风险导向审计（Risk-Based Audit, RBA） 已成为现代内部审计的主流方法。它区别于传统合规审计和程序导向审计的核心在于：关注高风险领域，将审计资源投入最可能影响组织目标的关键环节。然而，很多企业在推行RBA时，往往遇到落地难、执行不彻底等问题。本文探讨RBA如何高效落地。（供参考）

 RBA的核心原则

1. 基于组织目标和风险管理体系开展审计：确保审计重点符合企业战略目标，而不仅仅是财务合规检查。

2. 关注重大风险：聚焦对企业影响最大的风险，而不是所有风险均等对待。

3. 动态调整审计计划：RBA不是一成不变的，而是应根据风险变化进行调整。

4. 管理层参与和支持：需要让管理层理解和认可审计工作的价值，否则难以有效落地。

RBA落地的5大关键步骤

明确企业风险管理框架，建立有效的风险评估机制

问题：
很多企业虽然有风险管理制度，但缺乏有效的风险评估和更新机制，导致RBA难以精准实施。

解决方案：

• 结合企业风险管理框架（ERM），确保审计关注的风险与企业整体风险一致，如COSO ERM、ISO 31000等。

• 建立风险评估方法，采用定量+定性结合的方式评估风险，如：

  • 影响：业务损失、合规影响、财务损失等

  • 可能性：历史发生频率、控制有效性等

  • 设定风险评级（高、中、低），用于审计项目优先级排序

• 与管理层、风控部门定期沟通，确保审计部门获取最新的业务风险动态，避免信息滞后。

以风险为导向编制年度审计计划

 问题：
传统审计计划往往是固定的、每年大同小异，无法反映企业风险的动态变化。

解决方案：

• 基于风险评估结果，确定审计重点领域，如：

  • 高风险领域：如财务报表粉饰、关联交易、重大采购、IT安全等

  • 关键业务流程：如资金管理、收入确认、供应链管理等

• 设定优先级：高风险领域需安排较多资源和频次，而低风险领域可以降低审计频率甚至纳入数据分析监控。

• 审计计划要有灵活性，如预留一定比例的资源用于突发风险审计。

以风险为基础设计审计方案

 问题：
传统审计方案往往采用固定程序，难以灵活调整。

解决方案：

• 重新设计审计方案，以风险为核心，而不是按传统的流程检查。

• 设置关键审计目标（Key Audit Objectives, KAO），围绕企业高风险领域设计审计程序，如：

  • 供应商管理审计：重点关注供应商舞弊、利益冲突风险

  • 采购审计：关注高额采购是否符合市场价格，是否存在异常审批

  • 资金管理审计：识别异常资金流出、关联交易等高风险领域

• 灵活选择审计技术，如数据分析、实地访谈、流程测试等，而不是仅依赖传统的凭证检查。

通过数据分析提升审计效率

 问题：
传统审计往往依赖抽样，存在遗漏高风险交易的可能性。

 解决方案：

• 构建风险指标模型（KRI），如：

  • 采购订单拆分异常（规避审批）

  • 供应商付款异常增长

  • 资金流水异常匹配（频繁大额交易）

• 利用数据分析工具（ACL、Power BI、Python等）进行全量数据审计，而非仅靠抽样检查。

确保整改闭环，提高审计价值

 问题：
很多企业的RBA执行到“发现问题”这一步，但后续整改往往流于形式，影响审计效果。

解决方案：

• 审计报告要突出风险评级和整改建议，并与业务部门沟通具体可行的改进措施。

• 设立审计整改跟踪机制，如定期追踪关键整改项，确保问题真正落地整改。

• 与管理层汇报审计成果，提高审计的战略价值，而不仅仅是“发现问题”。

风险导向审计（RBA）的落地，绝不是简单的“换个名称”，而是涉及审计思维、方法、工具和管理层支持的全面转型。关键在于：
以风险评估为起点，聚焦高风险领域
以数据分析提升审计效率，减少低效抽样
以整改闭环确保审计价值，推动企业改进

RBA落地的核心是让审计真正成为企业风险管理的“战略伙伴”，而不仅仅是发现问题的“找茬者”。只有这样，审计才能发挥真正的价值，赢得管理层和业务部门的认可。