合规经营风险管理范文

第第页合规经营风险管理范文

【关键词】企业风险管理；三维框架；财务报表重大错报风险评估

引言

现代风险导向审计明确了审计工作应以了解被审计单位环境，评估财务报表重大错报风险作为新的正确起点和导向，要求注册会计师全程关注财务报表的重大错报风险，并将风险评估作为整个审计工作的先导、前提和基础。但如何才能全面的了解企业所面临的风险，并评估其对财务报表重大错报的影响呢？本文拟建立一个基于企业风险管理框架理论的三维框架体系解决这一问题。

一、现代风险导向审计评述

随着现代企业规模的日益扩大，企业的经济活动和交易事项内容不断丰富复杂，审计工作的工作量和复杂度迅速增大。为了适应审计环境的变化和审计工作的需求，审计职业界逐渐改变了详细审计，代之以抽样审计，审计方法也从账项基础审计、制度基础审计发展到风险导向审计。根据对审计风险的理解和认识的不同，风险导向审计被划分为传统风险导向审计和现代风险导向审计两个阶段。

传统的风险导向审计运用审计风险模型“审计风险=固有风险×控制风险×检查风险”，将审计的视角确定于企业的管理制度，特别是会计信息赖以生成的内部控制制度。注册会计师通过了解企业及其环境、评价内部控制，对固有风险和控制风险做出评估，在此基础上确定检查风险，再设计和实施实质性程序，以将审计风险控制在会计师事务所确定的水平。由于固有风险的单独评估具有显知的难度，注册会计师往往不注重从宏观层面上了解企业及其环境，而将审计的起点定为企业的内部控制测试，只依赖对内部控制风险所作的粗放型评估来直接、大致确定检查风险水平，再据此规划实质性程序的性质、时间和范围。但是由于企业存在于整个社会经济生活网络中，所处的经济环境、行业状况、经营目标、眼界和风险都将最终对会计报表产生重大影响，同时，当企业管理层通同舞弊，故意通过重大误导性的财务报表来伤害公司利益相关者时，企业的内部控制会失去效果。如果注册会计师不把审计视角扩展到内部控制以外，就很容易受到蒙蔽和欺骗，难于发现会计报表存在的重大错报和舞弊行为。

2023年10月，国际审计与鉴证准则理事会（IAASB）紧紧围绕如何提高审计人员评估风险、发现舞弊的能力，了4个修订和新起草的准则，其核心思想是合并原固有风险和控制风险，将审计风险模型修改为“审计风险=重大错报风险×检查风险”，同时修改审计业务流程，强调从宏观上了解被审计单位及其环境，以充分识别和评估会计报表重大错报的风险（风险评估程序），再针对评估的重大错报风险设计和实施控制测试和实质性程序（进一步审计程序）。

我国财政单位也了《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》，并要求自2023年1月1日执行。该准则也明确了“了解被审计单位及其环境是必要程序”，要求“注册会计师应当了解被审计单位及其环境，以足够识别和评估财务报表重大错报风险，设计和实施进一步审计程序。”

二、构建财务报表重大错报风险评估的三维框架（图1）

经营风险与财务报表重大错报风险是相互联系又有区别的两个范畴。多数经营风险最终都会产生财务后果，从而影响财务报表，但并非所有经营风险都会导致重大错报风险。注册会计师需要通过一定的方法全面了解企业的经营风险并从中考虑经营风险是否可能导致财务报表的重大错报风险。

2023年9月，COSO的《企业风险管理――整合框架》，为人们提供了全面的企业风险管理框架。本文试图以此框架为基础，建立一个以风险管理目标为起点、审计业务循环为主线、风险管理构成要素为步骤的三维重大错报风险评估框架，以便从上向下的全面评估企业所面临的风险及其风险应对的有效性，同时以审计业务循环为主线，识别评估财务报表的重大错报风险。

（一）风险管理目标维度――起点

企业风险管理的目标是指主体力图实现什么。《企业风险管理――整合框架》将之划分为眼界、经营、报告、合规四种类型的目标，认为主体应首先设定眼界目标，并将眼界目标分解成主体及其各单元努力实现的经营、报告、合规目标。

“注册会计师应当了解被审计单位的目标和眼界，以及可能导致财务报表重大错报的相关经营风险”。注册会计师应了解：1.眼界目标，包括被审计单位的行业状况及影响其经营的其他外部因素，与之相应的被审计单位的目标和眼界；2.经营目标，包括企业为实现其眼界目标所制定的次级经营目标，如市场占有目标、销售目标、采购目标、生产目标、出资目标、筹资目标等；3.报告目标，了解由企业编制的、向内部和外部散发的各种财务和非财务报告的内容及报告方式，特别是对财务报表报告有重大影响的企业的所有权结构、治理结构、组织结构，财务业绩的衡量和评价方式等；4.合规目标，了解被审计单位所处的法律环境及监管环境，包括适用的会计准则制度，影响经营活动的法律法规、政府政策、监管活动和环保要求等。

（二）审计业务循环维度――主线

业务循环是企业处理某一类经济业务的工作程序和先后顺序，一般可划分为采购与付款循环、销售与收款循环、存货与仓储循环、筹资与出资循环等。企业的经营业务流程与内部控制有着直接的联系，同时，循环审计也有利于审计分工，提高审计效率，因此业务循环审计被广泛应用于传统的内控导向审计中。

本文建立的三维模型，强调以业务循环为线，分循环了解企业风险管理目标和构成要素，以便于界定财务报表容易发生错报的领域及其错报的方式，主要原因如下：1.通过业务循环的划分，企业的所有交易和账户余额被分属于不同的循环，按照业务循环来解析企业风险，能够将风险评估的结果最终具体落实到账户的认定层次。2.“了解被审计单位及其环境是一个连续和动态的收集、更新与分析的过程，贯穿于整个审计过程的始终。”按业务循环来了解企业环境，评估财务报表重大风险，是与进一步审计程序中分业务循环设计和实施控制测试和实质性程序相一致的。

（三）风险管理构成要素维度――步骤

企业风险管理的构成要素是管理层经营一个企业所做的事情，是指主体应以什么样的方式来实现其目标。《企业风险管理――整合框架》将之划分为八个构成要素。注册会计师依照这八个构成要素可以全面了解企业面临的风险、采取的风险应对措施及其有效性，从而全面评估与经营风险相关联的企业财务报表的重大错报风险。

1.内部环境。内部环境是指管理当局确立的关于风险的理念，是企业组织的基调，影响企业组织中人员的风险意识。注册会计师应了解企业管理层的风险管理理念，风险容量，董事会的监督机制，企业中人员的诚信、道德价值观和胜任能力，以对企业的风险管理方式作总体的了解。例如，有效而自立的董事会运作机制能够有效的控制企业的经营风险，也将有效的降低财务报表错报的风险。

2.目标设定。目标设定是指企业管理当局在既定的任务和背景下，采取恰当的程序制定眼界目标、选择眼界，并制定相关经营目标，将其细分至企业的方方面面，从而确保所设定的目标支持切合企业的使命并与风险容量一致。注册会计师应以审计业务循环为线，了解企业的关键业绩指标、业绩趋势、预测预算、企业各部门单位的业绩目标等，从而推测相关人员的行为导向及可能导致的重大错报风险。例如，过高的销售目标易导致产生压货等各种形式的虚假销售，或使得企业对客户信用评估不重视，为了占领市场盲目扩大客户源，盲目赊销，最终导致销售收款循环的重大错报风险；本期及未来的融资计划，是企业为满足融资条件修改财务报表、管理关键财务指标的重要动机。

3.事项识别。事项识别是指企业管理当局必须能够识别可能对企业产生影响的潜在事项。注册会计师应询问管理层识别出的经营风险或与管理层讨论如何识别经营风险。例如企业各级部门是否实时关注与之相关的政策法规，企业是否具有常规的市场调研机制，是否聘请了法律顾问以规避法律风险，是否具备有效的内部审计机制，财务主管是否了解融资市场的利率及资金供应状况等等。

4.风险评估。风险评估是指企业应该考虑潜在事项如何影响目标的实现。注册会计师应与企业的管理层及各部门负责人讨论，以明确企业是否能够评估各领域的风险程度。例如，销售部门是否能够识别关键客户，采购部门是否有一定方法区分重要供应商，生产部门是否能够明确行业产品的发展方向并有与之相应的研究和开发活动等。

5.风险应对。风险应对是指管理者如何应对风险。注册会计师应了解企业的风险应对措施并评估其有效性。注册会计师应特别关注当被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力时，企业是否存在通过关联方交易、合并报表、会计政策选择等财务手段直接管理财务指标应对业绩评价风险的情况。

6.控制活动。控制活动是帮助管理当局实施风险应对方案的政策和程序。注册会计师可以以审计循环为主线，更多的关注企业为实现财务报告可靠性目标设计和实施的