原标题：当董事会感到惊讶时，谁是罪魁祸首?

许多令人震惊的公司丑闻对某些知名大公司造成了巨大损害，有的听起来像是过去十年十大新闻事件的一部分——东芝的腐败账务，大众的柴油门，富国银行的虚假账户，英国建筑巨头Carillion的倒闭，尼桑首席执行官的薪酬舞弊。

所有追求良好治理的人——从投资者、监管机构、合规部门、风险经理到独立确认的提供者——都应该对这些引人注目的丑闻深感不安。然而，所有这些治理失败的例子，都有一个共同而令人不安的次要情节：在每一个案例中，这些高度成熟而久经考验的公司董事会对本公司风险管理缺陷的严重程度竟然毫不知情，然而，正是这些风险管理缺陷侵蚀了股东的价值。

大量的分析结果最终都指向这样一个明显的问题：董事会在哪里？IIA最近发布的风险报告《OnRisk 2020：理解、调整和优化风险的指南》提供了一些有价值的见解，可能有助于回答这个问题。

《OnRisk 2020》是第一个提出风险管理的三个主要参与者——董事会、执行管理层和内部审计——之间必须就风险管理观点达成一致性的报告。这份报告指出，董事会对风险管理具有以下不切现实的观点：

“对于所在组织的每一个关键风险(报告中提到了11个风险)，在对管理风险的能力进行评价时，董事会给出的评价都高于执行管理层。这一发现表明，董事会未能对执行管理层提供给他们的信息提出批判性的质疑，原因要么是信息接收不足，要么是董事会自身在理解和评估风险方面的能力有限。调查结果还表明，执行管理层对自己管理风险的能力，不是对董事会完全透明的，而是有所保留的。”

这种被误导和过于乐观的风险管理观点背后，至少有三种可能的原因：

1.董事会成员采取“鸵鸟政策”

随着风险环境变得更加动态、技术驱动和快节奏，现代董事会成员的工作变得越来越复杂和耗时。董事会仅仅聚焦财务就足够的时代已经一去不复返了。这种新的现实促使人们呼吁改变董事会的典型形象，使其成员更加多元化、更懂技术、更年轻。

但单凭专业的多元化和年轻人的视角，并不能解决《OnRisk 2020》中提到的一个更基本的问题。如果董事会不能对执行管理层提供给他们的信息提出批判性的质疑，那他们可能永远无法全面、准确地了解风险和风险管理。很多时候，董事会成员们并没有对高管的工作提出足够分量的职业怀疑。

造成这一缺陷的一个重要原因是，许多(如果不是大多数)高管最终进入了董事会。他们要么是由董事长/首席执行官亲自挑选的，要么是与公司、首席执行官或其他董事会成员有某种预先存在的联系。很长一段时间以来，通往董事会的道路，并不是你拥有什么专长，而是你认识谁。这种舒适的安排可能会让董事会成员觉得自己受制于管理层，因此不太可能提出深入的问题。

2.执行管理层采取“你若不问——我就不说”

《OnRisk 2020》的第二个发现着眼于董事会、执行管理层和内部审计如何根据风险管理成熟度对11个关键风险进行评级。同样，董事会比高管们更乐观地看待公司管理风险的能力。

这一点很能说明问题。可以说，当董事会对风险管理能力的评估持续高于处于风险管理一线人员时，这表明管理层没有对董事会完全透明。

即使这是不可原谅的，但这也是可以理解的。那些每年与董事会仅仅会面两到四次的高管，必须在这些有限的会面时间里提供大量信息。一些风险可能没有得到应有的全面覆盖，这并不奇怪。但坦率地说，我认为更有可能的情况是，执行管理层利用这些有限的机会，把自己最好的一面展示给董事会，并淡化负面影响。

3.CAE（首席审计官，内审网注）没有发声

《OnRisk 2020》中没有提到的一个解释是，内部审计在这种扭曲的风险管理架构中的角色。作为风险管理独立确认的唯一声音，内部审计有义务在董事会没有获得完整、及时和准确的信息时大声说出来。

说起来容易做起来难。通常情况下，内部审计不能评估提交给董事会的信息。事实上，《2019年北美内部审计脉动调查》发现，23%的CAEs从未与董事会和管理层讨论过提交给董事会的信息的完整性和及时性，另有34%的CAEs表示，这种讨论只在不寻常的情况下发生。内部审计必须更好地定位自己，在向董事会提供信息方面提供独立的保证。

上面的分析清晰地说明了两件事。首先，我们应该问的不是“董事会在哪里?”而是“董事会在风险管理方面的偏颇观点，应该由谁负责?”答案很清楚：董事会、执行管理层和内部审计各有其责。

解决方案应该同样明确，在我看来，《OnRisk2020》报告提供的最有价值的见解是：组织风险管理工作的责任和透明度对于董事会、执行管理层和内部审计之间的适当理解和协调至关重要。任何不足都是对良好治理的不可接受的威胁。

我一如既往地期待您的评论。