（企业管理专业论文）企业风险管理导向审计研究.pdf

华北电力大学硕十学位论文 摘要 风险管理导向审计是企业内部审计的发展方向。本文借鉴国内外关于企业风险管理 导向审计已有的研究成果，采用以规范分析为主、实证分析为辅的研究方法，由企业的 战略及目标、企业与审计人员的风险容忍度等因素出发，研究企业不同层面的风险识别、 评估及其量化方法及对企业流程进行分析、评价的方法，设计审计测试阶段的程序，研 究企业风险管理基础结构的评估方法，介绍审计建议的提出与其执行情况的后续审计与 监督。最后，文章结合若干电力企业的实例，对企业若干环节的风险管理导向审计进行 案例研究。 关键词：风险管理，内部审计，风险管理导向审计 a b s t r a c t r j s k - m a n a g e m e m - b a s e da u d i t i n gi st h eo f i e n t a t i o no ft h ed e v e l o p m e n to f e n t e r p r i s ei n t e r n a la u d i t i n g t h ea n i c l eu s e sf o rr e f e r e n c et h es u b s i s t e mr e s e a r c h a c h i e v e m e n t si nt h ef i e l do fe n t e r p r i s er i s k m a n a g e m e n t - b a s e da u d i t i n gi n l a n da n d a b r o a d ，a d o p t ss y n t h e t i c a u yt h er e s e a r c hm e t h o d so fn o m a t i v ea n a i y s i sa n dp o s i t i v e a n a l y s i s i tt a k e st h ef a c t o r s ，s u c ha se n t e r p r i s es t r a t e g ya n do b j e c t i v e s ，t h er i s k t o l e r a l l c eo ft h em a n a g e r sa i l da u d i t o r s ，a st h es p r i n g b o a r d ；r e s e a r c h e so nt h em e t h o df o r i d e n t i f y i n ga n da s s e s s i n gr i s ko nd i f 兜r e n t l a y s ；s t u d i e so nt h ea n a l y s i sa n de s t i m a t i o no f e n t e r p r i s ep r o c e s s e s ；d e s i g n st h ea u d i tt e s t ；w o r k so v e rt h ee v a l u a t i o no fm er i s k m a n a g e m e n ti n f r a s t n l c t u r e s ；i m r o d u c e st h ep r o m o t i o no ft h ea u d “f i n d i n ga n da l s ot h e f b l l o w u p s a tt h ee n d ，t h ea r t i c l ed o e sc a s es t u d ya b o u ts o m ep a r t so ft h ee n t e r p r i s e r i s k m a n a g e m e n t b a s e da u d i t i n g ，i m e g r a t i n gw i t hs e v e r a ic a s e so fe l e c t r i cp o w e r e n t e r d r i s e s z h a n gj i n g ( e n t e r p r i s em a n a g e m e n t ) d i r e c t e db yp r o f z h a 0b a o z h u k e yw o r d s ：r i s km a n a g e m e n t i n t e r n a i a u d i t i n g ，r i s k - m a n a g e m e n t b a s e d a u d i t i n g 声明 本人郑重声明：此处所提交的硕士学位论文企业风险管理导向审计研究，是本 人在华北电力大学攻读硕士学位期间，在导师指导下进行的研究工作和取得的研究成 果。据本人所知，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得华北电力大学或其他教育机构的学位或证书而使 用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说 明并表示了谢意。 学位论文作者签名：毕日期： 关于学位论文使用授权的说明 本人完全了解华北电力大学有关保留、使用学位论文的规定，即：学校有权保管、 并向有关部门送交学位论文的原件与复印件；学校可以采用影印、缩印或其它复制手 段复制并保存学位论文；学校可允许学位论文被查阅或借阅；学校可以学术交流为 目的，复制赠送和交换学位论文；同意学校可以用不同方式在不同媒体上发表、传播 学位论文的全部或部分内容。 ( 涉密的学位论文在解密后遵守此规定) 作者签名： 日期： 丝 l 导师签名： 日期： 缝业 华北电力大学硕士学位论文 1 1 研究背景 第一章引言 近年来，随着社会经济的发展，国际经济金融联系加强，特别是全球经济金融 一体化程度加深，企业经营环境日趋复杂，企业所面l 临的风险的不断增加，风险管 理逐渐成为企业管理的核心。企业必须准确而全面地识别、分析自身所面临的各种 风险，对其进行衡量与评估，并采取恰当的措施予以应对。自2 0 世纪9 0 年代起， 西方一些大型企业内部审计部门开始对企业的风险管理进行评估与监督，以实现企 业经营目标的安全性、效率性和效果性。纵观其近十几年的发展，两者的融合正是 企业提高经营管理效率的客观需要和追求自身发展的必然结果。 在整个风险管理过程中，风险管理方案的制定、执行、评估与监督等方面需要 进行合理分工，以保证风险管理的效率，涉及多个部门的沟通和协调，这就需要一 个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评 估和监督的特殊职能，正好满足了这一要求。对风险的认识、防范和控制需要从全 局考虑，内部审计部门不从事企业具体业务，其活动独立于业务管理部门，这就使 得它们可以从全局出发、从客观的角度对风险进行识别，及时建议管理部门采取有 效措施控制风险。内部审计拥有的风险管理、内部控制的知识与技能，能帮助公司 治理实现其核心目标：控制风险以促进组织目标实现。 面对经济全球化的浪潮，企业日常经营管理和财务管理逐渐走向正规化和科学 化，内部审计也从内部控制制度的日常监督中解脱出来，将审计重点集中于和组织 战略目标相关的未来风险上。这就要求内部审计人员不仅要有扎实的财务会计知 识，更要具备创造性和敏锐的风险意识。内部审计首先是对组织目标及所在行业的 特点进行战略分析对风险大、收益高且对组织目标实现有重要影响的领域重点审 计。此时的内部审计可以说是种战略审计，并担负起风险管理的重要职责。风险 管理导向审计是内部审计的重要组成部分，是对企业的风险管理活动进行独立的、 综合的、建设性的、面向未来的检查和评价，目的是帮助管理当局改进决策，避免 和降低风险，提高获利能力和经营能力。 自从英国巴林银行、美国安然公司、世通公司等相继暴露出严重的财务丑闻后， 现代企业风险管理成为国际上关注的一个焦点问题。美国在很短的时间内出台了萨 班斯法案，要求所有到美国上市的企业都必须建立风险内控机制，以重建公司信用、 培育公众信心，随之也促进了世界范围内对企业风险管理的重视。此外，由国际 内部审计协会( i i a ) 、美国注册会计师协会( a i c p a ) 、美国会计学会( 从a ) 、管理 华北电力大学硕+ 学位论文 会计师协会( i m a ) 、首席财务官协会( f e i ) 联合成立的发起者组织委员会( c o s 0 ， c o m m i t t e eo fs p o n s o r i n go r g a n i z a t i o n so ft h et r e a d w a yc o m m i s s i o n ) 也从2 0 0 1 年开始委托美国普华永道公司组织编写企业风险管理整体框架( e n t e r p r i s e r i s km a n a g e m e n t i n t e g r a t e df r a m e w o r k ) ，并于2 0 0 4 年9 月正式发布，用以 指导企业的全面风险管理活动。 在我国，随着中行、建行等国有银行多次重大的贷款舞弊案件以及新加坡中航 油破产等丑闻的发生，如何加强中国企业的全面风险管理更是在短时间内成为国人 关注的热点。但同时，中国目前却普遍缺乏对于风险及风险管理的正确认识。风险 管理对绝大多数中国企业而言，还是个新概念。目前，在1 6 0 余户中央企业中仅有 极少数企业因境外上市需要，正在按照美国萨班斯法案的要求建立风险内控机制。 国务院国资委2 0 0 6 年6 月2 0 日公布了中央企业全面风险管理指引。其中 规定，具备条件的企业，董事会下可设风险管理委员会。企业总经理就全面风险管 理工作的有效性向董事会负责。国务院国资委将要求旗下所有中央企业在内部设置 专门部门，以防范和控制风险。这一部门将由各中央企业的“一把手”直接领导。 文件还将对中央企业从事一些金融、期货等衍生品投资交易做出限制性规定。 国资委有关负责人指出，随着经济全球化的发展，企业在市场竞争中将面对各 种各样的风险，如何辨识、评估、监测、控制风险，已成为大家共同关心的热点问 题。在一些发达国家，风险管理的理念、技术和手段，已经应用于企业战略制定、 投融资决策等，而在我国，风险管理是企业管理中的一个相对薄弱环节。风险意识 不强，风险管理工作薄弱，是企业发生重大风险事件的重要原因。国资委针对不同 中央企业不同的内部管理基础，对其风险管理工作做了区别对待，“具备条件的企 业，比如已建立规范董事会的，要尽快建立起全面的风险管理体系，而目前不具备 条件的企业，则可分步实施。” 指引提出中央企业开展全面风险管理工作的总体原则、基本流程等，并提 出风险管理的目标，包括确保将风险控制在与总体目标相适应并可承受的范围内； 确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供 真实、可靠的财务报告；确保企业遵守有关法律法规；确保企业有关规章制度和为 实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动 的效率和效果，降低实现经营目标的不确定性；确保企业建立针对各项重大风险发 生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。“ 指引借鉴了发达国家有关企业风险管理的法律法规、国外先进的大公司在 风险管理方面的通行做法，以及国内有关内控机制建设方面的规定，对于中央企业 建立健全风险管理长效机制，促进企业稳步发展，防止国有资产流失，保护投资者 利益，都具有一定的意义。 当前，企业已更加清楚地意识到仅仅从财务会计角度出发来实施内部控制已无 2 华北电力人学硕十学位论文 法适应现代企业管理变革的需要。因此，从内部控制走向全面风险管理是必然趋势。 而作为企业内部控制的重要监督力量，企业风险管理导向审计对企业的生存和不断 发展有着极其重要的意义。 1 2 研究动态 虽然全面风险管理的实践活动在跨国公司中已有一段时间，但对其全面的研究 还比较少，国内的研究亦刚起步。 从国际上看，风险管理成为组织中的关键流程，促使内部审计的工作重点不再 是测试控制，而是确认风险及测试管理风险的方法。顺应于内部审计理论及实务的 变化，国际内部审计师协会( i n s t i t u t eo fi n t e r n a la u d i t o r ，i i a ) 在1 9 9 9 年对 内部审计重新定义，并建立了新定义基础上的内部审计专业实务框架( s p p i a ) 。i i a 对内部审计做出了一个具有变革意义的新定义：“内部审计是一种独立、客观的确 认与咨询活动，它的目的是为组织增加价值并提高组织的运营效率。它通过采取系 统化、规范化的方法，评价风险管理、风险控制及其治理程序，提高它们的效率， 从而帮助实现组织的目标。” 在美国，从2 0 0 1 年底安然财务丑闻开始，不断爆发的公司财务丑闻案使美国 资本市场陷入了重重危机中，从企业破产到对投资者的欺诈等等，各种各样的问题 层出不穷。在这样的背景下，2 0 0 2 年6 月美国国会参议院银行委员会通过了2 0 0 2 年上市公司会计改革与投资者保护法案( 也称2 0 0 2 年萨班斯一奥克斯利法案) ， 2 0 0 2 年7 月成为正式法律。该法案中的“4 0 4 条款”规定上市公司管理层必须建立 并维持充分的内控结构和程序以进行财务报告，同时出具审计报告的会计师事务所 必须为管理层的内控保证做出证明并披露所有“严重缺陷”，违者将面临严厉的惩 罚措施，对加强企业内控机制提出了严苛的要求，为提升企业内部审计的地位创造 了条件。 c o s 0 组织于2 0 0 4 年推出了企业风险管理整体框架( 简称e r m ) 。该框 架就是在1 9 9 2 年报告的基础上，结合萨班斯一奥克斯法案的相关要求扩展研 究得到的。由内部控制总体框架向企业风险管理整体框架的演迸， 体现了将原来的执行风险转化为战略制订风险控制和执行风险控制相结合的趋势。 该框架强调企业风险偏好与其战略的匹配，将内控框架构成的要素拓展到内部环 境、目标确定、事项辨认、风险评估、风险应对、控制活动、信息与沟通、监督八 个要素，并将企业的各利益相关者都纳入框架中，体现了企业内控与风险管理在为 利益相关者创造价值中的重要性。 华北电力人学硕十学位论文 图1 1企业风险管理整体框架图2 8 l e r m 框架对内部控制的定义明确了以下内容：( 1 ) 是一个过程；( 2 ) 被人影响； ( 3 ) 应用于战略制定；( 4 ) 贯穿整个企业的所有层级和单位；( 5 ) 旨在识别影响组织 的事件并在组织的风险偏好范围内管理风险；( 6 ) 合理保证；( 7 ) 为了实现各类目标。 对比原来的定义，概念要细化的多。由于新c o s o 报告提出了风险偏好、风险容忍 度等概念，使得的定义更加明确、具体。同时，又涵盖了内部控制所有合理的内容。 框架的一个最大的变化，就是将企业内部控制更名为企业风险管理，这是具有 特殊意义的。事实上，包括中航油公司在内，几乎所有的公司都有一大套管理制度， 这些制度大到包括对外投资、小到包括差旅费报销等。企业董事会与管理层往往认 为这些制度的贯彻与执行就是内部控制的所有内容。其实，企业的管理资源是有限 的、控制也是需要成本的。如果将企业主要精力放在所有细小的、或微不足道的控 制上，往往会舍本求末，表面上控制得很好，但浪费了许多管理资源，还会忽视企 业重大风险。事实上，中航油公司曾在2 0 0 3 年被新加坡证券监督部门列为最透明 的企业，说明该企业确实在细节方面的内部控制做得非常周到。但是，从事后暴露 出的结果来看，恰恰是在经营风险管理上出了问题。因此，框架要求董事会与管理 层将精力主要放在可能产生重大风险环节上，而不是所有细小环节上，将风险管理 作为内部控制的最主要内容，是非常值得关注的变化。 为了保证所设计的制度能够得到执行，框架中的控制活动与监督两个要素再一 次强调了通过控制活动的设置，建立独立的监督部门来保证框架实施的可行性。这 两个要素包括建立、实施某些程序，从而保证有效地进行风险反应。控制活动在整 个组织的各个层级和各种活动中都发生，包括对申请和一般信息技术的控制、组织 控制、经营控制、人事控制、定期检查、设施和设备的控制等不同方法。而监督则 指企业整个风险管理过程均应被监督，并且在必要时对所发现的偏离进行必要修 华北电力大学硕士学位论文 正；或者通过正在实行的管理活动以及分别评价风险管理过程，双管齐下监督其他 要素的有效性。这些内容均是监督要素的核心。作为一个现代企业组织，最为忌讳 的是在开展业务过程中出现暗箱操作行为，这往往是发生舞弊的前奏。因此，将所 有业务活动分离出授权、批准、执行、记录及监督，并将这些职能分别授予不同部 分执行，形成一个相互牵制、相互制约的过程，是内部控制的精髓。 通常，在比较规范的海外公司中，为了保证内部控制的实施，除财务上必须既 向公司总经理汇报、又应向董事会汇报外，还设立一个不受总经理制约的内部审计 委员会。这样的机构设置，保证了董事会的知情权与干预权，保证企业的运作以企 业制度为框架、以股东利益最大化为最终目的。而中航油事件正是体现了：保证制 度框架的贯彻实施，比设计一个内部控制更为重要。 就审计理论发展的历史看，内部控制理论发展紧密地反映了内部控制实践的发 展，从“内部牵制”论，发展为“内部控制系统论”，接着进化为“会计控制与管 理控制”论，继而推进到“内部控制结构论”，最后扩充为“内部控制要素论”， 直至本世纪初进入“内部控制风险论”。从这种理论发展的历史脉络中可以发现， 内部控制的定义及其理论研究，更多地服从于独立审计实务的需要，甚至可以说是 为了恰当地界定注册会计师对一个单位内部控制制度所承担的审计责任。一方面增 强了内部控制理论研究的针对性和务实性，解决了审计实务发展面临的难题，但另 一方面也大大限制了内部控制研究的视野，使得各种内部控制研究结论与社会经济 及公司发展现实需要相去甚远。 内部控制的定义尽管首先由审计界提出，但把内部控制视作审计研究对象，人 为地扭曲了内部控制的本质，应当把内部控制在理论与方法上从审计范畴中解放出 来。“”一个组织建立内部控制制度是其内在需求，而不是为了减少审计费用而致。 若要全社会关心组织内部控制制度建设并督促实施，若要使内部控制真正成为公司 的一种基础性制度，内部控制理论必须首先打破局限于会计与审计领域的传统认 识，从整个社会与组织运行高度来重新审视内部控制原理。 会计审计意义上的内部控制，以纠错防弊、守法、提高效率为主要目标，而以 “纠错防弊”为基本目标，从而形成了目前以岗位分设、授权控制、流程( 环节及 数值) 规范和手续牵制为主要内容的内部控制体系，较好满足了规范会计流程、保 障会计信息系统质量的要求。但目前会计审计意义上的内部控制，人为地缩小管理 控制的作用口径，其本身发展也面临着目标定位方面的挑战。 风险管理理论于2 0 世纪8 0 年代中期被介绍到我国，首先在金融企业得到运用 和发展，但尚未受到其他企业的重视，大多数企业未设专门的风险管理机构及人员。 企业内部审计主要将大部分精力用于财务数据的真实性、合法性的查证和生产经营 的监督，管理审计包括风险管理导向审计尚未与公司治理相结合、成为公司治理的 有机部分，未能得到广泛的开展。从世界范围看，企业的风险管理导向审计尚处在 华北电力大学硕七学位论文 发展阶段，还有相当一部分的企业没有实行，风险管理导向审计的理论研究方面的 工作及成果还比较少，风险管理导向审计的发展还面临着诸多问题，如企业风险意 识淡薄、风险管理的组织架构不完善、风险管理导向审计定位不清、缺乏较为完备 的法律法规政策的规范、约束及保障等。 中国内部审计协会于2 0 0 5 年3 月发布了内部审计具体准则第1 6 号风险 管理审计，自2 0 0 5 年5 月1 日起施行。准则阐述了风险管理审计的一般原则及对 风险管理进行审查和评价的具体准则。它是对审计企业风险管理的程序的原则性指 导，而非将风险管理理念真正内化入审计行为中。准则中关于风险管理与内部控制 关系的解释与c o s 0 存在差异。准则的第四条指出：“风险管理是组织内部控制的基 本组成部分，内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之 一。 而c o s o 的e r m 框架则将企业内部控制更名为企业风险管理，涵盖了内部控制 所有合理的内容，深化了内部控制理论研究。如此，在丰富了公司治理理论研究的 同时，指出只有把内部控制、风险管理、风险管理导向审计置于公司治理这一广阔 空间中去研究，才能得出对实践有现实意义的理论成果。 华北电力大学硕十学位论文 第二章风险、风险管理、风险管理导向审计的概念 2 1 关于风险 1 9 0 1 年，美国的威雷特在风险与保险的经济理论中，第一次为风险下了这 样的定义，“风险是关于不愿发生的事件发生的不确定性之客观体现”。这一定义强 调了两点：其一，风险是客观存在的，是不以人的意志为转移的；其二，风险的本 质是“不确定”。 风险是事件的不确定性所引起的，由于对未来结果予以期望所带来的无法实现 期望结果的可能性。简言之，风险是结果差异引起的结果偏离，即期望结果的可能 偏离。 不确定性是风险的条件因素，且不确定性具有二重性态客观不确定性和主 观不确定性。前者是指事件未来结果的不确定性，它是不依赖人们主观意识而存在 的客观环境或客观条件变化的产物。后者是人们对客观事件未来结果的主观预计， 是凭借人类有限智慧所推断的客观事物外表形式。而对未来结果的期望，是风险产 生的根源。事件结果本身并不存在有利与不利的性质差别，有利与不利取决于人们 的意愿和接受能力。风险的实质，是结果偏离而不是结果差异。 2 2 关于风险管理 风险管理指人们对风险的认识、控制和处理的主动作为。它要求人们研究风险 发生和变化规律，估算风险对社会经济生活可能造成损害的程度，并选择有效的手 段发期用最小的成本代价，获得最大的安全保障。它围绕企业分析、评估、应对风 险的能力及其管理过程，以帮助企业成功化解风险、甚至将风险转化为机会为目标。 法国科学管理大师亨利法约尔于1 9 1 6 年在其著作工业管理与一般管理 一书中，首先将风险管理思想引进企业经营管理中，但其未形成完整的风险管理体 系。 1 9 5 2 年，美国学者加拉格尔在其调查报告费用控制的新时期一风险管理中， 首次提出并使用“风险管理”一词，到了6 0 年代，很多学者开始系统研究风险管 理。 1 9 6 3 年，美国出版的保险手册刊载了由梅尔和郝奇斯著的“企业的风险管 理”，引起了欧美各国的普遍重视。此后，风险管理也作为一门系统的管理科学在 美国兴起。而概率论和数理统计的运用，使风险管理从经验走向科学。 华北电力大学硕士学位论文 2 3 关于风险管理导向审计 2 3 1 内部审计的发展历史 纵观世界内部审计发展历史表明，内部审计是因受托责任关系的发生而发生， 因受托责任关系的发展而发展的。也就是说，受托责任关系的发展主导了内部审计 功能的变迁，内部审计发展史也就是受托责任关系的发展史。1 内部审计可谓源远流长，内部审计概念自从有委托关系以来就一直存在。但直 到上个世纪3o 年代，经营性企业和独立审计师才承认它的重要性。那时的内部审 计师主要是检查会计记录，发现财务错弊。内部审计师只是外部独立审计的伴随者 和附合者。在此后一段时间内，尽管内部审计师积极地从事财务事项审计和内部控 制检查，为管理当局提供了极有价值的服务，但内部审计职业并没有得到人们的广 泛承认。 到上个世纪40 年代，内部审计职业发生了巨大的变化，首先是由24 位具有 长远发展眼光的内部审计师于1941 年组成了内部审计师协会，紧接着协会创办 了会刊内部审计师杂志。于19 47 年7 月15 日发布的第1 号“内部审计师 责任说明书”( s t a t e m e n to f r e s p o n s i b i l i t i e so f t h e i n t e m a l a u d i t o r ) ，简称s r i a ，是 内部审计职业发展史上的里程碑。其后，随着社会经济的发展，内部审计的作用领 域不断扩展，除了对财务收支进行事后审计监督以外，还有重点地开展事前审计， 开始参与本企业的经营决策活动，进行管理咨询，提出改善经营的建议，发挥富于 建设性的作用。内部审计的职能定位也逐步由“监督主导型”向“服务主导型”转 变。 在当今资本市场中，企业的经营风险就是审计师的审计固有风险，企业的经营 失败、舞弊、违法行为等所引发的风险对会计师而言往往是最不可控而又是最致命 的，这就需要我们从公众期望及现代资本市场规律和公司治理框架等更高的角度来 重新认识审计风险。 传统的审计理念和模式，由于其更多的是为了关注财务报表风险而关注报表和 企业账目，而不是从企业经营风险，管理层风险管理的角度来关注财务报表，因而 无法实现风险控制的有效性，也使审计在为整个财富价值链中的价值无法进一步得 到体现。传统的审计方法除了在理念存有不足外，还欠缺足够的可以用来识别现代 企业经营风险及其控制的审计工具、模型和方法。 华北电力大学硕士学位论文 卫 翌翌 至堕 至圈 图2 一l内部审计的发展 2 3 2 风险管理导向审计与风险导向审计 目前，我国企业对于风险管理及风险管理导向审计的认识尚不十分清晰，常将 风险管理导向审计与风险导向审计等同起来。实质上，二者存在着显著的区别。 就出发点而言，风险管理导向审计从战略出发，以企业战略为基础，关注企 业风险，具有全局性的特点；而风险导向审计从风险出发，更注重于审计行为自身 的风险。 就目标而言，风险管理导向审计是为了保障为实现企业目标与优化或缓和风 险而采取的风险管理措施的效果；而风险导向审计的目标是保障缓和关键风险的控 制措施与过程的效果。 就方法而言，风险管理导向审计主要包括明确目标，识别相关风险，确定风 险容忍度，鉴定绩效与风险措施，评价风险管理效果；风险导向审计包括识别企业 关键风险，评估缓和风险的控制行为。 就关注点而言，风险管理导向审计关注于目前的风险管理效果与所追求的风 险管理效果之间的差距；风险导向审计关注于应采取而未采取的缓和关键风险的控 制措施与过程。 就测试方法而言，风险管理导向审计将实质性测试与符合性测试相结合，关 注于关键目标及与其相关的风险；风险导向审计虽同样结合实质性测试与符合性测 试，但仅关注关键风险。 就审计结果而言，风险管理导向审计将风险管理效果与潜在风险及企业关键 华北电力大学硕十学位论文 目标联系起来，针对审计过程与审计发现提出审计建议；风险导向审计所提供的管 理建议仅关于关键风险的例外情况或错误。 风险导向审计的主要理念是在全面理解企业经营风险的前提下，识别出固有审 计风险，并进一步评价企业对这些固有风险的控制措施；而针对企业控制不足或无 效部分而形成的剩余风险，审计人员需要制定相应的策略和措施，从而将其降至可 接受水平。因此，风险导向审计主要可分为三大步骤，即风险识别、风险控制的评 价、剩余风险的确定和管理。 风险管理导向审计则是风险导向审计的延伸，它将全面风险管理的理念融入到 了风险导向审计的各个步骤。它基本吸收了风险导向审计各种特点，并在此基础上 扩大审计关注点到企业的主要战略目标、管理层对风险的容忍度、主要风险评价指 标以及企业绩效评价分析等涉及现代企业整体风险管理领域的多方位角度。而且风 险管理导向审计已经开始关注为实现企业战略目标应如何进行风险优化，如企业对 哪些固有风险可以实行避免，转移或接受并予以控制的风险管理策略。 风险导向审计并非审计工作的万能模式，亦非最后模式。并不是内审的一切工 作都应以风险为导向，离任审计、合规性审计很大程度上属于遵循性审计( 当然也 要考虑事件的风险损失) ，未必适合采用风险导向。此外，以风险导向总体上还是 问题型审计。以风险导向关心的重点还是审计对象对价值的负影响，即损失，而不 是j 下影响，即增值。 风险管理导向内审的核心是通过监督发挥内部审计的增值作用，而其增值作用 的作为领域比风险导向审计更为宽泛，如涉及管理是否真正有效地履行职责、管理 效率问题等。工作效率不高不一定会带来损失，但它可能影响组织或员工创造更多 的价值。 降低风险、提升价值是风险管理导向审计的整体目标。需要说明的是，这罩所 指的降低风险，不仅仅指审计风险降低，而是通过企业自身的风险管理活动及审计 人员的风险管理导向审计，降低现代企业在创造财富的过程中所面临的风险，进而 使得审计的风险也相应地降低到可接受水平；与此同时，与风险降低相对应的是价 值的提升，即企业创造出更多的财富的同时，作为这一财富创造过程的价值链中的 一个重要环节，随着整个价值链价值的增加，风险管理导向审计的自身价值也得到 了提升。 华北电力大学硕士学位论文 第三章企业风险管理导向审计研究 风险管理导向审计概念是在现代企业研究背景下形成的，它反映了内部审计动 态发展的基本趋势和变革倾向。国内外企业的经验表明，实旎风险管理导向审计必 须具备一定的外部条件，即必须改革企业组织模式，使内部审计在企业内部具有较 高的组织地位，从而具备实施风险管理导向审计的组织保证。因此，在研究企业风 险管理导向审计整体流程前，本文借鉴国外经验，分析国内现状，对内部审计部门 的组织层级问题进行分析，研究提升内部审计部门组织层级的可能性与必要性。 在探究内部审计部门的组织层级问题的基础上，本文对企业风险管理导向审计 的整体流程进行深入分析与研究，由企业战略出发，研究不同层面的风险识别、评 估及其量化方法及对企业流程进行分析、评价的方法，设计审计测试阶段的程序， 研究企业风险管理基础结构的评估方法，介绍审计建议执行情况的后续审计与监 督。 内审部门的组 织层级问题 l 明确并理解企业战略、目标 0 企业风险识别与分析 上 业务层面风险识别与分析 上 业务流程分析与评估 上 审计测试 上 f 企业风险管理基础结构评价 审计建议形成 0 后续审计与监督 图3 一l 风险管理导向审计流程图 华北电力大学硕士学位论文 3 1 内审部门的组织层级问题 3 1 1 国外经验 构建公司治理结构的关键是在企业内部能够形成一个相互制衡的组织框架。审 计是公司治理结构的重要组成部分，因此公司治理结构对内部审计的模式有着重大 的影响。在英美等股权非常分散的国家，所有权多元化，公司组织主要由董事会和 股东会构成，市场对董事会的制约性很强。其中，董事会内由非执行董事组成审计 委员会，由审计委员会对公司的运作承担主要的监督责任，帮助董事会在企业的会 计政策、内部控制、财务报告等方面履行职责。由于引入了市场的制约力量，审计 委员会能够专注于其专业顾问的事务。而在日德等股权集中的国家，难以通过市场 对董事会进行有效控制，公司组织构成有股东会、董事会和监事会，董事会负责对 业务的经营过程监控，监事会负责监督董事会的业务执行情况。内部审计职责的履 行受到一定的限制，无法直接服务于企业经营管理。 美国企业的内部审计机构设置比较健全、完善，而且这些内部审计机构的权限 大、地位高、独立性强。表现为内部审计部门可以对公司的一切经济业务活动进行 事前、事中和事后的检查监督，可以参与企业的经营决策、分析风险因素、预测经 济前景，是管理当局的得意参谋和助手；内部审计部门在企业中具有较高的地位， 设立了审计委员会，由董事长总经理、内审机构负责人组成，负责确定内部审计的 年度计划，研究内部审计部门重大审计项目的报告，以及对问题的处理等；企业内 部审计的独立性表现在，内部审计机构遇有重大问题时，可直接向审计委员会报告， 或直接向董事会报告，在客观上，内部审计机构能够不受公司其他业务部门的影响， 独立开展工作。 澳大利亚的企业内部控制目标是管理和控制风险。澳大利亚的企业管理引入了 风险管理概念，他们认为风险与企业经营随时随地发生着联系，因此，企业管理当 局最重要的职责之一就是应对各种风险。内部审计和外部审计是风险管理系统中的 重要组成部分。企业有严格的内部审计制度。澳大利亚2 0 0 1 年公司法规定， 上市公司设立审计委员会，对公司进行管理和控制风险。其他企业内部审计师也是 通过风险管理导向审计，监督企业内部控制运行，指导企业管理。澳大利亚内部审 计师的工作目标是：资料真实、完整、合法；资产安全完整：有效控制现金；经济 有效地使用资源；保证企业达到预期目标。在内部控制的审查中，内部审计师要检 查内部控制系统是否有效地抵御了战略决策风险、财务管理风险、经营性风险、商 业性风险和技术应用风险( 包括计算机软件、硬件应用) 。 德国的内部审计一般为董事长负责制，其不仅是为了确保实现企业内部良好监 督管理和层级间有效沟通的一项制度安排，而且内审部门还可以为外部审计师就有 华北电力大学硕士学位论文 关企业内部控制和风险状况等一些问题提供必要的帮助。对于内审部门提出的建 议，被审部门应限期做出反馈。这就在组织设置和制度设计层面保证了内审部门具 有较高的地位和权威性。在独立性方面，许多企业对内审部门实行岗位轮换制，这 样既有利于内审人员在全面地了解企业的具体情况的基础上做出更客观的判断，同 时还能增进内审部门与其他部门的交流，为内部审计创造良好的工作环境。此外， 内审部门还积极向企业外部利益相关者提供有关企业风险管理等一些信息，以增强 他们对企业内部公司治理的信心，协调他们与企业管理当局的关系。可见，德国内 部审计的发展与公司治理的完善处于良好的互动循环中。 3 1 2 国内现状 1 9 8 5 年我国企业内部审计开始发展。但当时的企业尚未真正成为自主经营、自 负盈亏的商品生产经营者，更没有成为严格意义上的独立法人实体与市场竞争主 体，在企业内部也没有真正产生加强经营管理与实施内部控制的客观需要。这种背 景下的内部审计，实际上是一种行政命令的产物。加之我国公司法、审计法 等法规也并未就企业内部审计机构的设置提出具体要求和明确规定，在实践中，内 部审计就处于既代表国家对企业进行监督，又代表企业高层经理对下属各部门、各 分支机构的财务收支及其有关经济活动进行监督的尴尬的地位。 企业的监督机构大部分只设有内部审计部门，而且基本都处于与其他职能部门 平行的地位，有些中小企业甚至还没有独立的内审部门。由于对内部审计独立性的 本质特征认识不足，许多内审机构设置不合理，诸如内审机构附属于公司办公室、 附属于会计部门或与其合署办公、附属于纪委、监察、法律部门或与其合署办公、 临时由某一部门领导等等。这种状况导致了内部审计机构和人员受各方利益牵制， 难以开展独立的经济监督活动，严重制约了内部审计的独立性，因而审计的结论往 往也有失客观公正。 目前，我国公司内部审计管理模式从内部审计机构的隶属关系上看，大致可以 分为以下五种模式。第一种是内部审计机构隶属于财务副总( 财务总监) ；第二种 是内部审计隶属于总经理( 总裁) ；第三种是内部审计机构设在监事会；第四种是 内部审计机构隶属于董事会；第五种是董事会领导的审计委员会。 以上五种模式各有利弊。第一种模式内部审计机构的设置，无论从层次、地位 和独立性来讲，都是较差的，内部审计机构只是开展部分日常性的审计工作，不能 直接对公司决策者的决策行为、经济行为和总经理( 总裁) 的经营管理行为进行有 效的监督检查，不能很好地实现审计的根本目的。第二种模式内部审计机构的设置 层次、地位和独立性稍高，虽有利于企业直接的生产经营活动进行审计，但不利于 对企业董事会成员的决策及其经济行为进行监督，审计范围相对窄小，审计工作受 华北电力大学硕士学位论文 到一定限制。第三种模式虽然从独立性和设置层次上看都很高，但实际上由于监事 会的权责不明、权力偏小等原因而使监事会形同虚设，监事会对公司董事会决策层 人员和经理层经营管理人员缺乏应有的监督检查；第四种模式与第五种模式其实功 能基本相同，从实施风险管理导向审计的要求上看，以这两种组织模式为最佳，这 是因为内部审计师向最高权力机构作报告，可以提高他们的独立性，能够把检查、 评价企业经营情况的信息直接传输给企业的主要决策者，以助于其恰当决策。 从理论上讲，监事会有更大的权利行使所有者赋予的监督权，董事会则有更大 的权利行使决策权。作为保护所有者权益的内部审计，行使监督权应归于监事会的 领导，以在公司内部形成一个完整的监督系统。这种机构设置的前提是公司监事会 有充分的权力与能力行使所有者的监督权。但两种内部审计模式的层次地位虽然较 高，不足之处是其独立性值得怀疑。因为我国改制后一部分公司监事会存在监督权 的行使缺乏力度、“形同虚设”等问题；此外，我国目前公司制企业的董事会与经 理层人员的高度重合，董事会成员大多兼任经营管理人员，事实上会形成自己监督 自己的矛盾，这与审计监督检查的独立性原则是不相符合的。 此外，我国大多数企业的内部审计尚未与公司治理相结合，成为公司治理的有 机部分。企业过多地关注内部审计的职能、范围、方法的发展与变化，却忽视了内 部审计在公司治理中的地位与作用，导致了公司治理与内部审计关系的割裂。一方 面，企业将内部审计视作一种管理活动，并未纳入公司治理，内部审计机构与其他 职能部门处于平行的地位，其独立性、客观性及权威性难以得到应有的保证。另一 方面，内部审计的主要职责仍是“查错防弊”，而不是对公司管理做出分析、评价 和提出管理建议，管理审计尚未得到广泛的开展， 审计法和2 0 0 3 年中国内部审计协会制定的内部审计基本准则指出， 审计委员会的职责之一是负责内部审计与外部审计之间的沟通。但是对于对审计委 员会和内部审计的关系并未进行明确界定。实际结果是，不少公司和人员不正确地 将审计委员会定位于内部审计，而忽视两者不同的隶属关系和职责内容。一般而言， 审计委员会和内部审计连同公司的管理层，共同构成上市公司治理结构稳定的三个 重要支点，也是监控财务信息真实性的关键环节。n ” 3 1 3 提升内部审计部门组织层级的可能陛与必要性 风险管理导向审计概念是在现代企业研究背景下形成的，它反映了内部审计动 态发展的基本趋势和变革倾向。关注内部审计的发展，将内部审计与企业治理紧密 地结合起来，是我们必须认真面对的问题。逐步发展并完善风险管理导向审计，预 示着内部审计发展的主流方向。 实施风险管理导向审计必须改革企业组织模式，使内部审计在企业内部具有较 华北电力大学硕十学位论文 高的组织地位，从而具有实施风险管理导向审计的组织保证。公司的组织机构中， 应给予内部审计师适当的地位，使他们可以不受限制地审查本公司经营的所有方 面。内部审计师应向组织中的某一层级负责，这个层级应有充分的权威能保证审计 师进行广泛范围的审计，并能对他们的建议采取行动。内部审计为了保证审计结果 的公正和客观，同样必须具备一定的独立性与权威性。i i a ( 国际内部审计师协会) 于1 9 7 8 年发御的内部审计职业行为守则中就规定，内部审计必须独立于所审 计的活动。内部审计要实现独立性，不仅必须保证内部审计部门的组织地位足以支 持其完成审计任务，而且内审人员在执行审计时应保持独立性。 欧美企业审计委员会的发展告诉我们，只有依靠强有力的权威机构的支持，内 部审计才能拥有足够的独立性和权威性，才能发挥应有的作用。建立具有独立性、 权威性的内部审计机构，改变上市公司的内部审计机构平行于各职能部门的现状， 使之向更高层级升格，从体制上保证内部审计工作内容的全面展开。 审计部门层级的提升以企业产权为基础，审计的历史发展过程等证明审计的职 能具有广阔的发展空间，通过企业、经济的发展需求拉动审计的发展。而审计对象 范围扩大至战略、管理层面，涉及关系企业生存发展的方方面面，这就要求提升审 计部门的组织层级，扩大审计部门的职权范围，要将审计由原来的财会部门剥离出 来，与更高的组织层级机构联系甚至结合起来。顺应内部审计科学发展的客观规律， 上市公司内部审计的职能应从单纯检查型向监督控制型转变，充分体现公司治理的 目标。内部审计的职能也应全面拓展，由内部控制发展为有效的风险管理机制和健 全的公司治理结构。工作重点必须从传统的“查错防弊”转向为公司内部的管理、 决策及效益服务，其作业范围也应突破财务领域的局限。 企业要在组织上赋予内部审计机构和人员独立性或相对独立性，创造条件引进 独立的审计委员会制度，为内部审计发挥管理和控制风险职能打好组织基础。内部 审计机构和人员要吸收国际先进的内部审计理论，注重提高专业素质，探索风险管 理导向审计，强化管理和控制风险的职能。 企业内部审计部门的组织层级得到提升，有利于其职能、作用的充分发挥，聚 焦于分析、确认、揭示企业关键性的经营风险与管理风险，使内部审计计划与公司 风险管理策略紧密联系，切实发挥内部审计在公司治理中的功能，使内部审计成为 一支监督、促进管理效率提高的专业力量，更好地保障组织目标的实现。而董事会 或是某一较高的组织层级机构则通过内部审计部门获得积极参与战略风险管理的 有效途径，在作为监督者与参谋的内部审计的作用下，促进企业管理的科学化、规 范化。 华北电力大学硕士学位论文 3 2 企业风险管理导向审计的基础企业战略 3 2 1 关于企业战略 关于什么是企业战略，不同的专家学者有不同的定义和解释，比较有影响的代 表人物是哈佛大学的安德鲁斯教授，美国塔第茅斯学院的奎恩教授、美国战略管理 的代表人物安纶夫、加拿大麦克尔大学的明斯伯格教授，都有他们自己的解释和定 义。把他们观点概括起来可以这样描述企业战略的定义：企业战略是以企业未来为 主，为求得生存和发展做出的有关全局的筹划和谋略。企业战略( 图3 3 ) 包含的 内容十分丰富，但主要包括企业的经营模式与战略目标两方面。 企业的经营模式的内涵，包含企业的战略目标、采取的战略行动、生产的产品 或提供的服务、业务取向、运作模式、目标客户与目标市场、利用的供应链、以及 企业的愿景、使命及价值取向等多方面的内容。而企业的战略目标决定了企业的经 营模式，它巩固了内外部利益相关者对其经营哲学及期望的经营水准所达成的共 识。 战略目标由以下内容组成：财务方面包括收入、股东收益、资本结构、信用评 级、财务比率等目标；经营目标方面包括市场占有率、质量、效率、生产、顾客满 意度、安全、合规等目标：人员方面包括流动率、职业生涯发展、员工满意度等目 标。风险控制中，只有以战略目标为导向，站在全局的高度进行风险整合，从成长、 盈利和风险三者的平衡角度把握风险，才能发挥风险控制的最佳效果。 诊断 内部因素分析 成文 执行 评估厂 i 一 外部环境分析