風險管理是企業經營過程中的核心內容。風險管理審計既是風險管理的最后一道防線,又是推動風險管理向前發展的有效力量。近年來,國內外學者對風險管理審計理論進行了研究。本文對風險管理審計理論的產生、研究成果等進行了系統的探討。
一、風險管理審計的產生
隨著企業管理理論與實踐的發展,內部審計受托責任在范圍和內容上不斷擴展和充實,內部審計的外延和內涵也日益拓展和豐富,從而不斷出現新的導向階段。20世紀90年代起,關注利益相關者的價值理念在管理中成為主流思想,企業致力于增加價值,公司治理、內部控制以及風險管理的研究進入了比較成熟的階段,世界各地相關法規紛紛出臺,對內部審計提出了新的要求,公司管理層也希望從內部審計工作中得到更富有建設性的服務以鞏固、提高其組織地位,這一切都給內部審計帶來了壓力,風險管理審計就是應對這些壓力而產生的。
風險管理審計由內部審計始發而來,是沿著內部審計和管理實踐兩條道路發展而來。早在1997年,麥克寧和塞林(McNamee SeLim)就提出內部審計在組織中的作用已經從原來的“獨立的評價職能”轉變為“整合風險管理和公司治理”。雖然麥克寧和塞林沒有展開具體分析,但可以說他們的觀點是有前瞻性和洞察力的。嚴暉(2004)認為,以風險為核心和出發點的內部審計從事后反應式的評價和反饋轉變為更加能動、及時的前饋和實時反應。鄭小榮(2006)認為,現代企業面臨的高風險經營環境,引起企業對內部審計需求的變化,是風險管理審計產生的內部背景,而審計外部化趨勢侵蝕內部審計生存的職業空間是風險管理審計產生的外部背景。王光遠(2007)認為,企業有許多風險點,需要對風險點進行專門審計,這便產生了風險管理審計。有關風險管理審計理論與實務的研究,從20世紀90年代興起,有些團體和個人做了大量的工作,取得了具有可操作性的結果。1995年澳大利亞標準委員會和新西蘭標準委員會成立的聯合技術委員會制定和出版了世界上第一個企業風險管理標準S/NEZ4360標準,為企業內部審計提供了一個以風險為基礎的框架(嚴復海,2007)。澳大利亞內部審計已較早地走出單純財務收支審計圈子,步入以內部控制和風險管理為主要內容的現代審計,澳大利亞內部審計參與風險管理和控制的基本流程已成為固定模式。國際內部審計師協會(IIA)研究基金會(2001)在《企業風險管理——趨勢和最佳實踐》一文中建立了企業風險管理框架。該框架包括評估風險、整合風險、探究風險和保持向前四個環節。總部位于紐約的雅芳公司,內部審計部門的目標是成為運營部門和公司管理層的業務伙伴,“根據公司戰略行為和目標調整審計策略,在新的業務風險降臨時,設法從開始就介入,并通過雇傭有經驗的員工執行原本草率行事的初始檢查。內部審計部門通過引導公司改進審計計劃來關注公司全面的業務風險。”杜邦(Du Pont)公司內部審計人利用戰略經營機構網絡進行全球性風險評估和認定。內部審計人利用風險模型的分析結果,與管理當局討論實際的風險情況,確定下年的主要風險領域。
二、風險管理審計研究成果
從21世紀初至今,美國對風險管理審計做了大量的實證研究或經驗研究,并取得了豐碩的成果。2004年美國國家財務報告舞弊委員會(National Commission On Fraudulent Financial Reporting, i.e Treadway Commission)所發起的內部控制研究組織(Committee of Sponsoring Organization,COSO)發布了《企業風險管理框架》(Enterprise Risk Management-Integrated Framework, ERM),該風險框架是COSO 委托美國普華永道會計公司(Pricewaterhouse Coopers)組織編寫的,基本上是對在全球跨國公司運用多年的全面風險管理實踐進行的系統總結,成為風險管理審計發展史上的經典文獻。在ERM框架中,要求內部審計人員在監督和評價成果方面承擔重要任務,評估風險管理要素的內容和運行以及執行質量,協助管理層和董事會履行其職責。ERM擴大了內部控制的范圍,提高了內部控制的層次,是一個更關注風險的強大的概念體系。值得一提的是,2004年IIA-UK and Ireland機構發表的名為《The Role of Internal Audit in Enterprise Wide Risk Management》的意見書中指出,采用ERM的組織已逐漸認識到,內部審計能在組織的ERM過程中發揮最為合適的作用。Beasley等在COSO發布ERM框架之后的經驗研究表明,“ERM使內部審計對組織風險有了更好的了解……隨著內部審計部門在ERM方面的經驗越來越豐富,ERM對內部審計的積極影響將得到更多的體現。”這表明ERM對內部審計產生了顯著影響,內部審計在ERM中扮演著多種不同的角色。Compion、Antita(2000),Gerrit Sarens,Ignace De Beelde(2005),澳大利亞證券交易所(Australian Stock Exchange)明確提出了風險管理包含內部控制的觀點。英國與愛爾蘭內部審計協會2003年8月頒布了關于“風險管理審計”的立場公告(Position Statement),對風險管理審計的作用做出了闡述。2004年IIA《內部審計實務標準——專業實務框架》的修訂對風險管理審計科學成長意義重大。江蘇省內部審計師協會2004年印發《江蘇省內部風險管理審計準則》(試行)。中國內部審計協會2005年發布內部審計具體準則16號——《企業風險管理審計》。這些著作和法規代表了管理職業界發展風險管理審計的嘗試。
風險管理審計的文獻除涉及上述風險管理審計的歷史發展外,還涉及了風險管理審計實施的必要性、風險管理審計的動因等方面內容。《內部審計思想》(Bailey等,2006)中,Herman-son和Rittenberg將內部審計的治理活動界定為“風險監控”和“控制確認”。他們認為,“風險監控、控制確認和遵循工作構成內部審計活動的主要部分,這三個要素共同直接勾畫出組織治理”,內部審計在公司治理中的作用“包括監控、評價和分析組織的風險與控制,以及檢查和確認信息與政策、程序和法律的遵循”。摩根士丹利(Morgan Stanley)高級經理卓繼民(注冊會計師)的專著《現代企業風險管理審計》中對風險管理審計理念和方法進行了系統的闡述,他運用工具、模型以及來自實踐的案例研究了風險管理審計的概念、對象、準則、報告等一些基本的問題,為風險管理審計的規范化做了大量基礎性工作。陳珊珊對風險管理審計從縱橫角度分析了其最新定位和獨特優勢。陳錦烽認為,內部審計工作從控制擴大為風險管理及公司治理是時勢所趨。王驥認為風險管理將由一般能力變為核心競爭能力,成為企業管理的重點。高東坡在《內部審計如何參與企業的風險管理》中研究了在我國開展風險管理審計的必要性和可行性,著重強調了由內部審計師執行風險管理審計業務的優勢。夏丹寧在《推進風險管理審計的思路》中從理論與實踐相結合的角度,就風險管理審計選題、立項、工作方案、審計方法、審計評價等做了初步的探討。劉世謹將風險管理審計動因概括為以下四點:其一,企業面臨的風險日益增大,減少企業面臨的風險是組織實現目標的關鍵;其二,內部審計對發展的渴求,使內部審計師把風險管理作為內部審計的重要領域;其三,內部審計能夠在風險管理中發揮獨特的作用,包括管理風險、控制指導風險管理策略、加強管理層對內部審計部門意見的重視程度;其四,外部審計擴展了風險評估這項新的保證服務業務,這不能不對內部審計界產生影響。孟焰認為,企業風險管理審計應當包括以下方面的內容:1.通過審查風險管理組織機構的健全性、風險管理程序的合理性、風險預警系統的存在及有效性確定企業風險管理機制的健全性及有效性;2.通過審查風險識別原則的合理性、風險識別方法的適當性確定風險識別的適當性及有效性;3.實施必要的審計程序,對風險評估過程進行審查與評價,并重點關注風險發生的可能性和風險對組織目標的實現產生影響的嚴重程度兩個要素。同時,內部審計人員應當充分了解風險評估的方法,并對管理層所采用的風險評估方法的適當性和有效性進行審查。
21世紀以來,風險管理審計的問題逐漸成為世界范圍內普遍關注的問題和會計、審計科學改革的焦點。獨立咨詢師(IMC)、國際注冊內部審計師(CIA)、金融風險管理師(FRM)和注冊企業風險管理師(CERM)四支力量推動著風險管理審計的發展。諸如以邁克爾·波特為代表的戰略管理理論以及邁克爾·哈默、詹姆斯·錢皮的企業再造理論等為風險管理審計提供了重要的理論基礎,數理統計學、實證方法、計算機技術等為風險管理審計有關方式和方法的建立和運用提供了有利的技術方面的支持。
三、對風險管理審計研究現狀的總體評價
風險管理審計作為一個新興的內部審計分支,改變了傳統的思維方式,擴大了風險管理的應用范圍,優化了內部審計行為,為內部審計的職業發展提供了廣闊的空間。它雖然只發展了20多年,但已經取得了可喜的研究成果:1.風險管理審計逐漸從概念轉換成具體的行動步驟;2.企業越來越重視風險管理體系的建立健全;3.我國學者借鑒國外的研究成果,對風險管理審計進行了富有成果地探討;4.風險管理審計的研究領域不斷拓展。
但是,風險管理審計目前仍有許多實際問題需要解決:
1.如何建立廣泛的風險管理觀念;2.建立什么樣的企業風險管理框架;3.風險管理審計實施工具的開發;4.風險管理審計如何參與企業制度風險、法律風險等其他風險的評估測試;5.公司治理、內部審計和風險管理的整合;6.風險導向審計與風險管理審計概念的界定。這些方面都是今后風險管理審計的研究方向。
【參考文獻】
[1] 司欣波.澳大利亞內部審計模式調查與研究[J].會計師, 2006(5):45.
[2] 趙金芳,黃甲喜.對企業風險管理實施內部審計的思考[J].商業會計,2007(1):27.
[3] 卓繼民.現代企業風險管理審計[M].北京:中國財政經濟出版社,2005.
[4] committee of the Sponsoring Organizations of the Treadway Commission. Enterprise Risk Management Framework, (Draft)[R]. New York: COSO, 2003.
[5] The Institute of Internal Auditors-UK and Ireland. Position Statement: Risk Based Internal Auditing[S]. London: IIA UK and Ireland, 2003:3.
[6] 許天祥,范國佑,韋華寧.如何做好內部審計[M].北京:中國財經出版社,2007.
[7] 陳珊珊.內部審計:三維視角下的重新審視[J].中國工會財會2005(6):9.
[8] 陳錦烽,蘇淑美.內部審計新紀元[M].大連:大連出版社,2006.
[9] 王驥.內部審計參與風險管理的路徑[J].企業改革與管理,2007(6):17.
[10] 高東坡.內部審計如何參與企業的風險管理[J].商場現代化,2007(9):73.
