风险识别与风险评估的区别精选(五篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的5篇风险识别与风险评估的区别，期待它们能激发您的灵感。

篇1

关键词：风险评估 HRN参数 机械式压力机

1、前言

压力机作为常见的金属加工机械，在汽车，造船，航空，机加工等非常多的行业有着非常广泛的应用。同时，压力机是一个非常危险的机械。冲压作业伤指事故较多。该行业曾流行一句话：十个冲工九个残。客观原因是冲压机械滑块垂直下冲速度极快。

以一般100吨液压冲床为例，滑块每分钟往复次数为75次，即单程一次只约需0.4秒。采用行程为100毫米进行拉伸作业，若手在模内，冲床滑块下冲伤指的时间约为0.1秒。而当操作者发现或感觉到滑块下冲时，反应到大脑，再由大脑指挥手缩回的时间约为0.2-0.3秒，显然手是来不及收回的。因此常造成伤指事故。

因此如何对于一台冲压机械中所存的风险进行分析得出结论，并对其实施改造，以达到机械安全与人员保护的目的。

2、风险评估原理

根据ISO 12100的要求，应依照一系列合理步骤进行风险评估，以便对机械相关危险进行系统地检查。对于ISO 12100：2010第6条中所述的任何风险降低措施，风险评估过程均应遵守。为最大限度消除危险并实施安全措施，这一过程重复进行时，应给出一个迭代过程。

风险评估方法包括：

风险估计。确定限制条件；危险确认；风险估计。

风险评价。风险估计提供了风险评估所需的信息，而风险评估反过来又有助于对机械安全进行判定。

3、第三 针对一台400T机械式压力机所进行的风险评估

在本文中，我们将主要针对一台400T闭点式机械压力机进行风险评估，以识别其中所存在的风险。依据前文所述，我们执行了以下步骤：

预定的使用环境为一般工业环境。机器针对操作人员，维护人员和技术人员使用而设计。人员已接受机器相关的常规培训。HNKJ-400吨压机上的维护作业由受过培训的人员进行。机器的清洁由操作人员进行；若存在堵塞，则由操作人员进行修复。机器的预计使用寿命为20年。

在一台压力机中，最显著的危险源自于合模区中固定在压机滑块的上模与工作台中固定的下模之间的挤压危险，但是由于触及的频率及方式各不相同，对于各个风险点我们进行了如下的识别与评估：

3.3 从正面进入模具区域

3.4 从侧面进入模具区域

从上述的风险评估举例中，可以看出，即使是同一个机械动作所引起的危险，在不同的作业情况下，不同的接近路径下，其风险区别极大。因此，在考虑设计控制系统时，不同的接近路径下，不同的控制系统元素的可靠性和冗余性应当也有所区别。尽管选取最高的系统可靠性显然能够满足系统的安全要求，但是也会造成系统的构建成本过高，设计过于复杂。因此，根据风险评估的结果，来选取相应的控制系统等级来设计控制系统，是非常有必要的。

4、结语

通过对于HRN风险评估参数法的阐述，以及对于压机最主要风险进行的分析，我们可以看到，如果在没有任何保护措施的情况下，操作这样高风险的机器时是非常危险的。我们必须采取安全保护措施，构建安全防护及相对应的安全控制系统来保护操作人员的安全。而在设计控制系统时，根据不同的HRN参数，来选择合适的控制系统等级也是非常重要的。这样可以针对性地提高系统安全性，并有效地控制项目成本。

参考文献

篇2

关键词：内部审计；风险导向内部审计；风险管理

内部审计作为重要的管理工具，一直是企业内部监督的重要组成部分。随着经济全球化和市场竞争多元化的不断深入，企业所面临的风险日趋复杂。尤其是对于大型企业集团而言，风险规模已经远远超出管理层能够直接管控的范围。为此，企业开始日益重视风险管理工作，积极建立内部控制体系，提高企业风险管控能力。在此趋势下，风险导向内部审计应运而生，并较好的适应了管理层的风险管理需要。

一、风险导向内部审计的概念与基本特点

按照国际内部审计师协会（IIA）对内部审计的定义，内部审计是“一种独立、客观的保证和咨询活动，其目的是在于为组织增加价值并提高组织的运作效率。它采取系统化和规范化的方法来对风险管理、控制和治理程序进行评估和改善，从而帮助组织实现目标”。根据这一定义，推行风险导向内部审计就是要以对组织风险的评估与改善作为基本目标，以内部控制为审计基础，以公司治理为参与风险管理的前提。风险导向内部审计作为内部审计发展的一个阶段，其本身具有区别于传统内部审计和注册会计师外部审计的特点。笔者认为这些特点主要体现在如下方面：首先，风险导向内部审计将风险评估和改善作为首要目标，并据此延伸其职能。具体来说，其职能主要有三个方面，一是利用其在内部管理方面的专家地位和信息优势，根据企业目标评估、分析和管理风险，并将审计结果和管理建议向管理层报告。二是帮助管理层在制定重大决策事项时进行风险评估。三是为市场、采购、技术等其他专业领域的风险管理部门提供咨询。总之，风险导向内部审计不再是消极的查错防弊，而应以组织的整体风险评估作为首要工作。其次，风险导向内部审计在方法上更加注重风险评估、缺陷评估和管理建议。区别于传统内部审计，风险导向内部审计始终把风险管理作为审计工作的出发点和落脚点，强化审计工作的事前风险评估和事后缺陷评估环节，并基于这些评估得到审计结论和给出风险管理建议。第三，风险导向内部审计以内部控制为基础。从理论上说，内部审计是内部控制的监督环节，是对其他内部控制环节的再控制。内部审计无论从事是对风险的评估和改善，还是参与风险管理和治理程序，都需要依托对企业内部控制状况的了解。第四，采用风险导向使内部审计工作融入企业全面风险管理体系。不同于外部审计师所实施的内部控制审计，内部审计是为了保证企业经营目标的实现、保护资产安全、防止舞弊的发生而进行的全方位的内部控制评价。也就是说，内部审计、内部控制以及管理层的风险治理活动都是以企业风险管理为目标。内部审计通过采用风险导向而参与到企业全面风险管理中，成为整个风险管理体系的有机组成部分。

二、在内部审计中采用风险导向的必要性与实践意义

当前，内部审计需要应对的风险越来越复杂，对审计的要求也不断提高。内部审计需要更为全面、及时、准确的反映企业存在的风险，并提出有针对性的管理建议。传统内部审计虽然也针对企业风险进行监督，但从根本上说仍然缺乏完整有效的风险识别和评估体系，审计工作高度依赖审计人员水平，其风险覆盖的全面性、重要环节的审计充分性、以及审计质量的稳定性均难以保证。这不但无法满足企业风险管理需求，而且难以体现内部审计的管理价值，不利于内部审计的长期发展。因此，在审计实践中采用风险导向是内部审计发展的必然选择。

1、风险导向内部审计以风险评估和改善为目标，可以更为系统的覆盖企业重要风险，保证内部审计的完整性传统内部审计对于内部控制的关注一般集中在已有流程和已识别的运营风险，而缺乏对风险识别全面性和风险变动的评估。但对个体企业而言，无论是外部环境、业务特点，还是内部管理和治理结构都十分复杂，且始终处在不断变化的过程中。COSO委员会在2004年颁布的《企业风险管理——整体框架》（ERM）中将企业全面风险要素概括为八个大类，而阿瑟.安德森公司的商务风险模型（BRM）则将企业风险概括为三大类75种，足见其范围之广。在此情况下，传统内部审计很难保证审计结果和管理建议不存在重大遗漏、误判或者与企业实际状况脱节的风险。而风险导向内部审计通过有效的风险识别和风险评估，可以及时、全面的掌握这些情况，帮助内部审计部门形成对被审企业的完整认识。

2、风险导向内部审计对风险和缺陷的评估，能够更为科学的确定审计事项的重要性水平，有助于合理调配审计资源，深入进行研究分析，保证内部审计的充分性在目前的内部审计实践中，一个较为突出的问题是在标准化的审计程序上耗费大量审计资源，而缺乏对重要问题的深入研究和系统性分析。具体来说，一方面，审计过于追求程序的标准化，审计意见包含大量详细的操作细节问题，但没有区分重要性水平。特别是对于风险较小的环节给予过多关注，造成控制冗余，不但影响审计效率，也可能对后续审计产生误导。另一方面，对于重要缺陷不能给出系统评估和全面的解决方案，例如评估缺陷在多大程度上增加了企业运营风险，缺陷产生的系统性原因和个体原因，以及如何进行整改和需要投入的管理资源是否符合成本效益原则。而风险导向内部审计重视事前的风险评估，可以有效解决审计侧重点问题，合理调配审计资源。可以结合企业目标，有针对性的深入研究重要风险，评估缺陷程度。同时，还可以减少在次要风险上的审计资源投入，在总体资源有限的情况下发挥最大的审计效果。

三、实施风险导向内部审计的实现途径与展望

风险导向内部审计从根本上改变了传统审计的指导思想和工作模式，对内审部门提出了很大的挑战，其在实践中的应用还存在很大障碍。笔者认为，要想实施风险导向内部审计，至少需要在如下几个实现转变。

1、内部审计部门职能的转变：由消极的查错防弊向主动的风险管理转变在所有阻碍风险导向审计实施的问题中，最根本的是内审部门自身定位的转变。风险导向内部审计要求内审部门的定位要从消极的查错防弊变为主动的风险管理，在风险评估、内部控制乃至公司治理中发挥专业作用。这使内审工作从监督指导职能延伸到风险评估、缺陷分析和管理咨询，几乎颠覆了内审部门的旧有工作范围，无疑是对内审部门从软件到硬件的全面挑战。尽管如此，这些转变又是不可回避的，因为能否转变思路并主动适应新的角色，是内部审计能否提升自身价值的关键所在，也是企业风险管理提升不可或缺的重要途径。

2、审计方法的转变：建立完善风险评估机制风险评估和改善作为内部审计的首要目标，在实践中也是能否真正实施风险导向内部审计的关键问题。因为企业的风险千差万别，风险评估也非常复杂繁琐，但作为整个审计体系的基石，所有后续审计工作均需要以风险评估为基础。笔者认为，企业应通过建立成熟的风险识别模型和风险评估程序，通过流程化、标准化以节约审计资源。具体来说，一方面内审部门应结合COSO企业风险管理框架（ERM）、企业风险模型（BRM）以及其他风险分析工具，建立一套适合本企业特点的风险识别模型。然后根据企业目标，在模型框架内识别具有重大影响的风险项目，建立企业风险数据库。另一方面，在内部审计中应建立风险评估报告制度，强制要求内审人员全面了解被审单位的风险状况，以保证所有后续审计工作按风险导向执行，最终帮助评价审计结果对企业整体风险的影响。

3、风险管理架构的转变：整合内部控制资源，实施风险的全过程管理无论是内部审计还是内部控制和企业风险管理部门，乃至于各专业部门的风险管理人员，其根本任务归根结底就是对风险进行管理。而受制于管理范围和资源限制，内部审计部门必须与其他风险管理部门共同开展风险管理工作。具体来说，一是需要加强部门协调，与相关部门共享风险数据库，并在共同的风险识别框架下对风险形成共同认识，对控制措施和审计缺陷评估实施共同标准。二是对风险进行全过程管理。根据风险管理过程理论，风险管理是风险识别、风险度量和风险监控三个环节构成的循环，内部审计对于风险的管理也必然是一个动态的过程，需要整合相关资源对风险全流程进行管理，及时进行重新评估和应对。目前，外部审计机构正在大力开展管理咨询业务，凭借其专业优势和成本优势，越来越多的重复性内部审计工作已呈现外包化趋势。内部审计如果仍在“查错防弊”阶段止步不前，将越来越难以为企业创造价值。因此，只有积极参与企业内部风险管理，并在此基础上与其他风险管理部门密切配合，形成强有力的风险管理体系，才能有效为企业保驾护航，这或许是内部审计的长远发展方向。

作者:姜传志 胡增会 单位:青岛中油岩土工程有限公司

参考文献:

[1]曹伟,桂友泉.2002:内部审计与内部控制[J].审计研究(1),P27-30.

[2]费朵,邹家继.2008:项目风险识别方法探讨[J].物流科技(8),P139-141.

篇3

关键词：网络审计　历史财务报表审计　信息安全管理　风险评估

一、引言

从审计的角度，风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中，现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心，通过对被审计单位及其环境的了解，评估确定被审计单位的高风险领域，从而确定审计的范围和重点，进一步决定如何收集、收集多少和收集何种性质的证据，以便更有效地控制和提高审计效果及审计效率。从企业管理的角度，企业风险管理将风险评估作为其基本的要素之一进行规范，要求企业在识别和评估风险可能对企业产生影响的基础上，采取积极的措施来控制风险，降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分，是企业信息安全管理的基础和关键环节。尽管如此，风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同，本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上，从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开，将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析，以期深化对网络审计风险评估的理解。

二、网络审计与历史财务报表审计的风险评估比较

(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型，审计风险又由固有风险、控制风险和检查风险构成。其中，固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下，其财务报表某项认定产生重大错报的可能性；控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性；检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中，审计风险仍然包括固有风险、控制风险和检查风险要素，但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率，为企业的经营管理带来很大的优越性，但同时也为企业带来了一些新的风险。这些新的风险主要表现为：(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了，这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求，非专业人员难以察觉计算机舞弊的线索，这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统，或者说，企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险，例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口，使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据，从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险，如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障，或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地，网络审计的固有风险主要是指系统环境风险，即财务电算化系统本身所处的环境引起的风险，它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险，其中，系统控制风险是指会计电算化系统的内部控制不严密造成的风险，财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险，审计软件风险是指计算机审计软件本身缺陷原因造成的风险，人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。

(二)风险评估目的无论在网络审计还是历史财务报表审计中，风险评估只是审计的一项重要程序，贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此，两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类，因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险，审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动，无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中，一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同，企业在不同阶段的控制目标和控制行为也会有所不同，因此，审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等，信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面：物理层，即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境；网络层，即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等；系统层，即信息系统本身的漏洞情况、配置的缺陷情况；应用层，即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况；管理层，即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险，审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性，它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的，审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险，主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中，审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然，这两类风险并非完全分离的，评估时审计人员应将两者结合起来考虑。

(三)风险评估内容　广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同，因此两者在风险评估的内容上也是存在区别的。总的来说，网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风

险》，在历史财务报表审计中，审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险，审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险，审计人员除了从以上方面了解被审计单位及其环境外，还应该关注其他相关的潜在事件及其影响，尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中，威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件，它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素，也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节，它是系统或网络财务信息本身固有的，包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说，脆弱点本身不会带来损失或信息错报，威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此，我们认为网络审计申风险评估的内容应包括以下几方面：(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁，并分析威胁发生的可能性；(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点，并分析脆弱点的严重程度；(3)根据威胁发生的可能性和脆弱点发生的严重程度，判断风险发生的可能性；(4)根据风险发生的可能性，评价风险对财务信息系统和基于网络的财务信息可能带来的影响；(5)若被审计单位存在风险防范或化解措施，审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。

(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求，审计人员应当实施询问、分析程序、观察和检查等程序，以获取被审计单位的信息，进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时，审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类，分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时，除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外，审计人员应格外关注对信息系统及网络的特性情况，被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时，除执行常规程序外，审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外，针对特定系统或网络技术风险的评估，审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等；管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中，IDS取样分析是指通过在核心网络采样监听通信数据方式，获取网络中存在的攻击和蠕虫行为，并对通信流量进行分析；渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法；工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息，包括主机扫描、网络扫描、数据库扫描等，用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况，使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析，进而评价企业相关风险发生的概率以及可能带来的损失；文档审核是一种事前评价方法，属于前置软件测试的一部分，主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价，审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。

三、网络审计与信息安全管理的风险评估比较

(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制，信息安全风险评估是企业管理的组成部分，它具有规划、组织、协调和控制等管理的基本特征，其主要目的在于从企业内部风险管理的角度，在系统分析和评估风险发生的可能性及带来的损失的基础上，提出有针对性的防护和整改措施，将企业面临或遭遇的风险控制在可接受水平，最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务，其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度，从而指导进一步审计程序。因此，两者风险评估的目的是不一样。从评估所应关注的风险范围来看，两者具有一致性，即都需要考虑与信息系统和信息相关的风险。但是，具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，它要求评估人员关注与企业整个信息系统和所有的信息相关的风险，包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中，审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见，因此，风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险，而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同，信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动；他评估通常是由组织的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言，受托执行的信息安全风险评估应当归属于管理咨询类，即属于非鉴证业务，与网络审计严格区分开来。

(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中，它将信息安全风险评估的内容分为两部分：基本要素和相关属性，提出信息安全风险评估应围绕其基本要素展开，并充分考虑与这些基本要素相关的其他属性。其中，风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施；相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是：(1)对信息资产进行识别，并对资产赋值；(2)对威胁进行分析，并对威

胁发生的可能性赋值；(3)识别信息资产的脆弱性，并对弱点的严重程度赋值；(4)根据威胁和脆弱性计算安全事件发生的可能性；(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；(6)根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。结合上文网络审计风险评估五个方面的内容可以看出，网络审计和信息安全风险评估在内容上有相近之处，即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是，信息安全管理作为企业的一项内部管理，其风险评估工作需要从两个层次展开：一是评估风险发生的可能性及其影响；二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的，其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出，企业在确定出风险水平后，应对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。其中，风险处理的方式包括回避风险、降低风险、转移风险、接受风险，而控制措施的选择应兼顾管理和技术，考虑企业发展战略、企业文化、人员素质，并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次，即审计人员通过风险评估，为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此，两者的评估内容是存在区别的。

篇4

本文基于德尔菲法，通过整合风险评估理论分析了目前商贸流通业转型中的风险，并提出了建立或完善商贸流通业风险评估体系的方法和措施，希望能够为商贸流通业转型期风险评估研究提供有益参考。

关键词：

商贸流通业；风险评估；德尔菲法

一、转型时期的商贸流通企业风险分析

（一）细分市场风险事实上，市场细分建立在三个基础上。在市场上，消费者总是希望根据自己的独特需求去购买产品，因此不同顾客间的需求是有差异性的；在同一地理条件下、具有相同背景和文化的人们有着相对类似的价值观和人生观，因此他们的需求又是具备相似性的；企业受限于自身实力，无法向市场提供满足一切需求的产品。为了有效竞争，企业选择市场细分，针对目标市场，集中企业优势资源，取得竞争优势。目前商贸流通企业在转型中的确将很大一部分将精力投入到细分市场中，尽量满足客户多元化及个性化的需求，但这背后其实也隐藏了很大的风险。首先，细分市场可能导致其订单碎片化和小量化，影响其市场占有率。其次，细分市场可能会增加企业运营成本。整个商贸流通业的利润率并不高，如果缺乏销量的支持，企业很有可能会亏损。最后，消费者需求变化快，细分市场不稳定，增加了企业运营风险。

（二）互联网运营风险在互联网经济时代，电子商务的快速发展带动了商贸流通业与互联网的快速“联姻”。应用新技术和发展新模式成为商贸流通业改革创新的重要手段，其中大力发展电子商务，建立网络化平台就是当今的主流趋势。传统的商贸流通业存在着信息不对称、资源配置效率低等弊端，而在以云计算、物联网为代表的新一代信息技术冲击下，电子商务平台帮助传统商贸流通业突破束缚其做大做强的瓶颈，成为组织配置资源和要素的中心，主动引导生产和影响消费，真正成为经济活动的主导者。对于众多商贸流通企业来说，挑战无处不在，其中最突出的问题即是线上与线下模式的冲突，线上模式由于减少中间渠道商环节，可以节省一定成本，因此线上商品价格普遍比线下有优势，这在一定程度上压缩了线下模式的利润率，在线上模式未达到盈利规模时，企业需要承担很大的经营风险和财务风险。

（三）供应链整合风险供应链整合风险与互联网运营风险一脉相承，由于线上模式的成功很大程度上依赖于仓储物流及供应链管理，然而对于商贸流通企业来说，由于往往处于制造业的下游，对于供应链的把控处于非支配地位，因此在经营中往往被动，一旦供应链出现环节失联或沟通无效的情况，便会出现系统性业务失效，进而直接危及企业运营。互联网与移动经济的发展使得商贸企业间的竞争不单纯是产品的竞争，更是供应链与供应链的竞争。目前互联网公司正致力于建设自己的产品生态圈，本质上就是依托自身强大的营销能力和供应链管理能力，横向扩充产品线，形成竞争优势。从整条商品供应链上看，制造业创造的利润是最低的，而最有价值的却是流通服务和产品研发。因此对于一般商贸流通企业来说，整合供应链有利于把控上下游产业链，降低交易成本，增加企业利润。很明显，要做到这点需要流通主体的市场占有率和盈利能力，对于中小流通企业来说，需要有更高层次的改革方向作为配合。

二、科学的企业风险评估体系要素与流程

企业层面的风险评估也称危险度评价或安全评价，是指在风险事件发生之前或之后（但还没有结束），对该事件给企业财产和正常生产、运营等方面造成影响和损失的可能性进行量化评估的工作。对于商贸流通业来说，产业转型升级是企业可持续发展的必然选择，而风险评估以保证转型升级安全为目的，通过对固有或潜在风险进行定性和定量分析，有针对性地制定控制措施和管理决策。企业风险评估围绕业务战略、资产价值、安全需求、安全措施、脆弱性和安全事件等基本要素展开，在对基本要素评估的过程中，必须充分考虑到个要素间相互作用关系。企业风险评估中各要素的关系如图1所示。

（一）评估准备与资产识别风险前的准备至关重要，关系到风险评估的准备性及实际效果。首先要确定风险评估的目的以及风险评估的范围，接着组建适当的评估管理与实施团队。然后进行系统调研，可以采取问卷调查或现场询问等方式，获得相关数据后，制定方案，随即进入资产识别阶段，该阶段是对系统中设计的重要资产进行识别，并对其等级进行评估。

（二）威胁识别与脆弱性识别威胁识别与脆弱性识别是企业风险评估流程的第二阶段。威胁是一种对组织及其资产构成潜在破坏的可能性因素，威胁识别就是要识别重要资产可能遇到的威胁，例如竞争对手可能采取的策略。脆弱性识别也称弱点识别，每个企业都有优势资源，一个企业的优势对应竞争对手就是弱点，因此要识别自身存在的相对于竞争对手的脆弱性，并提前评估定级，同时还要对目前采取的应对策略进行评估，是否应该沿袭或调整。

（三）综合分析与制定风控预案综合分析与制定风控预案是企业进行风险评估的第三阶段，风险综合分析是综合企业资产识别、威胁识别、脆弱性识别的情况及数据，定性和定量地评估目前企业安全状况及风险因素，确定企业可接受风险范围；风险控制方案是针对风险综合分析中的风险要素，特别是不可接受风险，制定风险控制和处理计划，选择有效的风险控制措施将残余风险限制在可接受范围内。

三、商贸流通企业风险评估体系的完善

（一）方法选择在目前的主流企业风险评估方法体系中，德尔菲法是应用最为广泛的。该方法是采用背对背的通信方式征询专家小组的预测意见，经过几轮征询，使专家小组的预测意见趋于集中，最后做出符合市场未来发展趋势的预测结论，因此本质上是一种反馈匿名函询法。相较于其他技术预见法，德尔菲法重点在于把握事物发展趋势，而非结果的精度。德尔菲法有三个明显区别于其他专家预测方法的特点，即匿名性、多次反馈、小组的统计回答。匿名法是德尔菲法的突出特点，从事预测的专家彼此不知道有哪些人参加预测，这样就可以减少权威、主观思想或情绪等因素的干扰，获得最接近事实的结论；反馈性是指该方法需要经过很多轮的信息反馈，在每次反馈中调查组和专家组都需要进行深入研究，并对自己的想法和结论不断改进调整，这样可以避免一些疏忽或填补某些领域的知识空白，使得结果客观、可信；统计性是指该方法依据集体决策遵循少数服从多数的原则，因此结果反映多数人的观点。

（二）完善流程依据本文选取的德尔菲法企业风险控制预案制定思想，德尔菲法的实施一般有组建预测小组、选择专家、设计问卷、实施调查和反馈汇总等步骤，其中调查和反馈是德尔菲法能否发挥作用最重要的环节。在整个实施过程中，组织者和专家组各有不同的任务。针对商贸流通企业的风险控制需求，考虑到每个企业由于所处的市场环境、市场地位不一样，面临的风险种类和程度也各有不同，形成具有代表性的标准化风险评估体系建立工作流程十分必要。微观企业可以参照本文操作流程来有步骤、因地制宜的开展风险评估体系的完善工作，如图2所示。1.组建预测工作组。对于流通企业由单一流通职能向多功能服务提供者的角色转变趋势，企业首先需要综合评估未来转型中面临的大概率风险，将因此而可能涉及到的人事、市场、销售、研发、生产、供应链等环节的负责人都纳入评估小组，负责“企业转型风险评估”调查问卷的设计、专家选择、调查统计等一系列工作，避免片面，此阶段多属于预测和评估研究性工作。2.选择专家。进行企业风险评估的专家选择应来自内部和外部两个渠道，企业、行业协会和政府等均应纳入专家小组范围，专家不仅要有丰富的研究经验，还要熟悉商贸流通业的发展历史和具体的企业经营概况，能够站在企业、行业及国家三个层面对商贸流通业的未来发展趋势给出战略性意见并参与讨论。3.设计专家调查表。专家调查表的设计一般来说应根据商贸流通企业的实际情况，可以分为以下几个部分：该企业目前的竞争优势有哪些；该企业的竞争对手在哪些方面的威胁最大；该企业最容易出现风险的地方是哪里；该企业进入细分市场的障碍是什么；该企业是否有能力发展电子商务平台；该企业的供应链管理能力如何。专家对每一项做出回答，并按照重要程度划分：分为非常重要、重要、一般、不重要四个级别。4.组织调查实施。第一轮调查是开放式的，组织者提供背景材料和预测问题，请专家围绕预测问题提出自己的看法。组织者汇总整理专家意见，归并同类意见，并作为第二轮调查表分发给专家组；第二轮调研是评价式的，专家评价第一轮调研总结出的每个预测事件，说明事件可能发生的时间、方式、影响和理由，组织者统计这一轮专家意见，再整理出第三轮调查表；第三轮调研是重审式的，在这一轮中，专家会重新审视争论的焦点，给出自己新的评价，如果修正自己的意见，应叙述更改理由。组织者负责形成最终的风险评估报告和应对预案。值得注意的是，并非所有预测都需要经过这几步，有些预测事件可能在第二步就达成统一意见，或者经过三轮以上反馈仍然有较大分歧。事实上，定性研究不像定量研究那么精确，结果往往不很统一，只要如实记录下来就可以尽量真实地反映事件的发展趋势。运用德尔菲法时必须注意两点，一是保证专家意见的独立性，二是专家挑选必须基于对企业的了解，根据专家预测的风险排序，商贸流通企业需要针对每一个可能出现的风险，制定相应的风险预防方案。如果缺乏相应的预防措施，那么企业就应该考虑放弃该转型方向，选择从风险系数更小或风险应对措施更加充分的领域开始着手进行转型变革工作，以便减少失败概率，取得最大效益，也只有这样，流通企业的风险预测才能得到更客观、准确的结果，企业的风险预防和控制工作也才真正有意义。

参考文献：

1.曲钟阳.基于德尔菲法的技术预见[D].大连理工大学，2013

2.徐蔼婷.德尔菲法的应用及其难点[J].中国统计，2006（9）

3.夏网生，许黎明.加快江苏商贸流通转型升级[J].群众，2014（12）

4.顾宇.传统国有商贸流通企业转型升级的路径探讨[J].中国商贸，2013（14）

篇5

关键词：风险导向审计；审计模式；适用性分析

随着国内外重大审计失败事件的不断发生，风险导向审计作为一种重要的审计理念和方法，受到审计职业界和学者的关注。中国注册会计师协会在2004年10月了新的审计风险准则征求意见稿，要求注册会计师在审计中使用现代风险导向审计方法，实施风险评估程序，降低审计风险，提高审计质量。如果审计风险准则一旦正式生效，将使我国的审计风险准则与国际接轨，并引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变。因此，对现代风险导向审计模式的理解以及在我国的适用性分析就显得十分重要。

一、风险导向审计概述

随着社会经济的发展变化，审计方法适应审计环境的变化经历了三个发展阶段：一是审计发展的早期，由于企业组织结构简单、业务性质单一，注册会计师的审计工作目的是为了促使受托责任人在授权经营过程中做出诚实、可靠的行为，审计方式是详细审计。审计的重心在资产负债表，是对会计凭证和账簿的详细审计，旨在发现和防止错误与舞弊，这种审计方法就是账项基础审计方法（accountingnumber-basedauditapproach）。二是从1950年代起，以内部控制测试为基础的抽样审计在西方国家得到广泛应用，这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。对内部控制存在缺陷的环节，注册会计师通常将其涉及交易和账户余额作为审计的重点，甚至进行详细审计；对于可以信赖的内部控制环节，通常将其涉及的交易和账户余额进行抽样审计，以提高审计效率和降低审计费用。从方法论的角度，这种审计方法被称作制度基础审计方法（system-basedauditapproach）。三是1970年代以后，由于制度基础审计方法显露缺陷，一种新的、以风险防范为基础的风险导向审计模式逐渐兴起，从方法论的角度，注册会计师以审计风险模型为基础进行的审计方法称为风险导向审计方法（risk-orientedauditapproach）。

回顾审计方法的发展历程，风险导向审计模式已成为审计方法发展的国际趋势。风险导向审计模式合理地扬弃了作为制度导向审计模式基础的“无利害关系假设”，把指导思想建立在“合理的职业怀疑假设”的基础上，不只依赖对被审计单位管理层所设计和执行内部控制制度的检查与评价，而且实事求是地对公司管理层是否诚信、是否有舞弊造假的驱动始终保持一种合理的职业警觉，将审计的视野扩大到被审计单位所处的经营环境（微观、中观乃至宏观），将风险评估贯穿于审计工作的全过程。与传统的制度基础审计相比较，主要有以下区别：

（一）审计模式不同

制度基础审计模式以内部控制为核心，对控制风险的评估仅通过确定内部控制的可依赖程度来减少实质性测试的工作量，而对固有风险的评估常流于形式；风险导向审计模式不仅通过内部控制评估控制风险，还结合其他风险因素尤其是固有风险综合考虑，通过对企业环境、发展战略、公司治理结构等方面的评估，发现其潜在的经营风险及财务风险，并评估财务报表发生重大错报的风险，以便使审计风险降至可接受水平。

（二）审计基础不同

制度基础审计以内部控制制度为基础，根据被审单位内部控制制度的健全性及符合性评审结果，确定实质性测试的范围和重点；风险导向审计则以风险评估为基础，对影响被审单位经济活动的多种内外因素进行评估，确定审计范围、重点和方法，其不仅重视与内部控制系统直接相关的因素，而且重视各种环境因素。

（三）审计方法不同

两种审计模式都采用抽样技术，但风险导向审计是通过建立审计风险模型将风险量化。因此，相对于制度基础审计来说，风险导向审计的抽样技术是更完全意义上的审计抽样，更注重利用分析性测试方法，从而可以有效降低审计风险。

二、风险导向审计的两种模式

风险导向审计自产生以来经历了两个阶段，理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式；而将1990年代后期开始，在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的，以“审计风险=重大错报风险×检查风险”的模型为基础，以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。

传统风险导向审计模式与现代风险导向审计模式的本质区别在于审计理念和审计技术方法的不同，后者是对前者的改进，其主要区别如下：

（一）审计起点不同

传统风险导向审计运用的审计风险模型中，固有风险是指假定不存在相关内部控制时，某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报，而未能被内部控制防止、发现或纠正的可能性。传统风险导向审计方法通过综合评估固有风险和控制风险以确定实质性测试的范围、时间和程序，由于固有风险难以评估，审计的起点往往为企业的内部控制（如果没有必要测试内部控制，审计的起点则为会计报表项目）。

现代风险导向审计方法通过综合评估经营控制风险以确定实质性测试的范围、时间和程序，其审计起点为企业的战略系统及其业务流程。如果企业的业务流程不重要或风险控制很有效，则将实质性测试集中在例外事项上。这种新模式的优点是将审计的重心前移到风险评估，这将有利于充分识别和评估会计报表重大错报的风险，因此，主要针对风险设计、实施控制测试和实质性测试程序。此外，注册会计师容易全面掌握企业可能存在的重大风险，有利于节省审计成本，克服因缺乏全面性观点而导致的审计风险。

（二）风险评估识别以分析性复核程序为中心

现代风险导向审计注重运用分析性复核程序，以识别可能存在的重大错报风险；而传统风险导向审计对于信息的再加工程度不够，其分析性程序主要用在报表分析上。分析性复核程序已成为现代风险审计方法最重要的程序，为了适应分析性程序功能扩大的要求，分析性程序开始走向多样化：在数据分析上不但要对财务数据进行分析，也要对非财务数据进行分析；在分析工具上借鉴现代管理方法，把战略分析、绩效分析、财务分析及前景分析等分析工具运用到风险评估之中，使风险因素不再惟一，变一元风险评估为多元风险评估，使得出的风险评估结果更加可靠。

（三）风险评估方式由直接评估转变为间接评估

传统风险导向审计的风险评估是一种直接的方式，即直接评估重大错报的概率。现代风险导向审计模式是从经营风险评估入手，间接地对审计风险进行评估，因为经营风险越高，审计风险也越大，也就是管理舞弊的可能性越大；并且从经营风险中能更有效地发现财务报表潜在的重大错报，因为财务报表是经营的反映，如果经营风险未能在报表中得到体现，则财务报表很可能失真。此外，会计政策、会计估计的合理性评估也只有从经营风险入手，才能进行正确的评估。

（四）审计程序实施具有个性化

传统风险导向审计模式审计程序是标准化形式，对不同的被审计单位都使用标准相同的审计程序，其缺陷是没有足够贯彻风险导向审计思想，使注册会计师无法突破客户预先设置或防范的措施，难以做出正确的审计结论。现代风险导向审计方法要求注册会计师将评估及识别的审计风险与实施的审计程序相结合，针对不同客户以及客户不同的风险领域实施个性化的审计程序。

（五）审计证据的内涵扩大

在现代风险导向审计方式下，审计重心向风险评估转移，审计证据也由内部向外部转移。因此，注册会计师必须充分了解企业整体经营环境，由此评估客户的经营及审计风险，同时必须从外部取得大量的外部证据来证明风险评估的恰当性。风险导向审计模式下，注册会计师形成审计结论所依据的审计证据不仅包括实施控制测试和实质性测试获取的证据，还包括了解企业及其环境获取的证据。

（六）扩充了内部控制要素

传统风险导向审计方法下的内部控制是指被审计单位为了保证业务活动的有效进行，保护资产的安全和完整，发现、纠正错误与防止舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制要素包括控制环境、会计系统和控制程序。现代风险导向审计方法下的内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循，由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的三要素扩充为五要素，即控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动和对控制的监督。

（七）对注册会计师的专业知识提出了更高要求

现代风险导向审计对注册会计师的专业素质提出更高要求，其重心从会计、审计知识转向管理和行业知识。现代风险导向审计下审计结果主要依赖风险评估，风险评估的各种分析方法要求掌握现代管理知识和行业知识（包括市场、研发、生产等方面），这对注册会计师提出了更高的要求。注册会计师应该是复合性人才，不但要掌握一般常用分析工具，还要接受现代管理知识和行业专业知识训练。

三、现代风险导向审计模式在我国的适用性分析

基于上述分析，现代风险导向审计模式是审计发展的一种必然趋势。2003年10月，国际审计与鉴证准则委员会（IAASB）通过了新的审计风险准则；中注协也在2004年10日了修订后的审计风险准则征求意见稿，不仅将使我国的审计风险准则与国际接轨，同时也为提高审计质量、降低审计风险提供了技术支持。审计风险准则一旦正式生效，将引导中国注册会计师实务由传统风险导向审计向现代风险导向审计转变，会对我国的注册会计师审计理念、审计程序及审计责任产生非常大的影响。

然而，目前要在我国推行风险导向审计模式还存在一定的制约条件和需要解决的问题：

（一）会计师事务所审计成本与效益问题

实施风险导向审计模式的前提是成本能得到补偿。现代风险导向审计模式在审计计划阶段和执行控制测试阶段，注册会计师关注的范围扩大，程度加深，导致工作时间和审计成本的增加，在市场竞争激烈的情况下，成本的增加往往不可能过渡到收费的同步增加。此外，还需要一定的投入来培训注册会计师，使他们掌握业务流程和行业知识等有关方面的知识。如果这些成本得不到补偿，就会使一部分中小会计师事务所在竞争中无法生存。

（二）信息系统的建设问题

现代风险导向审计的重要特征是审计重心前移，注册会计师必须首先执行风险评估程序，充分了解客户整体经营环境，然后针对风险不同的客户、客户不同的风险领域，设计个性化的审计程序。因此，会计师事务所必须建立强大的信息系统，以便注册会计师在风险评估时了解企业的战略、流程风险管理、业绩衡量等。而目前国内很多事务所对行业风险和企业经营风险缺乏了解，客户的相关信息不够充分，信息系统的建设还达不到现代风险导向审计的要求，导致风险评估不准确。因此，风险导向审计的运用仅限于老客户，对新客户还是将大量时间用于实质性测试。

（三）审计从业人员素质问题

现代风险导向审计对审计从业人员的业务素质提出了新要求，不仅要具备丰富的审计理论和实践经验，还要具备必需的管理学知识和经济学知识，能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况，对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价，将审计视角扩展到内部控制以外，从较高层面上评估风险，而不是仅仅注重企业会计处理的细节。

（四）辅助审计软件的使用与完善问题

现代风险导向审计方法中分析性程序占据非常重要的地位，辅助审计软件的使用在其中发挥着重要的作用。西方发达国家大量运用分析性程序的条件是辅助审计程序的开发和运用，它可以直接对数据库进行加工分析，依据软件模型自行处理数据，使运用分析性测试程序成为节约成本的重要手段。另外，采用审计软件使统计抽样的样本更具代表性，审计抽样风险可控，为风险导向审计提供了技术支持。目前，我国在审计软件的开发和使用上不够理想，还有待提高，而且大部分注册会计师缺少相应的技术准备，在现阶段推行现代风险导向审计方法只能是一种愿望。

如上所述，目前在我国全面推行现代风险导向审计模式还受到许多制约，尽管它有很多优越之处，但在我国还不能够普遍推行。当前我国独立审计准则主要是以制度基础审计模式为基础的，而且相当一部分从事小规模企业审计工作的会计师事务所和注册会计师，基本上仍然在运用账项基础审计模式。但是，现代风险导向审计的实行是一种理念的改变，我们可将制度基础审计与风险导向审计有机结合。即使在现行审计准则仍然主要以制度基础审计模式为基础的情况下，吸取风险导向审计模式的基本观点和做法，则是完全可行的。通过把风险导向审计中控制风险的理念和方法融合到制度基础审计中，使其他审计模式忽略审计风险的缺陷得到弥补，将会为探索适合我国的现代风险导向审计模式积累有益的实践经验。

参考文献：

〔1〕陈毓圭。对风险导向审计方法的由来及其发展的认识〔J〕。会计研究，2004，（2）。

〔2〕常勋，黄京菁。从审计模式的演进看风险导向审计〔J〕。财会通讯，2004，（7）。