內部審計在公司風險治理中的作用

　　【摘要】 文章根據美國COSO委員會《企業風險治理框架》的要求，結合實際，闡述風險治理體系及風險治理要素，指出內部審計在公司風險治理中的作用，以促進公司發展目標的實現。
　　【關鍵詞】 風險； 內部審計； 風險治理
　　
　　我國改革開放的不斷深入，給公司的發展帶來了更多的機遇與挑戰，如何在市場的大潮中抓住機遇，規避風險，成為公司面臨的重要難題。內部審計作為公司治理的三大基石之一，有效防范風險，為保障公司的安全經營和促進公司的健康發展，發揮著越來越重要的作用。
　　
　　一、風險的概念
　　
　　風險是反映客觀事物本質屬性的思維形態，是科學研究的成果。風險是對企業目標實現產生影響的事項發生的不確定性，風險和機遇并存，是一個全面的概念。風險不僅包括負面的不確定性，還包括正面效應的不確定性。負面效應專指危險，是損失發生及其程度的不確定性。對于危險需要識別、衡量、防范和控制，即對危險進行管理。正面的效應是指機會，對于機會，需要識別、衡量、選擇和獲取。因此，要以積極的態度對待企業風險。企業的風險不僅是可以規避的，而且是可以選擇和利用的。
　　風險由三要素構成，即風險因素、風險事故和風險損失。風險因素，是對所有可能導致風險發生的各種因素的總稱。根據其性質，風險因素一般分為物質風險因素、道德風險因素和心里風險因素。風險事故，是指各種風險因素作用下發生的不利風險事件，可能引起傷亡或財產損失的偶發事件，既是造成風險損失的直接原因，又是直接由風險因素導致的后果。風險損失，是指風險事故一旦發生所造成的損失，一般是指由于自然災害或意外事故而造成的。
　　由于風險影響著企業的生存能力和競爭能力；影響著企業維持自己財務方面的穩固、正面的公共形象；影響著企業的產品、服務及員工的整體品質，因此，對企業進行風險管理可以積極預防和控制風險，能夠在一定程度上消除和減少風險發生對社會資源的浪費，從而提高社會資源的利用效率；能夠在一定程度上消除和減少風險發生給社會經濟帶來的災害及由此引發的不良后果，有助于社會經濟的穩定發展；能夠在一定程度上消除和減少對風險的焦慮，增加安全感，從而提高生活質量。從全社會的角度看，全面風險管理的意義有助于維護社會安定團結，構建和諧社會。
　　
　　二、公司目標的實現與風險治理的關系
　　
　　每個組織的存在都有其目標，公司作為組織的一種形式，也同樣有其目標。國家電網公司的發展目標是建立“一強三優”現代公司。在公司實現目標的過程中，存在著影響目標實現的不確定性因素，這種不確定性，就是風險。風險是與機遇共存的。公司治理層的一項重要職責就是在抓住機遇的同時，建立一個良好的風險治理體系，來識別、評價和控制風險，為公司目標的實現提供合理的保證。內部審計在風險治理中的作用就是監控、檢查、評估、報告公司治理層風險治理過程的充分性和有效性，提出改進意見，幫助公司改進風險治理與控制體系，從而為公司增加價值。在現代內部審計實務中，從項目計劃到現場實施以致評價總結，都是圍繞著公司目標實現的風險控制這一主題開展的。
　　
　　三、開展風險管理的要素
　　
　　在公司風險治理體系中，要對風險治理過程的充分性和有效性進行評價。根據美國COSO委員會《企業風險治理框架》的要求，建立風險治理體系包括相互關聯的八個風險治理要素，這八個要素貫穿在公司風險治理的全過程中，為實現公司目標提供保證。這八個要素分別是：內控環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監控。
　　（一）內控環境
　　內部環境主要是指在公司管理等活動中樹立風險治理理念，營造一種風險治理文化氛圍，為其他風險治理要素打下基礎。在公司的整個組織體系中，包括各環節和部門樹立風險治理的理念，使風險管理理念貫穿到每一個員工和崗位，在公司上下營造出風險管理的文化氛圍十分重要。在風險管理中，風險管理不是某一個人或部門的事情，而是公司全體員工的事情，只有將風險管理的理念深入到公司全體員工中，為風險管理創造良好的環境，風險管理工作才能開展好。風險管理的內控環境是基礎，沒有一個良好的內控環境，風險管理將無從談起。
　　（二）目標制定
　　作為公司風險治理體系的第二個要素是目標制定，即公司的管理當局在風險管理體系中必須首先確定公司的目標，只有確定了公司的目標，在圍繞公司目標的實現下，再確定對公司目標的實現有潛在影響的事項。不同的公司有不同的目標追求，電力公司的目標是創建“一強三優”現代公司，圍繞這一目標的實現，國家電網公司下屬各公司要根據各自的不同情況，確定所需完成的任務，在預定的期限內，在公司內部層層分解和落實。近年來，山西電力公司內部開展了一系列的內部管理活動，這些活動都是圍繞國網公司創建“一強三優”現代公司的總體目標，結合山西公司的實際情況而開展的風險治理活動。
　　（三）事項識別
　　在公司的日常經營活動中一些事項會對公司帶來風險，這些事項主要有：財務和經營信息的可靠性和完整性；經營的效果和效率；資產的保護；遵循法律、法規及合同的情況；其他事項等。這些事項都需要公司的管理者對其進行識別、評估和反應，其識別、評估和反應就是對風險的識別。識別風險因素之所以重要，不僅在于有利于從風險產生的根源入手識別出企業所面臨的風險，更重要的是一旦確定了主要風險因素，有利于抓住主要矛盾，有利于企業管理重要風險。
　　（四）風險評估
　　對風險事項識別后要進行風險評估，風險評估可以使管理者了解潛在事項如何影響公司目標的實現。對風險評估要從兩個方面進行，即風險發生的可能性和風險發生的后果。風險發生的可能性是指風險事項發生的概率，即多大程度的風險事項可能成為事實，一定會出現的事情不能稱為風險。風險發生的后果是指風險發生后所造成的影響。在風險評估中，風險發生的可能性和風險發生的后果要綜合考慮，對于風險的評估要從公司戰略和目標的角度進行。開展風險評估，應當準確識別實現與控制目標相關的內部風險和外部風險，確定相應的風險承受度。企業應當采用定性與定量相結合的方法，按照風險發生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優先控制的風險。
　　（五）風險反應
　　風險反應是對風險的應對措施，可以分為規避風險、減少風險、共擔風險和接受風險四種。對于每一個重要的風險，公司都應考慮所有的風險反應方案。有效的風險治理要求管理者選擇可以使公司風險發生的可能性和影響都在風險容忍度之內的風險反應方案。規避風險是公司的管理者或公司認為不能承擔風險所帶來的后果而采取措施進行規避；減少風險是指采取措施將風險發生的可能性和后果降低；共擔風險是尋找公司外部合作人共同面對以承擔風險發生的后果；接受風險是指獨立承擔風險發生的后果。由于風險和利益是共存的，在面對風險時采取怎樣的風險反應，是根據公司決策者的風險偏好和公司實際能力而確定的。
　　（六）控制活動
　　控制活動是指公司管理層在確定風險反應方式后，為保證風險反應方案得到正確執行而進行的管理活動，這些管理活動包括相關政策和程序。在日常管理工作中遵循的法律法規、規章制度、制定的業務流程，均為風險管理中的控制活動，其目的就是保證公司高層所決定的風險反應而采取的風險應對措施能有效執行。這些管理活動存在于公司的各個層面和各個部門。
　　（七）信息和溝通
　　風險是變動的，這就決定風險治理也是隨時變化的，需要在風險治理體系中，對風險治理的相關信息進行確認、捕捉和傳遞，以隨時了解公司面對的風險的變化。信息和溝通在公司風險治理中占有十分重要的地位，沒有有效的信息歸集處理和充分的溝通，就會使公司的風險治理僵化而沒有活力，會造成公司陷于莫大的風險當中。
　　
　　（八）監控
　　風險治理中的另一個要素是監控。通過持續有效的監控，用以保證風險治理在公司內務治理層面和各部門持續得到執行。監控用于評價公司風險治理活動中風險反應方案是否得到有效執行，同時還可測試風險反應方案是否完善有效，以及發現新的風險。監控應定期和全面，定期是指在持續的公司風險監控中，對某一環節或業務要定期監控；全面是指在公司風險管理環節中，對重要風險管理進行全面監督。在監督中，對所評價的方面要有評價結果。
　　
　　四、內部審計在風險治理中的作用
　　
　　從風險治理的八個要素可以看出，風險治理也就是風險管理的過程，是為有效實現公司目標，降低風險而開展的管理活動。內部審計的定義是：內部審計是一種獨立、客觀的保證與咨詢活動，旨在增加價值和改善組織運營。它通過應用系統的、規范的方法，評價和改善風險管理、控制及治理程序的效果，幫助組織實現其目標。所以在風險治理中，內部審計發揮著重要的作用。
　　管理活動分為四個主要環節，分別為：確立目標、建立制度、監督評價和改進。在確立目標環節，要制定切實可行的目標，目標不能期望過高，也不能太低。目標確立太高，難以實現；太低浪費公司資源，不能取得合理收益。在建立制度環節要從簡高效，注重風險控制。繁瑣的內部控制制度影響了公司運作效率，造成不必要的浪費，太簡將會帶來較大風險。在有效的公司管理中，要輔以公司文化、道德規范和違規成本等措施來約束管理行為。在監督評價環節，要開展全面有效的監督與評價工作，來監督簡約的管理制度有效執行，確保目標的實現。在改進環節要充分重視監督評價的結果，對管理制度乃至目標進行調整，以使公司利益最大化。在這四個管理環節中，內部審計均發揮著十分重要的作用。
　　（一）對風險治理的充分性和有效性進行評價
　　在風險治理中，風險治理的充分性和有效性是十分重要的。首先對公司面臨的風險要有充分的認識，才能夠進行風險的應對。風險識別貫穿在風險治理的全過程，從目標制定開始到監控，風險治理的每個環節都要充分地識別風險。風險的識別由審計部門和業務部門從內部控制的角度出發共同來進行。審計部門并不直接對業務部門去識別風險，建立風險模型，而是以內部審計的專業方法和手段，從內部控制的角度出發，全面檢視業務部門的業務流程，協助或者評價業務部門建立風險模型，制定風險反應方案。風險治理模型確定后，內部審計部門要對風險治理的有效性進行評價，以確定風險反應方案是否能夠被實際操作，風險反應方案是否被嚴格執行，這是風險治理的一個重要環節。在實際操作中，主要從以下幾個方面進行評價：
　　1.評價公司戰略目標的制定是否科學合理，符合公司的實際；2.評價部門分解目標能否支持整體目標的實現；3.評價治理層對風險的識別和評估是否準確；4.評價風險反應方案是否完善，能否將風險發生的可能性和影響都控制在風險容忍度之內；5.風險監控是否持續有效。
　　（二）提供咨詢服務
　　在公司風險治理中，內部審計部門承擔的一個主要職責是提供咨詢服務。一是要在公司各個層面樹立風險意識，使公司的每一個員工都建立起風險的概念。二是對全體員工進行風險識別的培訓，使每名員工能夠有效識別風險并提出有效控制措施。三是召開風險評估和控制專題討論會，對公司面臨的重大風險進行專題研討，在討論會上要召集公司內外部的專家共同進行研討。四是開發自我評估工具，對風險治理進行深入研究，利用現代技術開發適合本公司的評估工具。
　　（三）發揮協調作用
　　在公司風險治理中，內部審計部門要發揮協調作用。風險治理除了要對本單位、本部門存在的風險進行治理外，同時還要圍繞公司整體目標開展治理。在公司風險治理中，某項時間可能不會對本部門本單位帶來風險，但可能會對公司其他部門帶來風險，這期間內部審計部門就要起到協調的作用，站在公司整體的角度，協調各部門共同管理，以防范由于錯誤決策帶來風險。
　　（四）監督評價與改進
　　在公司風險治理中，風險是否發生變化、有沒有新的風險出現、風險反應方案是否被嚴格執行、風險反應方案是否需要修正，這需要內部審計部門在例行的監督評價過程中加以確認，并報告給公司高層管理部門和相關部門，決定是否加以改進。在監督中內部審計部門要按照有關的原則進行。
　　1.根據風險評估結果和公司高層關注重點，按照風險評估大小和公司高層關注度確定審計計劃。2.審計內容要包括風險的變化度、風險反應方案執行結果和需改進的建議。3.定期開展風險評估，審計對象要全面，要覆蓋到公司風險管理的全方位。
　　總之，隨著全球一體化經濟的不斷發展，市場競爭越來越復雜而多變，在實現創建“一強三優”現代公司的總體目標下，為有效地降低公司風險，內部審計在公司風險治理過程中發揮著重要的作用。●