風險管理框架下審計實務流程問題研究——以商業銀行為中心

盧之光

（順德農村商業銀行，廣東 佛山 528300）

一、企業風險管理的變遷及其蘊含的發展趨勢

1992 年，COSO 委員會發布了《內部控制——整合框架》，提出了包含控制環境、風險評估、控制活動、信息與溝通、監察五個要素的基本框架。2004 年，COSO 委員會在此基礎上提出了《企業風險管理——整合框架》，將內控五要素擴張為八個要素，增加了目標設定、風險識別和風險應對三個要素，實現了從內控到風險管理的演變和轉型。2006 年，國資委出臺了《中央企業全面風險管理指引》，發起中央企業構建全面風險管理體系的倡導；2008 年，進一步提出了中央企業要在3—5 年內建立全面風險管理年報制度，強力推動風險管理在國內的實施和普及。

在這些理論和制度的推動下，企業風險管理的本身發展透露出其內在的軌跡和趨勢，具體情況如下：

1.在層面上，由外而內不斷深入

最初風險管理主要關注虛假財務報告風險，只是看報告中的數據錯誤、一致與否，很少關注產生某些現象的原因。而后，隨著實踐的深入，逐漸自覺探討數據背后的內在風險因素，進而深挖到企業運行的各個環節，在內部按照組織運行紋理防控風險。

2.在范圍上，由點到面持續拓展

最初風險管理主要關注重要業務環節風險，比較機械地認為把握住了關鍵流程及關鍵控制點就等于把握住了全部。隨著實踐的深入，逐漸意識到這種機械思維的不足，進而懂得根據組織運行的邏輯和控制機制尋找、發掘、識別、評估包括公司治理、市場競爭環境、企業發展戰略以及國家監管政策等方面因素的系統風險。

3.在環節上，由后至前強化預控

一開始，風險管理主要關注風險損失彌補，缺乏主動性，嚴重影響了其本身對組織運行的推動作用。隨著實踐的深入，更有意識地將關注重心前移，逐漸開始強調在業務活動發生前或進展過程中及時評估風險發生的可能性及影響程度，通過制定有效的風險管理策略在比較靠前的環節中，盡力將風險消除在萌芽狀態。

二、企業風險管理框架下審計實務操作的變化分析

基于金融業的特殊性，風險管理理念在金融業中的應用時間早、范圍廣、幅度大、層面深，在很長時間內幾乎成為金融業的專屬，對金融業商業銀行審計實務影響也最大而深刻。具體而言有如下幾點：

（一）在審前準備階段強化風險識別和分析

隨著風險管理的引進、深入及在金融等系列行業內的實施普及，風險在審計工作中的地位逐漸抬頭，并成為核心關注因素，也是審計準備階段的關注重心。對于商業銀行而言，審前準備工作重要著眼于戰略風險和業務經營風險的識別和初步評估工作。對于前者，以銀行組織目標層面的高度和視野，估量組織戰略目標以及影響組織戰略目標實現系列因素，在風險排序及去偽存真的基礎上形成重大風險清單。對于后者，以產品相關業務和內部管理活動為主要對象以控制情況信息為主要維度和視角，大量收集相關信息，在此基礎上重點關注關鍵控制點和風險點。

（二）編制計劃階段強化風險評估的基礎性作用

審計準備階段過后便是切實進入審計規劃階段，也就是編制審計計劃。在這個階段，風險同樣是核心考慮因素，一要考慮需要應對關注的相對關鍵和主要的風險因素，確定基本審計范圍；二要在選定風險因素中根據各自度量排序，確定各區域或環節的審計次序。對于商業銀行而言，風險評估需覆蓋業務單元與機構單元，前者是把特定銀行作為一個整體，匯總、考量、分析、判斷整個銀行的運行風險，籍此提供審計計劃的基礎信息之一；后者以特定銀行內部的機構設置為經，以各分支機構的風險表現及影響差異為緯，以強化適用性為原則，分解落實審計計劃在微觀部門的分配和安排。

（三）實施審計測試階段強化以風險管控情況為旨歸

審計測試實際上是審計計劃的推行和落實，因此要想對嚴格地遵循計劃階段確定的范圍和次序，同時在對剩余風險精確判斷的基礎上在抽樣數量及證據支撐等相關資源分配方面給予適當即時性調整。對于商業銀行而言，除了組織內部相關風險因素的關注外，在執行審計測試階段還要充分考慮國際環境、國家政策、金融形勢以及同業競爭態勢等外部因素，靈活通過各種方式獲得準確而充分的相關證據，籍此支撐對柜面業務效率等內部運行情況的審計工作，以推進審計結果的全面、客觀而準確。

（四）撰寫審計報告階段強化風險管控情況評估

對于商業銀行而言，審計報告不宜過于零散，而應該緊緊把握戰略風險和流程風險，以此為基礎順應金融業務的拓展網絡及審計工作的本身規律，形成獨特而高效的報告內容結構，助力相關層級的負責人員推動風險管理流程再造并提升管理效果。

三、風險管理框架下審計實務流程的局限

在風險導向審計工作推行過程中也暴露了其本身的局限，具體而言主要有操作局限和功用局限兩種。

（一）操作局限

傳統審計雖然漏洞很多，理念滯后，但有因自生性質而在操作方面形成的無可比擬的優勢。而風險導向審計不同，外生的風險管理在國內及特點經濟組織內的實施需要另外配備先進理念的汲取和內涵、合適人才的培養、信息系統及相關技術、審計方法和技能的積淀等系列額外條件才能切實推進實施，否則只能是空中樓閣而無法推行。在現實實務中，如上系列條件同時充分具備的頻率不是太高，尤其是具有充分勝任能力的審計人才的培養及安全的信息系統，這方面往往會很難確實具備，這制約了實施和操作力度。

（二）功能局限

在幫助企業減少經營發展中的不確定性，將風險損失影響降到最低，從而實現審計工作的價值增值，促進企業目標實現及價值增值等方面起到了傳統審計難以比擬的作用。不過，風險管理也有其自身的功能局限，對此COSO 委員會在《企業風險管理——整合框架》也強調“合理保證并不是絕對保證”，專門論述了其具體局限。同樣，風險管理框架下的風險導向審計也因此注定了不可能完全解決審計方面的所有問題，在功能方面具有相當的局限，有待于持續完善、發展和嬗變。

面對如上局限，我們應該對風險導向審計流程給予有限的依賴，在推進實施的過程中即時性思考探索克服其局限性的路徑，在可能的情況下可采取回歸的模式以傳統審計的范式和方法對沖彌補風險導向審計模式的缺失。