风险导向内部审计的价值实现

李 曼 刘继明 陆贵龙

（1、南京审计学院国际审计学院江苏南京210029；2、山东高阳建设公司财务部山东淄博255000；3、中华人民共和国审计署驻南京特派办江苏南京210008）

一、风险导向内部审计的理论基础

（一）风险导向内部审计的界定 理论界对于风险导向内部审计的含义有不同的解释。总结各种观点我们认为：风险导向内部审计是指内部审计人员在内部审计的全过程自始至终都要关注风险，依据风险选择项目，识别风险，测试管理者降低风险的方法，并以风险为中心出具审计报告，协助企业风险管理。这里的“风险”不仅是指“审计风险”，还包括企业在生产经营过程中所面临的各种风险，即那些可能对企业战略和目标的实现产生影响的事件、行为和环境，包括经营风险、市场风险、信贷风险、技术风险、人事风险等。’风险导向内部审计既是基于降低审计风险，又是为降低企业经营风险，进行风险管理的一种有效工具，在企业风险管理中起到举足轻重的作用。

（二）受托责任理论 受托责任关系是产权确立和本身发生变化的自然结果。在不同的历史发展阶段和不同的社会发展形态之下，不同的委托人和受托人之间形成不同的受托责任关系。因此，受托责任具有不同的表现形式，其根本差别就在于谁授予受托责任，谁担负受托责任这两个方面。一部人类社会发展史实质就是一部受托责任发展史，正如杨时展教授说的：“人类社会的发展史，反映为托付人和受托人不断因阶级势力的消长而发生的更替，反映为托付人和受托人从寡头而逐步大众化，反映为对受托责任完成情况的愈来愈严密的监督，反映为受托责任的愈来愈充实的内容。”审计的产生和发展有着较为深厚的产权经济基础，是随着受托责任关系的存在和扩展而产生和发展起来的。在受托责任关系的建立、运行与解除的过程中，资源委托人面邻的最大困境就是与代理人之间因信息不对称而导致的代理问题，必须要有一个委托人与代理人都能够接受的受托责任度量原则，以检查受托责任执行的效率与效果，保证受托责任履行的完整性与稳定性。会计和审计就是受托责任内容的最好计量者、控制者，是受托责任关系中联系委托人和受托人的桥梁。审计是对管理当局自我认定、自我计量、自我编制的受托责任报告，按照公认审计准则和审计程序的要求，进行“重认定、重评定、重判定”。内部审计是一种确认与咨询活动，目的是增加组织价值，改善组织运营，帮助经理层实现组织目标。从确认活动看，由于它是向第三方负责，可以看成是对公司管理者向投资者、债权人、供货商、雇员、客户等利益相关者履行其受托经济责任的经济控制。从咨询活动看，是向管理者负责，是对公司内部控制、风险管理与治理程序的检查与评估，以帮助管理者改善管理增加公司价值，从而便于管理者更有效地对利益相关群体履行其受托经济责任，而实质上是对公司内部受托经济责任的控制，也就是通过内部审计检查与评价公司内部各级管理部门对最高管理者的受托经济责任的履行情况。因此，内部审计因组织内部受托责任的存在而产生，通过审查和评价受托人受托责任的完成情况，促进企业目标，也是企业最高管理当局受托责任目标的实现。按照受托责任审计观，审计是确保受托责任有效履行的手段，是一种落实受托责任的控制机制。而以内部受托责任为对象的内部审计则要履行两方面的责任：一方面要审核各责任部门向上级经管部门提交的内部受托责任报告是否真实可靠；另一方面要评价各责任部门受托责任的完成情况，从而为管理当局的整个管理控制提供可靠、相关的信息。内部审计因受托责任而产生，其发展体现了受托责任发展变化的规律。从历史演进看，内部审计的发展经历了萌芽状态、财务导向内部审计、业务导向内部审计、管理导向内部审计、风险导向内部审计等阶段。20世纪70年代，垄断及世界性经济危机等外部环境更深刻地影响了企业内部管理，内部审计必须充分考虑外部多方利益相关者的影响，关注点从低层次的业务和内部控制转向高层次的决策。伴随着受托责任由受托财务责任向受托管理责任的发展，内部审计逐渐地脱离会计导向，进入管理导向时代，再逐步发展到风险导向时代。20世纪中后期公司治理理论及实践的逐步成熟，特别是审计委员会制度的建立赋予了内部审计更高的地位，也为内部审计对高层受托管理责任的审查提供了保证。这种演进最终使内部审计师加入了管理者的行列，内部审计成为一种重要的经济控制活动，成为一种增加组织价值、改善组织经营的高层次工作。现代社会中，组织面临的环境瞬息万变，各种外部风险和内部风险都在深刻地影响着组织目标的实现，对风险进行事前事中的预警与控制成为风险管理的关键，内审人员在组织风险管理中负有监督评价之责，应及时提供有关组织风险状况状况的信息，以帮助管理层更好地进行风险管理。IIA的一项研究报告表明：面对新经济时代高科技和网络技术的广泛应用，内向型管理审计正经历一场重大的变革，“风险”将取代“控制”，“风险管理”转向“风险预警”。在风险导向阶段，受托责任关系发生了变化，风险导向内部审计成为确保受托责任有效履行的能动管理控制机制，内部审计重在促进广泛的外部受托责任与多层次内部受托责任的统一。可见，此时的受托责任是一种广义的受托责任，与强调股东利益的狭义委托受托关系相比，现阶段更加强调各种利益相关者的利益，以促进内外受托责任的统一，实现增加价值的目标。

（三）公司治理理论 （1）公司治理理论概述。公司治理的经济学基础是企业理论，它围绕着企业的性质这个核心问题而展开。自1976年詹森（Jensen）和麦克林（Meekling）首次提出委托代理关系问题以来，公司治理问题就开始受到了人们的关注，20世纪80年代，西方关于公司治理问题的研究达至高潮。我国则于20世纪90年代中期开始重视公司治理问题。公司治理结构是解决股东、董事会以及经理之间责、权、利关系的一种制衡机制；治理的目标在于增加股东价值，并在此基础上，实现利益相关者价值最大化；监督、风险管理、控制、激励与约束、目标、责任和权利是公司治理的重要因素；有效的治理需要有充分的资源来监督组织的控制和风险。公司治理有狭义和广义之分，公司治理包括公司内部治理（通过股东大会、董事会、监事会、内部审计及管理层所构成的内部治理）和外部治理（包括外部监管、证券市场、经理人市场等），其中内部治理还包括了企业内部对于整个管理运营的监督和制衡，并成为内部审计的价值所在。公司治理最终目标：如何在所有权和经营权相分离的情况下，最大程度地防止企业经营者机会主义行为的发生，保障股东的利益不受损害；在第一层次的目标基础上，增加股东价值，实现股东价值的最优化；保证企业战略的可持续性，实现企业的长期效益，努力使企业承担其应有的社会责任，确保利益相关者利益的最大化。（2）风险导向内部审计与公司治理。从IIA对内部审计的最新定义可以看出，国际内部审计的发展进入了一个新的更高层次的阶段，即实现了两个转变：一是内部审计正由管理审计向风险导向审计转变，二是由被动查出问题向主动提出解决问题的建议转变，这两个转变使得内部审计的作用更具有前瞻性、咨询性。现代内部审计发展到风险导向内部审计阶段，其目标也不仅仅是对风险管理的各个阶段进行评价，而是作为企业管理层的保健医师，实时的对风险进行事前评估与控制，对风险处于何种状态做出准确判断，为控制提供依据，也就是风险导向审计。按照内部审计的新定义：内部审计“旨在增加价值和改善组织运营”。这表明国际内部审计师协会（IIA）将内部审计的目标定位于：通过内部审计的控制确认、风险管理、治理程序确认，提供咨询和确认服务，最终改善组织的运营，实现企业的价值增值。回顾公司治理的目标层次，这与内部审计目标的内容形成趋同。公司治理的最终目标是增加股东价值，实现股东价值最大化，这正与内部审计最终实现改善组织运营，增加企业价值的目标不谋而合；而在公司实现增值目标过程中，核心是科学决策。在进行战略规划及经营计划等决策过程中，风险是不可回避的因素。风险是影响企业目标实现的可能性，既可能增加企业价值，也可能减少企业价值。而增加企业价值的有效方法就是对风险进行科学评估将风险控制在一定范围之内。伴随着公司运营的环境不断变化，内部审计也逐渐向风险导向发展，通过参与风险管理保障长期利益的实现，以及近年来出现的内部审计参与环境审计等新的内部审计实践，恰恰与公司治理关注企业长期发展、社会责任，以及利益相关者利益最大化的目标趋同。而目标上的趋同直接导致公司治理与内部审计价值导向的趋同。以上两种理论构成了风险导向内部审计的基本理论基础，也是审计界普遍认可的主流观点。

二、风险导向内部审计研究现状

（一）IIA的研究报告国际内部审计师协会（IIA）在2001年提出：“随着技术能力的提高，企业和机构风险的扩大，内审部门所面临的风险也日益增大，进行更为严格的质量控制是避免这些风险的内在要求，也是内审职业发展的必然需要。”IIA成立了一个专门从事内部审计研究的知识共同体组织，该组织英文全称为Common Body of Knowledge，简缩为CBOK。该组织自从成立以来，一直致力于内部审计理论研究和实践状况调查工作，于2006年底，发布了第一份全球内部审计活动状况的调查报告，这份报告在对全球各地内部审计情况调查的基础上，系统地总结了被调查者提供的信息，确定了有效的内部审计活动应具备的属性，包括内部审计人员的知识结构、胜任能力和审计技术、内部审计工具以及日益突出的内部审计功能等。CBOK通过网络等多种渠道，于2006年面向全球发放了数万份调查问卷，回收9366份，被调查的对象有首席审计执行官、审计经理、高级审计主管、审计人员以及其他类型被调查者（没有内部审计师相应的技术职称，但却从事内部审计理论研究或实践工作）。调查的主要议题涉及这样几个重要方面：内部审计活动的现状；人员配备和专业的发展状况；内部审计技术与方法；内部审计人员的知识结构和胜任能力；《内部审计实务标准》的执行情况；内部审计功能及实现情况。在针对内部审计活动线装调查中，有79.5%的被调查者认为风险管理审计在未来三年内将有增长的趋势。见（表1）。为了获得对内部审计活动在一个组织所进行的各种各样的活动中应该扮演或即将扮演的角色的理解，很多组织向被调查者提供了其执行的一系列功能。调查时要求说明他们的IIA现在是否在活动中扮演一定的角色、或是否可能在未来三年中扮演一定的角色、或者根本不可能发挥任何作用，见（表2）。调查数据显示，被调查者的内部审计活动在上表列出的许多领域中起到了不同类型的作用。对于内部审计活动执行的审计工作，“目前扮演一定角色”排名前四位的是舞弊防范（占69%）、风险管理（占66.6%）、规范执行（占64.0%）和组织治理（占52.2%）。而很少有进展的领域是全球化（占15.3%）、环境稳定性（占14%）和新新市场（占11.5%）。对于那些内部审计还没有涉及的领域，有17.7%到38%的被调查者表明，他们的内部审计活动计划在未来三年内会涉及到上述未涉及的领域。内部审计活动现在参与较少或期望保持低水平的领域是行政赔偿（占45.4%）、环境稳定性（占39.9%）、新新市场（占39.5%）、全球化（占35.2%）、知识产权和评估（占35.1%），以及组织社会责任（占33.8%）。正是内部审计专家认识到了风险管理审计的价值增值功能，风险管理审计必将成为内部审计未来的发展方向。而在其颁布的实务标准中对风险管理内部审计做了相关指导，其中包括计划阶段对风险进行评估，实施阶段对相关风险的监控和报告，报告阶段对风险的建议以便于后续的风险管理。由此可见，IIA对风险导向内部审计的研究充分展示了风险导向内部审计的重要性，但对于如何实施，只是在《标准》中进行了方向性指导，如何才能实现内部审计的价值，内部审计实现价值的途径有哪些，这些问题涉及很少。

（二）国内研究现状 国内关于风险导向内部审计的研究主要集中于产生的动因、理论结构、及实施条件和建议上。严辉（2004）从管理学和法律规范的角度考察风险导向内部审计的产生，并采用“本质—假设—目标—职业规范”的结构模式，构筑了比较完整的风险导向内部审计理论结构框架。郭群（2006）按照内部审计的“计划阶段—实施阶段—终结阶段”研究风险导向内部审计的实施程序。王晓霞等（2004）从一般的审计程序模式衍生出风险导向内部审计的实施程序，即编制审计计划—选择被审计者—审计目标与测试—审计发现与审计报告—后续审计。马正吉（2005）从实施风险导向内部审计的必要性出发，提出我国实施风险导向内部审计的具体建议与措施。桑桂田（2005）在其硕士学位论文《风险基础内部审计程序的构建》中，从适用范围和技术要求方面，论述了风险导向内部审计的实施条件。我国内部审计的国际化进程越来越快，许多大型企业特别是上市公司的内部审计部门已成为企业公司治理的重要组成部分，逐渐脱离了原有的监督角色转向服务，帮助企业完善治理程序、评价预防风险，正式转向风险导向的内部审计模式，但就目前来讲，由于我国内部审计起步较晚，大部分企业虽然学习并了解了风险导向内部审计的理论和精髓，但在风险导向模式下开展内部审计工作时仍感到无所适从，从理论研究来看，对这方面的研究较少，内容也很零散，不够实用，内部审计人员不知如何才能真正帮助企业控制风险，实现价值增值。

表1 未来三年内内部审计执行的审计类型的期望变化

表2 内部审计活动日益突出的地位

数据来源：时现等翻译《中国内部审计》2008年4期

三、风险导向内部审计的价值实现途径

（一）内部审计师以咨询者的角色帮助高管层改进决策，降低战略设计风险 内部审计是企业治理结构的重要组成部分，客观上具有一定的独立性，不受其他职能部门的影响，可以通过对企业进行日常审计了解企业整体运营情况和各个业务环节运作状况，收集到第一手资料。但作为企业的智慧智囊，重要的不是事后评判，而是事前预防，将企业的风险控制在可接受水平。由于内审人员特有的风险管理知识，这也是IIA所要求的内审人员的基本素质，因此更易发现企业业务流程中存在的风险隐患，进行风险分析，为管理层的风险管理提出切实的建议，帮助管理层设计出更为有效的风险管理程序，发挥咨询师的角色。如审计人员可以利用DCCS法、盈亏临界点法、财务比率法捕捉企业风险征兆，测试这些征兆是否超过或接近某个临界点，从而决定是否发出警报以及发出警报的类型，并将此信息及时与管理层沟通，以便快速做出反映，从而将企业的风险控制在可接受的范围，实现将风险管理的目标。当然，内部审计，其思维方式、思考角度不能等同于中介审计机构一样（现在国内审计部门有照搬照抄中介审计的方法倾向）。要站在企业的战略高度和持久发展的角度思考问题，与企业共生存。将企业的风险（战略风险、运营风险、财务风险等）进行通盘思考，从风险识别、风险分析、风险评估、风险鉴定的角度对企业的内部风险进行审视，发现哪些是企业的重要风险，哪些是不重要风险，经过这一过程对企业的风险进行梳理，并根据企业所处的行业进行SWOT分析，从系统风险到非系统风险，分别描述出来，再根据这些具体情况，对企业整体情况进行风险分析（战略层面），然后再对企业的运营层面，财务管理层面进行分析，通过这些具体分析对企业面临的风险有一个清醒的认识和评价，对企业的风险管理过程提出建议。当然，建立风险管理机制是风险管理部门的责任，但内审人员可以充分利用其丰富的专业知识和在企业中的独立地位提供咨询服务，帮助管理层完善风险管理机制。

（二）内部审计将关注不同利益相关者的需求，审计重心上移 公司治理希望审计工作能够增加价值，这就意味着内部审计必须更多地参与未来事件，及参与管理层规划现在与未来的决策工作。过去的内部审计大多以事后评估为主，事前和事中的评估只占少部分。这一方面是由于内审资源比较紧张，另一方面也是由审计内容决定的，过去的审计内容多以财务事项和内部控制为主，因此事前审计的意义相对事后审计来说相对较弱。但进入风险管理系统后，由于风险代表着不确定性，其一旦发生就可能意味着巨大的无可挽回的损失，因此事后进行评估的意义就不大，事前的预警、事中的监控就显得尤为重要。内部审计协会总会会长盖瑞特先生也强调：（1）未来内部审计必须在规划阶段及早参与；（2）及早参与组织作业；（3）对于内部审计的目的重新定义。许多内部审计人员已开始运用内部控制自我评估（简称CSA）来适应管理上的改变。自我评估尝试以控制及风险等角度描述目前组织作业。然而，在控制模式的限制下及CSA定义界定CSA检查方法并没有得到改变，虽然它对于由传统的内部审计有许多改善，但对于未来的掌握则有诸多限制。在风险管理的审计观念下，审计部门的年度审计计划应与公司最高层级的决策风险联系在一起，在事前就收集充分的管理信息，然后对风险发生的频率和程度、范围进行合理的分析，内部审计主管使用目前的风险分析以确保其审计计划与经营计划一致。事中要对风险进行持续监控，不断更新风险警报的级别。内部审计主管使用风险管理原则改变内部审计过程。即要求内部审计具备一定的预测、持续监督职能。也就是说，风险导向审计关注核心已经从内部控制转向风险，在审计中，工作的出发点是衡量风险，风险来源于复杂多变的环境，而了解被审计单位及其所处环境是审计计划阶段的工作，显而易见，审计工作的重心就从实施阶段前移到了计划阶段。另外，内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险，而且还有共同承担的综合风险，内部审计人员作为独立的第三方，可协调各部门共同管理企业，以防范宏观决策带来的风险。

（三）内部审计将会使用风险自我评估（RSA）法，提升风险预警效率 风险自我评估方（RSA）法在风险导向内部审计中得到了普遍应用，主要包括以下几个方面：一是对风险环境分析的恰当性进行再监督。随着贸易全球化趋势的加剧，企业面临着越来越复杂的经营环境，为了更好地识别风险，就必须对存在风险的环境进行分析。内部审计作为公司治理的重要组成部分，需要时刻关注企业的经营风险将对企业造成的影响，这主要表现在内部审计对企业固有风险和控制风险的评估。由于内部审计机构的特殊性，内部审计人员在评估风险时要分析风险性质和影响程度的变化，进一步考虑企业机构的风险变化和控制措施是否能与环境的变化相符，并将分析结果反映在给管理层的审计报告中供他们作决策时参考。二是对风险事件识别的充分性进行再监督。企业通过风险识别活动识别出能够影响企业运营状况的所有风险事件，对企业将要面临的风险做一个清晰的把握。内部审计在这一活动中的主要工作是判断企业是否已经将面临的主要风险识别出来，如果有未被识别的风险，应提醒管理层重视。三是对风险评估的恰当性进行再监督。企业在风险评估活动中要从风险发生的可能性和影响性两方面对已识别的风险事件进行定量分析和定性分析。风险评估是一种主观性很强的活动，而内部审计人员由于独立的地位，可以从更加客观的角度对风险进行评估，提供专业意见。同时，对已有的风险评估结果内部审计人员可以进行再检验，以确定其是否恰当，对不恰当的评估予以更正。四是对风险度以及风险预报合理性的审核。风险度是反映风险程度的标准，审计人员应审核风险度的计算方法是否科学合理，是否反映企业实际风险水平。由于风险因素的特征并不是朝一个方向发展，而是相互交错，所以需要审计师进行综合判断。可以采用打分的形式来表现，也可以用风险程度水平来直接表现。风险预报是风险预警的关键环节，审计师应综合分析企业的内外环境，对企业风险预报的根据以及预报的级别进行审核，判断其合理性。五是对风险控制措施的有效性进行再监督。企业管理层在风险管理的过程中要通过设计业务控制程序来保证风险管理措施的落实，内部审计人员在进行审计活动时，要测试这些控制程序的有效性，这本身就是内部审计工作的重要环节。在风险预警审计中，内部审计部门和内部审计人员主要对有关部门针对风险所采取的防范措施进行检查，并对检查发现的问题提出改进措施和建议，帮助企业管理风险，降低风险损失。六是对风险信息沟通的广泛性进行再监督。风险预警实施成功与否很大程度上依赖于信息沟通的效果，包括风险识别、评估信息的获得，风险警报的及时发出等，直接关系到预警系统的成功与否，内部审计人员提供的评估报告可以证明风险信息被准确、及时地传达给所有相关人员。董事会和审计委员会也可以从内部审计部门的报告中得到风险是否被有效管理的信息，同样，内部审计职能的设立对债权人和其他外部利益相关者来说本身就是企业具备有效风险管理的一个证明，使他们对公司风险管理的信任度提高。七是对风险管理系统监控的及时性和有效性进行再监督。为了保证企业对风险的管理是一直有效的，企业需要对风险预警系统进行持续监控，其中包括对内部控制系统的运行的监控和对定期检查结果及意外事项的处理结果的评价。内部审计人员在日常审计中要分析环境和风险的变化，检查内部控制系统能否得到更新，是否能控制新的风险，而在后续审计中检查发现问题处理情况，检查新的控制措施是否有效，将分析结果和建议提供给管理层以便改进控制措施。当然，要完成上述价值实现，企业必须在以下方面作出努力，首先内部审计机构必须具备一定的超然独立性，这就要求企业在组织模式上保证内部审计的权威性。其次，内部审计范围扩展到风险管理领域直接导致审计工作量的加大，审计成本增加，审计资源的有限性使得原有的现场审计、手工审计已很难在成本效益原则下适应内部审计的这一新发展，因此，审计技术的改变是内部审计参与风险预警审计的必然要求，增加计算机辅助审计，开展非现场审计成为内部审计有效参与风险预警管理的不二之选。内部审计对风险管理这一领域的介入也对审计人员提出了更高的要求。内部审计师必须具备以下素质：熟悉企业经营管理过程，拥有大局观、风险观；精通技术、具备顾问才能、领导才能；风险审计专业判断能力。

［1］劳伦斯·B·索耶著，汤云为等译：《现代内部审计实务》，中国商业出版社1990年版。

［2］胡春元：《风险基础审计》，东北财经大学出版社2001年版。

［3］IIA修订，中国内部审计协会编译：《内部审计实务标准——专业实务框架》，中国时代经济出版社2005年版。