北京工商大学商学院 庄飞鹏

一、国内外关于风险导向内部审计研究情况

风险导向内部审计始于20世纪90年，在20世初由于国际资本市场财务造假案件频出，使内部审计得到了前所未有的关注，2001年IIA重新修改的《内部审计实务标准》，将内部审计全面转向以风险为导向的审计模式。COSO于2004年颁布了《风险管理整合框架》，使风险导向内部审计在实践中的运作日趋成熟。在国内，自2003年后，中国内部审计师协会先后颁布了《内部审计基本准则》、《内部审计人员职业道德规范》，以及29个具体准则和2个实务公告，形成了比较完善的内部审计准则体系，我国的内部审计准则体系，充分借鉴国外的经验，将风险管理贯穿其中，体现了风险导向的思想。蔡春（1993）教授在国内最早进行审计结构框架研究的学者，他提出“环境—本质—假设—目标—规范与信息—控制—环境”的审计模式。郭群、吴惠吟（2002）提出风险导向审计应当与企业的发展战略、企业目标、风险管理相结合，认为风险导向内部审计对审计人员提出了更高的要求，认为风险导向内部审计是企业为了实现发展战略、目标而进行风险管理的手段，最终达到为企业增效的目的。严辉（2004）认为风险导向内部审计的理论框架应采用“本质—假设—目标—职业规范”的结构模式。李玲、陈任武（2006）提出风险导向内部审计应当以实现企业目标为出发点，关注那些对企业目标造成影响的风险，并对此进行风险评估，排序，确定高风险的领域，将其作为审计的重点，从而能够更有效、更直接地达到企业管理当局的需求，因此风险导向内部审计应当遵循“目标-风险-控制”的逻辑顺序，即以企业的目标出发，围绕着影响企业目标的风险，进行审计。郭群（2006）将内部审计分为三个阶段即计划阶段、实施阶段、终结阶段。黄海（2009）对内部审计框架结构的建立提出了由战略规划、业务流程、组织结构、风险评估系统和抽样技术模型五个子系统构成的审计框架。吴俊峰（2009）对风险导向内部审计工作流程从审计前工作、审计实施、后续审计三个阶段进行分析，认为审计前工作包括明确审计动因、确定业务关键目标及关健绩效指标；审计实施工作包括制定审计方案、实施审计测试、编制审计报告；后续审计工作包括确定后续审计项目，开展后续审计工作，出具后续审计报告。

二、基于风险导向的内部审计运作流程构建

综上所述，无论是理论界还是实务界，关于风险导向内部审计运作方面，在充分汲收企业风险管理的基础上基本形成了“目标－风险－控制－审计”由左至右的运作路线，但还没有形成权威且统一的实施运作框架。本文在综合前人的理论基础上，将风险导向内部审计的运作思路表述为：以企业目标为出发点，识别并评估影响实现企业目标的各项风险，围绕着风险，分析与评价企业针对这些风险所要采取的控制措施，通过对各项控措施的合理性与有效性的测试，确认控制措施是否有效地实现对这些风险的管理，并向相关人员报告及有针对性地提出改进建议。本文借鉴传统内部审计的实施程序，并结合风险导向内部审计的运作思路将风险导向内部审计的运作流程主要分为四个阶段:（l）内部审计准备阶段；（2）内部审计测试阶段；（3）内部审计报告与沟通阶段；（4）内部审计反馈与后续审计阶段。以图1来列示整个风险导向内部审计的运作流程。

（一）内部审计准备阶段 在风险导向内部审计模式下，审计现场测试前的风险识别与评估工作变得尤为重要，并成为风险导向内部审计的重心。在准备阶段首先应对企业的各项业务流程进行分析与梳理，在此基础上通过明确业务目标、识别业务风险、评估业务风险、确定关键控制点等四个步骤形成风险控制底稿，为制定审计计划提供依据，为实施审计现场测试指明了测试方向。

（1）从企业目标出发，明确各项业务目标。企业目标在企业内往往是通过各项业务共同努力来实现的，每项业务都完成特定的目标，最终通向企业目标。因此，企业目标落实到企业内部就转化成企业内部各项业务活动所要完成的目标。通常可以将企业内部各项业务活动的目标分为以下三类：一是经营性目标：这些目标与主体经营的有效性和效率有关，包括业绩和赢利目标和保护资源不受损失等；二是报告性目标：这些目标与报告的可靠性有关。它们包括内部和外部报告，涉及到财务和非财务信息；三是合规性目标：这些目标与符合相关法律和法规有关。

明确业务目标本身也是企业开展全面风险管理的前提，这个过程有赖于企业风险管理的实施情况，在风险管理做得较好的企业，可以通过与风险管理部门沟通与协调即可确定。在没有开展全面风险管理或者风险管理工作基础薄弱的企业内，内部审计人员可以通过在对企业内部各项业务流程分析与梳理的基础上，结合企业目标加以确定。

（2）识别风险。各项业务目标明确后，内部审计人员应识别对各项业务目标造成负面影响的各项因素即风险。识别风险是风险导向内部审计的重要环节。内部审计人员可以通过对企业外部因素与内部因素的分析，并结合各项业务目标予以判断和识别影响各项业务目标的风险包括经营性风险、报告性风险、合规性风险。

（3）评估风险。风险评估是风险导向内部审计的难点。风险水平评估通常可以通过风险发生的可能性与影响目标的重要性程度来确定，主要采取定量与定性的方法，如蒙特卡罗法、压力测试法、关键风险指标管理法、风险坐标法等。内部审计人员可以根据各个企业自身情况进行选择。风险水平评估为内部审计人员确定各项业务的关键控点与审计计划提供了依据。

（4）确定关键控制点。为了实现企业内每项业务所产生的结果最终有利于企业目标的实现，企业管理层都会采取一些必要控制措施。企业内每一项业务活动都由不同的环节构成，其中某一项或某几项环节控制得当将对整个业务活动的结果产生关键的影响，即称它为关键控制点。如果缺少了这些关键控制点，该业务就很难实现其业务目标。关键控制点是由控制环节与控制措施构成。内部审计人员应在风险评估后确定企业内各项业务的关键控制点。当企业对某项业务所采取的控制措施覆盖了该业务的所有关键控制点，才能认为针对该项业务的控制措施设计得合理、充分。

以上四个步骤是风险导向内部审计准备阶段的主要工作。在此过程中，都离不开对各项业务流程的分析与梳理以及内部审计人员的职业判断，内部审计人员通过对企业内部各业务流程的描述与所确定的关键控制点形成风险控制底稿。

（二）内部审计测试阶段 风险导向内部审计由于将审计工作的重心前移，在准备阶段完成了目标－风险－控制的分析。在测试阶段主要工作包括：

（1）测试内部控制设计的合理性、充分性。虽然在准备阶段可以基本判断出企业控制措施设计得是否有效，但仍需要在测试中得到进一步验证。在测试的现场，可能会发现准备阶段所没有考虑的情况或发现新的风险，也会可能出现测试结果证明该控制措施并非准备阶段所设想的那样能够有效地防范了风险，还有可能在测试时企业的业务已发生了变化等。

（2）测试内部控制是否得到有效地、一贯地执行。评价控制措施运行有效性，其前提中针对设计有效的控制措施，如果测试已经证明该控制措施在设计上就存在缺陷，那么即使该控制措施得到有效、一贯地执行，也不能认为其运行是有效。

（3）确定剩余风险。经过以上两个方面测试后，内部审计人员应判断出企业目前已采用控制措施后的剩余风险，即还有哪些风险没有得到控制。剩余风险是确定审计报告与审计沟通的重要依据，也是制定后续审计计划的主要参考。被审计单位对风险的控制和管理越充分、有效，剩余风险就越少；反之则剩余风险就越大。

（三）内部审计报告与沟通阶段 审计报告是内部审计师根据审计计划对被审计单位实施必要审计程序后，就被审计单位风险管理、控制及治理程序的适当性、合法性和有效性作出评价与提出建议，并就测试阶段所确定的剩余风险在与被审计单位充分沟通的基础上对被审计单位做出评价，并提出自已的建议；这一阶段是对审计准备阶段、测试阶段的工作进行的归纳与总结。此阶段重点要做好以下几个方面工作：

（1）审计复核：内部审计机构内部应建立分级复核制度，在审计机构人员较少的情况下，至少要做到一个人工作的内容应由另一个人来复核。审计复核重点应关注审计证据与审计结论之间的关系。

（2）审计沟通：事实上审计沟通贯穿整个审计过程。在形成审计正式结论及报告之前的审计沟通尤为重要，这一阶段应就审计发现（包括剩余风险）与有权力采取或改进措施的人员或部门主管进行沟通。沟通前应做好充分准备，就发现问题在充分听取对方意见的基础，提出自己的看法及建议。

（3）审计报告书写及发送：审计报告应当客观、完整、清晰、及时、具有建设性，并体现重要性原则，对于一些可以在发现现场直接改正的非实质性的缺陷，如审批单上遗漏非关键性的授权签字，可以通过审计现场沟通或形成报告前的沟通即可。内部审计报告应至少发送给有权对内部控制采取或改进措施的人员及其以上级别的管理层。针对不同的部门主管，出于保密原因，可仅就与该部门有关的报告部分内容截选形成非正式的报告予以发送。

（四）内部审计反馈与后续审计阶段 出具了审计报告并不完全意味着内部审计工作就此结束，此后还要跟踪管理层对审计发现问题的反馈。被审计单位对于审计反馈的情况有以下三种：

（1）被审计单位就审计报告中提到的所有重大的、实质性风险均采取的进一步的控制措施。对这种情况，内部审计机构应综合考虑报告中的审计发现、建议及所涉及的风险与被审计单位所采取的控制措施，分析其是合理、充分，并在下次制订审计计划时将其纳入应考虑的风险因素之中，作为下次审计的重要内容之一。

（2）被审计单位仅对审计报告中的部分重大的、实质性的风险采取进一步控制措施。对这种情况，如果没有被采购进一步控制措施的剩余风险属于重大的，内部审计机构应及时与被审计单位进行沟通，以明确没采取进一步措施的原因，必要时将其告知被审计上一级的单位。同时也应纳入下一次制定审计计划的考虑范围。如果问题性质十分严重，内部审计机构应就此与公司的最高决策层，如董事会进行汇报，以确认公司是否就审计报告中所提的问题知情或已采取了风险承担方式予以承担可能出现的风险。

（3）被审计单位对于审计报告没有采取任何行动。对这种情况，如果被审计单位对审计报告中的审计发现、建议及所涉及的风险没有采取任何反应，应及时与被审计单位的上一级管理者进行沟通，如果仍未收到任何反馈信息，内部审计机构应就此与公司的最高决策层，如董事会进行汇报，以确认公司是否就审计报告中所提的问题知情或已采取了风险承担方式予以承担可能出现的风险。

审计反馈是内部审计运作流程的一个重环节，如果公司对审计报告不做任何反馈，那么再好的内部审计模式都无济于事。因此，公司的最高决策层应在公司的管理制度中对内部审计报告做出反馈是被审计单位的职责予以规定，同时被审计单位应就内部审计人员在审计报告中所发现的问题及建议及时做出反馈。在确定后续审计时，内部审计机构可以根据审计过程中发现事项的性质和重要性，风险水平，决定是否单独就上次审计的情况进行单独的后续审计，或与其他项目审计时一并执行。

［1］王晓霞、孙坤、张宜霞：《论风险导向的内部审计理论与实务》，《审计研究》2004年第2期。

［2］李玲、陈任武：《风险导向内部审计在现代企业中的作用分析——兼论风险导向内部审计的特点》，《财会通讯》（学术版）2006年第12期。

［3］张红英、陈东等：《中国内部审准则阐释与应用》，立信会计出版2007年版。