隨著經濟全球化和科學技術的迅猛發(fā)展，日益復雜的組織內部關系和競爭日趨激烈的外部市場，使經濟社會中不確定因素越來越多，企業(yè)承擔的風險也隨之加大。內部審計作為企業(yè)內部控制和風險管理的一種制度安排，需要順勢而為，不斷調整自己的業(yè)務范圍和審計目標。內部審計不僅關注內部控制，也積極參與到企業(yè)的風險管理；審計目標從過去被動地差錯糾弊，變?yōu)橹鲃拥貛椭髽I(yè)增加價值。因此，風險導向型內部審計的提出滿足了現代企業(yè)對內部審計在風險管理、內部控制和公司治理方面的更高要求。

　　一、風險導向型內部審計的含義及特點

　　(一)風險導向型內部審計的含義

　　狹義的企業(yè)風險指有礙于組織目標實現的威脅因素，通常分為三大類：外部環(huán)境風險、經營過程和資產損失風險、以及信息風險。由于事后補償的保險難以發(fā)揮對組織風險結果予以彌補的作用，因此，風險管理既是必要的，又是可行的?；诖耍珻OSO委員會于2004年正式提出《企業(yè)風險管理框架》(簡稱ERM)，將企業(yè)風險管理定義為：是一個受機構的董事會、管理層以及其他人員影響的過程，它可以運用在戰(zhàn)略設定并貫穿于企業(yè)當中，設計企業(yè)風險管理旨在確認影響機構的潛在事件，并在風險偏好內管理風險，為機構目標的實現提供合理的保證。企業(yè)風險管理(ERM)由以下八個要素構成：內部環(huán)境、目標設定、事件確認、風險評估、風險回應、控制活動、信息和溝通、監(jiān)控。這八個方面組成要素是一個有機的整體，體現的是一個動態(tài)的過程。一種觀點認為，風險導向型內部審計的風險就是審計風險；而另一種觀點則認為，所謂的“風險”不是單純意義的“審計風險”，更大意義上是指企業(yè)風險。在《布林克現代內部審計學》第六版中提到“現在的內部審計人員要運用前后一致的方法來理解和評估審計風險，包括與單個被審計機構有關聯的風險以及整個組織所面臨的整體風險”，可見，風險導向型內部審計是以審計風險模型為審計方法，以對整個組織的風險進行評估與改善為最終目的的一種審計理念。

　　(二)風險導向型內部審計的特點

　　與制度導向型內部審計相比，風險導向型內部審計具有以下特點：

　　一是風險導向型內部審計的基礎是內部控制。COSO將內部控制定義為：內部控制是一個過程，受機構的董事會、管理層以及其他人員的影響，設計內部控制是為以下類別的目標的實現提供合理的保證：運營的效果和效率、財務報告的可靠性、以及遵守適用的法律和法規(guī)。對內部控制評價的過程就是內部審計的過程，一個企業(yè)內部控制的好壞，與審計風險的高低直接相關，所以內部控制始終都是內部審計關注的重點；同時，內部審計也是內部控制的一個重要環(huán)節(jié)，是對其它內部控制環(huán)節(jié)的再控制。重視日?？刂苹顒?，抓住內部審計監(jiān)督評價環(huán)節(jié)，為企業(yè)目標實現提供合理保證。此外，構成內部控制的五個要素是：控制環(huán)境、風險評估、控制活動、信息和溝通、以及監(jiān)控。內部審計要對公司的風險管理加以評估與改善，首先要從內部控制領域中的風險做起?？梢?，風險導向內部審計是以內部控制結構為內容，關注風險發(fā)生的可能性。所以，內部控制是風險導向內部審計進入公司治理、評估改善組織風險的基礎。

　　二是風險導向型內部審計的內容是風險管理。內部審計介入風險管理是內部審計職業(yè)發(fā)展的要求，也是企業(yè)發(fā)展的需求。從ERM框架可知，它關注包括公司治理領域和內部控制環(huán)節(jié)的風險在內的一切風險，因此，風險管理不僅要求全面識別風險，而且要熟悉本單位的經營戰(zhàn)略、工作程序、組織結構等，而內部審計人員的獨特地位與專業(yè)知識滿足了以上要求，風險管理必然成為內部審計的主要業(yè)務之一。風險導向內部審計要求內審人員在審計過程中自始至終都關注企業(yè)風險、識別風險，依據風險選擇項目，以降低風險為導向，進行內部控制制度的符合性測試、實質性測試，并進行監(jiān)督檢查和評價，提出建設性意見和建議，其審計報告可以作為揭示企業(yè)風險、防范風險以及信息交流的信號，協助企業(yè)管理風險。風險導向內部審計以風險為出發(fā)點，不僅能夠使其服務范圍與企業(yè)發(fā)展戰(zhàn)略與經營目標直接聯系，而且以其在企業(yè)中的獨特地位和專業(yè)知識能夠從根本上解釋和評估風險管理措施，從而提高風險管理的有效性。

　　三是風險導向型內部審計是提高審計資源利用效率的途徑。風險導向內部審計不僅重視會計信息，而且重視經濟信息、產業(yè)信息和財務信息等，其審計模式是：在對企業(yè)所有風險進行徹底了解后，內部審計人員對風險進行排序，根據風險大小來確定審計范圍，對于有證據表明風險較低的領域，應依賴內部控制或分析性復核；對于被認為風險較高的領域，分配更多的審計資源，可實施大量的實質性測試和余額細節(jié)測試。這樣恰當、有效地分配內部審計資源，使得更多與風險管理相關的控制和活動得到關注，將審計手段與審計目標更好地結合在一起，可以提高審計的科學性、針對性和績效性。所以，風險導向內部審計提供了一種既能保持審計效果，又能提高審計效率的工作思路。

　　二、風險導向型內部審計在企業(yè)風險管理中的作用及其途徑

　　(一)風險導向型內部審計在企業(yè)風險管理中的作用

　　一是在風險環(huán)境分析中的作用。風險環(huán)境是指影響組織經營目標不能實現的經營環(huán)境，包括內部風險環(huán)境和外部風險環(huán)境。外部環(huán)境因素主要包括法律、政治和經濟等環(huán)境因素；內部環(huán)境因素主要有：企業(yè)的風險偏好與風險文化、誠信與道德價值、管理理念與經營風格、組織結構與權責劃分等，其是企業(yè)設定經營目標和戰(zhàn)略計劃的基礎。由于經營環(huán)境是風險的根源，因此內部審計應從著眼于風險轉到著眼于經營環(huán)境，通過對經營環(huán)境(包括一般環(huán)境和社會環(huán)境、創(chuàng)業(yè)環(huán)境、內部審計應用環(huán)境和組織環(huán)境等)的分析，以進一步評估組織的“固有風險”和“剩余風險”，并通過對企業(yè)各項環(huán)境因素變化的分析，將分析結果以審計報告的形式反映給管理層，以便管理層更加有效地管理風險。正是由于內部審計熟悉企業(yè)的內部環(huán)境、并具有相對獨立的職能地位，可以全面客觀的判斷企業(yè)的固有風險、評價企業(yè)目標的有效性和可行性。

　　二是在風險事件識別活動中的作用。ERM框架要求識別出所有可能發(fā)生并對企業(yè)目標實現產生不利影響的重要狀況，該步驟非常重要，因為未被識別的事件不會在風險回應中得到處理，可能導致意外風險的發(fā)生。內部審計針對現有環(huán)境與經營過程，通常以各種類型的戰(zhàn)略或各種形式的商業(yè)活動為基礎的模板，觀察同行業(yè)內其他企業(yè)的經營情況及整個市場的經營風險水平，同時，內部審計人員以其專業(yè)知識和技術，獨立地推斷潛在的重大風險。因此，在風險事件識別活動中。內部審計人員要判斷管理層是否完全識別了單位的所有風險。

　　三是在風險評估中的作用。風險導向型內部審計通常要求采用風險評級和計分的方法進行風險評估，并根據量化的風險水平排定優(yōu)先次序，盡量找出風險存在的根本原因，以尋求最好的解決方案。對難以客觀量化的風險事件，則采用主觀估計風險發(fā)生的可能性，此時，內部審計人員的職業(yè)判斷最得尤為重要，其可以幫助管理者做出比較正確的選擇。可見，在風險評估中，內部審計人員需要從客觀的角度分析風險的假設條件、計算方法的適當性來評價風險，以向管理層提供專業(yè)意見。

　　四是在風險反映和控制活動中的作用。對于經過識別和評估后的風險，企業(yè)都要經過風險與收益的權衡。ERM將風險反映分為j類：可接受風險、規(guī)避風險和減少風險。規(guī)避風險超出了企業(yè)的風險偏好，企業(yè)不能接受且無法經濟有效地加以抑制，則須放棄該項目或計劃從而避免風險帶來負面影響。對于大部分風險，需要企業(yè)采取一定的行動，轉移或分散風險，以達到企業(yè)可接受的水平。為此，企業(yè)需要對其風險加以控制，即將不可接受的“固有風險”轉化為可接受的“剩余風險”，由于控制活動本身是很復雜的，內部審計人員通常采用分析性程序和詳細測試，評估控制活動的有效性，使風險得以管理。因此，在風險反映和控制活動中，內部審計人員通過分析、評估風險回避的合理性、減少風險措施的有效性，以降低組織承受的風險。

　　五是在風險信息溝通和風險管理系統(tǒng)監(jiān)控中的作用。風險管理涉及企業(yè)各個職能主體，是各管理部門共同承擔企業(yè)的綜合風險。風險導向內部審計從評價各部門內部控制制度人手，在各領域查找管理漏洞，以獨立第三方的身份驗證信息的準確性和及時性，幫助企業(yè)管理當局進行風險的管理與協調。為此，內部審計人員需要采用風險監(jiān)控方式，將經營計量系統(tǒng)記錄的業(yè)績與計劃和預算中的預期業(yè)績以及同一時期的競爭者業(yè)績進行比較，來判斷風險環(huán)境中新的風險和變化，便于管理者及時做出反應?？梢?，在風險信息溝通和風險管理系統(tǒng)監(jiān)控中，內部審計人員通過審計報告以向董事會和審計委員會傳遞風險是否得到有效管理的信息，保證單位對風險的管理是一直有效的。

　　(二)風險導向型內部審計在企業(yè)風險管理中發(fā)揮作用的途徑

　　風險管理框架(ERM)下的內部審計關注的核心是企業(yè)的風險管理過程和剩余風險水平，由于內部審計部門所進行的風險管理是對剩余風險的確認并提出咨詢建議，因此，內部審計參與風險管理的途徑是開展風險導向型審計。通過開展風險導向審計，內部審計將事后評價轉變?yōu)楦鼮榧皶r和主動的事前事中的風險審查和事后的動態(tài)反應，全過程控制和管理企業(yè)風險，從而能夠客觀評價風險管理系統(tǒng)，以降低風險損失。因此，剩余風險是風險導向審計需要關注的重點領域。內部審計部門所進行的風險導向審計就是通過系統(tǒng)的分析、認定和評價被審計對象各個領域的固有風險及其管理狀況，評價其得出的已量化的剩余風險水平，并據此確定進一步審計的范圍、重點和方法。因此，在審計實務中，內部審計部門要從審計的過程和整體角度分析審計風險在審計中的作用。把審計基礎工作大量放在對被審計對象業(yè)務過程的調查，對內部控制要素進行控制測試，并對財務報表和業(yè)務操作程序、審計環(huán)境等進行科學分析、判斷上，從而使期末需要審查的結果，在期初和期中得到判斷。對剩余風險審計的主要目的是將剩余風險降低至可接受水平，為此，需要通過以下途徑實現風險導向型內部審計在企業(yè)風險管理中的作用：了解管理層確定可以接受的剩余風險水平；確認業(yè)務活動領域的剩余風險并進行優(yōu)先排序，將主要審計資源分配到高風險領域；審計師需要將在審計過程中發(fā)現企業(yè)尚未對某些重要風險采取管理措施，應同被審計單位或被審計對象的管理層進行溝通，并向其提出管理建議，從而協助被審計單位預防或檢查將來可能出現的錯弊。最后，內部審計師以經過核實的審計證據為依據提出風險審計報告。風險審計報告是針對剩余風險提出相關建議，以幫助管理層采取必要措施改進控制系統(tǒng)所形成的書面文件，它是內部審計參與企業(yè)風險管理的集中表現，也是內部審計發(fā)揮風險管理作用的重要形式。

　　三、風險導向型內部審計應注意的問題

　　(一)責任問題 企業(yè)風險管理作為風險導向型內部審計的主要業(yè)務，內部審計人員并不參與風險管理的建立和運行過程，而是在企業(yè)已有風險管理的基礎上實施再監(jiān)督，以促進風險管理過程的建立或使風險管理的有效性成為可能。

　　(二)途徑問題 在企業(yè)風險管理框架下，內部審計是風險管理的函數，是對風險管理的再管理，因此，內部審計參與風險管理的途徑有兩種：即風險管理審計和風險導向審計。但對風險導向型內部審計而言，其路徑專指第二種，即對剩余風險的確認、排序和建議。

　　(三)側重點問題 風險導向內部審計的審計模式遵循了：目標一風險—控制的順序，重視與企業(yè)目標直接關聯的風險分析，所以，風險導向內部審計在評估企業(yè)風險管理時，關注的是優(yōu)先選擇高風險領域的控制，并且著眼于評估具體控制對風險管理的效果。此時，內審部門不再只是強化控制。而是通過規(guī)避轉移和控制風險，使風險管理更加有效并提高企業(yè)整體經營管理的效果和效率。