基于ERM框架的会计师事务所风险管理研究

　　【摘 要】随着审计行业中诉讼案件的大量增加，注册会计师逐渐成为一项高风险的专门职业。当前，我国的法律制度不断建设和完善，对市场主体的经济行为进行严格监管，我国会计师事务所面临的风险不断累积，化解风险势在必行。由此来看，对会计师事务所的风险进行干预、解决，具有重要的现实意义。论文基于 ERM 框架中的风险管理框架分析了目前我国会计师事务所面临的风险和 ERM 风险管理的背景，搜集与见证了国内外关于会计师事务所风险管理的理论研究，分析了我国会计师事务所治理以及风险管理的理论根基。此次研究的重点放在会计师事务所风险管理现状剖析方面，在分析成因的基础上提出应对策略，旨在为推动我国会计师事务所风险管理水平不断提升发挥一定的现实意义。

　　本文源自陈德启; 陈德怀， 中小企业管理与科技(上旬刊) 发表时间：2021-06-22

　　【关键词】ERM;会计师事务所;风险管理

　　1 研究背景与研究综述

　　1.1 研究背景与意义

　　20 世纪 60 年代以来，审计行业快速发展，全球的诉讼案件实现骤增，这为会计师事务所造成全新压力，包括注册会计师面临的审计风险也是前所未有之多，使整个审计职业开始正式迈入“诉讼爆炸”阶段。我国从 20 世纪 80 年代开始逐步恢复注册会计师行业，在社会主义市场化与会计师事务所迅猛发展中，国家法律制度不断建设，监管力度也在不断地加大，为我国会计师事务所的良性发展打下了较为坚实的基础。近年来，注册会计师行业面临很大的风险，审计问题时有发生，使我国会计师事务所积累的风险逐渐暴露出来。随着社会各界对审计产品质量依赖程度的提升，执业质量成为会计师事务所的生命线。事务所在经济市场中生存、发展，在谋求更多利益的过程中，也迎来更多诉讼风险，尤其是会计市场上近年来出现的重大诉讼案件，使包括中天勤等在内的诸多一线会计师事务所受到牵连，整个注册会计师行业的权威性与社会影响力受到严重质疑，这些都进一步加剧了会计市场的恶劣化发展，如何在恶劣的环境下实施高效、合理的会计师事务所内部风险管理模式，就成为当前会计师事务所发展的重要考量课题。因此，保持理性和做好风管应对成为会计师事务所的必要攻坚任务，不失为生存、发展必要准备。 2004 年，COSO 委员会发布的《企业风险管理：整合框架》(以下简称“ERM 框架”)，就为会计师事务所道德风险管理改革发展提供了可能。

　　基于我国会计师事务所风险管理欠缺理论研究成果支持的现状，本文运用《企业风险管理：整合框架》报告的风险管理理论，构建会计师事务所的风险管理机制，为探求我国会计师事务所风险管理机制寻求若干启示。

　　1.2 国内外研究综述

　　1.2.1 COSO 报告：内部控制的基本理论及发展

　　《企业风险管理：整合框架》的颁布是企业内部控制理论发展的里程碑事件。2004 年 9 月，COSO 委员会(美国国家虚假财务报告委员会赞助机构研究小组)发布了 ERM 框架，表明风险管理是企业内部管理的核心。ERM 框架将企业风险管理的目标归为战略目标、经营目标、报告目标、合规目标共 4 类。由 8 个相互关联、紧密联系的 ERM 框架要素构成：内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控。ERM 提出一个新的观念——风险组合观，强调在整个企业范围内总体把握分散在企业各层级和部门的风险并实施风险管理，可以说是当前最为完善的内部控制理论。

　　1.2.2 我国会计师事务所的风险管理

　　我国企业风险管理起步较晚，对风险管理理论的研究也不太深入。我国会计师事务所的发展主要于 20 世纪 90 年代末开设，发展与成长较短，因此，我国会计师事务所风险管理理论研究相对更晚。学者认为风险基础审计是在经济、社会和技术因素的基础上产生的，它可以为事务所带来更大的效益。我国会计师事务所可以从独立性、审计质量和人员管理 3 个方面来加强审计风险管理。会计师事务所风险管理主要有自留和投保 2 种方式，在发生频率小、可造成重大经济损失的风险上，建议采取保守投保方式;而对于发生频率高、损失强度小的风险，企业采用风险自留方式更好。会计师事务所的风险共有 4 类，分别是审计信息需求变异风险、产权制度风险、内部治理风险以及审计职业风险。我国审计行业引入 COSO 企业风险管理模式，有助于会计师事务所内部形成系统整体，将增强应对风险的能力，有助于健全审计质量控制制度。事务所在对各项风险分别管理的同时，还要对整体风险综合管理。通过完善规章制度、构建以风险识别和风险应对为核心的会计师事务所风险管理体系机制、宣传风险管理理念、培植风险管理文化等合理的建议来防范和降低会计师事务所风险。

　　研究表明，我国对会计师事务所风险管理的研究在视角上不断地拓宽，由从单纯的审计风险管理拓展到会计师事务所治理、审计人员素质的提升等方面提出风险管理的建议和措施。

　　但是，这些研究并未充分认识到会计师事务所面临风险的复杂性，不能在提升审计质量、躲避与减少风险上发挥积极作用与影响，没有针对会计师事务所风险管理的应对策略。

　　2 我国会计师事务所风险管理的理论基础

　　2.1 委托代理理论

　　委托代理关系是指投资者通过契约的形式将经营权让渡给管理者，形成的所有权与经营权相分离的关系，其本质是投资者和管理者之间的契约关系。契约的双方当事人为资产所有人(委托人)和资产使用人(经营者、受托人)。为实现股东价值最大化，极大地实现企业资产价值的增值，委托具有专业知识的管理者对企业资产进行经营是十分必要的。但所有者和经营者的目标是不一致的，由于信息不对称的客观存在，经营者是否会专注于工作，甚至可能会为获取“灰色收入”而采用损害受托人利益的方式实现其目的。因此，委托人和受托人之间存在现实的利益冲突。

　　我国的会计师事务所的形式为：有限责任会计师事务所和合伙会计师事务所。由于会计师事务所复杂的组织形式变化，加之审计市场国际化趋同，会计师事务所的恶劣执业环境日趋复杂化，会计师的高级合伙人并不一定都完全具备相应的专业知识，可能不擅长对会计师事务所的管理。那么，聘请职业经理人管理经营事务所成为一个很好的选择，这就形成了委托代理关系，可能会出现利益冲突。如果会计师事务所的治理结构和内部控制体系不合理，就会成为事务所利益被侵蚀的帮凶。因此，会计师事务所构建良好的公司治理结构成为必然的选择和趋势。委托代理理论挖掘了企业治理和内部控制问题的根源，是本文研究会计师事务所治理问题和事务所风险管理必要性的一个重要理论基础。

　　2.2 全面风险管理理论

　　ERM 框架将企业目标分为四大类：①战略目标，即一种高层次的目标;②经营目标，即资源使用的有效和高效;③报告目标，即报告的可靠性;④合规目标，即对法律和法规的遵循。这 4 个目标既相互独立，又彼此交叉。

　　为保证目标的完成，企业风险管理中构成 ERM 需要 8 个要素。它们分别是：①内部环境：包括组织氛围、风险偏好和经营环境;②目标设定：确保管理当局有设定目标的过程，选定的目标与风险容量保持一致;③事件识别：识别对主体可能有影响的潜在事件，包括内部事项和外部事项;④风险评估：对已经识别的风险进行分析，作为下一步进行风险管理的依据;⑤风险反应：管理层要根据已经识别和评价的风险选择各种风险反应，如回避、接受、降低或分担;⑥控制活动：通过建立和执行各种政策和程序来实施和贯彻风险应对策略，需要企业的各个部分、各层面和部门协作完成;⑦信息和交流：相关信息要及时识别、获得和传递，以便于借助信息进行风险识别、评估和应对;⑧监控：整个 ERM 必须处于监控之下，并在必要时得以修正。企业风险管理八要素可以作为 ERM 有效执行的标准，其是否有效依赖于八要素是否存在和有效运行。

　　风险管理贯穿于企业各个层面，目的是使组织整体能够有序运行，实现对所有风险的整体把握。企业风险管理较之内部控制整体框架，目标体系中多了一个战略目标;添加风险管理、风险偏好理念;扩宽内部控制整体框架的风险评估要素，分析并进行细分，以事项识别、风险评估、风险应对、目标设定为主要内容。基于此，于内部控制上渗透三要素，分别为目标设定、事项识别、风险评估。可以说，ERM 框架是内部控制理论发展史上的一次飞跃，代表了内部控制最为完善的理论。

　　我国会计师事务所全面风险管理的现状及成因分析

　　3.1 我国会计师事务所风险管理的背景

　　《关于成立会计顾问处的暂行规定》于 1980 年颁布，完善与健全了注册会计师制度，对推动会计师事务所发展起到积极作用。注册会计师行业恢复重建阶段经历了十年左右的时间，期间国务院和财政部制定实施了一系列扶持和推进行业恢复重建的政策措施，审计行业从无到有逐渐发展起来。 20 世纪 90 年代建立注册会计师执业标准体系，规范执业行为和审计市场。20 世纪 90 年代末，随着市场经济体制的建立与逐步完善，我国会计师事务所得到了迅速的发展。21 世纪开始向开放国内市场和进军国际市场并举的国际化的思路发展，随着我国政府“一带一路”倡议的实施，真正实现全球审计市场的一体化、国际化，这对注册会计师行业的国际化发展提出新的要求。随着我国加入世贸组织以及改革开放的不断深入，注册会计师行业面临的风险日益增大，而我国会计师事务所风险管理研究正处于探索阶段。2006 年，《中央企业全面风险管理指引》出台，该文件明确表明企业将风险管理作为管理主线来抓，让企业管理迈入新阶段、新征程并呈现出新面貌。企业全面风险管理日益受到政府、企业、股东等各利益相关者的高度重视。

　　3.2 我国会计师事务所风险现状及成因

　　与其他企业一样，会计师事务所同样也属于市场经济下的产物，需要以利益为核心、为目标。而会计师事务所独有的特殊性决定了风险存在的复杂性和必然性，一方面来自审计职业方面的风险;另一方面则来自会计师事务所内部治理方面的风险。下面具体进行分析。

　　3.2.1 我国会计师事务所审计职业风险及成因

　　首先，会计师事务所的执业性质决定了风险的存在。同时，委托方内部控制存在缺陷会增加其会计报表失真的可能性。随着社会主义市场经济的发展，经济环境日益复杂，企业交易类型、工具不断变化，运作也变得复杂，很大程度上增加了审计职业的风险。

　　其次，审计实务过程中，会计师事务所和注册会计师承受着双重压力，分别来自被审单位和社会公众 2 个层面。审计结果是利益相关者判断信息真实性和作出决策的重要参考信息。与此同时，如果注册会计师违背了客户的要求，那么事务所将很可能失去客户进而造成很大的损失。

　　3.2.2 我国会计师事务所内部控制及治理存在缺陷

　　内部控制实施方众多，包含监、董事会、全体员工，等等，继而实现控制目标，目的在于改善经营管理、提升会计师事务所内部管理水平和风险防范能力，促进我国会计师事务所进入国际审计市场、参与国际竞争。目前，我国会计师事务所内部控制建设还处在起步探索阶段，需要不断改进和完善。我国会计师事务所内部控制存在以下几种情形的常见弊端：

　　第一，形同虚设的内部治理结构。我国大多数会计师事务所对内部控制未给予高度重视。有些事务所中担任要职的管理层人员，可能还担任其他分所重要岗位，日常管理职责并未全面履行，使得内部控制与日常运营结合存有较大阻力。如果分支机构出现了经营风险，会计师事务所及其负责人就难以或者不能及时发现和及早规避风险。

　　第二，相应的控制制约机制缺乏。有些业务，如业务承接、证券期货相关业务的新客户，被评价为高风险的证券期货的相关业务，不通过主任办公室或相关机构决定承接或保持与否，只由项目经理或主管部门负责人认可。在这个过程中，责任意识不强、重视个人利益的项目经理或相关负责人，也存有不从全局出发及有意掩盖可能或已经存在的风险等问题，这种方式加大了经营风险，也为会计师事务所长远发展埋下了隐患。

　　第三，注册会计师和助理人员的管理风险。会计师事务所的主要资产体现在人的专业水准和品德才干上面，而拥有一支由优秀专业审计人才组成的团队是事务所持续发展壮大的一个必要条件。同时，大部分会计师事务所不够重视员工的职业道德培训，致使部分员工违背公正、客观的原则或者产生自私行为，这些行为最终都会导致事务所蒙受法律风险或者损失。此外，“用人唯亲”现象仍然存在。

　　第四，文化管理风险。会计师事务所作为特殊的法律实体组织，其文化是在长期实践中逐步形成的价值观、经营理念、道德准则、行为规则和行为规范。我国大多数会计师事务所并没有意识到企业文化是一个企业持续发展的“软实力” 的表现，因而没有形成明确的企业文化来引导和规范员工行为、形成整体团队的向心力。员工普遍缺乏归属感，凝聚力和向心力不够，影响事务所的长远发展。

　　综上所述，我国的会计师事务所在市场经济中面对内忧外患。会计师事务所作为高风险行业，面临诸多风险，注册会计师个人也会深受影响出现诸多担忧。在会计师事务所规模逐渐扩大的背景下，管理难度不断加强，需要会计师事务所尽快建立风险管理机制，将潜在风险、表面风险挖掘及消除。 ERM 框架适合各种性质的企业，借鉴 ERM 框架建立我国会计师事务所的风险管理系统进行全面风险管理，可以夯实事务所的管理基础，有效管理事务所风险，提升事务所的治理水平，对事务所的生存和发展至关重要。

　　4 我国会计师事务所全面风险管理的对策

　　下文运用《企业风险管理：整合框架》中风险管理的要素对会计师事务所的整体风险管理提出对策。

　　4.1 内部环境

　　ERM 框架认为，内部环境是风险管理八要素的基础。内部环境的设定决定着其他要素能否发挥作用，影响着员工的控制意识。下面从影响内部环境的因素的几个方面对我国会计师事务所内部环境管理提出相应的建议：

　　①组织结构。一个合理的组织结构，对于有效配置人力资源至关重要。建立健全会计师事务所从总所到分所，再到业务部门、项目小组，形成由上到下的控制关系，命令要求下属部门及人员将重大事项向上呈报，做到从下至上的信息便捷流通，使得上级可以快速知晓各项问题并快速作出控制反应，让全面风险管理成为事实。这样，保证会计师事务所组织体系既体现专业化效率，又确保相互牵制。

　　②责任分配。会计师事务所应当形成一套系统的经营理念，以影响整个事务所员工的思维方式和道德行为。首先，合伙人必须对事务所债务承担无限连带责任;其次，项目负责人对审计项目指导、监督和复核，对审计质量承担领导责任;最后，在全员参与的情况下，不同层次的人员对审计工作都应为自己负责的事物承担明确的责任。

　　③组织文化。组织文化对事务所内部人员的激励、行为和绩效有影响，并影响注册会计师的重要性判断和独立性。而注册会计师的重要性判断和独立性与审计质量、审计风险息息相关。因此，会计师事务所应当将单位内部的价值观念、道德规范、人文环境及基本理念作为重点工作来抓，切实匹配相对应的思维方式和行为模式，使得企业文化得以深入人心。

　　4.2 目标制定

　　ERM 将企业风险管理的目标归纳为战略、经营、报告、合规四类，这四类目标既相互独立又相互重叠。其中，企业一般能够控制报告目标和合规目标，但是战略目标和经营目标易受外部影响。会计师事务所与一般事业单位相差无几，都以增加经济效益为最终目标，扩大规模、增强实力是战略重要部分，这也与 ERM 框架理论提出的目标是一致的。注册会计师应当通过自身风险容量的估计，设定可接受的审计风险。现代风险导向审计方法更为关注企业战略层面的风险管理，是迎接错综复杂的风险环境挑战的必然选择。

　　现代风险导向审计从企业的战略分析入手，建立了更科学有效的方法。风险导向审计模式的运用，将对优化审计程序、提高审计质量、降低审计风险起到重大作用。在我国，中小会计师事务所占多数，其主要客户群是中小企业。考虑成本过大和复合人才缺失等问题，中小会计师事务所使用现代风险导向审计技术的并不多。因此，可以通过专业化经营、提升审计人员专业素质等渠道，进一步地认识和推广现代风险导向审计技术。

　　4.3 风险管理

　　会计师事务所需要对风险事件进行识别和评估，再对风险事件作出反应，决定接受风险、避免风险或者减轻风险。一方面，会计师事务所要对自身是否存在风险，存有哪几类风险进行识别;另一方面，需要着重考虑客户存在的风险。可以从被审计单位的诚信度、经营状况、客户的环境包括客户公司内部控制状况等方面进行风险识别。这是注册会计师承接业务时应保持的谨慎态度。

　　对风险有了清楚的识别，对已经识别的事项进行评估才能制定风险应对的策略。会计师事务所可以建议业务风险评估部门建立 2 个分支，分别管理事务所自身风险和评估被审计单位风险。风险指标可以从战略风险、合规风险、财务风险以及运营风险 4 个角度进行构建。其中，战略风险可以从行业排名、业务渠道、市场占有率等视角进行评估;合规风险可以从公司政策、法律等角度进行评估;财务风险可以从流动性风险、财务报表等视角进行评估;营运风险可以从诉讼风险、监管风险等方面进行评估。与此同时，通过建立“客户风险等级评价制度”，从被审计单位的诚信度、经营状况、财务状况等角度对被审计单位风险进行评估，并与事务所风险控制范围进行比较进而进行风险反应。

　　管理层需要结合当前掌握的风险信息选择风险反应，包括回避风险、接受风险、降低风险或分担风险。在考虑作出风险反应的过程中，应权衡利弊，预判风险发生概率及可能造成的影响，出于对成本和利益的考量折中选择最合理方案，进而采用一系列措施使风险与主体的风险相对应、相匹配，为会计师事务所提供更强安全保障。

　　4.4 控制活动

　　ERM 框架认为，控制活动是指为确保管理层的风险应对措施被执行而采取的政策和程序。控制活动体现在事务所各项日常活动之中，贯穿于整个企业，遍及各层级和各职能机构。对于会计师事务所来说，它不仅体现在对企业生产经营中的各种资源进行监督和控制，还体现在审计风险管理的控制活动中，包括批准、授权、验证、调节、经营业绩评价、资产安全及职责分离等多种活动。对于会计师事务所来说，应从以下 2 个方面进行活动控制：

　　第一，应做到职责分离及牵制。一般情况下，几个人或部门合伙作弊的可能性低于单独一个人或者部门作弊的可能性。因此，在事务所机构建设和审计过程中，建立互相牵制、互相制约的控制体系，涵盖管理控制、内部控制和审计风险。

　　第二，对审计操作过程的控制。以此确保审计流程科学、完善，使得审计结论真实性、可靠性大幅度提升。需要关注新老客户风险评估工作，结合评估结果决定委托事宜，如接受委托，则需要有序开展计划编制、分配工作、内控评估、合规性测试和实质性测试，在此基础上发表审计报告意见类型，确保审计过程体系的完成。

　　4.5 信息和沟通

　　会计师事务所需要凭借信息系统处理好与内部员工关系、构建更为密切联系，还需与外界有所交流、互动。COSO 风险管理框架中，信息的沟通与反馈是参与方间构建起良性交流的重要内容，并且要求组织能够主动接受广大民众的监督，建立起其在社会与民众中的良好形象，因此，会计师事务所也需要结合自身实际情况，在最短时间内构建起较为系统有效的信息和沟通体系，以保证会计师事务所的风险管理系统能高效运行。为实现信息的实时传递，事务所需要通过建立高效的信息管理系统，以此保证在人员分散情况下的信息畅通性。事务所要面向单位进行信息的搜集与整理，包括可靠的财务以及非财务信息，为内部风险管理提供具体参考资料。事务所决策层对于各个分所营运信息的及时掌握，可以通过定期财务、经营及人力资源等方面报表的报送来实现，最大限度保证决策层各项措施的合理性与严谨性。定期召开分所所长、董事会、股东会，可以在全所范围内及时传达与沟通有关信息，保证信息的精准、高效传达。加强在承接客户和对客户审计过程中与客户的沟通。在遇到被审计单位更换事务所的情况下，前后任注册会计师应对公司相关情况进行沟通以避免审计风险。在社会公众方面也应加强信息的传递与沟通等。如果能做到相关信息的及时有效沟通，能有效地降低事务所风险。

　　4.6 监控

　　对会计师事务所的监督包括内部监督和外部监督 2 个方面，风险管理机制的作用发挥，在于通过内部监督，制定适应外部监督的相应措施，从而形成健全有效的监控系统。综合监督是规范事务所内部监督机制中较为缜密的方法，它将持续监督和个别评估结合在一起进行。事务所监事应当具备一定的专业知识、监督能力和工作经验，切实履行监督职权。事务所在强化监事的作用的同时也可以考虑设立各种专门委员会来发挥制衡作用，以有效弥补制衡机制不足的缺陷。

　　以上要素可以作为 ERM 有效执行的标准。然而，ERM 不是一个严格的系列步骤，而是一个多方向、重复性的过程。在这个过程中几乎任何要素都能而且会影响其他要素。需要注意的是，ERM 强调在整个企业范围内实行风险管理。因此，构建 ERM 体系只有全员上下的参与才能实现会计师事务所的全面风险管理。

　　5 结论

　　总体来说，会计师事务所面对的风险各种各样，建立会计师事务所风险管理机制是必然趋势和必要做法，只有将风险管理机制顺利建设，才可对各类风险进行识别、进行分析、进行防范并有效解决，即可从风险层面为会计师事务所于市场中的生存、发展保驾护航，以避免会计师事务所受到风险侵害而造成无法估量损失。由此可见，加强会计师事务所风险管理非常必要且重要。希望此次研究的出现，对各个会计师事务所提高风险管理水平起到积极作用与影响，如此，便可具有较强指导意义、研究价值。

　　此次研究还有另一层意义，即促使会计师事务所风险管理脱离单一层面、格局，有效应用 ERM 风险管理理论，从整个事务所范围内总体把握分散在其各层级和部门的风险并实施风险管理。