基于《企业风险管理——与战略和绩效的整合》（ERM 2017）的风险管理持续审计评价模型

张晓东 邬奕强

[摘    要] 风险管理审计评价是针对企业风险管理设计与运行的有效性进行评价。本文以美国反虚假财务报告委员会下属的发起人委员会（以下简称COSO）的2017新版《企业风险管理——与战略和绩效的整合》（ERM 2017）的要素、原则等为基础，建立了“目标层+要素层+指标层+评价层”的风险管理评价架构，提出了公司风险管理评价的方式方法，建立了风险管理评价模型。

[关键词] ERM 2017;风险管理;评价模型

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 17. 007

[中图分类号] F239    [文献标识码]  A      [文章编号]  1673 - 0194（2019）17- 0017- 03

0      引    言

2018年，审计署正式将风险管理列入内部审计职责范围。风险管理审计是针对企业风险管理设计与运行的有效性进行审计，是参与企业全面风险管理的重要手段。孟焰和潘秀丽（2006）认为企业风险管理的有效性主要取决于风险管理的监督和评价，风险管理的审查和评价是内部审计的新领域。刘李福和邓菊香（2014）认为，风险管理审计更注重对企业风险管理及其效率的评价，是现代审计的重要发展方向。风险管理审计评价是企业风险管理的最后的环节，是实现企业风险管理闭环运行的关键。在实践中，黄庆惠等（2016）基于ERM 框架，提出了持续审计为导向的内部控制审计模式;卢俊峰（2018）遵循ERM框架，构建了基层央行风险管理审计评价框架，建立了风险管理审计评价模型。但是，上述企业风险管理实践多是基于COSO 2004版ERM框架开展的，ERM 2017在当前企业风险管理实践中应用不足。本文在总结了公司风险管理持续审计实践的基础上，基于COSO 2017版ERM框架，提出企业风险管理评价的方式方法，建立风险管理审计评价模型。

1      风险管理的内涵

2004年，COSO结合《内部控制整合框架》和《萨班斯—奥克斯利法案》，颁布了《企业风险管理整合框架》（ERM），首次将内部控制与风险管理结合。ERM对风险管理的定义为：企业风险管理是一个过程，受企业董事会、管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证，并将风险管理分为内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督8个要素。

随着企业经营环境发生了巨大变化，COSO于2017年正式发布新版《企业风险管理——与战略和业绩的整合》（ERM 2017）。ERM 2017将风险管理定义为“组织在创造、保持和实现价值的过程中，结合战略制定和执行，赖以进行管理风险的文化、能力和实践”。ERM 2017将原有的8个要素整合成为5个要素，即治理和文化，战略和目标的设定，绩效，审阅与修订，信息、沟通与报告，并明确提出20项原则。

ERM 2017在风险管理的定义、框架、要素、原则等方面变化明显，厘清了風险管理与内部控制框架的边界，从使命、愿景和核心价值观出发，强调风险与价值的关系（即风险不再都是“负面”的，风险也意味着机会），为企业开展全面风险管理实践提供了理论依据。

2      风险管理审计方式方法

在风险管理审计时，首先要开展符合性测试，确认各关键点风险管理措施是否存在，并得到贯彻执行，根据测试部位可信赖程度的分析，找出风险管理的薄弱点和失控点，同时确认审计重点，从而决定实质性测试的范围、重点和方法等。如果在初步了解、调查后发现组织风险管理制度缺失或非常薄弱，或没有得到遵守，则可直接进入实质性测试，同时必须扩大实质性测试的范围。

在此基础上，结合连续与间歇模拟方法和嵌入式审计模块技术等持续审计方法和技术，应用关联规则、分类、聚类、预测分析法等数据挖掘技术以及大数据集成和管理技术，在数字化审计平台开展风险管理持续审计（如图1所示）。例如，在工程管理中，常存在“未批先建”的情况，通过数字化审计平台的模型实验室，建立审计程序自动查找已领料的工程项目，并比对相关可研批复或核准信息，若领料时间早于批复、核准时间的，作为审计疑点输出。

3      公司风险管理持续审计工作流程

将风险管理审计与持续审计理论、技术和模型相结合，公司围绕风险管理的关键环节确定风险管理审计主题，根据各个主题特点，由公司审计部统一组织，各级审计部门分层实施。公司风险管理持续审计工作流程包括主题确定，数据获取，模型搭建，疑点核实，问题整改，工作报告和成果应用等。

公司风险管理持续审计的工作过程如下：由审计部统筹制定风险管理持续审计范围和审计主题;各级审计部门根据持续审计主题，明确风险管理审计关键要素和指标，成立审计工作组;审计组搭建自动审计程序，利用数字化审计平台，结合数据挖掘、持续监控和风险评估等方法，查找经营管理中存在疑点和风险，判定疑点风险水平，下发疑点核实工单;被审计单位进行疑点的核查和反馈，并提供说明和佐证材料;公司审计部下达审计意见，各级审计部门负责具体的问题整改工作，提出整改计划和方案;被审计单位向上级单位提交整改报告，上级单位对问题整改情况进行跟踪督导;各级审计部门定期向公司审计部报送风险管理持续审计工作报告。

4      公司风险管理持续审计评价体系

本文以ERM 2017的要素、原则为基础，建立“目标层+要素层+指标层+评价层”的风险管理审计评价架构（如表1），目标层是实现公司发展战略和经营目标。要素层包括治理与文化，战略和目标，绩效，审阅与修订，信息、沟通与报告5个要素。指标层是针对要素层各个要素的进一步细分，以绩效为例，绩效是在风险偏好的背景下，识别风险，并按照严重程度和发生可能性排序，选择风险应对措施，并采取风险组合的视角，包括风险识别、风险评估、风险排序、风险应对、风险组合5个指标。指标层可进一步分为次级指标，以风险排序为例，可分为风险发生的可能性和影响的严重程度2个次级指标。

5      公司风险管理审计评价模型

在上述风险管理评价指标体系的基础上，根据相关次级指标的权重值以及评价实施阶段对相关次级指标评分进行计算，获得指标评价值;根据指标权重计算出各要素评价值，进而计算出风险管理评价值。具体的审计模型如下：

式中，EV为公司风险管理评价值;Ei为第i个要素的评价值;Wi为第i个要素的权重值。

上述模型中，为保证风险管理评价结果的合理性，在确定各要素所对应的评价指标后，对各指标的权重分配也需通过科学的方法来确定。本文采用模糊判断矩阵法、层次分析法，计算各要素及指标的权重（见表1）。

5.1   指标权重赋值

通过向风险管理专家发放问卷，对每组指标与上一层级的指标间的重要程度进行打分，即如果指标与若干个次级指标有联系，通过次级指标的两两比较，得到次级指标相对于上一层级指标的重要性，采用1-9的标度，构造两两比较判断矩阵。

运用几何平均法，计算判断矩阵每一行指标的乘积，并计算该乘积的5次方根，求得特征向量，并对向量Wi规范化。计算判断矩阵的最大特征根和一致性指标，得到平均随机一致性指标。如果该值小于0.1，说明矩阵具有满意的一致性，可以确定该层指标的权重。

5.2   风险管理评价值计算

根据上述企业风险管理评价指标体系，运用专家意见法进行评分，对每个次级指标，评估小组进行讨论确定分值，结合层次分析法所确定的要素权重，采用加权平均法，计算企业风险管理评价值。

根据计算出的企业风险管理评价值，将公司风险管理水平等级由低至高分为不同等级，如简单级、规范级、优秀级等，并根据5个要素评价值，绘制的企业内部控制和风险管理审计评价蛛网图，对企业风险管理进行综合评价。

6      结    论

当前，公司已建立了基于大数据、云计算的数字化审计平台，形成平台支撑的风险管理持续审计新局面。本文总结了公司开展风险管理持续审计的方式方法和实践，以ERM 2017的要素、原则等为基础，建立了“目标层+要素层+指标层+评价层”的风险管理评价架构，提出了企业风险管理评价的方式方法，建立了企业风险管理评价模型。

主要参考文献

[1]黄庆惠， 何黎萍， 刘辉成， 等. 以持续审计为导向的内部控制审计模式探讨[J]. 中国内部审计， 2016 （7）： 20-27.

[2]孟焰， 潘秀丽. 企业风险管理审计研究[J]. 审计研究， 2006（3）： 61-63.

[3]舒伟，左锐，陈颖，等.COSO風险管理框架的新发展及其启示[J].西安财经学院学报，2018，31（5）：41-47.

[4]刘李福，邓菊香.风险管控与风险管理审计：研究评述与框架[J].中国内部审计，2014（5）：24-27.

[5]卢俊峰.基层央行风险管理审计评价研究[J].中国内部审计，2018（11）：30-36.