論文提要：本文在分析內部控制整合框架與企業(yè)風險管理整合框架關系的基礎上,分析現(xiàn)行風險管理審計準則的局限性,并提出開展風險管理審計的建議。

　　一、我國風險管理審計準則的內容及局限性

　　隨著經(jīng)濟形勢發(fā)展及我國內部審計自身發(fā)展的需要,我國內審也開始重視風險管理內部審計。2005年中國內部審計協(xié)會頒布了《內部審計具體準則第16號—風險管理審計》(以下簡稱風險管理審計準則)并要求于2005年5月1日起實施,該具體準則的出臺為我國內部審計人員對組織內部風險管理狀況進行審查和評價提供了規(guī)范指導。

　　風險管理審計準則第2條對風險管理做了如下定義:是對影響組織目標實現(xiàn)的各種不確定性事件進行識別與評估,并采取應對措施將其影響控制在可接受范圍內的過程。風險管理旨在為組織目標的實現(xiàn)提供合理保證;第6條則描述了風險管理包括的主要階段:風險識別、風險評估以及風險應對;在該準則的第4條中,還特別強調:風險管理是組織內部控制的基本組成部分,內部審計人員對風險管理的審查和評價是內部控制審計的基本內容之一。

　　可以看出,該準則所稱的“風險管理”是從狹義上理解的風險管理,即風險管理活動的具體實施過程:風險識別、評估及應對。而廣義的風險管理不僅包括上述的具體實施過程,還包括其他起輔助作用的要素:內部環(huán)境、控制活動以及監(jiān)督。按目前狹義前提下制定的準則去執(zhí)行,風險管理審計就會忽略這些起輔助作用的要素,以至于發(fā)現(xiàn)不了組織風險管理活動中可能存在的潛在問題。中航油案例就是一個很好的例證。

　　中國航油(新加坡)股份有限公司(下稱中航油新加坡公司)曾聘請國際著名的安永會計師事務所為其編制《風險管理手冊》,設有專門的風險管理委員會及軟件監(jiān)測系統(tǒng),實施交易員、風險控制委員會、審計部、總裁、董事會層層上報,交叉控制,按照《風險管理手冊》的規(guī)定,任何導致50萬美元以上損失的交易將自動平倉。中航油新加坡公司共有10位交易員,損失的最大限額應是500萬美元(10×50萬=500萬)。但是,中航油新加坡公司的衍生品交易最終虧損額高達5.5億美元,以至申請破產(chǎn)保護。中航油事件的核心問題并不在于市場云譎波詭,而在于該公司從表面上看似乎已實施了風險管理的流程:風險識別、風險評估、風險應對;但缺少對風險管理系統(tǒng)中的其他輔助要素的合理關注,最終導致企業(yè)整體風險管理失敗。這一案例也再次說明:風險管理不僅僅只包括風險識別、評估及應對,更包括內部環(huán)境、控制活動、信息和溝通以及監(jiān)控;風險管理系統(tǒng)的有效運轉依賴于各要素的通力協(xié)作,對風險管理不應停留于狹義上的理解;風險管理審計準則應指導內部審計人員從廣義上理解風險管理的涵義,全盤考慮風險管理的構成要素及其運作方式,及時有效地發(fā)現(xiàn)企業(yè)風險管理實踐中存在的短板。

　　二、重新認識內部控制與風險管理的關系

　　對風險管理審計的認識依賴于企業(yè)進行風險管理時所采取的企業(yè)風險管理框架或風險模型(用來反映風險管理過程和內容的程序圖)。截至目前,已經(jīng)有如下風險管理模型:1995年澳大利亞-新西蘭聯(lián)合委員會的AS/NZE4360;1998年的加拿大標準委員會模型;1997年全國虛假財務報告委員會下屬的發(fā)起人委員會(下稱COSO委員會)內部控制-整合框架的“目標—風險—控制”模型;2004年COSO委員會的企業(yè)風險管理-整合框架(簡稱ERM框架)模型。風險管理審計準則中出現(xiàn)的問題根源就在于準則中的“風險管理”概念采納了COSO委員會1997年的內部控制-整合框架中的觀點。然而,理論界和實務界還是認為該內部控制框架有些局限性,如對風險強調不夠,使得內部控制無法與企業(yè)的風險管理相結合。COSO委員會2004年的ERM框架就是在1997年的內部控制-整合框架的基礎上,結合《薩班斯——奧克斯利法案》的相關要求擴展得到的。相比內部控制框架,ERM框架在多個方面都有所發(fā)展和深化,具體表現(xiàn)在以下幾個方面:

　　1、企業(yè)風險管理涵蓋了內部控制。增加了新的要素或賦予原有要素新的含義,對內部控制框架下的風險管理要素進行細化,按風險管理的流程劃分為:目標設定、事件識別、風險評估、風險反應四個要素。同時,在環(huán)境要素中增加了“風險管理哲學”以及風險“偏好”。對比二者的構成要素,可以發(fā)現(xiàn)風險管理框架中的目標制定、事項識別、風險評估、風險應對四個要素實質上就是風險管理的流程,也可以理解為狹義上的風險管理。這樣看來,內部控制框架與風險管理框架中的要素完全一致。但是系統(tǒng)論認為,系統(tǒng)的性質不僅取決于組成系統(tǒng)的各要素,更依賴于組成系統(tǒng)的各要素的排列方式。在內部控制三個目標的基礎上增加了戰(zhàn)略目標,并擴大了報告目標的范圍,將“財務報告的可靠性”發(fā)展為“報告的可靠性”。

　　2、企業(yè)風險管理更加強調管理風險。ERM框架強調在“組合”的基礎上考慮風險,考慮風險的集合和風險的交互作用,并在此基礎上考慮企業(yè)應采取的風險控制措施。在強調風險管理的環(huán)境下,ERM框架顯然不同于內部控制框架。

　　總之,ERM框架擴展并詳細地闡述了與企業(yè)風險管理相關的那些內部控制要素。從企業(yè)風險管理要求和實施來看,內部控制是ERM的主要構成部分,但絕對不能等于ERM范疇,ERM的理論和實務都要比內部控制寬泛得多,ERM更適合企業(yè)戰(zhàn)略風險管理的要求。因此,不能說風險管理審計是內部控制審計的一部分。

　　三、建議

　　基于以上分析,要實現(xiàn)真正意義上的風險管理審計,對風險管理審計準則中的風險管理概念的理解就必須建立在廣義的基礎之上,即采納COSO委員會(2004)ERM框架中的廣義風險管理概念。鑒于內部控制與風險管理二者密不可分的聯(lián)系,在現(xiàn)行的準則體系下可以協(xié)調內部控制審計準則與風險管理審計準則之間的關系,以使風險管理審計準則能得以更有效的實施。

　　主要參考文獻:

　　[1]中國內部審計協(xié)會.內部審計具體準則第16號——風險管理審計.2005.

　　[2]劉華.審計治理規(guī)范與案例[M].復旦大學出版社,2007.

　　[3]王曉霞.企業(yè)風險審計[M].中國時代經(jīng)濟出版社,2005.