隨著知識經濟時代的來臨以及經濟全球化步伐的加快，企業面臨著更為多樣化和多變性的環境。公司治理、戰略管理、企業再造等現代管理理論給人們帶來了全新的理念，要求內部審計突破傳統審計模式，圍繞企業目標，提供增值服務。風險管理導向內部審計理論認為，內部審計應把關注的核心轉向風險，注重現在和未來，不再關注過去的細節。風險是一個與企業遠景、使命、目標以及戰略更為相關的概念，也是一個更積極面向未來的概念，正因為如此，風險管理導向內部審計旨在為企業增加價值。2001年，國際內部審計協會（the Institute of In-ternal Auditors，簡稱IIA）頒布了《內部審計實務標準》，順應了這種變革的需要。本文意在用全面風險管理理念改造傳統的內部審計模式，從審計目標、對象、方法、程序等角度探討模式的構建。

　　一、傳統內部審計模式的局限性

　　追溯內部審計的變遷歷程，大致經歷了財務審計、經營審計、管理審計等幾個基本的演變與變化過程，然后再向風險管理審計推進。與之相對應，內部審計模式也從財務導向、制度導向邁向風險管理導向。

　　財務導向審計的目的是查錯糾弊，審計對象主要是被審計單位的財務會計事項，所采用的審計方法是賬項基礎審計法。內部審計機構通過對會計記錄的真實性、合規性進行認定和評價，借以認定、評價有關管理當局會計工作方面的受托管理責任的履行情況。這種內部審計模式不涉及或很少涉及企業的經營管理活動層面，并且是一種事后的審計方式，因此，它不注重“增值”目的。這種低層次的審計模式，不能滿足高層管理當局加強控制的需要和各利益相關者要求企業“增值”的需要。顯然，它只適用于早期的內部審計，尤其是傳統的財務收支審計。

　　制度導向審計以經營活動（采購、生產、銷售、財務）、管理活動（計劃、組織、協調、控制）為審計對象，審計的目的是加強管理控制，提高經營管理水平，所采用的審計方法是制度基礎審計法。這是一種以評價內部控制系統即內部控制制度及其執行情況為基礎的內部審計方法。它通過確定企業內部控制制度可能存在的缺陷，進而判明財產保全和會計記錄中可能存在的錯弊，而后，再進行深入的分析與實質性的審計，以確定企業經營管理活動中存在的問題。制度導向審計是內部審計模式上的重大突破，主要表現在：一是通過了解并評價內部控制制度的完整、健全及是否得到有效實施，確定審計的重點，以提高審計效率；二是對內部控制制度的遵循情況進行測試，評價控制風險，對審計風險進行系統規劃和控制；三是通過實施內部控制審計，針對內部控制的構成要件、構成機制及其效果進行認定和評價，肯定優點，指出缺點，提出和改善企業管理制度和業務處理程序的建議。制度導向審計滿足了高層管理者和企業內部各層次管理者受托責任關系日益擴大化的需要，即管理者除了履行受托財務責任以外，還必須承擔其他受托管理責任。制度導向審計固然有其先進性，但是從審計思路上還未從全面風險管理理念角度進行科學規范和運用。其局限性主要表現在：（1）制度導向審計模式著眼于對內部控制制度及其執行整體情況的了解和分析而對企業風險因素關注不夠。（2）注重內部控制，忽視企業目標，導致過度控制日益嚴重。

　　二、風險管理導向內部審計模式的構建

　　（一）風險管理導向內部審計的目標

　　作為企業的一個職能，內部審計要成為企業價值鏈上一個必要的環節，其目標就應當與企業的目標保持一致。國際內部審計師協會理事會通過并于2002年1月1日實施的《內部審計職業實務準則》導言中關于內部審計定義是：“內部審計是一種獨立、客觀的確認和咨洵活動，旨在增加價值和改善組織的運營。它通過應用系統的、規范的方法，評價并改善風險管理、控制和治理過程的效果，幫助組織實現其目標。”從這一定義中可以得到內部審計是一項確認和咨詢活動，是為增加價值和改進經營、實現組織的目標服務的。

　　與傳統的企業內部審計目標不同，風險管理導向內部審計目標更注重與企業目標的直接關聯，在創造價值的企業目標作用下，內部審計目標是降低風險，增加價值。這里的降低風險，不僅僅指審計風險降低，而是通過企業自身的風險管理活動及審計師的風險管理導向審計從而降低企業在創造財富中所面臨的風險，進而是審計的風險也相應地降低到可接受水平；與風險降低相對應的是價值的提升，即企業創造出更多的財富，而在這一財富創造過程的價值鏈中，風險管理導向審計作為其中的一個環節，使審計價值得到提升。

　　（二）風險管理導向內部審計的對象

　　傳統的內部審計對象分別是財務事項、業務活動、管理活動，主要的審計類型分別是財務審計、業務審計、管理審計。風險管理導向內部審計的對象是企業風險，主要審計類型是金融風險管理、公司治理和內部控制審查于一體的綜合審計。這種綜合審計相比業務審計、管理審計階段而言，更強調關注公司治理框架中風險發現與風險管理，關注管理者及其經營管理行為可能出現的風險，關注組織在整個治理過程中的決策風險與經營風險。

　　根據2004年美國COSO委員會頒布的《企業風險管理框架》（ERM），企業風險管理被定義為：“是一個由企業的董事會、管理層和其他員工共同參與，應用于企業戰略制定和企業內部各個層次和部門，旨在識別可能對企業造成潛在影響的事項并在有關人員風險偏好范圍內管理風險，為企業目標的實現提供合理保證的過程”。企業風險管理分為內部壞境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監控等相互關聯的要素，各要素貫穿于企業的管理過程之中。這些要素的排列方式亦代表了企業風險管理的業務流程。由于資本價值為風險和報酬組合的函數，而風險是可能給投資人帶來的預期損失，風險管理控制成功與否直接影響企業收益。因此，在新形勢下，風險管理日益成為企業管理的核心問題。風險對公司治理及內部控制的理論與實務也產生了很大影響。就前者而言，公司治理理論認為，公司治理是企業對風險的戰略反映。廣義的公司治理已將關注點轉向了科學決策，因此風險是必須考慮的因素。就后者而言，ERM是在1992年頒布的《內部控制整體框架》（IC-IF）基礎上發展的，IC-IF是包含在ERM中的一體化部分，ERM擴大了內部控制的范圍，提高了內部控制的層次，是一個更關注風險的強大的概念體系。因此，在風險理念的作用下，企業內部控制已擴展為企業風險管理框架。

　　（三）風險管理導向內部審計的方法

　　制度基礎內部審計方法是審計人員首先決定應設計的控制，再進行評估風險，然后對照組織目標，通過對內部控制制度的健全性和有效性評價，發現內部控制的薄弱環節，而后，針對這些環節展開重點審查。審計重點置于單位作業系統內部控制的規劃、測試與報告，即：決定應設計的控制→評估控制風險→確定組織目標→發現內部控制中存在的問題并提出糾正建議。而風險管理導向內部審計的方法是：確定組織目標→評估企業風險→決定應設計的控制→發現企業管理中存在的問題或可能發生的問題并提出建設性的建議。它從確定目標開始，到幫助組織提出合理化建議結束，即審計人員首先確認企業目標或某項交易的目標，然后分析對這些目標產生影響的風險以及能夠管理這些風險的控制，最后測試實際的控制，考慮其能否切實管理這些風險。

　　需要指出的是，兩者區別不僅表現在審計路徑上的不同，還表現在對風險的理解和運用不同。前者的風險是狹義的風險，即風險的大小僅用來表示內部控制的健全性和有效性，后者的風險是廣義的風險即企業風險。風險管理導向內部審計關注的并非控制的充分性和遵循性，而是企業風險是否得到適當管理和控制，因此，審計判斷不僅僅基于審計師對審計風險的容忍度，而更多地依賴于管理層對該領域的企業風險容忍度，更加關注管理層如何計量和監控與他們的目標和風險容忍度相關的業績執行情況。

　　（四）風險管理導向內部審計的程序

　　與審計目的、對象、方法相對應，風險管理導向內部審計的程序應自始至終貫穿著風險管理的主導思想。風險管理審計過程包括：了解企業經營風險和識別風險、評價企業風險控制、確定剩余風險，剩余風險管理等幾個環節。內部審計活動應幫助企業發現并評價重要的風險因素，幫助改善風險管理與控制體系。內部審計部門應監督、評價企業風險管理體系的有效性以及機構的治理、經營及信息系統方面的風險因素。風險管理是管理人員的主要責任，董事會和審計委員會應該在確定機構是否建立恰當的風險管理過程以及這些程序是否充分有效運作方面起監督作用。內部審計人員應通過檢查、評價、報告風險管理過程的充分性和有效性，并提出改進建議來協助管理人員和審計委員會的工作。以咨詢顧問身份開展的內部審計人員可以協助機構確定、評價并實施針對風險的管理方法和控制措施。

　　因此，在編制審計計劃時，內部審計師應該在對可能影響機構的風險進行了解、識別、評估的基礎上，制定內部審計部門的審計計劃。在選擇被審項目時，應該在評估風險優先次序的基礎上安排審計工作。在開展審計業務時，用于檢測、證實風險的技術與方法應該能夠反映出風險的重大性、發生的可能性及頻率。在審計報告時，應該傳達對風險管理的結論和建議，以降低風險。為了讓管理層充分理解風險的程度，在報告中應特別提出風險活動對于實現目標的關鍵性與后果。在后續審計時，內部審計師應該將注意力集中于最嚴重的或潛在的問題上，對一般事項的后續審計可僅限于詢問和簡短的討論。后續審計應該跟蹤到：對于重大的審計發現，相關部門和環節是否予以糾正：若不予糾正，責任和原因到底在哪兒。IIA《內部審計實務標準》要求，若審計執行主管認為高級管理層接受的剩余風險對于機構無法接受，應該上報董事局加以解決。

　　三、風險管理導向內部審計模式的意義

　　第一，風險管理導向內部審計模式所持的是一種廣義的風險觀，它拓寬了外部審計所采用的風險基礎審計模式中狹義的風險概念，使內部審計目標與企業目標緊密結合在一起，從而為企業捉供“增值”服務。風險基礎審計模式（也稱風險導向審計模式）審計的出發點是審計風險，它通過對固有風險和控制風險進行評估，以審計風險模型確定審計的時間、范圍和性質。因此，風險基礎審計模式關注風險的目的是提高審計效率和效果，局限于審計本身的目標，其中的風險是狹義的審計風險的概念。風險管理導向內部審計把個企業在經營過程中面臨的各種重要風險作為審計對象，并把其作為確定審計項目及其審計重點的依據，以企業進行的所有降低風險的活動為測試重點，評價風險降低的充分性和有效性，并提出恰當的降低風險的建議。

　　第二，在風險管理導向內部審計觀念下，年度審計計劃與公司最高層的風險戰略連接在一起，內部審計人員通過對當前的風險分析確保其審計計劃與經營計劃相一致，使用風險管理原則改變審核過程，使內部審計程序更富有成效。風險管理成為組織中關鍵流程，促使內部審計的工作重點不再是測試控制，而是確認風險及測試管理風險的方法，在風險管理導向內部審計中，控制仍然重要，但分析、確認、揭示關鍵性的經營風險，才是內部審計的焦點。

　　第三，風險管理導向內部審計實現了公司治理、內部控制、風險管理的有機整合，提升了內部審計的層次，增加了內部審計“增值”的機會。內部審計是現代公司治理的一部分（王光遠，2003），而且內部審計、內部控制與公司治理之間存在著互動關系（程新生，2004）。公司治理旨在降低所有者和管理者之間的委托代理風險，風險是公司治理的核心要素。在風險管理導向內部審計模式下，內部審計從企業戰略目標、戰略管理的高度出發，參與到公司治理與風險管理中，幫助組織發現并評價重要的風險因素，促進組織改進風險管理體系；評價并改進組織的治理程序，為組織的治理做貢獻；同時繼續原有的對控制的效率和效果的評價作用，促進控制的改善，幫助組織保持有效的控制。此時的內部審計人員通過對風險的把握，來評價公司治理及內部控制，并促進公司治理、內部控制的改善，從而實現對風險的掌握與駕馭。在風險管理這個統一的核心下，公司治理、內部審計及內部控制實現了一定程度的整合，為組織增加了價值。

　　作者單位：浙江萬里學院商學院（責任編輯：禾 言）