在国外，风险导向内部审计已经历了20余年，而在国内，虽然2004年1月1日起实施的《内部审计基本准则》已引入了风险导向内部审计，但国内绝大部分企业的内部审计仍处于传统审计阶段。如何有效地开展风险导向内部审计，实务界与理论界目前还没有形成权威且统一的实施运作框架。本文借鉴学术界的相关研究成果，并结合实践经验，初步探讨企业如何有效实施风险导向内部审计。

一、风险导向内部审计的特征

根据国际内部审计师协会（IIA）对内部审计的最新定义以及COSO的《内部控制框架》与《企业风险管理整合框架》，风险导向内部审计具有以下显著特征：

第一，风险导向内部审计的目标是帮助组织实现目标，增加价值，提高组织运营效率。在财务导向阶段，内部审计的目标是查错防弊，保护公司利益；在业务导向阶段，内部审计的目标是通过提高业务活动和管理控制的效率而增加利润；在管理导向阶段，内部审计的目标是帮助管理当局改进决策，提高企业未来的经营能力和获利能力。但这些目标并未从企业全局出发，与现代企业的目标即企业价值最大化不完全相符。风险导向内部审计的目标则与现代企业的目标相一致，内部审计部门在组织中不是为“挑刺”而存在，而是与其他部门携手并进一道为实现组织的目标而奋斗。

第二，风险导向内部审计的工作模式是先从组织的目标出发，分析对这些目标产生影响的风险以及管理这些风险的控制措施，再测试实际的控制措施是否能够确切管理这些风险。其审计重心从以往的以审计测试为中心转移到以风险识别、风险评估为中心。从企业的目标出发，识别影响目标的风险并进行评估，确定所需投入的审计资源，从而提高审计效率、保证审计质量。

第三，风险导向内部审计的目标是帮助组织实现目标，实现组织目标依赖于组织内各项业务活动的运营情况。每一项业务活动都会产生一定的结果，实现一定的具体目标。组织正是通过风险管理、内部控制及治理程序使每一项业务活动的结果都有利于组织目标的实现。因此，风险导向内部审计工作必然要延伸到组织的各项业务活动中，并对各项业务活动的风险管理、内部控制及治理程序进行确认与评价。

二、风险导向内部审计的实施过程

笔者根据风险导向内部审计的定义及特征，参考IIA最新的《内部审计实务标准》、《COSO——内部控制框架》、《COSO——企业风险管理整合框架》、《企业内部控制基本规范》与《企业内部控制规范配套指引》，并结合国内外风险导向内部审计应用的实践经验，提出按以下六个步骤来实施风险导向内部审计。

（一）围绕组织目标，梳理组织为实现其目标所开展的各项业务活动流程以及每项业务活动所要实现的具体目标

风险导向内部审计的目标是帮助组织实现其目标。因此，内部审计人员应首先了解组织的目标，一般可以通过阅读组织章程、规划、年度计划、预算以及与高级管理层沟通等形式进行了解。组织目标的实现要通过安排各项具体业务活动来实现，每项业务活动也都有其自身的具体目标。根据《企业内部控制基本规范》和《企业内部控制规范配套指引》，各项业务活动的具体目标通常可以归纳为以下四类：经营管理合法合规、资产安全、财务报告及相关信息真实完整、经营效率和效果，这四类目标也是每项内部控制所要实现的目标。内部审计人员需要通过对企业内部各项业务流程的分析与梳理，将各项业务活动所要求达到的预期结果与上面四类具体目标对应起来。如果一项业务活动的结果没有实现或违背了其中一类或数类的目标，可能就意味这项业务活动没有得到有效的控制或没有意义。

（二）分析组织的内外部环境，识别影响组织目标及各项业务活动具体目标的因素即识别风险

经过对各项业务活动的分析与梳理，内部审计人员应将组织的内部环境、外部环境与组织目标及各项业务活动的具体目标联系起来进行风险识别。识别风险时，可以从两个层面进行：第一层面是从组织目标出发，考虑内外部环境中各项对实现组织目标产生影响的因素，然后将该因素落实到某些具体业务活动及某类具体目标中。第二层面是从某项业务活动的具体目标出发，直接寻找影响实现该业务活动具体目标的因素。风险无处不在，但审计人员在识别风险时不能泛泛而论，必须把风险落实到每项业务活动上来，使风险具体化。识别风险不仅可以运用常规的调查问卷方法，还可以用SWOT分析、PEST分析、波特五种力量分析模型、矩阵分析、COSO例举法等方法来进行风险识别。识别过程往往需要与被审计单位的相关业务人员及上级部门进行沟通。识别风险是风险导向内部审计实施过程中的关键环节。

（三）评价风险，确定重要风险，找出关键控制点

评估时重点考虑两方面：一是风险发生时所产生的负面结果对目标的影响程度；二是风险对目标造成负面影响的可能性。可以采取定量与定性相结合的方法如蒙特卡罗法、关键风险指标管理法、压力测试法、风险坐标法等。根据评估结果，对每项业务活动的风险进行排列，确定重要的风险。风险评估可以为内部审计人员确定各项业务活动的关键控制点和配置审计资源提供重要依据。组织内每项业务活动都由一个或数个环节构成，其中某一项或某几项环节控制得当将对整个业务活动的结果产生关键的影响，我们称之为关键控制点。一般而言，存在重要风险的地方，往往也是关键控制点所在之处。

（四）调整审计资源，进行现场测试

在完成风险评估及关键控制点确认后，审计人员可以根据需要适当调整审计资源，进行现场测试。现场测试主要进行如下事项：

1.测试控制措施设计得是否合理、充分。任何组织的资源总是有限的，组织在设置控制措施时，也是根据成本效益原则。审计人员要特别关注各项业务活动的关键控制点是否得到了有效控制。当组织所采取的控制措施覆盖了该项业务的所有关键控制点，才有可能被认为针对该项业务活动的控制措施设计得合理、充分。如果已有的控制措施没有涵盖这些关键控制点，就意味着组织的控制措施在设计方面存在缺陷。

2.测试控制措施是否得到有效、一贯的执行。评价控制措施运行得是否有效，其前提是要有设计合理的控制措施，如果测试已经表明该控制措施在设计上不合理，那么即使该控制措施得到有效、一贯的执行，也不能认为其运行是有效的。在测试现场可能会发现准备阶段没有考虑到的情况或发现新的风险，还可能在测试时组织业务已发生了变化或开展了新的业务，这时需要在现场重新执行前3个程序。内部审计人员可以通过询问、检查、监盘、函证和分析性复核等手段来了解组织所采取的控制措施是否合理、有效，从而获取合理、全面的审计证据。

3.确定剩余风险。经过以上两方面测试后，内部审计人员应判断组织在目前已执行的控制措施下，还有哪些风险没有得到控制即剩余风险。通常情况下，被审计单位对风险的控制和管理越充分、有效，剩余风险就越少；反之则剩余风险就越大。

4.确认控制缺陷给组织已造成的影响和损失。剩余风险可能还没有对组织造成影响，也可能已对组织造成了现实的影响，内部审计人员应该对已造成的影响进行确认。

（五）审计沟通与报告

内部审计人员应在与被审计单位充分沟通的基础上就现场测试所确定的剩余风险及控制缺陷所造成的影响做出评价，并提出自己的建议。这一阶段的主要工作包括整理和评价审计证据、复核审计工作底稿、初步形成审计意见及建议、与被审计单位进行充分沟通并征求其意见、形成审计报告、发送给相关人员。

（六）审计反馈与后续审计阶段

审计反馈是审计工作流程的一个重要环节。内部审计机构应根据具体情况，决定是否就上次审计的情况进行单独的后续审计或与下一次其他项目的审计一并执行。其考虑的主要因素有：本次审计发现问题的性质、重要性、纠正措施的复杂性、落实纠正措施所需要的期限和成本、纠正措施失败可能产生的影响，被审计单位的业务安排和时间要求。

三、风险导向内部审计在实施过程中需要注意的事项

（一）合理设置内部审计机构

内部审计机构的设置方式总体上可分为四种类型：受董事会领导的形式（包括在董事会下设审计委员会）；受监事会领导的形式（包括在监事会下设审计委员会）；受企业总裁或总经理领导的形式；受总会计师或财务总监领导的形式。不同的领导形式直接决定了内部审计机构在公司中的地位。IIA在《内部审计实务标准》中建议内部审计机构主管向审计委员会、董事会或相关的治理机构报告职能工作，向组织的首席执行官报告行政工作（包括预算、人力等）。在国内，一般认为在董事会下面设置审计委员会，由审计委员会来管理内部审计各项事务的方式能够充分地保证内部审计机构在组织中的独立性。

（二）合理搭配不同知识背景的审计人员

在国内，内部审计人员绝大部分是会计、审计专业出身，而风险导向内部审计要求审计人员不仅要具备审计知识、会计知识、法律知识，还要具备风险管理的各种技能，包括精通风险管理技术、熟悉掌握一些常用的数理统计和概率理论知识以及现代的信息技术和管理手段等。一般认为内部审计人员的理想构成是：经济管理专业占1/3，工程技术专业占1/3，其他专业占1/3。因此，企业在组建内部审计部门时，要合理搭配不同知识背景的工作人员。

（三）内部审计与风险管理相整合

风险导向内部审计工作中，明确业务目标、识别风险、评估风险、确定关键控制点等步骤实际上都是风险管理的重要内容，而风险管理本身也是被审计的重要内容之一。因此，组织能否有效开展风险导向内部审计在很大程度依赖于其开展风险管理的有效程度。然而，我国大部分企业没有建立起全面风险管理制度。在企业内部没有开展全面风险管理的情况下，推行风险导向内部审计，内审人员就不得不去补充风险管理体系中的一些基础性工作（如确定业务目标、进行风险识别、评估风险水平），导致内部审计的运行难度及工作量大增。因此，在实践中风险导向内部审计应与企业风险管理相结合，从而建立可供长期共享的风险信息数据，完善有效的风险评估量化指标，同时推动二者有效地开展工作。

（四）建立一套完整的内部审计制度体系

风险导向内部审计的有效运行不仅需要技术层面的革新，更需要建立一套完整的制度体系，包括内部审计制度、被审计单位配合制度、审计反馈与整改制度、审计问责制度、审计结果公示制度、审计工作管理制度等。这些配套制度是风险导向内部审计在组织中得以持续、有效运作并充分发挥作用的重要保证。企业可以通过三个层次将以上内容予以制度化：一是企业层面的内部审计制度或内部审计章程，一般由企业董事会或最高管理层予以公布，主要包括内部审计的机构设置、部门职责与权限、相关部门配合、公示问责等制度；二是内部审计机构内部的管理规定，用于内部审计工作管理，主要包括质量管理、档案管理、业务工作过程管理、审计底稿的编制要求、人员素质方面的具体要求等管理制度；三是内部审计部门与其他部门间的沟通管理制度，如结合人事部门来确定内部审计的岗位职责，审计人员入职、考评、激励等方面制度。■

责任编辑 鲍双双