（工商管理专业论文）构建以内部审计为基础的企业风险管理体系.pdf

摘要 市场经济是一种风险经济，随着市场经济的发展成熟和市场开放程度的 加大，风险已经成为企业关注和管理的焦点和重心。在这样的背景下，风险 的概念逐步进入企业管理的范围。从本质上来说，内部控制也就是风险的管 理与控制活动，如果毫无风险，根本无需耗费大量的人财物力去搞什么内部 控制、内部审计。既然风险的存在是控制的原因所在，多样化和多变性的环 境使企业的经营管理经历着实质性的变革。内部审计是确保受托责任有效履 行的管理控制机制，也必须随之而发展，才能成为企业价值链上一个必要的 环节，为企业提供“增值”服务。提高内部审计地位，把风险管理作为内部 审计的工作领域，这一发展是理论顺应客观实际发展的必然结果。我国内部 审计理论及实务研究与国际水平相比有很大差距，这也意味着内部审计有较 为广阔的发展空间。本文选择内部审计领域最前沿的内部审计与企业风险管 理进行研究，既有理论意义又有现实意义。 关键词：内部审计企业风险管理风险管理体系 a b s t r a c t m a r k e te c o n o m yi sa “n do f r i s ke c o n o m y i h s ka l r e a d yb e c o m e st h ef o c u sa n d k e y s t o n eo f e n t e r p r i s em a n a g e m e n ta l o n gw i t ht h ed e v e l o p m e n to f m a r k e te c o n o m y i ns u c hc i r c u m s t a n c e s ，t h er i s ke n n c 七p te n m e si n t ot h e s c o p eo fe n t e r p r i s e m a n a g e m e n tp r o g r e s s i v e l y c o m e t os a yf r o me s s e n c 圮，i n t e r n a lc o n t r o li st h e m a n a g e m e n ta n dc o n t r o lf u n c t i o no f r i s k i ft h e r ea g en or i s k s ，w ed o n tn e e di n t e r n a l c o n t r o la n di n t e r n a la u d i ta ta 1 1 s i n c et h ee x i s t e n c eo fr i s ki st h ee s s e n t i a lr e a s o no f c o n t r o l ，i ns u c had i v e r s i f i e da n dc h a n g i n ge n v i r o n m e n t ，t h em a n a g e m e n to f e n t e r p r i s e se x p e r i e n c e ss u b s t a n t i a lr e v o l u t i o n s a sam a n a g e r i a lc o n t r o lm e c h a n i s m t h a te n s u r e se f f e c t i v ea c c o u n t a b i l i t y , i n t e r n a la u d i th a st oc h a n g ew i t hi ti no r d e rt o b e c o m ea ne s s e n t i a lp a r to ft h ev a l u ec h a i na n dt op r o v i d e ”v a l u e - a d d e d ”s e r v i c e p r o c e s s i n gr i s ka p p r a i s a lb e c o m e st h eb a s i ca n dk e yo ft h ee n t i r ei n t e r n a lc o n t r o l s y s t e m a tt h ep r e s e n tt i m e , i n t e r n a la u d i ti nc h i n a c o m p a r i n gt oi n t e r n a t i o n a l r e s e a r c h e s ，t h er e s e a r c ho ni n t e r n a la u d i tt h e o r i e sa n dp r a c t i c a li s s u e si nc h i n ai sv e r y w e a k ，w h i c ha l s oi n d i c a t e sa l le x t e n s i v es p a c ei nt h i sa r e a t h i sp a p e rr e s e a r c h e st h e f r o n t i e ro fi n t e r n a la u d i t - r i s k - a n de n t e r p r i s er i s km a n a g e m e n t , w h i c hi ss u p p o s e dt o h a v et h e o r e t i c a la sw e l l 船r e a l i s t i cs i g n i f i c a n c e k e yw o r d s ： i n t e r n a la u d i t i n g e n t e r p r i s er i s km a n a g e m e n te n t e r p r i s e m s k m a n a g e m e n ts y s t e m 独创性声明 本人郑重声明：今所呈交的构建以内部审计为基础的企业风险 管理体系论文是我个人在导师指导下进行的研究工作及取得的科研 成果。尽我所知，文中除了特别加以标注和致谢的地方外，论文中不 包含其他人已经发表或撰写的内容及科研成果，也不包含为获得首都 经济贸易大学或其它教育机构的学位或证书所使用过的材料 作者签名：遴互堇日期：兰互年之月二_ 日 关于论文使用授权的说明 本人完全了解首都经济贸易大学有关保留、使用学位论文的 有关规定，即：学校有权保留送交论文的复印件，允许论文被 查阅、借阅或网络索引；学校可以公布论文的全部或部分内容， 可以采取影印、缩印或其它复制手段保存论文 ( 保密的论文在解密后应遵守此规定) 作者签名：毖蕉导师签名：趁丝函期：盟年月日 1引言 1 1 研究背景与意义 多样化和多变性的环境使企业的经营管理经历着实质性的变革。犹如没有 人愿意得病那样，没有任何企业愿意遭遇风险。然而在经济管理领域，风险不 仅种类繁多和无所不在，而且几乎象病毒一样无法回避和防不胜防。风险是难 以掌控的，既可能发生在自己身上，也可能发生在竞争对手身上，还可能发生 在全行业；风险又是难以判断的，风险既包含了导致失败的根源，同时又蕴藏 着成功的种子，这两者往往让企业体验战略转折意义的“过山车”经历，优秀 的企业会因此脱颖而出，平庸的企业却荡然无存。从某种意义上而言，风险是 竞争命运最后迎头击下的重锤。也许唯一能让企业游走于危机边缘的因应之道 就是风险管理。 随着安然( e n r o n ) 、世通( w o r l d c o m ) 等跨国公司以及著名的安达信会计师 会计事务所相继破产倒闭，2 0 0 2 年4 月8 日，国际内部审计师协会( i n s t i t u t e o f i n t e r n a la u d i t o r ，i i a ) 在对美国国会关于萨班斯一奥克斯利法案的意见 陈述书中指出：内部审计由于其所处的特殊地位及专业优势，能在公司风险管理 中发挥参与者与独立的观察者的作用。2 0 0 2 年8 月1 日，一套新的上市公司治 理标准在美国纽约证券交易所颁布出台，要求所有上市公司必须建立内部审计 机构，重新定位了内部审计的地位，并要求内部审计按照公司治理这一制度安排 所决定的企业目标、决策人及风险和收益的分配都围绕风险展开，这使内部审计 与风险管理结合在一起。 2 0 世纪9 0 年代以后，随着我国市场经济体制改革进程的加快，资本市场的 快速发展，以及经济全球化和科学技术的迅猛发展，内部审计作为我国企业内 部管理的一个重要组成部分，也得到了空前的发展。但由于我国上市公司是随 着2 0 世纪9 0 年代国内资本市场的建立才开始发展的，且对于上市公司的审计 问题研究主要是以注册会计师独立审计为主，上市公司的内部审计工作近年来 引言 才逐步开始得到重视，因而对于我国上市公司的内部审计理论和实务研究 还较少。由于国内上市公司才刚开始关注风险管理，所以本文试图通过以内部审 计作为国内上市公司介入企业全面风险管理的起点来分析内部审计对全面风险 管理的作用，并以中航油新加坡公司从事金融衍生品交易风险失控造成巨大损 失为例，针对性地提出一些解决方案，为改善内部审计工作、建立企业风险管理 机制提供一些思路。中航油作为国内一家有一定规模的多元化经营的上市公司， 其内部审计存在的问题具有一定的代表性，在一定程度上也可以反映我国上市 公司内部审计上作的现状和水平。因此，研究分析中航油内部审计，也可以在 侧面上对我国上市公司内部审计现状和发展的方向有一些理解和认识，这样对 我国上市公司加强内部审计工作，提高企业风险管理水平具有较重要的现实意 义。 1 2 国内外内部审计的发展态势 自1 9 4 1 年以来内部审计得到了巨大的发展。在过去的半个多世纪里，随着 社会经济和科学技术的迅猛发展，组织面临的经济环境发生了深刻的变化，管 理问题日益突出，内部审计作为组织内部管理体系中的一个重要组成部分也日 益受到人们的重视。内部审计理论正是随着企业管理的发展而逐步发展。 从西方发达国家的内部审计理论发展来看，内部审计理论己经从财务审计、 管理审计发展到战略审计。顺应内部审计理论及实务的变化，国际内部审计师 协会( ci i ) 于1 9 9 9 年6 月2 6 日对内部审计重新定义：内部审计是一种独立、 客观的保证和咨询活动，其目的在于为组织增加价值并提高组织的运作效率。 它通过系统、规范的方法，来对风险管理、控制和治理程序进行评估和改善， 从而帮助组织实现其目标。一项针对美国11 家大型上市公司内部审计主管的调 查表明，内部审计的新定义得到广泛认同，内部审计范围己全面转向运营活动。 国际内部审计师协会( i i a ) 主席杰奎琳瓦格娜指出：“环境的变化给内部审计 师带来增加价值的机会最多的领域是风险管理和公司治理”，“我们正开始认识 到风险管理是我们专业的推动力，我们如何去引导风险将对我们的成功产生重 大的影响”。最新定义表明，内部审计关注组织治理。而组织治理正由以往的静 2 引言 态的命令控制模式转变为对不断变化的经营风险的适应因而内部审计需要更 加关注风险管理，注重组织经营的未来前景。所以，有必要将变化的风险管理 模式整合进入内部审计程序。这样，内部审计和风险管理在全球经营风险日益 凸现的环境中共同演进，风险分析的方法和风险管理的原则，改变了内部审计 的审计计划和报告方式。其更强调关注组织治理框架中风险发现与风险管理， 关注管理者及其管理经营行为可能出现的风险，关注着组织在整个治理过程中 的决策风险与经营风险。 从国内内部审计理论的发展来看，由于我国1 9 8 3 年才恢复审计制度，内部 审计的发展还只有二十年左右的时间，而且最初的内部审计只针对国有企事业 单位，因此，内部审计最初的研究对象以国有企业为主。其后，随着我国市场 经济体制改革的深入，民营经济得到迅猛发展，研究领域扩展到民营企业或非 国有企业。随着2 0 世纪9 0 年代我国建立资本市场，我国上市公司也逐步发展 起来，但目前关于上市公司的审计问题研究还主要是以外部审计为主，研究上 市公司内部审计问题相对较少。所以借鉴国外国先进的内部审计理念是我国内 部审计发展的必然选择。我们接受国际内部审计师协会关于内部审计的最新定 义，并要以此为基础来确定内部审计本质、内部审计假设、内部审计职能与内 部审计准则等。因为最新定义真实地反映了内部审计的最新实践内容，并且具 有指导未来内部审计活动的前瞻性。 1 3 本文的研究内容及框架 本文大体分为六个部分：论文第一章首先提出了研究的背景和意义，通过总 结和分析研究国内外企业由于风险失控导致了灭项之灾，并结合国外对内部审 计与风险管理新的研究成果以及我国理论界对内部审计与风险管理进行的相关 探索，提出本文的研究思路和框架设计。 第二章相关概念及理论基础，从风险谈起，介绍了与风险管理、内部审计、 公司治理、内部审计的本质受托责任观等。这是本文的理论基础。 第三部分说明内部审计参与风险管理的原因、内部审计介入风险管理的独 特优势，分析内部审计与风险管理之间的关系。 3 引言 第四部分是中航油事件案例分析，对该事件存在的风险管理问题进行了系 统诊断和反思。 第五部分构建以内部审计为基础的企业全面风险管理体系是本文的重要部 分，结合中航油案例的实际重新设计出的一套以内部审计为基础的风险管理体 系 第六部分结论本文以客观案例为依据，采用理论与实际相结合，规范分析 和实证分析相匹配的分析方法，完成了，风险管理体系的再设计。 1 4 本文研究创新与研究局限 本文首先分析了我国企业在企业风险管理活动中还处于初级阶段，没有比 较成熟的办法来管理企业面对的日益复杂多变风险，同时论述了内部审计随着 企业的发展而发生的转变。 本文的创新主要有以下两个方面 一、由于我国现阶段企业风险管理处于初级阶段，所以从内部审计入手开 始企业风险管理的初级阶段。 二、通过对中航油事件深层次的分析，从内部审计对风险管理的作用，职责， 及如何进行具体的建设整个体系，以及实际中的应用等方面进行研究，以独特的 视角找出以内部审计为基础构建企业全面风险管理体系的企业风险管理解决方 案。 本文的研究局限是在分析我国内部审计与风险管理时没有大量的数据分析 和详细调研。本文构建的风险管理体系还很不完整，虽然强调在审计过程中要 对发现的问题进行风险分析，并提出全面管理风险的建议，但怎样对不同的风 险提出恰当的控制与管理建议，本文论述的深度不够，这有待于进一步深入研 究。 4 2 相关概念及理论基础 2 1 现代企业风险与危机 古典经济学家在1 9 世纪就提出了风险的概念，认为风险是经营活动的副产 品：2 0 世纪以来，风险定义可分为两类：狭义风险和广义风险。狭义风险是指损失 的不确定性：广义风险不仅指损失的不确定性，还包括盈利的不确定性。风险与 收益是共生的，获得收益就必须承担风险。然而从众多风险定义来看，人们倾向 于狭义定义，这是因为与收益相比，人们更警惕损失。越来越复杂的环境与激烈 竞争，使企业现在面临的风险比以往任何时期更大。因此，如何控制风险成为企 业管理层必须考虑并掌握的问题。事实上，风险与危机是形影不离的，没有爆 发的危机称之为风险，失去控制的风险就是危机。所谓风险，无非是特定条件 下各种可能后果与预期后果之间的差异，尤其是某种损失发生的可能性。对于 具有结构化视野的管理者而言，风险是由风险因素、风险事故和风险损失等要 素组成。风险因素是引起或增加风险事故发生的机会或扩大损失幅度的条件， 是风险事故发生的潜在原因。风险事故是指造成风险损失的偶发事件，是造成 损害的直接原因。风险事故意味着风险的可能性转化成了现实性，只有通过风 险事故的发生，才能导致损失。风险损失是风险事故所带来的物质上、行为上、 关系上和心理上的实际和潜在的利益丧失。 危机就是风险事故，系指组织因内、外环境因素所引起的一种对组织生存 具有立即且严重威胁性的情境或事件。风险是危机的先兆，在适当的诱因下( 常 常是意想不到的) 风险从海底浮出水面的部分就是企业跟中看到的危机。 现代企业的运营与风险是一对并蒂莲。现代企业发展的初级阶段风险的管 理一般处于次要的地位。现代企业走过发展的萌芽期，进入快速成长阶段，建 立和完善风险管理体系便成为重要的工作。现代企业的重大风险一般包括决策 风险、财务风险和运营风险。很多现代企业试图通过改善内控体系来防范风险 的发生而未将风险管理看作一项系统的工程。 相关概念及理论基础 现代企业的风险表现主要有以下形式： 1 、在迅速扩张的过程中，造成财务与业务失控，无法进行风险预警、防范； 缺乏正确的业务流程的指导和风险管理体系的保障，影响管理层对于风险的识 别和分析，以及采取相应的决策。 2 、缺乏规范的法人治理结构设置，存在政企不分、职责不清等问题，使企 业目标发生偏移；或虽有规范的法人治理结构设置，但运作上存在内部人控制 和大股东控制等问题。 3 、缺乏风险意识，没有积极、主动、系统地进行风险管理工作，风险的事 前管理缺位、事中和事后管理具有一定的随意性。 4 、缺乏包含决策、管理和具体执行层在内的完整的风险管理组织。 5 、缺乏业务操作手册，导致各部门和岗位的人员对其工作职责和操作程序 不清晰，造成部门和岗位间互相推委或业务上的疏漏，从而使现代企业较难控 制业务，降低工作的效率和效果。 6 、对现代企业的主要业务缺乏风险识别、评估、管理和监控；内部审计工 作限于财务报表审计和经济责任审计，缺乏对现代企业内控程序执行情况的检 查和监督。 7 、缺乏对风险进行定期的复核和再评估，降低了企业适应环境变化，管理 和规避风险的能力。 2 2 企业风险管理的定义与要素 2 0 0 4 年，美国c o s o 委员会在内部控制框架报告的基础上，结合萨班 斯一奥克斯法案，制订了新的企业风险管理框架，界定了企业风险管理的定义， 拓宽了内部控制框架的范围。“企业风险管理是一个由企业的董事会，管理层 和其他员工共同参与，应用于企业战略制定和企业内部各个层次和部门，识别 可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险，为企业目标 的实现提供合理保证的过程。 企业风险管理分为内部环境、目标制定、事项识别、风险评估、风险反应、 控制活动、信息和沟通、监控等八个相互关联的要素，各要素贯穿在企业的管 6 相关概念及理论基础 理过程之中。 ( 1 ) 内部环境 企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和 结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对 风险的识别、评估和反应，还影响企业控制活动、信息和沟通系统以及监控活 动的设计和执行。董事会是内部环境的重要组成部分。对其他内部环境要素有 重要的影响。企业的管理者也是内部环境的一部分，其职责是建立企业风险管 理理念，确定企业的风险偏好，营造企业的风险文化，并将企业的风险管理和 相关的初步行动结合起来。 ( 2 ) 目标制定 根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确 定其他与之相关的目标并在企业内层层分解和落实。其中，其他相关目标是指 除战略目标之外的其他三个目标，其制定应与企业的战略相联系。管理者必须 首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。而企业风 险管理就是提供给企业管理者一个适当的过程，既能够帮助制定企业的目标， 又能够将目标与企业的任务或预期联系在一起，并且保证制定的目标与企业的 风险偏好相一致。 ( 3 ) 事项识别 不确定性的存在，使得企业的管理者需要对这些事项进行识别。而潜在事 项对企业可能有正面的彭响、负面的影响或者两者同时存在。有负面影响约事 项是企业的风险，要求企业的管理者对其进行评估和反应。因此，风险是指某 一对企业目标的实观可能造成负面影响的事项发生的可能性。对企业有正面影 响的事项，或者是企业的机遇，或者是可以低消风险对企业的负面影响的事项。 机遇可以在企业战略或目标制定的过程中加以考虑，以确定有关行动抓住机遇。 可能潜在地抵消风险的负面影响的事项则应在风险的评估和反应阶段予以考 虑。 ( 4 ) 风险评估 风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应 7 相关概念及理论基础 从两个方面对风险进行评估风险发生的可能性和影响。风险发生的可能性 是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。对 于风险的评估应从企业战略和目标的角度进行。首先，应对企业的固有风险进 行评估。确定对固有风险的风险反应模式才能够确定对固有风险的管理措施。 其次，管理者应在对固有风险采取有关管理措施的基础上，对企业的残存风险 进行评估。 ( 5 ) 风险反应 风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。规避 风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生 的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与 他人共担风险，降低风险发生的可能性或降低风险对企业的影响。接受风险则 是不采取任何行动而接受可能发生的风险及其影响。对于每一个重要的风险， 企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企 业风险发生的可能性和影响都落在风险容忍度之内的风险反应方案。 选定某一风险反应方案后，管理者应在残存风险的基础上重新评估风险， 即从企业总体的角度、或者组合风险的角度重新计量风险。各行政部门、职能 部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合式评估 并选择相应的风险反应方案。 ( 6 ) 控制活动 控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制 活动存在于企业的各部分、各个层面和各个部门，通常包括两个要素：确定应 该做什么的政策和影响该政策的一系列程序。 ( 7 ) 信息和沟通 来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确 认、捕捉和传递，以保证企业的员工能够执行各自的职责。有效的沟通也是广 义上的沟通，包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还 包括将相关的信息与企业外部相关方的有效沟通和交换，如客户、供应商、行 政管理部门和股东等。 相关概念及理论基础 ( 8 ) 监控 对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期 的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控持续 监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内 务管理层面和各部门持续得到执行。 监控还包括对企业风险管理的记录。对企业风险管理进行记录的程度根据 企业的规模、经营的复杂性和其他因素的影响而有所不同。适当的记录通常会 使风险管理的监控更为有效果和有效率。当企业管理者打算向外部相关方提供 关于企业风险管理效率的报告时，他们应考虑为企业风险管理设计一套记录模 式并保持有关的记录。 全面风险管理是企业的各级管理人员和员工时刻关注风险管理并保持敏锐， 形成一体化在高层的参与下，各部门或各职务进行风险管理的协调：组织中的每 一个人都要把风险管理做自己的职责。同时风险管理应是一个连续不断、每时 每刻要进行的工作，在范围在是大视野、全方位的立体的把所有的企业风险和 机会系统的考虑进来，实施全面的管理。 2 3 公司治理结构的定义与内涵 利益相关者治理与社会财富最大化利益相关者治理模式认为应把社会财富 最大化作为公司治理的目标。布莱尔( 1 9 9 5 ) 认为，在大多数现代公司中，股 东只承担有限的责任，股东的风险可以通过投资多元化而化解或选择退出，一 部分剩余风险已经转移给了债权人及其他利益相关者。当股东不承担全部剩余 风险时，股东治理模式的假设不成立，不能由股东利益最大化推出社会财富最 大化。布莱尔认为尽管股东获得全部剩余收益并承担全部剩余风险的假设存在 缺陷，但当那些监督和控制公司的人获得( 至少是部分的) 剩余收益并承担( 部 分) 剩余风险，以及那些分享剩余收益并承担剩余风险的人( 利益相关者) 被 赋予监督权的话，股份公司可以实现社会财富的最大化。 斯坦福大学的钱颖一教授在他的论文中国的公司治理结构改革和融资改 革中提出，“公司治理结构是一套制度安捧，用来支配若干在企业中有重大利 9 相关概念及理论基础 害关系的团体，包括投资者、经理、工人之问的关系，并从这种安排中实现各 自的经济利益。公司治理结构应包括：如何配置和行使控制权；如何监督和评 价董事会、经理人员和职工；如何设计和实施激励机制。” 国内学者吴敬琏教授认为，“所谓公司治理结构，是指由所有者、董事会和 高级执行人员即高级经理三者组成的一种组织结构。在这种结构中，上述三者 之间形成一定的制衡关系。通过这一结构，所有者将自己的资产交由公司董事 会托管：公司董事会是公司的决策机构，拥有对高级经理人员的聘用、奖惩和 解雇权；高级经理人员受雇于董事会，组成在董事会领导下的执行机构，在董 事会的授权范围内经营企业。” 从上面列出的这些定义可以看出，学者们对公司治理概念的理解至少包含 以下两层含义： 1 公司治理是一种合同关系。公司被看作是一组合同的联合体，这些合同 治理着公司发生的交易，使得交易成本低于由市场组织这些交易时发生的交易 成本。由于经济行为人的行为具有有限理性和机会主义的特征，所以这些合同 不可能是完全合同，即能够事前预期各种可能发生的情况，并对各种情况下缔 约方的利益、损失都作出明确规定的合同。为了节约合同成本，不完全合同常 常采取关系合同的形式，就是说，合同各方不求对行为的详细内容达成协议， 而且对目标、总的原则、遇到情况时的决策规则，分享决策权以及解决可能出 现的争议的机制等达成协议，从而节约了不断谈判不断缔约的成本。公司治理 的安排，以公司法和公司章程为依据，在本质上就是这种关系合同，它以简约 的方式，规范公司各利害相关者的关系，约束他们之间的交易，来实现公司交 易成本的比较优势。 2 公司治理的功能是配置权、责、利。关系合同要能有效，关键是要对在 出现合同未预期的情况时谁有权决策作出安排。一般来说，谁拥有资产，或者 说，谁有资产所有权，谁就有剩余控制权，即对法律或合同未作规定的资产使 用方式作出决策的权利。公司治理的首要功能，就是配置这种控制权。这有两 层意思：一层是，公司治理整顿是在既定资产所有权前提下安排的。所有权形 式不同，比如债权与股权、股权的集中与分散等，公司治理的形式也会不同。 l o 相关概念及理论基础 另一层是，所有权中的各种权力就是通过公司治理整顿结构进行配置的。这两 方面的含义体现了控制权配置和公司治理结构的密切关系：控制权是公司治理 的基础，公司治理整顿是控制权的实现。南开公司治理研究中心认为，对于公 司治理定义，除了上述的内容之外，还应该从更广泛的利害相关者的角度，从 权利制衡与决策科学两个方面去理解。 2 4 内部控制的概念及其与风险管理的关系 内部控制最初的思想内部牵制产生于古埃及的国库管理，目的是防 范财产风险。内部控制的现代思想是企业组织规模扩大和资本大众化的产物，在 其发展过程中，企业风险管理的思想始终贯穿在内。内部控制与风险管理的结合 很早就引发了人们的关注，但对于两者关系的看法存在分歧。一种观点认为内部 控制存在予协助企业进行风险管理的程序之中，是风险管理的方式之一。另一种 观点是将风险管理纳入内部控制体系，认为控制包含了风险。 2 0 0 3 年7 月cos0 委员会颁布了企业风险管理框架( 讨论稿) ，该讨论 稿是在1 9 9 2 年coso 委员会颁布的内部控制整体框架基础上，吸收各 方风险管理研究成果基础上提出。coso 在其中明确说明，风险管理框架建立 在内部控制框架基础上，内部控制是企业风险管理必不可少的一部分。企业风险 管理是一个过程，这个过程受董事会、管理层和其他人员的影响。这个过程从企 业战略制定一直贯穿到企业各项活动中，用于识别那些可能影响企业的事件并 管理风险，使之在企业风险偏好之内，从而合理确保企业取得既定目标。而在内 部控制一整体框架中对内部控制的描述是，内部控制是由企业董事会、经 理层和其他员工实施的，为运营的效率效果、财务报告的可靠性、相关法令的遵 循性等目标的达成而提供合理保证的过程。现代内控理论试图提出能被普遍接 受的内控定义，以便满足不同单位的需要。美国审计权威机构c o s o ( 1 9 9 4 ) 的 定义是：内控是一个受某单位不同层次的人影响的过程，而设计这一过程是为 了实现下述三大目标提供合理的保证：经营的效果和效率；财会报告的可靠性； 对现行法规的遵守。 巴塞尔银行监管委员会参照各国的有关理论，在内控定义中进一步强调董 ，l 相关概念及理论基础 事会和高级管理层对内控的影响，组织中的所有各级人员都必须参加内控过程， 对内控产生影响。巴塞尔委员会把内控的三大目标分解为操作性目标、信息性 目标和合规性目标。操作性目标不只针对经营活动，而且包括其他各种活动； 在信息性目标中还把管理信息包括了进来，明确要求实现财务和管理信息的可 靠性、完整性和及时性。 2 5 本文分析的理论基础 1 、审计的本质：受托责任观 西方现代审计理论中，关于审计本质的看法有：代理观、信息观、保险观 和行为观等。代理观认为审计是保持经理人与股东利益最大化的控制器。信息 观包括信息传递理论和信息系统论，前者认为审计能够保证信息传递有效，并 且证实购买者所购买产品的质量；后者认为为了使资本市场的资源分配有效。 投资者在决策时需要可靠的信息，审计能够使这些信息可靠。保险观认为审计 是一种保险行为，可以减轻投资者的风险压力。行为观认为审计可以促使企业 各层次的职员自觉遵守企业的各项内部控制制度，促进企业目标实现。这四种 理论用以解释审计的本质各有不周的角度，但是却有一定局限性。前三种理论 主要基于资本市场的现象，考量独立审计的本质，却不适合内部审计与政府审 计。行为观用于解释内部审计，却仅从内部审计的作用出发，没有追溯根源来 研究其本质，同时也无法解释外部审计的本质。 2 0 世纪7 0 年代，西方理论界开始对受托责任( a c c o u n t a b i l i t y ) 问题进行 系统研究，并用受托责任观来解释审计的本质，成为审计本质的主流理论。受 托责任是由于资源的委托，受托行为而发生的由受托方所承担的责任。受托方 必须以最大的善意、最经济有效的办法、最严格地按照当事人的意志来完成委 托人所托付的任务。西方学者对受托责任要素进行了研究，得出了共识：审计 是受托责任的基本构成要素1 。戴维弗林特以受托责任观解释了审计的本质： 受托责任关系是审计存在的重要条件。审计是一种确保受托责任履行的社会控 制机制。受托责任观与上述四种理论相比更本源地解释了审计的本质。代理 观涉及的经理人与股东双方代理问题的本质源于委托受托责任关系；信息观基 于的信息不对称问题是委托受托责任关系的内容之一：保险观是对两权分离而 p e t sl lw 认为受托责任由会计信息的产生、会计信息的审计、会计信息的公开以及对董事制裁的 可能性四个要素组成s h 硝m d k e n t 认为除了这四个要素之外，还包括组织、目标的声明及信 息与监控兰个要素 1 2 相关概念及理论基础 产生的逆向选择和道德风险提供保险，其基础依然是受托责任：行为观控制企 业内部人员的行为背后是内部受托责任的履行。政府审计基于公共受托责任， 独立审计基于外部受托责任，内部审计则既涉及内部受托责任，也涉及外部受 托责任。因此受托责任观可以概括各种审计类型，用以解释审计的本质。 受托责任并非一个简单的静态概念，而是一种社会关系，是一个含有丰富 内容的动态概念。受托责任的目标由低到高发展，受托责任的内容也在逐步充 实和完善。在审计的历史演进背后反映的就是受托责任的动态发展。 2 、内部审计的本质：确保受托责任履行的管理控制机制按照受托责任学 说，任何企业的一切活动都是围绕着受托责任来进行的。由于组织规模的扩大、 经营的多元化以及管理层次的增加，高级管理层必须赋予下属管理人员一定的 权力和责任，从而在组织内部存在多级化的受托责任。多级化受托责任履行的 关键之处在于目标一致性，这样才能促进组织共同目标的实现。为了保证多级 化受托责任目标的一致性，必须进行控制。杨时展教授说：“宏观是个大系统。 宏观之下是各个分工不同而目标一致的子系统。宏观控制就要控制好这个 目标一致。”控制是使一切经济活动正对着预定的目标来进行，不使它发生 任何不利于完成目标的偏差。受托责任要求受托方的行动和结果能够实现委托 方的目标，因此控制是受托责任的需要，控制的目的在于完成受托责任。从 企业管理的角度出发，控制是管理的职能之一，而且贯穿在其余职能之中，通 常用管理控制来表示具体的控制2 。罗伯特安东尼教授提出，管理控制包括一 系列作业过程：设立目标：战略规划：预算：执行与反映：计量与比较：分析与评 价：拟定改进措旖：采取改进行动：追踪考评等等。这一系列作业过程中的大部 分都与内部审计息息相关。孔茨和韦里克教授认为，管理控制的方法包括预算、 统计数据分析、经营审计及管理者亲自监控等。管理控制可以分为直接控制和 预防性控制两种类型，而后者包括管理审计以及自我审计。经营审计及管理审 计在企业中主要是靠内部审计进行，因此内部审计是管理控制的组成部分，是 管理控制的工具之一，是一种管理控制机制。内部审计能以其独特地位全面了 解企业经营管理活动，并且以其相对独立的立场对经营管理活动进行客观评 价，提出改进建议，从而确保受托责任的完成。 因此，我们可以得出这样的结论：内部审计是确保受托责任履行的管理控 制机制。i i a 在1 9 7 1 年内部审计职责说明书中对内部审计作出的定义也说 明了内部审计的本质是一种管理控制机制3 。 j 此处的管理控制是从管理学角度界定的管理控制，不同于美国注册会计师协会1 9 7 3 年在s a s , 5 4 中提出的属于内部控制一种形式的内部管理控制。 1 1 a 1 9 7 3 年对内部审计所作的定义是：内部审计是在组织内部检查各种业务活动以向管理当局提 1 3 相关概念及理论基础 3 、内部审计在管理控制系统中的反馈功能 按照系统论的观点，系统是无所不在、无所不包的。公司治理与内部控制 都是系统，而且是具备信息、控制与反馈三大要素的控制系统。管理控制涉及 确定标准、衡量成效、纠正偏差等过程，显而易见它也是一个三大要素都具备 的控制系统。控制系统中的反馈是旨在消除受控者的实际状态与目标状态之间 的不协调性而从受控者到调节器与施控者方向的联系渠道。在管理控制系统中， 内部审计能够提供经营管理活动实际运作的信息，以便施控者更好地进行控制， 因此从系统论和控制论角度出发，内部审计有管理控制系统中的反馈功能。 供服务的独立评价活动，它是一种通过计量和评价其他控制的有效性来发挥作用的管理控制 1 4 3 内部审计参与风险管理 3 1内部审计职能扩展到风险管理 2 0 0 1 年，国际内部审h l 师协厶( i i a ) 在其制定并修改的内部审计实务标准 及职责说明中认定：“内部审计是一种独立、客观的保证和咨询活动。其目 的是在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方 法，评价和改进风险管理、控制及治理过程的效果，帮助组织实现其目标。” 将内部审计的范围延伸到风险管理和公司治理，认为内部审计是针对风险 管理、控制及治理过程的有效性进行评价和改善所必需的。风险管理已发展成 为内部审计的一项重要内容。事实上，根据2 0 0 3 年a 全球审计信息网络调查 结果表明，认为未来的审计重点是风险管理系统审计的占6 3 9 。 可见，内部审计是风险管理的一种方法、一种手段，而风险管理则是内部 审计的一项新的内容、一个新的领域。从发展趋势来看，内部审计不仅越来越 关注风险，同时，也是风险管理的重要组织部分。内部审计更强调确认经营风 险是否得到有效管理，由对交易事项和政策的遵循的评价，转变为对目标、战 略和风险管理程序的关注；内部审计的建议更加强调风险的规避、风险转移和 风险控制，通过有效的风险管理提高组织整体管理的效果和效率。 3 2 内部审计直接参与风险管理 在风险管理中，内部审计部门主要是对风险管理部门和其他相关部门的风 险管理进行再监督，但这绝不意味着内部审计部门不能作为直接的风险管理人， 在必要情况下，它可以直接进行风险管理。 传统的管理将注意力放在个别控制系统和经营机制上，而现代管理则强调 总体管理概念，把总体管理控制系统与组织的长远目标联系起来；把一旦达不 到目标，与可能发生的风险联系起来。因此，评价和改进风险管理、控制和治 理过程，就必然成为内部审计的一项重要职责。 1 s 内部审计参与风险管理 战略审计，内部审计在风险管理的过程中，要总观全局，有的放矢。要站 得高，看得远，看得细，看得深。不仅要仔细审视企业经营过程中每个风险的 节点，更要理清关键性的风险和风险的关键性环节，对风险的估计要有整体的 把握，要考虑风险管理对组织的价值具有前瞻性。同时，既要了解本组织内部 的风险，又要关注所处同行业的态势。既要关注本组织、本部门、本业务流程 的风险，更要把握组织之间、部门之间、业务流程之间接口的风险。既要分析 外在显现的风险因素，更要挖掘隐含潜在的风险因子。要努力协助组织建立起 由管理层、流程参与者、存在风险的相关部门、风险管理人员和内部审计人员 所使用的各种正式和非正式的流程组成的风险监督框架，以便提供及时和富有 前瞻性的风险信息，为组织增值和提高管理效率，作出积极的努力和应有的贡 献。 协调管理，内部审计在风险管理中扮演的角色对组织机构整体成功至关重 要。内部审计要作为风险管理过程的参与者、协调者，要真正融人到企业管理 体系中，要真正置身于公司的治理和风险管理过程之中。在风险控制和改进组 织机构的效果方面要发挥其领导作用，积极参与和了解组织的各项业务和流程， 及时帮助发现问题，及时提出解决措旌。同时，要利用自身的优势积极倡导组 织道德文化的建设，积极协助组织规避风险，化解风险，防范舞弊，减少损失。 全面知识，风险管理作为内部审计一个新的涉及领域，内部审计人员要想 成为风险管理专家，不仅要董得财务会计及相关法律法规，熟练地运用内部审 计标准、程序和技术，还必须具备相应的风险管理素质和技能。在全球经济一 体化，信息化技术飞速发展的今天，内部审计人员除了要扎实专业技能外，更 应丰富专业风险管理的知识和技能，精通现代管理信息技术和先进的管理技术 手段。通过精湛娴熟的专业胜任能力来协助组织预防和减少的风险，改进管理 和提高效率。 信息沟通，风险的不确定性，要求内部审计在风险管理过程中，加强沟通 的力度，拓宽沟通的层面，丰富沟通的渠道，更新沟通的手段，加快沟通的进 程。内部审计机构与被审计单位、组织管理层之间，应积极沟通彼此意见，充 分体现参与式内部审计“以人为本”的理念。沟通应力求准确、客观、清晰、 1 6 内部审计参与风险管理 简洁、完整、及时、富有建设性。不仅要做到“知自知彼”，有的放矢，更要减 少因沟通产生的风险。避免由于信息的不准确、不及时、不完整所造成的决策 失误和决策缓慢，以及由于沟通不力，或不能很好地了解信息，致使出现对信 息的错误理解，并导致不适当的行动，进而造成的客户丧失、机会损失或士气 低落以及各种冲突等不利因素的发生。 客观公正，随着安然、世通等跨国大公司因财务丑闻导致公司破产，以及 有着9 0 多年历史的世界级会计事务所安达信退出历史舞台，恪守道德再次引起 人们的关注和重视，并被提升到一个较高的层面。内部审计要恪守独立、客观、 公正的原则，保持应有的职业品质、职业纪律、专业胜任能力及职业责任。内 部审计师要做到正直、客观、保密和胜任，只从事他们具备必要知识、技能、 和经验的服务活动，避免因道德层面给组织带来的风险和损失。 内部审计人员应当用正直建立起信用，为其判断的可靠性提供基础。应当 诚实、勤奋并负责的完成工作；按照法律及其职业要求，遵守法律和作出披露； 不参加有损于内部审计职业或机构的行为；遵守并贡献于机构的合法道德目标。 在收集、评价和沟通有关被检查的活动或过程的信息中，内部审计人员要展示 其最大的职业客观性。在其作出判断的过程中，不应受其个人喜欢或他人的不 适当影响，对所有的相关环境作出公正的评价；尊重其收到信息的价值和所有 权，除非在合法或职责允许的情况下，不经过授权不披露信息。应谨慎使用和 保护在其职责中获取的信息，不应以个人的目的，或者以任何有背于法律或有 害于机构的合法道德目标利用信息。 3 3 内部审计参与风险管理的动因 内部审计之所以涉足风险管理领域，主要有以下两个原因： 1 、企业面临的风险日益增大近年来，随着社会经济的发展，特别是经济全 球化及国际化程度的加深，使企业经营环境变得日趋复杂，企业经营风险也大 大增加知识经济的到来，更使企业的风险雪上加霜。因此，减少企业面临的 风险是组织实现目标的关键，也是企业的管理人员十分关心的问题。内部审计 的目的在于增加组织的价值和改善组织的经营，内部审计人员是企业的管理咨 1 7 内部审计参与风险管理 询师，因此，内部审计部门和内部审计人员参与企业的风险管理也就顺理成章 了。 2 、内部审计自身对发展的渴求，内部审计部门为了不断地发展，为了在企 业中担当更重要的角色和发挥更重要的作用，总是不断寻找新的对企业又十分 重要的领域，企业经理人员对风险的空前重视，为内部审计发展提供了一个绝 好的机会。内部审计对风险管理的介入，将会使内部审计在企业中成为一个重 要的角色，并将其在企业中的作用推向一个新水平。正因如此，内部审计师的 职业组织国际内部审计师协会才不遗余力地倡导内部审计师进军这一领 域，把风险管理作为内部审计的重要领域直接写入了内部审计的定义。 3 4 内部审计介入企业风险管理的独特优势 由于其自身的特点，内部审计参与风险管理拥有一定的优势。内部审计部 门和人员熟悉本单位情况，对企业面临的风险更了解；内部审计部门和人员是 企业内部成员，其利益同企业发展、兴衰密切相关，对防范企业风险、实现企 业目标有着更强烈的责任感；内部审计部门不同于其他部门，不从事企业具体 业务，其职能独立于业务管理部门，可以跳出业务各环节的圈子，从全局出发、 综合客观地对风险进行识别和评价，采取有效的风险控制措施。内部审计部门 的独立性使其不同于其他风险管理部门，作为高层次的监督部门，其风险评估 意见直接报告给董事会，足以引起管理当局的重视。内部审计的独立地位还便 于其充当企业长期风险策略与各种政策的协调人，通过对长短期计划的调节， 调控、指导企业的风险管理策略。对于现代企业来说，风险无处不在。内部审 计的责任就是找出组织的主要风险。内部审计机构有