□文/郭 静

推行风险导向审计促进内部审计转型

□文/郭 静

随着社会经济的不断发展，企业经营风险日趋复杂，传统的内部审计模式已不适应当前经济发展的需要，以风险为导向的现代内部审计模式，成为内部审计转型的必然选择。

内部审计；风险管理；风险导向内部审计

一、风险导向内部审计的涵义

所谓风险导向内部审计是指内部审计人员在审计过程中自始至终都以风险分析评估为导向，根据量化的分析水平排定审计项目优先次序，依据风险确定审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性意见和建议，协助企业管理风险，实现企业价值增值独立客观的鉴证和咨询活动。

2001年国际内部审计协会（IIA）对“风险”定义为可能对目标的实现产生影响的事件发生的不确定性，并指出风险要由它造成的后果与可能性来衡量。2007年召开的国际标准化组织技术管理局风险管理工作组第四次工作组会议，采纳了我国代表提出的“风险”定义：不确定性对目标的影响。可见，风险既关注积极面，也关注消极面。风险导向内部审计所关注的企业风险应该是广义的风险，既包括正面的机会，也包括负面风险即狭义风险。

二、风险导向内部审计的基本特点

（一）内部控制是风险导向内部审计的基础。对于内部审计，内部控制极端重要。首先，从理论上讲，内部审计是内部控制的一个重要环节，是对其他内部控制环节的再控制，没有内部控制就没有内部审计；其次，自从走上独立的职业化道路以后，内部审计把内部控制作为其基本业务这一事实始终未变。《内部审计实务标准框架》虽然将内部审计的业务范围拓展到风险管理和治理程序，但是依然将控制的评估和改善作为其三大内容之一；再次，内部控制还是内部审计其他两个业务活动的基础。内部审计工作要得到董事会和审计委员会的认可与采信，最重要的是因为内部审计师作为内部控制方面的专家，而不是风险管理方面的专家。内部审计要对公司的风险管理加以评估与改善，也首先得从内部控制领域中的风险做起。可见，内部控制是内部审计的安身立命之本，是风险导向内部审计进入公司治理、评估改善组织风险的基础。

（二）对风险的评估与改善是风险导向内部审计的首要目标。不论内部审计对内部控制进行评估与改善，还是对公司治理程序进行评估与改善，都应该是以风险评估与改善作为首要目标。如果说公司治理是企业董事会对风险管理的战略反应、内部控制是企业对风险的战术反应，那么内部审计就是对组织全部风险的一般反应，其一切活动都要以风险作为出发点和落脚点。首先，内部审计充分利用在内部控制领域的专家地位，联系组织的目标评估与分析内部控制中的风险，直接报告给管理者，在需要时通过审计委员会报告给董事会；其次，内部审计帮助董事会在进行战略决策、重大人事的任免和重大的投资和财务计划的制定方面识别和评估风险，以确保组织重大决策的正确实施；最后，内部审计要利用自己对组织内部的全面了解和对风险的直观认识，为专业的风险管理部门提供咨询与保证活动，参与企业的整合风险管理。总之，风险导向内部审计不是在简单的内部控制领域消极地查错防弊，而必须以组织的整体风险评估作为自己的首要工作目的。

三、风险导向内部审计在现代企业中所起的作用

风险导向内部审计是在组织已有的风险管理和内部控制的基础上，对剩余风险进行评估，进而改善风险管理和内部控制，提升组织整体抗风险能力。风险导向内部审计在现代企业中所起到的功效有：

（一）参与风险管理。随着对风险管理的日益关注，探讨风险导向内部审计与企业风险管理框架之间的联系，就成为探讨风险导向内部审计无法回避的理论问题之一。风险管理首先要求全面识别风险，同时熟悉本单位的经营战略、工作程序、组织结构等。内部审计人员的独特地位与专业知识满足了以上要求。因此，以风险为导向的内部审计捕捉风险信息的能力比企业内部其他部门和外部审计都强，因而对于企业风险管理能够做出其独有的贡献。

具体实施时，风险导向内部审计首先确认企业目标或某项交易的目标，然后分析对这些目标产生影响的风险，确定审计风险水平和审计重点，提出风险防范和控制建议，最后通过后续审计，测定风险是否得到有效防范和控制。这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险，并将事后评价反馈延伸到事前和事中，使内部审计成为企业价值链中的必要环节。

（二）促进内部控制。从2004年COSO委员会颁布的ERM中我们可以清楚地看到，风险管理是对内控框架的包含与深化。在风险理念的作用下，企业内部控制已扩展为企业风险管理框架，内部控制与风险管理已趋于融合。因此可以说，对风险管理的促进作用是建立在企业的内部控制同时得到改善和促进的基础之上的，两者是互相促进的。

传统内部审计偏重于直接测试内部控制，提出增加控制点或增加控制的建议，而随着时间的推移，控制点越来越多，业务过程也将越来越繁琐和缓慢，因此，传统内部审计模式是在递减地增加企业价值。而风险导向内部审计以内部控制结构为内容，关注风险发生的可能性，使审计重点前移，利用风险标准选择审计项目，每一项审计及其目标都与企业目标紧密相关。风险导向内部审计改进了对内部控制的监控方式，抓住重点，同时简化内部控制流程，即保证了审计质量，也提高了审计效率。COSO在2004年对内部控制的重新定义，着重突出了对企业风险的高度关注，这与IIA以整个组织风险的评估与改善为中心任务的风险导向审计理念不谋而合。

（三）促进公司治理。治理的基本目标是在充分考虑利益相关者利益相对满足和大体均衡情况下，增加企业价值，从而使股东长远价值最大化。而风险导向内部审计的本质是确保受托责任有效履行的管理控制，它更注重与企业目标的直接关联。可见，公司治理与风险导向内部审计目标是一致的。根据《内部审计实务标准》2130—治理：内部审计活动应该评价并为改进机构的治理程序提出适当的建议。在目标方面增加了战略目标，将对企业的风险关注重点引向了重大的、根本性的战略问题。可见，风险管理关注包括公司治理和内部控制环节的风险在内的一切风险，而这所有风险的风险正是风险导向内部审计的对象。所以，内部审计部门应当为支持组织的风险管理提供独立的保证和咨询服务，帮助管理层将风险控制在可接受的范围之内，以顺利实现组织目标。

四、推进我国风险导向内部审计的几点建议

（一）转变内部审计理念，充分发挥内部审计“免疫系统”功能。内部审计作为企业实施内部控制和风险管理的重要手段，处在发挥“免疫系统”功能的“最前线”，相比于国家审计及社会审计更及时、更直接。因此，应当转变审计理念。强化内审预警功能，充分发挥内审的预防性作用。内部审计的着眼点应从微观审计向宏观审计转变，从单纯的财务收支审计向绩效审计转变，从监督型审计向监督与服务并举型审计转变，从事后审计向事前审计转变，从以查错纠弊为主向保健预防为目标的转变。通过这些转变及早预知和感知风险，切实担当好作为组织健康运行的“免疫系统”的角色。

（二）以风险为导向，兼顾内部审计的独立性和客观性。独立性和客观性是实施风险导向内部审计的必要条件之一。前者指内部审计机构的独立性，后者指内部审计人员的客观性。机构的独立性要求内部审计机构在报告结果时必须独立，在确定审计范围、实施审计程序、报告审计结果时不受干扰。个人的客观性要求内部审计人员必须持公正的态度，不偏不倚，避免利益冲突。在两权分离的企业中，应使内部审计组织直接受单位内部最高管理层（董事会）的领导，为内部审计机构实施审计程序提供权利上的保证，同时还要创造出与内部审计服务有关的良好环境（个人环境和总体环境）以保证内部审计人员评估、判断以及决策的质量。

（三）协调并统一内部审计相关规制。

从内部审计现状及发展趋势分析，我国关于内部审计方面的规制还不能满足实际需要，有必要在实践中积极借鉴国外先进经验，紧密结合内部审计机构的设置、内部审计人员的配备、内部审计程序与方法的建立、内部审计标准的制定以及内部审计质量的监督等问题，寻求各法律法规的协调与统一，以制定出较为健全有效的内部审计规范体系，以通过具体规制强化内部审计的地位和责任，确保内部审计工作的正常开展及其作用的充分发挥。

（四）改进内部审计业绩评价标准，完善内部审计人员管理制度。目前，对内部审计人员的考核，基本上是按照企业通用的考核管理人员的方法进行，没有体现内部审计工作的特殊性，内部审计人员没有得到与其工作努力及其成果相适应的奖惩和来自企业其他部门的广泛承认，这对内部审计人员工作的积极性带来极大的挫伤。因此，为了提高内部审计部门的凝聚力，提高其工作人员的积极性，企业必须制定内部审计业绩的评价标准。

[1]王学龙，郝斯佳.论风险导向型内部审计在风险管理中的作用[J].中国内部审计，2010.2.

[2]宋常.内部审计战略转型与发展框架的思考[J].中国内部审计，2010.4.

[3]蔡丽诗，刘更新.发挥“免疫系统”功能促进内部审计发展 [J].中国审计，2010.1.

F239

A

（作者单位：安徽财经大学会计学院）