風險是一個事項將會發生并給目標實現帶來負面影響的可能性(COSO,方紅星等譯,2005),它實質上是指損失的不確定性。企業風險可以描述為企業目標不能得以實現的可能性(孟焰、潘秀麗,2006)。風險是影響企業經營管理決策的重要因素。如何關注企業風險,實施有效地風險治理措施,是企業必須面對的重要議題。伴隨著企業風險意識的不斷加強,以及相關理論研究的持續深入,內部控制、風險管理與審計之間的聯系逐漸引起理論界與實務界的重視,風險導向成為內部控制和審計的主流思想。鑒于此,本文在梳理內部控制、風險管理與審計之間關系的基礎上,試圖構建由經營者、所有者、內部審計師和外部審計師組成的企業風險綜合治理體系,以期達到降低企業風險、增加企業價值的效用。
一、內部控制的本質:風險控制機制
內部控制是指企業為了實現控制目標,由董事會、監事會、經理層和全體員工實施的一系列政策和程序,它是企業加強經營管理的有效工具和手段。內部控制本質上是組織的內部風險控制機制(丁友剛、胡興國,2007),它是有助于降低企業風險的一種控制機制,內部控制的最終目標是提高企業的經營管理水平和風險防范能力。內部控制源于企業管理中的內部牽制思想,內部控制理論的發展先后經歷了內部牽制、內部控制制度、內部控制結構、內部控制整合框架和企業風險管理整合框架五個階段。在內部控制的演進過程中,內部控制的目標從最初的確保實物資產安全,到提高經營效率以及財務報告信息的可靠性,再到保證法律法規的遵循性,以至現階段對企業戰略風險的關注,無不體現出風險控制的理念。內部控制就是控制風險,控制風險就是風險管理(謝志華,2007)。在企業風險管理整合框架階段,風險控制從基礎層面上升到戰略層面,戰略風險控制成為內部控制的首要目標,經營風險控制、財務報告風險控制以及合規性風險控制都服從于戰略風險控制。風險整合框架的發布,使內部控制從一般意義上風險控制機制擴展至全面風險控制機制,成為企業加強管理、提高經營效率和效果,從而實現戰略目標的有力手段(財政部會計司赴美國考察團,2007)。
二、內部控制、風險管理與內部審計
國際內部審計師協會(IIA)在《內部審計實務標準》中將內部審計定義為:“是一種獨立、客觀的確認和咨詢活動,旨在增加組織的價值和改善組織的運營。它通過應用系統化、規范化的方法,評價并改善風險管理、控制和治理過程的效果,幫助組織實現其目標”;《企業內部控制應用指引》(征求意見稿)將內部審計定義為:“是指企業內部的一種獨立客觀的監督、評價和咨詢活動,通過對經營活動及內部控制的適當性、合法性和有效性進行審查、評價和提出建議,促進改善企業運行的效率效果、實現企業發展目標”。從其定義可以看出,內部審計具有評價、監督和服務等職能。內部控制、風險管理與內部審計之間的聯系日趨緊密,內部審計是內部控制體系的組成部分,風險管理是內部審計的重要領域。
(一)內部審計是內部控制體系的組成部分
1986年4月,最高審計機關國際組織在第十二屆大會上發表的《總聲明》,把組織結構、方法程序和內部審計作為內部控制的要素,內部審計成為內部控制的重要組成部分。內部審計在企業內部天然的監督作用使其自然成為內部控制方式之一,同時又是對內部控制執行情況的一種監督形式,是對內部控制的控制(曹偉、桂友泉,2002)。內部審計是內部監督的主要形式,《企業內部控制基本規范》把內部監督作為內部控制的一個要素。根據《企業內部控制基本規范》的要求,企業應當制定內部控制監督制度,明確內部審計機構和其他內部機構在內部監督中的職責權限,規范內部監督的程序、方法和要求。由此可見,內部審計是內部控制體系的組成部分。
(二)風險管理是內部審計的重要領域
企業風險管理的有效性在一定程度上取決于企業對風險管理工作的監督和評價(孟焰、潘秀麗,2006),對組織的風險管理過程進行檢查、評價和報告是內部審計人員的重要工作。IIA實務公告2110-1規定:“內部審計師應通過檢查、評價、報告與建議改進有關風險管理過程的適當性和有效性,來協助管理層和審計委員會。內部審計師在充當咨詢角色時,可以協助組織確認、評價風險并執行風險管理方法和控制來解決這些風險”。我國《內部審計具體準則第16號——風險管理審計》第七條規定:“內部審計人員應當實施必要的審計程序,對風險識別過程進行審查與評價,重點關注組織面臨的內、外部風險是否已得到充分、適當的確認。” 以上規定充分體現了風險管理是內部審計的重要領域,內部審計在企業風險管理過程中起到監督、評價和咨詢等作用。
內審部門作為內部控制和風險管理的牽頭部門,只有通過其風險管理等各項增值服務,才能真正體現該機構在組織中的存在價值(王斌,2009),內部審計既是企業內部控制和風險管理的監督者,又是完善企業內部控制和風險管理的重要推動力量。
三、內部控制、風險管理與外部審計
(一)外部審計依賴于內部控制
內部控制是公司內部治理機制的基石,有效的內部控制,能夠保證公司的正常運作和發展;外部審計是現代公司治理不可或缺的組成部分,外部審計治理作用的有效發揮有賴于內部控制的良好運作。內部控制和審計分別是影響組織效率的內在因素和外在因素之一,二者自身的產生、演進和彼此之間的互動、耦合,都是追求組織效率的必然結果(方紅星,2002)。現代審計依賴于內部控制。審計人員是內部控制理論研究的發起者和推動者,也是該理論發展至今最大的使用者(張宜霞,2007)。
審計師關注與財務報告相關的內部控制。正是由于資本市場對企業財務會計信息質量的要求,才使得作為經濟警察的注冊會計師對企業內部控制制度的建立與執行尤為關注(施先旺,2008)。風險導向審計是審計模式發展的最新階段,根據風險導向審計的要求,審計師首先要了解和評價被審計單位的內部控制,通過對被審計單位的戰略及經營風險進行識別和評估,來確定高風險的審計領域,以便進行重點審計,從而有利于提高審計效率,減低審計風險。在現代風險導向審計方法實施過程中,仍然需要用到制度基礎審計方法甚至詳細審計方法的一些程序,但它已不局限于對傳統企業內部控制的分析,而將分析對象擴大到整個企業的風險管理范圍(審計理論研究課題組,2009)。但是,應當明確一點,在風險導向審計模式下,審計對內部控制的依賴不是減弱了,而是得到了進一步加強,只是分析范圍擴大到整個企業的風險管理領域。
(二)外部審計是一種風險監督機制
代理理論是解釋審計需求的主流理論,它是在Jensen和Meckling(1976)所倡導的委托代理理論的基礎上發展起來的。在企業的委托代理關系中,委托人和代理人的目標往往是不一致的,代理人為了追求自身利益的最大化,可能會損害委托人的利益。為了使代理人與委托人的利益保持一致,委托人通常會選擇適當的激勵機制與監督機制,來減少委托人與代理人之間的信息不對稱,而外部審計就是一種有效的監督機制。
外部審計作為一種外部監督機制,對于緩解代理沖突,促進資源的優化配置具有重要的作用。由于股東收益因代理關系存在而可能受到損害,因此股東的風險控制愿望一直表現得非常強烈(王斌,2009)。外部審計是所有者(股東)檢驗經營者經營管理效率和效果的一種方式,它是所有者對經營者實施的一種監督機制。外部審計師需要實施風險評估程序,來了解被審計單位的目標、戰略以及相關經營風險。因此,所有者可以從外部審計師那里獲得較多的關于企業的風險信息,這樣就可以有效地降低所有者和經營者之間的信息不對稱,進而所有者可以通過影響經營者的經營管理決策,來降低企業風險。
經濟監督是審計的基本職能。審計的經濟監督職能,主要是指通過審計、監察和督促被審計單位的經濟活動在規定的范圍內、在正常的軌道上進行;監察和督促有關經濟責任者忠實地履行經濟責任,同時借以揭露違法違紀、稽查損失浪費,查明錯誤弊端,判斷管理缺陷和追究經濟責任等(李鳳鳴,2006)。根據我國《獨立審計具體準則第24號——與管理當局的溝通》的要求,注冊會計師應當對已發現的重大錯誤、舞弊或可能性,與管理當局進行溝通。《企業風險管理——整合框架》也指出,在進行財務報表審計時,審計師可以向管理當局提供有關風險管理方面的信息,以便管理當局更好地履行其風險管理職責,這些信息主要包括審計師所注意到的風險管理和控制所存在的缺陷,以及改進的建議。與管理當局進行溝通,有利于管理當局及時發現經營管理中的漏洞,以便采取整改措施,防止風險的擴大。
由此可見,無論是從所有者角度來看,還是從經營者角度來看,外部審計都是一種風險監督機制。
四、企業風險綜合治理體系的構建
本文論述了內部控制、風險管理與審計之間的聯系,它們在各自的職能領域發揮著風險控制或者風險監督的作用。內部控制的本質是一種風險控制機制,風險管理包含內部控制,內部控制是風險管理不可分割的一部分,風險控制是內部控制和風險管理的根本目標;內部審計是內部控制體系的組成部分,風險管理是內部審計的重要領域;外部審計依賴于內部控制,對所有者和經營者來說,外部審計是一種風險監督機制。基于內部控制、風險管理和審計之間的密切聯系,筆者構建了由經營者、所有者、內部審計師和外部審計師組成的企業風險綜合治理體系,以期達到降低企業風險、增加企業價值的效用。圖1為企業風險綜合治理體系示意圖:
(一)經營者是企業風險治理的實施者
本文所指的經營者是指企業的經營管理決策人員,主要包括董事會、監事會和經理層等。董事會應當確保風險管理過程的適當性、有效性,并最終對企業的風險管理過程負責;監事會對董事會建立與實施的風險管理政策進行監督;經理層應當樹立風險導向的經營管理理念,制定合理的風險管理政策,并且確保其能夠發揮應有的作用。企業應當根據不同的管理級層賦予相應的風險責任和職能,并且成立專門機構(如風險委員會)或者指定適當的機構(如審計委員會)來負責組織與協調企業風險治理機制的建立實施以及日常工作。同時,經營者還應當考慮向內部審計師和外部審計師征求風險治理意見,以便能夠擴大視野,提高風險治理水平。
(二)所有者是企業風險治理的需求者
所有者(股東)是企業風險的最終承擔者,經營者的不當行為所造成的損失要由股東來“買單”。因此,所有者具有強烈的風險控制愿望,他們往往會采取一些措施來控制企業風險。例如,股東大會對企業的經營方針、籌資、投資、利潤分配等重大事項享有表決權,所有者可以通過否決潛在風險較大的投資項目、撤換不稱職的經營者等方式來規避風險。另外,王斌(2009)提出,要使股東有能力保持對公司風險的持續監控,股東要做的事應當是:追加購買審計師的額外服務,即要求審計師在向股東提供年度審計報告的同時,追加提供“風險提示意見”這項服務功能,并將其與審計報告一起對外披露。筆者認為,股東追加購買審計師的額外服務,并不會增加審計師的負擔。因為外部審計師必須對被審計單位的風險進行評估,它只是外部審計師提供年度審計報告業務的“副產品”,并且能夠在一定程度上滿足股東風險控制的期望。盡管目前尚處于理論探索階段,但股東向外部審計師購買“風險提示意見”這項額外服務,將具有廣闊的發展前景。
(三)內部審計師是企業風險治理的監督者
內部審計機構是企業內部控制和風險管理的監督部門,內部審計師理應成為企業風險治理的監督者。內部審計師通過對企業風險管理的恰當性和有效性進行檢查、評價、報告和提出改進建議,能夠使董事會和經理層全面、系統地了解企業的風險治理狀況,從而有助于董事會和經理層提高風險治理水平,實現對企業風險的有效控制。
(四)外部審計師是企業風險治理的咨詢者
現代風險導向審計是以被審計單位的戰略風險為導向,審計師需要了解被審計單位及其環境,重點關注被審計單位的目標、戰略以及相應的經營風險,根據風險評估的結果來實施進一步的審計程序。注冊會計師具有較強的職業判斷能力,能夠對被審計單位的風險治理狀況作出合理的評估。因此,被審計單位的董事會和經理層有必要與外部審計師進行溝通,征求外部審計師的風險治理意見。同時,外部審計師要與內部審計師加強交流與溝通,尤其要針對內部審計師咨詢企業在內部控制和風險管理方面所存在的問題,利用內部審計資源,充分識別風險較高的領域,進而提高審計效率。
【主要參考文獻】
[1] 財政部會計司赴美國考察團. 美國會計國際趨同、注冊會計師監管和內部控制考察報告[J]. 會計研究,2007(8):3-8.
[2] 曹偉,桂友泉. 內部審計與內部控制[J]. 審計研究,2002(1):27-30.
[3] 丁友剛,胡興國. 內部控制、風險控制與風險管理——基于組織目標的概念解說與思想演進[J].會計研究,2007(12):51-54.
[4] 方紅星. 內部控制、審計與組織效率[J].會計研究,2002(7):41-44.
[5] COSO.企業風險管理——整合框架[M].方紅星,王宏等譯. 大連:東北財經大學出版社,2005.
[6] 賀密柱.內部控制理論演進的中外比較及其思考[J].財會通訊(學術版),2008(2):101-103.
[7] 李鳳鳴,韓曉梅. 內部控制理論的歷史演進與未來展望[J]. 審計與經濟研究,2001(7):61-63.
[8] 李鳳鳴. 審計學原理(第三版)[M].上海:復旦大學出版社,2006.
[9] 孟焰,潘秀麗. 企業風險管理審計研究[J]. 審計研究,2006(3):61-63.
[10] 施先旺. 內部控制理論的變遷及其啟示[J]. 審計研究,2008(6):79-83.
[11] 審計理論研究課題組. 審計基本理論比較:前后一貫的理論結構[M].上海:立信會計出版社,2009.
[12] 王斌. 股東期望、全面風險管理與審計價值[J].會計研究,2009(5):87-93.
[13] 吳水澎,陳漢文,邵賢弟. 內部控制理論的發展與啟示[J].會計研究,2000(4):2-8.
[14] 謝志華. 內部控制、公司治理與風險管理:關系與整合[J]. 會計研究,2007(10):37-45.
[15] 張宜霞. 企業內部控制的范圍、性質與概念體系——基于系統和整體效率視角的研究[J]. 會計研究,2007(7):36-43.
[16] 國際內部審計師協會.內部審計實務標準——專業實務框架 [M].中國內部審計協會編譯.北京:中國時代經濟出版社,2005.
