随着经济全球化和科学技术的迅猛发展，日益复杂的组织内部关系和竞争日趋激烈的外部市场，使经济社会中不确定因素越来越多，企业承担的风险也随之加大。内部审计作为企业内部控制和风险管理的一种制度安排，需要顺势而为，不断调整自己的业务范围和审计目标。内部审计不仅关注内部控制，也积极参与到企业的风险管理；审计目标从过去被动地差错纠弊，变为主动地帮助企业增加价值。因此，风险导向型内部审计的提出满足了现代企业对内部审计在风险管理、内部控制和公司治理方面的更高要求。

　　一、风险导向型内部审计的含义及特点

　　（一）风险导向型内部审计的含义

　　狭义的企业风险指有碍于组织目标实现的威胁因素，通常分为三大类：外部环境风险、经营过程和资产损失风险、以及信息风险。由于事后补偿的保险难以发挥对组织风险结果予以弥补的作用，因此，风险管理既是必要的，又是可行的。基于此，COSO委员会于2004年正式提出《企业风险管理框架》（简称ERM），将企业风险管理定义为：是一个受机构的董事会、管理层以及其他人员影响的过程，它可以运用在战略设定并贯穿于企业当中，设计企业风险管理旨在确认影响机构的潜在事件，并在风险偏好内管理风险，为机构目标的实现提供合理的保证。企业风险管理（ERM）由以下八个要素构成：内部环境、目标设定、事件确认、风险评估、风险回应、控制活动、信息和沟通、监控。这八个方面组成要素是一个有机的整体，体现的是一个动态的过程。一种观点认为，风险导向型内部审计的风险就是审计风险；而另一种观点则认为，所谓的“风险”不是单纯意义的“审计风险”，更大意义上是指企业风险。在《布林克现代内部审计学》第六版中提到“现在的内部审计人员要运用前后一致的方法来理解和评估审计风险，包括与单个被审计机构有关联的风险以及整个组织所面临的整体风险”，可见，风险导向型内部审计是以审计风险模型为审计方法，以对整个组织的风险进行评估与改善为最终目的的一种审计理念。

　　（二）风险导向型内部审计的特点

　　与制度导向型内部审计相比，风险导向型内部审计具有以下特点：

　　一是风险导向型内部审计的基础是内部控制。COSO将内部控制定义为：内部控制是一个过程，受机构的董事会、管理层以及其他人员的影响，设计内部控制是为以下类别的目标的实现提供合理的保证：运营的效果和效率、财务报告的可靠性、以及遵守适用的法律和法规。对内部控制评价的过程就是内部审计的过程，一个企业内部控制的好坏，与审计风险的高低直接相关，所以内部控制始终都是内部审计关注的重点；同时，内部审计也是内部控制的一个重要环节，是对其它内部控制环节的再控制。重视日常控制活动，抓住内部审计监督评价环节，为企业目标实现提供合理保证。此外，构成内部控制的五个要素是：控制环境、风险评估、控制活动、信息和沟通、以及监控。内部审计要对公司的风险管理加以评估与改善，首先要从内部控制领域中的风险做起。可见，风险导向内部审计是以内部控制结构为内容，关注风险发生的可能性。所以，内部控制是风险导向内部审计进入公司治理、评估改善组织风险的基础。

　　二是风险导向型内部审计的内容是风险管理。内部审计介入风险管理是内部审计职业发展的要求，也是企业发展的需求。从ERM框架可知，它关注包括公司治理领域和内部控制环节的风险在内的一切风险，因此，风险管理不仅要求全面识别风险，而且要熟悉本单位的经营战略、工作程序、组织结构等，而内部审计人员的独特地位与专业知识满足了以上要求，风险管理必然成为内部审计的主要业务之一。风险导向内部审计要求内审人员在审计过程中自始至终都关注企业风险、识别风险，依据风险选择项目，以降低风险为导向，进行内部控制制度的符合性测试、实质性测试，并进行监督检查和评价，提出建设性意见和建议，其审计报告可以作为揭示企业风险、防范风险以及信息交流的信号，协助企业管理风险。风险导向内部审计以风险为出发点，不仅能够使其服务范围与企业发展战略与经营目标直接联系，而且以其在企业中的独特地位和专业知识能够从根本上解释和评估风险管理措施，从而提高风险管理的有效性。

　　三是风险导向型内部审计是提高审计资源利用效率的途径。风险导向内部审计不仅重视会计信息，而且重视经济信息、产业信息和财务信息等，其审计模式是：在对企业所有风险进行彻底了解后，内部审计人员对风险进行排序，根据风险大小来确定审计范围，对于有证据表明风险较低的领域，应依赖内部控制或分析性复核；对于被认为风险较高的领域，分配更多的审计资源，可实施大量的实质性测试和余额细节测试。这样恰当、有效地分配内部审计资源，使得更多与风险管理相关的控制和活动得到关注，将审计手段与审计目标更好地结合在一起，可以提高审计的科学性、针对性和绩效性。所以，风险导向内部审计提供了一种既能保持审计效果，又能提高审计效率的工作思路。

　　二、风险导向型内部审计在企业风险管理中的作用及其途径

　　（一）风险导向型内部审计在企业风险管理中的作用

　　一是在风险环境分析中的作用。风险环境是指影响组织经营目标不能实现的经营环境，包括内部风险环境和外部风险环境。外部环境因素主要包括法律、政治和经济等环境因素；内部环境因素主要有：企业的风险偏好与风险文化、诚信与道德价值、管理理念与经营风格、组织结构与权责划分等，其是企业设定经营目标和战略计划的基础。由于经营环境是风险的根源，因此内部审计应从着眼于风险转到着眼于经营环境，通过对经营环境（包括一般环境和社会环境、创业环境、内部审计应用环境和组织环境等）的分析，以进一步评估组织的“固有风险”和“剩余风险”，并通过对企业各项环境因素变化的分析，将分析结果以审计报告的形式反映给管理层，以便管理层更加有效地管理风险。正是由于内部审计熟悉企业的内部环境、并具有相对独立的职能地位，可以全面客观的判断企业的固有风险、评价企业目标的有效性和可行性。

　　二是在风险事件识别活动中的作用。ERM框架要求识别出所有可能发生并对企业目标实现产生不利影响的重要状况，该步骤非常重要，因为未被识别的事件不会在风险回应中得到处理，可能导致意外风险的发生。内部审计针对现有环境与经营过程，通常以各种类型的战略或各种形式的商业活动为基础的模板，观察同行业内其他企业的经营情况及整个市场的经营风险水平，同时，内部审计人员以其专业知识和技术，独立地推断潜在的重大风险。因此，在风险事件识别活动中。内部审计人员要判断管理层是否完全识别了单位的所有风险。

　　三是在风险评估中的作用。风险导向型内部审计通常要求采用风险评级和计分的方法进行风险评估，并根据量化的风险水平排定优先次序，尽量找出风险存在的根本原因，以寻求最好的解决方案。对难以客观量化的风险事件，则采用主观估计风险发生的可能性，此时，内部审计人员的职业判断最得尤为重要，其可以帮助管理者做出比较正确的选择。可见，在风险评估中，内部审计人员需要从客观的角度分析风险的假设条件、计算方法的适当性来评价风险，以向管理层提供专业意见。

　　四是在风险反映和控制活动中的作用。对于经过识别和评估后的风险，企业都要经过风险与收益的权衡。ERM将风险反映分为j类：可接受风险、规避风险和减少风险。规避风险超出了企业的风险偏好，企业不能接受且无法经济有效地加以抑制，则须放弃该项目或计划从而避免风险带来负面影响。对于大部分风险，需要企业采取一定的行动，转移或分散风险，以达到企业可接受的水平。为此，企业需要对其风险加以控制，即将不可接受的“固有风险”转化为可接受的“剩余风险”，由于控制活动本身是很复杂的，内部审计人员通常采用分析性程序和详细测试，评估控制活动的有效性，使风险得以管理。因此，在风险反映和控制活动中，内部审计人员通过分析、评估风险回避的合理性、减少风险措施的有效性，以降低组织承受的风险。

　　五是在风险信息沟通和风险管理系统监控中的作用。风险管理涉及企业各个职能主体，是各管理部门共同承担企业的综合风险。风险导向内部审计从评价各部门内部控制制度人手，在各领域查找管理漏洞，以独立第三方的身份验证信息的准确性和及时性，帮助企业管理当局进行风险的管理与协调。为此，内部审计人员需要采用风险监控方式，将经营计量系统记录的业绩与计划和预算中的预期业绩以及同一时期的竞争者业绩进行比较，来判断风险环境中新的风险和变化，便于管理者及时做出反应。可见，在风险信息沟通和风险管理系统监控中，内部审计人员通过审计报告以向董事会和审计委员会传递风险是否得到有效管理的信息，保证单位对风险的管理是一直有效的。

　　（二）风险导向型内部审计在企业风险管理中发挥作用的途径

　　风险管理框架（ERM）下的内部审计关注的核心是企业的风险管理过程和剩余风险水平，由于内部审计部门所进行的风险管理是对剩余风险的确认并提出咨询建议，因此，内部审计参与风险管理的途径是开展风险导向型审计。通过开展风险导向审计，内部审计将事后评价转变为更为及时和主动的事前事中的风险审查和事后的动态反应，全过程控制和管理企业风险，从而能够客观评价风险管理系统，以降低风险损失。因此，剩余风险是风险导向审计需要关注的重点领域。内部审计部门所进行的风险导向审计就是通过系统的分析、认定和评价被审计对象各个领域的固有风险及其管理状况，评价其得出的已量化的剩余风险水平，并据此确定进一步审计的范围、重点和方法。因此，在审计实务中，内部审计部门要从审计的过程和整体角度分析审计风险在审计中的作用。把审计基础工作大量放在对被审计对象业务过程的调查，对内部控制要素进行控制测试，并对财务报表和业务操作程序、审计环境等进行科学分析、判断上，从而使期末需要审查的结果，在期初和期中得到判断。对剩余风险审计的主要目的是将剩余风险降低至可接受水平，为此，需要通过以下途径实现风险导向型内部审计在企业风险管理中的作用：了解管理层确定可以接受的剩余风险水平；确认业务活动领域的剩余风险并进行优先排序，将主要审计资源分配到高风险领域；审计师需要将在审计过程中发现企业尚未对某些重要风险采取管理措施，应同被审计单位或被审计对象的管理层进行沟通，并向其提出管理建议，从而协助被审计单位预防或检查将来可能出现的错弊。最后，内部审计师以经过核实的审计证据为依据提出风险审计报告。风险审计报告是针对剩余风险提出相关建议，以帮助管理层采取必要措施改进控制系统所形成的书面文件，它是内部审计参与企业风险管理的集中表现，也是内部审计发挥风险管理作用的重要形式。

　　三、风险导向型内部审计应注意的问题

　　（一）责任问题

　　企业风险管理作为风险导向型内部审计的主要业务，内部审计人员并不参与风险管理的建立和运行过程，而是在企业已有风险管理的基础上实施再监督，以促进风险管理过程的建立或使风险管理的有效性成为可能。

　　（二）途径问题

　　在企业风险管理框架下，内部审计是风险管理的函数，是对风险管理的再管理，因此，内部审计参与风险管理的途径有两种：即风险管理审计和风险导向审计。但对风险导向型内部审计而言，其路径专指第二种，即对剩余风险的确认、排序和建议。

　　（三）侧重点问题

　　风险导向内部审计的审计模式遵循了：目标一风险—控制的顺序，重视与企业目标直接关联的风险分析，所以，风险导向内部审计在评估企业风险管理时，关注的是优先选择高风险领域的控制，并且着眼于评估具体控制对风险管理的效果。此时，内审部门不再只是强化控制。而是通过规避转移和控制风险，使风险管理更加有效并提高企业整体经营管理的效果和效率。