风险导向型内部审计实施机制探讨

[摘 要] 风险导向内部审计的本质是确保受托责任有效履行的能动的管理控制机制，“增加价值”是风险导向内部审计的指导方向，是内部审计活动的宗旨和目的。ROIA作为一种新兴的内部审计模式，要协调好程序理性与结果理性之间的冲突，必须建立在合乎逻辑的委托理论和风险管理理论基础上。风险导向型内部审计实施机制是实施的程序和过程，主要是制定风险导向型内部审计章程、风险导向内部审计机构设置和规范ROIA实施程序。

[关键词] 风险导向;内部审计;实施机制

[中图分类号] F239.4 [文献标识码] B

一、引言

随着日益加剧的商业竞争和企业经营管控的复杂化，投资者、管理者、董事会以及社会公众等对企业内部审计监督职能期望越来越高。除了对企业财务收支活动的真实、合法性审计之外，内部审计机构还应尽可能发现公司存在的舞弊行为，并对企业面临的战略风险、业务经营风险、管理风险进行识别、评估和采取进一步应对措施。特别是《企业内部控制基本规范》及其配套指引的实施，对上市公司内部审计从制度遵循性审计向风险导向内部审计模式的转变确立了法理基础。对风险导向内部审计的内涵、实施过程、关注重点等内容的分析，对企业在风险管理框架下实施ROIA提供了操作借鉴。

二、文献述评

麦克宁（McNamee）[1]提出了内部审计的新范式―ROIA，反映了ROIA目标与企业目标的契合，首先确认企业目标或某项交易的目标，然后分析对这些目标产生影响的风险以及能够管理这些风险的控制，最后测试实际的控制考虑其能否切实管理这些风险。2001年，COSO委员会（Committee of Sponsoring Organization of the Tread way Commission）开始着手对企业整体风险管理框架（Enterprise Risk Management Framework，简称ERM）进行研究，2003年7月了ERM框架征求意见稿。2002年7月25日，美国国会通过了《萨班斯―奥克斯利（SOX）法案》（即《公众公司会计改革和投资者保护法案》，以下简称《法案》）。《法案》要求所有在美国上市的公司都必须设立审计委员会，内部审计的作用与职责得到充分肯定。2004年COSO委员会推出了《企业风险管理――整体框架》，体现了企业内控与风险管理在为利益相关者创造价值中的重要性。

国内关于ROIA大都还局限于金融、保险等高风险行业的研究。如王军法，关旭（2010）分析了ROIA在商业银行风险管理中的重要作用[2]。在内部审计项目过程中，黄海，张晨（2008）认为风险导向内部审计研究主要集中于如何在年度审计计划编制过程中运用ROIA[3]。但是国内关于具体审计项目中贯彻ROIA理念的实践性研究并不多见。如何按照《企业内部控制基本规范》的强制要求实施风险导向内部审计，成为摆在我国上市公司治理层面亟待解决的问题。

三、风险导向内部审计基本理论分析

（一）风险导向内部审计的内涵

IIA在《组织治理―内部审计人员指南》中明确表示：“内部审计是通过对组织的风险管理、控制和治理程序进行确认，才成为有效治理重要基石之一的”。可见，ROIA是以对整个组织的风险进行全面评估与改善，以达到防弊、兴利、增值目的的一种审计理念。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改善风险管理、控制和治理过程的效果，帮助组织实现其目标。

1.风险导向内部审计的本质。在风险管理框架下，受托责任关系以及管理控制发生了一系列变化：首先在于委托人的广泛性所带来的外部受托责任多样化，与强调股东利益的狭义委托受托关系相比，现阶段更加强调各种利益相关者的利益，包括顾客、员工甚至社会等。其次，由于股权的分散，企业规模的扩大，企业内部管理层次的增多，导致内部受托责任的多层性。企业必须将更广泛的外部受托责任关系分解到多层次的风险管理之中，因此ROIA的本质是确保受托责任有效履行的能动的管理控制机制[4]。

2.风险导向内部审计的对象。内部审计对象是内部审计的客体，与内部审计本质有密切关系。这种综合审计相比管理导向内部审计阶段而言，更强调关注公司治理框架中风险发现与风险管理，关注管理者及其经营管理行为可能出现的风险，关注组织在整个治理过程中的决策风险与经营风险。

3.风险导向内部审计的目标。ROIA目标及职能审计主体通过内部审计活动所期望达到的目标或者说是一种境界，体现的是主观的要求。“增加价值”一词是风险导向内部审计的指导方向，是内部审计活动的宗旨和目的，内部审计虽然不参加生产和销售活动，但它可以通过保护组织资产、减少组织风险、降低自身审计成本、提出有价值的建议、增加阻止获利机会等活动来为组织增加价值，为组织带来巨大的利益。

（二）ROIA的理论基础

ROIA作为一种新兴的内部审计模式，要协调好程序理性与结果理性之间的冲突，必须建立在合乎逻辑的以下理论基础之上：

1.委托理论。最初则是于1976年由Jensen & Meckling提出来的，这一理论后来发展成为契约成本理论（张春霖，1994）。内部审计服务主要面向公司管理当局和公司董事会。内部审计是因为所有权和经营权问题而产生，其目的在于降低企业成本、最大化企业价值。委托人和人往往都有各自不同的利益诉求，利益冲突难以避免。内部审计服务正是增强委托人和人信任，化解双方利益冲突的一种制度安排。

2.风险管理理论。早先的风险管理理论把风险管理的对象局限在纯粹风险，且重点放在风险控制上。但从目前的理论研究看，开始转向以企业风险为管理对象的全部风险说法转变。班尼斯特和鲍卡特（1998）在《Practical Risk Management》中认为：“风险管理应对威胁企业资产和收益的风险进行识别、测定和经济控制”。威廉斯和汉斯（2004）指出：风险管理是通过对风险的识别、衡量和控制而以最小的成本使风险所致损失达到最低程度的管理方法。如今，风险管理已成为一门新兴管理学科。ROIA对企业风险识别、衡量以及应对就是风险管理理论在内部审计领域的运用。

（三）风险导向内部审计的特征

索耶将内部审计定义为：对组织中各类业务和控制进行独立评价，以确定是否遵循公认的方针和程序，是否符合规定和标准，是否有效和经济的使用了资源。而ROIA是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。与传统内部审计比较，ROIA的特征主要表现在：一是审计的起点从公司的全面风险识别与评估开始，从企业内部控制环境出发，识别与评价财务报告层次的重大错报风险，包括企业战略与商业模式规划、经营业务执行层面的风险源;二是审计的方法方面，更加注重分析程序的运用，比如业务收入，成本等的趋势、结构以及比较分析等;三是审计的目标侧重在识别与应对风险基础上，为公司价值增值提供确认与咨询服务。

四、风险导向型内部审计实施机制

实施机制是实施的程序和过程，是指制度内部各要素之间彼此依存，有机结合和自动调节所形成的内在关联和运行方式。ROIA实施机制主要指ROIA章程的制定，部门的建立和ROIA的具体实施过程。

（一）制定风险导向型内部审计章程

内部审计是组织内部保障和支持组织目标实现的一种独立的管理活动。其活动范围涉及各个不同的职能部门、不同的管理层级以及各种信息资源。因此，在内部审计章程中对内部审计活动目标、权利和职责进行清晰明确的界定是开展内部审计的基本条件和重要保障。内部审计章程一般由内部审计机构起草，起草的章程要与组织目标和内部审计准则相一致，然后报给高级管理层、董事会、审计委员会或其他治理机构批准或通过。章程一经批准便形成管理当局与内部审计机构双方的协议。内部审计章程的内容主要包括：内部审计工作的目的;ROIA在组织中的地位，即独立性;ROIA有权接触和执行与审计工作有关的资料、人员和财务;ROIA活动范围，包括在风险管理中的责任和对后续审计的授权;有关开展保证服务和咨询服务的规定和原则。

（二）风险导向内部审计机构设置

内部审计机构是在公司从事审计监督和风险识别与评估工作的独立部门，是公司内部治理体系的重要组成部分。为提高审计监督效率和效果，公司应按照相对独立性原则、功能性与效率性统一原则、权威性原则设置风险导向型内部审计机构。此外，正如Yung-MingShiu（2008）所言，风险管理和以风险为本的监管是否有效，很大程度上决定于内部控制制度的执行情况以及内部审计人员的能力。因此，公司应随审计环境变迁，不断提高内部审计人员的专业胜任能力和服务水平。具体包括：内审人员与被审计部门一起证实他们工作的共同组织目标;内审人员应告知被审计部门在审计过程中的全部审计发现;内审人员应该保持对风险管理、公司治理、财务法规以及审计技术等方面的持续学习。

（三）规范ROIA实施程序

一般而言，内部审计程序包括审计计划、审计实施、审计报告、后续审计等主要阶段。ROIA实施程序则更加突出对风险管理过程的测试与评价。在审计计划之前要结合对公司各部门基本情况的了解，初步评估被审单位的重大错报风险，制定审计工作计划。在审计实施阶段，首先确认组织所要达到的目标，其次要采用风险评估程序，分析达成目标的潜在风险水平和审计重点，再次通过控制测试程序和实质性程序，分别验证被审组织的风险管控措施的有效性和经营业务过程及结果的合规性、公允性等。在审计报告阶段，内部审计人员应该就风险审计过程中发现的问题与管理层、董事会进行充分讨论，最终确定可接受的风险水平，出具审计报告，为防控风险、提高管理效率发挥内部审计的咨询及服务职能。在后续审计阶段，一是要检查审计建议和纠正措施的实施情况，二是对风险的再评估，确保组织的风险水平得到有效管理和控制。

建立内部控制机制对内部审计提出了新要求。传统制度遵循性的企业内部审计应适应新形式的需要，确立以风险管理为审计导向，管理流程为审计路径，以强化内控为审计核心，以价值增值为审计目标的风险导向内部审计模式，以确保内控新机制的有效实施。然而，风险导向型内部审计这一前沿问题在我国仍处于初步探索阶段，无论是在理论层面还是在实践操作上都缺乏系统化和结构化的思考。本文一方面通过对风险导向内部审计的内涵、实施过程、关注重点等内容的全面分析，为企业在风险管理框架下实施ROIA提供了理论支撑;另一方面，通过对ROIA的实施过程描述以及案例企业的应用分析，为企业实施ROIA提供了操作借鉴。

[参 考 文 献]

[1]David Me. Namee. Risk-basedauditing [J]. The Internal Auditor，1997（8）：22-27

[2]王军法，关旭.风险导向内部审计在商业银行中的管理与应用[J].财会研究，2010（12）：70-80

[3]黄海，张晨.风险导向模式在内部审计项目实施中的运用分析[J].会计之友，2008（9）：11-13

[4]孙强.风险导向内部审计基本理论及程序构建[J].经济研究导刊，2011（6）：96-98

[5]Yung-Ming Shiu. Risk Based Internal Auditingin Taiwanese Banking Industry[D]. National Cheng Kung University，2008（5）：17-21

[6]卫建国，张林富等.广州地铁风险导向内部审计实施步骤[J].中国内部审计，2011（2）：60-63