从风险管理谈公司治理与内部审计

摘 要：公司治理受到广泛的关注和重视，人们认识到只有建立一套完整的治理系统，才能彻底解决舞弊、腐败和管理不当的问题。在这一系统中，内部审计是必不可少的组成部分。本文从公司治理与内部审计的核心--风险管理的角度出发，研究公司治理与内部审计的整合。

关键词：风险管理；公司治理；内部审计

一、风险管理的概念

风险管理是指识别风险并设计控制风险的方法，其核心是将没有预计到的未来事项的影响控制在最低程度。对风险管理，首先，要求在组织中发现那些高风险暴露的领域，对高风险暴露点的识别要通过对组织的分析进行。其次，将分析的结果与认为可接受的风险水平相比较。最后，实施必要的变革，使组织的风险暴露水平与其所设定的目标相一致。

二、风险管理是公司治理的核心

1、公司治理，从狭义的角度进行理解，是指所有者主要是股东对经营者的一种监督与制衡机制。若从广义角度进行理解，是指包含法律、文化等在内的有关企业控制权和剩余索取权分配的一整套制度安排，其决定企业目标的实现。

从主要功能上来说，公司治理的范围可以包括：股东、董事会——决策者；管理阶层——执行者；审计人员（包括内部审计人员及外部审计人员）——监督者；其他利益关系人（例如：顾客、供应商、债权人及员工等）——影响者等。从这个角度来讲，内部审计人员应该在公司治理中占有一席之地。因为沟通公司治理各功能主体的重要工具就是会计信息系统，因此，会计信息系统本身是公司治理结构的组成部分，而且会计信息更严重地制约和影响着公司治理结构中其他制度安排效用的高低。会计信息系统提供的会计信息的真实可靠是内外部激励机制正常运行的前提条件，而有效的审计监督制度是确保这一前提条件实现的关键。内部审计处于公司内部，对于公司内部控制、管理经营活动、风险管理都有透彻深入的了解，与外部审计人员相比，内部审计对公司治理发挥的作用在层面上更为深入，在范围上更为广泛。

2、公司治理的核心是风险管理。在公司治理的定义中，公司治理这一制度安排所决定的企业目标、决策人及风险和收益的分配都围绕风险展开；风险直接影响目标的实现；而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度；治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。另外，从解释公司治理问题产生的经济学观点来看，引发公司治理产生的因素究其实质都属于风险，都是使企业目标无法实现的各种潜在的、可能发生的事件。公司治理是组织应对风险的战略反应，其职责核心就是确保有效的风险管理方案的适当性，因此公司治理中包含一些战略性的风险管理的因素，风险管理是公司治理的核心。

三、内部审计作为内部控制的重要部分，与风险管理密不可分

1、内部控制与风险管理的联系日趋紧密。在决定内部控制政策，并在此基础上评估特定环境中内部控制的构成时，董事会应对诸多风险管理问题进行深入思考。

2、内部审计理论的新发展。国际内部审计师协会（IIA）在1999年对内部审计重新定义，即“内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善，帮助组织实现其目标。”

这一新定义将内部审计的范围延伸到风险管理和公司治理，认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。

3、风险管理是内部审计的主要职责。现代内部审计除了关注传统的内部控制之外，更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部审计的观念下，年度审计计划与公司最高层的风险战略连接在一起，内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致，使用风险管理原则改变审核过程。在风险导向的内部审计中，控制仍然重要，但分析、确认、揭示关键性的经营风险，才是内部审计的焦点。

四、在风险管理目标下，公司治理与内部审计的整合

美国一个专门研究内部控制的发起人企业委员会于2001年起着手进行企业风险管理研究，在为企业风险管理研究项目制定的目标中明确指出：风险管理框架必须和内部控制框架相协调，把控制目标的建立嵌入到某种形式的风险管理过程中去。而在内部控制方面，将领域扩展到控制环境等“软控制”要素上时，就决定了公司治理与内部控制的相互交汇。在C0S0报告的内部控制定义中特别提出“内部控制过程受组织的董事会、管理层和其他人员影响”，而内部控制对公司治理的影响也是巨大的，内部控制为组织的经营目标、财务目标及遵循性目标的实现提供合理保证，同样为公司治理机制的运行提供了保障。而作为内部控制重要组成部分的内部审计，也不可避免地在风险管理的基础上，与公司治理的目标交汇。

在新的内部审计范式下，内部审计参与到公司治理与风险管理中，帮助组织发现并评价重要的风险因素，促进组织改进风险管理体系；评价并改进组织的治理程序，为组织的治理做贡献；同时继续原有的对控制效率和效果的评价作用，帮助组织保持有效的控制。在风险管理这一统一的核心下，公司治理与内部控制实现了一定程度的整合，为组织增加了价值；同样，在风险管理这一统一的核心下，内部审计与公司治理实现了整合。在公司治理中，内部审计发挥着越来越重要的作用。

目前，我国内部审计需与公司治理相结合，成为公司治理的有机部分，对风险管理需要更加关注。为此，要逐步完善企业法人治理结构，明确企业外部和内部的委托代理关系，培养管理者的竞争意识和风险意识，形成内部审计的需求市场，为内部审计的发展创造良好的环境。同时，要顺应内部审计科学发展的客观规律，在实践中有意识地推动风险导向内部审计的发展。内部审计的建议应不再仅是强化控制、提高控制效率和效果，而应该包括规避风险、转移风险和控制风险，通过风险管理的有效化，评价并改进组织的治理程序，提高公司整体的管理效率和效果。

参考文献：

[1].COSO.《企业风险管理一整合框架》内容摘要[EB/OL].[2004—09].http：//www.COSO.org/documents/COSO_ERM_ExecutiveSummary_Chinese_Simplified.pdf

[2].宋哲，黄婷.内部审计在现代企业风险管理中的作用[J].合作经济与科技.2007（3）.

[3].刘丽云.试析内部审计与风险管理机制的融合[J].财会研究，2006（8）.

[4].田军霞，江磊.浅谈内部审计在企业风险管理审计中的作用与审计内容[EB/OL].[2006—10].http：//www.cnki.net

[5].黄园园.内部审计与企业风险管理的协调和整合[J].审计与经济研究.2005（5）.

[6].靳建堂.风险管理审计初探[J].中国内部审计.2005（6）.

[7].中国内部审计协会.中国内部审计准则具体准则第21号一内部審计控制自我评估[z].2004.

作者简介：

王前（1994-），女，山西临汾人，山西财经大学2016（会计学）学术硕士研究生，研究方向：财务管理与管理会计.