【摘要】在理論界、監(jiān)管層和實(shí)務(wù)界,企業(yè)風(fēng)險(xiǎn)管理已引起越來(lái)越高程度的重視。文章從內(nèi)部審計(jì)與企業(yè)風(fēng)險(xiǎn)管理全面結(jié)合出發(fā),設(shè)計(jì)了包含企業(yè)風(fēng)險(xiǎn)管理運(yùn)行系統(tǒng)和保障系統(tǒng)在內(nèi)的企業(yè)風(fēng)險(xiǎn)管理基礎(chǔ)審計(jì)模式。在該模式中,內(nèi)部審計(jì)能夠?qū)崿F(xiàn)對(duì)企業(yè)風(fēng)險(xiǎn)管理運(yùn)行過(guò)程的持續(xù)跟蹤,切實(shí)發(fā)揮內(nèi)部審計(jì)在企業(yè)風(fēng)險(xiǎn)管理中的作用。

　　自美國(guó) COSO 委員會(huì)于2004 年4月頒布《企業(yè)風(fēng)險(xiǎn)管理框架》(Enterprise Risk Management Framework,以下簡(jiǎn)稱ERM框架)后,理論界對(duì)ERM的研究風(fēng)起云涌,監(jiān)管機(jī)構(gòu)對(duì)于ERM的規(guī)范不斷推出,實(shí)務(wù)界對(duì)ERM的嘗試不斷增多,如北美、歐洲有11%的組織擁有了完全實(shí)施的ERM,90%的組織正在建立或者想建立ERM (James Roth,2006);《財(cái)富》世界500強(qiáng)企業(yè)截至2004年底有近40%實(shí)施了ERM,30%部分實(shí)施了ERM;我國(guó)2006年針對(duì)部分先進(jìn)企業(yè)和ERM探索者的一項(xiàng)調(diào)查顯示,7.89%的企業(yè)建立并實(shí)施了ERM,15.79%的企業(yè)已經(jīng)建立但是尚未運(yùn)作,71%的企業(yè)在一定程度上建立但流程缺乏相互約束,5.26%的企業(yè)沒(méi)有建立(王雅婷,2008)?？梢?jiàn),ERM受到了越來(lái)越多的重視,如何促使企業(yè)盡快建立ERM,保證企業(yè)順利實(shí)施和完善已經(jīng)建立的ERM,成為當(dāng)務(wù)之急。

　　ERM的精髓之一在于全員參與,如何清晰地界定各參與方的職責(zé)決定著ERM的實(shí)施成效。內(nèi)部審計(jì)作為組織治理結(jié)構(gòu)四大支柱之一,在ERM建立和實(shí)施中發(fā)揮著重要作用。IIA(國(guó)際內(nèi)部審計(jì)師協(xié)會(huì))在《內(nèi)部審計(jì)在企業(yè)全面風(fēng)險(xiǎn)管理中的作用》意見(jiàn)書中將內(nèi)部審計(jì)在ERM中能夠開展的活動(dòng)劃分為三類,第一類是核心性保證活動(dòng),包括:就風(fēng)險(xiǎn)管理過(guò)程提供保證;就風(fēng)險(xiǎn)被準(zhǔn)確評(píng)估提供保證;評(píng)價(jià)風(fēng)險(xiǎn)管理過(guò)程;評(píng)價(jià)關(guān)鍵風(fēng)險(xiǎn)的報(bào)告;審閱關(guān)鍵風(fēng)險(xiǎn)的管理。第二類是合理性咨詢活動(dòng),包括:促進(jìn)風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià);指導(dǎo)管理層作出風(fēng)險(xiǎn)反應(yīng);協(xié)調(diào)風(fēng)險(xiǎn)管理相關(guān)活動(dòng);加強(qiáng)風(fēng)險(xiǎn)報(bào)告;保持和開發(fā)ERM框架;促進(jìn)ERM的建立;經(jīng)董事會(huì)批準(zhǔn)制定ERM戰(zhàn)略。第三類是不適當(dāng)?shù)幕顒?dòng),包括:設(shè)立風(fēng)險(xiǎn)偏好;對(duì)風(fēng)險(xiǎn)管理過(guò)程施加影響;提供管理層風(fēng)險(xiǎn)保證;對(duì)風(fēng)險(xiǎn)反應(yīng)作出決策;以管理層立場(chǎng)做出風(fēng)險(xiǎn)反應(yīng);對(duì)風(fēng)險(xiǎn)管理承擔(dān)責(zé)任(Russell A.Jackson,2005)。

　　上述分類對(duì)于指導(dǎo)內(nèi)部審計(jì)合理定位、提供適當(dāng)形式的服務(wù)、保持獨(dú)立性具有一定的意義,卻無(wú)助于指導(dǎo)內(nèi)部審計(jì)實(shí)現(xiàn)與風(fēng)險(xiǎn)管理過(guò)程的有機(jī)結(jié)合,容易導(dǎo)致內(nèi)部審計(jì)與ERM脫節(jié),或者重視ERM單一環(huán)節(jié)而忽視整體。為此,應(yīng)設(shè)計(jì)一種能夠?qū)?nèi)部審計(jì)與ERM實(shí)現(xiàn)對(duì)接的方式,使內(nèi)部審計(jì)能夠在ERM循環(huán)中實(shí)現(xiàn)跟蹤式全程審計(jì),實(shí)現(xiàn)內(nèi)部審計(jì)對(duì)于ERM的全程監(jiān)督,為持續(xù)審計(jì)奠定基礎(chǔ),該種模式稱為“ERM基礎(chǔ)審計(jì)”。

　　ERM基礎(chǔ)審計(jì)模式以COSO委員會(huì)在企業(yè)風(fēng)險(xiǎn)管理框架中設(shè)計(jì)的內(nèi)部環(huán)境、目標(biāo)設(shè)定、事件識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)反應(yīng)、控制活動(dòng)、信息與溝通以及監(jiān)控八要素為基礎(chǔ),考慮內(nèi)部審計(jì)在ERM中能夠開展的活動(dòng),將兩者進(jìn)行有機(jī)結(jié)合,形成了ERM基礎(chǔ)審計(jì)模式(George Matyjewicz等,2004)。

　　外圍各項(xiàng)要素中,以建立和溝通組織目標(biāo)為起點(diǎn),依次經(jīng)歷決定組織的風(fēng)險(xiǎn)偏好、建立適當(dāng)?shù)娘L(fēng)險(xiǎn)管理框架、識(shí)別阻礙目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)或事件、評(píng)價(jià)風(fēng)險(xiǎn)發(fā)生的影響和可能性、選擇和實(shí)施適當(dāng)?shù)娘L(fēng)險(xiǎn)反應(yīng)、實(shí)施控制和其他反應(yīng)活動(dòng)、進(jìn)行風(fēng)險(xiǎn)信息一致性溝通、監(jiān)督和調(diào)整風(fēng)險(xiǎn)管理過(guò)程和結(jié)果八個(gè)環(huán)節(jié),形成了ERM的一個(gè)運(yùn)行系統(tǒng)。在此基礎(chǔ)上,由管理層提供對(duì)ERM過(guò)程的首要保證,進(jìn)而由內(nèi)部審計(jì)實(shí)施對(duì)ERM的獨(dú)立客觀保證和咨詢,最終各方履行對(duì)董事會(huì)服務(wù)的職責(zé),董事會(huì)對(duì)ERM承擔(dān)最終責(zé)任,形成了ERM的一個(gè)保障系統(tǒng)。該模式將ERM與內(nèi)部審計(jì)融合在一個(gè)完整的循環(huán)中,兩者實(shí)現(xiàn)了無(wú)縫對(duì)接;明確了內(nèi)部審計(jì)和管理層在ERM中的職責(zé)地位;同時(shí),也便于內(nèi)部審計(jì)通過(guò)深入各個(gè)業(yè)務(wù)環(huán)節(jié)開展對(duì)ERM的全程審計(jì)。

　　1.建立和溝通目標(biāo)。CEO負(fù)責(zé)制訂組織的整體戰(zhàn)略目標(biāo),處于不同管理層次、不同地域分布中的各業(yè)務(wù)單位、分部和子公司管理層負(fù)責(zé)制訂各自的子目標(biāo),子目標(biāo)必須與組織整體目標(biāo)保持一致,并與組織文化、價(jià)值觀、使命和愿景相協(xié)調(diào),在整個(gè)組織員工中得到全面的溝通、清晰的解釋和正確的理解。內(nèi)部審計(jì)應(yīng)為下列各個(gè)方面提供保證:審查組織目標(biāo)得到有效建立(如檢查目標(biāo)建立依賴的信息、采用的程序、參與者的素質(zhì)等);審查子目標(biāo)與組織整體目標(biāo)協(xié)調(diào)一致;審查目標(biāo)在組織員工中得到全面的溝通和一致的理解。審計(jì)人員可以采用訪談關(guān)鍵人員、獲取和審閱相關(guān)資料、向不同層次人員發(fā)放調(diào)查問(wèn)卷、實(shí)施控制自我評(píng)估等方法來(lái)開展審計(jì)工作,其中問(wèn)卷設(shè)計(jì)應(yīng)該提供可以由回答者進(jìn)行評(píng)論的空間,以便于收集員工對(duì)目標(biāo)理解情況的軟性信息。

　　2.確定風(fēng)險(xiǎn)偏好。組織的風(fēng)險(xiǎn)偏好決定了組織能夠承受的風(fēng)險(xiǎn)水平。風(fēng)險(xiǎn)偏好與目標(biāo)設(shè)定有著直接的關(guān)系,體現(xiàn)在組織交易形式審批、資本預(yù)算限制、職責(zé)權(quán)限劃分、購(gòu)買事項(xiàng)確定等各項(xiàng)活動(dòng)中。確定風(fēng)險(xiǎn)偏好是董事會(huì)和管理層的責(zé)任,內(nèi)部審計(jì)不能設(shè)定組織風(fēng)險(xiǎn)偏好或容忍度,但可以就風(fēng)險(xiǎn)偏好和容忍度水平的確定、量化、溝通,在政策、程序和實(shí)務(wù)中的有效實(shí)施情況提供保證。

　　3.建立風(fēng)險(xiǎn)管理框架。在不同組織之間甚至在同一個(gè)組織不同部門之間,由于文化氛圍、管理理念、工作目標(biāo)、組織規(guī)模、業(yè)務(wù)復(fù)雜性以及與業(yè)務(wù)目標(biāo)和風(fēng)險(xiǎn)容忍度相關(guān)的固有風(fēng)險(xiǎn)水平不同,ERM框架可能會(huì)存在很大差別。例如,信息技術(shù)部門因?yàn)槠涔ぷ鞯男再|(zhì)需要有完整的風(fēng)險(xiǎn)識(shí)別、評(píng)價(jià)框架,而人力資源部門可能僅需要一個(gè)明確的政策和程序性審閱。從事常規(guī)交易的部門一般具有相對(duì)成熟的ERM框架,該框架中有明確界定的風(fēng)險(xiǎn)指示,與日常的業(yè)務(wù)運(yùn)行過(guò)程相結(jié)合;而戰(zhàn)略管理部門卻不具有這樣正式的框架,需要進(jìn)一步加以開發(fā)。某些組織擁有了較成熟的ERM框架,而其他一些組織卻僅處于ERM的計(jì)劃階段、萌芽階段甚至無(wú)知階段。

　　董事會(huì)和高級(jí)管理層負(fù)責(zé)建立和管理ERM框架。審計(jì)人員不能參與設(shè)計(jì)ERM框架,但是需要依賴他們的判斷,結(jié)合組織的實(shí)際對(duì)ERM框架的適當(dāng)性做出結(jié)論,發(fā)現(xiàn)框架結(jié)構(gòu)和功能中的缺陷。具體的審查內(nèi)容包括:審查ERM框架的組成要素;審查在組織政策、治理框架、實(shí)務(wù)操作中所體現(xiàn)出來(lái)的風(fēng)險(xiǎn)觀點(diǎn)和價(jià)值;審查風(fēng)險(xiǎn)管理政策和指南的實(shí)用性、靈活性和自我引導(dǎo)性;審查員工對(duì)風(fēng)險(xiǎn)管理含義的理解和對(duì)風(fēng)險(xiǎn)管理技術(shù)的掌握情況;審查管理層對(duì)風(fēng)險(xiǎn)管理的支持、對(duì)公司文化的培育情況;審查風(fēng)險(xiǎn)管理實(shí)務(wù)按框架期望持續(xù)運(yùn)行情況;審查框架動(dòng)態(tài)調(diào)整、監(jiān)督和自我評(píng)價(jià)管理情況。

　　4.識(shí)別風(fēng)險(xiǎn)。識(shí)別風(fēng)險(xiǎn)是對(duì)組織正在和將要面臨的風(fēng)險(xiǎn)加以判斷、歸類和鑒定風(fēng)險(xiǎn)性質(zhì)的過(guò)程,換言之,即確定組織正在或?qū)⒁媾R哪些影響組織目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)識(shí)別是管理層的職責(zé)。內(nèi)部審計(jì)在風(fēng)險(xiǎn)識(shí)別中的主要工作包括:審查風(fēng)險(xiǎn)識(shí)別的充分性,即與組織整體目標(biāo)和戰(zhàn)略相關(guān)的、涉及組織整體和分部層次的主要風(fēng)險(xiǎn)是否均已被識(shí)別出來(lái),是否存在未被識(shí)別的風(fēng)險(xiǎn),并提醒管理層注意;審查風(fēng)險(xiǎn)識(shí)別的一致性,風(fēng)險(xiǎn)定義、分類是否在組織中得到統(tǒng)一的運(yùn)用。對(duì)于發(fā)現(xiàn)的風(fēng)險(xiǎn)識(shí)別不完全、不一致、忽視風(fēng)險(xiǎn)等情況,內(nèi)部審計(jì)應(yīng)采用特殊審計(jì)程序并加以報(bào)告。

　　5.評(píng)估風(fēng)險(xiǎn)。評(píng)估風(fēng)險(xiǎn)是指采用定性與定量相結(jié)合的方式,估計(jì)風(fēng)險(xiǎn)影響的大小和發(fā)生的可能性,在二者結(jié)合的基礎(chǔ)上,對(duì)風(fēng)險(xiǎn)進(jìn)行排隊(duì),進(jìn)而實(shí)施不同關(guān)注。實(shí)施風(fēng)險(xiǎn)評(píng)估是管理層的責(zé)任。內(nèi)部審計(jì)應(yīng)就風(fēng)險(xiǎn)是否被準(zhǔn)確評(píng)估提供保證。具體可以采取兩種方式:(1)對(duì)管理層的風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行再檢驗(yàn),即掌握風(fēng)險(xiǎn)評(píng)價(jià)的系統(tǒng)方法,對(duì)風(fēng)險(xiǎn)成因、影響后果、發(fā)生頻率等作出綜合分析,根據(jù)“風(fēng)險(xiǎn)值=風(fēng)險(xiǎn)概率×風(fēng)險(xiǎn)影響”的計(jì)算結(jié)果,對(duì)風(fēng)險(xiǎn)級(jí)次進(jìn)行排序,對(duì)不恰當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估予以更正;(2)對(duì)管理層的風(fēng)險(xiǎn)評(píng)估能力進(jìn)行審查,如審查管理層的風(fēng)格(激進(jìn)與穩(wěn)健的管理者對(duì)于相同風(fēng)險(xiǎn)的賦值往往存在較大差別)、采用的風(fēng)險(xiǎn)評(píng)估方法、對(duì)相關(guān)信息的掌握程度、對(duì)成本效益的考量、對(duì)相關(guān)部門或人員意見(jiàn)考慮的幅度,等等。