中國內部審計協(xié)會一直致力于建立一套以內部控制和風險管理為導向的內部審計準則體系。但是，由于內部控制與風險管理之間的關系還沒有理順，這直接導致風險導向審計中的風險定位問題存在較大爭議。

　　摘要：基于內部控制職能論，風險導向審計中的風險應該被定位為“企業(yè)全面風險”。風險導向審計既以全面風險管理為基礎，又具有相對獨立性。由于內部控制等同于風險管理，因此現(xiàn)行內部審計準則中的《內部控制審計》準則與《風險管理審計》準則應該合二為一。從層次上看，《內部控制審計》準則居于主導地位，而《經濟性審計》、《效率性審計》、《效果性審計》和《遵循性審計》等準則居于從屬地位。“3E”審計內生于內部控制審計之中。

　　關鍵詞：風險導向審計,全面風險管理,內部審計準則

　　中國內部審計準則中與內部控制和風險管理相關的各審計準則之間的關系也有待進一步明確，譬如：第5號準則《內部控制審計》與第16號準則《風險管理審計》之間是何關系；第12號《遵循性審計》、第21號《內部審計的控制自我評估法》、第25號《經濟性審計》、第26號《效果性審計》和第27號《效率性審計》等準則之間及其與第5號、第16號準則之間是何關系。在實務中，內部審計人員也產生了一些困惑：內部控制審計和風險管理審計究竟有何不同？風險導向審計與全面風險管理之間是何關系？因此，有必要在中國內部審計協(xié)會修訂內部審計準則之際，對這些問題進行探討①。

　　一、內部控制與風險管理之間的關系

　　在2003年6月實施的第5號準則《內部控制審計》中，中國內部審計協(xié)會提出，內部控制涵蓋風險管理，風險管理是內部控制的五要素之一，并專門制訂了《風險管理審計》準則。EOSO（2004）認為風險管理涵蓋內部控制，其表述是：“內部控制是企業(yè)風險管理不可分割的一部分。”謝志華（2007）認為風險管理與內部控制雖表述不同，但涵義相同。

　　那么，二者之間究竟是何關系？問題的關鍵在于認清內部控制的本質。COSO（1992）指出：“內部控制是一個由企業(yè)董事會、管理層和其他員工實施的，為經營的效率效果、財務報告的可靠性、相關法律法規(guī)的遵循性等目標的實現(xiàn)提供合理保證的過程。”這種將內部控制理解為“一個過程”的做法被2008年5月中國財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會等五部委（下稱“五部委”）發(fā)布的《企業(yè)內部控制基本規(guī)范》（下稱《基本規(guī)范》）所采用。但是，“一個過程”的提法只是說明了一個事實，即內部控制是與企業(yè)的經營管理活動交織在一起而發(fā)揮作用的過程，它并沒有給內部控制定性。COSO（1992）對“一個過程”有如下解釋：“組織中各單位或各職能部門內部或跨單位或職能部門所實施的經營過程，都是通過計劃、執(zhí)行和監(jiān)控等基本的管理過程來加以管理的。內部控制是這些過程的一部分，并與它們整合在一起。內部控制能讓這些管理過程發(fā)揮作用，并對其實施和持續(xù)的關聯(lián)性進行監(jiān)控。內部控制是一個管理工具，而不是管理的替代品。”從中可以看出，COSO是結合管理過程來論述內部控制過程的，它認為內部控制是管理過程的一部分，是其中履行監(jiān)控職能的管理工具。

　　那么，如何理解作為管理工具的內部控制呢？我們需要從管理的職能談起。法約爾（1982）認為，管理有計劃、組織、指揮、協(xié)調和控制等五大職能，他指出：“在一個企業(yè)里，控制就是要證實一下是否各項工作都與已定計劃相吻合，是否與下達的指示及已定原則相吻合。控制的目的在于指出工作中的缺點和錯誤，以便加以糾正并避免重犯。”美國著名管理學家Robbins（1994）在法約爾五職能說的基礎上提出了管理四職能說，即：計劃、組織、領導、控制等職能。他認為，控制職能是指監(jiān)控計劃執(zhí)行、比較分析偏差、糾正錯誤，確保計劃順利實施�？梢钥闯�，COSO對內部控制的解釋與管理學中對“控制”的解釋并無不同，都指出要保證計劃的實施，都提及要對偏差進行監(jiān)控。這樣看來，COSO所講的內部控制就是管理學中的“控制”。

　　法約爾（1982）在論述“控制”職能時，就使用了“內部控制”的提法，他說：“這里，我只討論管理問題，所以就不談兩個企業(yè)之間的控制問題了……我著重談一下企業(yè)內部控制，這種控制的目的是專門為了有助于各部門的工作的順利進行，而總的來講也有助于企業(yè)運營的順利進行”（法約爾，1982）�？梢姡�法約爾認為在一個企業(yè)內部討論管理中的控制問題，可以用“內部控制”的提法。

　　以上分析足以證明內部控制就是控制。應該說，我們之所以稱“控制”為“內部控制”是相對于外部監(jiān)管而言的，強調的是企業(yè)自身應該重視對其經營管理活動的有效監(jiān)控。以COSO為代表所開展的內部控制研究豐富和發(fā)展了“控制”理論，使我們更深入地了解“控制”在管理過程中發(fā)揮作用的方式和內在機理。但內部控制并不是一個獨立于“控制”之外的，或與“控制”并列的一個新事物，它就是“控制”。因此，內部控制的本質就是管理職能中的控制職能。

　　既然內部控制只是一項管理職能，那么只要是管理活動，它就應該涵蓋內部控制，因此，COSO（2004）認為風險管理涵蓋內部控制是有道理的。自然，內部控制就不可能涵蓋風險管理。在中國的《內部控制審計》準則中，將風險管理作為內部控制的一個要素值得商榷。COSO（1992）和中國《基本規(guī)范》認為內部控制由五要素構成，即控制環(huán)境（內部環(huán)境）、風險評估、控制活動、信息與溝通和監(jiān)控。其中，都用到“風險評估”的提法。而COSO（2004）認為，內部控制由八要素構成，將風險評估要素細化為“目標設定”、“事項識別”、“風險評估”和“風險應對”等四個要素。但是，無論是五要素觀還是八要素觀，都沒有使用“風險管理”的提法。COSO（2004）的標題就是《企業(yè)風險管理——整合框架》，其認為，在內部控制的要素中用“風險管理”的提法容易產生歧義，不如用“風險評估”好。

　　內部控制職能論也可以解釋謝志華（2007）關于內部控制與風險管理涵義相同的觀點。企業(yè)是一個風險組織，不冒風險的企業(yè)是不存在的。企業(yè)為達成自身目標，要采取有效措施防范和化解其所面臨的各類風險。因此，可以認為，企業(yè)管理就是風險管理，或是“全面風險管理”。企業(yè)在“全面風險管理”之中，要綜合運用計劃、組織、領導和控制職能。如果側重于強調控制職能在“全面風險管理”中的重要性，則可以將企業(yè)管理稱之為“內部控制”。這樣看來，內部控制和風險管理是同義語。用內部控制，是從管理職能上來講的，側重于強調控制職能的發(fā)揮；講風險管理則是從控制的對象上來講的，側重于強調風險控制的重要性。通俗來講，內部控制，控制的是風險，風險管理，管理的也是風險，二者涵義相同。二、風險導向審計中的“風險”定位

　　在風險導向審計方法引入中國后，理論界圍繞風險導向審計中的風險定位問題進行了討論：陳毓圭（2004）認為是經營控制風險（含企業(yè)的經營戰(zhàn)略及其業(yè)務流程）；謝榮等（2004）認為是企業(yè)戰(zhàn)略風險及相關經營環(huán)節(jié)風險（統(tǒng)稱經營風險）；王澤霞（2004）認為是管理舞弊風險；許莉（2005）認為是指被審計單位的“重大錯報風險”；趙德武等（2006）認為是治理系統(tǒng)風險（含公司治理和內部控制）。評述這些觀點的立場有三個：一是將企業(yè)管理等同于風險管理；二是將內部控制等同于風險管理；三是要區(qū)分風險評估的對象和結果。風險導向審計中“風險”定位之爭的焦點是審計人員在評估審計風險時，所評估的對象究竟應該是什么。至于評估審計風險后，得出評估對象“重大錯報風險”的情況如何則是評估的結果，不能將“對象”與“結果”混淆。基于上述立場，可以將理論界對風險的不同定位統(tǒng)一于“企業(yè)全面風險”之中。具體分析如下：

　　1.經營風險就是企業(yè)全面風險

　　陳毓圭（2004）和謝榮等（2004）所述的經營控制風險和經營風險，實質上就是企業(yè)全面風險。他們將風險評估的對象定位為“企業(yè)的經營戰(zhàn)略及其業(yè)務流程”和“企業(yè)戰(zhàn)略風險及相關經營環(huán)節(jié)”。從中可以看出，都涵蓋了企業(yè)戰(zhàn)略層面和經營層面的風險，這就是“企業(yè)全面風險”。但是，用“經營風險”的提法容易產生歧義，以為僅指企業(yè)經營層面的風險，而不包括戰(zhàn)略層面的風險，不如用“企業(yè)全面風險”好。并且，用“企業(yè)全面風險”還可以與“企業(yè)全面風險管理”直接對接。這在國資委發(fā)布《中央企業(yè)全面風險管理指引》、國際標準化組織發(fā)布《ISO31000風險管理——原則與指南》、中國標準化委員會發(fā)布國家標準《GB/T24353—2009風險管理——原則與實施指南》的背景下，顯得更為必要。企業(yè)要實施“全面風險管理”，相應地，審計人員風險評估的對象就應該是“企業(yè)全面風險”，從而使得審計部門和審計人員在“企業(yè)全面風險管理”中發(fā)揮應有的作用。

　　2.管理舞弊風險是企業(yè)全面風險的一部分

　　王澤霞（2004）將風險評估的對象定位為管理舞弊風險。這一觀點主要針對管理層財務報表舞弊提出，試圖通過重點評估管理舞弊風險來降低審計風險，這一做法只能算是權宜之計。試想，如果迫于法律和監(jiān)管的壓力，管理層不敢進行財務報表舞弊了，那么，管理舞弊導向審計也就沒有存在的理由了。從內部審計的角度看，審計的目標不僅僅是“防弊”的問題，而是“防弊、興利、增值”三大目標。顯然，王澤霞（2004）對風險評估的對象界定過窄。按照五部委（2008）《基本規(guī)范》中的規(guī)定，企業(yè)全面風險應該包括：戰(zhàn)略風險、合規(guī)風險、資產安全風險、財務報告風險、經營風險等。按大類就是兩類，即戰(zhàn)略層面的風險和經營層面的風險。管理舞弊風險只是合規(guī)風險中的一個方面。將風險評估的對象定位為管理舞弊風險只能算是一種審計策略，只是注冊會計師在管理層舞弊比較嚴重的情況下，在審計實務中運用的一種審計方法，不宜將其作為風險導向審計中的“風險”定位。

　　3.重大錯報風險的提法混淆了風險評估的對象和結果

　　許莉（2005）認為，風險導向審計中的風險，無論是所謂傳統(tǒng)的還是現(xiàn)代的，都是指被審計單位可能帶來審計風險的風險，在現(xiàn)代風險導向審計中就是指被審計單位的“重大錯報風險”。這一提法混淆了風險評估的對象和結果。是否存在重大錯報風險是審計人員通過風險評估后進行職業(yè)判斷的結果。將一個職業(yè)判斷的結果作為風險導向審計“風險”的定位顯然不妥。現(xiàn)代風險導向審計與傳統(tǒng)風險導向審計的區(qū)分并不在于審計風險模型用“審計風險=重大錯報風險×檢查風險”取代了“審計風險=固有風險×控制風險×檢查風險”，而是強調了“自上而下”和“風險導向”的原則，強調既要有“森林”也要有“樹木”。不能就報表而審計報表，要站在企業(yè)全面風險管理的視角來看報表。作為風險評估的結果，“重大錯報風險”的提法可以運用于注冊會計師財務報表審計中。但是站在內部審計的視角，就不僅僅是錯報的風險問題，而是企業(yè)全面風險的問題。在第17號準則《重要性與審計風險》第十七條中就有規(guī)定：“審計風險包括兩方面內容：一是重大差異或缺陷風險。是指被審計單位經營活動及內部控制中存在重大差異或缺陷的可能性；——是檢查風險。是指審計人員未能通過審計測試發(fā)現(xiàn)重大差異或缺陷的可能性。”這里的“重大差異和缺陷風險”可以對應于注冊會計師審計風險中的“重大錯報風險”，它也是內部審計人員風險評估后的結果。雖然內、外部審計在風險評估的結果上用詞不同，但是風險評估的對象都是“企業(yè)全面風險”�；�于此，建議將第17號準則中的“重大差異或缺陷風險。是指被審計單位經營活動及內部控制中存在重大差異或缺陷的可能性”表述改為“重大差異或缺陷風險。是指被審計單位全面風險管理中存在重大差異或缺陷的可能性”。

　　4.治理系統(tǒng)風險就是企業(yè)全面風險

　　趙德武等（2006）認為是治理系統(tǒng)風險（含公司治理和內部控制），并指出公司治理是針對企業(yè)高層管理人員，而內部控制針對的是企業(yè)中低層人員。根據(jù)內部控制職能論，公司治理也需要運用控制職能，不可能只是對企業(yè)中低層人員的管理才需要內部控制，只要是管理就需要控制。撇開此點不論，趙德武等（2006）的治理系統(tǒng)風險也涵蓋了企業(yè)全面風險，企業(yè)全員參與并受控。一般而言，公司治理主要涉及公司高層管理，那么，可以認為企業(yè)管理涵蓋公司治理。但事實上，企業(yè)管理與公司治理的邊界并不清晰，在早期企業(yè)中，或者在現(xiàn)代小企業(yè)中，一般就叫企業(yè)管理，而很少稱之為公司治理。只是自1932年伯利和米恩斯發(fā)表《現(xiàn)代公司與私有財產》提出“所有權和控制權分離”的命題以來，理論界才逐漸有了公司治理之說，公司治理才逐漸從企業(yè)管理中分離出來。但是公司治理從本質上講仍是企業(yè)管理，管理的職能仍然適用于公司治理之中。如果把公司治理泛化，使其包括中低層人員參與的日常管理，則公司治理可以等同于企業(yè)管理。趙德武等（2006）采取的正是這一做法，而企業(yè)管理就是風險管理。因此，治理系統(tǒng)風險就是企業(yè)全面風險�；�于以上認識，風險導向審計中的風險應該定位為“企業(yè)全面風險”。相應地，就內部審計而言，風險導向審計是指內部審計部門和人員為有效履行其在風險管理中的職責，基于對企業(yè)全面風險的評估，針對重大差異或缺陷風險，制訂和實施的一整套審計方法。

　　三、風險導向審計與全面風險管理的關系

　　1999年6月，國際內部審計師協(xié)會理事會批準了關于內部審計的新定義：“內部審計是一種獨立、客觀的保證與咨詢活動，旨在增加價值和改善組織的運營。它通過應用系統(tǒng)的、規(guī)范的方法，來評價和改善風險管理、控制及治理過程的效果，幫助組織實現(xiàn)其目標。”與此同時，《國際內部審計專業(yè)實務框架》（IPPF）發(fā)布，并于2001年正式實施。新的框架在內容上全面體現(xiàn)了風險導向審計的思想，內部審計進入風險導向審計階段。2004年9月，COSO發(fā)布《企業(yè)風險管理——整合框架》，將其1992年發(fā)布、1994年修訂的內部控制框架發(fā)展為企業(yè)風險管理框架，強調了全面風險管理的重要性。國際內部審計師協(xié)會立即做出反應，于當月29日，以立場公告（PositionStatement）的形式發(fā)布《內部審計在全面風險管理中的作用》報告，明確指出：內部審計在企業(yè)風險管理中的核心作用在于，客觀地保證董事會在企業(yè)風險管理活動的作用得以有效發(fā)揮，為保證關鍵經營風險被恰當?shù)貫楣芾硖峁�幫助，并保證內部控制系統(tǒng)有效運行。具體包括：為企業(yè)風險管理過程提供保證；為正確識別風險提供保證；評估風險管理過程；評估關鍵風險報告和評價關鍵風險的管理。

　　中國內部審計協(xié)會從2005年底以來，力推內部審計從“以真實性、合規(guī)性為導向的財務審計為主”向“以財務審計與內部控制和風險管理為導向的管理審計并重”的方向全面轉型。內部審計應在企業(yè)風險管理中發(fā)揮作用，為企業(yè)提供增值服務，這已日益成為中國內部審計理論界和實務界的共識。

　　那么，內部審計該如何有效發(fā)揮其在企業(yè)全面風險管理中的作用呢？如前所述，風險導向審計中的風險應該被定位為“企業(yè)全面風險”，這就為內部審計發(fā)揮其應有作用找到了切人點，也為風險導向審計與全面風險管理之間的聯(lián)系建立了內在基礎。風險導向審計與全面風險管理存在的聯(lián)系和區(qū)別表現(xiàn)為：

　　1.二者之間的聯(lián)系

　　企業(yè)全面風險管理的對象是企業(yè)全面風險，而風險導向審計中所評估的風險就是企業(yè)全面風險。企業(yè)推行全面風險管理是基礎，而風險導向審計是保障。風險導向審計通過對企業(yè)全面風險的評估，提出進一步改進措施，為全面風險管理的有效實施出謀劃策。同時，內部審計部門也可以通過對企業(yè)全面風險的評估合理分配審計資源，將審計的重點放在風險較大的領域，從而更好地提供增值服務。

　　2.二者之間的區(qū)別

　　（1）實施主體不同。全面風險管理是在企業(yè)董事會的戰(zhàn)略決策和領導下，為實現(xiàn)企業(yè)戰(zhàn)略和經營目標，由企業(yè)管理層組織實施、全員參與的經營管理工作。風險導向審計是在企業(yè)董事會的領導下，由內部審計部門組織實施的對企業(yè)全面風險管理工作的有效性進行監(jiān)控的工作。

　�。�2）內涵不同。全面風險管理是一個管理過程，而風險導向審計是一套審計方法。

　　（3）風險導向審計既以全面風險管理為基礎，又具有相對獨立性。風險導向審計中的風險評估對象是企業(yè)的全面風險。企業(yè)管理越規(guī)范，開展全面風險管理的水平越高，相應地，內部審計部門開展風險導向審計的基礎也越好，對風險的評估會更為準確，審計工作更為有效。但是這并不意味著企業(yè)不開展全面風險管理，內部審計部門就無法開展風險導向審計工作。企業(yè)管理就是風險管理。因此，無論企業(yè)是否推行命名為“全面風險管理”的管理舉措，事實上都是在進行風險管理，只不過推行“全面風險管理”會使得企業(yè)管理工作更加規(guī)范，更能全面識別和防范企業(yè)面臨的各類風險。風險導向審計作為一種審計方法，不依賴企業(yè)是否推行全面風險管理制度而獨立存在，這一方法的優(yōu)點主要有：一是有利于合理配置審計資源；二是能為企業(yè)提供增值服務。當然，歸根結底是第二點，因為只有通過風險評估找到“重大差異或缺陷風險”，才能合理配置審計資源，才能指出企業(yè)風險管理中存在的問題，并提出改進建議，從而為企業(yè)提供增值服務。內部審計提供增值服務的對象是企業(yè)的管理層，提供增值服務的水平如何體現(xiàn)的是內部審計人員的專業(yè)勝任能力。如果企業(yè)風險管理水平較差，內部審計人員將會很容易指出企業(yè)管理中存在的問題，從而實現(xiàn)自身價值；反之，則對內部審計人員提出了挑戰(zhàn)，很有可能難以提出有建設性的意見。這就說明，風險導向審計方法運用的關鍵在于內部審計人員對企業(yè)全面風險管理的認識，而不在于企業(yè)推行全面風險管理的實際情況如何。每一個內部審計人員都應該形成一個對所在企業(yè)規(guī)范的全面風險管理的總體把握，這是開展風險評估的基準線。在此線之下的，就存在差異和缺陷，需要改進。當然，這條線如何定，體現(xiàn)了內部審計人員的專業(yè)勝任能力，因此，風險導向審計方法的實施給內部審計人員帶來了挑戰(zhàn)，其必須具有全面評估企業(yè)風險管理狀況的水平。這樣看來，風險導向審計方法中，內部審計人員對企業(yè)風險進行評估時，企業(yè)風險管理的標準自存在于內部審計人員心中，并隨著企業(yè)規(guī)模的擴大和業(yè)務范圍的拓展而改變；其標準只能比企業(yè)現(xiàn)行的全面風險管理水平更高，至少不能低，這樣才能提供增值服務。因此，風險導向審計具有相對獨立性。

　�。�4）二者對風險的評估結果不完全相同。如表1所示，二者對風險的評估結果有四種組合。二者都評價為高，說明這是一個高風險的領域，管理部門和審計部門均認為需要投入更多的資源進行管理和審計。二者都評價為低，說明這是一個低風險的領域，管理部門和審計部門均認為不需要投入更多的資源進行管理和審計。在呈現(xiàn)高低組合的情況下，若風險導向審計評價為高，全面風險管理評價為低，有兩種可能：一種是管理人員水平低，應該識別的重大風險沒有識別出來；另一種是審計人員水平低，本無風險卻認為有重大風險。若風險導向審計評價為低，全面風險管理評價為高，則一種解釋與前同；另一種解釋是，確實是高風險的領域，但通過管理部門的風險管理，風險降低了，審計人員認為風險管理有效，將其評價為低風險的領域。風險導向審計與全面風險管理之間錯綜復雜的關系，使得人們產生了理解上的歧義，有必要對此加以分析。上述研究結論為進一步提出風險管理相關內部審計準則的修訂建議打下了堅實的基礎。

　　四、風險管理相關內部審計準則的修訂建議

　　由于現(xiàn)行內部審計準則是以內部控制和風險管理為導向的，所以整個準則體系，從《內部審計基本準則》到《內部審計具體準則》和《內部審計實務公告》，都與風險管理相關。但是，限于篇幅，本文僅探討其中與風險管理直接相關的幾個具體準則，包括：第5號《內部控制審計》、第12號《遵循性審計》、第16號《風險管理審計》、第21號《內部審計的控制自我評估法》、第25號《經濟性審計》、第26號《效果性審計》和第27號《效率性審計》等準則。

　　這些準則可以分為兩個層次：一是總體層，包括第5號《內部控制審計》、第16號《風險管理審計》和第21號《內部審計的控制自我評估法》；二是具體層，包括第12號《遵循性審計》、第25號《經濟性審計》、第26號《效果性審計》和第27號《效率性審計》。

　　1.總體層次風險管理內部審計準則修訂的建議

　　首先，第5號《內部控制審計》和第16號《風險管理審計》這兩個準則可以合二為一，因為內部控制與風險管理涵義相同，所以不需要分別制訂兩個準則，可以用一個準則來涵蓋這兩個準則所包括的內容。也可以考慮為新修訂的《內部控制審計》準則制訂一個《風險評估》實務公告，將現(xiàn)行《風險管理審計》準則中的內容涵蓋在內。

　　其次，第21號《內部審計的控制自我評估法》與新修訂的《內部控制審計》準則之間的關系要理順�！端_班斯法案》頒布以后，美國上市公司管理層內部控制自我評估和會計師事務所的內部控制審計成為法定要求。依《薩班斯法案》成立的美國上市公司會計監(jiān)管委員會（PCAOB）先后制訂了第2號和第5號審計準則來規(guī)范會計師事務所對內部控制的審計。2007年6月發(fā)布的取代第2號審計準則的第5號審計準則命名為《與財務報表審計相結合的財務報告內部控制審計》。同年，美國證交會（SEC）發(fā)布《管理層財務報告內部控制指引》，對上市公司管理層內部控制自我評估進行規(guī)范。中國財政部等五部委為加強內部控制監(jiān)管，也于2010年4月發(fā)布了《企業(yè)內部控制配套指引》（含《企業(yè)內部控制應用指引》、《企業(yè)內部控制評價指引》和《企業(yè)內部控制審計指引》）。

　　PCAOB第5號審計準則和中國五部委《企業(yè)內部控制審計指引》，都是內部控制審計準則，是站在注冊會計師審計的立場做出的規(guī)范。而SEC《管理層財務報告內部控制指引》則是對管理層內部控制自我評估的規(guī)范。與之對應的是中國五部委的《企業(yè)內部控制評價指引》，這一指引的發(fā)布正是為了規(guī)范審計部門開展內部控制自我評估工作。那么，在中國監(jiān)管當局已經發(fā)布內部控制相關規(guī)范的背景下，第5號準則《內部控制審計》該如何修訂？第21號準則《內部審計的控制自我評估法》該如何定位？

　　在中國五部委《企業(yè)內部控制配套指引》發(fā)布后，按要求必須執(zhí)行的公司，其審計部門每年都要對內部控制進行自我評估，其董事會要據(jù)此出具內部控制自我評估報告。內部審計部門進行自我評估的標準就是《企業(yè)內部控制評價指引》。因此，中國內部審計協(xié)會對第5號準則《內部控制審計》修訂時，有必要吸收和借鑒《企業(yè)內部控制評價指引》的規(guī)定，以便于內部審計人員同時遵循這兩個規(guī)范的要求。而第21號準則《內部審計的控制自我評估法》則是規(guī)范企業(yè)內部管理人員進行內部控制自我評估的準則。評估的主體是企業(yè)內部管理人員，內部審計部門主要扮演組織者和咨詢專家的角色，所以在標題中不宜突出內部審計的作用。建議將題目改為《內部控制的自我評估》，以示與《內部控制審計》準則相區(qū)別。同時，在行文中，要避免出現(xiàn)內部控制審計的說法。若有，相關條文也應該直接與《內部控制審計》準則銜接，不宜再行做出規(guī)定。

　　2.具體層次風險管理內部審計準則修訂的建議

　　具體層次風險管理內部審計準則修訂主要是要理順它們與新修訂的《內部控制審計》準則之間的層次關系。從層次關系來看，它們與新修訂的《內部控制審計》準則之間是主從關系，《內部控制審計》準則居于主導地位，具體層次風險管理審計準則居于從屬地位，其相關規(guī)定不能逾越《內部控制審計》準則。同時要明確，第12號《遵循性審計》準則是為了防范企業(yè)全面風險管理中的合規(guī)風險；第25號《經濟性審計》、第26號《效果性審計》和第27號《效率性審計》準則是為了防范企業(yè)全面風險管理中的經營風險。也就是說，“3E”審計并非游離于《內部控制審計》準則之外，它是《內部控制審計》準則的延伸，是對《內部控制審計》準則中為防范經營的效率與效果風險和合規(guī)風險而開展的相關審計工作的具體規(guī)范。審計人員在年度內部控制自我評估時，應該運用具體層次風險管理審計準則的要求，全面評估企業(yè)風險管理中存在的問題。而在日常審計工作中，則可以就某一部門、某一業(yè)務、某一流程、某一項目分別運用《遵循性審計》、《經濟性審計》、《效果性審計》和《效率性審計》等準則進行專項審計。

　　這樣看來，新修訂的總體層次的風險管理內部審計準則有兩個，即《內部控制審計》和《內部控制的自我評估》；具體層次的準則有四個，分別是《經濟性審計》、《效率性審計》、《效果性審計》和《遵循性審計》。同時，建議從總體層次到具體層次連續(xù)編號，或借鑒中國注冊會計師審計準則的編號方式進行分類分層編號。此外，還可以制訂幾個相關的實務公告，如《風險評估》、《內部控制的自我評估》等。

　　參考文獻：

　　伯利，米恩斯.2005.現(xiàn)代公司與私有財產[M].甘華鳴，羅銳韌，蔡如海，等，譯.北京：商務印書館.

　　財政部，證監(jiān)會，審計署，銀監(jiān)會，保監(jiān)會.2008.企業(yè)內部控制基本規(guī)范[S].

　　陳毓圭.2004.對風險導向審計方法的由來及其發(fā)展的認識[J].會計研究（2）：58—63.

　　法約爾.1982.工業(yè)管理與一般管理[M].周安華，林宗錦，展學仲，等，譯.北京：中國社會科學出版社.

　　劉玉廷.2010.全面提升企業(yè)經營管理水平的重要舉措：《企業(yè)內部控制配套指引》解讀[J].會計研究（5）：3—16.

　　王澤霞.2005.論風險導向審計發(fā)展創(chuàng)新：管理舞弊導向審計[J].會計研究（12）：49—54.

　　謝榮，吳建友.2004.現(xiàn)代風險導向審計理論研究與實務發(fā)展[J].會計研究（4）：47—51.

---

轉載請注明來自：http://www.jinnzone.com/shenjilw/25553.html