公司治理框架下的风险治理导向内部审计研究(一)

详细内容

　[摘要]风险为广义公司治理所关注的核心因素，而内部审计作为公司治理的重要组成部分，两者基于风险管理目标的整合是内部审计发展的必由之路。本文基于传统内部审计的缺陷，将风险治理导向内部审计纳入公司治理的框架之下，并提出发展风险治理导向内部审计的若干途径。
　　[关键词]公司治理； 风险治理； 内部审计
　　
　　近年来，世界范围内发生了一系列会计丑闻，反映出当前的公司治理模式存在着诸多问题。虽然各个国家都出台了相应的解决方法，但成效不明显。内部审计目标服从并服务于公司治理目标，两者的共同作用形式可归结为企业风险管理，它们基于风险管理目标的整合使得公司治理框架下的内部审计在风险预测、风险防范、风险评估等方面能有所把握，并能对风险控制提出意见及建议。对企业总目标的实现起到一定的推动作用。内部审计有必要围绕公司治理目标开展工作。把工作领域从查错防弊和内部控制监督等拓展到公司治理的风险预防和风险控制问题上。本文从公司治理和内部审计基于风险这一视角出发，探讨公司治理框架下的风险治理导向内部审计。
　　
　　一、内部审计和公司治理的关系
　　
　　国际内部审计师协会(IIA)在1999年定义内部审计为“内部审计师用来增加组织价值和改善组织运营的独立的、客观的保证和咨询活动。它以系统的、专业的方法和对风险管理、控制及治理过程的有效性进行评价和改善，帮助组织实现其目标”。2002年4月IIA在对美国国会关于《Sarbanes-Oxley Act》的意见陈述书中提出。内部审计、外部审计、董事会以及高层管理人员是有效公司治理的四大基石。这是国际上第一次正式将内部审计与外部审计一起提上了公司治理的有效高度，将两者看作是公司治理问题中必不可少的组成部分。有关内部审计和公司治理的关系，学术界作了许多有益的探索。内部审计是组织治理的重要组成部分。是增加价值、改善经营的一种保证和咨询机制(Carman Rossiter，2007)。内部审计作为实现内部控制的关键因素。是公司治理结构的有机组成部分(陈艳利、刘英明，2004)。有学者指出，内部审计的完善要求改变传统审计工作的思路，拓宽审计领域，从而使其与公司治理全面融合(田伦、万全。2007)。我国的公司管理层过多地关注内部审计的职能范围和技术方法的发展变化，而忽视内部审计在公司治理中的地位和作用，导致其独立性、客观性及权威性得不到应有的保证(窦亚芹，2007)。内部审计与公司治理相互作用。它们的内在一致性和形成的内在动力将促进公司的健康可持续发展。内部审计的发展离不开公司治理的推动，公司治理结构的优化也离不开有效的内部审计作为保障(任静，2007；周晓瑁，2007)。内部审计应评估公司的治理过程，并提出适当的改善建议(胡敏，2006)。
　　综上所述。内部审计是公司治理的一部分，是公司管理当局基于公司治理而设置的治理机制之一，通过其特有的评价和咨询活动最终协助管理当局实现企业目标。公司治理并非抽象的目标，而是通过提供一个框架为公司目标服务，这与内部审计的最终目标相一致。目前，在我国上市公司治理框架中，董事会或股东大会必须确保一个有效的监控体系，做到保护公司资产安全。处理面临的主要风险，在行使这些职能时，董事会或股东大会就要依靠管理层的建议和报告以及内部审计。所以，内部审计在企业的治理过程中不可或缺，内部审计是公司治理结构的重要组成部分。
　　
　　二、内部审计和公司治理基于风险警理目标的整合
　　
　　IIA多年来一直积极倡导内部审计参与风险管理，认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。有效的风险管理框架可以提升组织的内部审计绩效。公司治理既是现代企业制度建设的要求，也是企业应对经营风险的战略反应，内部审计关注的重点转向了风险，其定义也增加了风险管理与公司治理的内容(宋秋玲，2004)。所以，内部审计参与风险管理不仅为内部审计自身的发展提供了契机，而且内部控制、公司治理基于风险管理平台的整合将有助于提高治理效率和效果，在预防和控制风险的过程中促成组织目标的实现。
　　
　　(一)传统内部审计的主要缺陷
　　我国上市公司的公司治理和内部审计没能有效地结合起来为公司总目标服务，还存在很多认识偏差和实际运作的误区。首先，割裂了内部审计与公司治理的关系。许多公司依然把查错防弊当作内部审计的主要职能，未对公司治理方面的控制、评价和分析提出有效性建议。内部审计人员和公司管理人员各司其职。缺少沟通，管理层人员难以识别风险信息，公司治理的过程往往隐含着巨大的风险。其次，内部审计的实施缺乏独立性。大多数企业将内部审计归属于财务部门、审计委员会或监事会，内部审计的独立性严重缺乏，对企业的风险监管和控制也就发挥不了相应的作用。现代内部审计的主要职责得不到体现。最后，重外部审计，轻内部审计。内部审计作为公司治理的一部分，两者的目标是一致的。外部审计的目标和公司治理的目标却不尽一致，主要是两者所服务的利益主体有时会不相同。此外，外部审计部门或监管机构也不能全面提供对公司内部控制状况、审计风险、监管风险以及决策风险等的评估信息，即使提供了也是从公司内部治理的角度来考虑的信息，而这些都是在内部审计的业务范围之内。
　　
　　(二)内部审计和公司治理基于风险管理目标的整合
　　未来的内部审计不能仅仅局限于简单的“查错防弊”等审计目标，应该作为公司治理的一部分，为企业目标的实现打好基础，这就需要对内部审计基于公司治理和风险管理两个维度进行重构。随着现代企业的飞速发展。公司治理所涵盖的内容都有增多的趋势，风险的边界和范围也在不断拓展和加深。作为公司治理的重要组成部分的内部审计的范围也需要扩大和加强。IIA的一项调查研究表明，内部审计构筑在组织风险的基础上，并在组织治理和风险管理两个方面拓展其职业领域。鉴于公司治理过程中风险的存在，现代企业的内部审计必须围绕风险监管为公司治理服务，从而为实现公司总目标服务。所以从涵盖范围上内部审计不仅要从以前简单的事后审计逐步向事前、事中审计方向发展，而且更多地还要从财务数值审计向更高层次的参谋助手方向发展，以及从财务报表为中心的财务收支审计、内部控制的审计向风险治理导向审计发展。内部审计不仅要渗透到公司治理的各个方面，而且还要依据“风险治理导向”的要求对某一个或者一系列项目进行详细审计。在适当情况下，内部审计部门应与公司管理层审计委员会或董事会就风险管理实务中的薄弱环节进行讨论。在该过程中管理层负责对重大风险采取针对性行动，内部审计部门负责评价这些活动，并对此提出风险管理意见。公司治理活动在内部审计的协助下规避不利的风险问题，这是现代企业公司治理过程中内部审计所需要的最重要的转变。这样以风险管理为中心，内部审计和公司治理就实现了对接和整合。