一、風險導向型內部審計的含義及特點
(一)風險導向型內部審計的含義
狹義的企業風險指有礙于組織目標實現的威脅因素,通常分為三大類:外部環境風險、經營過程和資產損失風險、以及信息風險。由于事后補償的保險難以發揮對組織風險結果予以彌補的作用,因此,風險管理既是必要的,又是可行的。基于此,COSO委員會于2004年正式提出《企業風險管理框架》(簡稱ERM),將企業風險管理定義為:是一個受機構的董事會、管理層以及其他人員影響的過程,它可以運用在戰略設定并貫穿于企業當中,設計企業風險管理旨在確認影響機構的潛在事件,并在風險偏好內管理風險,為機構目標的實現提供合理的保證。企業風險管理(ERM)由以下八個要素構成:內部環境、目標設定、事件確認、風險評估、風險回應、控制活動、信息和溝通、監控。這八個方面組成要素是一個有機的整體,體現的是一個動態的過程。一種觀點認為,風險導向型內部審計的風險就是審計風險;而另一種觀點則認為,所謂的“風險”不是單純意義的“審計風險”,更大意義上是指企業風險。在《布林克現代內部審計學》第六版中提到“現在的內部審計人員要運用前后一致的方法來理解和評估審計風險,包括與單個被審計機構有關聯的風險以及整個組織所面臨的整體風險”,可見,風險導向型內部審計是以審計風險模型為審計方法,以對整個組織的風險進行評估與改善為最終目的的一種審計理念。
(二)風險導向型內部審計的特點
與制度導向型內部審計相比,風險導向型內部審計具有以下特點:
一是風險導向型內部審計的基礎是內部控制。COSO將內部控制定義為:內部控制是一個過程,受機構的董事會、管理層以及其他人員的影響,設計內部控制是為以下類別的目標的實現提供合理的保證:運營的效果和效率、財務報告的可靠性、以及遵守適用的法
