基于双标分析法的风险管理体系合理性审计

文 刘蓓蓓 欧颖君 徐慧萍

大多数企业构建的风险管理机制是在COSO的《企业风险管理——整合框架》（下文简称“COSO风险管理框架”）基础上建立起来的。除了COSO风险管理框架列示的八大核心要素外，本文所论述的风险管理体系还包括了风险管理“三道防线”、风险管理文化、风险管理信息系统及绩效考核体系等支撑性要素。风险管理体系的构建不是一蹴而就的，而是一个系统工程，只有各项核心要素与支撑性要素之间水平匹配、协同运作，方可使得风险管理体系稳步运行。

一、风险管理体系合理性审计的概念

风险管理体系合理性审计的范围包括战略支撑、职责分工与组织架构、能力与风险文化、绩效考核与激励、评估方法、应对与控制、信息技术、监督与汇报等八大领域，如图1所示。

（一）风险管理体系合理性审计与传统风险控制活动有效性审计的区别

一方面，风险管理体系合理性审计与传统风险控制活动有效性审计的目的不同。风险管理体系合理性审计的目的包括：一是通过评估被审计单位现行风险管理体系是否已达到同行业、同等规模、同生命周期阶段企业的平均水平，确认被审计单位风险管理体系的整体合理性水平；二是通过识别风险管理体系中存在的短板，发现与最佳实践的差距，从而确定提升目标与优化方向，促进资源的有效配置。传统风险控制活动有效性审计的目的是通过对被审计单位风险控制活动的设计与执行有效性的评估，发现内控缺陷，分析缺陷形成原因，提出改进建议。

图1 风险管理体系合理性审计范围

另一方面，风险管理体系合理性审计与传统风险控制活动有效性审计的对象不同。风险管理体系合理性审计的对象是企业风险管理体系整体框架的八大核心要素及风险管理“三道防线”、风险管理文化、风险管理信息系统及绩效考核体系等支撑性要素。传统风险控制活动有效性审计的对象则是风险控制活动相关的制度、约定俗成的惯例及其执行情况。

（二）风险管理体系合理性审计的方法论——大数据模式下的双标分析法

为实现风险管理体系合理性审计的目的，内审人员必须解决一个关键性问题，即如何制定恰当的评价标准，一方面衡量该体系的合理性水平，另一方面提出未来发展方向的建议。

双标分析法是传统标杆分析法的衍生。传统标杆分析法，企业往往只选用领先实践作为单一标杆，以资借鉴，找出差距，力图改进。此方法有助于企业找到提升方向，但无法同时提供企业现有管理体系合理性的判断意见。双标分析法突破传统标杆分析法的限制，在其基础上发展为“合理水平+最佳实践”，将在生命周期中处于同一阶段的同行业、同规模企业（下文简称“同类企业”）风险管理体系发展的平均水平与最高水平，分别作为合理水平与最佳实践，进而确定风险管理体系合理性审计的标准与发展方向标准。内审职能机构运用双标分析法开展审计，既可实现体系合理性的确认，亦可为管理层提供未来发展方向建议，如图2所示。

确定同类企业风险管理体系发展的平均水平与最高水平，是成功开展风险管理体系合理性审计需要解决的决定性问题。大数据技术为审计人员获取更为客观、全面的同类企业风险管理体系水平基础数据提供了更大可能。由于大数据具有海量的数据规模、快速的数据流转、多样的数据类型和价值密度低等四大特征，建立在此基础上的同类企业大多数样本与最佳者数据应可以反映总体特征的平均水平与最高水平，可以从已经具有成熟规模的数据平台快速获取及整合企业信息，如BMI Research、道琼斯Factiva、路透社Thomson One等，均可提供最新的全球或国内上市公司或非上市公司的企业数据；亦可从港交所、上交所、深交所等网站获取香港及国内上市公司的风险管理报告；还可以考虑从国际风险管理咨询机构获取已经加工分析的全球行业数据。这些数据经过网络与计算机技术分类归纳处理后，可以为开展双标分析提供相对权威、客观的数据基础。

二、风险管理体系合理性审计的实施步骤

风险管理体系合理性审计可以大致分为四个步骤，如图3所示。

图2 双标分析法示意图

（一）制定审计标准及发展目标

1.设定“风险管理能力矩阵”评价模型。为加强审计的逻辑性与可视性，内审人员根据审计范围，设计“风险管理能力矩阵”评价模型，将审计对象划分为三级维度，并与能力水平等级有机结合。基于多年风险管理经验、专家意见以及大数据分析结果，在“风险管理能力矩阵”中设置8个一级维度，以及起步、初级、确立、高阶与领先实践等5个能力水平等级，如表1所示。在一级维度的基础上，进一步设置了33个二级维度，如表2所示，涉及56项三级具体审计对象，对应280项详细评价规则。

2.确定合理水平及最佳实践。（1）选取同类企业样本。合理水平是在企业生命周期中处于同一阶段的同行业、同规模企业所处的风险管理体系发展状况的平均水平。企业生命周期理论将企业划分为初创、成长、成熟、衰退4个阶段，从近年来基于财务视角考察企业生命周期所处阶段的研究文献看，可采用Victoria Dickinson现金流组合法，即根据不同生命周期企业的经营活动、投资活动与筹资活动的现金流量特点，判断企业所处的生命周期阶段。在确定同类企业样本范围时，需要进行三层筛选，层层缩小范围：第一层，对照Dickinson现金流组合，确定在企业生命周期中处于同一阶段的企业样本；第二层，在第一层筛选出的样本中，根据主营业务描述及行业归属登记信息，确定同行业企业样本；第三层，借鉴年度财务报表审计重要性水平的通常确定方法，根据被审计单位的税前利润±5%与总资产±1%，在第二层筛选结果中确定同规模企业样本。通过上述三个层次筛选，即可得出风险管理体系合理性审计的同类企业对标样本总体。（2）确定合理性水平。利用前文所述的“风险管理能力矩阵”，统计同类企业样本中每一级风险管理能力水平的企业数量占样本总量的百分比，按照能力水平由高至低累加，直至达到50%相对应的能力水平等级即为平均水平。（3）确定发展目标。发展目标就是同类企业所处的风险管理体系发展状况的最佳实践。（4）确定整体合理性水平。内审人员结合管理层决策及外部专家意见，确定整体合理性水平判断标准，在合理性水平或其以上的审计对象的累计项数占总项数的比例应不小于90%（即90%-100%，含90%）。

（二）审核风险管理体系水平

综合运用询问、检查、观察、分析性复核、重新执行等审计程序，对前述“风险管理能力矩阵”的具体审计对象开展审计，并将审计结果与“风险管理能力矩阵”中的详细评价规则进行对比，确定审计对象在审计期间所处的风险管理能力等级。

（三）与审计标准及发展目标对标

图3 风险管理体系合理性审计的步骤

表1 风险管理能力一维矩阵

表2 风险管理能力矩阵二维表

将在“审核风险管理体系水平”阶段所确认的被审计单位风险管理体系发展水平与在“制定审计标准与发展目标”阶段所确认的审计标准与发展目标进行比较分析，可确定达到或未达到合理水平的项目，某公司“应对与控制”对标结果如表3所示。

表3 某公司“应对与控制”对标（示例）

（四）得出审计结论及未来发展方向建议

根据对标情况，内审人员可对风险管理体系的合理性水平进行最终评价，并提供体系发展的方向性建议。本阶段内审人员需要完成以下4个步骤工作：

1.对每个具体审计对象的评价结果进行标识。低于合理水平（不合理）、处于合理水平（合理）或最佳实践（最佳）。

2.判断整体合理性水平，得出审计结论。统计具体审计对象(最佳+合理)项数/(最佳+合理+不合理)项数的比率，90%-100%之间判断为整体合理。

3.基于风险管理体系一级维度，绘制雷达图。依据管理学“木桶理论”，一个水桶无论有多高，它盛水的高度取决于最短的那块木板，“短板”的长度决定事物整体发展程度。因此，应把握“短板法则”，对审计结果作进一步的分析与评价，协助公司管理者确定各维度级别是否有较大区别、是否存在明显的薄弱环节。“雷达图”恰恰能够形象地展现公司风险管理体系合理性的整体状态，如图4所示。

图4 风险管理体系整体对标情况雷达图（示例）

4.提出审计建议。可依据实际情况提出弥补短板、使各领域与各方面均趋于合理的相关建议。内审人员还可将审计建议的发展方向与管理层制定的风险管理体系优化策略进行比较，提出提请管理层关注的问题，以促进企业风险管理资源投入整体效益最大化。

三、风险管理体系合理性审计的成果运用

通过开展风险管理体系合理性审计，内审人员可对风险管理体系整体合理性进行评价，并从以下两个方面向企业管理者提出审计意见及改进建议：

一是确定风险管理体系提升目标。企业风险管理体系水平等级需与企业发展状况相匹配。当企业风险管理体系整体合理性低于同企业生命周期阶段、同行业、同规模企业的平均水平时，则表示该风险管理体系整体发展滞后，可能已经不能满足企业持续发展的需要，需考虑架构再造。若风险管理体系已整体合理，可考虑对薄弱环节专项整改，或以领先实践为目标提升，提高风险管理体系的水平等级。

二是优化风险管理体系建设资源配置。风险管理体系建设讲究多维平衡发展，并与组织目标相匹配。风险管理体系合理性审计结果，可提示管理层更有效地配置有限资源，例如，应优先整改不合理的项目，再考虑已达合理水平项目的优化，从而使风险管理体系发挥更大的整体效益。