风险管理综合框架的评价及其对现代审计的意义(1)

摘要在分析企业风险管理框架的基础上，对企业风险管理的优缺点给予了评述。企业风险管理框架对现代审计有着重要意义，应积极应对。

关键词企业风险管理框架内部控制注册会计师审计

2004年9月29日，美国COSO委员会（TheCommitteeofSponsoringOrganizationoftheTreadwayCommission）发布了《企业风险管理综合框架》（EnterpriseRiskManagement-IntegratedFramework》（即ERM-IF，简称“框架”），描述了适用于各类规模组织的企业风险管理的重要构成要素、原则与概念。框架集中关注风险管理，为董事会与管理层识别风险、规避陷阱、把握机遇进而增加股东价值提供了清晰的指南。

1风险管理综合框架的二分法评价

风险管理综合框架开发时正值企业丑闻与失败的高发期，而企业丑闻与失败使投资者、公司员工及其他利益相关方遭受重创。之后，改善公司治理与风险管理、颁布新的法律、规则及上市准则的呼声日益高涨。对企业风险管理框架的需求，冀望由此提供关键性的原则与概念、共同的理解基础以及明确的方向与指导变得日益迫切。COSO认为，此份《企业风险管理综合框架》填补了上述需求，并预言它将会被公司与其他组织（实际上所有的股东及利益相关方）广泛接纳。

COSO委员会提出，企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程，应用于企业的战略制定和企业的各个部门和各项经营活动，用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险，对企业目标的实现提供合理的保证。根据管理者经营的方式划分，企业风险管理包括8个相互关联的组成要素：内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与交流和监控。内部环境是企业风险管理的基础，为企业风险管理所有其他组成部分运行提供了平台和结构。企业的目标制定是企业风险管理的起点，是其他步骤的驱动力量。整个过程是环环相扣的。在目标制定的前提下，企业需对影响目标的风险进行事件识别，进而对识别的事项进行风险评估，风险评估驱动风险反应，影响控制活动，信息与交流和监控贯穿于企业风险管理的整个过程，并对前面的各个组成要素进行修正。这样，企业风险管理不只是一个直线过程，即一个组成部分只会对下一个部分产生影响，而是一个多元化的相互作用的过程，即几乎任何组成部分都能够并将会影响另一个部分。企业风险管理的八个组成部分体现的是一个动态的过程，是一个有机的整体。

《企业风险管理综合框架》对《内部控制综合框架》不是局部的修补和简单改良，而是在理念上的本质突破，体现在从“控制环境”到“内部环境”。这一修改使得企业关注的范围不再局限于控制方面，而是从更宽阔的视野更综合更直接地考虑各种因素对风险的影响；强调管理层的责任，这在如今资本市场企业管理欺诈和舞弊泛滥的今天，是有积极意义的；目标制定中增加“战略目标”，使企业在追求短期利益的同时，从战略的高度关注企业的长远目标和可持续发展；将“风险评估”扩展为“事件识别”、“风险评估”和“风险反应”，不是对原“风险评估”进行简单的细化，而是代表着企业风险意识日益增强和积极主动管理风险。

《企业风险管理综合框架》拓展了内部控制，对企业风险管理这一更宽泛的主题作了更全面地关注。尽管后者并不旨在并且事实上也未曾替代内部控制框架，却将内部控制框架融入其中，因此，公司利用企业风险管理框架，既能满足对内部控制的需求，亦能向更完善的风险管理进程推进。

《企业风险管理综合框架》指出，企业风险管理的基本假设是，每一主体存在的目的是为其股东创造价值。所有主体面临不确定性，管理层的挑战便是确定在其为股东创造价值的过程中须在多大程度上接受不确定性。不确定性同时代表风险与机遇，即侵蚀或增进价值的潜在性。企业风险管理强调应对所有事件既包括正面事件与负面事件进行综合识别，并且应该将其以适当的组合方式加以看待，而后通过对固有风险和剩余风险的综合评估做出适当的风险应对措施。企业风险管理能使管理层有效地处理不确定性及与之相关的风险和机遇，增进创造价值的能力。当管理层制定战略与目标，在增长与回报目标及相关风险之间进行最佳权衡，并在追求主体目标的过程中有效率、有效益地配置资源时，便可实现价值最大化。

企业风险管理有助于：①风险偏好与企业战略的协调，即管理层在评价战略方案、制定相关目标及开发相关风险管理机制的过程中应考虑主体的风险偏好；②改进风险反应决策，增进识别风险与风险反应（在风险规避、风险降低、风险共享以及风险接受等方案中进行选择）的精确性；③识别并管理多元化风险与企业内部交叉风险。企业面临无数风险，影响组织的不同部门，企业风险管理促进对相互关联的影响作出有效反应，对多元化风险作出综合反应；④获得健全的风险信息，促使管理层有效评估总的资本需求，改进资本配置。企业风险管理的上述潜在能力有助于管理层实现主体的业绩与盈利目标，防止资源损失，有助于确保有效的报告并遵循法律与规则，避免损害主体声誉及产生类似后果。总之，企业风险管理帮助主体实现既定目标，避免过程中的陷阱与意外事件。

企业风险管理受到了极大的赞扬，在理论的层次上它也许很完美，但很明显，它的可操作性有限，它特别强调战略的高度，这也特别要求一个由责任心和有能力的领导，毕竟人的行为，特别是高层管理者的行为是不可观测的，作为经济人，必然会考虑个人效用，从而使整个管理体系不能有效执行，任何一个环节的失败，都可能导致整个风险管理的失效，可以说战略目标的要求既是这个框架的优势，也是它的软肋。同时，它的实施成本是很高的，中小企业实施可能不符合成本效益，面对高昂的成本，大企业的操作也可能流于形式。

2风险管理综合框架对现代审计的意义 基于财务治理角度的内部审计分析

浅论效益审计在我国经济建设中的作用