摘要：风险管理是公司实现持续经营的保证，风险管理审计是对公司风险管理制度、风险管理活动以及风险管理报告进行的审计。本文简要介绍了德国公司风险管理审计的主要内容，并指出其对我国公司在风险管理和风险管理审计上的启示。

　　关键词：风险管理；风险早期确认制度；风险报告；审计

　　1.前言

　　近10年来，公司治理和内部控制引起越来越广泛的关注，越来越多的公司危机和失败使公众对公司治理、公司风险管理和报告提出严厉批评。回应这些批评，德国管理部门出台规定要求公司设立风险早期确认制度(Risk early recognition system)。公司不仅要建立相应制度，还要对当前及预期状况进行公开披露，从而产生了公司风险管理审计。

　　公司风险管理审计的内容包括：评价公司是否设立了适当的风险早期确认制度、措施是否适当、监测方法是否有效。但是对风险早期确认制度的内容及审计程序并没有明确规定，因此审计不能按统一的标准进行。德国在1998年制定了“公司控制和透明度法”(Law of Corporate Control and Transparency)，对风险早期确认制度的内容和公司风险管理审计程序作了规定，可资借鉴。

　　2.德国公司风险管理审计的法律要求

　　2.1．风险早期确认制度和风险报告的内容

　　风险是在达到既定目标过程中信息缺失导致的，包括策略确定和信息不足两个方面内容。信息不足缘于因果关系的模糊不清，策略确定是在实现一个或多个既定目标过程中基于对经济行为的分析而采取的成功或失败的策略。风险有广义和狭义二种理解，广义的风险指背离既定策略的多种可能性的综合，狭义的风险仅指对既定策略的潜在的反向背离，德国的“公司控制和透明度法”采取的是狭义的风险概念。风险实质上危害了公司的持续经营，对净资产、财务状况和经营成果造成损害。

　　风险管理旨在保证公司的持续经营，它是一个持续的过程，包括风险的早期检测(风险的界定、分析和评估)、相关信息的收集、风险测量方法的选择和实施、风险控制实际效果的评价等环节。德国要求有限责任公司的管理者采取合适方法，尤其是要设立监测制度对可能危及公司持续经营的开发活动的风险进行早期确认。公司应设立有效的控制制度对风险早期确认制度的执行进行监督，控制制度由与业务紧密相联的固定控制措施和独立的控制方法(如内部审计)组成。母公司必须在整个集团内实施风险早期确认制度，因为危及持续经营的风险可能源自子公司。当局允许公司根据自身特点建立风险早期确认制度的结构和运行机制，审计职业界在风险早期确认制度的内容方面也为公司提供了多种方案。

　　在管理委员会的报告中披露公司未来开发方案的风险方面，风险早期确认制度是获取、分析和评价风险的先决条件。按有关法律规定，公司必须提供这种风险报告，而且报告的内容必须详细且准确，因为这样可以提高公司经济状况的透明度。风险报告并无相应的国际标准，从2005年起欧盟也要求公司报告“面临的主要风险和不确定性”。因为法规没有具体规定，一些非官方的标准制定团体所作的声明或陈述也可视为风险报告的格式和内容，包括德国注册会计师协会的RSHFA 1、德国会计准则委员会的GAS5。GAS5适用于集团公司的管理报告，也推荐一般公司在风险报告中采用。按GAS5，风险报告的内容包括：风险管理过程的详细描述、按风险种类分类的重大风险的定性和定量数据、风险政策实际或预计的测量表、公司风险状况的预期结果。因此，风险报告应提供比风险早期确认制度能获得的更多的信息。

　　2.2．审计人员在监督公司风险管理中的作用

　　德国的“公司控制和透明度法”的主要目的是加强对上市公司的治理。与英美公司的单层委员会不同，德国公司采取双层委员会，至少德国的有限公司要设置监督委员会和管理委员会。监督委员会聘请审计机构履行监督职责，为保证审计机构与管理委员会无关，德国上市公司由监督委员会指定审计机构。

　　根据有关法规的规定，强制设立风险早期确认制度有两个主要目的：首先，上市公司的风险早期确认制度必须由独立的外部权威机构审计；其次，监督委员会通过审计报告获取风险早期确认制度的相关信息以辅助其履行监督职责。审计机构也必须对风险报告的内容进行审核，写出书面的审计报告或意见书表明审计结论。

　　在公司风险管理中，审计人员的主要作用是保证公司风险报告的可信性以及风险早期确认制度的遵循。虽然管理委员会或其他决策者对考虑到或了解到的与自身有关的风险的反映不是强制审计的范围，但为了评估公司持续经营的能力，审计人员必须考虑相反措施来检测风险。此外，审计人员在进行咨询或在法律规定下可影响公司风险政策。实际上，检测或了解到风险后的反映策略的选择、执行和效果是由监督委员会评估的，监督委员会开会时可请审计人员参加以便对公司的风险管理进行更好的指导。

　　从理论上讲，法律对审计主体和审计标准进行管制，但它既不能给审计人员提供风险早期确认制度和风险报告的具体内容，也不能提供具体的审计程序。德国的审计人员在风险审计中遵循德国注册会计师协会的审计准则，但这样的准则并没有法律上的约束力，不能代替法院的司法解释。

　　3．德国公司风险管理审计的内容

　　3.1．风险早期确认制度的审计

　　(1)审计方法和审计标准

　　风险早期确认制度和相应的内部控制体系都属于审计的内容。审计测试的主要种类是内部控制测试，一般测试内部控制制度在设计和运行方面的有效性。法律和相应的立法文件即为审计标准，也是内部控制的设计是否合格、方法是否有效的标准。应对公司特定风险状况以及公司管理者和雇员的风险习性进行分析评价，对固有风险和控制风险进行估算。通过对风险早期确认制度实施法定审计，审计范围扩大了，不仅要考虑会计和内部控制，而且要顾及可能产生重大风险的生产经营活动。在检测集团企业的内部控制制度时，如果遇到数据不足难以对整个集团公司的内部控制制度进行评价时，审计人员还可以利用其他审计人员的审计结论。为了减轻审计时的时间压力，集中精力于财务报告的审计，可以对风险早期确认制度预先进行检测或进行中期审计。

　　(2)审计程序

　　①风险早期确认制度内容的确定

　　公司风险早期确认制度的文本是审计人员主要的获取审计信息的工具。审计人员应根据文本确定法规的规定是否已彻底全面地在公司存在，并编制风险早期确认制度的详细目录。文本的缺失或不完整都应引起对制度稳定运行的怀疑，公司不能提供相应文本时审计人员必须通过调查记录下风险早期确认制度，也可拒绝审计。

　　②风险早期确认制度设计效率的测试

　　审计人员应就风险早期确认制度中立法者关注的相应措施的效率进行测试，内容主要有：制度覆盖内部和外部风险范围的完整性和弹性；通过合适指标对相应风险进行辨别的完整性、适当性和提前性；采取合适方法进行风险分析和风险估计的可理解性；履行法定责任披露必须报告风险的可核性和及时性；内部控制措施的充足性等。

　　③风险早期确认制度运行效率的测试

　　在理解风险早期确认制度的基础上，审计人员应调查其运行效率和在整个审计期内的持续应用状况。应使用分析性程序和抽样方法检测相关的风险处理规则是否一直得到遵守，尤其应评估：风险的识别、分析、估计和报告；以内部控制协会的审计程序和工作文件为基础建立的风险控制系统。

　　3.2．风险报告审计的内容

　　虽然审计风险早期确认制度时并不需要单独评价管理委员会在检测和报告风险信息上的反映，但在审计公司作为管理报告组成部分的风险报告时这种评价是必需的，因为这样可以确定：风险报告是否与财务报告一致、是否与审计人员在审计过程中形成的理解一致、是否对公司的状况进行了公允的表述、是否公允地表述了公司未来发展的风险。

　　虽然精确地预测未来的数据是没有可核性的，但审计人员也能保证风险报告中公布的数据是诚实的或慎重的。德国立法当局责令审计人员检查预测数据是否有用，预测的前提是否现实，是否运用了正确的预测技术。风险报告审计旨在诚实性、拟真性和透明度，这对审计界无疑是极大的挑战。

　　审计风险早期确认制度和审计风险报告之间的联系是明显的：一方面，要评价风险报告的公允性必须借助于对风险早期确认制度的理解；另一方面，风险报告又支持审计人员的风险评价。因为风险报告必须包含风险处理和预期效果的信息，从某种程度上讲，风险报告审计涉及到风险管理所有方面。

　　3.3．审计结论

　　审计人员必须向监督委员会提交书面审计报告，随同公司年报一起公开呈报。审计报告中应表明：公司是否能持续经营、对风险报告的修正、集团公司的风险报告是否符合法律规定、对公司风险早期确认制度的审计结论、是否采取必要程序改进风险早期确认制度。如果没有反对意见，审计报告应简洁。德国的法规和会计准则都不要求对风险早期确认制度进行描述，也不要求表述具体的改进意见。

　　审计意见应就公司管理当局履行法律规定的情况表述最终结论，必须对公司持续经营的不确定性和风险报告表述的公允性进行评价。对风险早期确认制度的异议不影响审计意见，除非风险早期确认制度的缺陷导致风险报告或其他财务报表出现令人误解的表述。

　　4．德国公司风险管理审计对我国的启示

　　德国的风险管理审计无疑起到了应有的作用，我们很少听说德国公司因风险管理不力而导致公司失败或陷入困境的事例。近几年，我国上市公司或大中型企业因风险管理不力而陷入经营困境或财务困境的比例大幅升高，而且投资者等利益相关人由于公司风险管理信息缺失或滞后往往遭受巨额损失。要改变这种在风险管理方面的信息不对称现象，促使公司提高管理水平，我们应在以下几个方面吸收德国的经验。

　　1．完善现代企业治理结构。目前，世界上主要有两种公司治理模式：英美模式和德日模式。英美模式是市场竞争模式，股权高度分散，所有权与管理权高度分离，公司治理结构只由股东大会和董事会组成，不设监事会，董事会既是决策机构，也是监督机构。德日模式股权相对集中，公司治理结构中，股东会、监事会和董事会具有上下级层级关系：股东会下设监事会，监事会向股东会负责并报告工作，监事会下设董事会，监事会与董事会有上下位之别，前者是上位机关，后者是下位机关，董事会向监事会负责并报告工作。德日模式虽然在决策和经营效率上从理论上低于英美模式，但它使公司经营者接受多方位的监督并形成了一种良性制衡机制，这是德国公司丑闻很少的重要原因之一。在建立我国现代企业治理结构时，我们要吸收英美模式的经验，更应借鉴德日模式的长处。比如在公司风险管理方面，像德国公司一样将外部审计机构纳入公司治理机构，显然比美国公司单纯依靠内部审计机构进行风险管理审计优越。

　　2．对风险管理审计的重新认识。我国目前的公司风险管理审计研究一般都把风险管理审计视为公司内部审计范畴，这与德国将其既视为内部审计又主要作为外部审计范畴是有重大区别的。我国公司风险管理审计研究的理论基础是于2004年10月颁布的COSO报告：《企业风险管理——总体框架》，或是其前身，于1992年发表并于1994年修订的《内部控制——整体框架》。COSO报告认为，风险管理建立在内部控制基础上，内部控制是企业风险管理必不可少的一部分。COSO报告是由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEI)、国际内部审计师协会(IIA)和管理会计师协会(IMA)五个学会共同组成的Treadway委员会颁布，有极强的美国背景，与英美模式的公司治理结构相适应。如前所述，我国的公司治理结构不同于英美模式，基于COSO报告的我国公司风险管理审计自然存在许多不足，如不能充分利用外部监督资源、公司风险管理信息不对称、公司治理失效导致的风险审计不作为等等。在完善我国公司治理结构的过程中，参照德国的公司风险审计理念重构我国的公司风险管理审计体系有其合理之处。

　　3．改进我国上市公司的信息披露制度。应增强上市公司战略决策和经营管理的透明度，完善公司管理报告，增加风险报告内容，并将风险管理纳入外部审计对象，以此促进公司决策的科学性，使公司及时有效地进行风险评估与风险监控，加强风险管理的动态性，实施全面风险管理，做到风险事前监控，提高对风险的防护性。

　　4．进行立法创新。我国的公司风险管理，既应立足于风险管理的效率，又应注重减低风险管理信息的不对称程度，不能仅以COSO的报告作为理论依据，而应像德国一样建立自己的公司风险管理和风险审计的法理基础。为此，应进行立法创新，设立类似于德国的“公司控制和透明度法”，或对现有的“公司法”或“证券法”进行修订，增加提高公司管理透明度方面的条款。