一、风险导向内部审计的涵义
所谓风险导向内部审计是指内审人员在审计过程自始至终都以企业风险分析评估为导向，根据量化的分析水平排定审计项目优先次序，依据风险确定审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性意见和建议，协助企业管理风险，实现企业价值增值的独立、客观的签证和咨询活动。这里的风险应该是我们通常说的广义的风险既包括正面的风险，即机会；也包括负面风险，即狭义风险。

国际内部审计协会(IIA)2001年对风险定义为可能对目标的实现产生影响的事件发生的不确定性，并指出风险的衡量标准是后果与可能性。2002年，英国风险管理协会(IRM)、保险和风险管理师协会(AIRMIC)以及公共部门风险管理协会(ALARM)共同发布了风险管理标准，采纳了国际标准化组织对风险所做出的定义：风险是事件及其后果的可能性的结合。2007年召开的国际标准化组织（ISO）技术管理局风险管理工作组第四次工作组会议，采纳了我国代表提出的“风险”定义：不确定性对目标的影响。可见,风险既关注积极面，也关注消极面。

5、提高内部审计人员的素质

IIA1990——2000年度主席约翰逊(HowardJohnson)认为，在风险导向阶段，内部审计人员必须具备以下品质:第一，具有广博的知识。了解组织、行业与竞争情况、特定职能、流程与整个组织的关系，善用科技手段分析有关资料；第二，化被动为主动，主动确认、分析风险、寻找问题所在，寻找服务机会；第三，年度审计计划应关注现在及未来，具有前瞻性和弹性；第四，表达意见必须做到公平性；第五，具有强烈的未知欲，培养多元化的专业技能，做到训练有素；第六，与组织内部各单位及各阶层管理者应建立良好的合作关系；第七，必须保持良好的工作心态，包括积极进取、追求卓越、有紧迫感、换位思考、相信并鼓励他人、更具活力、积极表达意见并与管理当局讨论重要问题、决心做出非凡成就等。因此，审计人员必须注重知识的更新和知识面的扩展，不仅要精通财会、审计知识，还要具有经济管理、金融、统计、工程技术、法律、信息和计算机等方面的专业知识；要不断通过后续教育，培养审计人员的专业胜任能力，通过审计实践，提高审计人员敏锐的洞察力、判断力和组织协调能力等；要加强内部审计人员的职业道德教育，增加审计人员的责任感和使命感，要求审计人员恪守客观、公正、廉洁的职业道德，要求内部审计人员要有对企业负责的态度和为企业管理服务的精神，认真履行职责，逐步建立起一支具有现代知识素养和职业道德水准的内部审计队伍。除此之外，内部审计人员要提高处理人际关系的能力和技巧。只有与被审计单位以及企业董事会、管理层和内部各个职能部门保持良好的关系，才能使内部审计工作得到他人的理解和支持，内部职能得以发挥，内部审计报告得到重视，内部审计目标得以实现。

6、推广计算机审计，提高内部审计效率 

随着会计电算化的日益普及，审计技术日新月异，尤其是近年来随着审计信息化进程的加快，计算机审计成为主流。正如李金华审计长指出的“计算机审计是一场革命”，“审计人员不掌握计算机，将失去审计资格”。利用计算机比手工更迅速、更有效地完成审阅、核对、分析、比较等各项企业的各种信息，对内部财务信息系统及会计工作实施有效监控与评价，对企业资金、各种资产进行密切跟踪，从而有利于评估风险以及实现事前、事中、事后审计。然而，目前我国采用计算机审计才刚刚起步，企业机器内部审计部门和有关审计人员对计算机审计的重要性和紧迫性的认识还不够统一、不够到位、不够深刻。因此，我国企业内部审计机构应积极开发和引进计算机审计，争取早日实现审计工作的信息化；同时内部审计部门可以专门配备或外聘信息技术方面的人员或机构，积极开发和使用电算化审计软件，设计开发计算机辅助审计系统，建立审计数据库，并保证数据的完整和准确。另外，有关部门要加大对内部审计人员的计算机基本技能普及培训力度，在此基础上进行中级、高级培训，将培训的内容不断深化并拓宽，将计算机知识和审计知识融会贯通。建立各类培训的跟踪反馈机制，通过合理的评估体系，分析学员通过培训后在实际业务中发挥的效用，及时检验培训的效果。

二、风险导向内部审计与传统内部审计的比较

麦克宁(McNamee)关于内部审计新旧范式路线图反映了风险导向内部审计目标与企业目标的契合，如图所示。传统内部审计通常采用从右到左的路线，即直接测试内部控制，考虑内部控制是否充分有效，而风险的大小仅用于表明控制的薄弱与健全环节，从而实现防弊或者兴利的目标。这种范式使内部审计被埋葬于反映过去的细节之中，结果是建议管理层增加控制点或加强控制，这样随着时间的推移，控制点越来越多，审计业务越来越繁琐缓慢，甚至出现多余控制阻碍各项程序正常运转的情况。尽管有着防弊与兴利的审计目标，但是无法与企业目标相关联导致内部审计无法证明其价值所在，从而引发内部审计的生存危机。 　　

风险导向内部审计采取的路线是从左到右，首先确认企业目标或某项交易的目标，然后分析对这些目标产生影响的风险，确定审计风险水平和审计重点,提出风险防范和控制建议，最后通过后续审计，测定风险是否得到有效防范和控制。内部审计人员关注的并非控制的充分性和遵循性，而是风险是否得到适当管理和控制。这样审计建议可以直接针对企业实现目标过程中面临的主要问题和风险，并将事后评价反馈延伸到事前和事中。内部审计人员通过风险与企业目标的实现直接联系起来，其服务对公司治理层及管理层而言非常有价值，使内部审计成为企业价值链中的必要环节。

三、风险导向内部审计重要作用

英国与爱尔兰内部审计协会2003年8月颁布了关于“风险导向内部审计”的立场公告(PositionStatement)，对风险导向内部审计在风险管理中的作用做出了阐述。在立场公告中，风险导向内部审计的作用是根据企业风险管理的不同水平展开的，如下表表示：

英格兰-威尔士特许会计师协会颁布的《实施Turnbull》的指导意见以及国际内部审计协会(IIA)发布的《内部审计实务标准》的事务公告中，都对内部审计在风险管理过程中的作用做了阐述。我们不难发现：风险导向内部审计对现代企业管理特别是风险管理（风险预测、风险识别、风险评估、风险应对等）过程中的作用越来越重要。 

四、国外风险导向内部审计的发展

从90年代后半期开始，麦克宁(McNamee)和塞林(Selim)等学者开始致力于研究风险导向内部审计的新范式并提出了许多新的观点。1999年6月，IIA经过几年的调研之后，通过了基于风险导向的内部审计新定义和内部审计职业实务标准框架的内容，并于2001年正式实施。因此，从20世纪90年代末开始，内部审计进入了风险导向阶段。

2001年国际内部审计协会(IIA)在其发布的《内部审计实务标准》（2002年1月开始实施）中对内部审计的定义，就是风险导向内部审计的体现。根据该定义，推行风险导向内部审计就是要求内部审计以内部控制作为生存与发展的基础，以公司治理作为参与风险管理的前提条件，以对组织风险的评估与改善作为基本目标。这一标准将内部审计工作引向了风险导向内部审计。比照1993年版本，一个最为显著的变化是风险贯穿始终。根据这一版本，内部审计重点关注风险管理。

2003年国际内部审计协会（IIA）对2001年新发布的《内部审计实务标准》修改后，新标准于2004年1月l日开始生效，在内容上也自始至终都贯穿着风险审计的主导思想。新标准将内部审计定义为：内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。这一新定义，以风险为基础，对内部审计的对象、日标、职能进行了重新定位，推动风险导向内部审计进一步向前发展。
国际内部审计协会（IIA）在2004年和2005年又对《内部审计实务标准》修订后，在内容上也自始至终都贯穿着风险审计的主导思想。由此可见，风险导向审计已成为审计基本方法发展的国际趋势。

五、风险导向内部审计在我国的应用现状

按照国际内部审计师协会（II2）的建议，2002年1月1日开始实施的《内部审计实务标准》将企业的内部审计工作推向了风险审计的轨道，这一系统性的改变，必将使内部审计更好地发挥作用，以满足企业经营管理的需要。我国内部审计准则的基本准则和具体准则也充分考虑了这一新动向。2004年，我国内部审计协会发布了《内部审计具体准则第16号——风险管理审计》的征求意见稿，对内部审计在风险管理中的应用进行了探讨。

2005年，我国内部审计协会发布第三批内部审计具体准则，将风险管理审计纳入内部审计准则体系中，并要求于2005年5月1日起予以施行。该批准则的发布和实施，足见我国的内部审计已发展到了风险导向阶段。然而，风险导向内部审计在我国仍处于起步阶段，风险管理又迫切需要内部审计的参与，因此完善我国内部审计、积极推进内部审计在风险管理中的应用，已成为我国内部审计发展的重要课题。

由于我国风险导向内部审计尚处于起步阶段，无论是理论界还是实务界，均对其开始关注和探索，但尚未成熟；企业往往是按照法律法规的要求被动进行，并非出于企业自身考虑主动进行，而且企业的这种风险管理活动往往只是才采取“亡羊补牢”式的风险应对措施，可见，我国风险管理体系不完善；单一的内部审计人员导致内部审计范围过窄，审计效率低下，且难以实现对企业风险的管理、控制和治理过程而进行全面综合的评价；风险管理缺乏成熟的理论指导，而落后的风险管理方法直接导致企业不能恰当地预测风险、识别风险、评估风险和应对风险，进而影响企业目标的顺利实现；内部审计人员对风险管理还不甚了解，缺乏风险管理意识，尚未认识到风险管理的重要性，从而内部审计在风险管理中未能充分发挥作用。

六、推进我国风险导向内部审计运用的建议 

目前，我国的内部审计制度目前还很薄弱，但这并不表示不能实施风险导向内部审计，因为哪里有风险,哪里就可以有风险导向内部审计。风险导向内部审计在我国的运用，笔者认为要从以下几方面努力：

1、转变内部审计观念，充分发挥内部审计在风险管理中的作用

只要我们能及时把握机遇，善于迎接挑战，我们就能更快、更好地实现会议确定的奋斗目标，有效地促进内部审计事业地发展。但是，能否把握机遇，克服困难，战胜挑战，最重要的是人的思想观念要转变，要跟上时代发展的潮流。一切事物都处在不断的发展、变化中，我们必须用发展的观点来观察处理一切事物。随着现代公司制企业的迅速兴起，内部审计不再仅是强化控制、提高控制效率和效果，应该转向规避风险、转移风险和控制风险，通过风险管理的有效化，提高企业整体管理效率和效果。美国通用汽车公司已修改了内部审计章程，以“参与风险管理，提供独立评价和建议”作为内部审计的重新定位。我国内部审计也应当尽快更新观念，转换角色，加强与企业各部门的配合和沟通，为内部审计积极参与风险管理奠定基础。

2、兼顾内部审计的独立性和客观性

独立性和客观性是实施风险导向审计的必要条件之一。独立性通常被认为是内部审计最为重要的属性，但是长期以来,对“独立”属性的强调会导致内部审计人员与企业管理层之间的敌对关系，双方无法心平气和地沟通，内部审计“咨询顾问”、“业务伙伴”的角色也就无法体现，所以要在强调内部审计独立的同时兼顾其客观性。国际内部审计协会(IIA)2001年颁发的内部审计定义中用“独立、客观”取代了此前六十年所有定义中都没有改变的“独立”对独立性与客观性进行了区分：要求独立的是内部审计的活动，而内部审计人员个人的首要目标是客观性，前者指内部审计机构的独立性，后者指内部审计人员的客观性机构的独立性要求内部审计机构在报告结果时必须独立，在确定审计范围、实施审计程序、报告审计结果时不受干扰。个人的客观性要求内部审计人员必须有公正的态度，不偏不倚，避免利益冲突。在两权分离的企业中，应使内部审计组织直接受单位内部最最高管理层（董事会）的领导，为内部审计机构实施审计程序提供权利上的保证的同时还要创造出和内部审计服务发生有关的良好环境（个人环境和总体环境）以保证内部审计人员评估、判断以及决策的质晕。

3、必须建立起一套完备、健全的法律规范体系

《审计署关于内部审计工作的规定》（简称《规定》）已于2003年3月4日发布，自2003年5月1日起施行。根据《规定》，中国内部审计协会制定了《内部审计基本准则》、《内部审计人员职业道德规范》和10个具体准则，准则于2003年4月12日发布并自2003年6月1日起施行。至今，中国内部审计协会已经颁布了27个内部审计具体准则。这些法规、规章是起到了一定的作用，但与内部审计的发展要求还相差甚远。法令的制度与配合必然更能带动一种新方法的运作和发展,对于风险导向内部审计也是如此。因此，完善我国现有的法律制度环境，是推行风险导向审计的必要前提。建议有关法律和审计部门能共同致力于这方面成果的出台,我国的法律制度环境才能得到明显改善，才能真正与风险导向审计相适应，为之提供必要的客观环境。

4、改进内部审计人员的专业结构

根据郭化林等（2002）对我国一定范围企业的调查显示，内部审计人员中71%以上是财务会计和审计专业，法律、统计、金融以及企业管理专业的占14％，机械制造和建筑专业的各占4％。可见，现有内部审计人员专业结构不合理，基本上都是财会专业，在经营管理方面有所欠缺。无法适应现代内部审计发展要求的实际，应结合企业生产技术的特点，增加具备经济学和企业管理学知识的专家以及其他专业人员，包括内部控制专家、风险管理专家、公司治理专家和信息系统专家，以组成有各方面综合能力的内部审计项目组，逐步改善内部审计队伍的专业结构，使内部审计人员的专业结构趋向合理，以适应现代内部审计发展的要求。