1

(一)传统审计方法

检查、重新计算、分析程序等传统审计方法，在风险管理审计中的应用是十分广泛的。风险管理审计采用的主要方法，仍然是传统审计方法，即检查、观察、访谈、调查、监盘、函证、重新计算、分析程序等。

1.审阅。
审阅资料是审计工作运用最为广泛的方法之一，内部审计人员需要收集、检查经济环境、发展趋势、行业信息以及其他信息，以及分析与企业的业务相关的宏观经济以及相关的风险控制程序。确定是否存在可能影响企业发展的风险。

2.检查。

企业的经营战略、风险管理理念和方法、检查企业政策和董事会议记录确定。

3.访谈。
由于风险管理是一个动态的过程， 对访谈是风险管理审计中常用的审计方法。其进行审计时要更多地关注“活”的情况。内部审计人员需要与行政经理和业务部门经理交谈，以确定业务部门的目标、相关的风险、管理层开展的控制风险的活动。

4.分析程序。
分析程序在风险管理审计中也是非常重要的方法。内部审计人员通过趋势、对比、勾稽等数据分析方法发现异常状况，然后深入分析异常状况的原因，从而发现风险管理中的薄弱环节。同时，内部审计人员也经常使用分析程序来评估管理层的风险分析是否全面，以及为纠正风险管理过程中发现的问题而采取的措施和提出的改进建议的及安全性、适当性。

2

风险管理体系建立情况的审计方法

在整个风险管理审计中，了解、完善和改进企业的风险管理体系是内部审计为企业提供增值服务的主要方式，更是审计的关键环节。风险管理体系建立情况审计的主要方法和步骤一般包括:

(1)研究一般性风险。内部审计人员一 般需要建立一份一般性风险清单，其主要来源是保险顾问、咨询公司、行业协会以及其他网站信息等。

(2) 识别企业特有风险。不同的企业风险不同，虽然研究一般性风险为创建风险库提供基础，但内部审计人员应当采用调查问卷等方式让企业的各层管理人员参与头脑风暴，寻找到企业所特有的风险，对一般性风险进行修正，建立与企业相适应的风险库。

(3)定义各类风险。采用“原因和结果”的形式用企业熟悉的语言简明地定义风险，形成一种通用的风险语言。

(4) 链接风险与战略。将每个风险放在“它能对战略产生怎样的影响”的环境中进行讨论，找到风险与企业战略和经营目标的关联。如果一个 风险难以与企业的战略、经营和财务目标联系起来，就说明这个风险没有被恰当地定义，或者甚至与企业不相关。风险与战略的链接过程具有反复性，开始时发现风险与多个目标相关，但经过深入分析后可能会将一些较弱的相关性予以剔除，以修改或增加、删除一些风险。通过深入理解这些风险的特征和相互之间的关系，内部审计人员将在每个风险的评估过程中更加突出与战略强相关的高风险领域。

(5)建立适当的风险模型。风险模型的作用是根据性质把风险进行分类并构建一个结构，这一结构可以使人们理解风险更容易，以及进行企业风险管理和相关培训更为便利。研究人员在理论和实务中讨论了不同的企业风险模型。因为最优的模型是不存在的。内部审计人员必须参照多个特有的风险模型。