風險管理框架下審計實務(wù)流程問題研究——以商業(yè)銀行為中心

盧之光

（順德農(nóng)村商業(yè)銀行，廣東 佛山 528300）

一、企業(yè)風險管理的變遷及其蘊含的發(fā)展趨勢

1992 年，COSO 委員會發(fā)布了《內(nèi)部控制——整合框架》，提出了包含控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)察五個要素的基本框架。2004 年，COSO 委員會在此基礎(chǔ)上提出了《企業(yè)風險管理——整合框架》，將內(nèi)控五要素擴張為八個要素，增加了目標設(shè)定、風險識別和風險應(yīng)對三個要素，實現(xiàn)了從內(nèi)控到風險管理的演變和轉(zhuǎn)型。2006 年，國資委出臺了《中央企業(yè)全面風險管理指引》，發(fā)起中央企業(yè)構(gòu)建全面風險管理體系的倡導(dǎo)；2008 年，進一步提出了中央企業(yè)要在3—5 年內(nèi)建立全面風險管理年報制度，強力推動風險管理在國內(nèi)的實施和普及。

在這些理論和制度的推動下，企業(yè)風險管理的本身發(fā)展透露出其內(nèi)在的軌跡和趨勢，具體情況如下：

1.在層面上，由外而內(nèi)不斷深入

最初風險管理主要關(guān)注虛假財務(wù)報告風險，只是看報告中的數(shù)據(jù)錯誤、一致與否，很少關(guān)注產(chǎn)生某些現(xiàn)象的原因。而后，隨著實踐的深入，逐漸自覺探討數(shù)據(jù)背后的內(nèi)在風險因素，進而深挖到企業(yè)運行的各個環(huán)節(jié)，在內(nèi)部按照組織運行紋理防控風險。

2.在范圍上，由點到面持續(xù)拓展

最初風險管理主要關(guān)注重要業(yè)務(wù)環(huán)節(jié)風險，比較機械地認為把握住了關(guān)鍵流程及關(guān)鍵控制點就等于把握住了全部。隨著實踐的深入，逐漸意識到這種機械思維的不足，進而懂得根據(jù)組織運行的邏輯和控制機制尋找、發(fā)掘、識別、評估包括公司治理、市場競爭環(huán)境、企業(yè)發(fā)展戰(zhàn)略以及國家監(jiān)管政策等方面因素的系統(tǒng)風險。

3.在環(huán)節(jié)上，由后至前強化預(yù)控

一開始，風險管理主要關(guān)注風險損失彌補，缺乏主動性，嚴重影響了其本身對組織運行的推動作用。隨著實踐的深入，更有意識地將關(guān)注重心前移，逐漸開始強調(diào)在業(yè)務(wù)活動發(fā)生前或進展過程中及時評估風險發(fā)生的可能性及影響程度，通過制定有效的風險管理策略在比較靠前的環(huán)節(jié)中，盡力將風險消除在萌芽狀態(tài)。

二、企業(yè)風險管理框架下審計實務(wù)操作的變化分析

基于金融業(yè)的特殊性，風險管理理念在金融業(yè)中的應(yīng)用時間早、范圍廣、幅度大、層面深，在很長時間內(nèi)幾乎成為金融業(yè)的專屬，對金融業(yè)商業(yè)銀行審計實務(wù)影響也最大而深刻。具體而言有如下幾點：

（一）在審前準備階段強化風險識別和分析

隨著風險管理的引進、深入及在金融等系列行業(yè)內(nèi)的實施普及，風險在審計工作中的地位逐漸抬頭，并成為核心關(guān)注因素，也是審計準備階段的關(guān)注重心。對于商業(yè)銀行而言，審前準備工作重要著眼于戰(zhàn)略風險和業(yè)務(wù)經(jīng)營風險的識別和初步評估工作。對于前者，以銀行組織目標層面的高度和視野，估量組織戰(zhàn)略目標以及影響組織戰(zhàn)略目標實現(xiàn)系列因素，在風險排序及去偽存真的基礎(chǔ)上形成重大風險清單。對于后者，以產(chǎn)品相關(guān)業(yè)務(wù)和內(nèi)部管理活動為主要對象以控制情況信息為主要維度和視角，大量收集相關(guān)信息，在此基礎(chǔ)上重點關(guān)注關(guān)鍵控制點和風險點。

（二）編制計劃階段強化風險評估的基礎(chǔ)性作用

審計準備階段過后便是切實進入審計規(guī)劃階段，也就是編制審計計劃。在這個階段，風險同樣是核心考慮因素，一要考慮需要應(yīng)對關(guān)注的相對關(guān)鍵和主要的風險因素，確定基本審計范圍；二要在選定風險因素中根據(jù)各自度量排序，確定各區(qū)域或環(huán)節(jié)的審計次序。對于商業(yè)銀行而言，風險評估需覆蓋業(yè)務(wù)單元與機構(gòu)單元，前者是把特定銀行作為一個整體，匯總、考量、分析、判斷整個銀行的運行風險，籍此提供審計計劃的基礎(chǔ)信息之一；后者以特定銀行內(nèi)部的機構(gòu)設(shè)置為經(jīng)，以各分支機構(gòu)的風險表現(xiàn)及影響差異為緯，以強化適用性為原則，分解落實審計計劃在微觀部門的分配和安排。

（三）實施審計測試階段強化以風險管控情況為旨歸

審計測試實際上是審計計劃的推行和落實，因此要想對嚴格地遵循計劃階段確定的范圍和次序，同時在對剩余風險精確判斷的基礎(chǔ)上在抽樣數(shù)量及證據(jù)支撐等相關(guān)資源分配方面給予適當即時性調(diào)整。對于商業(yè)銀行而言，除了組織內(nèi)部相關(guān)風險因素的關(guān)注外，在執(zhí)行審計測試階段還要充分考慮國際環(huán)境、國家政策、金融形勢以及同業(yè)競爭態(tài)勢等外部因素，靈活通過各種方式獲得準確而充分的相關(guān)證據(jù)，籍此支撐對柜面業(yè)務(wù)效率等內(nèi)部運行情況的審計工作，以推進審計結(jié)果的全面、客觀而準確。

（四）撰寫審計報告階段強化風險管控情況評估

對于商業(yè)銀行而言，審計報告不宜過于零散，而應(yīng)該緊緊把握戰(zhàn)略風險和流程風險，以此為基礎(chǔ)順應(yīng)金融業(yè)務(wù)的拓展網(wǎng)絡(luò)及審計工作的本身規(guī)律，形成獨特而高效的報告內(nèi)容結(jié)構(gòu)，助力相關(guān)層級的負責人員推動風險管理流程再造并提升管理效果。

三、風險管理框架下審計實務(wù)流程的局限

在風險導(dǎo)向?qū)徲嫻ぷ魍菩羞^程中也暴露了其本身的局限，具體而言主要有操作局限和功用局限兩種。

（一）操作局限

傳統(tǒng)審計雖然漏洞很多，理念滯后，但有因自生性質(zhì)而在操作方面形成的無可比擬的優(yōu)勢。而風險導(dǎo)向?qū)徲嫴煌?，外生的風險管理在國內(nèi)及特點經(jīng)濟組織內(nèi)的實施需要另外配備先進理念的汲取和內(nèi)涵、合適人才的培養(yǎng)、信息系統(tǒng)及相關(guān)技術(shù)、審計方法和技能的積淀等系列額外條件才能切實推進實施，否則只能是空中樓閣而無法推行。在現(xiàn)實實務(wù)中，如上系列條件同時充分具備的頻率不是太高，尤其是具有充分勝任能力的審計人才的培養(yǎng)及安全的信息系統(tǒng)，這方面往往會很難確實具備，這制約了實施和操作力度。

（二）功能局限

在幫助企業(yè)減少經(jīng)營發(fā)展中的不確定性，將風險損失影響降到最低，從而實現(xiàn)審計工作的價值增值，促進企業(yè)目標實現(xiàn)及價值增值等方面起到了傳統(tǒng)審計難以比擬的作用。不過，風險管理也有其自身的功能局限，對此COSO 委員會在《企業(yè)風險管理——整合框架》也強調(diào)“合理保證并不是絕對保證”，專門論述了其具體局限。同樣，風險管理框架下的風險導(dǎo)向?qū)徲嬕惨虼俗⒍瞬豢赡芡耆鉀Q審計方面的所有問題，在功能方面具有相當?shù)木窒?，有待于持續(xù)完善、發(fā)展和嬗變。

面對如上局限，我們應(yīng)該對風險導(dǎo)向?qū)徲嬃鞒探o予有限的依賴，在推進實施的過程中即時性思考探索克服其局限性的路徑，在可能的情況下可采取回歸的模式以傳統(tǒng)審計的范式和方法對沖彌補風險導(dǎo)向?qū)徲嬆Ｊ降娜笔А?/p>