从公司风险管理谈内部审计与治理

　　公司治理，从狭义的角度进行理解，是指所有者主要是股东对经营者的一种监督与制衡机制。若从广义角度进行理解，是指包含法律、文化等在内的有关企业控制权和剩余索取权分配的一整套制度安排，其决定企业目标的实现。公司治理从来没有像现在这样受到广泛的关注和重视，人们认识到只有建立一套完整的治理系统，才能彻底解决舞弊、腐败和管理不当的问题。在这一系统中，内部审计是必不可少的组成部分。本文从公司治理与内部审计的核心——公司风险管理的角度出发，研究公司治理与内部审计的整合。

　　一、什么是公司风险管理

　　公司风险管理是指识别风险并设计控制风险的方法，其核心是将没有预计到的未来事项的影响控制在最低程度。对风险管理，首先，要求在组织中发现那些高风险暴露的领域，对高风险暴露点的识别要通过对组织的分析进行，这种分析既包括审计人员客观的测试，也包括主观的判断。其次，将分析的结果与认为可接受的风险水平相比较。最后，实施必要的变革，使组织的风险暴露水平与其所设定的目标相一致。公司风险管理所涉及的范围是十分广泛的，包括投资风险管理、外汇风险管理、利率风险管理、商品价格风险管理等。

　　二、公司风险管理是公司治理的核心

　　在公司治理定义中，我们可以看到，公司治理这一制度安排所决定的企业目标、决策人及风险和收益的分配都围绕风险展开；风险直接影响目标的实现；而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度；治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。另外，从解释公司治理问题产生的经济学观点来看，无论是契约理论中提及的不完备契约，还是信息经济学中提及的信息不对称，以及代理理论中提及的代理问题，这些引发公司治理产生的因素究其实质都属于风险，都是使企业目标无法实现的各种潜在的、可能发生的事件。公司治理是组织应对风险的战略反应，其职责核心就是确保有效的公司风险管理方案的适当性，因此公司治理中包含一些战略性的公司风险管理的因素。例如：公司董事会所设定的公司经营管理基调是风险偏好型或是风险规避型；再如公司高层管理当局（CEO）在经营风格、理念、管理哲学中包含的风险态度等。这些战略性公司风险管理因素就是公司治理与公司风险管理的交汇点。因此，公司风险管理是公司治理的核心。

　　三、内部审计作为内部控制的重要部分，与公司风险管理密不可分

　　1、公司风险管理是内部审计的主要职责。

　　随着公司风险管理导向内部控制时代的来临，内部审计的工作重点也发生了变化，现代内部审计除了关注传统的内部控制之外，更加关注有效的公司风险管理(风控网)机制和健全的公司治理结构。在风险导向内部审计的观念下，年度审计计划与公司最高层的风险战略连接在一起，内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致，使用公司风险管理原则改变审核过程。公司风险管理成为组织中的关键流程，促使内部审计的工作重点不仅是测试控制，而且包括确认风险及测试公司风险管理的方法。在风险导向的内部审计中，控制仍然重要，但分析、确认、揭示关键性的经营风险，才是内部审计的焦点。

　　2、内部审计理论的新发展。

　　顺应内部审计理论及实务的变化，国际内部审计师协会（IIA）在1999年对内部审计重新定义，即“内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善，帮助组织实现其目标。”

　　这一新定义将内部审计的范围延伸到公司风险管理治理，认为内部审计是针对公司风险管理、控制及治理过程的有效性进行评价和改善所必需的。

　　3、内部控制与公司风险管理的联系日趋紧密。

　　在决定内部控制政策，并在此基础上评估特定环境中内部控制的构成时，董事会应对诸多公司风险管理问题进行深入思考。比如：公司面临风险的性质和程度；公司可承受风险的程度和类型；风险发生的可能性；公司减少事故的能力及对已发生风险的影响；实施特殊风险控制的成本，以及从相关公司风险管理中获取的利益。执行风险控制政策是管理层的职责，在履行其职责的过程中，管理层应确认、评价公司所面临的风险，并执行董事会所设计、运行的内部控制政策。

　　内部审计作为内部控制的重要组成部分，其在公司风险管理中发挥不可替代的独特作用，主要有以下几方面：

　　（1）内部审计部门的建议更易引起重视。

　　内部审计部门独立于管理部门，其风险评估的意见可以直接上报给董事会，这会加强管理当局对内部审计部门意见的重视程度。

　　（2）控制、指导企业的风险策略。

　　由于内部审计部门处于企业的董事会、总经理与各职能部门之间，内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节，内部审计人员可以调控、指导企业的公司风险管理策略。

　　（3）能够客观地、从全局的角度公司风险管理。

　　风险在企业内部具有感染性、传递性、不对称性等特征，即一个部门造成的风险或疏于公司风险管理所带来的后果往往不是由其直接承担，而会传递到其他部门，最终可能使整个企业陷入困境。因此对风险的认识、防范和控制需要从全局考虑，而各业务部门又很难做到这一点。内部审计人员不从事具体业务活动，独立于业务管理部门，这使得他们可以从全局出发、从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。