·综合（下）2009年第7期风险导向内部审计研究文献综述杨惠贤1付蓉2（1.西安石油大学经济管理学院陕西西安710065；2.中国石油长庆石化公司陕西咸阳712000）摘要：从20世纪90年代末开始，内部审计进入风险导向阶段，作为现代审计方法，风险导向内部审计研究日益得到国内外学者和组织机构的关注和重视。

本文从风险导向内部审计的产生发展、基本理论和应用等方面，对风险导向内部审计研究进行了综述，并指出了研究过程中存在的问题，指出了未来发展趋势。

关键词：风险导向风险管理内部审计文献综述一、风险导向内部审计研究综述（一）风险导向内部审计产生发展研究关于风险导向内部审计产生的原因或必要性，王光远在1994年发表《论管理审计的概念》和《管理审计鉴证的基本准则》首次把我国内部审计从过去财务审计向协助企业管理方向发展。

2002年王光远又在《内向型管理审计：从控制导向到风险导向》一文中对内部审计对于企业风险预防和监控提出深入见解。

严辉（2004）从管理学和法律规范的角度考察风险导向内部审计的产生，指出：第一，信息技术的发展、全球化经营以及企业生产方式的变革，使企业所面临的管理环境发生重大变化，内部审计要适应这样的管理环境也必须进行变革。

环境的多样化和多变性促使内部审计必须更加注重对风险的分析，内部审计必须注重价值的创造，内部审计必须提供满足不同顾客要求的服务。

第二，管理理论(战略管理理论和企业再造理论)的发展，使得传统的内部审计暴露出难以规避的问题，以致影响内部审计的发展。

内部审计应该进行变革而风险是变革中的重要因素。

风险导向内部审计关注于企业风险，帮助企业识别、评估各种内、外部风险，为企业构筑利用机会或减轻威胁的战略，使内部审计成为创造企业价值的链条中的必要环节。

第三，公司治理、内部控制和风险管理方面相关的法规纷纷出台，并在具体内容中体现了三者的相互渗透和融合，这些法规要求内部审计在公司治理、内部控制和风险管理中承担一定职责，由此推动了风险导向内部审计的产生。

郑小荣（2005）提出，企业内部审计的外部化趋势侵蚀内部审计生存的职业空间，也是导致风险导向内部审计产生的重要因素之一，内部审计外部化，是指企业将内部审计的部分或全部职能交由外部的会计师事务所等中介机构来完成，企业同时给这些机构支付相应费用的现象。

内部审计的外部化趋势威胁内部审计职业的生存空间，使得内部审计积极推行风险导向内部审计，为整个组织提供风险方面的咨询与保证服务，提高其在组织中的不可替代性，减弱外部化带来的不利影响，从而保持与扩展其职业生存空间。

罗冬梅（2007）认为传统内部审计方法的内在缺陷是风险导向内部审计产生的内在原因。

我国企业内部审计大部分运用着账项基础审计模式和制度基础审计模式，这两种审计模式由于本身固有的缺陷使得内部审计的审计效率低下、审计结论缺乏可操作性。

在账项基础审计模式下，审计人员将精力主要放在被审计单位会计记录及其有关凭证的审查上，着重去验算其会计金额，核对转账事项，以证实账簿和报表数字的正确性。

这种审计方式只能适用于一些小规模企业的财务审计，但要运用它对规模较大的企业进行内部审计，则存在着审计效率低下、审计结果不准确、审计内容狭窄的严重缺陷。

在制度基础审计模式下，内部审计人员一直把精力集中在对内部控制的审查上，通过制定计划进行符合性测试和实质性测试，由此对企业经营活动的内部控制做出评价，并向管理层提出加强内部控制的措施，然而这一审计模式存在着审计结论脱离企业目标、控制系统日趋僵化、审计作用严重滞后等诸多缺陷，难以实现内部审计的初宗，无法满足管理者的需要。

（二）风险导向内部审计基本理论研究（1）相关界定。

2003年IIA对“内部审计实务标准”进行了修订，新标准将内部审计定义为:内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。

通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。

这一新定义，以风险为基础，对内部审计的对象、目标、职能进行了重新定位，推动风险导向内部审计进一步向前发展。

中注协副秘书长李爽2001年就银广夏事件接受记者采访时称，风险导向审计是“指注册会计师通过对被审计单位进行风险分析、评价被审计单位风险控制、确定剩余审计风险，执行追加审计程序将剩余审计风险降低到可接受水平。

”胡春元（2001）认为风险导向审计以量化的风险水平为重点，在确定的风险水平基础上，决定实质性测试的程度和范围。

以上定义都强调了对风险的分析评价，但没有明确评价的是什么风险，没有阐明被审计单位风险和审计风险的关系。

在我国理论界，对于风险导向内部审计的含义有不同的解释。

杨爱群（2005）认为，风险导向内部审计是对审计风险的评估作为一切审计工作的起点，并始终贯穿于审计过程的现代审计模式。

王晓霞（2005）认为，企业内部审计部门采用一种系统化、规范化的方法来进行以测试企业风险管理信息系统、各业务循环及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动，对机构的风险管理、控制及监督过程进行评价进而提高过程效率，帮助机构实现目标。

而更多的学者是持这样的观点:风险导向内部审计是指内部审计人员在内部审计的全过程自始至终都要关注风险，依据风险选择项目，识别风险，测试管理者降低风险的方法，并以风险为中心出具审计报告，协助企业风险管理。

这里的“风险”不仅是指“审计风险”，还包括企业在生产经营过程中所面临的各种风险，即那些可能对企业战略和目标的实现产生影响的事件、行为和环境，包括经营风险、市场风险、信贷风险、技术风险、人事风险等。

风险导向内部审计既是基于降低审计风险，又是为降低企业经营风险，进作者简介：杨惠贤（1966-），女，陕西西安人，西安石油大学经济管理学院副教授付蓉（1976-），女，陕西咸阳人，中国石油长庆石化公司会计师73风险导向内部审计的本质风险导向内部审计的对象→风险导向内部审计假设→→→风险导向内部审计目标风险导向内部审计职能→→风险导向内部审计相关概念→风险导向内部审计职业规范图1杨惠贤付蓉：风险导向内部审计研究的文献综述行风险管理的一种有效工具。

（2）审计模式研究。

内部审计与外部审计在审计理论结构方面有很多共同之处，对内部审计理论结构的研究，大都借鉴了外部审计理论结构的研究成果。

蔡春（1993）提出了“环境—本质—假设—目标—规范与信息—控制—环境”的审计理论结构模式。

有关风险导向内部审计理论结构的研究，也是按照审计理论结构的一般模式来进行的，只是不同的学者具体所采用的模式不同而已。

严辉(2004)采用“本质—假设—目标—职业规范”的结构模式，构筑了比较完整的风险导向内部审计理论结构框架，见（图1）所示。

陈宏(2005)按照“目标—对象—职责”的模式，研究风险导向内部审计的基本理论框架，李玲、陈任武（2006）认为风险导向内部审计遵循“目标———风险———控制”的逻辑顺序，即审计人员首先确认企业目标或某项交易的目标，然后分析对这些目标产生影响的风险以及能够管理这些风险的控制，最后测试实际的控制，考虑其能否切实管理这些风险。

这里的“风险”包括企业或组织在经营过程中面临的可能对其目标实现产生影响的各种不确定性。

这种范式的内部审计,重视与企业目标直接关联的风险分析,紧密关注高风险领域,并根据风险评估结果调整审计战略与确定审计重点,从而能提供更相关、更符合管理当局和董事会需求的确证信息,能帮助组织增加价值并提高经营效率。

（3）风险管理研究。

王晓霞、孙坤和张宜霞（2004）在结合企业管理目标的基础上提出风险管理的主要目标在于损失发生之前能做出最有效安排，使损失发生后所需要的资源，与保持有效经营必要的资源，能达成适度平衡。

风险包括经营风险和行为风险，风险管理的原则是权衡轻重、考虑周详，避免超额负载和成本效益原则。

风险管理的七个步骤是确定范围、识别风险、分析风险、评价风险、处理风险、沟通与协商、监测和审核，并提出五个风险管理策略与方法。

郑小荣（2006）分析了企业风险管理框架（ERM ）与风险导向内部审计的联系。

ERM 是一个整合公司治理和内部控制的企业风险管理框架，它包含了四个目标、八个要素和四个层次，它关注包括公司治理和内部控制环节的风险在内的一切风险，而公司治理领域和包括内部控制环节的风险在内的所有风险正是风险导向内部审计的对象，所以企业风险管理框架就可以被视为风险导向内部审计的对象。

ERM 的出台为风险导向内部审计提供了权威的工作依据。

根据ERM ，风险导向内部审计的工作就可以有条不紊地分解为：针对组织特定目标（战略目标、报告目标、经营目标与合法性目标）、特定的管理层次（组织整体层面、分部、经营单元、子公司）实施各自的风险审计程序（内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通），内部审计无须在目标制定环节之外另外寻求其它的目标分类标准，无须为确定审计范围进行太多的思考，更无须为风险导向审计程序本身的设计投入更多的资源。

企业风险管理框架为实践风险导向内部审计提供了现实指导。

罗冬梅（2006）认为风险管理框架下的内部审计也是一种综合审计类型。

不同于单纯的财务审计、业务审计及管理审计，是融风险管理、公司治理和内部控制审查于一体，更关注企业在整个治理过程中的决策风险和经营风险。

内部审计的职能从监督和评价转变为确证和咨询。

确证是根据客户的标准、要求对特定领域进行评价并提供其需要的信息，能够改善决策与提高决策的科学性。

咨询则是直接作为专家顾问参与经营活动,改善客户的经营和财务状况。

通过内部审计可以促进公司治理和内部控制的整合。

风险管理框架下的内部审计除了对公司治理和现代内部控制发挥各自的作用外，还能成为沟通二者的渠道，促进公司治理与现代内部控制的协同与整合，有利于各类企业外部受托责任与内部受托责任的统一。

（三）风险导向内部审计实施与应用研究（1）审计方法和程序研究。

胡春元（2001）提出了风险因素分析、风险基础审计的基本程序、风险基础审计的基本方法方面，在风险基础审计的基本程序中，将程序分成五个阶段，分别为：第一阶段（通过调查、了解、分析、评估等方法执行一般规划并确认重要的审计领域，识别重要的风险领域）；第二阶段（了解和评估重要的资料来源）；第三阶段（执行初步风险评估，即固有风险和控制风险的联合）；第四阶段（拟定和执行审计计划，通过实施审计获取审计证据）；第五阶段（做出审计报告。

这五个阶段体现了审计重心前移的理念，但仍拘泥于传统的审计模式。

在风险基础审计的基本方法中，介绍了审计风险评估、分析性测试、控制测试、交易业务实质性测试、余额细节测试）。

刘三昌（2003）提出以风险分析为基础，确定内部审计年度计划。