风险管理综合框架的评价及其对现代审计的意义
[摘 要] 在分析企业风险管理框架的基础上,对企业风险管理的优缺点给予了评述。企业风险管理框架对现代审计有着重要意义,应积极应对。
[关键词] 企业风险管理框架 内部控制 注册会计师 审计
2004年9月29日,美国COSO委员会(The Committee of Sponsoring Organization of the Treadway Commission)发布了《企业风险管理综合框架》(Enterprise Risk Management-Integrated Framework》(即ERM-IF,简称“ 框架”),描述了适用于各类规模组织的企业风险管理的重要构成要素、原则与概念。框架集中关注风险管理,为董事会与管理层识别风险、规避陷阱、把握机遇进而增加股东价值提供了清晰的指南。
1 风险管理综合框架的二分法评价
风险管理综合框架开发时正值企业丑闻与失败的高发期,而企业丑闻与失败使投资者、公司员工及其他利益相关方遭受重创。之后,改善公司治理与风险管理、颁布新的法律、规则及上市准则的呼声日益高涨。对企业风险管理框架的需求,冀望由此提供关键性的原则与概念、共同的理解基础以及明确的方向与指导变得日益迫切。COSO认为,此份《企业风险管理综合框架》填补了上述需求,并预言它将会被公司与其他组织(实际上所有的股东及利益相关方)广泛接纳。
COSO委员会提出,企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程,应用于企业的战略制定和企业的各个部门和各项经营活动,用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险,对企业目标的实现提供合理的保证。根据管理者经营的方式划分,企业风险管理包括8个相互关联的组成要素:内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与交流和监控。内部环境是企业风险管理的基础,为企业风险管理所有其他组成部分运行提供了平台和结构。企业的目标制定是企业风险管理的起点,是其他步骤的驱动力量。整个过程是环环相扣的。在目标制定的前提下,企业需对影响目标的风险进行事件识别,进而对识别的事项进行风险评估,风险评估驱动风险反应,影响控制活动,信息与交流和监控贯穿于企业风险管理的整个过程,并对前面的各个组成要素进行修正。这样,企业风险管理不只是一个直线过程,即一个组成部分只会对下一个部分产生影响,而是一个多元化的相互作用的过程,即几乎任何组成部分都能够并将会影响另一个部分。企业风险管理的八个组成部分体现的是一个动态的过程,是一个有机的整体。
《企业风险管理综合框架》对《内部控制综合框架》不是局部的修补和简单改良,而是在理念上的本质突破,体现在从“控制环境”到“内部环境”。这一修改使得企业关注的范围不再局限于控制方面,而是从更宽阔的视野更综合更直接地考虑各种因素对风险的影响;强调管理层的责任,这在如今资本市场企业管理欺诈和舞弊泛滥的今天,是有积极意义的;目标制定中增加“战略目标”,使企业在追求短期利益的同时,从战略的高度关注企业的长远目标和可持续发展;将“风险评估”扩展为“事件识别”、“风险评估”和“风险反应”,不是对原“风险评估”进行简单的细化,而是代表着企业风险意识日益增强和积极主动管理风险。
《企业风险管理综合框架》拓展了内部控制,对企业风险管理这一更宽泛的主题作了更全面地关注。尽管后者并不旨在并且事实上也未曾替代内部控制框架,却将内部控制框架融入其中,因此,公司利用企业风险管理框架,既能满足对内部控制的需求,亦能向更完善的风险管理进程推进。
《企业风险管理综合框架》指出,企业风险管理的基本假设是,每一主体存在的目的是为其股东创造价值。所有主体面临不确定性,管理层的挑战便是确定在其为股东创造价值的过程中须在多大程度上接受不确定性。不确定性同时代表风险与机遇,即侵蚀或增进价值的潜在性。企业风险管理强调应对所有事件既包括正面事件与负面事件进行综合识别,并且应该将其以适当的组合方式加以看待,而后通过对固有风险和剩余风险的综合评估做出适当的风险应对措施。企业风险管理能使管理层有效地处理不确定性及与之相关的风险和机遇,增进创造价值的能力。当管理层制定战略与目标,在增长与回报目标及相关风险之间进行最佳权衡,并在追求主体目标的过程中有效率、有效益地配置资源时,便可实现价值最大化。
企业风险管理有助于:①风险偏好与企业战略的协调,即管理层在评价战略方案、制定相关目标及开发相关风险管理机制的过程中应考虑主体的风险偏好;②改进风险反应决策,增进识别风险与风险反应(在风险规避、风险降低、风险共享以及风险接受等方案中进行选择)的精确性;③识别并管理多元化风险与企业内部交叉风险。企业面临无数风险,影响组织的不同部门,企业风险管理促进对相互关联的影响作出有效反应,对多元化风险作出综合反应;④获得健全的风险信息,促使管理层有效评估总的资本需求,改进资本配置。企业风险管理的上述潜在能力有助于管理层实现主体的业绩与盈利目标,防止资源损失,有助于确保有效的报告并遵循法律与规则,避免损害主体声誉及产生类似后果。总之,企业风险管理帮助主体实现既定目标,避免过程中的陷阱与意外事件。
企业风险管理受到了极大的赞扬,在理论的层次上它也许很完美,但很明显,它的可操作性有限,它特别强调战略的高度,这也特别要求一个由责任心和有能力的领导,毕竟人的行为,特别是高层管理者的行为是不可观测的,作为经济人,必然会考虑个人效用,从而使整个管理体系不能有效执行,任何一个环节的失败,都可能导致整个风险管理的失效,可以说战略目标的要求既是这个框架的优势,也是它的软肋。同时,它的实施成本是很高的,中小企业实施可能不符合成本效益,面对高昂的成本,大企业的操作也可能流于形式。
2 风险管理综合框架对现代审计的意义
可以看到,风险管理综合框架自出台以后,风险导向审计的实施便在世界范围内得到推广,风险导向审计的重点是在评估审计风险后确定高风险的审计领域,并把有限的审计资源在高风险的审计领域和低风险的审计领域之间进行合理分配,在保证审计质量的同时提高审计工作的效率和事务所的效益。然而,从它实际在“四大”(安达信因为安然事件而解体)事务所中的应用情况来看却不是很理想,这在一定程度上也反映了风险导向审计的内在无法克服的缺陷。
安然公司破产案不仅撕破了安然的假面具,而且也揭开了安达信会计事务所的暗箱操作黑幕。随着案情调查的不断深入,安达信公然违反公认会计原则,丧失起码职业道德的恶行昭然若揭。安然事件爆发后,许多新闻报道的资料显示,“四大”的审计质量令人担忧。20世纪80年代末国际商业信贷银行倒闭案,迫使普华支付了1亿多美元的赔偿,才与蒙受巨额损失的投资者达成庭外和解;90年代加州奥然治县破产案、巴林银行理森舞弊案也把毕马威、德勤、永道卷入了代价高昂的诉讼;最近发生的施乐公司、朗讯公司、山登公司等重大恶性案件,“四大”也都牵涉其中。人们在对“四大”的审计质量表示担忧的同时,也对被“四大”广泛采用的以风险为导向的审计模式提出了质疑。
(1)风险导向审计要求注册会计师高度考虑战略目标,强调行业关注,要求注册会计师具备良好的专业知识,行业的特定知识,客户的特定知识,从某种程度上说,要求注册会计师成为一个全才,全才导致通才,对各方面都了解,但对行业的评价就没有深度,那么有必要按行业分类吗?这种专业化可以带来审计质量的提高,形成规模效益,提高审计效率,但是专业化也会带来垄断,垄断会造成腐败,进而造成低质量。另外,要求注册会计师有能力判断企业是否具有生存能力和合理的经营计划,这对内部高管都有困难,更何况外部审计人员。
(2)风险导向审计要求会计师事务所必须建立功能强大的数据库,以满足注册会计师了解企业的战略、流程、风险评估、业绩衡量和持续改进的需要,因环境是不断变化的,必然要求持续的、大量的培训和再教育,这会巨大的增加成本,从而使规模小的事务所可能不堪重负,使小所面临破产和被并购的危险,是否会引起新一轮的制度变迁的混乱呢?事务所考虑成本效益,是否会采取更简化的审计策略,从而造成审计过程中的“偷懒”现象呢?
(3)在风险导向审计下,注册会计师很容易把审计当成生意而不是职业,这将带来以下几个方面的问题:①注册会计师缺少应有的职业判断。审计判断是注册会计师工作的精髓,然而,一旦注册会计师把审计当成生意,其审计判断就会大大减少,取而代之的是考虑成本(风险)与收益的权衡。这里的成本既包括审计费用,又包括因民事诉讼而承担的赔偿责任。风险导向型审计的实质在于风险控制,而与审计相关的风险最终都体现为客户的经营风险。也就是说,如果客户不会出现经营失败或其他重大事件,注册会计师通常不会承担风险,因此注册会计师往往忽略了审计判断。特别是在我国现阶段民事诉讼及赔偿制度尚不够完善的情况下,更容易使注册会计师失去应有的职业判断,这将严重影响我国注册会计师行业的发展。②注册会计师缺乏应有的社会责任感。与医生和律师不同(医生只是对病人负责,律师只对当事人负责),注册会计师的审计报告是面向社会公众的,“社会公众是注册会计师的惟一委托人”。鉴证是注册会计师的基本职能,注册会计师通过对财务会计报告进行审计,为社会提供鉴证服务,保证了会计信息的质量,并直接影响着国家宏观经济决策的正确性和资源配置的有效性。如果注册会计师提供了不实的审计报告,将会造成决策的失误和资源使用的低效甚至无效,给公众带来的损失将是惨重的。因而,注册会计师应该树立强烈的社会责任感。但是,一旦注册会计师考虑的只是生意,这种社会责任感将会淡化甚至消失,这将是整个社会的不幸。③注册会计师缺乏诚信。诚信原则大致包括诚实、信誉、正直等与道德标准有关的一些内容。在市场经济下,市场的各参与方都是理性的经济人,有着各自的利益动机和利益追求。在市场中,尤其是资本市场,充满着机会和诱惑。面对巨大的利益诱惑,有的人会用道德约束自己,而有的人会经受不起利益的诱惑而置道德于不顾。如果市场参与者不讲道德,那么,再完美的制度安排、再严厉的制裁措施也是没有作用的。资本市场的参与者,无论是上市公司,还是投资银行、证券经纪公司、投资基金,或是律师与会计事务所等,除了必须达到必需的专业标准外,还必须在道德操守上做到诚信。离开了诚信二字,市场经济也就谈不上效率与公平。
综上所述,风险管理综合框架的出台,既给我们进行风险管理提供了指南,也带来了挑战,它有技术性和非技术性的因素,我们要积极主动的应对。
参考文献:
1 陈汉文,王华,郑鑫成.安达信:事件与反思[M].广州:暨南大学出版社,2003
2 朱荣恩,贺欣.内部控制框架的新发展——企业风险管理框架[J].审计研究,2003(6)
3 朱荣恩,应唯,袁敏.美国财务报告内部控制评价的发展及对我国的启示[J].会计研究,2003(8)
4 谢荣,吴建友.现代风险导向审计—理论研究与实务发展[J].会计研究,2004(4)
5 陈秧秧.COSO企业风险管理综合框架简介[J].财会通讯,2005(2)