【摘 要】近几年,风险管理一直是一个热点议题,我国企业逐步建立全面风险管理体系。风险管理最终是否适当和有效,需要运用风险管理审计对其进行鉴证和评价。本文主要辩析审计风险管理、风险导向审计与风险管理审计三者的区别,论述不同审计主体在风险管理审计中的作用,并着重梳理风险管理审计在当代国内外的发展状况。
【关键词】风险管理;风险管理审计;区别;发展
近年,理论届在不断研究如何利用风险管理使企业绕过各种障碍实现目标的同时,企业也在践行推进风险管理以增强抵御各种风险的能力。但风险管理是否真正发挥了效用,还需要实施独立审计对风险管理的有效性进行鉴证和评价,风险管理审计应运而生。
一、审计风险管理、风险导向审计与风险管理审计三者的区别
审计风险管理、风险导向审计与风险管理审计三者之间有着本质的区别。
1、审计风险是审计工作本身的风险,其客观存在于审计工作之中,是审计结论与客观
事实不相符合的可能性。审计风险需由审计机构和审计人员共同承担,审计风险不可回避但可以加以管理和控制,审计机构和审计人员可采取一系列措施来降低审计风险。审计风险管理的目的是要将审计风险降低至审计机构和审计人员可以接受的水平,使审计结论尽量接近客观事实。风险管理审计中也存在审计风险,即审计机构和审计人员对企业风险管理的非有效性表示不恰当意见的可能性。因此在风险管理审计中,审计机构和审计人员会通过建立全面质量控制、加强指导和复核等措施对审计风险进行管理。
2、风险导向审计也称风险基础审计,从方法论的角度,审计主体以审计风险模型为基础进行的审计,称为风险导向审计。风险导向审计有利于提高审计效率和效果,把审计资源集中于高风险的审计领域,使审计资源配置更加科学和合理,以风险为导向贯穿整个审计过程,有的放矢。风险导向审计作为一种审计理念可运用于不同类型的审计业务。现代企业就已将风险导向审计理念运用于风险管理审计,典型的代表是杜邦公司,杜邦公司在风险管理审计的抽样程序中设计了“沸腾壶”模型,将风险因素分成八大类,四大风险级别。审计人员配置审计资源时,依据风险级别,级别越高,所需抽取的样本和实施的审计程序就越多。
3、风险管理审计是审计主体通过对企业风险识别、风险程度评估等工作的审计,评价风险政策、措施的适当性、执行的有效性并提出改进意见的工作。风险管理审计以风险管理为审计对象,以鉴证和评价风险管理的适当性和有效性为目的,为改进企业风险管理,不断实现和提升企业价值服务。如前文所述,风险管理审计需要对实施过程中所面临的审计风险进行关注和管理,并可以引入风险导向审计理念以提高审计效率和效果。
二、不同审计主体在风险管理审计中的作用
风险管理审计常常被认为只是内部审计部门的工作,其实三类审计主体在风险管理审计中发挥着不同的作用。
1、从风险管理审计产生的源头来说,政府审计机关的管理审计对其产生了巨大影响。20世纪70年代能源危机,美国展开了针对煤气、电力等公用事业单位的强制管理审计。随后公用事业的管理审计由强制性转变为公司自行选择,以改进组织效率,在此转变下,内部审计的关注点逐步由具体业务转向管理决策,从“为管理”进行审计转向了“对管理”进行审计。在我国,中央企业在众多关系国计民生的行业享有独占、垄断地位,对国民经济发展起着举足轻重的作用。中央企业历来是审计署审计的重点企业,而企业深化改革,完善现代企业制度,加强内部管理等情况已成为近年审计署审计重点关注的内容之一,通过审计署的审计公告会揭示出中央企业风险管理方面存在的问题。
2、现代企业并不一定都会设置内部审计部门或者即使有内部审计部门,也可能将内部审计的全部或部分职能外包给会计师事务所或者其他专业人员实施。因此,会计师事务所也可能是企业风险管理审计的审计主体,独立或与企业内部审计部门共同鉴证或评价风险管理的适当性和有效性。另外,帮助企业建立风险管理体系及完善内部审计风险评估体系和方法等是會计师事务所重要的咨询业务之一。会计师事务所利用其丰富的执业经验和良好的专业知识及技能协助企业管理层建立一个结合治理、风险、合规和保证职能的综合框架。内部审计部门可能依据由会计师事务所设计的风险管理审计程序来完成工作。再一方面,会计师事务所提供的外部审计业务和内部审计部门进行的风险管理审计在某些方面具有一定的重复性,双方在评估对方的工作能力和完成情况的基础上可相互利用各自的工作成果。
3、内部审计部门一直是实施风险管理审计的主要力量。2004年国际内部审计师协会(英文缩写IIA)UK and Ireland部门发表的名为《The Role of Internal Audit in Enterprise Wide Risk Management》的意见书中明确指出内部审计在风险管理中的核心作用是向董事会提供对组织风险管理活动有效性的客观鉴证,以帮助确保重要的经营风险得到恰当的管理以及内部控制系统有效运行。内部审计师可以为管理层的风险决策提供建议、质疑和支持,但不能代替管理层进行风险决策。内部审计也可为企业风险管理提供咨询服务,但服务的程度依赖于企业的内外部环境。
三、风险管理审计在当代的发展
1、风险管理审计在国外的发展
IIA对内部审计的研究以及发布的一系列内部审计准则极大地推动了风险管理审计的发展。1996年,IIA研究基金会发布了《内部审计的未来:特尔菲研究》,报告认为,内部审计应当为风险管理与内部控制提供保证。1999年6月,IIA理事会批准了关于内部审计的新定义。明确指出内部审计要通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。该定义实际上表明执行风险管理审计是内部审计部门帮助企业实现目标的重要途径。IIA在2002年向纽约证券交易所提出“所有上市公司都应该建立和保持一个独立、资源充足、人员胜任的内部审计部门,向管理层和审计委员会提供组织风险管理程序和相应内部控制制度的持续评估,内部审计正逐步通过对控制的确认和风险控制在上市公司治理中发挥作用。”2003年IIA全球审计信息网络调查表明认为未来内部审计重点是风险管理审计的占63.9%,风险管理审计在内部审计中的地位得到认同。从2004年IIA- UK and Ireland发表《The Role of Internal Audit in Enterprise Wide Risk Management》意见书中可归纳出风险管理审计的内容包括:风险管理过程和风险得以正确评价的认定,风险管理过程及关键风险记录的评价,以及关键风险管理的审核等。近几年,风险管理审计一直是IIA会计全球论坛和年会的重要议题之一。另外,IIA发布的实务指南——估计风险管理的适当性和一部分实务公告为风险管理审计的实施提供了操作指南。
2002年美国为应对一系列公司丑闻颁布SOX法案,其中404条款规定在美上市公司在年报中要披露内部控制自我评价报告,并聘请注册会计师对公司财务报告内部控制有效性进行审计。虽然内部控制自我评价和外部审计与风险管理审计不完全等同,但由于内部控制与风险管理审计的密切联系,使得两者在内容和方法上都有共性和交叉的部分,因此404条款也在一定程度上推动了美国上市公司风险管理审计的开展。
风险管理审计可以运用各种已有审计的理念和方法,但要完成对企业风险管理的适当性和有效性的鉴证和评价,必须要有一套鉴证和评价标准。2004年9月COSO委员会正式出台了《企业风险管理整合框架》(英文缩写ERM),ERM中阐明认定一个主体的风险管理是否“有效”,是在对八个构成要素是否存在和有效运行的基础之上所作的判断。ERM在全球范围内为风险管理提供了比较一致的概念解释,ERM实际已成为风险管理审计的一套鉴证和评价基本標准。
2、风险管理审计在国内的发展
我国风险管理审计起步相对较晚。2003年《审计署关于内部审计工作的规定》中规定内部审计机构按照本单位主要负责人或者权力机构的要求,履行对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审的职责。江苏省内部审计师协会2004年印发《江苏省内部风险管理审计准则》(试行),提出了风险管理审计的一般原则、审计内容、审计步骤和审计报告,标志着我国的内部审计行业组织开始尝试为风险管理审计提供指导。中国内部审计协会2005年发布《内部审计具体准则16号——企业风险管理审计》,主要包括一般原则和风险管理的审查和评价两部分为内容,强调内部审计人员对风险管理进行审查和评价的职责。该准则阐述了风险管理与内、外部风险的一些基本概念,以及对风险管理各阶段审查和评价时可采用的方法,遵循的原则和应考虑的因素等,但是没有给出风险管理审计程序的应用指南,所以对风险管理审计操作层面的指导意义不大。
为确保国有资产的保值增值和中央企业持续、健康和稳定发展,国有资产监督管理委员会于2006年颁布《中央企业全面风险管理指引》,指出内部审计部门和董事会下设的审计委员会是风险管理的第三道防线。明确规定企业内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,并提交风险管理监督评价审计报告。企业也可以聘请综合实力强的中介机构对企业全面风险管理工作进行评价。另外,2010年财政部联合五部委发布的《企业内部控制评价指引》和《企业内部控制审计指引》则推进了内部控制评价和审计,以至风险管理审计在我国上市公司的施行。
从以上的制度规定看出,实行风险管理审计在我国已经有了一个良好的制度环境。但2011年5月,国家审计署发布的相关中央企业审计公告却显现出中央企业风险管理审计中存在很多问题。审计署能够通过审计发现重大问题,而中央企业内部审计部门却没有发现和报告相应问题,同样都是审计却有不同的结果,审计署运用现有的审计程序和审计方法能够发现问题,说明造成不同审计机构不同结论的不是审计技术上的原因。主要的两大原因是:(1)企业决策层和管理层的风险管理意识还比较薄弱,对风险管理的重视程度不够。风险管理虽然是为企业创造和增加价值而开展的一项工作,但是其投入产出,对企业的贡献程度大都是隐性的和长期的。一些企业开展风险管理及其审计并不是自发行为以追求企业持续健康发展,而是为了满足和符合外部监管机构的相关制度规定搭建了全面风险管理的“虚”框架。而且国有企业的风险损失很多时候并不是由企业自身或者其领导者承担,而是由国家承担了。企业没有风险损失的切肤之痛,自然难有风险管理的重视之举。(2)内部审计部门的内部性削弱了其独立性,独立性是审计的灵魂,缺乏独立性的审计常会流于形式,造成内部审计机构不作为或难以作为。内部审计报告不公开性,使得内部审计部门即使发现问题也可能冷处理或淡处理。要解决以上两大问题并非一朝一夕之功。风险管理审计的种子已播入我国企业,但是否能成树开花,还有待于企业风险损失承担方式的转变,风险管理意识的散播,风险管理文化的形成和外部监管的持续到位。
参考文献:
[1]石爱中.期待风险管理审计能够成为审计的主题、主流和常态[J].中国内部审计,2010(1).
[2]汪振纲.风险管理审计理论评述[J].会计之友,2010(2)中.
[3]李晓慧.基于企业价值增值的风险管理审计研究[J].中国注册会计师,2009(2).
[4]邹志国.企业风险管理审计研究[J].财会通讯·综合(下),2009(7).
[5]马向梅,安林丽.浅议风险管理审计程序[J].中国集体经济(下半月),2007(6).
[6]孟焰,潘秀丽.企业风险管理审计研究[J].审计研究,2006(3).
[7]曾繁荣,郑毅.论风险审计[J].求索,2004(10).
[8]李文佳.我国企业风险管理存在的问题及对策探析[D].江西财经大学硕士学位论文,2010.
[9]程燕云.风险管理审计在我国企业的应用研究[D].厦门大学硕士学位论文,2009.
作者简介:程亭,博士,贵州财经大学副教授,主要研究方向:审计和内部控制。