[摘 要] 在分析企業(yè)風險管理框架的基礎上，對企業(yè)風險管理的優(yōu)缺點給予了評述。企業(yè)風險管理框架對現(xiàn)代審計有著重要意義，應積極應對。

　　[關鍵詞] 企業(yè)風險管理框架 內部控制 注冊會計師 審計

　　2004年9月29日，美國COSO委員會（The Committee of Sponsoring Organization of the Treadway Commission）發(fā)布了《企業(yè)風險管理綜合框架》（Enterprise Risk Management-Integrated Framework》（即ERM-IF，簡稱“ 框架”），描述了適用于各類規(guī)模組織的企業(yè)風險管理的重要構成要素、原則與概念?？蚣芗嘘P注風險管理，為董事會與管理層識別風險、規(guī)避陷阱、把握機遇進而增加股東價值提供了清晰的指南。

　　1 風險管理綜合框架的二分法評價

　　風險管理綜合框架開發(fā)時正值企業(yè)丑聞與失敗的高發(fā)期，而企業(yè)丑聞與失敗使投資者、公司員工及其他利益相關方遭受重創(chuàng)。之后，改善公司治理與風險管理、頒布新的法律、規(guī)則及上市準則的呼聲日益高漲。對企業(yè)風險管理框架的需求，冀望由此提供關鍵性的原則與概念、共同的理解基礎以及明確的方向與指導變得日益迫切。COSO認為，此份《企業(yè)風險管理綜合框架》填補了上述需求，并預言它將會被公司與其他組織（實際上所有的股東及利益相關方）廣泛接納。

　　COSO委員會提出，企業(yè)風險管理是企業(yè)的董事會、管理層和其他員工共同參與的一個過程，應用于企業(yè)的戰(zhàn)略制定和企業(yè)的各個部門和各項經營活動，用于確認可能影響企業(yè)的潛在事項并在其風險偏好范圍內管理風險，對企業(yè)目標的實現(xiàn)提供合理的保證。根據(jù)管理者經營的方式劃分，企業(yè)風險管理包括8個相互關聯(lián)的組成要素：內部環(huán)境、目標設定、事件識別、風險評估、風險反應、控制活動、信息與交流和監(jiān)控。內部環(huán)境是企業(yè)風險管理的基礎，為企業(yè)風險管理所有其他組成部分運行提供了平臺和結構。企業(yè)的目標制定是企業(yè)風險管理的起點，是其他步驟的驅動力量。整個過程是環(huán)環(huán)相扣的。在目標制定的前提下，企業(yè)需對影響目標的風險進行事件識別，進而對識別的事項進行風險評估，風險評估驅動風險反應，影響控制活動，信息與交流和監(jiān)控貫穿于企業(yè)風險管理的整個過程，并對前面的各個組成要素進行修正。這樣，企業(yè)風險管理不只是一個直線過程，即一個組成部分只會對下一個部分產生影響，而是一個多元化的相互作用的過程，即幾乎任何組成部分都能夠并將會影響另一個部分。企業(yè)風險管理的八個組成部分體現(xiàn)的是一個動態(tài)的過程，是一個有機的整體。

　　《企業(yè)風險管理綜合框架》對《內部控制綜合框架》不是局部的修補和簡單改良，而是在理念上的本質突破，體現(xiàn)在從“控制環(huán)境”到“內部環(huán)境”。這一修改使得企業(yè)關注的范圍不再局限于控制方面，而是從更寬闊的視野更綜合更直接地考慮各種因素對風險的影響；強調管理層的責任，這在如今資本市場企業(yè)管理欺詐和舞弊泛濫的今天，是有積極意義的；目標制定中增加“戰(zhàn)略目標”，使企業(yè)在追求短期利益的同時，從戰(zhàn)略的高度關注企業(yè)的長遠目標和可持續(xù)發(fā)展；將“風險評估”擴展為“事件識別”、“風險評估”和“風險反應”，不是對原“風險評估”進行簡單的細化，而是代表著企業(yè)風險意識日益增強和積極主動管理風險。

　　《企業(yè)風險管理綜合框架》拓展了內部控制，對企業(yè)風險管理這一更寬泛的主題作了更全面地關注。盡管后者并不旨在并且事實上也未曾替代內部控制框架，卻將內部控制框架融入其中，因此，公司利用企業(yè)風險管理框架，既能滿足對內部控制的需求，亦能向更完善的風險管理進程推進。

　　《企業(yè)風險管理綜合框架》指出，企業(yè)風險管理的基本假設是，每一主體存在的目的是為其股東創(chuàng)造價值。所有主體面臨不確定性，管理層的挑戰(zhàn)便是確定在其為股東創(chuàng)造價值的過程中須在多大程度上接受不確定性。不確定性同時代表風險與機遇，即侵蝕或增進價值的潛在性。企業(yè)風險管理強調應對所有事件既包括正面事件與負面事件進行綜合識別，并且應該將其以適當?shù)慕M合方式加以看待，而后通過對固有風險和剩余風險的綜合評估做出適當?shù)娘L險應對措施。企業(yè)風險管理能使管理層有效地處理不確定性及與之相關的風險和機遇，增進創(chuàng)造價值的能力。當管理層制定戰(zhàn)略與目標，在增長與回報目標及相關風險之間進行最佳權衡，并在追求主體目標的過程中有效率、有效益地配置資源時，便可實現(xiàn)價值最大化。

　　企業(yè)風險管理有助于：①風險偏好與企業(yè)戰(zhàn)略的協(xié)調，即管理層在評價戰(zhàn)略方案、制定相關目標及開發(fā)相關風險管理機制的過程中應考慮主體的風險偏好；②改進風險反應決策，增進識別風險與風險反應（在風險規(guī)避、風險降低、風險共享以及風險接受等方案中進行選擇）的精確性；③識別并管理多元化風險與企業(yè)內部交叉風險。企業(yè)面臨無數(shù)風險，影響組織的不同部門，企業(yè)風險管理促進對相互關聯(lián)的影響作出有效反應，對多元化風險作出綜合反應；④獲得健全的風險信息，促使管理層有效評估總的資本需求，改進資本配置。企業(yè)風險管理的上述潛在能力有助于管理層實現(xiàn)主體的業(yè)績與盈利目標，防止資源損失，有助于確保有效的報告并遵循法律與規(guī)則，避免損害主體聲譽及產生類似后果。總之，企業(yè)風險管理幫助主體實現(xiàn)既定目標，避免過程中的陷阱與意外事件。

　　企業(yè)風險管理受到了極大的贊揚，在理論的層次上它也許很完美，但很明顯，它的可操作性有限，它特別強調戰(zhàn)略的高度，這也特別要求一個由責任心和有能力的領導，畢竟人的行為，特別是高層管理者的行為是不可觀測的，作為經濟人，必然會考慮個人效用，從而使整個管理體系不能有效執(zhí)行，任何一個環(huán)節(jié)的失敗，都可能導致整個風險管理的失效，可以說戰(zhàn)略目標的要求既是這個框架的優(yōu)勢，也是它的軟肋。同時，它的實施成本是很高的，中小企業(yè)實施可能不符合成本效益，面對高昂的成本，大企業(yè)的操作也可能流于形式。

　　2 風險管理綜合框架對現(xiàn)代審計的意義

　　可以看到，風險管理綜合框架自出臺以后，風險導向審計的實施便在世界范圍內得到推廣，風險導向審計的重點是在評估審計風險后確定高風險的審計領域，并把有限的審計資源在高風險的審計領域和低風險的審計領域之間進行合理分配，在保證審計質量的同時提高審計工作的效率和事務所的效益。然而，從它實際在“四大”（安達信因為安然事件而解體）事務所中的應用情況來看卻不是很理想，這在一定程度上也反映了風險導向審計的內在無法克服的缺陷。

　　安然公司破產案不僅撕破了安然的假面具，而且也揭開了安達信會計事務所的暗箱操作黑幕。隨著案情調查的不斷深入，安達信公然違反公認會計原則，喪失起碼職業(yè)道德的惡行昭然若揭。安然事件爆發(fā)后，許多新聞報道的資料顯示，“四大”的審計質量令人擔憂。20世紀80年代末國際商業(yè)信貸銀行倒閉案，迫使普華支付了1億多美元的賠償，才與蒙受巨額損失的投資者達成庭外和解；90年代加州奧然治縣破產案、巴林銀行理森舞弊案也把畢馬威、德勤、永道卷入了代價高昂的訴訟；最近發(fā)生的施樂公司、朗訊公司、山登公司等重大惡性案件，“四大”也都牽涉其中。人們在對“四大”的審計質量表示擔憂的同時，也對被“四大”廣泛采用的以風險為導向的審計模式提出了質疑。

　?。?）風險導向審計要求注冊會計師高度考慮戰(zhàn)略目標，強調行業(yè)關注，要求注冊會計師具備良好的專業(yè)知識，行業(yè)的特定知識，客戶的特定知識，從某種程度上說，要求注冊會計師成為一個全才，全才導致通才，對各方面都了解，但對行業(yè)的評價就沒有深度，那么有必要按行業(yè)分類嗎？這種專業(yè)化可以帶來審計質量的提高，形成規(guī)模效益，提高審計效率，但是專業(yè)化也會帶來壟斷，壟斷會造成腐敗，進而造成低質量。另外，要求注冊會計師有能力判斷企業(yè)是否具有生存能力和合理的經營計劃，這對內部高管都有困難，更何況外部審計人員。

　?。?）風險導向審計要求會計師事務所必須建立功能強大的數(shù)據(jù)庫，以滿足注冊會計師了解企業(yè)的戰(zhàn)略、流程、風險評估、業(yè)績衡量和持續(xù)改進的需要，因環(huán)境是不斷變化的，必然要求持續(xù)的、大量的培訓和再教育，這會巨大的增加成本，從而使規(guī)模小的事務所可能不堪重負，使小所面臨破產和被并購的危險，是否會引起新一輪的制度變遷的混亂呢？事務所考慮成本效益，是否會采取更簡化的審計策略，從而造成審計過程中的“偷懶”現(xiàn)象呢？

　?。?）在風險導向審計下，注冊會計師很容易把審計當成生意而不是職業(yè)，這將帶來以下幾個方面的問題：①注冊會計師缺少應有的職業(yè)判斷。審計判斷是注冊會計師工作的精髓，然而，一旦注冊會計師把審計當成生意，其審計判斷就會大大減少，取而代之的是考慮成本（風險）與收益的權衡。這里的成本既包括審計費用，又包括因民事訴訟而承擔的賠償責任。風險導向型審計的實質在于風險控制，而與審計相關的風險最終都體現(xiàn)為客戶的經營風險。也就是說，如果客戶不會出現(xiàn)經營失敗或其他重大事件，注冊會計師通常不會承擔風險，因此注冊會計師往往忽略了審計判斷。特別是在我國現(xiàn)階段民事訴訟及賠償制度尚不夠完善的情況下，更容易使注冊會計師失去應有的職業(yè)判斷，這將嚴重影響我國注冊會計師行業(yè)的發(fā)展。②注冊會計師缺乏應有的社會責任感。與醫(yī)生和律師不同（醫(yī)生只是對病人負責，律師只對當事人負責)，注冊會計師的審計報告是面向社會公眾的，“社會公眾是注冊會計師的惟一委托人”。鑒證是注冊會計師的基本職能，注冊會計師通過對財務會計報告進行審計，為社會提供鑒證服務，保證了會計信息的質量，并直接影響著國家宏觀經濟決策的正確性和資源配置的有效性。如果注冊會計師提供了不實的審計報告，將會造成決策的失誤和資源使用的低效甚至無效，給公眾帶來的損失將是慘重的。因而，注冊會計師應該樹立強烈的社會責任感。但是，一旦注冊會計師考慮的只是生意，這種社會責任感將會淡化甚至消失，這將是整個社會的不幸。③注冊會計師缺乏誠信。誠信原則大致包括誠實、信譽、正直等與道德標準有關的一些內容。在市場經濟下，市場的各參與方都是理性的經濟人，有著各自的利益動機和利益追求。在市場中，尤其是資本市場，充滿著機會和誘惑。面對巨大的利益誘惑，有的人會用道德約束自己，而有的人會經受不起利益的誘惑而置道德于不顧。如果市場參與者不講道德，那么，再完美的制度安排、再嚴厲的制裁措施也是沒有作用的。資本市場的參與者，無論是上市公司，還是投資銀行、證券經紀公司、投資基金，或是律師與會計事務所等，除了必須達到必需的專業(yè)標準外，還必須在道德操守上做到誠信。離開了誠信二字，市場經濟也就談不上效率與公平。

　　綜上所述，風險管理綜合框架的出臺，既給我們進行風險管理提供了指南，也帶來了挑戰(zhàn)，它有技術性和非技術性的因素，我們要積極主動的應對。

　　參考文獻：

　　1 陳漢文，王華，鄭鑫成.安達信：事件與反思[M].廣州：暨南大學出版社，2003

　　2 朱榮恩，賀欣.內部控制框架的新發(fā)展——企業(yè)風險管理框架[J].審計研究，2003（6）

　　3 朱榮恩，應唯，袁敏.美國財務報告內部控制評價的發(fā)展及對我國的啟示[J].會計研究，2003(8)

　　4 謝榮，吳建友.現(xiàn)代風險導向審計—理論研究與實務發(fā)展[J].會計研究，2004（4）

　　5 陳秧秧.COSO企業(yè)風險管理綜合框架簡介[J].財會通訊，2005(2)