风险导向审计在国有企业内部审计中的应用--初稿2

-风险导向审计在国有企业内部审计中的应用摘要： 当今社会经济变化风起云涌，由于企业盈利的冲动和外部对企业日益高涨的期望，企业进行财务舞弊的动机和压力日益增大，从而导致国内外审计失败案件越演越烈，注册会计师的审计风险也随之越来越大，使现代风险导向内部审计成为倍受业内外人士关注的热点问题。本文以我国国有企业内部审计为出发点，简单介绍了风险导向审计的基本内涵和探讨了风险导向审计在我国国有企业内部审计中实施的必要性。然后结合风险导向审计的特点分析了该审计模式在国有企业内部审计中的作用，最后提出了该审计模式在国有企业内部审计中应用的措施及其应该注意的关键点。 关键词： 风险导向审计； 国有企业；风险管理；构架 Abstract Keywords: 第一章 绪论1.1 研究背景 21世纪初，美国华尔街发生了一系列重大财务舞弊案件，这些案件对世界经济的影响之广，冲击之大，造成的损失，已到了登峰造极的地步，从而也使得注册会计师行业面临着前所未有的挑战和压力。和国外一样，我们国内也不平静。我国之前出现了老三案：深圳原野、海南中水国际、长城机电；后来又出现了新三案：琼民源、红光实业、东方锅炉等一系列审计失败的例子。此后，东方电子、蓝田股份、杭萧钢构等案件也如同一枚枚威力四射的炸弹，震撼了我国证券市场。国内外发生的一系列审计失败的案件有一个共同点是企业高层管理人员亲自参与并策划了财务舞弊，基于内部控制思路的传统风险导向审计方法越来越不适应迅速变化的社会经济环境，在这种情况下，内审机构的只能不能发挥出来，企业也为此付出了沉重的代价。随着安然公司的轰然倒塌，全球原五家最大的审计公司之一的安达信公司惨遭肢解。美妙的银广厦泡沫破灭之后，深圳中天勤会计师事务所的执业资格、证券及期货相关业务许可证被吊销，涉及的两名注册会计师受到了处罚。 在这样的形势下，传统风险导向审计作为一种重要的审计理念和审计模式，引起了行业内外的关注，其不足之处逐渐显现并受到重视。全面地看待和不断完善风险导向审计模式成为审计业务界的重中之重。经济的迅速发展，企业所面临的多种多样的内外部社会环境的急剧变化，审计师如果不从外部环境及其对企业的影响方面进行分析，就不可能有效地理解并对被审计单位的业务及其整体经营和财务状况做出判断，这也迫切要求审计模式的发展转型，否则，审计职业界将遭遇更多的审计失败和诉讼案件，在这种形势下，现代风险导向审计应运而生。 2003年10月，国际审计与鉴证准则理事会出台了4项审计风险准则，在充分吸收传统风险导向审计方法的优点的同时，克服了其存在的不足，并保留了原有审计准则的长处，得到审计界、企业界和社会公众的一致好评。中注协认真研究了国际审计风险准则的条款，进一步加快了我国审计准则建设和国际趋同步伐，及时起草了适合我国实情的4个准则项目相应的修订稿，并于2004年10月8日与2005年7月12日先后两次发布审计风险准则征求意见稿，听取社会公众的意见。在这种形势下，笔者认为有必要对现代风险导向审计及其应用进行专门的研究。 1.2 风险导向审计在我国的研究现状银广厦事件之后，风险导向审计在国内已经成为学界研究的新重点，相信随着国家审计准则新政策的不断出台，现代风险导向审计的理论研究必将不断深入人心。张立民学者在银广夏事件发生后发表了试论风险基础审计在我国审计实践中的应用一文。在这篇文章中，张立民学者认为，风险基础审计(risk-based auditing)是指审计人员以风险的分析、评价和控制为基础，综合运用各种审计手段、搜集审计证据，形成审计意见的一种审计方法，并强调现代制度基础审计核心就是充分利用分析性复核方法了解企业、评估风险；胡春元教授在风险基础审计一文中对“风险基础审计”理论作了详细阐述，在阐述风险基础审计的基本程序时，将基本程序分成五个阶段，这五个阶段体现了审计重心前移的趋势，并认为，风险导向审计应以量化的风险水平为依据，在确定的风险水平基础上，决定实质性测试的程度和范围；1.3 其国有企业内部审计的要求与职责1.3.1 国有企业内部审计的目标 国有企业内部审计作为国有控股企业内部的一项监督自查机制，在董事会成员或总经理的直接领导下，对本企业及其下属企事业单位的内部财务收支及经营活动的真实性、合法性、效益性进行审查与监督，同时接受国家审计的指导与监督。国有企业的内部审计机构其职能和作用的发挥有一定的局限性，因为其独立性和权威性不足，国有企业内部审计的主要职能只能停留在监督与评价上。基于内部审计特有的职能属性，内部审计的基本目标就是根据企业的目标、经营状况与决策，通过自查、检测、评价等方式，间接地参与到企业资产流动与生产运营过程的相关步骤，并为企业管理层提供真实、可靠的决策信息，增强企业自身约束能力，以保证企业的经营决策、发展规划与内部控制制度能够得到贯彻落实，保证国有控股公司规模大、层次多的管理模式高效有序运营，维护国有资产的安全完整，并确保不断保值增值。由此可见，内部审计对国有控股公司审计，重点应该放在国有企业的子企业与孙企业，尤其是与母企业产权关系密切的全资或控股的子、孙企业审计，审计内容应包括经营管理者的经济责任、企业的经济效益、企业决策的执行状况、内控制度的建立与完善、以及企业改革进程中需要及时反馈的经济信息等重要方面。国有企业内部审计机构也可接受国家审计的委托，在委托范围内按国家审计的要求实施审计，审计结果经国家审计验证认可后可向社会公布。内部审计应力求审计报告的真实可靠，以供外部审计借用，从而降低外部审计成本。最高审计机关国际组对内部控制的定义是内部控制作为完整的财务和其他控制体系，包括组织结构、方法程序和内部审计。这个定义把内部审计作为内部控制的一个重要组成部分，同时内部审计机构要对内部控制制度的健全性、有效性及其执行情况进行评价，因此它又是对内部控制执行情况的一种监督形式，是对内部控制的控制与反馈。内部审计在内部控制中可以发挥评价内部控制，参与重大控制程序的制定与修订;监督内部控制的运行;提供管理咨询等方面的作用。因此在国有控股公司里，内部审计承担了监督、评价、检查、报告和改进等任务，是国有控股企业风险管理不可缺少的组成部分。通过控制这个途径，内部审计人员最终会检查和评价组织的所有活动，从而为组织提供最大化的服务。这样，我们能够推导出国有控股公司内部审计的目标是:1）控制评价;2)开展各种活动的决定因素:相关风险;3)完成职责的方式:独立。1.3.2 国有控股公司内部审计的基本职能（1） 经济监督职能是国有控股公司内部审计最基本的职能。经济监督职能是指根据各项法律、相关法规，检查和评价被审计对象的财务收支以及其他经济活动，来验证其会计资料及其他资料是否完整、真实，验证其财务收支及其他经济活动是否合理、合法、合规。（2) 经济评价职能的地位逐渐提高。现如今，企业的内部审计评价职能越来越重要，内部审计要在履行监督职能的基础上以履行评价职能为主。经济评价就是通过审核检查，评定被审单位的计划、预算、决策、方案是否先进可行，经济活动是否按照既定的决策和目标进行，经济效益的高低优劣，以及内部控制制度是否健全、有效等，从而有针对性地提出意见和建议，以促进企业改善经营管理，提高经济效益。（3)确认与咨询职能服务是国有控股公司内部审计设置的目的之一服务于企业的经营管理，而咨询，又是服务的一种形式，从价值增值出发，分析多客户的各种不同需求，改进传统单一内部审计服务的缺陷，并给出一个确认与咨询服务类型的连续统一体，涵盖了财务审计、业绩审计、快速反应审计、评估服务、协调服务及补救服务。 1.4 主要内容及其意义本文以我国国有企业内部审计为出发点，简单介绍了风险导向审计的基本内涵和探讨了风险导向审计在我国国有企业内部审计中实施的必要性。然后结合风险导向审计的特点分析了该审计模式在国有企业内部审计中的作用，最后提出了该审计模式在国有企业内部审计中应用的措施及其应该注意的关键点。旨在通过这一研究，帮助国有企业建立起适应形势的内审机制，保护国有资产安全完整。第二章 风向导向审计涵义及其在国有企业内审中实施的必要性2.1 风险导向审计的涵义2.1.1 什么是风险导向审计？风险导向审计是在账项基础审计、制度基础审计的基础上产生的，现代风险导向审计产生的主要标志是：2003年10月，国际审计和鉴证准则委员会（IAASB）对审计风险准则进行了修订，并执行新的风险导向模型“审计风险=重大错报风险x检查风险”，我国在2006年2月对审计准则进行大幅度调整，将传统审计风险模型修改为新的审计风险模型。现代风险导向审计是以系统论和战略管理理论为指导，以降低信息风险为根本目的，以控制审计业务风险为中心，以降低审计风险为根本途径，以经营风险的分析评估为导向，采用“自上而下，自下而上”审计思路的一种审计方法。以笔者的理解，现代风险导向审计是从企业的战略分析入手，在充分了解企业内、外部环境和内部控制制度，以企业经营风险的评估为基础，以分析经营风险导致财务报表重大错报风险为重点，判断风险对于财务报表认定的影响，有针对性的对重要交易、账户、列报和披露进行实质性测试的审计程序。它将风险的识别与评估贯穿于审计过程的始终，并将识别的风险与实施的审计程序有机结合，旨在提高审计的效率和效果。2.1.2 对现代风险导向审计本质的认识（1）现代风险导向审计是一种新的审计基本方法。其需具备创新性和继承性。一种审计方法的创新，必须从方法论的角度修改旧的审计方法。传统审计风险模型的审计方法实质上仍然是制度基础审计方法的延伸，它从分析客户会计报表的固有风险和内部控制风险着手，根据内部控制测试的结果决定实质性测试的性质、时间和范围。而现代风险导向审计则是从企业的战略分析入手，通过“战略分析-环节分析-会计报表剩余风险分析”的基本思路，决定实质性审计程序的性质、时间和范围，并建立了企业会计报表风险与企业战略风险之间的逻辑联系，使这一方法更科学、更有效。现代风险导向审计的继承性则体现在它对传统的账目基础审计和制度基础审计等基本方法在一定范围内的保留，即现代风险导向审计不排斥账目基础审计和制度基础审计等基本方法，而是在此基础上的进一步发展。所以，在现代风险导向审计方法实施过程中，仍然需要用制度基础审计方法甚至账目基础审计方法的一些程序，但它已不局限于对传统的企业内部控制的分析，而是将分析对象扩大到整个企业的风险管理范围。（2）现代风险导向审计摒弃了传统审计简化主义的认知模式，代之以复杂系统的认知模式，并引入战略管理分析工具。现代风险导向审计的思考方法是系统理论所指导的复杂系统认知模式。这一认知模式认为随着现代社会生产力的迅速提高和企业规模的愈来愈大，企业的经营活动必须要有正确的经营战略以处理内外部环境变化的压力。一个企业的战略管理有效与否，不仅会影响企业经营活动的成果，还会对反映企业经营活动成果的会计报表的可靠性产生直接的影响。因此，审计要有效地把握会计报表的错报风险，就必须从对会计报表可靠性产生影响的源头因素-即企业的战略管理活动着手分析，才能控制住会计报表风险。对战略管理活动进行分析，必须将企业置于广泛的经济网络中进行系统分析。从方法论上讲，现代风险导向审计要比传统的制度基础审计站得更高，看得更远，对企业了解得更透。它使得审计人员从战略系统观对企业风险进行分析、测试、评价和决策，将被审计单位置于广泛的经济网络中进行考察，并通过对企业保持和加强其在这一广泛经济体系中的竞争优势与核心能力的战略及其恰当性的分析评价，对审计取证的重点、范围、目标和程序予以指导，从而系统地改进了审计方法在新社会经济环境中的科学性和有效性。（3）现代风险导向审计运用“自上而下”和“自下而上”相结合的审计思路。它运用“自上而下”，“自下而上”相结合的手段，对会计报表错报风险做出合理的专业判断，要从企业的战略管理分析入手，通过经营风险导向和严密的逻辑推理，一步一步地推导和落实审计的范围和重点，确定相关的审计目标和审计程序。通过实施审计程序及取证的结果，并结合重要性的判断，归纳和判断整个会计报表的风险并形成最终的审计意见。2.2 风险导向审计在国有企业内部审计中实施的必要性 由于国有企业的特殊性，其股东为国家，只能由某些国家授权的机构代表国家行使出资人的各项权力，因为大部分国有企业没有建立董事会、监事会等机构，公司治理结构方面有所欠缺，国有企业主要负责人权力很大，运营机制和监管手段缺乏科学有效机制，而更容易使国有企业面临风险。因此在此情况下，必须要加强对国有企业的风险管理意识，在公司内部更要建立风险管理机制，而风险导向内部审计是其中不可缺失的重要一环。 2.2.1 实行风险导向内部审计是国有企业经济发展的现实需要。 传统的内部审计主要是通过对财务报表固有风险和控制风险的定量评估，从而确定检查风险，进而确定实质性测试的性质、时间和范围。因此往往只注意局部，无法从全局着眼，提出恰当的审计意见，无法从整体上有效地把握企业的经营状况。被审计单位经营业务活动的日趋复杂使其经营风险也相应增大。这种新情况不仅大大提高了审计的难度，而且对审计人员的胜任能力、审计技术和模式提出了新的要求。随着经济全球化程度的深入，经济的快速发展，企业经营环境急速变化，企业为了在激烈的环境中求生存，经营规模越来越大，再加上各种信息技术以及金融创新工具的广泛运用，使得企业的经营活动日趋复杂和多样化，从而导致企业会计报表的编制和披露日益复杂，我国国有企业的内部审计也面临着诸多挑战。内部审计要在改革的浪潮中继续生存和发展，就必须以风险为起点帮助企业实现其经营目标不断增加企业的附加价值。传统的内部审计方法无法适应外部环境对内部审计的新要求，因此，在国有企业内部进行风险导向审计势在必行。 2.2.2 实行风险导向内部审计也是审计业务发展的需要。 传统的内部审计建立的目的是帮助企业保护资产的安全、完整，促进公共政策的执行。对非财务信息的审计无能为力。随着改革开放的不断深入，很多国有企业已经脱离了靠国家财政拨款谋生的方式，资金来源渠道广泛，通过市场进行资源配置，经济竞争已经渗透到企业的方方面面。以银行为例，通过上市筹集资金，但由此带来的筹资风险、投资风险、经营风险等也相应加大。这一发展趋势使内部审计缺乏应有的基础，内部审计开展明显滞后，内部审计应该履行的经济监督和评价职能没有充分体现出来治理层和管理层舞弊的可能性增多，审计模式跟不上企业环境发展的要求，这就导致审计风险加大。同时，风险导向内部审计在揭露治理层和管理层舞弊方面具有巨大的优势，这就要求我们必须尽快地改进审计模式随着市场经济的发展，我国审计领域面临着与其他经济领域同样的问题，即市场的过度竞争。从我国上市公司年度报表审计市场来看，具有证券从业资格的会计师事务所被不断的合并和撤消审计资格。面对激烈的市场竞争，会计师事务所必须在增加审计收费或降低审计成本中寻求出路。显然，降低审计成本是审计职业界的现实选择。而如何降低审计成本、提高审计效率是会计师事务所一直思考的问题。现代风险导向审计恰恰提供了一种既能保持审计效果又能提高审计效率的全新思路。虽然，应用这种新的审计方法需要更多经验丰富的注册会计师，并要求建立功能强大的数据分析系统来保证信息收集的畅通，这无疑会增加会计师事务所的短期经营成本。但从长期发展的角度看，随着规模经济的作用和学习边际曲线的降低”，审计技术的升级带来的好处是必然，即在保证审计质量的前提下，审计效率会不断提高，经营成本也会持续下降。同时，对客户经营风险、经营战略即业务流程的关注和评估将会提高客户满意度，并带来许多增值服务。因此，实施和发展现代风险导向审计是我国会计师事务所谋求持续发展的必然之举。 2.2.3 实行风险导向内部审计也是国有企业与国际接轨、走向世界的需要。 从国内外审计发展趋势来看，国际上，内部审计与风险管理相结合的思想成了内部审计的主导思想；在国内，内部审计工作正在逐渐与风险管理相结合。我国新颁布的内审风险准则与国际的审计风险准则接轨，这为提高内审质量，降低内审风险提供了制度保障和技术支持，标志着内部审计即将跨入风险导向审计阶段。风险导向内部审计在提高审计功效方面起到的重要作用在审计比较发达的欧美等国家已经得到承认，为了缩小我国审计事业同国际先进水平的差距，我们有必要系统研究风险导向内部审计。第三章 风险导向审计在国有企业内部审计中的作用及其应用框架 3.1 风险导向审计在国有企业内部审计中的作用在当今经济全球化环境下，由于资源和市场的限制，企业竞争日益激烈，在国有企业内部审计中推行风险导向审计可以保证国有企业有序运行，提高经济效益，提高国有企业的市场竞争力。具体来看，推行风险导向内部审计对国有企业的作用主要体现在以下几个方面。3.1.1 风险导向内部审计是国有企业风险管理、改变内部控制的重要监测手段。 国有企业在经营中面临的各种风险普遍增大,主要表现为:经济全球化程度加深,同业之间竞争加剧;资产证券化趋势加强,企业经营业绩波动加大;国际化发展战略的实施,经营地点日趋分散;信息技术迅猛发展和广泛应用,计算机犯罪增加且更加隐蔽等。客观环境的变化,使得在整个企业范围内识别和管理风险日显重要,建立、健全风险管理机制成为企业长足发展的需要。一个合理、健全的风险管理系统要能对影响企业目标实现的重大商业性、业务性、财务性和遵循性风险做出正确反应,而这依赖于对公司所面临风险的性质和程度的全面、综合的评价。企业内部审计的独特地位及专业优势,决定了其在风险评估和控制方面可以发挥重要作用。所以,内部审计不应被排除在改善企业风险管理和内部控制的过程之外,风险导向内部审计应成为现代企业完善风险管理、改进内部控制的重要监控手段。有观点认为,内部控制从属于风险管理的范畴,是风险管理的方式之一。如Krogstad(1999)认为,内部控制存在于协助组织进行风险管理并提升有效的治理程序之中。David McNamee(1999)也认为,内部控制是企业管理者对企业风险的反应。从美国COSO委员会的内部控制框架报告,再到新近颁布的企业风险管理框架报告,可以清楚地看到,风险是一个比内部控制更为广泛的概念,内部控制是企业风险管理框架必不可少的组成部分。“风险管理与内部控制仅是人为的分离,而在现实的商业行为中是一体的,内部控制和风险管理只有相融合,才能实现最佳效果”。按照企业风险管理的流程,当风险管理部门的风险预警系统预知和识别到风险时,应根据该风险因素的特点提出采取相关措施的建议,高级管理层根据风险管理部门的风险报告和采取相关措施的建议制订正式的风险控制程序。所以,内部审计对企业风险管理的评估至少应包括三个方面的内容:一是评估风险管理系统预知和识别风险的能力;二是评价风险管理系统对已确认风险所提出的防范和控制措施的适当性;三是评价风险控制程序的有效性。也就是说,内部审计部门进行风险管理评估时,不仅对有关部门所采取的风险防范和控制措施进行评估,检查其充分性、适当性,对于缺乏充分的风险控制措施的情况,内部审计部门应提出改进建议和措施,以强化风险管理,降低风险损失;内部审计部门还应评价高级管理层制订的风险控制程序是否适当、有效,能否将剩余风险降至董事会可接受的水平,并提出改进风险控制程序的建议。如果无法确定剩余风险的水平,首席内部审计师应将情况及时报告董事会加以解决。由于风险是面向未来的,是直接与目标及战略相关联的,以风险为核心及出发点的风险导向内部审计,能够将事后的反馈延伸到事前以及事中,从而实现更高效率的控制。 据调查,在目前的内部审计实践中,许多企业的内部审计部门也已认识到,风险不仅是可以回避的危险,也是可以利用的机遇。内部审计应当为支持组织的风险管理提供独立的保证和咨询服务,帮助和促进管理当局将风险控制在可接受的范围内,以顺利实现组织目标。但必须明确的是,在风险导向内审阶段,内部审计师不应被视为风险管理的负责人(这是各级管理层的责任),其责任是复核与协助组织的风险管理,即在组织已有的风险管理和内部控制的基础上,对剩余风险进行评估,进而改善风险管理和内部控制,提升组织整体抗风险水平。从此意义上讲,风险导向内部审计是风险管理的最后一道防线。3.1.2 风险导向内部审计是实现企业有效治理的监控、保证机制 任何企业的成败都与其治理结构的健全、有效性直接相关。两权分离的现代企业,委托人的广泛性导致外部受托责任的多样化,注重公司治理并强调各利益相关者的利益平衡日显重要。股东和其它利益关系人通过董事会的监督责任,要求企业高级管理层有能力且负责的履行职责,防止舞弊和各种违法行为的发生。内部审计利用其对组织经营管理的全面了解,通过评价高级管理层履行受托责任的情况,并将其报告董事会及其审计委员会,使其有的放矢地帮助和促进高级管理层全面、有效地履行受托责任,最终实现组织目标价值创造。如果没有强有力的内部审计,董事会及其审计委员会将不能获得足够的信息来履行其监督职责。 在IIA的内部审计实务准则“工作标准2130治理”中也论述了内部审计在治理方面的工作性质:内部审计活动应该评价并帮助组织改进其治理程序,为组织的治理作贡献。制定和传达公司目标的程序;监控目标实现情况的程序;确保责任机制的程序;维护企业价值观的程序。内部审计评价的上述内容可以归纳为两点:一是围绕组织价值观的相关内容;二是在实现组织目标过程中公司治理各方参与人的责任履行情况。由于公司治理是企业对风险的战略反应,其核心已从权力制衡转向科学决策。董事会要保证决策的科学性,防止出现战略性失误,必须以真实准确的信息为依托,内部审计就承担起向战略决策者反馈可靠信息的责任和义务。进入决策层为决策者提供可靠的信息和建议,是有效公司治理对内部审计反馈功能的要求。特别是要以科学决策为核心重新审视和考察董事会的责任,着眼于董事会最有效地运作,以增加企业价值。可见,风险导向内部审计是实现有效公司治理的监控、保证机制。 内部审计还可以通过积极开展战略审计活动,为公司治理做贡献。企业战略是公司治理与经营管理的交叉点,是企业最基本也是最核心的,对企业具有整体性和长期性的影响。为了提高战略决策的科学性、正确性,必须在治理过程中建立一种正式的机制,使董事会能积极行使其战略监督责任,战略审计是重要的董事会工具,企业应定期进行战略审计。如果有可能的话,在董事会下组建独立董事主导的战略审计委员会,这是实施战略审计的最佳方式。考虑到建立新委员会可能成本很高,利用公司现有的审计委员会并建立审计委员会的战略审计工作机制是现实选择(廖洪、陈波,2005)。内审部门在董事会或董事会下设的审计委员会领导下,独立性和权威性较高,能深入到经营管理的各个层面,有利于开展战略审计。战略审计的内容包括在企业战略确定前,重点评估企业战略,以确保战略的正确性。这就需要以分析风险为起点,不断研究提出各种可能出现风险的应对方案,然后利用董事会和高级管理层都能接受的客观财务指标进行战略评估。当然,战略审计也包括在战略确定后,检查企业的战略实施情况和战略结构是否与其战略计划相吻合。由于战略审计的结果往往作为评估管理绩效和管理者受托责任的依据,具有很强的监督效应。所以,战略审计不仅可以保证战略决策的科学性、正确性,还可以强化董事会、审计委员会在公司治理中的重要作用,确保企业内部治理机制的有效性。 3.13 现代风险导向审计能对审计风险进行主动控制，并能有效分配审计资源 现代风险导向审计转变了传统审计思维定式，主动控制审计风险。通过运用审计风险模型，对审计风险进行系统的分析评价，以做出相应的审计策略，将风险评估与审计程序紧密的联系起来，同时能据此将审计资源恰当地分配到高风险领域，提高审计质量与效率，缩减低风险领域的审计资源的分配，减少审计成本，并且还能为审计客户带来增值服务。而账项基础审计和制度基础审计不能主动控制风险，在低风险和高风险审计领域不能恰当的分配资源。3.1.4 风险导向内部审计可以促进风险管理和企业治理的有效整合 1998年,McNamee和Selim提出了在风险导向内部审计新范式下,内部审计在组织中的作用已转变为“整和风险管理和公司治理”,但没有就风险导向内部审计如何“整合风险管理和公司治理”展开具体分析。Chapman(2002)虽然没有提出风险导向内部审计对公司治理和风险管理的整合作用,但指出内部审计在风险管理及公司治理领域的作用是密切联系的,评估和改善其中的一个系统就能够评估和改善另一个系统。严晖(2004)认为,由于持有广义的风险观,以风险为核心和出发点的风险导向内部审计,从事后反应式的评价和反馈转变为更加能动、及时的前馈和实时反应,成为沟通公司治理和风险管理的“桥梁”,从而使公司治理和风险管理发生互补作用。具体讲,风险导向内部审计提供的有关风险管理的信息,对于治理层履行责任而言是相关的、必需的反馈;而风险导向内部审计提供的有关公司治理方面的信息,对于风险管理的建立、实施和完善又有直接的指导作用。从此意义上讲,风险导向内部审计能够促进风险管理和公司治理的整合,使其互相配合、协同,从而实现企业增值目标。所以，“内部审计师在组织中扮演的角色不再仅是独立的评估者,更是风险管理与公司治理的整合者”。3.2 风险导向审计在国有企业内部审计中的应用框架 审计机关要牢固树立科学审计理念，按照充分发挥“免疫系统”功能的要求，在深入分析内部管理、相关政策、体制机制等各方面原因的基础上，进一步完善相关措施。为了保障国有资产的质量和安全，促进企业又好又快发展目标的顺利实现，在审计实践中应重点关注以下几个方面的工作。3.2.1 强化风险管理理念和风险导向内部审计理念一是强化“全面风险管理、全员风险管理”的风险管理理念，让企业内部各级员工充分了解企业存在的风险和风险管理的长期性，认识到风险是可识别、可测量、可监控和可控制的，增强防范风险的意识。二是强化风险导向内部审计理念，充分了解企业业务活动和内部管理中存在的风险，在全面把握整体风险的基础上，集中能源监控高风险领域，提高防范风险的能力，保证企业各项审计目标的实现。3.2.2 准确确定审计的重点和范围，建立内部控制评价的新模式运用现代风险导向审计理论，从分析风险入手，准确确定审计的重点和范围，在审计准备阶段，就加大防范力度，即通过对被审计单位基本情况的了解和分析性测试的结果，充分关注被审单位的特殊风险，确定总体审计风险概率和评估的重大错报风险概率，将审计风险减少到最小程度，确保内部审计能够发现业务经营活动中的重大违法违规问题及存在的风险隐患，达到实现防范风险的目的。在现代风险导向审计中，内部审计更加关心的问题主要是：控制风险的目标是什么，控制要解决的问题，这种控制是否先进有效，控制风险有多大，是否影响管理当局的决策等。随着市场竞争的加剧，新的审计环境要求审计人员应通过与企业管理层进行有效沟通的方式，采用新的评价模式，为企业提供更有价值的服务。3.2.3 坚持将“自上而下”和“自下而上”的审计模式相结合 传统风险导向审计从控制风险评估入手，视野过于狭窄，并主要依赖实质性测试（交易事项和账户余额测试），这种自下而上（bottom-up，即从结果到过程）的方式过于注重会计的形式，只见树木不见森林，有坐井观天之感。而现代风险导向审计，从企业内外环境、经营风险分析入手，以此来发现可能出现重大错报的领域以及评估客户会计政策及会计估计的恰当性，站得高，看得远，有利于对经济业务实质做出判断。同时并不忽视实质性测试的重要地位，实际上一些大案要案的查处也是从细微处入手的，如某笔报销或某笔转账分录。所以自上而下（top-down）与自下而上相结合，可从源头和从结果多方面发现错误与舞弊，形成前后夹攻，提高审计效率和质量。 “自上而下”的内部审计，从企业的战略管理分析入手，以战略风险和经营风险为导向并通过严密的逻辑推理，一步一步地推导和落实审计的范围和重点，确定相关的审计目标和审计程序。先“自上而下”对报表形成预期，根据预期确定审计的重点， “自下而上”，将实际审计结果与预期相比较，确保审计资源的正确分配。如果实际审计结果与预期存在较大差异，审计人员应适当地调整审计重点及程序，以保证审计的质量。在进行“自上而下”审计还是“自下而上”审计，都应综合运用以下几种方法：（1） 听汇报。听取项目单位负责人工作汇报了解项目管理、进展情况和资金来源、管理、使用情况，初步判断项目单位资金管理使用的风险程度。（2） 座谈。与项目单位负责人、主管施工生产人员、财务人员座谈，了解苗木等购调来源、方法和资金拨付办法。了解整地栽植的组织、验收和资金拨付办法。了解管理费等其他支出的政策掌握为下一步查验账目和询问调查打好基础。（3） 查验账目。首先，检查项目单位是否按规定单独建账，项目资金是否专户储存，账面资金收支、结余与开户行是否一致。其次，要编制项目资产负债表和收支明细表，掌握资金来源和运用的总体情况。再次，要分支出项目，汇总有疑问支出内容。（4） 询问。询问项目单位负责人、主管施工生产人员、财务人员，责令提供账证中不完备的手续，解决疑问支出。同时，掌握未解决疑问支出的去向，为下一步审计调查做准备。（5） 调查。调查苗木供应商、施工单位或个人，核实苗木款、整地款、栽植款、基建款等支出的真实性、合法性。账面存在往来款项还应对往来款项进行审计调查。(6）综合分析。对听汇报、座谈、查验账目、询问、调查情况进行综合分析，结合项目验收报告。得出审计结论。分析的内容包括：项目单位是否严格执行上级管理制度并建立起适合本单位实际的项目管理制度，项目资金是否按计划落实到位（括配套资金），是否单独建账并专户储存资金，是否按计划使用资金，各项支出的真实性、合法性、效益性如何，有无挪作他用资金是否划分生产性支出和非生产性支出，项目管理中是否存在腐败问题等等。3.2.4 改进内部审计人员的专业结构，提高内部审计人员的素质现有的内部审计人员大多数为财会专业，专业结构不合理，无法适应风险导向内部审计发展的实际要求，应结合组织生产技术的特点，增加具备经济学和组织管理学知识的专家以及其他专业人员，包括内部控制专家、风险管理专家、公司治理专家和信息系统专家，组成有各方面综合能力的内部审计项目组，逐步改善内部审计队伍的专业结构，使内部审计人员的专业结构趋向合理。同时，内部审计人员还必须注重知识的更新和知识面的扩展，不仅要精通财会、审计知识，还要具有经济管理、金融、统计、工程技术、法律、信息和计算机等方面的专业知识，才能胜任风险导向审计的要求；要不断通过后续教育，培养审计人员的专业胜任能力；通过审计实践，提高审计人员敏锐的洞察力、判断力和组织协调能力等；要加强内部审计人员的职业道德教育，增加审计人员的责任感和使命感。除此之外，内部审计人员还要提高处理人际关系的能力和技巧。只有与被审计单位以及组织董事会、管理层和内部各个职能部门保持良好的关系，才能使内部审计工作得到他人的理解和支持，内部审计报告得到重视，内部审计目标得以实现。 3.2.5 推广计算机审计，提高内部审计效率 由于国有企业内部实行多级管理,审计部门在过程中形成的审计信息共享程度较低,信息不互通,信息掌握不对称,在一定程度上影响了审计的效率及工作质量;另外在审计部门之间、企业内部职能部门之间还没有形成一个有效的信息共享链,有限的信息未能