所在位置:首页 > 文库 > 风控
风险导向审计(RBA)如何落地?
2025年03月19日

风险导向审计(Risk-Based Audit, RBA) 已成为现代内部审计的主流方法。它区别于传统合规审计和程序导向审计的核心在于:关注高风险领域,将审计资源投入最可能影响组织目标的关键环节。然而,很多企业在推行RBA时,往往遇到落地难、执行不彻底等问题。本文探讨RBA如何高效落地。(供参考)


 RBA的核心原则

  1. 基于组织目标和风险管理体系开展审计:确保审计重点符合企业战略目标,而不仅仅是财务合规检查。

  2. 关注重大风险:聚焦对企业影响最大的风险,而不是所有风险均等对待。

  3. 动态调整审计计划:RBA不是一成不变的,而是应根据风险变化进行调整。

  4. 管理层参与和支持:需要让管理层理解和认可审计工作的价值,否则难以有效落地。


RBA落地的5大关键步骤

明确企业风险管理框架,建立有效的风险评估机制

问题:
很多企业虽然有风险管理制度,但缺乏有效的风险评估和更新机制,导致RBA难以精准实施。

解决方案:

  • 结合企业风险管理框架(ERM),确保审计关注的风险与企业整体风险一致,如COSO ERM、ISO 31000等。

  • 建立风险评估方法,采用定量+定性结合的方式评估风险,如:

    • 影响:业务损失、合规影响、财务损失等

    • 可能性:历史发生频率、控制有效性等

    • 设定风险评级(高、中、低),用于审计项目优先级排序

  • 与管理层、风控部门定期沟通,确保审计部门获取最新的业务风险动态,避免信息滞后。

以风险为导向编制年度审计计划

 问题:
传统审计计划往往是固定的、每年大同小异,无法反映企业风险的动态变化。

解决方案:

  • 基于风险评估结果,确定审计重点领域,如:

    • 高风险领域:如财务报表粉饰、关联交易、重大采购、IT安全等

    • 关键业务流程:如资金管理、收入确认、供应链管理等

  • 设定优先级:高风险领域需安排较多资源和频次,而低风险领域可以降低审计频率甚至纳入数据分析监控。

  • 审计计划要有灵活性,如预留一定比例的资源用于突发风险审计。


以风险为基础设计审计方案

 问题:
传统审计方案往往采用固定程序,难以灵活调整。

解决方案:

  • 重新设计审计方案,以风险为核心,而不是按传统的流程检查。

  • 设置关键审计目标(Key Audit Objectives, KAO),围绕企业高风险领域设计审计程序,如:

    • 供应商管理审计:重点关注供应商舞弊、利益冲突风险

    • 采购审计:关注高额采购是否符合市场价格,是否存在异常审批

    • 资金管理审计:识别异常资金流出、关联交易等高风险领域

  • 灵活选择审计技术,如数据分析、实地访谈、流程测试等,而不是仅依赖传统的凭证检查。


通过数据分析提升审计效率

 问题:
传统审计往往依赖抽样,存在遗漏高风险交易的可能性。

 解决方案:

  • 构建风险指标模型(KRI),如:

    • 采购订单拆分异常(规避审批)

    • 供应商付款异常增长

    • 资金流水异常匹配(频繁大额交易)

  • 利用数据分析工具(ACL、Power BI、Python等)进行全量数据审计,而非仅靠抽样检查。


确保整改闭环,提高审计价值

 问题:
很多企业的RBA执行到“发现问题”这一步,但后续整改往往流于形式,影响审计效果

解决方案:

  • 审计报告要突出风险评级和整改建议,并与业务部门沟通具体可行的改进措施。

  • 设立审计整改跟踪机制,如定期追踪关键整改项,确保问题真正落地整改。

  • 与管理层汇报审计成果,提高审计的战略价值,而不仅仅是“发现问题”。

风险导向审计(RBA)的落地,绝不是简单的“换个名称”,而是涉及审计思维、方法、工具和管理层支持的全面转型。关键在于:
以风险评估为起点,聚焦高风险领域
以数据分析提升审计效率,减少低效抽样
以整改闭环确保审计价值,推动企业改进

RBA落地的核心是让审计真正成为企业风险管理的“战略伙伴”,而不仅仅是发现问题的“找茬者”。只有这样,审计才能发挥真正的价值,赢得管理层和业务部门的认可。

来源:CIA内审师小站 ,版权归原作者所有,如涉侵权,请联系我们删除,谢谢!
分享到 :
63.2K