回顾内部审计的发展历程，可以发现内部审计无不受企业环境的支配与影响，而企业环境的逐渐变化又进一步迫使内部审计职业不断改进审计方法，以适应新形势的要求。归纳起来，内部审计方法的发展大致经历了以下四个阶段：

　　一、控制基础审计阶段（20世纪40 ～ 60年代）

　　20世纪40年代，美国内部审计师协会的成立标志着内部审计职业地位的正式确立。此时，企业内部审计的工作重点是财务审计，以内部控制系统为基础的审计方法已逐步取代了传统的账项基础审计方法。

　　控制基础审计主要服务于以下三种目的：

　　①鉴证企业是否遵循特定的法律、规章、政策和原则。这类审计被称为符合性审计。

　　②在较小的范围内（与外部审计相比），测试和验证企业会计账户的余额，降低年末对会计记录调整的可能性。这类审计被称为财务审计。

　　③测试与会计记录相关的关键内部控制运行的有效性。时至今日，控制基础审计在内部审计实务中仍占有较大比重。

　　在美国内部审计师协会成立之初，内部审计职业界的有识之士就致力于改变内部审计师作为会计职员或“企业冗员”的传统形象，他们极力倡导在财务审计的基础上将业务范围扩大到经营审计的领域。1957年，内部审计师协会在修改1947年公布的《第1号内部审计师职责说明书》时认为，“内部审计是组织内部审核会计、财务以及其他经营业务的独立评价活动”。1971年内部审计师协会再次修订了内部审计的定义，切断了内部审计与账簿的直接联系，把“会计、财务以及其他经营业务”简化为“经营业务”。但在20世纪60年代以前，企业外部环境普遍呈现静态、简单和安全的特征。第二次世界大战以后开始的科学技术革命极大地促进了工业劳动生产率的提高，西欧与北美在20世纪五六十年代出现了经济持续高涨，这在资本主义发展史上是前所未有的。由于外部市场变化相对平稳，企业可以相对准确地把握市场需求，工业的发展主要是通过科技革命促成劳动生产率的提高来实现的，以审查经营的效率和效果为目的的经营审计并未得到企业管理当局的重视，经营审计并未在企业内部审计实务中占到重要地位。

　　二、过程基础审计阶段（20世纪70 ～ 80年代）

　　20世纪70年代爆发了世界性的资本主义经济危机，从此资本主义世界进入了滞胀时期。在这次危机中，低生产率、高失业率与高通货膨胀率同时出现，又加上能源危机的压力，资本主义经济诸病齐发、症状复杂。企业管理部门很少有机会通过扩大销售增加利润，不得不通过控制成本来增加利润，而内部审计被看作是实现这一目的的有效手段，经营审计迎来了发展的黄金时期。

　　过程基础审计又被称为经营审计或业务审计，主要对企业内部关键过程的设计、执行的效果和效率进行评价。在评价过程中，一般以公认的最佳实务作为评价的基准。在企业内部审计实务中，过程基础审计逐渐取得了与控制基础审计同等重要的地位。1975年，美国内部审计师协会的调查表明，95％的被调查者都在实施业务审计，所用时间占整个工作时间的51％；1983年，美国内部审计师协会调查结果表明，内部审计师63％的时间用于业务审计；1985年，英国内部审计师协会调查结果表明，内部审计师65％的时间用于业务审计。

　　三、风险基础审计阶段（20世纪80 ～ 90年代）

　　20世纪80年代以后，整个世界处于一种极度动荡的过程中，科学技术日新月异，市场竞争日益激烈。20世纪40年代创建的以“大量大批生产”为主的制造生产模式与市场变化趋势之间的矛盾越来越明显。需求的多样性和经营环境的多变性迫使企业不断地调整自己，以适应环境的剧烈变化，在充满危机和动荡的环境中保持自身竞争优势，最终获得成功。为了体现自身在组织中的价值及帮助管理者更好地应对变幻莫测的外部环境，从20世纪90年代起，内部审计部门开始在实务中引入风险基础审计方法。审计师们相信，测定风险对合理制定审计计划和有效使用审计资源是极其重要的。他们通过对企业和企业的关键风险的透彻了解，将审计资源分配到对财务报告和内部控制产生影响的重要风险领域，向管理层提供了更大程度的保证：与风险相关的控制政策和程序已将风险降低到一个可接受的水平。在此阶段，控制基础审计和过程基础审计何时实施、如何实施将依赖于对关键风险的识别及依据风险的识别所制定的审计计划。

　　四、风险管理基础审计阶段（20世纪90年代末至今）

　　在人类进入21世纪之际，全球的政治、经济与整个20世纪相比发生了巨大的变化，世界格局正进行着全新的整合，市场国际化和需求主导化已经成为经济发展的主要特征。企业的外部环境发生了巨大的变化，主要体现在市场竞争加剧、顾客需求多样化、经济全球化等方面。同时，随着知识资本在企业生产经营中起到越来越重要的作用，企业内部环境也发生了显著的变化，组织结构、人力资源、文化观念等因素也对企业的目标实现和管理行为产生了深刻的影响。此时，人们开始寻求能够灵活适应企业内外部环境变化的管理模式。管理当局关注的焦点转向风险管理、战略规划及企业再造，要求企业的各个职能机构为企业创造增加值。许多企业的管理当局开始将“企业风险管理”概念引入实践。

　　值得注意的是，2003年7月美国COSO委员会颁布了企业风险管理框架的讨论稿，在讨论稿中，企业风险管理被定义为：“是一个由企业的董事会、管理层和其他员工共同参与，应用于企业战略制定和企业内部各个层次和部门，旨在识别可能对企业造成潜在影响的事项并在有关人员风险偏好范围内管理风险，为企业目标的实现提供合理保证的过程。”企业风险管理分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等相互关联的要素，各要素贯穿于企业的管理过程之中。这些要素的排列方式亦代表了企业风险管理的业务流程。

　　为了满足组织提出的新要求，与管理者的思维方式和管理企业的模式同步，风险基础审计方法必须向风险管理基础审计方法演进。因此，国际内部审计师协会董事会于1999年6月将内部审计重新定义为：“内部审计是一种独立、客观的保证与咨询活动，目的是为机构增加价值并提高机构运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评估和改善，从而帮助机构实现目标。”新定义将内部审计的工作范围扩展为“风险管理、控制及治理程序”，客观上为内部审计方法向风险管理基础方法演进提供了理论基础。

　　直观地说，风险管理基础审计方法是企业风险管理的基本概念和程序与内部审计部门的传统审计方法整合后形成的一种新的审计方法。与以往的审计方法相比，风险管理基础审计方法具有如下特征：

　　①将企业战略和目标纳入审计计划的编制工作，并以之作为审计判断的基准。

　　②审计判断不仅仅基于审计师对风险的容忍度，而更多地依赖于管理层对该领域的风险容忍度。

　　③更加关注管理层如何计量和监控与他们的目标和风险容忍度相关的业绩执行情况。

　　④从持续经营的角度评价组织管理风险的能力，而不是仅仅关注组织过去管理风险是否成功。

　　⑤建立有效的途径，向企业的管理层和董事会提供风险管理和治理活动有效的合理保证。

　　风险管理基础审计不仅包含风险基础审计的大部分特征，而且关注企业的关键目标、管理者的风险容忍度、关键的风险计量方法和风险管理能力。此外，风险基础审计主要考虑如何将审计风险降低到可接受的水平，而风险管理基础审计则主要考虑如何优化关键风险以达到企业目标。实际上，风险管理基础审计是企业风险管理的一个有机组成部分。

　　综上所述，企业外部环境的特征决定着管理者的思维方式和管理模式。作为企业管理重要组成部分的内部审计，依据环境的变化适时地调整和改进工作方法，就必然成为一种历史趋势。