经营成果、现金流量等财务因素。（

5）营运安全、员工健康、环境保护等安全环保因素。（6）

其他有关内部风险因素。对于属于外部风险的，应当同时关注下列因素：（

1）经济形势、产

业政策、融资环境、市场竞争、资源供给等经济因素。（

2）法律法规、监管要求等法律因素。

（

3）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。（4）技术进步、工

艺改进等科学技术因素。（

5）自然灾害、环境状况等自然环境因素。（6）其他有关外部风险

因素（乔奕，

2009；冯宽，2012）。 

　　（三）实施阶段

 

　　主要解决风险定性与定量判断。在风险导向内部审计的模式下，风险评估应当采用定性
与定量相结合的方式。定量评估应当统一制定各风险的度量单位和风险度量模型，确保评估
的假设前提、参数、数据来源和评估程序的合理性和准确性。因此，本文引入了

“审计风险评

级

”的设计概念。审计风险评级的设计思路是以控制为基础，实现控制缺陷定位准确、评价内

容完整、评价方法合理，为开展

“以风险为导向”的审计提供指导。因此审计风险评级应包括：

控制矩阵、评估矩阵、风险等级评估标准、审计风险评级实施方法和内部控制风险地图等五部
分组成的审计风险评级框架。

 

　　

1.按控制矩阵解决风险的定位问题。要根据各机构的业务特性对公司所有的控制进行了

梳理，按照其操作模式划分出具体的控制活动，并将控制活动中的每一个控制节点细化至
具体的控制措施，形成以控制为基础的控制矩阵，使公司的所有控制与控制矩阵之间建立
起一一对应的关系，保证了风险的位置是唯一确定的。当公司业务发生变化时，围绕该业务
所实施的控制必然随之产生变动，相应的风险也会随着控制的变动而转移。此时只需要将控
制矩阵按照控制的变化进行调整，时刻保证控制矩阵与控制之间的对应关系，就能够保证
风险的定位不会产生偏差。

 

　　

2.按风险评估标准解决单项风险的计量问题。不同原因所产生的内控风险，对公司造成

的影响也有所差异。为此引入风险评估标准，全面评估风险的影响，并综合风险发生的原因
对风险的等级进行评估，以解决风险评价完整性的问题。首先，将风险的影响分为财务影响
和非财务影响两大类：财务影响中包含

“已发生或潜在损失”和“财务数据失真”两项；非财

务影响包含

“声誉损失”、“监管风险”、“员工队伍/权利/生命/健康的伤害”、“信息泄露”、“对信

息系统的破坏或威胁

”和“对流程的影响范围”等六项，并根据影响的程度划分影响等级。其

次，根据风险发生的动因，将风险的产生原因分为

“制度设计”、“制度发布”、“制度执行”、

“人员”和“控制固有频率”等五项，并根据严重程度划分风险发生原因等级。在评估风险等
级时，先甄别所有的影响类别，按照每个影响因素的程度大小分别评价相应的影响程度等
级，取所有影响程度中的最高级别作为该审计发现问题或风险的影响程度等级；再分析发
生该风险的原因，按照其严重程度评价风险发生原因等级；分别得到影响程度和发生原因
的等级后，综合评估得出该审计发现问题或风险的风险等级。

 

　　

3.用风险等级评价模型解决风险汇总计量的问题。通过审计检查，可以得到具体风险的

等级，但风险所处的位置、风险等级各不相同，如何将各个明细控制点的风险等级汇总转换
成机构、专业条线的风险等级，也是内控审计评级的重要内容。

 

　　（

1）以重要性水平解决风险评价适当的问题。不同业务规模的机构，其风险承受能力

也有所差异。相同损失的风险对于业务规模较大机构的风险等级，较业务规模较小机构的风
险等级也有所不同。为保证风险衡量的适当性，对不同机构设置了差异性的重要性水平，通
过将风险的损失与重要性水平进行对比，得到适合该机构的风险等级。对于总部级别公司，
按照其上一年度内涵价值的

5%作为其最高级别重要性水平，分支机构的重要性水平按照其

上一年度保费规模占到上级机构保费规模的比例进行分配，所有下级机构的重要性水平相
加等于其上级机构重要性水平。按照总量控制、比例分摊的原则来确定具体机构的重要性水
平，一方面考虑了不同机构其风险承受能力不同，另一方面也考虑了机构不断发展的实际