2025年注册会计师《风险管理与内控审计》备考题库及答案解析

2025年注册会计师《风险管理与内控审计》备考题库及答案解析单位所属部门：________姓名：________考场号：________考生号：________一、选择题1.在风险管理与内控审计中，审计人员通常首先关注的是（）A.内部控制的设计有效性B.内部控制的执行有效性C.风险评估的结果准确性D.审计证据的充分性答案：C解析：审计人员在进行风险管理与内控审计时，首先需要关注风险评估的结果准确性，因为风险评估是确定审计重点和范围的基础。只有准确评估了风险，才能有效设计和执行内部控制，并确保审计证据的充分性。2.内部控制环境中，管理层对诚信和道德价值观的重视程度主要体现在（）A.制定详细的操作规程B.定期进行内部审计C.建立有效的沟通渠道D.制定和执行行为准则答案：D解析：管理层对诚信和道德价值观的重视程度主要体现在制定和执行行为准则上。行为准则是指导员工行为的基本规范，通过制定和执行行为准则，可以营造诚信和道德的内部控制环境。3.在进行内部控制测试时，审计人员通常采用的方法是（）A.详细描述法B.重新执行法C.流程分析法D.风险评估法答案：B解析：在进行内部控制测试时，审计人员通常采用重新执行法。重新执行法是指审计人员重新执行被测试的控制程序，以评估其执行的有效性。4.风险评估过程中，识别风险的主要方法包括（）A.调查问卷B.现场观察C.内部控制测试D.风险矩阵分析答案：A解析：风险评估过程中，识别风险的主要方法包括调查问卷。调查问卷可以通过收集大量信息，帮助审计人员识别潜在的风险因素。5.在进行风险评估时，审计人员通常采用的风险评估工具是（）A.概率分布图B.风险矩阵C.敏感性分析D.回归分析答案：B解析：在进行风险评估时，审计人员通常采用的风险评估工具是风险矩阵。风险矩阵可以帮助审计人员将风险的可能性和影响程度进行量化，从而确定风险的优先级。6.内部控制测试中，审计人员发现控制缺陷时，应如何处理（）A.立即停止审计工作B.向管理层报告C.忽略缺陷D.进行进一步测试答案：B解析：内部控制测试中，审计人员发现控制缺陷时，应立即向管理层报告。管理层需要采取措施纠正缺陷，以降低风险。7.在进行内部控制审计时，审计人员通常关注的关键控制活动包括（）A.访问控制B.采购控制C.薪酬控制D.以上都是答案：D解析：在进行内部控制审计时，审计人员通常关注的关键控制活动包括访问控制、采购控制和薪酬控制等。这些控制活动对于企业的运营和管理至关重要。8.风险管理与内控审计中，审计人员通常采用的方法是（）A.事后审计B.事中审计C.事后与事中相结合D.静态审计答案：C解析：风险管理与内控审计中，审计人员通常采用事后与事中相结合的方法。事后审计可以评估过去的控制效果，而事中审计可以及时发现和纠正问题。9.内部控制环境中，组织结构对内部控制的影响主要体现在（）A.职责分离B.权限分配C.沟通渠道D.以上都是答案：D解析：内部控制环境中，组织结构对内部控制的影响主要体现在职责分离、权限分配和沟通渠道等方面。合理的组织结构可以确保内部控制的有效性。10.在进行风险评估时，审计人员通常需要考虑的因素包括（）A.风险的来源B.风险的影响程度C.风险的应对措施D.以上都是答案：D解析：在进行风险评估时，审计人员通常需要考虑的因素包括风险的来源、风险的影响程度和风险的应对措施等。这些因素可以帮助审计人员全面评估风险。11.在风险管理与内控审计过程中，审计人员通常将控制测试结果与预期的控制有效性进行比较，以评估（）A.风险的潜在影响B.控制的执行频率C.控制的预期效果D.风险的识别完整性答案：C解析：控制测试的主要目的是评估特定控制是否按照预定方式运行以及运行是否有效。审计人员通过比较实际测试结果与预期的控制效果，来判断控制是否达到了其设计目的，从而评估其有效性。12.内部控制环境中，治理层的参与和承诺主要通过以下哪项活动体现（）A.定期审阅内部控制报告B.亲自执行关键业务流程C.制定详细的操作手册D.对内部审计发现进行处罚答案：A解析：治理层对内部控制的参与和承诺主要体现在他们对内部控制系统的关注和监督上。定期审阅内部控制报告是治理层了解和评估内部控制有效性的重要方式，体现了他们对内部控制的重视和承诺。13.在进行实质性程序时，审计人员选择样本进行测试的主要依据是（）A.样本量的随机性B.样本的重要性和代表性C.样本的成本效益D.样本的可获得性答案：B解析：实质性程序的目的是通过测试样本来推断总体的特征。因此，选择具有代表性和重要性的样本是确保测试结果能够有效反映总体情况的关键。14.风险评估过程中，对风险进行优先级排序的主要考虑因素是（）A.风险的发生频率B.风险的潜在影响C.风险的应对措施成本D.风险的识别时间答案：B解析：对风险进行优先级排序时，通常优先考虑那些具有较大潜在影响的风险，因为这类风险可能对组织造成更严重的损害。15.内部控制测试中，如果审计人员发现控制缺陷，应当如何处理（）A.立即通知被审计单位管理层B.忽略该缺陷，继续进行其他测试C.仅记录该缺陷，不采取进一步行动D.停止所有测试工作答案：A解析：发现控制缺陷后，审计人员应当立即通知被审计单位管理层，以便管理层采取适当的纠正措施，降低风险。16.在设计和实施内部控制时，组织结构对内部控制的影响主要体现在（）A.职责的分配和分离B.管理层的授权C.沟通和报告的渠道D.以上所有答案：D解析：组织结构通过影响职责的分配和分离、管理层的授权以及沟通和报告的渠道等方式，对内部控制的设计和实施产生重要影响。17.风险管理与内控审计中，审计人员通常采用的风险评估方法包括（）A.流程分析B.问卷调查C.风险矩阵D.以上所有答案：D解析：风险评估可以采用多种方法，包括流程分析、问卷调查和风险矩阵等，审计人员通常会结合使用这些方法来全面评估风险。18.内部控制环境中，管理层对控制的监督主要通过以下哪项活动实现（）A.定期进行内部审计B.审阅内部控制报告C.制定和更新控制政策D.对员工进行培训答案：B解析：管理层对控制的监督主要体现在他们对内部控制系统的关注和监督上。审阅内部控制报告是管理层了解和评估内部控制有效性的重要方式。19.在进行实质性分析程序时，审计人员通常使用何种工具来识别异常波动（）A.比率分析B.趋势分析C.敏感性分析D.回归分析答案：B解析：趋势分析是实质性分析程序中常用的工具，通过比较数据在不同时期的变化趋势，可以帮助审计人员识别异常波动和潜在风险。20.风险评估过程中，识别风险的主要来源包括（）A.内部环境B.业务流程C.外部因素D.以上所有答案：D解析：风险的来源可能是内部的，也可能是外部的。内部环境、业务流程和外部因素都是识别风险时需要考虑的主要来源。二、多选题1.在风险管理与内控审计中，审计人员识别风险的主要方法包括（）。A.调查问卷B.现场观察C.内部控制测试D.流程分析E.风险矩阵分析答案：ABD解析：审计人员识别风险的方法多种多样，主要包括调查问卷、现场观察和流程分析等。调查问卷可以系统地收集大量信息，帮助识别潜在风险；现场观察可以直接了解业务活动实际情况，发现潜在风险；流程分析有助于理解业务流程中的风险点。内部控制测试主要是评估控制的运行有效性，而非识别风险本身。风险矩阵分析是风险评估的工具，用于评估风险的可能性和影响，而非识别风险。2.内部控制环境中，组织结构对内部控制的影响体现在（）。A.职责的分配与分离B.管理层的授权C.沟通与报告的渠道D.员工的胜任能力E.信息系统支持答案：ABC解析：组织结构通过影响职责的分配与分离、管理层的授权以及沟通与报告的渠道等方式，对内部控制的设计和运行产生重要影响。职责分配和分离确保了业务流程中不同环节的相互监督和制约。管理层的授权明确了员工执行业务和操作的权限。沟通和报告渠道则保证了信息在组织内部的及时传递和反馈。员工的胜任能力和信息系统支持虽然对内部控制很重要，但它们更多地属于控制环境的具体要素，而非组织结构本身的影响。3.风险评估过程中，审计人员评估风险的可能性的因素包括（）。A.历史数据B.潜在触发因素C.概率分布D.风险应对措施E.风险的潜在影响答案：AB解析：评估风险的可能性主要关注风险事件发生的可能性大小。审计人员通常参考历史数据来了解风险事件过去发生的频率和规律。同时，分析潜在触发因素，即可能导致风险事件发生的条件或事件，也有助于判断风险发生的可能性。概率分布可以用来量化可能性，但它是评估工具，而非影响因素本身。风险应对措施和潜在影响是在评估可能性之后，进一步考虑的问题。4.内部控制测试中，审计人员发现控制缺陷时，可能采取的措施包括（）。A.提请被审计单位管理层采取纠正措施B.增加实质性程序的范围和程度C.重新评估相关风险D.直接执行控制程序E.发布非无保留意见的审计报告答案：ABC解析：发现控制缺陷后，审计人员首先应与被审计单位管理层沟通，提请其采取纠正措施（A）。同时，由于控制缺陷可能导致风险评估结果不准确或控制有效性降低，审计人员需要重新评估相关风险（C），并可能需要增加实质性程序的范围和程度（B）以获取充分、适当的审计证据。选项D不是审计人员的直接行动，而是被审计单位可能采取的措施。选项E是否发布非无保留意见取决于缺陷的严重程度和被审计单位的应对情况，是最终的审计结论，而非发现缺陷后的即时措施。5.在进行实质性程序时，审计人员选择样本进行测试需要考虑的因素包括（）。A.样本的重要性B.样本的代表性C.样本量的大小D.样本的可获得性E.测试的成本效益答案：ABCDE解析：选择样本进行测试时，审计人员需要综合考虑多个因素。样本的重要性决定了测试结果的关注度；样本的代表性确保了测试结果能够反映总体特征；样本量的大小影响测试的效果和精度；样本的可获得性决定了测试的可行性；测试的成本效益则关系到审计资源的有效利用。6.风险管理与内控审计报告中，审计人员可能出具的非无保留意见包括（）。A.保留意见B.调整意见C.否定意见D.无法表示意见E.特殊意见答案：ACD解析：根据审计发现的问题和被审计单位应对情况的不同，审计报告可能出具非无保留意见。常见的非无保留意见包括保留意见（A）、否定意见（C）和无法表示意见（D）。调整意见（B）通常不是审计报告的意见类型。特殊意见（E）在某些特定情况下可能出现，例如关于持续经营能力的意见，但它与针对财务报表整体的意见（保留、否定、无法表示）有所不同。在常见的风险管理与内控审计语境下，ACD是典型的非无保留意见类型。7.内部控制环境中，控制活动通常包括（）。A.授权批准B.职责分离C.对账程序D.实物控制E.业绩评价答案：ABCDE解析：控制活动是内部控制体系中的具体措施，旨在实现控制目标。常见的控制活动包括授权批准（A）、职责分离（B）、对账程序（C）、实物控制（D）和业绩评价（E）等。这些活动贯穿于业务流程中，以防止或发现错误与舞弊。8.在进行风险评估时，审计人员通常采用的分析方法包括（）。A.比率分析B.趋势分析C.敏感性分析D.回归分析E.流程分析答案：ABCDE解析：风险评估过程中，审计人员会运用多种分析方法来识别、分析和评估风险。比率分析（A）用于比较不同财务指标；趋势分析（B）用于观察数据随时间的变化；敏感性分析（C）用于评估输入变量变化对结果的影响；回归分析（D）用于分析变量之间的关系；流程分析（E）用于理解业务流程和识别风险点。这些方法可以帮助审计人员从不同角度全面评估风险。9.风险管理与内控审计过程中，审计人员需要考虑的内部因素包括（）。A.组织文化B.治理层凌驾于控制之上的风险C.信息系统D.员工胜任能力E.外部经济环境答案：ABCD解析：内部因素是组织内部影响风险和内部控制的因素。组织文化（A）、治理层凌驾于控制之上的风险（B）、信息系统（C）和员工胜任能力（D）都属于内部因素。外部经济环境（E）是典型的外部因素。10.内部控制测试中，审计人员评估控制有效性的依据包括（）。A.控制设计的合理性B.控制执行的充分性C.测试结果与预期结果的符合程度D.实质性程序的结果E.被审计单位管理层的承诺答案：ABC解析：评估控制有效性需要综合考虑多个方面。首先看控制设计是否合理（A），这是控制有效性的基础。然后评估控制是否得到了充分执行（B）。通过控制测试，将实际测试结果与预期结果进行比较，判断符合程度（C）。实质性程序的结果（D）可以间接反映控制的有效性，但不是评估控制有效性的直接依据。被审计单位管理层的承诺（E）虽然重要，但不是评估控制运行效果的技术依据。11.在风险管理与内控审计中，审计人员识别风险的过程通常包括（）。A.步骤识别风险B.分析风险特征C.评估风险可能性D.评估风险影响E.提出应对建议答案：ABCD解析：识别风险是风险评估的第一步，通常包括识别风险的来源、性质和表现形式。这个过程需要审计人员运用各种方法，如询问、观察、分析等，来发现可能影响被审计单位目标实现的潜在风险因素。识别出来之后，需要进一步分析风险的特征（B），并从可能性和影响程度两个维度进行评估（C、D）。提出应对建议（E）通常是在风险评估和应对规划阶段进行的。因此，识别风险本身主要涉及步骤识别、分析特征、评估可能性和评估影响。12.内部控制环境中，控制环境是其他内部控制要素的基础，其关键要素包括（）。A.治理层的理念和经营风格B.组织结构C.职责分离D.人力资源政策与实践E.反舞弊机制答案：ABD解析：控制环境是整个内部控制体系的基础和框架，它影响着组织中其他控制要素的设计和执行。其关键要素包括治理层的理念和经营风格（A），这为内部控制设定了基调；组织结构（B）和职责分离（C）明确了权责关系和相互监督机制；人力资源政策与实践（D），如招聘、培训、考核和激励等，关系到员工的能力和动机。反舞弊机制（E）虽然重要，但通常被视为控制活动或信息与沟通的一部分，而非控制环境的核心要素。13.在进行实质性程序时，审计人员运用数据分析工具的主要目的包括（）。A.识别异常交易或模式B.评估账户余额的合理性C.测试会计分录的准确性D.估计样本量E.评估控制设计的有效性答案：AB解析：数据分析工具在实质性程序中发挥着重要作用，主要用于提升审计效率和效果。审计人员利用这些工具可以快速处理大量数据，以识别异常的交易或模式（A），从而发现潜在的错误或舞弊迹象。同时，可以通过分析数据来评估账户余额、利润表项目等的合理性（B）。测试会计分录的准确性（C）也可以通过分析其自动化处理的数据实现。选项D（估计样本量）通常在抽样方法中考虑。选项E（评估控制设计的有效性）属于内部控制测试的范畴。14.风险评估过程中，审计人员收集风险信息的来源可能包括（）。A.内部控制问卷B.管理层访谈C.现场观察D.以前审计的工作底稿E.询问被审计单位员工答案：ABCDE解析：为了全面识别和评估风险，审计人员需要从多个来源收集风险信息。内部控制问卷（A）、管理层访谈（B）、现场观察（C）、以前审计的工作底稿（D）以及询问被审计单位员工（E）都是常见的收集风险信息的方法。通过结合使用这些方法，可以获取更全面、更可靠的风险信息。15.内部控制测试中，如果审计人员发现控制运行无效，可能导致（）。A.评估的风险级别降低B.增加实质性程序的范围C.发出非无保留意见D.要求管理层提供书面声明E.调整进一步审计程序的性质答案：BCE解析：当审计人员发现内部控制运行无效时，意味着内部控制无法实现预期的防止或发现错误与舞弊的效果。这通常会导致审计人员评估的风险级别升高（而非降低A），因此需要增加实质性程序的范围（B）以获取更充分的审计证据。如果无效的控制缺陷严重到一定程度，可能直接导致审计人员出具非无保留意见（C）。管理层可能会被要求就控制缺陷及其影响提供书面声明（D）。同时，审计人员可能需要调整进一步审计程序的性质（E），例如从细节测试转向实质性分析程序（如果适用），或改变测试的关键审计领域。16.风险管理与内控审计报告中，审计人员出具保留意见可能因为（）。A.存在重大错报，但无法获取充分、适当的审计证据B.被审计单位未按审计要求提供审计所需的信息C.内部控制存在重大缺陷，且被审计单位未予纠正D.存在影响财务报表的错报，但错报单独或汇总起来不重大E.被审计单位对重大错报事项拒绝作出调整或披露答案：D解析：保留意见是指审计人员认为被审计单位的财务报表存在错报，但错报单独或汇总起来不重大，不至于影响财务报表整体公允反映。选项A描述的是无法表示意见的情形。选项B和E描述的是可能导致无法获取审计证据或出具无法表示意见的情形。选项C描述的是内部控制重大缺陷未予纠正，可能引发重大错报，严重时会导致出具否定意见或无法表示意见。只有选项D正确描述了出具保留意见的原因。17.内部控制环境中，治理层的作用主要体现在（）。A.批准被审计单位的经营战略B.监督和评估内部控制的建立和运行情况C.任命外部审计师D.批准重要的会计政策和估计E.确保管理层及时向其报告重大风险事项答案：BCE解析：治理层（如董事会及其下设的审计委员会）在内部控制体系中扮演着至关重要的监督角色。他们负责监督和评估内部控制的建立和运行情况是否有效（B），确保管理层建立和维护必要的内部控制（C），并确保管理层及时向其报告重大风险事项（E）。选项A、D虽然也是治理层的职责，但与内部控制环境的直接关系不如B、C、E明显。18.在进行实质性分析程序时，审计人员需要考虑数据的质量，包括（）。A.数据的完整性B.数据的可靠性C.数据的准确性D.数据的相关性E.数据的及时性答案：ABCDE解析：实质性分析程序的有效性依赖于所使用数据的质量。审计人员需要确保数据是完整的（A）、可靠的（B）、准确的（C）、相关的（D）以及及时的（E），才能基于这些数据进行分析并得出合理的结论。任何数据质量问题都可能影响分析结果的可靠性和审计意见的恰当性。19.风险评估过程中，对风险进行优先排序的依据通常包括（）。A.风险发生的可能性B.风险发生的频率C.风险的影响程度D.风险的应对措施成本E.风险的识别时间答案：AC解析：对风险进行优先排序时，核心依据是风险发生的可能性（A）和风险一旦发生可能带来的影响程度（C）。可能性高的风险和影响程度大的风险通常被赋予更高的优先级。风险发生的频率（B）是可能性的一种体现，但不如可能性本身直接。应对措施成本（D）是考虑风险应对时的重要因素，但不直接用于排序。识别时间（E）本身不是排序的依据，而是风险评估过程的时间安排。20.内部控制测试中，审计人员记录测试结果时需要包含的内容通常有（）。A.测试目的B.测试程序C.实际观察到的结果D.预期结果E.测试结论（是否通过测试）答案：ABCDE解析：为了提供充分、适当的审计证据，审计人员在记录内部控制测试结果时，需要清晰、完整地记录测试的关键信息。这包括测试的目的（A）、执行的测试程序（B）、实际观察到的结果（C）、预期的结果（D）以及基于比较得出的测试结论（E），即控制是否运行有效。这些记录是审计工作底稿的重要组成部分，也是支持审计意见的基础。三、判断题1.风险评估是一个动态过程，随着新风险的识别、内外部环境的改变以及控制有效性的变化，需要持续进行。（）答案：正确解析：风险评估并非一次性的活动，而是一个贯穿审计始终的动态过程。由于企业的经营环境、业务活动、监管要求等内外部因素不断变化，新的风险可能会出现，原有的风险性质或可能性也可能发生变化。同时，内部控制的运行效果也可能随时间推移而变化。因此，审计人员需要定期或在必要时重新进行风险评估，以确保识别出的风险仍然是审计的重点，并评估现有控制是否仍然有效，从而保证审计的针对性和有效性。2.内部控制的目标是消除所有风险。（）答案：错误解析：内部控制的目标是合理保证财务报告的可靠性、经营的效率和效果以及在所有相关法律法规方面的合规性。它旨在管理和减轻重要风险，而不是试图消除所有风险。由于成本效益原则的限制以及风险存在的普遍性，完全消除所有风险是不现实的。内部控制关注的是那些足够重大、可能影响财务报表或经营目标的风险，并通过设计和执行控制来将其降至可接受的水平。3.审计人员执行的控制测试只能证明控制设计有效，不能证明控制执行有效。（）答案：错误解析：控制测试的目的是评估特定内部控制是否按照预定方式运行以及运行是否有效。执行控制测试，意味着审计人员实际操作或观察控制程序的运行过程，以检查其是否得到了一贯的应用。因此，控制测试的结果可以直接证明该控制的执行是否有效，而不是仅仅证明其设计有效。当然，如果控制测试发现控制执行无效，审计人员还需要考虑控制设计是否存在缺陷。4.如果审计人员发现被审计单位管理层故意凌驾于控制之上，审计人员通常需要执行更广泛的实质性程序。（）答案：正确解析：管理层凌驾于控制之上的风险是特别风险的一种。如果审计人员识别出或怀疑存在管理层凌驾于控制之上的情况，由于常规的控制测试可能无法有效应对这种风险（因为管理层可能绕过或篡改控制），审计人员需要执行更广泛、更深入的实质性程序，以获取充分、适当的审计证据，证明财务报表是否不存在由于管理层凌驾而导致的重大错报。5.实质性分析程序可以完全替代细节测试。（）答案：错误解析：实质性分析程序和细节测试都是实质性程序的方法，但它们各有特点，适用范围不同。实质性分析程序适用于评估大量交易或账户余额的合理性，尤其是在数据充分、波动模式明显的情况下。然而，对于某些关键账户或存在特别风险的领域，或者需要获取存在或发生错报的具体证据时，实质性分析程序可能无法提供充分、适当的审计证据，此时需要依赖细节测试。两者通常结合使用，而非完全替代。6.风险评估过程中识别的风险都必然导致重大错报。（）答案：错误解析：风险评估的目的是识别所有与财务报表相关的重大风险。然而，在风险评估过程中识别出的风险，其严重程度可能不同。有些风险可能影响重大，需要审计人员特别关注并执行相应的审计程序；而有些风险可能影响不重大，或者通过其他控制措施已经得到了有效应对，不一定需要执行额外的实质性程序。因此，并非所有识别出的风险都会导致重大错报。7.内部控制缺陷分为设计缺陷和运行缺陷，两者必然存在因果关系。（）答案：错误解析：内部控制缺陷是指内部控制设计未能实现控制目标，或者控制设计虽已实现，但未得到执行，或执行不到位。内部控制缺陷分为设计缺陷和运行缺陷。一个设计缺陷可能导致运行缺陷，例如控制设计不合理，员工就无法有效执行。但运行缺陷也可能源于其他原因，例如员工培训不足、沟通不畅或故意舞弊等，即使控制设计本身是合理的。因此，运行缺陷不一定是由设计缺陷直接导致的，两者之间不一定存在必然的因果关系。8.审计人员对被审计单位的内部控制有效性负责。（）答案：错误解析：被审计单位的管理层对建立和维持有效的内部控制系统负总责。审计人员的责任是执行风险管理与内控审计程序，评估内部控制的设计与运行有效性，并就内部控制重大缺陷与管理层沟通，但审计人员不能替代管理层对内部控制的责任。9.业绩评价是控制环境要素的一部分，它通过设定目标、衡量绩效和奖惩机制来影响员工行为，进而影响内部控制的有效性。（）答案：正确解析：控制环境是内部控制的基础，其中人力资源政策与实践是一个重要方面。业绩评价作为人力资源政策与实践的重要组成部分，通过设定明确的绩效目标、定期衡量实际业绩，并将绩效结果与奖惩机制挂钩，能够有效引导和激励员工的行为，使其符合组织的期望和要求，从而对内部控制的有效性产生积极影响。10.审计报告的意见类型只有无保留意见和保留意见两种。（）答案：错误解析：根据审计发现的问题和被审计单位应对情况的不同，审计报告可能出具多种意见类型。除了无保留意见（即意见表示满意）之外，还可能出具保留意见、否定意见和无法表示意见。这些意见类型反映了审计人员对被审计单位财务报表公允性的不同看法。四、简答题1.简述风险管理与内控审计中，风险评估的主要步骤。答案：风险评估通常包括以下主要步骤：（1）风险识别：通过询问、访谈、分析数据、观察等方法，识别被审计单位经营活动中可能存在的各类风险，包括战略风险、运营风险、财务风险、合规风险等。（2）风险分析：对已识别的风险进行分析，主要是分析风险的特征，包括风险发生的可能性以及风险一旦发生可能带来的影响程度。（3）风险评价：将分析后的风险与被审计单位的可接受风险水平进行比较，评估风险是否重大，以及是否需要进一步采取应对措施。（4）风险排序