较严重问题做重点关注，注意这些重要问题是否得到了有效的控制和消除，并评估是否有新的风险和问题产生。根据被审计对象提交的整改报告和其他途径获取信息，判断是否需要开展后续审计或检查，以确认审计发现的纠正情况。

三、风险导向审计流程框架

基于此次风险导向审计实践，我们总结经验做法，提出了风险导向审计流程框架，以期对今后开展风险导向审计提供帮助。要在具体审计项目中应用风险导向审计，就应该将风险导向审计理念运用至审计计划编制到现场实施，直至审计后续的整个审计过程。在审计过程中，必须重视项目的审前调查和审计方案的编制工作，重点开展对审计对象的风险评估。审计方案的编制应与审前调查结果紧密结合，以风险评估得出的高风险领域作为审计重点，作为选择审计程序、确定审计抽样比例的依据，以提高审计工作的效率和质量。审计方案中应详细列示每一个审计要点对应的目标、风险、控制措施。同时应编制标准化检查表以规范、细化审计步骤，详细列示需要采取什么方法、访谈哪些人员、需要抽取哪些样本等，避免因审计人员经验不足或懈怠等原因而影响审计质量。在现场实施过程中，应根据新增信息不断调整风险评估结果，优化审计步骤，以修正审前调查中由于信息量不足而作出的不当估计和判断。对审计中发现的问题，也应以风险为导向，充分揭示存在的风险隐患，与被审计对象就发现问题和风险评估结果做充分的沟通确认。在审计报告中也以风险作为评价的重点，反映被审计对象的风险管理整体情况，提示风险，提出强化风险防范的建议。

四、结束语

风险导向审计是顺应时展，解决审计资源有限与风险管理亟待加强矛盾的有效方法，也契合了国际内部审计师协会对内部审计的最新要求“通过系统的、规范的方法，评价并改善风险管理、控制和治理过程。”风险导向审计方法应贯穿审计过程的始终，要广泛运用风险导向审计方法，选择审计项目，制定审计方案、指导现场实施、拟写审计报告，真正实现“风险引导审计、审计关注风险”。将风险导向运用于具体的审计实践，能够帮助深化风险导向审计理念，拓展审计视野，改进审计方式，前移审计中心，更为科学的配置审计资源，积累风险导向审计的经验，为不断扩大风险导向审计的应用打下基础。今后，我们还将在风险评估过程、风险评估指标体系建立、审计方案制定等方面继续改进和加强，使风险导向审计的应用更为科学，更加完善。

作者：梁敏工作单位：中国人民银行上海总部