對風險導向內部審計的再認識

【摘 要】 內部審計是企業高質量發展的重要助力。2024年1月9日，新修訂的《全球內部審計準則》的發布進一步引發了對內部審計定位與功能的思考。文章通過對風險導向注冊會計師審計和內部審計的內涵、準則發展等內容的梳理與對比，認為內部審計有必要借鑒注冊會計師重大錯報風險識別與評估的做法，著重建立內部審計風險導向的組織風險與重大風險“雙重屬性”，并結合組織或行業特點制定風險清單，以進一步有效發揮風險導向內部審計的作用。

【關鍵詞】 內部審計； 風險導向； 組織風險； 重大錯報風險

【中圖分類號】 F239.45? 【文獻標識碼】 A? 【文章編號】 1004-5937（2024）05-0143-05

一、引言

黨的二十大報告指出，實現高質量發展是中國式現代化的本質要求之一，而高質量的企業發展是加快建設社會主義現代化強國中至關重要的部分，其中審計監督的重要性不容忽略。尤其在新時代背景下，內部審計被賦予了新使命[1]，不斷完善內部審計準則，探索有效的內部審計模式從而有效發揮內部審計作用是應有之義。2022年下半年，國際內部審計師協會（IIA）啟動對2017版《國際內部審計專業實務框架》（IPPF）修訂工作。2024年1月9日，IIA發布了新修訂的《全球內部審計準則》，自2025年1月起正式生效。從內容來看，IIA對內部審計功能定位、內部審計模式等核心內容進行了重大調整。

《全球內部審計準則》的“內部審計宗旨”包含了原IPPF“內部審計的定義”和“內部審計使命”兩部分，修訂為“內部審計通過為董事會和管理層提供客觀的確認和建議，推動組織獲得更大的成功。內部審計強化組織的價值創造、保護和可持續性；治理、風險管理和控制過程；決策和監管；聲譽和在利益相關方處的信譽；服務公共利益的能力”。該修訂稿刪掉了原IPPF中內部審計“以風險為基礎”；同時，內部審計不僅有增值目標，而且還有強化組織聲譽和服務公共利益的能力等。

定位的變化源于內部審計所服務組織的不同，以及服務目標或功能作用的不同。但刪掉“以風險為基礎”是否意味著風險導向模式的變化？從時間節點來看，審計職業界對注冊會計師風險導向審計的認識更早，研究也更深，成果更豐富。風險導向內部審計的提出，源于審計實務中注冊會計師風險導向審計功能發揮以及以企業為主體的組織對風險管控的需要。鑒于此，立足注冊會計師風險導向審計，研究風險導向內部審計問題，并試圖理解《全球內部審計準則》調整的根本原因、內容之間的內在邏輯，進而提出建議。

二、注冊會計師風險導向審計的內涵和準則要求

（一）注冊會計師風險導向審計的提出

法律訴訟使注冊會計師開始重視審計失敗和審計風險。審計風險概念可追溯到《蒙哥馬利審計學》（1949年第七版）：“審計師在審計現場的時候，必須理解重要性和風險的概念”。1957年第八版將風險與審計程序的設計相聯系。1985年第十版在談到整體審計策略時提到：“審計師對整個審計風險的評估是極其重要的”，還分析了不同類型風險以及整體風險的計算公式。美國注冊會計師協會（AICPA）1981年發布的審計準則第39號《審計抽樣》建立了風險模型，1983年在審計準則第47號《審計業務中的審計風險和重要性》中對審計風險模型進行了改進。

風險這一概念在20世紀80年代的英國同樣流行，并成為審計的重要組成部分。1982年Woolf在第三版的《現代審計發展》一書中用了一整章對這一概念進行了解釋：風險導向審計是最近新出現的一種審計方法，被用于避免出現過度審計以及處理高度復雜的審計業務。

1997年，畢馬威與大學合作的研究小組出版了研究報告《戰略系統下的組織審計》，強調審計風險與企業的戰略風險和經營風險是不可分割的，威脅企業經營的風險是影響審計風險的來源，有效審計需要對企業經營風險進行充分了解。

我國學者20世紀90年代初開始關注并研究風險導向審計問題。文碩1990年5月出版的《世界審計史》，介紹了審計方法發展的三個階段，其中第三階段就是風險導向審計[2]。隨后，胡春元[3]對風險導向審計概念和具體運用進行了闡述，指出了其理論基礎、產生原因及背景、審計內容和程序。進一步的，有學者認為傳統審計風險模型存在缺陷，現代風險導向審計可以對其進行優化和改進[4]。

（二）注冊會計師風險識別和評估準則要求

我國注冊會計師審計風險準則與國際審計與鑒證準則理事會（IAASB）準則保持了全面趨同。因此，本文直接對我國相關準則進行分析，我國風險識別與評估的審計準則經歷了三個階段。

第一階段，1995—2003年頒布的注冊會計師獨立審計準則體系，提出了審計風險概念及其組成要素。財政部自1995年至2003年，先后頒布6批共48項準則（含實務公告），標志著我國已初步建立起了獨立審計準則體系。準則提到有關風險概念，但未明確風險識別與評估的要求。中注協在1996年公布的《獨立審計具體準則第9號——內部控制和審計風險》中對審計風險進行了界定，“審計風險包括固有風險、控制風險和檢查風險”。根據該準則規定，注冊會計師審計時應分別評估固有風險和控制風險，并據以確定可接受的檢查風險。但在實務操作中，由于固有風險評估難度以及直接將固有風險評估為高水平是準則允許的做法，不少事務所通常不評估固有風險，而是直接了解和測試內部控制、評估控制風險，然后實施實質性程序。

第二階段，2006年準則修訂，提出了重大錯報風險概念。2006年2月，上述48項獨立審計準則全面修訂后再次頒布。《中國注冊會計師審計準則第1101號——財務報表審計目標和一般原則》將傳統審計風險模型中固有風險和控制風險合并為重大錯報風險；《中國注冊會計師審計準則第1211號——了解被審計單位及其環境并評估重大錯報風險》強調通過實施必要審計程序從六個方面了解被審計單位及其環境，以識別、評估報表層和認定層的重大錯報風險；《中國注冊會計師審計準則第1231號——針對評估的重大錯報風險實施的程序》則要求注冊會計師針對報表層的重大錯報風險制定總體應對措施，對認定層的重大錯報風險則需設計并實施進一步審計程序，包括控制測試和實質性程序。

2006年修訂的準則對提高審計工作質量，降低市場風險，維護資本市場秩序發揮了重要作用，但在具體運用上有一些問題。比如風險識別事項的內在邏輯關系、風險事項如何影響會計報表等等沒有特別明確，導致不少注冊會計師僅按準則實施風險識別程序，沒有深入思考和判斷風險事項所可能導致的重大錯報，以至于在審計實務中仍有不少未能識別出的重大錯報案例出現。2010年和2019年，中注協對上述風險識別與評估準則進行了修訂，沒有實質性變化。

第三階段，2022年準則修訂，提出了固有風險因素等概念。為持續提升審計質量，應對資本市場層出不窮的財務舞弊，保持我國審計準則的國際趨同，中注協組織修訂了風險識別與評估等準則。

本次準則修訂主要變化是增加了固有風險因素的概念。如果說固有風險是現象，固有風險因素強調的則是哪些因素導致這種現象的發生，例如瞬息變化的原油期貨交易、重大的未決訴訟等。為便于注冊會計師理解固有風險因素，準則指南按照固有風險因素類型詳細列示了可能表明存在特定層次重大錯報風險的事項或情況示例。這一變化的根本目的在于幫助注冊會計師從源頭上識別產生風險的來源。在評估固有風險時，要從可能性和嚴重程度兩方面判斷。本次修訂還包括重新定義特別風險；在控制的基礎上區分直接控制和間接控制；在認定的基礎上增加了與審計風險“相關認定”的概念；增加與信息技術控制相關的概念等。此外，新準則對注冊會計師應了解被審計單位的內容進行了重新安排，從原來的六個方面整合為被審計單位及其環境、財務報告編制基礎及內部控制三方面，條理更為清晰，結構更為合理。

從以上注冊會計師準則變遷可以看出，風險導向的內容不斷發生著變化，風險識別的內容也隨之不斷豐富。第一階段是典型的傳統風險導向審計模式，與此前的制度基礎審計相似，注冊會計師的重點是評估內部控制。第二階段變遷為現代風險導向模式，注冊會計師不僅了解和測試內部控制，評估控制風險，還要識別和評估經營風險對報表影響的現代風險導向審計，風險導向更多偏向經營風險。第三階段，注冊會計師識別控制風險和經營風險僅僅是其中一方面，還要重點考慮固有風險因素及固有風險評估等級所確立的重大錯報風險。

三、風險導向內部審計的發展歷程

（一）風險導向內部審計的提出、推廣

20世紀90年代，風險管理在公司治理中的地位和關注度不斷提升，以增加組織價值為目標的審計職業界迅速將風險管理概念引入到了內部審計領域。1997年8月，麥克寧（McNamee）在《內部審計師》（Internal Auditor）發表文章《風險導向審計》①，提出風險導向審計是一種新的審計模式。隨后三年又繼續撰文對此進行解釋。McNamee et al.[5]認為，內部審計在制定年度計劃時應首先選擇影響企業戰略和經營目標實現的高風險領域；審計人員的工作重點應從了解和測試控制風險，轉變為如何評估組織風險以及測試管理層降低風險所采取措施的效果。

1999年6月，IIA理事會投票通過了內部審計新定義和新的專業實務框架（IPPF）。新的定義強調內部審計“通過應用系統的、規范的方法，評價并改善風險管理、控制和治理過程的效果，幫助組織實現其目標”。IIA這一定義通常被視為開始推行風險導向內部審計的標志。這一新的定義傳遞了與McNamee同樣的思想，即內部審計應致力于組織的風險管理。“現代內部審計之父”勞倫斯·索耶（Lawrence B Sawyer）編著的《索耶內部審計》（第五版）明確認可了McNamee關于風險導向審計的闡述，并指出“從風險確認到風險管理就是未來的發展潮流”。2016年出版的《布林克現代內部審計——通用知識體系》（第八版）指出，制定年度審計計劃時應考慮組織風險。2017年，IIA發布修訂后的IPPF，專門增加了“內部審計使命”，并將其放在IPPF第一部分，強調“內部審計是以風險為基礎，提供客觀的確認、建議和洞見，增加和保護組織價值”。

自IIA倡導風險導向內部審計以來，我國理論界和實務界對此展開了積極探索。一種理解是內部審計應以組織風險識別與評估作為基礎制定審計計劃和實施審計程序。例如，鄭小榮[6]指出，“風險導向內部審計是以內部審計主體組織的內部控制為基礎，同時將公司治理考慮在內的、以組織整體風險作為審計重點的一種審計”。另一種理解認為，內部審計應以組織風險的評估結果來制定年度審計計劃，確定重點審計項目，以固有風險和控制風險評估來制定具體審計方案，實施審計程序。

中國內部審計協會（CIIA）也是風險導向內部審計的倡導者和推動者，2013年發布修訂后的內部審計具體準則，準則中增加了“內部審計機構和內部審計人員應當全面關注組織風險，以風險為基礎組織實施審計業務的內容”。IIA和CIIA作為內部審計準則制定部門，對內部審計理解最為深刻，也是最有發言權的部門，其不斷推動風險導向內部審計的發展，充分說明了風險導向內部審計的必要性和可行性。

（二）風險導向內部審計準則要求

審計準則是審計思想和審計模式最權威的體現。2017版IPPF要求，“首席審計執行官必須制訂以風險為基礎的計劃，以確定與組織目標相一致的內部審計活動重點。開展每項業務都必須制訂書面計劃”。“制訂業務計劃時，內部審計師必須考慮到：被檢查活動的戰略、目標及控制其實施的方式；被檢查活動的目標、資源和運營等方面存在的重大風險以及將風險的潛在影響控制在可接受水平的方式”。

我國2023年修訂的第1101號《內部審計基本準則》第十條規定：“內部審計機構和內部審計人員應當全面關注組織風險，以風險為基礎組織實施內部審計業務”。第2101號內部審計具體準則《審計計劃》要求：“編制年度審計計劃應當結合內部審計中長期規劃，在對組織風險進行評估的基礎上，根據組織的風險狀況、管理需要和審計資源的配置情況，確定具體審計項目及時間安排”；同時，審計項目負責人應當根據被審計單位的業務活動概況、內部控制等情況，編制項目審計方案。

從IIA和CIIA有關準則來看，風險導向內部審計的主要要求體現在制定年度計劃選擇審計項目時，內部審計部門以組織戰略和經營目標實現的組織風險評估結果為依據。

（三）風險導向內部審計內涵的不足

從上述風險導向內部審計的認識歷程、準則內容可以看出，風險導向內部審計得到了普遍認可[7]。學者的撰文、內部審計組織的理論研討會成果、準則內容，都體現了實施風險導向內部審計的必要性。對風險導向審計的內涵認知雖有一定分歧，但大多數都認為，風險導向內部審計是以組織風險為導向，根據組織風險制定內部審計中長期規劃，安排年度審計項目，實施內部審計。

筆者認為，以組織風險為基礎的內部審計，符合IIA對內部審計的職能定位。但是，這種理解帶來的問題是，過于強調組織風險，容易忽略審計行為本身的風險，忽視項目風險評估的做實做細，影響項目的審計質量。項目的審計風險和組織所面臨的風險是有差別的，組織風險更宏觀和具有預見性、主觀性，而項目審計風險更微觀和具體，也相對“滯后”。

四、注冊會計師審計和內部審計中風險導向差異分析

基于對風險認識的不同，注冊會計師審計準則和內部審計準則相關規定明顯不同。注冊會計師審計以重大錯報風險為導向，內部審計以組織的戰略或經營目標風險為導向。

（一）兩種審計風險導向原因的不同，在于定位的不同

1.注冊會計師職業的產生源于公眾利益的需求。注冊會計師服務于資本市場，服務于社會。注冊會計師作為資本市場的看門人，其存在的價值在于能夠合理保證上市公司財務報告的可靠程度，供使用者做出合理決策，保障市場經濟秩序，維護公眾利益[8]。為此，注冊會計師必須充分識別和評估被審計的重大錯報風險，將審計風險控制在可接受程度，避免出現審計失敗，遭遇法律訴訟。

2.內部審計服務于組織。內部審計是組織的一部分，內部審計工作的目標必須服務于組織的戰略目標和經營目標。從公司治理角度看，內部審計既可能評估公司的重大風險因素，也可能審計公司風險管理的有效性。只有將面臨的重大風險控制在可接受范圍內，組織才會存在和發展[9]。如果內部審計不能在風險管理中發揮作用，組織可能就會面臨重大問題。因此，內部審計開展工作首先必須以組織風險為基礎，才有存在的價值，這也是IIA內部審計定義的精神。

（二）兩種審計準則詳細程度的不同，在于需求、對象、責任等的不同

1.兩者對審計的需求和審計報告使用者不同。注冊會計師審計的需求方和審計報告使用人是股東、潛在投資者、債權人、監管方、企業員工、消費者等；內部審計的需求和報告使用人主要是董事會和管理層。

2.審計失敗被發現的概率不同，審計失敗的后果不同。注冊會計師審計由于影響廣泛，財務報告信息充分披露后容易受到質疑，監管方可能會對被審計單位進行調查，從而使未發現的重大錯報曝光。內部審計時，只要審計報告能反映一些問題，也許不是最核心的問題，董事會或者管理層就可能認可報告內容，審計未發現重大問題而被發現的概率要小很多，因此內部審計對準則的需求也會低一些。

注冊會計師審計失敗后，新聞媒體迅速曝光，職業身份受到嚴重懷疑，公司客戶紛紛解約，還要接受監管部門的行政處罰，后果嚴重[10]。內部審計失敗，知曉者范圍小，內部審計相關人員通常是調離崗位、降低績效薪酬等。相比注冊會計師而言，內部審計失敗的后果要輕一些，也會導致對準則的需求會低一些。

3.審計對象不同，審計的研究者和推動者也不同。注冊會計師的審計對象主要是財務報告，內部審計對象包括業務活動、信息系統、績效管理、風險管理等[11]。前者單一，而且發展時間長，準則制訂和修訂相對容易，后者審計對象廣泛，起步較晚，準則制訂會相對復雜。

內部審計由于起步晚，研究案例和數據不易獲得，因此研究者相對會少些。同時，由于注冊會計師審計的影響范圍廣泛，職業團體推動職業發展的壓力和動力要大一些，結果就是準則的變遷比較快，準則的內容比較細致。

（三）內部審計借鑒注冊會計師風險識別與評估做法的必要性、必然性

注冊會計師如果出現審計失敗，將對資本市場造成嚴重影響，損害自身職業形象。同樣，內部審計如果在項目審計中未能發現最核心的風險事件或原因，實際上是沒有高質量完成項目審計任務，也就沒有實現內部審計增值的目標。

內部審計，雖然與注冊會計師審計存在主體、目標等多方面不同，但兩者需要收集充分適當的證據，發表適當意見的基本要求是相同的。注冊會計師財務報表審計經過二百多年的發展，審計思想不斷成熟，審計技術不斷完善，如何更有效收集證據，注冊會計師審計顯然經驗更豐富[12]。從高質量完成審計項目，從而更好實現增值目標角度來看，內部審計有必要借鑒注冊會計師風險識別與評估準則的思想和做法。實際上，《索耶內部審計》（第五版）在書中就提到了美國好事達保險公司（Allstae）的內部審計機構開發了一種業務風險清單，清單的第一項就是提供一個框架用以識別風險。Allstae的做法與中國注冊會計師準則第1211號中規定的對被審計單位及其環境、財務報告編制基礎及內部控制三個方面充分了解并進行風險識別的做法高度相似。這一事例也充分說明內部審計借鑒注冊會計師1211號準則的思想和做法的可行性。

五、對風險導向內部審計的再認識

（一）內部審計風險導向的“雙重屬性”

在制定內部審計中長期規劃和年度計劃時，充分評估影響企業戰略目標和經營目標實現的風險因素，并根據風險大小確定年度審計重點，將有限的審計資源安排在風險最高的領域，符合IIA對內部審計的職能定位。在實施具體項目審計時，可借鑒注冊會計師第三階段風險識別與評估準則的做法，通過了解項目的基本情況來識別和評估固有風險，通過對項目流程和控制進行控制風險評估，從而更好地識別和評估影響項目目標實現的重大風險（簡稱“重大項目”風險）。

因此，筆者認為，風險導向內部審計著重風險導向“雙重屬性”，以組織風險評估為導向確定年度審計項目安排，以重大項目風險評估為導向制定審計方案、實施審計程序。如果主要強調前者，容易忽視項目審計行為本身的風險評估，進而影響項目審計效果；如果主要強調后者，容易忽視內部審計在組織中的定位和價值實現。

隨著內部審計職業范圍日益拓展，內部審計不僅存在于企業，也存在于公共部門、非營利組織等機構；在不同機構，內部審計發揮的作用也各不相同，因此，僅強調內部審計增值功能不夠的。在風險導向內部審計中，風險和審計的“雙重屬性”也體現了2024年IIA發布的修訂后的《全球內部審計準則》變化。刪除“以風險為基礎”是基于：第一，風險導向審計已推廣了二十多年，注冊會計師風險導向審計已被更廣泛接受；第二，內部審計所面臨的不確定風險比注冊會計師審計風險更寬廣；第三，更好拓展內部審計功能，提高內部審計社會價值。

（二）制定基于不同行業所應了解的風險清單以及特別風險提示

為提高內部審計識別項目固有風險的效率和效果，筆者建議：第一，內部審計準則制定部門可考慮修訂準則、實務指南相應內容，明確不同類型審計項目在進行風險識別時應了解的主要內容。第二，內部審計部門可借鑒Allstae內部審計機構業務風險清單模式，結合組織或行業特點，在總結組織內部審計經驗的基礎上探索不同業務主要風險來源的規律或共性，并形成不同業務風險清單。第三，行業協會或企業集團可以開展內部審計交流，幫助內審人員從行業層面探討、總結不同業務風險內容，推廣行之有效的風險識別、評估模式與應對策略。這樣，在面對相同或類似審計業務時，可以大大提高工作質效。第四，風險識別時，重點關注典型性、普遍性或者極端性風險事件特性，分析風險事件特性與風險事件發生的可能性及其后果之間的關聯程度。對風險發生可能性大等特別風險事件，及時研究制定風險防范應對方案。由此，才能進一步發揮內部審計在助力企業高質量發展中的關鍵功能。●

【參考文獻】

［1］ 秦榮生.我國內部審計的新使命與發展新路徑［J］.會計之友，2019（8）：2-5.

［2］ 文碩.世界審計史［M］.北京：企業管理出版社，1996.

［3］ 胡春元.審計風險研究［M］.大連：東北財經大學出版社，1997.

［4］ 陳毓圭.對風險導向審計方法的由來及其發展的認識［J］.會計研究，2004（2）：58-63.

［5］ MCNAMEE D，SELIM G.The next step in risk management［J］.Internal Auditor，1999，56（3）：35-39.

［6］ 鄭小榮.風險導向內部審計若干理論問題探討［J］.審計與經濟研究，2006（1）：27-30.

［7］ 王美英，孫旭.風險導向審計應用現狀調查分析［J］.財會通訊，2018（22）：94-97.

［8］ 沈利剛.注冊會計師視角下的財務造假識別模型探究［J］.中國注冊會計師，2022（2）：104-107.

［9］ 閆麗娟，徐明華.數字化轉型背景下內部審計創新推動國企高質量發展的機制［J］.財務與會計，2023（17）：81-83.

［10］ 葉陳剛，王云漢.會計師事務所審計失敗問題研究［J］.會計之友，2020（20）：36-42.

［11］ 王莉莉，李小莉.數字經濟下區塊鏈技術與審計工作的融合［J］.會計之友，2021（21）：152-157.

［12］ 呂夢，王兵.內部審計總監的外部審計經歷與公司盈余質量［J］.審計研究，2021（1）：116-128.

【基金項目】 中國會計學會重點科研課題“中美審計監管體制比較研究”（2022KJA06）

【作者簡介】 郭會丹（1971— ），女，湖北武漢人，博士，高級會計師、注冊會計師（非執業），湖北日報傳媒集團審計部副主任，研究方向：企業財務管理、審計