隨著經(jīng)濟全球化和科學技術(shù)的迅猛發(fā)展，日益復雜的組織內(nèi)部關(guān)系和競爭日趨激烈的外部市場，使經(jīng)濟社會中不確定因素越來越多，企業(yè)承擔的風險也隨之加大。內(nèi)部審計作為企業(yè)內(nèi)部控制和風險管理的一種制度安排，需要順勢而為，不斷調(diào)整自己的業(yè)務范圍和審計目標。內(nèi)部審計不僅關(guān)注內(nèi)部控制，也積極參與到企業(yè)的風險管理；審計目標從過去被動地差錯糾弊，變?yōu)橹鲃拥貛椭髽I(yè)增加價值。因此，風險導向型內(nèi)部審計的提出滿足了現(xiàn)代企業(yè)對內(nèi)部審計在風險管理、內(nèi)部控制和公司治理方面的更高要求。

　　一、風險導向型內(nèi)部審計的含義及特點

　　（一）風險導向型內(nèi)部審計的含義

　　狹義的企業(yè)風險指有礙于組織目標實現(xiàn)的威脅因素，通常分為三大類：外部環(huán)境風險、經(jīng)營過程和資產(chǎn)損失風險、以及信息風險。由于事后補償?shù)谋ｋU難以發(fā)揮對組織風險結(jié)果予以彌補的作用，因此，風險管理既是必要的，又是可行的?；诖?，COSO委員會于2004年正式提出《企業(yè)風險管理框架》（簡稱ERM），將企業(yè)風險管理定義為：是一個受機構(gòu)的董事會、管理層以及其他人員影響的過程，它可以運用在戰(zhàn)略設(shè)定并貫穿于企業(yè)當中，設(shè)計企業(yè)風險管理旨在確認影響機構(gòu)的潛在事件，并在風險偏好內(nèi)管理風險，為機構(gòu)目標的實現(xiàn)提供合理的保證。企業(yè)風險管理（ERM）由以下八個要素構(gòu)成：內(nèi)部環(huán)境、目標設(shè)定、事件確認、風險評估、風險回應、控制活動、信息和溝通、監(jiān)控。這八個方面組成要素是一個有機的整體，體現(xiàn)的是一個動態(tài)的過程。一種觀點認為，風險導向型內(nèi)部審計的風險就是審計風險；而另一種觀點則認為，所謂的“風險”不是單純意義的“審計風險”，更大意義上是指企業(yè)風險。在《布林克現(xiàn)代內(nèi)部審計學》第六版中提到“現(xiàn)在的內(nèi)部審計人員要運用前后一致的方法來理解和評估審計風險，包括與單個被審計機構(gòu)有關(guān)聯(lián)的風險以及整個組織所面臨的整體風險”，可見，風險導向型內(nèi)部審計是以審計風險模型為審計方法，以對整個組織的風險進行評估與改善為最終目的的一種審計理念。

　　（二）風險導向型內(nèi)部審計的特點

　　與制度導向型內(nèi)部審計相比，風險導向型內(nèi)部審計具有以下特點：

　　一是風險導向型內(nèi)部審計的基礎(chǔ)是內(nèi)部控制。COSO將內(nèi)部控制定義為：內(nèi)部控制是一個過程，受機構(gòu)的董事會、管理層以及其他人員的影響，設(shè)計內(nèi)部控制是為以下類別的目標的實現(xiàn)提供合理的保證：運營的效果和效率、財務報告的可靠性、以及遵守適用的法律和法規(guī)。對內(nèi)部控制評價的過程就是內(nèi)部審計的過程，一個企業(yè)內(nèi)部控制的好壞，與審計風險的高低直接相關(guān)，所以內(nèi)部控制始終都是內(nèi)部審計關(guān)注的重點；同時，內(nèi)部審計也是內(nèi)部控制的一個重要環(huán)節(jié)，是對其它內(nèi)部控制環(huán)節(jié)的再控制。重視日?？刂苹顒?，抓住內(nèi)部審計監(jiān)督評價環(huán)節(jié)，為企業(yè)目標實現(xiàn)提供合理保證。此外，構(gòu)成內(nèi)部控制的五個要素是：控制環(huán)境、風險評估、控制活動、信息和溝通、以及監(jiān)控。內(nèi)部審計要對公司的風險管理加以評估與改善，首先要從內(nèi)部控制領(lǐng)域中的風險做起?？梢?，風險導向內(nèi)部審計是以內(nèi)部控制結(jié)構(gòu)為內(nèi)容，關(guān)注風險發(fā)生的可能性。所以，內(nèi)部控制是風險導向內(nèi)部審計進入公司治理、評估改善組織風險的基礎(chǔ)。

　　二是風險導向型內(nèi)部審計的內(nèi)容是風險管理。內(nèi)部審計介入風險管理是內(nèi)部審計職業(yè)發(fā)展的要求，也是企業(yè)發(fā)展的需求。從ERM框架可知，它關(guān)注包括公司治理領(lǐng)域和內(nèi)部控制環(huán)節(jié)的風險在內(nèi)的一切風險，因此，風險管理不僅要求全面識別風險，而且要熟悉本單位的經(jīng)營戰(zhàn)略、工作程序、組織結(jié)構(gòu)等，而內(nèi)部審計人員的獨特地位與專業(yè)知識滿足了以上要求，風險管理必然成為內(nèi)部審計的主要業(yè)務之一。風險導向內(nèi)部審計要求內(nèi)審人員在審計過程中自始至終都關(guān)注企業(yè)風險、識別風險，依據(jù)風險選擇項目，以降低風險為導向，進行內(nèi)部控制制度的符合性測試、實質(zhì)性測試，并進行監(jiān)督檢查和評價，提出建設(shè)性意見和建議，其審計報告可以作為揭示企業(yè)風險、防范風險以及信息交流的信號，協(xié)助企業(yè)管理風險。風險導向內(nèi)部審計以風險為出發(fā)點，不僅能夠使其服務范圍與企業(yè)發(fā)展戰(zhàn)略與經(jīng)營目標直接聯(lián)系，而且以其在企業(yè)中的獨特地位和專業(yè)知識能夠從根本上解釋和評估風險管理措施，從而提高風險管理的有效性。

　　三是風險導向型內(nèi)部審計是提高審計資源利用效率的途徑。風險導向內(nèi)部審計不僅重視會計信息，而且重視經(jīng)濟信息、產(chǎn)業(yè)信息和財務信息等，其審計模式是：在對企業(yè)所有風險進行徹底了解后，內(nèi)部審計人員對風險進行排序，根據(jù)風險大小來確定審計范圍，對于有證據(jù)表明風險較低的領(lǐng)域，應依賴內(nèi)部控制或分析性復核；對于被認為風險較高的領(lǐng)域，分配更多的審計資源，可實施大量的實質(zhì)性測試和余額細節(jié)測試。這樣恰當、有效地分配內(nèi)部審計資源，使得更多與風險管理相關(guān)的控制和活動得到關(guān)注，將審計手段與審計目標更好地結(jié)合在一起，可以提高審計的科學性、針對性和績效性。所以，風險導向內(nèi)部審計提供了一種既能保持審計效果，又能提高審計效率的工作思路。

　　二、風險導向型內(nèi)部審計在企業(yè)風險管理中的作用及其途徑

　　（一）風險導向型內(nèi)部審計在企業(yè)風險管理中的作用

　　一是在風險環(huán)境分析中的作用。風險環(huán)境是指影響組織經(jīng)營目標不能實現(xiàn)的經(jīng)營環(huán)境，包括內(nèi)部風險環(huán)境和外部風險環(huán)境。外部環(huán)境因素主要包括法律、政治和經(jīng)濟等環(huán)境因素；內(nèi)部環(huán)境因素主要有：企業(yè)的風險偏好與風險文化、誠信與道德價值、管理理念與經(jīng)營風格、組織結(jié)構(gòu)與權(quán)責劃分等，其是企業(yè)設(shè)定經(jīng)營目標和戰(zhàn)略計劃的基礎(chǔ)。由于經(jīng)營環(huán)境是風險的根源，因此內(nèi)部審計應從著眼于風險轉(zhuǎn)到著眼于經(jīng)營環(huán)境，通過對經(jīng)營環(huán)境（包括一般環(huán)境和社會環(huán)境、創(chuàng)業(yè)環(huán)境、內(nèi)部審計應用環(huán)境和組織環(huán)境等）的分析，以進一步評估組織的“固有風險”和“剩余風險”，并通過對企業(yè)各項環(huán)境因素變化的分析，將分析結(jié)果以審計報告的形式反映給管理層，以便管理層更加有效地管理風險。正是由于內(nèi)部審計熟悉企業(yè)的內(nèi)部環(huán)境、并具有相對獨立的職能地位，可以全面客觀的判斷企業(yè)的固有風險、評價企業(yè)目標的有效性和可行性。

　　二是在風險事件識別活動中的作用。ERM框架要求識別出所有可能發(fā)生并對企業(yè)目標實現(xiàn)產(chǎn)生不利影響的重要狀況，該步驟非常重要，因為未被識別的事件不會在風險回應中得到處理，可能導致意外風險的發(fā)生。內(nèi)部審計針對現(xiàn)有環(huán)境與經(jīng)營過程，通常以各種類型的戰(zhàn)略或各種形式的商業(yè)活動為基礎(chǔ)的模板，觀察同行業(yè)內(nèi)其他企業(yè)的經(jīng)營情況及整個市場的經(jīng)營風險水平，同時，內(nèi)部審計人員以其專業(yè)知識和技術(shù)，獨立地推斷潛在的重大風險。因此，在風險事件識別活動中。內(nèi)部審計人員要判斷管理層是否完全識別了單位的所有風險。

　　三是在風險評估中的作用。風險導向型內(nèi)部審計通常要求采用風險評級和計分的方法進行風險評估，并根據(jù)量化的風險水平排定優(yōu)先次序，盡量找出風險存在的根本原因，以尋求最好的解決方案。對難以客觀量化的風險事件，則采用主觀估計風險發(fā)生的可能性，此時，內(nèi)部審計人員的職業(yè)判斷最得尤為重要，其可以幫助管理者做出比較正確的選擇?？梢?，在風險評估中，內(nèi)部審計人員需要從客觀的角度分析風險的假設(shè)條件、計算方法的適當性來評價風險，以向管理層提供專業(yè)意見。

　　四是在風險反映和控制活動中的作用。對于經(jīng)過識別和評估后的風險，企業(yè)都要經(jīng)過風險與收益的權(quán)衡。ERM將風險反映分為j類：可接受風險、規(guī)避風險和減少風險。規(guī)避風險超出了企業(yè)的風險偏好，企業(yè)不能接受且無法經(jīng)濟有效地加以抑制，則須放棄該項目或計劃從而避免風險帶來負面影響。對于大部分風險，需要企業(yè)采取一定的行動，轉(zhuǎn)移或分散風險，以達到企業(yè)可接受的水平。為此，企業(yè)需要對其風險加以控制，即將不可接受的“固有風險”轉(zhuǎn)化為可接受的“剩余風險”，由于控制活動本身是很復雜的，內(nèi)部審計人員通常采用分析性程序和詳細測試，評估控制活動的有效性，使風險得以管理。因此，在風險反映和控制活動中，內(nèi)部審計人員通過分析、評估風險回避的合理性、減少風險措施的有效性，以降低組織承受的風險。

　　五是在風險信息溝通和風險管理系統(tǒng)監(jiān)控中的作用。風險管理涉及企業(yè)各個職能主體，是各管理部門共同承擔企業(yè)的綜合風險。風險導向內(nèi)部審計從評價各部門內(nèi)部控制制度人手，在各領(lǐng)域查找管理漏洞，以獨立第三方的身份驗證信息的準確性和及時性，幫助企業(yè)管理當局進行風險的管理與協(xié)調(diào)。為此，內(nèi)部審計人員需要采用風險監(jiān)控方式，將經(jīng)營計量系統(tǒng)記錄的業(yè)績與計劃和預算中的預期業(yè)績以及同一時期的競爭者業(yè)績進行比較，來判斷風險環(huán)境中新的風險和變化，便于管理者及時做出反應?？梢姡陲L險信息溝通和風險管理系統(tǒng)監(jiān)控中，內(nèi)部審計人員通過審計報告以向董事會和審計委員會傳遞風險是否得到有效管理的信息，保證單位對風險的管理是一直有效的。

　　（二）風險導向型內(nèi)部審計在企業(yè)風險管理中發(fā)揮作用的途徑

　　風險管理框架（ERM）下的內(nèi)部審計關(guān)注的核心是企業(yè)的風險管理過程和剩余風險水平，由于內(nèi)部審計部門所進行的風險管理是對剩余風險的確認并提出咨詢建議，因此，內(nèi)部審計參與風險管理的途徑是開展風險導向型審計。通過開展風險導向?qū)徲嫞瑑?nèi)部審計將事后評價轉(zhuǎn)變?yōu)楦鼮榧皶r和主動的事前事中的風險審查和事后的動態(tài)反應，全過程控制和管理企業(yè)風險，從而能夠客觀評價風險管理系統(tǒng)，以降低風險損失。因此，剩余風險是風險導向?qū)徲嬓枰P(guān)注的重點領(lǐng)域。內(nèi)部審計部門所進行的風險導向?qū)徲嬀褪峭ㄟ^系統(tǒng)的分析、認定和評價被審計對象各個領(lǐng)域的固有風險及其管理狀況，評價其得出的已量化的剩余風險水平，并據(jù)此確定進一步審計的范圍、重點和方法。因此，在審計實務中，內(nèi)部審計部門要從審計的過程和整體角度分析審計風險在審計中的作用。把審計基礎(chǔ)工作大量放在對被審計對象業(yè)務過程的調(diào)查，對內(nèi)部控制要素進行控制測試，并對財務報表和業(yè)務操作程序、審計環(huán)境等進行科學分析、判斷上，從而使期末需要審查的結(jié)果，在期初和期中得到判斷。對剩余風險審計的主要目的是將剩余風險降低至可接受水平，為此，需要通過以下途徑實現(xiàn)風險導向型內(nèi)部審計在企業(yè)風險管理中的作用：了解管理層確定可以接受的剩余風險水平；確認業(yè)務活動領(lǐng)域的剩余風險并進行優(yōu)先排序，將主要審計資源分配到高風險領(lǐng)域；審計師需要將在審計過程中發(fā)現(xiàn)企業(yè)尚未對某些重要風險采取管理措施，應同被審計單位或被審計對象的管理層進行溝通，并向其提出管理建議，從而協(xié)助被審計單位預防或檢查將來可能出現(xiàn)的錯弊。最后，內(nèi)部審計師以經(jīng)過核實的審計證據(jù)為依據(jù)提出風險審計報告。風險審計報告是針對剩余風險提出相關(guān)建議，以幫助管理層采取必要措施改進控制系統(tǒng)所形成的書面文件，它是內(nèi)部審計參與企業(yè)風險管理的集中表現(xiàn)，也是內(nèi)部審計發(fā)揮風險管理作用的重要形式。

　　三、風險導向型內(nèi)部審計應注意的問題

　　（一）責任問題

　　企業(yè)風險管理作為風險導向型內(nèi)部審計的主要業(yè)務，內(nèi)部審計人員并不參與風險管理的建立和運行過程，而是在企業(yè)已有風險管理的基礎(chǔ)上實施再監(jiān)督，以促進風險管理過程的建立或使風險管理的有效性成為可能。

　　（二）途徑問題

　　在企業(yè)風險管理框架下，內(nèi)部審計是風險管理的函數(shù)，是對風險管理的再管理，因此，內(nèi)部審計參與風險管理的途徑有兩種：即風險管理審計和風險導向?qū)徲?。但對風險導向型內(nèi)部審計而言，其路徑專指第二種，即對剩余風險的確認、排序和建議。

　　（三）側(cè)重點問題

　　風險導向內(nèi)部審計的審計模式遵循了：目標一風險—控制的順序，重視與企業(yè)目標直接關(guān)聯(lián)的風險分析，所以，風險導向內(nèi)部審計在評估企業(yè)風險管理時，關(guān)注的是優(yōu)先選擇高風險領(lǐng)域的控制，并且著眼于評估具體控制對風險管理的效果。此時，內(nèi)審部門不再只是強化控制。而是通過規(guī)避轉(zhuǎn)移和控制風險，使風險管理更加有效并提高企業(yè)整體經(jīng)營管理的效果和效率。