（会计学专业论文）风险导向内部审计理论探讨与运用思路.pdf

首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 5 摘要摘要 摘要：风险导向内部审计作为内部审计不可替代的发展方向，其运用适应企业内 外部环境的特点及经营管理的需求，必将对企业运营产生重要的积极影响。但风 险导向内部审计在我国，不管在理论发展或实践运用上，均处于起步阶段，对于 这一新的内部审计模式， 我们在理论上应该怎样认识， 又如何在实务中具体实施， 需具备什么条件才能实施，实施程序应该是怎样，实施过程中需采取什么措施才 能保证其效果？本文的研究正是基于这些问题而展开，全文共分七个部分，各部 分主要内容如下： 第一部分为全文的引言，主要介绍本文的研究背景、对国内外此领域研究成 果的总结与归纳，在此基础上提出本文的研究思路及创新点。 第二部分回顾内部审计模式的历史演进以说明风险导向内部审计的产生历 程，并从内外部需求的角度分析了风险导向内部审计产生的必然性。另外阐释了 风险导向内部审计的理论基础。 第三部分论述了风险导向内部审计的基本理论，包括其内涵与特征、本质、 对象、目标以及职能。 第四、五、六部分分别从条件、程序、质量控制三个方面详细论述了开展与 运用风险导向内部审计需要考虑的问题， 分别回答： 具备了什么条件才可以运用， 怎么运用，怎么才可以运用得高效等三个问题，具体如下： 第四部分分析了运用风险导向内部审计需具备的条件，在客观性，独立性， 内审人员需具备的素质及技术支持等诸多方面进行深入分析； 第五部分构建了风险导向内部审计运用的程序，在编制年度审计计划，项目 审计的准备阶段，实施阶段，报告阶段，后续阶段各个环节展开论述； 第六部分分析风险导向内部审计运用过程中的质量控制， 在质量控制的影响 因素分析的基础上进行建议的提供。 关键词：风险导向，内部审计，运用 首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 6 abstract abstract: as the development direction of the internal audit, the risk-based internal audits application ， which adapt to the internal and external environment of company and management needs, is bound to have an important positive impact on business operations. but the risk-based internal audit in our country, whether in theory or in practice，both are at the initial stage. for the new internal audit model, how to understand in theory, which possess conditions required to be implemented， how to implement in practice, what steps need to be taken in order to guarantee their results? this study is based on these problems and paper is divided into seven parts, each part of the main elements are as follows: part i is the introduction of paper , which focuses on the research background , the research summary right at home and abroad in this field and the ideas of this research and innovation points. part ii reviews the historical evolution of the internal audit model to explain the production of the internal audit risk-based process and proves the generated necessity from the point of view of external demand，while interpretate the theoretical basis of the risk-based internal audit. part iii discusses the basic theory of the risk-based internal audit, including its content and features, nature, object, objectives and functions. the fourth, fifth, sixth part discuss in detail the use of risk-based internal audit from three aspects as the conditions, procedures, quality control in order to answer respectively which conditions should be available, how to use, how can we use efficiently. as follows, part iv analyzes in-depth the conditions which the use of risk-based internal audit should have, as conditions, objectivity, independence, the quality of the internal audit staff must possess and technical support, and many other aspects; part v builds a risk-based internal audit procedures as the preparation of annual audit plans, the preparation phase of the project, implementation phase, the reporting period; part vi analyzes quality control in the process of the use of risk-based internal audit and the proposed provision based on the analysis of the impact of factors in quality control. 首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 7 keywords: risk-based, internal audit, the conditions of the implementation, the procedures of quality control 首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 8 1 引言引言 1.1 风险导向内部审计研究背景风险导向内部审计研究背景 伴随着经济全球化的快速发展，竞争的加剧，技术的更新及制度的创新等种 种力量元素既使企业的商机无限，同时也使企业处于高风险的经营环境之中。就 企业来的管理者说，其把握商机和管控风险应是并重的使命或职责。但从公司管 理的实践来看，风险管理较少被触及，致使企业战略无法有效实施甚至导致经营 失败。诸如巴林银行的倒闭，我国的郑百文、银广夏等证券市场上的丑闻均可追 溯至其风险管理的松懈或不到位。这就需要内部审计提供实时、持续的监控，及 对企业风险应对策略做出独立的客观评价， 并在风险管理的各个方面提出专业的 改进建议。同时从内部审计自身的角度出发，为应对传统内部审计的缺陷和滞后 性，及维护内部审计的职业生存与发展空间，均使得风险导向内部审计成为现代 内部审计不可替代的发展方向。 国际内部审计师协会(iia)在 1999 年将内部审计重新定义为一种独立、客观 的确认与咨询活动，它的目的是为组织增加价值并提高组织的运营效率。它采用 系统化、规范化的方法来对风险管理、控制及治理程序进行评价，提高他们的效 率，从而帮助实现组织的目标。这个富于开创性、变革性意义的新定义为风险导 向内部审计提供了指导性的框架作用， 重新确立了内部审计的目标、 职能及对象。 我国也在逐步开展、推动风险导向内部审计。然而客观来说，在我国现阶段，理 论界还没有展开对于风险导向内部审计的系统性研究；在实务界，风险导向内部 审计在实践中怎么运用，运用前需要什么前置性条件，具体程序应是怎样，运用 过程中需采取什么样的质量控制措施以保证实施效果， 均是需要进行深入探讨及 经验总结的关键而迫切的问题。正是基于这样的背景，笔者选择了此题为论文的 研究方向。希望能对我国风险导向内部审计理论研究起一定的推动作用，为其在 实践中运用的“有章可循”提供一些有益的思路。 1.2 风险导向内部审计研究综述风险导向内部审计研究综述 1.2.1 风险导向内部审计的产生和产生的必然性研究风险导向内部审计的产生和产生的必然性研究 在风向导向内部审计的产生这一问题上，王光远在 1994 年在论管理审计 的概念指出我国内部审计模式向管理导向的发展，审计目标向“为企业兴利” 发展。至 2002 年王光远又发表内部管理审计：从控制导向到风险导向 ，在文 中对风险导向内部审计的产生过程及在风险管理中的新作用进行了阐述。 在风险 导向内部审计的产生上学者的意见较一致、统一，但对于内部审计模式的历史演 变进行回顾并进行综合阐述的较少。 首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 9 在风险导向内部审计产生的必然性这一问题上，严晖（2004)从管理学的发 展和法律规范的出台等角度论证风险导向内部审计的产生，其指出，在管理学方 面，战略管理理论及其他经济管理理论的发展及实践，使得内部审计的缺陷与不 足显见；在法规方面，尤其在国外，公司治理，内部控制和风险管理等领域的各 项法规出台很多，要求内部审计在上述领域法规更大的作用，承担更多的职 责，推动着内部审计向风险导向模式的转变。 罗冬梅（2007)认为传统内部审计模式本身的固有缺陷是风险导向内部审计 产生的内在原因。 文章分别论述了账项基础审计模式和制度基础审计模式的不足 并指出其无法实现内部审计价值增值的目标，无法适应管理者的需要。 郑小荣（2003）从近年来企业内部审计外部化趋势这一角度阐述内部审计的 产生，内部审计外部化也在迫使内部审计机构开展与运用风险导向内部审计，积 极履行在企业各个领域内的确认与咨询职责， 以提高其在企业中的地位及不可替 代性，维护其职业生存与发展空间。 上述学者从不同角度论证或阐述风险导向内部审计产生的必然性， 但从综合 的角度，即将管理学，法规，传统模式缺陷，内部审计外部化趋势等角度全面考 虑的文章较少。 1.2.2 风险导向内部审计基本理论研究风险导向内部审计基本理论研究 内部审计在基本理论结构模式的研究上， 大都借鉴外部审计理论结构模式的 研究成果，结合内部审计自身的特点进行。而风险导向内部审计理论结构模式的 研究较少，大多在依照内部审计的研究成果进行修正与改进。 严晖(2004)即是借鉴国内学者蔡春构筑的内部审计基本理论结构，用“本质 假设目标职业规范”这一结构模式，较早得构建了比较完整、合理 的风险导向内部审计理论结构框架。 其他学者大都着眼于基本理论结构的某一方面展开研究。 譬如郑小荣 （2006） 研究了风险导向内部审计的对象， 从分析企业风险管理框架(erm)与风险导向内 部审计的联系这一角度，指出整合了内部控制和公司治理的企业风险管理框架 （erm） ，可以被视为风险导向内部审计的对象。同时 erm 可以为风险内部审 计的实践运用提供运用思路。 罗冬梅（2006)具体研究了风险导向内部审计的职能。文章认为风险导向模 式下的部审计可视为一种综合类审计， 其职能从单纯的监督及评价转换为确认与 咨询功能并重。确认是指按照法定标准，公共标准或工作结果使用者提供的标准 或要求提供独立性的评价，以期能为决策者提供客观的信息，从而提供决策的科 学性、合理性。咨询则是利用内部审计的专业优势，在改善企业内部控制、公司 治理、风险管理等领域提出相关的可行性建议，为企业价值增值做出贡献。 首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 10 其他从风险导向基本理论架构的某一方面或角度展开研究的文章或学者观 点不再赘述。但笔者认为在基本理论领域研究的欠深入方面有： 风险导向内部审计与风险导向注册会计师审计在特征上的比较。 因为风险导 向注册会计师审计的产生在前， 风险导向内部审计理论的构建及运用实践均是在 借鉴外部审计的思路，因而在理论及实务中会有二者的混淆，产生不考虑内部审 计自身特点的照搬误用。因此在研究风险导向内部审计的内涵与特征时，很有必 要对其与风险导向注册会计师审计在理论上及实践运用程序上的区别展开辨析。 还有确认与咨询职能的联系与区别及内部审计在两种职能上的平衡。 咨询职 能作为风险导向内部审计下一种新职能的提出，除研究其本身的工作内容、程序 外，对其与传统职能，即确认的区别、联系及二者在运用过程中可能存在的矛盾 展开论述是很有必要的。 1.2.3 风险导向内部审计的运用程序研究风险导向内部审计的运用程序研究 在风险导向注册会计师审计领域，理论发展已相对成熟并得到了广泛实践。 中国注册会计师协会颁布的中国注册会计师独立审计准则提出了许多适应于 开展风险导向注册会计师审计模式的具体准则。 在学术界在风险导向注册会计师 审计领域展开深入研究的文章也不可胜数，在此不再赘述。 但关于如何将风险导向审计模式运用于内部审计领域的研究并不多， 主要有 以下学者的一些论述。 美国的大卫麦克纳米和乔布斯史林在 1999 年发表的风险基础审计 一文中论述了制度基础审计的缺陷和风险导向审计可能给企业带来的积极影响， 同时文章把风险导向内部审计的程序归结为先建立系统目标，再评估风险，最后 管理风险，但具体在每个环节怎么操作，或者说具体程序怎样，实践中需考虑的 细节问题都没有涉及。 郭群、吴惠吟(2002)提到风险导向模式下，内部审计需要结合企业目标，检 查、 评价企业现有控制措施能否将企业面临的风险降低到企业风险容忍度限定的 水平，企业的风险应对策略是否适当，是否适应企业的风险偏好，并提出相关建 议。但其仅限于内部审计介入风险管理中的程序，对于风险导向内部审计的整个 程序没有开展论述。 我国学者刘三昌在 2003 年出版的企业内部审计技术一书中，曾提出以 风险分析及评估为基础编制内部审计年度审计计划。严晖(2004)也认为在风险导 向内部审计中， 企业风险应成为选择审计项目及确定特定项目中重点关注领域并 分配审计资源的主要依据。但他们均没有论述具体的风险评估方法，并且对于项 目审计也没有展开论述具体审计程序， 同时也未把内部审计怎么介入风险管理纳 入审计程序。 首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 11 综合国内外学者的论述， 笔者认为有必要在风险导向内部审计的运用程序上 进行深入的研究，从具体程序怎么运用的角度构建风险导向内部审计的实施框 架，对实务操作提供一定的现实指导作用。 1.2.4 风险导向内部审计运用的条件分析研究风险导向内部审计运用的条件分析研究 我国学者关于风险导向内部审计运用条件的研究较少，桑桂丽(2005)从从业 人员素质和技术要求方面，论述了风险导向内部审计的实施条件：风险导向内部 审计主要适用于大中型企业，对内部审计人员的素质要求很高，并且还要求有较 高的计算机应用水平。 但在素质和计算机应用的具体包含内容上没有结合风险导 向模式的特定需求展开论述，另外考虑的条件方面也有失狭窄。 1.2.5 风险导向内部审计运用的质量控制研究风险导向内部审计运用的质量控制研究 deangelo (1981)首先提出 “审计质量是审计者发现和报告客户会计信息错漏 的联合概率，发现错漏的概率取决于审计者的专业胜任能力，而报告错漏的概率 则由审计者的独立性状态决定。因此，审计质量取决于审计者的专业能力和独立 性。 ”其提法虽然是侧重于注册会计师审计而言的，但对于内部审计有一定借鉴 意义和适用性。然而其考虑的质量影响因素虽有一定的创见性，但考虑视角不够 全面、综合。 在国内，2004 年中国内部审计协会组织了一场讨论深入，获得丰硕成果的 关于内部审计质量控制的大讨论，大讨论的成果即是 2005 年发布的内部审计 具体准则第 19 号内部审计质量控制 。虽然该准则的实施效果有待研究，但其 对内部审计质量控制的重要性起到了提升作用。 杨树滋，鲍国明在内部审计概论(2001)一书中指出， “以品种求发展，以 质量求生存” ，认为审计质量的优劣直接关系企业内部审计的成败。并提出了下 述具体的质量控制措施：制定内部审计标准，将内部审计标准分成两种：工作标 准和评价标准，以分别指导审计程序的实施和审计工作的评价；健全内部控制系 统；提高内部审计人员的素质；严格按照标准执行详备的内部审计程序；获取充 分、可靠、相关的内部审计证据；实行内部审计工作底稿的多级审核制度；建立 健全内部审计规范、准则；倡导外部审计的指导和合作等。书中考虑的措施较全 面，多角度，但较少结合我国当时在质量控制方面的状况进行阐述。 对于风险导向模式下的内部审计质量控制，相关的文章为数不多，而且大多 数都是从不同的侧面，角度来对内部审计质量控制的必要性、意义及影响内部审 计质量的某些因素进行分析，并未进行系统的研究。 首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 12 1.3 研究思路及创新点研究思路及创新点 1.3.1 研究思路研究思路 文章的整体思路可以表述为： 首先在综述国内外学者在风险导向内部审计领 域的研究的基础上，指出了可研究，需再拓展或深入的空间。之后进入文章的主 体，可分为两个部分，即理论探讨与实践运用。理论探讨部分对风险导向内部审 计的基本理论问题进行了探讨，以清晰我们怎么看待风险导向内部审计的问题。 实践运用部分在三个具体方面探讨了运用过程中所涉及到的必要问题， 即运用条 件、运用程序、质量控制三个方面，以期能对风险导向内部审计在我国的实践运 用起一定的切实的指导作用。 最后进行文章主要结论的归纳并展望未来可研究空 间。 1.3.2 创新点创新点 其一，本文在关于风险导向内部审计的运用程序上进行了深入研究，从具体 程序怎么操作的角度构建风险导向内部审计的实施框架， 包括年度审计计划怎么 编制，项目审计，后续审计怎么执行，都属之前学者所欠缺的研究内容。希冀本 文能对实务操作提供一定的现实指导作用； 其二，本文在风险导向内部审计的运用条件上进行了全面、系统的研究。条 件对于风险导向内部审计的运用属于前置性因素， 应该说对于我国欲开展与实施 风险导向内部审计的广大企业来说， 条件分析是颇为重要却在理论界很少触及的 内容，本文在这方面的部分研究应属开创性研究； 其三，本文首先提出了从所涉主体，即政府，内审职业组织，内审机构及内 审人员等四个主体这一角度， 系统得构建了风险导向内部审计运用的质量控制体 系。 首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 13 2 风险导向内部审计的产生及产生背景风险导向内部审计的产生及产生背景 2.1 内部审计模式的历史演进与风险导向内部审计的产生内部审计模式的历史演进与风险导向内部审计的产生 通过对内部审计模式的历史演进的回顾，我们可以看出风险导向内部审计产 生的历史必然性。 2.1.1 萌芽状态下的内部审计萌芽状态下的内部审计 内部审计在奴隶社会已处萌芽状态，当所有权与管理权的分权催生受托责 任，内部审计作为一项审查受托责任履行情况的职能，便随之产生了，但仅限于 监督和审核，且非由独立人员承担，没有什么专业化水平。 在欧洲的中世纪，随着经济、管理的发展，受托责任履行情况的审查需求增 强，且会计核算也有了较大发展，复式记账开始出现并运用，相应地内部审计也 有了很大发展，并具备了一定的专业化水平。审计人员的工作内容及程序基本上 是：检查账目记录，核对小计和合计，审查不符事项并出具审计意见报雇主最终 审阅和批准。 复式记账的发展及广泛运用使得内部审计对象由资金及账目转向建 立在系统、科学的会计核算程序基础上的会计账簿，相应的内部审计技术与方法 也趋复杂化，专业化。 2.1.2 财务导向内部审计财务导向内部审计 随着分权在管理实务中的深入发展，企业内部受托责任向多层次发展，客观 上需要内部审计师更加专业化及更具独立性。在实践中，由具经济、管理及财务 多重知识结构的人员组成的内部审计机构开始产生。在这一时期，注册会计师审 计制度得以建立， 这一领域的发展对于内部审计机构的产生及内部审计技术方法 的发展有很大影响。从 1934 年起，美国要求上市公司财务报表需经注册会计师 审计， 这一规定在一定程度上促使公司设置内部审计部门以协助注册会计师的工 作。另外，美注册会计师协会也督促企业内部审计部门的成立。缘于这一时期注 册会计师审计发展至财务报表审计阶段，控制性测试得以广泛应用，为降低审计 风险，注册会计师希望内部审计师牵头建设并健全企业内部控制。在审计方法和 技术上，内部审计师如注册会计师一样，着眼于财务报表，以此为核心展开内部 审计活动。 1941 年，国际内部审计协会（iia）成立，是内部审计理论和实务发展史上 的里程碑式事件。1947 年 iia 出台内部审计师责任说明书认为：内部审计 是组织内部检查会计、财务及其他业务的独立性评价活动。以便向管理部门提供 防护性和建设性服务。从此定义看出，内部审计的主要对象是财务事项，而且业 务类事项也应是考虑涉及的事项，但业务审计仍是财务审计附属审计项目。 首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 14 2.1.3 业务导向审计业务导向审计 在 60 年代，业务导向内部审计得到广泛应用，业务导向内部审计实务全面 展开。 iia于1957年出台sria将内部审计定义为： 内部审计师组织内部检查会计、 财务及其他业务，以向管理当局提供服务的独立性评价活动。此定义的重大意义 在于把业务审计提升为和财务审计并重的地位。1971 年 iia 发布的 sria 认为： 内部审计作为一种对管理部门的帮助性职能， 是组织内部审核经营业务的独立性 评价活动，它是一种管理控制，其作用是衡量和评价其他控制的有效性。此定义 的开创意义在于内部审计部门受托责任性质的改变， 即审计视野从财务转向了管 理。审计目标由对财务报表的查错纠弊转向了对企业运营管理提供建议。通过自 己的业务活动为企业兴利， 这意味着业务导向内部审计在理论上向着管理导向审 计的转向。内部审计的目的明确为：为企业兴利。内部审计的定位为：能为管理 层服务，起为管理辅助的作用。 2.1.4 管理导向内部审计管理导向内部审计 至 20 世纪 60 年代，美国政府审计倡导并实施对“3e”的审查，即经济性、 效率性和效果性，其中，经济型和效率性意味着审计不仅应关注事情是否值得做 及进展怎样，而效果性意味着审计应关注事情做得怎样，即内部审计的审计范围 已扩展到了公司战略。 iia 适应实务的发展，1971 年 sria 也提出了“内部审计应该毫无约束地审 核和评价各种方针、计划、程序和记录” 。1978 年，iia 通过的内部审计职业 实务准则对内部审计的定义既包含业务审计，也包括对企业管理领域的审计。 其定义为： “内部审计师是以检查、评价组织为基础的独立性评价活动，并为组 织提供服务。 此定义的出台标志着内部审计关注的受托责任履行情况从低层次转 向了高层次，内部审计的目的定义为发挥高层次的综合兴利作用。 2.1.5 风险导向内部审计风险导向内部审计 至 20 世纪 90 年代前期，iia 两次修订 sria，其中指出内部审计的内容是 检查和评价组织内部控制的适当性和有效性，检查和评价受托责任的履行情况。 意味着内部审计发展为综合管理型审计。 同时， 内部审计逐渐综合考虑多方因素， 诸如环境、控制等，进行风险的识别与评估，以价值增值为审计目的来履行其受 托责任。 1999 年 6 月，iia 提出了内部审计的新定义：一种独立、客观的确认与咨询 活动， 它的目的是为组织增加价值。 它采用系统化、 规范化的方法来对风险管理、 控制及治理程序进行评价，提高他们的效率，从而帮助实现组织的目标。iia 相 首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 15 应出台了内部审计职业实务标准框架， 标志着内部审计进入风险导向审计模式阶 段。 2.2 风险导向内部审计产生的必然性风险导向内部审计产生的必然性 第一，开展风险管理需要内部审计的评价及建议作用。 随着经济、社会的发展，企业面临的经营不确定性及由此产生的财务状况诸 如盈利性、偿债能力及发展态势等的不确定性逐渐增加，风险已渐成事关企业目 标实现的关键因素。风险管理也成为企业管理领域独立的一门学科，在实践中对 于企业经营目标的实现至关重要。在风险导向模式下，内部审计不仅通过风险的 识别与评估来编制年度内审计划和执行具体项目审计程序，而且保持独立性、客 观性的原则下介入风险管理，具体地如：其一，内部审计人员评价主要的控制系 统和风险管理过程，以评价管理者进行风险评估和内部控制的有效性；其二，内 部审计人员通过检查和测试财务、 经营和合规性控制程序； 发现持续存在的风险， 评价风险管理过程的效果，提出如何改进风险管理，为公司价值提出增加价值的 建议。 第二，传统内部审计模式的滞后性、缺陷需进行改进。 我国当前内部审计仍处于财务导向模式或业务导向模式下， 从审计技术和方 法来说，内部审计集中在对内部控制的审查和评价上，并在此基础上提出改进措 施。这样一种审计技术和方法有诸多缺陷： （1）审计目标不合理。内部审计不着 眼于企业经营目标去评价内部控制，而是去直接评审内部控制本身，在工作意义 上有失偏差； （2）内部控制制度愈来愈繁琐与僵化。传统内部审计着眼于被审单 位的内部控制制度， 以完美内部控制制度为其审计目标的工作方式使得越来越细 化的改进建议被提出，最终造成企业内部控制制度的繁杂化，却降低了系统的运 作效率，信息沟通困难化； （3）审计作用滞后。传统内部审计关注点是事后的评 价和反馈，对过去和当下的业务审查与评价，而对企业价值影响至深的却是对未 来的预测，且未来是不断变化的，因此传统内部审计不能为企业提供有价值的信 息。 总之，预想提高内部审计的审计效率和审计效果，必须运用一种行之有效的 审计，即风险导向内部审计。风险的识别与评估贯穿于内部审计的每一阶段。内 部审计师集中优先审计资源于高风险领域， 并在审计发现的基础上提出相关的审 计建议，以控制风险，为企业价值增值服务。 第三，风险导向内部审计模式适应内部审计职业的生存与发展。 传统内部审计模式不以企业价值增值为目标。 内部审计职能渐不为企业所看 重，而同时，注册会计师逐渐拓展自己的服务类别，诸如风险评估、内部控制制 度建设与评估及管理咨询等，且由于会计师事务所之间竞争激烈，成本降低。企 首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 16 业为节省精力及开支，出现削减内部部门或部门的部分功能，而将业务向会计师 事务所外包的趋势。 内部审计外包化趋势迫使内部审计机构积极开展并运用风险导向内部审计， 提供风险管理方面的确认与咨询服务， 以定位自身在企业价值创造过程中的重要 角色，从而维持与扩展其职业生存空间。 2.3 风险导向内部审计的理论基础风险导向内部审计的理论基础 2.3.1 系统理论系统理论 系统理论中研究的系统是指由相互关联、相互制约、相互影响的部分所组成 的具有某项功能的有机整体。它持续性地同周围环境进行物质、能量和信息的交 换，以达到一种动态的稳定。系统理论的思维方式对各项工作都有切实的指导作 用，指导人们在处理事务时，应综合考虑各项相互关联的因素，以“全面，协调， 可持续”的视角寻求最佳处理方式。 同样，系统理论给风险导向内部审计提供了理论上的启示。内部审计师逐渐 认识到企业并不是一个孤立的存在，是与周围环境诸如经济环境、行业环境、客 户、供应商及监管机构息息相关的，只有厘清相互间的关系，识别并评估各个主 体对于企业的风险因素，才能恰当、客观地综合评估企业的运营及财务状况并在 此基础上提出审计建议。 2.3.2 战略管理理论战略管理理论 上世纪 80 年代，战略管理理论成为管理理论的主流理论。战略管理包括战 略构想、战略分析、战略规划、战略调整和战略实施等几个步骤。战略分析运用 的具体方法有 pest、swot 等。 而风险是与战略紧密相关的要素， 贯穿战略管理的各个阶段。 在战略构想时， 风险的性质与数量影响战略目标的设定；在战略分析时，企业要全面分析所面临 的风险； 战略规划时， 要寻求化解风险的对策， 做出风险管理决策； 战略调整时， 需在考虑风险变动的基础上做出调整措施；战略实施，即是风险应对的过程。 因此内部审计如想在内部控制、风险管理、公司治理领域有效实践确认与咨 询职能，需首先识别与分析企业风险，在此基础上才能理解企业战略构想，并做 出客观的评价及有益的建议。 2.3.3 管理过程理论管理过程理论 科学管理大师法约尔在 1916 年工业管理和一般管理一书中，将企业全 部活动分为六类：技术、商业、财务、安全、会计和管理。其中，管理是计划、 组织、指挥、协调和控制前五类活动。20 世纪 40 年代，管理学家孔茨提出管理 首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 17 过程理论，认为控制职能是对业绩进行衡量并对管理过程进行矫正，以达成企业 目标的实现。控制可分为直接控制与预防性控制，并认为内部审计同预算、统计 均为管理控制的工具。 与孔茨同期的内部审计专家蓝帕蒂认为管理控制包括七个 要素： （1）目标设立； （2）组织； （3）会计制度； （4）方法程序； （5）标准； （6） 弹性预算； （7） 内部审计。 其理论下， 内部审计评价实际情况与既定标准的偏差， 以向管理层提供管理建议，有助于其做出调整并完善企业运营，改进控制系统。 而风险管理是企业管理的重要组成部分之一。 企业须全面地识别各类显现或 潜在的风险。 在风险管理方案的制定、 实施、 评估与监督各个阶段进行职务分工， 且有效得沟通和协调各个部门。可见，企业需要一个独立的，具有专业胜任能力 的组织机构来评估与监督风险管理并提出改进建议。 作为一种管理控制机制，内部审计在风险管理领域具有独特优势：其一，全 局性。内部审计人员的审计业务遍及企业所有的经济业务，对其监督并评价。因 而可以从企业整体的角度全面识别与评估风险并提出相关建议；其二，客观性。 内部审计人员不参与企业具体经济业务，因而不存在道德风险的问题，具有相对 的独立性，可以以客观的视角识别风险并预警相关管理部门应对风险；其三，对 企业的内部情况的了解远超过外部咨询师。 内部审计师可以了解某些事务或某类 风险的真实影响因子。这些因素对于外部咨询师来说不易得到。另外，内部审计 可以及时地针对企业发生的高风险事件展开审计，化解、控制风险。 首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 18 3 风险导向内部审计的理论探讨风险导向内部审计的理论探讨 3.1 风险导向内部审计的内涵及特征风险导向内部审计的内涵及特征 3.1.1 风险导向内部审计的内涵风险导向内部审计的内涵 国际内部审计师协会(iia) 2002 年 1 月颁布并推动实施新的“内部审计实务 标准” ，这一标准的开创性意义在于将内部审计工作引向了风险导向模式。新标 准将内部审计定义为：内部审计是一种独立、客观的确认和咨询活动，旨在增加 价值和改善组织的运营。 它通过应用系统的、 规范的方法， 评价并改善风险管理、 控制和治理过程的效果，帮助组织实现其目标。这一新定义，以风险为导向，对 内部审计的对象、目标、职能、工作领域进行了重新定位，推动风险导向内部审 计理论及实践运用的进一步发展。 在理论界，虽然对风险导向内部审计的含义解释有多种，但分歧不大，基本 可综述为： 风险导向内部审计是指内部审计人员在内部审计的全过程自始至终都 要关注风险，依据风险选择并确定项目的次序，在项目审计的过程中要关注高风 险领域， 识别并评估各类影响企业战略和目标的风险， 包括市场风险、 行业风险， 技术风险、财务风险等，对企业的内部控制、公司治理、风险管理进行监督检查 和评价，并提出相关的可操作建议，审计程序既为降低审计风险，又降低各类经 营风险，以达到为企业增值的目的。 3.1.2 风险导向内部审计的特征风险导向内部审计的特征 本节从风险导向内部审计与传统内部审计、 风险导向注册会计师审计模式的 比较来阐述风险导向内部审计的特征。 1、风险导向内部审计与传统内部审计的比较 风险导向内部审计与传统的内部审计相比，特征显著： 其一，对风险的关注程度不同。传统模式下，内部审计侧重于审查与评价历 史业务记录的合规性和内部控制体系的健全性、有效性，而风险导向内部审计更 加注重对风险的管理和控制，以风险为导向实施内部审计工作，对风险的识别， 评估及相关管理建议贯穿于内部审计活动的全过程。 其二，对企业未来的关注程度不同。传统内部审计是核查历史业务记录的合 规和内部控制的运行状况，时间维度上属于过去；风险导向模式下，内部审计将 风险的概念贯穿于审计的全过程， 而风险不仅关注过去， 更关注未来的不确定性， 时间维度上，更侧重于未来。 其三，与企业目标的契合程度不同。传统内部审计直接测试内部控制，以完 美内部控制制度为其审计目标的工作方式使得越来越细化的改进建议被提出， 最 首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 19 终造成企业内部控制制度的繁杂化， 却降低了系统的运作效率， 信息沟通困难化； 而风险导向内部审计首先确认企业的目标，然后识别与评估影响目标的各类风 险，在此基础上分析管理风险的相应控制，最后测试内部控制是否可以有效地管 理风险， 可以看出内部审计人员的关注视角从控制本身转向了风险是否得到恰当 应对，使得内部审计的职能更贴近企业目标。 2、风险导向内部审计与风险导向注册会计师审计的差异 在提倡风险导向内部审计之前， 风险导向注册会计师审计在理论上已经发展 成熟，在实务界也得到了广泛应用，探讨风险导向内部审计与风险导向注册会计 师审计两者的差异应该是研究风险导向内部审计的又一不可回避也极有意义的 问题。 注册会计师审计， 即独立审计 （或外部审计） 在发展历程上经历了账项基础、 制度基础、风险导向的审计模式演变，从上世纪八十年代起风险导向模式逐渐发 展且得到推崇起来。作为一种现代审计模式，风险导向解决了制度基础审计存在 的问题，在高效利用审计资源且有效降低审计风险上“功不可没” 。 从二者的运用程序来看， 风险导向内部审计与风险导向注册会计师审计都重 视对审计客体的风险评估， 但由于内部审计与注册会计师审计所处工作环境的不 同，其工作目标的不同，致使其工作内容与程序、职能的不同，种种不同使二者 的“风险导向”在目标、风险性质及运用程序等各个方面均是不同的。 首先，风险的性质不同。风险导向内部审计的风险是着眼于审计对象的，着 眼于内部审计的主体组织的，是指影响企业价值增值的各种风险，即全面风险管 理框架（erm）定义的风险，包括战略风险、遵循风险、报告风险和经营风险。 而风险导向注册会计师审计的风险则只针对上述四种风险的报告风险之中的财 务报告风险，这是注册会计师的审计目标决定的，审计意见是针对财务报告的公 允性而发表的， 财务报表存在重大错报而注册会计师发表不恰当审计意见即形成 了审计风险；再者，从风险导向注册会计师审计的运用程序来看，审计师先评估 重大错报风险，在此基础上决定审计资源的分配，控制性测试与实质性测试的侧 重选择与具体审计程序的决策，进而影响审计风险。可以看出，此处的重大错报 风险也是针对财务报告风险，而且是服务于审计策略的选择与制定的。 其次， “风险导向”的目标不同。风险导向内部审计的以“风险为导向”是 以企业的价值增值为目标的，通过对风险的评估，对防范、控制措施的评价及相 关建议的提供等途径充分，高效得发挥内部审计的作用，为企业增值。而风险导 向注册会计师审计的“以风险为导向”是审计师出于自身考虑的，以自己利益最 大化为目标，具体来说，可以在提高审计效率的同时降低审计风险。一方面，提 高审计效率。审计师的审计资源是有限的， “好钢用到刀刃上” ，需要审计师判别 首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 20 哪部分是属于刀刃的部分，即审计客体的哪一部分更有可能失公允性，更决定审 计意见种类的出具，这种判别既依赖于“重大错报风险的评估”上；另一方面， 降低审计风险。不仅在理论界，而且从实务中的判例来看，法律责任成了注册会 计师在执行审计任务时越来越关注的不可掉以轻心的责任。 通过对重大错报风险 的有效评估，进而在此基础上调配审计资源，降低检查风险，从而在一定程度上 控制审计风险。因此说，风险导向注册会计师审计是以于审计主体，即注册会计 师的自身利益为出发点的。 最后，审计程序的不同。引用系统论的专业提法，风险导向内部审计相比较 注册会计师审计而言，注重前馈与实时控制，反映在运用程序上，在报告阶段之 后还有后续阶段的存在，以跟踪建议的完成情况。注册会计师审计没此必要，也 没此责任进行过程的控制。 3.2 风险导向内部审计的本质风险导向内部审计的本质 内部审计的本质是确保受托责任履行的管理控制机制。在风险导向阶段，由 于受托责任关系及管理控制都具有了与之前诸种审计模式不同的特点， 且融入了 “风险”的概念，使得风险导向内部审计的本质有了新的发展。 首先， 受托责任关系的内容更具广泛性， 层次也增多。 在之前的审计模式下， 受托责任单纯得强调“股东利益” ，而在风险导向内部审计模式下，多种利益相 关者的利益均被考虑与涉及，如供应商，顾客，职工以至社会；由于股权的分散 及企业规模的扩大等原因使得企业内部经营管理层级增多， 受托责任关系的层次 相应增加。在这种背景下，内部审计作为确保受托责任履行的管理机制，应更具 有能动性，具体地说，内部审计必须以“增值”为目标，辩证权衡得分析和应对 风险，确定需重点对待的“受托责任”内容，以更有效得履行职责。 其次，管理控制由于风险理念的与之融合，而产生了新的变化。管理控制是 一个信息反馈过程。通过信息反馈，发现管理活动中存在的不足，促进系统进行 不断的调整和改革，使其逐渐趋于稳定、完善、直至达到优化状态。而内部审计 在此运行过程中所起的即是反馈作用。 由于风险导向内部审计以企业风险为出发 点规划审计战略，将重点着眼于管理层直接关心的重大风险区域，根据“目标- 风险-控制-审计”的模式强调风险并评估具体的风险，以增加企业价值，实现企 业目标， 因此风险导向内部审计可以将传统审计模式下的事后反馈扩展为事前及 事中反馈，以实施更有效的控制。从这个意义上来说，风险导向内部审计更具主 动性及预期性。 首都经济贸易大学硕士学位论文 风险导向内部审计理论探讨与运用思路 21 3.3 风险导向内部审计的对象风险导向内部审计的对象 3.3.1 企业风险管理框架企业风险管理框架 在 1992 年内部控制框架的基础上，美国 coso 委员会（反欺诈性财务 报告委员会）于 2004 年 9 月提出了全面风险管理框架 （英文缩写为：erm） ， 为企业有效地推进风险管理提供了指导框架。 在 erm 报告中，将企业风险管理定义为：企业风险管理需要其董事会、管 理层及各部门等全员参与，贯穿于战略设定，实施，调整等全过程。其运用程序 为：识别影响企业战略目标的显现或潜在的不确定性事件，并在企业风险容忍度 与风险偏好内做出风险应对策略，且进行后续跟踪，以服务于组织目标的实现。 erm 风险管理是一个包含四个目标、四个层次、八个要素的立体整合框架。 “内部环境、目标设定、事件识别、风险评估、风险反映、控制活动、信息与沟 通和监控”八个要素构建了相对完整的风险管理过程。 “下属机构层面，业务单 元层面，部门层面和机构层面”四个层面反映了风险管理涉及的层次，除业务层 次，还涉及公司治理层次。 “合规性目标、报告目标、运营目标和战略目标”四 个目标说明风险管理关注的风险与企业各类，或者说各层次的目标紧密相关，从 另个角度也可以表述为风险管理关注的风险种类有：合规性风险、报告风险、运 营风险与战略风险。 erm 通过这种立体框架的设置，说明了企业风险管理应该涵盖到的高度与 广度。在高度上，应涵盖至企业的各个层次；在广度上，应渗透至企业的各个层 次。并且 erm 提供了风险管理的基本过程。应该说，erm 在理论上规范和健全 了企业风险管理体系。 从上述对 erm 的表述，可知 erm 不仅仅是一个狭义上的风险管理框架， 它是一个整合了公司治理和内部控制的全面的企业风险管理框架， 而涵盖公司治 理领域和内部控制领域风险在内的企业面临的所有风险恰是风险导向内部审计 的对象。因此说，企业风险管理框架（erm）可以视为风险导向内部审计的对 象。 3.3.2 全面风险管理要素全面风险管理要素 全面风险管理包括