摘要：该文从公司治理和内部审计的核心——风险管理的角度出发，探讨内部审计在公司治理中的作用及实践。



关键词：风险管理；公司治理；内部审计



2006年7月15日起，所有在美国上市的外国企业必须执行《上市公司会计改革与投资者保护法案》(亦称作《萨班斯－奥克斯利法案》)。该法案在会计职业监管、公司治理等方面作出了许多新的规定，要求公司管理层必须对与财务年报相关的内部控制系统进行评价与报告。纽约证券交易所已经规定每一家上市公司必须设置内部审计功能。显而易见，公司只有建立一个完整的治理系统，才能彻底解决舞弊、腐败和管理不当的问题。内部审计是这一治理系统中的重要一环。本文试从风险管理的角度出发，探讨内部审计在公司治理中的作用。



一、 公司治理的核心是风险管理



公司治理，从狭义的角度理解，是指企业所有者对经营者的一种监督与制衡机制，即通过一种制度设计，合理配置所有者与经营者之间的权利与义务。从组织机构的设置上看，公司治理的范围包括：股东会、董事会、监事会、经营层、作业层。对内部审计机构应该设在董事会下还是设在监事会下进行讨论的文章很多，从众多公司的实际情况看，内部审计机构对监事会负责更能体现其独立性与客观性。



风险直接影响企业目标的实现，而决策层对风险的控制和管理直接决定目标是否能够实现及实现的程度，治理结构中各部分人员需要承担所分配的一定风险并取得相应的利益。公司治理是组织应对风险的战略反应，其职责核心就是确保有效的风险管理方案的适当性，因此公司治理过程中包含一些战略性的风险管理因素，如董事会设定的公司经营管理基调是风险偏好型还是风险规避型，高层管理当局在经营风格、理念中包含的风险态度等，这些战略性风险管理因素就是公司治理与风险管理的交叉点。所以说，风险管理是公司治理的核心。



二、 风险导向内部审计是内部审计的发展方向



长期以来，制度基础审计是内部审计工作的基点。随着风险导向内部控制时代的来临，内部审计的工作重点也随之发生了变化。现代内部审计除了关注传统的内部控制之外，更关注有效的风险管理机制和健全的公司治理结构。在风险导向内部审计观念下，年度审计计划依据公司最高层的风险战略制订，内部审计人员通过风险分析确保审计计划与经营计划相一致，使用风险管理原则改变审计实施过程。风险管理导向促使内部审计的工作重点不再是测试控制，而是确认风险及确认风险的方法。在风险导向内部审计中，评估内部控制依然重要，但分析、确认、揭示关键性的经营风险，更是内部审计的重点。

目前我国大部分企业的内部审计尚未与公司治理有机结合，管理审计尚未广泛开展。为顺应时发表展的要求，应在实践中有意识地推动内向性管理审计，从强调确认和测试控制的完整性，逐步转向强调确认和测试企业风险是否得到有效管理。内部审计的建议不再仅是强化控制、提高控制效率和效果，应该转向规避风险、转移风险和控制风险，通过风险管理的有效化，提高企业整体管理效率和效果。



三、内部审计在风险管理中的作用



1、公司尚未建立风险管理机制，内部审计应积极向管理层建议建立风险管理制度，提请管理层注意这种情况，并同时提出建立风险管理过程的相关建议。审计人员只有通过周密详细的审前调查，收集到大量的第一手资料，从中发现存在风险的隐患问题，进行风险分析，才能根据重要性和成本效益原则制定出全面而且符合实际的审计工作计划。管理层如果采纳了内审人员的建议，那么来源于综合性风险管理过程的信息，则更有助于内部审计人员更快地制定审计工作计划，提高工作效率。因此，内部审计人员可以促进风险管理过程的建立或使风险管理过程的建立成为可能。



2、内部审计可以通过咨询服务的方式，积极协助公司风险管理过程的建立。风险管理是一个复杂的系统工程，在一个组织内部应当明确职责分工，各司其职。董事会负责制定战略目标，高层领导各负责一个方面的风险管理责任，其他管理人员由管理层分配给一部分工作，作业人员负责日常监控，而内部审计人员则负责定期评价和保证工作。如果管理层提出建立风险管理系统的要求，内部审计部门可以协助，但不能超出正常的保证和咨询范围，以免损害独立性。需要指出的是，内部审计师可以促进、协助风险管理过程的建立，但不对风险管理的负责。



3、内部审计通过将风险管理评价作为审计工作的重点，以检查、评价风险管理过程的充分性和有效性，主要应从以下两个方面进行评估：



（1）评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业的发展情况和趋势，确定是否可能存在影响企业发展的风险；检查公司的经营战略，了解公司能够接受的风险水平；与相关管理层讨论部门的目标、存在的风险，以及管理层采取的降低风险的措施和加强控制的活动，并评价其有效性；评价风险监控报告制度是否恰当；评价风险管理结果报告的充分性和及时性；评价管理层对风险的分析是否全面，为防止风险而采取的措施是否完善，建议是否有效；对管理层的自我评估进行实地观察、直接测试，检查自我评估所依据的信息是否准确，以及其他审计技术；评估与风险管理有关的管理薄弱环节，并与管理层、董事会、审计委员会讨论。如果他们接受的风险水平与公司风险管理战略不一致，应进行报告。



（2）评价管理层选择的风险管理方式的适当性。由于各个公司的文化氛围、管理理念和工作目标不同，风险管理的实施也有很大差别。每个公司应根据自身活动来设计风险管理过程。一般说来，规模大的、在市场筹资的公司必须用正式的定量风险管理方法；规模小的、业务不太复杂的，则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。



4、内部审计应积极支持并参与风险管理过程，对风险管理过程进行管理和协调。在现代企业制度下，公司全面建立了风险管理过程，内部审计因此能够担负起风险管理的职能。首先，内部审计从评价各部门的内部控制制度入手，在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞，识别并防范风险，做出相关评价。其次，内部审计可以深入到企业管理的极细微的环节上查找问题，分析其合理性。内部审计人员更多的是以风险发生可能性大小为依据，深入到经营管理的各个过程，查找并防范风险。再次，内部审计在部门风险管理中还起着协调作用，不仅各部门有内部风险，而且各管理部门还有共同承担的综合风险，内部审计人员作为独立的第三方，协调各部门共同管理企业，以防范宏观决策带来的风险。



四、风险导向审计在内部审计实践中的具体应用



现在以至将来，风险管理都是内部审计的重要组成内容，内部审计人员要开发技能，理解风险，随后评价风险，以作为整个审计活动的组成部分。



1、依据风险评估机制，制订审计计划。在编制年度审计计划、确定审计项目和审计频率时，要对企业面临的经营风险进行全面评估，以确定主要经营风险因素。风险因素是指用于对企业产生不利影响的情况或事项的重要性、可能性进行判断的标准。在确定审计工作周期时，风险因素主要包括金额的重要性、资产的变现能力或流动性、机构人员的稳定性、执行审计工作的复杂性、企业政策的稳定性、控制环境。



2、依据风险评估结果，确定审计重点。在编制审计工作方案时，要根据风险评估的结果确定审计的重点内容，并将风险评估的过程及结果形成文字记录。在确定审计重点时，风险因素主要包括指标执行效果如何、企业内部机构设置及人员分工是否明确、企业内部控制制度是否健全有效、授权是否明确、资产控制是否安全等。通过项目内容评估所确定的审计重点，作为审计执行过程编写审计工作方案、开展外勤审计工作的重要依据。在当前形势下,内部审计应着重关注企业所面临的检查风险、经营风险、涉税风险、内控缺失风险。



3、依据审计事项，提出风险管理的审计建议。审计建议要从内部控制的健全有效性逐步转变为对企业存在风险、规避风险、风险管理的建议，切实提高内部审计为企业服务的水平，真正做到为企业提供增值服务。



参考文献：

[1]陈锦烽，苏淑美.内部审计新纪元［M］.大连：大连出版社，2006.

[2]罗伯特·莫勒尔.布林克现代内部审计学［M］.北京：中国时代出版社，2006.