高岩芳

我国企业内部审计起步较晚，与西方现代内部审计相比存在着不小的差距，但随着我国市场经济体制的建立和世界经济的一体化，我国企业与西方企业都面临着经营环境日趋复杂化以及风险的多样化。内部审计作为保证企业有效管理的重要环节，必将面临严峻的挑战。我们的理论界、实务界应该积极行动起来，探讨以风险为导向的内部审计的基本原理、方法及适合我国企业实情的操作实务，以提高企业抗风险能力。

一、以风险为导向的内部审计模式的意义

按照国际内部审计师协会（The Institute of Internal Auditors，简称IIA）的建议，2002年1月开始实施新的“内部审计实务标准”，该标准的第2010条规定：审计主管应制定“以风险导向为依据的审计计划，以决定审计活动的先后顺序，并与企业目标相一致。在整个审计项目的实施阶段面对审计风险应充分运用风险导向审计，采取分析性、应对性对策。”这一标准将内部审计工作引向风险导向内部审计。2003年IIA对标准进行了修订，新标准于2004年1月1日开始生效，新标准将内部审计定义为：内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营，通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。这一新定义对内部审计的对象、目标、职能进行了重新定位，明确了内部审计作为控制系统的组成部分，其天然使命是承担风险管理的角色，有效发挥风险控制的作用。中国内部审计协会于2005年颁布的《中国内部审计准则》，也强调内审部门在安排审计计划时，要综合考虑组织风险、管理需求和有效利用审计资源等基本因素，并要求在风险评估的基础上，考虑管理资源和审计资源的配置，明确了对风险导向型审计理念和方法的借鉴应用。2009年1月国际内部审计师协会理事会通过了国际内部审计实务框架（the International Professional Practices Framework，即IPPF），但关于内部审计的定义以及内部审计计划的制定等问题依然遵循了2002、2003版的标准。因此，内部审计借鉴应用风险导向审计，是遵循国际内部审计实务标准、中国内部审计准则以及顺应内部审计发展趋势的客观要求。

根据上述文件规范的要求，我们可以把风险导向内部审计界定为：是内部审计机构和内部审计人员，根据企业风险管理方针和政策，采用系统化、规范化的方法，测试组织风险管理系统、各业务循环及相关部门在风险识别、分析、评估、管理及处理等方面的活动内容，对组织的风险管理、控制及监督过进行评判、保证和预警，进而提高过程的效率，帮助组织实现目标。由此定义可以看出：风险导向内部审计模式是一种以影响企业经营目标实现的经营风险为依据确定审计项目，以企业进行的所有降低风险的活动为测试重点，评价风险降低的充分性和有效性，并提出恰当的降低风险的建议的方式、方法。这种审计模式通过综合分析被审计单位经营活动风险及其所处的宏观、微观环境和可能引发风险的内外部因素来确定审计的范围和重点，可以做到有的放矢、节约内审资源，是一种既能保证审计效果又能提高审计效率的全新思路。

二、以风险为导向的内部审计模式的特点

1.以风险为导向的内部审计以增值企业价值或改进企业运行效率为目标

以风险为导向的内部审计的目标与企业经营管理目标具有一致性，都旨在帮助管理当局改善公司经营管理，为增进企业价值增值服务。其具体目标可细化为对风险管理政策设计的适当性；执行的有效性；风险损失处理的合理性发表意见，该意见尽量避免集中在遵循要求上，而是实质地评估企业的风险偏好以及期望差距，提出缩短差距的具体措施和意见，以求把企业的风险控制在可接受的范围内，为实现企业增值和改进企业运行效率的终极目标服务。风险导向内部审计以风险分析为工作重心，依赖于对企业治理层、管理层、操作层提供差异分析结论以及风险管理策略选择建议，促使企业风险管理成为一个上下贯通、持续改进的企业增值机制之一，帮助企业治理层、管理层不断提升企业价值。

2.以风险为导向的内部审计关注广义上的风险

风险有狭义和广义两种不同的理解。狭义的风险观认为，风险是消极的，是不能为企业增加价值和做出贡献的，必须采取措施尽可能地减少风险。企业倾向于通过内部控制来增强企业内部的稳定和有序，而忽视了环境的细微变动，往往直到环境发生剧烈变动时才进行反应，这种风险观是无法适应快速变化的21世纪的。广义的风险观认为，风险既包括正面的风险，即机会，也包括负面风险，即狭义风险。如IIA将风险定义为：可能对目标的实现产生影响的事件发生的不确定性，并指出风险的衡量标准是后果与可能性。麦克宁（McNamee）认为机会与负面风险虽然代表着两种不同的结果，但是二者是相关联的：首先，机会和负面风险是广义风险这个连续变量的一部分，二者所产生的结果都是无法事先确定的；其次，机会和负面风险是随着时间而变化的。从短期来看，由于错误、忽略、拖延或者舞弊等的作用，风险的负面因素会产生较大影响。但随着时间的延长，风险的正面因素将逐渐累积并产生效应，机会的数量和价值将逐渐增大（严晖，2004）。风险导向内部审计所关注的风险就是广义的风险，如战略性风险、经营性风险和财务性风险等。

3.以风险为导向的内部审计的服务范围更趋广泛

以风险为导向的内部审计扩大了服务范围，不仅涉及经营活动及内部控制而且还关注风险管理、道德氛围等公司治理所关注的内容。内部审计师在组织中扮演的角色不再是独立的评估者，更是风险管理与公司治理的整合者，以风险为核心和出发点，提供更为相关的确证和咨询服务，从而促进企业价值最大化目标的实现。德国的内部审计是风险导向审计的典型代表。由于其内部的范围涵盖了企业生产经营的各个环节，为了保证有限的审计资源得以有效利用，内部审计是根据企业各领域发生风险的概率大小来确定审计对象、内容和时间。而且内审机构还要对审计项目的风险水平与审计投入产出进行分析，力求在确保控制企业主要风险的前提下，实现内部审计的经济效益性。同时，德国的内部审计执行的是一种集事前、事中、事后审计为一体的全过程审计。在审计前，内部审计师通过对各领域进行风险分析确定重点审计对象，然后对拟审计领域实施具体审计，找出存在问题的薄弱环节，根据审计结果提出改进意见，并将审计报告提交给董事长和被审部门。提交审计报告后，内部审计师还对被审部门执行审计意见的情况进行后续跟踪和调查，以确保审计建议得到落实。在审计手段方面，计算机技术得到了广泛的应用，许多企业根据自身需要，开发了不同的审计软件。如奔驰公司特别开发了一个软件系统，建立了与执行内部审计相关的资料库，以方便内部审计师制定新的审计计划。

4.风险导向内部审计实施过程中的关键环节是了解、完善和改进企业的风险模型

风险模型的作用是根据性质把风险分类，它为一大串看起来异质的风险制定了结构，这个结构可以使人们更容易地理解风险。每个风险都必须被放在“它能对战略产生怎样地影响”的环境中进行讨论，找到风险与企业战略和企业经营目标的关联。如果一个风险不能够与战略目标、经营目标、财务目标或价值观联系起来的话，就说明这个风险没有被恰当地定义，或者甚至与公司不相关。风险与战略的链接过程具有反复性，刚开始时人们会发现风险与多个目标相关，但经过深入分析后可能会排除一些较弱的相关性，以修改或增加、删除一些风险。然而，通过深入理解这些风险的特征和相互关系，人们将在每个风险的评估过程中更加突出与战略强相关的重点风险。

三、以风险为导向的内部审计实施的程序

由于风险管理包括三个阶段：风险识别阶段、风险评估阶段和风险应对阶段，因此以风险为导向的内部审计也是以关注风险管理的具体实施来开展审计工作。

1.内部审计对风险识别阶段的关注

风险识别的任务是识别出风险之所在和引起风险的主要因素，并对其后果作出定性估计。风险识别需要回答如下问题：企业经营过程中有哪些潜在的风险因素？这些风险因素会引起什么风险？这些风险所引起后果的严重程度如何？

为了审查企业的风险管理机制是否健全，审计人员需要独立地对被审计单位可能面临的风险因素进行识别，并与各职能部门的工作相比照，从而审查各职能部门是否对可能的风险进行了有效的识别。在风险事件识别活动中，内部审计人员需要运用某些风险识别方法，创造性进行分析，判断管理层是否完全识别企业的所有的风险，若有遗漏的风险要提醒管理层加以考虑。该阶段内部审计人员的主要工作是运用各种风险分析工具，分析出企业当前正在面临以及可能面临的风险。

（1）风险领域

在内部审计实务中，风险是一个运用极为广泛且得到逐步发展的术语。对一个营利组织来说，风险往往与营利的目标相联系，并潜伏在与经营相关的各个领域中。熟悉和把握一般风险的存在领域及其相关活动，有助于内部审计人员对常见的风险领域保持特殊的警觉，以便在执行审计任务时，能够及时准确地揭示风险和存在的问题、判断随时可能或已经造成的各种损失。对制造企业来说，其常见的风险领域中，如采购风险区包括接受采购要求、选择供应、订货、订货跟踪和货到验收等活动；生产风险区包括生产设计、生产布局、生产计划和生产控制等；销售风险区包括获取客户、需求分析、信息技术、签订合同和满足客户需求等；售后服务风险区包括售后产品跟踪、售后技术服务、质量信息反馈和产品检修等。上述的每一个风险领域的风险活动都可以进一步细分为一些技术上和经济效果上相互分离的活动，然后审计人员可以对这些活动进行风险因素的分析。

（2）风险因素

风险因素是内部审计人员用来确定可供审计的单位或项目是否存在风险的标准事项。对一个组织具有影响的事项很多，而且同一事项对不同性质的组织所具有的影响程度也差别很大，内部审计人员可以根据可能造成不利影响事项的重要性来确定风险因素。

（3）风险类型

总体看，企业风险可以按多种不同的方式分类。根据业务类型的不同，风险可以分为以下四类：

①战略性风险。战略性风险是影响整个公司的发展方向、公司文化、信息和生存能力或公司业绩的因素。主要包括国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策；企业发展战略和规划；企业战略合作伙伴的关系等。

②经营性风险。经营性风险是指由于在操作程序、人员和系统上的不足、失误或由于外部事件而引致直接或间接损失的风险。主要包括企业组织效能、管理现状；中高层的知识结构、专业经验；质量、安全、环保、信息安全等管理；自然灾害以及其他纯粹风险；未来市场价格（利率、汇率、股票价格和商品价格）的不确定性对企业实现其既定目标的影响；对现有业务流程运行情况的监管、运行评价及持续改进能力等。

③财务性风险。企业财务性风险是指企业在各项财务活动过程中，因种种难以预料或无法控制的因素给财务状况造成的不确定性，进而使财务产生蒙受损失的可能性。主要包括企业负债、或有负债、负债率、偿债能力；现金流、应收账款及其占销售收入的比重、资金周转率；产品存货及其占销售成本的比重、应付账款及其占购货额的比重以及企业的盈利能力等。

④法律性风险。企业法律风险是指企业在设立和运行过程中，因享受权利或者履行义务不当而产生的消极的、非预期的损失。主要包括国内外与本企业相关的政治、法律环境；企业签订的重大协议和有关贸易合同；企业发生重大法律纠纷案件的情况；本企业和竞争对手的知识产权情况等。

2.内部审计对风险评估阶段的关注

风险评估结果直接影响风险的应对策略，进而影响企业资源的使用效率和效果。通常情况，基于成本效益的考虑，企业对所面临的不同风险将采取不同的对策。判断应该采取何种对策，就取决于对各种已识别的风险的可能性和预计后果进行的分析。内部审计人员由于特有的独立地位，可以从客观的角度分析风险的假设条件，并采用适当的方法来评价风险，以此为管理层提供专业意见。此阶段内部审计人员的主要工作是运用定性、定量工具估量风险、把风险排序、绘制风险坐标图等。

定量分析可以从两个角度进行：风险出现的概率和风险影响的程度。风险概率是指风险发生的可能性，通常依靠主观经验确定。风险的影响程度是指一旦风险发生可能对企业造成的影响大小，即风险发生的损失额。风险值的测算如下：

风险值=风险概率×风险影响

对于处于第一象限内的风险，毫无疑问不论是审计人员还是管理层都是应该予以关注的，而处于第二、第三象限之内的风险，由于其或是因为对公司的影响较大或是因为发生的可能性较大，公司的管理层一般需要采取检查或纠错的事后风险管理措施，由于这些风险管理措施在效果上一般不如预防性措施，很容易产生剩余风险，因此对于这两个象限内的风险也需要关注。而对于位于第四象限内的风险，由于其重要程度及发生的可能性都较小，因此可以不予关注。

3.内部审计对风险应对阶段的关注

应对风险所采取的策略和方法应由各职能部门提出，内部审计人员要对有关部门针对风险所采取的应对措施进行检查，检查其是否充分、得当。对于风险缺乏充分的控制措施的情况，内部审计人员应提出改进建议，以强化企业的风险管理，降低风险损失。此阶段内部审计人员的主要工作是运用专业判断选择、实施风险管理方案，评价风险管理的效率和效果。

一般而言，风险应对的策略主要有风险规避、风险保留、风险转移、风险抑制与控制和风险利用五种。风险规避就是不作为，即选择以放弃、停止或拒绝等方式，回避损失发生影响；风险保留也称风险接受，当某种风险不能避免，或因敢冒风险可获厚利时，由自己保留承担的风险；风险转移是企业通过契约、合同、经济、金融工具等形式将损失的财务负担和法律责任转嫁给他人，达到降低风险发生频率、缩小损失幅度的目的；风险抑制与控制是指企业对不愿放弃也不愿转移的风险，通过查找风险事故形成损失的源头，降低损失发生的可能性、频率，缩小损失程度，达到风险控制目的的系统控制措施与方法；风险利用则是把风险当作机遇，利用运营中的困难通过风险战略，开拓市场，达到更大的战略目的。在风险应对活动中，企业要根据不同的风险类型决定要采取的策略，是避免风险、接受风险、还是降低风险就取决于风险的性质和风险评估的结果。比如，对有相对的风险回报的风险，组织可以考虑接受，但要采取控制措施，才能将风险降到可以接受的水平，获得希望的回报。对于此风险控制措施，审计人员的主要工作在于分析、评价风险回报的合理性，以及风险措施实施的有效性。如果组织不能承受该风险，则这种风险控制的措施将是无效的。