[摘　要]本文从IIA对内部审计的定义出发，提出了风险导向内部审计的概念；分析其产生的现实背景以及与传统的控制导向内部审计相比较所具备的基本特点；与企业风险管理框架的联系以及与风险导向外部审计的区别；指出风险导向内部审计理念对内部审计实践的现实启示。

　　[关键词]风险导向内部审计；风险管理；风险导向外部审计

　　风险导向内部审计是以对整个组织的风险进行评估与改善为最终目的的一种审计理念。IIA（内部审计委员会）于2001年在其发布的《内部审计实务标准》中对内部审计的定义，就是风险导向内部审计的体现。根据该定义，推行风险导向内部审计就是要求内部审计以内部控制作为生存与发展的基础，以公司治理作为参与风险管理的前提条件，以对组织风险的评估与改善作为基本目标[1].

　　一、风险导向内部审计产生的现实背景

　　风险导向内部审计是环境的产物，它的产生有其现实背景，其中，现代企业面临的高风险经营环境引起企业对内部审计的需求的变化是风险导向内部审计产生的内部背景，而审计外部化趋势侵蚀内部审计生存的职业空间是风险导向内部审计产生的外部背景。

　　（一）现代企业面临的高风险经营环境引起企业对内部审计的需求的变化

　　由于技术的快速创新以及由此导致的制度创新，现代企业所面临的商业环境和市场竞争不确定性越来越大，一方面变化周期缩短，商业环境和市场竞争的变化速度超过了以往任何时代；另一方面商业环境和市场竞争变化越来越彻底，企业明天的生存与发展环境可能与今天的几乎没有任何必然的联系，现代企业处于高风险的经营环境之中。

　　在这样的环境中，企业生存与发展的关键，更多地取决于对未来环境变化的适应和把握。企业必须在战略目标、重大投资决策、日常经营活动和绩效评估等各个方面高度关注风险因素[2].因此，企业要求职能部门在进行各自活动的时候高度重视风险，并将其纳入到企业的整体风险管理范围当中，组织各个管理或治理层次、各个职能部门为实现企业的基本目标而进行全面的风险管理。风险管理成为高风险环境下企业活动的中心任务。国际上很多著名的企业甚至成立了专业的风险管理部门进行整合的风险管理，许多小型的公司则指定专门的人员负责实施全面的风险管理。这些专业的风险管理，使用一整套包括风险识别、风险评估、风险控制以及风险融资、危机和索赔管理在内的、相对完整的风险管理程序和方法，把以前分别由安全健康部门通过保险市场进行管理的实质性风险和由财务部门通过资本市场进行管理的财务性风险整合起来，由专门的风险管理部门通过更为高级的风险管理市场加以管理[3].

　　内部审计作为企业内置的一个职能部门，必然应当成为企业风险管理的有效组成部分，从组织目标的角度来评估与改善风险，为专业的风险管理部门或专职的风险管理人员提供咨询与保证服务，从而推行风险导向内部审计。

　　（二）企业内部审计外部化趋势侵蚀内部审计生存的职业空间

　　内部审计外部化，是指企业将内部审计的部分或全部职能交由外部的会计师事务所等中介机构来完成，企业同时给这些机构支付相应的费用的现象。企业在激烈的市场竞争中，可以根据自身的比较优势，积极发挥核心竞争力，专注于自己擅长的项目，把自己不擅长的项目外包出去。以下因素促进了内部审计外部化的日益发展：首先，内部审计作为一个企业的内部职能活动，在时间上具有重复性的特点，基本符合外包项目的初步条件；其次，外部审计出于控制审计风险的需要，在报表审计的过程中十分重视对企业内部的审查与评价，在长期报表审计实践中对企业内部控制评价逐渐形成了专业上的相对优势，这使得外部审计参与内部审计外部化成为可能；再者，近年来外部审计的审计业务面临日益严重的法律诉讼危机、同业低价竞争危机，由审计业务收费带来的收入持续降低，非审计服务的收费甚至成为各大会计师事务所收入的主要来源，外部审计被迫将业务转向内部审计外包和管理咨询等非审计服务；最后，管理者或出于成本效益原则的考虑，或为了影响报表审计的意见类型，或为了诱使外部审计降低审计收费，越来越倾向于内部审计外包。内部审计外部化在客观上使得内部审计和外部审计在管理者面前展开激烈的业务竞争，动摇内部审计在组织中的地位，威胁内部审计的职业生存。在这种危机面前，内部审计为整个组织提供风险方面的咨询与保证服务，积极推行风险导向审计，将提高其在组织中的不可替代性，减弱外部化带来的不利影响，从而保持与扩展其职业生存空间。

　　二、风险导向内部审计的基本特点

　　（一）内部控制是风险导向内部审计的基础

　　对于内部审计，内部控制极端重要。首先，从理论上讲，内部审计是内部控制的一个重要环节，是对其它内部控制环节的再控制，没有内部控制就没有内部审计；其次，自从走上独立的职业化道路以后，内部审计把内部控制作为其基本业务这一事实始终未变。《内部审计实务标准框架》虽然将内部审计的业务范围拓展到风险管理和治理程序，但是依然将控制的评估和改善作为其三大内容之一；再次，内部控制还是内部审计其它两个业务活动的基础。内部审计工作要得到董事会和审计委员会的认可与采信，最重要的是因为内部审计师作为内部控制方面的专家，而不是风险管理方面的专家。内部审计要对公司的风险管理加以评估与改善，也首先得从内部控制领域中的风险做起。可见，内部控制是内部审计的安身立命之本，是风险导向内部审计进入公司治理、评估改善组织风险的基础。

　　（二）对风险的评估与改善是风险导向内部审计的首要目标

　　不论内部审计对内部控制进行评估与改善，还是对公司治理程序进行评估与改善，都应该是以风险评估与改善作为首要目标。如果说公司治理是企业董事会对风险管理的战略反应、内部控制是企业对风险的战术反应，那么内部审计就是对组织全部风险的一般反应，其一切活动都要以风险作为出发点和落脚点。首先，内部审计充分利用在内部控制领域的专家地位，联系组织的目标评估与分析内部控制中的风险，直接报告给管理者，在需要时通过审计委员会报告给董事会；其次，内部审计帮助董事会在进行战略决策、重大人事的任免和重大的投资和财务计划的制订方面识别和评估风险，以确保组织重大决策的正确实施；最后，内部审计要利用自己对组织内部的全面了解和对风险的直观认识，为专业的风险管理部门提供咨询与保证活动，参与企业的整合风险管理。总之，风险导向内部审计不是在简单的内部控制领域消极地查错防弊，而必须以组织的整体风险评估作为自己的首要工作目的。

　　三、企业风险管理框架与风险导向内部审计的联系

　　在IIA通过修改内部审计定义倡导风险导向内部审计以后，COSO（反欺诈性财务报告委员会）在2004年正式提出《企业风险管理框架》（简称ERM），重新修改了内部控制的定义。新定义将原来的内部控制进行了多方面的修改与补充，更突出了对企业风险的高度关注，这与IIA以整个组织风险的评估与改善为中心任务的风险导向审计理念不谋而合。因而，探讨风险导向内部审计与企业风险管理框架之间的联系，就成为探讨风险导向内部审计无法回避的理论问题之一。

　　（一）风险导向内部审计的对象就是企业风险管理框架

　　尽管1992年COSO的整体架构在提高人们对内部控制的认识程度、加强内部控制在公司治理中的作用方面发挥了重要的作用，但是没有将确定目标、战略规划、风险管理和纠错行动包括在内。自从其发布以来，遭受了持续的批评甚至否定。内部控制整体架构被普遍认为是用来减少外部审计职业风险，而非服务于管理者的、以企业会计财务控制为中心的财务报告质量控制框架，CoCo控制指南、MBNQA评价标准、IIA内部控制指南纷纷出台并在企业风险日益威胁企业生存的环境中得到越来越广泛的应用。COSO整体架构面临严峻的挑战，企业风险管理框架就是COSO应对这种挑战的产物[4].

　　ERM是一个包含四个目标、八个要素和四个层次的整合框架，四个目标、八个要素和四个层次相互交叉，和原来的ICIF相比，完全体现了管理者以企业风险管理为己任的理念。首先，ERM在目标方面增加了战略目标，将对企业的风险关注重点引向了重大的、根本性的战略问题；其次，在ICIF五要素的基础上增加了目标设定、事件识别和风险评估三个要素，与原来的风险评估要素一起构成了一个完整的风险管理的基本过程；最后，ERM强调将企业风险管理覆盖所有层次，包括业务单元、子公司、分支机构和公司的整体层次，而业务单元、子公司、分支机构和公司的整体层次正是公司治理和内部控制涉及的全部领域。可见，ERM是一个整合公司治理和内部控制的企业风险管理框架，它关注包括公司治理领域和内部控制环节的风险在内的一切风险，而公司治理领域和包括内部控制环节的风险在内的所有风险正是风险导向内部审计的对象。所以，企业风险管理框架就可以被视为风险导向内部审计的对象。

　　（二）企业风险管理框架为实践风险导向内部审计提供了现实指导

　　风险导向内部审计为企业在高风险环境中的内部审计提供了一种新的理念，但是这种新的理念并没有为内部审计人员实践风险导向内部审计提供一个可以据以操作的具体思路。内部审计想要实践风险导向内部审计，就必须根据一般的风险管理模式开发与维护内部审计的风险管理审计程序。这就产生了以下问题：第一，开发与维护内部审计的风险管理审计程序需消耗额外的内部审计资源；其次，内部审计开发出来的风险管理审计程序可能和企业内部既有的风险管理程序发生冲突，在缺少权威性的专业指导时得不到重视。ERM的出台为风险导向内部审计提供了权威的工作依据。根据ERM，风险导向内部审计的工作就可以有条不紊地分解为：针对组织特定目标（战略目标、报告目标、经营目标与合法性目标）、特定的管理层次（组织整体层面、分部、经营单元、子公司）实施各自的风险审计程序（内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通），内部审计无须在目标制定环节之外另外寻求其它的目标分类标准，无须为确定审计范围进行太多的思考，更无须为风险导向审计程序本身的设计投入更多的资源。

　　四、风险导向内部审计与风险导向外部审计的差异

　　在IIA倡导风险导向内部审计以前，外部审计就在实施风险导向外部审计。风险导向外部审计是指外部审计为了适应审计业务量巨大的增长，降低审计成本，高效利用审计资源的同时有效降低审计风险而开发的一种现代审计风险模式，它是对制度基础审计的高度深化与全面发展，正日益受到审计理论界的推崇和实务界的青睐。因此，探讨风险导向内部审计与风险导向外部审计两者的差异就成为风险导向内部审计的又一个基本的问题。

　　虽然风险导向内部审计与风险导向外部审计都高度重视对审计客体的风险评估，但是“风险导向”的内涵、目标和范围在内部审计和外部审计中是完全不一样的。

　　（一）两者的内涵不同。风险导向内部审计是以内部审计的主体组织的内部控制为基础、同时考虑公司治理在内的、以组织整体风险作为审计重点的一种审计。这里的风险突出的是审计对象的含义；而风险导向外部审计是指审计主体在进行审计程序时，首先评估企业的风险，然后依据风险评估的结果来确定审计的重点，从而决定审计资源的分配，进而确定余额测试和交易测试的内容。这里的风险导向实质是一种审计策略。

　　（二）两者的目标不同。风险导向内部审计的目标在于通过对风险评估来提出风险管理的对策，有效降低所在组织的风险，从而增加企业的价值，充分发挥内部审计的作用。而风险导向外部审计的目标则在于审计主体的利益最大化。这个目标通过以下方式实现：第一，提高审计效率。企业进行财务造假或进行虚假陈述，往往是在企业无法完成既定目标的领域、也就是企业的高风险领域发生的。而在低风险领域，企业没有相应的动机。因此外部审计可以首先识别出企业的高风险领域，进而集中审计资源进行重点、详细的审计，从而提高审计的效率。第二，降低审计风险。在不存在法律责任的情况下，审计风险并不会给审计主体带来利益上的伤害，但是现代资本市场中投资者和其它第三方经常以侵权或违约来对外部审计提起诉讼，使其承担巨额的损害赔偿责任，从而现实地影响到审计主体的利益。而风险导向审计的宗旨就是使审计风险处于严密的控制之下，有效地减少外部审计的法律责任，因而风险导向外部审计的目标就是通过提高审计效率、降低审计风险来服务于审计主体，以维护审计主体自身的利益。

　　（三）风险范围不同。作为审计的内容，风险导向内部审计中的风险是针对组织所有目标、所有管理层次的各种性质的全部风险，它可以理解为ERM中的关注全部风险，其中包括战略风险、报告风险、遵循风险和经营风险。而作为审计的策略，风险导向外部审计中的风险只是与企业报告的编制流程相关的、影响企业报表公允性的内部控制失效风险，它基本上等同于1992年ICIF关注的风险和ERM关注的部分风险———报告风险中的财务报告风险。

　　五、结论与现实启示

　　风险导向内部审计是内部审计在高风险社会产生的、为了应对职业危机而推出的一种全新的审计理念。IIA通过修改内部审计定义加速了它的发展并使其成为现代内部审计发展的一种必然趋势。我们还注意到，风险导向内部审计与传统的控制导向内部审计相比有其独特的业务范围、服务对象和审计内容；同时，IIA风险导向内部审计与COSO的企业风险管理框架之间存在着内在的联系，但却与风险导向外部审计存在着本质的区别。在国际范围内推行风险导向内部审计，就是要在传统内部审计的基础上积极拓展业务范围，提升服务的层次，变革审计内容，有效借鉴企业风险管理框架提供的思路，并严格将其与风险导向外部审计区别开来。

　　与国际内部审计的实践相比，我国的内部审计实践尚处于较初级的阶段，这表现在我国现行的内部审计准则没有要求内部审计涉足公司治理领域，从而对组织的风险管理活动进行评估与改善，而只要求对内部控制进行评价和监督。但是，我国目前在内部审计发展过程中，风险导向内部审计产生与发展的现实背景同样存在。因此，我国也应该逐步推行风险导向内部审计。在我国推行风险导向内部审计，可以考虑从控制领域开始，以识别和评估组织风险作为内部控制评价与监督的目标，而把内部控制评价和监督作为风险管理的手段。只有这样，我国内部审计才能为组织提供更多的增值服务，从而提高在组织中的地位，未雨绸缪，消除潜在的职业危机。

　　[参考文献]

　　[1]王光远。管理审计理论[M].北京：中国人民大学出版社，1996.

　　[2]中国内部审计协会。中国内部审计规定与中国内部审计准则[S].北京：中国石化出版社，2004.

　　[3]托马斯L巴顿，威廉G申克等。企业风险管理[M].王剑锋，寇国龙，译。北京：中国人民大学出版社，2004.

　　[4]史蒂文鲁特。超越COSO：强化公司治理的内部控制[M]刘霄仑，译。北京：中信出版社，2004.