从公司风险管理谈内部审计与治理

　　美国一个专门研究内部控制的发起人企业委员会（COSO）于2001年起着手进行公司风险管理研究，并力图建立一个类似于内部控制框架的、具有理论与实践意义的公司风险管理框架，其在为公司风险管理研究项目制定的目标中明确指出：公司风险管理框架必须和内部控制框架相协调，把控制目标的建立嵌入到某种形式的公司风险管理过程中去。而在内部控制方面，将领域扩展到控制环境等“软控制”要素上时，就决定了公司治理与内部控制的相互交汇。在COSO报告的内部控制定义中，特别提出“内部控制过程受组织的董事会、管理层和其他人员影响”，由此可见“软控制”因素对组织内部控制的影响是深远的。而内部控制对公司治理的影响也是巨大的。内部控制为组织的经营目标、财务目标及遵循性目标的实现提供合理保证，同样为公司治理机制的运行提供了保障。良好的内部控制有助于完善契约，减轻信息不对称的影响，并对代理人形成一定的控制约束，因此从一定程度上说，内部控制与公司治理的相关内容可以整合一致。而作为内部控制重要组成部分的内部审计，也不可避免地在公司风险管理的基础上，与公司治理的目标交汇。

　　在新的内部审计范式下，内部审计参与到公司治理与公司风险管理中，帮助组织发现并评价重要的风险因素，促进组织改进风险管理体系；评价并改进组织的治理程序，为组织的治理做贡献；同时继续原有的对控制效率和效果的评价作用，帮助组织保持有效的控制。此时的内部审计人员是风险专家，通过对风险的把握来评价公司治理及内部控制，并促进公司治理和内部控制的改善，从而实现对风险的掌握与驾驭。在公司风险管理这一统一的核心下，公司治理与内部控制实现了一定程度的整合，为组织增加了价值；同样，在公司风险管理这一统一的核心下，内部审计与公司治理实现了整合。在公司治理中，内部审计发挥着越来越重要的作用。

　　鉴于内部审计在确保公司内部控制制度有效运转及管理和控制风险等方面的独特作用，纽约证券交易所于2002年8月1日明确规定所有上市公司必须设置和保持有效的内审机构，否则不得上市或将面临退市。内部审计师已被看作是与董事会、高级管理层、外部审计师构成有效公司治理的四大基石之一。内部审计师拥有的风险管理、内部控制的知识与技能，能帮助公司治理实现其核心目标：控制风险以促进组织目标实现。因此，在公司治理中，内部审计是组织内部不容忽视的一支力量。

　　目前，我国内部审计一般尚未与公司治理相结合，成为公司治理的有机部分，对公司风险管理也不够关注。为此，要逐步完善企业法人治理结构，明确企业外部和内部的委托代理关系，培养管理者的竞争意识和风险意识，形成内部审计的需求市场，为内部审计的发展创造良好的环境。同时，要顺应内部审计科学发展的客观规律，在实践中有意识地推动风险导向内部审计的发展。从强调确认和测试控制的完整性，逐步转向强调确认和测试风险是否得到有效管理；从传统的强调关注风险因素，逐步转向关注前景规划。内部审计的建议应不再仅是强化控制、提高控制效率和效果，而应该包括规避风险、转移风险和控制风险，通过公司风险管理的有效化，评价并改进组织的治理程序，提高公司整体的管理效率和效果。