内部审计新发展:企业风险管理框架分析

现代公司治理结构中，内部审计担负着监督信息真实性的重大责任，是确保受托责任有效履行的手段，并随着受托责任的发展而不断发展。近年来全球经济金融整合程度加深，企业的经营环境也日趋复杂，这促使企业面临的风险程度不断加剧，风险管理逐渐成为企业管理的核心。

早期基于风险管理的研究主要是以管理学相关理论为基础。企业作为一个持续经营的微观市场主体，在日常营运中可能遭受到战略风险、经营风险、财务风险、不可抗力风险等诸多风险，在防范风险的过程中，企业管理的重要内容之一就体现为建立适时有效的风险预警、评估系统，用以评价、估测各种风险的类型和程度，并选取相应的控制措施。随着公司治理、内部控制研究的日益深入，学者们逐渐将宏观管理的视角转向企业内部，并结合内部审计再一次诠释企业风险管理的重要性。严晖(2004)系统地阐述了风险导向内部审计与内部控制、风险管理和公司治理之间相辅相成的关系；并分析公司治理与公司管理的关系，考察内部控制演变过程与公司管理的关系，重点研究COSO的最新研究成果ERM对公司治理和公司管理的影响。毛敏(2004)从内部审计与风险管理的互动关系上，预测了内部审计工作重点不再是控制测试而是评估和管理风险。黄园园(2005)认为与企业风险管理的协调和整合是内部审计获得发展和增加价值的重要途径。刘霞(2007)认为，对企业风险管理进行监督和评价是现代内部审计发展的结果。笔者认为，企业风险管理是基于内部审计的基础上，不断萌芽、发展的，是内部审计的高级阶段，企业风险管理框架是一个三维立体的由多变量共同决定的风险管理体系，通过自身目标的履行，要素的实施过程，来预测并弱化控制风险；同时，与企业内部的具体环境密切结合，对内部审计职能的有效施行、内部审计人员的素质提出了更高的要求。

一、企业风险管理框架分析

企业风险管理的基础性前提是每一个主体的存在都是为其利益相关者提供价值。所有的主体都面临不确定性，管理当局所面临的挑战就是在为增加利益相关者价值奋斗的同时，要确定承受多大的不确定性。管理当局依据不确定性，制定战略和目标，力求实现增长和报酬目标以及相关的风险之间的最优平衡，并且在追求所有主体的目标的过程中高效率和有效地调配资源，以使价值得以最大化。通过COSO给出的企业风险管理的框架，可知企业风险管理是一个过程，持续地流动于主体之内；由组织中各个层级的人员实施；应用于战略制定；贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观；旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；能够向一个主体的管理当局和董事会提供合理保证；力求实现一个或多个不同类型但相互交叉的目标。

(一)企业风险管理的目标COSO报告将企业风险管理的目标归纳为：战略目标、经营目标、报告目标、合规目标。战略目标规划企业经营管理活动所必须长期坚持的有效愿景。经营目标涉及到企业经营的效果与效率，包括业绩指标与盈利指标，旨在提高企业有效及高效地利用资源的能力。报告目标关注企业报告的可靠性，分为对内报告和对外报告，涉及财务和非财务信息。合规目标是最基础的目标，考察企业经营遵循相关的法律法规的情况。其中，战略目标层次最高，反映了管理者为努力实现利益相关者创造价值的目标而做出的选择。

(二)企业风险管理的构成要素企业风险管理包括八个互相关联的要素，这些要素来自管理层经营企业的方式，并和管理流程整合在一起。包括：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通及监控。宏观上，内部环境是企业风险管理的基础，为企业风险管理其他组成部分的顺利运行提供了平台。目标设定是全面风险管理的起点，是其他要素的驱动力量。在目标设定的前提下，对影响目标的风险进行事件识别，进而对识别的事项进行风险评佑，风险评估驱动风险反应，影响控制活动，信息与沟通和监督贯穿于企业风险管理的整个过程，并对各个组成要素进行修正。这样，企业风险管理就成为了一个多元化、多方向的、不断重复、相互作用动态的过程。

(三)企业风险管理框架评析认定一个主体的企业风险管理是否“有效”，除了目标制定上的正确性外，还要判断其构成要素是否存在，且有效运行。构成要素如果存在并且正常运行，就可能没有重大缺陷，而风险则可能已经被控制在主体的风险容量范围之内。如果确定企业风险管理在所有四类目标上都是有效的，那么董事会和管理当局就可以合理保证了解主体，并实现其战略和经营目标及主体报告的可靠性以及符合适用的法律和法规。

在ERM框架中，内部审计人员在监督和评价内部控制及相关成果方面承担着重要任务，必需协助管理层和董事会监督、评价、检查、报告和改革ERM的运行情况，这对内部审计人员的能力提出了更高的要求。对内审人员而言，最大的挑战是在ERM中扮演何种角色。但COSO报告认为内审人员不应对建立ERM体系承担主要责任。这可能使内审人员的职责从原来对CFO和内审委员会负责转变为对CFO、内审委员会和风险主管负责。从ENM框架中，笔者发现，其新增加了一个角色――风险主管或风险经理。风险主管除了需要和其他管理人员一样，在自己的职责范围内建立起风险管理外，还要帮助其他经理人报告企业风险信息，成为风险管理委员会的成员之一。可见，风险管理框架的运用对管理层进行了重新配置，加强了管理人员的风险意识，深化了内部控制，同时明确内部审计是风险管理的高层确认者、是对风险管理的再管理。

二、企业风险管理与内部审计的关系

对比COSO制定的ERM概念与IIA修定的内部审计定义，不难发现，企业风险管理框架主要应对潜在的事项，将战略决策贯穿于整个企业实施的过程中，将风险控制在企业偏好的容量限度内，并为企业目标的实现提供合理的保证。因此，风险管理框架下的内部审计关注的核心是企业在实现其自身目标下所经历的各类风险，以及风险大小的测量、风险预警系统的设置情况。

(一)风险管理框架下的内部审计应用效果分析第一，内部审计不同于单纯的财务审计及管理审计，而是融风险管理。公司治理和内部控制的审查于一体，更关注企业在整个治理过程中的决策风险和经营风险。第二，内部审计的职能更加明确。西方业界的“外包化”理念迅速地传至中国，通过外包，企业可以利用民间审计的优势资源和较低的成本为企业服务，这在一定程度上抢占了内部审计人员的业务。生存危机使内部审计部门必须努力寻求自身的存在路径，为企业组织提供独特的增值服务。而在风险管理框架下，企业雇员利用对企业具体经营模式的高度熟悉度及忠诚程度从民间审计CPA事务所手中夺得审核企业的权利，凸显了其优势i通过咨询与鉴证服务，内审人员制定出适合企业的专用审计方案，帮助企业快速作出决策，并提高决策的科学性、实用性，使审计人员的职能更加

明晰突出。第三，内部审计拓展了风险管理的工作范围。传统审计所提供的保证服务通常是事后对某一领域或事项的评价；而风险管理则是对可能影响组织的潜在事件的管理，贯穿于事前、事中、事后并覆盖整个企业。这使内部审计逐渐形成了基于战略计划和风险评估而制定的，向管理层提供确认和咨询的主动服务方式。风险管理框架下的内部审计为强化公司治理及健全内部控制提供了良好的沟通桥梁，促进了公司治理与现代内部控制的协同与整合，有利于企业内部受托责任委员会定期开展评价活动。

(二)内部审计对风险管理框架的促进作用内部审计在企业风险管理中的首要角色是监督者，包括对风险流程的识别评估，对最终产品流程报告的评估和对关键风险管理的预测。在企业风险管理框架中，内审人员首先要针对企业所处行业的特点及企业自身的优势劣势进行SWOT分析，制定出适合企业发展的战略计划，然后识别出可能影响企业运营的事项。为识别这些事项，必须对风险进行评估。可运用“风险坐标图”进行评估。在风险坐标图上，风险的类型和程度均予以标明，通过风险坐标图，可以指明在哪些领域、哪些关键业务上公司的风险比较大，可能会产生不利影响。在明晰和估测风险后，可利用一些模型、软件来测算风险的大小，如果风险值在风险的容量内，该方案就是可行的，否则就需重新设计方案，重新进行优化选择。

此外，内部审计的成功实施还会对企业文化的积淀起着积极的促进作用。企业文化是一个企业在长期生产经营中倡导、积累，经过筛选提炼成的，是企业的灵魂和潜在的生产力，是打造企业核心竞争力的战略举措。企业在不断应对风险的过程中，通过制定的战略规划，建立起企业风险管理文化，而内部审计的职能则由单纯的监督检查的保护性职能向与咨询服务的建设性职能并重转变，使企业的风险管理文化日趋成熟。

三、企业风险管理框架的构建

目前，许多国内企业开始积极进行风险管理建设的尝试，在一定程度上增强了企业抗风险的能力。但总体上，国内企业对风险管理的意识还比较淡薄，这客观上促使我国要在现有的关于企业内部控制及审计准则的基础上建立一套比较系统的、完善的中国企业风险管理框架，来指引和规范当前企业的运营及长远发展。国资委2006年6月的《中央企业全面风险管理指引》正是为推进风险管理建设做出的有益尝试和重大突破。由于我国实行的是以公有制为主体，多种所有制经济共同发展的社会主义市场经济体制。国有经济、集体经济及混合所有制经济并存，体制结构较为复杂。参照《中央企业全面风险管理指引》，可以区分不同的经济体制，分别进行风险管理框架的构建。

(一)国有经湃风险管理框架构建探讨对于大型的国有经济，实施风险管理框架的重点应从完善公司法人治理结构人手。一个良好的公司治理结构应当实现组织既定目标，维护股东的权益；确保利益相关者的合法权益，并且鼓励公司和利益相关者积极进行合作，保证及时准确的披露与公司有关的任何重大问题，包括财务状况、经营状况、所有权状况和公司治理状况的信息；确保董事会对公司的战略性指导和对管理人的有效监督，并确保董事会对公司和股东负责。因此，完善的公司治理应该保持良好的内部控制制度、内部审计制度，双管齐下，按照合规性和效益性原则，全面建立风险管理框架体系。重点要以国有企业改革为契机，建立现代企业制度，完善法人治理结构，强调国家作为出资者对企业的绝对控制权，以资本控制为纽带加强董事会、监事会在风险管理框架中的地位，建立健全管理机构，厘清权责分派体系，建立新型的激励约束机制。此外，要重视现代网络信息技术运用和财务预警机制的建立。还要注重对整个企业组织文化的培养及员工的继续教育与培训工作。

(二)中小企业风险管理框架构建探讨中小企业的数量很多，经济结构也较为复杂，大部分中小企业为非国有企业淇面临的主要问题有组织机构职责不明、家族管理制普遍；决策机制灵活性较大、战略意识模糊；人员素质较低等。因此，企业应从实施风险管理框架的最基础工作做起，规范相应的公司法规，厘清混乱的局面。按照合规经营的要求建立内部控制框架，做到财产管理制度健全、会计信息真实，在此基础上，逐步按效益性要求建立风险管理框架。此外，风险管理框架的建设与运行中需要大量高层管理者大力推动，因此中小型企业更应引进人才，注重培训，提高企业人员素质，特别是管理者的素质。

企业风险管理框架是一项综合性的、复杂的现代管理系统，短期内很难达到满意效果，需要在相当长的时期中不断摸索和实践。现在已经施行风险管理框架的企业，如甲骨文公司、GOOCLE已经取得了较好的管理经营业绩。这也从一个方面说明了建立风险管理框架的重要意义。风险管理框架孕育于内部审计之中，更是内部审计发展的高阶段，在经历了时间和实践的检验后，必将以蓬勃的势头广阔发展。