公司治理從來沒有像現(xiàn)在這樣受到廣泛的關(guān)注和重視，人們認識到只有建立一套完整的治理系統(tǒng)，才能徹底解決舞弊、腐敗和管理不當?shù)膯栴}。在這一系統(tǒng)中，內(nèi)部審計是必不可少的組成部分。本文從公司治理與內(nèi)部審計的核心——風險管理的角度出發(fā)，研究公司治理與內(nèi)部審計的整合。

　　一、風險管理的概念

　　風險管理是指識別風險并設(shè)計控制風險的方法，其核心是將沒有預(yù)計到的未來事項的影響控制在最低程度。對風險管理，首先，要求在組織中發(fā)現(xiàn)那些高風險暴露的領(lǐng)域，對高風險暴露點的識別要通過對組織的分析進行，這種分析既包括審計人員客觀的測試，也包括主觀的判斷。其次，將分析的結(jié)果與認為可接受的風險水平相比較。最后，實施必要的變革，使組織的風險暴露水平與其所設(shè)定的目標相一致。風險管理所涉及的范圍是十分廣泛的，包括投資風險管理、外匯風險管理、利率風險管理、商品價格風險管理等。

　　二、風險管理是公司治理的核心

　　1、公司治理的概念。公司治理，從狹義的角度進行理解，是指所有者主要是股東對經(jīng)營者的一種監(jiān)督與制衡機制。即通過一種制度安排，來合理地配置所有者與經(jīng)營者之間的權(quán)利與責任關(guān)系。若從廣義角度進行理解，是指包含法律、文化等在內(nèi)的有關(guān)企業(yè)控制權(quán)和剩余索取權(quán)分配的一整套制度安排，其決定企業(yè)目標的實現(xiàn)。

　　從主要功能上來說，公司治理的范圍可以包括：股東、董事會——決策者；管理階層——執(zhí)行者；審計人員（包括內(nèi)部審計人員及外部審計人員）——監(jiān)督者；其他利益關(guān)系人（例如：顧客、供應(yīng)商、債權(quán)人及員工等）——影響者等。從這個角度來講，內(nèi)部審計人員應(yīng)該在公司治理中占有一席之地。因為溝通公司治理各功能主體的重要工具就是會計信息系統(tǒng)。因此，會計信息系統(tǒng)本身是公司治理結(jié)構(gòu)的組成部分，而且會計信息更嚴重地制約和影響著公司治理結(jié)構(gòu)中其他制度安排效用的高低。會計信息系統(tǒng)提供的會計信息的真實可靠是內(nèi)外部激勵機制正常運行的前提條件，而有效的審計監(jiān)督制度是確保這一前提條件實現(xiàn)的關(guān)鍵。外部審計對公司財務(wù)報表進行審計，并對其公允性發(fā)表審計意見，從而起到增強會計信息可信性的作用。而內(nèi)部審計處于公司內(nèi)部，對于公司內(nèi)部控制、管理經(jīng)營活動、風險管理都有透徹深入的了解，與外部審計人員相比，內(nèi)部審計對公司治理發(fā)揮的作用在層面上更為深入，在范圍上更為廣泛。

　　2、公司治理的核心是風險管理。在上述公司治理定義中，我們可以看到，公司治理這一制度安排所決定的企業(yè)目標、決策人及風險和收益的分配都圍繞風險展開；風險直接影響目標的實現(xiàn)；而決策人對風險的控制和管理直接決定目標是否能夠?qū)崿F(xiàn)及實現(xiàn)的程度；治理結(jié)構(gòu)中各部分的人員需要承擔所分配的一定風險并獲得相應(yīng)的收益。另外，從解釋公司治理問題產(chǎn)生的經(jīng)濟學觀點來看，無論是契約理論中提及的不完備契約，還是信息經(jīng)濟學中提及的信息不對稱，以及代理理論中提及的代理問題，這些引發(fā)公司治理產(chǎn)生的因素究其實質(zhì)都屬于風險，都是使企業(yè)目標無法實現(xiàn)的各種潛在的、可能發(fā)生的事件。公司治理是組織應(yīng)對風險的戰(zhàn)略反應(yīng)，其職責核心就是確保有效的風險管理方案的適當性，因此公司治理中包含一些戰(zhàn)略性的風險管理的因素。例如：公司董事會所設(shè)定的公司經(jīng)營管理基調(diào)是風險偏好型或是風險規(guī)避型；再如公司高層管理當局（CEO）在經(jīng)營風格、理念、管理哲學中包含的風險態(tài)度等。這些戰(zhàn)略性風險管理因素就是公司治理與風險管理的交匯點。因此，風險管理是公司治理的核心。

　　三、內(nèi)部審計作為內(nèi)部控制的重要部分，與風險管理密不可分

　　1、內(nèi)部控制與風險管理的聯(lián)系日趨緊密。在決定內(nèi)部控制政策，并在此基礎(chǔ)上評估特定環(huán)境中內(nèi)部控制的構(gòu)成時，董事會應(yīng)對諸多風險管理問題進行深入思考。比如：公司面臨風險的性質(zhì)和程度；公司可承受風險的程度和類型；風險發(fā)生的可能性；公司減少事故的能力及對已發(fā)生風險的影響；實施特殊風險控制的成本，以及從相關(guān)風險管理中獲取的利益。執(zhí)行風險控制政策是管理層的職責，在履行其職責的過程中，管理層應(yīng)確認、評價公司所面臨的風險，并執(zhí)行董事會所設(shè)計、運行的內(nèi)部控制政策。

　　2、內(nèi)部審計理論的新發(fā)展。順應(yīng)內(nèi)部審計理論及實務(wù)的變化，國際內(nèi)部審計師協(xié)會（IIA）在1999年對內(nèi)部審計重新定義，即“內(nèi)部審計是用來增加組織價值和改善組織運營的獨立、客觀的保證和咨詢活動。它以系統(tǒng)的、專業(yè)的方法對風險管理、控制及治理過程的有效性進行評價和改善，幫助組織實現(xiàn)其目標。”

　　這一新定義將內(nèi)部審計的范圍延伸到風險管理和公司治理，認為內(nèi)部審計是針對風險管理、控制及治理過程的有效性進行評價和改善所必需的。

　　3、風險管理是內(nèi)部審計的主要職責。隨著風險管理導向內(nèi)部控制時代的來臨，內(nèi)部審計的工作重點也發(fā)生了變化，現(xiàn)代內(nèi)部審計除了關(guān)注傳統(tǒng)的內(nèi)部控制之外，更加關(guān)注有效的風險管理機制和健全的公司治理結(jié)構(gòu)。在風險導向內(nèi)部審計的觀念下，年度審計計劃與公司最高層的風險戰(zhàn)略連接在一起，內(nèi)部審計人員通過對當前的風險分析確保其審計計劃與經(jīng)營計劃相一致，使用風險管理原則改變審核過程。風險管理成為組織中的關(guān)鍵流程，促使內(nèi)部審計的工作重點不僅是測試控制，而且包括確認風險及測試管理風險的方法。在風險導向的內(nèi)部審計中，控制仍然重要，但分析、確認、揭示關(guān)鍵性的經(jīng)營風險，才是內(nèi)部審計的焦點。

　　內(nèi)部審計作為內(nèi)部控制的重要組成部分，其在風險管理中發(fā)揮不可替代的獨特作用，主要有以下幾方面：（1）能夠客觀地、從全局的角度管理風險。風險在企業(yè)內(nèi)部具有感染性、傳遞性、不對稱性等特征，即一個部門造成的風險或疏于風險管理所帶來的后果往往不是由其直接承擔，而會傳遞到其他部門，最終可能使整個企業(yè)陷入困境。因此對風險的認識、防范和控制需要從全局考慮，而各業(yè)務(wù)部門又很難做到這一點。內(nèi)部審計人員不從事具體業(yè)務(wù)活動，獨立于業(yè)務(wù)管理部門，這使得他們可以從全局出發(fā)、從客觀的角度對風險進行識別，及時建議管理部門采取措施控制風險。（2）控制、指導企業(yè)的風險策略。由于內(nèi)部審計部門處于企業(yè)的董事會、總經(jīng)理與各職能部門之間，內(nèi)部審計人員能夠充當企業(yè)長期風險策略與各種決策的協(xié)調(diào)人。通過對長期計劃與短期計劃的調(diào)節(jié)，內(nèi)部審計人員可以調(diào)控、指導企業(yè)的風險管理策略。（3）內(nèi)部審計部門的建議更易引起重視。內(nèi)部審計部門獨立于管理部門，其風險評估的意見可以直接上報給董事會，這會加強管理當局對內(nèi)部審計部門意見的重視程度。

　　四、在風險管理目標下，公司治理與內(nèi)部審計的整合

　　美國一個專門研究內(nèi)部控制的發(fā)起人企業(yè)委員會（COSO）于2001年起著手進行企業(yè)風險管理研究，并力圖建立一個類似于內(nèi)部控制框架的、具有理論與實踐意義的風險管理框架，其在為企業(yè)風險管理研究項目制定的目標中明確指出：風險管理框架必須和內(nèi)部控制框架相協(xié)調(diào)，把控制目標的建立嵌入到某種形式的風險管理過程中去。而在內(nèi)部控制方面，將領(lǐng)域擴展到控制環(huán)境等“軟控制”要素上時，就決定了公司治理與內(nèi)部控制的相互交匯。在COSO報告的內(nèi)部控制定義中，特別提出“內(nèi)部控制過程受組織的董事會、管理層和其他人員影響”，由此可見“軟控制”因素對組織內(nèi)部控制的影響是深遠的。而內(nèi)部控制對公司治理的影響也是巨大的。內(nèi)部控制為組織的經(jīng)營目標、財務(wù)目標及遵循性目標的實現(xiàn)提供合理保證，同樣為公司治理機制的運行提供了保障。良好的內(nèi)部控制有助于完善契約，減輕信息不對稱的影響，并對代理人形成一定的控制約束，因此從一定程度上說，內(nèi)部控制與公司治理的相關(guān)內(nèi)容可以整合一致。而作為內(nèi)部控制重要組成部分的內(nèi)部審計，也不可避免地在風險管理的基礎(chǔ)上，與公司治理的目標交匯。

　　在新的內(nèi)部審計范式下，內(nèi)部審計參與到公司治理與風險管理中，幫助組織發(fā)現(xiàn)并評價重要的風險因素，促進組織改進風險管理體系；評價并改進組織的治理程序，為組織的治理做貢獻；同時繼續(xù)原有的對控制效率和效果的評價作用，幫助組織保持有效的控制。此時的內(nèi)部審計人員是風險專家，通過對風險的把握來評價公司治理及內(nèi)部控制，并促進公司治理和內(nèi)部控制的改善，從而實現(xiàn)對風險的掌握與駕馭。在風險管理這一統(tǒng)一的核心下，公司治理與內(nèi)部控制實現(xiàn)了一定程度的整合，為組織增加了價值；同樣，在風險管理這一統(tǒng)一的核心下，內(nèi)部審計與公司治理實現(xiàn)了整合。在公司治理中，內(nèi)部審計發(fā)揮著越來越重要的作用。

　　鑒于內(nèi)部審計在確保公司內(nèi)部控制制度有效運轉(zhuǎn)及管理和控制風險等方面的獨特作用，

　　紐約證券交易所于2002年8月1日明確規(guī)定所有上市公司必須設(shè)置和保持有效的內(nèi)審機構(gòu)，否則不得上市或?qū)⒚媾R退市。內(nèi)部審計師已被看作是與董事會、高級管理層、外部審計師構(gòu)成有效公司治理的四大基石之一。內(nèi)部審計師擁有的風險管理、內(nèi)部控制的知識與技能，能幫助公司治理實現(xiàn)其核心目標：控制風險以促進組織目標實現(xiàn)。因此，在公司治理中，內(nèi)部審計是組織內(nèi)部不容忽視的一支力量。

　　目前，我國內(nèi)部審計一般尚未與公司治理相結(jié)合，成為公司治理的有機部分，對風險管理也不夠關(guān)注。為此，要逐步完善企業(yè)法人治理結(jié)構(gòu)，明確企業(yè)外部和內(nèi)部的委托代理關(guān)系，培養(yǎng)管理者的競爭意識和風險意識，形成內(nèi)部審計的需求市場，為內(nèi)部審計的發(fā)展創(chuàng)造良好的環(huán)境。同時，要順應(yīng)內(nèi)部審計科學發(fā)展的客觀規(guī)律，在實踐中有意識地推動風險導向內(nèi)部審計的發(fā)展。從強調(diào)確認和測試控制的完整性，逐步轉(zhuǎn)向強調(diào)確認和測試風險是否得到有效管理；從傳統(tǒng)的強調(diào)關(guān)注風險因素，逐步轉(zhuǎn)向關(guān)注前景規(guī)劃。內(nèi)部審計的建議應(yīng)不再僅是強化控制、提高控制效率和效果，而應(yīng)該包括規(guī)避風險、轉(zhuǎn)移風險和控制風險，通過風險管理的有效化，評價并改進組織的治理程序，提高公司整體的管理效率和效果。