陈 燊

(福建江夏学院 会计学院，福建 福州 210013)

公司治理视角下的风险导向内部审计研究

陈 燊

(福建江夏学院 会计学院，福建 福州 210013)

20世纪90年代后，舞弊案件陆续发生，利益相关者越来越重视了解整个组织运行的窗口。风险导向内部审计以其“风险监控”和“控制确认”职能，通过评价企业治理活动中的风险和内部控制，成为公司治理的“四大基石”之一，促进了组织增值目标的实现。对我国公司治理与风险导向内部审计的融合与发展进行探讨，以期对推动我国实务发展有所帮助。

公司治理； 风险导向； 内部审计； 研究

一、公司治理与风险导向内部审计紧密相连

(一)良好的治理环境激发对内部审计的需求

20世纪90年代后，亚洲金融危机爆发，随后一系列舞弊案件陆续发生，直至安然、世通的重大舞弊事件，进一步凸显了公司治理的重要性。而2007年以来的全球经济危机引发了学术界和理论界对危机根源的关注。再次引发了对公司治理机制重要性的认识，引发了对企业战略管理和风险控制的关注。风险成为企业在治理过程中制定战略、科学决策时务必考虑的重要因素。公司治理研究的热点逐步演变为治理机制的质量问题。

良好的治理环境需要有效的内部控制和风险监控。如果一个组织内部控制失败，就会大大影响组织目标的实现，影响组织价值增值。而组织中利益相关者无法亲自监督企业运营，激发了对受托责任的需求。治理的相关利益者寻求把内部审计作为受托责任的有效主体，履行对企业内部控制和风险的监督作用。内部审计被提升到公司治理的高度，为董事会和管理层的管理活动提供服务。

(二)公司治理与风险导向内部审计的融合

不断增加的风险因素成为连结公司治理与内部审计的桥梁。20世纪末，在公司治理的广义概念中，风险成为公司治理必须考虑的重要因素。在风险力量的推动下，SOA发布后，董事会、高级管理层、内部审计和外部审计四者密切相关，成为治理的四大基础。其中内部审计在协调发展其他三个主体关系中发挥着重要的作用[1]。2004年COSO委员会正式发布了企业风险管理框架ERM。内部审计在ERM框架下，发展到风险导向阶段，提升到参与企业战略管理的分析评价。它与公司治理通过内部控制、风险、道德遵循等一致因素形成有机整合。内部审计成为利益相关者极具价值的资源，促进改善公司治理以实现组织目标。在21世纪，公司治理、风险管理、内部控制成为国际、国内理论研究和实务研究的重点，不断涌现具有影响力的标准与研究报告。

二、风险导向内部审计的治理功能

(一)确保受托责任履行

内部审计随着受托责任的延伸，得到了不断的发展变化。SOA明确要求上市公司应当成立内部审计机构，同时建立内部审计制度，以寻求将内部审计与公司治理相结合。IIA则要求董事会的公开报告中必须提交公司治理和内部控制情况。风险导向内部审计的六大治理功能见图1。

图1 风险导向内部审计的治理功能

(二)风险评估与控制确认

公司治理的核心工作在于风险管理。风险导向内部审计通过评价被审计领域的现有风险，向管理层和审计委员会报告评估结果；制定整个组织风险的计划，领导风险管理活动；利用风险自我评估技术推进风险评价；评价与IT发展状况相联系的风险，如果风险超出可接受水平就终止该项目；协助管理层推行贯穿整个组织的风险模型。控制确认要求在职能范围内测试控制的遵循性，向管理层和审计委员会报告结果；协助管理层设计综合的评价方法；协助编制内部控制有效性的报告；识别重大控制缺陷，并向审计委员会报告；推行计算机测试技术；通过控制自我评估(CAS)技术帮助理解和发展职责领域的控制。

(三)遵循性与咨询服务

内部审计部门对企业经营者各项责任的履行情况、是否按照规定从事生产经营活动、有无违法乱纪行为以及会计报表是否真实进行评价和鉴定。咨询职能将事后的反馈职能扩展到事前、事中的控制与促进，通过咨询服务，可以从改善风险管理和控制流程中，向董事会提供关于风险管理和内部控制制度运行情况的分析和确认，保证受托责任的履行，最终帮助增加组织价值。

(四)增加组织价值

现代内部审计就是以风险为导向，通过提供“确认——咨询”服务，改善公司治理、增加组织价值。确认与咨询活动共同构成风险导向内部审计的主要工作。内部审计通过确认活动，评价公司财务会计责任、评价财务报表的真实性、公司资产的完整性以及股东权益的保障性，从而确认受托人的财务责任。咨询活动则是评价管理层经营责任，通过审查与评价经营管理活动，衡量经济性、效率性及效果性，向公司治理层提出咨询建议和改进意见。

三、风险导向内部审计的治理内容

从风险导向内部审计治理功能的阐述中，明确了内部审计通过风险评估和确认咨询等职能，在治理层面发挥着举足轻重的作用。在此基础上，如何进行内部审计才能实现治理功能的高效发挥成为重要问题。

(一)战略审计

内部审计通过战略审计实现受托责任。战略是治理和管理共同关注的重点。战略审计可以为战略决策提供可靠的信息和建议，以评估战略的可行性和有效性，同时在战略实施过程中进行动态监督控制[2]。风险导向内部审计在战略管理领域的这种确认和咨询服务，使得内部审计的确认保证功能在管理层级上得到了明显的拓展。因此，风险导向内部审计更多地关注战略决策的效率问题，将保证公司治理内涵得到进一步拓展。

(二)内部控制评审、风险管理审计

无论从IIA对内部审计的最新定义，还是从SOA条款以及纽约证券交易所的上市规则，内部审计的主要工作都被定义为风险评估和控制确认。IIA在定义中指出内部审计要“评价和改善风险管理、控制和治理程序的效果”。IIA还强调内部审计部门应通过“为管理层和审计委员会提供组织风险管理程序和内部控制的持续评价”来实现治理活动。内部审计通过“风险管理”和“控制确认”参与基本的治理活动[3]。

(三)“3E”审计

随着治理改革的发展，风险导向内部审计越来越注重企业的绩效评价。管理者对提高企业经济效益的要求空前迫切，绩效审计工作的内容以提高企业的经济性、效果性、效益性为核心，也就是“3E”审计内容。

(四)管理舞弊审计

鉴于近年来管理舞弊案件的多发，经营活动中的管理舞弊行为越来越多，并且不易审查。现有的内部控制能够较好地控制低层级舞弊，但是涉及到高级管理人员这种在上层建筑层面的舞弊就很难约束到。这种高管人员的舞弊造成的损失和伤害很大，单纯依靠外部审计进行监督已显得力不从心。SOA和新COSO报告都要求风险导向内部审计必须从管理风险的角度开展诸多非财务审计方面的工作，拓展审计范围，有效发现和揭露管理舞弊方面的内容，尽可能为公司提供更多的管理服务，创造更多效益。由此可见，管理舞弊是风险导向内部审计工作和职能的进一步拓展。

此外，风险导向内部审计在治理需求的推动下，还不断拓展出多种增值服务：环境内部审计、合约审计、工程项目审计、质量控制审计、持续性保障审计等作业都从各个方面提供“确认——咨询”服务。采取各种方法在内部控制和风险管理建设中取得突破，实现多元化发展。

四、我国公司治理中的风险导向内部审计

我国企业的内部审计是在行政干预下建立起来的。随着企业治理模式的变更，经济型治理模式逐步发展，内部审计的职能作用也在不断转变。实践表明，随着治理的发展和公司规模扩大，市场竞争愈加激烈，风险随之增加，公司就越需要来自内部的监督力量，内部审计机构的重要性则愈显突出。内部审计机构设置和人员配备也将愈加规范完善，以满足治理需求。当财务舞弊案件频发的时候，就会引发我们对内部审计监督成效的质疑，那就是在风险导向下，我国内部审计如何实现对治理的有效服务。

(一)发展现状分析

1．风险导向内部审计还未能真正深入公司治理层面

表1 COSO报告与COSO ERM[4](P221-244)

21世纪的公司治理和风险导向审计都进入了高速发展的新时代。关于风险导向审计和阐述内部审计治理功能的文献大量涌现。2004年，COSO委员会在COSO报告的基础上，正式发布了企业风险管理框架COSO ERM(见表1)，标志着风险成为公司治理、内部控制及内部审计重点关注的内容，ERM已将风险评价、风险反应等八大要素深入到企业战略目标层面，风险贯穿风险导向内部审计在治理控制的全过程。在我国实务中，上市公司是被公认关注治理的，《上市公司治理准则》也对设置审计委员会及其职责有明确规定。但其他企业有的内部审计尚未达到风险导向阶段，有的即使开展了风险导向审计工作，却尚未能有效地将风险控制应用到公司治理的全过程。可见在我国实务中，风险导向审计为公司治理提供多元化增值服务的能力还有待加强，风险控制的效率效果也有待进一步提高。参与战略决策的效率问题有待进一步加强，风险导向审计如何在咨询性服务中得到更好的规范和拓展也有待进一步的探讨研究。

2．公司治理模式对风险导向内部审计的影响

内部审计隶属模式直接影响内部审计的独立客观性，影响到对公司治理发挥作用的效率效果性。实践表明，内部审计隶属在总裁、董事会(审计委员会)的公司治理绩效优于隶属模式在监事会和财务部的公司。在这里必须要讲到审计委员会，它因强化内部审计独立客观性，加强财务报告真实可靠性，成为公司治理的一项重要制度。但由于我国公司治理结构的缺陷，审计委员会在我国发展还很不成熟。虽然近年来已经陆续有较多上市公司加入到设置审计委员会的行列，但其在我国上市公司的设置与运行的有效性令人堪忧。审计委员会在我国尚未形成完整的理论体系与规范方法。必须进一步加强公司治理模式的改革，有效提升审计委员会的地位和作用，才能提升内部审计的治理绩效。

他猛推了我一把，我又跌倒在地，双手在地上乱抓，不断眨着眼，反应迟钝，动作缓慢，全身发热。我咳了几声，用尽全力，挣扎着站了起来。刹那问，世界在我眼前旋转起来，真应该好好躺下才是。皮特的重影也绕着我不停地转着，我成了这个转动的世界里唯一不转的物体。就在头晕眼花之际，不知什么东西打在我的体侧，我又险些摔倒。

(二)完善内部审计，提升治理水平

1．全面提高治理水平

良好的治理机制是内部审计发挥作用的基本保证，单纯依赖治理环境进行风险导向审计发现问题是不现实的。较差治理环境下的内部审计失败的可能性较大，特别是风险导向下，若董事会、股东机制不健全，内部审计独立性、权威性不足，信息披露不透明，就会影响到对风险评价和控制的效果。全面提升公司治理水平，董事会和利益相关者权益起了决定性作用。一方面，必须加强董事会在治理和内部审计上的功效；另一方面，公司的信息披露机制和激励机制亟待进一步加强，以解决近年来审计失败和诉讼事件增加的根本矛盾。因此在完善内部审计机制的同时，不断提升治理水平势在必行。

2．推进风险导向内部审计理念

2012年开始执行的新审计准则全面体现了风险导向审计的理念。我们应在内部审计实务工作中不断引入和实践风险导向审计理念，完善风险导向内部审计准则建设，充分认识到风险评价系统的重要性和必要性。有效识别、评估和应对经营风险和审计风险，进一步增强审计师识别和应对舞弊风险的能力，从而提高审计的效率和效果，最终达到控制风险的目的。

3．完善审计委员会

审计委员会是独立于管理层的一个监督机构。其和监事会、内部审计部门三者相互协调合作才能有效提升公司治理效率。SOA法案把审计委员会提升为公司必须设立的法定审计监管机构。同时所有上市公司必须出具有关证明，证明其内部审计职能是否得到充分发挥。从图2可以看出，在完善的内部审计组织结构及报告模式中，审计委员会起着越来越重要的桥梁作用，主要职能表现在监督、复核、沟通和报告。

图2 内部审计组织结构及报告路线

内部审计部门具有较高的独立性，使得它能以超然的态度，作为治理层面一种良好的监控手段，站在企业全局的高度对风险进行监控与管理。同时，由于内部审计所处的特殊地位，可以直接向董事会报告，也能加强企业风险管理的有效性。因此，当首席审计执行官直接向总裁和董事会(审计委员会)进行双重报告时，就能形成较好的治理机制。内部审计的这种双重报告模式，能充分体现受托责任，能有效提升治理效果。中国证监会和深交所就要求上市公司设立内部审计机构，直接对董事会负责。

5．拓展风险导向内部审计参与公司治理的内容

在经济环境日益复杂的今日，企业竞争日趋激烈，经营管理也愈发艰难，内部审计迫切需要进入高风险领域，对财务及非财务领域的相关信息、对影响管理水平的风险因素进行深入分析，从而进行评价和控制，防止重大舞弊和资产流失。战略层面是管理活动中风险极高的领域。从战略层面进行有效的风险防控，可以在战略层面向管理者提供内部控制和风险管理的建议，实现审计工作的事前服务职能。从内部审计的发展转变历程来看，它从财务审计、经营审计，发展到现代治理型内部审计模式，即伴之以内控评审、风险管理审计、战略审计、3E审计、舞弊审计等内容并存的模式，这种多元化的发展模式必将成为我国风险导向内部审计未来的发展模式。

良好的治理要求强而有力的监督环境。此需求推动了内部审计向风险导向阶段发展，并且逐步丰富其内涵。然而，组织的最终目的是增加价值，如此强有力的监督是否影响企业的激励机制，是否导致管理者循规蹈矩而削弱其改革创新的能力，内部审计在工作中也面临如何权衡严肃监督机制和促进企业增值两者间的关系。如何在合法、合理的情况下平衡企业经营活动的“3E”性(即经济性、效率性和效果性)，有待进一步地探索研究。

[1] 孙双全.论内部审计在公司治理中的增值效应[J].财会研究，2012(22).

[2] 黄翠竹.中国上市公司内部治理审计研究[D].沈阳:辽宁大学,2010.

[3] 王光远，瞿曲.公司治理中的内部审计——受托责任视角的内部治理机制观[J].审计研究，2006(3).

[4] [英] KH.斯宾塞·皮克特,詹尼弗M.皮克特.经理人审计——终极风险管理工具[M].北京:中国时代经济出版社,2007.

(责任编辑：王兰锋)

ResearchonRisk-orientedInternalAuditfromthePerspectiveofCorporateGovernance

CHEN Shen

(AccountingDepartment,FujianJiangxiaCollege,Fuzhou210013,China)

After the 1990’s, fraud case occurred in succession, the stakeholders pay more and more attention to raising awareness of the whole organization operation. Risk-oriented internal auditing for its “risk control” and “control validation” function, through the evaluation of risk and internal control of enterprise governance activities, which becomes one of the “four cornerstone” of the corporate governance and promote the organization to achieve the goal of value. This study seeks to discusing the development of our country’s corporate governance and the fusion of risk-oriented internal auditing, so as to promote the development of our country practice.

corporate governance；risk-oriented；internal audit；research

2014-04-23

福建省教育厅2012年社科项目(JB12323S)

陈 燊(1980—)，女，福建福州人，福建江夏学院会计学院副教授，国际注册内部审计师(CIA)，国际注册风险管理确认师(CRMA)，研究方向为内部审计。

F239.45

： A

： 1008—4444(2014)04—0068—04