内部审计师定期评估

一、内部审计在风险管理过程中的作用1、内部审计在公司尚未建立风险管理的过程中，应积极向管理层提出建立风险管理过程的相关建议。如果公司尚未建立风险管理过程，内部审计人员应该提请管理层注意这种情况，并同时提出建立风险管理过程的相关建议。由于内部审计人员长期立足于本企业的具体岗位，比较熟悉公司的业务并能够随时深入到生产经营的全过程去了解掌握具体情况。审计人员只有通过周密详细的审前调查，收集到大量的第一手资料，从中发现存在风险的隐患问题，进行风险分析，才能根据重要性和成本效益原则制定出全面而且符合实际的审计工作计划。但是，管理层如果建立了风险管理过程，那么，来自于综合性风险管理过程的信息，则有助于内部审计人员更快地制定审计工作计划，提高工作效率。因此，内部审计人员可以促进风险管理过程的建立或使风险管理过程的建立成为可能。2、内部审计可以通过咨询服务的方式，积极协助公司风险管理过程的建立。风险管理是一个复杂的系统工程，在一个组织内部应当明确职责分工，各司其职。董事会负责制定战略目标，高层领导各负责一个方面的风险管理责任，其他管理人员由管理层分配给一部分工作，操作人员负责日常监控，而内部审计人员则负责定期评价和保证工作。如果管理层提出建立风险管理系统的要求，内部审计部门可以协助，但不能超出正常的保证和咨询范围，以免损害独立性。内部审计师可以促进、协助风险管理过程的建立，但不负风险管理的责任。3、内部审计通过将风险管理评价作为审计工作的重点，以检查、评价风险管理过程的充分性和有效性。内部审计主要从两个方面评估风险管理过程的充分性和有效性。（1）评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业的发展情况和趋势，确定是否可能存在影响企业发展的风险；检查公司的经营战略，了解公司能够接受的风险水平；与相关管理层讨论部门的目标、存在的风险，以及管理层采取的降低风险和加强控制的活动，并评价其有效性；评价风险监控报告制度是否恰当；评价风险管理结果报告的充分性和及时性；评价管理层对风险的分析是否全面，为防止风险而采取的措施是否完善，建议是否有效；对管理层的自我评估进行实地观察、直接测试，检查自我评估所依据的信息是否准确，以及其他审计技术；评估与风险管理有关的管理薄弱环节，并与管理层、董事会、审计委员会讨论。如果他们接受的风险水平与公司风险管理战略不一致，应进行报告。（2）评价管理层选择的风险管理方式的适当性。由于各个公司的文化氛围、管理理念和工作目标不同，风险管理的实施也有很大差别。每个公司应根据自身活动来设计风险管理过程。一般说来，规模大的、在市场筹资的公司必须用正式的定量风险管理方法；规模小的、业务不太复杂的，则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。4、内部审计应积极持续地支持并参与风险管理过程，对风险管理过程进行管理和协调。在现代企业制度下，公司全面建立了风险管理过程，内部审计因此能够担负起风险管理的职能。首先，内部审计从评价各部门的内部控制制度入手，在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞，识别并防范风险，做出相关评价。其次，内部审计可以深入到企业管理的极细微的环节上查找问题，分析其合理性。内部审计人员更多的是以风险发生可能性大小为依据，深入到经营管理的各个过程，查找并防范风险。再次，内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险，而且各管理部门还有共同承担的综合风险，内部审计人员作为独立的第三方，可协调各部门共同管理企业，以防范宏观决策带来的风险。

1、内部审计----工作性质 内部审计评估能够提供信息，评价整个管理过程。所有组织内部的业务系统、过程、运营、职能及活动要服从于内部审计师的评估。 内部审计综合性工作范围应合理保证管理层的： ①风险管理系统是有效的； ②内部控制系统是高效率、有效果的； ③通过创造和保存价值、设置目标、监督业务活动和业绩、定义承担责任的方法，实现治理程序的有效性。 2、内部审计----治理 A、内部审计活动必须评价并提出适当的改进建议，以改善组织实现下列目标的治理过程： ①在组织内部推广适当的道德和价值观； ②确保整个组织开展有效的业绩管理，建立有效的问责机制； ③向组织内部有关方面通报风险和控制信息； ④协调董事会、外部审计师、内部审计师和管理层之间的工作和信息沟通。 B、内部审计部门必须针对组织内与职业道德相关的目标、计划和业务，评估其设计、实施和效果。 C、内部审计活动必须评估组织的信息技术治理是否支持组织的战略和目标。 内部审计部门应通过评价并改进以下程序为组织治理过程做出贡献： ①制定和宣传目标及价值的程序； ②监控目标实现情况的程序； ③确保责任机制的程序； ④维护价值的程序。 （1）公司治理 治理就是运用权利去指导、控制以及用法律来规范和协调人们利益的行为。 ①目标和受托责任 公司治理的根本要素在于受托责任。公司治理是由股东大会和董事会、董事会和高级管理层组成的两个控制系统。形成多重受托责任。 ②相关主体 利益相关者（所有者或捐赠者） 董事会审计委员会                                        内部审计人员 管理层 独立的注册会计师 ③风险和控制的监控 内部审计的基本治理活动可分为“风险监控”和“提供控制确认”。 在组织治理结构中，与风险相关的关键活动是监控风险（即识别风险）、评估风险对组织的潜在影响、确定应对风险的策略，以及之后监控风险的环境、监控现行的风险策略和相应的控制措施等。 控制的存在是为了应对风险，公司治理是控制权的实现。“监督”和“控制”是公司治理程序中的核心内容。 （2）董事会与审计委员会 董事会的主要职责： A、审查和批准组织的重大战略； B、监控公司经营； C、监控组织的发展和战略的执行； D、监控风险和组织的控制系统； E、监控组织的活动，并采取措施以保证公平对待各股东团体及其他利益相关者。 董事会通常根据其职能和作用，将内部职能划分为执行委员会、审计委员会、报酬委员会、提名委员会、预算委员会、筹资委员会等。 其中审计委员会的主要职责包括： A、讨论每一年度和季度的财务报表并提出质疑； B、评估公司对外发布的所有盈利信息和分析性预测； C、切实讨论公司的风险评估和管理政策； D、负责公司内部审计机构的建立及运行； E、负责聘请注册会计师事务所，给事务所支付报酬并监督其工作，受聘的会计师事务所应直接向审计委员会报告； F、接受并处理本公司会计、内部控制或审计方面的投诉； G、有权雇佣独立的法律顾问、其他咨顾问和外部审计师。 （3）内部审计在治理中的作用 内部审计人员的作用包括监控、评价和分析组织的风险与控制，以及检查和确认对政策、程序和法律的遵循性。内部审计人员与管理层像伙伴一样一起工作，为董事会、审计委员会和高级管理层确认风险得到控制以及组织的公司治理是强有力和有效的。并且，当组织中有任何改进空间时，内部审计人员就会提出改善过程、政策和程序的建议。 内部审计的作用：A、风险评估；B、提供控制确认；C、遵循性；D、咨询和经营。 ①强化风险管理 A、评价被审计领域的现有风险，并向管理层、审计委员会或同时向二者报告评估结果； B、制订系统评价整个组织风险的计划； C、当组织出现真空时领导风险管理活动； D、利用风险自我评估技术推进风险评价； E、评价与计算机最新发展状况相联系的风险，如果风险没有被控制在预先设定的可接受水平上就终止该项目； F、协助管理层推行贯穿整个组织的风险模型。 ②提供控制确认 A、在职能范围内测试控制的遵循性，向管理层报告结果，若结果很重要，还应向审计委员会报告； B、协助管理层设计综合的评价方法，包括测试整个组织的控制； C、协助管理层编制关于内部控制有效性的报告； D、识别重大的控制缺陷，包括高层基调的要素，并（就检查领域）向审计委员会报告； E、推行计算机测试技术，如持续控制监控技术，以便监控控制的有效性； F、通过控制自我评估（CSA）技术帮助理解和发展职责领域的控制。 ③评价遵循工作【个人经验：基础审计工作人员这一项更为实用】 A、评估法律、法规和合同的遵守情况，重点关注组织是否建立了监督遵守相关政策的控制系统；这些控制是否充分、有效；相关的业务活动是否遵守了这些政策、效果如何； B、监督遵守公司行为规范和商业惯例的情况，重点评估组织相关行为规范和商业惯例是否存在；相关的控制和保证系统是否建立、是否充分和恰当；系统的执行效果如何等。 （a道德规范，书面的、易于人们理解的和具有指导性的，机构不同层次的人的执行标准应有所不同，了解方式--参加培训、发放手册、公告等； b多种场合向各层次员工讲解道德规范，并针对不同部门的员工强调不同的重点； c组织代理参加为他们量身定做的讲座，新员工要进行专门培训； d组织应保证员工已阅读、理解并遵守了公司的行为规范和商业惯例； e组织应采取合理措施促进行为规范和商业惯例的遵守，如应用监督和审计机制发现不遵守情况、建立举报热线、设立相关奖惩制度等； f高层人员应总体负责监督行为规范和商业惯例的遵守情况； g公司行为规范和商业惯例是否得到确实遵守。） C、评估组织向董事会报告的机制； 董事会：建立并维护组织的治理程序，并获取关于风险管理和控制过程有效性的保证； 高级管理层：监督风险管理和控制系统的建立、管理和评价； 内部审计机构：对相关的报告机制进行检查和评估。 （a是否建立了相关报告机制。良好的报告机制应该是清晰而明确的书面政策； b报告机制是否充分而有效，能否满足组织与董事会进行及时、畅通而充分沟通的需要； c机制的运转情况和效果如何，实际的报告工作是否如机制确定的政策进行。） 评估结果报告包括：现行机制的运行效果和改进意见。 后期动作：首席审计官跟踪检查；或高级管理层接受了不采取行动所带来的风险。 D、评估业绩测试系统 内部审计机构：一方面对业绩测评系统本身进行评估； 另一方面要通过检查和评估工作，得出组织整体目标是否得到实现的审计结论。 （a是否建立了业绩测评系统； b业绩测评系统是否充分和可以接受； c业绩测评系统是否有效运行。） ④提供咨询服务【发展初期的公司或业务】 已知控制问题或治理过程不完善，通过咨询服务来替代正式评估，改进控制或治理过程。 咨询职能充分体现内部审计的能动性及增值目标，并且将事后的反馈扩展到内部控制建立前以及实施时的协助与促进，帮助管理层对现代内部控制进行持续改进与完善。 ⑤报告主要工作 内部审计师必须及时报告业务结果。内容包括：业务目标、范围以及适用的结论、建议和行动计划。准确、客观、清晰、简洁、富有建设性、完整和及时。 A、沟通审计业务计划； B、定期报告工作； 工作报告具体内容包括：重要的审计发现和建议，审计工作计划、人员计划和财务预算在执行中出现的重要偏差及其原因等。时间：至少一年一次。 C、报告重大审计事项； 重大审计事项：根据首席审计官的判断，可能对组织产生不利影响的情况，包括处理违章、违法、差错、低效率、浪费、无效、利益冲突和控制系统的薄弱环节。注意：首席审计官在向董事会汇报重大审计事项前，应与高级管理层讨论。 D、报告控制框架的有效性；（实操点） 有效性：a评价的目标；预期的控制目标包括财务和运营信息完整可靠、运营工作效率高、资产得到保护、机构遵守了相关的法律、规定和合同； b评价的标准；建议组织采用行业标准、专业组织标准、协会标准、法律和政府标准；权威性解释的管理标准。 c评价的程序：制定审计计划时，应将控制过程列入检查和评价范围，开展审计工作，收集充分证据，总体评价组织内部各控制系统和所有的活动。 在总体评价之后，审计师应考虑是否发现了漏洞或薄弱环节，发现之后是否进行了改进，以及是否可能存在组织无法接受的普遍风险。 ⑥促进文化建设（立论点--实操中最难落地最空的一块，但似乎又及其重要） 治理过程是否有效在很大程度上取决于企业的文化，良好的企业文化对完善治理有着积极的效果。 A、评估董事会的道德氛围 a董事会是否倡导并建立道德文化；b道德文化是否有清晰的道德规范并符合实际；c董事会执行道德文化情况及效果如何；d是否定期对董事会的道德氛围进行检查和评估。 B、评估组织的道德氛围 a有清晰易懂的道德规范及相关的说明、政策及其他道德理想的表述；b有加强道德文化的具体措施，经常宣传鼓励良好的道德文化；c有保护检举人的举报违反道德规范、政策和其他不当行为嫌疑的制度；d有要求雇员、供应商和顾客定期声明遵守组织道德规范的制度；e有学习机会，使员工都能成为良好道德文化的倡导者；f定期对雇员、供应商和顾客进行调查，以确定组织的道德氛围状况；g把背景调查和诚信测试作为招聘员工的一个内容；h鼓励每名员工为组织的道德氛围做出贡献，从而创造积极的人事管理实务。 C、培养良好的企业文化来防范舞弊 内部审计机构的作用是通过评估相关控制的充分性和有效性来协助防止舞弊。 内部审计师可以利用自身优势，在倡导良好的道德文化方面发挥更大的作用。

内部审计如何在公司治理中发挥作用：一、开展多层次的经济责任审计，评价并改善公司治理程序公司的治理程序是公司管理者所遵循的旨在对管理层执行的风险和控制过程加以监督的程序。内部审计应对治理程序的合法性、完整性、有效性做出评价，揭示公司治理程序中缺失或相对薄弱的环节，促进管理层改善公司的治理程序，帮助公司规避各种风险。二、开展经常性的风险管理审计，评价并改善公司风险管理风险管理即识别、确定和度量风险，制定、选择和实施风险处理方案的过程，它包括了风险识别、风险评价、风险应对、实施决策和检查五方面的内容。风险管理是实现公司良好治理的一种手段和途径，即通过妥善处理公司面临的各种风险，取得尽可能大的收益。从这个角度，也可以说风险管理是公司治理的目标，这与内部审计“增加组织价值”的目标是一致的。三、广泛开展内部控制独立审计评价，夯实公司治理基础与内部审计与公司治理的关系一样，内部审计既是内部控制的重要组成部分，同时又负有评价和改进内部控制的职责。《内部审计准则》明确：“内部审计的责任是对内部控制设计和运行的有效性进行审查和评价……促进组织改善内部控制及风险管理。”内部审计的相对独立性特征，决定了它是内部控制体系中一个比较特殊的组成部分，是对内部控制体系中其他控制的“再控制”。四、开展多样化的经济效益审计，关注公司治理效果公司治理的目标是经济效益最大化，关注公司治理效果是内部审计的法定职责。所谓“三性”审计，合规性审计的对象是公司经营管理的过程;真实性审计的对象既指向公司经营管理的过程，也指向公司经营管理的效果;效益性审计的对象则是公司经营管理的结果。五、提升审计人员的履职能力，为公司治理提供高效服务内部审计已经成为公司治理不可或缺的重要组成部分，决策层对内部审计的要求和期望值也越来越高;另一方面，审计对象越来越多样化和复杂化。因此，如何建设一支能打硬仗、能打胜仗的内部审计队伍，成为当务之急。内部审计是一项团队性极强的工作，审计项目组全体成员的有效分力凝聚成符合审计目标的最大合力，才能够做好审计项目。

银行风险管理和内部审计之间的关系

风险管理和内部审计是现代银行必须注意的两大问题，你知道什么是风险管理和内部审计吗?下面是我为大家带来的关于银行风险管理和内部审计的知识。欢迎阅读。

风险是指发生对目标的实现可能产生影响的事件的不确定性。风险的衡量标准是后果与可能性。风险管理是指对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理主要包括风险识别、风险评估、风险应对三个阶段。可见，风险管理是现代企业管理的一项主要内容，为了实现企业的工作目标，企业管理层应当确保企业中存在良好的银行风险管理(风控网)过程并使其发挥作用。

中国内审协会对内部审计的定义是：“内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现”，而“风险管理是组织内部控制的基本组成部分，内部审计人员对银行风险管理的审查和评价是内部控制审计的基本内容之一”，也就是说风险管理是内部审计的重要内容。

国际注册内审师协会对内部审计的描述是：“内部审计是一种独立、客观的保证工作与咨询活动，它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价，提高它们的效率，从而帮助实现机构目标。”并且指出“内部审计应该就管理层的风险管理过程的充分性和有效性进行检查、评估、报告，并提出改进意见”。可见，国际先进内审理念已明确将银行风险管理作为内部审计的重要内容，现代内部审计的范围已从传统的财务审计扩大到风险管理和公司治理层次上，有效的风险管理机制和健全的公司治理结构已成为现代内部审计关注的重点。

在现代内部审计工作中，内部审计与风险管理有了明确的结合点——风险管理审计。风险管理审计是在帐项基础审计和制度基础审计基础上发展起来的一种审计模式，是指审计人员在对被审单位的内部控制充分了解和评价的基础上，运用一定的审计手段，分析、判断被审单位的'风险所在及其风险程度，针对不同风险因素状况、程度采取相应的审计策略，加强对高风险点的实质性测试，将内部审计的剩余风险降低到可接受水平。2005年5月1日中国内审协会颁布了“内部审计具体准则第16号——风险管理审计”，银行风险管理审计作为先进的审计理念和审计内容正式步入我国内审领域。

因此，作为现代企业管理的重要内容，内部审计与风险管理的联系日趋紧密。内部审计本身就是企业管理的一种手段和方式，是内部管理的延伸;风险管理是企业管理的重要内容，同时也是现代内部审计的重要内容之一，内部审计负有识别和评估风险的责任。风险管理作为管理层一项关键责任，企业管理层对其负有不可推卸的责任;内部审计师则有职责定期评价并协助其他部门进行风险管理，在改善管理层的银行风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议，帮助识别、评价和实施风险管理方法和控制。内部审计和风险管理在企业中的目标是一致的，都是为了实现企业的组织目标。

在银行风险管理审计中，风险管理成为组织中的关键流程，分析、确认、揭示关键性的风险，成为内部审计的主要职责。

(一)内部审计将风险管理纳入审计范畴，有助于实现企业全面工作和总体目标的实现。

现代企业面临的经营环境日趋复杂，风险日益增大，减少面临的风险是企业实现价值最大化目标的关键。内部审计采取系统化、规范化的方法促进建立风险管理过程，通过内控制度的评价，对公司经营活动进行风险识别和评价，改进银行风险管理与控制体系，提请管理层关注风险，从而完善企业管理，转化负面风险，提升企业竞争能力和应变能力，最终实现企业目标。

对企业而言，对风险识别、防范和控制需要从全局考虑，而企业本身是多个部门的集合，各业务部门很难做到这一点。内部审计在企业中具有相对独立的地位，决定其能站在全局的高度相对超脱地获得企业内部控制、经营管理活动及银行风险管理等方面的信息，向管理层提供创造性思维，提出科学合理的建议，避免风险带来的损失。

所以无论是从全局工作还是实现总体目标的角度来看，内部审计都有职责融入风险管理。内部审计将风险管理纳入审计范畴，对实现企业全面工作和总体目标将发挥及大的作用。

(二)内部审计的相对独立和与企业一体性的独特地位，决定了其对企业风险的揭示更准确更有效。

从企业内部看，现代企业建立了各级风险管理组织层次，包括风险控制委员会、内部审计部门、专职风险监管部门。但风险监管部门往往做为一个职能部门隶属于各级管理层，不具有独立性，其意见有时会屈服于管理当局的压力，这使得风险管理部门的作用受到限制。在现代企业中，内部审计部门独立于管理部门，在现代企业公司治理构架中，内部审计往往隶属于董事会或审计委员会，直接向董事会负责，其风险评估的意见可以直接报送给董事会，提出的意见与建议更具权威性。

从企业外部看，外部审计从独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核，经常能提供一些有用的信息影响到银行风险管理。但他们更多地围绕企业会计报表的合法、公允、一贯性开展工作，对企业管理环境和运作过程不十分熟悉，决定其提供的风险管理服务不能做到贴近内部管理，不能对银行风险管理的有效性负责。而内部审计部门对企业面临的风险更了解，在风险管理方面拥有外部审计师无可比拟的优势。他们以风险发生可能性大小为依据，深入经营管理过程和行为，在业务经营、财务管理、费用控制等各方面查找并防范风险，通过内部视角，敏锐观察经营过程中不断变化的风险因素，快速传递管理中存在的缺陷或失败，促使董事会和高级管理层做出快速反应，及时采取措施，防范和纠正不当行为。

(三)风险因素始终贯穿于内部审计的整个审计程序，使内部审计成为风险控制程序的重要补充。

内部审计人员应用现代风险导向审计模式，从整体上把握审计风险因素，合理整合审计资源，警惕可能影响目标、运营和资源的重大风险，最大限度地减少审计风险。在审计计划、审计实施、审计报告阶段，将风险作为重要考虑因素，在整个审计过程贯穿对风险的关注，充分考虑风险管理的充分性和有效性。具体讲，在审计计划阶段，内部审计应该考虑企业活动存在的风险，在评估风险优先次序的基础上安排审计工作，按照风险大小分配审计资源;在审计实施阶段中，审计通过检查、评价风险管理过程的充分性和有效性，发现风险控制的漏洞和薄弱环节;在审计报告阶段，对风险管理状况进行评价，对银行风险管理中存在的漏洞和不足提出改进建议，协助确定、评价并实施针对风险管理的方法和控制措施。

内部审计可以从风险识别、风险评估、风险应对三个阶段参与银行风险管理，通过审查和评价企业风险识别、风险评估、风险应对的充分性、适当性、有效性，来识别、报告潜在重大风险，提出应对措施，同时通过落实审计建议督促企业采取有效的风险控制措施。

(一)审查和评价企业风险识别的充分性和适当性。

风险识别是管理层的职责，主要是根据企业的组织目标、战略规划等识别企业所面临的各类内、外部风险。是对企业所面临的、以及潜在的各类内、外部风险加以判断、归类和鉴定风险性质的过程，实质上就是对风险进行定性研究。

内部审计人员通过实施必要的审计程序，对企业风险识别过程进行审查与评价，重点关注企业面临的内、外部风险是否已得到充分、适当的确认。外部风险是指外部环境中对组织目标的实现产生影响的不确定性，其主要来源于国家法律法规及政策的变化、经济环境的变化、科技的快速发展、行业竞争、资源及市场变化、自然灾害及意外损失等。内部风险是指内部环境中对组织目标的实现产生影响的不确定性，其主要来源于组织治理结构的缺陷、组织经营活动的特点、组织资产的性质以及资产管理的局限性、组织信息系统的故障或中断、组织人员的道德品质、业务素质未达到要求等。内部审计部门要关注企业已识别风险的完整性，即企业所面临的主要风险是否均已被识别出来，并找出未被识别的主要风险。这就需要内部审计人员也要对企业的风险进行有效识别，从而审查和评价企业对风险识别的充分性和适当性。内部审计熟悉公司的经营管理过程，以风险敏感性分析为起点开展工作，有效识别风险，从潜在的事件及其产生的原因和后果来检查风险，收集、整理可能的风险，并充分征求各方意见以形成风险列表。内部审计通常要关注的主要风险有：财务和经营信息不足而导致决策错误;资产流失，资源浪费和无效使用;顾客不满意，企业信誉受损等。

(二)审查和评价企业风险评估的适当性和有效性。

风险评估是对已识别的风险，评估其发生的可能性及影响程度。风险评估主要应用各种管理科学技术，采用定性与定量相结合的方式，找出主要的风险源，并评价风险的可能影响，最终定量估计风险大小。风险评估的目的是确定每个风险要素的影响大小，一般是对已经识别出来的风险进行量化估计，从风险发生的可能性和影响两方面对风险进行评估，通过公式：风险值=风险概率×风险影响，计算出风险值。

内部审计部门在审查和评价企业风险评估时要重点关注风险发生的可能性及风险对组织目标的实现产生影响的严重程度。为了更好地审查和评估企业的风险评估，内部审计人员应当充分了解和掌握风险评估的方法，风险评估可以采用定性或定量的方法进行：定性方法，是指运用定性术语评估并描述风险发生的可能性及其影响程度;定量方法，是指运用数量方法评估并描述风险发生的可能性及其影响程度。内部审计部门和内部审计师要对已有的风险的评估结果进行再检验，以确定其是否恰当，对不恰当的评估予以更正。风险分析中，审计师不仅要关注风险的数量方面，还要关注风险的属性方面或其承载价值的后果。同时，内部审计人员应当对管理层所采用的风险评估方法进行审查，以评价风险评估方法的适当性和有效性，审查时重点考虑以下因素：已识别的风险的特征、相关历史数据的充分性与可靠性、管理层进行风险评估的技术能力、成本效益的考核与衡量及其他因素。内部审计人员在评价风险评估方法的适当性和有效性时，应当遵循以下原则：定性方法的采用需要充分考虑相关部门或人员的意见，以提高评估结果的客观性;在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法;定量方法一般情况下会比定性方法提供更为客观的评估结果。

(三)审查和评估风险应对措施的适当性和有效性。

风险应对是采取应对措施，将风险控制在组织可接受的范围内。完成了风险评估后，确定存在的风险以及它们发生的可能性，排列出风险的优先级，就可以根据风险性质和承受能力制定相应的防范措施。根据风险评估结果作出的风险应对措施主要包括以下几个方面：一是回避，是指采取措施避免进行可产生风险的活动;二是接受，是指由于风险已在组织可接受的范围内，因而可以不采取任何措施;三是降低，是指采取适当措施将风险降低到组织可接受的范围内;四是分担，是指采取措施将风险转移给其他组织或保险机构。

内部审计人员在评价风险应对措施的适当性和有效性时，应当考虑以下因素：一是采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;二是采取的风险应对措施是否适合本组织的经营、管理特点;三是成本效益的考核与衡量。内部审计人员对有关部门针对风险所采取的防范措施进行审查，对于风险缺乏充分的控制措施的情况，内部审计部门和内部审计人员应提出改进措施和建议，协助完善风险反应方案，以强化企业的风险防范管理，降低风险损失。

(四)充分利用高科技手段对风险进行持续、动态的监控。

企业风险并非一成不变，随着时间的推移，风险有可能会增大或者减小。因此，需要时刻监控风险的发展与变化情况，并确定随着某些因素的出现或消失而带来的新的风险。风险监控包括两个层面的工作：其一是跟踪已识别风险的发展变化情况，关注风险产生的条件和导致的后果变化，衡量风险减缓计划需求。其二是根据风险的变化情况及时调整风险应对措施，并对已发生的风险及其遗留风险和新增风险及时识别、分析，并采取适当的应对措施。对于已发生过和已解决的风险也应及时从风险监控列表调整出去。随着现代化科技技术在内部审计部门的广泛应用，非现场审计正在成为审计工作的重要手段，特别是商业银行电子化、网络化发展迅速，数据集中程度较高，基本形成了以计算机网络为中心的业务处理系统，在业务处理系统和银行风险管理信息系统中设置审计接口，建立各项业务数据资料库，使内部审计部门适时开展动态的日常非现场监测成为可能。审计人员可以通过数据接口适时对各业务开展动态的非现场审计监测，获得审计线索;同时，通过利用先进的计算机工具和软件程序，可以扩大抽样范围、提高分析速度和评估的准确率，从而极大地提高审计监测履盖面和监测效率。