從風險管理談公司治理與內部審計的整合

[摘要] 公司治理問題一直是企業的核心問題。在完善公司治理這一過程中，內部審計是必不可少的組成部分。另一方面，企業管理者正處在日益復雜和全球化的環境中從事生產經營，企業風險比以往任何時期都更加突出。本文從公司治理與內部審計的核心——風險管理的角度出發，探討了風險管理、公司治理及內部審計之間的相互關系，以及在風險管理這一統一的核心下公司治理與內部審計的整合。

[關鍵詞] 風險管理 公司治理 內部審計

近年來，上市公司頻頻驚爆黑幕，如美國第七大公司安然的破產、世通公司的倒閉以及其他著名公司的丑聞，使公司治理成為公司發展的焦點。人們開始對現行的公司治理模式提出疑問，并積極采取應對措施重建投資者的信心。而內部審計是公司治理結構中不可或缺的組成部分。本文擬從風險管理的角度來探討內部審計與公司治理的有效整合問題。

一、風險管理與公司治理

1.風險與風險管理

風險是指一切不確定性。企業風險就是公司在進行日常經營活動的過程中的不確定性，它不僅包括市場風險，財務風險，名譽風險，執行風險，而且包括公司的戰略風險。

風險管理是指識別這些風險并設計風險的管理方法和組織結構，其目的是將無法預計的未來事項的影響控制在公司所能承受的最低限度。

2.公司治理的本質和功能

公司治理是為了保護股東和其他利益相關者的利益，而對公司管理者和董事會所做的職責進行規范和要求。由于所有權與經營權的分離，使得作為委托人的股東不參與公司的日常經營管理，并因為承擔了公司的剩余風險而獲得剩余求償權作為其報酬；而作為代理人的管理層則承擔起公司的日常經營管理，并且通過以包括薪水在內的合同報酬方式來獲得報酬。兩者之間形成了典型的委托代理關系。當企業管理者的自身利益和股東利益發生沖突時，他們有可能不會為公司所有者爭取最大的利益，因此委托人不得不對代理人的行為后果承擔風險。這就是公司治理的本質問題。

公司治理的功能是配置責、權、利。一般來說，誰擁有資產或誰有資產使用權，誰就有剩余控制權。公司治理的首要功能就是配置這種控制權?？刂茩嗍枪局卫淼幕A，公司治理是控制權的實現、科學的決策和利益相關者的權利制衡。

3.風險管理與公司治理的關系

(1)風險管理是公司治理的核心。從上述公司治理定義中，我們可以看到，公司治理這一制度安排所決定的企業目標、決策人及風險和收益的分配都圍繞風險而展開。風險直接影響企業目標的實現，而企業決策人對風險的控制和管理直接決定企業目標能否實現及實現的程度。公司治理結構中的人員需要承擔所分配的一定風險并獲得相應的收益。同時，公司治理體現著組織對風險的戰略反應，其核心就是確保有效風險管理的適當性。因此，公司治理中還包含戰略性的風險管理。

(2)風險管理存在于公司治理的框架之中。大多的公司治理都是關于董事會在發展戰略中的角色和控制公司所面臨的主要風險，所以風險管理框架將進一步增強董事會介入風險管理的重要性。更重要的是，有效的風險管理在很大程度上取決于董事會與高級管理層和的支持和重視。高級管理層則是站在全面審視的高度上進行管理；而董事會可以設計有效的風險管理程序和建立風險組織結構，以確保公司的風險管理與公司的總體戰略、目標相適應。因此，構建指導高級管理人員、一般管理者和審計人員介入的以風險管理為核心的公司治理結構非常必要。

二、風險管理與內部審計

1.內部審計及其目的

內部審計是指組織內部的一種獨立、客觀的監督、評價、鑒證和服務活動，通過審查經營活動及內部控制的適當性、合法性和有效性來促進企業目標的實現。內部審計的目的在于增加組織價值和改善組織經營，而內部審計人員則是企業的咨詢師，防止風險轉化為損失。所以利用內部審計部門對企業經營業務的了解來加強風險管理十分必要。

2.內部審計在企業風險管理中的作用

(1)內部審計能控制并指導企業的風險策略。由于內部審計部門處于企業的董事會、總經理和各職能部門之間的位置，內部審計人員能夠充當企業長期風險策略與各種決策的協調人。通過長期計劃與短期實現的調節，內部審計部門人員可以調控、指導企業的風險管理策略。

(2)內部審計能客觀地從全局的角度管理風險。風險在企業內部具有感染性、傳遞性及不對稱性，即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承擔，而是會傳遞到其他部門，最終可能使整個企業陷入困境。然而，內部審計部門不從事具體的業務活動，具有相對的獨立性，能夠按照專業標準要求獨立地從事保證和咨詢活動，客觀地從全局的角度去管理風險，清醒地識別和評價風險，提出防范風險的有效建議。

(3)內部審計部門的建議更容易引起管理當局的重視。盡管有些企業設立了風險管理部門，但由于它疏于管理部門的一個職能部門，是向總經理報告的，因此不具有獨立性。而如前文所述，內部審計部門獨立于管理部門，其風險評估的意見可以直接報告給董事會，這會加強管理當局對其意見的重視程度。

三、公司治理與內部審計

1.公司治理結構是內部審計的制度環境

內部審計具有監督、評價、鑒證和服務等職能，這些職能的發揮都依賴于健全完善的公司治理結構。也就是說公司治理結構這一大的制度環境決定著內部審計的模式選擇、地位及作用。另外，公司治理的要求決定了內部審計關注的重點。即內部審計關注的內容必須符合有效公司治理的主要要求。

2.內部審計是公司治理結構中的技術性職能

(1)檢查監督職能。內部審計是企業內部的一種獨立的經濟監督機構，其基本職能是經濟監督，以檢查和監督企業內部各種經濟活動在正常軌道上運行。主要包括以下三個方面:一是對企業的財務收支進行監督；二是對企業的重點單位、重點部門、重點資金、重要經濟活動進行監督；三是對企業的內部管理和制度執行進行監督。

(2)管理控制職能。該職能始終貫穿于企業各個管理程序中?，F在公司投資主體多元化，經營方式多樣化，管理層次多級化，跨行業、跨地區、跨國界的企業日漸增多，企業最高管理層不可能對經營管理狀況進行經常性的檢查監督。內部審計作為企業控制系統中的一個重要組成部分，通過管理控制職能，可以使企業的經營、管理、生產等方面朝著預期的目標發展，并協助進行科學決策，強化內部控制，提高經濟效益，使公司治理更加科學和有效化。

(3)顧問咨詢職能。這不是一個單獨的職能，它通過以上各項職能發揮作用。由于內部審計人員對本企業的情況最為熟悉，使其對內提供咨詢有獨特的優勢。內部審計在企業尚未建立風險管理的過程中，可以積極向管理層提出建立風險管理過程的相關建議，通過咨詢的方式，積極協助企業風險管理過程的建立。

四、在風險管理的目標下，公司治理與內部審計的整合

1.公司治理與內部審計整合的重要性

內部審計參與到公司治理與風險管理中具有以下重大意義：一是能幫助組織發現并評估重要的風險因素，促進組織改進負責管理體系；二是能評價并改進組織的治理程序，完善公司治理結構；三是能繼續原有的對控制效率和效果的評價作用，幫助組織保持有效的控制。

2.我國目前公司治理與內部審計的現狀

目前，內部審計和公司治理的關系是割裂的。現行的《上市公司治理準則》對設立內部審計機構和審計委員會沒有做強制性的規定，也沒有對內部審計機構、人員從事內部審計工作的行為責任進行規范，這樣使內部審計的組織形式缺乏法律法規的支持。因此，我國內部審計一般尚未與公司治理相結合，以成為公司治理的有機部分，而且對風險管理關注度也還不夠。

3.關于公司治理與內部審計整合的建議

(1)健全法律法規。在《上市公司治理準則》及其相關法律（如公司法、證券法）中，對內部審計組織形式進行強制性規范，加強審計委員會制度建設，使內部審計的效用得以充分發揮。

(2)改進內部審計技術與策略。要遵循內部審計發展的客觀規律，在實踐中有意識地推動風險導向內部審計的發展。從強調確認和測試控制的完整性，逐步轉向強調確認和測試風險是否得到有效管理；從強調關注風險因素，逐步轉向關注前景規劃。

(3)拓展內部審計的范圍。內部審計的建議不再僅是強化控制、提高控制效率和效果，還應該包括規避風險、轉移風險和控制風險，通過風險管理的有效化，評價并改進組織的治理結構，提高企業整體的管理效率和效果。

參考文獻：

[1]馬穎:風險管理與公司治理一體化概念框架的構建.財會月刊，2006（3）

[2]李正青:內部審計與風險管理.財稅科技，2007（8）

[3]李惠剛:公司治理與內部審計.中國內部審計協會，2007（9）