（会计学专业论文）企业风险管理审计研究.pdf

摘要 在知识经济条件下，在经济全球化，虚拟化、信息化进程加快的今天，风 险管理的有效性对企业的生存和发展的作用日益突出。董事会及其审计委员会、 最高层管理当局分别迫切需要促进和帮助最高层管理当局和各亚管理层当局全 面有效的履行各自的受托风险管理责任，有效地管理面临的风险。为适应这一 需求，众多优秀企业开展了风险管理审计。风险管理审计是内部审计的重要组 成部分，是从影响组织目标实现的各种系统风险和非系统风险出发，以企业全 面风险管理过程为审计对象的审计，将内部审计业务嵌入到企业实施的全面风 险管理的框架中，对机构的种种风险管理程序和结果进行鉴定、评价，帮助企 业实现其目标的审计活动。实施风险管理审计是我国当前既可提高内部审计质 量，又可加强风险管理的良策。无论是其本身的优越性，还是我国企业形势的 客观要求都表明如今已是实施风险管理审计的时机。本文选择内部审计最前沿 的风险管理审计进行研究，既有理论意义，又有现实意义全文共分为六个部 分，各部分主要内容如下： 第一部分为导论部分，主要介绍本文的研究背景、研究内容、研究方法以 及对国内外研究成果的总结与综述。 第二部分首先介绍了风险及风险管理的内涵、c o s 0 的企业风险管理框架， 然后阐述了管理审计与风险管理的关系，最后构建了风险管理审计的框架。 第三部分为国内外企业风险管理审计的比较，重点介绍了美国、德国风险 管理审计的发展现状。 第四部分对我国企业风险管理审计应用中存在的问题进行了分析，指出在 我国推行风险管理审计的必要性。 第五部分通过借鉴美德等国家的企业风险管理审计的经验，指出我国实施 风险管理审计的措旋。 第六部分是全文的总结。全文对企业风险管理审计的基本理论问题及其在 实务中的应用进行了完整的、系统化的阐述。通过本文的研究我们可以看出， 在竞争与风险不断加剧的背景下，风险管理审计能够顺应风险管理的要求并为 企业提供更多的“增值”服务，是审计不可阻挡的发展方向。 关键字：风险，e r m ，内部审计，风险管理审计 a b s t r a c t n o w a d a y s ，u n d e r t h ec o n d i t i o n so ft h ek n o w l e d g ee c o n o m y ，t h ee f f e c t i v e n e s so f r i s km a n a g e m e n tp l a y sav e r yi m p o r t a n tr o l eo nt h es u r v i v a la n dd e v e l o p m e n to f e n t e r p r i s e s t h eb o a r da n di t sa u d i tc o m m i t t e e ，t h et o pm a n a g e m e n ta l ln e e dt o f a c i l i t a t ea n dh e l pt h et o pa n dt h es u b - t o pm a n a g e m e n ta u t h o r i t i e st of l l l f i l lt h c i e n t r u s t e dm a n a g e m e n td u t ye f f e c t i v e l y t oc a t e rt ot h i sd e m a n d ，m a n ye x c e l l e n t e n t e r p r i s e sh a v eb e e na p p l i e dr i s km a n a g e m e n ta u d i t r i s km a n a g e m e n ta u d i ti sa n i m p 】l t 柚tc o m p o n e n to fi n t e r n a la u d i t i tf o c u s e so nt h es y s t e m a t i ca n du n s y s t e m a t i c r i s k s ，b a s e do nt h er i s km a n a g e m e n tp r o c e s s e s ，e m b e d si n t e r n a la u d i ti n t or i s k m a n a g e m e n tf r a m e w o r k sh e l p i n gt h ec o r p o r a t i o n st oa c h i e v ei t so b j e c t s t h er i s k m a n a g e m e n ta u d i tn o to n l yi m p r o v e st h ed o m e s t i ci n t e r n a la u d i tq u a l i f i e s ，b u ta l s o h a s t e n st h ee n t e r p r i s er i s km a n a g e m e n t b o t ht h es t r e n g t h so ft h er i s km a n a g e m e n t a u d i ta n dd o m e s t i ce n t e r p r i s e s r e a l i t i e sa r ec a l l i n gt h e a p p l y i n g o ft h er i s k m a n a g e m e n ta u d i t t h i st h e s i s r e s e a r c h e st h ef r o n t i e ro fi n t e r n a la u d i t ：r i s k m a n a g e m e n ta u d i t , w h i c h i s s u p p o s e dt oh a v et h e o r e t i c a l a sw e l la sr e a l i s t i c s i g n i f i c a n c e t h i st h e s i si so r g a n i z e da sf o l l o w s ： t h ef i r s tp a r to ft h i st h e s i si si n t r o d u c t i o n i tm a i n l yd i s c u s s e st h eb a c k g r o u n d , r e s e a r c hm e t h o d , s t r u c t u r eo ft h i st h e s i s ，a n dt h es u n m u u to ft h ep r e v i o u sr e s e a r c h t h es e c o n dp a r ti n t r o d u c e st h em e a n i n go fr i s ka n dr i s km a n a g e m e n t , e r m ，t h e n t e l l su st h er e l a t i o n sb e t w e e nm a n a g e m e n ta u d i ta n dr i s km a n a g e m e n t , a tl a s t c o n s t r u c t st h ef r a m e w o r ko fr i s km a n a g e m e n ta u d i t t h et h i r dc h a p t e ri st h ei n t e r n a t i o n a lc o m p a r i s o no fe n t e r p r i s er i s km a n a g e m e n t , w h i c hi n t r o d u c e sc u r r e n ts i t u a t i o n so fi n t e r n a la u d i ti nv a r i o u sq o u n t r i e s t h ef o u r t hp a r ti sa n a l y s i so ft h ea p p l i c a t i o no fo u rc o u n t r y se n t e r p r i s er i s k m a n a g e m e n ta u d i t , a n dp o i n t so u tt h ei m p l e m e n t a t i o no f i t t h ef i f t hp a r tp o i n t st h em e a s l e so fi m p l e m e n t a t i o no fr i s km a n a g e m e n ta u d i t b yv i r t u et h ef o r e i g ne x p e r i e n c e t h es i x t hp a r ts u m m a r i z e st h ew h o l er e s e a r c h i nt h i st h e s i s ，w em a d ea c o m p l e t ea n ds y s t e m a t i cr e s e a r c ho ft h et h e o r ya n dp r a c t i c eo fr i s km a n a g e m e n ta u d i t t h r o u g ht h es t u d yw ec a ns e et h a tt h er i s km a n a g e m e n ta u d i tc a np r o v i d e se n t e r p r i s e s l i w i t hm o r e 。v a l u e - a d d e d 。s e r v i c e , a n di ti st h ed e v e l o p i n gd i r e c t i o no fm o d e r ni n t e r n a l a u d i t k e yw o r d s ：r i s k , e r m ，i n t e r n a la u d i t , r i s km a n a g e m e n ta u d i t m 独创性声明 本人声明，所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人 已经发表或撰写过的研究成果，也不包含为获得武汉理工大学或其它教育机构的 学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已 在论文中作了明确的说明并表示了谢意。 签名：倦日 关于论文使用授权的说明 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即学校有权保 留、送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名：鞑导师签名：阻日期：掣 ( 注：此页内容装订在论文扉页) 武汉理工大学硕士学位论文 第1 章导论 1 1 选题的目的和意义 当今，在全球化、信息化程度不断加深的时代背景下，人才、技术、资本、 商品等要素的流动日益加快，经济社会中不确定性因素也越来越多，因此企业 面临的风险也越来越大，影响了企业目标的实现。面对这样的环境，要让企业 增强应对风险的能力，从而掌握主动权，将风险的影响控制在可接受的范围内， 就必须强调风险管理。就我国而言，虽然有些大中型企业已在实践中逐步建立 了风险管理体系，但是风险管理对相当一部分企业来说还是一个亟待解决的课 题。这也就是有些人提出的如果企业没有风险管理机制或没有建立完善的风险 管理机制，那么我们如何去审查和评价呢? 我想，我们应该这样去理解这个问 题：企业管理层对风险管理机制的建立、健全以及有效运行负有主要责任。内 部审计是一种独立、客观的监督、评价活动，内部审计的主要内容是财务经营 活动和内部控制。风险管理是内部控制的要素之一，因此内部审计机构和人员 必须把企业的风险管理机制作为审计内容之一，在充分了解风险管理过程的基 础上审查和评价其健全性、适当性及有效性。在我国，风险管理是一个新的管 理课题，有些企业的风险管理活动刚刚开始，而更多的企业风险管理工作尚未 开展，因此内部审计人员应积极发挥作用，在审查评价风险管理的过程中，根 据企业生产经营环境和特点，探寻企业风险管理的有效路径，帮助企业管理层 建立严格科学的风险管理机制。 我国从2 0 0 5 年5 月1 日起施行的内部审计具体准则第1 6 号风险管 理审计中更是强调了内部审计人员对风险管理进行审查和评价的职责。企业 内部审计人员应根据内部审计章程和董事会及其审计委员会、最高层管理 当局的要求，有效地开展风险管理审计，并分别向两者报告有关审计结果1 1 j 。 本课题所研究的企业风险管理审计，将全面风险管理的理念融入到了风险 导向审计的各个步骤，是从企业经营风险，风险管理角度分析审计风险，实施 审计程序，从财务报表风险的源头企业经营风险角度去关注财务报表风险， 从而为风险降至可接受水平提供有效保障，并实现审计目标同整个商业社会的 武汉理工大学硕士学位论文 共同目标达到一致。风险管理审计基本上吸收了风险审计各种特点，只是在此 基础上扩大审计关注点到企业的主要战略目标( k e yb u s i n e s so 场e c t i v c s ) ，管理 层对风险的容忍度，主要风险评价指标以及企业绩效评价分析等涉及现代企业 整体风险管理领域的多方位角度。而且风险管理审计已经开始关注为实现企业 战略目标应如何进行风险优化( o p t i m i z i n gk e yr i s k ) ，如企业对那些固有风险 可以实行避免、转移或接受并予以控制的风险管理策略。 因此，对企业而言，风险管理审计本身已经成为企业整体风险管理的重要 组成要素。而对财务报表审计而言，以风险管理对基础的审计在兼容风险基础 审计、控制基础审计及流程基础审计优势的基础上，更有效地识别出固有风险， 继而实旄控制风险及检查风险的审计程序，从而使企业财务报表风险作为企业 整体风险的子集( 后者与前者是全集和子集的关系) 一道位于可接受水平1 2 l 。通 过研究企业风险管理审计可以：标本兼治，从根本上提高企业风险管理水平； 达到与企业整体经营战略相结合的风险最优化；使所有的利益相关人了解企业 风险现状，保障各利益相关人共同利益最大化；避免企业重大损失；提升企业 具体风险管理解决方案的效果。 1 2 国内外相关研究综述 从2 0 世纪年代后半期开始，国外的学者开始致力于风险管理审计的研 究。人类社会进入2 1 世纪，这一内部审计新模式的理论与实践开始引入我国， 国内的许多学者也开始了风险管理审计的研究。 1 2 1 国外部分 2 0 世纪，内部审计经历了从传统财务审计到现代管理审计的发展。在高科 技、网络、电子商务的新经济时代，内部审计发生了更为重大的变革，扩展为 融公司治理、内部控制和风险管理审查于一体的综合管理审计，实现价值增值 的新功能l 。风险管理审计以固有风险的管理状况为审计客体，针对风险管理的 构成要件、构成机制及其效果进行认定和评价，肯定优点、指出缺点，提出纠 正负偏差和改进风险的建议。这与风险导向审计两者不同。正如，国际内部审 计师协会在内部审计实务公告2 1 0 0 3 ：内部审计在风险管理过程中的作用 所指出的，“评价管理风险程序有别于窜计师应用风险分析对审计进行的计划 2 武汉理工大学硕士学位论文 工作”【4 1 ( 1 ) 关于风险与风险管理的研究 美国学者h a y n e s 在1 8 9 5 年最早提出风险的概念并加以分类，他写道：“风 险一词在经济学中和其他学术领域中，并无任何技术上的内容，它意味着损害 或损失的可能性( c h a n c e o f d a m a g e o r l o s s ) 。偶然性的因素用以划分风险的不同 性质，某种行为能否产生有害的后果应以其不确定性而定。如果某种行为具有 不确定性时，其行为就反映了风险的负担。”风险通常被定义为“损失的不确定 性”( r i s ki su n c e r t a i n t yc o n c e r n i n gl o s s ) 。c 八克布( c a h n j p ) 和约翰w 贺尔( j o h n w h a i l ) 定义风险为“风险是在一定条件下财务损失的不确定性”0 h s k , w h i c hi s d e f i n e d a s u n c e r t a i n t y o f f i n a n c i a l l o s s , i s a n o r m a l c o n d i t i o n o f l i v i n g ) 。1 9 9 2 年， y a t c s 和s t o n e 更进一步提出了风险结构的三因素模型，透彻地分析了风险的内 涵。他们认为，风险是由三种因素构成的：潜在的损失，损失的大小，潜在损 失发生的不确定性。这一模型从本质上反映了风险的基本内涵，是现代风险理 论的基本概念框架。 为了避免事件发生的不良后果，减少事件造成的各种损失，人们开始引用 管理科学的原理和方法来规避风险，于是风险管理便应运而生。风险管理始于 战后的德国。1 9 3 1 年，美国管理协会保险部开始倡导风险管理，并研究风险管 理及保险问题。1 9 5 3 年，通用汽车公司的一场火灾震动了美国企业界和学术界， 这场火灾成了风险管理科学发展的契机。1 9 6 3 年，美国学者发表了企业的风 险管理，引起欧美各国的普遍重视此后，对风险管理的研究逐步趋向于系统 化、专门化，使风险管理成为企业管理领域的一门独立学科。关于风险管理较 为全面而又确切的定义，最早是由美国学者威廉斯和汉斯提出的。他们不是把 风险管理仅仅看成是一门技术、一种方法或是一种管理过程，而是将其看作一 门新兴的管理科学。他们在其著作 r i s km a n a g e m e n ta n di u s u r a n c 4 e 中指出， 风险管理是通过对风险的识别、衡量和控制而以最小的成本使风险所致损失达 到最低程度的管理方法。7 0 至8 0 年代，风险管理迅速发展，美、英、日、法、 德等国纷纷建立全国性和地区性的风险管理协会。1 9 8 6 年，欧洲1 1 个国家共同 成立了欧洲风险研究会，同年1 0 月，在新加坡召开的风险管理国际学术讨论会 表明，风险管理运动已经走向世界，成为全球性运动。 2 0 0 4 年9 月2 9 同，c o s o 发布了企业风险管理整合框架，又将风 险管理的研究推向了新的高潮。该框架强调企业风险偏好与其战略的匹配，将 3 武汉理工大学硕士学位论文 内控框架构成的要素拓展到内部环境、目标确定、事项辨认、风险评估、风险 应对、控制活动、信息与沟通、监督八个要素，并将企业的各利益相关者都纳 入框架中，体现了企业内控与风险管理在为利益相关者创造价值中的重要性l 列。 在风险理念的作用下，企业内部控制已扩展为企业风险管理框架，内部控制与 风险管理已趋于融合，而风险管理审计正是二者融合的产物。维纳认为，反馈 是控制系统的灵魂，内部审计在内部控制系统中承担着反馈职能。与传统的内 部审计相比，风险管理审计在企业风险管理中发挥着重要的作用。 ( 2 ) 关于企业风险管理审计的研究现状 若要对企业风险管理审计进行研究，首先应该追溯到内部审计在企业风险 管理中作用的理论研究。它最初开始于1 9 9 9 年6 月h a 对内部审计的第五次定 义，即内部审计是一种独立，客观的确认和咨询活动，旨在增加价值和改善组 织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治 理过程的效果，帮助组织实现其目标。当时已有文章指出，内审员面i 临着机会 通过风险管理来实现公司目标。d e l o i t t ea n dt o u c h et o h m a t s u 宣称：“风险控制 前景的变化已经为内部审计员提供了机会和挑战，快速而有效地应对风险带来 的挑战将会帮助组织实现目标。”1 6 12 0 0 2 年，h a 的研究结论一( e r m ：t r e n d s a n de m e r g i n gp r a c t i c e sc o n c l u d e d ) 中指出，“我们相信e r m 将成为2 l 世纪组 织管理过程的主要部分，将会影响到公司如何被组织和委派首席风险长向c e o 和董事长报告，它也将一定会影响到内部审计的执行。”1 7 1i i a 组织了一年一度 的会议e r m & c s a ，帮助内部审计员在e r m 的过程中发挥积极的作用。内部审 计机构己经在2 1 和2 0 0 2 年发动了两次主要的e r m 研究。内部审计的实践证 明了，内部审计能在组织采纳e r m 的过程中发挥重要的、有时甚至是具有领导 性的作用。f o g a a ya n dk a l b e r s 探究了内部审计职业维度范围，内部审计的主要 特征是独立性、自主性和遵循性。i 卿t u r n b u l l 的内部控制的方法为内部审计提供 了机会，要求内部审计处在风险管理的专家位置上。内部审计的本质正在发生 重要的改变。风险管理成为组织治理的必不可少的部分，而内部审计又成为风 险管理中毖不可少的部分。 近几年，国际内部审计师协会的年会及全球论坛、亚洲内部审计师协会年 会都始终把风险管理审计作为主要议题。风险管理审计已成为当前内部审计发 展的一个亮点，内部审计参与风险管理己经成为其必然选择。事实上，根据2 0 0 3 年l i p , 全球审计信息网络调查结果表明，未来的审计重点是风险管理系统审计的 4 武汉理工大学硕士学位论文 占6 3 9 。风险管理框架下的内部审计关注的核心是企业的各类风险，企业的风 险是针对目标而言的，内部审计能够直接针对高风险的领域展开工作，根据企 业目标判断企业的风险，确定对企业的控制方案，抓住机会以实现各类目标。 1 2 2 国内部分 2 0 世纪末2 1 世纪初，随着风险管理导向内部控制时代的来临，风险管理成 为内部审计关注的重点。以毕马威为代表的国际大会计事务所联合学术界对审 计基本方法进行研究，开发出风险管理审计。它不仅关注传统的内部控制，而 且更加关注有效的风险管理机制。内部审计人员通过对当前的风险分析确保其 事计计划与经营计划相一致。风险管理成为组织中的关键流程，促使内部审计 的工作重点不仅是测评控制，而且包括确认风险及测试管理风险的方法。 ( 1 ) 关于风险与风险管理的研究 由于历史原因，我国在改革开放以前风险管理工作几乎是一片空白。改革 开放以后，单一的计划经济体制被打破。管理学家和经济学家针对我国风险管 理的状况作了一定的理论和实证研究，但多为模仿和借鉴国外的研究成果，有 自己特色的研究成果十分有限。 从风险管理的概念上看，中国人民大学的龚兴隆认为：“所谓风险管理， 就是了解、衡量并控制风险的过程。企业对于各种潜在纯粹风险的认知衡量， 进而规划选择适当的方法加以控制处理，期望以最低的风险管理成本，达到保 证企业经营安全的目的。”1 9 j 还有学者从实践的角度出发，认为“风险管理是投 资项目管理者通过风险识别、风险估计和风险评价并以此为基础合理地使用多 种管理方法、技术和手段对项目活动涉及的风险实行有效的控制，以最小的成 本保证安全、可靠地实现项目的总目标”。 t o l 从风险管理的研究内容看，研究内容主要集中在风险确认、风险评估和风 险控制上。 风险管理的第一步是风险确认。风险确认就是在企业周围复杂的宏、微观 风险环境和内部经营中识别出可能给其带来意外损失或者额外收益的风险因 素。倘若不能准确地确认风险所在，就无法分析及预测企业危机，当然也无从 制定对策以控制风险。风险评估偏重于定量分析，要求经营管理者具体预计风 险因素发生的概率、可能对企业造成的损失或收益的大小，然后尽量用数据量 5 武汉理工大学硕士学位论文 化地确定受险程度。 i l l 风险控制是风险管理过程中的最后一个步骤，也是整个 风险管理成败的关键所在。传统的风险控制工具主要包括：风险预防、风险回 避、风险转移、风险分散和风险组合。 ( 2 ) 关于企业风险管理审计的研究现状 u a 实务标准在多个实务公告中都涉及到了风险管理问题，说明风险管理越 来越成为内部审计关注的焦点。我国内部审计准则第1 6 号一风险管理审计 颁布实施，为内部审计开展风险管理审计提供了依据。 风险管理审计是适应企业风险管理产生的新生事物，我国学者卓继民( ：z o o s ) 出版了关于风险管理审计的第一本著作现代企业风险管理审计，指出风险管 理审计是风险基础审计的一种延伸，它基本吸收了风险审计的各种特点，只是 在此基础上扩大审计关注点到企业的主要战略目标、管理层对风险的容忍度、 主要风险评价指标以及企业绩效评价分析等涉及现代企业整体风险管理领域的 多方位角度。 王晓霞( z c 0 5 ) 指出，风险审计是指内部审计部门采用一种系统化、规范化的 方法来进行测试企业风险管理信息系统、各业务流程及相关部门的风险识别、 分析、评价、管理及处理等为基础的一系列审核活动，对机构的风险管理、控 制及监督过程进行评价进而提高过程效率，帮助机构实现目标1 1 2 1 。 尹珍丽、郑建昆( 2 0 0 5 ) 等在刍议企业风险管理审计一文中指出，风险管 理审计是审计部门采用一种系统化、规范化的方法，通过对企业风险管理部门 制定的程序、对策及体制的合理性进行监督、评价和咨询，来改善企业风险管 理、增进企业价值的一种审计，是按审计的内容和目的来分类的，它是一种职 业工作。风险管理审计是管理审计下一种新的审计类别，而风险导向审计是继 账项基础审计、制度基础审计后一种新的审计模式1 1 3 j 。 靳建掌( 2 0 0 5 ) 在风险管理审计初探一文中指出，风险管理审计是建立在 全面风险管理基础上的一种内部审计技术方法，这种方法作为成功的全面风险 管理规划的一个重要组成部分，更加关注企业的经营目标、管理层的风险承受 度、关键风险衡量指标以及风险管理能力i ”1 。 曾繁荣、郑毅( 2 0 0 4 ) 在论风险审计一文中指出，风险审计是审计人员利 用其自身独特的知识、技能对企业蟪险识别、评价、估测和管理咨询活动。 高岩芳、魏哲妍等( 2 0 0 5 ) 在新c o s o 报告影响下的内部审计的新发展 风险管理审计内容与方法的构建中指出风险管理审计的主体可以是国家审计 6 武汉理工大学硕士学位论文 机关，也可以是社会审计组织，还可以是内部审计机构，相比较而言，内部审 计机构实施风险管理审计有着得天独厚的优势。 可见，学者们都认为风险管理审计是企业风险管理的重要的内容。但是， 由于风险管理审计还是一个新生事物，不同学者对于风险管理审计是否是一种 新的审计模式、风险管理审计是确认业务还是咨询业务、风险管理审计主体归 属三个方面还存在着不同的看法。 1 3 研究内容和研究方法 本文属于风险管理审计的基础理论研究。由于内部审计属于公司管理领域 的职能，该领域内容较少通过公开的财务信息或其他信息在资本市场上披露， 国外对内部审计领域的实证研究也比较少，因此本文主要采用传统的规范研究 方法。另外，本文还结合了1 0 家世界知名企业风险管理审计的做法，以寻求我 国企业风险管理审计的实施应用之路。 第一章为导论部分，主要介绍本文的研究背景、研究内容、研究方法以及 对国内外研究成果的总结与综述。第二章首先介绍了风险及风险管理的内涵、 c o s 0 的企业风险管理框架，然后阐述了管理审计与风险管理的关系，最后构建 了风险管理审计的框架。第三章为国内外企业风险管理审计的比较，重点介绍 了美国、德国风险管理审计的发展现状。第四章对我国企业风险管理审计应用 中存在的问题进行了分析，指出在我国推行风险管理审计的必要性。第五章是 通过借鉴美德等国家的企业风险管理审计的经验，指出我国实施风险管理审计 的措施。第六章是全文的总结。全文对企业风险管理审计的基本理论问题及其 在实务中的应用进行了完整的、系统化的阐述。通过本文的研究我们可以看出， 在竟争与风险不断加剧的背景下。风险管理审计能够顺应风险管理的要求并为 企业提供更多的“增值”服务，是审计不可阻挡的发展方向。 7 武汉理工大学硕士学位论文 第2 章企业风险管理审计概述 2 1 企业风险管理 2 1 1 企业风险及风险管理的内涵 ( 1 ) 企业风险的内涵 风险来源于社会经济环境，是不以人的意志为转移的客观存在。因此，风 险是由事件的不确定性所引起的，是对未来结果予以期望所带来的无法实现期 望结果的可能性。简言之，风险是结果差异引起的结果偏离，即期望结果的可 能偏离。 企业经常会面临市场风险、经营风险、控制风险和财务风险等多种类型的 风险，人们通常将风险理解为导致经济损失的变化，若不能对风险进行有效管 理，将面临风险事件的发生和风险损失的发生。随着企业经营环境及经营理念 的根本性变革，企业风险的定义又有了新的发展和内涵。在新的经济条件下， 由于新技术和互联网的广泛应用以及全球范围内日益激烈的竞争，企业在获得 新的发展机遇的同时也面临着更多的不确定性，即各种风险因素。这种不确定 性是获得成长必须付出的代价。在此情况下，单纯将风险作为遭受损失的可能 性来理解已无法适应现代企业风险管理需要。 因此，企业风险的完整定义应包含两个层面的内容：首先，风险是事件在 未来发生的可能性及其后果的综合，包括风险因素、风险事故和损失等要素。 风险因素，是指促使或引起风险事故发生的条件，以及风险事故发生时，致使 损失增加、扩大的条件。风险因素是风险事故发生的潜在原因，是造成损失的 间接和内在的原因。风险事故，又称风险事件，是造成风险损失的直接或外在 原因，是使风险造成损失的可能性转化为现实性的媒介，也就是说风险是通过 风险事故的发生来产生损失的。如工厂火灾、货船碰撞都是风险事故。损失是 指非故意、非计划、非预期的经济价值减少的事实。包含两个要素：经济价值 减少，非故意、非计划、非预期。其次，风险与机遇如硬币的两面，二者在数 量及性质上成正比例的辩证统一关系，机遇蕴涵于得到有效管理的风险之中。 ( 2 ) 风险管理的内涵 8 武汉理工大学硕士学位论文 风险管理指人们对风险的认识、控制和处理的主动作为。它要求人们研究 风险发生和变化规律，估算风险对社会经济生活可能造成损害的程度，并选择 有效的手段以及最小的成本代价，获得最大的安全保障。它围绕企业分析、评 估、应对风险的能力及其管理过程，以帮助企业成功化解风险、甚至将风险转 化为机会、目标。 企业风险管理是指企业在经营过程中，识别、评估、分析各种可能造成潜 在影响的风险事项，并在其风险偏好范围内进行控制和管理，从而为企业目标 的实现提供合理保证的过程，具体表现为认真分析风险、有意识地承担风险、 科学地管理风险、稳妥地获取风险收益。它以博弈论作为理论基础，通过对不 确定性全方位、深层次的分析，形成完善的风险管理计划；对各类风险进行识 别、定量定性分析、响应和监控，形成综合性的风险应对策略，为正确决策提 供依据，为持续发展提供基础。其核心是将难以预计的未来事项的不确定性控 制在可接受的程度，并从中寻求有利于企业发展的机遇。 企业风险管理的定义通常包括以下基本原理：一是从企业整体角度分析风 险。企业风险管理不是汇集每个独立部门面临的风险，而是汇集彼此及企业相 对于每个独立部门的整体风险；二是从宏观角度分析风险。风险管理是一种持 续行为，贯穿于企业经营的全过程，包括事前、事中、事后。越早发现风险， 越早采取措施，则风险管理的成本就越低，给企业带来的效益就越大 2 1 2c o s 0 的企业风险管理( e i u 涯) 架构 2 0 0 3 年，c o s o 发布了名为企业风险管理框架( 草稿) 的报告，来征求 意见。2 0 0 4 年9 月，该报告的最终稿正式公布，名为企业风险管理整合 框架。在该框架中，风险管理被定义为“企业风险管理是一个过程，它由一个 主体的董事会、管理当局和其他人员实现的，应用于战略制定并贯穿于企业之 中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容 量之内，为主体目标的实现提供合理保证。”i j 叫c o s o 在对“企业风险管理” 的界定中重点强调了七个属性和理念： 第一，企业风险管理是一个过程，它持续流动于企业之内； 第二，企业风险管理是由组织中各个层级的人员来实施的； 第三，企业风险管理应用于战略制定的过程中； 9 武汉理工大学硕士学位论文 第四，企业风险管理贯穿企业整体，在各个层级和单元应用，还包括采取 企业整体层级的风险组合观； 第五，企业风险管理旨在识别那些一旦发生将会影响企业的潜在事项，并 把风险控制在风险容量以内； 第六，企业风险管理能够向一个企业的管理当局和董事会提供合理保证； 第七，企业风险管理力求实现一个或多个不同类型但相互交叉的目标。 按照c 0 s o 的观点，内部控制已经包含在企业风险管理当中，而且是企业 风险管理的一个组成部分，企业风险管理比内部控制宽泛，是在内部控制的基 础上的拓展和精心设计，以形成一个更加充分关注风险的更“健壮”的概念体系。 按照c 0 s o 的设想，他们不打算也的确没有用企业风险管理框架取代内部控制 框架，而是将内部控制框架纳入其中，公司不仅可以借助这个企业风险管理框 架来满足它们内部控制的需要，还可以借此转向一个更加全面的风险管理过程。 ( 1 ) 企业风险管理的内容 衔接风险容量( r i s k a p p e t i t e ) 与战略。管理当局在评价战略方案、设定相关 目标和建立相关风险的管理机制的过程中，需要考虑所在主体的风险容量。 增进风险应对决策。企业风险管理为识别和在风险回避、降低、分担以及 承受等备选的风险应对策略之间进行选择提供了严格精确性。 抑制和减少经营以外的损失主体识别潜在事项和实施应对的能力得以增 强，抑制和减少了意外情况以及伴随而来的成本或损失 识别和管理贯穿于企业的多重风险。每一家企业都面临影响组织的不同部 分的一系列风险，企业风险管理有助于有效地应对交互影响，以及整合式地应 对多重风险。 抓住机会。通过考虑全面范围内的潜在事项，促使管理当局识别并积极地 实现机会。 改善资本配置。获取强有力的风险信息，使很管理当局能够有效地评估总 体资本需求，并改进资本配置。 ( 2 ) 企业风险管理的构成要素 根据c o s 0 2 0 0 4 年的报告，企业风险管理包括八个相互关联的构成要素， 它们来自管理当局经营企业的方式，并与管理过程整合在一起。 内部环境。管理当局确立关于风险的理念，并确定风险容量。内部环境为 主体中的人们如何看待风险和着手控制确立了基础。所有企业的核心都是人 1 0 武汉理工大学硕士学位论文 他们的个人品性，包括诚信、道德价值观和胜任能力以及经营所处的 环境。 目标设定。必须先有目标，管理当局才能识别影响它们的实现的潜在事项。 企业风险管理确保管理当局采取恰当的程序去设定目标，并保证选定的目标支 持主体的使命并与其相衔接，以及与它的风险容量相适应。 事项识别。必须识别可能对主体产生影响的潜在事项。事项识别涉及到从 影响目标实现的内部或外部资源中识别潜在的事项。它包括区分表示风险的事 项和表示机会的事项，以及可能两者间有的事项。机会被追溯到管理当局的战 略或目标制定过程。 风险评估。要对识别的风险进行分析。以便形成确定应该如何对它们进行 管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也 要对剩余风险进行评估，评估要考虑到风险的可能性和影响。 风险应对。员工识别和评价可能的风险应对措施，包括回避、承担、降低 和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相 适应。 控制活动。确定和实施政策与程序以帮助确保管理当局所选择的风险应对 策略得以有效实施。 信息与沟通。相关的信息以确保人们履行其职责的方式和时限予以识别、 获取和沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。广泛 意义的有效沟通包括信息在主体中向下、平行和向上流动。员工获得有关他们 的职能和责任的清晰的沟通。 监控。整个企业风险管理处于监控之下，必要时还会进行修正。通过这种 方式，它能够动态地反应，根据条件的要求而变化。监控通过持续的管理活动、 对企业风险管理的单独评价或者两者的结合来完成。 ( 3 ) 企业风险管理框架的目标设定 c o s o 认为，在主体既定的使命或愿景范围内，管理当局制定战略目标、选 择战略，并将目标在企业内自上而下进行分解、挂钩。企业风险管理框架的提 出，要力求实现主体的以下四类目标： 战略目标，高层次目标，与使命相关联并支撑其使命： 经营目标，有效和高效率地利用其资源； 报告目标，报告的可靠性； 武汉理工大学硕士学位论文 合规目标，遵守适用的法律和法规。 c o s o 的企业风险管理( e r m ) 意味着，内部控制已由过去面向实际过程 的控制，转而面向将来过程不确定性的控制。这对内部控制，无论是基本理论 还是工作技能、方法都会带来革命性的变革，也成为我们今天研究内部控制问 题特别有意义的理由所在。 2 2 管理审计概述 2 2 1 管理审计的内涵 什么是管理审计? 目前学术界对此众说纷纭。虽然尚未达成共识，但是， 人们也普遍认为管理审计是与传统财务审计完全不同的一种审计 要理解管理审计首先要明白受托责任的含义。受托责任是委托入将资财的 经营管理权授予受托人或代理入，受托人或代理人接受托付后应承担的所托付 责任它既是一种普遍的经济关系，又是一种动态的社会关系，更是一种支配 着会计审计发生与发展的思想。随着社会政治经济的发展，随着民智的开发和 民主制度的完善，受托责任逐渐地由受托财务责任发展到受托管理责任，而管 理审计就是这种受托责任合乎逻辑发展的必然产物【阍。 管理审计是一种与财务审计相对的新型审计，它在财务审计基础上发展而 来，如果财务审计以审查基本财务信息为己任，受托财务责任，关心受托人是 否依法动用受托资源，关心过程，那么管理审计则主要审查管理信息，审查受 托管理责任，不仅关心受托人是否依法动用资源，还关心受托人是否经济有效 地利用资源，关心结果，试图在委托人和受托人之阋建立一种互相信任，优化 资源利用，优化投资行为，它是受托责任由程序性责任发展到结果性责任的必 然结果，一经产生，其理论研究方法就带有综合性特征。内部审计、管理职业 界、政府审计以及民间审计都是推动管理审计发展的基本力量。 以受托责任关系为基础，可以将管理审计分为两大类：服务于组织内部管 理当局，即服务于受托人的管理审计，其职能重在建设，称其为内向型管理审 计；服务于组织外部利害关系人，即服务于委托人的管理审计，其职能重在评 判，称其为外向型管理审计。管理审计可以是内部审计，也可以是外部审计。 内部审计界强调对业务活动、管理控制制度审查，强调服务于管理当局，因而 武汉理工大学硕士学位论文 用“业务审计”、“制度审计”、“业务检查”、“管理导向审计”、“工作 底稿式管理审计( w o r k i n gp a p e rt y p eo fm a n a g e m e n ta u d i t ) ”来代表管理审计； 管理职业界强调对整体管理过程、管理活动、管理质量审查，因丽用“访谈式 管理审计( i n t e r v i e wt y p e o f m a n a g e m e n t a u d i t ) ”、“业务评价”、“自我审计” 来代表管理审计i 政府审计界强调对管理业绩或经济业绩的审查，强调对经济 性、效率性、效果性、甚至公平性和环保性的审查，因而用“管理业绩审计”、 “经济业绩审计”、“货币价值审计”、“3 e 审计”、“效率性审计”、“5 e 审计”、“成本减低( c o s tr e d u c t i o n ) ”、。综合管理控制审计”来代表管理审 计；民闻审计界强调对管理陈述、管理业绩、管理控制和管理活动的审查，强 调这种审查的独立性和客观性，因而用“独立管理鉴证审计”、“外部管理审 计“、“独立管理评价审计”、“独立管理陈述审计”、“综合管理审计”来 代表管理审计。 综上所述，管理审计可以表述为：管理审计是指对企业所有业务活动和管 理活动的恰当性和有效性进行检查、分析和评价，鉴证管理当局履行受托管理 责任的业绩，鉴明现存的和潜在的薄弱点，并就其改进提出措旖，以便更加有 效地使用企业所拥有的物质资源和人力资源，改善管理，提高企业的获利能力 l 切。 2 2 2 管理审计与风险管理 ( 1 ) 管理审计与风险管理统一于实现企业目标 风险来源于社会经济环境，是不以人的意志为转移的客观实在。企业经常 会面临市场风险、经营风险、控制风险和财务风险等多种类型的风险。人们通 常将风险理解为导致经济损失的变化，若不能对风险进行有效管理，将面临风 险事件的发生和风险损失的产生。风险管理就是通过对面临的各种风险的认识、 估测、评价，准确把握各种不确定性，采取恰当的管理方法，以便用最低的成 本获得最高的安全保障，将损失降至最低水平。风险管理通过测试评价和控制 风险因素来降低风险事件发生的概率和造成的损失，直接服务于实现企业目标， 风险管理是在复杂的环境下实现企业目标的防护挡板。而管理审计是管理活动 的组成部分，其目的是增加企业价值并提高企业运作效率。首先管理审计在成 本效益分析基础上来开展，只有进行审计带来的预期收益大于审计成本力能获 武汉理工大学硕士学位论文 得领导支持。其次管理审计通过对管理活动的全面评价、监督和服务的功能来 加强企业管理，提高经济效益。因此，管理审计和风险管理统一于企业目标的 实现。 ( 2 ) 管理审计与内部控制的关系 内部控制( i n t e r n a l c o n t r 0 1 ) 是企业内部的一种管理制度，其目标在于，第一， 保护企业财产物资的安全完整；第二，确保会计信息的准确可靠；第三。促进 企业经营效率的提高；第四，保证企业管理当局方