您的内部审计团队是否正在努力与审计疲劳作斗争？您的审计客户是否因为审计拖延了几个月而几乎没有相关结果而感到不满或怨恨？选择正确的方法可以帮助内部审计被公认为值得信赖的顾问，促进客户参与，并带来更高效、更有洞察力的结果。以下是五种基于风险的审计方法的提示和技巧，这些方法可以减轻审计客户的审计疲劳，并将内部审计定位为组织的增值服务提供商，同时与利益相关者建立富有成效的合作关系。

       TL：DR 基于风险的内部审计侧重于根据组织的最高风险确定审计活动的优先级。本文中概述的提示将帮助组织更有效地管理其财务报告风险并改善整体内部控制环境。

什么是基于风险的审计方法？

       基于风险的审计方法从风险范围开始，作为审计计划的基础。在基于风险的审计方法中，该项目的目标是解决管理层最优先的风险。许多审计部门认为他们是基于风险的，但他们的审计计划通常是根据由部门、职能或流程组成的审计领域构建的。真正的基于风险的审计方法始于对管理层的主要风险和业务目标的评估。该计划的所有审计都旨在解决这些风险，并向高级管理层提供见解。

       基于风险的审计计划依赖于建立组织的风险偏好，定义组织面临的固有风险，并关注高风险的业务流程。组织可以选择接受正式的风险评估，最好每年至少接受一次。许多常见的风险管理框架要求公司定期进行风险评估，作为最佳实践。一旦进行了风险识别，对每个行项目执行的评估就会为每个潜在风险敞口生成缓解计划，使企业能够解决这些风险领域。在应用基于风险的审计方法时，组织寻求降低关键风险并实施风险管理流程和控制措施，以保护企业免受内部和外部风险的影响。

风险管理框架的一些示例包括：

• ISO 31000：风险管理标准：ISO 的标准和指南在国际上得到认可，但是，ISO 31000 不能作为认证依据。

• COSO：企业风险管理 （ERM）：COSO 广受欢迎的内部控制框架已被许多寻求遵守 SOX 的公司采用。他们的 ERM 框架有五项管理风险的综合原则。

• NIST：风险管理框架 （RMF）：作为美国国家标准与技术研究所，NIST 为实施其 RMF 提供指南和资源，其中包括七个核心步骤。

• COBIT：IT 风险管理框架：信息和相关技术的控制目标 （COBIT） 是企业 IT 治理和管理的框架，为管理 IT 相关风险提供了全面的方法。内部审计师使用 COBIT 来评估和管理 IT 风险，确保 IT 流程与业务目标保持一致，并在降低风险的同时提供价值。

       审计团队和公司利益相关者（如审计委员会）可以利用这些框架来告知他们的风险方法。

       与基于风险的审计方法相反，基于合规性的审计方法以严格的标准为基础，旨在评估组织对这些标准的遵守情况。基于风险的审计方法允许与任何合规性目标没有直接关系的审计活动，而合规性审计几乎总是旨在满足法规或合规性要求。这意味着合规性审计的测试和程序往往具有相当狭窄和具体的范围。

在内部审计中，基于风险的方法有什么好处？

       基于风险的审计方法使内部审计师能够更及时地响应组织风险，并为管理层提供见解，以帮助定期解决问题。基于风险的内部审计（有时称为“RBIA”）解决了高级管理层和领导层最关心的问题，使公司能够首先解决他们最大的问题，并正面解决。使用基于风险的审计方法可以识别以前未识别的风险，甚至可能揭示传统方法可能遗漏的差距。植根于风险管理实践的内部审计计划为审计资源提供了如何设计审计流程和审计活动的灵活性，而不是规定特定的要求和范围。基于风险的方法允许审计团队自定义其审计活动，以匹配他们正在检查的流程和控制。

       传统上，内部审计采用基于控制的方法，检查和验证合规性以及财务控制是否根据一套既定标准运作。内部审计部门越来越多地转向基于风险的方法，这些方法由更具前瞻性的视角驱动，旨在解决可能阻止组织实现其目标的潜在风险。内部审计师协会 （IIA） 拥有许多关于使用基于风险的方法进行审计的资源，包括超出财务报表审计的 IT 治理等领域的指导。

当基于风险的方法与服务交付思维相结合时，很明显内部审计不应该使用一刀切的方法。一个有效的审计部门可以创建一个方法调色板，从而可以根据具体情况选择最佳方法。

5 种经过验证的基于风险的审计方法和技术，可增强客户体验

       以下是五种经过验证的基于风险的审计方法和技术，可增强鉴证或咨询项目的客户体验，以及每种方法的理想审计概况特征、成功因素和审计技能。

       关于组织审计的另一句建议：计划比您想象的要更进一步。与必要的利益相关者合作并清楚地传达审计计划可以区分顺利的审计和坎坷的审计。

1. 快速保证：承诺只进行一周的实地考察

       Rapid Assurance 专门用于减少文档功能强大的流程中的审计疲劳，涉及在更短的时间内执行标准鉴证项目的所有步骤，并承诺仅进行一周的现场工作。您甚至可以将这些参与视为 “小型审计”。Rapid Assurance 通常可分为三个阶段，为期 3-5 周：

审计师规划和研究 （1-2 周）

       审计师规划和研究包括审查以前的审计工作底稿和公共文档、准备工作计划、发送请求列表、获得对文档存储库的查看访问权限以及执行测试。

现场实地考察（1 周）

       在现场工作期间，审计员会与客户面谈、执行测试、获取后续请求、召开“日终”状态会议，并在“软”退出会议中将调查结果草案传达给客户。

完成测试和报告撰写（1-2 周）

       最终测试和报告撰写包括完成测试、最终确定工作底稿和审计报告，以及在报告中记录商定的行动、所有者和目标日期。

       方法简介：Rapid Assurance 最适合相对稳定的流程、人员和技术，例如客户引导、呼叫中心运营或第三方现场审查。具有强大的文档和记录管理实践的流程是 Rapid Assurance 的理想选择，之前经过审计且剩余风险为低到中等的流程也是如此。

       成功因素：通过提前通知和获得审计客户的时间承诺来提前计划非常重要。审计项目应具有明确定义且有限的范围。至关重要的是，Rapid Assurance 要求审计师保持单一的关注点，一次只关注一项审计。Rapid Assurance 成功的关键是认识到复杂性既不是创造的，也不是破坏的，它只是转移的。审计师在实地考察之前和之后承担了更多的工作，以便客户可以在快速的一周参与中体验到相对轻松的互动。审计师还必须及时收到他们要求的证据和面谈，否则，项目可能会拖延。

       审核技巧：鉴于时间框架缩短，审核员应具有强大的项目管理能力，并对要审核的流程有深入的了解。

2. 项目鉴证：实时反馈和实时鉴证

       在项目保障期间，审计师评估项目团队的治理、风险管理和控制能力，以实时识别和管理与项目相关的风险。他们还通过在整个项目中促进风险和控制对话来发挥促进者的作用。

方法简介：此方法非常适合具有既定结束日期的大规模工具、流程或程序实施，例如数据中心搬迁、新卡生产站点或新工作管理工具。

       成功因素：审计师需要在项目的早期参与，从启动和设计到构建和配置、测试和培训，最后是实施和监控，提供支持。在每个阶段，内部审计与项目经理和产品发起人合作，提供实时反馈。审计师应根据相关框架（例如项目管理知识体系 （PMBOK））明确确定范围组成部分。对于影响公司很大一部分的流程或倡议，与所有相关利益相关者群体合作以确保成功采用至关重要。定期召开状态会议以调整期望是此类参与的另一个关键。

       审核技巧：具有项目或计划实施经验的审计师将是执行项目保障方法的不错选择，主题专家或咨询服务公司的客座审计师也可以帮助识别陷阱。

3. 促进自我评估：帮助管理层解决问题

       这种研讨会式的方法使部门能够检查并致力于改进流程或职能的治理、风险管理和/或内部控制。在这种方法中，审计专业人员充当对话的促进者，并试图鼓励参与研讨会。毕竟，当有人参与发现问题时，他们更有可能被激励去解决问题。

       方法简介：从本质上讲，“促进”意味着使行动或流程更容易，这种方法可以很好地帮助承担更大责任的领导者缓解他们的挑战，尤其是战术执行和实现更大战略之间的紧张关系。该会议旨在帮助各部门了解和确定其目标、与实现这些目标相关的风险以及解决这些风险所需的控制措施。该研讨会可以使客户成为内部审核员并评估他们自己的流程。促进自我评估还可以通过实践风险和控制原则的实际应用，以及提高风险分析和响应能力，使管理层能够朝着更强大的风险和控制文化迈进。

       成功因素：高级领导的可见参与对于授权团队成员在识别挑战时保持诚实和透明至关重要。严格的工作会议设计和规划使会议能够顺利进行，使用来自可靠框架的参考指导也是如此。请务必设定预期，即此方法可能需要对 select key controls 执行测试，并且可能需要迭代。

       审核技巧：要主持研讨会，审核员应具有较强的小组引导技能和即时调整方法的能力。外向的心态和影响强大的风险管理和控制行为的能力将大大有助于帮助部门识别并致力于改进他们对所遇到的特定挑战的响应。能够从基本角度解释风险和控制措施相互作用的原因和方式也会有所帮助。

4. 成熟度模型：将鉴证构建为一段旅程

       使用标准成熟度模型（如能力成熟度模型集成 （CMMI））或创建自定义模型，成熟度模型方法使审核员和审核客户能够评估流程的当前有效性，同时确定改进流程以实现目标所需的能力。

       方法简介：这种方法特别适用于难以接受调查结果的好斗或防御性买家。通过在成熟度模型的构建中构建他们的流程，内部审计能够为客户在包括未来改进领域在内的旅程中做得好的地方给予认可。成熟度模型方法也非常适合受并购或组织重组影响的企业流程和领域，以发展其人员、流程和技术。拥有成熟控制措施的组织也可能从这种方法中受益，因为他们可以发现其他方法来补充和增强其现有计划。

       成功因素： 将流程分解为多个组件使审核员能够认识到强有力的控制，同时还可以识别需要补救的问题。成熟度模型方法可用于独立咨询或作为产生可操作结果的鉴证业务。这种方法在创造更具互动性的对话体验时特别成功：审计师允许客户权衡他们认为自己适合成熟度模型的位置，然后要求提供证据或促进讨论以验证他们的观点。

       审核技巧：审计师必须能够自如地解释标准成熟度模型（如 CMMI）或他们自己创建自定义成熟度模型的方法。审计师还必须能够用证据和信心来支持他们的结论。

5. 数据分析：通过数据更好地洞察

       审计可以将数据分析技术整合到项目中，以提供更丰富的洞察、增强的风险监控和流程效率。

       方法简介：数据分析可以在每次参与和审计的所有阶段考虑。它可以作为单一方法执行，也可以与其他四种方法中的任何一种结合使用。审计师在评估更多定性数据时可能需要发挥创意，但数据分析在从旅行和娱乐到服务台事件再到企业项目管理等领域都很有价值。

       成功因素：审计师必须坚信，在解决全部人群问题时，即使是最基本的数据和输入也可以产生洞察力，并能够将风险与数据联系起来。测试和审计活动可以非常快速，但前提是首先要制定严格的规划。审计师必须准备好调查意外结果，而不是匆忙下结论。

       审核技巧：与数据库管理员和报告组协作的能力将使数据分析方法更加顺利。理想情况下，审计师将是一位具有编写脚本能力的分析、技术和逻辑思考者。但是，您不应让缺乏技术知识阻止您利用数据分析。

准备好实施基于风险的审计方法了吗？

       凭借服务交付的思维方式和您自己的基于风险的方法集合供您选择，您的审计部门将处于有利地位，可以选择最佳方法，与客户建立信任关系以及有益的参与结果。通过针对每种特定情况深思熟虑地定制审计方法，内部审计可以减少审计疲劳，满足客户的需求，提供实时保证，并对他们的组织产生积极影响。

关于基于风险的审计的常见问题

什么是基于风险的审计方法？

基于风险的审计方法从管理层的目标和确定的风险开始，而不是特定的审计计划或模板。

在内部审计中，基于风险的方法有什么好处？

采用基于风险的内部审计方法有助于与利益相关者建立牢固的关系，允许灵活的审计方法，并最终产生更好、更有洞察力的审计报告。

基于合规性的审计和基于风险的审计有什么区别？

基于风险的审计旨在解决管理层识别的风险，而基于合规性的审计旨在评估组织对一组合规标准的遵守情况。