(4)财货遭受损害致使所得能力减低。企业遭受实质损害时,可能也会遭受到净收益损失。净收益损失,还会因火灾使材料损失,而导致生产倒闭等。
(5)重要员工或所有权者的死亡或伤残所致收益减少的损失。员工生存与健康状况是不确定的,过早的死亡或伤残会导致企业损失,这些损失必须以增加营业费用或减少收入净额来补偿。
无论是狭义的财务风险,还是广义的财务风险,从其成因看,可以分为利率风险、汇率风险、购买力风险、经营风险、市场风险、流动性风险、政治风险、违约风险、道德风险等。
五、风险管理涵义
企业风险管理是指对影响企业策略和目标实现的各种风险进行辨识、分析、衡量和评估,然后提出管理风险的措施和决定接受风险的程度。
不确定性有两种可能:一是可能产生风险使价值受损,二是可能产生机会使价值增加。企业风险管理的理想架构,可以有效地管理不确定性,对风险做出有效的回应,并且在机会产生时能充分加以利用。
成功的管理风险可以使企业达成其绩效和利润目标,防止资源的损失并确保财务报告及法令遵循的有效性。就短期而言,企业风险管理可以协助企业在追求目标实现的同时避免隐藏的危险及意外事件的发生。
COSO所提出的企业风险管理架构有利于强化风险辨识能力,降低营运相关损失。其特点是:
(1)将风险承受度及策略加以连结;(2)将企业成长、风险及报酬加以连结;(3)加强对风险回应的判断;(4)降低营运上的意外事件及相关损失;(5)管理整个企业所有相互关联的风险;(6)快速掌握机会;(7)合理降低资本需求及做到最佳资源分配。
六、风险管理要素
企业风险管理并非限于特定的事件或情况,它是一个持续不断进行的过程,而且会牵涉整个企业各方面的资源及营运作业。企业风险管理关系到每个层级的人员,并且应用全面性的观点来检视风险。
以程序而言,企业风险管理有八个相互关联的要素,这八个要素形成了一个全面性的行动架构。
(一)内部环境
企业的内部环境是风险管理的基础,内部环境不仅会影响到策略及目标的设定、活动的建置,而且影响到对风险的辨认、评估及回应。内部控制环境由多种因素组成,如道德观、人员、管理者的经营理念及风险管理的态度和文化。
(二)目标设定
即规定设定目标的程序,并确认目标、策略及风险承受之间的一致性。企业目标可以从以下几个方面确定:
(1)策略:有关企业整体的目标及使命;(2)营运:有关效率、绩效及获利能力;(3)通报:有关内部及对外部的报告;(4)遵循:有关法令及规章的遵循。
(三)事件辨认
企业经营环境充满不确定性,没有任何企业可以百分之百地确定特定事项是否或何时发生,及其结果将会如何。通过事项辨认的程序,管理者将思考所有会影响其策略及目标达成的内部及外部因素,并将潜在事项加以分类。其分类方式可按事项是否横跨整个企业或是否垂直穿越各个作业单位来进行归类。管理者还要对这些事项之间的相关性进行分析和了解,并且获得充足的资讯作为风险评估的基础。
(四)风险评估
风险评估着重于对潜在事项发生的可能性及其影响程度进行分析和评估,并要分析和评估潜在事项对目标实现的影响。虽然一个单一事项的影响可能很小,但是一连串的事件可能使影响程度增大。
风险评估同时使用定性与定量的方法,来评估潜在事项的不确定性程度。
(五)风险回应
当风险被辨认及评估之后,管理者必须思考可能采取的风险回应方式及其影响,同时考量风险承受度及成本效益。为了达到有效的风险管理,所选择的风险回应方式不能超出企业所能承受的风险范围。
风险回应方式,主要有回避、降低、分摊及接受,当然还有转移、集中等其他方式。管理者决定了管理风险的方式之后,必须将其转化为有效的行动,制订执行计划,并且评估计划执行后的剩余风险。
(六)控制活动
内部控制的政策及程序是为了确保风险回应方式的有效执行。每个企业的目标及达到目标的方法不同,所以控制活动也不相同,而且控制活动还反映了企业经营的环境、产业特征、内部组织、内部控制及企业文化等。一般控制通常包括了对IT管理架构、软件的购置及维修,及资料存取的安全等控制;而应用控制的目的则在确保资讯处理的完整、正确及有效。
(七)资讯及沟通
组织的每个层级在辨认、评估及回应风险时都需要取得来自内部及外部的适当的资讯。资讯取得后,应帮助组织快速而有效地执行任务。有效的沟通既包括内部从上至下、或从下至上的沟通,也包括对客户、供应商、政府单位及股东等外部团体的资讯沟通。
有效的企业风险管理必须依赖于历史资讯及现时资讯。从历史资讯中可追踪实际经营结果与目标的差异并找出趋势,同时也能提前察觉到与风险相关的潜在事项。而现时资讯则能够反映已存在于作业程序或作业单位风险的及时资讯,使企业能够依据风险承受度改变其所进行的营运活动。
(八)监督
监督的作用在于确保企业风险管理的各个构成要素在组织的每个层级系一致执行。监督进行的方式包括持续监督及个别监督。持续监督是建立在营运活动之中,并且随时不断进行;个别监督是在事实发生之后才进行。相比之下,持续监督的机制更能够迅速地发现问题。
企业风险管理是一个相互关联的程序,只有八个要素同时存在并能顺利地运作,才能发挥其作用。当然,任何一种风险管理程序,不论其设计及执行多少,都不能对结果加以保证,但一定有助于管理阶层增加实现目标的信心。
COSO风险管理架构,是在内部控制架构基础上发展起来的,虽然企业风险管理的八要素也反映了内部控制与要素的相关内容,但不能替代内部控制要素,因为各要素的目的及具体内容是不相同的。
(第二节)风险基础审计涵义与特征
一、风险基础审计涵义
20世纪60年代后,科学技术的飞速发展促进了经济的迅猛增长,社会经济多维化趋势显著,由此,企业经营的不确定性大大增加。受到企业内部及外部多方面因素的影响,仅以被审计单位自身的内部控制制度为核心的制度基础审计显然已不能适应社会经济发展的需要。从风险评估入手,综合分析影响被审计单位目标实现的各种因素及探求风险管理的风险基础审计已势在必行了。
所谓风险基础审计,是指以对被审计单位的风险识别为基础,全面分析影响被审计单位管理目标实现的各种因素,并据此确定实施进一步审计的性质、范围、时间,进而进行控制测试和实质性检查的一种审计方法。
以风险为基础的审计方式是以制度为基础的审计方式的发展,代表了现代审计方法发展的最新趋势。风险基础审计立足于对风险进行系统的分析和评价,并以此为出发点。它强调审计战略,要求制定适合被审计单位状况的审计计划,要求不仅应检查与内部控制制度有关的因素,而且应检查企业内外的多种因素,不仅应进行与会计事项有关的个别分析,而且应进行涉及各种环境因素的综合风险分析。再者,与以制度为基础的审计方式所强调的内部控制制度与审计测试之间的关系不同,以风险为基础的审计方式要求从被审计单位目标确认与分析开始,进一步研究影响单位目标实现的固有风险和控制风险,而且要对产生风险的各个环节进行评价,用以确定审计人员实质性测度的重点和测试水平,确定如何收集、收集多少和收集何种性质证据的决策,最后引导出管理风险的办法。
风险基础审计方法是正在探索、尚未完善的一种新方法,国内外审计职业界对其认识存在很大差异。例如,社会中介审计认为,注重从企业宏观层面了解会计报表存在的重大错报风险,就是风险基础审计。而不少内部审计组织和人员却认为,对影响单位目标实现的各种风险因素分析与预测,并对管理层提出管理风险的措施,即为风险基础审计。他们的观点不能说是错的,但只是局限在自己本身工作的范围方面,没有从建立一种完整的审计方法体系方面去认识问题和解释问题。风险基础审计作为一种新的审计理念和方法,随着国内外审计失败事件连续不断地爆发,引发了业内外新的关注和两种截然不同的看法。一种意见认为,安然事件中安达信会计公司失败,很大程度上可以归结于风险基础审计理念和方法的失败,因此要求反思甚至停止采用风险基础审计方法。还有一种意见认为,我国中天勤会计事务所出现的问题,是因为没有采用风险基础审计方法。由上可见,人们对风险基础审计还缺乏全面的认识,甚至心存疑虑。
反映在审计实践中,国内外一些会计事务所及内部审计机构对风险基础审计方法进行了探索,但存在很多局限性,隐藏着一定的审计风险:有的只注重对企业的目标、经营战略及其业务流程的了解,忽视了对重要的各类交易、账户、余额、列报与披露的实质性测试,将实质性测试集中在例外事项;有的只注重对企业一般情况及其环境的了解,忽视了对内部控制的了解和测试,认为内部控制测试已经过时了。由于实施的实质性程序有限,当不实施内部控制测试或没有发现内部控制失效时,审计人员就不能发现业务交易中问题及会计报表存在的重大错报。再者,有的只注重使用分析性复核方法,忽视了传统的审阅、核对、复核等方法使用。要想使风险基础审计方法有效实施,必须将其与制度基础审计方法及账目基础审计方法有机地结合起来。在风险评估中必须进行内部控制恰当性与有效性测试,在实质性测试时同样要使用账目基础审计的各种方法。
二、风险基础审计产生的原因
风险基础审计是迎合高度风险社会的产物,其产生与兴起的原因主要有以下三个方面。
(一)社会对审计期望的提高
审计始终处于一种被动与不断调整适应的状态,始终在为满足社会经济发展的需求而不断努力,但也无法达到完全满足社会需求的程度。因为,社会在不断地前进与发展,审计服务的对象的期望也在不断地改变与提高。特别是20世纪60年代以来,随着世界范围内科学技术、政治经济的变化,激化了企业之间的竞争,增加了企业目标实现的不确定性,并导致了企业纷纷倒闭破产。因此,社会对审计提供风险管理服务的需求越来越迫切。1999年国际内部审计师协会新修改的内部审计的最新定义中强调指出:内部审计要通过系统化、规范化方法评价和提高单位风险管理、控制和管理程序的效果,帮助完成其目标。要求内部审计为单位风险管理提供专家的保证与咨询服务;强调内部审计主要关心组织整体目标的实现,强调评估风险的责任,未来内部审计的趋势为确认风险之所在,内部审计必须预期并掌握机会以适应组织的需要。美国注册会计师协会科恩委员会调查表明:社会公众(包括会计报表的使用者)认为,审计人员应对舞弊行为的揭露以及关于受审企业管理人员欺诈和违法行为的报告,负有更大的责任;审计人员应增进审计的有效性,即提高对影响会计报表真实性的察觉能力;审计人员应向有关利害各方详尽报告审计过程的发现;为使已审会计报表更具有实用价值,审计人员应向报表使用者提供更多的关于企业持续经营能力方面的信息。
面对企业及社会公众的需求,审计职业界不能视而不见,否则,不仅会令需求者失望,审计还会失去生存与发展的基础,这是风险基础审计产生的根本原因。
(二)制度基础审计不能满足需求
在过去数十年中,制度基础审计是增进审计绩效与管理组织风险的主要工具之一,审计人员已被训练为内部控制制度评估、建议的专业人员,并将审计焦点置于单位作业流程内部控制的规划、测试与报告,造成审计人员均将审计工作偏向于单位可审计的内部控制系统,而忽视了被审计单位本身的目标。风险基础审计可以答复许多控制基础审计所不能解决的疑问,无疑是增进审计绩效与组织风险管理的一项重要观念。
没有风险就没有控制,控制只为管理风险而存在,不分析风险而想有效地评价控制是不可能的。在尚未检查组织程序的目标与所处风险前,即直接评估控制程序,其结果应无意义。因为审计人员无法了解哪些是最重要的控制系统,哪些控制对于风险而言是重要的,又缺少哪些控制。制度基础审计导致了过度控制日益严重,限制了组织发展和无效率控制的增加。风险基础审计能改变审计人员对于控制与风险的思考,使审计人员对于组织所面临的风险开始关心,而审计报告的重点也转移至目前以及对未来精心的规划,审计报告将目前作业控制的确保与策略计划风险评估连接起来。风险导向审计将“决定应设计的控制”扩大为管理风险,审计先确认组织目标,再评估风险,最后管理风险。正因为制度基础审计不能满足现代企业及社会对风险管理的需求,风险基础审计便有了产生与发展的基础。
(三)审计生存与发展的需要
现代审计的产生与发展,无一不是以被审计单位有各种利益关系的第三方面的需求和需求的变动为轴心。审计要想存续与发展,理应围绕社会公众利益的需求,不断地开拓新的审计领域和探索新的审计方法,这是风险基础审计兴起的第三方面原因。现代公司的管理者要求把企业有限资源集中投放在核心竞争力方面,要求单位所有部门和人员都要为增加企业价值服务。同样要求内部审计要帮助组织达成目标,其关注的焦点应由财务及遵循性控制转换为管理控制、管理程序及风险评估,并希望每一个内部审计人员均要成为单位内部风险评估的专家,为单位风险管理提供预测、咨询服务。认为判断内部审计是否成功最重要的标准是其服务给组织提供的价值;如果对独立性的强调损害了内部审计价值的增加,那么应当优先考虑内部审计价值的增加问题。
