崔　行　刘亚军

摘要:本文阐释了风险导向内部审计的概念；分析其产生的现实背景以及与传统的内部审计相比较所具备的基本特点；进一步比较了传统内部审计和传统内部控制、风险导向内部审计与企业风险管理框架(ERM)的联系；指出风险导向内部审计理念对我国内部审计实践的现实启示。

关键词：风险导向内部审计 内部控制 风险管理 公司治理

1 风险导向内部审计涵义阐述

风险导向内部审计即是以对整个组织的风险进行评估与改善为最终目的的一种审计理念。国际内部审计协会于2001年在其发布的《内部审计实务标准》中对内部审计的定义，就是风险导向内部审计的体现。根据该定义，推行风险导向内部审计就是要求内部审计以内部控制作为生存与发展的基础，以公司治理作为参与风险管理的前提条件，以对组织风险的评估与改善作为基本目标。

内部审计的本质是确保受托责任履行的管理控制机制，先后经历了财务导向内部审计、业务导向内部审计、管理导向内部审计几个重要阶段。而从20世纪90年代末开始，内部审计进入了风险导向内部审计阶段。风险导向内部审计理论认为风险是公司活动的驱动力，内部审计应把关注的核心转向风险，注重现在和未来，而不再拘泥于过去的细节。由于风险是面向未来的，是直接与目标及战略相关联的，因此以风险为核心与出发点的内部审计，能将事后的反馈延伸到事前及事中，从而实现更高效率的控制。

2 风险导向内部审计与内部控制

内部审计和内部控制的密切关系由来已久。在公司治理中，内部审计对内部 控制的检查和评价显得相当重要。“反对虚假财务报告委员会”所属的发起机构委员会（简称COSO）强调，之所以要设置内部控制，就是促使企业在迈向获利目标的路上，达成管理理念，并把路上的意外惊吓减到最少。巴塞尔银行监管委员会（Basle Committee on Banking Supervision）在对20世纪90年代以来的系列银行破产案例作了深入调查之后，得出结论：著名商业银行失败事件的原因，除了内部控制失效外，很难再找到其他因素。所以，要更好地实现内部控制，就要找到一种有效的审计方法，使内部控制更具有动态性和灵活性，更关注环境变化和风险的影响。

2.1 传统内部审计与内部控制 传统内部审计对内部控制的测试所遵循的逻辑顺序是“控制→风险→评价控制目的是否实现”，即直接测试内部控制，考虑内部控制是否充分有效，而风险的大小仅用于表明控制的薄弱与健全环节，从而实现防弊兴利的目标。传统内部审计首先着眼于实际的内部控制，其次评估其风险，考虑控制目标是否实现，然后再针对控制薄弱环节提出加强控制的建议，并在后续的审计中考察问题是否得到纠正，属于一种事后的反馈机制。这种模式使内部审计被埋葬于反映过去细节的怪圈之中，为了达到防弊与兴利的审计目标，只有不断地加强、补充、完善控制，导致控制层层叠加。依据成本——效益原则，控制环节越多，控制措施越复杂，相应的控制成本也就越高。同时，若是在内部控制过程中存在管理人员的管理越权及串通舞弊，也难以归咎于直接责任人。除了以上的缺陷，传统内部审计还有一个比较致命的弱点。内部控制一般是针对经常而重复发生的业务设置的，而且一旦设置就具有相对的稳定性，因此如果出现不经常发生的或未预计到的经济业务，从比较大的范围来说，就是广义上的风险，原有的控制就可能不适用。根据传统内部审计对内部控制的测试所遵循的逻辑顺序，内部控制的变化不能及时向内部审计反馈，从而造成内部审计提供的信息存在时滞，失去对内部控制的作用。

2.2 风险导向内部审计与现代内部控制 20世纪末，现代公司治理中的管理控制系统有了新的发展，要求管理人员把控制系统建立在前馈而不是简单的反馈基础上。公司的内部控制也逐渐由强调事后的反馈控制变为更贴合内部控制目标的前馈以及同期控制，由整体架构阶段发展到包含更大范围而目的性却更为明确的现代内部控制（又称企业风险管理框架ERM），更关注环境变化的影响，更体现了系统的动态性和灵活性。首先，ERM在目标方面增加了战略目标，将对企业的风险关注重点引向了重大的、根本性的战略问题；其次，在内部控制五要素（内控环境、风险评估、内控活动、信息与沟通、监督）的基础上增加了目标设定、事件识别和风险评估三个要素，与原来的风险评估要素一起构成了一个完整的风险管理的基本过程；最后，ERM强调将企业风险管理覆盖所有层次，包括业务单元、子公司、分支机构和公司的整体层次，而业务单元、子公司、分支机构和公司的整体层次正是公司治理和内部控制涉及的全部领域。可见，它关注包括公司治理领域和内部控制环节的风险在内的一切风险。因此，内部审计在现代内部控制中发挥的作用也有了相应的发展和变化。①内部审计工作的重点应放在重要的风险上，审查贯穿组织范围的风险管理；②为风险管理提供确证服务；③积极支持并参与风险管理程序；④促进风险识别与评估，在内部控制领域教育所有的人员；⑤帮助向董事会、审计委员会等提供风险报告。

3 风险导向内部审计与内部控制结合的优势

风险导向内部审计对扩大范围后的现代内部控制发挥了确证与咨询的功能。确证职能是评价职能的延续，但更强调提供增值服务。风险导向内部审计以企业风险为出发点规划审计战略，导致的是符合管理层需要的、紧密结合目标和风险的适当控制。咨询职能则充分体现内部审计的能动性及增值目标，并将事后的反馈扩展到内部控制建立前以及实施时的协助与促进，帮助管理层对现代内部控制进行持续改进与完善。现代内部控制的功能是在公司管理活动各个方面都建立风险管理机制，根据已经制定的公司目标识别、控制以及管理风险，为公司目标的实现提供合理保证；风险导向内部审计的功能是以风险为出发点，通过确证和咨询活动为内部控制提供能动的反馈，将反馈控制向事中实时反应以及事前前馈延伸。风险导向内部审计和现代内部控制两个要素以风险作为共同的语言，相互协同作用，其目标都在于增加企业价值，其功能实现了“1+1＞2”的整体大于部分和的效应。

4 风险导向内部审计对我国内部审计发展启示

4.1 努力改善内部审计的环境，兼顾内部审计的独立性和客观性 独立性通常被认为是内部审计最为重要的属性，但是对其的过于强调会影响内部审计人员与企业管理层之间的友好沟通，所以要在强调内部审计独立的同时兼顾其客观性。

4.2 强化对内部审计人员的职业素质训练 风险导向内部审计的审计范围不断扩展，审计人员关注的范围因此不断延伸，对专业水平和职业道德的要求也在不断提升。从长远看，内部审计职业化、业务社会化是发展趋势，所以现阶段企业应加强对内审人员的培训使其具有国际水准的执业水平。

4.3 必须加强企业的公司治理结构 如果公司治理存在缺陷，公司经营管理层就可能损伤内部审计的实质上的独立性，影响内部审计人员所出具的报告的真实性；也可能造成内控制度中监督和控制这两个环节失效。所以，合理科学的公司治理结构对于实现真正有效的内部审计至关重要。

5 结论

风险导向内部审计是内部审计领域的最新发展，我国企业内部审计起步较晚，与西方现代内部审计相比存在着不小的差距，但随着我国市场经济体制的逐步建立和世界经济的一体化，我国企业与西方企业面临着同样经营环境和风险。内部审计作为保证企业有效管理的重要环节，必将面临严峻的挑战。我们的理论界、实务界和政府应该行动起来，积极探讨风险导向内部审计的基本原理、方法及适合我国企业实情的操作实务，以提高企业抗风险能力。

参考文献：

[1]刘实.企业内部审计论—基于管理学视角的理论思考.中国时代经济出版2007年.

[2]石贵泉，王凡杯.现代内部审计：理论与实务.山东人民出版.2006年6月.

[3]IIA.内部审计实务标准2001年修订.中国时代经济出版社.2006年5月.

[4]郭咸刚.西方管理学说史.中国经济出版社.2006年.

[5]李铃，陈任武.风险导向内部审计在现代企业中的作用分析——兼论风险导向内部审计的特点.财会通讯.学术版2006年12月版.