從風險管理談公司治理與內部審計公司治理從來沒有像現在這樣受到廣泛的關注和重視,人們認識到只有建立一套完整的治理系統,才能徹底解決舞弊、管理不當的問題。在這一系統中,內部審計是必不可少的組成部分。本文從公司治理與內部審計的核心——風險管理的角度出發,研究公司治理與內部審計的整合。
一、風險管理的概念
風險管理是指識別風險並設計控制風險的方法,其核心是將沒有預計到的未來事項的影響控制在最低程度。對風險管理,首先,要求在組織中發現那些高風險暴露的領域,對高風險暴露點的識別要通過對組織的分析進行,這種分析既包括審計人員客觀的測試,也包括主觀的判斷。其次,將分析的結果與認為可接受的風險水平相比較。最後,實施必要的變革,使組織的風險暴露水平與其所設定的目標相一致。風險管理所涉及的範圍是十分廣泛的,包括投資風險管理、外匯風險管理、利率風險管理、商品價格風險管理等。
二、風險管理是公司治理的核心
1、公司治理的概念。公司治理,從狹義的角度進行理解,是指所有者主要是股東對經營者的一種監督與制衡機制。即通過一種制度安排,來合理地配置所有者與經營者之間的權利與責任關係。若從廣義角度進行理解,是指包含法律、文化等在內的有關企業控制權和剩餘索取權分配的一整套制度安排,其決定企業目標的.實現。
從主要功能上來說,公司治理的範圍可以包括:股東、董事會——決策者;管理階層——執行者;審計人員(包括內部審計人員及外部審計人員)——監督者;其他利益關係人(例如:顧客、供應商、債權人及員工等)——影響者等。從這個角度來講,內部審計人員應該在公司治理中佔有一席之地。因為溝通公司治理各功能主體的重要工具就是會計資訊系統。因此,會計資訊系統本身是公司治理結構的組成部分,而且會計資訊更嚴重地制約和影響著公司治理結構中其他制度安排效用的高低。會計資訊系統提供的會計資訊的真實可靠是內外部激勵機制正常執行的前提條件,而有效的審計監督制度是確保這一前提條件實現的關鍵。外部審計對公司財務報表進行審計,並對其公允性發表審計意見,從而起到增強會計資訊可信性的作用。而內部審計處於公司內部,對於公司內部控制、管理經營活動、風險管理都有透徹深入的瞭解,與外部審計人員相比,內部審計對公司治理髮揮的作用在層面上更為深入,在範圍上更為廣泛。
2、公司治理的核心是風險管理。在上述公司治理定義中,我們可以看到,公司治理這一制度安排所決定的企業目標、決策人及風險和收益的分配都圍繞風險展開;風險直接影響目標的實現;而決策人對風險的控制和管理直接決定目標是否能夠實現及實現的程度;治理結構中各部分的人員需要承擔所分配的一定風險並獲得相應的收益。另外,從解釋公司治理問題產生的經濟學觀點來看,無論是契約理論中提及的不完備契約,還是資訊經濟學中提及的資訊不對稱,以及代理理論中提及的代理問題,這些引發公司治理產生的因素究其實質都屬於風險,都是使企業目標無法實現的各種潛在的、可能發生的事件。公司治理是組織應對風險的戰略反應,其職責核心就是確保有效的風險管理方案的適當性,因此公司治理中包含一些戰略性的風險管理的因素。例如:公司董事會所設定的公司經營管理基調是風險偏好型或是風險規避型;再如公司高層管理當局(CEO)在經營風格、理念、管理哲學中包含的風險態度等。這些戰略性風險管理因素就是公司治理與風險管理的交匯點。因此,風險管理是公司治理的核心。
三、內部審計作為內部控制的重要部分,與風險管理密不可分
1、內部控制與風險管理的聯絡日趨緊密。在決定內部控制政策,並在此基礎上評估特定環境中內部控制的構成時,董事會應對諸多風險管理問題進行深入思考。比如:公司面臨風險的性質和程度;公司可承受風險的程度和型別;風險發生的可能性;公司減少事故的能力及對已發生風險的影響;實施特殊風險控制的成本,以及從相關風險管理中獲取的利益。執行風險控制政策是管理層的職責,在履行其職責的過程中,管理層應確認、評價公司所面臨的風險,並執行董事會所設計、執行的內部控制政策。