導語：內部審計在董事會風險認知偏差的運用一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

[摘要]在信息化和科技化時代，風險愈加復雜和未知，企業強化風險管理的重要性凸顯，需要及時、準確感知面臨的風險，做出科學的決策，而這一決策又容易受到風險認知的影響。因此，為了減弱董事會做出不當決策的風險，內部審計通過發揮監督和協同作用能夠緩解風險認知偏差帶來的影響。創新之處在于嘗試從關鍵風險參與者角度分析董事會產生風險認知偏差的原因，并通過內部審計發揮在風險管理中的作用，推動董事會、高管層與內部審計在風險管理中的戰略協調和默契協作，使董事會做出正確的戰略決策。

[關鍵詞]風險管理；內部審計；風險認知；風險認知偏差；董事會

一、引言

在信息化和科技驅動的動態市場中，企業在獲利的同時，面臨更多無法預知、復雜的風險，因此風險管理成為企業管理的核心，董事會在風險管理中起重要作用，需要對其進行動態管理，以確保企業目標的先進性和合理性，這種自上而下的管理，能有效預防未來風險的發生。由于董事會負責制定總體風險管理策略和做出各項重大決策，對關鍵風險和企業管理風險能力的評價是否真實客觀，應該引起關注。在面臨環境復雜和信息匱乏時，為了做出恰當的決策，人們試圖通過發現可辨別的模式來幫助他們預測各種結果的可能性，從而了解周圍的環境。這些粗略的評估通常可以做出快速、可靠的決策（Slovic等，1985），但也很容易出錯，這些錯誤的特征是認知偏差，是人們無法運用統計推理進行評估和決策（Tversky，Kahneman，1983年）。Muhammad Ishfaq（2020）認為在制定風險管理策略時，應考慮認知偏差的影響[1]。在面對危機時，決策者相對于常規決策出現認知偏差的風險增加，提高風險認知能力有利于提高其危機應對能力，進而做出科學的決策（王郅強,姜嘉林，2015）[2]。國際內審協會在《風險管理2020：理解、協調和優化風險指南》報告中指出，“與高管層相比，董事會對企業應對關鍵風險的能力始終持樂觀態度。對于某些風險，董事會對企業應對這些風險能力的評價遠高于高管層或CAE”。董事會的主觀認識與客觀風險管理之間的偏離，是認知偏差的一種體現，這種偏差會影響董事會做出相關決策。由于董事會、高管層和內部審計是風險管理的關鍵參與者，從風險管理參與者的角度分析董事會對企業風險管理產生認知偏差的原因，并通過加強風險管理參與者之間的協作，從縮小風險認知偏差的角度，減小董事會因這種認知偏差做出不當決策的風險，確保企業目標能夠在越來越復雜的外部環境中始終保持合理性并得以實現。

二、相關概念

（一）風險認知。Slovic (1987) 較早提出了風險認知的概念，他認為風險認知是指個體對于客觀風險的感受和認識[3]，對風險進行判斷、評估以及管理的過程。風險認知通常產生于危機或消極事件發生后，個體對相關風險信息感受、傳遞與處理的心理過程（方曼，2015）[4]。因此，風險認知是指個體在了解某一風險的影響程度時，對客觀風險的主觀感受、直觀判斷、評估和反應的認知過程，不同的風險認知引發不同的態度和決策傾向。Nguyen, L., Gallery, G.等（2019）認為風險認知直接影響投資決策，較高的風險認知水平有利于領導者做出更完善的決策[5]。（二）風險認知偏差。譚翀,張亦慧（2011）認為風險認知偏差是指個體在認識和判斷風險的過程中，表現出的某種偏離或偏離傾向[6]。由于受到個體知識的有限性、認知習慣、對信息的經驗判斷、心理特征等內在因素和客觀風險的性質、風險信息真實性等外在因素干擾，在風險認知過程中不可避免會對客觀風險產生不同程度的偏離。王郅強,姜嘉林（2015）基于認知心理學從危機信息的搜集、整理、評估、共享四個階段分析決策者出現認知偏差的原因[2]。風險認知偏差具有傳導性，在風險管理中，表現為對風險管理不同程度的高估或低估，這一偏差最終體現在行為決策中。大多數人認為在風險認知上出現一些偏差，這是可以接受的。雖然基于不同的角色，與風險相關的個人知識產生的偏差在一定范圍內可能是可以接受的，但站在組織層面，對于企業管理風險能力的認知不一致是一個嚴重的問題，如果低估企業風險管理缺陷的嚴重程度，對企業應對風險的能力過于樂觀，可能會給企業帶來危機。為了縮小這種認知偏差，李春玲,王晶等（2020）從心理學和行為學角度，從企業內部、第三方機構、監管部門三個層面,提出了加強認知的對策與建議[7]。

三、董事會產生風險認知偏差的原因分析

（一）管理層信息溝通的機會主義風險。信息是了解企業風險管理的基礎，信息的充分性和可靠性，很大程度上影響董事會的風險認知過程。由于董事會一般不直接參與組織日常經營活動，與高管層相比缺乏信息優勢，在信息的獲取上處于被動地位。董事會獲取的信息主要來源于高管層提供的信息，美國企業董事協會（NACD）連續兩年對上市公司治理調查發現，董事會在審查管理層信息方面花費的時間是外部信息來源的兩倍，這表明董事會嚴重依賴管理層的觀點和分析，然而高管層通常對所傳達的內容持謹慎態度，篩選提供給董事會的信息，將經營業績較好的一面展現給董事會，或者避重就輕，粉飾可能對自己產生不利影響的信息，董事會在查閱經高管層粉飾的信息后，易產生對企業風險和機遇的認知偏差，高估企業應對風險的能力。另外，高管層對風險的溝通也通常表現為應急化、非常態化的應急溝通，使得董事會缺乏足夠高質量的信息動態了解企業目前的真實情況和未來的發展。 董事會在對獲取的信息進行分析判斷時，一般對高管層提供的信息沒有表現出應有的職業懷疑，這是因為董事會一般選擇值得信任的人擔任高管，存在過于信任高管層的傾向。Jonathan R. Macey（2015）將深信管理層不會犯錯稱為“俘獲”，他通過對環聯、安然等公司治理危機深入研究分析，認為董事會存在易被管理層所俘獲的傾向，始終信任管理層[8]，這種不理性的信任高估了高管層的能力，相信高管層能夠妥善應對這些風險。如果董事會不能在信任中質疑，在經高管層粉飾后的信息的基礎上進行分析，對企業風險管理能力的認知就容易受到這些信息的影響，無法對關鍵風險和企業管理風險的能力做出真實客觀的評價，就很容易在信息分析評估階段產生風險認知偏差，使行為偏離最優決策。（二）內部審計未能充分發揮在風險管理中的作用。在經濟信息化和全球化背景下，企業面臨的網絡安全、數據和新技術風險、第三方風險等關鍵風險更加不確定和隱蔽，企業越來越重視風險管理。但是，我國的內部審計起步較晚，發展滯后于時代需求，風險導向內部審計在企業中的應用還不成熟。研究表明只有極少的內部審計工作上升到企業的戰略層面，大多數還停留在業務流程層面，更關注發現風險點和后續采取的防范措施，過于重視風險的消極影響，忽視了風險為企業帶來的機遇，風險管理意識淡薄。另外，仍有很多企業對內部審計的重視不夠，并沒有單獨設立內部審計部門，組織地位較低，內部審計的獨立性和權威性不足，使得審計工作的開展受限。加之，在大數據環境下，內部審計面臨復合型審計人才缺乏、審計技術落后等挑戰，也使得內部審計在風險管理中未能充分發揮作用，審計效率和質量不高，董事會能夠從內部審計提供的信息中對風險管理的了解有限，不能滿足企業對內部審計的期望。

四、內部審計在加強董事會風險認知中的作用

董事會、高管層與內部審計之間的戰略性協調和默契協作至關重要，能夠縮小他們對企業風險管理的認知偏差。Joscelyne, J.Graham（2004）認為在實踐中，維持董事會、高管層和內部審計之間的真正平衡是一項艱難的任務[9]。在風險管理中，董事會設定風險偏好并為企業持續價值創造提供戰略監督，可以借助內部審計緩解信息不對稱，更好地了解企業的現狀，從而更好地履行風險管理的監督職能；高管層是風險管理的執行者，負責建立并維持良好的風險管理，內部審計可以為其提供咨詢服務，協助高管層有效履行這些責任。IIA 在《內部審計勝任條件框架》表明：內部審計正向風險管理和風險防范方向發展。內部審計雖然不參與具體的業務活動，但是處于企業內部，在開展審計時，不可避免與各職能部門交流溝通，既能深入到各部門了解其對風險管理的執行情況，又能結合企業的戰略目標，從全局整體把握和分析企業的風險，識別風險隱患。內部審計相對獨立的地位，使其能夠運用科學合理的評估方法，從整體客觀地評估風險的正面和負面效應，客觀評價風險管理的有效性，為董事會做出科學決策提供獨立的判斷依據，具有較高的參考價值，可以提高董事會決策的合理性和可行性，減弱對風險管理認知偏差造成的風險。可見，通過內部審計發揮在風險管理中的監督與協同作用，是實現董事會、高管層與內部審計之間戰略性協調和默契協作的途徑之一。

五、內部審計在管控董事會風險認知偏差中的監督與協同機制

（一）定期進行企業風險認知評價機制。通過組織企業風險認知評價，了解董事會、高管層和內部審計對關鍵風險的理解和應對風險的管理能力，引起他們對可能存在的差距的關注，通過加強協調和協作，增進彼此之間的一致性，形成合力，強化風險管理，從而提高企業應對風險的能力。風險認知評價可以采用評分制，通過對企業風險管理能力的認識和個人對風險的了解兩個維度，繪制他們在各個關鍵風險中的位置，不僅可以了解他們如何看待某種風險，還可以圖形化地說明三者之間的一致程度，對認知偏差較大的風險分析其產生差異的原因，通過這些分析使董事會、高管層和內部審計對企業風險管理現狀有準確的認識，并基于風險采取針對性措施，也為企業風險管理規劃提供了方向。 （二）建立有效的管理層激勵與約束機制。由于董事會在信息獲取上處于劣勢，為了避免高管層利用信息優勢獲利，出現逆向選擇，需要建立有效的激勵與約束機制，保障董事會的利益，緩解信息不對稱帶來的風險。龔明曉（2000）認為應將內部審計納入激勵的范疇，激勵貫穿于責任履行的全過程，在很大程度上需要內部審計實現對人行為過程的控制和行為結果的評價[10]。內部審計對激勵機制具有促進作用，通過對激勵機制的合理性、可行性和有效性進行評估，不斷完善激勵機制，能一定程度抑制管理層存在的機會主義行為。董事會也可以將高管層配合內部審計這一指標納入考核制度，對積極配合審計人員工作的進行薪酬、福利等獎勵。一方面高管層以咨詢的身份與內部審計人員一起對風險進行頭腦風暴并探討應對計劃的改進，在協作互動中，管理層可以逐漸理解內部審計的工作以及發揮的作用，自上而下的宣傳內部審計的理念，緩和各部門對審計人員的戒備心理，帶頭積極配合審計的工作，從而營造良好的審計工作環境，為實現審計高質量發展奠定了基礎，使得內部審計可以更好地協助高管層進行全面風險管理；另一方面高質量的內部審計又進一步約束高管層的行為，促進企業健康發展。（三）建立基于動態信任評價的管理層問責機制。正確處理好信任關系，能對風險認知起調和作用。對于高管層，董事會需要尋求平衡點，在信任中保持質疑，迫使管理層就關鍵風險、管理缺陷以及彌補缺陷而采取的措施等重大事項做出更多解釋說明，更深地介入到企業風險監控方面，充分發揮董事會的監督職能，董事會監督不足往往是造成企業丑聞的根源。在風險管理中，容易出現責任錯位現象，例如在投資風險管理方面，當高管層做出正確的投資決策時，相應的激勵機制更多偏向于決策人，而風險管理部門的貢獻隱性化；相反，如果高管層做出不當的投資決策，給企業帶來損失時，風險管理部門將承擔更多的責任。高管層在溝通時，存在規避對自己不利影響信息的風險，弱化自己的責任，這對董事會和高管層的信任關系影響很小，容易高估高管層的能力。因此，可以建立基于動態信任評價的管理層問責機制，強化高管層的責任，加強風險管理。該動態信任評價分為直接信任評價和間接信任評價，直接信任評價是基于高管層對企業經營管理情況、風險管控工作、投資決策等進行評價，可以參考高管層的績效考核結果；間接信任評價是通過內部審計對高管層的相關行為的審核，間接評價信任值，例如，對于高管層所提供的信息，涉及關鍵風險的材料，可以征求內部審計的意見，以核實信息是否完整或準確，當信息似乎不正確或未及時提供時，追查其粉飾信息的動機，強化責任界定，要求高管層負責，增加高管層的信任損失，加大失責成本。結合直接信任評價和間接信任評價，綜合評估信任等級，并對應各等級制定對策。當高管層信任評價等級低時，越需要董事會對其提供的信息提出批判性的質疑，打破過于信任高管層的現狀，在高質量信息的基礎上對企業風險管理情況進行了解。另外，高管層可以通過完善風險管理、提高信息質量等行為進行信任修復。（四）構建和深化內部審計的監督與協同機制。1．建立總審計師制度，推動內部審計轉型。由于內部審計的目標與實現企業目標相一致，董事會可以借助內部審計很好得了解企業。董事會應加大對內部審計的投入力度，推動建立總審計師制度，重視內部審計在企業風險管理中的作用。總審計師制度的建立有利于將內部審計人員的地位和權力落實到位，更好更深入地參與企業管理決策，更全面地了解企業發展戰略，了解組織高層關注的問題及其期望，找到最迫切的需求，合理分配審計資源。一方面確保審計成果能夠滿足企業高層的需求，得到高層的支持；另一方面管理當局最關心的事項往往更具有戰略性和前瞻性，使得內部審計對董事會提供的信息更具有參考性，有利于將審計工作上升到企業的戰略層面，推動內部審計轉型升級，充分發揮內部審計在風險管理中的作用，提供建設性意見，協助董事會保持質疑，增加企業風險戰略決策的可行性程度，更好地改善企業風險管理。2.在戰略層面發揮確認職能，深化內部審計的監督 。內部審計應站在企業層面的高度，開展審計工作，做好董事會的參謀。在審計過程中，以風險管理為出發點，將風險與企業戰略和目標相結合，識別出影響企業目標實現的風險和機遇，采用風險組合觀從企業目標角度分析其可能性和影響程度，確認關鍵風險，并評估企業應對該風險的能力，在風險發生前將其遏制，實現審計關口的前移。在企業層面開展審計工作，對內部審計提出了更高的要求，審計人員需要培養政策變化、環境變化等敏感意識，識別企業面臨的潛在風險和機遇；需要主動學習，不斷學習，應對審計工作面臨的挑戰；需要推動審計信息化，實現實時監控，確保審計的時效性，及時發現風險。現實中，由于很少區分應急溝通和風險溝通，通常將二者混為一談，使得風險溝通表現出應急化、非常態化的特征。內部審計應加強有效的風險溝通，重塑董事會對企業應對風險能力的認知，當發現對企業產生不利影響、與風險管理相關的重大審計事項或管理層接受了企業無法承擔的風險偏好，應及時向董事會溝通，并報告相關事項的處理措施，使董事會能動態掌握風險管理的情況，有利于履行風險管理的監督責任。3．增強服務意識，協助高管層建立或完善風險管理系統。內部審計應意識到以幫助企業改善管理為目的才能充分發揮自身的價值，而不是站在企業的對立面，以糾錯為目的。當發現問題時，應將審計重點放在分析問題產生的原因和從整體考慮可能造成的影響上，為實現企業目標考慮，從管理者的角度，提出建設性建議，切實幫助企業解決問題，充分發揮咨詢職能，協助高管層建立健全突發事件應急處理預案、風險預警系統、風險管理系統等，實現企業全面風險管理，提高企業的風險應對能力。另外，增強內部審計工作的主動性，可以增強服務意識，通過嘗試開展各類審計項目，向高管層充分展示內部審計在改善企業風險管理方面的能力，從而贏取管理層的認可和重視。例如，將識別出的高風險領域，進行專項審計，讓審計覆蓋企業面臨的關鍵風險，充分發揮內部審計在風險管理中的作用，不斷提高內部審計在高管層心中的地位，使得高管層有意愿配合內部審計的工作。需要注意的是，內部審計在發揮咨詢服務時，應避免對風險進行管理，直接或間接地承擔管理層應承擔的責任。4．動態平衡確認和咨詢職能。董事會和高管層基于自身需求對內部審計在風險管理中的責任存在不同的需求，董事會更關注內部審計的確認職能，為企業風險管理的有效性提供客觀保證，高管層則更傾向內部審計的咨詢職能，協助建立健全企業風險管理。內部審計可能無法兼顧不同服務主體之間的不同需求，導致審計質量和地位下降，由于內部審計在風險管理中發揮的作用隨企業處于不同的風險管理成熟度而變化，因此可以結合企業自身風險管理成熟度，平衡咨詢與確認職能，最大限度的發揮內部審計在風險管理中的作用。例如，如果企業的風險管理較為混亂，風險成熟度處于初級階段，內部審計應充分發揮咨詢職能，協助高管層建立風險管理；相反，如果企業的風險管理比較成熟，內部審計應向確認職能傾斜，評估風險管理的有效性，改善風險管理缺陷。 

六、研究結論

隨著監管機構、投資者和公眾要求加強對董事會的監督，董事會需要獲取并利用比以往更全面更具時效性的與風險管理相關的信息，對動態中的企業保持敏銳的感知與判斷。董事會主要從高管層提供的信息中了解企業風險管理情況，由于高管層存在風險溝通的機會主義風險和董事會對高管層的過于信任風險，在對信息進行分析時，缺乏有效的信息甄別機制，易產生風險認知偏差，董事會在組織層面表現出對客觀風險認知的偏差，最終影響風險管理策略和相關決策的制定。本文認為內部審計通過發揮監督和協同作用能夠減少董事會風險認知偏差帶來的決策風險。首先，通過建立總審計師制度，使內部審計能夠更好的在企業戰略層面開展工作，推動內部審計轉型升級，充分發揮咨詢和確認職能，加強企業風險管理，縮小董事會的期望差距；其次，通過將高管層配合內部審計這一指標納入考核制度，加強高管層對內部審計的配合程度，促進管理層激勵與制約機制的有效實施，抑制高管層的機會主義風險，提高提供給董事會信息的質量，減弱由信息真實性外在因素造成的風險認知偏差；最后，通過建立基于動態信任評價的管理層問責機制，借助內部審計對管理層的間接評價，減弱董事會心理態度等內在因素對風險管理的認知偏差。內部審計監督與協同機制的建立，能夠促進董事會、高管層與內部審計之間的戰略協調和默契協作的實現，增進彼此的一致性。另外，通過組織企業風險認知評價，了解董事會、高管層和內部審計對關鍵風險的理解和應對風險的管理能力，重塑認知偏差較大的風險，也能使董事會準確判斷企業面臨的風險和機遇，做出正確的戰略目標和決策，實現良好的治理。

作者:王柳景 單位:南京審計大學