风险管理审计应用问题研究.doc

第1章 导论1.1 本课题研究的背景1.1.1 国际背景从上个世纪后期开始，国外一些大企业纷纷倒闭或出现了严重的危机，如巴林银行、八佰伴公司、世通公司、安然公司、帕玛拉特公司等等。在经济全球化、信息化进程不断加快、科技突飞猛进的时代背景下，企业竞争更加激烈，面临的风险也随之增大。在这样的环境中，企业生存与发展的关键，更多地取决于对未来环境变化的适应和把握，企业必须在战略目标、重大投资决策、日常经营活动和绩效评估等各个方面高度关注风险因素。因此，企业要求职能部门在进行各自活动的时候高度重视风险，并将其纳入到企业的整体风险管理中，组织各个管理或治理层次、各个职能部门为实现企业的目标而进行全面的风险管理，风险管理成为高风险环境下企业活动的中心任务。同时，战略管理成为管理理论的主流，战略是决定企业成败的重要因素。风险是战略中的关键因素，对风险的正确把握意味着增强了企业目标实现的自信。随着企业战略管理的实施、风险战略决策的运用，内部审计开始参与风险管理，为企业提供增值服务。 1999 年 6月26 日由120多个国家参加的国际内审协会（IIA）理事会对内部审计定义重新作了界定，定义中内部审计服务的内容包括了“评价并改善风险管理、控制和治理过程”。2001年修订的内部审计实务标准明确要求内部审计参与风险管理和公司治理过程，以“帮助组织实现其目标”。2004年9月，美国COSO委员会提出企业风险管理整体框架，为企业有效地进行风险管理提供了强有力的理论指导。在企业风险管理整体框架中内部审计承担了监督、评价、检查、报告和改进等任务，是企业风险管理不可或缺的组成部分。内部审计可以通过审查内部控制系统和风险管理过程以及为建立和完善内部控制系统和风险分散战略提供建议来为组织增值。美国在一连串会计丑闻后，于2002年制定了上市公司会计改革和投资者保护法（简称SOA）。SOA要求：“内部审计师凭借他们在组织机构中的独立性和风险控制方面的专业知识，在帮助组织遵守这一具有挑战性的404条款和该法案严格的最终期限方面起重要作用。”这一规定使得内部审计的地位变高，在与风险管理紧密相关的内部控制与公司治理中发挥重要作用。不久，欧盟、法国、德国、荷兰、日本、澳大利亚等国也做出了各自关于公司内部控制或风险管理披露的规定。1.1.2 国内背景目前我国颁布的与风险管理有关的文件主要有2006年6月6日国有资产监督管理委员会发布的中央企业全面风险管理指引、2006年6月和9月沪深证券交易所发布的上市公司内部控制指引等，这些文件“名称不一、概念众多、实务界人士莫辩东西”杨小舟，公司治理、内部控制与企业风险管理M，北京：中国财政经济出版社，2006：154-177，自然会影响内部审计人员的风险管理审计实务。2005年5月1日起施行的内部审计具体准则第16号：风险管理审计是当前唯一的风险管理审计文件，该准则将风险管理审计看作内部控制审计的一部分，从原则、风险管理审查与评价几个方面进行了规范，但在可操作性方面，仍有待提高。具体审计准则中关于内部控制审计、风险管理审计、遵循性审计、效果性审计、效率性审计等内容各自独立规范，企业在实施中难以协调。实务中，随着面临的各种风险不断加大，我国已有企业实施风险管理并开展风险管理审计。例如，中国神华能源股份有限公司以公司总部层面风险管理为切入点，参考世界各国的监管要求，编制完成了内部控制手册和自我评估手册，搭建了自己的以风险管理为核心的内部控制基础平台；中国南车股份有限公司在投资重组、流程再造和生产储备等一项或多项业务中开展风险管理审计；中国移动通信集团公司以COSO内部控制框架为基础，全面展开企业风险评估，制定了以风险监督为基础的审计工作3年规划，保证了风险管理审计的进行中国内部审计协会，国有企业内部审计发展报告J，中国内部审计，2009年第1期：33-43。然而，就整体来看，我国企业风险管理审计实施情况并不乐观，2006年，由中国内部审计论坛、中国会计视野、中国审计论坛三家网站联合发起的针对内部审计人员的一项调查发现：88%的被调查者都认为内部审计十分必要，但是认为自己所在的单位内部审计执行情况较好的却寥寥无几，希望能得到内部控制制度及评审的比例占到最高的64.4%，从而说明风险管理审计在实务中的应用较差王大力，李瑞红，王双彦，我国内部审计情况调查J，会计师，2006年第4期：11-13。根据对1236家国有企业的调查，947家设置内部审计机构的国有企业实施的审计活动仍以财务审计、经济责任审计和经济效益审计，这些审计形式均以事后审计为主，与IIA在内部审计实务标准中的要求相差尚远中国内部审计协会，国有企业内部审计发展报告J，中国内部审计，2009年第1期：33-43。1.2 国内外相关研究的综述1.2.1 国外研究综述20世纪90年代，管理理论得到丰富和发展，公司治理和内部控制的研究逐步走向成熟，内部审计理论与实践逐渐从管理导向内部审计走向风险导向内部审计。麦克宁 ( McNamee，1997)提出了内部审计的新范式风险导向内部审计，反映了风险导向内部审计目标与企业目标的契合，内部审计人员关注的并非控制的充分性和遵循性，而是风险是否得到适当管理和控制。这样，内部审计人员通过风险与企业目标的实现直接联系起来，其服务对公司治理层及管理层而言非常有价值。1998年，戴维麦克纳米和乔治斯史林在其文章中指出，风险管理的出现彻底改变了内部审计的模式，使传统的被动式、反应式的控制导向审计被新的主动式、预期式的风险导向审计所取代；PaulLWalker，WilliamGShenkir，ThomasLBarton在其文章中以通用汽车、沃尔玛、加拿大邮政等五家公司为例，探讨了内部审计人员在企业风险管理中担任的角色，及风险导向内部管理审计对完善公司治理的作用；McNamee&Traver(1998)，Walker、Shenkir&Barton(2002)，Deloach(2000)认为，内部审计人员能够扮演重要的“合作伙伴”角色，通过评估、计量并报告总体风险，并主动实时企业风险管理，来协助管理层建立经营流程并进行监督。风险导向内部审计的现代方法考虑了风险评估，并将它们系统地与企业目标联系起来。现任COSO委员会主席Rittenberg认为内部审计工作的范围应该是宽泛的，主要集中在通过更好的公司治理、风险管理和内部控制提高组织的经营能力，这比狭窄的会计和财务报告控制要宽泛得多。英国学者DavidGriffiths认为风险基础内部审计是指对组织中风险管理是否将风险控制到可接受的水平提供独立客观的评价，内部审计应该采用风险基础内部审计的方法，这就意味着内部审计曾经使用的一些方法，包括审计程序将被替代。1999年IIA推出了内部审计的新定义，美国学者Chapman&Anderson(2002)认为新定义强调内部审计范围包括确认和咨询活动，突出内部审计要积极主动，以客户为中心，并关注内部控制、风险管理和治理程序的关键问题；控制的唯一目的是为了帮助组织管理风险、促进有效的公司治理。这一观点大大拓宽了内部审计的范围，将其工作领域扩展到包括风险管理、内部控制和治理程序。由于安然、世通等一系列公司财务丑闻的爆发，美国紧急出台了SOA后不久，纽约证券交易所要求所有上市公司都要建立内部审计部门，Colin Linsley认为SOA出台之后，着实改变了内部审计在公司中的地位。作为对SOA的积极反应，COSO委员会2004年9月发布企业风险管理整体框架（ERM）。这一框架的发布，不仅可以满足企业加强内部控制的需求，也能促进企业建立更为全面的风险管理体系。安德鲁等(2005)的研究表明，未来的企业组织将会把内部审计的保证服务与企业总体流程结合起来，成为一种风险评估、管理和控制机制。1.2.2 国内研究综述郑小荣 (2006)对风险导向内部审计若干理论问题进行了探讨，指出现代企业面临的高风险经营环境和企业将内部审计外包的行为是风险导向内部审计产生的现实背景；内部控制是风险导向内部审计的基础，对风险的评估与改善是风险导向审计的首要目标；并对ERM、风险导向外部审计与风险导向内部审计的关系作了分析。严辉 (2004) 采用“本质假设目标职业规范”的结构模式，对风险导向内部审计的产生、本质、对象、目标和职能、胜任能力、执业规范等做出阐述，构筑了比较完整的风险导向内部审计理论结构框架。王晓霞、孙坤和张宜霞(2004)通过对IIA2001版的内部审计实务标准的解读，介绍了风险管理的内容、策略与方法，提出风险导向的内部审计实施程序，即编制审计计划选择被审计者审计目标与测试审计发现与审计报告后续审计。徐德（2005）从六个方面论述了内部审计对企业风险管理的控制方法，包括：认识风险特征、分辩风险性质、按企业综合风险管理的要求组织内部审计、如何参与具体项目的风险审查、对主要经营风险的全过程管理。孟焰、潘秀丽（2006），黄园园（2005），韩志丽（2005），乔瑞红（2006）等从不同角度对内部审计参与风险管理的目标、内容等进行了探索。马正吉 (2005)从实施风险导向内部审计的必要性出发，提出我国实施风险导向内部审计的具体建议与措施：第一，提高内部审计人员的素质；第二，加强风险意识和风险管理技能；第三，加强内部审计工作的时效性；第四，建立内部控制评价的新模式。于玉林（2005）教授对内部审计在企业治理、风险管理和内部控制中的作用分析后指出，内部审计对公司治理、风险管理和内部控制需要进行整合，整合的核心是风险管理。谢志华（2007）从历史回顾和逻辑推理的角度，探讨了内部控制、公司治理和风险管理本质的相同性，构建了基于风险管理的整合框架。丁友刚、胡兴国（2007）则从组织目标出发，探讨了内部控制、风险控制和风险管理的思想内涵及其演进过程，认为“内部控制作为一种内部风险控制机制融入到企业综合风险管理框架之中” 丁友刚，胡兴国，内部控制、风险控制和风险管理基于组织目标的概念解说与思想演进J，会计研究，2007年第12期：51-54。郭伟昌、刘金风（2008）对如何恰当的对企业风险进行识别与分析提出了风险定性分析的调查表法和定量分析的综合风险系数法，尝试将两种方法有机结合建立了风险审计模型，并在大庆油田某集团应用取得了一定效果。由上可见，学术界在为推进风险管理内部审计的发展不断努力，对风险管理内部审计的本质、对象、职能、方法和程序的认识逐渐加深，并开始提出企业不同管理与控制框架的整合问题。但由于我国内部审计基础的薄弱和文化背景的不同，风险管理审计在我国企业中的具体应用有待进一步研究。1.3 本文研究内容与结构内部审计发展的历史表明：受托责任的发展主导着内部审计性质的变迁，各种相关学科的知识也不断充实和重塑着内部审计的理论与实务。内部控制一直是内部审计的传统领域，现在风险管理在企业中的影响与日俱增，贯穿受托责任的整个履行过程，成为受托责任内容的一部分；作为制度安排的公司治理实质上是受托责任系统中的控制机制，但治理程序、治理机制又构成了受托责任的新内容。风险管理、内部控制与公司治理的融合也体现在具体内部审计工作中。现在的企业管理活动中，内部审计应该是融合风险管理审计、内部控制审计和公司治理审计于一体的全面内部审计，继续维持在财务、会计、内部控制方面的传统优势，整合内部控制、风险管理和公司治理，评估道德风险，重视人际关系，加强全面沟通，为组织创造更大的价值。王光远，现代内部审计十大理念J，审计研究，2007年第2期：24-30 随着我国内部审计准则颁布与实施，内部审计在我国企业中将发挥越来越大的作用。本课题从已有的文献与实践出发，立足我国多数企业的现实，构建一个系统的风险管理审计模式，对内部审计对象以目标为起点、以风险为中心进行整合，设计一套可行的内部审计程序，对风险管理审计的相关应用问题进行探讨。全文共分为六章。第1章 绪论。介绍了论文的选题背景、国内外关于风险管理审计研究的文献综述以及本文的研究内容。第2章 风险管理审计相关理论。在对企业风险管理进行定义的基础上，对现存的企业风险管理框架模型进行了简单的比较分析。以风险管理为中心，将内部控制、风险管理和内部审计进行整合，考虑公司治理审计的内容，构建企业的风险管理内部审计模式。第3章 风险管理审计应用条件分析。对企业实施风险管理审计所必备的组织条件、人员要求和企业经营所依存的内、外部环境进行分析，并指出实施风险管理审计条件不成熟时的内部审计发展模式。第4章 风险管理审计实施程序。从实务的角度阐述了风险管理审计的具体实施程序，包括编制年度计划、实施项目审计和后续审计阶段。第5 章 风险管理审计的应用技术分析。阐述风险管理审计通过何种途径在企业风险管理中发挥确认和咨询作用，主要介绍并分析了内部控制自我评估、基于价值链的内部审计和基于平衡计分卡的内部审计在风险管理审计中的应用技术。第6章 结论。对本文的主要内容和结论进行总结，对风险管理审计在我国的实施提出前景展望并简述尚需解决的问题。 第2章 风险管理审计相关理论2.1 风险关于风险，目前理论界尚无一种公认的权威性定义，人们可以从不同的角度对风险进行界定。对风险有开拓性研究的是美国经济学家弗兰克奈特，他在1921年出版的风险、不确定性和利润中对风险作了经典的定义：“风险是可测定的不确定性”曲旭，基于价值增值的治理导向型内部审计研究M，大连：大连出版社，2008：62。但现实经济生活中可测定的不确定性并不常见，还有更多的不可测定的不确定性事件。所以实务操作中常常把风险和不确定性联系起来统称为风险，如美国学者海尼斯(JHaynes)认为，风险意味着损失的可能性，哈迪将风险定义为“风险是费用、损失或与损害相关的不确定性”严珲，风险导向内部审计背景分析与框架构建J，财会通讯（学术版），2004年第6期：3-8。随着对风险的深入研究，人们发现，风险不仅可以带来超出预期的损失，也可能带来超出预期的收益。IIA 2 0 01 年对风险定义为：可能对目标的实现产生影响的事件发生的不确定性，并指出风险的衡量标准是后果与可能性。风险不仅包括负面效应的不确定性，还包括正面效应的不确定性。新定义将风险分为了广义和狭义两种，狭义的风险专指负面效应，即损失发生及其程度的不确定性。对于狭义的风险，需要识别、衡量、防范和控制，即对风险进行管理。对于广义的风险中的正面效应，可以称为“机会”，需要识别、衡量、选择和获取。COSO委员会2004年发布的企业风险管理整体框架认为风险既是挑战，也是机遇，管理层所面临的最严峻挑战是决定本企业准备接受多大的风险，因为风险可以经过奋斗而创造价值。当管理层制定的战略目标能达到增长和利润目标与相关风险之间的最佳平衡，并在追求本企业目标的过程中有效地调度资源时，能实现企业价值的最大化。无论是内部控制还是风险管理，真正关注的还是狭义的风险。从内部控制和风险管理产生的背景来看，内部控制是由于防止会计记录的错误和舞弊而产生的，其核心理念在于内部牵制，风险管理则是1929年经济大危机发生后的产物。从财务的角度看，风险越大，期望的回报也越大，风险大而回报小的投资无人去做；反过来，回报大，其风险不一定大，但是，随着经济全球化和企业竞争的加剧，一旦出现风险小回报大的投资会导致更多的企业进入，从而使风险与回报得到匹配，因此，风险的正面效应和负面效应是共生的，并不能进行剥离。从企业的组织结构来看，企业经营者实施各种经营活动以实现企业目标，本身就是对机会的选择和把握，广义的风险概念对于风险管理并没有实际应用价值，此时的“风险”就等同了“经营”概念。2004年9月，COSO委员会发布的企业风险管理整体框架中对风险做了很好的解释，该框架增加了“事项”这一概念，“事项可能有消极的影响、积极的影响或两者兼有。消极影响事项意味着风险，它妨碍价值创造或削弱现存价值。积极影响事项可以抵销消极影响或意味着机遇。机遇是指一个事项发生并能积极地促成目标实现，有助于价值创造或保值的可能性。金小英，唐予华，COSO风险管理报告内外部关系的解读与启示J，财会通讯（综合版），2006年第8期：82-83”从而开创了识别风险和机遇并分别进行管理的先河。考虑到组织目标的广泛性并不仅仅是保值增值，本文将风险定义为：阻碍组织目标实现的不确定性。作为组织的一种，企业也具有相应的目标。而管理正是通过以人为中心的协调活动，来实现社会组织预期目标的。作为集计划、组织、领导、控制为一体的管理活动，实现企业目标主要是通过实施积极影响和控制消极影响两种手段。我们将风险定义为妨碍组织目标实现的不确定性后，内部控制、风险管理、公司治理和内部审计可以通过“风险”这一概念联结起来。从某种意义上说，四者都是对妨碍企业目标实现的事项的一种监督和控制手段，从而有协调和融合的可能性。因此，内部审计工作将越来越广泛的介入企业风险管理，William RKinney，Jr(2002)认为，人们越来越需要会计和审计人员计量和报告对企业主体产生影响的威胁因素。2.2 风险管理框架的构建2.2.1 内部控制和风险管理的融合应该说，内部控制和风险管理正在进行融合，COSO委员会1994年的内部控制整体框架具有划时代的意义，它为许多企业提供了建立内部控制体系的指南，为世界范围内的企业所广泛采用。随后许多国家和组织都根据自己的情况制定了相应的内部控制标准，在一定程度上借鉴了COSO的成果，但又有所突破。1995年加拿大控制基准委员会在COSO报告的基础上，提出了更精简、更具动态的报告CoCo报告，该报告认为内部控制为支援组织成员达成营运的效果与效率，内部与外部报告的可信赖程度，遵循相关法规定以及内部政策办法等目标，而由组织资源、制度、过程、文化、结构与作业等元素组成。CoCo控制模式更具动态性和管理层导向，从而更有利于管理人员理解和使用。CoCo报告发展了COSO报告，增加了目标设定、战略计划、对机会的管理等。在CoCo报告中，控制是支持一个组织实现其目标的诸要素的集合体，实质上，就是对风险和机会的管理，对能带来有利或不利结果的事项的管理，“(内部)控制”一词变成“风险管理”的同义词，内部控制就是组织风险管理。英国率先将内部控制和风险管理相结合，1999年9月英格兰和威尔士特许会计师协会出台了Turnbull指南，即内部控制综合守则的董事指南，对如何满足1998年由公司治理委员会（也称Hampel委员会）制定的综合守则（已于2003年7月进行了修订）的要求提出了操作性的指导，并最终成为综合守则的一部分，成为英国上市公司必须遵循的规定。Turnbull指南的内部控制框架与COSO较为相似，也把控制分为经营、财务和合规控制，同样要求评估相关的内部控制要素。但Turnbull指南的内部控制框架将COSO框架中的控制环境和控制活动合并为一个要素，变成了四要素：风险评估、控制环境和控制活动、信息和沟通、监控。Turnbull指南的特点是更加关注风险与控制的关系并更加着重阐述这种关系。南非的King II Report(2002)认为传统的内部控制系统不能管理许多风险，风险管理将内部控制作为减轻和控制风险的一种措施，是一个比内部控制更为复杂的过程。进入21世纪，1994年的COSO报告由于对风险强调不够，理论界和实务界批评其无法使得内部控制与风险管理很好的结合，作为回应，COSO委员会于2004年9月正式颁布了企业风险管理整体框架。相比1994年的报告，企业风险管理整体框架的变化主要体现在以下几点：提出了一个风险组合观的观念，更加注重对风险的管理；增加了战略目标，扩展了报告目标的范畴，以使其对更适应企业管理控制的需求；将原来的“风险评价”拓展为“目标设定、风险识别、风险评估和风险应对”四个，将控制环境拓展为内部环境，增加了风险管理的内容。随着内部控制和风险管理的融合，内部控制和风险管理关系的争论越来越多。谢志华（2007）认为存在三种观点：(1)风险包含内部控制； (2)内部控制包含风险管理；(3)内部控制就是风险管理谢志华，内部控制、公司治理、风险管理：关系与整合J，会计研究，2007年第10期：38-39。丁友刚、胡兴国（2007）在论述内部控制和风险管理的关系时将风险管理分为了风险计划、风险控制和风险应对。风险计划强调如何进行风险和收益组合的选择和确定，风险控制强调如何将风险最小化至无害水平，风险应对强调如何积极面对风险，三者共同构成一个完整的风险管理过程。风险控制分为外部控制和内部控制，外部控制是由公共组织和公众组织以及交易对手对组织行为所采取的风险控制措施，内部控制则是组织自身为了降低内部各层级之间代理问题而建立的一套风险控制机制，内部控制不同于风险管理。丁友刚，胡兴国，内部控制、风险控制和风险管理基于组织目标的概念解说与思想演进J，会计研究，2007年第12期：51-54这一论述实际上是赞同风险管理包含内部控制的，对风险管理和内部控制的地位与关系进行了很好的界定。但是，风险计划的内容过于宽泛，以至于无法和管理活动相区分，如此规范风险管理的概念将无法在实务中运用，风险管理中关于风险计划的内容应该确定为风险评估 包括目标设定、事项确认、风险评估的。从风险管理的角度看企业目标应该包括三个层次：战略目标层次、经营目标层次和合法合规、财产安全、信息真实完整层次。但是，内部控制由于自身的局限性，不可能完成对战略目标甚至经营目标 当大股东控制董事会，董事长和总经理合一时，这一问题尤为明显。的控制，只能保证对低层级目标的控制以实现其战略目标和经营目标。因此，内部控制和风险管理不仅在内容上不同，而且在范围上也有所差别。要想在风险管理和内部控制的融合中保证范围的一致性，从而确保风险管理和内部控制实施的效果，必须完成内部控制和公司治理的对接。2.2.2 内部控制与公司治理的对接关于内部控制和公司治理的关系，学术界有多种看法：杨雄胜（2005）、Susan Schmidt Bies(2004)等人认为，内部控制是公司治理的基础，没有有效的内部控制，公司治理将成为一纸空文；阎达五、杨有红（2001）、黄世忠（2001）、李明辉（2003）、程新生（2004）等认为公司治理是内部控制的环境要素之一，是内部控制的前提，内部控制作用的充分发挥取决于公司治理结构的强化；张立民、唐松华（2007），李连华（2005）、杨有红、胡燕（2004）认为内部控制与公司治理是你中有我、我中有你的嵌合关系，二者有所重合。谢志华，内部控制、公司治理、风险管理：关系与整合J，会计研究，2007年第10期：37-38内部控制和公司治理都产生于委托代理问题，在存在委托代理关系的前提下，由于所有者在不丧失所有权的情况下放弃控制权，产生了现代意义上的公司治理；由于管理者在不放弃控制权的情况下将经营权下放给企业各个层级，出现了内部控制。二者的产生都是由于委托代理关系的存在，但二者委托代理的层次不同。公司治理处理的是股东、董事会和经理层三者间的关系，内部控制处理的是董事会、经理层和次级执行层三者之间的关系。杨有红、胡燕，试论公司治理与内部控制的对接J，会计研究，2004年第10期：P.14-15由于股东、董事会和经理层的关系处于企业管理的上级，公司治理是内部控制的基础和环境。反过来，由于股东、董事会和经理层的决策都需要有次级执行层实施方能实现，内部控制是公司治理的保证。内部控制的局限性需要依托公司治理的完善来解决，公司治理的效果要靠内部控制来实现。公司治理与内部控制的关系如下图所示：张立民，唐松华，内部控制、公司治理与风险管理托普典章为什么不能救托普J，审计研究，2007年第5期：P.37股东大会公司中下层管理者股东大会董事会员工内部控制公司治理图2.1 公司治理与内部控制关系资料来源：张立民，唐松华，内部控制、公司治理与风险管理托普典章为什么不能救托普，审计研究，2007年第5期P.37当内部控制和公司治理实现对接后，内部控制与风险管理目标不一致的情形得到解决。经济合作与发展组织（OECD）制定的OECD公司治理原则中对公司治理的定义具有代表性，公司治理是“引导与控制公司运行的系统。公司治理结构规定了公司参与者，包括股东、董事会、经理以及其他利益相关者权利和职责的分配，并且就公司事务的决策设计出一整套规则和程序。通过这些制度安排，公司可以确立目标，确定达到目标的手段，并对公司经营业绩进行监督”。从中可以看出公司治理的主要目标是确保制定恰当的战略目标以及对实现战略目标过程的监督。公司治理是为了促进战略目标的实现（通过激励）和防止战略目标的偏离（通过监督）而进行的一种制度设计。目标的偏离就是风险，公司治理、风险管理和内部控制通过“风险”这一概念连结起来。但是，内部控制和公司治理的对接不等于融合，二者并没有达到你中有我、我中有你的境界，而是你中有我的一部分，我中有你的一部分。企业作为一个整体，其目标相对容易确定，而作为公司治理重要组成部分的股东和其他利益相关者由于立场的不同，目标将无法统一甚至相互矛盾。虽然内部控制、公司治理和风险管理都是对风险的管理，但由于目标的不同，三者并不能完全融合。首先，股东、董事会、经理以及其他利益相关者通过一定的制度安排确保各利益相关者目标的协调统一，主要是防止有损股东和其他利益相关者利益的风险，这一目标只能通过公司治理这一手段进行。如果董事会制定的战略目标和经理层实际执行的战略目标背离了股东的要求，再好的内部控制和风险管理制度也不能发挥作用。其次，在董事会制定的战略目标符合公司治理要求的前提下，确保经理层执行的战略目标和经营目标等次级目标与董事会制定的战略目标相一致。杨有红、胡燕（2004）认为关于内部控制和公司治理的对接途径主要有两点：一是公司治理规范必须对内部控制机制的构建提出基本要求；二是从公司治理的角度为董事会在内部控制中的核心地位提供保证杨有红、胡燕，试论公司治理与内部控制的对接J，会计研究，2004年第10期：16-18。可以看出，虽然内部控制与公司治理相互影响，相互嵌合，公司治理仍是二者对接的关键，是确保内部控制有效运行的外部环境。2.2.3 内部控制、风险管理和公司治理的整合既然内部控制、公司治理以及风险管理都是基于企业存在风险而产生的，都是对风险的控制，那么三者可以整合为一个统一的框架风险管理框架。风险的产生来自于对目标的偏离，企业的目标应该是该框架的起点；目标的设定和实现取决于企业的责任主体，这些责任主体也是风险管理的主体；风险管理离不开识别、评估、控制风险的程序和方法，这些称之为风险管理的内容。需要注意的是，风险管理并不是独立于企业经营管理活动之外的管理形式，而是内含在整个的企业经营管理活动之中谢志华，内部控制、公司治理、风险管理：关系与整合J，会计研究，2007年第10期：42-45。新整合的风险管理框架如下：股东公 其他利益相关者司 治理内部控制 风险管理 董事会经理层执行层员工目标设定风险评估评价改进事项识别风险反应控制活动战略 经营合法 信息经营活动信息与沟通内部环境内部审计图2.2 风险管理框架资料来源：作者编制从图中可以看出，新的风险管理框架由三个部分组成：第一个部分是风险管理的主体，股东和其他利益相关者处在企业之外，由于其目标的不一致性，不能成为企业风险管理的主体，但是与董事会和经理层构成了公司治理的主体；风险管理的主体由董事会、经理层、中下层管理者和员工构成，其中以董事会为风险管理的核心，所有主体的目标具有一致性，从而使得企业的风险管理能够落到实处。第二个部分是风险管理的目标，包括战略目标、经营目标、报告目标和合法目标 我国的内部控制基本规范包括资产安全目标，但实际上报告目标和合法目标含有资产安全目标的内容，所以不再单列。，除战略目标外，其他目标的设定是否合理以及能否实现都是风险管理要考虑的内容。第三个部分是风险管理的内容即风险管理要素，虽然2004年的COSO报告中的八要素说被广泛认可，但是COSO对于风险管理内容的过分切割，割断了风险管理运行的整体性、协调性和一致性 例如，监控可能属于控制活动的一部分存在；信息系统和沟通与内部环境的界限模糊；内部审计既属于内部环境又属于监控等。为此，我们在八要素说的基础上有所更改。首先将内部环境和信息与沟通要素同列为风险管理的环境与支持要素，包括企业内部和外部对风险管理的各种影响因素；其次将监控分为一般性监控和专门监控（主要指内部审计），一般性监控看作控制活动的一部分，内部审计作为专门监控独立于其他要素之外；其次，将目标设定、事项识别、风险评估、风险应对、控制活动加上评价改进作为一个过程，该过程的六个阶段围绕风险管理的目标和计划进行，在时间上可能有所重叠，六个阶段是一个周而复始、循环往复的过程，每个过程可能会发生调整或增减。2.3 风险管理审计的构建2.3.1 风险管理审计的概念国际内部审计师协会（IIA）是内部审计职业的国性组织，所制定的职业实务准则框架，在许多国家的内部审计实务中得以推广应用，反映了内部审计理论与实务的最新发展。内部审计实务标准是IIA的重要贡献之一，他们于2001年在新的内部审计实务标准中做了如下论述：内部审计是一种旨在增加组织价值和改善组织营运的独立、客观的确认和咨询活动。它通过系统化、规范化的方法来评价和改善风险管理、内部控制及治理程序的效果，以帮助实现组织目标。在这一定义中，有两点尤其值得关注：一是内部审计的工作性质是确认和咨询活动，突出了内部审计要积极主动的以客户为中心，帮助组织实现其目标；二是内部审计的工作范围是“风险管理、内部控制和治理程序”。2003年IIA总部前执行副主席理查德钱伯斯先生（RichardF.Chambers）和2004年时任IIA理事会主席的鲍伯麦克唐纳先生（BobMcDonald）在我国的演讲中提到的国际内部审计发展的三大趋势验证了这一观点。三大趋势分别是：重新介入内部控制、推动更有效的公司治理和对内部审计师的期望在改变。“前两大趋势重新介入内部控制和推动更有效的公司治理，重视的是加强企业的制度建设”。张玉，后安然时代国际内部审计发展趋势综述J，内部审计，2005年第5期：42贺颖奇，陈佳俊（2006）对此总结为三点：内部审计在内部控制制度方面的职能进一步强化；内部审计成为改善公司治理的重要基础；内部审计活动涉及到整个业务与管理流程贺颖奇，陈佳俊，当代国际内部审计的变化与中国内部审计的发展机会J，内部审计，2006年第4期：88。这一变化与风险管理和公司治理的进展相适应，根据前面的分析，内部控制和公司治理的核心是对风险的评估与应对，风险管理是内部控制和企业内部公司治理的外在表现，而内部控制和内部公司治理则是风险管理的内在追求。对内部审计师的期望在改变，强调的是提高内部审计人员的整体素质。2003年IIA全球审计信息网络调查结果表明，认为内部审计人员的职责应该是：调查人员（44.6%）；指导顾问（57.%）；咨询专家（45.6%）；管理层的有益助手（34.7%）；其他人士（32.1%）。未来的内部审计师必须具备以下素质：多面手（Versatile）：拥有大局观，对整个组织的价值具有前瞻性考虑。置身其中（Involvement）：要参与和了解公司各项业务，发现问题及时提出解决措施，不搞秋后算帐。精通技术（Technology）：应用专业技术知识来预防和减少公司的风险，改进治理过程和提高效率。顾问（Advisor）：提供保证、培训和咨询服务。领导人（Leader）：在风险控制和改进组织的效果方面发挥领导作用张玉，后安然时代国际内部审计发展趋势综述J，内部审计，2005年第5期：48。可以看出，上述关于内部审计人员素质的论述中，主要与内部审计对企业发展的目标、影响目标的实现因素（即风险）的确认、评估、防范和管理有关。因此，内部审计人员的职责虽然多变，这种角色的变化仍然是以风险管理为中心的。与此相适应，内部审计工作开始注重风险，实施风险基础审计或风险导向审计。由于以风险为基础的内部审计与注册会计师实施的风险导向审计有着本质的不同，为了更好的体现二者的关系，我们将以风险为基础的内部审计称为风险管理审计注册会计师的风险导向审计是通过对重大错报风险的评估和对检查风险的控制以低风险、高效率地出具鉴定意见的一种方法，当前的内部审计则是对企业应对影响其目标实现的各种事项的手段、过程和结果的一种确认和咨询活动，是对企业风险管理的过程和结果的审计，并非以风险为基础或导向而实现其他目标的审计活动，因此称之为风险基础审计或风险导向审计并不合适，因此称之为风险管理审计。这一名称体现了内部审计的目标，即与风险管理相同，实现组织目标，增加组织价值；体现了内部审计的本质，即对包括控制风险和内部公司治理风险在内的影响组织目标实现的所有风险的评估、应对和控制的确认和咨询活动。根据前面对内部控制、公司治理和风险管理关系的分析，可以对风险管理审计进行如下定义：风险管理审计是一种针对特定组织风险管理实施的以帮助实现组织目标、增加组织价值的确认和咨询活动。可以看出，这一定义与IIA2001年的定义并无本质区别。 2.3.2 风险管理审计的内容当前，内部审计的发展非常迅速，根据我国已颁布的内部审计准则和我国当前实践，内部审计主要包括以下形式：传统财务审计；内部控制审计；风险管理审计；战略审计；经济责任审计；基建工程审计；舞弊审计；“3E”审计等。这些越来越新颖和复杂的审计类型无疑会使得内部审计人员在工作中顾此失彼，无所适从。但无论内部审计如何发展和变化，都没有超出上文风险管理审计的范畴，例如财务审计、合规性审计和经营审计只是对风险管理中信息目标、合法目标和经营目标实现结果的审计，战略审计则是对风险管理中战略目标实现的影响因素、控制方法和结果的审计，内部控制审计是对风险管理活动中原属于内部控制的部分进行的评价活动，等等。因此，针对上文确定的风险管理框架，构建相应的风险管理审计内容更有助于内部审计在实务中的统一和应用。风险管理审计的内容不仅包括影响企业目标实现的因素的确认、控制和应对，也包括影响企业目标实现的事项的背景、过程和结果。关于风险管理审计内容的理解，有以下几点需要注意：(1)广义的风险管理审计内容使得风险管理审计并非当前众多内部审计内容中的一种，而是内部审计发展到现在的一个阶段，各种不同的审计内容可以以风险为中心，统一于风险管理审计下。(2)风险管理审计内容的核心是风险。风险是影响组织目标实现的不确定性，因此，组织目标是风险管理审计的起点，影响目标实现的不确定因素是风险管理审计的关注点。无论内部审计向何方发展，内部审计也不能代管理者行使决策职能，坚持将影响企业目标实现的决策和执行的过程、结果作为审计内容将确保其独立性和客观性。(3)风险管理审计内容包括公司治理，但不是所有公司治理问题都能通过内部审计解决。2002年7月23日，IIA在对美国国会的建议中指出董事会、执行管理层、外部审计和内部审计是公司治理的四大基石，有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段张玉，后安然时代国际内部审计发展趋势综述J，内部审计，2005年第5期：44-45。当经理层背离董事会时通过内部审计向董事会负责可以解决董事会对经理层的监督问题，如果内部审计向经理层负责将很难发挥这一作用。而我国公司治理的主要问题是一股独大、内部人控制问题，董事长兼任总经理的情况普遍存在，不同于美国的强经理层、弱董事会的情形，受内部审计组织结构的限制，内部审计在公司外部治理不到位的情况下很难发挥作用。因此，一方面，公司治理是内部审计发挥作用的外部环境，另一方面，内部审计能在一定程度上提高公司治理水平。(4)风险管理审计的内容并不局限于对风险管理机制自身的审计，而是包括风险管理实施环境、实施过程、实施结果在内的所有内容。如经济责任审计、基建工程审计等均可理解为对风险管理实施结果的审计。可以看出，强调对经济责任和基建工程的事后审计不如加强对经营管理、基建工程风险控制的评估和改进。将内部审计内容统一于风险管理审计下更能从源头改善企业的风险管理水平，提高经济运行效果。在风险管理审计下，传统审计的主要目的不再是“评价和奖惩”，而是为了发现并降低风险。2.3.3 风险管理审计的职能内部审计自19世纪20年代出现以来，其内在职能随着自身条件和外部经济环境的发展而不断改变。IIA自成立以来大部分时间都将内部审计定义为“一种独立评价活动”，也说明虽然内部审计的职能发生了巨大变化，但主要还是以监督、评价职能为主，只不过是监督、评价的内容有所变化。IIA在1999年提出了全新的定义后，内部审计的职能由原来的“评价”调整为“确认”和“咨询”。 内部审计职业实务准则词汇表中将确认定义为：客观检查相关证据以向组织提供有关风险管理、内部控制和治理程序等方面的独立评价，可以认为是确认的业务类型包括：财务审计、业绩审计、遵循审计、系统安全审计以及审慎性调查审计。内部审计活动向组织有关部门提供咨询服务一直存在，如对组织相关内部控制的改进提出建议，但是将咨询职能提到与确认职能并列的高度尚属首次。内部审计职业实务准则词汇表中将咨询活动界定为：提供建议及相关的客户服务活动，其性质与范围通过与客户协商确定，目的是在内部审计师不承担管理层职责的前提下增加组织价值并提高组织的运作效率。具体包括：进行内部控制培训，为管理层提供关于新系统的控制建议，起草相关政策，以及参与质量管理小组等。虽然咨询的内容非常广泛，但主要是在内部控制和风险管理方面提供服务。从上述论述可以看出，内部审计职能涉及两组类似的概念：确认和咨询；评价和建议。确认活动一般包括三方，内部审计人员作为独立的第三方对被审计者进行审计以向委托方提供确认活动；而咨询则是指仅涉及委托方和内部审计者之间的活动。确认活动必然包括评价活动，但是否提供建议则视情形而定；但咨询活动一般以各种形式的建议存在，是否进行评价则视情况而定。影响内部审计独立性的并非咨询活动本身而是内部审计师提供的建议。作为一个增值部门，内部审计与民间审计的差距越来越远大。不能要求内部审计的独立性如注册会计师审计一样严格，而是要确保内部审计师所作出的评价和建议得到恰当反应，以降低企业风险。因此，无论是确认职能还是咨询职能提出的建议，业务部门都应通过被审计者、咨询者及其上级的独立判断后再决定实施，能在很大程度上避免其对独立性的影响。第3章 风险管理审计应用条件分析作为内部审计发展的最新模式，风险管理审计的贯彻执行，有赖良好的内外部环境。具体来说，风险管理审计的应用条件包括三点：首先，作为风险管理审计的主体，内部审计要做到组织健全、地位明确。第二，作为风险管理审计的执行者，内部审计师要不断提高自己的专业胜任能力。第三，作为风险管理审计实施的背景环境，要能支持与适应内部审计的发展水平。3.1 风险管理审计的组织条件3.1.1 风险管理审计的组织设置原则关于内部审计机构的具体设置形式，我国没有强制规定。中国内部审计协会在2003年公布的内部审计基本准则中只是强调“内部审计机构的设置应考虑组织的性质、规模、内部治理结构及相关规定”，但同时要求“内部审计机构和人员应保持独立性和客观性，不得负责被审计单位经营活动和内部控制的决策与执行”。同样，内部审计机构保持独立性和客观性是风险管理审计发挥作用的必要条件。Jame F.Mutcher认为：客观性是一种精神状态，一种偏见没有不恰当地影响评价、判断和决策的精神状态；独立性则是指不存在威胁客观性的重大利益冲突 Andrew D.Bailey,Audrey A.Gramling,Sridhar Ramamoorti等著，王光远等译，内部审计的思想R，北京：中国时代经济出版社，2006:192，独立性依附于客观性。客观性是应用风险管理审计的基础，独立性是客观性实现客观性的重要保障，风险管理审计组织设置考虑的主要是独立性，确保了独立性才能确保客观性。内部审计实务标准（IIA，2001）中的1110条款“机构的独立性”对此进行了阐述：审计执行主管在机构内应向能使内部审计活动实现其职责的阶层报告；审计执行主管应该对机构中拥有充分权力的人负责；审计执行主管的任免，应由董事会一致同意之后确定。具体来说，就是要求内部审计机构的设置应保证内部审计职能的充分发挥；内部机构应能够向相应责任人报告，以期得到恰当的反应对此，IIA认为理想的情况是：对审计委员会、董事会或其他相关治理机构报告业务工作，向首席执行官报告行政工作。；内部审计机构负责人的任免应该由内部审计工作的控制部门负责，不能单独考虑确认职能或咨询职能的实现 IIA规定由董事会一致同意，即体现了内部执行董事和外部独立董事的全体意志。根据国内外情况，在公司治理结构中，内部审计的组织模式主可分为以下五种(如下表3.1示)。这五种模式在独立性、监督有效性和兴利、增值效果方面各有特点。表3.1内部审计的组织模式分类表组织模式独立性监督有效性兴利增值效果1隶属于经理层，向首席执行官报告较差对经理层难以监控好2隶属于董事会，向董事长报告稍好对董事会自身难以监控稍好3隶属于董事会，向审计委员会报告好对执行董事有一定的监控作用，受限于独立董事的地位一般4隶属于监事会，向监事长报告好对董事会的监控作用较强，受限于监事会的作用较差5向治理机构报告业务工作，向首席执行官报告行政工作较好监督效果较好，受限于内部审计部门的工作平衡较好资料来源：作者编制隶属于经理层，向首席执行官报告独立性和权威性较差，对经理层难以监控，但是对公司的兴利、增值效果好 公司内部控制与风险管理的建立、实施和具体的经营管理活动都需要经理层的参与，董事会和治理层并不直接参与，而是通过战略层面的管理或行使消极权力进行管理的。当内部审计隶属于经理层时，由于内部审计部门可以得到经理层的授权，通过对内部控制、风险管理的评价来改进内部控制和风险管理，或者通过业务审计来提高经营效果和效率，以达到兴利增值目的。如果内部审计隶属于董事会和治理机构，内部审计将无法得到合法有效的授权以在业务层面增加公司价值。因此本文假设与管理层联系越密切，其兴利、增值效果越好。隶属于董事会，向董事长报告类似于第一种情形，但由于对经理层的监控作用，会导致内部