基于雙標分析法的風險管理體系合理性審計

文 劉蓓蓓 歐穎君 徐慧萍

大多數(shù)企業(yè)構建的風險管理機制是在COSO的《企業(yè)風險管理——整合框架》（下文簡稱“COSO風險管理框架”）基礎上建立起來的。除了COSO風險管理框架列示的八大核心要素外，本文所論述的風險管理體系還包括了風險管理“三道防線”、風險管理文化、風險管理信息系統(tǒng)及績效考核體系等支撐性要素。風險管理體系的構建不是一蹴而就的，而是一個系統(tǒng)工程，只有各項核心要素與支撐性要素之間水平匹配、協(xié)同運作，方可使得風險管理體系穩(wěn)步運行。

一、風險管理體系合理性審計的概念

風險管理體系合理性審計的范圍包括戰(zhàn)略支撐、職責分工與組織架構、能力與風險文化、績效考核與激勵、評估方法、應對與控制、信息技術、監(jiān)督與匯報等八大領域，如圖1所示。

（一）風險管理體系合理性審計與傳統(tǒng)風險控制活動有效性審計的區(qū)別

一方面，風險管理體系合理性審計與傳統(tǒng)風險控制活動有效性審計的目的不同。風險管理體系合理性審計的目的包括：一是通過評估被審計單位現(xiàn)行風險管理體系是否已達到同行業(yè)、同等規(guī)模、同生命周期階段企業(yè)的平均水平，確認被審計單位風險管理體系的整體合理性水平；二是通過識別風險管理體系中存在的短板，發(fā)現(xiàn)與最佳實踐的差距，從而確定提升目標與優(yōu)化方向，促進資源的有效配置。傳統(tǒng)風險控制活動有效性審計的目的是通過對被審計單位風險控制活動的設計與執(zhí)行有效性的評估，發(fā)現(xiàn)內控缺陷，分析缺陷形成原因，提出改進建議。

圖1 風險管理體系合理性審計范圍

另一方面，風險管理體系合理性審計與傳統(tǒng)風險控制活動有效性審計的對象不同。風險管理體系合理性審計的對象是企業(yè)風險管理體系整體框架的八大核心要素及風險管理“三道防線”、風險管理文化、風險管理信息系統(tǒng)及績效考核體系等支撐性要素。傳統(tǒng)風險控制活動有效性審計的對象則是風險控制活動相關的制度、約定俗成的慣例及其執(zhí)行情況。

（二）風險管理體系合理性審計的方法論——大數(shù)據(jù)模式下的雙標分析法

為實現(xiàn)風險管理體系合理性審計的目的，內審人員必須解決一個關鍵性問題，即如何制定恰當?shù)脑u價標準，一方面衡量該體系的合理性水平，另一方面提出未來發(fā)展方向的建議。

雙標分析法是傳統(tǒng)標桿分析法的衍生。傳統(tǒng)標桿分析法，企業(yè)往往只選用領先實踐作為單一標桿，以資借鑒，找出差距，力圖改進。此方法有助于企業(yè)找到提升方向，但無法同時提供企業(yè)現(xiàn)有管理體系合理性的判斷意見。雙標分析法突破傳統(tǒng)標桿分析法的限制，在其基礎上發(fā)展為“合理水平+最佳實踐”，將在生命周期中處于同一階段的同行業(yè)、同規(guī)模企業(yè)（下文簡稱“同類企業(yè)”）風險管理體系發(fā)展的平均水平與最高水平，分別作為合理水平與最佳實踐，進而確定風險管理體系合理性審計的標準與發(fā)展方向標準。內審職能機構運用雙標分析法開展審計，既可實現(xiàn)體系合理性的確認，亦可為管理層提供未來發(fā)展方向建議，如圖2所示。

確定同類企業(yè)風險管理體系發(fā)展的平均水平與最高水平，是成功開展風險管理體系合理性審計需要解決的決定性問題。大數(shù)據(jù)技術為審計人員獲取更為客觀、全面的同類企業(yè)風險管理體系水平基礎數(shù)據(jù)提供了更大可能。由于大數(shù)據(jù)具有海量的數(shù)據(jù)規(guī)模、快速的數(shù)據(jù)流轉、多樣的數(shù)據(jù)類型和價值密度低等四大特征，建立在此基礎上的同類企業(yè)大多數(shù)樣本與最佳者數(shù)據(jù)應可以反映總體特征的平均水平與最高水平，可以從已經具有成熟規(guī)模的數(shù)據(jù)平臺快速獲取及整合企業(yè)信息，如BMI Research、道瓊斯Factiva、路透社Thomson One等，均可提供最新的全球或國內上市公司或非上市公司的企業(yè)數(shù)據(jù)；亦可從港交所、上交所、深交所等網站獲取香港及國內上市公司的風險管理報告；還可以考慮從國際風險管理咨詢機構獲取已經加工分析的全球行業(yè)數(shù)據(jù)。這些數(shù)據(jù)經過網絡與計算機技術分類歸納處理后，可以為開展雙標分析提供相對權威、客觀的數(shù)據(jù)基礎。

二、風險管理體系合理性審計的實施步驟

風險管理體系合理性審計可以大致分為四個步驟，如圖3所示。

圖2 雙標分析法示意圖

（一）制定審計標準及發(fā)展目標

1.設定“風險管理能力矩陣”評價模型。為加強審計的邏輯性與可視性，內審人員根據(jù)審計范圍，設計“風險管理能力矩陣”評價模型，將審計對象劃分為三級維度，并與能力水平等級有機結合。基于多年風險管理經驗、專家意見以及大數(shù)據(jù)分析結果，在“風險管理能力矩陣”中設置8個一級維度，以及起步、初級、確立、高階與領先實踐等5個能力水平等級，如表1所示。在一級維度的基礎上，進一步設置了33個二級維度，如表2所示，涉及56項三級具體審計對象，對應280項詳細評價規(guī)則。

2.確定合理水平及最佳實踐。（1）選取同類企業(yè)樣本。合理水平是在企業(yè)生命周期中處于同一階段的同行業(yè)、同規(guī)模企業(yè)所處的風險管理體系發(fā)展狀況的平均水平。企業(yè)生命周期理論將企業(yè)劃分為初創(chuàng)、成長、成熟、衰退4個階段，從近年來基于財務視角考察企業(yè)生命周期所處階段的研究文獻看，可采用Victoria Dickinson現(xiàn)金流組合法，即根據(jù)不同生命周期企業(yè)的經營活動、投資活動與籌資活動的現(xiàn)金流量特點，判斷企業(yè)所處的生命周期階段。在確定同類企業(yè)樣本范圍時，需要進行三層篩選，層層縮小范圍：第一層，對照Dickinson現(xiàn)金流組合，確定在企業(yè)生命周期中處于同一階段的企業(yè)樣本；第二層，在第一層篩選出的樣本中，根據(jù)主營業(yè)務描述及行業(yè)歸屬登記信息，確定同行業(yè)企業(yè)樣本；第三層，借鑒年度財務報表審計重要性水平的通常確定方法，根據(jù)被審計單位的稅前利潤±5%與總資產±1%，在第二層篩選結果中確定同規(guī)模企業(yè)樣本。通過上述三個層次篩選，即可得出風險管理體系合理性審計的同類企業(yè)對標樣本總體。（2）確定合理性水平。利用前文所述的“風險管理能力矩陣”，統(tǒng)計同類企業(yè)樣本中每一級風險管理能力水平的企業(yè)數(shù)量占樣本總量的百分比，按照能力水平由高至低累加，直至達到50%相對應的能力水平等級即為平均水平。（3）確定發(fā)展目標。發(fā)展目標就是同類企業(yè)所處的風險管理體系發(fā)展狀況的最佳實踐。（4）確定整體合理性水平。內審人員結合管理層決策及外部專家意見，確定整體合理性水平判斷標準，在合理性水平或其以上的審計對象的累計項數(shù)占總項數(shù)的比例應不小于90%（即90%-100%，含90%）。

（二）審核風險管理體系水平

綜合運用詢問、檢查、觀察、分析性復核、重新執(zhí)行等審計程序，對前述“風險管理能力矩陣”的具體審計對象開展審計，并將審計結果與“風險管理能力矩陣”中的詳細評價規(guī)則進行對比，確定審計對象在審計期間所處的風險管理能力等級。

（三）與審計標準及發(fā)展目標對標

圖3 風險管理體系合理性審計的步驟

表1 風險管理能力一維矩陣

表2 風險管理能力矩陣二維表

將在“審核風險管理體系水平”階段所確認的被審計單位風險管理體系發(fā)展水平與在“制定審計標準與發(fā)展目標”階段所確認的審計標準與發(fā)展目標進行比較分析，可確定達到或未達到合理水平的項目，某公司“應對與控制”對標結果如表3所示。

表3 某公司“應對與控制”對標（示例）

（四）得出審計結論及未來發(fā)展方向建議

根據(jù)對標情況，內審人員可對風險管理體系的合理性水平進行最終評價，并提供體系發(fā)展的方向性建議。本階段內審人員需要完成以下4個步驟工作：

1.對每個具體審計對象的評價結果進行標識。低于合理水平（不合理）、處于合理水平（合理）或最佳實踐（最佳）。

2.判斷整體合理性水平，得出審計結論。統(tǒng)計具體審計對象(最佳+合理)項數(shù)/(最佳+合理+不合理)項數(shù)的比率，90%-100%之間判斷為整體合理。

3.基于風險管理體系一級維度，繪制雷達圖。依據(jù)管理學“木桶理論”，一個水桶無論有多高，它盛水的高度取決于最短的那塊木板，“短板”的長度決定事物整體發(fā)展程度。因此，應把握“短板法則”，對審計結果作進一步的分析與評價，協(xié)助公司管理者確定各維度級別是否有較大區(qū)別、是否存在明顯的薄弱環(huán)節(jié)。“雷達圖”恰恰能夠形象地展現(xiàn)公司風險管理體系合理性的整體狀態(tài)，如圖4所示。

圖4 風險管理體系整體對標情況雷達圖（示例）

4.提出審計建議。可依據(jù)實際情況提出彌補短板、使各領域與各方面均趨于合理的相關建議。內審人員還可將審計建議的發(fā)展方向與管理層制定的風險管理體系優(yōu)化策略進行比較，提出提請管理層關注的問題，以促進企業(yè)風險管理資源投入整體效益最大化。

三、風險管理體系合理性審計的成果運用

通過開展風險管理體系合理性審計，內審人員可對風險管理體系整體合理性進行評價，并從以下兩個方面向企業(yè)管理者提出審計意見及改進建議：

一是確定風險管理體系提升目標。企業(yè)風險管理體系水平等級需與企業(yè)發(fā)展狀況相匹配。當企業(yè)風險管理體系整體合理性低于同企業(yè)生命周期階段、同行業(yè)、同規(guī)模企業(yè)的平均水平時，則表示該風險管理體系整體發(fā)展滯后，可能已經不能滿足企業(yè)持續(xù)發(fā)展的需要，需考慮架構再造。若風險管理體系已整體合理，可考慮對薄弱環(huán)節(jié)專項整改，或以領先實踐為目標提升，提高風險管理體系的水平等級。

二是優(yōu)化風險管理體系建設資源配置。風險管理體系建設講究多維平衡發(fā)展，并與組織目標相匹配。風險管理體系合理性審計結果，可提示管理層更有效地配置有限資源，例如，應優(yōu)先整改不合理的項目，再考慮已達合理水平項目的優(yōu)化，從而使風險管理體系發(fā)揮更大的整體效益。