对风险导向内部审计的再认识

【摘 要】 内部审计是企业高质量发展的重要助力。2024年1月9日，新修订的《全球内部审计准则》的发布进一步引发了对内部审计定位与功能的思考。文章通过对风险导向注册会计师审计和内部审计的内涵、准则发展等内容的梳理与对比，认为内部审计有必要借鉴注册会计师重大错报风险识别与评估的做法，着重建立内部审计风险导向的组织风险与重大风险“双重属性”，并结合组织或行业特点制定风险清单，以进一步有效发挥风险导向内部审计的作用。

【关键词】 内部审计； 风险导向； 组织风险； 重大错报风险

【中图分类号】 F239.45  【文献标识码】 A  【文章编号】 1004-5937（2024）05-0143-05

一、引言

党的二十大报告指出，实现高质量发展是中国式现代化的本质要求之一，而高质量的企业发展是加快建设社会主义现代化强国中至关重要的部分，其中审计监督的重要性不容忽略。尤其在新时代背景下，内部审计被赋予了新使命[1]，不断完善内部审计准则，探索有效的内部审计模式从而有效发挥内部审计作用是应有之义。2022年下半年，国际内部审计师协会（IIA）启动对2017版《国际内部审计专业实务框架》（IPPF）修订工作。2024年1月9日，IIA发布了新修订的《全球内部审计准则》，自2025年1月起正式生效。从内容来看，IIA对内部审计功能定位、内部审计模式等核心内容进行了重大调整。

《全球内部审计准则》的“内部审计宗旨”包含了原IPPF“内部审计的定义”和“内部审计使命”两部分，修订为“内部审计通过为董事会和管理层提供客观的确认和建议，推动组织获得更大的成功。内部审计强化组织的价值创造、保护和可持续性；治理、风险管理和控制过程；决策和监管；声誉和在利益相关方处的信誉；服务公共利益的能力”。该修订稿删掉了原IPPF中内部审计“以风险为基础”；同时，内部审计不仅有增值目标，而且还有强化组织声誉和服务公共利益的能力等。

定位的变化源于内部审计所服务组织的不同，以及服务目标或功能作用的不同。但删掉“以风险为基础”是否意味着风险导向模式的变化？从时间节点来看，审计职业界对注册会计师风险导向审计的认识更早，研究也更深，成果更丰富。风险导向内部审计的提出，源于审计实务中注册会计师风险导向审计功能发挥以及以企业为主体的组织对风险管控的需要。鉴于此，立足注册会计师风险导向审计，研究风险导向内部审计问题，并试图理解《全球内部审计准则》调整的根本原因、内容之间的内在逻辑，进而提出建议。

二、注册会计师风险导向审计的内涵和准则要求

（一）注册会计师风险导向审计的提出

法律诉讼使注册会计师开始重视审计失败和审计风险。审计风险概念可追溯到《蒙哥马利审计学》（1949年第七版）：“审计师在审计现场的时候，必须理解重要性和风险的概念”。1957年第八版将风险与审计程序的设计相联系。1985年第十版在谈到整体审计策略时提到：“审计师对整个审计风险的评估是极其重要的”，还分析了不同类型风险以及整体风险的计算公式。美国注册会计师协会（AICPA）1981年发布的审计准则第39号《审计抽样》建立了风险模型，1983年在审计准则第47号《审计业务中的审计风险和重要性》中对审计风险模型进行了改进。

风险这一概念在20世纪80年代的英国同样流行，并成为审计的重要组成部分。1982年Woolf在第三版的《现代审计发展》一书中用了一整章对这一概念进行了解释：风险导向审计是最近新出现的一种审计方法，被用于避免出现过度审计以及处理高度复杂的审计业务。

1997年，毕马威与大学合作的研究小组出版了研究报告《战略系统下的组织审计》，强调审计风险与企业的战略风险和经营风险是不可分割的，威胁企业经营的风险是影响审计风险的来源，有效审计需要对企业经营风险进行充分了解。

我国学者20世纪90年代初开始关注并研究风险导向审计问题。文硕1990年5月出版的《世界审计史》，介绍了审计方法发展的三个阶段，其中第三阶段就是风险导向审计[2]。随后，胡春元[3]对风险导向审计概念和具体运用进行了阐述，指出了其理论基础、产生原因及背景、审计内容和程序。进一步的，有学者认为传统审计风险模型存在缺陷，现代风险导向审计可以对其进行优化和改进[4]。

（二）注册会计师风险识别和评估准则要求

我国注册会计师审计风险准则与国际审计与鉴证准则理事会（IAASB）准则保持了全面趋同。因此，本文直接对我国相关准则进行分析，我国风险识别与评估的审计准则经历了三个阶段。

第一阶段，1995—2003年颁布的注册会计师独立审计准则体系，提出了审计风险概念及其组成要素。财政部自1995年至2003年，先后颁布6批共48项准则（含实务公告），标志着我国已初步建立起了独立审计准则体系。准则提到有关风险概念，但未明确风险识别与评估的要求。中注协在1996年公布的《独立审计具体准则第9号——内部控制和审计风险》中对审计风险进行了界定，“审计风险包括固有风险、控制风险和检查风险”。根据该准则规定，注册会计师审计时应分别评估固有风险和控制风险，并据以确定可接受的检查风险。但在实务操作中，由于固有风险评估难度以及直接将固有风险评估为高水平是准则允许的做法，不少事务所通常不评估固有风险，而是直接了解和测试内部控制、评估控制风险，然后实施实质性程序。

第二阶段，2006年准则修订，提出了重大错报风险概念。2006年2月，上述48项独立审计准则全面修订后再次颁布。《中国注册会计师审计准则第1101号——财务报表审计目标和一般原则》将传统审计风险模型中固有风险和控制风险合并为重大错报风险；《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》强调通过实施必要审计程序从六个方面了解被审计单位及其环境，以识别、评估报表层和认定层的重大错报风险；《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》则要求注册会计师针对报表层的重大错报风险制定总体应对措施，对认定层的重大错报风险则需设计并实施进一步审计程序，包括控制测试和实质性程序。

2006年修订的准则对提高审计工作质量，降低市场风险，维护资本市场秩序发挥了重要作用，但在具体运用上有一些问题。比如风险识别事项的内在逻辑关系、风险事项如何影响会计报表等等没有特别明确，导致不少注册会计师仅按准则实施风险识别程序，没有深入思考和判断风险事项所可能导致的重大错报，以至于在审计实务中仍有不少未能识别出的重大错报案例出现。2010年和2019年，中注协对上述风险识别与评估准则进行了修订，没有实质性变化。

第三阶段，2022年准则修订，提出了固有风险因素等概念。为持续提升审计质量，应对资本市场层出不穷的财务舞弊，保持我国审计准则的国际趋同，中注协组织修订了风险识别与评估等准则。

本次准则修订主要变化是增加了固有风险因素的概念。如果说固有风险是现象，固有风险因素强调的则是哪些因素导致这种现象的发生，例如瞬息变化的原油期货交易、重大的未决诉讼等。为便于注册会计师理解固有风险因素，准则指南按照固有风险因素类型详细列示了可能表明存在特定层次重大错报风险的事项或情况示例。这一变化的根本目的在于帮助注册会计师从源头上识别产生风险的来源。在评估固有风险时，要从可能性和严重程度两方面判断。本次修订还包括重新定义特别风险；在控制的基础上区分直接控制和间接控制；在认定的基础上增加了与审计风险“相关认定”的概念；增加与信息技术控制相关的概念等。此外，新准则对注册会计师应了解被审计单位的内容进行了重新安排，从原来的六个方面整合为被审计单位及其环境、财务报告编制基础及内部控制三方面，条理更为清晰，结构更为合理。

从以上注册会计师准则变迁可以看出，风险导向的内容不断发生着变化，风险识别的内容也随之不断丰富。第一阶段是典型的传统风险导向审计模式，与此前的制度基础审计相似，注册会计师的重点是评估内部控制。第二阶段变迁为现代风险导向模式，注册会计师不仅了解和测试内部控制，评估控制风险，还要识别和评估经营风险对报表影响的现代风险导向审计，风险导向更多偏向经营风险。第三阶段，注册会计师识别控制风险和经营风险仅仅是其中一方面，还要重点考虑固有风险因素及固有风险评估等级所确立的重大错报风险。

三、风险导向内部审计的发展历程

（一）风险导向内部审计的提出、推广

20世纪90年代，风险管理在公司治理中的地位和关注度不断提升，以增加组织价值为目标的审计职业界迅速将风险管理概念引入到了内部审计领域。1997年8月，麦克宁（McNamee）在《内部审计师》（Internal Auditor）发表文章《风险导向审计》①，提出风险导向审计是一种新的审计模式。随后三年又继续撰文对此进行解释。McNamee et al.[5]认为，内部审计在制定年度计划时应首先选择影响企业战略和经营目标实现的高风险领域；审计人员的工作重点应从了解和测试控制风险，转变为如何评估组织风险以及测试管理层降低风险所采取措施的效果。

1999年6月，IIA理事会投票通过了内部审计新定义和新的专业实务框架（IPPF）。新的定义强调内部审计“通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标”。IIA这一定义通常被视为开始推行风险导向内部审计的标志。这一新的定义传递了与McNamee同样的思想，即内部审计应致力于组织的风险管理。“现代内部审计之父”劳伦斯·索耶（Lawrence B Sawyer）编着的《索耶内部审计》（第五版）明确认可了McNamee关于风险导向审计的阐述，并指出“从风险确认到风险管理就是未来的发展潮流”。2016年出版的《布林克现代内部审计——通用知识体系》（第八版）指出，制定年度审计计划时应考虑组织风险。2017年，IIA发布修订后的IPPF，专门增加了“内部审计使命”，并将其放在IPPF第一部分，强调“内部审计是以风险为基础，提供客观的确认、建议和洞见，增加和保护组织价值”。

自IIA倡导风险导向内部审计以来，我国理论界和实务界对此展开了积极探索。一种理解是内部审计应以组织风险识别与评估作为基础制定审计计划和实施审计程序。例如，郑小荣[6]指出，“风险导向内部审计是以内部审计主体组织的内部控制为基础，同时将公司治理考虑在内的、以组织整体风险作为审计重点的一种审计”。另一种理解认为，内部审计应以组织风险的评估结果来制定年度审计计划，确定重点审计项目，以固有风险和控制风险评估来制定具体审计方案，实施审计程序。

中国内部审计协会（CIIA）也是风险导向内部审计的倡导者和推动者，2013年发布修订后的内部审计具体准则，准则中增加了“内部审计机构和内部审计人员应当全面关注组织风险，以风险为基础组织实施审计业务的内容”。IIA和CIIA作为内部审计准则制定部门，对内部审计理解最为深刻，也是最有发言权的部门，其不断推动风险导向内部审计的发展，充分说明了风险导向内部审计的必要性和可行性。

（二）风险导向内部审计准则要求

审计准则是审计思想和审计模式最权威的体现。2017版IPPF要求，“首席审计执行官必须制订以风险为基础的计划，以确定与组织目标相一致的内部审计活动重点。开展每项业务都必须制订书面计划”。“制订业务计划时，内部审计师必须考虑到：被检查活动的战略、目标及控制其实施的方式；被检查活动的目标、资源和运营等方面存在的重大风险以及将风险的潜在影响控制在可接受水平的方式”。

我国2023年修订的第1101号《内部审计基本准则》第十条规定：“内部审计机构和内部审计人员应当全面关注组织风险，以风险为基础组织实施内部审计业务”。第2101号内部审计具体准则《审计计划》要求：“编制年度审计计划应当结合内部审计中长期规划，在对组织风险进行评估的基础上，根据组织的风险状况、管理需要和审计资源的配置情况，确定具体审计项目及时间安排”；同时，审计项目负责人应当根据被审计单位的业务活动概况、内部控制等情况，编制项目审计方案。

从IIA和CIIA有关准则来看，风险导向内部审计的主要要求体现在制定年度计划选择审计项目时，内部审计部门以组织战略和经营目标实现的组织风险评估结果为依据。

（三）风险导向内部审计内涵的不足

从上述风险导向内部审计的认识历程、准则内容可以看出，风险导向内部审计得到了普遍认可[7]。学者的撰文、内部审计组织的理论研讨会成果、准则内容，都体现了实施风险导向内部审计的必要性。对风险导向审计的内涵认知虽有一定分歧，但大多数都认为，风险导向内部审计是以组织风险为导向，根据组织风险制定内部审计中长期规划，安排年度审计项目，实施内部审计。

笔者认为，以组织风险为基础的内部审计，符合IIA对内部审计的职能定位。但是，这种理解带来的问题是，过于强调组织风险，容易忽略审计行为本身的风险，忽视项目风险评估的做实做细，影响项目的审计质量。项目的审计风险和组织所面临的风险是有差别的，组织风险更宏观和具有预见性、主观性，而项目审计风险更微观和具体，也相对“滞后”。

四、注册会计师审计和内部审计中风险导向差异分析

基于对风险认识的不同，注册会计师审计准则和内部审计准则相关规定明显不同。注册会计师审计以重大错报风险为导向，内部审计以组织的战略或经营目标风险为导向。

（一）两种审计风险导向原因的不同，在于定位的不同

1.注册会计师职业的产生源于公众利益的需求。注册会计师服务于资本市场，服务于社会。注册会计师作为资本市场的看门人，其存在的价值在于能够合理保证上市公司财务报告的可靠程度，供使用者做出合理决策，保障市场经济秩序，维护公众利益[8]。为此，注册会计师必须充分识别和评估被审计的重大错报风险，将审计风险控制在可接受程度，避免出现审计失败，遭遇法律诉讼。

2.内部审计服务于组织。内部审计是组织的一部分，内部审计工作的目标必须服务于组织的战略目标和经营目标。从公司治理角度看，内部审计既可能评估公司的重大风险因素，也可能审计公司风险管理的有效性。只有将面临的重大风险控制在可接受范围内，组织才会存在和发展[9]。如果内部审计不能在风险管理中发挥作用，组织可能就会面临重大问题。因此，内部审计开展工作首先必须以组织风险为基础，才有存在的价值，这也是IIA内部审计定义的精神。

（二）两种审计准则详细程度的不同，在于需求、对象、责任等的不同

1.两者对审计的需求和审计报告使用者不同。注册会计师审计的需求方和审计报告使用人是股东、潜在投资者、债权人、监管方、企业员工、消费者等；内部审计的需求和报告使用人主要是董事会和管理层。

2.审计失败被发现的概率不同，审计失败的后果不同。注册会计师审计由于影响广泛，财务报告信息充分披露后容易受到质疑，监管方可能会对被审计单位进行调查，从而使未发现的重大错报曝光。内部审计时，只要审计报告能反映一些问题，也许不是最核心的问题，董事会或者管理层就可能认可报告内容，审计未发现重大问题而被发现的概率要小很多，因此内部审计对准则的需求也会低一些。

注册会计师审计失败后，新闻媒体迅速曝光，职业身份受到严重怀疑，公司客户纷纷解约，还要接受监管部门的行政处罚，后果严重[10]。内部审计失败，知晓者范围小，内部审计相关人员通常是调离岗位、降低绩效薪酬等。相比注册会计师而言，内部审计失败的后果要轻一些，也会导致对准则的需求会低一些。

3.审计对象不同，审计的研究者和推动者也不同。注册会计师的审计对象主要是财务报告，内部审计对象包括业务活动、信息系统、绩效管理、风险管理等[11]。前者单一，而且发展时间长，准则制订和修订相对容易，后者审计对象广泛，起步较晚，准则制订会相对复杂。

内部审计由于起步晚，研究案例和数据不易获得，因此研究者相对会少些。同时，由于注册会计师审计的影响范围广泛，职业团体推动职业发展的压力和动力要大一些，结果就是准则的变迁比较快，准则的内容比较细致。

（三）内部审计借鑒注册会计师风险识别与评估做法的必要性、必然性

注册会计师如果出现审计失败，将对资本市场造成严重影响，损害自身职业形象。同样，内部审计如果在项目审计中未能发现最核心的风险事件或原因，实际上是没有高质量完成项目审计任务，也就没有实现内部审计增值的目标。

内部审计，虽然与注册会计师审计存在主体、目标等多方面不同，但两者需要收集充分适当的证据，发表适当意见的基本要求是相同的。注册会计师财务报表审计经过二百多年的发展，审计思想不断成熟，审计技术不断完善，如何更有效收集证据，注册会计师审计显然经验更丰富[12]。从高质量完成审计项目，从而更好实现增值目标角度来看，内部审计有必要借鉴注册会计师风险识别与评估准则的思想和做法。实际上，《索耶内部审计》（第五版）在书中就提到了美国好事达保险公司（Allstae）的内部审计机构开发了一种业务风险清单，清单的第一项就是提供一个框架用以识别风险。Allstae的做法与中国注册会计师准则第1211号中规定的对被审计单位及其环境、财务报告编制基础及内部控制三个方面充分了解并进行风险识别的做法高度相似。这一事例也充分说明内部审计借鉴注册会计师1211号准则的思想和做法的可行性。

五、对风险导向内部审计的再认识

（一）内部审计风险导向的“双重属性”

在制定内部审计中长期规划和年度计划时，充分评估影响企业战略目标和经营目标实现的风险因素，并根据风险大小确定年度审计重点，将有限的审计资源安排在风险最高的领域，符合IIA对内部审计的职能定位。在实施具体项目审计时，可借鉴注册会计师第三阶段风险识别与评估准则的做法，通过了解项目的基本情况来识别和评估固有风险，通过对项目流程和控制进行控制风险评估，从而更好地识别和评估影响项目目标实现的重大风险（简称“重大项目”风险）。

因此，笔者认为，风险导向内部审计着重风险导向“双重属性”，以组织风险评估为导向确定年度审计项目安排，以重大项目风险评估为导向制定审计方案、实施审计程序。如果主要强调前者，容易忽视项目审计行为本身的风险评估，进而影响项目审计效果；如果主要强调后者，容易忽视内部审计在组织中的定位和价值实现。

随着内部审计职业范围日益拓展，内部审计不仅存在于企业，也存在于公共部门、非营利组织等机构；在不同机构，内部审计发挥的作用也各不相同，因此，仅强调内部审计增值功能不够的。在风险导向内部审计中，风险和审计的“双重属性”也体现了2024年IIA发布的修订后的《全球内部审计准则》变化。删除“以风险为基础”是基于：第一，风险导向审计已推广了二十多年，注册会计师风险导向审计已被更广泛接受；第二，内部审计所面临的不确定风险比注册会计师审计风险更宽广；第三，更好拓展内部审计功能，提高内部审计社会价值。

（二）制定基于不同行业所应了解的风险清单以及特别风险提示

为提高内部审计识别项目固有风险的效率和效果，笔者建议：第一，内部审计准则制定部门可考虑修订准则、实务指南相应内容，明确不同类型审计项目在进行风险识别时应了解的主要内容。第二，内部审计部门可借鉴Allstae内部审计机构业务风险清单模式，结合组织或行业特点，在总结组织内部审计经验的基础上探索不同业务主要风险来源的规律或共性，并形成不同业务风险清单。第三，行业协会或企业集团可以开展内部审计交流，帮助内审人员从行业层面探讨、总结不同业务风险内容，推广行之有效的风险识别、评估模式与应对策略。这样，在面对相同或类似审计业务时，可以大大提高工作质效。第四，风险识别时，重点关注典型性、普遍性或者极端性风险事件特性，分析风险事件特性与风险事件发生的可能性及其后果之间的关联程度。对风险发生可能性大等特别风险事件，及时研究制定风险防范应对方案。由此，才能进一步发挥内部审计在助力企业高质量发展中的关键功能。●

【参考文献】

［1］ 秦荣生.我国内部审计的新使命与发展新路径［J］.会计之友，2019（8）：2-5.

［2］ 文硕.世界审计史［M］.北京：企业管理出版社，1996.

［3］ 胡春元.审计风险研究［M］.大连：东北财经大学出版社，1997.

［4］ 陈毓圭.对风险导向审计方法的由来及其发展的认识［J］.会计研究，2004（2）：58-63.

［5］ MCNAMEE D，SELIM G.The next step in risk management［J］.Internal Auditor，1999，56（3）：35-39.

［6］ 郑小荣.风险导向内部审计若干理论问题探讨［J］.审计与经济研究，2006（1）：27-30.

［7］ 王美英，孙旭.风险导向审计应用现状调查分析［J］.财会通讯，2018（22）：94-97.

［8］ 沈利刚.注册会计师视角下的财务造假识别模型探究［J］.中国注册会计师，2022（2）：104-107.

［9］ 闫丽娟，徐明华.数字化转型背景下内部审计创新推动国企高质量发展的机制［J］.财务与会计，2023（17）：81-83.

［10］ 叶陈刚，王云汉.会计师事务所审计失败问题研究［J］.会计之友，2020（20）：36-42.

［11］ 王莉莉，李小莉.数字经济下区块链技术与审计工作的融合［J］.会计之友，2021（21）：152-157.

［12］ 吕梦，王兵.内部审计总监的外部审计经历与公司盈余质量［J］.审计研究，2021（1）：116-128.

【基金项目】 中国会计学会重点科研课题“中美审计监管体制比较研究”（2022KJA06）

【作者简介】 郭会丹（1971— ），女，湖北武汉人，博士，高级会计师、注册会计师（非执业），湖北日报传媒集团审计部副主任，研究方向：企业财务管理、审计