風險管理審計 一個重要的制度安排

《風險管理審計 一個重要的制度安排》由會員分享，可在線閱讀，更多相關《風險管理審計 一個重要的制度安排（14頁珍藏版）》請在裝配圖網上搜索。

1、風險管理審計：一個重要的制度安排 風險管理審計：一個重要的制度安排* 李曉慧* 本文是“中財121人才工程博士發(fā)展基金”項目（項目編號：GBG0606）階段性成果之一，感謝財政部全國會計學術帶頭人后備人才培訓項目的支持，感謝東北財經大學張宜霞老師的意見。 【作者簡介】李曉慧，女，河南南召人，經濟學博士，中央財經大學會計學院教授、副院長；研究方向：現(xiàn)代審計理論與方法、內部控制與風險管理、資本市場會計與審計問題研究。 （中央財經大學會計學院，北京 100081） 摘 要：為了使內部控制、公司治理，以及風險管理在動態(tài)中不斷適應企業(yè)的發(fā)展，促使企業(yè)內生出減少財務舞弊以及公司治理失效的內

2、部控制和風險管理機制，本文引入了風險管理審計制度。這種制度通過評價、鑒證、咨詢和報告來促使企業(yè)形成自我糾正、自我完善、不斷提升的公司治理循環(huán)，也有利于提高公司的治理效率。 關鍵詞：風險管理審計；制度安排；公司治理 一、引 言 在資本市場，人們總是疑慮為什么一些企業(yè)會樂此不疲地粉飾財務報表。也許人們已經尋找出不同的理由以及相應的改善措施，但究其根本在于公司缺乏盈利能力。當一個企業(yè)缺乏盈利能力時，為了避免向市場報告“壞信息”或規(guī)避資本市場的監(jiān)管，公司有強烈動機不報告虧損，尤其在連續(xù)虧損時，公司必然會鋌而走險地利用會計手段進行“清洗”（Haw, et al，1998；陸建橋，1999；沈振宇

3、等，2004；李遠鵬等，2005）。反之，如果企業(yè)盈利能力強，就沒有必要粉飾財務報表。正是基于這些研究，目前會計理論界和實務界都著力研究企業(yè)內部控制、公司治理以及整個企業(yè)的風險管理，以期從公司內部形成減少舞弊的控制機制，以減少風險，這種研究思路和解決問題的角度無疑是正確的。但在一個動態(tài)發(fā)展的企業(yè)中經常會看到，即便是一些企業(yè)聘請國際“四大”設計了完善的內部控制和全面的風險管理，也會面臨著設計不合理（主要是與企業(yè)現(xiàn)實不符）、運行無效的尷尬 中航油的風險管理體系出自安永會計師事務所之手，《風險管理手冊》與其他國際石油公司基本一致，但仍然無法阻止企業(yè)由最初判斷失誤造成580萬元虧損擴大到5.5億美元，

4、這說明中國企業(yè)現(xiàn)在內部控制的最大、最迫切的問題不是設計出最好、最超前的內部控制，而是如何保證最常規(guī)的內部控制能夠有效運行。 ；即便是公司治理結構設計的再完美，大股東和管理層合謀舞弊以及嚴重的內部人控制也很猖狂，如何解決這些問題呢？這需要企業(yè)有一個自我糾正、自我完善、不斷提升的制度，才能從根本上解決問題，為此，我們在公司治理中引進風險管理審計制度。 二、風險管理審計的內涵 從現(xiàn)代企業(yè)全面風險管理的角度看，風險管理審計是審計人員根據企業(yè)全面風險管理的方針和政策，采用系統(tǒng)化、規(guī)范化的方法，測試企業(yè)風險管理系統(tǒng)、各業(yè)務循環(huán)及相關部門的風險識別、分析、評價、管理及處理等，并對企業(yè)的全面風險管理進行

5、動態(tài)評價的一個過程，以保證和預警，進而提高企業(yè)風險管理的效率，幫助企業(yè)實現(xiàn)其戰(zhàn)略目標。 從這個定義出發(fā)，我們可以確定風險管理審計內涵包括如下幾點： 1. 風險管理審計的目標是在確定企業(yè)基本經營目標、風險、績效指標和風險承受能力的基礎上，評價風險管理活動，并將企業(yè)風險控制在可接受范圍內，以增加企業(yè)價值或改進企業(yè)運行效率。風險管理審計目標與企業(yè)經營目標是一致的， 比一般審計目標范圍要大。如一般的財務審計目標是對財務報表的合法性、公允性發(fā)表意見，企業(yè)內部控制審核目標是對內部控制的有效性發(fā)表意見，但風險管理審計的目標可具體細分為對風險管理政策設計的適當性；執(zhí)行的有效性和風險損失處理的合理性發(fā)表意見

6、，該意見盡量避免集中在遵循要求上，而是實質地評估企業(yè)的風險偏好以及期望差距，提出縮短差距的具體措施和意見，以求把企業(yè)的風險控制在可接受的范圍內，為實現(xiàn)企業(yè)價值增值和改進企業(yè)運行效率的終極目標服務。 2. 風險管理審計的對象是企業(yè)全面的風險管理活動。企業(yè)的全面風險管理活動包括企業(yè)的風險管理信息系統(tǒng)和內部控制系統(tǒng) 2006年6月國務院國有資產監(jiān)督管理委員會頒布的《中央企業(yè)全面風險管理指引》（國資發(fā)改[2006]108號）規(guī)定健全的全面風險管理體系，包括風險管理策略、風險理財措施、風險管理組織職能體系、風險管理信息系統(tǒng)和內部控制系統(tǒng)。 ，為此，風險管理審計也包括對財務報表重大錯報和內部控制缺陷的

7、查證、評價與溝通。但區(qū)別于財務報表審計和企業(yè)內部控制審核的關鍵點是：風險管理審計還需要針對企業(yè)戰(zhàn)略層面的風險予以查證、評估并提出應對措施。 3. 風險管理審計職能體現(xiàn)在鑒證和咨詢活動上。其鑒證職能與一般的審計一樣，旨在客觀地獲取和評價與經濟活動和經濟事項的認定有關的證據，以確認這些認定與既定標準之間的適合程度。其咨詢的職能具有“增值性”，根本區(qū)別于一般財務報表審計，要求審計人員針對企業(yè)風險管理中存在的問題，提出具有針對性(specific)、可測量性(measurable)、可實施性(actionable)、責任到人(responsibility)、及時性(timely) 2004年9月國際

8、內部審計師協(xié)會（IIA）發(fā)布的《全面風險管理中內部審計角色》的職位說明書中提出的SMART (specific, measurable, actionable, responsibility, timely）標準。 的評價意見和改善建議，協(xié)助管理層更有效地進行風險管理活動，減少或降低阻礙企業(yè)戰(zhàn)略目標實現(xiàn)的任何障礙。 4. 風險管理審計采用的方法具有系統(tǒng)性、規(guī)范性，主要包括：了解管理當局在戰(zhàn)略上、運營上和價值上的目標；識別和評估阻礙企業(yè)達到上述目標的關鍵經營風險；理解管理當局對于相關風險的承受度；評估風險管理活動，并將其降低至可接受風險水平。這些方法在風險基礎/導向審計中也運用，但風險管理審

9、計在運用這些方法時，主要利用數量模型來量化風險、對風險進行排序，以便為公司提出具有針對性的精細分類的風險管理策略并提出改善意見，而風險基礎/導向審計在運用這些方法時，側重于定性評價內部控制及其控制風險，目的是為了找到公司內部控制不能防范的剩余風險，以確定下一步對剩余風險予以查證的實質性程序的性質、時間和范圍。 5. 風險管理審計的重心在于識別目前風險管理有效性水平與期望水平之間的差距，以評價和改進風險管理的有效性。 為此，風險管理審計屬于凸現(xiàn)咨詢活動的企業(yè)內部審計 Bailey等認為，咨詢活動顯得有些新穎，但它所囊括的許多活動實際上早已成為內部審計工作的一部分。 的一種，它是審計人員執(zhí)行

10、內部控制評價和管理審計的合理拓展，即站在戰(zhàn)略層面和風險管理全過程的角度，對企業(yè)風險管理進行審計?，F(xiàn)實中，企業(yè)根據需要，在進行風險管理審計的同時，也可以從某種專門的需要出發(fā)，安排內部控制評價或管理審計。 三、風險管理審計是一種制度安排 1. 正如注冊會計師審計是企業(yè)外部治理的一種制度安排一樣，風險管理審計也作為企業(yè)內部治理的一種制度安排而存在。 在現(xiàn)代企業(yè)中，公司治理是基于企業(yè)所有權與經營權相分離后而引發(fā)的有關委托代理關系及“內部人控制”等問題而被逐步提出的，人們希望公司治理通過一系列制度安排有效運行而形成治理循環(huán)，為公司不斷培育和提升增值能力提供保障。如圖1，企業(yè)的外部治理在運行時，市場

11、這個“看不見的手”將會發(fā)揮作用：資金在資本市場中由低效益領域流向高效益領域；經理人在經理市場會因企業(yè)業(yè)績變化而提升經理人價值，或被趕出經理市場（如利用收購、兼并等）；產品的適銷對路或積壓會把企業(yè)推向大發(fā)展或瀕臨破產；勞動力也會追逐利益而流動，但這些市場的敏感反應必然借助于注冊會計師的審計，“年度審計是公司治理的一個基石……審計提供了外部的客觀的審查，該過程中需要準備和提供財務報表” Cadbury Report, 1992, 36, para.5.1。 ，注冊會計師審計擔負著過濾會計信息風險、合理保證會計信息質量、降低會計信息識別成本的責任，被利益相關者視為重要的利益保障機制（程新生，200

12、5），從而有利于提高公司的透明度，減少外部治理運行中的信息不對稱而引發(fā)的一系列后果（逆向選擇和道德風險）。企業(yè)的內部治理運行時，配置和行使控制權、監(jiān)督和評價董事會、經理層和職工以及設計和實施激勵機制等制度至關重要，但更為重要的是這些制度如何被執(zhí)行。眾所周知，制度執(zhí)行的關鍵在于評價，評價的關鍵又在于咨詢，風險管理審計在公司內部治理中就承擔了咨詢的職責，即從企業(yè)發(fā)展戰(zhàn)略的視角評價、鑒證企業(yè)全面風險管理，并站在戰(zhàn)略高度，具體到企業(yè)運營中各個流程和環(huán)節(jié)，并提出具有建設性的建議。這不僅有利于企業(yè)形成“自上而下”和“自下而上”相協(xié)調的制度執(zhí)行機制，也能夠促使企業(yè)形成自我糾正、自我完善、不斷提升的內部治理機

13、制。 市 場 環(huán) 境 社會文化 政策環(huán)境 企業(yè) 內部治理 引進風險管理審計制度 外部治理 引進注冊會計師審計制度 產品市場 資本市場 經理市場 勞動市場 圖1 企業(yè)的內外治理制衡機制 2. 相對于內部控制和風險管理的“監(jiān)督”要素，風險管理審計成為內部控制和風險管理運行中內生和外生相協(xié)調的制度安排。 如圖2公司內部治理框架所示，企業(yè)的內部控制和風險管理是企業(yè)治理層的工具，但卻根植在企業(yè)經營管理的每一個流程和環(huán)節(jié)當中，屬于公司治理機制的核心。 對于一個現(xiàn)代化企業(yè)來講，無論按照“內部控制整體框架（Internal Control——Integrated

14、Framework）”（COSO框架）或是“全面風險管理整合框架（Enterprise Risk Management）”（COSO-ERM框架）來構建自身的內部控制和風險管理框架，框架本身都內生存在“監(jiān)督”環(huán)節(jié) COSO框架的“五要素”包括“內控環(huán)境、風險評估、內控活動、信息與溝通和監(jiān)督”COSO-ERM框架的“八要素”包括“內部環(huán)境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監(jiān)控”。 。監(jiān)督是對內部控制和風險管理系統(tǒng)有效性進行評估的過程，可以通過持續(xù)性監(jiān)督、獨立評估或兩者的結合來實現(xiàn)。內部控制和風險管理內生要素中“監(jiān)督”如果僅僅限于自我評估，則無論是否是持續(xù)的，都可能

15、會出現(xiàn)“不識廬山真面目，只緣身在此山中”的情況，因此，需要特設的一個制度安排——風險管理審計，由直接隸屬于董事會（可以通過審計委員會，但最終是對董事會負責）的審計部門組織實施，以落實內部控制和風險管理的各個環(huán)節(jié)的自我評價為基礎的專門的審計活動，并且利用咨詢意見，在戰(zhàn)略層面上為董事會提供發(fā)現(xiàn)、防范并糾正自身戰(zhàn)略風險的意見。為此，在公司內部治理框架中，風險管理審計成為內部控制和風險管理運行中的內生和外生相協(xié)調的制度安排，其內生性表現(xiàn)在風險管理審計本身是內部控制和風險管理中“監(jiān)督”環(huán)節(jié)所要求的獨立評估部分；其外生性體現(xiàn)在風險管理審計是特設的制度安排（強調直接隸屬于審計委員會的內部審計部門實施）來保證

16、內部控制和風險管理在不斷修正中有效運行；其內生和外生相協(xié)調表現(xiàn)在內部審計部門在實施風險管理審計中，必須以企業(yè)內部控制和風險管理的自我持續(xù)評估為基礎，但要站在戰(zhàn)略高度，把握全面風險，來對整個公司內部治理的全過程以及各個層面（治理層和控制層）實施監(jiān)督。 股東大會或利益相關方 董事會 審計委員會 報酬委員會 提名委員會 財務委員會 風險管理委員會 首席執(zhí)行官 審計部門 業(yè)務部門 風險管理部門 風險管理審計 治理 層面 決策審核與監(jiān)督 控制 層面 決策擬定與執(zhí)行 圖2 公司內部治理框架 四、引進風險管理審計后的協(xié)調 在整個公司治理中引進風險管理審計后

17、，需要協(xié)調以下關系： （一）公司治理與風險管理審計的關系 研究圖2所示公司內部治理中相關方在企業(yè)全面風險管理中的地位和職責，包括： 1. 董事會 董事會對企業(yè)的風險管理負有監(jiān)督職責，監(jiān)事會下設風險管理委員會，作為企業(yè)風險管理的最高決策機構，其主要是通過以下方式實現(xiàn)其職責：了解和評估主要利益方不斷變化的需求和期望；了解管理者在企業(yè)內部建立有效風險管理的程度、獲知并認可企業(yè)的風險偏好；為管理層提供公司治理目標和風險承受水平方面給予連續(xù)的指導、權限和監(jiān)督；接收或評估由管理層提供的，關于根據其確定的風險承受水平管理企業(yè)效果的信息。 2. 管理層 企業(yè)的首席執(zhí)行官對企業(yè)的風險管理最終負責，企

18、業(yè)高層確定風險管理的基調，從而影響企業(yè)內部員工的操守和價值觀。企業(yè)管理層應當確保公司治理能夠體現(xiàn)在公司的運營中：接受由董事會提供的連續(xù)指導，確保正確的風險管理活動得以實行、以便在風險承受限度內管理企業(yè)；重新評價風險承受水平，確保它們在符合董事會的風險承受水平的同時繼續(xù)反映企業(yè)的需要；向風險所有者授權，使他們有能力控制風險并對企業(yè)的變化作出反應；接收和評估由風險所有者提供的在風險承受水平內企業(yè)管理績效的信息；向董事會傳遞整個企業(yè)在風險承受水平內企業(yè)管理績效的信息。 3. 風險所有者 各個部門和崗位的責任人均是風險所有者，他們在各自的職責范圍內建立并維護有效的風險管理。首席風險管理師承擔了監(jiān)督

19、風險管理進度，并幫助其他風險所有者在企業(yè)內向上、向下和橫向報告有關風險信息的職責，也可以成為企業(yè)風險管理委員會的一員。一旦通過企業(yè)風險管理流程被授予風險管理的權限，每個風險所有者應當在企業(yè)總體公司治理目標下進行日常決策。這一權力與一定的責任相匹配：理解公司不斷變化的風險組合以及董事會和高級經理確定的風險承受水平，確保風險管理活動與公司確定的風險承受水平相一致；重新評價風險管理活動的設計是否能繼續(xù)提供合理的保證；評估各種能力是否能繼續(xù)與實施風險管理活動相匹配；監(jiān)督風險管理活動，確保其有效運行并取得預期的結果；為高級經理提供在風險承受水平內企業(yè)管理績效的信息。 4. 審計部門 在現(xiàn)實經濟生活中

20、，公司內部治理結構設計容易，但運行難，這不僅需要董事會、高級經理和風險所有者之間的良好溝通，更需要對公司內部治理進行獨立的鑒證活動，以確保風險管理活動是有效的，并且溝通是準確的，這就需要引入風險管理審計制度，以保證公司內部治理高效運行。其關鍵的活動有：評估風險管理活動的設計是否有效；判斷風險管理活動是否按設計的運作；評估風險所有者對管理層就風險管理績效的聲明是否準確；評估由管理層提供給董事會的信息是否完整而準確；監(jiān)督風險承受水平是否由董事會和管理層及時向下傳遞；識別由集中化的風險管理流程尚不能覆蓋到的風險領域。這些獨立的鑒證活動為利益方、董事會和經理提供了信心，也促進了公司治理有序、高效地運作

21、。 從以上分析可見，公司治理與風險管理審計是密不可分的，一方面，公司治理是實施風險管理審計的制度環(huán)境，是促使風險管理審計有效開展，并保證風險管理審計功能發(fā)揮的前提和基礎。另一方面，風險管理審計是公司內部治理趨于健全完善的一種制度保證，這種制度具有如下功能： （1）評價。風險管理審計是針對公司內部治理的關鍵環(huán)節(jié)（單獨或整體），如識別風險、計量風險、風險排序以及風險管理等予以評價，以明確風險預警信號、關鍵風險點以及風險管理和應對策略等是否切實可行，企業(yè)整體風險管理流程設計是否合理，運行是否有效。 （2）鑒證。風險管理審計拓展了傳統(tǒng)的財務審計僅僅鑒定和證明受托人履行財務責任的情況，對受托人履行

22、管理責任情況，即業(yè)務活動和管理業(yè)績也予以鑒定和證明。 （3）咨詢。風險管理審計不僅要對企業(yè)風險管理活動予以評價，還要針對企業(yè)風險管理中存在的問題，提出具有針對性(specific)、可測量性(measurable)、可實施性(actionable)、責任到人(responsibility)、及時性(timely) 2004年9月國際內部審計師協(xié)會(IIA)發(fā)布的《全面風險管理中內部審計角色》的職位說明書中提出的SMART (specific, measurable, actionable, responsibility, timely)標準。 的評價意見和改善建議，協(xié)助管理層更有效地進行風

23、險管理活動，減少或降低阻礙企業(yè)戰(zhàn)略目標實現(xiàn)的任何障礙。 （4）報告或溝通。在公司治理中，向董事會報告的機制是保障企業(yè)有效和高效運行的政策、方法、程序、技術手段的總稱。內部審計部門應每年至少向管理層和董事會提交一次審計報告，當企業(yè)出現(xiàn)重大風險事項時，內部審計部門應及時向董事會報告，并在風險管理審計中隨時與管理層和風險所有者進行溝通。 正是依賴于風險管理審計的評價、鑒證、咨詢和報告的功能，公司內部治理才在不斷修正中形成向管理層提供全面的指導、權限和監(jiān)督的動態(tài)循環(huán)，有利于公司治理效率的提高。 （二）內部控制與風險管理審計的關系 企業(yè)風險管理理論是從內部控制理論不斷演進發(fā)展而來的，以下通過分析

24、國際上內部控制沿革中幾個權威報告，來把握企業(yè)風險管理與內部控制的關系。 1. 美國COSO報告 1985年，為應對財務報表舞弊的頻繁發(fā)生，美國注冊會計師協(xié)會(AICPA)、美國會計學會(AAA)、財務經理協(xié)會(FBI)、國際內部審計人員協(xié)會(IIA)和管理會計師協(xié)會(IMA)五個職業(yè)協(xié)會提供資助成立“全美反舞弊性財務報告委員會(National Commission on Fraudulent Reporting)”，但人們普遍稱之為“特雷德威(Treadway)委員會”，后來該委員會轉變?yōu)椤鞍l(fā)起組織委員會”(Committee of Sponsoring Organizations of

25、 the Treadway Committee)即COSO。該委員會在調查中發(fā)現(xiàn)，在其研究樣本中，將近50％的財務舞弊事件可以全部或部分歸咎于內部控制失敗。該委員會同時認為，應該建立一個統(tǒng)一的、可操作的內部控制框架。1992年2月，COSO委員會公布了“內部控制框架”，提出內部控制五要素論，由于該報告沒有把保障資產作為控制部分，招致以美國審計總署為代表的批評。1994年，該委員會公布了“內部控制整體框架(Internal Control——Integrated Framework）”（COSO框架），COSO內部控制框架認為，“內部控制是由企業(yè)董事會、經理階層以及其他員工實施的，為財務報告的可

26、靠性、經營活動的效率和效果、相關法律法規(guī)的遵循性等目標的實現(xiàn)提供合理保證的過程”，這較之1992年內控框架，補充了一個目標，即資產保護。2000年，安然、世通會計舞弊案暴露了公司內部控制存在缺陷，因而2002年美國國會通過薩班斯法案，薩班斯法案強調上市公司不但要有內部控制，CEO和CFO要對與財務相關的內控控制做出聲明，而且還要向投資者證明這個控制是有效的（要求注冊會計師對公司的內部控制做出鑒證），一旦出現(xiàn)問題，CEO和CFO將為此承擔最高至500萬美元的罰款和上至20年的監(jiān)禁刑事責任。為應對政策界的要求和實務界的變化，2004年8月美國COSO正式公布了“全面風險管理整合框架(Enterpr

27、ise Risk Management)”（COSO-ERM框架），指出“風險管理是由企業(yè)董事會、經理階層以及其他員工實施，應用于企業(yè)戰(zhàn)略制定并貫穿于整個企業(yè)，識別可能影響公司的潛在事項，將風險管理在一定范圍內，為實現(xiàn)企業(yè)戰(zhàn)略目標提供合理保證的一個過程”。相對于COSO框架來講，COSO-ERM框架凸現(xiàn)了“風險”觀念，增加了：（1）風險組合觀；（2）戰(zhàn)略目標；（3）兩個概念：風險偏好和風險容忍度；（4）三個要素：目標制定、事項識別和風險反應。 2. 英國的科恩布爾報告 1997年英國銀行監(jiān)管當局鑒于1995年2月巴林銀行倒閉的教訓，提出了強化內部控制、風險管理、內部審計功能的建議。1999

28、年，Turnbull委員會 英國注冊會計師協(xié)會(ICEAW)和倫敦證券交易所(LSE)共同成立的。 將倫敦證券交易所指定的卡特伯里(Cadbury)、格林伯里(Greenbury）以及哈姆佩爾(Hampel)委員會有關公司治理的報告 卡特伯里報告對公司治理的以下四個方面提出了改進建議：（1）在向股東評價和報告公司績效方面，董事的責任；（2）董事會審計委員會建立和運行方面；（3）審計人員的主要責任；（4）股東、董事會和審計人員之間的關系。格林伯里報告旨在提供一種平衡董事的薪酬和績效的工具。哈姆佩爾報告旨在調整股東和利益相關者之間的平衡。 并在一起，形成了一系列原則性的要求，即“科恩布爾報告”

29、(Turnbull Report)——《內部控制：綜合準則董事指南》。該報告要求企業(yè)的管理者承擔起建立合理的內部控制系統(tǒng)、審核內部控制有效性、向股東報告有關發(fā)現(xiàn)的職責；對控制系統(tǒng)的審核應覆蓋所有的控制，包括經營性、合規(guī)性控制以及風險管理；同時，執(zhí)行風險控制政策是管理層的職責，并進一步確認內部控制在風險管理方面是有效的。這不僅引起了英國公司治理界對內部控制性質的重新定義，將內部控制對準了風險管理，也為公司及董事會提供了具體的、頗具可行性的內部控制指引。Turnbull委員會2004年對該報告進行了徹底的審核，2005年頒布了新的版本，更加強調了風險的概念。 3. 加拿大CoCo報告 1994

30、年12月，加拿大多倫多證券交易所發(fā)布Ray報告，要求公司報告內部控制的適當性。1995年11月加拿大特許會計師協(xié)會(CICA)的標準委員會公布了更為明細的指南，即CoCo報告。 CoCo報告傾向于使用“控制”一詞，這比COSO報告使用的“內部控制”的概念更為廣泛，如CoCo報告把目標確定、戰(zhàn)略規(guī)劃、風險管理和糾錯行動看作是“控制”概念的組成部分。另外，CoCo報告制定了用于評價各項內部控制目標的20條具體標準。該報告整合的風險管理是從公司戰(zhàn)略、計劃到一線運營、人力資源和業(yè)務流程系統(tǒng)程序。其框架包括：（1）總體流程有：目標——確定風險領域——風險評估——風險應對——學習；（2）具體流程有：確定

31、問題，設置背景——評估風險領域——風險計量（風險程序、可能性、影響）——排列風險——設置期望結果——建立選擇方案——選擇決策——實施策略——監(jiān)控、評估和調整。 由此可見，內部控制和風險管理有區(qū)別，如風險管理的理論和實務要比內部控制寬泛得多，但兩者本質上存在協(xié)調性：即內部控制既是風險管理的主要構成部分，又是實現(xiàn)風險管理的手段（如對于屬于影響小但經常發(fā)生的風險，企業(yè)多采用完善內部控制來減少風險的風險管理策略）；無論風險管理增加了什么創(chuàng)新的觀念和術語，都保留和發(fā)展了內部控制的核心理念；最為重要的是，企業(yè)追求內生增值的途徑必然要求內部控制拓展到從戰(zhàn)略層面、凸現(xiàn)關注企業(yè)風險的企業(yè)全面風險管理。為此，引

32、入風險管理審計對內部控制的意義在于：能夠運用專業(yè)人員（內部審計人員）持續(xù)地識別出內部控制的差距，并提出完善和提高內部控制效率的具體措施；能夠鑒證管理層向董事會報告的內部控制履行情況，能夠為董事會核準修正內部控制提供咨詢服務，從而促使內部控制在不斷修正、全面溝通中充分發(fā)揮應有的職能。當然，一個內部控制設計完善和執(zhí)行有效的企業(yè)，其風險管理審計的風險也會隨之而降低。 （三）注冊會計師審計與風險管理審計的關系 在現(xiàn)代經濟中，企業(yè)內外治理的高效運行需要透明、及時、客觀的信息作為決策依據，這需要安排風險管理審計制度和注冊會計師審計制度，風險管理審計和注冊會計師審計的關系，也就表現(xiàn)在企業(yè)內外治理的協(xié)調上

33、。 1. 當企業(yè)風險管理審計能夠為公司內部治理有效運行提供保證時，企業(yè)始終處于不斷自我完善和提升中，注冊會計師的審計會為企業(yè)“錦上添花”，鑒證其報表的合法性和公允性，不僅降低了注冊會計師審計風險，企業(yè)也會因注冊會計師的年報審計而提升其聲譽。 2. 當企業(yè)風險管理審計不能夠為公司內部治理有效運行提供保證時，企業(yè)內部控制會因沒有能力過濾企業(yè)經營風險，企業(yè)經營風險會沒有阻礙地和控制風險一起加大企業(yè)財務報表風險，注冊會計師審計風險增大。在這個過程中，如果注冊會計師審計能夠獨立、客觀地揭示出企業(yè)財務報表虛假，企業(yè)外部市場環(huán)境將更加惡化，市場選擇將把企業(yè)推向更加艱難的境地；如果注冊會計師審計不能夠獨立

34、、客觀地揭示出企業(yè)財務報表虛假，企業(yè)外部治理制衡機制將會因信息不對稱而混亂，這反過來會加大企業(yè)的風險，這實質上揭示了如果企業(yè)內部缺乏識別和防范財務報表舞弊的內在機制，單靠企業(yè)外部的監(jiān)督和治理，企業(yè)風險反而會增大。 相應，企業(yè)內外治理機制的協(xié)調也體現(xiàn)在風險管理審計和注冊會計師審計的協(xié)調上，風險管理審計為注冊會計師審計提供了了解、評價和管理風險的基礎資料，注冊會計師審計從外部鑒證了風險管理審計的效率。有時，企業(yè)的風險管理審計也會委托給注冊會計師來提供。 五、結束語 針對企業(yè)出現(xiàn)財務舞弊以及管理層與大股東合謀造假、嚴重的內部人控制等問題，引入了風險管理審計，目的在于實踐“制度的關鍵在于執(zhí)行，執(zhí)

35、行的關鍵在于評價，評價的關鍵在于咨詢”的公司治理命題。對應于注冊會計師審計、對應于內部控制和風險管理的“監(jiān)督”要素，風險管理審計是適應于企業(yè)內外公司治理制衡、內部控制和風險管理運行的內生性和外生性相協(xié)調的一種制度安排，這種制度安排通過評價、鑒證、咨詢和報告職能來促使企業(yè)形成自我糾正、自我完善、不斷提升的公司治理循環(huán)，有利于提高公司治理的效率。當然，在論述中涉及到內部控制、風險管理、公司治理、注冊會計師審計以及風險管理審計關系的描述，尚有待于實證研究的跟進。 參考文獻： [1] 美國COSO. 企業(yè)風險管理——整合框架[S]. 2004. [2] 英國IRM（風險管理學會），AIRMI

36、C（保險與風險管理師協(xié)會），ALARM（全國公共部門風險管理論壇）. 風險管理準則[S]. 2002. [3] 澳大利亞，新西蘭，AS/NZS 4360，風險管理準則[S]. 2004. [4] 加拿大，CAN/CSA-Q850-97，風險管理指南[S]. 1997. [5] 王曉霞. 企業(yè)風險審計[M]. 北京：中國時代經濟出版社，2005. [6] 卓繼民. 現(xiàn)代企業(yè)風險管理審計[M]. 北京：中國財政經濟出版社，2005. [7] 中國內部審計協(xié)會. 內部審計在治理、風險和控制中的作用[S]. 北京：中國財政經濟出版社，2004. [8] 吉爾×所羅門，阿瑞斯×所羅門. 公司

37、治理與問責制[S]. 大連：東北財經大學出版社，2006. [9] Maijoor, S. (2000). The internal control explosion. International Journal of Auditing, 4, 101-109. [10] Blokdijk, J. H. (2004). Test of control in the audit risk model: Effective? Efficient? International Journal of Auditing, 8, 67-78. [11] ACCA. (2000). Turnbull

38、, internal control and wider aspects of risk (commissioned by the Association of Chartered Certified Accountants’ Social and Environmental Committee). London: Certified Accountants Educational Trust. [12] Adams, C.A. (2002). Internal organizational factors influencing corporate social and ethical r

39、eporting: Beyond current theorizing. Accounting Auditing & Accountability, 15(2), 223-250. Risk management auditing: An important system arrangement LI Xiao-hui Abstract: In order to make internal control, corporate governance and risk management adapt to the development of enterprises, as well a

40、s to inspire the enterprise to form a perfect internal control and risk management system, which can reduce finance frauds and corporate governance failures, this paper introduces risk management auditing. This system arrangement can help the enterprise come into a self-correcting, self-consummating

41、, and upgrading corporate governance circulation. Furthermore, it can improve the efficiency of corporate governance through the functions of evaluation, certification, consultation and reporting. Key words: risk management auditing; system arrangement; corporate governance （責任編輯：Lucifer, Canny） 57