孙永军（教授/博士后） 刘薇 孙杨 （黑龙江大学经济与工商管理学院 黑龙江哈尔滨 150080）

一、引言

随着我国企业规模的扩张和管理难度的加大，要平衡企业的风险与收益关系，有效提升企业价值，亟需提高企业治理能力、发挥审计的监督作用。新时代内部审计在大数据、云平台、区块链等技术因素的影响下，逐步实现了实时审计，高效发挥了内部审计的风险防范和增值功能，避免了传统内部审计时效滞后的问题。但因新时代内部审计转型整体仍处于摸索阶段，部分企业的转型之路仍步履蹒跚，如果仅注重实践中形式的摸索不进行理论层面的探究，转型后期易出现“走老路”的情况。因保险行业具有特殊性，其对风险高度敏感，率先进行了内部审计转型的探索，部分保险企业风险导向内部动态审计体系已初步建成，Z人寿保险集团和T人寿保险集团为其中的优秀范例。基于此，本文通过双案例研究法，以风险导向内部审计模式为研究对象，从内部审计流程视角，通过对比分析Z人寿保险集团和T人寿保险集团的风险导向内部审计模式，从目标定位、过程管控、后续监管三个层面，探究风险导向内部动态审计的过程机制，构建风险导向内部动态审计机制的理论框架。

二、文献综述

（一）风险导向内部审计

1996年国际内部审计师协会IIA提出“企业内部审计要重视对其风险的防范”。Chapman（2002）将风险导向内部审计定位为兼顾风险管理、决策咨询的职能型新领域。我国内部审计协会在对内部审计的定义中并未提及“风险导向”，但李爽和胡春元（2001）等强调内部审计需要对风险进行分析评价。李玲、陈任武（2006）等认为风险导向内部审计模式遵循“目标——风险——控制”的逻辑顺序，首先应确定组织目标，然后分析对该目标产生影响的相关风险以及明确管理这些风险的控制活动，最后审计这些控制活动管理控制相关风险的程度，风险导向内部审计活动和功能主要体现在控制层面。邢建国（2021）认为风险导向审计分为前馈、实施与反馈三阶段。王冬法（2022）认为构建审计监督体系，需从事前、事中、事后三个层面优化业审协同，提高企业风险防控能力。基于理论逻辑和实务操作流程，风险导向内部审计可细化归纳为“目标定位——过程管控——后续监管”三阶段模式。

（二）动态能力理论与动态审计

1.动态能力理论。Teece（1994）认为动态能力是企业利用资源对基础能力进行整合与重塑以适应快速变化的外部环境的反应能力。其中，“动态”蕴藏着变化，强调企业随着内外部环境变化随时做好准备；“能力”蕴藏着积累，强调企业需具备整合、修正、重新配置资源的能力。对动态能力的内涵，学术界尚未明确界定，主流思想包括以下两类：（1）能力论。部分研究者从修正、整合、重塑资源能力的视角界定动态能力。Teece（1997）和 Winter（2003）认为动态能力是企业整合、构建、重塑原有能力，以应对瞬息万变的环境的能力。Zahra（2006）、Helfat（2007）将动态能力定义为组织带有目的性改变、修正和重构资源的能力。（2）过程论。部分学者将动态能力界定为惯例、过程和模式的类型之一。Martin（2000）认为动态能力是可识别、详尽具体的组织过程。Zollo和Winter（2002）认为动态能力是形成组织自身的运营惯例以提高效率的一种模式。宝贡敏、龙思颖（2015）认为以上对动态能力内涵界定的两种视角并不矛盾，动态能力就是在企业发展过程或惯例中存在的一种发挥重要作用的综合能力。动态能力在企业运营管理中发挥作用的主要方式是改变企业资源和能力的配置。简言之，动态能力是组织面对动态环境时应具备的能力，主要包括：更新能力、整合修正能力和重新配置资源能力。

2.动态审计。动态审计本质上属于审计方式之一，根据跟踪审计理论衍生而来，能够发挥持续监督审计对象的功能。动态审计的最大优势在于通过全程监管流程，及时发现问题，以便于提前干预，增强对风险的防控。动态审计强调审计预警功能，激发审计免疫功能。动态审计方式是为应对动态审计环境而发展出来的审计方式，关于动态审计的研究文献多是对动态审计运行路径的研究，对于动态审计原理较少有文献提及。结合组织动态能力理论，本文认为动态审计方式是动态审计能力的外在表现，动态审计能力是面对动态审计环境时审计应具备的能力（见图1）。

图1 动态审计能力

本文认为动态审计能力是审计团队利用资源对基础能力进行整合与重塑以适应不断变化的内外部审计环境的反应能力。其中，“动态”重视变化，强调审计随时与内外部环境变化保持一致的更新准备；“能力”重视积累，强调审计具备整合、修正、重新配置资源的能力。

（三）简要评述

综合以上研究可以看出：第一，风险导向内部审计理论发展至今已形成较为完善的理论体系，以风险为导向的内部审计思想也已广泛扎根于内部审计人员的审计思维中。但实务中，我国大多数企业构建风险导向内部审计体系时易将关注点集中于事后审查与整改上，忽视其在风险预警和风险过程管控中发挥的重要作用，出现审计时效滞后问题。第二，目前研究与实践应用中，动态审计方式适用范围更多集中于国家审计领域，以政府项目投资审计最为典型，内部审计领域实务中该方式应用范围不广、深度不够。但新时代下，企业尤其是集团型企业面临愈发复杂的、动态变化的内外部环境，内部审计作为组织特殊的组成单元之一，应具备动态审计能力以应对动态变化的内外部环境。

虽然有较多文献研究风险导向内部审计理论和应用，但依然缺乏风险导向内部审计实际应用中的构成机制及其原理的研究。基于此，本文基于内部审计流程视角，通过对比分析Z人寿保险集团（以下简称Z集团）和T人寿保险集团（以下简称T集团）的风险导向内部审计模式，从目标定位、过程管控、后续监管三个层面分析风险导向内部动态审计的过程机制和能力形成过程，构建风险导向内部动态审计机制的理论框架。

三、案例分析

（一）案例基本情况

Z集团和T集团均已上市，两者经营范围相似，同是保险业优秀企业，且均注重内部审计体系的建设，但两者内部审计管理体制、审计系统等存在差异性。

（二）案例分析

Z集团实行“垂直管理，统一领导”的内部审计管理体制，强调垂直分区域管理。T集团实行“相对独立，高度集中”的内部审计管理体制，强调专业分工管理。因Z集团和T集团内部审计管理体制不同，两者风险导向内部审计模式运行路径存在差异，但两者风险导向内部审计体系的建设均遵循“目标定位——过程管控——后续监管”的逻辑顺序。

1.目标定位。风险导向内部审计总体目标定位是复核并协助组织进行风险管理。Z集团的目标定位方式，是在外部监管部门要求的基础上，总公司审计部门的管理人员全面考虑集团风险管理和内部控制情况后制定总体审计计划，然后下达文件至区域审计中心，区域审计中心管理人员根据自身情况分配或适当调整审计计划。Z集团目标定位方式的关键性影响因素包括管理型人才和审计部门内部信息沟通。T集团的目标定位方式，是在外部监管部门要求的基础上，审计中心技术人员通过远程审计系统筛选并分析可疑数据，审计中心管理人员在审计全覆盖理念指导下全面考虑可疑数据、审计管理系统中已有审计项目实施与反馈的情况后再制定专项审计计划。T集团目标定位方式的关键性影响因素包括技术型人才、管理型人才、审计信息管理系统和审计部门内外部信息沟通。

相比较而言，T集团目标定位采用的审计预警方式，通过人力资源、技术资源和内外部信息资源的协同作用，可以持续更新“外部”环境数据信息，整合多方资源，重新配置审计资源，实现提前风险预警，使内部审计部门在目标定位阶段掌握企业内外部“风险动态”的基本方向，以便于审计部门及时做出应对措施。而Z集团目标定位采用的审计方式，通过管理型人力资源和内部信息资源制定审计计划，虽然也考虑了审计范围的全面性，但这种在目标定位阶段仅考虑“全面性”使内部审计部门在面对企业内外部“风险动态”时容易出现应对不及时的情况，影响内部审计实施的及时性。

2.过程管控。在风险导向内部审计模式中，过程管控是在内部审计流程中审计实施环节通过审计实施方式保持审计全过程管理和控制。Z集团审计实施环节运用非现场审计与现场审计结合的审计方式。首先，抽调审计人员组成审计项目组。其次，分析审计信息管理系统抽调的业务部门数据，掌握项目基本情况与重点方向。再次，在掌握相关信息后现场审计，通过审计作业系统实时跟踪记录现场审计工作全流程，并根据现场业务部门的风险管理和内部控制情况，结合非现场数据分析，动态调整审计计划和审计方式，实现审计全过程管控。Z集团过程管控中审计实施方式的关键性影响因素包括多样化的人才团队、审计信息管理系统和内部信息共享。

T集团审计实施环节采用“三位一体”审计方式，即从审计中心抽调人员组成项目组，依据专业性，将审计组划分为数据分析、现场审计支持和审计实施三类团队，协作完成审计项目。其中，数据分析团队通过远程审计系统抽调并分析业务部门数据，同时根据现场支持与审计实施团队的信息反馈，动态调整审计计划和审计思路，从整体上掌握审计工作；现场审计支持团队通过审计管理系统对现场审计提供技术支持和审计思路；审计实施团队负责执行现场审计工作，通过审计作业系统实现现场审计流程实时跟踪记录。T集团过程管控中审计实施方式的关键性影响因素包括专业化人才协作、审计信息管理系统和内部信息共享。

Z集团和T集团审计实施的方式不同点在于人力资源运用方式存在差异，相较于Z集团团队整体分步进行审计实施的人力资源运用方式，T集团专业化团队分工合作同步进行审计实施的人力资源运用方式效率更高。Z集团和T集团均采用非现场与现场审计相结合的审计实施方式，通过人力资源、技术资源和内部信息资源的协同作用，可以持续更新审计实施过程中内外部审计环境的信息，整合多方资源，重新配置审计资源，实现审计实施环节的全过程管控，使内部审计部门在“过程管控”阶段可以根据审计环境中“风险动态”导向，调整审计思路，完成审计目标。同时，该审计方式可形成信息的“三角验证”，提高审计效果。

3.后续监管。风险导向内部审计模式中的后续监管包括在内部审计流程中的审计报告和后续审计环节。内部审计报告是反映审计项目执行情况、揭示审计发现的问题、提出整改建议、促进完善相关流程的文件。后续审计环节主要包括监管审计中发现的问题的整改情况，推动审计结果的有效运用，实现内部审计增值服务功能。Z集团后续监管审计方式是被审计对象或相关部门落实整改措施，并在规定时间内提交整改报告和相关证明材料，内部审计管理人员审查复核，评估整改措施和执行情况符合标准后录入审计信息管理系统。然后决策支持系统通过接入不同层级的明细数据，帮助决策者从各个维度统计分析审计项目执行情况、审计成果运用及整改情况，并以可视化形式展示出来以辅助决策。Z集团后续监管中审计方式的关键性影响因素包括跨部门人才协作、审计信息管理系统和信息传递。

T集团后续审计提倡“一体化风控”，通过机制协同、技术输出和信息共享，深化审计结果运用，提升风险三道防线协同监督与风险管控合力。首先，T集团建立多元化部门工作落实机制以及联席会议机制，将组织风险防线不同主体的工作有机融合，合力推动整改措施的落实，提升监督合力。此外，强调审计部门的问责机制，即通过审计跟踪方式，派专门的审计人员对问责主体责任的履行情况进行跟踪调查，推动各部门真正落实整改举措。其次，创建多途径的共享渠道，主动对接合规与业务等部门，多方互动共享技术方法或信息，深化内部审计部门的增值服务功能的同时提升审计能力。最后，内审人员通过远程审计系统实时监控和数据分析功能，进行相关风险再评估，依托“数字审计”核查并持续监督审计整改情况。T集团后续监管中审计方式的关键性影响因素包括跨部门人才协作、审计信息管理系统和内外部信息共享。

相比较而言，T集团后续监管采用的后续审计方式，通过人力资源、技术资源和内外部信息资源的协同作用，可以持续学习更新知识、技能和技术等信息，整合多方资源，协助企业重新配置内部资源，推动整改措施的落实和持续监督，使内部审计部门在后续监管阶段协同企业各部门，深化审计结果的运用，同时增强内部审计的增值服务功能，推动企业内部动态风险应对能力。而Z集团跨部门人才协作和信息传递与审核的后续审计方式，虽然体现了内部审计的独立性，但内部审计部门作为企业组成单元之一，过于强调“独立性”不利于其发挥与其他部门的协同作用，相对弱化了内部审计的增值服务功能。

4.内部动态审计能力演化路径。对比分析Z和T集团风险导向内部审计模式的运行路径，可以看出，人力资源、技术资源和信息资源是内部审计流程中的关键影响因素；内部审计流程规范、人才选录、技术开发与应用、信息沟通与共享等资源要建立在制度基础上。本文认为内部审计基本要素包括制度资源、人力资源、技术资源和信息资源。运用反向归纳法对案例企业风险导向内部审计模式中动态审计方式进行反向演化归纳，可以发现内部动态审计能力的演化路径（见下页图2），即内部动态审计能力是制度资源、人力资源、技术资源和信息资源协同作用，经过学习更新，资源整合与重构，不断实践和反思的同时对整个流程进行实时监控和整体协调，促成新的能力的产生，从而促进内部审计动态反应能力。

图2 内部动态审计能力演化路径

四、研究结论

本文从内部审计流程视角，基于风险导向内部审计理论和动态能力理论，通过对比分析Z集团和T集团风险导向内部审计模式的运行路径的差异点和共性规律，反向归纳得到内部动态能力演化路径，即内部动态审计能力是制度资源、人力资源、技术资源和信息资源协同作用，经过学习更新、资源整合与重构，不断实践和反思的同时对整个流程进行实时监控和整体协调，促成新的能力的产生，从而促进内部审计动态反应能力。由内部动态审计能力演化路径可知，动态审计能力是风险导向内部动态审计机制的内生动力。结合案例企业风险导向内部审计模式及其运行路径，构建“动态目标定位——动态过程管控——动态后续监管”风险导向内部动态审计机制（见图3）。

图3 风险导向内部动态审计机制框架

其中：（1）动态目标定位是内部审计基本要素（制度资源、人力资源、技术资源和信息资源）协同作用，经过学习更新，资源能力的整合与重构，通过审计预警方式，譬如审计人员根据组织相关情况设置风险指标，利用大数据技术手段，通过实时监控财务共享平台相关部门数据，进行风险预警，同时对所获取的数据进行自动化数据分析来初步评估风险，根据风险预警和风险评估情况动态制定或调整审计计划，实现“动态目标定位”。（2）动态过程管控是内部审计基本要素协同作用，经过学习更新、资源能力的整合与重构，通过审计实施方式，譬如非现场审计与现场审计相结合的审计实施方式，技术人员利用大数据技术手段进行数据采集和数据分析，结合审计人员现场审计实时反馈的信息，动态调整审计思路，实现“动态过程管控”。（3）动态后续监管是内部审计基本要素协同作用，经过学习更新，资源能力的整合与重构，通过后续审计方式，譬如审计人员撰写提交静态反映审计项目情况、责任评价情况和提出整改建议的内部审计报告，通过建立内部审计部门与组织内部其他部门协同机制以及共享服务机制，结合审计跟踪方式，推动整改举措的落实，提升组织内部监督合力，深化内部审计部门的增值服务功能。同时结合“实时监控”的审计监控系统，进行风险再评估，形成内部审计闭环的同时实现“动态后续监管”。