审计中的风险评估范文

前言：我们精心挑选了数篇优质审计中的风险评估文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

（一）风险导向审计与金融机构洗钱风险评估的异同。具体运用中，两者均采用抽样评价方法，取证手段相同（如询问、查阅、检查等方式），评估流程类同。财务报表审计流程大致分三个阶段，即承接业务阶段的内外部风险评估，主要分析被审计单位高管层压力、机会和借口等因素所引发的舞弊或错报风险；风险初步评估阶段，了解评价被审计单位环境、内控制度情况；进一步审计程序阶段，控制测试和实质性测试（对被审计单位各类交易、账户余额和披露的细节测试以及实质性分析程序）。后续审计程序根据前阶段的风险评估结果确定，当后续审计程序获取的审计证据与初始评估获取的审计证据相矛盾时，可以修正风险评估结果，并相应修改原计划实施的进一步审计程序。审计风险评估的目的是根据风险，确定进一步审计程序的性质、范围和时间安排，其目的在于内控风险较高时，更多的控制测试和实质性测试能推断被审计单位的错报或舞弊行为，继而获取被审计单位错报或舞弊对财务报表的影响程度。洗钱风险评估与此类似，一是了解金融机构固有风险阶段，与承接审计业务阶段内外部风险评估相似，需了解金融机构所面临的宏观经济状况，所在行业的洗钱风险及经营状况对洗钱风险的影响。二是初步评估阶段，与审计风险初步评估阶段相似，对金融机构反洗钱工作的环境、内控制度执行情况进行评估。三是深入评估阶段，与进一步审计程序阶段相似，对金融机构的反洗钱内控制度有效性和可疑交易分析报告工作的及时性和有效性进行分析评价。洗钱风险评估过程中，可以在了解金融机构固有风险的基础上，确定初步评估的范围，指导深入评估的时间、范围和方法，包括对金融机构进行一次初步评估和一次深入评估，也包括根据评估结果，采取现场检查、约见谈话、现场走访等后续监管措施。不同之处在于：一是业务性质不同。风险导向审计是对财务报表不存在由于错误或舞弊导致的重大错报获得合理保证；金融机构洗钱风险评估是对金融机构洗钱风险的高低作出评价。二是评价内容不同。前者是对被审计单位的外部环境、内部环境、内控制度，特别是对会计报表及账务处理的准确性及真实性进行评价，具有经济评价性质，较为复杂；后者是对被评估单位反洗钱相关的环境、内控制度及可疑交易分析能力进行评价，具有单一性风险评价性质，较为简单。三是法律责任不同。审计主体对审计报告具有强制性报告义务，并对出具的审计报告承担法律责任；洗钱风险评估是对风险进行判断，不具有强制性报告义务，较少承担法律责任。四是委托责任不同。前者是会计师事务所接受有关信息使用者的委托，对被审计单位进行审计，信息使用者包括政府、股东及投资者等相关人员；后者主要是评估主体接受政府部门委托，根据最新风险状况对被评估机构洗钱风险进行评估。

（二）风险导向审计对洗钱风险评估的借鉴意义。风险导向审计理念成熟的理论和规则对新型的洗钱风险评估具有一定的参考意义，主要表现在：一是评估理念。实施审计的范围包括被审计单位内外经济、政治、法律环境、内部控制制度及经营状况，体现出评估对象在极为复杂的情况下，仍讲究审计的成本与效益。洗钱风险评估作为近年来推出的一种监管方法，强调合理配置监管成本，通过借鉴审计规则，才能将风险为本的评估理念落到实处。二是评价体系。审计风险评价体系采用类似于矩阵的评价方法评价，其基础是被审计单位的风险不能通过细化风险点进行简单汇总，理由在于风险之间存在交叉影响。金融机构洗钱风险评估是对金融机构反洗钱内控制度及控制措施进行评价，各风险控制点对整体风险的影响与审计实务基本相同，借鉴审计评价方法，能较好反映金融机构被利用洗钱的风险。三是评估方法。开展审计时，具体审计目的不同，取证手段也不同，各具优势，金融机构洗钱风险评估的方法处于摸索阶段，通过借鉴，能优化评价效能。

二、审计风险评价体系对洗钱风险评价体系的借鉴

层次分析法（AnalyticHierarchyProcess，AHP）是美国运筹学家T.L.Saaty于20世纪70年代初提出的一种决策分析方法，基本原理是：把一个复杂的决策问题视为一个系统，按总目标、子目标、评价因素的顺序进行逐步分解，构建层次结构，然后通过模糊量化确定各元素对于上层指标的重要性，以此递推到总目标层，从而为最终的决策问题提供较为科学的定量依据。洗钱风险评估方法之一为层次分析评价方法，通过采用分级细化、确定指标分值权重、逐级加减汇总的方式，确定总体水平。如澳大利亚评估洗钱风险主要考虑两个因素，一是机构被用于洗钱和恐怖融资活动的可能性（剩余风险），若机构的内在风险（自身提供的产品、服务、销售渠道、面对的客户群体导致的内在风险）较高，但其各项内控政策措施足以有效管理风险的话，则剩余风险不大；如果被评机构属于公共机构，则被用于洗钱的影响就比较大，其内控风险模块和内在风险模块的风险值根据各自重要性加总，前者减后者得出剩余风险值。我国试行的金融机构反洗钱风险评估标准中，将风险指标划分为环境、产品／客户、控制、沟通和调整五类一级指标，通过对各类指标中的标准评价得分汇总得出整体风险，优点在于，整体风险或工作情况受多个控制点、事项或交易的影响，各指标的汇总得分情况能较好反映整体水平，其在工作绩效考核运用中的优势尤其明显。

审计风险值的确定方法与上不同，是在确定各类风险值（或风险高低）的基础上，对各类风险值进行数值乘算（或选用“高”、“中”、“低”等文字的定性描述），并通过矩阵表的方式计算确定风险，本文将此方法描述为矩阵评价方法。审计风险值具体确定方法为，审计风险=重大错报风险×检查风险（实务中，注册会计师不一定用绝对数量表示风险水平，还可以选用“高”、“中”、“低”等文字描述，即审计风险值可通过数值乘算，也可以定性确定），其中，检查风险取决于审计程序设计的合理性和执行的有效性，可以通过职责分配、提供针对性审计计划等方式解决。重大错报风险包括固有风险和控制风险，评估时可以单独对固有风险和控制风险进行评估，也可以合并进行评估。国内有关研究提议采用矩阵方式评价风险，第一种评价方法为，洗钱风险=固有风险×内控风险，其中，固有风险包括：国家／地域风险、产品／服务风险、客户风险；内控风险主要是指反洗钱内控制度及执行风险。第二种评估方法为：反洗钱风险＝原本风险×管控风险×监管风险。与反洗钱风险管理的评估方法相似，金融机构洗钱风险水平受以下四个方面的因素影响：国家经济，所在行业、地域环境；反洗钱内控制度与内部环境；金融产品、服务及客户本身的洗钱风险水平；可疑交易报告的及时性和有效性。第三种评价方法为，金融机构洗钱风险=国家（地域、行业）风险×控制风险×产品（或客户）风险×交易监测风险（与审计风险评估相似，洗钱风险值可通过数值乘算，亦可定性确定）。

国外有关监管机构采取类似的矩阵评价方法，如德国运用12格矩阵表示不同的风险等级，对金融机构的风险评估方法为，金融机构洗钱风险=潜在洗钱威胁×反洗钱措施的质量，其中金融机构潜在洗钱威胁分为高、中、低三档，包括金融机构所处地理位置、业务范围、产品结构、客户构成及销售方式。反洗钱措施的质量分高、中高、中低、低四档，评估结果主要依据金融机构的年度审计报告。本文认为矩阵评价方法体现出风险与成本的一种均衡，避免将洗钱风险通过简单汇总各级指标分值的方式进行评价。主要体现在：一是控制成本。风险导向审计理论认为，机构内部行使控制职能的人员素质及控制成本影响控制效果，若实施某项控制成本大于控制效果而发生损失时，就没有必要设置该控制环节或控制措施。洗钱风险评估中，某金融产品被用于洗钱的风险较高，其相关控制风险也较高，但若金融机构的该类金融产品交易量很少，则其整体洗钱风险不能被认定为高风险，投入此部分的评估资源可以相对减少。二是风险项的交叉性影响。即各类风险相互之间的影响，如新客户“职业”登记为“其他或无业”的比例较高，则不能认定客户身份识别制度执行有效，被利用于洗钱的风险应该较高。三是不同类别风险对整体风险的影响程度。即当某类风险较高，而其他类风险较低时，须依据各类风险对整体的影响程度确定风险等级。金融机构的反洗钱义务在于预防，所有控制措施都是为做好可疑交易的监测、分析和报送服务，若客户身份识别制度和客户风险等级划分制度执行的很好，但监测分析人员的人数配置不够、分析能力不高，可疑交易分析系统的智能化不足，则应认定该单位的洗钱风险水平为高风险。

三、风险导向审计方法在洗钱风险评估方法中的运用

（一）运用抽样评价方法。审计抽样范围受所鉴定会计期间的影响，并针对该会计期间各类控制、事项或交易中的部分样本进行评价，通过样本推断总体，如年度财务报表审计，只有在审计报表期初余额，及评价期末、期后事项对报表的影响时，才会跨年度选取样本。洗钱风险评估相对灵活，可以对某一年度的洗钱风险进行抽样评估，也可以针对某类控制、事项或交易的样本扩大至若干个年度进行抽样评估。

（二）依据风险高低扩大或减少样本量。审计实务中，若认为被审计单位控制环境薄弱，则很难认定某一相关流程的控制有效，其实质性测试的样本量会大幅增加（实质性测试包括细节性测试和实质性分析程序，即对会计计量的真实性、准确性、合理性进行审查）。小型机构员工较少，限制了其职责分离的程度，虽然没有文件形式的控制要素，但了解管理层的态度、认识和措施及其控制环境非常重要，应该更多的采取实质性程序。洗钱风险评估可借鉴以上方法，若金融机构的内控风险很高，则其客户身份识别、交易记录保存及客户风险等级划分相关控制点就较难得到有效执行，继而影响异常交易分析识别的及时性和有效性，此时应扩大对异常交易分析及报告的样本量，确定洗钱风险的高低。

（三）整合取证手段。审计取证方法包括查阅、询问、观察、穿行测试、重新执行、实质性分析程序等方法，具体审计目的不同，取证手段和工作流程也不同。如对收入确认的完整性测试，由原始凭证追查至明细账（从发货部门的发运凭证追查至有关销售发票副本，再到收入明细账），而对收入确认真实性的审计流程与上述流程相反。洗钱风险评估中，如评价金融机构的可疑交易报告是否有遗漏，可以选取部分存量客户，从建立业务关系，到客户风险等级划分，再到可疑交易分析报告的整个流程进行取证；评价可疑交易报告是否合理，则与上述流程相反。在具体方法运用上，主要有以下几种可供借鉴。1、询问。向金融机构有关员工进行询问，获取与内部控制运行情况相关的信息。如果某项控制要求某一员工（复核人）在文件上签字以证明他复核该份文件，那么应询问其复核的性质，即对什么进行复核，复核的要点是什么，签字复核的意义等等。如个人独资企业、家族企业、合伙企业、存在隐名股东或匿名股东公司的尽职调查难度通常会高于一般公司，应询问此类尽职调查的方法和措施。2、穿行测试。追踪交易报告在业务流程中发生、处理和记录的过程。业务流程中存在多个风险控制点，如客户身份识别措施——身份识别记录——风险等级划分——交易记录保存——可疑交易提取、分析——复核确认——分析报告结论，通过穿行测试，掌握内控薄弱环节，及对整体风险的影响程度。3、重新执行。审计实务中，检查复核人员是否认真执行核对时，不仅应检查是否在相关文件上签字，还应选取一部分凭证如销售发票进行核对。在风险评估中，可以选取部分可疑交易报告，评判可疑交易分析复核的合理性；在可疑交易分析系统及风险等级划分系统（或者是功能模块）中，评估人员从相关系统调取客户身份资料（一般是开户资料）和交易记录，以评价系统设计的合理性。4、实质性分析程序。通过研究数据间关系评价一段期间的交易情况。审计实务中，实质性测试包括对各类交易、账户余额和披露的细节测试以及实质性分析程序（如财务指标的横纵向比较）。在洗钱风险评估中，可以运用到实质性分析程序，如“可疑交易量／同类型交易量”的横纵向比较，“未登记客户职业信息数量／所有客户数量”的横纵向比较；如私人银行业务的投资理财品种和交易金额的变动情况。

四、审计成本控制在洗钱风险评估成本中的借鉴

第2篇

【关键词】风险导向审计 风险评估 审计信息化

党的十七大报告中将原来的“四化”扩展为“五化”，专门加入了对信息化的要求。信息化已经广泛地应用于各个领域之中，审计工作也面临着冲击和影响，传统的审计理念、审计方法、审计手段已经制约了审计工作的发展，在信息化条件下不断提高审计质量，降低审计成本，加快审计信息化建设的进程，提高管理能力和水平，是审计发展的必然趋势。

一、审计信息化的现状

随着数据库技术、网络技术、存储技术的发展，审计所需数据可以比较方便的从被审计单位系统迁移或转换到审计业务系统中来，计算机审计已成为审计最重要的审计方法。改变传统的作业手段，加快审计信息化建设步伐，从审计模式上将各个允许减少人工作业的模块使用计算机自动分析，实现信息化集成和批量处理是审计发展的必然趋势。

二、审计信息化在风险评估中的运用

（一）风险评估在风险导向审计中的作用

风险导向审计以战略观和系统观思想指导重大错报风险评估和整个审计流程，其思维与流程主线可以概括为：审计风险主要来源于企业财务报告的重大错报风险，而重大错报风险主要来源于整个企业的经营风险和舞弊风险，审计风险模型把审计风险和重大错报风险有机的结合在一起。风险评估程序是注册会计师为了了解被审计单位及其环境，以识别和评估报表层次和认定层次的重大错报风险而实施的审计程序，是风险导向审计模式的重要组成部分。

（二）风险评估程序中如何运用审计信息化

首先，在风险评估程序中可以采取询问、分析程序、观察和检查等方法来对被审计单位进行初步的风险评估，在此层面上，可以采用信息化给予辅助的可以有以下方面。

询问管理层和相关人员获取相应报表编制环境信息的时候，询问人员的选择可以由计算机自动筛选，相关管理层的履历和报表年度业绩要求和管理权限也会反映在计算机数据上，有助于排查管理层的诚信问题和是否存在舞弊压力和动机；在员工人数比较多的被审计单位可以采用计算机网络调查问卷的形式进行询问，询问可以选择匿名或实名，更有助于发现问题，并由计算机后台自动比对询问结果，该结果可以作为注册会计师询问获取是否存在由于舞弊产生的重大错报风险的相关证据。

分析程序是能将审计信息化运用得最恰当的一个方面，将被审计单位业务情况市场情况以及相关业绩要求导入审计分析系统，将其与报表数据进行比对分析，计算机自动分析的结果可以有助于注册会计师快速识别出从数据层面上未被识别出的重大错报风险。

其次，在风险评估程序中，执业指南要求注册会计师从以下几个方面了解被审计单位及其环境：被审计单位所处相关行业状况、法律环境与监管环境及其他外部因素；被审计单位的性质；被审计单位对会计政策的选择和运用；被审计单位的战略目标以及可能导致重大错报风险的相关经营风险；被审计单位财务业绩的衡量和评价；被审计单位的相关内部控制。以下就从这几个方面探讨风险评估中如何运用审计信息化。

在了解相关行业状况、法律环境与监管环境及其他外部因素时，可以运用风险导向审计信息化系统建立行业信息资料库，按行业分类，审计人员在获得被审计单位授权后可以进行比对查阅；同时资料库对口连接各个监管部门的数据库，配套法规政策出台以及运用的时间点实现同步更新，按地区导入最新法律法规，按信息点分类检索一致性，实现智能化对接，一步检索到位；不仅能在了解层面对比被审计单位的相关外部因素，在后续的审计中检查合法合规性时也可以作为参考标准使用，减少重复工作。

被审计单位的性质和被审计单位的内部控制这两个可以同时通过风险导向审计信息化系统来进行分析，将被审计单位的各种所有权结构和治理结构对应分析，如果系统资源足够完善的话，还能通过比较识别出潜在的关联方和关联方交易，从而提示审计人员给予充分的关注；被审计单位的内部控制体系可以直接导入审计方的风险导向审计信息化系统，实现数据无缝转接，极大程度上减少了口头沟通和面对面审计模式。在实务中，审计人员如果选择信赖被审计单位的内部控制，都会适当减少控制测试和实质性程序，但内部控制中的人工成分不能全部依赖于系统的自动分析，还是需要注册会计师的人工识别。

在了解被审计单位对会计政策的选择和运用时，风险导向审计信息化系统可以将从被审计单位收集到的会计账务具体处理方式和非数据信息分门别类，和现有的会计从政策逐一核对，将核对结果反映给审计人员，由审计人员做简单的职业判断即可，如有与常规会计处理不一致的交易将被系统自动识别出来，作为风险点反馈给审计人员。

在了解被审计单位的目标、战略以及可能导致重大错报风险的相关经营风险时，被审计单位的经营状况应放到大经济环境中加以考虑，被审计单位在历年审计中所提到的目标战略应该在审计信息化系统中保留下来，在承接新的审计任务时，可以通过密钥或相关授权得到历年的非数据信息，减少审计人员盲目收集资料的时间；对于被审计单位的业务拓张和新产品开发将会由系统上指派的行业专家进行评估，避免审计人员由于不了解行业而做出错误的职业判断，这一评估过程将由特定的保密措施约束，被审计单位有权在系统中申请关闭本单位新产品和新战略信息的评估权限。

在了解对被审计单位财务业绩的衡量和评价时，关键业绩指标的取得和比较是分析重大错报风险的关键。现在的审计实务中，相应的指标数据都已经可以由计算机自动计算完成，但是比较的过程还是由审计人员逐一核对，新的风险导向审计信息化系统应该能够把指标数据通过相应模型进行横向纵向自动对比，自动标示出非线性变化点或异常点，再由审计人员将其导入审计风险模型中进行分析，以便确定进一步审计程序；管理层的奖金和激励性绩效如果和利润挂钩，运用系统导入同行业高管薪酬水平和利润率进行比较，可以很好的检测出是否存在管理层舞弊的潜在风险。

（三）风险应对中如何运用审计信息化

现有的审计信息化软件仅能将同质化的会计信息数据迁移，然后进行自动比对，一般的核对项目仅限于和管理层认定进行比对，做出相应审计成果汇总。但在绝大多数审计中，报表层次的重大错报风险是和特别风险紧密联系的，特别风险的辨别不容易被常规处理所发现。

三、对于审计信息化与风险导向审计结合的延伸思考与展望

现代风险导向审计模式中重大错报风险的评估，很大程度上依赖于审计人员的职业判断，新的风险导向审计信息化系统完善后，审计人员只需要把被审计单位的基本信息导入系统，就可以得出相应的风险评估指标数据，极大了节约了审计成本。但是，由于风险导向审计信息化系统的公共性太强，这就对系统的安全性和可能接触到系统的工作人员的职业道德提出了更高的要求。

风险导向审计信息化系统很大程度减小了审计人员和被审计单位的信息不对称的可能性，在一定程度上约束了被审计企业信息造假的可能性，更大程度的发挥了审计的经济监督职能。

参考文献：

[1]蔡毓瑾.浅谈内部审计信息化[J].财经界（学术版），2012，（2）.

第3篇

一、以排序经营风险大小为重点，编制计划，确定项目

根据企业经营风险的大小来编制年度审计计划和确定审计项目，是配合企业年度风险战略、对年度审计任务所做的安排，是企业年度计划的重要组成部分，也是体现风险评估重要作用的首要环节，其中的关键步骤是制定选择被审计者的策略和按风险水平对潜在被审计者进行排序。以产能建设项目投资专项审计为例，按照因果树方法进行定性分析，从“战略目标——影响因素——开发优势——投资价值”等链条环节逐一分析评估，认定“产能建设及其投资效益的不确定性成为高风险因素”，最终将产能建设投资专项审计项目列入年度审计计划。该环节主要步骤是：

根据企业风险评估情况编制年度审计计划时，要具体考虑以下几方面因素：上一次审计的日期和结果，审计间隔期越长，风险就越大；企业对前次审计的整改情况，整改不彻底或未整改，说明风险较大；企业内部控制的强弱，薄弱环节或缺陷越多，说明内部控制不健全或执行不到位，越应该进行审计；重要业务领域，如资金管理、投资管理、物资采购等业务，存在风险的可能性较大，应该进行重点关注；企业领导特别关注的问题，此类问题存在特殊性、重要性的特点，应优先安排审计；职工群众普遍关注的热点、难点问题，是属于容易引起大家争议的领域，存在一定的风险，需要重点关注；企业风险防范措施的充分性、有效性；审计人员的胜任能力，也是编制年度计划、确定审计项目时需要考虑的问题。

对企业风险进行评估时可灵活采用以下方式：安排审计人员查阅以前年度内外部审计和检查的档案资料，结合实际情况分析企业存在的风险；组织不同部门人员、不同行业的专家进行讨论，分析企业面临的风险；聘请中介机构对企业面临的风险进行评估。

二、以识别风险评估范围为导向，开展调查，圈定重点

审计部门按照年度审计计划，按期逐项实施审计项目。审计项目准备阶段的主要任务是组建审计组，选择配备审计组长和主审，进行审前调查，制订审计实施方案。其中，集中体现风险评估手段的是审前调查，采取的主要方法是分析性复核和内部控制测试。主要步骤是：

在该阶段，应予识别和评估风险的范围包括被审计者所有领域和所有经济活动、业务流程；风险类别既有固有风险，也有控制风险。通过分析审前调查资料，不仅要了解企业与外部环境的联系，发现潜在的重要风险；还要根据重要战略风险和重大交易类别确定关键经营环节并进行分析，识别企业面临的经营风险；然后根据分析情况，逐项列明企业经营风险清单，将审计范围内的高风险领域作为审计重点。审前调查的主要内容包括：企业的经营规模、行业特点等内外部环境；产供销活动、投资活动、筹资活动、财务报告等相关经营信息；内控体系建设、风险应对机制、风险管理过程等内部控制信息。

在审前调查中，审计人员可用以下方式获取企业资料：通过询问企业管理层并进行讨论，了解风险管理、信息管理、战略管理方面的有效性；通过查阅企业内外部审计档案、会议记录、财务报表、公司文件等内部资料，了解经营模式、关键绩效指标、内控流程等相关情况及存在的内部风险因素等；查阅有关财务制度和行业法律法规、行业发展趋势、本企业在行业中的地位、该行业其他公司的年度报告等外部资料，掌握企业经营管理、客户信息、竞争对手、发展前景等方面信息，了解企业外部环境中存在的有利、不利因素，以及潜在的风险点。

三、以计价风险影响程度为参考，拟定方案，分配资源

审计小组在审前调查结束后，应根据审前调查掌握的风险程度编制审计工作方案。在审计方案中要着重考虑以下几个方面：首先根据已列示的企业重大风险清单，通过分析，确定是目前已存在的风险还是潜在风险，以及风险发生的可能性；然后按照风险程度高低，确定现场审计的时间、范围、审计程序及查证重点；最后根据上述内容，拟定适用的审计方案，合理分配审计资源，如安排业务能力强的审计人员对高风险领域进行全面详细检查；对不同层次的风险领域，安排不同的抽样比例进行检查，以突出审计重点，提高审计效率与效果。

分配审计资源时，可以采用风险计算公式：风险=暴露的金额×可能性×发生频率。以计分的方式，将风险大的领域或环节作为审计的重点，从而使现场审计的目光始终聚焦于重大风险领域。另外，在配备审计人员时除选派本部门专职审计人员外，还应考虑配备具有丰富风险管理经验的专业人员。尤其在实施大型审计项目时，审计组成员除专职审计人员参与外，可聘请风险管理、计算机、计划统计等方面的专业人员参与；对于一般审计项目，可在审前培训中增加有关风险管理知识和技能的培训，加强审计人员在风险分析、风险评估等方面的学习与讨论，为顺利实施审计打好基础。

四、以分析偏高风险领域为目的，把握方向，锁定难点

审计组在上述各项准备工作完成后，要按审计通知书要求进驻企业。首先要召开进点动员会，听取企业关于基本情况的汇报，向对方明确本次审计的目的、主要内容并提出相关要求。其次要开展现场查证，现场查证的内容与审前调查内容有所不同，现场查证的内容更具体，更侧重于企业各经营环节，尤其要关注是企业高风险领域、关键经营环节的内控测试。通过现场查证要进一步分析企业存在的经营风险并按风险大小进行重新排序，若分析结果与审前调查有差别，应重新调整审计实施方案，调整审计测试的范围、重点以及分工，做到把握好审计方向，锁定下一步的工作难点。

结合《内部审计实务标准》要求，笔者认为，该阶段按风险大小进行重新排序时应围绕以下几个方面：涉及财务暴露的问题，交易金额大的，存在风险也越大，应予以先审；涉及可能出现的损失或风险，损失或风险大的事项或业务应进行先审；涉及企业决策层要求的事项或重点关注的领域，应安排优先审计；涉及经营管理、计划目标、内控系统方面存在重大变动的事项，要先行关注；曾使内部审计部门取得较大审计成果的事项，也应属于先审之列。

五、以测试潜在风险环节为基础，获取证据，实施评价

笔者认为，因为我国目前企业治理结构及内部控制制度还不完善，当内部控制存在缺陷而审计人员未发现或测试内部控制不充分时，会出现极大的风险，因此在实务操作中应把企业内部控制测试作为必需程序，通过实质性测试，充分揭示企业经营管理中潜在的风险隐患，并对各种风险的程度、发生的可能性以及可能造成的损失等进行评估，在此基础上获取充分、适当、有效的审计证据，形成具有说服力的审计发现。控制测试时不能局限于会计控制系统，而更应侧重经营风险控制的测试，以确定企业是否有效控制了经营风险。若测试过程中发现某经营环节特别是关键环节控制不存在、控制设计不合理或存在重大缺陷、内控执行不到位或执行无效等情况，审计组长或主审应考虑调整审计实施方案，扩大实质性测试范围或采取其它替代程序，尤其是对于各类重大交易事项必须进行实质性测试。