風險管理 ( Risk Management )的定義為，當企業(yè)面臨市場開放、法規(guī)解禁、產(chǎn)品創(chuàng)新，均使變化波動程度提高，連帶增加經(jīng)營的風險性。良好的風險管理有助于降低決策錯誤之幾率、避免損失之可能、相對提高企業(yè)本身之附加價值。

風險管理審計準則中出現(xiàn)的問題根源就在于準則中的“風險管理”概念采納了COSO委員會1997年的內(nèi)部控制-整合框架中的觀點。然而,理論界和實務(wù)界還是認為該內(nèi)部控制框架有些局限性,如對風險強調(diào)不夠,使得內(nèi)部控制無法與企業(yè)的風險管理相結(jié)合。COSO委員會2004年的ERM框架就是在1997年的內(nèi)部控制-整合框架的基礎(chǔ)上,結(jié)合《薩班斯——奧克斯利法案》的相關(guān)要求擴展得到的。相比內(nèi)部控制框架,ERM框架在多個方面都有所發(fā)展和深化,具體表現(xiàn)在以下幾個方面:

1、企業(yè)風險管理涵蓋了內(nèi)部控制。增

加了新的要素或賦予原有要素新的含義,對內(nèi)部控制框架下的風險管理要素進行細化,按風險管理的流程劃分為:目標設(shè)定、事件識別、風險評估、風險反應(yīng)四個要素。同時,在環(huán)境要素中增加了“風險管理哲學”以及風險“偏好”。對比二者的構(gòu)成要素,可以發(fā)現(xiàn)風險管理框架中的目標制定、事項識別、風險評估、風險應(yīng)對四個要素實質(zhì)上就是風險管理的流程,也可以理解為狹義上的風險管理。這樣看來,內(nèi)部控制框架與風險管理框架中的要素完全一致。但是系統(tǒng)論認為,系統(tǒng)的性質(zhì)不僅取決于組成系統(tǒng)的各要素,更依賴于組成系統(tǒng)的各要素的排列方式。在內(nèi)部控制三個目標的基礎(chǔ)上增加了戰(zhàn)略目標,并擴大了報告目標的范圍,將“財務(wù)報告的可靠性”發(fā)展為“報告的可靠性”。

2、企業(yè)風險管理更加強調(diào)管理風險。ERM框架強調(diào)在“組合”的基礎(chǔ)上考慮風險,考慮風險的集合和風險的交互作用,并在此基礎(chǔ)上考慮企業(yè)應(yīng)采取的風險控制措施。在強調(diào)風險管理的環(huán)境下,ERM框架顯然不同于內(nèi)部控制框架。

總之,ERM框架擴展并詳細地闡述了與企業(yè)風險管理相關(guān)的那些內(nèi)部控制要素。從企業(yè)風險管理要求和實施來看,內(nèi)部控制是ERM的主要構(gòu)成部分,但絕對不能等于ERM范疇,ERM的理論和實務(wù)都要比內(nèi)部控制寬泛得多,ERM更適合企業(yè)戰(zhàn)略風險管理的要求。因此,不能說風險管理審計是內(nèi)部控制審計的一部分。

三、建議

基于以上分析,要實現(xiàn)真正意義上的風險管理審計,對風險管理審計準則中的風險管理概念的理解就必須建立在廣義的基礎(chǔ)之上,即采納COSO委員會(2004)ERM框架中的廣義風險管理概念。鑒于內(nèi)部控制與風險管理二者密不可分的聯(lián)系,在現(xiàn)行的準則體系下可以協(xié)調(diào)內(nèi)部控制審計準則與風險管理審計準則之間的關(guān)系,以使風險管理審計準則能得以更有效的實施。