风险导向内部审计的研究与实践

张 敏

内部审计的发展从萌芽期到业务导向的内部审计，然后是管理导向的内部审计，最后是风险导向的内部审计。内部审计部门目前在公司中所占的位置越来越关键，从最初可有可无的部门，到现在掌管公司风险导向的机构，目前已是一个成功公司不可或缺的组成部分。风险导向内部审计作为现代审计方法，目前我国只是提出了风险导向内部审计概念，并未对此进行深入研究，也没有关于风险导向内部审计的系统性理论研究成果。因此，研究风险导向内部审计在我国的应用，对我国的内部审计发展具有较重要的理论与现实意义。

随着经济全球化发展，企业生存和发展在面临机遇和挑战的同时，企业经营环境越来越难以预测，其面临的经营风险也不断增大。经营的不确定性导致盈利能力、偿债能力和持续经营能力等状况的不确定性，风险成为影响企业目标实现的重要因素，管理与控制风险变得更加重要。传统的内部审计都只是片面地关注企业经营过程中的某一个方面，都没有与企业目标发生直接的联系，没有关注企业经营过程中面临的风险，以至于达不到企业提高经营管理水平、加强管理控制的要求。因此，为了弥补传统内部审计的不足，风险导向内部审计应运而生。

一、风险导向内部审计的含义

所谓风险导向内部审计是指内审人员在审计过程自始至终都以企业风险分析评估为导向，根据量化的分析水平排定审计项目优先次序，依据风险确定审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性意见和建议，协助企业管理风险，实现企业价值增值的独立、客观的签证和咨询活动。这里的风险应该是我们通常说的广义的风险既包括正面的风险，即机会；也包括负面风险，即狭义风险。

内部审计委员会于2001年在其发布的《内部审计实务标准》中对内部审计做出定义，“内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标”。这实际上就是风险导向内部审计的体现。根据该定义，推行风险导向内部审计就是要求内部审计以内部控制作为生存与发展的基础，以公司治理作为参与风险管理的前提条件，以对组织风险的评估与改善作为基本目标。

二、风险导向内部审计与传统内部审计的比较

（一）产生的背景不同

内部审计是随着经济发展的需要而产生的。传统内部审计的产生可以追溯到100多年前，至今已经经历了萌芽阶段、财务导向阶段、业务导向阶段、管理导向阶段，以及风险导向阶段的内部审计。

萌芽阶段的内部审计只是为了监督受托责任履行的合法性。随着股份制公司形式的出现，内部审计转为主要是对会计、财务和其他业务的独立性进行评价，以便向管理部门提供防护性和建设性服务，即财务导向内部审计。随着科学管理思想的提出，内部审计的对象逐渐转变为对具体的业务活动和管理活动的控制，即进入了业务导向阶段。二十世纪60年代后，日益复杂的外部环境对企业提出了更高的要求，内部决策正确与否关系到企业生死存亡，内部审计日益与公司决策、目标管理和公司治理联系起来，内部审计至此进入管理导向阶段。进入十二世纪90年代，随着经济全球化和金融国际化的推进，企业经营所处的环境越来越复杂，企业所面临的风险不断增大，战略管理成为管理的核心，而对风险的预测和应对是企业战略的重要组成部分，内部审计进入风险导向阶段。

（二）审计的重点和范围不同

传统内部审计的工作重点是检查历史业务记录和内部控制系统的健全性、合理性和历史运用情况，提出意见和建议。也就是说，传统审计是通过对现存的内部控制制度的有效性进行测试并做出评价，进而提出增减控制环节和改善控制手段，从而健全现存的内部控制机制。内部审计风险大小的衡量仅仅用于反映内部控制环节的健全与否，随着企业内部控制环节的增加，会导致审计业务越来越繁琐，甚至会阻碍企业业务的正常运行。

风险导向内部审计首先要确定企业的目标，然后在保证企业目标实现的前提下，分析影响企业实现目标的风险因素，根据量化的分析来确定风险水平和审计项目的顺序，依据风险大小确定审计重点和审计范围，工作重点是组织指导企业未来的发展前途，促使企业在以后的发展中规避和控制风险，从而更加健康发展和壮大。

（三）审计的程序不同

内部审计通常包括审计前准备工作、审计实施工作、审计报告工作、后续审计工作和审计成果运用工作五个阶段。实践工作中，传统内部审计通常把大量的时间和审计人员被安排在审计实施和审计报告过程中，审计前的准备工作、后续审计工作和审计成果运用工作往往被忽略，内部审计的效果大打折扣。

风险导向内部审计强调审计计划的制定，要求审计人员在制定审计计划前必须深入了解企业组织及其所处环境，了解组织的组织结构、战略目标、业务流程等基本情况，掌握被审计单位年度内经济工作的中心问题；单位重大政策措施落实情况及存在的问题；经营管理中存在的突出问题和难点问题；群众普遍关注或反映强烈的热点问题；以往审计发现的比较突出、影响较大的问题等，并根据被审计单位的具体条件确定相应的审计程序和审计方法。风险导向内部审计要求审计方法应与特定的审计环境相适应，针对不同的风险领域、不同的审计对象、不同的业务环节以及特定的审计目标，实施个性化的审计测试程序。内部审计人员关注的焦点是企业风险是否得到适当管理和控制，审计建议直接针对企业在实现目标过程中面临的主要问题和风险，并将事后评价反馈延伸到事前和事中。麦克宁宁（McNamee）在“内部审计新旧范式路线图”对此有很好的图示:

传统内部审计表现为审计路线由“控制→风险→目标”，风险导向内部审计的路线为“风险→控制→目标”。

三、推进风险导向内部审计在我国的应用

（一）转变观念，充分发挥内部审计在风险管理中的作用

独立性和客观性是实施风险导向内部审计的必要条件之一。但长期以来，我国的审计实务中有种错误认识，认为对独立性的强调会导致内部审计人员与企业管理层之间出现沟通障碍，从而无法实现平等交流。IIA于2001年颁发的内部审计定义中明确提出“独立、客观”，要求内部审计机构应该是独立的，内部审计人员应该是客观的。机构的独立性要求内部审计机构在报告结果时必须独立，在确定审计范围、实施审计程序、报告审计结果时不受干扰。个人的客观性要求内部审计人员必须持公正的态度，不偏不倚，避免利益冲突。现代企业中，内部审计机构应直接受单位最高管理层（董事会）的领导，为内部审计机构实施审计程序提供权利上的保证。

同时，我国内部审计机构也应当尽快更新观念、转换角色，加强与企业各部门的配合和沟通，为内部审计积极参与风险管理奠定良好基础。

（二）建立健全法律体系，为风险导向内部审计创造良好环境

审计署《关于内部审计工作的规定》已于2003年3月4日发布，自2003年5月1日起施行。根据规定，中国内部审计协会制定了《内部审计基本准则》、《内部审计人员职业道德规范》、《内部审计实务指南》，以及《内部审计具体准则》，一些省市也制定了地方内部审计条例和内部审计办法。《内部审计基本准则》于2003年4月12日发布并自2003年6月1日起施行。至今，中国内部审计协会已经颁布了5个内部审计实务指南、29个内部审计具体准则。这些法规、规章对内部审计的发展起到了一定的作用，但与内部审计的发展要求还相差甚远。因此，进一步完善我国内部审计法制环境是推行风险导向审计的必要前提。

（三）提高内部审计人员素质，适应风险导向内部审计发展需要

由于审计重心转移，审计结果主要依赖的不是审计测试，而是风险评估，风险导向的内部审计要求多元化的审计人员，除了会计、审计专业人才之外，还需要法律、统计、金融，以及包括内部控制专家、风险管理专家、公司治理专家和信息系统专家组成的内部审计项目组。逐步改善内部审计队伍的专业结构，使内部审计人员的专业结构趋向合理，以适应现代内部审计发展的要求。

主席约翰逊（Howard Johnson）（1990—2000年）认为，在风险导向内部审计中，审计人员必须具备以下品质:第一，具有广博的知识。善于了解组织、行业与竞争情况，以及特定职能、流程与整个组织的关系，善用科技手段分析有关资料；第二，化被动为主动，主动确认、分析风险，寻找问题所在，寻找服务机会；第三，年度审计计划应关注现在及未来，具有前瞻性和弹性；第四，表达意见必须做到公平性；第五，具有强烈的求知欲，培养多元化专业技能，做到训练有素；第六，与组织内部各单位及各阶层管理者应建立良好的合作关系；第七，必须保持良好的工作心态，包括积极进取、追求卓越、有紧迫感、换位思考、相信并鼓励他人、更具活力、积极表达意见并与管理当局讨论重要问题、决心做出非凡成就等。因此，作为内部审计人员首先是一个优秀的管理者，其次才是一个好的审计师，必须注重知识的更新和知识面的扩展，通过各种形式的后续教育，努力提高专业胜任能力，通过审计实践，提高对审计风险的洞察能力、判断能力和组织协调能力，寻求规避和控制的途径；要增强内部审计人员的责任感和使命感，不断提高人际沟通能力和协作能力。

当然，必须保证内部审计人员在应有的独立和客观的基础上与被审计人发展良好的、融洽的协作关系，可以使内部审计人员更好的洞悉问题，并出具恰当的审计报告，为企业提供有价值的服务。