ERM框架与风险导向审计.docVIP

ERM框架与风险导向审计 一、引言 21世纪以来，竞争环境不断变化，企业面临的风险也随之扩大。企业在利用经营杠杆获取超额收益的同时，随之而来的是呈几何级数放大的风险。企业的发展与风险的关系像是一朵两生花，企业的经营必将伴随着风险的产生。2004年10月，COSO组织出台了《企业风险管理-整体框架》，使更多的企业认识到了风险管理的重要性，为企业防范与规避风险提供了很好的借鉴。 二、风险管理与风险导向审计概念 风险管理（ERM）在发展过程中不断更新与完善。在发展中丰富内涵，使之具有时代性。2006年6月6日，国务院国资委在《全面风险管理指引》中将ERM定义为：企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理体系，为实现风险管理的总体目标提供合理保证的过程和方法。而在2017年COSO组织发布的《企业风险管理框架》中，将ERM定义为：“组织在创造、保存、实现价值的过程中赖以进行风险管理的，与战略制定和实施相结合的文化，能力和实践。而风险导向审计是指通过注册会计师对被审计单位进行风险职业判断，通过审计程序将剩余风险降低到可接受水平的审计模式。其主导思想是在降低审计风险的基础上促进企业的良性发展。 三、ERM框架的构成思路 ERM框架是审计界为了更准确的显示风险管理的流程而构造的三维立体框架。它的核心包括“448”结构（四个目标、八个要素、四个层面）。ERM框架是审计行业发展创新的杰出成果。它将风险管理与内部控制紧密结合，在COSO内部控制框架的基础上进行延伸，象征着内部控制面向的领域从实际经营过程转向风险，内部控制提供了更科学的思路。ERM框架各个部分的构成简单明了，目标维度由战略、运营、报告和合规目标组成；层面维度包括公司层面、分支机构、业务单位和子公司；要素维度包括内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通和监督八个方面。三个维度逐一展开进行组合可以得到128个风险管理事件（4﹡4﹡8=128），每一个事件都可以看作被风险导向审计的对象。在以风险为导向的基础上对各个事件的分析，有利于规避运营风险，体现了内部控制的目标。 四、企业风险导向流程分析 ERM框架认为风险管理是在组织运行中“持续进行”的流程。组织在对未来的发展进行战略决策时，需要根据可能影响组织的潜在事项进行事前管理，将风险控制在可接受的范围内，水到渠成的达到组织目标。基于ERM框架与企业风险管理的成果，可以初步建立风险导向审计模型。（一）编制审计计划。中国内部审计协会（IIA）出台的《内部审计实务标准》要求管理者将计划与风险相联系，且业务计划应该反映该企业的风险战略。在风险导向审计下，内部审计更注重与高层的风险战略连接在一起，审计人员应当通过风险识别与分析来保证业务计划与审计计划的一致性。所以审计部门在审计流程开始之前应当选择潜在审计对象，并且评估审计风险，根据实际情况制定审计计划。（二）实施审计测试。根据ERM框架可以将审计测试进一步细化，把流程分解为风险识别的审计、风险评估的审计和风险应对的审计。风险识别的审计要求审计人员通过实施必要的审计程序，对企业识别风险流程进行审查与评价，审查企业确立风险识别的原则是否合理、方法是否适当，过程是否公允。风险评估的审计要求审计人员综合评价识别出的风险，并且企业风险管理部门的评价结果对比，形成审计发现。风险应对的审计要求审计人员对风险应对措施的适当性和有效性进行审计，判断应对措施的效果和效益如何。（三）出具审计报告。审计报告是注册会计师在遵守独立审计准则的前提下，在实施了必要审计程序后出具的带有审计意见的书面文件。风险导向审计报告的内容与结论的格式应该与其他类型审计报告相同，应当简洁明了，还要关注被识别出的各项风险因素的披露和审计建议的执行情况。此外，风险事件的突发性还要求审计人员在某些时候需出具“期中审计报告”，需要及时反映突发性风险事件的情况。（四）实施后续审计。出具审计报告并不意味着审计流程的终结，在出具审计报告后进行后续审计也属于审计的重要组成部分。与其他类型审计不同，风险导向审计的后续审计应以风险的可能性与影响为目标，将审计的重点放在风险最大的问题上。此时，审计人员应重点关注审计流程中发现的风险潜在事项是否纠正，被审单位是否按照审计建议的要求对企业进行改良，是否有未检查出的审计风险。随着竞争环境的不断演进，风险管理是现代审计发展到一定阶段的必然选择，具有重要的实践意义。而风险导向审计流程以风险为导向，以增值为目标的理念在未来必将受到更多的重视。风险导向审计应该更加公允客观，将风险分析和管理贯穿整个审计流程，为审计发展谋一条新出路。 参考文献： [1]路媛媛，袁洋.风险导向