内部审计在董事会风险认知偏差的运用

[摘要]在信息化和科技化时代，风险愈加复杂和未知，企业强化风险管理的重要性凸显，需要及时、准确感知面临的风险，做出科学的决策，而这一决策又容易受到风险认知的影响。因此，为了减弱董事会做出不当决策的风险，内部审计通过发挥监督和协同作用能够缓解风险认知偏差带来的影响。创新之处在于尝试从关键风险参与者角度分析董事会产生风险认知偏差的原因，并通过内部审计发挥在风险管理中的作用，推动董事会、高管层与内部审计在风险管理中的战略协调和默契协作，使董事会做出正确的战略决策。

[关键词]风险管理；内部审计；风险认知；风险认知偏差；董事会

一、引言

在信息化和科技驱动的动态市场中，企业在获利的同时，面临更多无法预知、复杂的风险，因此风险管理成为企业管理的核心，董事会在风险管理中起重要作用，需要对其进行动态管理，以确保企业目标的先进性和合理性，这种自上而下的管理，能有效预防未来风险的发生。由于董事会负责制定总体风险管理策略和做出各项重大决策，对关键风险和企业管理风险能力的评价是否真实客观，应该引起关注。在面临环境复杂和信息匮乏时，为了做出恰当的决策，人们试图通过发现可辨别的模式来帮助他们预测各种结果的可能性，从而了解周围的环境。这些粗略的评估通常可以做出快速、可靠的决策（Slovic等，1985），但也很容易出错，这些错误的特征是认知偏差，是人们无法运用统计推理进行评估和决策（Tversky，Kahneman，1983年）。Muhammad Ishfaq（2020）认为在制定风险管理策略时，应考虑认知偏差的影响[1]。在面对危机时，决策者相对于常规决策出现认知偏差的风险增加，提高风险认知能力有利于提高其危机应对能力，进而做出科学的决策（王郅强,姜嘉林，2015）[2]。国际内审协会在《风险管理2020：理解、协调和优化风险指南》报告中指出，“与高管层相比，董事会对企业应对关键风险的能力始终持乐观态度。对于某些风险，董事会对企业应对这些风险能力的评价远高于高管层或CAE”。董事会的主观认识与客观风险管理之间的偏离，是认知偏差的一种体现，这种偏差会影响董事会做出相关决策。由于董事会、高管层和内部审计是风险管理的关键参与者，从风险管理参与者的角度分析董事会对企业风险管理产生认知偏差的原因，并通过加强风险管理参与者之间的协作，从缩小风险认知偏差的角度，减小董事会因这种认知偏差做出不当决策的风险，确保企业目标能够在越来越复杂的外部环境中始终保持合理性并得以实现。

二、相关概念

（一）风险认知。Slovic (1987) 较早提出了风险认知的概念，他认为风险认知是指个体对于客观风险的感受和认识[3]，对风险进行判断、评估以及管理的过程。风险认知通常产生于危机或消极事件发生后，个体对相关风险信息感受、传递与处理的心理过程（方曼，2015）[4]。因此，风险认知是指个体在了解某一风险的影响程度时，对客观风险的主观感受、直观判断、评估和反应的认知过程，不同的风险认知引发不同的态度和决策倾向。Nguyen, L., Gallery, G.等（2019）认为风险认知直接影响投资决策，较高的风险认知水平有利于领导者做出更完善的决策[5]。（二）风险认知偏差。谭翀,张亦慧（2011）认为风险认知偏差是指个体在认识和判断风险的过程中，表现出的某种偏离或偏离倾向[6]。由于受到个体知识的有限性、认知习惯、对信息的经验判断、心理特征等内在因素和客观风险的性质、风险信息真实性等外在因素干扰，在风险认知过程中不可避免会对客观风险产生不同程度的偏离。王郅强,姜嘉林（2015）基于认知心理学从危机信息的搜集、整理、评估、共享四个阶段分析决策者出现认知偏差的原因[2]。风险认知偏差具有传导性，在风险管理中，表现为对风险管理不同程度的高估或低估，这一偏差最终体现在行为决策中。大多数人认为在风险认知上出现一些偏差，这是可以接受的。虽然基于不同的角色，与风险相关的个人知识产生的偏差在一定范围内可能是可以接受的，但站在组织层面，对于企业管理风险能力的认知不一致是一个严重的问题，如果低估企业风险管理缺陷的严重程度，对企业应对风险的能力过于乐观，可能会给企业带来危机。为了缩小这种认知偏差，李春玲,王晶等（2020）从心理学和行为学角度，从企业内部、第三方机构、监管部门三个层面,提出了加强认知的对策与建议[7]。

三、董事会产生风险认知偏差的原因分析

（一）管理层信息沟通的机会主义风险。信息是了解企业风险管理的基础，信息的充分性和可靠性，很大程度上影响董事会的风险认知过程。由于董事会一般不直接参与组织日常经营活动，与高管层相比缺乏信息优势，在信息的获取上处于被动地位。董事会获取的信息主要来源于高管层提供的信息，美国企业董事协会（NACD）连续两年对上市公司治理调查发现，董事会在审查管理层信息方面花费的时间是外部信息来源的两倍，这表明董事会严重依赖管理层的观点和分析，然而高管层通常对所传达的内容持谨慎态度，筛选提供给董事会的信息，将经营业绩较好的一面展现给董事会，或者避重就轻，粉饰可能对自己产生不利影响的信息，董事会在查阅经高管层粉饰的信息后，易产生对企业风险和机遇的认知偏差，高估企业应对风险的能力。另外，高管层对风险的沟通也通常表现为应急化、非常态化的应急沟通，使得董事会缺乏足够高质量的信息动态了解企业目前的真实情况和未来的发展。 董事会在对获取的信息进行分析判断时，一般对高管层提供的信息没有表现出应有的职业怀疑，这是因为董事会一般选择值得信任的人担任高管，存在过于信任高管层的倾向。Jonathan R. Macey（2015）将深信管理层不会犯错称为“俘获”，他通过对环联、安然等公司治理危机深入研究分析，认为董事会存在易被管理层所俘获的倾向，始终信任管理层[8]，这种不理性的信任高估了高管层的能力，相信高管层能够妥善应对这些风险。如果董事会不能在信任中质疑，在经高管层粉饰后的信息的基础上进行分析，对企业风险管理能力的认知就容易受到这些信息的影响，无法对关键风险和企业管理风险的能力做出真实客观的评价，就很容易在信息分析评估阶段产生风险认知偏差，使行为偏离最优决策。（二）内部审计未能充分发挥在风险管理中的作用。在经济信息化和全球化背景下，企业面临的网络安全、数据和新技术风险、第三方风险等关键风险更加不确定和隐蔽，企业越来越重视风险管理。但是，我国的内部审计起步较晚，发展滞后于时代需求，风险导向内部审计在企业中的应用还不成熟。研究表明只有极少的内部审计工作上升到企业的战略层面，大多数还停留在业务流程层面，更关注发现风险点和后续采取的防范措施，过于重视风险的消极影响，忽视了风险为企业带来的机遇，风险管理意识淡薄。另外，仍有很多企业对内部审计的重视不够，并没有单独设立内部审计部门，组织地位较低，内部审计的独立性和权威性不足，使得审计工作的开展受限。加之，在大数据环境下，内部审计面临复合型审计人才缺乏、审计技术落后等挑战，也使得内部审计在风险管理中未能充分发挥作用，审计效率和质量不高，董事会能够从内部审计提供的信息中对风险管理的了解有限，不能满足企业对内部审计的期望。

四、内部审计在加强董事会风险认知中的作用

董事会、高管层与内部审计之间的战略性协调和默契协作至关重要，能够缩小他们对企业风险管理的认知偏差。Joscelyne, J.Graham（2004）认为在实践中，维持董事会、高管层和内部审计之间的真正平衡是一项艰难的任务[9]。在风险管理中，董事会设定风险偏好并为企业持续价值创造提供战略监督，可以借助内部审计缓解信息不对称，更好地了解企业的现状，从而更好地履行风险管理的监督职能；高管层是风险管理的执行者，负责建立并维持良好的风险管理，内部审计可以为其提供咨询服务，协助高管层有效履行这些责任。IIA 在《内部审计胜任条件框架》表明：内部审计正向风险管理和风险防范方向发展。内部审计虽然不参与具体的业务活动，但是处于企业内部，在开展审计时，不可避免与各职能部门交流沟通，既能深入到各部门了解其对风险管理的执行情况，又能结合企业的战略目标，从全局整体把握和分析企业的风险，识别风险隐患。内部审计相对独立的地位，使其能够运用科学合理的评估方法，从整体客观地评估风险的正面和负面效应，客观评价风险管理的有效性，为董事会做出科学决策提供独立的判断依据，具有较高的参考价值，可以提高董事会决策的合理性和可行性，减弱对风险管理认知偏差造成的风险。可见，通过内部审计发挥在风险管理中的监督与协同作用，是实现董事会、高管层与内部审计之间战略性协调和默契协作的途径之一。

五、内部审计在管控董事会风险认知偏差中的监督与协同机制

（一）定期进行企业风险认知评价机制。通过组织企业风险认知评价，了解董事会、高管层和内部审计对关键风险的理解和应对风险的管理能力，引起他们对可能存在的差距的关注，通过加强协调和协作，增进彼此之间的一致性，形成合力，强化风险管理，从而提高企业应对风险的能力。风险认知评价可以采用评分制，通过对企业风险管理能力的认识和个人对风险的了解两个维度，绘制他们在各个关键风险中的位置，不仅可以了解他们如何看待某种风险，还可以图形化地说明三者之间的一致程度，对认知偏差较大的风险分析其产生差异的原因，通过这些分析使董事会、高管层和内部审计对企业风险管理现状有准确的认识，并基于风险采取针对性措施，也为企业风险管理规划提供了方向。 （二）建立有效的管理层激励与约束机制。由于董事会在信息获取上处于劣势，为了避免高管层利用信息优势获利，出现逆向选择，需要建立有效的激励与约束机制，保障董事会的利益，缓解信息不对称带来的风险。龚明晓（2000）认为应将内部审计纳入激励的范畴，激励贯穿于责任履行的全过程，在很大程度上需要内部审计实现对人行为过程的控制和行为结果的评价[10]。内部审计对激励机制具有促进作用，通过对激励机制的合理性、可行性和有效性进行评估，不断完善激励机制，能一定程度抑制管理层存在的机会主义行为。董事会也可以将高管层配合内部审计这一指标纳入考核制度，对积极配合审计人员工作的进行薪酬、福利等奖励。一方面高管层以咨询的身份与内部审计人员一起对风险进行头脑风暴并探讨应对计划的改进，在协作互动中，管理层可以逐渐理解内部审计的工作以及发挥的作用，自上而下的宣传内部审计的理念，缓和各部门对审计人员的戒备心理，带头积极配合审计的工作，从而营造良好的审计工作环境，为实现审计高质量发展奠定了基础，使得内部审计可以更好地协助高管层进行全面风险管理；另一方面高质量的内部审计又进一步约束高管层的行为，促进企业健康发展。（三）建立基于动态信任评价的管理层问责机制。正确处理好信任关系，能对风险认知起调和作用。对于高管层，董事会需要寻求平衡点，在信任中保持质疑，迫使管理层就关键风险、管理缺陷以及弥补缺陷而采取的措施等重大事项做出更多解释说明，更深地介入到企业风险监控方面，充分发挥董事会的监督职能，董事会监督不足往往是造成企业丑闻的根源。在风险管理中，容易出现责任错位现象，例如在投资风险管理方面，当高管层做出正确的投资决策时，相应的激励机制更多偏向于决策人，而风险管理部门的贡献隐性化；相反，如果高管层做出不当的投资决策，给企业带来损失时，风险管理部门将承担更多的责任。高管层在沟通时，存在规避对自己不利影响信息的风险，弱化自己的责任，这对董事会和高管层的信任关系影响很小，容易高估高管层的能力。因此，可以建立基于动态信任评价的管理层问责机制，强化高管层的责任，加强风险管理。该动态信任评价分为直接信任评价和间接信任评价，直接信任评价是基于高管层对企业经营管理情况、风险管控工作、投资决策等进行评价，可以参考高管层的绩效考核结果；间接信任评价是通过内部审计对高管层的相关行为的审核，间接评价信任值，例如，对于高管层所提供的信息，涉及关键风险的材料，可以征求内部审计的意见，以核实信息是否完整或准确，当信息似乎不正确或未及时提供时，追查其粉饰信息的动机，强化责任界定，要求高管层负责，增加高管层的信任损失，加大失责成本。结合直接信任评价和间接信任评价，综合评估信任等级，并对应各等级制定对策。当高管层信任评价等级低时，越需要董事会对其提供的信息提出批判性的质疑，打破过于信任高管层的现状，在高质量信息的基础上对企业风险管理情况进行了解。另外，高管层可以通过完善风险管理、提高信息质量等行为进行信任修复。（四）构建和深化内部审计的监督与协同机制。1．建立总审计师制度，推动内部审计转型。由于内部审计的目标与实现企业目标相一致，董事会可以借助内部审计很好得了解企业。董事会应加大对内部审计的投入力度，推动建立总审计师制度，重视内部审计在企业风险管理中的作用。总审计师制度的建立有利于将内部审计人员的地位和权力落实到位，更好更深入地参与企业管理决策，更全面地了解企业发展战略，了解组织高层关注的问题及其期望，找到最迫切的需求，合理分配审计资源。一方面确保审计成果能够满足企业高层的需求，得到高层的支持；另一方面管理当局最关心的事项往往更具有战略性和前瞻性，使得内部审计对董事会提供的信息更具有参考性，有利于将审计工作上升到企业的战略层面，推动内部审计转型升级，充分发挥内部审计在风险管理中的作用，提供建设性意见，协助董事会保持质疑，增加企业风险战略决策的可行性程度，更好地改善企业风险管理。2.在战略层面发挥确认职能，深化内部审计的监督 。内部审计应站在企业层面的高度，开展审计工作，做好董事会的参谋。在审计过程中，以风险管理为出发点，将风险与企业战略和目标相结合，识别出影响企业目标实现的风险和机遇，采用风险组合观从企业目标角度分析其可能性和影响程度，确认关键风险，并评估企业应对该风险的能力，在风险发生前将其遏制，实现审计关口的前移。在企业层面开展审计工作，对内部审计提出了更高的要求，审计人员需要培养政策变化、环境变化等敏感意识，识别企业面临的潜在风险和机遇；需要主动学习，不断学习，应对审计工作面临的挑战；需要推动审计信息化，实现实时监控，确保审计的时效性，及时发现风险。现实中，由于很少区分应急沟通和风险沟通，通常将二者混为一谈，使得风险沟通表现出应急化、非常态化的特征。内部审计应加强有效的风险沟通，重塑董事会对企业应对风险能力的认知，当发现对企业产生不利影响、与风险管理相关的重大审计事项或管理层接受了企业无法承担的风险偏好，应及时向董事会沟通，并报告相关事项的处理措施，使董事会能动态掌握风险管理的情况，有利于履行风险管理的监督责任。3．增强服务意识，协助高管层建立或完善风险管理系统。内部审计应意识到以帮助企业改善管理为目的才能充分发挥自身的价值，而不是站在企业的对立面，以纠错为目的。当发现问题时，应将审计重点放在分析问题产生的原因和从整体考虑可能造成的影响上，为实现企业目标考虑，从管理者的角度，提出建设性建议，切实帮助企业解决问题，充分发挥咨询职能，协助高管层建立健全突发事件应急处理预案、风险预警系统、风险管理系统等，实现企业全面风险管理，提高企业的风险应对能力。另外，增强内部审计工作的主动性，可以增强服务意识，通过尝试开展各类审计项目，向高管层充分展示内部审计在改善企业风险管理方面的能力，从而赢取管理层的认可和重视。例如，将识别出的高风险领域，进行专项审计，让审计覆盖企业面临的关键风险，充分发挥内部审计在风险管理中的作用，不断提高内部审计在高管层心中的地位，使得高管层有意愿配合内部审计的工作。需要注意的是，内部审计在发挥咨询服务时，应避免对风险进行管理，直接或间接地承担管理层应承担的责任。4．动态平衡确认和咨询职能。董事会和高管层基于自身需求对内部审计在风险管理中的责任存在不同的需求，董事会更关注内部审计的确认职能，为企业风险管理的有效性提供客观保证，高管层则更倾向内部审计的咨询职能，协助建立健全企业风险管理。内部审计可能无法兼顾不同服务主体之间的不同需求，导致审计质量和地位下降，由于内部审计在风险管理中发挥的作用随企业处于不同的风险管理成熟度而变化，因此可以结合企业自身风险管理成熟度，平衡咨询与确认职能，最大限度的发挥内部审计在风险管理中的作用。例如，如果企业的风险管理较为混乱，风险成熟度处于初级阶段，内部审计应充分发挥咨询职能，协助高管层建立风险管理；相反，如果企业的风险管理比较成熟，内部审计应向确认职能倾斜，评估风险管理的有效性，改善风险管理缺陷。 

六、研究结论

随着监管机构、投资者和公众要求加强对董事会的监督，董事会需要获取并利用比以往更全面更具时效性的与风险管理相关的信息，对动态中的企业保持敏锐的感知与判断。董事会主要从高管层提供的信息中了解企业风险管理情况，由于高管层存在风险沟通的机会主义风险和董事会对高管层的过于信任风险，在对信息进行分析时，缺乏有效的信息甄别机制，易产生风险认知偏差，董事会在组织层面表现出对客观风险认知的偏差，最终影响风险管理策略和相关决策的制定。本文认为内部审计通过发挥监督和协同作用能够减少董事会风险认知偏差带来的决策风险。首先，通过建立总审计师制度，使内部审计能够更好的在企业战略层面开展工作，推动内部审计转型升级，充分发挥咨询和确认职能，加强企业风险管理，缩小董事会的期望差距；其次，通过将高管层配合内部审计这一指标纳入考核制度，加强高管层对内部审计的配合程度，促进管理层激励与制约机制的有效实施，抑制高管层的机会主义风险，提高提供给董事会信息的质量，减弱由信息真实性外在因素造成的风险认知偏差；最后，通过建立基于动态信任评价的管理层问责机制，借助内部审计对管理层的间接评价，减弱董事会心理态度等内在因素对风险管理的认知偏差。内部审计监督与协同机制的建立，能够促进董事会、高管层与内部审计之间的战略协调和默契协作的实现，增进彼此的一致性。另外，通过组织企业风险认知评价，了解董事会、高管层和内部审计对关键风险的理解和应对风险的管理能力，重塑认知偏差较大的风险，也能使董事会准确判断企业面临的风险和机遇，做出正确的战略目标和决策，实现良好的治理。

作者:王柳景 单位:南京审计大学