摘  要：现代内部审计除了关注传统的内部控制之外，对有效的风险管理机制和健全的公司治理结构日益关注。正是存在这样的需求，一种以内部审计的主体组织的内部控制为基础、同时考虑公司治理在内的、以组织整体风险作为审计重点的审计——风险导向内部审计应势而生。但目前来看，与国际内部审计的实践相比，我国的内部审计相对来说还很年轻，还处于发展阶段，我国的企业风险管理也相当薄弱；因此，风险导向审计还在处于导向和宣传的阶段。目前重要还是普及风险导向内部审计的概念和所包含的管理理念，以便日后有计划的逐步推行。所以我们有必要对这一内审理念进行理论研究和实践探索，以帮助企业最终实现科学管理和企业价值增值。

　　本文便是对风险导向内部审计的初步探讨，也是对风险导向内部审计这一新的内部审计模式一次比较全面的阐述。本文试从风险导向审计的产生的环境、基本原理及其运用以及发展前景等方面进行探讨。首先在对内部审计发展状况总结的基础上分析风险导向内部审计产生的必然性和重要性。由于人们对内部审计的认识和期望的改变，才使得风险导向内部审计的出现有了可能，通过对内审发展的各个阶段的理论观点的分析，来探讨风险导向内部审计产生的意义和作用。

　　通过案例分析来探讨风险导向内部审计的特点以及对企业产生的影响。同时展望风险导向内部审计在今后的发展以及给我国内审发展的启示。风险导向内部审计是内部审计发展的必然趋势，代表了企业内部审计的发展方向。中国的企业应该从中取己所需融入到我国内审制度的改革中。

　　关键词：风险导向内部审计，风险管理，企业风险管理框架，公司治理

　　一、 序言

    （一）研究背景随着科技、经济的迅速发展，日益复杂的组织内部关系和外部市场，促使企业之间的竞争日趋激烈。为了增强企业市场竞争力，企业需要对影响管理水平和经营业绩的一切因素都进行监控和评价。这就要求内审部门逐步深入到企业生产经营领域广泛开展审计工作，以协助管理当局改善经营管理，提高经济效益。因此，内部审计职责范围也在不断扩展，IIA 1947年最初发布的《内部审计师职责说明书》指出：“内部审计师主要处理会计和财务方面的问题，但也可适当处理经营方面的问题。”强调内部审计的根本职能是审查会计和财务问题，但也开始涉足经营审计领域。

　　1971年修订之后定义位：“内部审计作为对管理当局的一种服务，是组织内部审核经营活动的独立评价行为。”这就将现代内部审计的活动范围扩展到企业经营活动的每一个方面，大大拓宽了内部审计的作用领域。此外，还增加了一项新的职责，即“提出改善经营的建议”，从而强调了内部审计的建设性作用，同时表明经营审计成为了内审的重点，也涉及其他管理控制。

　　随着内部审计领域大大扩展，审计内容趋向综合性；在20世纪80年代，内部控制是企业管理的重要内容，检查和评价内部控制制度是否充分、有效和具有可操作性是内部审计的重要工作。内部审计逐渐作为组织内部一种独立评价活动，定期对组织活动进行检查和评价，协助该组织的管理成员有效地履行他们的职责。

　　内部审计在半个世纪中，从建立在检查财务会计的基础上到建立在审查经营活动的基础上，从为管理服务到为组织服务，无疑。人们对内部审计的作用、地位的认识和期望，已经发生了深刻的变化。

　　进入20世纪90年代后，企业内部审计面临着两个个巨大挑战：

　　第一，内部审计部门如何在防范和控制企业经营风险上发挥积极作用。随着世界许多大公司开始了兼并重组和公司治理的过程，企业经营中面临的各种风险普遍增大。主要原因是：企业实行多样化经营，进入了众多以前未涉及的领域；经济国际化程度又进一步加深，导致企业之间的竞争加剧；信息技术在经营管理中广泛应用导致计算机犯罪增加。

　　第二，内部审计部门如何在企业组织机构战略重组中维系自己的地位。90年代中期起，西方不少大公司为了降低成本，进行了内部组织机构调整和重构，将部分非核心管理活动外包给专业化公司执行，内部审计工作也被涉及。虽然这有利于实现内部审计业务的规模经济从而降低成本并提高专业化、为企业带来先进的审计和管理技术。但这对企业的内部审计部门构成了前所未有的挑战，迫使他们想方设法通过改善内部审计绩效、提高内部审计效率来增强自己对本企业的吸引力，从而维系自己的组织地位和职业生命。

　　在这种情况下，企业开始不断注重风险管理。风险导向内部审计是内部审计在高风险社会产生的、为了应对职业危机而推出的一种全新的审计理念。国际内部审计师协会于2001年修改《内部审计实务标准》，无论是概念、业务实施标准还是指南性的工作标准，自始至终贯穿着风险审计的主导思想。首先，该标准对内部审计做出的定义：内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高过程效率，帮助机构实现目标。其次，在确定审计计划时，明确要根据风险制定审计计划。在审计实务中，明确内部审计活动在于评价并帮助机构改进风险管理、控制和治理体系。可以看出，该标准已经将内部审计工作完全引上了风险审计的道路。

　　反观我国的内审现状。从生存和发展来看，由于我国内审部门仍在采用传统的审计技术和方法，审计目标和范围不能很好地针对企业经营中的主要风险，因而不能有效地为企业增加价值。风险导向内部审计尚处于起步阶段。刘洁在其2006年3月《财会月刊》发表的《内部审计新模式-风险导向审计》中指出：在包括制造业、银行金融业、服务业、行政事业单位、院校、医疗、交通、建筑、通讯、能源等120家被调查单位中，仅有7.25%的被调查单位开展过风险导向内部审计。主要开展的审计内容仍以财务收支内部审计、经济效益内部审计和经济责任内部审计为主，风险导向内部审计并非我国内部审计机构的主要审计内容。这说明我国风险导向内部审计还处于初步探索阶段。

　　我国企业内部审计起步较晚，与西方现代内部审计相比存在着不小的差距，但随着我国市场经济体制的逐步建立和世界经济的一体化，我国企业与西方企业面临着同样经营环境和风险。内部审计作为保证企业有效管理的重要环节，必将面临严峻的挑战。我们的理论界、实务界和政府应该行动起来，积极探讨风险导向内部审计的基本原理、方法及适合我国企业实情的操作实务，以提高企业抗风险能力。

　　（二）本文的研究框架

    本文总共分为五个部分。引言部分是在对内部审计发展状况总结的基础上分析风险导向内部审计产生的必然性和重要性。从最初的查错防弊到风险审计思想的出现，人们对内部审计作用、地位的认识和期望发生了深刻的变化。第二部分是主要是内部审计发展的主要文献综述。通过对内审发展的各个阶段的理论观点的分析，来探讨风险导向内部审计产生的意义即作用。在此基础上展开第三部分，对风险导向内部审计的理论基础的探讨。通过对第四部分是风险导向内部审计的案例、综合论述实施风险导向内部审计对企业产生的作用；通过对张裕公司审计模式的认识来探讨风险导向内部审计的特点以及对企业产生的影响。第五部分是结论与建议，同时展望风险导向内部审计在今后的发展以及给我国内审发展的启示。风险导向内部审计是内部审计发展的必然趋势，代表了企业内部审计的发展方向。中国的企业应该从中取己所需融入到内审制度的改革中。

　　二、 文献回顾

    内部审计的本质是管理控制，所以，内审的发展必然是伴随着企业管理理论与实践的发展而演进。随着工业分工的细化和公司管理的分权思想的提出，内部审计从原来的和其他的管理职责一并履行逐渐走向了由独立人员承担相应责任，经历了五个主要阶段的发展。萌芽阶段、财务导向内部审计、经营导向内部审计、管理导向内部审计，风险导向内部审计。

　　萌芽阶段的内部审计主要是为了查处并防止错误和舞弊，内容和技术都非常简单。所以我们对内部审计的研究，从内部审计取得独立地位开始。

　　初期的内部审计，内容主要是关于财务责任以及履行责任时的合法性问题。1941年维克托？布林克在他的《内部审计：性质、职能和程序方法》中认为，“内部审计是经营管理的一种手段和工具，而且是作为检查和分析会计信息的一种特别手段和技术发展起来的。”对通过改进业务处理程序以降低成本、增加利润、向外界提供更好的服务则没有那么重视。

　　20世纪初，泰勒的科学管理理论的提出，使得管理学成为一门独立的学科。这进一步推动了内部审计的发展，内部审计的职能和范围得以扩大，其关注点转向了企业的业务活动。1948年，阿瑟？肯特在《内部审计师》杂志发表了第一篇介绍非财务审计的文章：“Audits of Operations”，自此，内部审计执业界倾向于采用“经营审计”一词表示对具体业务活动及控制的审计。而管理职业界对相同类型的审计则提出了“管立审计”的概念。1932年，英国人罗斯撰写的《管理审计》首次探讨了管理审计，罗斯倡导审查评价每一个职能部门的效率和业绩。詹姆斯？麦金西主张管理审计的内容应包括审核企业的总体目标和政策。未来或持续进行的规划、人事、管理以及财务状况，实现从总体到个体，从各个分部到所有业务活动的全面分析与评价。对此，理论界有两种观点：一是认为管理审计包含业务审计；一是认为管理审计是经营审计的发展的结果（劳伦斯？索耶）。可以看到，虽然都主张管理审计，罗斯的主张是以泰勒的 “管理的核心是效率”为基础的，从狭义的角度看管理，局限于针对管理层决策、方针和战略的评估。是高于经营活动的；而詹姆斯的主张是基于企业管理控制的需求，从广义上理解管理：业务经营是包含在管理活动之内的、管理导向审计的对象包括由低到高各个层次的企业活动；但是无论哪个观点，都强调内部审计要在整体范围内评估企业各种管理活动和决策。内部审计的关注目标正逐渐向综合性的方向发展。

　　到了20世纪90年代，随着全球化浪潮的到来，企业所面临的风逐渐增大。管理理论的丰富也使得内部审计理论也必须做出相适应得调整。根据王敏、黄瑛在《基于风险导向的内部审计原理及其应用 》中指出，“现代企业制度的有效运行需要有规范的公司治理为前提。公司治理的目标在于增加股东价值，实现利益相关者价值最大化。”传统内部审计的目标是帮助管理者完成其责任，这种被动的、事后察觉式的方法使得审计对组织所做的贡献更像是资产评估，与价值增值没有直接而明显的联系。“有效的公司治理需要有行之有效的内部控制制度以及风险评估和控制机制。现代企业治理要求新的内部审计模式的出现。”风险导向内部审计的提出满足了现代企业对内部审计在内部控制、公司管理、风险管理方面的更高要求。

　　从管理导向到风险导向，内部审计更加注重其价值增值功能，更加注重与企业目标的契合，即内部审计的目标演变为评价企业的风险管理活动，看其是否有效地将风险控制在可接受水平。（刘洁：《财会月刊（理论）》 2006年3月） 而随着风险管理内部控制时代的来临，内部审计的工作重点也发生了变化，现代内部审计除了关注传统的内部控制之外，更加关注有效的风险管理机制和健全的公司治理结构。（王光远 内向型管理审计：从控制导向到风险导向 武汉［J］：财会月刊，2002，7）

　　KPMG的一项针对高级主管及内部审计经理的调查显示“传统的内部审计方式— 主要监测政策和控制是否得到有效执行”已经过时，内部审计部门必须采取面向未来的、风险导向的思路来衡量企业成长并提高股东价值。“由此可见，”增加价值“的思想形式引发组织对内部审计基于风险导向的迫切需要，从而加快了企业风险导向审计的发展。（A Holzinger，《内部审计师》 1999年6月）。”风险导向内部审计以风险为出发点，不仅能够使其服务范围与企业发展战略与经营目标直接联系，而且以其在企业中的独特地位和专业知识能够从根本上解释和评估风险管理措施，从而提高风险管理的有效性。“ （王晓霞等，《审计研究》2004年2月）

　　根据IIA 2003对内部审计的最新定义：“内部审计是一种独立、客观的确认与咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范化的方法，来评价和改善风险管理、控制及治理过程的效果，帮助组织实现其目标。”“通过识别和评估影响组织目标实现的各种系统性风险和非系统性风险，对内部控制的设计是否健全，关键控制点和执行是否有效，控制薄弱的环节、治理改进措施的可行性等提出认定。”

　　三、 风险导向内部审计的理论探讨

　　（一）风险导向内部审计的基本特点

    内部审计从萌芽状态发展至今，其审计本质、目标、对象、范围、职能及方法都发生了较大的变化，分析风险导向内部审计的特点可以从以下几方面着手。

　　1.本质实现组织目标的过程其实也是内审部门协助本组织成员有效的履行他们的责任的过程， 从而看出风险导向内部审计的本质是确保受托责任履行的管理控制机制。委托人的广泛性使得外部受托责任向着多样化的方向发展：不仅关注股东利益也关注各种利益相关者的权益，包括客户、员工和社会。受托责任关系以及管理控制因此发生了诸多变化，与风险结合起来使得风险导向内部审计成为确保受托责任有效旅行的监控机制。企业要有效履行多样化的受托责任，首先就必须要制定详细计划，然后将任务分派给各个层次的，同时需要一个监管机制来保证每个人的责任的有效履行。这时候，内审部门就起到了监督和及时反馈的作用。

　　2.目标风险导向内部审计更加注重其价值增值功能。早期的内部审计的目标主要是查错防弊，保护资产安全。而现代的内部审计的重点已逐渐转向事先发掘问题、改善经营管理、促进经济效率。为此，内部审计向他们提供与被审计活动有关的分析、评价、建议、咨询和信息。不论内部审计对内部控制进行评估与改善，还是对公司治理程序进行评估与改善都应该是以风险评估与改善作为首要目标。内部审计就是对组织全部风险的一般反应，所有活动都要以风险作为出发点和落脚点。内部审计充分利用在内部控制领域的专家地位，联系组织的目标评估与分析内部控制中的风险，直接报告给管理者。风险导向内部审计不再是简单的内部控制领域消极地查错防弊，而是以组织的整体风险评估作为自己的首要工作目的。

　　3.对象风险导向内部审计是以风险管理、控制和公司治理为审计对象的。由于受托责任范围的扩大，内审对象的范围也随着内审的发展而逐渐扩大：从最初的会计、财务事项到进一步涉及各种经营活动业务；80年代提出以组织活动，包括经济性、效率性和项目结果为审计对象；90年代提出以组织内部控制系统的适当性、有效性和工作效果；可以看出，内审目标所包含的内容逐渐多样化和全面，综合了企业运营所涉及的各类事项和领域。

　　4.范围根据 IIA‘s Austin Chapter的一项调查显示，至少1/3审计团体在使用风险导向审计上失败，其中的一个重要原因是风险概念没有被理解清楚（David McName 1997，8）。风险是业务及经营的本质，在风险环境中，除了风险评估和帮助管理层把风险转变为本组织的一种收人外，内部审计应该扩展审计范围，它包括风险控制、风险理财和风险管理。［《索耶内部审计（上）》，2005版］风险导向内部审计的范围包括企业战略风险和业务风险。根据2002年英国风险管理协会、保险和风险管理师协会以及公共部门风险管理协会共同发布的风险管理标准对风险的定义来看，风险是事件及其可能性结合。风险既关注积极面也关注消极面。所以说风险包括着机会和威胁，作为一种广义的风险观，风险导向内部审计所涉及的范围相比于以往的内审模式而言，有了进一步的扩展。在对企业所有风险进行彻底了解后，内部审计人员对风险进行排序，根据风险大小来确定审计范围，把主要审计资源分配给高风险项目。恰当、有效地分配内部审计资源，使得更多与风险管理相关的控制和活动得到关注，有助于合理确保企业目标的实现。

　　5.审计方法风险导向内部审计广泛运用分析性程序检测被审计对象，其基本方法包括审计风险评估、分析性测试、控制测试、业务实质性测试、余额细节测试等。这也是内部审计人员风险导向的观念所在：不仅重视会计信息，而且重视经济信息，产业信息和财务信息。风险导向内部审计提供了一种既能保持审计效果，又能提高审计效率的全新思路。对于有证据表明风险较低的领域，应依赖内部控制或分析性复核；对被认为风险较高的领域， 实施大量的实质性测试和余额细节测试，使审计手段与审计目标更好地结合在一起，提高审计的科学性、针对性和绩效性。

　　总的来说，风险导向内部审计是以组织内部控制为基础、同时考虑公司治理在内的、以组织整体风险作为审计重点的一种审计。这里突出的是对风险评估来提出风险管理的对策，有效降低所在组织的风险，从而增加企业的价值，充分发挥内部审计的作用。

　　（二）风险导向内部审计

    在现代企业中所起的作用随着全球一体化的趋势日益明显，企业经营环境的也显得更为复杂，所以现代内部审计除了关注传统的内部控制之外，对有效的风险管理机制和健全的公司治理结构日益关注。《内部审计实务标准》1220.A1 标准规定内部审计师应考虑风险管理、控制与治理过程的充分性和有效性、以应有的职业审慎性开展工作。风险导向内部审计是在组织已有的风险管理和内部控制的基础上，对剩余风险进行评估，进而改善风险管理和内部控制，提升组织整体抗风险能力。风险导向内部审计在现代企业的中所起到的功效有：

　　1.参与风险管理随着对风险管理的日益关注，探讨风险导向内部审计与企业风险管理框架之间的联系，就成为探讨风险导向内部审计无法回避的理论问题之一。风险管理首先要求全面识别风险，同时熟悉本单位的经营战略、工作程序、组织结构等；内部审计人员的独特地位与专业知识满足了以上要求。因此，以风险为导向的内部审计捕捉风险信息的能力比企业内部其他部门和外部审计都强（杨爱群：《风险管理与风险导向内部审计》《经济师》2005年第7期），对于企业风险管理能够做出其独有的贡献。

　　具体实施时，风险导向内部审计首先确认企业目标或某项交易的目标，然后分析对这些目标产生影响的风险，确定审计风险水平和审计重点，提出风险防范和控制建议，最后通过后续审计，测定风险是否得到有效防范和控制。这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险，并将事后评价反馈延伸到事前和事中，使内部审计成为企业价值链中的必要环节。

　　2.促进内部控制内部控制从某种程度上来说从属于风险管理，是风险管理的方式之一。企业风险管理是在内部控制的基础上整合起来的框架，是为了企业在风险管理领域中各项广泛的议题给予多方面的关注和更稳健的管理。从2004年COSO委员会颁布的ERM中我们可以清楚地看到，风险管理是对内控框架的包含与深化。在风险理念的作用下，企业内部控制已扩展为企业风险管理框架，内部控制与风险管理已趋于融合。因此，可以说对风险管理的促进作用，是建立在企业的内部控制同时得到改善和促进的基础之上的，两者是互相促进的。

　　作为内部控制的一个重要环节，内部审计是对内部控制的再控制。建立内部控制制度的根本目的，正如COSO对内控的定义所描述的：“为达到财务报告的可靠性，经营活动的效率和效果、相关法律法规的遵循三个目标而提供合理保证的过程”。这些目标也就是对内部审计的要求和标准。可见，内部控制是内部审计的基础，也是风险导向内部审计进入公司治理、风险管理的基础。

　　传统内部审计偏重于直接测试内部控制，提出增加控制点或增加控制的建议，而随着时间的推移，控制点越来越多，业务过程也将越来越繁琐和缓慢，因此，传统内部审计模式是在递减地增加企业价值。而风险导向内部审计以内部控制结构为内容，关注风险发生的可能性，使审计重点前移，利用风险标准选择审计项目， 每一项审计及其目标都与企业目标紧密相关。风险导向内部审计改进了对内部控制的监控方式，抓住重点，同时简化内部控制流程，即保证了审计质量也提高了审计效率。COSO在2004年对内部控制的重新定义，着重突出了对企业风险的高度关注，这与IIA以整个组织风险的评估与改善为中心任务的风险导向审计理念不谋而合。

　　3.促进公司治理公司治理的基本目标是在充分考虑利益相关者利益相对满足和大体均衡情况下，增加企业价值，从而使股东长远价值最大化。而风险导向内部审计的本质是确保受托责任有效履行的管理控制，它更注重与企业目标的直接关联。可见，公司治理与风险导向内部审计目标是一致的。（蔡喜忠 范长缨：《工业技术经济》，2006年10月总第156期）。2004年的《企业风险管理框架》体现了管理者以企业风险管理为己任的理念。根据《内部审计实务标准》2130—治理：内部审计活动应该评价并为改进机构的治理程序提出适当的建议。在目标方面增加了战略目标，将对企业的风险关注重点引向了重大的、根本性的战略问题；可见，风险管理关注包括公司治理和内部控制环节的风险在内的一切风险，而这所有风险的风险正是风险导向内部审计的对象。风险是两面的，既可能对企业正常运营产生负面的影响，也可以为企业带来新的机遇。所以内部审计部门应当为支持组织的风险管理提供独立的保证和咨询服务，帮助管理层将风险控制在可接受的水平之内，以顺利实现组织目标。

　　“内部审计既是公司治理的一部分，同时又参与到治理有效性的审计之中。内部审计在公司治理中的作用包括监督、评价和分析组织的风险和各项控制；复核并证实信息是否可靠并符合相关政策、程序与法律，协助管理者向董事会、审计委员会以及执行管理机构提供风险防范以及治理有效的保证。” （王敏 黄瑛：《财经理论与实践（双月刊）》2006年9月） 里查德？钱伯斯（2003年9月）指出，国际内部审计的一大发展趋势就是“推动更有效的公司治理”，有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段，是公司治理过程中不可缺少的组成部分。

　　但是值得注意的是，首先，内部审计师并不是以一个负责人身份出现在风险管理中，而只是作为内部控制方面的专家。从评估内部控制领域中的风险，再对公司的风险管理加以评估和改善。其次，内部审计人员实质上的独立性如何被保证。中航油事件致命原因，是个人权力过大，缺乏对个人权力有效制约和监管，导致内控失灵。决策者风险意识淡薄，制度得不到执行，内控未能起到应有的约束力。在现代企业制度下，所有权与经营权的分离，导致了经营者实质上控制企业，而经营者本身就是内控的对象。如果由经营者负责内控的设计与执行，并对内控的执行情况加以认定与评估，滥用职权的导致内控失灵现象就会很容易产生。当风险被评估之后，管理层是否会采纳内审人员的评估和建议，或者管理层是否会为了个人利益而给予内部审计人员压力做出不客观的评估。

　　四、 风险导向内部审计案例分析

    内部审计人员长期立足于本企业的具体岗位，比较熟悉公司的业务并能够随时深入到生产经营的全过程和各个部门了解具体情况，深入到经营管理的各个过程，查找可能存在的风险；通过积极持续地支持并参与风险管理过程，对风险管理过程进行管理和协调，向管理层提出相关建议。借助张裕公司，可以看到以风险为导向的内部审计给企业所带来的作用和影响， 在风险管理中发挥的作用。

　　（一）风险导向内部审计设计与分析

    1.根据公司的战略目标，在营销领域开展重点审计——内部审计与风险管理整合的领域。

　　风险导向内部审计关键的起始点为是：评估组织是否已设定了一个适当的目标，以及企业是否具有一套充分的程序用以识别、评估、和管理那些对实现组织整体目标有影响的风险。进而研究企业经营现状、行业环境等外部环境，通过初步分析确定固有风险和控制风险，制定审计计划。

　　张裕公司将企业营销战略放在一个着重关注的位置上。因为酒行业是大众消费品的生产企业，且厂家众多，市场竞争错综复杂。市场营销成功与否直接影响企业的营业额及利润。因此，有必要站在企业营销的角度上思考企业组织制度是否合适，从而使之与应企业营销活动的环境相匹配。为了达到企业目标，必须通过不断的评审与信息反馈，对市场营销进行战略控制从而规避风险。由于风险遍布企业的各个领域，对已经发现的每个风险的管理有效性都进行审计，是内部审计资源和成本效益原则所不允许的。

　　风险导向审计的模式就可以解决这一问题。

　　以被审计单位的风险评估为基础，有重点地开展审计，对被审计单位的内部控制，企业的经营环境，管理层的诚信度等方面综合地分析、评价。以防范风险为中心，对审计风险的控制始终贯穿于审计过程，通过量化的测定，将审计风险降到组织可接受的水平；因此，张裕公司对以下这些风险大、对组织目标实现有重要影响的领域做出了重点审计。

　　审计对象 异地仓库 应收账款 产品价格 广告费投入 其他相关部门管理风险 帐实不符，随意发货，大量存货，库存产品滞销，破碎等。 帐实不符，坏账，随意从应收账款中代垫收支等 营销人员私调价格，市场价格混乱等 超预算，私自从货款中垫支广告费，导致应收账款混乱 业务部门开错发票，退回产品不能及时准确入库、运输部门发货不及时审计关键点 帐实情况，出库手续，各产品帐龄情况，库存量等 帐龄，可收回性金额，坏账处理 酒店专供，是否为本区域标示；商场专供，终端零售价格，价格执行情况 预算编制及执行情况，年终汇算结果，超支情况，费用支出真实性等 各部门的协调，为市场服务的意识等

　　2.营销领域中广告费的审计重点变化——内部审计与风险管理整合的工作重点

    在进一步确定营销领域内的审计重点时，张裕公司把焦点放在了广告费投入上。集团公司每年的广告费投资亿元以上，是制约公司盈利的一个关键因素。如此巨大的费用一旦管理失控，给公司带来的经营风险可想而知。同时，对于广告费，张裕公司也采取过不同的内审方式：

　　最初：财务审计，关注广告费投入的真实性，（事后）；

　　第二阶段：财务、效益审计，增加了对投入效益的关注，（事中事后）；

　　现阶段：管理、管理风险审计，增加了对预算的监管，（事前事中事后）；

　　从三个阶段的转变中可以看出，企业内审逐渐向“事前识别风险”的方向发展。在这个过程中始终贯穿加强风险信息的监控和结果评价；同时，“事前事中事后”的模式使风险管理工作过程成为一个动态的、持续的系统。使企业能及时识别阻碍实现其目标的各种风险，将价值增长、风险和投资回报相联系，使企业战略和企业对风险的接受态度一致，实现预期目标。

　　3.由公司审计实务归结出的风险管理审计流程——内部审计与风险管理整合的工作审计流程

　　企业风险管理审计的总目标是审计部门和审计人员按照组织风险管理方针和策略的部署，以风险管理目标为标准，审核被审计部门在风险识别、评价和管理等方面的合理性和有效性，使损失发生后所需的资源与保持有效经营必要的资源达到适度平衡，帮助组织实现目标。在目标既定的前提下，围绕企业风险管理的三个重要组成要素——风险识别、风险估测、风险反应进行再监督。合理的风险管理程序和有效的风险管理制度发挥了互动效应。

　　在确定工作流程的时候，企业事先确认目标；然后找出对实现这些目标有重要影响的活动和部门，从而进行重点审计，之后分析这些活动中所可能隐含的风险和能够管理这些风险的控制措施，最后测试实际控制措施是否切实有效。

　　（二）风险导向内部审计给企业带来的影响

    从张裕公司的案例中可以看出内部审计在公司的职能已经发生了很大的变化。从提供鉴证服务到兼带提供管理咨询管理建议服务；从事后审计，到关注事前、事中和事后审计；从财务审计到展开财务、效益、经济责任、经济指标考核、管理审计等各种审计。这些审计的开展都是从制度和流程着手，通过对主要内控环节的抽查审核，评价企业内部控制制度的合理性以及执行的有效性，全面介入企业的风险管理，合理保障企业目标的实现。风险导向内部审计给企业带来的影响也是多方面的。

　　首先，内审重心由控制转向风险，企业风险管理的地位进一步提升。以风险为基础的审计方式是从目标确认与分析开始，进一步研究影响本单位目标实现的固有风险与控制风险，最后引出控制风险的方法。根据IIA于2001年发布的《内部审计实务标准》对内部审计的定义，要求内部审计参与风险管理和治理过程，与高级管理层和董事会沟通，使内部审计进入一个更高的层次。以levis公司为例，内审部门采用了综合风险管理办法，将公司面临的关键商业风险分为15个类别，为全球每一地区的经营单位发展“风险识别图”，并与其他部门积极合作，共同制定风险审计计划，事前积极参与重大经营活动的风险评估过程；以风险导向审计计划代替轮流审计计划； 可以看出，风险管理成为组织中的关键流程，促使内部审计的工作重点不再是测试控制，而是确认风险及测试管理风险的方法，在风险导向的内部审计中，控制仍然重要，但分析、确认、提示关键性的经营风险，才是内部审计的焦点。以风险为导向的内部审计始终把审计的焦点放在那些风险大对企业实现目标影响大的事项上。通过对已经发生的市场营销活动和正在进行的市场营销活动进行审计，发现市场营销活动中的问题，并找到市场营销活动中的机会。可以发现，这种内部审计是建立在企业风险管理的基础之上的。

　　其次，新《标准》要求内部审计由事后审计发展为事前审计，使企业内部审计的性质发生了变化。参与风险管理和治理过程与评价内部控制有效性不同。提供控制保证通常是事后的；而风险管理则是防止未来可能发生的损害组织利益的事项的管理，是事前的，是制定策略的基础。内审部门促进和帮助风险管理的过程，也是增强内部管理层风险意识和风险管理能力的过程。

　　同时，在风险导向内部审计观点下，年度审计计划与公司的风险战略连接在一起。内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致，使用风险管理原则改变审核过程。内审人员会站在企业最高层管理层或董事会和审计委员会的立场上，关注企业各个方面的风险，并且从自己职责的角度，协助工资有效履行其风险管理方面的受托管理责任，及时发现并有效的控制和防范显现和潜在的各类风险。

　　最后，这种审计模式遵循了：目标—风险—控制的顺序，重视与企业目标直接关联的风险分析，注重高风险领域；所以，风险导向内部审计在评估企业风险管理时，关注的不再只是内部控制的符合性，而是优先选择高风险领域的控制，并且着眼于评估具体控制对风险管理的效果。此时，内审部门不再只是强化控制，而是通过规避转移和控制风险，从而使风险管理更加有效并提高企业整体经营管理的效果和效率。所以，对于企业的风险管理而言，风险导向内部审计扮演者一个监督者的角色。

　　五、 结论与建议

　　（一）结论

    通过内部审计与风险管理，公司治理的关系及内部审计在风险管理中的作用可以看出，内部审计能够客观评价风险管理系统，提出改进措施和建议，降低风险损失；能够参与企业事前事中事后的风险审查，从而全过程控制和管理企业风险。虽然内部审计的业务范围已经拓展到风险管理和公司治理领域，但内部控制的评估和改善依然是内部审计的基本业务之一。可以说内部审计是内部控制的重要内容，内审人员要对所有可能导致差错、舞弊的内部控制进行评价，提出改进意见及建议，并向管理层报告。而内部控制是风险管理必不可少的部分，运行时和风险管理机制是一体的、相融合的；企业风险管理的最终目的是为了实现更好的公司治理，有效地处理不确定性及相应的风险和机遇，提升企业创造价值的能力；所以，从根本上来说，有效、适当、科学的内部审计是企业健康发展的保证。风险导向内部审计以风险为出发点，将事后评价转变为更为及时和主动的事前、事中，事后的动态反应，为风险管理提供有用信息，为公司治理的相关措施的有用性给予反馈并提出建议和整改措施。所以，风险导向审计在企业中所起到的作用已经远远不止于监控，重要的是将公司各项管理经营活动整合成一个完整、相互约束和帮助的体系。

　　风险导向内部审计将本单位或本部门置于一个大的经济环境中，运用立体观察的理论来判断影响企业经营风险的各种因素，从企业所处的行业状况，监管环境，经营目标，战略规划到经营方式，业务流程等内外部各个方面来分析评估审计的风险水平，把企业经营风险植入到本身的风险评价中去，并贯穿于内部审计的全过程，从而在内部审计过程中把重点放在审计风险的评估上。

　　IIA通过修改内部审计定义加速了它的发展并使其成为现代内部审计发展的一种必然趋势。风险导向内部审计并不排除制度基础审计或者流程基础审计的使用，然而，风险导向内部审计关注的是对企业来说更为重要的事情并始终为企业所采用的风险管理框架提供保证。风险导向内部审计可以让内部审计和风险管理框架直接联系起来，由此实现杠杆协同效应。在新《内部审计实务标准》中，对风险审计的规范和指导始终贯穿，IIA极力倡导内部审计在企业风险管理框架中发挥不可替代的重要作用，即内部审计要在企业风险管理的风险环境分析、风险事件识别、风险评估、风险反应和控制、风险信息沟通和管理系统监控环节中发挥重要作用。IIA对未来内部审计的定位就是要采用系统化、规范化的方法来对风险管理、控制及治理进行评价，提高组织的效率，从而帮助实现组织目标。风险导向内部审计是内部审计发展的必然趋势，代表了企业内部审计的发展方向。

　　（二）建议

    随着我国成为世界贸易组织的正式成员，我国的社会经济发展已面临一个全新的运行格局。面向竞争激烈的国际市场，我国企业的经营战略和管理机制正在发生深刻的变革，并逐步与国际接轨。虽然与国际内部审计的实践相比，我国的内部审计相对来说还很年轻。在风险审计领域，我国内审协会2005年借鉴IIA的相关标准、结合中国国情颁布了《内部审计具体准则第十六号——风险管理审计》，但目前还没有明确指出内部审计和公司治理相结合；中国内部审计协会副会长兼秘书长易仁萍2006年6月27日接受《第一财经日报》的采访时说道：我国的风险导向审计刚刚提上议事日程，还在导向和宣传的阶段，企业风险管理相当薄弱。所以目前内部审计协会提出的5年发展目标就是，从原来的财务审计转向财务审计与管理审计并重。现在完全摒弃财务审计也不可能，因为目前我国财务上的违纪违规还是比较多。我国企业特别是国有企业的治理结构还没有到位，内部审计人员素质、审计环境等问题都有待改善。所以目前来说，我国的内部审计无法全面实施风险导向内部审计。不过可以肯定的是，我国的内部审计也必将随着西方发达国家先进的管理理念和国际内部审计实务经验的引进而发生根本性的变化。

　　目前，我们可以先从以下三方面着手准备，为以后的全面推广提供基础。

　　首先，努力改善内部审计的环境，兼顾内部审计的独立性和客观性。独立性通常被认为是内部审计最为重要的属性，但是对其的过于强调会影响内部审计人员与企业管理层之间的友好沟通，所以要在强调内部审计独立的同时兼顾其客观性。

　　其次，强化对内部审计人员的职业素质训练。风险导向内部审计的审计范围不断扩展，审计人员关注的范围因此不断延伸，对专业水平和职业道德的要求也在不断提升。从长远看，内部审计职业化、业务社会化是发展趋势，所以现阶段企业应加强对内审人员的培训使其具有国际水准的执业水平。

　　还必须加强国有企业的公司治理结构。如果公司治理存在缺陷，公司经营管理层就可能损伤内部审计的实质上的独立性，影响内部审计人员所出具的报告的真实性；也可能造成内控制度中监督和控制这两个环节失效。所以，合理科学的公司治理结构对于实现真正有效的内部审计至关重要。由于经济、社会和历史、文化等方面的背景不同，各国公司治理模式有很大差异，但向英美模式的趋同是一种趋势。在东亚地区，这种趋同的趋势已经比较明显（蔡喜、范长缨，《工业技术经济》2006年10月）。因此，我国也可以在考虑我国国情的基础上取己所需，改善我国企业的公司治理结构。

　　风险导向内部审计是内部审计领域的最新发展，西方国家对其基本理论研究才刚刚开始。我国企业内部审计起步较晚，与西方现代内部审计相比存在着不小的差距，但随着我国市场经济体制的逐步建立和世界经济的一体化，我国企业与西方企业面临着同样经营环境和风险。内部审计作为保证企业有效管理的重要环节，必将面临严峻的挑战。我们的理论界、实务界和政府应该行动起来，积极探讨风险导向内部审计的基本原理、方法及适合我国企业实情的操作实务，以提高企业抗风险能力。

　　参考文献

    ［1］刘实：《企业内部审计论—基于管理学视角的理论思考》 中国时代经济出版社2005年2月版38-52页 61-63页

    ［2］石贵泉、王凡杯：《现代内部审计：理论与实务》山东人民出版 2005年6月版 12~40页

    ［3］IIA：《内部审计实务标准2001年修订》中国时代经济出版社 2005年5月版

    ［4］郭咸刚：《西方管理学说史》中国经济出版社 2003版 46~55页，77-89页

    ［5］李铃、陈任武《风险导向内部审计在现代企业中的作用分析——兼论风险导向内部审计的特点》《财会通讯》学术版2006年12月版

    ［6］王光远 内向型管理审计：从控制导向到风险导向 武汉［J］：《财会月刊》2002，7

    ［7］王金凤 冷斌：《浅论风险管理和内部审计的整合协同效应》 《中国内部审计》2007年2月版

    ［8］王晓霞 孙坤　张宜霞 ：《论风险导向的内部审计理论与实务——通过解读IIA 2001 版《内部审计实务标准》看内部审计的风险导向》《审计研究》2004年2月版

    ［9］A Holzinger. The new internal auditing function， The Internal Auditor （J） Altamonte Springs： Jun 1999

    ［10］刘洁：《内部审计新模式-风险导向审计》《财会月刊（理论）》 2006年3月

    ［11］杨爱群：《风险管理与风险导向内部审计》《经济师》2005年第7期

    ［12］王敏 黄瑛：基于风险导向的内部审计原理及其应用 《财经理论与实践（双月刊）》2006年9月 第27卷 第143期

    ［13］蔡喜忠 范长缨：论公司治理与风险导向内部审计　《工业技术经济》　2006年10月总第156期

    ［14］严晖：《风险导向内部审计整合框架研究》中国财政经济出版社 2004年版 398页

    ［15］王光远：《管理审计理论》中国人民大学出版社 1996年版 33~50页

    ［16］安德鲁 钱伯斯等：《内部审计》中国财政经济出版社 1995年版 14~18页

    ［17］Spira F. Laura and M. Page， 2003， “Risk Management： the Reinvention of Internal Control and the Changing Role of Internal Audit”， Accounting， Auditing andAccountability Journal， Vol.16：640-661.

    ［18］K.H Spencer Picket Auditing the Risk Management Process Wiley Press 2002版 121~123页

    ［19］Institute of Internal Auditors （UK and Ireland），Position Statement on Risk Based Internal Auditing August 2003

    ［20］风险导向内部审计网

    ［21］加拿大财政委员会秘书处网站

    ［22］周建利。风险导向审计在内部审计中的应用。2005

    ［23］黎瑛。现代企业内部审计的新态势 ［J］。《财经科学》，2005年4月：59~65页。

    ［24］郑小荣 风险导向内部审计若干理论问题探讨 《审计与经济研究》2006年1月版

    ［25］David McName. Risk Based Auditing，The Internal Auditor [J] 1997年8月

    ［26］劳伦斯索耶：索耶内部审计（上）。北京中国财政经济出版社，2005版

    ［27］徐天祥 范国右等：《如何做好内部审计》中国财政经济出版社 2005年版 38~42页