风险导向模式下的内部审计问题探讨：国内外文献综述侯俊志【摘要】本文对国内外风险导向模式下内部审计相关文献进行了梳理，发现国内外主要从风险导向内部审计的界定、目标、实质，风险导向内部审计与传统内部审计的对比，风险导向内部审计下对内部审计人员能力要求，以及风险导向内部审计与企业风险管理等方面对风险导向模式下内部审计进行了研究。

【关键词】风险导向内部审计文献综述一、引言现代内部审计除了关注传统的内部控制之外，对有效的风险管理机制和健全的公司治理结构日益关注。

正是存在这样的需求，一种以内部审计主体组织的内部控制为基础、同时考虑公司治理在内的、以组织整体风险作为审计重点的审计———风险导向内部审计应势而生。

目前国内外关于风险导向内部审计的理论研究和实践探索还主要集中于如何在年度审计计划编制过程中运用风险导向内部审计,关于如何在具体审计项目中贯彻风险导向内部审计理念的实践性资料并不多见。

而要将这种新型审计模式贯彻到内部审计全过程,就必须在如何以风险为导向实施具体审计项目方面有所突破。

二、国内外关于风险导向内部审计研究的文献综述（一）风险导向内部审计在国内外运用情况研究目前内部审计领域对风险导向审计方法的运用目前还主要局限于宏观层面,即在编制年度审计计划、选择审计项目时采用这一方法,而在微观层面,即具体审计项目实施过程中,对这一方法的运用还非常有限,如Marco Allegrini,Giuseppe D'Onza(2003)对在意大利上市的前100家大型企业运用风险导向审计的状况进行了调查,结果表明:有25%的企业未采用风险导向审计方法;有67%的企业只在年度审计计划编制过程中采用了风险导向审计方法;只有8%的企业在年度审计计划编制过程和具体审计项目的实施过程中都采用了风险导向审计方法。

可见,风险导向审计方法并未在具体审计项目实施过程中得到广泛的运用（二）风险导向内部审计的界定研究理论界对于风险导向内部审计的含义有不同的解释。

李曼（2010）认为：风险导向内部审计是指内部审计人员在内部审计的全过程自始至终都要关注风险，依据风险选择项目，识别风险，测试管理者降低风险的方法，并以风险为中心出具审计报告，协助企业风险管理。

这里的“风险”不仅是指“审计风险”，还包括企业在生产经营过程中所面临的各种风险，即那些可能对企业战略和目标的实现产生影响的事件、行为和环境，包括经营风险、市场风险、信贷风险、技术风险、人事风险等。

’风险导向内部审计既是基于降低审计风险，又是为降低企业经营风险，进行风险管理的一种有效工具，在企业风险管理中起到举足轻重的作用。

（三）风险导向内部审计目的、实质研究唐振达（2009）认为风险导向内部审计目标是企业管理信息系统。

风险导向内部审计基于经济实体是一个结构复杂，各个组成部分之间相互联系、相互影响的“信息系统”，而企业则是这个信息系统中的结点和微观个体，它时刻受着整个系统其他组成部分的影响。

要想正确把握企业财务信息背后经营活动的真实面貌，就必须从战略和系统的高度全面审视企业经营管理活动的各个方面，从企业经济管理的各个重要环节认识企业经管各种风险对财务报表的影响。

同时他指出，风险导向内部审计是针对“特别风险”要求实施的进一步的审计程序。

风险导向内部审计实质上是一种舞弊导向审计，主要是通过企业财务报表分析和企业环境分析发现预警信号再由预警信号对企业的管理舞弊风险进行评估，并由舞弊风险评估得出企业被审计的风险领域。

对企业高风险的业务和科目审计不能采用固有的审计程序，而是要根据具体问题具体分析，以尽可能降低审计成本的方式取得最优的审计证据，而且这种审计证据主要是外部证据。

企业舞弊事件的出现并不是偶然的，而是特定条件下多种因素共同作用的结果，是特定的舞弊行为生成机制使然的。

只要内部审计人员充分履行自己的专业分析能力，从研究外部关联方入手，透过表象看本质，通过一系列的资料搜集和风险分析识别风险点然后实施个性化的测试方案，运用合理的职业怀疑和执业能力，就能发觉有价值的“预警信号”。

关于风险导向内部审计的实质，谌小红（2009）认为，内部审计的本质是确保受托责任履行的管理控制机制。

在风险导向阶段，受托责任关系以及管理控制发生了一些变化，与风险结合起来，使风险导向内部审计成为确保受托责任有效履行的能动的管理控制机制。

因此，风险导向内部审计的本质是内审人员在审计过程自始至终都以企业风险分析评估为导向，根据量化的分析水平排定审计项目优先次序，依据风险确定审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性意见和建议，协助企业管理风险，实现企业价值增值，是独立、客观的鉴证和咨询活动。

（四）风险导向内部审计的必要性研究李俊林（2010）认为当代内部审计应以风险为导向，其必要性主要有两方面：（一）企业加强风险管理的需要。

从行业组织和政府看，2004年COSO正式发布了《企业风险管理———整合框架》，而我国也于2006年由国务院国有资产管理委员会发布了《中央企业全面风险管理指引》。

全面风险管理的理念对整个企业、企业内部的各个职能部门都提出了新的要求。

内部审计作为企业的一个职能部门，理所当然地成为企业风险管理的有效组成部分，内部审计部门实施风险导向内部审计，从专业的角度来识别、评估和应对风险，从而为管理部门与风险管理人员提供服务，是企业加强风险管理的需要。

（二）内部审计自身生存和发展的需要。

传统内部审计的固有缺陷导致其在企业内部渐渐地不被重视，企业为了节省成本和开支，不断地削减内部审计机构或部门，或将内部审计的业务部分或全部地对外承包给外部审计公司，这使得内部审计的发展变得更加艰难，要想使内部审计摆脱困境，就必须实施风险导向内部审计，为企业控制风险和增加价值服务。

内部审计自诞生以来，其审计的内容和目的是不断发展和变化的，每一次的发展变化都是在一定的经济背景下为了适应当时企业管理的实际需要而进行的。

现阶段，企业已开始注重全面风险管理，这又是一次企业管理的重大发展变化，内部审计理应适应这一潮流，进一步发展，由传统的内部审计发展到现阶段的风险导向内部审计，从而克服传统内部审计只注重历史账簿记录和内部控制系统的运行情况，而忽略对风险的管理和控制的缺点，从而脱离内部审计目标对企业价值的增加无所助益的缺点。

事实上，内部审计如果不能随着企业管理的变化而进一步发展，提升为企业增加价值的能力，只能被历史所淘汰。

（五）风险导向内部审计与传统内部审计对比分析谌小红（2009）对此问题做出了对比，她认为传统上，内部审计发现了问题将之汇报给相应的部门，审计工作便结束了。

风险导向内部审计不同，更加注重被审计责任中心以及有关责任中心显现与潜在的影响未来发展的问题。

在实施审计时对这些问题投入较多的审计资源，在证实、评价有关信息的基础上，做出恰当的审计结论与切实可行的对策性建议，以促进和帮助被审计责任中心管理当局有效履行其面向未来尤其是制定科学的未来发展战略方面的受托管理责任。

这就从根本上改变了制度导向审计模式主要根据对过去的业务与内部控制情况进行评价而做出审计结论、提出审计建议的做法。

同时，她特别提出风险导向内部审计对内部审计人员胜任能力的要求。

风险导向内部审计与以往各阶段相比，对内部审计人员胜任能力的要求不同。

IIA于1999年发布了一系列报告，总称《内部审计专业胜任能力框架（CFlA）》。

其描述了作为一个胜任的内部审计部门应具备的属性，即在一个胜任的内部审计部门中扮演关键角色所需要的能力。

一是认知技能。

有技术能力，分析、设计技能和鉴别技能。

技术能力是指根据既定规则熟练的工作；分析、设计技能是指识别问题或界定任务并构建典型的解决或执行方案；鉴别技能是指在不确定条件下做出复杂的、有创意的判断。

二是行为技能。

有个人技能、人际技能和组织技能。

个人技能是指能很好地应对挑战、压力、冲突、时间紧迫和变化的环境；人际技能是指通过人际互动取得收获；组织技能是指利用组织网络来取得收获。

在此基础上，莫勒和维特列示了十四项内部审计人员所需要的行为技能：基本的公平和诚实；对组织利益的贡献；合理的谦逊；职业性的稳重；热情；角色的一贯性；好奇心；决定性的态度；警觉；坚持；活力；自信；勇气以及做出明智判断的能力。

除此之外，风险导向内部审计还强调内部审计人员心理方面的能力及特征。

（六）风险导向内部审计与企业风险管理研究李学梅（2010）认为实务中风险导向内部审计与企业风险管理的联系有：风险导向内部审计既是基于降低内部审计人员的审计风险，同时又是为了降低企业经营风险、进行风险管理的一种有效工具。

而企业开展风险管理目的也是全面识别企业风险并及时采取有效控制手段。

两者有着十分紧密的联系。

（一）帮助企业直接有效地防范与规避风险（二）促进企业不断完善风险管理制度（三）为企业强化和规范风险管理运行机制提供重要支持企业的风险管理职能部门所开展的风险管理实践可简要概括为四个步骤：第一步是风险识别；第二步是风险评估；第三步是风险应对；第四步是风险监察。

而内部审计部门在开展风险导向审计业务时，相应的也要经过风险识别、评估、应对和监察阶段。

（七）风险导向内部审计的实证研究为了要推行风险导向内部审计,就应该用风险导向内部审计的理念去指导从计划编制到报告撰写,直至后续审计的整个审计过程。

对此，黄海、张晨（2008）通过具体研究某钢铁企业，得出，要将风险导向内部审计的理念落实到具体审计项目的实施过程中,就必须重视项目的审前调查和审计方案的编制工作。

在识别企业目标和风险后,可针对与风险点相对应的控制进行内控测试,根据测试结果判断风险大小。

审计实施方案的编制应以审前调查结果为依据,方案中应详细列示每一个审计要点对应的企业目标、风险、控制措施,同时应象编制内控测试模板那样细化审计步骤,详细列示需要访谈哪些人员、需要抽取哪些样本等;对抽取样本的比例应以审前调查的风险评估结果为依据,明确规定高风险领域对应高的抽样比例,低风险领域对应低的抽样比例。

这样就可避免由于审计人员经验不足或懈怠等原因而影响审计质量。

此外,在审计项目实施过程中,应根据新增信息调整风险评估结果,优化审计步骤,以修正审前调查中由于信息量不足而作出的错误估计和判断。

通过以上方式获得的五个方面的信息进行了汇总,填制了风险分析表,根据这些信息,结合审计人员的职业判断,对每一个风险点进行了风险高、中、低的定性评估,在此基础上形成了风险评估。

李学梅（2010）则认为，通过分析实务中内部审计部门在开展风险导向内部审计业务时与企业风险管理职能部门的联系，可知，无论是风险导向内部审计业务，还是风险管理部门进行风险管理实践，其根本目标都是为降低企业风险，维护企业利益，为企业的总体战略目标而服务。