公司治理視角下的風險導向內部審計研究

陳 燊

(福建江夏學院 會計學院，福建 福州 210013)

公司治理視角下的風險導向內部審計研究

陳 燊

(福建江夏學院 會計學院，福建 福州 210013)

20世紀90年代后，舞弊案件陸續發生，利益相關者越來越重視了解整個組織運行的窗口。風險導向內部審計以其“風險監控”和“控制確認”職能，通過評價企業治理活動中的風險和內部控制，成為公司治理的“四大基石”之一，促進了組織增值目標的實現。對我國公司治理與風險導向內部審計的融合與發展進行探討，以期對推動我國實務發展有所幫助。

公司治理； 風險導向； 內部審計； 研究

一、公司治理與風險導向內部審計緊密相連

(一)良好的治理環境激發對內部審計的需求

20世紀90年代后，亞洲金融危機爆發，隨后一系列舞弊案件陸續發生，直至安然、世通的重大舞弊事件，進一步凸顯了公司治理的重要性。而2007年以來的全球經濟危機引發了學術界和理論界對危機根源的關注。再次引發了對公司治理機制重要性的認識，引發了對企業戰略管理和風險控制的關注。風險成為企業在治理過程中制定戰略、科學決策時務必考慮的重要因素。公司治理研究的熱點逐步演變為治理機制的質量問題。

良好的治理環境需要有效的內部控制和風險監控。如果一個組織內部控制失敗，就會大大影響組織目標的實現，影響組織價值增值。而組織中利益相關者無法親自監督企業運營，激發了對受托責任的需求。治理的相關利益者尋求把內部審計作為受托責任的有效主體，履行對企業內部控制和風險的監督作用。內部審計被提升到公司治理的高度，為董事會和管理層的管理活動提供服務。

(二)公司治理與風險導向內部審計的融合

不斷增加的風險因素成為連結公司治理與內部審計的橋梁。20世紀末，在公司治理的廣義概念中，風險成為公司治理必須考慮的重要因素。在風險力量的推動下，SOA發布后，董事會、高級管理層、內部審計和外部審計四者密切相關，成為治理的四大基礎。其中內部審計在協調發展其他三個主體關系中發揮著重要的作用[1]。2004年COSO委員會正式發布了企業風險管理框架ERM。內部審計在ERM框架下，發展到風險導向階段，提升到參與企業戰略管理的分析評價。它與公司治理通過內部控制、風險、道德遵循等一致因素形成有機整合。內部審計成為利益相關者極具價值的資源，促進改善公司治理以實現組織目標。在21世紀，公司治理、風險管理、內部控制成為國際、國內理論研究和實務研究的重點，不斷涌現具有影響力的標準與研究報告。

二、風險導向內部審計的治理功能

(一)確保受托責任履行

內部審計隨著受托責任的延伸，得到了不斷的發展變化。SOA明確要求上市公司應當成立內部審計機構，同時建立內部審計制度，以尋求將內部審計與公司治理相結合。IIA則要求董事會的公開報告中必須提交公司治理和內部控制情況。風險導向內部審計的六大治理功能見圖1。

圖1 風險導向內部審計的治理功能

(二)風險評估與控制確認

公司治理的核心工作在于風險管理。風險導向內部審計通過評價被審計領域的現有風險，向管理層和審計委員會報告評估結果；制定整個組織風險的計劃，領導風險管理活動；利用風險自我評估技術推進風險評價；評價與IT發展狀況相聯系的風險，如果風險超出可接受水平就終止該項目；協助管理層推行貫穿整個組織的風險模型。控制確認要求在職能范圍內測試控制的遵循性，向管理層和審計委員會報告結果；協助管理層設計綜合的評價方法；協助編制內部控制有效性的報告；識別重大控制缺陷，并向審計委員會報告；推行計算機測試技術；通過控制自我評估(CAS)技術幫助理解和發展職責領域的控制。

(三)遵循性與咨詢服務

內部審計部門對企業經營者各項責任的履行情況、是否按照規定從事生產經營活動、有無違法亂紀行為以及會計報表是否真實進行評價和鑒定。咨詢職能將事后的反饋職能擴展到事前、事中的控制與促進，通過咨詢服務，可以從改善風險管理和控制流程中，向董事會提供關于風險管理和內部控制制度運行情況的分析和確認，保證受托責任的履行，最終幫助增加組織價值。

(四)增加組織價值

現代內部審計就是以風險為導向，通過提供“確認——咨詢”服務，改善公司治理、增加組織價值。確認與咨詢活動共同構成風險導向內部審計的主要工作。內部審計通過確認活動，評價公司財務會計責任、評價財務報表的真實性、公司資產的完整性以及股東權益的保障性，從而確認受托人的財務責任。咨詢活動則是評價管理層經營責任，通過審查與評價經營管理活動，衡量經濟性、效率性及效果性，向公司治理層提出咨詢建議和改進意見。

三、風險導向內部審計的治理內容

從風險導向內部審計治理功能的闡述中，明確了內部審計通過風險評估和確認咨詢等職能，在治理層面發揮著舉足輕重的作用。在此基礎上，如何進行內部審計才能實現治理功能的高效發揮成為重要問題。

(一)戰略審計

內部審計通過戰略審計實現受托責任。戰略是治理和管理共同關注的重點。戰略審計可以為戰略決策提供可靠的信息和建議，以評估戰略的可行性和有效性，同時在戰略實施過程中進行動態監督控制[2]。風險導向內部審計在戰略管理領域的這種確認和咨詢服務，使得內部審計的確認保證功能在管理層級上得到了明顯的拓展。因此，風險導向內部審計更多地關注戰略決策的效率問題，將保證公司治理內涵得到進一步拓展。

(二)內部控制評審、風險管理審計

無論從IIA對內部審計的最新定義，還是從SOA條款以及紐約證券交易所的上市規則，內部審計的主要工作都被定義為風險評估和控制確認。IIA在定義中指出內部審計要“評價和改善風險管理、控制和治理程序的效果”。IIA還強調內部審計部門應通過“為管理層和審計委員會提供組織風險管理程序和內部控制的持續評價”來實現治理活動。內部審計通過“風險管理”和“控制確認”參與基本的治理活動[3]。

(三)“3E”審計

隨著治理改革的發展，風險導向內部審計越來越注重企業的績效評價。管理者對提高企業經濟效益的要求空前迫切，績效審計工作的內容以提高企業的經濟性、效果性、效益性為核心，也就是“3E”審計內容。

(四)管理舞弊審計

鑒于近年來管理舞弊案件的多發，經營活動中的管理舞弊行為越來越多，并且不易審查?，F有的內部控制能夠較好地控制低層級舞弊，但是涉及到高級管理人員這種在上層建筑層面的舞弊就很難約束到。這種高管人員的舞弊造成的損失和傷害很大，單純依靠外部審計進行監督已顯得力不從心。SOA和新COSO報告都要求風險導向內部審計必須從管理風險的角度開展諸多非財務審計方面的工作，拓展審計范圍，有效發現和揭露管理舞弊方面的內容，盡可能為公司提供更多的管理服務，創造更多效益。由此可見，管理舞弊是風險導向內部審計工作和職能的進一步拓展。

此外，風險導向內部審計在治理需求的推動下，還不斷拓展出多種增值服務：環境內部審計、合約審計、工程項目審計、質量控制審計、持續性保障審計等作業都從各個方面提供“確認——咨詢”服務。采取各種方法在內部控制和風險管理建設中取得突破，實現多元化發展。

四、我國公司治理中的風險導向內部審計

我國企業的內部審計是在行政干預下建立起來的。隨著企業治理模式的變更，經濟型治理模式逐步發展，內部審計的職能作用也在不斷轉變。實踐表明，隨著治理的發展和公司規模擴大，市場競爭愈加激烈，風險隨之增加，公司就越需要來自內部的監督力量，內部審計機構的重要性則愈顯突出。內部審計機構設置和人員配備也將愈加規范完善，以滿足治理需求。當財務舞弊案件頻發的時候，就會引發我們對內部審計監督成效的質疑，那就是在風險導向下，我國內部審計如何實現對治理的有效服務。

(一)發展現狀分析

1．風險導向內部審計還未能真正深入公司治理層面

表1 COSO報告與COSO ERM[4](P221-244)

21世紀的公司治理和風險導向審計都進入了高速發展的新時代。關于風險導向審計和闡述內部審計治理功能的文獻大量涌現。2004年，COSO委員會在COSO報告的基礎上，正式發布了企業風險管理框架COSO ERM(見表1)，標志著風險成為公司治理、內部控制及內部審計重點關注的內容，ERM已將風險評價、風險反應等八大要素深入到企業戰略目標層面，風險貫穿風險導向內部審計在治理控制的全過程。在我國實務中，上市公司是被公認關注治理的，《上市公司治理準則》也對設置審計委員會及其職責有明確規定。但其他企業有的內部審計尚未達到風險導向階段，有的即使開展了風險導向審計工作，卻尚未能有效地將風險控制應用到公司治理的全過程。可見在我國實務中，風險導向審計為公司治理提供多元化增值服務的能力還有待加強，風險控制的效率效果也有待進一步提高。參與戰略決策的效率問題有待進一步加強，風險導向審計如何在咨詢性服務中得到更好的規范和拓展也有待進一步的探討研究。

2．公司治理模式對風險導向內部審計的影響

內部審計隸屬模式直接影響內部審計的獨立客觀性，影響到對公司治理發揮作用的效率效果性。實踐表明，內部審計隸屬在總裁、董事會(審計委員會)的公司治理績效優于隸屬模式在監事會和財務部的公司。在這里必須要講到審計委員會，它因強化內部審計獨立客觀性，加強財務報告真實可靠性，成為公司治理的一項重要制度。但由于我國公司治理結構的缺陷，審計委員會在我國發展還很不成熟。雖然近年來已經陸續有較多上市公司加入到設置審計委員會的行列，但其在我國上市公司的設置與運行的有效性令人堪憂。審計委員會在我國尚未形成完整的理論體系與規范方法。必須進一步加強公司治理模式的改革，有效提升審計委員會的地位和作用，才能提升內部審計的治理績效。

他猛推了我一把，我又跌倒在地，雙手在地上亂抓，不斷眨著眼，反應遲鈍，動作緩慢，全身發熱。我咳了幾聲，用盡全力，掙扎著站了起來。剎那問，世界在我眼前旋轉起來，真應該好好躺下才是。皮特的重影也繞著我不停地轉著，我成了這個轉動的世界里唯一不轉的物體。就在頭暈眼花之際，不知什么東西打在我的體側，我又險些摔倒。

(二)完善內部審計，提升治理水平

1．全面提高治理水平

良好的治理機制是內部審計發揮作用的基本保證，單純依賴治理環境進行風險導向審計發現問題是不現實的。較差治理環境下的內部審計失敗的可能性較大，特別是風險導向下，若董事會、股東機制不健全，內部審計獨立性、權威性不足，信息披露不透明，就會影響到對風險評價和控制的效果。全面提升公司治理水平，董事會和利益相關者權益起了決定性作用。一方面，必須加強董事會在治理和內部審計上的功效；另一方面，公司的信息披露機制和激勵機制亟待進一步加強，以解決近年來審計失敗和訴訟事件增加的根本矛盾。因此在完善內部審計機制的同時，不斷提升治理水平勢在必行。

2．推進風險導向內部審計理念

2012年開始執行的新審計準則全面體現了風險導向審計的理念。我們應在內部審計實務工作中不斷引入和實踐風險導向審計理念，完善風險導向內部審計準則建設，充分認識到風險評價系統的重要性和必要性。有效識別、評估和應對經營風險和審計風險，進一步增強審計師識別和應對舞弊風險的能力，從而提高審計的效率和效果，最終達到控制風險的目的。

3．完善審計委員會

審計委員會是獨立于管理層的一個監督機構。其和監事會、內部審計部門三者相互協調合作才能有效提升公司治理效率。SOA法案把審計委員會提升為公司必須設立的法定審計監管機構。同時所有上市公司必須出具有關證明，證明其內部審計職能是否得到充分發揮。從圖2可以看出，在完善的內部審計組織結構及報告模式中，審計委員會起著越來越重要的橋梁作用，主要職能表現在監督、復核、溝通和報告。

圖2 內部審計組織結構及報告路線

內部審計部門具有較高的獨立性，使得它能以超然的態度，作為治理層面一種良好的監控手段，站在企業全局的高度對風險進行監控與管理。同時，由于內部審計所處的特殊地位，可以直接向董事會報告，也能加強企業風險管理的有效性。因此，當首席審計執行官直接向總裁和董事會(審計委員會)進行雙重報告時，就能形成較好的治理機制。內部審計的這種雙重報告模式，能充分體現受托責任，能有效提升治理效果。中國證監會和深交所就要求上市公司設立內部審計機構，直接對董事會負責。

5．拓展風險導向內部審計參與公司治理的內容

在經濟環境日益復雜的今日，企業競爭日趨激烈，經營管理也愈發艱難，內部審計迫切需要進入高風險領域，對財務及非財務領域的相關信息、對影響管理水平的風險因素進行深入分析，從而進行評價和控制，防止重大舞弊和資產流失。戰略層面是管理活動中風險極高的領域。從戰略層面進行有效的風險防控，可以在戰略層面向管理者提供內部控制和風險管理的建議，實現審計工作的事前服務職能。從內部審計的發展轉變歷程來看，它從財務審計、經營審計，發展到現代治理型內部審計模式，即伴之以內控評審、風險管理審計、戰略審計、3E審計、舞弊審計等內容并存的模式，這種多元化的發展模式必將成為我國風險導向內部審計未來的發展模式。

良好的治理要求強而有力的監督環境。此需求推動了內部審計向風險導向階段發展，并且逐步豐富其內涵。然而，組織的最終目的是增加價值，如此強有力的監督是否影響企業的激勵機制，是否導致管理者循規蹈矩而削弱其改革創新的能力，內部審計在工作中也面臨如何權衡嚴肅監督機制和促進企業增值兩者間的關系。如何在合法、合理的情況下平衡企業經營活動的“3E”性(即經濟性、效率性和效果性)，有待進一步地探索研究。

[1] 孫雙全.論內部審計在公司治理中的增值效應[J].財會研究，2012(22).

[2] 黃翠竹.中國上市公司內部治理審計研究[D].沈陽:遼寧大學,2010.

[3] 王光遠，瞿曲.公司治理中的內部審計——受托責任視角的內部治理機制觀[J].審計研究，2006(3).

[4] [英] KH.斯賓塞·皮克特,詹尼弗M.皮克特.經理人審計——終極風險管理工具[M].北京:中國時代經濟出版社,2007.

(責任編輯：王蘭鋒)

ResearchonRisk-orientedInternalAuditfromthePerspectiveofCorporateGovernance

CHEN Shen

(AccountingDepartment,FujianJiangxiaCollege,Fuzhou210013,China)

After the 1990’s, fraud case occurred in succession, the stakeholders pay more and more attention to raising awareness of the whole organization operation. Risk-oriented internal auditing for its “risk control” and “control validation” function, through the evaluation of risk and internal control of enterprise governance activities, which becomes one of the “four cornerstone” of the corporate governance and promote the organization to achieve the goal of value. This study seeks to discusing the development of our country’s corporate governance and the fusion of risk-oriented internal auditing, so as to promote the development of our country practice.

corporate governance；risk-oriented；internal audit；research

2014-04-23

福建省教育廳2012年社科項目(JB12323S)

陳 燊(1980—)，女，福建福州人，福建江夏學院會計學院副教授，國際注冊內部審計師(CIA)，國際注冊風險管理確認師(CRMA)，研究方向為內部審計。

F239.45

： A

： 1008—4444(2014)04—0068—04