【摘要】 文章根據(jù)美國COSO委員會《企業(yè)風險治理框架》的要求，結(jié)合實際，闡述風險治理體系及風險治理要素，指出內(nèi)部審計在公司風險治理中的作用，以促進公司發(fā)展目標的實現(xiàn)。
　　【關鍵詞】 風險； 內(nèi)部審計； 風險治理
　　
　　我國改革開放的不斷深入，給公司的發(fā)展帶來了更多的機遇與挑戰(zhàn)，如何在市場的大潮中抓住機遇，規(guī)避風險，成為公司面臨的重要難題。內(nèi)部審計作為公司治理的三大基石之一，有效防范風險，為保障公司的安全經(jīng)營和促進公司的健康發(fā)展，發(fā)揮著越來越重要的作用。
　　
　　一、風險的概念
　　
　　風險是反映客觀事物本質(zhì)屬性的思維形態(tài)，是科學研究的成果。風險是對企業(yè)目標實現(xiàn)產(chǎn)生影響的事項發(fā)生的不確定性，風險和機遇并存，是一個全面的概念。風險不僅包括負面的不確定性，還包括正面效應的不確定性。負面效應專指危險，是損失發(fā)生及其程度的不確定性。對于危險需要識別、衡量、防范和控制，即對危險進行管理。正面的效應是指機會，對于機會，需要識別、衡量、選擇和獲取。因此，要以積極的態(tài)度對待企業(yè)風險。企業(yè)的風險不僅是可以規(guī)避的，而且是可以選擇和利用的。
　　風險由三要素構(gòu)成，即風險因素、風險事故和風險損失。風險因素，是對所有可能導致風險發(fā)生的各種因素的總稱。根據(jù)其性質(zhì)，風險因素一般分為物質(zhì)風險因素、道德風險因素和心里風險因素。風險事故，是指各種風險因素作用下發(fā)生的不利風險事件，可能引起傷亡或財產(chǎn)損失的偶發(fā)事件，既是造成風險損失的直接原因，又是直接由風險因素導致的后果。風險損失，是指風險事故一旦發(fā)生所造成的損失，一般是指由于自然災害或意外事故而造成的。
　　由于風險影響著企業(yè)的生存能力和競爭能力；影響著企業(yè)維持自己財務方面的穩(wěn)固、正面的公共形象；影響著企業(yè)的產(chǎn)品、服務及員工的整體品質(zhì)，因此，對企業(yè)進行風險管理可以積極預防和控制風險，能夠在一定程度上消除和減少風險發(fā)生對社會資源的浪費，從而提高社會資源的利用效率；能夠在一定程度上消除和減少風險發(fā)生給社會經(jīng)濟帶來的災害及由此引發(fā)的不良后果，有助于社會經(jīng)濟的穩(wěn)定發(fā)展；能夠在一定程度上消除和減少對風險的焦慮，增加安全感，從而提高生活質(zhì)量。從全社會的角度看，全面風險管理的意義有助于維護社會安定團結(jié)，構(gòu)建和諧社會。
　　
　　二、公司目標的實現(xiàn)與風險治理的關系
　　
　　每個組織的存在都有其目標，公司作為組織的一種形式，也同樣有其目標。國家電網(wǎng)公司的發(fā)展目標是建立“一強三優(yōu)”現(xiàn)代公司。在公司實現(xiàn)目標的過程中，存在著影響目標實現(xiàn)的不確定性因素，這種不確定性，就是風險。風險是與機遇共存的。公司治理層的一項重要職責就是在抓住機遇的同時，建立一個良好的風險治理體系，來識別、評價和控制風險，為公司目標的實現(xiàn)提供合理的保證。內(nèi)部審計在風險治理中的作用就是監(jiān)控、檢查、評估、報告公司治理層風險治理過程的充分性和有效性，提出改進意見，幫助公司改進風險治理與控制體系，從而為公司增加價值。在現(xiàn)代內(nèi)部審計實務中，從項目計劃到現(xiàn)場實施以致評價總結(jié)，都是圍繞著公司目標實現(xiàn)的風險控制這一主題開展的。
　　
　　三、開展風險管理的要素
　　
　　在公司風險治理體系中，要對風險治理過程的充分性和有效性進行評價。根據(jù)美國COSO委員會《企業(yè)風險治理框架》的要求，建立風險治理體系包括相互關聯(lián)的八個風險治理要素，這八個要素貫穿在公司風險治理的全過程中，為實現(xiàn)公司目標提供保證。這八個要素分別是：內(nèi)控環(huán)境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監(jiān)控。
　?。ㄒ唬﹥?nèi)控環(huán)境
　　內(nèi)部環(huán)境主要是指在公司管理等活動中樹立風險治理理念，營造一種風險治理文化氛圍，為其他風險治理要素打下基礎。在公司的整個組織體系中，包括各環(huán)節(jié)和部門樹立風險治理的理念，使風險管理理念貫穿到每一個員工和崗位，在公司上下營造出風險管理的文化氛圍十分重要。在風險管理中，風險管理不是某一個人或部門的事情，而是公司全體員工的事情，只有將風險管理的理念深入到公司全體員工中，為風險管理創(chuàng)造良好的環(huán)境，風險管理工作才能開展好。風險管理的內(nèi)控環(huán)境是基礎，沒有一個良好的內(nèi)控環(huán)境，風險管理將無從談起。
　?。ǘ┠繕酥贫?br/>　　作為公司風險治理體系的第二個要素是目標制定，即公司的管理當局在風險管理體系中必須首先確定公司的目標，只有確定了公司的目標，在圍繞公司目標的實現(xiàn)下，再確定對公司目標的實現(xiàn)有潛在影響的事項。不同的公司有不同的目標追求，電力公司的目標是創(chuàng)建“一強三優(yōu)”現(xiàn)代公司，圍繞這一目標的實現(xiàn)，國家電網(wǎng)公司下屬各公司要根據(jù)各自的不同情況，確定所需完成的任務，在預定的期限內(nèi)，在公司內(nèi)部層層分解和落實。近年來，山西電力公司內(nèi)部開展了一系列的內(nèi)部管理活動，這些活動都是圍繞國網(wǎng)公司創(chuàng)建“一強三優(yōu)”現(xiàn)代公司的總體目標，結(jié)合山西公司的實際情況而開展的風險治理活動。
　　（三）事項識別
　　在公司的日常經(jīng)營活動中一些事項會對公司帶來風險，這些事項主要有：財務和經(jīng)營信息的可靠性和完整性；經(jīng)營的效果和效率；資產(chǎn)的保護；遵循法律、法規(guī)及合同的情況；其他事項等。這些事項都需要公司的管理者對其進行識別、評估和反應，其識別、評估和反應就是對風險的識別。識別風險因素之所以重要，不僅在于有利于從風險產(chǎn)生的根源入手識別出企業(yè)所面臨的風險，更重要的是一旦確定了主要風險因素，有利于抓住主要矛盾，有利于企業(yè)管理重要風險。
　?。ㄋ模╋L險評估
　　對風險事項識別后要進行風險評估，風險評估可以使管理者了解潛在事項如何影響公司目標的實現(xiàn)。對風險評估要從兩個方面進行，即風險發(fā)生的可能性和風險發(fā)生的后果。風險發(fā)生的可能性是指風險事項發(fā)生的概率，即多大程度的風險事項可能成為事實，一定會出現(xiàn)的事情不能稱為風險。風險發(fā)生的后果是指風險發(fā)生后所造成的影響。在風險評估中，風險發(fā)生的可能性和風險發(fā)生的后果要綜合考慮，對于風險的評估要從公司戰(zhàn)略和目標的角度進行。開展風險評估，應當準確識別實現(xiàn)與控制目標相關的內(nèi)部風險和外部風險，確定相應的風險承受度。企業(yè)應當采用定性與定量相結(jié)合的方法，按照風險發(fā)生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優(yōu)先控制的風險。
　?。ㄎ澹╋L險反應
　　風險反應是對風險的應對措施，可以分為規(guī)避風險、減少風險、共擔風險和接受風險四種。對于每一個重要的風險，公司都應考慮所有的風險反應方案。有效的風險治理要求管理者選擇可以使公司風險發(fā)生的可能性和影響都在風險容忍度之內(nèi)的風險反應方案。規(guī)避風險是公司的管理者或公司認為不能承擔風險所帶來的后果而采取措施進行規(guī)避；減少風險是指采取措施將風險發(fā)生的可能性和后果降低；共擔風險是尋找公司外部合作人共同面對以承擔風險發(fā)生的后果；接受風險是指獨立承擔風險發(fā)生的后果。由于風險和利益是共存的，在面對風險時采取怎樣的風險反應，是根據(jù)公司決策者的風險偏好和公司實際能力而確定的。
　?。┛刂苹顒?br/>　　控制活動是指公司管理層在確定風險反應方式后，為保證風險反應方案得到正確執(zhí)行而進行的管理活動，這些管理活動包括相關政策和程序。在日常管理工作中遵循的法律法規(guī)、規(guī)章制度、制定的業(yè)務流程，均為風險管理中的控制活動，其目的就是保證公司高層所決定的風險反應而采取的風險應對措施能有效執(zhí)行。這些管理活動存在于公司的各個層面和各個部門。
　　（七）信息和溝通
　　風險是變動的，這就決定風險治理也是隨時變化的，需要在風險治理體系中，對風險治理的相關信息進行確認、捕捉和傳遞，以隨時了解公司面對的風險的變化。信息和溝通在公司風險治理中占有十分重要的地位，沒有有效的信息歸集處理和充分的溝通，就會使公司的風險治理僵化而沒有活力，會造成公司陷于莫大的風險當中。
　　
　?。ò耍┍O(jiān)控
　　風險治理中的另一個要素是監(jiān)控。通過持續(xù)有效的監(jiān)控，用以保證風險治理在公司內(nèi)務治理層面和各部門持續(xù)得到執(zhí)行。監(jiān)控用于評價公司風險治理活動中風險反應方案是否得到有效執(zhí)行，同時還可測試風險反應方案是否完善有效，以及發(fā)現(xiàn)新的風險。監(jiān)控應定期和全面，定期是指在持續(xù)的公司風險監(jiān)控中，對某一環(huán)節(jié)或業(yè)務要定期監(jiān)控；全面是指在公司風險管理環(huán)節(jié)中，對重要風險管理進行全面監(jiān)督。在監(jiān)督中，對所評價的方面要有評價結(jié)果。
　　
　　四、內(nèi)部審計在風險治理中的作用
　　
　　從風險治理的八個要素可以看出，風險治理也就是風險管理的過程，是為有效實現(xiàn)公司目標，降低風險而開展的管理活動。內(nèi)部審計的定義是：內(nèi)部審計是一種獨立、客觀的保證與咨詢活動，旨在增加價值和改善組織運營。它通過應用系統(tǒng)的、規(guī)范的方法，評價和改善風險管理、控制及治理程序的效果，幫助組織實現(xiàn)其目標。所以在風險治理中，內(nèi)部審計發(fā)揮著重要的作用。
　　管理活動分為四個主要環(huán)節(jié)，分別為：確立目標、建立制度、監(jiān)督評價和改進。在確立目標環(huán)節(jié)，要制定切實可行的目標，目標不能期望過高，也不能太低。目標確立太高，難以實現(xiàn)；太低浪費公司資源，不能取得合理收益。在建立制度環(huán)節(jié)要從簡高效，注重風險控制。繁瑣的內(nèi)部控制制度影響了公司運作效率，造成不必要的浪費，太簡將會帶來較大風險。在有效的公司管理中，要輔以公司文化、道德規(guī)范和違規(guī)成本等措施來約束管理行為。在監(jiān)督評價環(huán)節(jié)，要開展全面有效的監(jiān)督與評價工作，來監(jiān)督簡約的管理制度有效執(zhí)行，確保目標的實現(xiàn)。在改進環(huán)節(jié)要充分重視監(jiān)督評價的結(jié)果，對管理制度乃至目標進行調(diào)整，以使公司利益最大化。在這四個管理環(huán)節(jié)中，內(nèi)部審計均發(fā)揮著十分重要的作用。
　　（一）對風險治理的充分性和有效性進行評價
　　在風險治理中，風險治理的充分性和有效性是十分重要的。首先對公司面臨的風險要有充分的認識，才能夠進行風險的應對。風險識別貫穿在風險治理的全過程，從目標制定開始到監(jiān)控，風險治理的每個環(huán)節(jié)都要充分地識別風險。風險的識別由審計部門和業(yè)務部門從內(nèi)部控制的角度出發(fā)共同來進行。審計部門并不直接對業(yè)務部門去識別風險，建立風險模型，而是以內(nèi)部審計的專業(yè)方法和手段，從內(nèi)部控制的角度出發(fā)，全面檢視業(yè)務部門的業(yè)務流程，協(xié)助或者評價業(yè)務部門建立風險模型，制定風險反應方案。風險治理模型確定后，內(nèi)部審計部門要對風險治理的有效性進行評價，以確定風險反應方案是否能夠被實際操作，風險反應方案是否被嚴格執(zhí)行，這是風險治理的一個重要環(huán)節(jié)。在實際操作中，主要從以下幾個方面進行評價：
　　1.評價公司戰(zhàn)略目標的制定是否科學合理，符合公司的實際；2.評價部門分解目標能否支持整體目標的實現(xiàn)；3.評價治理層對風險的識別和評估是否準確；4.評價風險反應方案是否完善，能否將風險發(fā)生的可能性和影響都控制在風險容忍度之內(nèi)；5.風險監(jiān)控是否持續(xù)有效。
　?。ǘ┨峁┳稍兎?br/>　　在公司風險治理中，內(nèi)部審計部門承擔的一個主要職責是提供咨詢服務。一是要在公司各個層面樹立風險意識，使公司的每一個員工都建立起風險的概念。二是對全體員工進行風險識別的培訓，使每名員工能夠有效識別風險并提出有效控制措施。三是召開風險評估和控制專題討論會，對公司面臨的重大風險進行專題研討，在討論會上要召集公司內(nèi)外部的專家共同進行研討。四是開發(fā)自我評估工具，對風險治理進行深入研究，利用現(xiàn)代技術開發(fā)適合本公司的評估工具。
　　（三）發(fā)揮協(xié)調(diào)作用
　　在公司風險治理中，內(nèi)部審計部門要發(fā)揮協(xié)調(diào)作用。風險治理除了要對本單位、本部門存在的風險進行治理外，同時還要圍繞公司整體目標開展治理。在公司風險治理中，某項時間可能不會對本部門本單位帶來風險，但可能會對公司其他部門帶來風險，這期間內(nèi)部審計部門就要起到協(xié)調(diào)的作用，站在公司整體的角度，協(xié)調(diào)各部門共同管理，以防范由于錯誤決策帶來風險。
　?。ㄋ模┍O(jiān)督評價與改進
　　在公司風險治理中，風險是否發(fā)生變化、有沒有新的風險出現(xiàn)、風險反應方案是否被嚴格執(zhí)行、風險反應方案是否需要修正，這需要內(nèi)部審計部門在例行的監(jiān)督評價過程中加以確認，并報告給公司高層管理部門和相關部門，決定是否加以改進。在監(jiān)督中內(nèi)部審計部門要按照有關的原則進行。
　　1.根據(jù)風險評估結(jié)果和公司高層關注重點，按照風險評估大小和公司高層關注度確定審計計劃。2.審計內(nèi)容要包括風險的變化度、風險反應方案執(zhí)行結(jié)果和需改進的建議。3.定期開展風險評估，審計對象要全面，要覆蓋到公司風險管理的全方位。
　　總之，隨著全球一體化經(jīng)濟的不斷發(fā)展，市場競爭越來越復雜而多變，在實現(xiàn)創(chuàng)建“一強三優(yōu)”現(xiàn)代公司的總體目標下，為有效地降低公司風險，內(nèi)部審計在公司風險治理過程中發(fā)揮著重要的作用?！?br/>