（会计学专业论文）风险导向内部审计在我国的应用研究.pdf

硕士学位论文 i 摘摘 要要 随着经济全球化，竞争白热化及科技现代化，无论是从推动内部审计的自身 发展的需要，还是从帮助企业在复杂的竞争环境中生存下来的角度而言，都需要 内部审计组织考虑风险导向审计模式应用于自己的领域。风险导向内部审计作为 现代审计方法，在我国只是提出了风险导向内部审计这个概念和做了很肤浅的研 究，还没有关于风险导向内部审计的系统性理论研究成果。因此，研究风险导向 内部审计在我国的应用对我国的内部审计发展具有较重要的理论意义与现实价 值。 本文主要通过对我国内部审计现状的分析，论述了我国内部审计进行风险导 向审计的必要性，并着重构建了风险导向内部审计程序，以期对风险导向内部审 计在我国的应用提供一定的帮助。通过研究，本文主要完成了一下创新：通过 与风险导向外部审计及制度基础导向内部审计的相比，得出了风险导向内部审计 的八大特征，并通过分析我国内部审计技术的现状及落后的原因，同时从风险导 向内部审计产生的直接原因、内在原因和外在原因论述了风险导向内部审计模式 的在我国应用的必要性。论文从探讨辩证的认识和逐步推行风向导向内部审计 在我国的应用后，重点对风险导向内部审计程序进行了系统地构建。在构建内部 审计程序中，本文除了强调在项目审计过程中，审计人员需充分关注对被审计单 位风险的分析与管理外，还在制定年度审计计划阶段提出了采用了层次分析法对 企业审计项目所面临的风险进行层次分解，并逐层评级、打分，最终得出每个审 计项目的总风险得分，以此来确定内部审计的年度计划。 关键词：风险导向；内部审计；风险评估；风险管理；增值“服务” 风险导向内部审计在我国的应用研究 ii abstract with globalization of economy, severer competition and modernization of technology, it is very important for internal audit organization to employ risk-oriented internal audit, not only for its own development but also for the survival of enterprises in the complex competition environment. as a modern audit method, the risk-oriented internal audit has applied broadly and developed unceasingly. however, internal audit practice has only been on the stage of a mechanism-oriented audit method in our country. the academy just proposed the concept of risk-oriented internal audit and has researched in this field very superficially. there is no systematic and theoretic research achievement about risk-oriented internal audit. therefore, researching on the application of risk-oriented internal audit in our country has more important theory significance and the realistic value to chinas internal audit construction. through the analysis of the present situation of internal audit in our country, this article elaborated the necessity of risk-oriented audit in our countrys internal audit and constructed procedures of risk-oriented internal audit emphatically, hoping to provide some help to the application of risk-oriented internal audit in our country. through the research, this article mainly completed following innovations: (1)by comparing risk-oriented external audit and system-oriented internal audit with risk-oriented internal audit, the author obtained the eight characteristics of risk-oriented internal audit. the article also discussed the necessity of application of risk-oriented internal audit pattern in china by describing its present situation and analyzing its reasons. (2)the paper constructed procedures in risk-oriented internal audit systematically. it emphasized that auditors had to pay attention to the analysis and management of risks in the audited unit. in addition, in the process of constructing the risk-oriented internal audit program, it was important to utilize the level analytic method to divide the risk in enterprises audit project into groups. finally people could obtain the total score points of each audit project and determine the annual plan of internal audit. key words: risk guidance; internal audit; risk assessment; risk management; increment “service” 风险导向内部审计在我国的应用研究 4 湖湖 南南 大大 学学 学位论文原创性声明学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取 得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其 他个人或集体已经发表或撰写的成果作品。 对本文的研究做出重要贡献的个 人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果 由本人承担。 作者签名： 日期： 年 月 日 学位论文版权使用授权书学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学 校保留并向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查 阅和借阅。 本人授权湖南大学可以将本学位论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位 论文。 本学位论文属于 1、保密，在_年解密后适用本授权书。 2、不保密。 （请在以上相应方框内打“” ） 作者签名： 日期： 年 月 日 导师签名： 日期： 年 月 日 硕士学位论文 1 第第 1 章章 绪绪 论论 1.1 研究背景与研究意义 1.1.1 研究背景 随着经济全球化，竞争白热化及科技现代化，企业经营一方面被赋予充满无 限想象空间的市场机遇，另一方面又时刻面临着变幻莫测的风险。所以就经营与 管理团队而言，其永恒的使命便在于把握商机和管理风险。而长期以来人们把注 意力主要放在琢磨“把握商机”上，很少顾及“风险管理”，导致企业无法顺利 实施经营战略、无法达到经营目标甚至导致经营失败。“安然多米诺”现象、巴 林银行倒闭、我国近年来银广夏、亿安科技、郑百文等一系列证券市场特大丑闻 足以使警钟响起没有“风险管理”的管理无法保证企业根本目标的实现。由 于风险无处不在而且很难预测，风险管理需要整合特定的专业技术，这就要求内 部审计组织不但要提供实时、持续的监控，还要与企业其他部门共同合作，参与 战略规划，帮助企业对风险做出战略反映。 近几年来，由于民间审计扩展服务领域，向企业提供内部审计服务，企业为 节省成本和开支，削减内部审计机构或部门，不断将内部审计部分或全部地对外 承包给民间审计公司，使内部审计发展壮大变得愈发艰难。其次，由于内部审计 部门仍采用过时的审计技术和方法，审计目标和范围不能很好地针对企业经营风 险和问题，不能有效地为组织增加价值（add value），其本身在企业内部开始不被 重视，其生存和发展面临的问题日益严重。可以说，内部审计生存危机问题是当 前内部审计职业界面临的最大风险。 无论是从推动内部审计的自身发展的需要，还是从帮助企业在复杂的竞争环 境中生存下来的角度而言，都需要内部审计组织考虑风险导向审计模式应用于自 己的领域。国际内部审计师协会（institute of internal auditing,a）在 1999 年将 内部审计重新定义为是一种独立、客观的确认与咨询活动，它的目的是为组织增 加价值并提高组织的运营效率。它采用系统化、规范化的方法来对风险管理、控 制及治理程序进行评价，提高他们的效率，从而帮助实现组织的目标。这个富于 变革意义的新定义为内部审计进行风险导向审计提供了动力，为了实现新的目标、 新的职能，我国内部审计应变革已过时的审计模式，逐步开展风险导向审计。然 而如何在风险导向审计模式下进行内部审计，如何将风险导向审计模式贯穿于内 部审计的全过程，如何在风险导向审计模式下对内部审计风险进行合理地分析、 评价和控制，这是我国内部审计组织需要关注的问题。正是在这样的背景下，我 确定了论文的写作方向。 风险导向内部审计在我国的应用研究 2 1.1.2 研究意义 20 世纪 90 年代以来，为了满足风险管理的需要，国外许多学者和组织机构对 风险导向内部审计从不同的角度、不同的领域展开了深入研究，为风险导向内部 审计的发展做出了重要贡献。风险导向内部审计作为现代审计方法，在发达国家 的内部审计实践中得到了日益普遍应用，方法本身也随之不断完善。遗憾的是， 我国内部审计实务界还基本停留在制度基础审计方法阶段，理论界目前还只是提 出了风险导向内部审计这个概念和做了很肤浅的研究，还没有关于风险导向内部 审计的系统性理论研究成果，因此，将风险导向内部审计在我国的应用研究作为 硕士毕业论文选题进行专题研究，对我国的内部审计建设具有较重要的理论意义 与现实价值。 1.2 国内外研究文献综述 风险导向内部审计作为现代审计方法，在发达国家的内部审计实践中得到日 益普遍的应用，方法本身也随之不断地完善。由于适应了市场经济高度不确定性 和企业对审计期望值不断提高的要求，风险导向内部审计模式从一开始就显示出 了强大的生命力，这促使着国内外学者及组织机构对风险导向审计从不同的角度、 不同的领域展开了深入地研究，为风险导向内部审计的发展做出了重要贡献。 1.2.1 国外研究文献 1941 年 9 月，在约翰瑟斯顿(johnbthurston)的领导下，内部审计师协 会(the institute of internal auditors，简称 iia)宣告成立，作为 iia 的创始人，瑟斯 顿始终坚持着内部审计能够为管理提供更多服务、创造更多价值的观点。同年维 克托布林克(victor brink)出版了内部审计拓荒之作： 内部审计：性质、职能和 程序方法 ，从理论和实践方法上建立了内部审计体系，使内部审计出现了很大转 机，从此迈入了现代内部审计的门槛。因此，有人称 1941 年为现代内部审计的奠 基年1。 iia 成立后， 很大程度推进了风险导向内部审计理论的研究和实务的发展。 1996 年， iia 研究基金会启动了一个以建立内部审计全球性框架为宗旨的研究 项目，形成了一份名为内部审计的未来：特尔菲研究的研究报告2。特尔菲研 究报告提出内部审计要注重风险防范、提供增值服务、帮助组织实现组织目标的 内部审计发展方向。这份报告为 1999 年 6 月内部审计定义的修改和内部审计准则 的修订起了重要支持作用。1997 年，iia 成立了一个指南核心工作小组，负责研究 内部审计准则新框架。小组经过一段时间研究，于 1998 年 11 月提出了内部审计 新定义，并于 1999 年向 iia 理事会提交了内部审计职业准则新框架3，新框架包 括了内部审计定义、职业道德规范、内部审计实务标准和其它方面的指导。新准 则和新定义强调当今内部审计的实质就是关注、评估改善和参与风险管理、内部 硕士学位论文 3 控制和公司治理，为组织增加价值。其中，2002 年 1 月 1 日开始实施经重新修订 的内部审计实务标准 ，将机构的内部审计工作导向了风险审计的轨道。iia2001 年版比照 1993 年版内部审计事务标准 ，不论在体例列示方面还是内容上，都 有明显的变化，自始至终贯穿着风险审计的主导思想。iia2002 年版内部审计实 务标准对内部审计是如下表述的：内部审计是采用一种系统化、规范化的方法 来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率，帮助机构 实现目标。 标准第 2010 款关于制定审计计划中指出：cao 应根据风险制定审 计计划，确定符合机构目标的内部审计重点。标准就内部审计的工作性质做 了如下表述：内部审计活动在于评价并帮助改进机构的风险管理、控制和治理体 系；关于发布审计结果，第 2440 款指出：审计执行主管应负责将发现风险管理、 控制及治理方面的问题，报告给那些能保证对审计结果进行考虑的人员；关于后 续审计，标准2500 款对于监测进程，2500a1 则说明：审计执行主管应规定后 续审计过程， 以监督、 保证管理行为能够得到有效落实， 或高级管理层已接受了(审 计建议)，却不采取行动所带来的风险。关于剩余风险。由于各方面原因, 管理层 对于有些风险采取接受的态度，这些风险一般称剩余风险。在这方面，“工作标 准” 第 2600 款要求： 对内部审计师查明和发现风险管理、 控制及治理方面的问题， 在 cao 认为高级管理层接受的剩余风险水平对于机构来说是无法接受的情况下， cao 应就此与高级管理层进行讨论。如果无法决定剩余风险的问题，cao 与高级 管理层应将此事报告董事会加以解决。通过上述关于内部审计理论与实务各个方 面新的修订，我们可以看出，内部审计职业准则将内部审计工作完全引上了风险 导向审计的道路，把风险导向审计贯穿于内部审计全过程，这对内部审计工作实务有 指导性的意义4。 英格兰威尔士特许会计师协会 1999 年颁布的实施 turnbull的指导意 见中，详细说明了内部审计在其中的作用：第一，为董事会、管理层提供有关公 司风险管理及内部控制框架充分性和有效性的客观确证；第二，帮助管理层完善 风险识别和管理的程序；第三，帮助董事会加强和改进风险管理及内部控制框架； 第四，提供风险管理方面，特别是围绕内部控制系统的设计和应用方面的建议； 第五，采用控制自我评估等方法促进公司内部对风险及控制理念的关注和理解5。 英国风险管理协会(irm)、 保险和风险管理师协会(airmic)以及公共部门风险管理 协会(alarm)（2002）年在风险管理标准中提出内部审计在现代内部控制中发挥 以下作用：第一，将内部审计工作的重点放在重要的风险上，审查贯穿组织范围 的风险管理；第二，为风险管理提供确证服务；第三，积极支持并参与风险管理 程序；第四，促进风险识别与评估，在风险管理及内部控制领域教育所有人员； 第五，帮助向董事会、审计委员会等提供风险报告6。英国与爱尔兰内部审计协会 2003 年 8 月颁布了关于“风险导向内部审计”的立场公告(position statement)，对 风险导向内部审计在我国的应用研究 4 风险导向内部审计在风险管理中的作用做出了阐述。在立场公告中，风险导向内 部审计的作用是根据企业风险管理的不同水平展开的，用表 1.1 表示7。上述各个 组织有关内部审计对现代内部控制作用的规范或详或略，但是普遍的缺陷在于对 内部审计作用的描述没有清晰的逻辑顺序，从而导致无法从系统上整体理解风险 导向内部审计对现代内部控制的作用。研究风险导向内部审计对内部控制的作用 应该以现代内部控制的过程为逻辑顺序，区分确认服务与咨询服务，分别探讨内 部审计所发挥的作用。 表 1.1 风险导向内部审计的作用 风险管理的不同水平 重要特征 风险导向内部审计的作用 风险暴露 未采取任何正式的风险 管理方法 协助采用风险管理方法； 内部审 计建立在审计风险评估基础上 风险察觉 零星的风险管理方法 协助建立企业范围的风险管理 方法； 内部审计建立在风险评估 基础上 风险确认 已制定风险管理的战略 和政策，已确定风险偏 好 促进风险管理战略和政策的实 施； 在适当地方， 内部审计使用 管理层的风险评估结果 风险管理 已建立企业范围的风险 管理框架 对风险管理过程进行审计； 内部 审计建立在管理层的风险评估 基础上 风险管理融合 风险管理及内部控制完 全嵌入企业经营过程中 对风险管理过程进行审计； 内部 审计建立在管理层的风险评估 基础上 资料来源：he institute of internal auditorsuk and ireland.position statement:risk based internal auditings.london: iia uk and ireland,2003.pp3. j.m.patton、j.h.evans、b.l.lewis(1982)提出了根据风险因素选择被审计对象 的观点，在研究中概括了内部审计人员所认为重要的 19 种风险因素8。内部审计 首先在其中挑选重要的几种风险因素，对不同项目的风险进行评估，再结合内部 审计的资源，确定要在未来这一年内审查的项目，以编制年度审计计划。iia 在内 部审计准则中也概括了七种不同的风险因素，并在内部审计准则说明书第 9 号 风险评估中将潜在的风险因素扩大到了 i4 种，作为内部审计分配资源、选择 对象的依据9。但是切曼(c. chapman)（2002）认为，这种没有在更广泛视野中考 虑的风险评估是在“真空”状态下进行的，无法为企业整体增加更多价值10。这 种由内部审计人员做出的主观判断和评估没有结合管理层关注的企业风险，因此 风险评估的准确性存在一定问题。 麦克宁（1998）提出了建立在企业风险管理基础上的风险导向内部审计范式， 参见图 1.111。在图中可以看出，内部审计战略及年度计划的制定紧密结合企业战 略及年度计划，而后者又是根据企业目标在识别风险之后确定的。企业的风险管 理与内部审计程序之间应该协调一致，使这两项工作产生协同增效的作用。 硕士学位论文 5 图 1.1 企业风险与审计战略的融合 加拿大贝尔电讯公司在规划年度审计工作时的做法充分考虑了企业风险和战 略规划。内部审计将传统的由下而上的方式与现代的由上而下的方式相结合，整 合成新的审计计划方式。由内部审计经理、公司顾问以及管理者组成一个委员会， 集中研究公司的作业流程，开发出四项核心作业流程，然后在管理层的合作下， 内部审计将公司的全球经营风险分为十类，针对不同核心流程分别做出科学的风 险评估，确定风险高的单位或领域，作为年度审计计划优先安排的项目12。 美国的 david.mcnamee，ceorges.selim（1999）论述了制度基础审计的弱点和 风险导向审计给企业带来的影响，同时把风险导向内部审计的过程归结为先建立 系统目标，再评价风险，最后管理风险过程，但具体如何建立系统目标，怎样评 价风险，都没有涉足13。 david mcnamee，georges selim（2000 年）认为内部审计领域运用风险导向审 计方法，改变了过去那种内部审计人员以检查历史业务记录和内部控制系统的历 史运营情况提出建议和意见的方式，变为更加关注企业面临的风险和企业未来发 展及企业为降低风险所进行的一项管理活动。在快速发展的时代，企业管理当局 需要了解变化过程中可能遇到的风险，而固定的、静态的控制体系只能反映企业的过 去。因此，要求内部审计师在风险环境中观察业务过程，提出控制风险的建议，从而 为企业增加更多的价值14。 1.2.2 国内研究文献 我国内部审计理论研究与国外相比，较为滞后。直到 2003 年 4 月 12 日正式印 发了中国内部审计准则序言 、 内部审计基本准则 、10 项内部审计具体准则以 确定企业目标 企业战略规划 企业年度计划 识别企业风险 内部审计战略规划 内部审计年度计划 单位工作目标 具体的风险管理活动 评估风险管理 风险导向内部审计在我国的应用研究 6 及内部审计人员职业道德规范 。最近，又印发了包括结果沟通等在内的 5 项新 的内部审计具体准则。尽管准则的某些方面甚至己趋同于国际内部审计师协会的 实务标准(1993 年修订本)， 但是， 中国内部审计协会的这次引入与摄取却并不系统， 与最新的国际内部审计师协会准则(即 2001 年修订本)和国际内审惯例相比仍有较 大的距离。 比如那些体现国际内部审计师协会准则(2001 年修订本)之精髓的 “风险 管理” 、 “增加价值” 、 “咨询” 、 “控制自我评估” 、 “审计委员会”等概念，在此次 颁发的中国内部审计协会准则中，未予引入。 随着我国对公司治理力度的加大以及一批相关法律法规颁布实施， 内部审计理 论研究也呈现了繁荣景象。王光远教授在 1994 年发表论管理审计的概念15 和管理审计鉴证的基本准则28首次把我国内部审计从过去财务审计向协助企 业管理方向发展。2002 年王光远教授在内向型管理审计：从控制导向到风险导 向67一文中对内部审计对于企业风险预防和监控提出深入见解。 刘三昌（2003）提出以风险分析为基础，确定内部审计年度计划17。严晖博士 （2004）认为在风险导向内部审计中，企业风险首先成为选择审计项目及确定特 定项目中重点关注领域的依据，高风险的领域优先列入年度审计计划19。但二位 并没有论述具体怎样进行项目风险评估，同时也未把风险管理纳入内部审计的过程。 郭群,吴惠吟（2002）提到风险导向审计要求内部审计结合企业目标，检查、 评价企业现有控制措施能否将其存在的风险降低到可接受的水平，并提出管理、 控制风险的建议，为企业提供增加价值的服务。这就要求内部审计人员改变传统 的内部控制评价模式，把审计的起点放在关注企业的发展战略和业务流程的风险 上，利用控制自我评估、内部控制矩阵和网络信息表现，对内部控制的适当性、 有效性及效率开展动态评估16。 郭胜利博士（2003）强调内部审计应关注公司治理框架中风险发现与风险管 理，关注管理者及其经营管理认为可能出现的风险，关注组织在整个过程中的决 策风险和经营风险。但在内部审计中具体如何关注审计风险并没有涉及18。 以上国内外学者和组织机构对风险导向内部审计从作用、企业风险确定确证 服务、风险评估方法等多方面进行研究。但是，风险导向内部审计程序是内部审 计的重要内容，国内外学者几乎很少研究，即使有触及，也是很笼统。科学有效 的审计程序应该是更有助于风险导向内部审计帮助企业实现增值作用。目前风险 导向外部审计的审计程序研究已经比较成熟，内部审计的理论界实务界可以借鉴 以下有代表性的学者的观点：larry f. konrath（1993）将风险导向审计的审计程序 仍分为计划阶段、实施阶段和报告阶段。但是，空雷茨制定的风险导向审计程序 强调了计划阶段的重要性，把主要精力放在制定审计计划上，在此阶段的主要工 作是对固有风险进行评估和对控制风险进行初步评价。空雷茨认为，企业开展业 务的商业环境、对报表余额的真实性和公正性给予审计评价等都可能存在风险， 硕士学位论文 7 风险导向审计把这种意识贯穿到审计的全过程，从而在审计过程中把重点放在审 计风险的评价上，并通过审计风险的控制把审计风险降低到审计人员可以接受的 水平20。胡春元（2001）提出了风险因素分析、风险基础审计的基本程序、风险 基础审计的基本方法三大方面内容，在风险基础审计的基本程序中，将程序分成 五个阶段，分别为：第一阶段，通过调查、了解、分析、评估等方法执行一般规 划并确认重要的审计领域，识别重要的风险领域；第二阶段，了解和评估重要的 资料来源；第三阶段，执行初步风险评估，即固有风险和控制风险的联合；第四 阶段，拟定和执行审计计划，通过实施审计获取审计证据；第五阶段，做出审计 报告。这五个阶段体现了审计重心前移的理念，但仍拘泥于传统的审计模式。在 风险基础审计的基本方法中，介绍了审计风险评估、分析性测试、控制测试、交 易业务实质性测试、余额细节测试。可惜风险导向审计核心是了解客户，基本方 法少了了解客户的方法，就是一条腿走路，这正是当前风险导向审计不能明显区 别于制度基础审计的致命缺陷21。lain gray，stuart manson（2003）把风险导向 审计程序分为五个阶段，即审计计划阶段、系统测试阶段、交易测试阶段、期末 审计准备阶段及期末审计阶段。在这个审计程序中，除了强调要在计划阶段进行 固有风险评估和在系统测试阶段进行控制测试及控制风险的评价外，更重要的是 要根据评估的固有风险和控制风险来确定重要的风险领域，继而进行充分地实质 性测试，以便将审计风险降低到预期水平22。笔者认为以上国内外学者主要侧重 于风险导向外部审计程序的研究，然而内部审计与外部审计有许多不同之处，风 险导向内部审计的应用不能全盘照搬外部风险导向审计的应用方法；而国内外学 者虽然将风险概念引入了内部审计过程，但没有就内部审计风险的分析、评估和 控制方面做过多的研究，因此，笔者认为有必要对风险导向审计模式在内部审计 的应用进行深入的研究，以便为风险导向审计模式在内部审计领域的实务操作提 供一定的现实指导。 1.3 研究思路与框架 1.3.1 研究思路 本文属于风险导向内部审计的理论研究。由于内部审计属于公司管理领域的 职能，该领域内容较少通过公开的财务信息或其他信息在资本市场上披露，国外 对内部审计领域的实证研究也比较少，因此本文主要采用传统的规范研究方法为 主，并在借鉴前人研究成果的基础上展开论述。本文的具体研究思路是一方面从 基本理论方面通过对风险内部审计的涵义及其与风险导向外部审计、制度基础导 向内部审计的区别分析，探讨风险导向内部审计的特点及作用；另一方面从现实 的角度通过对目前内部审计的现状及原因分析探讨在我国应用风险导向内部审计 风险导向内部审计在我国的应用研究 8 的必要性；最后在二者的基础上探讨推进风险导向内部审计在我国应用的对策与 措施。 1.3.2 研究框架 本文共分四章，具体结构安排如下： 第 1 章“绪论” ，本章阐释了研究风险导向内部审计的背景并对相关国内外文 献进行了回顾。首先对风险导向内部审计理论的兴起和发展进行了简介，然后回 顾了国内外组织和学者从制度、作用、风险因素、审计程序及审计方法等角度对 风险导向内部审计的应用进行研究。在此基础上，提出有必要对风险导向审计模 式在内部审计的应用进行深入的研究，尤其是探索和完善风险导向内部审计的程 序，以便为风险导向审计模式在内部审计领域的实务操作提供一定的现实指导。 第 2 章“风险导向内部审计基本理论的分析” ，本章主要论述风险导向内部审 计的涵义、产生背景和理论基础等基础理论问题。通过对风险导向内部审计与风 向导向外部审计、制度基础内部审计的区别分析，剖析了风险导向内部审计的特 点。最后从审计目标、风险的侧重点、内部控制、审计程序及审计方法等几个方 面对风险导向内部审计进行了评价。 第 3 章“风险导向内部审计在我国应用的趋势研究” ，本章首先从内部审计的 现状进行了详细的阐述，并对形成目前审计现状的原因进行了分析。然后从风险 导向内部审计产生的直接原因、内在原因、外在原因三个方面对风险导向内部审 计在我国应用的必要性进行论述。 第 4 章“我国开展风险导向内部审计的对策与措施探讨” ，本章首先通过对辩 证的认识和结合我国国情逐步推广风险导向内部审计、探索和完善风向导向内部 审计程序等方面研究从对策上对风险导向内部审计的应用进行探讨；然后在分析 风险导向内部审计在我国应用的基础条件上，对我国开展风险导向内部审计提出 了相应的具体措施。 硕士学位论文 9 第第 2 章章 风险导向内部审计基本理论的分析风险导向内部审计基本理论的分析 2.1 风险导向内部审计涵义的探析 随着全球经济环境的多变和复杂，内部审计理论与实践孕育着又一次变革， 即从制度基础导向内部审计走向风险导向内部审计。与以前各个阶段相同，风险 导向内部审计也是在继承中发展，既继承了制度基础导向内部审计的许多方面， 同时又在其基础上将目光转向了企业风险这是一个与企业愿景(vision )、使命 (mission) 、目标以及战略更为相关的概念，也是一个更积极面向未来的理念。正 因如此风险导向内部审计旨在为企业增加价值。 2.1.1 风向导向内部审计涵义的认识 为了顺应风险管理的需要，国际内部审计师协会（institute of internal auditing, a）在1999年将内部审计重新定义为是一种独立、客观的确认与咨询活动，它的 目的是为组织增加价值并提高组织的运营效率。它采用系统化、规范化的方法来 对风险管理、控制及治理程序进行评价，提高他们的效率，从而帮助实现组织的 目标。这个富于变革意义的新定义为内部审计进行风险导向审计提供了动力，为 了实现新的目标、新的职能，我国内部审计应变革已过时的审计模式，逐步开展 风险导向内部审计。 在详细论述之前有必要对风险导向审计的概念进行一下剖析。目前我国对风 险导向审计含义的探讨较少，即使有也是对外部审计而言。中注协副秘书长李爽 2001年就银广夏事件接受记者采访时称，风险导向审计是“指注册会计师通过对 被审计单位进行风险分析、评价被审计单位风险控制、确定剩余审计风险，执行 追加审计程序将剩余审计风险降低到可接受水平40。 ”胡春元(2001)认为风险导向 审计以量化的风险水平为重点，在确定的风险水平基础上，决定实质性测试的程 度和范围21。以上定义都强调了对风险的分析评价，但一方面没有明确评价的是 什么风险，没有阐明被审计单位风险和审计风险的关系，另一方面我们仍很难从 字面上明显区分与制度基础审计的区别。 而飞草(2004)认为风险导向审计是注册会 计师通过对被审计单位进行风险职业判断，评价被审计单位风险控制，确定剩余 风险，执行追加审计程序，将剩余风险降低到可接受水平，并指出“剩余风险” 一般是指“剩余经营风险”43。笔者认为飞草所述定义适用于内部审计领域的风 “愿景”和“使命”都是管理学上，特别是战略管理中出现的专业名词，愿景的含义为组织未来的发展前 景，即表达“我们想成为什么样的公司?”的意思。使命则是在经营的产品种类和市场范围中组织的价值观和 业务重点以及承担的责任，即表达“我们的业务是什么?”的意思。 风险导向内部审计在我国的应用研究 10 险导向审计。因为经营风险是被审计单位所固有的，外部审计人员无法参与经营 管理，如何将其降低至可接受水平呢？审计人员能够控制的应是审计风险。 由此可见，目前对风险导向审计还没有较好的定义，并且由于风险导向审计 可广泛运用于民间审计、内部审计和国家审计，而其在民间审计和内部审计领域 的应用又存在着很大不同44。因此这种情况在所难免，笔者认为就内部审计的风 险导向审计而言，风险导向内部审计是指内部审计人员在内部审计的全过程自始 至终都要关注风险，根据风险度选择项目，以降低风险为导向，进行内部控制制 度的符合性测试、实质性测试，并进行监督检查和评价，提出建设性意见和建议。 其审计报告可以作为揭示企业风险、防范风险以及信息交流的预警信号。与外部 风险导向审计的“风险”不同之处是，这里的“风险”不仅仅是“审计风险”， 而是扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险，如经营 风险、市场风险、信贷风险、技术风险等，并将其作为确定审计项目及其审计重 点的依据。 2.1.2 与风险导向外部审计的比较 在iia倡导风险导向内部审计以前，外部审计就在实施风险导向审计。风险导 向外部审计是指外部审计为了适应审计业务量巨大的增长，降低审计成本，高效 利用审计资源的同时有效降低审计风险而开发的一种现代审计风险模式，它是对 制度基础审计的高度深化与全面发展，正日益受到审计理论界的推崇和实务界的 青睐。因此，探讨风险导向内部审计与风险导向外部审计两者的差异就成为风险 导向内部审计的又一个基本的问题。虽然风险导向内部审计与风险导向外部审计 都高度重视对审计客体的风险评估，但是“风险导向”的内涵、目标和范围在内 部审计和外部审计中是完全不一样的。 (1)两者的内涵不同。风险导向内部审计是以内部审计主体组织的内部控制为 基础、同时考虑公司治理在内的、以组织整体风险作为审计重点的一种审计。这 里的风险突出的是审计对象的含义；而风险导向外部审计是指审计主体在进行审 计程序时，首先评估企业的风险，然后依据风险评估的结果来确定审计的重点， 从而决定审计资源的分配，进而确定余额测试和交易测试的内容。这里的风险导 向实质是一种审计策略。 (2)两者的目标不同。风险导向内部审计的目标在于通过对风险评估来提出风 险管理的对策，有效降低所在组织的风险，从而增加企业的价值，充分发挥内部 审计的作用。而风险导向外部审计的目标则在于审计主体的利益最大化。这个目 标通过以下方式实现：第一，提高审计效率。企业进行财务造假或进行虚假陈述， 往往是在企业无法完成既定目标的领域、也就是企业的高风险领域发生的。而在 低风险领域，企业没有相应的动机。因此外部审计可以首先识别出企业的高风险 硕士学位论文 11 领域，进而集中审计资源进行重点、详细的审计，从而提高审计的效率。第二， 降低审计风险。在不存在法律责任的情况下，审计风险并不会给审计主体带来利 益上的伤害，但是现代资本市场中投资者和其他第三方经常以侵权或违约来对外 部审计提起诉讼，使其承担巨额的损害赔偿责任，从而现实地影响到审计主体的 利益 。而风险导向审计的宗旨就是使审计风险处于严密的控制之下，有效地减少 外部审计的法律责任，因而风险导向外部审计的目标就是通过提高审计效率、降 低审计风险来服务于审计主体，以维护审计主体自身的利益。 (3)风险范围不同。作为审计的内容，风险导向内部审计中的风险是针对组织 所有目标、所有管理层次的各种性质的全部风险 ，它可以理解为erm中的关注全 部风险，其中包括战略风险、报告风险、遵循风险和经营风险。而作为审计的策 略，风险导向外部审计中的风险只是与企业报告的编制流程相关的、影响企业报 表公允性的内部控制失效风险，它基本上等同于1992年icif关注的风险和erm关 注的部分风险报告风险中的财务报告风险。 2.1.3 与制度基础内部审计的区别 风险导向内部审计模式是继制度基础内部审计模式之后的一种新的审计模式。 将内部审计组织原来采用的制度基础内部审计模式与现代的风险导向内部审计模 式相比，尽管二者都要运用内部控制，都要考虑审计风险，但二者却属于两种不 同的审计模式，存在着如下明显的区别： (1)面对的方向不同。制度导向审计模式面向历史，而风险导向审计模式面向 未来。即，后者更加注重被审计责任中心以及有关责任中心显现与潜在的影响未 来发展的问题。在实施审计时，对这些问题投入较多的审计资源，在证实、评价 有关信息的基础上，做出恰当的审计结论与切实可行的对策性建议，以促进和帮 助被审计责任中心管理当局有效履行其面向未来尤其是制定科学的未来发展战略 方面的受托管理责任。这就从根本上改变了制度导向审计模式，主要根据对过去 的业务与内部控制情况进行评价而做出审计结论、提出审计建议的做法。 (2)审计的重点不同。制度导向审计模式以评价被审计责任中心的内部控制制 度及其执行情况为重点，尽管对内部控制的风险(即薄弱环节)也要评价，但主要是 从总体上或说是泛泛地对内部控制进行评价，没有把被审计人的各方面的管理(经 营)风险突出出来作为重点来评价。因而，对由此导生的审计人的风险即审计风险 问题，也没有予以足够的关注。而风险导向内部审计模式，以确认和评价企业内 审计风险是被审计会计报表存在错报漏报,而未被审计程序发现,或者被审计会计报表本身是公允而审计报 告认为不公允的可能性。 就是说,在现代的司法环境下, cpa 的审计风险通过法律责任转化为现实的损失,通过风险导向审计可以将审 计风险最小化。 风险导向内部审计在我国的应用研究 12 部审计人员的审计风险为重点，但为了搞清审计的风险状况，审计人不但要评价 被审计人的内部控制的风险，而且要评价产生这些风险的各个环节与因素。也就 是说，风险导向审计模式重视对管理(经营)风险产生原因与要素的分析。因此，审 计员要将被审计责任中心放在大的经济甚至政治、文化环境中，从被审计责任中 心与该环境的联系中，从构成被审计责任中心内部控制系统的各个要素方面，对 审计风险进行分析、评价。只有这样，审计员才能正确地识别风险因素，制定审 计方针、策略，确定进一步审计的范围、重点和方法，才能确定怎样收集和从何 范围收集审计证据、收集哪些性质与类型的审计证据、收集多少审计证据，进而 提出正确的审计结论和有效防范管理风险的建议，促进和帮助被审计责任中心管 理当局有效履行其风险管理方面的受托管理责任。在这里，我们可以用表 2.1 来说 明二者的区别： 表 2.1 制度基础内部审计与风险导向内部审计的区别 项目 制度基础内部审计 风险导向内部审计 审计重点 内部控制活动 固有风险和控制风险综合水平 测试重点 控制活动（会计控制活动） 所有降低风险的活动 报告重点 内部控制的充分性、有效性 风险降低的充分性、有效性 审计结果 提出对内部控制的改进建议 提出控制风险建议 (3)选择重点审计领域的根据不同54。对具体审计项目实施审计时，制度导向 审计模式采用对内部控制制度及其执行情况诸方面的一般性评价来选择重点审计 的领域，而风险导向审计模式虽然也评估内部控制制度和程序、内部控制环境等 方面， 但它将被审计责任中心本身乃至与整个企业有关的管理风险， 作为对内部控 制评估工作的重点，借助风险评估找出风险大的领域，以此作为审计的重点。 (4)审计的程序不同。制度导向审计模式首先以评价内部控制制度及其执行情 况，然后针对内部控制的薄弱环节，确定审计的范围、重点和方法并予以实施。 风险导向审计模式则是借助对固有风险和控制风险的分析来确定影响被审计责任 中心经营安全的重要因素和检查风险，进而确定进一步审计的重点、范围和方法， 然后予以实施。 (5)对确定审计项目的作用不同。制度导向审计模式不能用于选择审计项目， 而风险导向审计模式可以用于在整个企业范围内选择审计项目。企业内部审计人 在采用后者确定审计项目时，首先对管理风险进行评价，然后在可以审计的领域 内挑选存在风险较大的专题或方面作为审计项目；再按经过评价所确认的审计风 险的大小，依次对已被选定的各个审计项目进行排序，确定审计的先后。 硕士学位论文 13 (6)对审计风险管理的范围不同。制度导向审计模式主要是在评价内部控制制 度及其执行情况等部分环节上实施对审计风险的管理。而风险导向审计模式则明 确地以审计全过程的每一个环节都可能存在审计风险为前提，企业内部审计人在 审计全过程中都必须把评价审计风险作为工作的重点，并借助科学的审计程序将 审计风险降到审计人可接受的水平55。由于这一审计模式在审计过程的各个环节 都较多地运用分析的方法，从而不断地促使企业内部审计人员保持清醒的审计风 险意识，重视可能产生审计风险的各个重要环节与因素，使整个审计过程都成为 降低或消除审计风险的过程。此外，制度导向审计模式主要关注企业内部的风险 因素，风险导向审计模式则不仅关注企业内部的风险因素，而且关注来自企业外 部的风险因素。 (7)对管理系统的作用不同。采用制度导向审计模式时，企业内部审计人在评 价内部控制制度及其执行情况之后，总要提出增加控制点或加强内部控制的其他 建议。长此以往，被审计责任中心的控制点日益增多，各项工作日益繁琐，工作 效率下降，管理成本上升，使管理系统的效能呈递减趋势。而采用风险导向审计 模式时，企业内部审计人把工作的重点放在被审计责任中心的管理风险上，提出 的审计建议针对其主要问题和风险。被审计人采纳这些建议，不仅可有效防范或 控制管理风险，而且解决问题的时效性强、成本低，从而可以帮助这些管理系统 低成本、高绩效地运行，这就增强了管理系统的效能。 2.2 风险导向内部审计产生的背景与理论基础 2.2.1 风险导向内部审计产生的背景 20 世纪 90 年代起，由于全球化以及顾客需求的多样性，使原有的企业管理 领理念己不再满足市场的变化趋势，价值理念在管理中成为主流思想。20 世纪 90 年代开始，公司治理、内部控制以及风险管理的研究进入了比较成熟的阶段，世 界各国