审计风险评估规定

审计风险评估规定一、概述

审计风险评估是审计工作中不可或缺的关键环节，旨在通过系统化的方法识别、分析和应对审计过程中可能存在的风险。本规定旨在明确审计风险评估的标准流程、方法和要求，确保审计工作的高效性和准确性。通过科学的风险评估，审计人员能够合理配置审计资源，提高审计质量，降低审计风险。

二、风险评估的基本原则

（一）系统性原则

风险评估应全面覆盖审计对象的所有重要领域，确保评估的完整性和无遗漏。审计人员需采用系统化的方法，从宏观到微观逐步深入，形成完整的风险评估框架。

（二）重要性原则

风险评估应重点关注可能对财务报表或业务运营产生重大影响的风险。审计人员需根据风险评估结果，合理分配审计资源，优先处理高风险领域。

（三）客观性原则

风险评估应基于客观证据和数据分析，避免主观臆断。审计人员需确保评估结果的真实性和可靠性，并记录评估过程和依据。

（四）动态性原则

风险评估应随着审计工作的推进不断更新。审计人员需根据新的信息和发现，及时调整风险评估结果，确保审计工作的时效性。

三、风险评估的步骤与方法

（一）风险识别

1.收集信息：通过查阅资料、访谈、数据分析等方式，收集与审计对象相关的内外部信息。

2.初步识别：根据行业特点、业务模式、内部控制等因素，初步识别可能存在的风险点。

3.风险清单：建立风险清单，系统化记录已识别的风险。

（二）风险分析

1.定性分析：采用专家判断、流程分析等方法，评估风险的性质和可能的影响程度。

2.定量分析：通过数据分析、统计模型等方法，量化风险发生的概率和影响程度。

3.风险矩阵：结合定性和定量分析结果，使用风险矩阵确定风险等级。

（三）风险应对

1.风险规避：对于高风险领域，采取暂停业务或退出项目的措施，避免风险发生。

2.风险降低：通过加强内部控制、完善流程等方式，降低风险发生的概率或影响程度。

3.风险转移：通过购买保险、外包等方式，将风险转移给第三方。

4.风险接受：对于低风险领域，在充分评估后接受风险，并制定应急预案。

四、风险评估的文档记录

（一）记录要求

1.审计人员需详细记录风险评估的每一个步骤，包括风险识别、分析、应对措施的依据和过程。

2.风险评估结果需以书面形式呈现，并附上相关证据和数据支持。

（二）文档内容

1.风险清单及评估结果。

2.风险分析过程和依据。

3.风险应对措施及实施计划。

4.风险评估的更新记录。

五、风险评估的监督与复核

（一）内部复核

1.审计机构需定期对风险评估结果进行内部复核，确保评估的准确性和合规性。

2.复核内容包括风险评估方法、结果、应对措施等。

（二）外部监督

1.对于特定行业或项目，审计机构可邀请外部专家进行风险评估复核，提高评估的专业性。

2.外部监督结果需纳入审计文档，并作为改进风险评估工作的参考。

（续）三、风险评估的步骤与方法

（一）风险识别

1.收集信息：

(1)内部信息来源：

财务报表及其附注：分析历史财务数据、异常波动、重大会计估计等。

内部控制文档：查阅内部控制手册、流程图、职责分工说明等。

经营管理资料：审阅业务计划、预算报告、会议纪要、绩效考核数据等。

内部审计报告：参考过往内部审计发现的问题和风险提示。

统计数据与报告：利用公司内部生成的各类经营指标、效率比率等。

(2)外部信息来源：

行业分析报告：研究行业发展趋势、市场竞争格局、技术变革等。

宏观经济环境：关注利率、汇率、通货膨胀、经济周期等一般经济条件变化。

供应商与客户信息：评估关键供应商的稳定性、主要客户的信用状况及合作关系。

市场与公众评价：了解市场对公司的认知、品牌声誉、媒体报道等（非负面敏感信息）。

技术发展动态：关注可能影响业务运营的新技术、新工艺的出现。

(3)信息收集方法：

文件审阅：系统性地阅读和整理相关文件。

访谈：与管理人员、业务人员、财务人员等进行访谈，了解实际情况和潜在问题。

问卷调查：针对特定风险领域，设计问卷收集信息。

数据分析：运用数据分析工具，对财务数据、运营数据等进行探索性分析，发现异常模式。

2.初步识别：

(1)基于流程识别：沿着主要业务流程（如采购、生产、销售、研发、人力资源等）逐步识别每个环节可能存在的风险。例如，在采购流程中，可能识别出供应商选择不当、采购价格过高、收货验收疏忽等风险。

(2)基于交易识别：分析典型交易的生命周期，识别每个阶段的风险点。例如，在销售交易中，可能识别出信用评估不准确、销售折扣管理失控、发票处理错误等风险。

(3)基于风险类别识别：参照通用的风险分类（如战略风险、运营风险、财务风险、合规风险、信息风险等），结合审计对象的具体情况，进行系统性排查。

(4)头脑风暴与专家咨询：组织审计团队成员或邀请外部专家，就特定领域进行风险brainstorming，集思广益。

3.风险清单：

(1)建立清单格式：设计标准化的风险清单表格，至少包含以下列：

风险编号

风险描述（清晰、具体地说明风险是什么）

风险类别

风险触发因素（什么情况下风险可能发生）

初步评估的风险等级（高、中、低，或使用更细分的等级）

影响对象（受风险影响的业务环节、财务报表项目等）

初步建议的应对措施

(2)动态更新：风险清单应随着信息收集的深入和认识的提高而不断补充和修正。

（二）风险分析

1.定性分析：

(1)访谈与讨论：与关键人员（管理层、业务骨干、内控负责人等）就风险清单中的项目进行深入访谈或讨论，了解风险发生的可能性（Likelihood）和影响程度（Impact）。

(2)专家判断：邀请具备专业知识的内部或外部专家，对特定风险进行评估。

(3)流程分析：审阅业务流程图，结合对控制设计的了解，评估流程中控制点的缺失或不足可能导致的潜在风险。

(4)风险因素分析：分析影响风险发生可能性和影响程度的具体因素，如内部控制设计的健全性、执行的有效性、管理层的诚信度、市场环境的稳定性等。

(5)打分法：对每个风险，根据其发生可能性（如：极低、低、中等、高、极高）和影响程度（如：微额、小额、中等、大额、重大）进行打分，并计算综合风险评分。

2.定量分析：

(1)财务数据分析：

比率分析：计算和分析关键财务比率，如流动性比率、盈利能力比率、营运效率比率等，识别异常变动趋势。例如，应收账款周转率大幅下降可能指示信用风险增加。

趋势分析：分析关键财务指标在过去几年的变化趋势，预测未来可能的发展方向。

敏感性分析：评估关键变量（如销售价格、成本率）的微小变动对财务结果（如利润）的显著影响，识别相关风险。

(2)运营数据分析：

投入产出分析：分析资源投入与产出效率的关系，识别运营效率低下的风险点。

差异分析：比较实际运营数据与预算、计划或行业标准，分析差异原因及其潜在风险。

统计抽样：对交易记录或资产进行抽样，计算差错率，推断总体风险水平。

(3)概率模型：对于某些风险，如信用风险，可使用历史数据建立简单的概率模型来估计坏账的可能性。

(4)软件工具应用：利用审计软件或数据分析工具进行计算、建模和可视化，提高定量分析的效率和准确性。

3.风险矩阵：

(1)构建矩阵：创建一个二维矩阵，横轴代表风险发生的可能性（高、中、低），纵轴代表风险的影响程度（高、中、低）。

(2)plot风险点：将每个风险根据其定性和定量分析结果，标注在矩阵的相应位置。

(3)确定风险等级：矩阵的交叉区域通常被定义为不同等级的风险，如高可能性高影响区域定义为“极高风险”，低可能性低影响区域定义为“低风险”。

(4)结果输出：形成风险优先级清单，明确哪些风险需要优先关注和处理。

（三）风险应对

1.风险规避：

(1)停止或放弃业务：对于某些高风险业务活动，如果风险过高且无法有效控制，可能需要考虑停止该业务或退出相关市场。

(2)拒绝不合规或高风险项目：在项目立项阶段，基于风险评估结果，拒绝那些风险过高或不符合公司战略方向的project。

2.风险降低（风险缓解）：

(1)加强内部控制：

完善控制流程：补充或优化业务流程中的控制环节。

修订控制政策：更新不适应业务发展的内部控制政策。

强化职责分离：确保不相容职务相互分离，减少舞弊机会。

增加审批环节：对关键交易或操作增加必要的审批层级。

(2)提高运营效率：通过流程优化、技术应用等方式，降低运营过程中的错误率和成本，间接降低相关风险。

(3)加强人员培训：提升员工对风险的认识和控制能力，确保其理解和执行相关控制要求。

(4)增加监控频率：对高风险领域，增加内部检查或监控的频率和深度。

(5)制定应急预案：针对可能发生的风险事件，提前制定应对计划和措施，减少风险发生后的负面影响。

3.风险转移：

(1)购买保险：针对财产损失、责任赔偿等风险，通过购买保险将部分风险转移给保险公司。

(2)外包：将部分非核心或高风险的业务环节（如IT服务、特定生产环节）外包给专业的第三方服务提供商，利用其专业能力管理风险。

(3)合同约定：在与供应商、客户或其他合作方的合同中，通过条款约定双方在风险承担方面的责任。

4.风险接受：

(1)明确接受条件：只有在风险发生的可能性很低，或者风险影响程度很轻微，或者应对成本过高时，才考虑接受风险。

(2)设定监控阈值：对于接受的风险，应设定明确的监控指标和阈值，一旦风险状况发生变化，需要重新评估。

(3)持续监控：对已接受的风险，需要持续进行监控，确保风险保持在可接受范围内。

四、风险评估的文档记录（续）

（一）记录要求（续）

1.详细性与客观性：文档记录应详尽反映风险评估的全过程，包括采用的方法、做出的判断依据、使用的工具和数据，确保记录的客观性和可追溯性。

2.及时性：风险评估记录应在风险评估工作完成后的规定时间内归档，确保信息的时效性。

3.可访问性：风险评估文档应妥善保管，并确保审计团队成员和相关管理人员能够方便地查阅。

（二）文档内容（续）

1.风险识别文件：

信息收集清单（列出收集的信息来源和关键内容）。

风险访谈记录（记录访谈对象、时间、主要风险发现）。

初步风险清单（包含第一步识别出的所有风险及其初步信息）。

2.风险分析文件：

定性分析工作底稿（记录访谈纪要、专家意见、流程分析发现、风险矩阵绘制过程等）。

定量分析计算表（包含使用的公式、数据来源、计算过程和结果）。

风险评估矩阵图（清晰展示风险点位置和最终风险等级划分）。

详细的风险评估报告（汇总定性和定量分析结果，对主要风险进行深入阐述）。

3.风险应对文件：

风险应对措施清单（明确每个风险对应的应对策略）。

应对措施实施计划（如果需要，详细说明如何执行风险降低、转移等措施）。

相关责任分配说明（明确各项风险应对措施的责任部门或人员）。

4.风险评估更新记录：

更新日志（记录每次风险评估更新的日期、原因、主要变化内容、变更人员）。

更新后的风险清单及分析结果（展示更新后的最终状态）。

五、风险评估的监督与复核（续）

（一）内部复核（续）

1.复核流程：

设立独立的复核机制，通常由更高级别的审计经理或合伙人执行。

复核应在风险评估报告完成后、审计计划正式确定前进行。

复核时，需重点检查风险评估方法是否恰当、程序是否充分、结论是否合理。

2.复核内容深化：

方法适用性：评估选用的风险评估方法是否适合审计对象的特点和审计目标。

数据准确性：核查用于分析的数据是否准确、完整、相关。

判断合理性：评估审计人员在对风险可能性、影响程度做出判断时，依据是否充分、逻辑是否清晰。

风险排序一致性：检查风险排序是否反映了风险的实际重要程度。

应对措施有效性：评估拟定的风险应对措施是否具有针对性、可行性和有效性。

文档完整性：确认风险评估过程的文档记录是否完整、清晰。

3.复核结果处理：

复核发现的问题应记录在案，并反馈给原评估人员。

原评估人员需根据复核意见修改完善风险评估结果和文档。

复核过程和结果也需记录在审计工作底稿中。

（二）外部监督（续）

1.外部专家参与：

对于复杂领域（如特定行业的复杂交易、高级别的IT系统风险、专业性强的新兴业务等），可邀请外部行业专家或咨询顾问参与风险评估过程，提供专业意见。

外部专家的意见应作为风险评估的重要输入，并记录在案。

2.同行评审或交流：

参与行业或同内的审计方法交流会议，分享和借鉴其他审计机构在风险评估方面的经验和做法。

在特定情况下，可对部分风险评估工作邀请其他审计机构进行同行评审。

3.监督结果的应用：

外部监督或同行评审的结果，无论是否发现问题，都应作为改进自身风险评估工作的参考。

定期总结外部监督反馈，识别共性问题，优化内部风险评估流程和指南。

将外部监督意见的处理情况纳入内部质量控制和持续改进机制。

一、概述

审计风险评估是审计工作中不可或缺的关键环节，旨在通过系统化的方法识别、分析和应对审计过程中可能存在的风险。本规定旨在明确审计风险评估的标准流程、方法和要求，确保审计工作的高效性和准确性。通过科学的风险评估，审计人员能够合理配置审计资源，提高审计质量，降低审计风险。

二、风险评估的基本原则

（一）系统性原则

风险评估应全面覆盖审计对象的所有重要领域，确保评估的完整性和无遗漏。审计人员需采用系统化的方法，从宏观到微观逐步深入，形成完整的风险评估框架。

（二）重要性原则

风险评估应重点关注可能对财务报表或业务运营产生重大影响的风险。审计人员需根据风险评估结果，合理分配审计资源，优先处理高风险领域。

（三）客观性原则

风险评估应基于客观证据和数据分析，避免主观臆断。审计人员需确保评估结果的真实性和可靠性，并记录评估过程和依据。

（四）动态性原则

风险评估应随着审计工作的推进不断更新。审计人员需根据新的信息和发现，及时调整风险评估结果，确保审计工作的时效性。

三、风险评估的步骤与方法

（一）风险识别

1.收集信息：通过查阅资料、访谈、数据分析等方式，收集与审计对象相关的内外部信息。

2.初步识别：根据行业特点、业务模式、内部控制等因素，初步识别可能存在的风险点。

3.风险清单：建立风险清单，系统化记录已识别的风险。

（二）风险分析

1.定性分析：采用专家判断、流程分析等方法，评估风险的性质和可能的影响程度。

2.定量分析：通过数据分析、统计模型等方法，量化风险发生的概率和影响程度。

3.风险矩阵：结合定性和定量分析结果，使用风险矩阵确定风险等级。

（三）风险应对

1.风险规避：对于高风险领域，采取暂停业务或退出项目的措施，避免风险发生。

2.风险降低：通过加强内部控制、完善流程等方式，降低风险发生的概率或影响程度。

3.风险转移：通过购买保险、外包等方式，将风险转移给第三方。

4.风险接受：对于低风险领域，在充分评估后接受风险，并制定应急预案。

四、风险评估的文档记录

（一）记录要求

1.审计人员需详细记录风险评估的每一个步骤，包括风险识别、分析、应对措施的依据和过程。

2.风险评估结果需以书面形式呈现，并附上相关证据和数据支持。

（二）文档内容

1.风险清单及评估结果。

2.风险分析过程和依据。

3.风险应对措施及实施计划。

4.风险评估的更新记录。

五、风险评估的监督与复核

（一）内部复核

1.审计机构需定期对风险评估结果进行内部复核，确保评估的准确性和合规性。

2.复核内容包括风险评估方法、结果、应对措施等。

（二）外部监督

1.对于特定行业或项目，审计机构可邀请外部专家进行风险评估复核，提高评估的专业性。

2.外部监督结果需纳入审计文档，并作为改进风险评估工作的参考。

（续）三、风险评估的步骤与方法

（一）风险识别

1.收集信息：

(1)内部信息来源：

财务报表及其附注：分析历史财务数据、异常波动、重大会计估计等。

内部控制文档：查阅内部控制手册、流程图、职责分工说明等。

经营管理资料：审阅业务计划、预算报告、会议纪要、绩效考核数据等。

内部审计报告：参考过往内部审计发现的问题和风险提示。

统计数据与报告：利用公司内部生成的各类经营指标、效率比率等。

(2)外部信息来源：

行业分析报告：研究行业发展趋势、市场竞争格局、技术变革等。

宏观经济环境：关注利率、汇率、通货膨胀、经济周期等一般经济条件变化。

供应商与客户信息：评估关键供应商的稳定性、主要客户的信用状况及合作关系。

市场与公众评价：了解市场对公司的认知、品牌声誉、媒体报道等（非负面敏感信息）。

技术发展动态：关注可能影响业务运营的新技术、新工艺的出现。

(3)信息收集方法：

文件审阅：系统性地阅读和整理相关文件。

访谈：与管理人员、业务人员、财务人员等进行访谈，了解实际情况和潜在问题。

问卷调查：针对特定风险领域，设计问卷收集信息。

数据分析：运用数据分析工具，对财务数据、运营数据等进行探索性分析，发现异常模式。

2.初步识别：

(1)基于流程识别：沿着主要业务流程（如采购、生产、销售、研发、人力资源等）逐步识别每个环节可能存在的风险。例如，在采购流程中，可能识别出供应商选择不当、采购价格过高、收货验收疏忽等风险。

(2)基于交易识别：分析典型交易的生命周期，识别每个阶段的风险点。例如，在销售交易中，可能识别出信用评估不准确、销售折扣管理失控、发票处理错误等风险。

(3)基于风险类别识别：参照通用的风险分类（如战略风险、运营风险、财务风险、合规风险、信息风险等），结合审计对象的具体情况，进行系统性排查。

(4)头脑风暴与专家咨询：组织审计团队成员或邀请外部专家，就特定领域进行风险brainstorming，集思广益。

3.风险清单：

(1)建立清单格式：设计标准化的风险清单表格，至少包含以下列：

风险编号

风险描述（清晰、具体地说明风险是什么）

风险类别

风险触发因素（什么情况下风险可能发生）

初步评估的风险等级（高、中、低，或使用更细分的等级）

影响对象（受风险影响的业务环节、财务报表项目等）

初步建议的应对措施

(2)动态更新：风险清单应随着信息收集的深入和认识的提高而不断补充和修正。

（二）风险分析

1.定性分析：

(1)访谈与讨论：与关键人员（管理层、业务骨干、内控负责人等）就风险清单中的项目进行深入访谈或讨论，了解风险发生的可能性（Likelihood）和影响程度（Impact）。

(2)专家判断：邀请具备专业知识的内部或外部专家，对特定风险进行评估。

(3)流程分析：审阅业务流程图，结合对控制设计的了解，评估流程中控制点的缺失或不足可能导致的潜在风险。

(4)风险因素分析：分析影响风险发生可能性和影响程度的具体因素，如内部控制设计的健全性、执行的有效性、管理层的诚信度、市场环境的稳定性等。

(5)打分法：对每个风险，根据其发生可能性（如：极低、低、中等、高、极高）和影响程度（如：微额、小额、中等、大额、重大）进行打分，并计算综合风险评分。

2.定量分析：

(1)财务数据分析：

比率分析：计算和分析关键财务比率，如流动性比率、盈利能力比率、营运效率比率等，识别异常变动趋势。例如，应收账款周转率大幅下降可能指示信用风险增加。

趋势分析：分析关键财务指标在过去几年的变化趋势，预测未来可能的发展方向。

敏感性分析：评估关键变量（如销售价格、成本率）的微小变动对财务结果（如利润）的显著影响，识别相关风险。

(2)运营数据分析：

投入产出分析：分析资源投入与产出效率的关系，识别运营效率低下的风险点。

差异分析：比较实际运营数据与预算、计划或行业标准，分析差异原因及其潜在风险。

统计抽样：对交易记录或资产进行抽样，计算差错率，推断总体风险水平。

(3)概率模型：对于某些风险，如信用风险，可使用历史数据建立简单的概率模型来估计坏账的可能性。

(4)软件工具应用：利用审计软件或数据分析工具进行计算、建模和可视化，提高定量分析的效率和准确性。

3.风险矩阵：

(1)构建矩阵：创建一个二维矩阵，横轴代表风险发生的可能性（高、中、低），纵轴代表风险的影响程度（高、中、低）。

(2)plot风险点：将每个风险根据其定性和定量分析结果，标注在矩阵的相应位置。

(3)确定风险等级：矩阵的交叉区域通常被定义为不同等级的风险，如高可能性高影响区域定义为“极高风险”，低可能性低影响区域定义为“低风险”。

(4)结果输出：形成风险优先级清单，明确哪些风险需要优先关注和处理。

（三）风险应对

1.风险规避：

(1)停止或放弃业务：对于某些高风险业务活动，如果风险过高且无法有效控制，可能需要考虑停止该业务或退出相关市场。

(2)拒绝不合规或高风险项目：在项目立项阶段，基于风险评估结果，拒绝那些风险过高或不符合公司战略方向的project。

2.风险降低（风险缓解）：

(1)加强内部控制：

完善控制流程：补充或优化业务流程中的控制环节。

修订控制政策：更新不适应业务发展的内部控制政策。

强化职责分离：确保不相容职务相互分离，减少舞弊机会。

增加审批环节：对关键交易或操作增加必要的审批层级。

(2)提高运营效率：通过流程优化、技术应用等方式，降低运营过程中的错误率和成本，间接降低相关风险。

(3)加强人员培训：提升员工对风险的认识和控制能力，确保其理解和执行相关控制要求。

(4)增加监控频率：对高风险领域，增加内部检查或监控的频率和深度。

(5)制定应急预案：针对可能发生的风险事件，提前制定应对计划和措施，减少风险发生后的负面影响。

3.风险转移：

(1)购买保险：针对财产损失、责任赔偿等风险，通过购买保险将部分风险转移给保险公司。

(2)外包：将部分非核心或高风险的业务环节（如IT服务、特定生产环节）外包给专业的第三方服务提供商，利用其专业能力管理风险。

(3)合同约定：在与供应商、客户或其他合作方的合同中，通过条款约定双方在风险承担方面的责任。

4.风险接受：

(1)明确接受条件：只有在风险发生的可能性很低，或者风险影响程度很轻微，或者应对成本过高时，才考虑接受风险。

(2)设定监控阈值：对于接受的风险，应设定明确的监控指标和阈值，一旦风险状况发生变化，需要重新评估。

(3)持续监控：对已接受的风险，需要持续进行监控，确保风险保持在可接受范围内。

四、风险评估的文档记录（续）

（一）记录要求（续）

1.详细性与客观性：文档记录应详尽反映风险评估的全过程，包括采用的方法、做出的判断依据、使用的工具和数据，确保记录的客观性和可追溯性。

2.及时性：风险评估记录应在风险评估工作完成后的规定时间内归档，确保信息的时效性。

3.可访问性：风险评估文档应妥善保管，并确保审计团队成员和相关管理人员能够方便地查阅。

（二）文档内容（续）

1.风险识别文件：

信息收集清单（列出收集的信息来源和关键内容）。

风险访谈记录（记录访谈对象、时间、主要风险发现）。

初步风险清单（包含第一步识别出的所有风险及其初步信息）。

2.风险分析文件：

定性分析工作底稿（记录访谈纪要、专家意见、流程分析发现、风险矩阵绘制过程等）。

定量