基于COSO（2017）框架的风险管理审计流程

高菁敏　华艳芳

[提要] 随着各国经济贸易进一步发展，经济全球化进程加快，企业同时面临着复杂、动荡的外部与内部风险，风险管理审计在审查企业风险管理的有效性和适当性的同时，成为企业控制风险的一道重要防线。在2017年COSO新风险管理框架颁布之后，与之密切相关的风险管理审计的思路和流程也将发生重大变化。本文正是基于COSO（2017）新框架，研究风险管理审计的新流程，从而增加组织价值。

关键词：COSO;风险管理审计;流程

本文为南京审计大学大学生创新创业训练计划项目资助（项目编号：201811287011Z）

中图分类号：F239 文献标识码：A

收录日期：2018年12月20日

一、导论

审计人员主要通过四个步骤来实现审计目标，第一步是为获取审计证据而做好准备，即审计准备阶段;第二步是获取审计证据的阶段，也称审计实施阶段;第三步是根据审计证据获取审计结论，称为审计报告阶段;第四步是后续审计阶段。风险管理审计的目标实现过程也可以分为以上四个阶段，在新的COSO（2017）框架颁布后，企业风险管理进行的调整也会对审计四个阶段产生影响，本文通过表1将基于不同框架下的风险管理审计的重点进行比较，并主要阐述基于新COSO（2017）框架下的风险管理审计相应需要调整和改进的地方。（表1）

二、审计准备阶段

审计准备阶段主要在以下两个方面进行调整：

（一）对被审计单位进行审前调查。审计人员需要了解被审计单位的性质、经营范围和其所处的环境从而编制审计计划，实施审计。审计人员应重点关注企业战略是否符合自身发展方向和经营目标，根据COSO（2017）强调的组织在建立不同层次的、与战略一致和支持战略的业务目标过程中考虑风险，审计人员评估的重点在于企业是否正确恰当地识别和分析战略制定中存在的风险。

（二）编制审计计划。主要从项目审计计划和年度审计计划这两个方面阐述其受COSO（2017）报告影响，应该进行调整的地方。

1、编制项目审计计划。风险管理审计的目标是对企业风险管理制度的有效性和适当性进行审查评估并提出建议，这区别于常规审计是针对企业运营效果发表意见并提出合理化建议的。在审计范围上，COSO（2017）强调将风险置于更复杂的商业情况下进行考量，再考虑到风险的不确定性，风险管理审计范围应该是对企业风险管理的全过程进行全面的评估。对于审计方法，主要是运用风险评估来确定审计的对象和编制审计计划。与此同时，COSO（2017）还强调了企业更加关注战略与绩效的风险，所以风险管理审计的重点审计领域则是审查企业是否充分识别战略制定中存在的风险，是否恰当地评估风险并对风险严重程度排序，是否有效地采取风险应对措施。

2、编制年度审计计划。审计人员通过调查企业所处的内部和外部环境来制定年度审计计划，使审计计划更加贴合企业所处的行业背景和发展趋势。同时，审计人员在风险评估的基础上将风险严重程度进行排序，从而安排审计工作。

（1）了解企业内部环境。COSO（2017）第一要素便是治理和文化，治理确定了企业的基调，文化体现一个企业的责任意识和道德价值观，这对企业风险管理制度的建立和完善有着很大的参考价值和影响。相应地，风险管理审计人员在了解企业内部情况时应该重点关注：①企业是否加强了董事会对风险的监督，董事会是否认真履行治理的职能，从而支持管理层实现战略目标;②企业运营结构是否合理，是否符合企业规模和发展方向;③企业是否追求符合自身特色的企业文化，风险文化是否渗入员工意识并转化成共同的认知和自觉的行为，从而形成浓厚的文化氛围;④企业是否有对组织核心价值的认可和承诺。

（2）了解企业的外部环境。随着世界经济贸易的不断发展，企业竞争越来越激烈，审计人员在调查了解一个企业时，企业的外部环境，所处行业的现状、发展趋势也应该格外关注，特别对于风险管理审计而言，来自企业外部的风险有没有被企业充分及时地识别和评估，以及企业有没有采取恰当的风险应对措施，是审计的重点。

（3）安排审计工作先后顺序。审计人员运用风险评估的方法，对风险严重程度进行排序，结合COSO（2017）对风险优先次序进行排序的要求，从而确定审计事项的先后顺序。年度审计计划中将风险严重程度大的审计事项安排在最前面。

三、审计实施阶段

主要从测试目标、测试内容和测试方法等三个方面阐述风险管理审计基于COSO（2017）应该做出改进和调整的地方。

（一）测试目标。对于风险管理审计而言，测试的直接目的就是审查企业风险管理制度的有效性，包括对风险管理制度设计的合理性进行测试和对企业风险管理制度的执行力进行测试。测试结果能反映審计人员对风险管理制度可以依赖的程度，进一步确定风险管理审计范围。

（二）测试内容

第一，内部审计人员对风险识别过程进行审查与评价。对风险识别的审核要求内部审计人员结合企业经营战略的制定和部署，并结合企业风险管理方针和策略的要求，对企业相关部门风险的识别进行检查、评估并提出合理的建议。同时COSO（2017）框架强调透过内外部环境来审视业务环境，内外部环境的变化带来的风险会影响企业战略目标和业务目标的实现。内部审计人员应时刻关注：（1）管理层是否已充分识别与企业战略目标和业务目标相关的风险;（2）对管理层识别业务环境变化带来的新风险的及时性和准确性进行审查与评价;（3）管理层是否对已经存在但尚未可知的新兴风险予以一定的关注。在对这三点进行评价之前审计人员还应审查企业是否树立良好的风险组合观。COSO新框架中指出从整体和组合的角度来考虑风险有助于企业识别重大风险。

第二，内部审计人员对风险评估过程进行审查与评价。审计人员应当充分了解风险评估的方法，对管理层采用方法的适当性和有效性进行审查并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度这两个要素。COSO建议可以根据预期的风险严重程度采用定性和定量的评估方法，在风险难以量化，定量评价所需数据难以获取时，一般采用定性方法。COSO还强调了风险容忍度和风险偏好的概念，内部审计人员应审查企业是否在可接受绩效偏差范围内运行，这样才能保证企业并未超出其风险偏好。

第三，内部审计人员对风险应对过程进行审查与评价。COSO新框架提出采用恰当的标准划分风险的优先级别是企业筛选风险应对方案的基础，因此在审计人员对风险应对措施进行审查与评价前，应评价风险优先级别划分标准的合理性，重点关注企业是否对接近既定业务目标可接受绩效偏差或风险偏好边缘的风险予以较高优先级别并实时监控。内部审计人员在了解管理层会选择和部署的风险应对方案的前提下，审查和评价风险应对措施的合理性和有效性。企业根据风险评估结果做出的风险应对措施主要包括回避、接受、降低、分担这四个方面。内部审计人员应重点关注管理层所采取的风险应对措施与企业自身的经营状况，战略目标和业务目标的符合程度以及采取措施后的剩余风险是否与企业风险偏好和风险容忍度相适应，在实施一定的审计程序中还要兼顾成本效益。

（三）测试方法。审计人员通过一定的方法获取证据，来确认企业风险管理制度是否有效。一般的测试方法有观察法、访谈法、抽样法、风险评估等方法。对内部控制的测试可以采用重新执行的方法，测试内控是否得到有效执行，从而产生新的审计证据。同样的，对风险管理制度也可以采用重新执行法，且产生的证据可靠性高，为审计意见的形成提供基础。

四、审计报告阶段

COSO（2017）新框架对风险管理审计报告阶段的影响使之不同于常规审计报告主要体现在以下几个方面：

（一）对风险文化和绩效进行报告。COSO（2017）中新增加的第20个原则强调组织在各个层次、各个方面，对风险、文化和绩效做出报告。这就要求风险管理审计报告应当披露有关风险的信息，即企业业务经营过程中是否存在重要风险，有关部门是否有效识别、评估风险，以及企业是否正确及时实施风险防范和控制措施等。并对会影响组织战略目标实现的风险重要性程度进行排序，并将有重大影响的风险排在最前面。同时，报告中还应披露企业的文化，因为一个企业的管理层及员工所具有的道德价值观，是否诚信有责任感等文化环境构成了企业的内部环境，包含在企业风险管理框架的第一要素里。所以文化或者风险文化对于一个企业能否实现其组织价值，能否正确及时地识别评估风险有着重要的作用。当然，对于绩效的披露也应该是风险管理审计报告的重点。报告中的信息应当涉及以下内容：企业是否正确识别影响战略和目标实现的风险，是否准确评估风险的严重程度，是否正确区分风险的优先次序，是否及时地执行风险应对措施，以及组织是否建立合适的风险组合观。

（二）披露审计方法。考虑到风险的不确定性带来的风险管理审计报告的不确定性，以及信息不对称的存在，审计人员应该在报告中记录风险管理审计实施过程中用到的一系列审计方法，例如：审计人员是用观察法还是访谈法审查企业是否有效进行风险评估;在运用判断抽样审计方法时，审计人员是否具备较强的职业判断能力和长时间的工作经验。这样记录方法能在复核审计报告时降低审计风险，同时也降低报告中的风险。

（三）提升企业透明度。COSO（2017）提到将提升利益相关方透明度的预期纳入风险报告范围。企业需要根据公众需求的内容、期望的形式以及畅通的渠道，准确、及时、有针对性地向公众开展信息披露，全面提升企业公众透明度水平，同时企业透明度也是企业可持续领导力的重要组成部分，为了让透明度发挥更大的价值，为了保障利益相关方的权益，审计人员在风险管理审计报告中需要披露企业有关方面的定量信息，避免出现描述性信息和模糊化的文字处理。

五、后续审计阶段

审计人员通过开展后续审计来保证前期风险管理审计的有效性，同时使审计风险降低至可接受的范围内。本文从后续审计的重点和审计结果利用这两个方面进行简要阐述。

（一）后续审计的重点

1、补偿措施实施情况。审计人员审查企业就审计建议和报告所采取的纠正措施的实施情况。管理层是否充分采取了审计建议中提到的补救措施，行动是否降低了风险管理制度各个方面存在的风险，如果企业只实施了部分措施，没有达到降低风险至企业可接受的水平之内，那么企业的行为不够有效。COSO（2017）报告要求企业持续改进风险管理，即企业要有效采取补救措施，这也是后续审计关注的重点。

2、处理与处罚实施情况。审计人员应该对企业处理处罚是否到位进行监督，防止出现弄虚作假，避重就轻的现象，导致企业不能有效改进风险管理制度。

（二）審计结果的利用。对社会公众关注的、与利益相关者有密切关系的审计结果应该以适当的形式公布。审计结果显示风险管理制度存在缺陷的地方，应交由企业管理层，使风险管理制度逐步得到改进和完善。企业各部门要对审计结果进行多角度分析，从而避免下次风险管理出现同样的问题。此外，审计结果还可以作为改进公司治理结构、调整人员分布的依据。

主要参考文献：

[1]甘露.风险管理审计评价指标研究[D].北京：首都经济贸易大学，2017.

[2]时现，田选章，于伯新.风险管理审计研究——基于企业内部审计视角的分析[J].中国内部审计，2010.6.

[3]梁伟雄.后续审计的重点与难点初探[J].时代金融，2014.36.

[4]李雷.领导干部经济责任审计结果运用研究[D].北京：财政部财政科学研究所，2010.