（会计学专业论文）风险导向内部审计与企业风险管理整合研究.pdf

摘 要 i 摘 要 近年来，由于一系列重大事件、财务丑闻的频出，相关法律法规的出台，风险管理 成为全球关注的焦点， 世界上许多国家和相关的国际机构都认识到加强风险管理的重要 性。而作为保证委托受托责任实现的有效控制机制，内部审计是公司治理的重要要素之 一。而随着风险的渗入，公司治理关注焦点逐渐转向了风险管理。相应地，内部审计目 标也开始面向风险管理。最新修订的内部审计定义明确了内部审计以评价风险管理、控 制及公司治理流程从而为组织增加价值为其主要作用。它合理的组织模式和职能的发 挥，能帮助企业评估各种风险、优化公司风险管理流程，为完善公司治理提供支持。我 国企业越来越与世界紧密联系，面对环境变化、不确定因素等潜在风险所需要投入的风 险成本的不断增加，如何认识、评估以及应对企业运营中所存在的各种风险因素成为当 代企业亟待解决的课题。 基于此，本文以规范研究、定性分析和案例研究相结合的研究方法，首先概括了风 险导向内部审计历史溯源及其最新发展，然后在对风险管理相关理论进行介绍的基础 上，在受托经济责任理论和价值链理论指导下，将风险导向内部审计置于企业风险管理 框架下，进行风险管理对内部审计的需求分析，认为内部审计是企业风险管理的重要的 价值实现手段，在改善组织运营、提高风险管理和公司治理、增加组织价值等方面发挥 着重要作用，并在对二者的整合的必要性和可行性研究基础上，从治理层面、管理层面 以及执行层面和事后改进几个方面展开风险导向内部审计和企业风险管理的整合研究。 最后以青岛海尔集团风险导向内部审计与企业风险管理的成功案例再次论证了内 部审计在风险管理中的重要作用， 为之后我国企业开展风险导向内部审计和风险管理提 供借鉴。 关键词 风险导向 内部审计 风险管理 公司治理 整合 abstract ii abstract in recent years,as a series of major events, the frequency of financial scandals, the introduction of relevant laws and regulations. risk management becomes the focus of global concern, many countries and relevant international organizations recognize the importance of risk management that should be strengthened. and as the management control mechanism that play an importment role in ensuring accountability to be effective performance,the internal auditing is an important part of corporate governance.with the infiltration of the risk, gradually the corn of corporate governance turn to the risk management. accordingly,the internal auditing begin to be focus on the risk management. in order to add value for the organization,the latest definition of the internal auditing confirm the role of internal audit is to evaluate the risk management, control and governance processes. with setting up reasonablely and playing in effect, it can help companies to assess the risks, to assist the companys risk management, to provide endorsement for improving the corporate governance. with our corporate closely ties to the world and changing of the environment,uncertainties and other potential risks need the rising costs for the increasing risks, that how to understand, assess and respond to the various risks becomes the urgency issue for the contemporary business. based on that, with a combination research methods of normative research and qualitative analysis,we firstly discourse the basic concepts and theories of the risk oriented internal audit: then the theory of risk management are introduced, based on the theory of the value chain, we discuss the relationship between the risk oriented internal audit and enterprise risk management. through analyzing the need of the risk management for the internal audit,we think that as the means of enterprise risk management, internal audit play an important role in improving organizational operations, enhancing risk management and corporate governance, increasing the value of the organizations. and on the basis of the necessity and feasibility research, we launch the integration research between the risk oriented internal auditing and risk management from management level, management level, executive level and after-improving. finally,we take the qingdao haier group as a successful example which demonstrates once again the necessity of establishing the enterprise risk management approach and the importance of the internal audit in risk management, and as the reference for the after abstract iii enterprises. keywords risk-oriented internal auditing risk management corporate governance integration 第 1 章 绪 论 1 第 1 章 绪 论 2001 年 11 月，安然、世通财务丑闻的爆发引发了可怕的多米诺骨牌效应。2002 年 末，美国时代周刊将世界通信的内部审计部副总经理辛西亚库珀和安然公司副总裁雪 伦沃特金斯评为 2002 年新闻人物。内部审计在的积极作用由此进入了人们的视线，受 到人们前所未有的关注。人们把内部审计视为企业的良心，当做维护企业道德文化的防 火墙。财务丑闻的爆发也引起了国际内部审计师协会（iia）对内部审计的重新思考， 改变内部审计与风险管理长期分裂的状态， 寻找二者融合的方法和途径成为当代企业急 需解决的课题。 1.1 研究背景和意义 随着各国经济的跨国化和信息技术的突飞猛进， 企业经营质量越来越受到内外环境 的影响， 在获得收益的同时也存在着风险。 特别是安然、 世通以及近几年爆出的中航油、 法国兴业银行等事件使人们对风险有了更加深刻的认识， 企业治理层和管理层也意识到 风险不是固定存在于某个部门的，而是与整个组织运营相伴生的，因此必须从企业整体 审视风险，2004 年 9 月 coso 委员会发布的全面风险管理框架和 2004 年 6 月公布 的巴塞尔新资本协议均蕴含着全面风险管理理念。 iia1999 年对内部审计的概念及发展模式进行了更新1：内部审计是通过系统化、 规范化的方法来对组织的风险管理、控制及监督过程进行评价提高效率，进而帮助组织 实现目标的。新定义将企业风险管理纳入到内部审计的研究范畴，并增加了内部审计为 组织“增加价值”的职能描述，表明了内部审计以为组织机构增加价值为目标，这一长 期性目标的提出也为内部审计提供了新的发展契机，风险导向内部审计概念由此提出。 它是以影响企业目标实现的关键风险为切入点，通过贯穿于审计全过程的风险识别、分 析和评估，就风险管理、关键点或流程控制、风险控制薄弱环节以及整改应对措施是否 有效进行监督评价的现代审计模式，从关注事后，延伸到面向事中甚至事前。这与全面 风险管理从企业战略全局出发，在企业的治理环节、管理环节和各经营环节实施风险管 理基本流程，识别可能对公司产生影响的关键目标及与其相关的风险，并将风险管理效 果与潜在风险及企业关键目标联系起来，分析、控制、优化，更加注重未来的模式所要 达到的效果是一致的。内部审计向风险管理领域的推进不仅拓展了自身的发展空间，而 河北大学管理学硕士学位论文 2 且也是对企业风险管理有效性的保证。20 世纪 90 年代开始2，为实现企业安全高效的 经营目标， 西方一些大型企业开始了企业内部审计部门介入企业风险管理的监督和评价 的探索，纵观其十几年的发展，两者的结合取得了不错的效果。 我国内部审计的理论与实践起步较晚， 人们对风险导向审计模式的应用尚无深刻认 识，对风险管理的认识也有待深化。2005 年出台的内部审计具体准则第 16 号风 险管理审计 ，规范了内审人员对风险管理流程及其有效性审查和评价的权限，这标志 着我国内部审计已经开始进入风险导向阶段。 而随着企业价值目标实现过程中所伴生的 风险的日益广泛和复杂，更加明确了风险管理系统在企业中的存在价值，它贯穿于企业 运营的各个方面，是企业实现可持续增值的有效保障机制。2006 年 6 月 6 日，国务院国 有资产监督管理委员会制定并印发的中央企业全面风险管理指引将风险管理理念进 一步推进，指引要求各中央企业逐步建立全面风险管理体系，然而实施近五年来，虽然 很多企业建立了风险管理体系，其运行效果却并不尽如人意。一个重要原因就在于可靠 的管理和监督机制的不到位。 2006 年在对我国部分先进企业及风险管理探索者的调查中 发现3，只有 7.89%的企业建立并实施了企业风险管理流程，15.79%的企业建立但尚未 开始执行，有 71%的企业虽然建立了风险管理流程但缺乏约束机制，使得风险管理效果 受到限制，5.26%的企业尚未建立了风险管理流程。可见，监督约束机制是企业风险管 理有效的关键。这就要求作为公司治理四大主体之一的内部审计参与企业风险管理，发 挥其监督约束职能，保证企业顺利、有效实施风险管理。同时，风险导向内部审计将确 认、咨询职能提到了与监督、评价职能同样的高度，这也对完善企业风险管理具有重要 意义。 根据价值链理论4，企业内部的价值创造环节不是孤立存在的，而是彼此关联的。 风险管理和内部审计天然就具有联系，管理层的主要职责之一就是风险管理，直接关系 着企业的风险承受能力和应对能力，应当保证组织中风险管理体系的健全和有效运行。 而风险导向内部审计作为企业的内部监督机制，不但要提供即时、持续的监督，还要借 助企业其他部门和业务执行层的工作，掌握信息，发挥咨询职能，优化企业战略规划， 处理好企业对风险的应对。承担着监督、分析、评价、检察、咨询等任务的风险导向内 部审计5，其运作也从不同的角度实现了对风险管理的介入，二者的协同作用实现为组 织增加价值的目标。在企业风险管理上，风险管理流程和内部审计的设计是需要一并考 虑的。建立企业风险管理和内部审计相互关联的机制，既是提高内审效果的根本途径， 第 1 章 绪 论 3 也是提高风险管理效果的重要手段。否则，如果内部审计和企业风险管理内容上缺乏关 联，或者存在时滞性，都会使内部审计和风险管理的最终目标落空。过去，我们对内部 审计和风险管理的协同效果缺乏足够了解和重视。 在风险管理失效时没有充分意识到内 部审计和风险管理相互脱节以及风险管理体系本身存在的缺陷所导致的内部审计失败 的问题。 通过对国内外关于风险导向内部审计与风险管理的已有相关文献的研究考察， 可以 发现这是一个非常重要但尚未引起足够重视的问题， 而且由于我国内部审计尚处于向风 险导向的过渡阶段，全面风险管理理论和实践也处于起步阶段，对于风险导向内部审计 与全面风险管理的整合有进一步研究的必要。因此，本文在公司治理这个大环境下，探 求风险导向内部审计和全面风险管理的关系， 强调了风险导向内部审计对风险管理的意 义，它们在关注焦点、最终目标以及关联性上的契合性使我们有理由认为，风险管理只 有与风险导向内部审计协同作用，在公司各层面上发挥联动机制，才能与公司治理的整 体愿景相吻合，最后以案例论证前述结论。本文希望能够为完善风险导向内部审计和风 险管理研究提供有效的支持和指导。 1.2 文献综述 对于本次整合研究的主题，国内外的直接研究资料较少，但是基于内部审计与风险 管理的研究却层出不穷，这里，本文将国内外的相关研究成果进行系统的梳理，期望对 本文有所启发。 1.2.1 国外对内部审计与风险管理的研究 对于内部审计与风险管理，国外进行过理论研究，如 laura f. spira 和 michael page 6认为内部审计作为一种独立、客观的确证和咨询活动，它对于风险管理流程的核心作 用是提供风险管理有效性的合理保证。实际上，研究显示董事会和内部审计师都认同内 部审计通过监督、 评价经营过程中的主要经营风险以及风险管理和内部控制的有效性为 组织提供价值。 georges selim 和 david mcnamee 7-8认为敢于与风险管理建立联系的内 部审计通过使审计领域和审计计划与组织的战略目标和经营目标联系， 为自身发展创造 了极大的机会；2011 年 iia 内部审计白皮书 提出为了发表对风险管理过程充分性的意 见，内部审计人员需要确保风险管理过程实现以下目标：从实体承担的战略和活动风险 internal auditings role in risk management.the iia white paper, march,2011. 河北大学管理学硕士学位论文 4 能被识别和分类；管理层和董事会已确定了对于实体风险的可接受水平，包括战略层面 的可接受的实体风险， 根据管理层和董事会所设定的标准建立和实施降低风险水平的活 动；永久监测活动是为定期重新评估所采取的应对措施和风险执行永久监测活动；风险 管理过程的进度报告定期向管理层和董事会呈报；最后，公司治理进程必须定期提供现 存的风险，其中涉及风险控制策略。通过这一系列程序，内部审计不仅能识别和评估风 险，还通过完善风险管理过程，为公共实体部门增加了价值。 在丰富的理论分析的基础上， 国外学者也从实证和案例的角度对两者的关系进行了 检验，goodwin9选取了 2000 年澳大利亚 115 家上市公司，从风险管理、内部控制和公 司治理三个角度对上市公司企业风险管理中的内部审计活动的特定影响要素进行了研 究。结果发现，内部审计的设立与风险管理委员会、风险管理者的职责履行情况、是否 设立审计委员会等因素呈显著正相关，公司的内部控制机制、风险管理发展阶段对内部 审计有影响。thomas l.barton,w illiam g. shenkir 和 paul l.walker10通过案例研究认为 内部审计职能应为风险管理提供相关指导。mark s. beasley,richard clune 和 dana r. hermanson11通过收集 iia 全球信息系统的 1800 名成员关于内部审计的各种问题， 通过 回归模型分析得出：企业风险管理正在影响内部审计职能，其中影响最大的是组织中拥 有较完整的风险管理框架的，完整的风险管理框架是一个保证，给内部审计提供了无数 的参与机会。通过提供风险管理的指导、推进风险管理计划，内部审计可以创造更多的 附加价值。此外，对于内部审计对风险管理贡献的衡量，国外文献也采用问卷调查的方 式获得被调查者的评判。tariq hassaneen ismail 12通过问卷调查的形式发现在风险管理 框架中内部审计比外部审计更有价值，因此，大部分的内部审计师提议应该由他们执行 风险管理方面的监督工作。 2005 年， 欧洲内部审计联合会在其发布的声明书中指出内部审计通过与公司治理的 其他三大主体董事会、 管理层、 独立审计的配合拥有广阔的空间， 在完善公司治理机制、 防范企业风险方面扮演着重要角色， 内部审计与风险管理的整合可提高其参与公司治理 的广度和深度。 rebecca g. sarmenta13认为内部审计与企业风险管理学科有融合的趋势， 这种融合使内部审计可以集中控制超过财务及合规性风险的相关风险问题。 企业风险管 理和内部审计的整合形成了一个相辅相成的关系，风险驱动内部审计流程，内部审计结 第 1 章 绪 论 5 果反馈到风险。安永澳大利亚在其内部审计报告 中认为一个有效的内部审计可以减轻 寻求改善风险管理和增加组织价值的行政管理和审计委员会不断增加的压力， 并倡导内 部审计应积极转型与企业风险管理结合，着眼于与企业的战略和经营风险的管理，重新 定位内部审计职能以更好地推动和支持业务流程。 1.2.2 国内对风险管理和内部审计的研究 近年来，国内相关研究也肯定了内部审计的积极作用14。陈国辉、耿慧敏15通过对 近十年来我国内部审计相关文献内容的梳理， 得出了内部审计的理论研究呈现多元化的 发展，从监督领域不断向增值、治理、风险管理等领域拓展。他们认为随着风险管理在 企业运营中所占比重的增加，顺应国际潮流，风险导向内部审计模式是我国未来内部审 计的方向，风险导向内部审计将对风险管理大有可为。兰艳泽，陶玲16从动态博弈的视 角，规范地分析了内部审计与企业风险管理的互动对各自质量的影响，并得出结论，在 一定程度上，保证内部审计质量有利于企业风险的管理更好地开展，内部审计与企业风 险管理的互动能够引导双方的质量向理想状态逼近，优化博弈均衡。实证研究方面，也 为二者关系的研究提供了借鉴，耿建新等17通过对沪市 20012004 年沪市 ipo 公司招 股说明书的分析发现， 单独设置内审部门的 ipo 公司治理效果在公司承担风险管理的能 力等方面显著好于未单独设置内审部门的公司。 王斌等18从股东期望和经营者风险管理 角度对内部审计价值实现与风险管理进行了探讨，在他们看来管理者积极、主动的风险 管理，为企业内审部门作用的发挥提供了新的领域和空间，但同时也面临着新的挑战。 流程导向的内部控制、风险管理审查，财务、经济责任审计，内审风险评估，关键风险 因素揭示以及风险管理报告是内审部门履职的核心环节，也就是其实现意义之所在。 从职能来看，内部审计部门所进行的是对风险管理部门及进程的再监督，是对公司 风险管理系统的评价，包括对预知、识别风险的能力，对已确认风险的防范和控制所提 出的建议的适当性的系统评估、风险控制程序的有效性的评价等。张巧良等19实证研究 发现，内部审计对公司治理的评价能达到治理、管理与合规性的有效整合。内部审计在 企业风险管理中的咨询和保证职能被提到了与监督、评价相同的高度，这增加了二者整 合实现组织价值的可行性。 对于二者的整合，阮滢20认为整合使内部审计工作范围外延到了整个风险管理过 安永 2008 年内部审计调查报告. 河北大学管理学硕士学位论文 6 程。在整合过程中，实行基于战略决策与风险评估的主动式审计方式，提供确证和咨询 服务，保证增值目标的实现。刘新林、周兵21得出在 erm 框架下，内部审计实行以风 险管理评价为审计工作重点的风险管理审计和针对剩余风险所开展的风险导向审计参 与企业风险管理。黄园园22从不同的风险管理水平和不同的报告关系入手，分析内部审 计的不同定位，并针对不同定位提出了通过风险管理审计、剩余风险导向审计、控制自 我评估以及管理咨询和建议等途径实现二者的整合， 并结合我国企业的特点对二者的整 合进行了初步架构。张建刚、赵翔宇23针对内部审计四种职能对内部审计与风险管理的 整合程序也做了简单的探讨。兰艳泽，刘利伟24则选择以控制自我评估为连接点构建二 者的有效对接。分析发现，我国学者所进行的整合探索，只是针对风险管理和内部审计 某些环节的完善，没有深入到企业的价值增值全过程，尚未形成比较完整的体系。 风险管理、公司治理以及风险导向内部审计具有内在的统一性，如何在公司治理的 大环境下，将另外两者有效地整合，充分发挥内部审计增值功能、实现增值目标。 1.3 研究方法 本文首先采用规范研究， 介绍了内部审计的历史演进和最新发展以及全面风险管理 的定义，并在全面风险管理框架下，定性分析考察二者的关系，结合两者的联系及各自 的作用分析二者整合的必要性和可行性，从治理层面、业务管理层面及业务执行层面及 事后几个方面开展风险导向内部审计晕企业风险管理的整合研究， 并以案例分析作为对 前文的验证。 1.4 本文结构 本文总共分为六章，现将各章所涵盖的内容分别列示如下： 第一章是绪论部分。首先介绍了本文的研究背景、研究意义，引出本文所要研究的 问题，然后以风险导向内部审计与企业风险管理的国内外相关文献综述，作为后文研究 的起点，最后对本文的结构安排，研究方法及创新点进行了阐述。 第二章分析不同经济时期对内部审计的不同需求， 引出现代经济阶段对内部审计的 需求指向风险导向，并通过与前期的比较阐述了风险导向内部审计的优越性。 第三章首先介绍了企业风险管理定义，并结合公司治理，将风险导向内部审计置于 企业风险管理框架下，进行企业风险管理对内部审计的需求分析。 第四章结合内部审计与风险管理的联系、需求分析以及二者的作用，论述了整合的 第 1 章 绪 论 7 必要性和可行性，然后从治理层面、业务管理层面、业务执行层面及事后审计等方面展 开整合，并对整合过程中可能存在的问题进行了简要分析。 第五章以青岛海尔为例证作为风险导向内部审计与企业风险管理整合的实践检验。 最后是本文的结论部分，在对本文进行总结的同时，认识到本次研究的不足之处， 以便以后的改进。 1.5 本文的创新点 本文在分析风险导向内部审计与风险管理的关系时引入价值链理论，这是一个创 新。在治理层面从战略风险管理展开与内部审计的结合，在业务管理层面加入了舞弊风 险管理与内部审计的联系，将对舞弊的发现提到了业务管理过程中，这也是一个创新， 河北大学管理学硕士学位论文 8 第 2 章 现代风险导向内部审计概述 2.1 内部审计的溯源：基于历史的思考 内部审计活动是基于“需要”而产生的，其萌芽最早可以溯及奴隶社会。根据波特 的价值链理论：在企业内，凡是不能为企业价值增值做出贡献的环节就没有继续存续的 必要。因此，随着经营环境的变化，基于“需要”产生的内部审计从一个阶段到另一阶 段，必然意味着内部审计能满足人们的不同价值需求，而这也是内部审计继续存在的意 义。 2.1.1 内部审计的萌芽 内部审计的雏形最早出现在奴隶社会，权利下放导致委托受托关系出现，相互牵制 和受托经济责任履行情况的监督需要直接导致了内部审计活动的诞生。 此时内部审计价 值表现形式仅为监督和验证25。 我国西周时期政府机构中所设司会以及在西方受庄园主 派遣的管家， 所从事的都是对下属或受托人的责任履行情况的监督， 是早期的内部审计。 在封建时期，随着分权思想进一步发展和分工的出现，内部审计有了较大发展。出 现了独立的内部审计人员，但他们只是会计部门和独立审计的附属，由于复式记账原理 的产生内部审计的价值体现由原来的监督验证转向了通过对账簿的审查来实现。 2.1.2 财务导向的内部审计 1865 年美国南北战争结束后，工业化迅速发展，股份制公司规模扩大，公司内部管 理幅度和层级增加，企业内部受托责任呈多层次化。加之工业革命的爆发使企业的分工 更加的专业化，高级管理层“事必躬亲”的管理方法已无法满足日益增多的受托责任的 监督需求，因此，有必要增加企业内部受托责任的监督层级，组织企业内部长于管理和 财务知识的人才代替上级管理者实施监督26。另外，独立审计的发展也一直影响着内部 审计，1934 年美国证券交易法要求所有上市公司提交的财务报表必须经由注册会计 师审计， 限于注册会计师的职业要求以及成本考虑， 也促使了企业内部审计机构的设立。 此时的内部审计职业由于缺乏理论指导，并未得到广泛的认同，只是作为外部审计 的附庸， 受外部审计的支配， 围绕独立审计所关注的账簿和财务报表开展业务。 直到 1941 第 2 章 现代风险导向内部审计概述 9 年，国际内部审计师协会（iia）成立，并制订了第 1 号内部审计师职责说明书 才 对内部审计有了明确定义：组织内部检查会计、财务及其他业务的独立性评价活动，向 管理部门提供防护性和建设性服务。这在一定程度上给予了内部审计强有力的支持，逐 渐向独立学科发展。 2.1.3 业务导向的内部审计 1941 年，维克托z布林克27将内部控制系统论引入审计范畴。此后的内部审计由 注重实施转为注重于控制，此阶段的内部审计以业务审计为主要类型。内部审计内涵得 以扩展，这在 1957 年修改后的职责说明书中也有所反映：内部审计是组织内部审核会 计、财务以及其他经营业务的独立评价活动 。 受 20 世纪初泰勒的科学管理理论和法约尔的一般管理理论的影响，50 年代后内部 审计开始跳脱财务账簿的局限，业务范围外延。关注具体业务及管理控制内容的审查， 揭露其设计和实施过程中的低效及无效部分，并提出基于问题的改进，从而有助于管理 者有针对性的改进业务流程、优化管理控制。 同时，受托责任内容的变化使内部审计开始为管理层兴利，这在 iia 于 1971 年第 三次新修订的内部审计定义 “它是一种管理控制，其作用是衡量和评价其他控制的有 效性”中也有所体现。就审计技术而言，业务导向内部审计“访谈式审计”在加深对公 司经营管理意识和理念的理解的基础上拉近同企业管理的关系，日益融入企业内部，作 为企业价值链上的增值环节而存续。 2.1.4 管理导向的内部审计 第二次世界大战之后， 经济全球化迅速崛起的同时伴随着垄断规模发展及世界性经 济危机的爆发，复杂多变的外部环境对管理理论提出了更高的要求，管理者不仅要关注 “内忧” ，更要关注“外患” 。企业作为管理的载体不再是一个封闭的系统，而是与外部 环境密切联系的开放系统，这再一次对内部审计提出了变革的要求。另外，对公司治理 理论的空前关注，特别是审计委员会制度的建立也为内部审计地位的提升创造了条件， 20 世纪 70 年代开始，内部审计进入了管理导向阶段。 在此期间，内部控制也有了长足的发展，逐步从内部控制制度阶段过渡到了内部控 1947 年内部审计职责说明书. 1957 年内部审计职责说明书. 1971 年内部审计职责说明书. 河北大学管理学硕士学位论文 10 制结构阶段，开始成为企业管理的代名词。这也再一次修正了内部审计的审计视角，通 过评价组织内部控制制度的实施情况作为是否接受审查以及采取相应审计措施的依据。 1978 年，iia内部审计职业实务准则 将内部审计界定为“以检查、评价组织为基础 的独立评价活动，并为组织提供服务” ，表明管理导向内部审计受托责任层级的上升， 关注更高层次的管理决策，目标、方针以及外部受托责任。但是此阶段的内部审计对企 业目标的关注度不高，加之风险因素广泛化制约了其对企业目标的修正作用，这些缺陷 在之后的实践中被逐渐暴露出来。 2.2 现代风险导向内部审计概念的提出 内部审计是基于“需求”产生，自然要不断完善自我以适应变化的需求。进入 20 世纪 90 年代，宏观、微观环境的变化，加之对公司治理、内部控制及风险管理等研究 的日趋成熟，内部审计经历着新一轮的蜕变，迈向了积极帮助企业评估各种风险、协助 公司风险管理、完善公司治理的新阶段。 2.2.1 传统管理导向的内部审计的缺失 本节通过比较阐述传统管理导向内部审计的缺失， 表明风险导向内部审计的优越性 和特征。 1) 本质 内部审计的本质是确保受托责任履行的监督机制。管理导向审计阶段，内部审计被 视为企业的一项管理职能，采用的是“控制风险目标”的运作模式，由于是在经营 活动完结之后进入内部控制系统才开始发挥作用的， 所以进行的是事后评价和反馈的一 种被动式审计28。而在风险导向阶段，受托责任的内容和层次得到了极大丰富，更加强 调包括顾客、员工甚至社会等各种利益相关者的利益最大化。管理控制环境也发生了变 化，对风险的认识扩大到审计风险以外的企业各环节和因素产生的风险。由于风险是面 向未来的，是与目标和战略直接相关的，因此，遵循“目标风险控制”逻辑顺序的 风险导向内部审计可以直接针对企业目标开展审计，将事后评价反馈延伸到事前和事 中，是一种能动的、主动式的管理预警审计。 2) 对象 在管理导向阶段， 内部审计以企业职能部门和内部控制制度及执行中影响审计风险 iia内部审计职业实务准则 第 2 章 现代风险导向内部审计概述 11 的问题和缺陷为重点开展审计、完善管理，但由于其对风险的认识局限于审计风险，使 其不能关注到引起风险的各个环节和因素， 而且其对内部控制的关注主要集中于内部控 制活动，尚未在体系的各个要素中全面扩展开来，因此在有效管理风险方面成效甚微。 而在风险越来越与企业整体目标关联的背景下， 风险导向内部审计在评估企业风险时关 注点已跨出内部控制制度的作用范围，而是着眼于风险，优先选择高风险领域，评估具 体控制对风险管理的效果。此时，内部审计师的建议不再是对控制的完善提高管理，而 是对规避、转移和控制风险的管理，塑造企业风险之下的发展优势29。 3) 目标和职能 管理导向内部审计的目标是通过内部审计所作出的客观评价， 提出基于降低审计风 险的管理建议，优化内部控制流程，最终促进企业实现价值最大化。但是由于其对审计 目标设定于内部控制制度本身而不是内部控制所指向的经营目标， 使得内部审计防弊与 兴利的作用游离于企业目标之外，审计结论脱离生产经营的目标、内部控制系统越来越 僵化，越来越制约着内部审计功能的实现30。降低风险、实现企业价值增值是风险导向 内部审计的目标，即通过对企业在价值实现的各环节所面临的风险因素的管理活动，降 低企业目标实现的风险，并相应地降低审计风险；同时，对风险管理的有效性意味着企 业价值增加的实现，即作为价值增值链的重要一环，风险导向内部审计自身地位也得以 巩固。 内部审计职能是内部审计目标的实现途径。在内部审计发展的不同阶段，目标的变 化也不断赋予内部审计新的职能。管理导向阶段，内部审计以传统的监督、控制职能为 主，提供改善的建议仅是监督、评价职能的附属职能。而随着企业内部审计改善风险管 理、提供增值服务目标的提出，在保留传统的监督、控制职能的基础上，咨询服务被提 到了与评价职能同样的高度，凸显了内部审计在组织中服务的内向性。 1999 年 iia 又一次对内部审计定义进行了修正： 内部审计是用来增加组织价值和改 善组织运营的独立、客观的保证和咨询活动。它以系统的、专业的方法对风险管理、控 制及治理过程的有效性进行评价和改善，帮助组织实现其目标。为组织增值的目标将风 险管理和公司治理领域纳入了内部审计范围，内部审计的层次也提升至治理层，并已经 关注到了内部控制体系之外的风险管理关键因素或领域， 但对风险解读和风险管理领域 的限制，导致风险导向内部审计与企业风险管理之间存在着脱节问题。作为最新明确的 基于风险管理的内部审计只有与全面的风险管理理念相结合，才能实现二者的有效对 河北大学管理学硕士学位论文 12 接，发挥整体大于部分的效果。 2.2.2 现实背景 由于全球性金融危机的影响，作为核心控制活动，有效的内部审计已经成为企业的 当务之急， 因为高管和董事会不能被蒙蔽了， 大洋洲企业风险管理服务负责人罗布佩里 说。 1) 外部压力 外部环境压力：一方面随着信息技术的飞速发展，市场竞争由国内向全球渗透、规 模经济向市场应变能力转变；另一方面产品特征也在发生着变化，需求的多元化、品质 的独特化、 产品生命周期的变化， 企业的控制链不断延长， 加之计算机舞弊的逐渐增加， 给企业带来的不仅仅是利益，更多的是无法预知的风险。企业产品的多元化战略、发展 的国际化扩张思想，新兴业务的不断涌现，导致了企业经营的复杂化、多样化，使得对 企业控制难度的加大。企业风险的增加导致了越来越多的评估和保证活动的需求，如何 在防范和控制企业经营风险、应对风险提出建议上发挥积极作用，成为了管理当局对内 部审计职能提出的新要求。同时，企业规模扩大以及内部管理多层次化，导致内部受托 责任的多层次化，受托管理责任内容的极大丰富，更加强调各利益相关者的利益，对于 处于信息劣势的利益相关者，风险的增加考验着他们的风险承受度，在独立审计面临诚 信危机的关口，内部审计作为企业的良心无疑成了他们的最终选择。 相关法律、规范的影响：90 年代末的金融危机、2001 年的安然、世通财务丑闻以 及近年的美国次贷危机，使投资者、公司员工和其他利益相关者付出了惨痛的代价，这 对政府机构、职业团体组织无疑是一个考验31。为了有效应对这些危机，恢复投资者的 信心， 内部控制整体框架 、加拿大整体化风险管理框架 、 风险管理框架征求意 见稿、 萨班斯一奥克斯利法案等一系列法律规范相继出台，几大国际会计师事务所 也行动起来，探讨并发布了各自风险管理指南，要求内部审计在公司治理、内部控制和 风险管理中承担一定责任。纽约证券交易所也发布了相应规范，要求上市公司中必须具 备内部审计职能。 2) 内部需求 相对于外部环境的变化，企业内部管理也做出了相应的调整，企业风险管理以及风 险应对成为企业管理核心，通过积极实施战略经营，对外部威胁与机会进行分析，制订 高标准的战略目标，将企业内部组织结构、文化资源以及生产过程进行有效。内部审计 第 2 章 现代风险导向内部审计概述 13 在此外部环境的驱动下，也不得不放弃传统的仅仅针对内部控制的再控制，转而也开始 加强风险的管理与控制。此时的风险进一步升级至企业的战略高度，内部审计视角也提 升至战略目标，关注企业长期和整体因素的评估，通过对影响组织目标实现的各领域风 险大小进行排序，确定重点风险领域，实施风险评估，提出相应的整改意见，由职能部 门组织执行或监督执行情况。 其次，战略管理理论自 20 世纪 60 年代以来在经历了一段时间的低迷后再度走红。 在战略规划的基础上将环境适应思想纳入自身的体系之中， 通过一种动态的战略管理机 制，以谋求能动的竞争优势，创造价值是战略管理的主要核心和最终目的。90 年代波特 的价值链管理理论认为：在企业内，凡是不能为企业价值增值做出贡献的环节就没有继 续存续的必要，价值理念正式登上管理的舞台。这成为许多西方企业的选择，为了降低 成本，获得竞争优势，它们纷纷进行内部组织结构的调整和重构，剔除那些不能实现价 值增值的冗余业务，或将非主流业务外包给外部的专业公司，提高企业整体的价值创造 能力。而内部审计正是其中之一，90 年代业务的扩张使得内部审计优势丧失，被列为企 业的边缘业务而被外包。为此，内部审计重新展开了其职能定位的思考，进行业务流程 再造，面对外部环境的剧变，管理层所做出的主动提高质量和管理风险以及结构与流程 的调整决策都需要更加及时、可靠、相关的信息的支持。风险导向阶段，内部审计重新 赢得了差异化的竞争优势。此后，正如 90 年代迈克尔波特教授所构建的企业内部价值 活动框架，作为辅助活动的内部审计赫然在列。据 2006 年 iia 下设的“知识共同体” 组织(cbok)基于内部审计现况的调查问卷显示内部审计已回归内置，重新成为企业价 值链上的必要环节。 与实务发展相一致，从 90 年代后半期，学者们就开始了以风险管理为核心的内部 审计的理论研究， 1996 年 iia 的特尔菲内部审计报告指出内部审计应当确保风险防范和 内部控制的效率和效果，通过更多的咨询服务的提供，提高组织对内外部动态环境的适 应，促进企业价值增值目标的实现。 “提供增值服务，为组织目标服务”成为了最为令 人关注的概念。内部审计不再是一个“踢即动”功能，也不再被视为是停滞不前的活动， 而是可以提供有形价值的。 河北大学管理学硕士学位论文 14 第 3 章 风险管理框架：考察现代内部审计的背景 20 世纪末，21 世纪初，频繁见诸报端的商业丑闻使得人们在加强内部控制的同时， 开始认识到风险管理的重要性，迫切希望建立一个能有效地帮助管理层识别、评价和管 理风险的思维框架。2001 年，coso 正式立项，委托普华永道构建一个框架，作为企业 管理者检验、评价和改进企业风险管理的一种的方向指导。2003 年 7 月，该研究报告讨 论稿公布。 2004 年 9 月， 企业风险管理整体框架 （enterprise risk management integrated framework）研究报告正式版发布。在该框架中，内部审计作为监控要素主体之一，承 担着组织风险管理的监督职能。本章将置内部审计于风险管理框架下予以考察，对两者 的关系进行阐述，为二者的整合寻求支持。 3.1 风险管理理论概述 3.1.1 风险 对于风险的定义一直存在很多争议，传统上对风险的定义都是和损失联系在一起 的。比如，美国学者海恩斯在经济中的风险中认为风险是“损害或损失发生的可能 性” 。 这种观点只关注风险的消极面， 而没有考虑风险的积极方面存在获利的可能， 具有单侧性，不符合现代风险管理的要求。风险客观说认为风险是不确定性事项发生的 可能性。在对事物风险有足够认识的基础上，用客观概率进行科学的描述，肯定了风险 的可预测性32。is031000风险管理原则与实施指南 2007指出：“风险是不确定性对 目标的影响”。可能性或概率是对风险或不确定性的量化，体现的是风险的双侧性，事 物结果可能是有利的，也可能是不利的，风险既可能是损失，也可能是盈利33。与单侧 风险相比，双侧风险更符合风险管理的发展方向全面风险管理。 根据以上定义我们可以将风险理解为：可能出现预期结果以外的各种不确定性结 果，是既可能带来盈利又可能带来损失的一种事前概念，反映的是预期结果与实际结果 之间的偏差即预期结果的可实现程度或所要付出的代价。主要有三个特征：首先、风险 是相对于未来而言的，过去和现在不存在风险，尚未到来的一切都存在变数，因此风险 是定义在对未来变数的认知上的；其次、风险是与企业目标相关的，是对企业目标实现 有影响的。对企业目标实现有影响的因素才是风险，且目标与风险成正比，目标越大风 险越大，与时间相关，越短期的目标风险越小，越长远的目标风险越大；最后、风险是 第 3 章 风险管理框架：考察现代内部审计的背景 15 可以管理的，未来的不确定性不代表损失，所以才有管理的需要。 3.1.2 企业风险管理的定义 企业风险管理是一门新兴学科，是企业对其面临的风险，运用各种风险管理策略和 技术手段确保控制局面朝着组织预期目标发展所采取的一切行动。 风险管理工作通常从三个方面展开：风险事故发生前，预知、防范风险；风险事故 发生时，应对风险，降低损失；风险事故发生后，修正风险防范机制。 从马柯维茨发表的“组合选择”理论、法国著名的管理理论创始人法约尔第一次把 风险管理列为企业管理的重要职能、 美国宾夕法尼亚大学沃顿商学院教授施耐德首次提 出“风险管理”的概念以及第一个巴塞尔协议的公布到 1992 年 coso内部控制整 体框架的颁布、澳新风险管理标准（as/nzs4360）的诞生、萨班斯-奥克斯利法案及 美国 coso 的 全面风险管理框架 的正式出台， 风险管理经历了从传统到现代的过渡， 风险管理不断地掀起浪潮34。国际标准化组织/技术管理局（iso/tmb）也专门成立了 风险管理工作组 （iso/tmb/wg on risk management） ， 并形成了 iso25700 iso/tm/wg 风险管理风险管理原则与实施通用指南（草案） 第三稿（wd3） ，对风险管理提出相 应的意见和建议。 2004 年，中航油（新加坡）企业越权违规进行原油期货期权交易，造成巨额亏空， 在国内引起了极大震撼，在媒体上的频频出现，使得风险管理进入了中国大部分企业家 的管理视线。中央企业的风险管理引起了国资委乃至全社会的高度关注，2006 年 6