[摘　要]本文從IIA對內(nèi)部審計的定義出發(fā)，提出了風險導向內(nèi)部審計的概念；分析其產(chǎn)生的現(xiàn)實背景以及與傳統(tǒng)的控制導向內(nèi)部審計相比較所具備的基本特點；與企業(yè)風險管理框架的聯(lián)系以及與風險導向外部審計的區(qū)別；指出風險導向內(nèi)部審計理念對內(nèi)部審計實踐的現(xiàn)實啟示。

　　[關鍵詞]風險導向內(nèi)部審計；風險管理；風險導向外部審計

　　風險導向內(nèi)部審計是以對整個組織的風險進行評估與改善為最終目的的一種審計理念。IIA（內(nèi)部審計委員會）于2001年在其發(fā)布的《內(nèi)部審計實務標準》中對內(nèi)部審計的定義，就是風險導向內(nèi)部審計的體現(xiàn)。根據(jù)該定義，推行風險導向內(nèi)部審計就是要求內(nèi)部審計以內(nèi)部控制作為生存與發(fā)展的基礎，以公司治理作為參與風險管理的前提條件，以對組織風險的評估與改善作為基本目標[1].

　　一、風險導向內(nèi)部審計產(chǎn)生的現(xiàn)實背景

　　風險導向內(nèi)部審計是環(huán)境的產(chǎn)物，它的產(chǎn)生有其現(xiàn)實背景，其中，現(xiàn)代企業(yè)面臨的高風險經(jīng)營環(huán)境引起企業(yè)對內(nèi)部審計的需求的變化是風險導向內(nèi)部審計產(chǎn)生的內(nèi)部背景，而審計外部化趨勢侵蝕內(nèi)部審計生存的職業(yè)空間是風險導向內(nèi)部審計產(chǎn)生的外部背景。

　　（一）現(xiàn)代企業(yè)面臨的高風險經(jīng)營環(huán)境引起企業(yè)對內(nèi)部審計的需求的變化

　　由于技術(shù)的快速創(chuàng)新以及由此導致的制度創(chuàng)新，現(xiàn)代企業(yè)所面臨的商業(yè)環(huán)境和市場競爭不確定性越來越大，一方面變化周期縮短，商業(yè)環(huán)境和市場競爭的變化速度超過了以往任何時代；另一方面商業(yè)環(huán)境和市場競爭變化越來越徹底，企業(yè)明天的生存與發(fā)展環(huán)境可能與今天的幾乎沒有任何必然的聯(lián)系，現(xiàn)代企業(yè)處于高風險的經(jīng)營環(huán)境之中。

　　在這樣的環(huán)境中，企業(yè)生存與發(fā)展的關鍵，更多地取決于對未來環(huán)境變化的適應和把握。企業(yè)必須在戰(zhàn)略目標、重大投資決策、日常經(jīng)營活動和績效評估等各個方面高度關注風險因素[2].因此，企業(yè)要求職能部門在進行各自活動的時候高度重視風險，并將其納入到企業(yè)的整體風險管理范圍當中，組織各個管理或治理層次、各個職能部門為實現(xiàn)企業(yè)的基本目標而進行全面的風險管理。風險管理成為高風險環(huán)境下企業(yè)活動的中心任務。國際上很多著名的企業(yè)甚至成立了專業(yè)的風險管理部門進行整合的風險管理，許多小型的公司則指定專門的人員負責實施全面的風險管理。這些專業(yè)的風險管理，使用一整套包括風險識別、風險評估、風險控制以及風險融資、危機和索賠管理在內(nèi)的、相對完整的風險管理程序和方法，把以前分別由安全健康部門通過保險市場進行管理的實質(zhì)性風險和由財務部門通過資本市場進行管理的財務性風險整合起來，由專門的風險管理部門通過更為高級的風險管理市場加以管理[3].

　　內(nèi)部審計作為企業(yè)內(nèi)置的一個職能部門，必然應當成為企業(yè)風險管理的有效組成部分，從組織目標的角度來評估與改善風險，為專業(yè)的風險管理部門或?qū)Ｂ毜娘L險管理人員提供咨詢與保證服務，從而推行風險導向內(nèi)部審計。

　　（二）企業(yè)內(nèi)部審計外部化趨勢侵蝕內(nèi)部審計生存的職業(yè)空間

　　內(nèi)部審計外部化，是指企業(yè)將內(nèi)部審計的部分或全部職能交由外部的會計師事務所等中介機構(gòu)來完成，企業(yè)同時給這些機構(gòu)支付相應的費用的現(xiàn)象。企業(yè)在激烈的市場競爭中，可以根據(jù)自身的比較優(yōu)勢，積極發(fā)揮核心競爭力，專注于自己擅長的項目，把自己不擅長的項目外包出去。以下因素促進了內(nèi)部審計外部化的日益發(fā)展：首先，內(nèi)部審計作為一個企業(yè)的內(nèi)部職能活動，在時間上具有重復性的特點，基本符合外包項目的初步條件；其次，外部審計出于控制審計風險的需要，在報表審計的過程中十分重視對企業(yè)內(nèi)部的審查與評價，在長期報表審計實踐中對企業(yè)內(nèi)部控制評價逐漸形成了專業(yè)上的相對優(yōu)勢，這使得外部審計參與內(nèi)部審計外部化成為可能；再者，近年來外部審計的審計業(yè)務面臨日益嚴重的法律訴訟危機、同業(yè)低價競爭危機，由審計業(yè)務收費帶來的收入持續(xù)降低，非審計服務的收費甚至成為各大會計師事務所收入的主要來源，外部審計被迫將業(yè)務轉(zhuǎn)向內(nèi)部審計外包和管理咨詢等非審計服務；最后，管理者或出于成本效益原則的考慮，或為了影響報表審計的意見類型，或為了誘使外部審計降低審計收費，越來越傾向于內(nèi)部審計外包。內(nèi)部審計外部化在客觀上使得內(nèi)部審計和外部審計在管理者面前展開激烈的業(yè)務競爭，動搖內(nèi)部審計在組織中的地位，威脅內(nèi)部審計的職業(yè)生存。在這種危機面前，內(nèi)部審計為整個組織提供風險方面的咨詢與保證服務，積極推行風險導向?qū)徲嫞瑢⑻岣咂湓诮M織中的不可替代性，減弱外部化帶來的不利影響，從而保持與擴展其職業(yè)生存空間。

　　二、風險導向內(nèi)部審計的基本特點

　?。ㄒ唬﹥?nèi)部控制是風險導向內(nèi)部審計的基礎

　　對于內(nèi)部審計，內(nèi)部控制極端重要。首先，從理論上講，內(nèi)部審計是內(nèi)部控制的一個重要環(huán)節(jié)，是對其它內(nèi)部控制環(huán)節(jié)的再控制，沒有內(nèi)部控制就沒有內(nèi)部審計；其次，自從走上獨立的職業(yè)化道路以后，內(nèi)部審計把內(nèi)部控制作為其基本業(yè)務這一事實始終未變?！秲?nèi)部審計實務標準框架》雖然將內(nèi)部審計的業(yè)務范圍拓展到風險管理和治理程序，但是依然將控制的評估和改善作為其三大內(nèi)容之一；再次，內(nèi)部控制還是內(nèi)部審計其它兩個業(yè)務活動的基礎。內(nèi)部審計工作要得到董事會和審計委員會的認可與采信，最重要的是因為內(nèi)部審計師作為內(nèi)部控制方面的專家，而不是風險管理方面的專家。內(nèi)部審計要對公司的風險管理加以評估與改善，也首先得從內(nèi)部控制領域中的風險做起?？梢?，內(nèi)部控制是內(nèi)部審計的安身立命之本，是風險導向內(nèi)部審計進入公司治理、評估改善組織風險的基礎。

　?。ǘ︼L險的評估與改善是風險導向內(nèi)部審計的首要目標

　　不論內(nèi)部審計對內(nèi)部控制進行評估與改善，還是對公司治理程序進行評估與改善，都應該是以風險評估與改善作為首要目標。如果說公司治理是企業(yè)董事會對風險管理的戰(zhàn)略反應、內(nèi)部控制是企業(yè)對風險的戰(zhàn)術(shù)反應，那么內(nèi)部審計就是對組織全部風險的一般反應，其一切活動都要以風險作為出發(fā)點和落腳點。首先，內(nèi)部審計充分利用在內(nèi)部控制領域的專家地位，聯(lián)系組織的目標評估與分析內(nèi)部控制中的風險，直接報告給管理者，在需要時通過審計委員會報告給董事會；其次，內(nèi)部審計幫助董事會在進行戰(zhàn)略決策、重大人事的任免和重大的投資和財務計劃的制訂方面識別和評估風險，以確保組織重大決策的正確實施；最后，內(nèi)部審計要利用自己對組織內(nèi)部的全面了解和對風險的直觀認識，為專業(yè)的風險管理部門提供咨詢與保證活動，參與企業(yè)的整合風險管理?？傊L險導向內(nèi)部審計不是在簡單的內(nèi)部控制領域消極地查錯防弊，而必須以組織的整體風險評估作為自己的首要工作目的。

　　三、企業(yè)風險管理框架與風險導向內(nèi)部審計的聯(lián)系

　　在IIA通過修改內(nèi)部審計定義倡導風險導向內(nèi)部審計以后，COSO（反欺詐性財務報告委員會）在2004年正式提出《企業(yè)風險管理框架》（簡稱ERM），重新修改了內(nèi)部控制的定義。新定義將原來的內(nèi)部控制進行了多方面的修改與補充，更突出了對企業(yè)風險的高度關注，這與IIA以整個組織風險的評估與改善為中心任務的風險導向?qū)徲嬂砟畈恢\而合。因而，探討風險導向內(nèi)部審計與企業(yè)風險管理框架之間的聯(lián)系，就成為探討風險導向內(nèi)部審計無法回避的理論問題之一。

　?。ㄒ唬╋L險導向內(nèi)部審計的對象就是企業(yè)風險管理框架

　　盡管1992年COSO的整體架構(gòu)在提高人們對內(nèi)部控制的認識程度、加強內(nèi)部控制在公司治理中的作用方面發(fā)揮了重要的作用，但是沒有將確定目標、戰(zhàn)略規(guī)劃、風險管理和糾錯行動包括在內(nèi)。自從其發(fā)布以來，遭受了持續(xù)的批評甚至否定。內(nèi)部控制整體架構(gòu)被普遍認為是用來減少外部審計職業(yè)風險，而非服務于管理者的、以企業(yè)會計財務控制為中心的財務報告質(zhì)量控制框架，CoCo控制指南、MBNQA評價標準、IIA內(nèi)部控制指南紛紛出臺并在企業(yè)風險日益威脅企業(yè)生存的環(huán)境中得到越來越廣泛的應用。COSO整體架構(gòu)面臨嚴峻的挑戰(zhàn)，企業(yè)風險管理框架就是COSO應對這種挑戰(zhàn)的產(chǎn)物[4].

　　ERM是一個包含四個目標、八個要素和四個層次的整合框架，四個目標、八個要素和四個層次相互交叉，和原來的ICIF相比，完全體現(xiàn)了管理者以企業(yè)風險管理為己任的理念。首先，ERM在目標方面增加了戰(zhàn)略目標，將對企業(yè)的風險關注重點引向了重大的、根本性的戰(zhàn)略問題；其次，在ICIF五要素的基礎上增加了目標設定、事件識別和風險評估三個要素，與原來的風險評估要素一起構(gòu)成了一個完整的風險管理的基本過程；最后，ERM強調(diào)將企業(yè)風險管理覆蓋所有層次，包括業(yè)務單元、子公司、分支機構(gòu)和公司的整體層次，而業(yè)務單元、子公司、分支機構(gòu)和公司的整體層次正是公司治理和內(nèi)部控制涉及的全部領域?？梢?，ERM是一個整合公司治理和內(nèi)部控制的企業(yè)風險管理框架，它關注包括公司治理領域和內(nèi)部控制環(huán)節(jié)的風險在內(nèi)的一切風險，而公司治理領域和包括內(nèi)部控制環(huán)節(jié)的風險在內(nèi)的所有風險正是風險導向內(nèi)部審計的對象。所以，企業(yè)風險管理框架就可以被視為風險導向內(nèi)部審計的對象。

　?。ǘ┢髽I(yè)風險管理框架為實踐風險導向內(nèi)部審計提供了現(xiàn)實指導

　　風險導向內(nèi)部審計為企業(yè)在高風險環(huán)境中的內(nèi)部審計提供了一種新的理念，但是這種新的理念并沒有為內(nèi)部審計人員實踐風險導向內(nèi)部審計提供一個可以據(jù)以操作的具體思路。內(nèi)部審計想要實踐風險導向內(nèi)部審計，就必須根據(jù)一般的風險管理模式開發(fā)與維護內(nèi)部審計的風險管理審計程序。這就產(chǎn)生了以下問題：第一，開發(fā)與維護內(nèi)部審計的風險管理審計程序需消耗額外的內(nèi)部審計資源；其次，內(nèi)部審計開發(fā)出來的風險管理審計程序可能和企業(yè)內(nèi)部既有的風險管理程序發(fā)生沖突，在缺少權(quán)威性的專業(yè)指導時得不到重視。ERM的出臺為風險導向內(nèi)部審計提供了權(quán)威的工作依據(jù)。根據(jù)ERM，風險導向內(nèi)部審計的工作就可以有條不紊地分解為：針對組織特定目標（戰(zhàn)略目標、報告目標、經(jīng)營目標與合法性目標）、特定的管理層次（組織整體層面、分部、經(jīng)營單元、子公司）實施各自的風險審計程序（內(nèi)部環(huán)境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通），內(nèi)部審計無須在目標制定環(huán)節(jié)之外另外尋求其它的目標分類標準，無須為確定審計范圍進行太多的思考，更無須為風險導向?qū)徲嫵绦虮旧淼脑O計投入更多的資源。

　　四、風險導向內(nèi)部審計與風險導向外部審計的差異

　　在IIA倡導風險導向內(nèi)部審計以前，外部審計就在實施風險導向外部審計。風險導向外部審計是指外部審計為了適應審計業(yè)務量巨大的增長，降低審計成本，高效利用審計資源的同時有效降低審計風險而開發(fā)的一種現(xiàn)代審計風險模式，它是對制度基礎審計的高度深化與全面發(fā)展，正日益受到審計理論界的推崇和實務界的青睞。因此，探討風險導向內(nèi)部審計與風險導向外部審計兩者的差異就成為風險導向內(nèi)部審計的又一個基本的問題。

　　雖然風險導向內(nèi)部審計與風險導向外部審計都高度重視對審計客體的風險評估，但是“風險導向”的內(nèi)涵、目標和范圍在內(nèi)部審計和外部審計中是完全不一樣的。

　?。ㄒ唬﹥烧叩膬?nèi)涵不同。風險導向內(nèi)部審計是以內(nèi)部審計的主體組織的內(nèi)部控制為基礎、同時考慮公司治理在內(nèi)的、以組織整體風險作為審計重點的一種審計。這里的風險突出的是審計對象的含義；而風險導向外部審計是指審計主體在進行審計程序時，首先評估企業(yè)的風險，然后依據(jù)風險評估的結(jié)果來確定審計的重點，從而決定審計資源的分配，進而確定余額測試和交易測試的內(nèi)容。這里的風險導向?qū)嵸|(zhì)是一種審計策略。

　?。ǘ﹥烧叩哪繕瞬煌?。風險導向內(nèi)部審計的目標在于通過對風險評估來提出風險管理的對策，有效降低所在組織的風險，從而增加企業(yè)的價值，充分發(fā)揮內(nèi)部審計的作用。而風險導向外部審計的目標則在于審計主體的利益最大化。這個目標通過以下方式實現(xiàn)：第一，提高審計效率。企業(yè)進行財務造假或進行虛假陳述，往往是在企業(yè)無法完成既定目標的領域、也就是企業(yè)的高風險領域發(fā)生的。而在低風險領域，企業(yè)沒有相應的動機。因此外部審計可以首先識別出企業(yè)的高風險領域，進而集中審計資源進行重點、詳細的審計，從而提高審計的效率。第二，降低審計風險。在不存在法律責任的情況下，審計風險并不會給審計主體帶來利益上的傷害，但是現(xiàn)代資本市場中投資者和其它第三方經(jīng)常以侵權(quán)或違約來對外部審計提起訴訟，使其承擔巨額的損害賠償責任，從而現(xiàn)實地影響到審計主體的利益。而風險導向?qū)徲嫷淖谥季褪鞘箤徲嬶L險處于嚴密的控制之下，有效地減少外部審計的法律責任，因而風險導向外部審計的目標就是通過提高審計效率、降低審計風險來服務于審計主體，以維護審計主體自身的利益。

　?。ㄈ╋L險范圍不同。作為審計的內(nèi)容，風險導向內(nèi)部審計中的風險是針對組織所有目標、所有管理層次的各種性質(zhì)的全部風險，它可以理解為ERM中的關注全部風險，其中包括戰(zhàn)略風險、報告風險、遵循風險和經(jīng)營風險。而作為審計的策略，風險導向外部審計中的風險只是與企業(yè)報告的編制流程相關的、影響企業(yè)報表公允性的內(nèi)部控制失效風險，它基本上等同于1992年ICIF關注的風險和ERM關注的部分風險———報告風險中的財務報告風險。

　　五、結(jié)論與現(xiàn)實啟示

　　風險導向內(nèi)部審計是內(nèi)部審計在高風險社會產(chǎn)生的、為了應對職業(yè)危機而推出的一種全新的審計理念。IIA通過修改內(nèi)部審計定義加速了它的發(fā)展并使其成為現(xiàn)代內(nèi)部審計發(fā)展的一種必然趨勢。我們還注意到，風險導向內(nèi)部審計與傳統(tǒng)的控制導向內(nèi)部審計相比有其獨特的業(yè)務范圍、服務對象和審計內(nèi)容；同時，IIA風險導向內(nèi)部審計與COSO的企業(yè)風險管理框架之間存在著內(nèi)在的聯(lián)系，但卻與風險導向外部審計存在著本質(zhì)的區(qū)別。在國際范圍內(nèi)推行風險導向內(nèi)部審計，就是要在傳統(tǒng)內(nèi)部審計的基礎上積極拓展業(yè)務范圍，提升服務的層次，變革審計內(nèi)容，有效借鑒企業(yè)風險管理框架提供的思路，并嚴格將其與風險導向外部審計區(qū)別開來。

　　與國際內(nèi)部審計的實踐相比，我國的內(nèi)部審計實踐尚處于較初級的階段，這表現(xiàn)在我國現(xiàn)行的內(nèi)部審計準則沒有要求內(nèi)部審計涉足公司治理領域，從而對組織的風險管理活動進行評估與改善，而只要求對內(nèi)部控制進行評價和監(jiān)督。但是，我國目前在內(nèi)部審計發(fā)展過程中，風險導向內(nèi)部審計產(chǎn)生與發(fā)展的現(xiàn)實背景同樣存在。因此，我國也應該逐步推行風險導向內(nèi)部審計。在我國推行風險導向內(nèi)部審計，可以考慮從控制領域開始，以識別和評估組織風險作為內(nèi)部控制評價與監(jiān)督的目標，而把內(nèi)部控制評價和監(jiān)督作為風險管理的手段。只有這樣，我國內(nèi)部審計才能為組織提供更多的增值服務，從而提高在組織中的地位，未雨綢繆，消除潛在的職業(yè)危機。

　　[參考文獻]

　　[1]王光遠。管理審計理論[M].北京：中國人民大學出版社，1996.

　　[2]中國內(nèi)部審計協(xié)會。中國內(nèi)部審計規(guī)定與中國內(nèi)部審計準則[S].北京：中國石化出版社，2004.

　　[3]托馬斯L巴頓，威廉G申克等。企業(yè)風險管理[M].王劍鋒，寇國龍，譯。北京：中國人民大學出版社，2004.

　　[4]史蒂文魯特。超越COSO：強化公司治理的內(nèi)部控制[M]劉霄侖，譯。北京：中信出版社，2004.