公司治理问题对企业来说贯穿企业发展的始终，企业决策者为在不断变化和日趋复杂的经济环境下达到预期特定的目标，则需要企业不断加强对风险的管理。同样，在企业经营管理期间，严格抓好内部审计也是完善公司治理问题的另一手段。

1风险管理、风险治理和内部审计的概念

传统风险管理即风险管理流程，从百科上的释义来说是指通过对风险的认识、衡量和分析，选择最有效的方式，主动地、有目的、有计划地处理风险，以最小成本争取获得最大安全保证的管理方法。风险治理不等同于风险管理，风险治理是指一种理解和完善监督企业风险管理活动过程的方法，它包含了风险文化、风险偏好框架以及董事会职责等。内部审计是外部审计的对称，是指为确定企业的各项业务和控制是否遵循公认的方针和程序，是否符合规定和标准，是否有效和经济地使用了资源，是否在实现组织目标等，而对其进行的独立评价。

2风险管理与内部审计的关系

由于风险的不确定性，决定了风险管理侧重的是“可能性”，即从企业整体评估风险状况，找到应对策略。其中，风险又可分为可控风险和不可控风险：不可控风险通常通过风险转移、保险和风险接受等方式进行应对；可控风险通常通过内部控制等手段进行应对。所以内部控制本质上就是企业管理中通过日常管控手段降低风险的行为。至此，内部控制执行的效果检查则通过内部审计来实现，内部审计检查完后发现的一些问题，有可能是最早风险评估环节尚未考虑到的，那么这些问题又会返回到风险管理以指导风险管理的完善。

2.1内部审计在风险管理中承担着导向的作用

在现今提倡的风险导向审计中，控制仍然是内部审计的重点，但是分析、确认和揭示关键性的风险才是内部审计的焦点。由于企业内部审计部门出具的最终年度审计报告是企业决策者制定风险战略的主要依据，所以内部审计人员承担着确保审计计划和企业发展方向一致的责任，并且要求审计人员能够根据风险管理原则对审核程序和内容作出相应的改变。

2.2内部审计在风险管理中是无可取代的

风险是具有传播性的，它往往在一个部门产生，进而波及到其他部门，最后由企业为其负责。内部审计部门是一个独立的部门，它不参加任何企业有关业务活动，工作范围不受管理当局的限制，主要对审计委员会负责。所以，在防范风险、认识风险以及最终进行风险控制的过程中，内部审计能对全局有一个整体的把握，内部审计人员能以更为客观的态度来面对风险，及时发现风险并汇报至管理层，从而实现风险的有效应对。

3风险管理与风险治理

风险管理不等同于风险治理，两者之间存在本质上的区别。企业全面风险管理分为传统风险管理即风险管理流程以及风险治理。风险管理主要包括战略目标、经营目标、报告目标和合规目标等四大目标体系，以及内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控等八大管理要素。而从风险治理的概念中可以看到，风险治理的关键点主要是对风险管理活动的治理。其中，风险治理可以扩展为，正确接近企业策略与企业风险，建立与理解企业风险容忍度，正确理解审计委员会和其他委员会的角色以及理解管理层和董事会的职责等。

3.1风险治理管理并整治传统风险管理

企业进行风险管理，首先要求审计人员进行数据统计和分析，以及通过决策者的主观判断来发现企业经营过程中的风险领域。其次，审计人员通过数据分析后将相关结果汇报给企业决策者，让企业对风险程度有一个较为准确的认识。最后，企业决策者通过采取有效的风险应对措施，降低、规避或者转移风险对企业造成的不利影响。现有观点认为，风险治理应当建立一种强劲的风险文化，发展一个强健的风险偏好框架，突显董事会在风险治理中的角色以及加强建设首席风险管理执行官(CRO)的建立。风险治理在传统风险管理的过程中充当着监督者的角色，它通过事先创建的风险文化，让企业能对风险有一个良好的认知；另外，通过对风险偏好框架体系的建立，让决策者在企业战略发展与风险应对上作出一个理性的抉择；突显董事会的职责，建立一个风险治理委员会，授权于管理层并适时采取问责机制以及关注利益相关者预期的变化，适时调整董事会的可接受绩效变动区间；强化首席风险管理执行官(CRO)的建立，领导、指挥风险管理部积极主动地、持续不断地履行了风管责任。由此可见，风险治理是对传统风险管理监督、管理与整治的一个过程.

3.2风险治理促进全面风险管理的建设

犹如审计是对财务认定的再认定，风险治理则是对风险管理的再管理，由风险管理流程与对流程的再治理便组成了全面风险管理。根据国资委认定的全面风险管理，是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。企业对风险进行管理并不要求一定不发生风险损失，而是将风险损失发生的可能性或在可能性不变的情况下将损失额降低，从而减少企业经营结果的波动，这一目标的实现恰恰又是通过风险管理的过程控制来实现的。因此，全面风险管理本身强调的并不是结果，而是一个过程，它更注重的是过程，通过对过程的控制来实现其目标，风险治理便是对该过程的控制。由此可见，风险治理能通过对风险管理流程的控制来促进企业全面风险管理的发展.

4内部审计与风险治理的整合

由于内部控制是企业内部采取自我调整、约束、规划、评价和控制的方法，即企业管理过程中降低风险的日常管控手段，因此内部审计可以在检查企业内部控制的有效性的过程中，通过对企业的内部控制制度的评价出发，进一步地涉及到企业风险管理的有效性。现如今，内部审计在企业运行过程中发挥的风险管理作用与内部控制技能，可以促使企业制定出更加科学合理的治理办法，能更有效地达成企业预期目标，所以内部审计已经发展为企业运作中的中坚力量，公司的风险治理也离不开内部审计。如何加强内部审计与风险治理的整合，将是企业面临的一大问题。内部审计人员应该首先确保企业已经建立了有效的风险管理流程来确认风险，并且能根据一系列假设来衡量风险给企业带来的潜在影响，同时开展必要的积极管理工作。其次，内部审计人员应该在对企业内部控制方面的评价和对环境的监控中明确企业所面临的最大的风险是什么，并将有关结果汇报至董事会，由董事会来抉择应该分别采取何种应对措施。最后，内部审计应该发挥对风险管理的有效监督，同时做到促进风险的管理和改善风险的管理，将内部审计与风险治理有效结合。