Dec. 2007, Vol, 3, No.12 (Serial No.31) 现代会计与审计 Journal of Modern Accounting and Auditing, ISSN1548-6583, USA44风险管理审计:一个重要的制度安排∗李晓慧(中央财经大学会计学院,北京 100081)摘 要:为了使内部控制、公司治理,以及风险管理在动态中不断适应企业的发展,促使企业内生出减少财务舞弊以及公司治理失效的内部控制和风险管理机制,本文引入了风险管理审计制度。
这种制度通过评价、鉴证、咨询和报告来促使企业形成自我纠正、自我完善、不断提升的公司治理循环,也有利于提高公司的治理效率。
关键词:风险管理审计;制度安排;公司治理一、引言在资本市场,人们总是疑虑为什么一些企业会乐此不疲地粉饰财务报表。
也许人们已经寻找出不同的理由以及相应的改善措施,但究其根本在于公司缺乏盈利能力。
当一个企业缺乏盈利能力时,为了避免向市场报告“坏信息”或规避资本市场的监管,公司有强烈动机不报告亏损,尤其在连续亏损时,公司必然会铤而走险地利用会计手段进行“清洗”(Haw, et al,1998;陆建桥,1999;沈振宇等,2004;李远鹏等,2005)。
反之,如果企业盈利能力强,就没有必要粉饰财务报表。
正是基于这些研究,目前会计理论界和实务界都着力研究企业内部控制、公司治理以及整个企业的风险管理,以期从公司内部形成减少舞弊的控制机制,以减少风险,这种研究思路和解决问题的角度无疑是正确的。
但在一个动态发展的企业中经常会看到,即便是一些企业聘请国际“四大”设计了完善的内部控制和全面的风险管理,也会面临着设计不合理(主要是与企业现实不符)、运行无效的尴尬1;即便是公司治理结构设计的再完美,大股东和管理层合谋舞弊以及严重的内部人控制也很猖狂,如何解决这些问题呢?这需要企业有一个自我纠正、自我完善、不断提升的制度,才能从根本上解决问题,为此,我们在公司治理中引进风险管理审计制度。
二、风险管理审计的内涵从现代企业全面风险管理的角度看,风险管理审计是审计人员根据企业全面风险管理的方针和政策,采用系统化、规范化的方法,测试企业风险管理系统、各业务循环及相关部门的风险识别、分析、评价、管理及处理等,并对企业的全面风险管理进行动态评价的一个过程,以保证和预警,进而提高企业风险管理的效率,帮助企业实现其战略目标。
从这个定义出发,我们可以确定风险管理审计内涵包括如下几点:∗本文是“中财121人才工程博士发展基金”项目(项目编号:GBG0606)阶段性成果之一,感谢财政部全国会计学术带头人后备人才培训项目的支持,感谢东北财经大学张宜霞老师的意见。
【作者简介】李晓慧,女,河南南召人,经济学博士,中央财经大学会计学院教授、副院长;研究方向:现代审计理论与方法、内部控制与风险管理、资本市场会计与审计问题研究。
1中航油的风险管理体系出自安永会计师事务所之手,《风险管理手册》与其他国际石油公司基本一致,但仍然无法阻止企业由最初判断失误造成580万元亏损扩大到5.5亿美元,这说明中国企业现在内部控制的最大、最迫切的问题不是设计出最好、最超前的内部控制,而是如何保证最常规的内部控制能够有效运行。
1. 风险管理审计的目标是在确定企业基本经营目标、风险、绩效指标和风险承受能力的基础上,评价风险管理活动,并将企业风险控制在可接受范围内,以增加企业价值或改进企业运行效率。
风险管理审计目标与企业经营目标是一致的,比一般审计目标范围要大。
如一般的财务审计目标是对财务报表的合法性、公允性发表意见,企业内部控制审核目标是对内部控制的有效性发表意见,但风险管理审计的目标可具体细分为对风险管理政策设计的适当性;执行的有效性和风险损失处理的合理性发表意见,该意见尽量避免集中在遵循要求上,而是实质地评估企业的风险偏好以及期望差距,提出缩短差距的具体措施和意见,以求把企业的风险控制在可接受的范围内,为实现企业价值增值和改进企业运行效率的终极目标服务。
2. 风险管理审计的对象是企业全面的风险管理活动。
企业的全面风险管理活动包括企业的风险管理信息系统和内部控制系统2,为此,风险管理审计也包括对财务报表重大错报和内部控制缺陷的查证、评价与沟通。
但区别于财务报表审计和企业内部控制审核的关键点是:风险管理审计还需要针对企业战略层面的风险予以查证、评估并提出应对措施。
3. 风险管理审计职能体现在鉴证和咨询活动上。
其鉴证职能与一般的审计一样,旨在客观地获取和评价与经济活动和经济事项的认定有关的证据,以确认这些认定与既定标准之间的适合程度。
其咨询的职能具有“增值性”,根本区别于一般财务报表审计,要求审计人员针对企业风险管理中存在的问题,提出具有针对性(specific)、可测量性(measurable)、可实施性(actionable)、责任到人(responsibility)、及时性(timely)3的评价意见和改善建议,协助管理层更有效地进行风险管理活动,减少或降低阻碍企业战略目标实现的任何障碍。
4. 风险管理审计采用的方法具有系统性、规范性,主要包括:了解管理当局在战略上、运营上和价值上的目标;识别和评估阻碍企业达到上述目标的关键经营风险;理解管理当局对于相关风险的承受度;评估风险管理活动,并将其降低至可接受风险水平。
这些方法在风险基础/导向审计中也运用,但风险管理审计在运用这些方法时,主要利用数量模型来量化风险、对风险进行排序,以便为公司提出具有针对性的精细分类的风险管理策略并提出改善意见,而风险基础/导向审计在运用这些方法时,侧重于定性评价内部控制及其控制风险,目的是为了找到公司内部控制不能防范的剩余风险,以确定下一步对剩余风险予以查证的实质性程序的性质、时间和范围。
5. 风险管理审计的重心在于识别目前风险管理有效性水平与期望水平之间的差距,以评价和改进风险管理的有效性。
为此,风险管理审计属于凸现咨询活动的企业内部审计4的一种,它是审计人员执行内部控制评价和管理审计的合理拓展,即站在战略层面和风险管理全过程的角度,对企业风险管理进行审计。
现实中,企业根据需要,在进行风险管理审计的同时,也可以从某种专门的需要出发,安排内部控制评价或管理审计。
三、风险管理审计是一种制度安排1. 正如注册会计师审计是企业外部治理的一种制度安排一样,风险管理审计也作为企业内部治理的一种制度安排而存在。
在现代企业中,公司治理是基于企业所有权与经营权相分离后而引发的有关委托代理关系及“内部人控制”等问题而被逐步提出的,人们希望公司治理通过一系列制度安排有效运行而形成治理循环,为公司2 2006年6月国务院国有资产监督管理委员会颁布的《中央企业全面风险管理指引》(国资发改[2006]108号)规定健全的全面风险管理体系,包括风险管理策略、风险理财措施、风险管理组织职能体系、风险管理信息系统和内部控制系统。
3 2004年9月国际内部审计师协会(IIA)发布的《全面风险管理中内部审计角色》的职位说明书中提出的SMART(specific, measurable, actionable, responsibility, timely)标准。
4 Bailey等认为,咨询活动显得有些新颖,但它所囊括的许多活动实际上早已成为内部审计工作的一部分。
45不断培育和提升增值能力提供保障。
如图1,企业的外部治理在运行时,市场这个“看不见的手”将会发挥作用:资金在资本市场中由低效益领域流向高效益领域;经理人在经理市场会因企业业绩变化而提升经理人价值,或被赶出经理市场(如利用收购、兼并等);产品的适销对路或积压会把企业推向大发展或濒临破产;劳动力也会追逐利益而流动,但这些市场的敏感反应必然借助于注册会计师的审计,“年度审计是公司治理的一个基石……审计提供了外部的客观的审查,该过程中需要准备和提供财务报表”5,注册会计师审计担负着过滤会计信息风险、合理保证会计信息质量、降低会计信息识别成本的责任,被利益相关者视为重要的利益保障机制(程新生,2005),从而有利于提高公司的透明度,减少外部治理运行中的信息不对称而引发的一系列后果(逆向选择和道德风险)。
企业的内部治理运行时,配置和行使控制权、监督和评价董事会、经理层和职工以及设计和实施激励机制等制度至关重要,但更为重要的是这些制度如何被执行。
众所周知,制度执行的关键在于评价,评价的关键又在于咨询,风险管理审计在公司内部治理中就承担了咨询的职责,即从企业发展战略的视角评价、鉴证企业全面风险管理,并站在战略高度,具体到企业运营中各个流程和环节,并提出具有建设性的建议。
这不仅有利于企业形成“自上而下”和“自下而上”相协调的制度执行机制,也能够促使企业形成自我纠正、自我完善、不断提升的内部治理机制。
图1 企业的内外治理制衡机制2. 相对于内部控制和风险管理的“监督”要素,风险管理审计成为内部控制和风险管理运行中内生和外生相协调的制度安排。
如图2公司内部治理框架所示,企业的内部控制和风险管理是企业治理层的工具,但却根植在企业经营管理的每一个流程和环节当中,属于公司治理机制的核心。
对于一个现代化企业来讲,无论按照“内部控制整体框架(Internal Control——Integrated Framework)”(COSO框架)或是“全面风险管理整合框架(Enterprise Risk Management)”(COSO-ERM框架)来构建自身的内部控制和风险管理框架,框架本身都内生存在“监督”环节6。
监督是对内部控制和风险管理系统5 Cadbury Report, 1992, 36, para.5.1。
6 COSO框架的“五要素”包括“内控环境、风险评估、内控活动、信息与沟通和监督”COSO-ERM框架的“八要素”包括46有效性进行评估的过程,可以通过持续性监督、独立评估或两者的结合来实现。
内部控制和风险管理内生要素中“监督”如果仅仅限于自我评估,则无论是否是持续的,都可能会出现“不识庐山真面目,只缘身在此山中”的情况,因此,需要特设的一个制度安排——风险管理审计,由直接隶属于董事会(可以通过审计委员会,但最终是对董事会负责)的审计部门组织实施,以落实内部控制和风险管理的各个环节的自我评价为基础的专门的审计活动,并且利用咨询意见,在战略层面上为董事会提供发现、防范并纠正自身战略风险的意见。
为此,在公司内部治理框架中,风险管理审计成为内部控制和风险管理运行中的内生和外生相协调的制度安排,其内生性表现在风险管理审计本身是内部控制和风险管理中“监督”环节所要求的独立评估部分;其外生性体现在风险管理审计是特设的制度安排(强调直接隶属于审计委员会的内部审计部门实施)来保证内部控制和风险管理在不断修正中有效运行;其内生和外生相协调表现在内部审计部门在实施风险管理审计中,必须以企业内部控制和风险管理的自我持续评估为基础,但要站在战略高度,把握全面风险,来对整个公司内部治理的全过程以及各个层面(治理层和控制层)实施监督。