风险导向内部审计论文

风险导向内部审计是指内部审计人员在内部审计全程中都要关注风险,依据风险选择项目,识别风险,测试降低风险的方法,并以风险为中心出具审计报告,协助企业进行风险管理[2]。今天小编给大家找来了《风险导向内部审计论文 (精选3篇)》相关资料，欢迎阅读！

风险导向内部审计论文 篇1：

试论风险导向内部审计在农村商业银行风险管理中的运用

近年来，中国的银行业改革不断推进并且取得了突出的成效，各种各样的风险因素不断出现，这使得过去的审计方法在今天已经无法跟上时代发展的步伐，在某些方面出现了明显的缺陷。在这种情况下，本文就从农村商业银行的实际工作入手，根据其存在的一些问题及不足之处，对风险导向内部审计进行分析，提出了其与农村商业银行风险管理的有效结合策略。

从目前来看，中国的农村商业银行正在不断的发展和完善之中，各种现代化的管理体系也在持续的构建之中，风险管理亦是取得了不错的建设成效。但是在实际工作中我们发现，许多农村商业银行的风险管理还存在一些欠缺有待完善，而利用风险导向内部审计进行风险管理则是行之有效的一种尝试，本文的研究具有一定的现实意义，能够有效的推动农村商业银行风险管理工作的发展。

一、评估经营环境

银行的经营活动主要需要面对内部和外部两种环境，其中外部环境是一种全局性的概念，农村商业银行现阶段的经营基本上都是小规模的区域性经营，在评估外界环境的时候应该着重考慮外部因素可能对经营产生的影响，比如说货币政策的变动、本地区的经济金融条件、法律法规、社会信用体系等等。而与之相对应的内部环境评估则相对复杂一些，其需要考虑到的因素十分繁杂，如财务会计及信贷管理等内部风险控制的效果，再如经营思路、组织结构、业务流程等也都在评估的范围之内。只有兼顾到内部环境以及外部环境，才能增强内部审计的效果，缩短审计所需时间，为农村商业银行的发展和进步提供强有力的支持。

二、综合运用审计手段

俗话说罗马非一日建成，实际上风险导向内部审计的落实也是如此，这种方法的科学性非常突出，当然其实现也并非十分简单，想要保证其应用效果，需要投入一定的耐心。最重要的是，这种审计方法具有独特的效果和性质，想要让其彻底发挥出应有的信用，我们必须要始终坚持实事求是的原则，根据审计工作的不同需求选择恰当的审计手段。在工作中，务必要健全审计工作计划，把握好风险审计的对象以及规模，尽可能的将资料完善起来，对各项资源进行合理化的调配，确保审计工作的稳步进行。也就是说，在内部审计的不同阶段，应该选择不同的审计方法，如分析法、查账法以及归纳法等，只有这样才能保证内部审计的质量。

三、推进信息化建设

农村商业银行目前有许多方面都不够健全，因此想要获得发展就需要尽快跟上时代发展的步伐，利用信息化技术构建内部审计的发展之路，将事后监督系统构建起来，尽快提高事中干预的能力，充分发挥互联网平台以及计算机技术的作用将业务处理朝着自动化发展，让风险的事前预测成为可能。另外，还应该对各项业务的数据及流程进行仔细的统计，从而给审计部门以一定的帮助，让审计部门能够对农村商业银行的各方面信息进行充分的了解。具体来说，信息化系统的构建需要从两个角度入手，其一要以风险计量与评估模型为基础，开发出兼顾数据分析与评估的审计系统，尽可能缩短所需时间，其二要利用好软件和计算机，推动非现场审计的实现。

四、增强工作人员能力

无论是哪一项工作都离不开人的参与，农村商业银行的风险导向内部审计也是如此，审计人员的职业素质和工作能力都关乎到最终的审计质量，因此我们需要在队伍建设上投入十二分的重视。将过去单一的审计队伍结构进行优化，引进法律等方面的高素质人才。另外，对已经在岗的工作人员我们应该有意识的给予他们提升自我充实自我的机会，组织定期的培训和再教育，提高他们对本职工作的理解，增强工作能力。同时，审计人员的职业道德和职业责任感也是我们必须要考虑的，只有不断提升他们的职业道德，才能避免不必要的麻烦，从而保证农村商业银行的发展质量。

五、加强后续审计

农村商业银行的风险导向内部审计并不是一项简单的工作，其需要较长时间的持续构建才能发挥作用，因此我们除了要做到以上几点之外还应该注重后续审计，对内部控制的效果进行研究。审计部门需要对已经存在的风险指标进行全程式调查，确保有关措施和方法的效果。另外，还应该对审计建议的推进状况进行研究，保证风险点得到有效的控制，避免风险管理失效。也就是说，务必要以持续监控为手段，促进风险问题得到解决和处理，为农村商业银行的稳步发展保驾护航。

六、结语

总之，风险导向内部审计在农村商业银行风险管理中的应用能够为农村商业银行的发展提供新的支持和动力，因此我们应该不断加强这方面的研究和探索。(作者单位为湖南龙山农村商业银行股份有限公司)

作者：彭灵

风险导向内部审计论文 篇2：

论风险导向内部审计中取证风险的防范

摘要：风险导向内部审计强调对风险的防范与控制，审计取证工作贯穿于审计工作全过程，与审计工作的成败有着密切关系，现代审计模式要求在内部审计工作过程中，应该注重对取证风险的防范。内审人员应采取有效措施，对审计证据进行数量控制与质量控制，达到防范审计风险、提高审计效率与效果的目的。

关键词：风险防范;数量控制;质量控制

一、风险导向内部审计(risk based internal audit)的风险分析

风险与审计工作的结合，始于1957 年出版的《蒙哥马利审计学》第8版。所谓风险导向，指的是行动战略是以风险作为指导，而行动本身受风险制约，可以随着环境的变化而改变行动战略。风险导向内部审计的优势在于，对经营管理过程进行有效监督，在监督的过程中发现企业内部存在的问题，及时向管理层提出一些建设性意见，审计目标与企业目标高度一致，有助于提高企业效益，降低企业风险。

1997 年，毕马威研究小组在研究报告《以战略系统观组织审计》中，提出了BMP(Business Measurement Process)审计模式。这种模式要求把风险控制作为审计工作的核心，风险理念指导审计取证的全过程，在决定审计证据的数量、质量、取证方法时，审计人员应该注重防范风险。根据BMP的理念，内部审计工作过程中，审计风险传递的流程(如下图所示)：

■

图1审计风险传递流程图

由上图可知，剩余风险会导致审计失败，而审计失败的原因在于两方面： (1)内审人员发现错报的概率;(2)抽样风险的控制即样本数量的选择。第一个原因是审计方法所要解决的问题，第二个原因取决于审计范围。

审计风险与审计证据之间成正向关系，这个关系包含了审计证据的数量和质量。假如审计风险越高，所需收集的审计证据数量也就越多;如果审计证据的质量高，也能有效降低审计风险。审计人员获取证据是要付出成本的，不能不考虑到成本效益原则，如何能在审计成本和审计效果之间寻找到最佳平衡点，此时可以引用风险来进行判断。根据这一关

剩余风险与审计方法、审计范围之间的关系

系，审计人员可以根据其对审计风险的评估，来确定审计证据的数量和质量。假如审计人员初步估计的审计风险水平较高，说明审计对象较为复杂，审计的内容也较为广泛，审计人员发表恰当审计意见的难度就大，失误的可能性也就越大，这时审计人员就要实施越具体的实质性测试程序，收集更多的审计证据，以便将审计风险降低至可接受的水平。

二、审计证据质量控制的风险防范

1.取证质量控制的风险防范

内审人员在执行审计业务过程中取证时，可采取下列措施对审计证据的质量进行把关：(1)确立审计证据的相关性和可靠性是取证的必备条件和前提条件;(2)对审计证据的相关性和可靠性予以全面复核和重点复核;(3)在获取审计证据时，应当考虑下列基本因素：审计方法、审计风险水平、成本与效益的配比、具体审计事项的重要程度;(4)将审计证据的名称、来源、内容、时间等清晰、完整地记录于工作底稿;(5)特殊问题需要其他专业机构或人士进行鉴定，以鉴定结论作为审计证据，内审人员应对其可靠性承担责任;(6)进一步核实有异议的审计证据，注明原因和日期，该证据依然可作为支持审计结论和意见的依据;(7)在评价审计证据时，应考虑证据之间的相互印证及证据来源的可靠程度，同时做好审计证据的分类、筛选和汇总工作。

2.审计工作底稿质量控制的风险防范

审计工作底稿是内审人员在审计过程中收集到的有关审计业务的所有资料，并将其按一定格式编制成档案性原始文件，它是联系审计证据和审计结论的桥梁，只有编制出高质量的审计工作底稿，才能编制出高质量的审计报告。审计工作底稿的质量要求是：内容完整、记录清晰、结论明确。内容上，编写出来的工作底稿应能客观反映内审人员的工作轨迹，包括从审计计划、审计方案的制定、实施，到形成审计结论、提出审计意见的所有重要事项;记录时，应该清楚有序，注明索引编号和顺序编号，相关工作底稿之间如存在勾稽关系，应予以清晰反映，相互引用时，应交叉注明索引编号。

关于审计工作底稿的质量把关，当前主要是采取分级复核制度。第一级复核由现场比工作底稿编制人员职位更高或更具有丰富经验的人担任，对工作底稿进行详细复核，发现问题及时指出并督促改进;在现场人员完成第一级复核的基础上，项目负责人再对审计工作底稿中的内容进行全面复核，如果发现审计工作底稿存在问题，复核人员应在复核意见中加以说明，并要求相关人员补充或重编工作底稿;最后一级复核是内审机构负责人执行的重点复核，它是对审计过程中的重大问题、重大事项及重要的审计证据所进行的复核，内审机构负责人对审计工作底稿的复核负完全责任。

三、审计证据数量控制的风险防范

审计风险来源于两个方面：(1)审计项目的复杂性导致的风险;(2)内审人员取证范围造成的风险。第一个方面的原因带来的风险叫做重大错报风险;第二个方面的原因带来的风险叫做检查风险。审计风险模型可以表述为：

审计风险=重大错报风险×检查风险

该式表明，在确定的审计风险水平下，可接受的检查风险水平与审计项目重大错报风险的评估结果成反向关系：评估的重大错报风险越高，可接受的检查风险越低;评估的重大错报风险越低，可接受的检查风险越高。当审计风险水平一定时，三者之间的关系可以表示为。

检查风险=审计风险/重大错报风险

重大错报风险是审计项目自身带来的风险，审计人员应当评估审计项目的重大错报风险，并根据既定的审计风险水平和评估的重大错报风险确定可接受的检查风险水平，从而设计审计程序，收集审计证据。这一关系式从表面看，解释的是审计风险与检查风险之间的关系，其实质却是审计风险与审计证据数量之间的关系：在既定的、可接受的审计风险前提下，重大错报风险越大，可接受的检查风险越小，内审人员发现错弊的可能性越低，为了防范风险，必须扩大审计范围，收集更多的审计证据;重大错报风险越小，可接受的检查风险越大，内审人员发现错弊的可能性越高，此时可以缩小审计范围，需要的审计证据越少。

如果重大错报风险过高，为了将审计风险控制在可接受的水平下，就只能降低检查风险，因而所需收集的审计证据数量就越多。根据这一关系，审计人员可以根据其对审计风险的设定与重在错报风险水平的评估，来确定可接受的检查风险水平，从而决定审计证据的需要数量，以达到证据充分性的要求。如果审计人员初步估计的重大错报风险水平较高，说明审计对象较为复杂，存在错误与舞弊的可能性比较大，审计人员发表恰当审计意见的难度就大，失误的可能性也就越大，容易导致审计失败，这时审计人员就要扩大审计范围，实施详细的实质性测试程序，收集更多的审计证据，以便将审计风险降低至可接受的水平。

四、防范取证风险时应注意的问题

1.按照科学的审计程序获取证据

内部审计工作应该遵循科学的程序获取审计证据，在审计取证过程中，尽量采用统一规范的审计工作表格，例如《审计工作记录表》、《调查记录表》、《万能明细表》等，以便于规范审计取证和归纳汇总，在审计过程中，尽量使用计算机进行制表、复算等，以提高取证的效率和精确度。

2.提高审计人员的风险防范意识

内审人员从主观上要切实树立起风险防范意识，正确看待风险，谨慎地估量风险，以科学、严谨、公正、客观的工作态度控制风险，尽量把风险降到最低限度。为正确认识和对待风险，审计人员必须与时俱进，更新业务知识，补充新知识，掌握新技能和熟悉新的法律、法规制度，从而提高审计取证、用证的能力。

3.选择恰当的审计方法

风险导向审计是用风险概念规划和指导审计工作，在风险防范思想的指导下，确定审计证据的数量和质量，使审计风险处于审计人员可接受的水平内，以保证审计工作的质量。审计方法影响审计证据的质量和数量，从而与审计风险休戚相关。因此选择采纳正确恰当的审计方法，是安全审计的基本条件。

五、结语

内部审计机构作为单位内部的一个部门，由于内审人员的独立性较弱，因此风险观念也相对比较薄弱，事实上内部审计潜伏着很高的风险。审计证据是形成审计结论的基础条件，是形成审计决定的支柱，直接关系到审计工作的成败，与审计风险有着密切关系。对审计证据进行数量与质量控制，必然会促进整个审计进程优化，有效降低审计风险。对审计证据进行数量与质量控制工作，是以审计取证模式发展为基本的，我们进入了风险导向审计的阶段，对审计取证工作过程中的风险防范有着更高的要求。

参考文献：

[1]国际内部审计师协会，中国内部审计师学会.内部审计实务标准：第1版[M].北京：中国时代经济出版社，2001：202.

[2]张龙平.聂曼曼.试论新审计风险模型的理论进步与运用[J].审计研究，2005，(4).

[3]邓川.现代风险导向审计的两种视角及运用难点分析[J].当代财经，2005，(9).[责任编辑 陈丽敏]

作者：曾洁容

风险导向内部审计论文 篇3：

风险导向内部审计及其在企业构建风险管理框架中的应用

摘要：对风险管理理念的发展以及COSO提出的《企业风险管理框架》的分析表明，风险管理框架所关注的公司治理领域和内部控制环节的风险正是风险导向内部审计的对象。构建基于风险导向内部审计的企业风险管理框架有六个步骤。我国企业在构建风险管理框架中应注意优化内部审计组织模式，提高内部人员素质等。

关键词：风险导向内部审计：风险管理

一、风险导向内部审计：内部审计与风险管理的结合

内部审计的新发展是将评价和管理风险作为重要服务领域。本文所指风险导向内部审计是指内部审计人员在审计全过程自始至终都要关注风险，根据风险度选择项目，以降低风险为导向，以对整个组织的风险进行评估与改善为最终目的的一种审计理念。内审人员在对被审单位的内部控制充分了解和评价的基础上，分析、判断风险程度，针对不同风险因素状况采取相应的审计策略，将内部审计的风险降低到最低水平。企业内部审计师通过测试风险管理的有关方面(风险管理方针、策略和风险评价指标体系)。对风险程度及管理情况作出专业判断.提出审计评价与建议.以实现企业运营目标。其根本目标是通过将风险与企业目标的实现直接联系起来，为公司治理层及管理层提供有价值的服务(杨爱群，2007)。是企业进行风险管理的一种有效工具。

借鉴了风险管理的风险导向内部审计重心将从“控制”转向“风险管理”。在风险导向观念下，内部审计除了关注传统的内部控制外，更关注有效的风险管理机制。

二、风险管理理念的发展与风险管理框架的提出

美国Treadway委员会下属赞助委员会(COSO)2004年在已有的内部控制框架概念(1992)的基础上，提出了《企业风险管理框架》(Enterprise risk management，ERM)的讨论稿，使内部控制研究发展到一个新的高度。在该讨论稿中.风险管理被定义为：“企业风险管理是一个过程.受组织的董事会、管理层和其他人员影响.风险管理应用于战略制定，贯穿整个企业。企业风险管理旨在识别影响组织的潜在事件，在组织的风险偏好(risk appetite)范围内管理风险，为组织目标的实现提供合理的保证”(张翠华、牛成喆，2005)。

从美国COSO委员会的《内部控制框架》报告，再到新近颁布的《企业风险管理框架》报告，可以清楚地看到，风险是一个比内部控制更为广泛的概念，内部控制是企业风险管理框架必不可少的组成部分。并指出，企业风险管理框架扩展了内部控制.对于企业风险管理提供了更加稳健和广泛的关注。但是，企业风险管理框架并不能取代内部控制框架(以下简称IC-IF)，而是把内部控制框架包括进来，企业可以用企业风险管理框架来满足内部控制的需要并且推进企业的全面风险管理流程。

总的来讲，新的框架扩大了风险管理的广度、深度，加强了企业管理层次控制风险的地位和职责.把风险评估在企业经营中提到十分重要的高度。强调企业的风险管理应针对企业目标的实现，在企业战略制定阶段就予以考虑.而企业在对其下属部门进行风险管理时应对风险进行加总，从组织的顶端、以一种全局的风险组合观来看待风险。此外，根据风险管理的需要，对企业目标进行重新分类，明确战略目标在风险管理中的地位(吴秀波、张舒华、魏伟，2005)。 COSO委员会认为企业风险管理框架应为企业的董事会和管理者提供合理保证，提出风险管理应在整个企业范围内应用，并应以一种企业的总体风险组合的观点来管理风险。在此基础上进一步提出企业的风险管理框架由内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控八个要素构成(毛敏，2004)。另外，提出了四个目标和四个层次(如图1所示)。八要素与企业目标和企业各层次之间是一个三维交错，相互作用的关系。风险管理框架整合了公司治理和内部控制，关注了公司治理领域和内部控制环节的风险，而这些风险也正是风险导向内部审计的对象。

三、基于风险导向内部审计的企业风险管理框架的构建

综合上述内容。结合风险导向内部审计与企业风险管理框架的论述，构建基于风险导向内部审计的企业风险管理框架，如下页图2所示。

(一)了解外部环境风险 企业的外部环境是企业生存的基础，外部环境变化对企业蕴涵着越来越多的风险。风险导向内部审计要求审计人员不仅要了解本企业的经营情况，还要了解：(1)同行业其他企业的经营情况;(2)市场波动风险;(3)政策环境变动的风险;(4)科技进步风险;(5)自然灾害带来的风险等。

(二)确定风险容忍度

风险容忍度是企业在实现其目标的过程中对差异的可接受程度，是在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。风险容忍度较大，说明企业承受风险的能力较强。内部审计人员可以根据本企业的经营环境、经营规范、资本结构等确定风险容忍度，在风险事件来临时采取不同的措施加以应对。

(三)识别风险 风险识别是风险管理框架中的关键。是对企业潜在的风险加以判断、归类和鉴定风险性质的过程。也就是说，从潜在的事件及其产生的原因和后果来检查风险，收集、整理可能的风险并充分征求各方意见以形成风险监控列表。

可以根据自身的实际情况，制定风险管理审计计划，包括制订财务风险管理、生产风险管理、市场风险管理、会计风险管理、人事风险管理和其他风险管理审计计划，确定风险管理审计的位置和背景。最后，审计委员会还要关注已识别风险的完整性，即企业所面临的主要风险是否均已被识别出来，并找出未被识别的主要风险。定性的方法有以下几种：调查问卷表、SWOT分析、流程表、事件树等。

其次是对识别出的风险进行定量评估，定量分析可以借助计算机分析和统计分析模型。通过对所收集的大量的详细损失资料，应用各种管理科学技术，采用定性与定量相结合的方式，评估风险事件发生的可能性和频繁度，风险事件的潜在影响及其成本的高低。针对企业制定的详细风险管理审计计划，分别评估每一计划的风险，再综合各方面因素，确定企业总体风险的大小。风险评估的目的是确定每个风险要素的影响大小。一般是对已经识别出来的风险进行量化估计。

在此过程中，内部审计委员会要对已有的评估结果进行再检验，以确定其是否恰当，对不恰当的估计予以更正。对于风险缺乏充分的控制措施的情况。提出改进措施和建议，以强化企业的风险管理，降低风险损失。风险分析中不仅要关注风险的数量方面，而且要关注风险的属性方面或其他承载价值的后果(李瑛、李阳，2008)。

(四)应对风险 根据本企业的风险容忍度.制定风险应对策略：可规避性、可转移性、可缓解性、可接受性。内审委员会对有关部门针对风险所采取的行动进行检查.检查其是否充分、得当。对于风险缺乏充分的控制措施的情况，内审委员会可以根据不同的情况，提出避免风险、接受风险还是降低风险的具体措施和建议.协助完善风险的反应方案.以强化企业的风险防范管理，降低风险损失。内部审计人员在评价风险应对措施的适当性和有效性时.还应当考虑以下因素：(1)采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;(2)采取的风险应对措施是否适合本组织的经营管理特点;(3)成本效益的考核与衡量等。

(五)监督风险发展状况

风险是动态的.风险的数量和可能性会随环境的变化而变化.持续的监控对有效地管理风险是最基本时。内审委员会可以通过持续的监控.使企业明确在下一步的风险处理中应当改进的问题。通过这个环节可以明确企业风险管理可以给企业带来的利益与价值，了解风险评估的正确性，为下次评估提供经验教训，明确风险回应决策的有效性，同时还有助于控制成本费用。

(六)评价风险带来的影响

一个风险事件结束后，审计委员会应将此次事件所带来的影响进行归纳、总结。成为以后风险管理的经验。在风险总结中应包含对以下内容的评价：(1)风险识别是否完整;(2)风险衡量是否准确;(3)应对措施是否有效;(4)监控手段是否合理;(5)风险事件的后果。经过这个环节，可以总结工作的经验与教训，使风险管理框架更加完善。

本文提出企业风险管理框架是一种以风险导向内部审计为指导思想的企业风险管理方法，同时明确了内部审计在风险管理过程中所负担的职责，为内部审计的发展提供了指导方向。总之，一个理想的建立在风险导向内部审计基础上的企业风险管理框架能够有效地控制和管理企业风险，在现有的条件下使企业风险达到最小。

四、企业风险管理框架对我国的借鉴意义

我国企业风险管理普遍处在比较低的水平上，虽然近年来取得了长足的进步，但就总体而言，与飞速发展的客观经济形势仍不相适应，呈滞后状态。现在国内大多数企业之所以没有进行风险管理.是因为缺乏一种与企业整体状况相适应并指导企业进行风险管理的系统框架。这种框架可以帮助企业在事件发生前预测风险，事件发生时应对风险，事件发生后评估与监控风险。

(一)在组织机构上，内审工作要与企业的各级风险管理组织相配合，开展企业综合风险管理

根据COSO的风险管理框架，一些国际会计公司提出了企业综合风险管理(EWRM，EnterpriseWide Risk Management)的概念，这种管理要求内审工作超越企业内部各职能部门之间的隔离。实现全体的综合的和全员层次的行动，进行综合的风险管理。

(二)提高企业风险意识，培育全面风险管理理念

开展企业风险管理审计.首先要求企业决策层彻底转变观念，增强风险意识，提高对风险管理审计的重要性的认识，切实把风险管理审计摆在重要位置上，正确、合理地处理风险与效益的关系，把企业长远利益作为企业的根本目标。内部审计人员作为风险管理的倡导者和推行者，首先自身要树立风险意识，还可以通过事前、事中、事后的评估和对内咨询服务向企业其他成员灌输风险意识，使其认识到企业所面临各种风险的利弊，并自觉地参与风险管理。只有真正树立了企业全员的风险管理意识，才能实现企业的全面风险管理。

(三)优化内部审计组织模式，提高内部审计人员素质

全面风险管理强调整体性和全局性，决定了内部审计部门在企业中需保持一定的超然性和权威性。IIA认为内部审计在职能上向董事会下设的审计委员会报告，在行政上向CEO报告是一种理想的结构。这种报告关系既可保证内部审计参与风险管理的权威性。也有利于整个企业内部风险管理措施的互补。改善内部审计人员的知识结构，提高其胜任能力，是内部审计实现参与风险管理的关键所在。内部审计人员不仅应成为一名合格的审计监督管理者，更应是一名优秀的风险管理者，既要掌握和了解企业内部的经营管理运作状况，又要关心企业外部环境的变迁、市场经济的趋势、行业的特点和技术的发展等要求。

(四)及时沟通信息，确保风险处置时效

沟通应该贯穿整个审计过程。在审计实施前，内审人员应就审计报告的提交日期、各审计阶段的进度安排、应提供的资料、人力和物力协助、各重要审计程序的执行日期等方面与被审计单位充分协调、沟通，避免可能产生的一些矛盾。在审计实施过程中，对审计发现的问题及所提出的建议.审计人员要与被审单位或个人进行商谈。讨论审计结果有两种方式，一是面对面的口头交换意见;二是通过编制和答复书面的“审计备忘录”进行。通常，“审计备忘录”应包括现状、标准或期望、原因、影响、评价、建议等部分，并要求指定的人员在规定时间内给予正式的书面答复.以免事后产生不必要的争议。在审计报告发出前.不仅要征求被审计单位的意见，还应考虑相关部门的意见。关于发布审计结果，IIA2001《标准》第2440款指明“为使公认风险范围以外的‘例外’情况受到重视.风险得到管理和控制.审计执行主管应负责将发现的风险管理、控制及治理方面的问题，报告给那些能保证对审计结果进行应有考虑的人员”。

(五)对原有内部控制系统与风险管理系统进行整合

我国企业内部控制系统还不够完善，对风险的控制与管理关注较少。与COSO报告所提出的先进的评估风险和应对风险的方法相差较远。我国企业应该参照国际先进的风险管理理念和模式，对原有的内部控制系统和风险管理系统进行整合。当然，如果企业没有风险管理系统。也可以借鉴风险管理框架所提出的先进的风险管理理念、方法来建立本单位的风险管理系统，并注意与原有的内部控制体系进行整合，使之在一体化的框架下运作(李正，2005)。

(六)重视后续审计，形成风险管理回路

由于种种原因.被审计单位有可能表面上认可审计结果，却没有采取任何实质性的改进措施，这不仅无法进行有效的风险管理，也会动摇内部审计在企业中的威信和存在价值。所以，后续审计就成了内部审计工作中的关键程序。后续审计是指在审计报告发出后，内审人员仍然要为报告中所涉及的审计结果和审计建议进行跟踪，以审查和监督被审计单位是否采取了风险防范和控制措施。后续审计应该跟踪到：对于重大的审计发现，相关部门和环节是否予以纠正;若不予纠正，责任和原因到底在哪里。为了便于企业高层理解审计部门的工作，保证审计建议有效落实，后续审计也必须有具体、详细的跟踪记录。跟踪记录应反映：审计结果和建议、责任人、截至目前采取的纠正措施、未纠正的原因、计划采取的措施等。后续审计仍然必须坚持风险导向和成本效益原则。如果风险较大或是潜在性的，不仅高层管理层要重视后续审计，内部审计人员也要投入时间、精力，拓展后续审计项目的深度和广度。反之，后续审计可仅限于询问和简短的讨论，以节约审计成本。

在当前金融危机席卷全球的大背景下，企业风险管理正展现出前所未有的重要价值，同时也给企业风险管理提出了更高的要求。企业更要做到内部控制以风险管理为导向。树立正确的风险管理态度，建立和强化风险预警系统。同时，国家有关部门应加强对行业的监管力度。此次金融危机的实质是信贷泡沫，是信贷生产过剩，是社会信用风险总量超过了金融系统可接受的程度的结果。因此，企业要更加重视信用风险管理，深化对信用风险管理内涵的认识，认真评估市场风险、信用风险，充分认识全球经济形势的变化，及时调整企业目标。

(本文责编　宋冬英)

作者：程永泉　冯义秀