新形勢下“寓內部審計于風險管理之中”實務探索

嚴忠新 馬瓊 張燕 牟德志

[摘要]內部審計向組織董事會或最高管理層報告的特殊地位，使其在風險管理中能夠發揮更大作用，成為組織風險管理中的一個重要變量。本文提出“寓內部審計于風險管理之中”理念，認為內部審計不應成為風險管理一個獨立環節（ADD-ON），而應融合到風險管理的全過程和各領域（ADD-IN）。本文還通過“三圈七區圖”新思路解讀內部審計、風險管理和內部控制相互融合及相互促進的關系。根據中廣核工程有限公司內部審計“以風險為導向、以質量為核心”兩項并舉實踐，探索分析新形勢下“寓內部審計于風險管理之中”為組織增加價值的具體體現，以期為業界參考。

[關鍵詞]內部審計? ?風險管理? ?內部控制? ?新形勢

一、引言

2021年中央經濟工作會議指出，進入新發展階段，我國發展內外環境發生深刻變化，面臨許多新的重大理論和實踐問題，需要正確認識和把握。內部審計應當深刻領會中央會議精神，結合所在組織具體實踐，充分發揮在風險管理中的優勢，創新審計思路和方式方法，幫助組織強化治理和管理，提升應對風險的能力和水平，促進組織實現高質量發展。組織發展越快，其運營所面臨的挑戰越大；內外部環境越復雜，所面臨的不確定性就越大，越需要完善相應的風險防范管理體系。內部審計必須高度關注組織所面臨的風險。

當前國際國內面對多重風險，內部審計通過評價和改善組織的風險控制幫助組織預防運營過程中影響其目標實現的各種風險，提升組織管理水平，這是內部審計適應組織發展的內生需求和原動力。在新形勢下內部審計如何利用其在組織中向董事會或最高管理層報告的特殊地位，如何打通與風險管理的責任邊界，不斷用新方法防范化解重大風險，在風險管理中發揮更大作用，把自身“融進去”，更好融入組織戰略部署和發展大局，服務于組織的安全與發展，推動組織高質量發展，是內部審計需要研究和探討的課題。

本文以中廣核工程有限公司內部審計為例，提出新形勢下“寓內部審計于風險管理之中”管理理念，將內部審計嵌入風險管理之中。內部審計不僅是風險管理一個獨立環節（ADD-ON），而應融合到風險管理的全過程和各領域（ADD-IN）。此外，本文還探討分析了通過“寓內部審計于風險管理之中”為組織增加價值的具體體現。

二、“寓內部審計于風險管理之中”理論研究分析

（一）內部審計在風險管理中發揮作用的依據

《審計署關于內部審計工作的規定》要求“國有企業內部審計機構或者履行內部審計職責的內設機構應當在企業黨組織、董事會（或者主要負責人）直接領導下開展內部審計工作”。內部審計能夠與組織最高管理層保持密切聯系，為組織重大決策提供風險評估方面的建議，這就決定了內部審計在風險管理中具有其自身特點：可以充當本組織最高領導層的助手和參謀，成為組織管理體系中不可缺少的特殊部分，服務于組織的總體業務目標。

中國內部審計準則《第1101號——內部審計基本準則》規定，內部審計機構應當接受組織董事會或者最高管理層的領導和監督；內部審計機構和內部審計人員應當全面關注組織風險，以風險為基礎組織實施內部審計業務。

《國際內部審計專業實務框架》（IPPF）《標準》2060規定，首席審計執行官必須定期向高級管理層和董事會報告重大風險和控制事項。《標準》2120.C1要求“在開展咨詢業務時，內部審計師必須關注與業務目標相關的風險，并警惕其他重大風險的存在”；2120.C2要求“內部審計師必須將開展咨詢業務過程中了解到的風險情況，運用于評估組織的風險管理過程”等，也為內部審計利用其在組織中的特殊地位和作用為風險管理做出貢獻提供了依據。

（二）內部審計在組織風險管理中的角色定位

不同控制環境下內部審計在風險管理中承擔的角色定位不盡相同。隨著組織的發展，只有內部審計角色定位準確，才能發揮更大作用。

1.協調者。內部審計部門協助組織的其他職能部門制定適當的內部控制及風險管理策略。

2.仲裁員。在組織全面風險管理方面，內部審計強調的是“評價”而不是“鑒證”，工作重點是評價組織管理過程。

3.咨詢師。內部審計不僅要開展風險管理審計，還要充當咨詢師，增強組織內部風險管理意識和能力。內部審計通過多種形式參與組織風險管理中，并提供咨詢業務，從而完善組織風險管理過程的各個流程。

4.預防者或補救者。內部審計代表對于已知或可能的問題直接承擔預防或補救的角色。比如，在組織中制定并開展有關風險管理的培訓課程，起草相關政策等。

5.整合者。王光遠（2007）認為內部審計在組織中扮演的角色是“風險管理與公司治理的整合者”。

（三）內部審計在組織全面風險管理中的獨特優勢

風險管理是內部審計職業發展的重要推動力，促進內部審計更加關注組織的目標和重大風險，從而有效發揮其作用，增加組織價值。組織中內部審計與風險管理的工作流程通常如圖1所示。

內部審計在風險管理中能夠發現組織存在的問題和風險，預警和提示風險。由于不確定性的存在，組織和審計人員都面臨各種風險。外部審計更加熱衷于思考如何規避自身審計風險，而內部審計則聚焦于如何幫助所在組織避免風險。內部審計應用基于風險的方法，評估并協助改善組織的風險管理過程。內部審計通過確認和評價組織對風險管理的有效性，發揮其確認和評價作用。內部審計通過協助組織審核重大決策，預防和化解風險，發揮咨詢服務作用。

內部審計能夠全面獨立客觀地評價風險管理。組織架構的設置使得各部門各司其職，但無法獨立運作，必須相互配合。如果某個部門發生風險，必然會牽涉其他部門。因此，組織對風險的控制和防范必須從全局考慮，而審計部門在日常工作中不執行具體的活動安排，與組織其他部門保持相對獨立。內部審計的職能范圍和組織的風險管理是辯證統一的，最終目標也趨于一致。

（四）內部審計、風險管理和內部控制的關系

內部審計、風險管理和內部控制三者相互作用，相互影響，相互促進、相互滲透，三者都是組織管理的組成部分，都是為了維護投資者利益、保全組織資產（包括數字資產），促進組織創造新的價值和發展?！叭ζ邊^圖”可以說明三者的關系（如圖2所示）。

首先，內部控制為風險管理提供控制機制，為內部審計提供審計對象，內部控制的重點就是內部審計關注的重點。管理過程中風險的產生，也取決于內部控制機制有效與否。對于一個組織來說，內部控制與風險管理的直接載體都是組織的運營活動，兩者存在必然聯系。按照法國管理學家亨利·法約爾的組織管理理論“控制是管理的職能”可以推斷得出，內部控制也是風險管理的一個職能。內部控制對于組織的治理作用在于規范管理、防范風險，防微杜漸。內部審計與內部控制的最終目的都是管理風險、提升治理，實現組織目標。內部控制的目標是為了讓組織高質量發展，不應為了規避風險而限制和妨礙組織的發展，要統籌發展和安全的關系，通過內部控制筑牢安全屏障，防止和避免風險事件發生，如圖3所示。

其次，風險管理是內部審計的依據，它為內部審計作業提供邏輯地點和發展方向，通過分析管理過程中存在的問題及各類風險，為內部審計目標提供依據，減少確定審計目標和審計重點的時間，直接指明整個審計項目的方向與審計重點。針對組織風險源分析、風險識別、風險評估、風險控制等方面可能存在的問題，內部審計可以通過適時、及時地傳遞、監督落實風險管控措施和主體責任，出具監督檢查評價報告，使各類風險因素得到有效的控制和防范。內部審計對風險管理具有檢查與評價、管理與協調、顧問與咨詢、報告與防范等作用。

最后，內部審計通過確認和咨詢來完善和優化風險管理和內部控制，對內部控制和風險管理提出更高的要求。內部審計是組織內部控制體系中的重要組成部分。在評估內部控制制度有效性方面，內部審計人員扮演著重要角色，并對內部控制的持續有效性做出貢獻。審計與風險管理相互依存，董事會一般下設審計與風險管理委員會、審計與風險控制委員會等。內部審計通過融入風險管理，為董事會充分發揮“定戰略、做決策、防風險”的職權提供服務。

2020年7月，國際內部審計師協會（IIA）正式發布了全新的“三線模型”，將原三道防線模型升級為三線模型。新模型強調組織不應將風險管理僅局限于防范風險，而是要更加全面地為組織的戰略和運營提供支持，不再局限于防御功能；強調各線職能之間的協調和統籌，使組織管理形成合力，明確內部審計的“獨立性不意味著完全孤立”，進一步指出各項職能之間相互配合，并把利益相關者的利益放在首位，才能共同努力為組織創造價值并加以保護。這為組織內部審計提高效能提供了指引。

圍繞內部審計如何在風險管理中發揮作用，國內外審計領域學者開展了一系列研究。鮑國明、劉力云（2021）在《現代內部審計（修訂版）》說明了如何開展風險管理審計。王光遠（2005）認為“內部審計是風險管理的函數，是對風險管理的再管理。風險管理審計要以價值鏈、價值網為主線，提高內外部顧客的滿意度”。在嚴忠新、肖競（2021）編譯的《亞洲內部審計師協會聯合會問卷調查報告——內部審計轉型：未來的工作、新興風險和趨勢》中，相關受訪者表示，當前內部審計職能需持續加強在新興領域的專業能力、資源、工具和技術方法等。組織在提供重要風險洞見方面對內部審計的依賴性持續增加，受訪者更加關注和強調內部審計對組織有意義的風險領域，如戰略、信息技術和業務連續性風險。作為值得信賴的顧問，內部審計應當不斷改進自身工作，更好地了解和應對組織可能面臨不斷變化的風險。內部審計還需要與第一線和第二線部門密切合作，通過跨部門的治理、風險與合規整合技術，適當地確定重點領域的優先級，從而在組織中有效發揮作用。2006年國資委發布的《中央企業全面風險管理指引》，將企業風險定義為“未來的不確定性對企業實現其經營目標的影響”，并明確要求中央企業要建立全面風險管理機制，報送風險管理年報。國資委將內部審計設為“企業風險管理的第三道防線”。2018年財政部發布《管理會計應用指引第700號——風險管理》認為，企業風險是指對企業戰略與經營目標實現產生影響的不確定性。從上述理論可見，內部審計日常工作主動介入風險管理，對主要業務領域和關鍵控制點進行風險控制，為風險管理活動提供建議和引導等都是屬于內部審計服務的范疇。內部審計既是監督者，又是服務者，寓審計于服務中，在服務中實現監督。內部審計監督與服務是辯證統一的關系，是同一職能的兩個方面。服務是目的，監督是手段。監督就是為了實現服務。兩者相互依存，相互協調。

三、內部審計在風險管理中面臨的挑戰和問題

大多數組織都將內部審計在風險管理中的職責定位于獨立的監督者和評價者（ADD-ON）。如果內部審計人員長期只是作為旁觀者觀看和指出業務部門的問題，內部審計就會逐步被邊緣化和弱化，在組織中的地位岌岌可危，甚至可有可無，因為組織中沒有完全超脫的第三方。

當前，我國內部審計已經進入了一個新的歷史時期，內部審計人員面臨著種種挑戰和問題。

（一）組織體系復雜化

隨著組織的不斷涌現和新興業務的不斷出現，組織機構設置和職責范圍更加靈活多變，業務更加復雜化和多樣化，使得內部審計的難度越來越大。內部審計機構在資源有限的情況下，對經營風險識別、評估和應對能力不足，可能導致組織經營失敗，而內部審計的無效或失效，則可能損害組織和利益相關者對內部審計的整體評價。

（二）信息技術快速發展

內部審計常常會面對大量的財務數據、采購數據、合同數據等，而在這些數據嵌入組織信息系統的環境下，審計人員往往會處理龐大、繁雜的業務數據。如何在海量的數據中尋找有用的審計線索，如何將大數據分析技術整合為各種來源的審計信息、梳理其關聯性、獲得審計發現，如何協助組織將新興技術帶來的風險控制在可承受的范圍內等，是審計面臨的挑戰和問題。

（三）風險管理常態化

在世界百年未有之大變局、市場競爭不斷加劇等情況下，對于非壟斷性行業而言，隨時有倒閉破產的風險。人工智能（AI）、云計算等技術創新或革命，使得傳統管理流程發生顯著變化，有的新興風險難以被察覺和識別，現有技術對新興風險可能還做不到完全應對。2017年9月，美國反虛假財務報告委員會下屬的發起人委員會（COSO）將2004年發布的《企業風險管理——整合框架》修改為《企業風險管理——通過策略與績效調整風險》，進一步強調了策略調整與績效調整對于防范風險的重要性，基于戰略視角的風險管理意義重大，也表明過去注重細節式的風險管理體系存在較大缺陷和不足，風險既要從戰略視角也要從戰術角度進行系統化、常態化防范。

（四）重大風險預警未標準化

風險管理方面，有的組織沒有針對未實現的年度控制目標進行原因分析，未建立重大風險預警狀態標準；有的組織未建立全面風險管理制度和重大風險管理標準，缺少對風險管控效果評價標準等。

（五）內部審計未實現轉型

內部審計管理工作中，未順應或契合組織的變革實現審計數字化轉型，未采用敏捷審計、云計算、機器人流程自動化（RPA）等審計方式提高審計效率和質量。審計未建立或使用風險預警系統等，對組織的風險提示和告知不足。

四、“寓內部審計于風險管理之中”解決方案

不同組織擁有不同的目標、戰略、結構、文化、風險偏好和控制手段，沒有任何組織的內部審計對風險管理的解決方法是相同的。適者生存是組織對其所設置部門自然的選擇結果。在復雜多變的環境中，內部審計要想在組織中生存、發展、壯大，在目前大多數組織將內部審計當做是“成本中心”的價值體系現狀下，內部審計必須利用其在組織中的特殊地位為組織提供更多的價值貢獻，“寓內部審計于風險管理之中”，才能求生存、求發展。

（一）“寓內部審計于風險管理之中”理念

內部審計在風險管理中，應進行換位思考，躬身入局，把自身擺進去，把問題擺進去，積極融入到風險管理中（ADD-IN），把自身作為風險管理的重要變量，以董事會、高級管理層或一線業務部門的視角看待風險，常思“有什么風險”“如果發生風險事件后果是什么”“為什么會產生這些風險”和“如何化解這些風險”等，對風險產生的根本原因進行分析，有針對性地提出防范措施，充分發揮風險預警作用。內部審計在風險管理中的主要職責除了檢查、監督和評價外，還要承擔咨詢服務責任，即在風險識別、評價中發揮預警作用，在風險防范化解中發揮參謀、顧問作用，融入風險管理全過程和各領域，“寓內部審計于風險管理之中”。

（二）建立“以風險為導向、以質量為核心”兩項并舉新理念

新形勢下內部審計必須積極思考、勇于探索、主動變革，多維度為組織貢獻價值。比如，搭建以“以風險為導向、以質量為核心”并舉的內部審計管理體系，表1為其平衡計分卡范例，風險管理和質量控制分別占比25%，此外還包括業審融合、合法合規、審計項目管理等。

（三）識別未來的風險

增加風險識別頻率，將每年一次的評估改為每半年一次；進行實時風險評估；關注變化和經營策略；制訂具有靈活性的審計計劃，以應對出現的新興風險。

（四）為風險提供更好的評價服務

內部審計為組織提供產品/服務清單，包括以風險為導向的過程審計，進行事前檢查和評價，開展內部控制自我評估（CSA）。比如，廣州地鐵集團有限公司通過CSA會議方式推動兩個審計項目成果的運用，取得了良好成效。CSA更強調風險管理的思想，是一種對風險狀況反應更加靈敏和迅速的評價機制。

（五）積極探索增值審計的新方法

確保審計以風險為導向：一是針對整個業務流程進行審計，而不是組織的某個業務單元；二是重點關注流程改進，而不是控制；三是內部審計人員緊跟時代步伐，適應數字化轉型，使用云計算、區塊鏈、RPA等新興技術開展審計，使內部審計職能變得更加敏捷、靈活，同時洞察和注意應對新興技術帶來的風險；四是具有動態性和前瞻性思維，以更新、更高的視野提升與一線和二線部門的關系，包括協調和溝通審計項目風險評估的方法等。

五、新形勢下“寓內部審計于風險管理之中”案例分析

中廣核工程有限公司（以下簡稱公司），是中國廣核集團主要成員單位之一，擁有員工5000余人，是中國第一家專業化核電工程管理公司，公司內部審計業務向董事會負責并報告工作。審計部作為董事會和高級管理層推動公司經營管理的重要抓手，逐步發展壯大，創新內審理念，推進內審轉型，不斷探索新的審計方法，利用內部審計在公司的特殊地位，與風險管理全方位、全過程、全流程相結合，幫助公司有效防范和化解重大風險。

審計部根據公司不同歷史時期和現實工作情況，順應內部審計發展趨勢，積極轉型，建立了新型的“以風險為導向、以質量為核心”內部審計理念，并將該理念貫穿于審計全過程，努力與業務部門同頻共振，為實現公司發展目標同向發力。

審計業務以風險為導向：一是審計工作計劃與風險強關聯，需評價風險的重要性和影響程度，將公司的風險評估結果作為下一年度制訂審計計劃重要參考，根據已識別風險的可能性和后果進行分配資源，重點關注“雙十風險”中影響公司經營目標實現亟待防范的重大風險，盡量減少甚至取消與風險幾乎無關的循環審計，以確定與組織目標相一致的內部審計活動重點，見表2范例?！半p十風險”是指，按照風險評價方法，識別出當期不行動就會對公司經營發展造成重大影響的排名前二十位的風險進行重點管控，排名前十位的風險簡稱“控十”風險，排名十一至二十的風險簡稱“看十”風險。二是在制訂審計計劃時留有一定的靈活性，以應對年度中出現的突發事件和風險。三是制訂審計方案時考慮每個審計分項的風險，確定審計項目重點，見表3范例。四是在審計報告中，對于審計發現問題，根據風險程度的高低進行排序；審計報告整體結論評定意見，以風險級別為關鍵要素，見表4范例；審計報告附件列示審計發現所屬風險要素，見表5范例。五是開展采購定期內部控制測試時，首先考慮存在的舞弊風險。審計部建立了采購舞弊風險信號庫，審計人員根據風險評估值對高風險點進行重點抽查，采購評標階段的舞弊風險信號庫，見表6范例。

中廣核前身是廣東核電合營有限公司，公司成立時由合營港方香港中華電力公司推薦擔任公司第一副總經理的是曾任香港第一廉政公署署長的姬達爵士，他十分重視內部審計工作。中廣核內部審計部門自成立以來一直秉持香港中華電力公司的優良做法，堅持風險導向的理念，無論內部審計機構還是內部審計人員，都將風險管理視為核心能力的重要內容。公司在“寓內部審計于風險管理之中”的實務主要包括如下內容。

1.以風險控制矩陣為抓手，持續提升內部控制評價和風險管理評價效果。要求各部門充分認識內部控制在強基固本、防范風險方面的重要作用，營造“尊重內控、支持內控、自覺接受內控約束”的良好內部控制環境，將業務流程風險與流程控制點相匹配，形成風險控制矩陣以有效控制和應對業務流程風險，并以風險控制矩陣為抓手，抓好年度內部控制評價與風險管理評價工作，不斷完善和改進內部控制體系，筑牢國有資產安全防線，保障公司高質量發展。針對評價中發現的問題，實施臺賬管理，逐項落實整改，做好后半篇文章，并將整改情況納入下一年度內部控制與風險管理評價中，向董事會報告整改成效。

2.加強內部控制歸口管理。內部審計職能不是單純的監督和評價，而是致力于建立和健全公司的內部控制系統。日常審計工作中，審計首先監督是否“有章可循”，如果沒有，則監督并協助被審計部門建立相應的制度程序；如果有，則監督是否“有章必循”。如果被審計部門做不到，審計不是簡單地“執法”，而是研究分析是內部控制的設計缺陷還是執行缺陷。如果是前者，則與被審計部門研究制度程序修訂升版；如果是后者，則強調“違者必糾”。根據公司安排和需要，審計部為內部控制歸口管理部門，負責編寫和維護公司《內部控制手冊》。在公司制度流程中，須明確內部控制風險和控制措施，并將《內部控制手冊》作為制度編修的上游輸入。公司由審計部牽頭，跟蹤落實完成出版或修訂升版計劃等相關工作，實現內部控制100%進制度、進流程。2022年，審計部跟蹤落實190余份程序、制度升版。通過持續不斷的審計日常監督，公司的內部控制系統日臻完善。

3.發揮內部審計的風險提示作用，創造隱性價值。內部審計通過從事后走向事中、事前，端口前移，充分發揮內部審計建設性和預防性作用，“預防先于糾正”，通過靠前服務給予業務部門合法合規、合理化建議。審計部通過參加“三重一大”（重大事項決策、重要干部任免、重大項目投資決策、大額資金使用）上會材料前置審查進行風險預警，開展日常咨詢化解風險，及早提醒經營管理層和業務部門采取措施防范風險，起到防患于未然的作用。審計部提前充分揭示風險助力決策，及時堵塞管理漏洞，避免了不采取措施可能造成的損失或嚴重后果，內部審計創造了隱性價值。公司董事會和高級管理層借助審計部加強風險管理，為公司增加價值做貢獻。內部審計對風險管理的咨詢服務，也有助于拓展內部審計工作范圍、提升內部審計工作價值和防范內部審計工作風險。

4.健全外部董事會考核機制，將風險管理成效納入外部董事考核評價的范疇。與外部董事簽訂的協議書中，將防范風險作為外部董事履職評價的維度之一，對外部董事的履職情況進行量化考核。

5.建立公司“控十看十”的“雙十”風險滾動跟蹤機制。針對公司年度“雙十”風險，每月由監控責任部門進行跟蹤，抄送審計部門，及時發現風險變化情況。

6.基于公司治理體系職能監督成果，主導公司頂層制度建設。審計部充分發揮在公司治理中的作用，防范風險。隨著公司治理水平的逐步完善提高，公司對內部審計提出了更高的要求，特別是審計內容、手段、職能的擴張，使內部審計向更高層次發展，向公司治理層面滲透，從頂層制度層面防范風險。內部審計成為完善公司治理結構的重要組成部分，成為公司治理的有效工具之一。審計部負責編制公司頂層制度文件，牽頭完成公司治理優化改革項目，編制《“三重一大”決策制度實施辦法》《董事會授權管理辦法》和《總經理授權管理辦法》等公司頂層程序和公司治理框架圖（如圖4所示），該項目獲得2021年公司管理創新三等獎。

審計部編制公司頂層制度文件，評估經營風險，以企業顧問的形象服務于被審計部門，把審計對象看作服務對象，為實現組織經營目標服務。

7.協助審計與風險管理委員會充分發揮其職權。公司董事會下設審計與風險管理委員會，負責審核公司全面風險管理總體目標、公司風險管理策略及重大風險管理解決方案；指導公司風險管理體系建設與維護，審核公司風險管理報告；對風險管理制度執行情況進行定期檢查和評估，并向董事會報告結果；審議公司風險管理評價報告并向董事會提出建議。審計部作為審計與風險管理委員會的日常辦事機構，負責牽頭承辦審計與風險管理委員會的有關具體事務，為內部審計融入公司全面風險管理全過程、各領域提供了信息資源的保障。

8.促進業審融合。審計部門在審前與被審計部門共同確認風險點，使得業務部門從關注表面現象轉向思考背后的本質和原因。日常工作中，審計部將歷史經驗反饋給業務部門，通過立行立改和舉一反三等舉措，協助業務部門多角度分析業務風險，進而促進業務提升。

六、結論與啟示

從本質上說，審計的根本目的在于預防和化解風險，即為組織的發展起到“糾偏”和“控制”作用。因而，在定位上，內部審計絕不僅僅是監督或者約束，更應著眼于服務、指導、互動，即能夠站在不同的角度、站在協調各不同部門關系、理順并整合業務流程的高度與審計對象一起發現問題和風險，找出問題根源和風險來源，解決問題和防范風險，做到防微杜漸?！霸炔繉徲嬘陲L險管理之中”，內部審計部門應與其他部門共同應對組織運營中的各種不確定性，同頻共振、同向發力，共同為組織防范和化解重大風險做貢獻，確保組織運營安全、資金安全和員工安全等，最終實現組織目標，保證組織穩中求進、高質量發展。

（作者單位：中廣核工程有限公司，郵政編碼：518000，電子郵箱：yanzhongxin168@qq.com）

主要參考文獻

[1]鮑國明，劉力云.現代內部審計（修訂版）[M].北京：中國時代經濟出版社， 2021

[2]嚴忠新，肖競.亞洲內部審計師協會聯合會問卷調查報告：內部審計轉型：未來的工作、新興風險和趨勢[J].中國內部審計， 2021（9）：6

[3]袁亮亮等，勇氣求實：探索內部審計發展之路[M].上海：立信會計出版社， 2020

[4]中國內部審計協會.國際內部審計專業實務框架[M].北京：中國財政經濟出版社， 2017

[5]中國內部審計協會.實施國際內部審計專業實務框架[M].北京：西苑出版社， 2010