风险管理审计 一个重要的制度安排.doc

风险管理审计：一个重要的制度安排风险管理审计：一个重要的制度安排*李晓慧* 本文是“中财121人才工程博士发展基金”项目（项目编号：GBG0606）阶段性成果之一，感谢财政部全国会计学术带头人后备人才培训项目的支持，感谢东北财经大学张宜霞老师的意见。【作者简介】李晓慧，女，河南南召人，经济学博士，中央财经大学会计学院教授、副院长；研究方向：现代审计理论与方法、内部控制与风险管理、资本市场会计与审计问题研究。（中央财经大学会计学院，北京 100081）摘 要：为了使内部控制、公司治理，以及风险管理在动态中不断适应企业的发展，促使企业内生出减少财务舞弊以及公司治理失效的内部控制和风险管理机制，本文引入了风险管理审计制度。这种制度通过评价、鉴证、咨询和报告来促使企业形成自我纠正、自我完善、不断提升的公司治理循环，也有利于提高公司的治理效率。关键词：风险管理审计；制度安排；公司治理一、引 言在资本市场，人们总是疑虑为什么一些企业会乐此不疲地粉饰财务报表。也许人们已经寻找出不同的理由以及相应的改善措施，但究其根本在于公司缺乏盈利能力。当一个企业缺乏盈利能力时，为了避免向市场报告“坏信息”或规避资本市场的监管，公司有强烈动机不报告亏损，尤其在连续亏损时，公司必然会铤而走险地利用会计手段进行“清洗”（Haw, et al，1998；陆建桥，1999；沈振宇等，2004；李远鹏等，2005）。反之，如果企业盈利能力强，就没有必要粉饰财务报表。正是基于这些研究，目前会计理论界和实务界都着力研究企业内部控制、公司治理以及整个企业的风险管理，以期从公司内部形成减少舞弊的控制机制，以减少风险，这种研究思路和解决问题的角度无疑是正确的。但在一个动态发展的企业中经常会看到，即便是一些企业聘请国际“四大”设计了完善的内部控制和全面的风险管理，也会面临着设计不合理（主要是与企业现实不符）、运行无效的尴尬 中航油的风险管理体系出自安永会计师事务所之手，风险管理手册与其他国际石油公司基本一致，但仍然无法阻止企业由最初判断失误造成580万元亏损扩大到5.5亿美元，这说明中国企业现在内部控制的最大、最迫切的问题不是设计出最好、最超前的内部控制，而是如何保证最常规的内部控制能够有效运行。；即便是公司治理结构设计的再完美，大股东和管理层合谋舞弊以及严重的内部人控制也很猖狂，如何解决这些问题呢？这需要企业有一个自我纠正、自我完善、不断提升的制度，才能从根本上解决问题，为此，我们在公司治理中引进风险管理审计制度。二、风险管理审计的内涵从现代企业全面风险管理的角度看，风险管理审计是审计人员根据企业全面风险管理的方针和政策，采用系统化、规范化的方法，测试企业风险管理系统、各业务循环及相关部门的风险识别、分析、评价、管理及处理等，并对企业的全面风险管理进行动态评价的一个过程，以保证和预警，进而提高企业风险管理的效率，帮助企业实现其战略目标。从这个定义出发，我们可以确定风险管理审计内涵包括如下几点：1. 风险管理审计的目标是在确定企业基本经营目标、风险、绩效指标和风险承受能力的基础上，评价风险管理活动，并将企业风险控制在可接受范围内，以增加企业价值或改进企业运行效率。风险管理审计目标与企业经营目标是一致的， 比一般审计目标范围要大。如一般的财务审计目标是对财务报表的合法性、公允性发表意见，企业内部控制审核目标是对内部控制的有效性发表意见，但风险管理审计的目标可具体细分为对风险管理政策设计的适当性；执行的有效性和风险损失处理的合理性发表意见，该意见尽量避免集中在遵循要求上，而是实质地评估企业的风险偏好以及期望差距，提出缩短差距的具体措施和意见，以求把企业的风险控制在可接受的范围内，为实现企业价值增值和改进企业运行效率的终极目标服务。2. 风险管理审计的对象是企业全面的风险管理活动。企业的全面风险管理活动包括企业的风险管理信息系统和内部控制系统 2006年6月国务院国有资产监督管理委员会颁布的中央企业全面风险管理指引（国资发改2006108号）规定健全的全面风险管理体系，包括风险管理策略、风险理财措施、风险管理组织职能体系、风险管理信息系统和内部控制系统。，为此，风险管理审计也包括对财务报表重大错报和内部控制缺陷的查证、评价与沟通。但区别于财务报表审计和企业内部控制审核的关键点是：风险管理审计还需要针对企业战略层面的风险予以查证、评估并提出应对措施。3. 风险管理审计职能体现在鉴证和咨询活动上。其鉴证职能与一般的审计一样，旨在客观地获取和评价与经济活动和经济事项的认定有关的证据，以确认这些认定与既定标准之间的适合程度。其咨询的职能具有“增值性”，根本区别于一般财务报表审计，要求审计人员针对企业风险管理中存在的问题，提出具有针对性(specific)、可测量性(measurable)、可实施性(actionable)、责任到人(responsibility)、及时性(timely) 2004年9月国际内部审计师协会（IIA）发布的全面风险管理中内部审计角色的职位说明书中提出的SMART (specific, measurable, actionable, responsibility, timely）标准。的评价意见和改善建议，协助管理层更有效地进行风险管理活动，减少或降低阻碍企业战略目标实现的任何障碍。4. 风险管理审计采用的方法具有系统性、规范性，主要包括：了解管理当局在战略上、运营上和价值上的目标；识别和评估阻碍企业达到上述目标的关键经营风险；理解管理当局对于相关风险的承受度；评估风险管理活动，并将其降低至可接受风险水平。这些方法在风险基础/导向审计中也运用，但风险管理审计在运用这些方法时，主要利用数量模型来量化风险、对风险进行排序，以便为公司提出具有针对性的精细分类的风险管理策略并提出改善意见，而风险基础/导向审计在运用这些方法时，侧重于定性评价内部控制及其控制风险，目的是为了找到公司内部控制不能防范的剩余风险，以确定下一步对剩余风险予以查证的实质性程序的性质、时间和范围。5. 风险管理审计的重心在于识别目前风险管理有效性水平与期望水平之间的差距，以评价和改进风险管理的有效性。为此，风险管理审计属于凸现咨询活动的企业内部审计 Bailey等认为，咨询活动显得有些新颖，但它所囊括的许多活动实际上早已成为内部审计工作的一部分。的一种，它是审计人员执行内部控制评价和管理审计的合理拓展，即站在战略层面和风险管理全过程的角度，对企业风险管理进行审计。现实中，企业根据需要，在进行风险管理审计的同时，也可以从某种专门的需要出发，安排内部控制评价或管理审计。三、风险管理审计是一种制度安排1. 正如注册会计师审计是企业外部治理的一种制度安排一样，风险管理审计也作为企业内部治理的一种制度安排而存在。在现代企业中，公司治理是基于企业所有权与经营权相分离后而引发的有关委托代理关系及“内部人控制”等问题而被逐步提出的，人们希望公司治理通过一系列制度安排有效运行而形成治理循环，为公司不断培育和提升增值能力提供保障。如图1，企业的外部治理在运行时，市场这个“看不见的手”将会发挥作用：资金在资本市场中由低效益领域流向高效益领域；经理人在经理市场会因企业业绩变化而提升经理人价值，或被赶出经理市场（如利用收购、兼并等）；产品的适销对路或积压会把企业推向大发展或濒临破产；劳动力也会追逐利益而流动，但这些市场的敏感反应必然借助于注册会计师的审计，“年度审计是公司治理的一个基石审计提供了外部的客观的审查，该过程中需要准备和提供财务报表” Cadbury Report, 1992, 36, para.5.1。，注册会计师审计担负着过滤会计信息风险、合理保证会计信息质量、降低会计信息识别成本的责任，被利益相关者视为重要的利益保障机制（程新生，2005），从而有利于提高公司的透明度，减少外部治理运行中的信息不对称而引发的一系列后果（逆向选择和道德风险）。企业的内部治理运行时，配置和行使控制权、监督和评价董事会、经理层和职工以及设计和实施激励机制等制度至关重要，但更为重要的是这些制度如何被执行。众所周知，制度执行的关键在于评价，评价的关键又在于咨询，风险管理审计在公司内部治理中就承担了咨询的职责，即从企业发展战略的视角评价、鉴证企业全面风险管理，并站在战略高度，具体到企业运营中各个流程和环节，并提出具有建设性的建议。这不仅有利于企业形成“自上而下”和“自下而上”相协调的制度执行机制，也能够促使企业形成自我纠正、自我完善、不断提升的内部治理机制。市 场 环 境社会文化政策环境企业内部治理引进风险管理审计制度外部治理引进注册会计师审计制度产品市场资本市场经理市场劳动市场图1 企业的内外治理制衡机制2. 相对于内部控制和风险管理的“监督”要素，风险管理审计成为内部控制和风险管理运行中内生和外生相协调的制度安排。如图2公司内部治理框架所示，企业的内部控制和风险管理是企业治理层的工具，但却根植在企业经营管理的每一个流程和环节当中，属于公司治理机制的核心。对于一个现代化企业来讲，无论按照“内部控制整体框架（Internal ControlIntegrated Framework）”（COSO框架）或是“全面风险管理整合框架（Enterprise Risk Management）”（COSO-ERM框架）来构建自身的内部控制和风险管理框架，框架本身都内生存在“监督”环节 COSO框架的“五要素”包括“内控环境、风险评估、内控活动、信息与沟通和监督”COSO-ERM框架的“八要素”包括“内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控”。监督是对内部控制和风险管理系统有效性进行评估的过程，可以通过持续性监督、独立评估或两者的结合来实现。内部控制和风险管理内生要素中“监督”如果仅仅限于自我评估，则无论是否是持续的，都可能会出现“不识庐山真面目，只缘身在此山中”的情况，因此，需要特设的一个制度安排风险管理审计，由直接隶属于董事会（可以通过审计委员会，但最终是对董事会负责）的审计部门组织实施，以落实内部控制和风险管理的各个环节的自我评价为基础的专门的审计活动，并且利用咨询意见，在战略层面上为董事会提供发现、防范并纠正自身战略风险的意见。为此，在公司内部治理框架中，风险管理审计成为内部控制和风险管理运行中的内生和外生相协调的制度安排，其内生性表现在风险管理审计本身是内部控制和风险管理中“监督”环节所要求的独立评估部分；其外生性体现在风险管理审计是特设的制度安排（强调直接隶属于审计委员会的内部审计部门实施）来保证内部控制和风险管理在不断修正中有效运行；其内生和外生相协调表现在内部审计部门在实施风险管理审计中，必须以企业内部控制和风险管理的自我持续评估为基础，但要站在战略高度，把握全面风险，来对整个公司内部治理的全过程以及各个层面（治理层和控制层）实施监督。股东大会或利益相关方董事会审计委员会报酬委员会提名委员会财务委员会风险管理委员会首席执行官审计部门业务部门风险管理部门风险管理审计治理层面决策审核与监督控制层面决策拟定与执行图2 公司内部治理框架四、引进风险管理审计后的协调在整个公司治理中引进风险管理审计后，需要协调以下关系：（一）公司治理与风险管理审计的关系研究图2所示公司内部治理中相关方在企业全面风险管理中的地位和职责，包括：1. 董事会董事会对企业的风险管理负有监督职责，监事会下设风险管理委员会，作为企业风险管理的最高决策机构，其主要是通过以下方式实现其职责：了解和评估主要利益方不断变化的需求和期望；了解管理者在企业内部建立有效风险管理的程度、获知并认可企业的风险偏好；为管理层提供公司治理目标和风险承受水平方面给予连续的指导、权限和监督；接收或评估由管理层提供的，关于根据其确定的风险承受水平管理企业效果的信息。2. 管理层企业的首席执行官对企业的风险管理最终负责，企业高层确定风险管理的基调，从而影响企业内部员工的操守和价值观。企业管理层应当确保公司治理能够体现在公司的运营中：接受由董事会提供的连续指导，确保正确的风险管理活动得以实行、以便在风险承受限度内管理企业；重新评价风险承受水平，确保它们在符合董事会的风险承受水平的同时继续反映企业的需要；向风险所有者授权，使他们有能力控制风险并对企业的变化作出反应；接收和评估由风险所有者提供的在风险承受水平内企业管理绩效的信息；向董事会传递整个企业在风险承受水平内企业管理绩效的信息。3. 风险所有者各个部门和岗位的责任人均是风险所有者，他们在各自的职责范围内建立并维护有效的风险管理。首席风险管理师承担了监督风险管理进度，并帮助其他风险所有者在企业内向上、向下和横向报告有关风险信息的职责，也可以成为企业风险管理委员会的一员。一旦通过企业风险管理流程被授予风险管理的权限，每个风险所有者应当在企业总体公司治理目标下进行日常决策。这一权力与一定的责任相匹配：理解公司不断变化的风险组合以及董事会和高级经理确定的风险承受水平，确保风险管理活动与公司确定的风险承受水平相一致；重新评价风险管理活动的设计是否能继续提供合理的保证；评估各种能力是否能继续与实施风险管理活动相匹配；监督风险管理活动，确保其有效运行并取得预期的结果；为高级经理提供在风险承受水平内企业管理绩效的信息。4. 审计部门在现实经济生活中，公司内部治理结构设计容易，但运行难，这不仅需要董事会、高级经理和风险所有者之间的良好沟通，更需要对公司内部治理进行独立的鉴证活动，以确保风险管理活动是有效的，并且沟通是准确的，这就需要引入风险管理审计制度，以保证公司内部治理高效运行。其关键的活动有：评估风险管理活动的设计是否有效；判断风险管理活动是否按设计的运作；评估风险所有者对管理层就风险管理绩效的声明是否准确；评估由管理层提供给董事会的信息是否完整而准确；监督风险承受水平是否由董事会和管理层及时向下传递；识别由集中化的风险管理流程尚不能覆盖到的风险领域。这些独立的鉴证活动为利益方、董事会和经理提供了信心，也促进了公司治理有序、高效地运作。从以上分析可见，公司治理与风险管理审计是密不可分的，一方面，公司治理是实施风险管理审计的制度环境，是促使风险管理审计有效开展，并保证风险管理审计功能发挥的前提和基础。另一方面，风险管理审计是公司内部治理趋于健全完善的一种制度保证，这种制度具有如下功能：（1）评价。风险管理审计是针对公司内部治理的关键环节（单独或整体），如识别风险、计量风险、风险排序以及风险管理等予以评价，以明确风险预警信号、关键风险点以及风险管理和应对策略等是否切实可行，企业整体风险管理流程设计是否合理，运行是否有效。（2）鉴证。风险管理审计拓展了传统的财务审计仅仅鉴定和证明受托人履行财务责任的情况，对受托人履行管理责任情况，即业务活动和管理业绩也予以鉴定和证明。（3）咨询。风险管理审计不仅要对企业风险管理活动予以评价，还要针对企业风险管理中存在的问题，提出具有针对性(specific)、可测量性(measurable)、可实施性(actionable)、责任到人(responsibility)、及时性(timely) 2004年9月国际内部审计师协会(IIA)发布的全面风险管理中内部审计角色的职位说明书中提出的SMART (specific, measurable, actionable, responsibility, timely)标准。的评价意见和改善建议，协助管理层更有效地进行风险管理活动，减少或降低阻碍企业战略目标实现的任何障碍。（4）报告或沟通。在公司治理中，向董事会报告的机制是保障企业有效和高效运行的政策、方法、程序、技术手段的总称。内部审计部门应每年至少向管理层和董事会提交一次审计报告，当企业出现重大风险事项时，内部审计部门应及时向董事会报告，并在风险管理审计中随时与管理层和风险所有者进行沟通。正是依赖于风险管理审计的评价、鉴证、咨询和报告的功能，公司内部治理才在不断修正中形成向管理层提供全面的指导、权限和监督的动态循环，有利于公司治理效率的提高。（二）内部控制与风险管理审计的关系企业风险管理理论是从内部控制理论不断演进发展而来的，以下通过分析国际上内部控制沿革中几个权威报告，来把握企业风险管理与内部控制的关系。1. 美国COSO报告1985年，为应对财务报表舞弊的频繁发生，美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FBI)、国际内部审计人员协会(IIA)和管理会计师协会(IMA)五个职业协会提供资助成立“全美反舞弊性财务报告委员会(National Commission on Fraudulent Reporting)”，但人们普遍称之为“特雷德威(Treadway)委员会”，后来该委员会转变为“发起组织委员会”(Committee of Sponsoring Organizations of the Treadway Committee)即COSO。该委员会在调查中发现，在其研究样本中，将近50的财务舞弊事件可以全部或部分归咎于内部控制失败。该委员会同时认为，应该建立一个统一的、可操作的内部控制框架。1992年2月，COSO委员会公布了“内部控制框架”，提出内部控制五要素论，由于该报告没有把保障资产作为控制部分，招致以美国审计总署为代表的批评。1994年，该委员会公布了“内部控制整体框架(Internal ControlIntegrated Framework）”（COSO框架），COSO内部控制框架认为，“内部控制是由企业董事会、经理阶层以及其他员工实施的，为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现提供合理保证的过程”，这较之1992年内控框架，补充了一个目标，即资产保护。2000年，安然、世通会计舞弊案暴露了公司内部控制存在缺陷，因而2002年美国国会通过萨班斯法案，萨班斯法案强调上市公司不但要有内部控制，CEO和CFO要对与财务相关的内控控制做出声明，而且还要向投资者证明这个控制是有效的（要求注册会计师对公司的内部控制做出鉴证），一旦出现问题，CEO和CFO将为此承担最高至500万美元的罚款和上至20年的监禁刑事责任。为应对政策界的要求和实务界的变化，2004年8月美国COSO正式公布了“全面风险管理整合框架(Enterprise Risk Management)”（COSO-ERM框架），指出“风险管理是由企业董事会、经理阶层以及其他员工实施，应用于企业战略制定并贯穿于整个企业，识别可能影响公司的潜在事项，将风险管理在一定范围内，为实现企业战略目标提供合理保证的一个过程”。相对于COSO框架来讲，COSO-ERM框架凸现了“风险”观念，增加了：（1）风险组合观；（2）战略目标；（3）两个概念：风险偏好和风险容忍度；（4）三个要素：目标制定、事项识别和风险反应。2. 英国的科恩布尔报告1997年英国银行监管当局鉴于1995年2月巴林银行倒闭的教训，提出了强化内部控制、风险管理、内部审计功能的建议。1999年，Turnbull委员会 英国注册会计师协会(ICEAW)和伦敦证券交易所(LSE)共同成立的。将伦敦证券交易所指定的卡特伯里(Cadbury)、格林伯里(Greenbury）以及哈姆佩尔(Hampel)委员会有关公司治理的报告 卡特伯里报告对公司治理的以下四个方面提出了改进建议：（1）在向股东评价和报告公司绩效方面，董事的责任；（2）董事会审计委员会建立和运行方面；（3）审计人员的主要责任；（4）股东、董事会和审计人员之间的关系。格林伯里报告旨在提供一种平衡董事的薪酬和绩效的工具。哈姆佩尔报告旨在调整股东和利益相关者之间的平衡。并在一起，形成了一系列原则性的要求，即“科恩布尔报告”(Turnbull Report)内部控制：综合准则董事指南。该报告要求企业的管理者承担起建立合理的内部控制系统、审核内部控制有效性、向股东报告有关发现的职责；对控制系统的审核应覆盖所有的控制，包括经营性、合规性控制以及风险管理；同时，执行风险控制政策是管理层的职责，并进一步确认内部控制在风险管理方面是有效的。这不仅引起了英国公司治理界对内部控制性质的重新定义，将内部控制对准了风险管理，也为公司及董事会提供了具体的、颇具可行性的内部控制指引。Turnbull委员会2004年对该报告进行了彻底的审核，2005年颁布了新的版本，更加强调了风险的概念。3. 加拿大CoCo报告1994年12月，加拿大多伦多证券交易所发布Ray报告，要求公司报告内部控制的适当性。1995年11月加拿大特许会计师协会(CICA)的标准委员会公布了更为明细的指南，即CoCo报告。CoCo报告倾向于使用“控制”一词，这比COSO报告使用的“内部控制”的概念更为广泛，如CoCo报告把目标确定、战略规划、风险管理和纠错行动看作是“控制”概念的组成部分。另外，CoCo报告制定了用于评价各项内部控制目标的20条具体标准。该报告整合的风险管理是从公司战略、计划到一线运营、人力资源和业务流程系统程序。其框架包括：（1）总体流程有：目标确定风险领域风险评估风险应对学习；（2）具体流程有：确定问题，设置背景评估风险领域风险计量（风险程序、可能性、影响）排列风险设置期望结果建立选择方案选择决策实施策略监控、评估和调整。由此可见，内部控制和风险管理有区别，如风险管理的理论和实务要比内部控制宽泛得多，但两者本质上存在协调性：即内部控制既是风险管理的主要构成部分，又是实现风险管理的手段（如对于属于影响小但经常发生的风险，企业多采用完善内部控制来减少风险的风险管理策略）；无论风险管理增加了什么创新的观念和术语，都保留和发展了内部控制的核心理念；最为重要的是，企业追求内生增值的途径必然要求内部控制拓展到从战略层面、凸现关注企业风险的企业全面风险管理。为此，引入风险管理审计对内部控制的意义在于：能够运用专业人员（内部审计人员）持续地识别出内部控制的差距，并提出完善和提高内部控制效率的具体措施；能够鉴证管理层向董事会报告的内部控制履行情况，能够为董事会核准修正内部控制提供咨询服务，从而促使内部控制在不断修正、全面沟通中充分发挥应有的职能。当然，一个内部控制设计完善和执行有效的企业，其风险管理审计的风险也会随之而降低。（三）注册会计师审计与风险管理审计的关系在现代经济中，企业内外治理的高效运行需要透明、及时、客观的信息作为决策依据，这需要安排风险管理审计制度和注册会计师审计制度，风险管理审计和注册会计师审计的关系，也就表现在企业内外治理的协调上。1. 当企业风险管理审计能够为公司内部治理有效运行提供保证时，企业始终处于不断自我完善和提升中，注册会计师的审计会为企业“锦上添花”，鉴证其报表的合法性和公允性，不仅降低了注册会计师审计风险，企业也会因注册会计师的年报审计而提升其声誉。2. 当企业风险管理审计不能够为公司内部治理有效运行提供保证时，企业内部控制会因没有能力过滤企业经营风险，企业经营风险会没有阻碍地和控制风险一起加大企业财务报表风险，注册会计师审计风险增大。在这个过程中，如果注册会计师审计能够独立、客观地揭示出企业财务报表虚假，企业外部市场环境将更加恶化，市场选择将把企业推向更加艰难的境地；如果注册会计师审计不能够独立、客观地揭示出企业财务报表虚假，企业外部治理制衡机制将会因信息不对称而混乱，这反过来会加大企业的风险，这实质上揭示了如果企业内部缺乏识别和防范财务报表舞弊的内在机制，单靠企业外部的监督和治理，企业风险反而会增大。相应，企业内外治理机制的协调也体现在风险管理审计和注册会计师审计的协调上，风险管理审计为注册会计师审计提供了了解、评价和管理风险的基础资料，注册会计师审计从外部鉴证了风险管理审计的效率。有时，企业的风险管理审计也会委托给注册会计师来提供。五、结束语针对企业出现财务舞弊以及管理层与大股东合谋造假、严重的内部人控制等问题，引入了风险管理审计，目的在于实践“制度的关键在于执行，执行的关键在于评价，评价的关键在于咨询”的公司治理命题。对应于注册会计师审计、对应于内部控制和风险管理的“监督”要素，风险管理审计是适应于企业内外公司治理制衡、内部控制和风险管理运行的内生性和外生性相协调的一种制度安排，这种制度安排通过评价、鉴证、咨询和报告职能来促使企业形成自我纠正、自我完善、不断提升的公司治理循环，有利于提高公司治理的效率。当然，在论述中涉及到内部控制、风险管理、公司治理、注册会计师审计以及风险管理审计关系的描述，尚有待于实证研究的跟进。参考文献：1 美国COSO. 企业风险管理整合框架S. 2004.2 英国IRM（风险管理学会），AIRMIC（保险与风险管理师协会），ALARM（全国公共部门风险管理论坛）. 风险管理准则S. 2002.3 澳大利亚，新西兰，AS/NZS 4360，风险管理准则S. 2004.4 加拿大，CAN/CSA-Q850-97，风险管理指南S. 1997.5 王晓霞. 企业风险审计M. 北京：中国时代经济出版社，2005.6 卓继民. 现代企业风险管理审计M. 北京：中国财政经济出版社，2005.7 中国内部审计协会. 内部审计在治理、风险和控制中的作用S. 北京：中国财政经济出版社，2004.8 吉尔所罗门，阿瑞斯所罗门. 公司治理与问责制S. 大连：东北财经大学出版社，2006.9 Maijoor, S. (2000). The internal control explosion. International Journal of Auditing, 4, 101-109.10 Blokdijk, J. H. (2004). Test of control in the audit risk model: Effective? Efficient? International Journal of Auditing, 8, 67-78.11 ACCA. (2000)