在社会主义市场经济条件下，内部审计因其范围、内容、职能的不断发展而逐步扩大，内部审计面临的情况越来越复杂，随之遇到的风险也越来越大。目前，内部审计具有双重任务：一是要监督单位、部门的经营状况，使其合乎法规；二是要对单位、部门的领导负责，使其经营管理的状况得到进一步的改善、经济效益得到进一步的提高，合理配置各项资源。但是内部审计也存在着风险，如何有效规避内部审计风险，保证审计质量是目前单位内部审计急需解决的问题。

内部审计风险存在主要是由于客观的存在以及主观的意识造成的，主要特点包括不可避免性、偶然性、可以控制性、持久性等，具体的来说主要包括固有风险、控制风险和检查风险，其中审计风险=固有风险×控制风险×检查风险。而对这些风险管理的过程就是要对这些风险进行风险识别、风险评估以及风险应对。风险识别的主要方法有流程图法、鱼刺图法、故障树分析法、风险专家列举法；风险评估的主要方法有层次分析法、蒙特卡洛法、模糊综合评价法等[1]。层次分析法（简称AHP）是美国运筹学家匹茨堡大学教授萨蒂于20世纪70年代初，在为美国国防部研究根据各个工业部门对国家福利的贡献大小而进行电力分配课题时，应用网络系统理论和多目标综合评价方法，提出的一种层次权重决策分析方法。

如今，AHP因其简单实用的决策方法已经广泛的运用于各个行业，如工程项目风险、多目标的综合评价等。层次分析法就是主要用于风险评估的过程中。对于医疗行业，主要表现特定的审计内容有医疗收费监控、医疗设备监控、药品物价监控，还有普遍的财务审计、基建审计、效益审计等。下面我们就以医疗设备采购监控为例，利用AHP详细分析内部审计所面临的可能遇到的风险因素。分析可能遇到的风险因素，就必须要了解医院采购医疗设备的主要特点。医院采购的医疗设备主要有一下几个特点：1、医疗设备品质逐步缩小；伴随着日益革新的技术，国内医疗设备与国外医疗设备的生产制造商的技术差距日渐缩小。2、医疗设备价值越来越高；对这些设备的采购不仅要看其本身具有多少价值，重要的还要看这些设备在日后能够产生多大的经济效应。3、采购针对性越来越强；设备是否先进性决定了临床学科在日后的发展空间，所以设备越是分工精细，功能越强大。

按照风险管理审计准则的相关规定，风险管理涉及风险识别、风险评估、风险应对三个环节。首先针对上述主要的几个特点，对医疗设备采购中内部审计面临的风险进行识别：综合实际医院采购的情况分析，主要识别出有下面几大类的风险：采购计划风险、效益风险、客观风险。根据以上风险因素，形成三级因素层，建立层次分析的基本模型。如图1。图1 层次分析基本模型识别出了医疗设备可能遇到的风险因素之后，就要对医疗设备采购进行风险因素分析。首先根据采购过程中的实际情况，采取头脑风暴法以及专家打分法对这些风险因素进行相对重要性评分。根据评判规则进行两两因素比较。构建出相关的风险评判矩阵。A—B层次分析见表1AB1B2B3B111/31/4B2311/3B3431表1 A—B 层次分析采用求根法来计算各判断矩阵的特征值、特征向量以及对判断矩阵进行一致性检验指标。详细的计算过程如下：-W1 = 3 1×3×4 =2.289 ; -W2 =1; -W3 =0.436W1=2.289/(20289 + 1 + 0.436) =0.614; W2=0.268;W3=0.117An =éëêêùûúú1 3 41 3 1 1 41 4 1 3 1éë êêùû úú00..261648 0.117 = éë êêù û úú10..888264 0.36λmax = 31×.08.86614 + 3×0.08.22468 + 3×00.3.1617 =3.075CI = λmax -NN -1 = 3.037-51-3 =0.0375<0.1;RI 通过查表2 平均随机一致性指标可知，RI=0.58阶数RI30.5840.8951.1261.2671.3681.4191.46101.49111.52121.54131.56141.58表2 平均随机一致性指标CR=CI/RI=0.065<0.1，符合要求。我们可以根据以上客观的数据，来降低风险对内部审计所产生的影响甚至风险规避：本文只是针对A—B类风险源进行判断，B—C类风险源按照此种方法以此类推，计算出每个风险源的权重w值，w值越大，引起的风险后果越大，越应该引起我们平时在内部审计工作中的重视。针对B 类风险源，我们可以知道效益风险因素权值最重，其次采购计划因素，再次才是客观因素。所以在医疗设备采购监控的内部审计中，我们应该充分重视设备的效益因素，包括社会效益以及经济效益。本文只是以医疗设备采购为例子，阐述了利用层次分析法来分析医疗设备采购内部审计的风险管理。但是不同的事例所遇到的风险是不同的，所以还需具体问题具体分析，利用层次分析法来分析内部审计的风险其主要的优点是简单明了，能使主观的东西量化，缺点是它也无法完全避免主观化，因为前期的初始量化数据还都是要靠专家们的主观印象打出来的分数，也不能为决策者事后提出更加优化的方案。如何能够更加客观的用数据反映内部审计风险，使得更好的规避这些风险，使内部审计的结果更加精准，是今后需要研究的方向。目前，还有许多方法可以用于研究风险管理过程，我国许多医院的内部审计的风险管理体系还没有形成，也没有得到相关领导的足够重视。内部审计风险管理应该是一种全面的风险管理，只有这样，才能达到内部审计的目的，达到资源配置的最大化。（作者单位：苏州大学附属第一医院）