張曉東 鄔奕強(qiáng)

[摘? ? 要] 風(fēng)險(xiǎn)管理審計(jì)評價(jià)是針對企業(yè)風(fēng)險(xiǎn)管理設(shè)計(jì)與運(yùn)行的有效性進(jìn)行評價(jià)。本文以美國反虛假財(cái)務(wù)報(bào)告委員會下屬的發(fā)起人委員會（以下簡稱COSO）的2017新版《企業(yè)風(fēng)險(xiǎn)管理——與戰(zhàn)略和績效的整合》（ERM 2017）的要素、原則等為基礎(chǔ)，建立了“目標(biāo)層+要素層+指標(biāo)層+評價(jià)層”的風(fēng)險(xiǎn)管理評價(jià)架構(gòu)，提出了公司風(fēng)險(xiǎn)管理評價(jià)的方式方法，建立了風(fēng)險(xiǎn)管理評價(jià)模型。

[關(guān)鍵詞] ERM 2017;風(fēng)險(xiǎn)管理;評價(jià)模型

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 17. 007

[中圖分類號] F239? ? [文獻(xiàn)標(biāo)識碼]? A? ? ? [文章編號]? 1673 - 0194（2019）17- 0017- 03

0? ? ? 引? ? 言

2018年，審計(jì)署正式將風(fēng)險(xiǎn)管理列入內(nèi)部審計(jì)職責(zé)范圍。風(fēng)險(xiǎn)管理審計(jì)是針對企業(yè)風(fēng)險(xiǎn)管理設(shè)計(jì)與運(yùn)行的有效性進(jìn)行審計(jì)，是參與企業(yè)全面風(fēng)險(xiǎn)管理的重要手段。孟焰和潘秀麗（2006）認(rèn)為企業(yè)風(fēng)險(xiǎn)管理的有效性主要取決于風(fēng)險(xiǎn)管理的監(jiān)督和評價(jià)，風(fēng)險(xiǎn)管理的審查和評價(jià)是內(nèi)部審計(jì)的新領(lǐng)域。劉李福和鄧菊香（2014）認(rèn)為，風(fēng)險(xiǎn)管理審計(jì)更注重對企業(yè)風(fēng)險(xiǎn)管理及其效率的評價(jià)，是現(xiàn)代審計(jì)的重要發(fā)展方向。風(fēng)險(xiǎn)管理審計(jì)評價(jià)是企業(yè)風(fēng)險(xiǎn)管理的最后的環(huán)節(jié)，是實(shí)現(xiàn)企業(yè)風(fēng)險(xiǎn)管理閉環(huán)運(yùn)行的關(guān)鍵。在實(shí)踐中，黃慶惠等（2016）基于ERM 框架，提出了持續(xù)審計(jì)為導(dǎo)向的內(nèi)部控制審計(jì)模式;盧俊峰（2018）遵循ERM框架，構(gòu)建了基層央行風(fēng)險(xiǎn)管理審計(jì)評價(jià)框架，建立了風(fēng)險(xiǎn)管理審計(jì)評價(jià)模型。但是，上述企業(yè)風(fēng)險(xiǎn)管理實(shí)踐多是基于COSO 2004版ERM框架開展的，ERM 2017在當(dāng)前企業(yè)風(fēng)險(xiǎn)管理實(shí)踐中應(yīng)用不足。本文在總結(jié)了公司風(fēng)險(xiǎn)管理持續(xù)審計(jì)實(shí)踐的基礎(chǔ)上，基于COSO 2017版ERM框架，提出企業(yè)風(fēng)險(xiǎn)管理評價(jià)的方式方法，建立風(fēng)險(xiǎn)管理審計(jì)評價(jià)模型。

1? ? ? 風(fēng)險(xiǎn)管理的內(nèi)涵

2004年，COSO結(jié)合《內(nèi)部控制整合框架》和《薩班斯—奧克斯利法案》，頒布了《企業(yè)風(fēng)險(xiǎn)管理整合框架》（ERM），首次將內(nèi)部控制與風(fēng)險(xiǎn)管理結(jié)合。ERM對風(fēng)險(xiǎn)管理的定義為：企業(yè)風(fēng)險(xiǎn)管理是一個(gè)過程，受企業(yè)董事會、管理層和其他員工的影響，包括內(nèi)部控制及其在戰(zhàn)略和整個(gè)公司的應(yīng)用，旨在為實(shí)現(xiàn)經(jīng)營的效率和效果、財(cái)務(wù)報(bào)告的可靠性以及法規(guī)的遵循提供合理保證，并將風(fēng)險(xiǎn)管理分為內(nèi)部環(huán)境、目標(biāo)制定、事件識別、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)反應(yīng)、控制活動、信息與溝通、監(jiān)督8個(gè)要素。

隨著企業(yè)經(jīng)營環(huán)境發(fā)生了巨大變化，COSO于2017年正式發(fā)布新版《企業(yè)風(fēng)險(xiǎn)管理——與戰(zhàn)略和業(yè)績的整合》（ERM 2017）。ERM 2017將風(fēng)險(xiǎn)管理定義為“組織在創(chuàng)造、保持和實(shí)現(xiàn)價(jià)值的過程中，結(jié)合戰(zhàn)略制定和執(zhí)行，賴以進(jìn)行管理風(fēng)險(xiǎn)的文化、能力和實(shí)踐”。ERM 2017將原有的8個(gè)要素整合成為5個(gè)要素，即治理和文化，戰(zhàn)略和目標(biāo)的設(shè)定，績效，審閱與修訂，信息、溝通與報(bào)告，并明確提出20項(xiàng)原則。

ERM 2017在風(fēng)險(xiǎn)管理的定義、框架、要素、原則等方面變化明顯，厘清了風(fēng)險(xiǎn)管理與內(nèi)部控制框架的邊界，從使命、愿景和核心價(jià)值觀出發(fā)，強(qiáng)調(diào)風(fēng)險(xiǎn)與價(jià)值的關(guān)系（即風(fēng)險(xiǎn)不再都是“負(fù)面”的，風(fēng)險(xiǎn)也意味著機(jī)會），為企業(yè)開展全面風(fēng)險(xiǎn)管理實(shí)踐提供了理論依據(jù)。

2? ? ? 風(fēng)險(xiǎn)管理審計(jì)方式方法

在風(fēng)險(xiǎn)管理審計(jì)時(shí)，首先要開展符合性測試，確認(rèn)各關(guān)鍵點(diǎn)風(fēng)險(xiǎn)管理措施是否存在，并得到貫徹執(zhí)行，根據(jù)測試部位可信賴程度的分析，找出風(fēng)險(xiǎn)管理的薄弱點(diǎn)和失控點(diǎn)，同時(shí)確認(rèn)審計(jì)重點(diǎn)，從而決定實(shí)質(zhì)性測試的范圍、重點(diǎn)和方法等。如果在初步了解、調(diào)查后發(fā)現(xiàn)組織風(fēng)險(xiǎn)管理制度缺失或非常薄弱，或沒有得到遵守，則可直接進(jìn)入實(shí)質(zhì)性測試，同時(shí)必須擴(kuò)大實(shí)質(zhì)性測試的范圍。

在此基礎(chǔ)上，結(jié)合連續(xù)與間歇模擬方法和嵌入式審計(jì)模塊技術(shù)等持續(xù)審計(jì)方法和技術(shù)，應(yīng)用關(guān)聯(lián)規(guī)則、分類、聚類、預(yù)測分析法等數(shù)據(jù)挖掘技術(shù)以及大數(shù)據(jù)集成和管理技術(shù)，在數(shù)字化審計(jì)平臺開展風(fēng)險(xiǎn)管理持續(xù)審計(jì)（如圖1所示）。例如，在工程管理中，常存在“未批先建”的情況，通過數(shù)字化審計(jì)平臺的模型實(shí)驗(yàn)室，建立審計(jì)程序自動查找已領(lǐng)料的工程項(xiàng)目，并比對相關(guān)可研批復(fù)或核準(zhǔn)信息，若領(lǐng)料時(shí)間早于批復(fù)、核準(zhǔn)時(shí)間的，作為審計(jì)疑點(diǎn)輸出。

3? ? ? 公司風(fēng)險(xiǎn)管理持續(xù)審計(jì)工作流程

將風(fēng)險(xiǎn)管理審計(jì)與持續(xù)審計(jì)理論、技術(shù)和模型相結(jié)合，公司圍繞風(fēng)險(xiǎn)管理的關(guān)鍵環(huán)節(jié)確定風(fēng)險(xiǎn)管理審計(jì)主題，根據(jù)各個(gè)主題特點(diǎn)，由公司審計(jì)部統(tǒng)一組織，各級審計(jì)部門分層實(shí)施。公司風(fēng)險(xiǎn)管理持續(xù)審計(jì)工作流程包括主題確定，數(shù)據(jù)獲取，模型搭建，疑點(diǎn)核實(shí)，問題整改，工作報(bào)告和成果應(yīng)用等。

公司風(fēng)險(xiǎn)管理持續(xù)審計(jì)的工作過程如下：由審計(jì)部統(tǒng)籌制定風(fēng)險(xiǎn)管理持續(xù)審計(jì)范圍和審計(jì)主題;各級審計(jì)部門根據(jù)持續(xù)審計(jì)主題，明確風(fēng)險(xiǎn)管理審計(jì)關(guān)鍵要素和指標(biāo)，成立審計(jì)工作組;審計(jì)組搭建自動審計(jì)程序，利用數(shù)字化審計(jì)平臺，結(jié)合數(shù)據(jù)挖掘、持續(xù)監(jiān)控和風(fēng)險(xiǎn)評估等方法，查找經(jīng)營管理中存在疑點(diǎn)和風(fēng)險(xiǎn)，判定疑點(diǎn)風(fēng)險(xiǎn)水平，下發(fā)疑點(diǎn)核實(shí)工單;被審計(jì)單位進(jìn)行疑點(diǎn)的核查和反饋，并提供說明和佐證材料;公司審計(jì)部下達(dá)審計(jì)意見，各級審計(jì)部門負(fù)責(zé)具體的問題整改工作，提出整改計(jì)劃和方案;被審計(jì)單位向上級單位提交整改報(bào)告，上級單位對問題整改情況進(jìn)行跟蹤督導(dǎo);各級審計(jì)部門定期向公司審計(jì)部報(bào)送風(fēng)險(xiǎn)管理持續(xù)審計(jì)工作報(bào)告。

4? ? ? 公司風(fēng)險(xiǎn)管理持續(xù)審計(jì)評價(jià)體系

本文以ERM 2017的要素、原則為基礎(chǔ)，建立“目標(biāo)層+要素層+指標(biāo)層+評價(jià)層”的風(fēng)險(xiǎn)管理審計(jì)評價(jià)架構(gòu)（如表1），目標(biāo)層是實(shí)現(xiàn)公司發(fā)展戰(zhàn)略和經(jīng)營目標(biāo)。要素層包括治理與文化，戰(zhàn)略和目標(biāo)，績效，審閱與修訂，信息、溝通與報(bào)告5個(gè)要素。指標(biāo)層是針對要素層各個(gè)要素的進(jìn)一步細(xì)分，以績效為例，績效是在風(fēng)險(xiǎn)偏好的背景下，識別風(fēng)險(xiǎn)，并按照嚴(yán)重程度和發(fā)生可能性排序，選擇風(fēng)險(xiǎn)應(yīng)對措施，并采取風(fēng)險(xiǎn)組合的視角，包括風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)排序、風(fēng)險(xiǎn)應(yīng)對、風(fēng)險(xiǎn)組合5個(gè)指標(biāo)。指標(biāo)層可進(jìn)一步分為次級指標(biāo)，以風(fēng)險(xiǎn)排序?yàn)槔?，可分為風(fēng)險(xiǎn)發(fā)生的可能性和影響的嚴(yán)重程度2個(gè)次級指標(biāo)。

5? ? ? 公司風(fēng)險(xiǎn)管理審計(jì)評價(jià)模型

在上述風(fēng)險(xiǎn)管理評價(jià)指標(biāo)體系的基礎(chǔ)上，根據(jù)相關(guān)次級指標(biāo)的權(quán)重值以及評價(jià)實(shí)施階段對相關(guān)次級指標(biāo)評分進(jìn)行計(jì)算，獲得指標(biāo)評價(jià)值;根據(jù)指標(biāo)權(quán)重計(jì)算出各要素評價(jià)值，進(jìn)而計(jì)算出風(fēng)險(xiǎn)管理評價(jià)值。具體的審計(jì)模型如下：

式中，EV為公司風(fēng)險(xiǎn)管理評價(jià)值;Ei為第i個(gè)要素的評價(jià)值;Wi為第i個(gè)要素的權(quán)重值。

上述模型中，為保證風(fēng)險(xiǎn)管理評價(jià)結(jié)果的合理性，在確定各要素所對應(yīng)的評價(jià)指標(biāo)后，對各指標(biāo)的權(quán)重分配也需通過科學(xué)的方法來確定。本文采用模糊判斷矩陣法、層次分析法，計(jì)算各要素及指標(biāo)的權(quán)重（見表1）。

5.1? ?指標(biāo)權(quán)重賦值

通過向風(fēng)險(xiǎn)管理專家發(fā)放問卷，對每組指標(biāo)與上一層級的指標(biāo)間的重要程度進(jìn)行打分，即如果指標(biāo)與若干個(gè)次級指標(biāo)有聯(lián)系，通過次級指標(biāo)的兩兩比較，得到次級指標(biāo)相對于上一層級指標(biāo)的重要性，采用1-9的標(biāo)度，構(gòu)造兩兩比較判斷矩陣。

運(yùn)用幾何平均法，計(jì)算判斷矩陣每一行指標(biāo)的乘積，并計(jì)算該乘積的5次方根，求得特征向量，并對向量Wi規(guī)范化。計(jì)算判斷矩陣的最大特征根和一致性指標(biāo)，得到平均隨機(jī)一致性指標(biāo)。如果該值小于0.1，說明矩陣具有滿意的一致性，可以確定該層指標(biāo)的權(quán)重。

5.2? ?風(fēng)險(xiǎn)管理評價(jià)值計(jì)算

根據(jù)上述企業(yè)風(fēng)險(xiǎn)管理評價(jià)指標(biāo)體系，運(yùn)用專家意見法進(jìn)行評分，對每個(gè)次級指標(biāo)，評估小組進(jìn)行討論確定分值，結(jié)合層次分析法所確定的要素權(quán)重，采用加權(quán)平均法，計(jì)算企業(yè)風(fēng)險(xiǎn)管理評價(jià)值。

根據(jù)計(jì)算出的企業(yè)風(fēng)險(xiǎn)管理評價(jià)值，將公司風(fēng)險(xiǎn)管理水平等級由低至高分為不同等級，如簡單級、規(guī)范級、優(yōu)秀級等，并根據(jù)5個(gè)要素評價(jià)值，繪制的企業(yè)內(nèi)部控制和風(fēng)險(xiǎn)管理審計(jì)評價(jià)蛛網(wǎng)圖，對企業(yè)風(fēng)險(xiǎn)管理進(jìn)行綜合評價(jià)。

6? ? ? 結(jié)? ? 論

當(dāng)前，公司已建立了基于大數(shù)據(jù)、云計(jì)算的數(shù)字化審計(jì)平臺，形成平臺支撐的風(fēng)險(xiǎn)管理持續(xù)審計(jì)新局面。本文總結(jié)了公司開展風(fēng)險(xiǎn)管理持續(xù)審計(jì)的方式方法和實(shí)踐，以ERM 2017的要素、原則等為基礎(chǔ)，建立了“目標(biāo)層+要素層+指標(biāo)層+評價(jià)層”的風(fēng)險(xiǎn)管理評價(jià)架構(gòu)，提出了企業(yè)風(fēng)險(xiǎn)管理評價(jià)的方式方法，建立了企業(yè)風(fēng)險(xiǎn)管理評價(jià)模型。

主要參考文獻(xiàn)

[1]黃慶惠， 何黎萍， 劉輝成， 等. 以持續(xù)審計(jì)為導(dǎo)向的內(nèi)部控制審計(jì)模式探討[J]. 中國內(nèi)部審計(jì)， 2016 （7）： 20-27.

[2]孟焰， 潘秀麗. 企業(yè)風(fēng)險(xiǎn)管理審計(jì)研究[J]. 審計(jì)研究， 2006（3）： 61-63.

[3]舒?zhèn)?，左銳，陳穎，等.COSO風(fēng)險(xiǎn)管理框架的新發(fā)展及其啟示[J].西安財(cái)經(jīng)學(xué)院學(xué)報(bào)，2018，31（5）：41-47.

[4]劉李福，鄧菊香.風(fēng)險(xiǎn)管控與風(fēng)險(xiǎn)管理審計(jì)：研究評述與框架[J].中國內(nèi)部審計(jì)，2014（5）：24-27.

[5]盧俊峰.基層央行風(fēng)險(xiǎn)管理審計(jì)評價(jià)研究[J].中國內(nèi)部審計(jì)，2018（11）：30-36.