风险导向内部审计基本理论及程序构建

摘要：随着经济全球化、竞争白热化以及科技现代化步伐的加快，无论是从推动内部审计自身发展的需要，还是从帮助企业在复杂的竞争环境中生存下来的角度而言，都需要内部审计机构考虑将风险导向审计模式应用于自己的领域。风险导向内部审计作为一种现代审计方法，是在继承制度导向内部审计许多优点的基础上逐渐发展起来的，它旨在为企业增加价值，是一个与企业愿景、使命、目标以及战略更为相关的概念，也是一个更积极面向未来的理念。

关键词：风险导向；内部审计；审计风险；程序构建

中图分类号：F239文献标志码：A文章编号：1673-291X（2011）06-0096-04

国际内部审计师协会（Institute of Internal Auditing IIA）在1999年将内部审计重新定义为一种独立、客观的确认与咨询活动，它的目的是为组织增加价值并提高组织的运营效率。它采用系统化、规范化的方法来对风险管理、控制及治理程序进行评价，提高他们的效率，从而帮助实现组织的目标。这个富于变革意义的新定义为内部审计进行风险导向审计提供了动力。

本文通过借鉴中西方审计理论的研究成果，开展对风险导向内部审计的基本理论问题的探究，并在考虑中国内部审计的现实情况下，提出中国企业实施风险导向内部审计的程序及其要求。

一、风险导向内部审计的基本理论

本文对风险导向内部审计基本理论问题的论述是在一个框架结构中展开的，以下即为基本理论的逻辑结构：

图1风险导向内部审计的基本理论的逻辑结构

（一）风险导向内部审计的本质

风险导向内部审计的本质[1]是确保受托责任有效履行的能动的管理控制机制。由于现阶段市场更加强调各种利益相关者（包括顾客、员工甚至社会等）的利益，即委托人的范围逐步拓宽，由此带来的企业外部受托责任也逐步多元化。同时，由于股权的分散，企业规模的扩大，内部管理层次的增多，企业内部受托责任的多层性也逐渐加强。随着受托责任内容和层次的不断丰富，内部审计就必须紧密结合增值目标，全面看待和分析风险，以确定所要重点控制的受托责任内容。由于风险是面向未来的，是直接与目标及战略相关联的，因此以风险为核心及出发点的内部审计，能够将事后的反馈延伸到事前以及事中，从而实现更高效率的内部控制。

（二）风险导向内部审计的对象

内部审计对象是内部审计的客体，与内部审计本质有密切关系。受托责任范围的扩大、目标层次的提高导致了内部审计对象的扩展。风险导向内部审计的主要审计类型是融风险管理、公司治理和内部控制审查于一体的综合审计。这种综合审计相比制度导向内部审计阶段而言，更加关注公司治理框架中风险发现与风险管理，关注管理者及其经营管理行为可能出现的风险，关注组织在整个治理过程中的决策风险与经营风险。

（三）风险导向内部审计的目标

麦克宁关于内部审计新旧范式路线图（见下页图2），反映了风险导向内部审计目标与企业目标的契合。与传统内部审计通常采用的从右到左的路线不同，风险导向内部审计采取的路线是从左到右：首先确认企业目标，然后分析对这些目标产生影响的风险因素以及能够管理这些风险的措施，最后测试实际的控制效果。这样，内部审计人员通过将企业风险与实现企业目标直接联系起来，其服务对公司治理层以及管理层都非常有价值。

图2内部审计新旧范式路线图

（四）风险导向内部审计相关概念

英国汤姆・李在《企业审计理论》中将审计概念分为两类：一类是有关行为方面的概念，包括胜任能力、独立性以及合理的职业谨慎性；另一类是有关技术方面的概念，包括公允表达与审计证据概念。内部审计概念有许多与独立审计类似，但也有独特的一面，例如胜任能力与独立性、客观性等。

1.风险导向内部审计人员胜任能力。相比于传统的制度导向型内部审计，风险导向内部审计对内部审计人员的要求更高，主要体现在以下三个方面：一是要具备广博的知识和多元化的技能，包括行业、市场、产品竞争、企业内部各职能和流程的全貌等。二是要有面向未来的积极态度及服务理念。内部审计不再是对过去的评价，而应该是洞察风险、评估风险、寻找机会，成为增值业务的推进器。三是要求内部审计人员必须具备处理人际关系的能力和技巧。以顾客为中心是内部审计的服务理念，为此特别强调内部审计人员特定的职业心理及行为特征的培养。

2.风险导向内部审计的独立性与客观性。IIA在2001年颁发的内部审计实务标准框架中提出了内部审计的新定义，其中最大的调整在于其在属性标准中对独立性与客观性进行了区分：前者指内部审计机构的独立性，后者指内部审计人员的客观性。机构的独立性要求内部审计机构在报告结果时必须独立，在确定审计范围、实施审计程序、报告审计结果时不受干扰，独立性的价值在于它创造了使内部审计人员保持最大客观性的环境；个人的客观性要求内部审计人员必须有公正的态度，不偏不倚，避免利益冲突。

（五）风险导向内部审计职业规范

IIA于2001年正式颁布新的职业道德规范，明确提出了对内部审计人员的四个最基本要求：正直、客观、保密和能力。新的职业道德规范还从结构上将内容区分为两个层次：原则和行为规则，改变了原先职业道德规范简单罗列的结构，这一结构上的变动使职业道德规范更富有逻辑性。

二、中国企业实施风险导向内部审计的程序及其要求

内部审计的存在是为了满足公司治理的需要，帮助管理当局实现组织目标，增加企业的价值，因此，内部审计工作一开始就应该考虑可能影响企业目标实现的风险，并将这种风险意识贯彻到整个审计过程中。风险导向内部审计模式的实施过程，实际上就是风险控制过程。从风险导向内部审计模式的运行程序中，可以清晰地看到这个控制过程。根据中国实际构建中国风险导向内部审计运行的程序以及说明各个程序的具体要求：

（一）审计计划阶段

审计计划阶段是有效执行审计工作的准备阶段，从确定审计项目到制定出书面的审计方案的过程。审计计划的好坏直接影响到审计工作的质量、效率及效果。内部审计人员的工作重点是研究本企业经营环境、经营状况、企业组织机构、行业特点及宏观经济环境。从预备性调查开始，通过分析性程序初步确定企业所面临的风险，对重要性做出初步判断编制出整个审计计划。

中国石油类企业在实施风险导向内部审计时，在审计计划计划阶段应该注意以下几点[3]：（1）在对可能影响机构的风险进行评估的基础上，制定内部审计部门的审计计划；（2）审计范围应该包含机构战略性计划的组成部分，从而考虑并反应整个公司的计划目标；（3）审计方案应该在评估风险优先次序的基础上安排审计工作；（4）审计内容（如审计范围、审计计划）变更时，应反映出管理层的方针、目标、工作重心出现的变化；（5）审计测试时，用于检测、证实风险的技术与方法应该能够反应风险的重大性、发生的可能性及频率；（6）审计报告应该传达风险管理的结论和建议，以降低风险。为了让管理层充分理解风险的程度，在报告中应特别提出风险活动对实现目标的厉害性与后果；（7）首席审计执行官应该每年至少准备一份关于内部控制充分性地声明，声明中应该对未防范风险的重大性及管理层对此风险的接受情况发表意见。

（二）确定审计领域，选择被审单位

选择被审者是贯彻风险导向内部审计第一步，将审计计划中的审计目标、审计范围、审计方案等资源结合起来，根据风险因素优先性审计规划，选择被审单位。首先，制定选择被审计单位的策略；其次，识别潜在的被审单位，并按风险将潜在的被审单位排序；最后，根据风险的高低程度确定被审单位，根据不同的被审单位制定审计项目计划。以下即为选择被审单位的基本流程：

图3选择被审单位的基本流程

（三）审计测试与评价

风险导向内部审计活动的总体对象是评价风险管理、控制和治理程序。具体的审计活动是对具体的风险管理项目进行评价。

在中国风险导向内部审计实务中，内部审计师应该在审计测试与评价的过程中，获取充分的证据确认企业主要风险管理目标是否得到实现。审计测试[4]中通常运用抽样、观察、分析、调查与评估等方法获取有关风险及风险管理的证据。内部审计师可以采取以下审计程序：（1）研究、评估与组织业务有关的当前的发展情况、趋势、行业信息及其他相关信息，确定是否存在可能影响组织的风险，是否存在监督、评价、管理这些风险的控制程序；（2）检查公司政策、董事会和审计委员会会议记录，确定组织的经营战略、风险管理理念、方法及风险偏好和风险接受程度；（3）检查管理层、内部审计师、外部审计师以及其他有关方面以前发表的风险评估报告；（4）与被审单位管理层及相关人员交流，了解被审单位存在的风险及采取的风险控制、管理措施；（5）独立评价被审单位风险管理程序的有效性，评估风险管理结果报告的充分性和及时性；（6）评估管理层风险分析是否全面、正确，风险管理措施是否适当，并提出改善建议，说明风险管理实务中存在薄弱环节的问题。

（四）审计发现与审计报告

审计工作的结果即为审计发现，它可能是应采取而未采取的行动、不当的行为、不能令人满意的系统及应考虑的风险暴露等。内部审计师一般将审计发现分为现状、标准或期望、原因、影响、建议等几个部分，并将其记录在审计发现汇总表中。

在审计实施阶段，审计项目负责人应该定期或不定期的召开审计小组内部工作会议，讨论审计过程中发现的问题并提出风险管理的建议。在审计实施阶段完成后，每位审计人员应该对其负责的工作进行书面总结，阐明审计发现及风险管理建议，针对审计过程中发现的不同问题所带来的风险，提出不同的风险管理建议，如建议完善内部控制制度、主动放弃或拒绝实施可能造成重大损失的方案、采取保险等方式转嫁风险、多元化投资分散风险等等。审计项目负责人通过复核审计工作底稿进一步评估审计发现问题的性质及其潜在的危害，评估结论的正确性和风险管理建议的可行性，之后根据评估结果出具审计报告。IIA2001《内部审计实务标准》指出，为使公认风险范围以外的例外情况受到重视，风险得到管理，审计执行主管应负责将发现的风险管理、控制及治理方面的问题，报告给那些能保证对审计结果进行应有考虑的人员。内部审计报告是指内部审计人员根据审计计划对被审单位实施必要的审计程序后，针对被审单位经营活动和风险管理、控制及治理程序的适当性、合法性和有效性出具书面文件。审计人员在审计实施结束后，以经过核实的审计证据为依据，形成审计结论与建议，出具审计报告。

（五）后续审计

后续审计[6]是内部审计人员为监督被审单位是否及时、有效的采取纠正措施，解决审计发现的问题所进行的一项活动。被审单位是否纠正已发现的错误，是否改善了不合理的内部控制程序，是否实施了风险管理程序，风险管理的效果如何等等，这些问题的解决都是依赖后续审计。内部审计机构负责人应当在制定年度审计计划时充分考虑，并进行必要的时间和人员等安排。IIA2001《内部审计实务标准》指出，审计执行主管应规定后续审计过程，以监督、保证管理行为能够得到有效落实，或高级管理层已经接受审计建议却不采取行动所带来的风险；同时，若审计执行主管认为高级管理层所接受的剩余风险对于机构无法接受，应该上报董事会加以解决。所以，风险导向内部审计必须关注的一个问题是企业所能够接受的风险是否与职员个人风险喜好程度有明确的界线划分。中航油（新加坡公司）陈久霖事件就是这方面典型的例子，管理者个人拿公司的资产进行超出公司经营范围的高风险领域投资，对于那些风险偏好的个人而言，当其可控的资产不是个人资产的时候，如果没有有效的内部控制来约束，这种行为的发生就成为必然。因此，内部审计应该对此密切关注，对可疑或相关审计发现要及时向更高机构报告或披露。

后续审计项目的确定应该根据原项目所涉及风险的大小及实施纠正活动和建议方案的难易程度。一般来说，原项目涉及的风险越大，实施纠正活动或建议方案的困难越多，越需要进行后续审计。内部审计人员实施了后续审计后，应该出具后续审计报告，并与被审单位管理当局讨论审计建议未得到落实的原因。如果被审单位无故拒绝采纳审计建议，内部审计人员应该向高级管理层或董事会汇报并阐明因被审单位不改正错误或不采纳建议而给企业带来的风险。

根据上述探讨，以下即为中国企业实施风险导向内部审计的程序流程图：

图4 实施风险导向内部审计的程序流程图

现代风险导向内部审计是内部审计在高风险社会产生的、为了应对职业危机而推出的一种全新的审计理念。IIA通过修改内部审计定义加速了它的发展并使其成为现代内部审计发展的一种必然趋势。推行现代风险导向内部审计，就是要在传统内部审计的基础上积极拓展业务范围，提升服务的层次，变革审计内容。与国际内部审计的实践相比，中国的内部审计实践尚处于较初级的阶段，尤其是在国有企业中，内部审计准则还没有要求内部审计涉足公司治理领域，对组织的风险管理活动进行评估与改善，而只要求对内部控制进行评价和监督。因此，中国也应该逐步推行现代风险导向内部审计，从内部控制领域开始，并将识别和评估组织风险作为内部控制评价与监督的目标，将内部控制评价和监督作为风险管理的手段。只有这样，中国内部审计才能为组织提供更多的增值服务，未雨绸缪，消除潜在的职业危机。

参考文献：

[1]张晓丽.现代风险导向审计理论探索[J].中国信息科技，2006，(20)：194-195.

[2]胡君.论风险导向审计的发展[J].合作经济与科技，2008，(13)：119.

[3]李豪.审计计划阶段风险控制研究[J].商业会计，2008，(10)：44-45.

[4]中国内部审计协会.内部审计理论与实务[M].北京：中国石化出版社，2004：12-25.

[5]严晖.风险导向内部审计若干问题研究[D].厦门:厦门大学，2004：45.

[6]胡春元.风险基础审计[M].大连：东北财经大学出版社，2001：69.[责任编辑 陈丹丹]