（一）现代风险导向内部审计流程与特点

1.现代风险导向内部审计流程设计

现代风险导向内部审计采取“自上而下”的逻辑结构，以企业经营风险分析为起点，以风险评估为核心，遵循“风险评估（制订审计计划）——审计实施——审计报告”的审计流程，从整体上把握被审计对象的经营风险和审计风险。

2.现代风险导向内部审计流程的特点

（1）以战略经营分析为起点

现代风险导向内部审计引用了战略管理理论和系统理论，认为审计风险主要是企业会计报表的错报风险，而会计报表的错报风险则主要来源于整个企业的战略风险和环节风险。一般情况下，如果企业的利润等各方面的战略目标能够顺利实现，管理层就没有必要编制虚假的会计报表；只有当企业的经营情况不理想，各项目标未能达到时，管理层才会有造假的动机。因此，现代风险导向内部审计强调审计师必须从对企业的战略分析入手，识别对企业目标实现可能产生影响的内外部风险，分析内外部风险可能带来的会计报表错报，从源头上和宏观上把握整体经营风险。

（2）以风险评估为主线

风险评估程序是审计师为了解被审计单位及其环境（包括内部控制），以评估会计报表整体层次和认定层次的重大错报风险而实施的审计程序。在现代风险导向内部审计中，重大错报风险的识别和评估过程贯穿于整个审计过程的始终，并随着审计证据的不断积累而相应变化。首先，需要对企业所处的宏观社会经济环境和行业环境进行分析，以理解企业的总体战略目标和企业在外部实体或代理组织中的地位。其次，需要分析企业与外部环境之间的联系，从而发现潜在的重要战略风险。再次，审计师需要分析内部经营环节。最后，审计师需要利用职业判断对识别出的经营风险进行评估和总结。

（3）以剩余风险控制为重点

在企业经营风险分析完成后，得出的剩余风险就代表没有被控制住，并对会计报表存在潜在重要影响的风险，也就是重大错报风险。审计师应对重大错报风险的评估水平做出恰当反应，采取不同的应对措施，以将剩余风险控制在可接受的水平内。

（二）现代风险导向内部审计的具体流程

1.风险评估

现代风险导向内部审计的核心是深入了解企业，加强风险评估对审计程序的指导作用。有效的审计需要对企业所处的宏观社会经济环境和行业环境进行充分的分析，以理解企业为实现目标所制定的总体战略。同时，审计师还需要分析企业与外界环境之间的联系，从而发现潜在的重要战略风险。对于识别出的战略风险，审计师要分析企业如何监控和应对。审计师要分析内部经营环节，对影响企业目标实现的关键经营环节的分析，也需要从对关键经营环节的监控与环节控制两个方面入手。除此之外，在经营环节分析完成后，审计师需要利用职业判断对识别出的经营风险进行评估和总结，最终得出的剩余风险就代表了审计师认为没有被企业控制住，并对会计报表存在潜在重要影响的经营风险，它们可能来源于战略分析，也可能来源于经营环节分析，剩余风险是审计关注的重点。(www.daowen.com)

值得注意的是，在战略分析阶段和环节分析阶段，审计师都必须对重大交易类别进行分析。对于现代风险导向审计的一个错误理解是，如果审计师没有发现任何战略风险和环节风险，即不存在剩余风险，也就没有必要执行任何实质性测试。但按照审计准则的要求，必要的实质性测试是必须的。

在战略分析阶段，审计师一方面要识别战略风险，另一方面要根据对企业经营的理解将企业的重大交易类别予以分类，并分析它们对会计报表认定是否重要，如果重要，计划需要在哪个具体环节中进行必要的分析。在环节分析与剩余风险的决定阶段，审计师一方面需要关注环节对战略风险的控制以及环节本身的风险，从而得出剩余风险并推导出具体审计目标和计划的实质性测试，另一方面需要对重大交易类别进行具体的分析并推导出重大交易类别所影响的会计报表认定被严重错报的风险及相关控制措施，从而得出关于剩余风险的结论并推导出具体审计目标和计划的实质性测试。

2.控制测试

控制测试在我国商业银行中的应用就是要对银行内部控制体系运行的有效性进行测试。需要注意的是，审计人员在对商业银行进行控制测试时，要对商业银行的内部控制进行深入了解，对其运行的有效性做到有所把握。此外，审计人员不需要对银行内部全部的内部控制进行测试，具体运用到哪个，就对哪个内部控制进行控制测试。经过测试之后，如果审计人员能够保证该内部控制可以得到有效的运行，可以采取减少实质性测试程序的方法。

控制测试在我国商业银行中并非是必须执行的程序，其应用也有一定的前提条件。

（1）在对我国商业银行进行风险评估的过程中对认定层次所存在的重大错报风险进行评估时，审计人员认为商业银行的内部控制是有效的。

（2）如果商业银行内部审计人员在审计过程中仅仅实施实质性测试无法提供充分适当的审计证据时商业银行必须进行控制测试。

（3）在我国商业银行内部实施控制测试时，要对商业银行内部控制的准则和实际执行程序设计的有效性进行测试，通过这项测试，我们可以了解到商业银行的内部控制体系运行的有效性。

（4）对商业银行内部设计的内部控制准则和实际执行程序运行的有效性进行测试，如果这些准则和程序无法发挥其应有的作用，商业银行的内部控制体系都是无效的。

3.实质性程序

在我国商业银行内部审计中运用实质性程序就是要求审计人员根据之前风险评估的结果，对商业银行内部存在的重大错报风险进行分析，以设计和实施实质性程序。审计人员在商业银行内部具体实施实质性程序时：首先，要对银行内部财务报表中的数据与这些数据在登记时所依据的会计记录进行核对。其次，要对商业银行财务报表在编制过程中因各种原因而发生的重大调整进行检查。

实质性程序不同于控制测试，由于审计人员在对商业银行内部存在的重大错报风险进行评估时存在很大的主观性和任意性，且商业银行的内部控制不可避免地存在着一些弊端，因此，审计人员在审计过程中必须要对商业银行实施实质性程序。