作者：郑小荣 

风险导向内部审计是以对整个组织的风险进行评估与改善为最终目的的一种审计理念。IIA（内部审计委员会）于2001年在其发布的《内部审计实务标准》中对内部审计的定义，就是风险导向内部审计的体现。根据该定义，推行风险导向内部审计就是要求内部审计以内部控制作为生存与发展的基础，以公司治理作为参与风险管理的前提条件，以对组织风险的评估与改善作为基本目标[1].

　　一、风险导向内部审计产生的现实背景

　　风险导向内部审计是环境的产物，它的产生有其现实背景，其中，现代企业面临的高风险经营环境引起企业对内部审计的需求的变化是风险导向内部审计产生的内部背景，而审计外部化趋势侵蚀内部审计生存的职业空间是风险导向内部审计产生的外部背景。

　　（一）现代企业面临的高风险经营环境引起企业对内部审计的需求的变化

　　由于技术的快速创新以及由此导致的制度创新，现代企业所面临的商业环境和市场竞争不确定性越来越大，一方面变化周期缩短，商业环境和市场竞争的变化速度超过了以往任何时代；另一方面商业环境和市场竞争变化越来越彻底，企业明天的生存与发展环境可能与今天的几乎没有任何必然的联系，现代企业处于高风险的经营环境之中。

　　在这样的环境中，企业生存与发展的关键，更多地取决于对未来环境变化的适应和把握。企业必须在战略目标、重大投资决策、日常经营活动和绩效评估等各个方面高度关注风险因素[2].因此，企业要求职能部门在进行各自活动的时候高度重视风险，并将其纳入到企业的整体风险管理范围当中，组织各个管理或治理层次、各个职能部门为实现企业的基本目标而进行全面的风险管理。风险管理成为高风险环境下企业活动的中心任务。国际上很多著名的企业甚至成立了专业的风险管理部门进行整合的风险管理，许多小型的公司则指定专门的人员负责实施全面的风险管理。这些专业的风险管理，使用一整套包括风险识别、风险评估、风险控制以及风险融资、危机和索赔管理在内的、相对完整的风险管理程序和方法，把以前分别由安全健康部门通过保险市场进行管理的实质性风险和由财务部门通过资本市场进行管理的财务性风险整合起来，由专门的风险管理部门通过更为高级的风险管理市场加以管理[3].

　　内部审计作为企业内置的一个职能部门，必然应当成为企业风险管理的有效组成部分，从组织目标的角度来评估与改善风险，为专业的风险管理部门或专职的风险管理人员提供咨询与保证服务，从而推行风险导向内部审计。

　　（二）企业内部审计外部化趋势侵蚀内部审计生存的职业空间

　　内部审计外部化，是指企业将内部审计的部分或全部职能交由外部的会计师事务所等中介机构来完成，企业同时给这些机构支付相应的费用的现象。企业在激烈的市场竞争中，可以根据自身的比较优势，积极发挥核心竞争力，专注于自己擅长的项目，把自己不擅长的项目外包出去。以下因素促进了内部审计外部化的日益发展：首先，内部审计作为一个企业的内部职能活动，在时间上具有重复性的特点，基本符合外包项目的初步条件；其次，外部审计出于控制审计风险的需要，在报表审计的过程中十分重视对企业内部的审查与评价，在长期报表审计实践中对企业内部控制评价逐渐形成了专业上的相对优势，这使得外部审计参与内部审计外部化成为可能；再者，近年来外部审计的审计业务面临日益严重的法律诉讼危机、同业低价竞争危机，由审计业务收费带来的收入持续降低，非审计服务的收费甚至成为各大会计师事务所收入的主要来源，外部审计被迫将业务转向内部审计外包和管理咨询等非审计服务；最后，管理者或出于成本效益原则的考虑，或为了影响报表审计的意见类型，或为了诱使外部审计降低审计收费，越来越倾向于内部审计外包。内部审计外部化在客观上使得内部审计和外部审计在管理者面前展开激烈的业务竞争，动摇内部审计在组织中的地位，威胁内部审计的职业生存。在这种危机面前，内部审计为整个组织提供风险方面的咨询与保证服务，积极推行风险导向审计，将提高其在组织中的不可替代性，减弱外部化带来的不利影响，从而保持与扩展其职业生存空间。

　　二、风险导向内部审计的基本特点

　　（一）内部控制是风险导向内部审计的基础

　　对于内部审计，内部控制极端重要。首先，从理论上讲，内部审计是内部控制的一个重要环节，是对其它内部控制环节的再控制，没有内部控制就没有内部审计；其次，自从走上独立的职业化道路以后，内部审计把内部控制作为其基本业务这一事实始终未变。《内部审计实务标准框架》虽然将内部审计的业务范围拓展到风险管理和治理程序，但是依然将控制的评估和改善作为其三大内容之一；再次，内部控制还是内部审计其它两个业务活动的基础。内部审计工作要得到董事会和审计委员会的认可与采信，最重要的是因为内部审计师作为内部控制方面的专家，而不是风险管理方面的专家。内部审计要对公司的风险管理加以评估与改善，也首先得从内部控制领域中的风险做起。可见，内部控制是内部审计的安身立命之本，是风险导向内部审计进入公司治理、评估改善组织风险的基础。

　　（二）对风险的评估与改善是风险导向内部审计的首要目标

　　不论内部审计对内部控制进行评估与改善，还是对公司治理程序进行评估与改善，都应该是以风险评估与改善作为首要目标。如果说公司治理是企业董事会对风险管理的战略反应、内部控制是企业对风险的战术反应，那么内部审计就是对组织全部风险的一般反应，其一切活动都要以风险作为出发点和落脚点。首先，内部审计充分利用在内部控制领域的专家地位，联系组织的目标评估与分析内部控制中的风险，直接报告给管理者，在需要时通过审计委员会报告给董事会；其次，内部审计帮助董事会在进行战略决策、重大人事的任免和重大的投资和财务计划的制订方面识别和评估风险，以确保组织重大决策的正确实施；最后，内部审计要利用自己对组织内部的全面了解和对风险的直观认识，为专业的风险管理部门提供咨询与保证活动，参与企业的整合风险管理。总之，风险导向内部审计不是在简单的内部控制领域消极地查错防弊，而必须以组织的整体风险评估作为自己的首要工作目的。　

　三、企业风险管理框架与风险导向内部审计的联系

　　在IIA通过修改内部审计定义倡导风险导向内部审计以后，COSO（反欺诈性财务报告委员会）在2004年正式提出《企业风险管理框架》（简称ERM），重新修改了内部控制的定义。新定义将原来的内部控制进行了多方面的修改与补充，更突出了对企业风险的高度关注，这与IIA以整个组织风险的评估与改善为中心任务的风险导向审计理念不谋而合。因而，探讨风险导向内部审计与企业风险管理框架之间的联系，就成为探讨风险导向内部审计无法回避的理论问题之一。