风险导向内部审计的合理选择

一、引言

内部审计从财务、业务再到管理导向阶段，伴随着管理理论的变化与实践，逐步发展。20世纪90年代，公司治理与内部控制的研究较为成熟，McNamee和Selim等学者着力研究风险导向内部审计，发表了很多新颖的观点。国际内部审计师协会（（Institute of Internal Auditors ，简称“IIA”），于2001年《国际内部审计专业实务框架》（新版），修订内部审计定义，明确其在组织风险管理中应发挥的作用，积极倡导开展风险导向内部审计。国际上近年来关于风险导向内部审计的研究日渐成熟，实践经验越加丰富，可以说内部审计已经快速进入风险导向阶段并不断发展。国内内部审计尚处于管理导向阶段，近年来虽有诸多学者和实务界人士关注和着手开展风险导向内部审计的研究与实践，但主要是借鉴国外先进经验以及阐述相关理论，规范式研究居多，具有实践指导意义的研究相对匮乏，相关审计实务也还很不成熟。笔者基于当前风险导向内部审计理论研究和实践的情况，以三个观点开篇：一是内部审计向风险导向内部审计发展，从内部控制审计入手是理性的选择；二是目前内部控制审计不具备按照风险导向阶段要求实施的条件，需要逐步调整和适应；三是内部控制审计的发展瓶颈需要运用或者借鉴风险导向内部审计的手段。通过论述，得出内部控制审计在内部审计从管理导向迈进风险导向阶段中扮演了开门人角色。接着分析了风险导向内部审计若在现阶段运用至内部控制审计中，哪些理念、内容和策略、方法是需要明晰和坚持的。进而，提出管理导向向风险导向渐进的过渡阶段的改进型内部控制审计，阐述其定义、使用范围等，并具体构建了的审计流程，对其先进性和妥协性做出分析，最后展望内部控制审计的发展前景，就有关研究方向提出意见建议。

二、风险导向内部审计与内部控制审计的观点

（一）内部控制审计是迈向风险导向内部审计的合理选择

（1）从发展的背景来看。基于受托责任的内部审计，是内部控制的一个重要环节，是对其他内部控制环节的再控制，发挥反馈的职能。可以认为，内部审计依托内部控制产生和发展，内部控制又是内部审计作用对象，二者充分体现着要素与系统的辩证关系。从财务导向开始，对组织内部会计核算系统的控制规范性和效果性进行审计，就是内审人员的主要职责。业务导向内部审计阶段，内部控制已经作为内部审计的对象。随着内部审计步入管理导向阶段，内部控制始终是内部审计的对象，而且内部控制审计的内容和范围已经渗透到组织管理的每个角落，在这一阶段出现了很多创新的审计类型，比如绩效审计，虽然其主要关注管理的绩效，但不可否认，绩效审计仍是基于被审计对象的内部控制体系而开展的 。可以认为，内部控制审计是内部审计业务，如专项业务审计、绩效审计等的基础。索耶指出，评价内部控制的技能是内部审计人员的“魔杖”，是内部审计渗透到其他领域的“敲门砖”，内部审计是控制重要与否的代言人。足见内部控制审计的重要性和发挥的基础作用。因此，如果内部审计迈进风险导向阶段，那么内部控制审计必然需要率先完成风险导向的转变。

（2）从法律、法规等来看。美国反欺诈报告委员会（The Commi-

ttee of Sponsoring Organizations of the Treadway Commission，简称“COSO”）1992年提出了《内部控制整合框架》（简称“IC-CF框架”），对内部控制作出定义，将风险评估视为内部控制的五要素之一。IC-CF框架在提高人们对内部控制的认识程度、加强内部控制在公司治理中的作用方面发挥了重要的作用。但却被普遍评价为以减少外部审计职业风险为目的，而非服务于组织并以会计财务控制为中心的财务报告质量控制框架，屡受质疑。2004年COSO又提出了《企业风险整体框架》（简称“ERM框架”），其体现了管理者以组织风险管理为己任的理念，是一个整合治理和内部控制的风险管理框架，它关注包括治理领域和内部控制环节在内的所有风险，高度重视组织风险，这与IIA赋予风险导向审计以评估与改善组织风险为中心任务的理念不谋而合。可以说，探讨风险导向内部审计与ERM框架之间的联系，成为研究风险导向内部审计的必须方面，完善的风险导向内部审计是基于ERM框架设计和实施的。而COSO委员会在ERM报告中是这样描述ERM框架与IC-CF框架的关系：IC-CF是包含在ERM中的一体化的部分，ERM扩大了IC-CF的范围，以建立一个对风险更加关注的更强大的概念体系。因此，以IC-CF框架为基础，开展内部控制审计也必然成为内部审计从管理走向风险导向的实践选择。

（二）现阶段内部控制审计尚不具备全面实施风险导向的条件

（1）从审计对象来看。由于国内目前大多数组织还未建立起完整的风险管理机制与体系，治理结构问题仍然存在，缺乏现代意义上独立的风险管理部门，鲜有建立完善的风险管理体系。而在风险导向内部审计中，内部审计的职责是复核与帮助组织实施风险管理，有效发挥确认与咨询作用，提升组织整体抗风险水平，成为风险管理的最后一道防线。从这方面讲，由于被审计对象风险管理体系的不健全甚至是基本未建立，全面开展风险导向内部审计是缺乏基础的。

（2）从审计内容来看。中国内部审计师协会于2003年了《内部审计具体准则第5号――内部控制审计》，又于2014年对原准则进行修订，了第2201号内部审计具体准则，从审计内容、程序和方法方面，对内部审计人员实施内部控制审计行为做出规范。但是从最新的内部控制审计准则看，虽然体现了风险管理的理念，但是在审计内容方面主要参考财政部2008年的《企业内部控制基本规范》及配套指引的相关规定，根据组织的实际情况和需要，通过审查内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对组织层面内部控制的设计与运行情况进行审查和评价。可见，国内现有准则中，内部控制审计是基于IC-CF框架下设计的，尚无法适应风险导向内部审计的要求。

（3）从审计技术来看。目前，国际上关于风险导向内部审计的审计技术研究的比较多，其中一部分也参考了外部审计的技术与方法，比较主要的包括风险矩阵法、标杆比较法以及控制自我评估等。但是国内在这些方法的运用方面尚处于探索阶段，一些审计技术是否适合国情还有待检验和改进，同时创新性审计技术也鲜有出现。可以说在技术储备方面，距离风险导向内部审计的要求尚有差距。

（三）内部控制审计的发展瓶颈需要风险导向内部审计解决 国内内部控制审计发展到管理导向阶段，面临了诸多的瓶颈，突出表现为以下三点：（1）解决控制过度成为必须要面对的问题。管理导向阶段的内部控制审计无法根据不同程度的风险和不同的风险应对措施确定适当的控制，往往一味追求充分、完整的控制，导致控制的叠加与冗余，不仅不能增加组织价值，反而会降低效率，消耗资源。（2）审计内容与ERM框架不契合，降低审计质量。正如前文所说，目前内部控制审计的审计内容是基于IC-CF框架设计的，一些被审计对象，比如成熟的上市公司、大型外资企业的分支机构等，已经建立了较为完善的ERM框架，或者一些被审计对象在风险管理方面做的比较先进，针对这些对象开展的内部控制审计往往与其风险管理体系不够契合，导致审计结论与被审计对象风险管理的目标不一致甚至相悖，降低了审计的质量。（3）很难融入组织治理。现代组织发展中，公司治理与内部控制正日益融合，Tricker认为公司治理与内部控制之间的交叉部分是公司的战略管理。战略管理主要包括战略规划与实施，而战略规划的实质就是目标管理。在ERM框架中明确设定了目标管理的维度，并将IC-IF框架中的经营与遵循性目标扩展到战略、经营、报告和遵循性4种目标，尤其是战略目标，直接体现了组织治理的要求。现有内部控制审计由于其对组织目标管理关注的局限性，很难涉及到治理层面，形成了就控制论控制的困局。

第三，审计测试及后续阶段。目前管理导向下内部控制审计在对控制系统实施测试时，一定程度上也关注被审计对象风险管理情况，但是审计评价还是基于控制存在缺陷情况下做出的分析，对非控制缺陷下的风险管理合理性几乎不涉及，无法对控制过度情况做出客观评价，与ERM框架中基于广义风险下风险管理的内涵还是有所区别的，可以说其只是广义风险下风险管理的一部分。因此，改进型内部控制审计在审计实施阶段需要通过流程设定，拓展对风险管理评估的范围，使其更加贴近ERM框架的要求，同时在评价过程中也不局限于对控制缺陷的分析，而是要求审计人员从风险管理的角度看待内部控制。流程的改变主要是在控制偏差确认后，要结合对组织信息系统、风险监控方面的评价，对风险应对的合理性做出评估。具体来说，审计人员要考虑组织对该项业务的风险管理措施，即风险应对的措施选择和剩余风险的忍受程度，对实际过程中由于控制偏差可能产生的风险偏差进行评估，评价风险管理的有效性。同时，由于改进型内部审计更加注重发挥咨询职能，促进组织在建立ERM框架方面更加完善、合理，在流程中增加了提出完善风险管理相关意见的环节。

（3）改进型内部控制审计的先进性差距分析。本文构建的改进型内部控制审计，在审计内容、流程和技术方法方面与完善的风险导向内部审计还有一定差距。具体表现在：一是在审计内容方面，由于主要基于IC-CF框架开展审计，关注内部控制五要素，虽然重点突出了风险评估要素，并拓展风险管理的内容，但由于被审计对象内部控制框架的限制，一些内容是由审计人员做出的主观判断或者是自主利用有关模型形成的结论，组织自身并未进行风险评估或者未设置明确的风险应对措施，导致审计人员做出评估结果缺乏比较分析的对象，合理性方面难以保证，而且鉴于成本的考虑，内部审计做出评估往往不够完整，因此不能完全涵盖ERM框架要求的风险管理范围。二是在审计程序方面，改进型内部控制审计做出了很大改进，旨在希望通过流程约束，引导审计人员更多关注风险，帮助组织完善风险管理框架。但由于客观的限制以及从解决现阶段内部控制审计主要矛盾的思路出发，在程序方面还有一些不完善或欠先进之处。包括审前调查阶段对财务报告、重大经济事件等方面未设定审计程序进行系统完整的评估；在审计测试阶段，没有设定具体的测试程序对信息沟通和风险监控做出评价；后续阶段，虽然设置了审计评估的环节，但是没有具体的评估流程。三是在审计技术方法方面，改进型内部审计要求审计人员运用的技术方法，尤其是有关风险导向内部审计的特色审计技术，还比较简单，比如在风险识别与分析方面的专家意见法、头脑风暴法、SWOT分析、失效模式和影响分析法、工作任务分析法等；在风险评估方面的风险因素分析法、层次分析法、模糊综合评价法、概率风险评价法、定性风险评价法等；在获取审计证据中的分析性复核、预警分析法、综专业判断方法等，并未做出明确规定。虽然本文认为，内部控制审计从管理导向走向风险导向，首先需要设计合理的审计流程，以流程保证审计人员实施必要的风险管理审计内容，而审计人员在实施过程中具体采用何种方法，一方面需要根据被审计对象在风险管理方面的运用程度以及审计资源的约束，灵活选择，另一方面审计技术的运用是从陌生到熟悉再到掌握、从简单到复杂的循序渐进的过程。但是，提倡运用先进、合理和更加准确的审计技术与方式是提高审计质量，实现审计目标的不变要求，应该说，现有技术的选择与应用只是妥协之举，并非长远之计。另外，为了保证改进型内部审计有效发挥咨询作用，在审计技术方面，改进型内部审计在流程别提到了控制自我评估（Control self assess，CSA），该方法在对沟通的有效性、管理理念、信息质量、管理层的道德与诚信等“软”因素方面通常具有优势，内部审计部门需要通过复核CSA结果确定高风险和异常项目。在实际操作中，如果被审计对象没有实施CSA，需要内部审计部门积极协助组织完成CSA，有利于改进型内部审计的开展，也是组织完善风险管理方面打下良好基础。

五、结论

内部审计程序不是一个机械化的过程，审计需要体现充分的灵活性和主观能动性，需要审计人员针对不同情况和审计环境做出职业判断和专业思考。科学合理的审计流程为审计人员提供了一个明确的工作思路和路径，遵循并有效、合理利用这样的内部审计程序能够提高审计效率，合理使用审计资源，保证审计质量。本文构建的改进型内部控制及流程，正是基于管理导向下内部控制面临的发展瓶颈，借鉴先进的风险导向内部审计，形成的具有先进性和适用性的内部控制审计模式，有效解决了当前内部控制审计发展的难题。在可以预期的未来，内部审计逐步进入风险导向阶段，内部控制审计将全面转型为风险管理审计，有的学者也称之为现代内部控制审计，并在内部审计活动中持续发挥基础性作用。如何顺利、平稳和有效的进入风险导向阶段，是内部审计近阶段研究和实践的重点，本文旨在抛砖引玉，着力强调内部控制审计在内部审计发展中扮演的基础性角色，并提出了过渡阶段下的内部控制审计概念和流程，以期能够为后续研究提供良好的借鉴，同时作者也将继续致力于改进型内部审计的实践活动，并从中汲取经验，不断完善。

参考文献：

［1］索耶：《索耶内部审计》（第5版），中国财政经济出版社2005年版。

［2］李玲、陈任武：《风险导向内部审计在现代企业中的作用分析》，《财会通讯》（综合版）2006年第12期。

［3］严晖：《风险导向内部审计:背景分析与框架构建》，《财会通讯》（综合版）2005年第4期。

［4］中国内部审计协会：《中国内部审计准则》2013年版。