风险管理框架下审计实务流程问题研究

【摘要】全面风险管控框架的构建和实施是最近几年企业界的热潮，对审计工作产生了相当大的影响。对此，笔者根据多年的审计工作经验，以商业银行为切入点，从企业风险管理框架要素分析入手，探讨企业风险管理框架下审计实务操作发生的变化及特征，最后发掘审计实务流程的局限并从中感悟启示。

【关键词】风险管理 审计实务 流程问题

一、企业风险管理的变迁及其蕴含的发展趋势

1992年，COSO委员会了《内部控制——整合框架》，提出了包含控制环境、风险评估、控制活动、信息与沟通、监察五个要素的基本框架。2004年，COSO委员会在此基础上提出了《企业风险管理——整合框架》，将内控五要素扩张为八个要素，增加了目标设定、风险识别和风险应对三个要素，实现了从内控到风险管理的演变和转型。2006年，国资委出台了《中央企业全面风险管理指引》，发起中央企业构建全面风险管理体系的倡导；2008年，进一步提出了中央企业要在3—5年内建立全面风险管理年报制度，强力推动风险管理在国内的实施和普及。

在这些理论和制度的推动下，企业风险管理的本身发展透露出其内在的轨迹和趋势，具体情况如下：

1.在层面上，由外而内不断深入

最初风险管理主要关注虚假财务报告风险，只是看报告中的数据错误、一致与否，很少关注产生某些现象的原因。而后，随着实践的深入，逐渐自觉探讨数据背后的内在风险因素，进而深挖到企业运行的各个环节，在内部按照组织运行纹理防控风险。

2.在范围上，由点到面持续拓展

最初风险管理主要关注重要业务环节风险，比较机械地认为把握住了关键流程及关键控制点就等于把握住了全部。随着实践的深入，逐渐意识到这种机械思维的不足，进而懂得根据组织运行的逻辑和控制机制寻找、发掘、识别、评估包括公司治理、市场竞争环境、企业发展战略以及国家监管政策等方面因素的系统风险。

3.在环节上，由后至前强化预控

一开始，风险管理主要关注风险损失弥补，缺乏主动性，严重影响了其本身对组织运行的推动作用。随着实践的深入，更有意识地将关注重心前移，逐渐开始强调在业务活动发生前或进展过程中及时评估风险发生的可能性及影响程度，通过制定有效的风险管理策略在比较靠前的环节中，尽力将风险消除在萌芽状态。

二、企业风险管理框架下审计实务操作的变化分析

基于金融业的特殊性，风险管理理念在金融业中的应用时间早、范围广、幅度大、层面深，在很长时间内几乎成为金融业的专属，对金融业商业银行审计实务影响也最大而深刻。具体而言有如下几点：

（一）在审前准备阶段强化风险识别和分析

随着风险管理的引进、深入及在金融等系列行业内的实施普及，风险在审计工作中的地位逐渐抬头，并成为核心关注因素，也是审计准备阶段的关注重心。对于商业银行而言，审前准备工作重要着眼于战略风险和业务经营风险的识别和初步评估工作。对于前者，以银行组织目标层面的高度和视野，估量组织战略目标以及影响组织战略目标实现系列因素，在风险排序及去伪存真的基础上形成重大风险清单。对于后者，以产品相关业务和内部管理活动为主要对象以控制情况信息为主要维度和视角，大量收集相关信息，在此基础上重点关注关键控制点和风险点。

（二）编制计划阶段强化风险评估的基础性作用

审计准备阶段过后便是切实进入审计规划阶段，也就是编制审计计划。在这个阶段，风险同样是核心考虑因素，一要考虑需要应对关注的相对关键和主要的风险因素，确定基本审计范围；二要在选定风险因素中根据各自度量排序，确定各区域或环节的审计次序。对于商业银行而言，风险评估需覆盖业务单元与机构单元，前者是把特定银行作为一个整体，汇总、考量、分析、判断整个银行的运行风险，籍此提供审计计划的基础信息之一；后者以特定银行内部的机构设置为经，以各分支机构的风险表现及影响差异为纬，以强化适用性为原则，分解落实审计计划在微观部门的分配和安排。

（三）实施审计测试阶段强化以风险管控情况为旨归

审计测试实际上是审计计划的推行和落实，因此要想对严格地遵循计划阶段确定的范围和次序，同时在对剩余风险精确判断的基础上在抽样数量及证据支撑等相关资源分配方面给予适当即时性调整。对于商业银行而言，除了组织内部相关风险因素的关注外，在执行审计测试阶段还要充分考虑国际环境、国家政策、金融形势以及同业竞争态势等外部因素，灵活通过各种方式获得准确而充分的相关证据，籍此支撑对柜面业务效率等内部运行情况的审计工作，以推进审计结果的全面、客观而准确。

（四）撰写审计报告阶段强化风险管控情况评估

对于商业银行而言，审计报告不宜过于零散，而应该紧紧把握战略风险和流程风险，以此为基础顺应金融业务的拓展网络及审计工作的本身规律，形成独特而高效的报告内容结构，助力相关层级的负责人员推动风险管理流程再造并提升管理效果。

三、风险管理框架下审计实务流程的局限

在风险导向审计工作推行过程中也暴露了其本身的局限，具体而言主要有操作局限和功用局限两种。

（一）操作局限

传统审计虽然漏洞很多，理念滞后，但有因自生性质而在操作方面形成的无可比拟的优势。而风险导向审计不同，外生的风险管理在国内及特点经济组织内的实施需要另外配备先进理念的汲取和内涵、合适人才的培养、信息系统及相关技术、审计方法和技能的积淀等系列额外条件才能切实推进实施，否则只能是空中楼阁而无法推行。在现实实务中，如上系列条件同时充分具备的频率不是太高，尤其是具有充分胜任能力的审计人才的培养及安全的信息系统，这方面往往会很难确实具备，这制约了实施和操作力度。

（二）功能局限

在帮助企业减少经营发展中的不确定性，将风险损失影响降到最低，从而实现审计工作的价值增值，促进企业目标实现及价值增值等方面起到了传统审计难以比拟的作用。不过，风险管理也有其自身的功能局限，对此COSO委员会在《企业风险管理——整合框架》也强调“合理保证并不是绝对保证”，专门论述了其具体局限。同样，风险管理框架下的风险导向审计也因此注定了不可能完全解决审计方面的所有问题，在功能方面具有相当的局限，有待于持续完善、发展和嬗变。

面对如上局限，我们应该对风险导向审计流程给予有限的依赖，在推进实施的过程中即时性思考探索克服其局限性的路径，在可能的情况下可采取回归的模式以传统审计的范式和方法对冲弥补风险导向审计模式的缺失。