风险管理审计与ERM时代公司治理

一、风险管理审计与公司治理的关系
   
　　2008年6月28日，国家五部委联合发布《企业内部控制基本规范》，出台企业内部控制制度应用指引、评价指引、审计指引。2013年5月，全球最具影响力的内部控制和风险管理标准制定机构——美国COSO委员会发布了新的《内部控制——整合框架》，在继续采用原有内部控制定义和五要素的基础上，考虑商业和运营环境变化，详细列示了用以支持内部控制五要素的17项基本原则。实践证明内部控制应该与风险管理结合起来，2002年，英国颁布AIRMIC/ALARM/IRM风险管理标准，2005年5月1日实行的《中国内部审计准则》具体准则第16号为风险管理审计。国资委发布的《中央国有企业风险管理指引》对适用企业各业务循环及相关部门在风险识别、分析、评价、应对等风险管理过程环节内容进行全面指导。
  
　　风险管理，是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程，旨在为组织目标的实现提供合理保证，包括以下主要阶段：
  
　　（一）风险识别，根据组织目标、战略规划等识别所面临的风险；
　　（二）风险评估，对已识别的风险评估其发生的可能性及影响程度；
　　（三）风险应对，采取应对措施，将风险控制在组织可接受的范围内。
   
　　风险管理审计指内部审计人员实施必要的审计程序，充分了解组织的风险管理过程，审查和评价其适当性和有效性；对风险评估过程进行审查与评价，对风险识别过程进行审查与评价，重点关注组织面临的内、外部风险是否已得到充分、适当的确认；对管理层所采用的风险评估方法进行审查，评价风险评估方法的适当性和有效性，对风险应对措施进行审查，向组织适当管理层报告审查和评价风险管理过程的结果，并提出改进建议。
  
　　企业面临的风险包括内部和外部风险，外部风险指外部环境中对组织目标的实现产生影响的不确定性，主要来源于以下因素：
  
　　（一）  国家法律、法规及政策的变化；
　　（二）  经济环境的变化；
　　（三）  科技的快速发展；
　　（四）  行业竞争、资源及市场变化；
　　（五）  自然灾害及意外损失；
　　（六）  其他。
   
　　内部风险指内部环境中对组织目标的实现产生影响的不确定性，主要来源于以下因素：
  
　　（一）组织治理结构的缺陷；
　　（二）组织经营活动的特点；
　　（三）组织资产的性质以及资产管理的局限性；
　　（四）组织信息系统的故障或中断；
　　（五）组织人员的道德品质、业务素质未达到要求；
　　（六）其他。
     
　　企业全面风险管理审计一般包括针对企业全面风险管理框架和政策设计合理性、恰当性的评价，以及对企业风险管理实施的效率和效力的评价。
  
　　全面风险管理的实施强化了企业的审计控制职能、全面风险管理职能，许多企业在决策层设立风险管理和审计委员会，在经营层面设立风险管理和审计部门，或者将二者合署为审计督查中心。
  
　　公司治理与风险管理审计密不可分，公司治理是风险管理审计的制度环境，促使风险管理审计有效开展、并保证风险管理审计功能发挥；风险管理审计是公司治理内容必不可少的部分，成为公司治理趋于健全完善的一种制度保证，风险管理审计在公司内部治理中的功能如下：

　　（一）评价。风险管理审计针对识别、计量风险或风险排序等予以评价，或者就风险预警信号、关键风险点控制以及相应的应对策略是否切实可行予以评价，或者就企业整体风险管理流程设计是否合理以及运行是否有效予以评价。

　　（二）鉴证。风险管理审计对受托人履行管理责任情况，即业务活动和管理业绩予以鉴定和证明，拓展了财务审计鉴定和证明受托人履行财务责任的情况。

　　（三）咨询。风险管理审计不仅要对企业风险管理活动予以评价，还要针对企业风险管理中存在的问题提出具有针对性、可测量性、可实施性、责任到人、及时性的评价意见和改善建议，协助管理层更有效地进行风险管理活动，减少或降低制约企业战略目标实现的任何障碍。

　　（四）报告或沟通。在公司治理中，向决策层报告是保障企业有效/高效运行以及保障决策层及时应对风险的重要战略机制。内部审计部门每年或定期向决策管理层提交审计工作报告，当企业出现重大风险事项时及时动态报告，并在风险管理审计中随时向管理层、风险所有者进行沟通。风险管理的这些功能促进公司治理在不断修正中形成向管理层提供全面的指导、权限和监督的动态循坏，有利于公司治理效率的提高。

　　同时，二者还有些区别，公司治理可以细分为内部公司治理和外部公司治理，外部治理是指外部市场和公司外利益相关者对公司经营者的激励和约束，内部治理则是指通过公司内部的治理制度安排而形成的公司经营者之间的相互激励和约束。

　　（一）公司内部治理机制主要包括:

　　(1)股东权利保护和股东大会作用的发挥；（2)董事会的形式、规模、结构
及独立性；（3)董事的组成与资格；（4)监事会的设立与作用；（5)薪酬制度及激励计划；（6)内部审计制度等。这些内部治理方面制度安排的目的是建立完善的监督、激励、约束和决策机制。

　　（二）外部治理中最主要的形式包括公司接管市场、机构投资者以及市场竞争机制等，公司接管市场是英美等国公司治理中早期的主要形式，外部接管市场是解决公司委托-代理问题的最后手段，它的存在削弱了现代股份制公司所有者和经营者分离的问题，小股东的“搭便车”问题也通过这一市场得到了相当程度的缓解。

　　在股权分散的情况下，机构投资者成为广大中小投资者约束经营者的最重要机构，随着机构投资者本身实力的壮大和资本市场效率性的增强，机构投资者通常采取以下措施影响公司决策管理层，提高公司质量，实现超额收益。这些措施有：

　　推动监管部门和证券交易所加大公司治理方面的要求，特别是增加信息披露；将公司治理评级融入投资流程，作为购买、持有和出售股票的依据，对上市公司形成压力；独立进行上市公司治理研究，对被投资公司的公司治理提出意见；与公司治理机构合作积极行使代理投票权；推行股东积极主义，机构投资者逐步参与公司董事和CEO的选拨，向管理层提出兼并、重组等建议；通过信用评级机构的信用报告了解公司治理的情况；成立公司治理基金或社会责任基金。

从市场竞争体系的角度看，公司外部治理形式主要包括：

　　（1)产品市场。包括国内贸易和国际贸易，公司需要市场占有率和利润，产品市场的激烈竞争带来的利润下降、亏损等威胁激励股东、经营者和员工努力工作。规范和竞争的产品市场是评判公司经营成果和经理人员管理业绩的基本标准。（2)经理人市场。功能完善的经理市场能根据经理人员的前期表现对其人力资本估价，充分的经理人市场竞争在很大程度上能动态地显示经理人的能力和努力程度，使经理人努力提高自身的能力，约束自己的机会主义行为。（3)资本市场治理。兼并、收购、接管等涉及到公司控制权，是合理的公司治理结构的重要组成部分。（4）社会审计与评价治理，中国国家治理体系中的经济法律体系日趋完善，社会审计与评价机构的专业客观评价体系让公司决策管理层和全体员工不得不尽全力规范自己的组织行为。

　　无处不在的外部市场压力和威胁与内部治理机制的有机结合形成了完整的公司治理体系。
    
　　分工和专业化可以减少重复学习和投资，增加劳动者熟练程度，减少小农经济条件下工作转换的时间，减少人的有限理性的局限性，大大提高生产率，为人们提供大量的经济剩余。然而分工和专业化意味着合作和交易的必要性，在一、二、三次分配的过程中，由于人的寻租和机会主义等不足产生巨额的交易费用，分工和专业化产生的经济剩余大打折扣，甚至有可能阻碍分工。为了约束人们的有限理性和机会主义，减少交易费用，企业和市场这两种制度安排用以协调分工和专业化以减少交易费用。企业在协调分工方面比市场更有效，而公司治理和内部控制是企业屮最为重耍的制度，公司的内、外部治理形式也是企业和市场手段在协调社会分工中的作用体现。
 
　　二、风险管理审计的公司治理制度安排

　　（1）公司治理机制
 
　　就公司治理来说，风险管理审计经常审计公司治理机制，如是否设立或指定风险管理部门，是否有风险预估、识别、评价、应对机制与方案，是否有动态的风险报告、沟通机制。
 
　　决策层对利益相关方的需要与期望是否了解并定期刷新，对利益相关方可能产生不利影响的结果是否明确，对这些可能结果相关风险承受水平是多少，授权的管理部门是否能在可承受的风险水平内运作。
 
　　决策层能否重新评价公司治理指导和风险承受水平，高级管理人员的信息沟通是否具体明确。

　　（2）企业风险管理流程
 
　　对于决策来说必要的流程和活动应该为高级管理人员所熟悉，如市场情报的搜集，，竞品信息，终端市场的反馈，最新技术国标等。对于超过风险承受水平的商业因素至少为高级管理人员关注，并将权力和受托责任委托给适当的风险所有者。对于企业的各种风险承受水平，应该在高级管理人员与决策层之间有一个良好的信息沟通、传递，并根据变化的情况进行实时调整，及时向公司各风险所有者终端指导。

　　风险管理活动应该进行有效的设计，并按设计的框架和过程进行运作，确保风险管理的整体保障体系有效，企业的关键风险能被识别并处在治理或控制状态，风险管理绩效的声明准确，风险信息完整和准确，集中化的风险管理流程全覆盖，风险治理或风险控制信息披露可靠。
 
　　三、企业常见风险审计

　　企业应及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。任何一个企业乃至其中的各个责任中心，无时无刻不面临诸多风险的侵袭。企业常见的风险包括：
   
　　整体层面风险、内部控制风险、营销风险、财务风险、操作风险、法律合规风险、人力资源管理风险、战略风险、公司治理风险、IT风险、质量控制风险、行业或部门和项目特定风险等。
  
　　财务风险又可以分为整体性财务风险和特定财务风险。投资风险、筹资风险、经营失败而引起的资金周转困难风险以及分配风险等都属于财务风险。
   
　　企业整体层面风险审计一般包括全面风险管理框架和政策设计合理性与恰当性的评价，以及包括对企业风险管理实施的效率和效力的评价。

　　内部控制审计既可以整体进行，也可以按照对某一部门或某一环节的内部控制进行审计，国际国内的内部控制规范与标准为内部审计人员提出了框架和指引，审计人员针对企业内部控制设计的合理性和内部控制运行的有效性提出评价，并对其重大缺陷提出警示改进建议。银行、证券等行业有自己的内部评价办法、风险控制指标管理办法。

　　审计人员能够以企业营销流程图、营销环境、营销运作以及营销人员等为审计目标来执行审计程序，对企业营销风险识别、分析、评价方法的合理性，对营销风险控制的合理性以及有效性提出意见。

　　整体性财务风险审计为识别企业主要财务风险（如造成50%损失的因素），评价财务风险管理框架和政策的得当性与合理性，检查财务风险管理政策的落实情况，检查企业财务风险控制体系的设计水平和运行有效性（其中包括检查财务预警体系、财务制度体系和财务应急措施等），以及评价财务风险综合治理措施的有效性。

　　特定财务风险管理领域审计，如对财务报告的真实性和可靠性实施审计，对财务合规实施审计、对某一财务活动实施审计，以及对企业流动性风险管理、融资风险管理和投资风险管理实施审计等。

　　人力资源管理风险审计，从人力资源的招聘、分配岗位、业绩评价以及对员工的激励约束等环节执行审计程序，对企业识别、分析、评价以及对应人力资源风险管理活动进行评价并提出建议。

　　对企业战略管理过程实施水平进行评价，找出企业在管理可控制性战略风险方面的差距和缺陷，评价企业管理那些不可控制的战略风险的技艺水平，另外，针对企业某些战略风险管理活动也可以实施评价，例如针对企业收购合并的行为或针对企业开发新产品的决策实施评价。

　　IT风险管理审计根据《内部审计具体准则第28号——信息系统审计》、计算机审计实施，质量控制体系审计根据ISO质量标准体系实施，同时结合国标、国标推广技术进行，重点关注质量成本管理。
 
　　四、风险管理审计结论与报告评价

　　审计资源的配置涉及到专业化问题，如数据处理效率，衍生金融工具业务、安全环境审计等。

　　常规的风险管理审计频率通常按照COSO-ERM(2004)框架的四个层面进行：即整体层面、分部层面、业务单位层面、子公司层面，对这企业管理层面风险管理水平的审计一般宜一年或半年周期实施一次。审计的内容和深度根据企业情况决定。还可以按照关键风险分布实施周期性的风险管理审计，采用风险分数确定审计频率，如每半年或每一年或两年等。根据风险分数进行排序，根据风险性质进行审计抽样，如杜邦“沸腾壶”模型中，风险因素表现为高风险占10%，敏感风险占30%，适中风险占40%，低风险占20%，对应的风险结构决定了审计资源配置，高风险因素要实施详细、全部审计，敏感性质的风险因素一般收取50%的样本，适中风险因素抽样25%，低风险因素抽样10%。
  
　　风险的严重性一般包括：不严重、轻度严重、中度严重、严重、高度严重。

　　风险可能性（概率）一般包括：不发生（《5%）、不太可能（《25%）、可能（＜50% ）、很可能（ ＞50%）、肯定（＞90%）。
 
　　风险的层次评价（扩展的尺度）包括极小的威胁、轻度威胁、中度威胁、严重威胁、灾难性威胁。
 
　　风险承受限度的评价包括：
　　
　　避免，在任何情况下都不允许此风险发生；
　　降低，实行持续地管理此风险的政策、流程和程序，将风险影响降低到最低、组织可以接受范围之内；
　　管理，预测相关风险发生，采取前瞻性行动降低影响；
　　检查，风险发生后在其影响过大之前及时检查并报告此风险；
　　接受，风险的发生是可以接受的。
 
　　风险管理/控制可扩展度（可管理性或可控性）评价包括：无风险管理、低层次的风险管理、中等的风险管理、拓展的风险管理、持续的风险管理。
 
　　风险管理成熟度评价（采用风险管理成熟度模型评价），包括：
　　A级：特定风险管理
　　B级：初步风险管理
　　C级：可重复性风险管理
　　D级：主动性风险管理
　　E级：前瞻性风险管理。

　　被审事项现有风险管理水平或效力评价，一般包括效力（effectiveness）、效率（efficiency）和系统整合性（coherence）评价。

　　风险管理审计的结论为评估企业整体（或被审事项）风险管理体系运行效果，评估每一个风险应对策略的科学性、合理性和落实效果，评估旨在落实风险策略的每一个将主要风险控制在可接受水平的管理活动效果，评估在现有风险治理和风险控制之水平下每一个（或某一个，根据审计任务决定）关键风险现存的风险暴露水平，比较这种风险暴露与期望值之间的差距，提出缩小差距的建议行动步骤和实施方案。风险管理审计的总结始终把重点放在风险管理的总体效果上。如强大的风险管理、一般水平的风险管理、薄弱的风险管理，风险管理审计建议则包括：现有系统运行良好，无需改变；现有系统需要全部或局部改变，包括改进的方案设计，方案实施的要求，方案实施效果的预计，未实施此方案的后果分析。

　　企业全面风险管理的使命是弱势最小化、减小不确定性和绩效最优化，应用于企业的整个生命过程，以及一系列广泛的活动、过程、职能、项目、产品、服务、资产、业务、操作和决策。
实施全面风险管理审计将促使整个企业（集团）建立共同的风险语言。