基于ERM框架的會計師事務所風險管理研究

　　【摘 要】隨著審計行業中訴訟案件的大量增加，注冊會計師逐漸成為一項高風險的專門職業。當前，我國的法律制度不斷建設和完善，對市場主體的經濟行為進行嚴格監管，我國會計師事務所面臨的風險不斷累積，化解風險勢在必行。由此來看，對會計師事務所的風險進行干預、解決，具有重要的現實意義。論文基于 ERM 框架中的風險管理框架分析了目前我國會計師事務所面臨的風險和 ERM 風險管理的背景，搜集與見證了國內外關于會計師事務所風險管理的理論研究，分析了我國會計師事務所治理以及風險管理的理論根基。此次研究的重點放在會計師事務所風險管理現狀剖析方面，在分析成因的基礎上提出應對策略，旨在為推動我國會計師事務所風險管理水平不斷提升發揮一定的現實意義。

　　本文源自陳德啟; 陳德懷， 中小企業管理與科技(上旬刊) 發表時間：2021-06-22

　　【關鍵詞】ERM;會計師事務所;風險管理

　　1 研究背景與研究綜述

　　1.1 研究背景與意義

　　20 世紀 60 年代以來，審計行業快速發展，全球的訴訟案件實現驟增，這為會計師事務所造成全新壓力，包括注冊會計師面臨的審計風險也是前所未有之多，使整個審計職業開始正式邁入“訴訟爆炸”階段。我國從 20 世紀 80 年代開始逐步恢復注冊會計師行業，在社會主義市場化與會計師事務所迅猛發展中，國家法律制度不斷建設，監管力度也在不斷地加大，為我國會計師事務所的良性發展打下了較為堅實的基礎。近年來，注冊會計師行業面臨很大的風險，審計問題時有發生，使我國會計師事務所積累的風險逐漸暴露出來。隨著社會各界對審計產品質量依賴程度的提升，執業質量成為會計師事務所的生命線。事務所在經濟市場中生存、發展，在謀求更多利益的過程中，也迎來更多訴訟風險，尤其是會計市場上近年來出現的重大訴訟案件，使包括中天勤等在內的諸多一線會計師事務所受到牽連，整個注冊會計師行業的權威性與社會影響力受到嚴重質疑，這些都進一步加劇了會計市場的惡劣化發展，如何在惡劣的環境下實施高效、合理的會計師事務所內部風險管理模式，就成為當前會計師事務所發展的重要考量課題。因此，保持理性和做好風管應對成為會計師事務所的必要攻堅任務，不失為生存、發展必要準備。 2004 年，COSO 委員會發布的《企業風險管理：整合框架》(以下簡稱“ERM 框架”)，就為會計師事務所道德風險管理改革發展提供了可能。

　　基于我國會計師事務所風險管理欠缺理論研究成果支持的現狀，本文運用《企業風險管理：整合框架》報告的風險管理理論，構建會計師事務所的風險管理機制，為探求我國會計師事務所風險管理機制尋求若干啟示。

　　1.2 國內外研究綜述

　　1.2.1 COSO 報告：內部控制的基本理論及發展

　　《企業風險管理：整合框架》的頒布是企業內部控制理論發展的里程碑事件。2004 年 9 月，COSO 委員會(美國國家虛假財務報告委員會贊助機構研究小組)發布了 ERM 框架，表明風險管理是企業內部管理的核心。ERM 框架將企業風險管理的目標歸為戰略目標、經營目標、報告目標、合規目標共 4 類。由 8 個相互關聯、緊密聯系的 ERM 框架要素構成：內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監控。ERM 提出一個新的觀念——風險組合觀，強調在整個企業范圍內總體把握分散在企業各層級和部門的風險并實施風險管理，可以說是當前最為完善的內部控制理論。

　　1.2.2 我國會計師事務所的風險管理

　　我國企業風險管理起步較晚，對風險管理理論的研究也不太深入。我國會計師事務所的發展主要于 20 世紀 90 年代末開設，發展與成長較短，因此，我國會計師事務所風險管理理論研究相對更晚。學者認為風險基礎審計是在經濟、社會和技術因素的基礎上產生的，它可以為事務所帶來更大的效益。我國會計師事務所可以從獨立性、審計質量和人員管理 3 個方面來加強審計風險管理。會計師事務所風險管理主要有自留和投保 2 種方式，在發生頻率小、可造成重大經濟損失的風險上，建議采取保守投保方式;而對于發生頻率高、損失強度小的風險，企業采用風險自留方式更好。會計師事務所的風險共有 4 類，分別是審計信息需求變異風險、產權制度風險、內部治理風險以及審計職業風險。我國審計行業引入 COSO 企業風險管理模式，有助于會計師事務所內部形成系統整體，將增強應對風險的能力，有助于健全審計質量控制制度。事務所在對各項風險分別管理的同時，還要對整體風險綜合管理。通過完善規章制度、構建以風險識別和風險應對為核心的會計師事務所風險管理體系機制、宣傳風險管理理念、培植風險管理文化等合理的建議來防范和降低會計師事務所風險。

　　研究表明，我國對會計師事務所風險管理的研究在視角上不斷地拓寬，由從單純的審計風險管理拓展到會計師事務所治理、審計人員素質的提升等方面提出風險管理的建議和措施。

　　但是，這些研究并未充分認識到會計師事務所面臨風險的復雜性，不能在提升審計質量、躲避與減少風險上發揮積極作用與影響，沒有針對會計師事務所風險管理的應對策略。

　　2 我國會計師事務所風險管理的理論基礎

　　2.1 委托代理理論

　　委托代理關系是指投資者通過契約的形式將經營權讓渡給管理者，形成的所有權與經營權相分離的關系，其本質是投資者和管理者之間的契約關系。契約的雙方當事人為資產所有人(委托人)和資產使用人(經營者、受托人)。為實現股東價值最大化，極大地實現企業資產價值的增值，委托具有專業知識的管理者對企業資產進行經營是十分必要的。但所有者和經營者的目標是不一致的，由于信息不對稱的客觀存在，經營者是否會專注于工作，甚至可能會為獲取“灰色收入”而采用損害受托人利益的方式實現其目的。因此，委托人和受托人之間存在現實的利益沖突。

　　我國的會計師事務所的形式為：有限責任會計師事務所和合伙會計師事務所。由于會計師事務所復雜的組織形式變化，加之審計市場國際化趨同，會計師事務所的惡劣執業環境日趨復雜化，會計師的高級合伙人并不一定都完全具備相應的專業知識，可能不擅長對會計師事務所的管理。那么，聘請職業經理人管理經營事務所成為一個很好的選擇，這就形成了委托代理關系，可能會出現利益沖突。如果會計師事務所的治理結構和內部控制體系不合理，就會成為事務所利益被侵蝕的幫兇。因此，會計師事務所構建良好的公司治理結構成為必然的選擇和趨勢。委托代理理論挖掘了企業治理和內部控制問題的根源，是本文研究會計師事務所治理問題和事務所風險管理必要性的一個重要理論基礎。

　　2.2 全面風險管理理論

　　ERM 框架將企業目標分為四大類：①戰略目標，即一種高層次的目標;②經營目標，即資源使用的有效和高效;③報告目標，即報告的可靠性;④合規目標，即對法律和法規的遵循。這 4 個目標既相互獨立，又彼此交叉。

　　為保證目標的完成，企業風險管理中構成 ERM 需要 8 個要素。它們分別是：①內部環境：包括組織氛圍、風險偏好和經營環境;②目標設定：確保管理當局有設定目標的過程，選定的目標與風險容量保持一致;③事件識別：識別對主體可能有影響的潛在事件，包括內部事項和外部事項;④風險評估：對已經識別的風險進行分析，作為下一步進行風險管理的依據;⑤風險反應：管理層要根據已經識別和評價的風險選擇各種風險反應，如回避、接受、降低或分擔;⑥控制活動：通過建立和執行各種政策和程序來實施和貫徹風險應對策略，需要企業的各個部分、各層面和部門協作完成;⑦信息和交流：相關信息要及時識別、獲得和傳遞，以便于借助信息進行風險識別、評估和應對;⑧監控：整個 ERM 必須處于監控之下，并在必要時得以修正。企業風險管理八要素可以作為 ERM 有效執行的標準，其是否有效依賴于八要素是否存在和有效運行。

　　風險管理貫穿于企業各個層面，目的是使組織整體能夠有序運行，實現對所有風險的整體把握。企業風險管理較之內部控制整體框架，目標體系中多了一個戰略目標;添加風險管理、風險偏好理念;擴寬內部控制整體框架的風險評估要素，分析并進行細分，以事項識別、風險評估、風險應對、目標設定為主要內容。基于此，于內部控制上滲透三要素，分別為目標設定、事項識別、風險評估。可以說，ERM 框架是內部控制理論發展史上的一次飛躍，代表了內部控制最為完善的理論。

　　我國會計師事務所全面風險管理的現狀及成因分析

　　3.1 我國會計師事務所風險管理的背景

　　《關于成立會計顧問處的暫行規定》于 1980 年頒布，完善與健全了注冊會計師制度，對推動會計師事務所發展起到積極作用。注冊會計師行業恢復重建階段經歷了十年左右的時間，期間國務院和財政部制定實施了一系列扶持和推進行業恢復重建的政策措施，審計行業從無到有逐漸發展起來。 20 世紀 90 年代建立注冊會計師執業標準體系，規范執業行為和審計市場。20 世紀 90 年代末，隨著市場經濟體制的建立與逐步完善，我國會計師事務所得到了迅速的發展。21 世紀開始向開放國內市場和進軍國際市場并舉的國際化的思路發展，隨著我國政府“一帶一路”倡議的實施，真正實現全球審計市場的一體化、國際化，這對注冊會計師行業的國際化發展提出新的要求。隨著我國加入世貿組織以及改革開放的不斷深入，注冊會計師行業面臨的風險日益增大，而我國會計師事務所風險管理研究正處于探索階段。2006 年，《中央企業全面風險管理指引》出臺，該文件明確表明企業將風險管理作為管理主線來抓，讓企業管理邁入新階段、新征程并呈現出新面貌。企業全面風險管理日益受到政府、企業、股東等各利益相關者的高度重視。

　　3.2 我國會計師事務所風險現狀及成因

　　與其他企業一樣，會計師事務所同樣也屬于市場經濟下的產物，需要以利益為核心、為目標。而會計師事務所獨有的特殊性決定了風險存在的復雜性和必然性，一方面來自審計職業方面的風險;另一方面則來自會計師事務所內部治理方面的風險。下面具體進行分析。

　　3.2.1 我國會計師事務所審計職業風險及成因

　　首先，會計師事務所的執業性質決定了風險的存在。同時，委托方內部控制存在缺陷會增加其會計報表失真的可能性。隨著社會主義市場經濟的發展，經濟環境日益復雜，企業交易類型、工具不斷變化，運作也變得復雜，很大程度上增加了審計職業的風險。

　　其次，審計實務過程中，會計師事務所和注冊會計師承受著雙重壓力，分別來自被審單位和社會公眾 2 個層面。審計結果是利益相關者判斷信息真實性和作出決策的重要參考信息。與此同時，如果注冊會計師違背了客戶的要求，那么事務所將很可能失去客戶進而造成很大的損失。

　　3.2.2 我國會計師事務所內部控制及治理存在缺陷

　　內部控制實施方眾多，包含監、董事會、全體員工，等等，繼而實現控制目標，目的在于改善經營管理、提升會計師事務所內部管理水平和風險防范能力，促進我國會計師事務所進入國際審計市場、參與國際競爭。目前，我國會計師事務所內部控制建設還處在起步探索階段，需要不斷改進和完善。我國會計師事務所內部控制存在以下幾種情形的常見弊端：

　　第一，形同虛設的內部治理結構。我國大多數會計師事務所對內部控制未給予高度重視。有些事務所中擔任要職的管理層人員，可能還擔任其他分所重要崗位，日常管理職責并未全面履行，使得內部控制與日常運營結合存有較大阻力。如果分支機構出現了經營風險，會計師事務所及其負責人就難以或者不能及時發現和及早規避風險。

　　第二，相應的控制制約機制缺乏。有些業務，如業務承接、證券期貨相關業務的新客戶，被評價為高風險的證券期貨的相關業務，不通過主任辦公室或相關機構決定承接或保持與否，只由項目經理或主管部門負責人認可。在這個過程中，責任意識不強、重視個人利益的項目經理或相關負責人，也存有不從全局出發及有意掩蓋可能或已經存在的風險等問題，這種方式加大了經營風險，也為會計師事務所長遠發展埋下了隱患。

　　第三，注冊會計師和助理人員的管理風險。會計師事務所的主要資產體現在人的專業水準和品德才干上面，而擁有一支由優秀專業審計人才組成的團隊是事務所持續發展壯大的一個必要條件。同時，大部分會計師事務所不夠重視員工的職業道德培訓，致使部分員工違背公正、客觀的原則或者產生自私行為，這些行為最終都會導致事務所蒙受法律風險或者損失。此外，“用人唯親”現象仍然存在。

　　第四，文化管理風險。會計師事務所作為特殊的法律實體組織，其文化是在長期實踐中逐步形成的價值觀、經營理念、道德準則、行為規則和行為規范。我國大多數會計師事務所并沒有意識到企業文化是一個企業持續發展的“軟實力” 的表現，因而沒有形成明確的企業文化來引導和規范員工行為、形成整體團隊的向心力。員工普遍缺乏歸屬感，凝聚力和向心力不夠，影響事務所的長遠發展。

　　綜上所述，我國的會計師事務所在市場經濟中面對內憂外患。會計師事務所作為高風險行業，面臨諸多風險，注冊會計師個人也會深受影響出現諸多擔憂。在會計師事務所規模逐漸擴大的背景下，管理難度不斷加強，需要會計師事務所盡快建立風險管理機制，將潛在風險、表面風險挖掘及消除。 ERM 框架適合各種性質的企業，借鑒 ERM 框架建立我國會計師事務所的風險管理系統進行全面風險管理，可以夯實事務所的管理基礎，有效管理事務所風險，提升事務所的治理水平，對事務所的生存和發展至關重要。

　　4 我國會計師事務所全面風險管理的對策

　　下文運用《企業風險管理：整合框架》中風險管理的要素對會計師事務所的整體風險管理提出對策。

　　4.1 內部環境

　　ERM 框架認為，內部環境是風險管理八要素的基礎。內部環境的設定決定著其他要素能否發揮作用，影響著員工的控制意識。下面從影響內部環境的因素的幾個方面對我國會計師事務所內部環境管理提出相應的建議：

　　①組織結構。一個合理的組織結構，對于有效配置人力資源至關重要。建立健全會計師事務所從總所到分所，再到業務部門、項目小組，形成由上到下的控制關系，命令要求下屬部門及人員將重大事項向上呈報，做到從下至上的信息便捷流通，使得上級可以快速知曉各項問題并快速作出控制反應，讓全面風險管理成為事實。這樣，保證會計師事務所組織體系既體現專業化效率，又確保相互牽制。

　　②責任分配。會計師事務所應當形成一套系統的經營理念，以影響整個事務所員工的思維方式和道德行為。首先，合伙人必須對事務所債務承擔無限連帶責任;其次，項目負責人對審計項目指導、監督和復核，對審計質量承擔領導責任;最后，在全員參與的情況下，不同層次的人員對審計工作都應為自己負責的事物承擔明確的責任。

　　③組織文化。組織文化對事務所內部人員的激勵、行為和績效有影響，并影響注冊會計師的重要性判斷和獨立性。而注冊會計師的重要性判斷和獨立性與審計質量、審計風險息息相關。因此，會計師事務所應當將單位內部的價值觀念、道德規范、人文環境及基本理念作為重點工作來抓，切實匹配相對應的思維方式和行為模式，使得企業文化得以深入人心。

　　4.2 目標制定

　　ERM 將企業風險管理的目標歸納為戰略、經營、報告、合規四類，這四類目標既相互獨立又相互重疊。其中，企業一般能夠控制報告目標和合規目標，但是戰略目標和經營目標易受外部影響。會計師事務所與一般事業單位相差無幾，都以增加經濟效益為最終目標，擴大規模、增強實力是戰略重要部分，這也與 ERM 框架理論提出的目標是一致的。注冊會計師應當通過自身風險容量的估計，設定可接受的審計風險。現代風險導向審計方法更為關注企業戰略層面的風險管理，是迎接錯綜復雜的風險環境挑戰的必然選擇。

　　現代風險導向審計從企業的戰略分析入手，建立了更科學有效的方法。風險導向審計模式的運用，將對優化審計程序、提高審計質量、降低審計風險起到重大作用。在我國，中小會計師事務所占多數，其主要客戶群是中小企業。考慮成本過大和復合人才缺失等問題，中小會計師事務所使用現代風險導向審計技術的并不多。因此，可以通過專業化經營、提升審計人員專業素質等渠道，進一步地認識和推廣現代風險導向審計技術。

　　4.3 風險管理

　　會計師事務所需要對風險事件進行識別和評估，再對風險事件作出反應，決定接受風險、避免風險或者減輕風險。一方面，會計師事務所要對自身是否存在風險，存有哪幾類風險進行識別;另一方面，需要著重考慮客戶存在的風險。可以從被審計單位的誠信度、經營狀況、客戶的環境包括客戶公司內部控制狀況等方面進行風險識別。這是注冊會計師承接業務時應保持的謹慎態度。

　　對風險有了清楚的識別，對已經識別的事項進行評估才能制定風險應對的策略。會計師事務所可以建議業務風險評估部門建立 2 個分支，分別管理事務所自身風險和評估被審計單位風險。風險指標可以從戰略風險、合規風險、財務風險以及運營風險 4 個角度進行構建。其中，戰略風險可以從行業排名、業務渠道、市場占有率等視角進行評估;合規風險可以從公司政策、法律等角度進行評估;財務風險可以從流動性風險、財務報表等視角進行評估;營運風險可以從訴訟風險、監管風險等方面進行評估。與此同時，通過建立“客戶風險等級評價制度”，從被審計單位的誠信度、經營狀況、財務狀況等角度對被審計單位風險進行評估，并與事務所風險控制范圍進行比較進而進行風險反應。

　　管理層需要結合當前掌握的風險信息選擇風險反應，包括回避風險、接受風險、降低風險或分擔風險。在考慮作出風險反應的過程中，應權衡利弊，預判風險發生概率及可能造成的影響，出于對成本和利益的考量折中選擇最合理方案，進而采用一系列措施使風險與主體的風險相對應、相匹配，為會計師事務所提供更強安全保障。

　　4.4 控制活動

　　ERM 框架認為，控制活動是指為確保管理層的風險應對措施被執行而采取的政策和程序。控制活動體現在事務所各項日常活動之中，貫穿于整個企業，遍及各層級和各職能機構。對于會計師事務所來說，它不僅體現在對企業生產經營中的各種資源進行監督和控制，還體現在審計風險管理的控制活動中，包括批準、授權、驗證、調節、經營業績評價、資產安全及職責分離等多種活動。對于會計師事務所來說，應從以下 2 個方面進行活動控制：

　　第一，應做到職責分離及牽制。一般情況下，幾個人或部門合伙作弊的可能性低于單獨一個人或者部門作弊的可能性。因此，在事務所機構建設和審計過程中，建立互相牽制、互相制約的控制體系，涵蓋管理控制、內部控制和審計風險。

　　第二，對審計操作過程的控制。以此確保審計流程科學、完善，使得審計結論真實性、可靠性大幅度提升。需要關注新老客戶風險評估工作，結合評估結果決定委托事宜，如接受委托，則需要有序開展計劃編制、分配工作、內控評估、合規性測試和實質性測試，在此基礎上發表審計報告意見類型，確保審計過程體系的完成。

　　4.5 信息和溝通

　　會計師事務所需要憑借信息系統處理好與內部員工關系、構建更為密切聯系，還需與外界有所交流、互動。COSO 風險管理框架中，信息的溝通與反饋是參與方間構建起良性交流的重要內容，并且要求組織能夠主動接受廣大民眾的監督，建立起其在社會與民眾中的良好形象，因此，會計師事務所也需要結合自身實際情況，在最短時間內構建起較為系統有效的信息和溝通體系，以保證會計師事務所的風險管理系統能高效運行。為實現信息的實時傳遞，事務所需要通過建立高效的信息管理系統，以此保證在人員分散情況下的信息暢通性。事務所要面向單位進行信息的搜集與整理，包括可靠的財務以及非財務信息，為內部風險管理提供具體參考資料。事務所決策層對于各個分所營運信息的及時掌握，可以通過定期財務、經營及人力資源等方面報表的報送來實現，最大限度保證決策層各項措施的合理性與嚴謹性。定期召開分所所長、董事會、股東會，可以在全所范圍內及時傳達與溝通有關信息，保證信息的精準、高效傳達。加強在承接客戶和對客戶審計過程中與客戶的溝通。在遇到被審計單位更換事務所的情況下，前后任注冊會計師應對公司相關情況進行溝通以避免審計風險。在社會公眾方面也應加強信息的傳遞與溝通等。如果能做到相關信息的及時有效溝通，能有效地降低事務所風險。

　　4.6 監控

　　對會計師事務所的監督包括內部監督和外部監督 2 個方面，風險管理機制的作用發揮，在于通過內部監督，制定適應外部監督的相應措施，從而形成健全有效的監控系統。綜合監督是規范事務所內部監督機制中較為縝密的方法，它將持續監督和個別評估結合在一起進行。事務所監事應當具備一定的專業知識、監督能力和工作經驗，切實履行監督職權。事務所在強化監事的作用的同時也可以考慮設立各種專門委員會來發揮制衡作用，以有效彌補制衡機制不足的缺陷。

　　以上要素可以作為 ERM 有效執行的標準。然而，ERM 不是一個嚴格的系列步驟，而是一個多方向、重復性的過程。在這個過程中幾乎任何要素都能而且會影響其他要素。需要注意的是，ERM 強調在整個企業范圍內實行風險管理。因此，構建 ERM 體系只有全員上下的參與才能實現會計師事務所的全面風險管理。

　　5 結論

　　總體來說，會計師事務所面對的風險各種各樣，建立會計師事務所風險管理機制是必然趨勢和必要做法，只有將風險管理機制順利建設，才可對各類風險進行識別、進行分析、進行防范并有效解決，即可從風險層面為會計師事務所于市場中的生存、發展保駕護航，以避免會計師事務所受到風險侵害而造成無法估量損失。由此可見，加強會計師事務所風險管理非常必要且重要。希望此次研究的出現，對各個會計師事務所提高風險管理水平起到積極作用與影響，如此，便可具有較強指導意義、研究價值。

　　此次研究還有另一層意義，即促使會計師事務所風險管理脫離單一層面、格局，有效應用 ERM 風險管理理論，從整個事務所范圍內總體把握分散在其各層級和部門的風險并實施風險管理。