有關風險管理審計準則
風險管理 *** Risk Management ***的定義為,當企業面臨市場開放、法規解禁、產品創新,均使變化波動程度提高,連帶增加經營的風險性。良好的風險管理有助於降低決策錯誤之機率、避免損失之可能、相對提高企業本身之附加價值。
風險管理審計準則中出現的問題根源就在於準則中的“風險管理”概念採納了COSO委員會1997年的內部控制-整合框架中的觀點。然而,理論界和實務界還是認為該內部控制框架有些侷限性,如對風險強調不夠,使得內部控制無法與企業的風險管理相結合。COSO委員會2004年的ERM框架就是在1997年的內部控制-整合框架的基礎上,結合《薩班斯——奧克斯利法案》的相關要求擴充套件得到的。相比內部控制框架,ERM框架在多個方面都有所發展和深化,具體表現在以下幾個方面:
1、企業風險管理涵蓋了內部控制。增加了新的要素或賦予原有要素新的含義,對內部控制框架下的風險管理要素進行細化,按風險管理的流程劃分為:目標設定、事件識別、風險評估、風險反應四個要素。同時,在環境要素中增加了“風險管理哲學”以及風險“偏好”。對比二者的構成要素,可以發現風險管理框架中的目標制定、事項識別、風險評估、風險應對四個要素實質上就是風險管理的流程,也可以理解為狹義上的風險管理。這樣看來,內部控制框架與風險管理框架中的要素完全一致。但是系統論認為,系統的性質不僅取決於組成系統的各要素,更依賴於組成系統的各要素的排列方式。在內部控制三個目標的基礎上增加了戰略目標,並擴大了報告目標的範圍,將“財務報告的可靠性”發展為“報告的可靠性”。
2、企業風險管理更加強調管理風險。ERM框架強調在“組合”的基礎上考慮風險,考慮風險的集合和風險的互動作用,並在此基礎上考慮企業應採取的風險控制措施。在強調風險管理的環境下,ERM框架顯然不同於內部控制框架。
總之,ERM框架擴充套件並詳細地闡述了與企業風險管理相關的那些內部控制要素。從企業風險管理要求和實施來看,內部控制是ERM的主要構成部分,但絕對不能等於ERM範疇,ERM的理論和實務都要比內部控制寬泛得多,ERM更適合企業戰略風險管理的要求。因此,不能說風險管理審計是內部控制審計的一部分。
三、建議
基於以上分析,要實現真正意義上的風險管理審計,對風險管理審計準則中的風險管理概念的理解就必須建立在廣義的基礎之上,即採納COSO委員會***2004***ERM框架中的廣義風險管理概念。鑑於內部控制與風險管理二者密不可分的聯絡,在現行的準則體系下可以協調內部控制審計準則與風險管理審計準則之間的關係,以使風險管理審計準則能得以更有效的實施。