摘  要：現(xiàn)代內部審計除了關注傳統(tǒng)的內部控制之外，對有效的風險管理機制和健全的公司治理結構日益關注。正是存在這樣的需求，一種以內部審計的主體組織的內部控制為基礎、同時考慮公司治理在內的、以組織整體風險作為審計重點的審計——風險導向內部審計應勢而生。但目前來看，與國際內部審計的實踐相比，我國的內部審計相對來說還很年輕，還處于發(fā)展階段，我國的企業(yè)風險管理也相當薄弱；因此，風險導向審計還在處于導向和宣傳的階段。目前重要還是普及風險導向內部審計的概念和所包含的管理理念，以便日后有計劃的逐步推行。所以我們有必要對這一內審理念進行理論研究和實踐探索，以幫助企業(yè)最終實現(xiàn)科學管理和企業(yè)價值增值。

　　本文便是對風險導向內部審計的初步探討，也是對風險導向內部審計這一新的內部審計模式一次比較全面的闡述。本文試從風險導向審計的產生的環(huán)境、基本原理及其運用以及發(fā)展前景等方面進行探討。首先在對內部審計發(fā)展狀況總結的基礎上分析風險導向內部審計產生的必然性和重要性。由于人們對內部審計的認識和期望的改變，才使得風險導向內部審計的出現(xiàn)有了可能，通過對內審發(fā)展的各個階段的理論觀點的分析，來探討風險導向內部審計產生的意義和作用。

　　通過案例分析來探討風險導向內部審計的特點以及對企業(yè)產生的影響。同時展望風險導向內部審計在今后的發(fā)展以及給我國內審發(fā)展的啟示。風險導向內部審計是內部審計發(fā)展的必然趨勢，代表了企業(yè)內部審計的發(fā)展方向。中國的企業(yè)應該從中取己所需融入到我國內審制度的改革中。

　　關鍵詞：風險導向內部審計，風險管理，企業(yè)風險管理框架，公司治理

　　一、 序言

    （一）研究背景隨著科技、經濟的迅速發(fā)展，日益復雜的組織內部關系和外部市場，促使企業(yè)之間的競爭日趨激烈。為了增強企業(yè)市場競爭力，企業(yè)需要對影響管理水平和經營業(yè)績的一切因素都進行監(jiān)控和評價。這就要求內審部門逐步深入到企業(yè)生產經營領域廣泛開展審計工作，以協(xié)助管理當局改善經營管理，提高經濟效益。因此，內部審計職責范圍也在不斷擴展，IIA 1947年最初發(fā)布的《內部審計師職責說明書》指出：“內部審計師主要處理會計和財務方面的問題，但也可適當處理經營方面的問題?！睆娬{內部審計的根本職能是審查會計和財務問題，但也開始涉足經營審計領域。

　　1971年修訂之后定義位：“內部審計作為對管理當局的一種服務，是組織內部審核經營活動的獨立評價行為?！边@就將現(xiàn)代內部審計的活動范圍擴展到企業(yè)經營活動的每一個方面，大大拓寬了內部審計的作用領域。此外，還增加了一項新的職責，即“提出改善經營的建議”，從而強調了內部審計的建設性作用，同時表明經營審計成為了內審的重點，也涉及其他管理控制。

　　隨著內部審計領域大大擴展，審計內容趨向綜合性；在20世紀80年代，內部控制是企業(yè)管理的重要內容，檢查和評價內部控制制度是否充分、有效和具有可操作性是內部審計的重要工作。內部審計逐漸作為組織內部一種獨立評價活動，定期對組織活動進行檢查和評價，協(xié)助該組織的管理成員有效地履行他們的職責。

　　內部審計在半個世紀中，從建立在檢查財務會計的基礎上到建立在審查經營活動的基礎上，從為管理服務到為組織服務，無疑。人們對內部審計的作用、地位的認識和期望，已經發(fā)生了深刻的變化。

　　進入20世紀90年代后，企業(yè)內部審計面臨著兩個個巨大挑戰(zhàn)：

　　第一，內部審計部門如何在防范和控制企業(yè)經營風險上發(fā)揮積極作用。隨著世界許多大公司開始了兼并重組和公司治理的過程，企業(yè)經營中面臨的各種風險普遍增大。主要原因是：企業(yè)實行多樣化經營，進入了眾多以前未涉及的領域；經濟國際化程度又進一步加深，導致企業(yè)之間的競爭加??；信息技術在經營管理中廣泛應用導致計算機犯罪增加。

　　第二，內部審計部門如何在企業(yè)組織機構戰(zhàn)略重組中維系自己的地位。90年代中期起，西方不少大公司為了降低成本，進行了內部組織機構調整和重構，將部分非核心管理活動外包給專業(yè)化公司執(zhí)行，內部審計工作也被涉及。雖然這有利于實現(xiàn)內部審計業(yè)務的規(guī)模經濟從而降低成本并提高專業(yè)化、為企業(yè)帶來先進的審計和管理技術。但這對企業(yè)的內部審計部門構成了前所未有的挑戰(zhàn)，迫使他們想方設法通過改善內部審計績效、提高內部審計效率來增強自己對本企業(yè)的吸引力，從而維系自己的組織地位和職業(yè)生命。

　　在這種情況下，企業(yè)開始不斷注重風險管理。風險導向內部審計是內部審計在高風險社會產生的、為了應對職業(yè)危機而推出的一種全新的審計理念。國際內部審計師協(xié)會于2001年修改《內部審計實務標準》，無論是概念、業(yè)務實施標準還是指南性的工作標準，自始至終貫穿著風險審計的主導思想。首先，該標準對內部審計做出的定義：內部審計是采用一種系統(tǒng)化、規(guī)范化的方法來對機構的風險管理、控制及監(jiān)督過程進行評價進而提高過程效率，幫助機構實現(xiàn)目標。其次，在確定審計計劃時，明確要根據風險制定審計計劃。在審計實務中，明確內部審計活動在于評價并幫助機構改進風險管理、控制和治理體系。可以看出，該標準已經將內部審計工作完全引上了風險審計的道路。

　　反觀我國的內審現(xiàn)狀。從生存和發(fā)展來看，由于我國內審部門仍在采用傳統(tǒng)的審計技術和方法，審計目標和范圍不能很好地針對企業(yè)經營中的主要風險，因而不能有效地為企業(yè)增加價值。風險導向內部審計尚處于起步階段。劉潔在其2006年3月《財會月刊》發(fā)表的《內部審計新模式-風險導向審計》中指出：在包括制造業(yè)、銀行金融業(yè)、服務業(yè)、行政事業(yè)單位、院校、醫(yī)療、交通、建筑、通訊、能源等120家被調查單位中，僅有7.25%的被調查單位開展過風險導向內部審計。主要開展的審計內容仍以財務收支內部審計、經濟效益內部審計和經濟責任內部審計為主，風險導向內部審計并非我國內部審計機構的主要審計內容。這說明我國風險導向內部審計還處于初步探索階段。

　　我國企業(yè)內部審計起步較晚，與西方現(xiàn)代內部審計相比存在著不小的差距，但隨著我國市場經濟體制的逐步建立和世界經濟的一體化，我國企業(yè)與西方企業(yè)面臨著同樣經營環(huán)境和風險。內部審計作為保證企業(yè)有效管理的重要環(huán)節(jié)，必將面臨嚴峻的挑戰(zhàn)。我們的理論界、實務界和政府應該行動起來，積極探討風險導向內部審計的基本原理、方法及適合我國企業(yè)實情的操作實務，以提高企業(yè)抗風險能力。

　?。ǘ┍疚牡难芯靠蚣?/p>

    本文總共分為五個部分。引言部分是在對內部審計發(fā)展狀況總結的基礎上分析風險導向內部審計產生的必然性和重要性。從最初的查錯防弊到風險審計思想的出現(xiàn)，人們對內部審計作用、地位的認識和期望發(fā)生了深刻的變化。第二部分是主要是內部審計發(fā)展的主要文獻綜述。通過對內審發(fā)展的各個階段的理論觀點的分析，來探討風險導向內部審計產生的意義即作用。在此基礎上展開第三部分，對風險導向內部審計的理論基礎的探討。通過對第四部分是風險導向內部審計的案例、綜合論述實施風險導向內部審計對企業(yè)產生的作用；通過對張裕公司審計模式的認識來探討風險導向內部審計的特點以及對企業(yè)產生的影響。第五部分是結論與建議，同時展望風險導向內部審計在今后的發(fā)展以及給我國內審發(fā)展的啟示。風險導向內部審計是內部審計發(fā)展的必然趨勢，代表了企業(yè)內部審計的發(fā)展方向。中國的企業(yè)應該從中取己所需融入到內審制度的改革中。

　　二、 文獻回顧

    內部審計的本質是管理控制，所以，內審的發(fā)展必然是伴隨著企業(yè)管理理論與實踐的發(fā)展而演進。隨著工業(yè)分工的細化和公司管理的分權思想的提出，內部審計從原來的和其他的管理職責一并履行逐漸走向了由獨立人員承擔相應責任，經歷了五個主要階段的發(fā)展。萌芽階段、財務導向內部審計、經營導向內部審計、管理導向內部審計，風險導向內部審計。

　　萌芽階段的內部審計主要是為了查處并防止錯誤和舞弊，內容和技術都非常簡單。所以我們對內部審計的研究，從內部審計取得獨立地位開始。

　　初期的內部審計，內容主要是關于財務責任以及履行責任時的合法性問題。1941年維克托？布林克在他的《內部審計：性質、職能和程序方法》中認為，“內部審計是經營管理的一種手段和工具，而且是作為檢查和分析會計信息的一種特別手段和技術發(fā)展起來的?！睂νㄟ^改進業(yè)務處理程序以降低成本、增加利潤、向外界提供更好的服務則沒有那么重視。

　　20世紀初，泰勒的科學管理理論的提出，使得管理學成為一門獨立的學科。這進一步推動了內部審計的發(fā)展，內部審計的職能和范圍得以擴大，其關注點轉向了企業(yè)的業(yè)務活動。1948年，阿瑟？肯特在《內部審計師》雜志發(fā)表了第一篇介紹非財務審計的文章：“Audits of Operations”，自此，內部審計執(zhí)業(yè)界傾向于采用“經營審計”一詞表示對具體業(yè)務活動及控制的審計。而管理職業(yè)界對相同類型的審計則提出了“管立審計”的概念。1932年，英國人羅斯撰寫的《管理審計》首次探討了管理審計，羅斯倡導審查評價每一個職能部門的效率和業(yè)績。詹姆斯？麥金西主張管理審計的內容應包括審核企業(yè)的總體目標和政策。未來或持續(xù)進行的規(guī)劃、人事、管理以及財務狀況，實現(xiàn)從總體到個體，從各個分部到所有業(yè)務活動的全面分析與評價。對此，理論界有兩種觀點：一是認為管理審計包含業(yè)務審計；一是認為管理審計是經營審計的發(fā)展的結果（勞倫斯？索耶）?？梢钥吹剑m然都主張管理審計，羅斯的主張是以泰勒的 “管理的核心是效率”為基礎的，從狹義的角度看管理，局限于針對管理層決策、方針和戰(zhàn)略的評估。是高于經營活動的；而詹姆斯的主張是基于企業(yè)管理控制的需求，從廣義上理解管理：業(yè)務經營是包含在管理活動之內的、管理導向審計的對象包括由低到高各個層次的企業(yè)活動；但是無論哪個觀點，都強調內部審計要在整體范圍內評估企業(yè)各種管理活動和決策。內部審計的關注目標正逐漸向綜合性的方向發(fā)展。

　　到了20世紀90年代，隨著全球化浪潮的到來，企業(yè)所面臨的風逐漸增大。管理理論的豐富也使得內部審計理論也必須做出相適應得調整。根據王敏、黃瑛在《基于風險導向的內部審計原理及其應用 》中指出，“現(xiàn)代企業(yè)制度的有效運行需要有規(guī)范的公司治理為前提。公司治理的目標在于增加股東價值，實現(xiàn)利益相關者價值最大化?！眰鹘y(tǒng)內部審計的目標是幫助管理者完成其責任，這種被動的、事后察覺式的方法使得審計對組織所做的貢獻更像是資產評估，與價值增值沒有直接而明顯的聯(lián)系?！坝行У墓局卫硇枰行兄行У膬炔靠刂浦贫纫约帮L險評估和控制機制?，F(xiàn)代企業(yè)治理要求新的內部審計模式的出現(xiàn)?！憋L險導向內部審計的提出滿足了現(xiàn)代企業(yè)對內部審計在內部控制、公司管理、風險管理方面的更高要求。

　　從管理導向到風險導向，內部審計更加注重其價值增值功能，更加注重與企業(yè)目標的契合，即內部審計的目標演變?yōu)樵u價企業(yè)的風險管理活動，看其是否有效地將風險控制在可接受水平。（劉潔：《財會月刊（理論）》 2006年3月） 而隨著風險管理內部控制時代的來臨，內部審計的工作重點也發(fā)生了變化，現(xiàn)代內部審計除了關注傳統(tǒng)的內部控制之外，更加關注有效的風險管理機制和健全的公司治理結構。（王光遠 內向型管理審計：從控制導向到風險導向 武漢［J］：財會月刊，2002，7）

　　KPMG的一項針對高級主管及內部審計經理的調查顯示“傳統(tǒng)的內部審計方式— 主要監(jiān)測政策和控制是否得到有效執(zhí)行”已經過時，內部審計部門必須采取面向未來的、風險導向的思路來衡量企業(yè)成長并提高股東價值?！坝纱丝梢姡痹黾觾r值“的思想形式引發(fā)組織對內部審計基于風險導向的迫切需要，從而加快了企業(yè)風險導向審計的發(fā)展。（A Holzinger，《內部審計師》 1999年6月）。”風險導向內部審計以風險為出發(fā)點，不僅能夠使其服務范圍與企業(yè)發(fā)展戰(zhàn)略與經營目標直接聯(lián)系，而且以其在企業(yè)中的獨特地位和專業(yè)知識能夠從根本上解釋和評估風險管理措施，從而提高風險管理的有效性。“ （王曉霞等，《審計研究》2004年2月）

　　根據IIA 2003對內部審計的最新定義：“內部審計是一種獨立、客觀的確認與咨詢活動，旨在增加價值和改善組織的運營。它通過應用系統(tǒng)的、規(guī)范化的方法，來評價和改善風險管理、控制及治理過程的效果，幫助組織實現(xiàn)其目標?！薄巴ㄟ^識別和評估影響組織目標實現(xiàn)的各種系統(tǒng)性風險和非系統(tǒng)性風險，對內部控制的設計是否健全，關鍵控制點和執(zhí)行是否有效，控制薄弱的環(huán)節(jié)、治理改進措施的可行性等提出認定?！?/p>

　　三、 風險導向內部審計的理論探討

　?。ㄒ唬╋L險導向內部審計的基本特點

    內部審計從萌芽狀態(tài)發(fā)展至今，其審計本質、目標、對象、范圍、職能及方法都發(fā)生了較大的變化，分析風險導向內部審計的特點可以從以下幾方面著手。

　　1.本質實現(xiàn)組織目標的過程其實也是內審部門協(xié)助本組織成員有效的履行他們的責任的過程， 從而看出風險導向內部審計的本質是確保受托責任履行的管理控制機制。委托人的廣泛性使得外部受托責任向著多樣化的方向發(fā)展：不僅關注股東利益也關注各種利益相關者的權益，包括客戶、員工和社會。受托責任關系以及管理控制因此發(fā)生了諸多變化，與風險結合起來使得風險導向內部審計成為確保受托責任有效旅行的監(jiān)控機制。企業(yè)要有效履行多樣化的受托責任，首先就必須要制定詳細計劃，然后將任務分派給各個層次的，同時需要一個監(jiān)管機制來保證每個人的責任的有效履行。這時候，內審部門就起到了監(jiān)督和及時反饋的作用。

　　2.目標風險導向內部審計更加注重其價值增值功能。早期的內部審計的目標主要是查錯防弊，保護資產安全。而現(xiàn)代的內部審計的重點已逐漸轉向事先發(fā)掘問題、改善經營管理、促進經濟效率。為此，內部審計向他們提供與被審計活動有關的分析、評價、建議、咨詢和信息。不論內部審計對內部控制進行評估與改善，還是對公司治理程序進行評估與改善都應該是以風險評估與改善作為首要目標。內部審計就是對組織全部風險的一般反應，所有活動都要以風險作為出發(fā)點和落腳點。內部審計充分利用在內部控制領域的專家地位，聯(lián)系組織的目標評估與分析內部控制中的風險，直接報告給管理者。風險導向內部審計不再是簡單的內部控制領域消極地查錯防弊，而是以組織的整體風險評估作為自己的首要工作目的。

　　3.對象風險導向內部審計是以風險管理、控制和公司治理為審計對象的。由于受托責任范圍的擴大，內審對象的范圍也隨著內審的發(fā)展而逐漸擴大：從最初的會計、財務事項到進一步涉及各種經營活動業(yè)務；80年代提出以組織活動，包括經濟性、效率性和項目結果為審計對象；90年代提出以組織內部控制系統(tǒng)的適當性、有效性和工作效果；可以看出，內審目標所包含的內容逐漸多樣化和全面，綜合了企業(yè)運營所涉及的各類事項和領域。

　　4.范圍根據 IIA‘s Austin Chapter的一項調查顯示，至少1/3審計團體在使用風險導向審計上失敗，其中的一個重要原因是風險概念沒有被理解清楚（David McName 1997，8）。風險是業(yè)務及經營的本質，在風險環(huán)境中，除了風險評估和幫助管理層把風險轉變?yōu)楸窘M織的一種收人外，內部審計應該擴展審計范圍，它包括風險控制、風險理財和風險管理。［《索耶內部審計（上）》，2005版］風險導向內部審計的范圍包括企業(yè)戰(zhàn)略風險和業(yè)務風險。根據2002年英國風險管理協(xié)會、保險和風險管理師協(xié)會以及公共部門風險管理協(xié)會共同發(fā)布的風險管理標準對風險的定義來看，風險是事件及其可能性結合。風險既關注積極面也關注消極面。所以說風險包括著機會和威脅，作為一種廣義的風險觀，風險導向內部審計所涉及的范圍相比于以往的內審模式而言，有了進一步的擴展。在對企業(yè)所有風險進行徹底了解后，內部審計人員對風險進行排序，根據風險大小來確定審計范圍，把主要審計資源分配給高風險項目。恰當、有效地分配內部審計資源，使得更多與風險管理相關的控制和活動得到關注，有助于合理確保企業(yè)目標的實現(xiàn)。

　　5.審計方法風險導向內部審計廣泛運用分析性程序檢測被審計對象，其基本方法包括審計風險評估、分析性測試、控制測試、業(yè)務實質性測試、余額細節(jié)測試等。這也是內部審計人員風險導向的觀念所在：不僅重視會計信息，而且重視經濟信息，產業(yè)信息和財務信息。風險導向內部審計提供了一種既能保持審計效果，又能提高審計效率的全新思路。對于有證據表明風險較低的領域，應依賴內部控制或分析性復核；對被認為風險較高的領域， 實施大量的實質性測試和余額細節(jié)測試，使審計手段與審計目標更好地結合在一起，提高審計的科學性、針對性和績效性。

　　總的來說，風險導向內部審計是以組織內部控制為基礎、同時考慮公司治理在內的、以組織整體風險作為審計重點的一種審計。這里突出的是對風險評估來提出風險管理的對策，有效降低所在組織的風險，從而增加企業(yè)的價值，充分發(fā)揮內部審計的作用。

　?。ǘ╋L險導向內部審計

    在現(xiàn)代企業(yè)中所起的作用隨著全球一體化的趨勢日益明顯，企業(yè)經營環(huán)境的也顯得更為復雜，所以現(xiàn)代內部審計除了關注傳統(tǒng)的內部控制之外，對有效的風險管理機制和健全的公司治理結構日益關注?！秲炔繉徲媽崉諛藴省?220.A1 標準規(guī)定內部審計師應考慮風險管理、控制與治理過程的充分性和有效性、以應有的職業(yè)審慎性開展工作。風險導向內部審計是在組織已有的風險管理和內部控制的基礎上，對剩余風險進行評估，進而改善風險管理和內部控制，提升組織整體抗風險能力。風險導向內部審計在現(xiàn)代企業(yè)的中所起到的功效有：

　　1.參與風險管理隨著對風險管理的日益關注，探討風險導向內部審計與企業(yè)風險管理框架之間的聯(lián)系，就成為探討風險導向內部審計無法回避的理論問題之一。風險管理首先要求全面識別風險，同時熟悉本單位的經營戰(zhàn)略、工作程序、組織結構等；內部審計人員的獨特地位與專業(yè)知識滿足了以上要求。因此，以風險為導向的內部審計捕捉風險信息的能力比企業(yè)內部其他部門和外部審計都強（楊愛群：《風險管理與風險導向內部審計》《經濟師》2005年第7期），對于企業(yè)風險管理能夠做出其獨有的貢獻。

　　具體實施時，風險導向內部審計首先確認企業(yè)目標或某項交易的目標，然后分析對這些目標產生影響的風險，確定審計風險水平和審計重點，提出風險防范和控制建議，最后通過后續(xù)審計，測定風險是否得到有效防范和控制。這樣審計建議可以直接針對企業(yè)實現(xiàn)目標過程中面臨的主要問題和風險，并將事后評價反饋延伸到事前和事中，使內部審計成為企業(yè)價值鏈中的必要環(huán)節(jié)。

　　2.促進內部控制內部控制從某種程度上來說從屬于風險管理，是風險管理的方式之一。企業(yè)風險管理是在內部控制的基礎上整合起來的框架，是為了企業(yè)在風險管理領域中各項廣泛的議題給予多方面的關注和更穩(wěn)健的管理。從2004年COSO委員會頒布的ERM中我們可以清楚地看到，風險管理是對內控框架的包含與深化。在風險理念的作用下，企業(yè)內部控制已擴展為企業(yè)風險管理框架，內部控制與風險管理已趨于融合。因此，可以說對風險管理的促進作用，是建立在企業(yè)的內部控制同時得到改善和促進的基礎之上的，兩者是互相促進的。

　　作為內部控制的一個重要環(huán)節(jié)，內部審計是對內部控制的再控制。建立內部控制制度的根本目的，正如COSO對內控的定義所描述的：“為達到財務報告的可靠性，經營活動的效率和效果、相關法律法規(guī)的遵循三個目標而提供合理保證的過程”。這些目標也就是對內部審計的要求和標準。可見，內部控制是內部審計的基礎，也是風險導向內部審計進入公司治理、風險管理的基礎。

　　傳統(tǒng)內部審計偏重于直接測試內部控制，提出增加控制點或增加控制的建議，而隨著時間的推移，控制點越來越多，業(yè)務過程也將越來越繁瑣和緩慢，因此，傳統(tǒng)內部審計模式是在遞減地增加企業(yè)價值。而風險導向內部審計以內部控制結構為內容，關注風險發(fā)生的可能性，使審計重點前移，利用風險標準選擇審計項目， 每一項審計及其目標都與企業(yè)目標緊密相關。風險導向內部審計改進了對內部控制的監(jiān)控方式，抓住重點，同時簡化內部控制流程，即保證了審計質量也提高了審計效率。COSO在2004年對內部控制的重新定義，著重突出了對企業(yè)風險的高度關注，這與IIA以整個組織風險的評估與改善為中心任務的風險導向審計理念不謀而合。

　　3.促進公司治理公司治理的基本目標是在充分考慮利益相關者利益相對滿足和大體均衡情況下，增加企業(yè)價值，從而使股東長遠價值最大化。而風險導向內部審計的本質是確保受托責任有效履行的管理控制，它更注重與企業(yè)目標的直接關聯(lián)。可見，公司治理與風險導向內部審計目標是一致的。（蔡喜忠 范長纓：《工業(yè)技術經濟》，2006年10月總第156期）。2004年的《企業(yè)風險管理框架》體現(xiàn)了管理者以企業(yè)風險管理為己任的理念。根據《內部審計實務標準》2130—治理：內部審計活動應該評價并為改進機構的治理程序提出適當的建議。在目標方面增加了戰(zhàn)略目標，將對企業(yè)的風險關注重點引向了重大的、根本性的戰(zhàn)略問題；可見，風險管理關注包括公司治理和內部控制環(huán)節(jié)的風險在內的一切風險，而這所有風險的風險正是風險導向內部審計的對象。風險是兩面的，既可能對企業(yè)正常運營產生負面的影響，也可以為企業(yè)帶來新的機遇。所以內部審計部門應當為支持組織的風險管理提供獨立的保證和咨詢服務，幫助管理層將風險控制在可接受的水平之內，以順利實現(xiàn)組織目標。

　　“內部審計既是公司治理的一部分，同時又參與到治理有效性的審計之中。內部審計在公司治理中的作用包括監(jiān)督、評價和分析組織的風險和各項控制；復核并證實信息是否可靠并符合相關政策、程序與法律，協(xié)助管理者向董事會、審計委員會以及執(zhí)行管理機構提供風險防范以及治理有效的保證?！?（王敏 黃瑛：《財經理論與實踐（雙月刊）》2006年9月） 里查德？錢伯斯（2003年9月）指出，國際內部審計的一大發(fā)展趨勢就是“推動更有效的公司治理”，有效的內部審計是公司治理結構中形成權力制衡機制并促使其有效運行的重要手段，是公司治理過程中不可缺少的組成部分。

　　但是值得注意的是，首先，內部審計師并不是以一個負責人身份出現(xiàn)在風險管理中，而只是作為內部控制方面的專家。從評估內部控制領域中的風險，再對公司的風險管理加以評估和改善。其次，內部審計人員實質上的獨立性如何被保證。中航油事件致命原因，是個人權力過大，缺乏對個人權力有效制約和監(jiān)管，導致內控失靈。決策者風險意識淡薄，制度得不到執(zhí)行，內控未能起到應有的約束力。在現(xiàn)代企業(yè)制度下，所有權與經營權的分離，導致了經營者實質上控制企業(yè)，而經營者本身就是內控的對象。如果由經營者負責內控的設計與執(zhí)行，并對內控的執(zhí)行情況加以認定與評估，濫用職權的導致內控失靈現(xiàn)象就會很容易產生。當風險被評估之后，管理層是否會采納內審人員的評估和建議，或者管理層是否會為了個人利益而給予內部審計人員壓力做出不客觀的評估。

　　四、 風險導向內部審計案例分析

    內部審計人員長期立足于本企業(yè)的具體崗位，比較熟悉公司的業(yè)務并能夠隨時深入到生產經營的全過程和各個部門了解具體情況，深入到經營管理的各個過程，查找可能存在的風險；通過積極持續(xù)地支持并參與風險管理過程，對風險管理過程進行管理和協(xié)調，向管理層提出相關建議。借助張裕公司，可以看到以風險為導向的內部審計給企業(yè)所帶來的作用和影響， 在風險管理中發(fā)揮的作用。

　?。ㄒ唬╋L險導向內部審計設計與分析

    1.根據公司的戰(zhàn)略目標，在營銷領域開展重點審計——內部審計與風險管理整合的領域。

　　風險導向內部審計關鍵的起始點為是：評估組織是否已設定了一個適當的目標，以及企業(yè)是否具有一套充分的程序用以識別、評估、和管理那些對實現(xiàn)組織整體目標有影響的風險。進而研究企業(yè)經營現(xiàn)狀、行業(yè)環(huán)境等外部環(huán)境，通過初步分析確定固有風險和控制風險，制定審計計劃。

　　張裕公司將企業(yè)營銷戰(zhàn)略放在一個著重關注的位置上。因為酒行業(yè)是大眾消費品的生產企業(yè)，且廠家眾多，市場競爭錯綜復雜。市場營銷成功與否直接影響企業(yè)的營業(yè)額及利潤。因此，有必要站在企業(yè)營銷的角度上思考企業(yè)組織制度是否合適，從而使之與應企業(yè)營銷活動的環(huán)境相匹配。為了達到企業(yè)目標，必須通過不斷的評審與信息反饋，對市場營銷進行戰(zhàn)略控制從而規(guī)避風險。由于風險遍布企業(yè)的各個領域，對已經發(fā)現(xiàn)的每個風險的管理有效性都進行審計，是內部審計資源和成本效益原則所不允許的。

　　風險導向審計的模式就可以解決這一問題。

　　以被審計單位的風險評估為基礎，有重點地開展審計，對被審計單位的內部控制，企業(yè)的經營環(huán)境，管理層的誠信度等方面綜合地分析、評價。以防范風險為中心，對審計風險的控制始終貫穿于審計過程，通過量化的測定，將審計風險降到組織可接受的水平；因此，張裕公司對以下這些風險大、對組織目標實現(xiàn)有重要影響的領域做出了重點審計。

　　審計對象 異地倉庫 應收賬款 產品價格 廣告費投入 其他相關部門管理風險 帳實不符，隨意發(fā)貨，大量存貨，庫存產品滯銷，破碎等。 帳實不符，壞賬，隨意從應收賬款中代墊收支等 營銷人員私調價格，市場價格混亂等 超預算，私自從貨款中墊支廣告費，導致應收賬款混亂 業(yè)務部門開錯發(fā)票，退回產品不能及時準確入庫、運輸部門發(fā)貨不及時審計關鍵點 帳實情況，出庫手續(xù)，各產品帳齡情況，庫存量等 帳齡，可收回性金額，壞賬處理 酒店專供，是否為本區(qū)域標示；商場專供，終端零售價格，價格執(zhí)行情況 預算編制及執(zhí)行情況，年終匯算結果，超支情況，費用支出真實性等 各部門的協(xié)調，為市場服務的意識等

　　2.營銷領域中廣告費的審計重點變化——內部審計與風險管理整合的工作重點

    在進一步確定營銷領域內的審計重點時，張裕公司把焦點放在了廣告費投入上。集團公司每年的廣告費投資億元以上，是制約公司盈利的一個關鍵因素。如此巨大的費用一旦管理失控，給公司帶來的經營風險可想而知。同時，對于廣告費，張裕公司也采取過不同的內審方式：

　　最初：財務審計，關注廣告費投入的真實性，（事后）；

　　第二階段：財務、效益審計，增加了對投入效益的關注，（事中事后）；

　　現(xiàn)階段：管理、管理風險審計，增加了對預算的監(jiān)管，（事前事中事后）；

　　從三個階段的轉變中可以看出，企業(yè)內審逐漸向“事前識別風險”的方向發(fā)展。在這個過程中始終貫穿加強風險信息的監(jiān)控和結果評價；同時，“事前事中事后”的模式使風險管理工作過程成為一個動態(tài)的、持續(xù)的系統(tǒng)。使企業(yè)能及時識別阻礙實現(xiàn)其目標的各種風險，將價值增長、風險和投資回報相聯(lián)系，使企業(yè)戰(zhàn)略和企業(yè)對風險的接受態(tài)度一致，實現(xiàn)預期目標。

　　3.由公司審計實務歸結出的風險管理審計流程——內部審計與風險管理整合的工作審計流程

　　企業(yè)風險管理審計的總目標是審計部門和審計人員按照組織風險管理方針和策略的部署，以風險管理目標為標準，審核被審計部門在風險識別、評價和管理等方面的合理性和有效性，使損失發(fā)生后所需的資源與保持有效經營必要的資源達到適度平衡，幫助組織實現(xiàn)目標。在目標既定的前提下，圍繞企業(yè)風險管理的三個重要組成要素——風險識別、風險估測、風險反應進行再監(jiān)督。合理的風險管理程序和有效的風險管理制度發(fā)揮了互動效應。

　　在確定工作流程的時候，企業(yè)事先確認目標；然后找出對實現(xiàn)這些目標有重要影響的活動和部門，從而進行重點審計，之后分析這些活動中所可能隱含的風險和能夠管理這些風險的控制措施，最后測試實際控制措施是否切實有效。

　　（二）風險導向內部審計給企業(yè)帶來的影響

    從張裕公司的案例中可以看出內部審計在公司的職能已經發(fā)生了很大的變化。從提供鑒證服務到兼帶提供管理咨詢管理建議服務；從事后審計，到關注事前、事中和事后審計；從財務審計到展開財務、效益、經濟責任、經濟指標考核、管理審計等各種審計。這些審計的開展都是從制度和流程著手，通過對主要內控環(huán)節(jié)的抽查審核，評價企業(yè)內部控制制度的合理性以及執(zhí)行的有效性，全面介入企業(yè)的風險管理，合理保障企業(yè)目標的實現(xiàn)。風險導向內部審計給企業(yè)帶來的影響也是多方面的。

　　首先，內審重心由控制轉向風險，企業(yè)風險管理的地位進一步提升。以風險為基礎的審計方式是從目標確認與分析開始，進一步研究影響本單位目標實現(xiàn)的固有風險與控制風險，最后引出控制風險的方法。根據IIA于2001年發(fā)布的《內部審計實務標準》對內部審計的定義，要求內部審計參與風險管理和治理過程，與高級管理層和董事會溝通，使內部審計進入一個更高的層次。以levis公司為例，內審部門采用了綜合風險管理辦法，將公司面臨的關鍵商業(yè)風險分為15個類別，為全球每一地區(qū)的經營單位發(fā)展“風險識別圖”，并與其他部門積極合作，共同制定風險審計計劃，事前積極參與重大經營活動的風險評估過程；以風險導向審計計劃代替輪流審計計劃； 可以看出，風險管理成為組織中的關鍵流程，促使內部審計的工作重點不再是測試控制，而是確認風險及測試管理風險的方法，在風險導向的內部審計中，控制仍然重要，但分析、確認、提示關鍵性的經營風險，才是內部審計的焦點。以風險為導向的內部審計始終把審計的焦點放在那些風險大對企業(yè)實現(xiàn)目標影響大的事項上。通過對已經發(fā)生的市場營銷活動和正在進行的市場營銷活動進行審計，發(fā)現(xiàn)市場營銷活動中的問題，并找到市場營銷活動中的機會。可以發(fā)現(xiàn)，這種內部審計是建立在企業(yè)風險管理的基礎之上的。

　　其次，新《標準》要求內部審計由事后審計發(fā)展為事前審計，使企業(yè)內部審計的性質發(fā)生了變化。參與風險管理和治理過程與評價內部控制有效性不同。提供控制保證通常是事后的；而風險管理則是防止未來可能發(fā)生的損害組織利益的事項的管理，是事前的，是制定策略的基礎。內審部門促進和幫助風險管理的過程，也是增強內部管理層風險意識和風險管理能力的過程。

　　同時，在風險導向內部審計觀點下，年度審計計劃與公司的風險戰(zhàn)略連接在一起。內部審計人員通過對當前的風險分析確保其審計計劃與經營計劃相一致，使用風險管理原則改變審核過程。內審人員會站在企業(yè)最高層管理層或董事會和審計委員會的立場上，關注企業(yè)各個方面的風險，并且從自己職責的角度，協(xié)助工資有效履行其風險管理方面的受托管理責任，及時發(fā)現(xiàn)并有效的控制和防范顯現(xiàn)和潛在的各類風險。

　　最后，這種審計模式遵循了：目標—風險—控制的順序，重視與企業(yè)目標直接關聯(lián)的風險分析，注重高風險領域；所以，風險導向內部審計在評估企業(yè)風險管理時，關注的不再只是內部控制的符合性，而是優(yōu)先選擇高風險領域的控制，并且著眼于評估具體控制對風險管理的效果。此時，內審部門不再只是強化控制，而是通過規(guī)避轉移和控制風險，從而使風險管理更加有效并提高企業(yè)整體經營管理的效果和效率。所以，對于企業(yè)的風險管理而言，風險導向內部審計扮演者一個監(jiān)督者的角色。

　　五、 結論與建議

　　（一）結論

    通過內部審計與風險管理，公司治理的關系及內部審計在風險管理中的作用可以看出，內部審計能夠客觀評價風險管理系統(tǒng)，提出改進措施和建議，降低風險損失；能夠參與企業(yè)事前事中事后的風險審查，從而全過程控制和管理企業(yè)風險。雖然內部審計的業(yè)務范圍已經拓展到風險管理和公司治理領域，但內部控制的評估和改善依然是內部審計的基本業(yè)務之一?？梢哉f內部審計是內部控制的重要內容，內審人員要對所有可能導致差錯、舞弊的內部控制進行評價，提出改進意見及建議，并向管理層報告。而內部控制是風險管理必不可少的部分，運行時和風險管理機制是一體的、相融合的；企業(yè)風險管理的最終目的是為了實現(xiàn)更好的公司治理，有效地處理不確定性及相應的風險和機遇，提升企業(yè)創(chuàng)造價值的能力；所以，從根本上來說，有效、適當、科學的內部審計是企業(yè)健康發(fā)展的保證。風險導向內部審計以風險為出發(fā)點，將事后評價轉變?yōu)楦鼮榧皶r和主動的事前、事中，事后的動態(tài)反應，為風險管理提供有用信息，為公司治理的相關措施的有用性給予反饋并提出建議和整改措施。所以，風險導向審計在企業(yè)中所起到的作用已經遠遠不止于監(jiān)控，重要的是將公司各項管理經營活動整合成一個完整、相互約束和幫助的體系。

　　風險導向內部審計將本單位或本部門置于一個大的經濟環(huán)境中，運用立體觀察的理論來判斷影響企業(yè)經營風險的各種因素，從企業(yè)所處的行業(yè)狀況，監(jiān)管環(huán)境，經營目標，戰(zhàn)略規(guī)劃到經營方式，業(yè)務流程等內外部各個方面來分析評估審計的風險水平，把企業(yè)經營風險植入到本身的風險評價中去，并貫穿于內部審計的全過程，從而在內部審計過程中把重點放在審計風險的評估上。

　　IIA通過修改內部審計定義加速了它的發(fā)展并使其成為現(xiàn)代內部審計發(fā)展的一種必然趨勢。風險導向內部審計并不排除制度基礎審計或者流程基礎審計的使用，然而，風險導向內部審計關注的是對企業(yè)來說更為重要的事情并始終為企業(yè)所采用的風險管理框架提供保證。風險導向內部審計可以讓內部審計和風險管理框架直接聯(lián)系起來，由此實現(xiàn)杠桿協(xié)同效應。在新《內部審計實務標準》中，對風險審計的規(guī)范和指導始終貫穿，IIA極力倡導內部審計在企業(yè)風險管理框架中發(fā)揮不可替代的重要作用，即內部審計要在企業(yè)風險管理的風險環(huán)境分析、風險事件識別、風險評估、風險反應和控制、風險信息溝通和管理系統(tǒng)監(jiān)控環(huán)節(jié)中發(fā)揮重要作用。IIA對未來內部審計的定位就是要采用系統(tǒng)化、規(guī)范化的方法來對風險管理、控制及治理進行評價，提高組織的效率，從而幫助實現(xiàn)組織目標。風險導向內部審計是內部審計發(fā)展的必然趨勢，代表了企業(yè)內部審計的發(fā)展方向。

　　（二）建議

    隨著我國成為世界貿易組織的正式成員，我國的社會經濟發(fā)展已面臨一個全新的運行格局。面向競爭激烈的國際市場，我國企業(yè)的經營戰(zhàn)略和管理機制正在發(fā)生深刻的變革，并逐步與國際接軌。雖然與國際內部審計的實踐相比，我國的內部審計相對來說還很年輕。在風險審計領域，我國內審協(xié)會2005年借鑒IIA的相關標準、結合中國國情頒布了《內部審計具體準則第十六號——風險管理審計》，但目前還沒有明確指出內部審計和公司治理相結合；中國內部審計協(xié)會副會長兼秘書長易仁萍2006年6月27日接受《第一財經日報》的采訪時說道：我國的風險導向審計剛剛提上議事日程，還在導向和宣傳的階段，企業(yè)風險管理相當薄弱。所以目前內部審計協(xié)會提出的5年發(fā)展目標就是，從原來的財務審計轉向財務審計與管理審計并重?，F(xiàn)在完全摒棄財務審計也不可能，因為目前我國財務上的違紀違規(guī)還是比較多。我國企業(yè)特別是國有企業(yè)的治理結構還沒有到位，內部審計人員素質、審計環(huán)境等問題都有待改善。所以目前來說，我國的內部審計無法全面實施風險導向內部審計。不過可以肯定的是，我國的內部審計也必將隨著西方發(fā)達國家先進的管理理念和國際內部審計實務經驗的引進而發(fā)生根本性的變化。

　　目前，我們可以先從以下三方面著手準備，為以后的全面推廣提供基礎。

　　首先，努力改善內部審計的環(huán)境，兼顧內部審計的獨立性和客觀性。獨立性通常被認為是內部審計最為重要的屬性，但是對其的過于強調會影響內部審計人員與企業(yè)管理層之間的友好溝通，所以要在強調內部審計獨立的同時兼顧其客觀性。

　　其次，強化對內部審計人員的職業(yè)素質訓練。風險導向內部審計的審計范圍不斷擴展，審計人員關注的范圍因此不斷延伸，對專業(yè)水平和職業(yè)道德的要求也在不斷提升。從長遠看，內部審計職業(yè)化、業(yè)務社會化是發(fā)展趨勢，所以現(xiàn)階段企業(yè)應加強對內審人員的培訓使其具有國際水準的執(zhí)業(yè)水平。

　　還必須加強國有企業(yè)的公司治理結構。如果公司治理存在缺陷，公司經營管理層就可能損傷內部審計的實質上的獨立性，影響內部審計人員所出具的報告的真實性；也可能造成內控制度中監(jiān)督和控制這兩個環(huán)節(jié)失效。所以，合理科學的公司治理結構對于實現(xiàn)真正有效的內部審計至關重要。由于經濟、社會和歷史、文化等方面的背景不同，各國公司治理模式有很大差異，但向英美模式的趨同是一種趨勢。在東亞地區(qū)，這種趨同的趨勢已經比較明顯（蔡喜、范長纓，《工業(yè)技術經濟》2006年10月）。因此，我國也可以在考慮我國國情的基礎上取己所需，改善我國企業(yè)的公司治理結構。

　　風險導向內部審計是內部審計領域的最新發(fā)展，西方國家對其基本理論研究才剛剛開始。我國企業(yè)內部審計起步較晚，與西方現(xiàn)代內部審計相比存在著不小的差距，但隨著我國市場經濟體制的逐步建立和世界經濟的一體化，我國企業(yè)與西方企業(yè)面臨著同樣經營環(huán)境和風險。內部審計作為保證企業(yè)有效管理的重要環(huán)節(jié)，必將面臨嚴峻的挑戰(zhàn)。我們的理論界、實務界和政府應該行動起來，積極探討風險導向內部審計的基本原理、方法及適合我國企業(yè)實情的操作實務，以提高企業(yè)抗風險能力。

　　參考文獻

    ［1］劉實：《企業(yè)內部審計論—基于管理學視角的理論思考》 中國時代經濟出版社2005年2月版38-52頁 61-63頁

    ［2］石貴泉、王凡杯：《現(xiàn)代內部審計：理論與實務》山東人民出版 2005年6月版 12~40頁

    ［3］IIA：《內部審計實務標準2001年修訂》中國時代經濟出版社 2005年5月版

    ［4］郭咸剛：《西方管理學說史》中國經濟出版社 2003版 46~55頁，77-89頁

    ［5］李鈴、陳任武《風險導向內部審計在現(xiàn)代企業(yè)中的作用分析——兼論風險導向內部審計的特點》《財會通訊》學術版2006年12月版

    ［6］王光遠 內向型管理審計：從控制導向到風險導向 武漢［J］：《財會月刊》2002，7

    ［7］王金鳳 冷斌：《淺論風險管理和內部審計的整合協(xié)同效應》 《中國內部審計》2007年2月版

    ［8］王曉霞 孫坤　張宜霞 ：《論風險導向的內部審計理論與實務——通過解讀IIA 2001 版《內部審計實務標準》看內部審計的風險導向》《審計研究》2004年2月版

    ［9］A Holzinger. The new internal auditing function， The Internal Auditor （J） Altamonte Springs： Jun 1999

    ［10］劉潔：《內部審計新模式-風險導向審計》《財會月刊（理論）》 2006年3月

    ［11］楊愛群：《風險管理與風險導向內部審計》《經濟師》2005年第7期

    ［12］王敏 黃瑛：基于風險導向的內部審計原理及其應用 《財經理論與實踐（雙月刊）》2006年9月 第27卷 第143期

    ［13］蔡喜忠 范長纓：論公司治理與風險導向內部審計　《工業(yè)技術經濟》　2006年10月總第156期

    ［14］嚴暉：《風險導向內部審計整合框架研究》中國財政經濟出版社 2004年版 398頁

    ［15］王光遠：《管理審計理論》中國人民大學出版社 1996年版 33~50頁

    ［16］安德魯 錢伯斯等：《內部審計》中國財政經濟出版社 1995年版 14~18頁

    ［17］Spira F. Laura and M. Page， 2003， “Risk Management： the Reinvention of Internal Control and the Changing Role of Internal Audit”， Accounting， Auditing andAccountability Journal， Vol.16：640-661.

    ［18］K.H Spencer Picket Auditing the Risk Management Process Wiley Press 2002版 121~123頁

    ［19］Institute of Internal Auditors （UK and Ireland），Position Statement on Risk Based Internal Auditing August 2003

    ［20］風險導向內部審計網

    ［21］加拿大財政委員會秘書處網站

    ［22］周建利。風險導向審計在內部審計中的應用。2005

    ［23］黎瑛?，F(xiàn)代企業(yè)內部審計的新態(tài)勢 ［J］?！敦斀浛茖W》，2005年4月：59~65頁。

    ［24］鄭小榮 風險導向內部審計若干理論問題探討 《審計與經濟研究》2006年1月版

    ［25］David McName. Risk Based Auditing，The Internal Auditor [J] 1997年8月

    ［26］勞倫斯索耶：索耶內部審計（上）。北京中國財政經濟出版社，2005版

    ［27］徐天祥 范國右等：《如何做好內部審計》中國財政經濟出版社 2005年版 38~42頁