二、风险导向内部审计的基本特点

　　（一）内部控制是风险导向内部审计的基础 中华会计网

　　对于内部审计，内部控制极端重要。首先，从理论上讲，内部审计是内部控制的一个重要环节，是对其它内部控制环节的再控制，没有内部控制就没有内部审计；其次，自从走上独立的职业化道路以后，内部审计把内部控制作为其基本业务这一事实始终未变。《内部审计实务标准框架》虽然将内部审计的业务范围拓展到风险管理和治理程序，但是依然将控制的评估和改善作为其三大内容之一；再次，内部控制还是内部审计其它两个业务活动的基础。内部审计工作要得到董事会和审计委员会的认可与采信，最重要的是因为内部审计师作为内部控制方面的专家，而不是风险管理方面的专家。内部审计要对公司的风险管理加以评估与改善，也首先得从内部控制领域中的风险做起。可见，内部控制是内部审计的安身立命之本，是风险导向内部审计进入公司治理、评估改善组织风险的基础。

　　（二）对风险的评估与改善是风险导向内部审计的首要目标 中华会计网

　　不论内部审计对内部控制进行评估与改善，还是对公司治理程序进行评估与改善，都应该是以风险评估与改善作为首要目标。如果说公司治理是企业董事会对风险管理的战略反应、内部控制是企业对风险的战术反应，那么内部审计就是对组织全部风险的一般反应，其一切活动都要以风险作为出发点和落脚点。首先，内部审计充分利用在内部控制领域的专家地位，联系组织的目标评估与分析内部控制中的风险，直接报告给管理者，在需要时通过审计委员会报告给董事会；其次，内部审计帮助董事会在进行战略决策、重大人事的任免和重大的投资和财务计划的制订方面识别和评估风险，以确保组织重大决策的正确实施；最后，内部审计要利用自己对组织内部的全面了解和对风险的直观认识，为专业的风险管理部门提供咨询与保证活动，参与企业的整合风险管理。总之，风险导向内部审计不是在简单的内部控制领域消极地查错防弊，而必须以组织的整体风险评估作为自己的首要工作目的。

　　三、企业风险管理框架与风险导向内部审计的联系

　　在IIA通过修改内部审计定义倡导风险导向内部审计以后，COSO（反欺诈性财务报告委员会）在2004年正式提出《企业风险管理框架》（简称ERM），重新修改了内部控制的定义。新定义将原来的内部控制进行了多方面的修改与补充，更突出了对企业风险的高度关注，这与IIA以整个组织风险的评估与改善为中心任务的风险导向审计理念不谋而合。因而，探讨风险导向内部审计与企业风险管理框架之间的联系，就成为探讨风险导向内部审计无法回避的理论问题之一。

　　（一）风险导向内部审计的对象就是企业风险管理框架

　　尽管1992年COSO的整体架构在提高人们对内部控制的认识程度、加强内部控制在公司治理中的作用方面发挥了重要的作用，但是没有将确定目标、战略规划、风险管理和纠错行动包括在内。自从其发布以来，遭受了持续的批评甚至否定。内部控制整体架构被普遍认为是用来减少外部审计职业风险，而非服务于管理者的、以企业会计财务控制为中心的财务报告质量控制框架，CoCo控制指南、MBNQA评价标准、IIA内部控制指南纷纷出台并在企业风险日益威胁企业生存的环境中得到越来越广泛的应用。COSO整体架构面临严峻的挑战，企业风险管理框架就是COSO应对这种挑战的产物[4].

　　ERM是一个包含四个目标、八个要素和四个层次的整合框架，四个目标、八个要素和四个层次相互交叉，和原来的ICIF相比，完全体现了管理者以企业风险管理为己任的理念。首先，ERM在目标方面增加了战略目标，将对企业的风险关注重点引向了重大的、根本性的战略问题；其次，在ICIF五要素的基础上增加了目标设定、事件识别和风险评估三个要素，与原来的风险评估要素一起构成了一个完整的风险管理的基本过程；最后，ERM强调将企业风险管理覆盖所有层次，包括业务单元、子公司、分支机构和公司的整体层次，而业务单元、子公司、分支机构和公司的整体层次正是公司治理和内部控制涉及的全部领域。可见，ERM是一个整合公司治理和内部控制的企业风险管理框架，它关注包括公司治理领域和内部控制环节的风险在内的一切风险，而公司治理领域和包括内部控制环节的风险在内的所有风险正是风险导向内部审计的对象。所以，企业风险管理框架就可以被视为风险导向内部审计的对象。

中国会计网