风险管理 ( Risk Management )的定义为,当企业面临市场开放、法规解禁、产品创新,均使变化波动程度提高,连带增加经营的风险性。良好的风险管理有助于降低决策错误之几率、避免损失之可能、相对提高企业本身之附加价值。
风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了COSO委员会1997年的内部控制-整合框架中的观点。然而,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合。COSO委员会2004年的ERM框架就是在1997年的内部控制-整合框架的基础上,结合《萨班斯——奥克斯利法案》的相关要求扩展得到的。相比内部控制框架,ERM框架在多个方面都有所发展和深化,具体表现在以下几个方面:
1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。
2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,ERM框架显然不同于内部控制框架。
总之,ERM框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看,内部控制是ERM的主要构成部分,但绝对不能等于ERM范畴,ERM的理论和实务都要比内部控制宽泛得多,ERM更适合企业战略风险管理的要求。因此,不能说风险管理审计是内部控制审计的一部分。
三、建议
基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会(2004)ERM框架中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。