内部审计在公司治理中的作用

曾经最具创新精神、全球排名第16的Enron在一起丑闻中迅速瓦解；曾经推动了美国反垄断立法进程的WorldCom涉及会计舞弊，然而舞弊最初的揭露者并不是具有高度独立性的外部审计师———而是内部审计师。这使人们思考如何建立健全的公司治理结构、如何定位内部审计在公司治理过程中扮演的角色。INSTI－TUTEOFINTERNALAUDITORS认为健全的公司治理结构是构建在“董事会、高级管理层、内部审计师和外部审计师”的有效协同之上的，这是公司治理赖以存在的四大基石。公司治理是董事会实施的各种流程和框架的组合，这个组合告知、指导、管理和监督着组织的各项活动，为实现公司目标服务。也就是为了防止脱离目标的情况，才建立了这一整套关系体系。内部审计作为这套体系的基石之一，如何高效地发挥作用是值得关注的问题。结合实践工作来看，以下几个方面关系到内部审计能否在公司治理层面充分发挥积极作用。

1内部审计的地位

公司治理是为了实现组织目标而建立的一整套关系体系，这套体系中最重要的关系就是“所有权和控制权分离所导致的受托责任关系”，这套体系最基础的控制系统就是“股东大会和董事会、董事会和高级管理层”组成的这两个控制系统，目的是有效监管治理参与者对股东承担的受托责任。OrganizationforEconomicCo-operationandDevelopment在现代公司治理的原则中，论述了股东、董事会、经理层和利益相关者的关系，但只是较传统观点引入了利益相关者，并没有改变这一基本的受托责任关系。审计产生的根本原因并不是会计中需要审核稽查的因素，而是前述的“所有权和控制权分离所导致的受托责任关系”。这从源头上揭示了审计与公司治理的关系，也说明了审计应扮演的角色。可以说内部审计要想在公司治理层面发挥作用，就需要介入这一受托责任关系。介入的方式要由董事会与高级管理层就“内部审计的地位和报告关系”达成一致，一致的表达形式可能是内部审计制度、审计章程、会议纪要或其他任何形式，但其实质就是一份协议、一份董事会与高级管理层达成的、关于内部审计部门在权力、宗旨和职责范围等方面的协议。这份协议决定了内部审计部门在组织中的地位和相应的报告关系。模糊的关系会给内审工作带来很多障碍和不必要的摩擦，甚至会陷入进退维谷的境地。从国际范围内的最佳实务来看，内部审计部门都是隶属于董事会的，这样内审部门就顺利地介入了治理层面的受托责任关系之中；但是目前也有很多公司的内部审计部门在实质上还是隶属于经理层甚至财务部门，这种情况下内部审计就无法在公司治理层面发挥作用（以下将述及的内部审计是指在实质上隶属于董事会的内部审计）。内部审计部门在组织架构中的地位决定了其可能发挥的作用。实际工作中，要想内部审计在公司治理层面作出贡献，必须在地位和报告关系上给出一个董事会和高级管理层都接受的、明确的定义，这会给内部审计工作提供理由，创造便利的条件。

2在风险评估方面发挥作用

根据ERM框架，“全面风险管理是一个过程，这个过程受董事会、管理层和其他人员的影响，这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标”。在全面风险管理过程中，管理层需要识别风险、分析风险因素、管理风险（包括根据企业的风险容忍度来选择对不同风险的应对方案，承担、减少还是规避等问题）、稳妥地获取风险收益；内部审计是要对管理层风险管理过程的有效性进行评估，借助评估结果和审计意见的发表，对风险管理过程的持续改进做出贡献。在具体的评估过程中，主要评估：

2.1战略风险

战略风险作为企业面临的最大风险,是未来的不确定性对战略目标的影响，这种影响产生于环境、资源、能力、竞争等因素发展的不平衡性。内部审计需要确认管理层对重大风险的识别和管控情况，是否建立了风险识别框架（包括战略风险组织体系和战略风险预警机制为保障的战略风险控制系统）、是否没有考虑或没有有效管理对组织战略目标构成重大影响的风险。

2.2信息的可靠性

主要是指财务信息和运营部门提供的运营信息，国际会计准则委员会（IASC）认为，可靠性的构成要素包括“忠实反映、实质重于形式、中立性、审慎性、完整性”；美国财务会计委员会（FASB）对可靠性的定义包括“反映的真实性、可验证性和中立性”；中国财政部颁发的会计准则对此的表述是“以实际发生的交易或者事项为依据进行会计确认、计量和报告，如实反映、保证会计信息真实可靠、内容完整”。无论何种定义，可靠性风险产生的原因都与内控、经营压力等事项直接相关，而内部审计就要识别这些事项，评估这些事项对信息可靠性的影响。

2.3资产安全风险

资产是指企业拥有或者控制的、预期会给企业带来经济利益的资源，包括购买、生产、建造行为或其他交易或者事项，企业享有某项资源的所有权，或者虽然不享有某项资源的所有权，但该资源能被企业所控制。预期会直接或者间接导致现金和现金等价物流入企业的潜力，所以说资产安全的风险关乎了企业现状和未来的发展。内部审计应当在管理层管控措施的基础上，对影响资产安全状况的现时和潜在因素进行评估，包括评估管理层的管控措施。

2.4法律风险

法律风险的内容非常广泛，包括：与公司资本有关的风险（如：出资不实风险、隐名出资人、股权结构不合理、控股股东与小股东权益分歧等）；合同类风险（如：合同签订、合同履行、合同管理不当引发的法律风险等）；财税法律风险（如：信息披露及时性和真实性、统计资料、档案管理、投融资、税务管理、资金管理、会计核算、关联交易、发票及票据管理不当）；市场营销类风险（如：产品或服务的法律风险、营销方案制订的法律风险、广告宣传的法律风险、市场竞争的法律风险）；人力资源类（如：合同制用工、劳务派遣、培训合同、合同文本不当风险、员工信息保管不当风险等）；安全生产法律风险(如：生产经营单位负责人安全责任风险、生产经营单位安全保障风险、安全事故应急救援和处理风险、安全生产管理不当风险、警示标志不当风险、安全设备、特种设备、危及安全的工艺、设备的管理风险、危险物品的管理风险、生产经营场所的安全管理风险、危险作业风险、劳动防护用品风险、重大危险源管理风险、安全生产监督管理不当等风险)。各类与法律有关的风险无法穷举，但他们都无一例外地影响着公司各个方面，因此内部审计必须评价公司在各个方面是否符合法律的规定，否则产生的可能是重大的、超出容忍范围的风险。

2.5其他风险

包括没有包含在上述分类，但构成对战略目标及运营过程产生影响的各类情况，如：跨国经营类（进出口经营权资格、技术进出口、货物进出口、国际服务贸易、电子数据交换（EDI）中的国际运输、国际支付与结算、国际贸易壁垒、国际政治因素、文化和信仰的冲突），环境保护类（排污、环境污染处罚、环境污染侵权等）；再如：诉讼（仲裁）中的证据、时效等风险；重大重要项目风险、媒体的负面报道，等等。这与法律风险类似，也是无法穷举，也是影响到公司各个方面，因此内部审计也必须识别和评价公司面临的这些风险，否则也可能产生重大的、超出容忍范围的风险。另外，在风险管理环节还需要对内部审计和管理层的角色进行区分：将内审从风险的管理职责中分离出去，由内部审计部门负责对风险管理过程的有效性和充分性进行检查和评价。在审计报告中对不足之处提出建议，帮助管理层进行改进。如果没有对内部审计地位的正确理解，往往会使内部审计承担对风险的直接管理责任，这无论是对公司治理还是对内部审计职能的发挥都有难以评估的负面影响。

3在内部控制效率和效果方面发挥作用

内部控制在国际范围内有多个模型，包括：美国的COSO框架、加拿大的COCO模型、英格兰及威尔斯特许会计师协会的CADBURY模型、伦敦股票交易所制定的TURNBULL模型等等。无论那个模型都是为了管理风险，从而合理高效地实现组织目标，因此控制应在符合成本效益的原则下，保持效率和效果的统一。其中，加拿大的COCO是在COSO框架的基础上的控制标准，是一个便于对控制进行判断的模型。下面以COCO为基础说明内部审计需要在哪些方面评价内控的效率和效果：

3.1目标

内部审计师应当评价各级员工对战略目标的认知程度，战略一般是从高层制定，并向下推广。那么内部审计师就应当评价企业内部对战略的理解，包括各个事业部或职能部门是否明白自身在战略中的地位。其次应当评估管理层是如何促进目标实现的，比如具体的行动方案、部门的计划，以及与此相对应的预算和绩效工具的运用。

3.2约定

企业内部的约定包括达成共识的价值观、权利和职责的分配。价值观是实际行动的表现，而非口头的宣讲，一个良好的价值氛围一定有高层的垂范作用，并能形成一种互相信任的良好氛围，这个氛围能加快信息的沟通效果；权利和职责的分配能够方便各层级的人员开展工作，在相互牵制的前提下明确了每个部门和岗位的职责，便于他们工作的开展；这两项的共同作用是融洽地对职权进行区分，相互牵制却不互相推诿地保持高效控制。在这一部分，内审人员应该在价值观层面、权责划分等方面进行审计确认，通过审计确认，促进各部门和人员在共同的价值观的指引下，按各自的职权范围开展工作，对超出职权或妨碍目标的情况提出审计意见，促进约定的效果。

3.3能力

员工所具备的知识、所掌握的技能、能够运用的工具是控制赖以咨询的前提；部门之间的协作是部门能力的体现。能力能够保证控制活动充分执行、具有前后衔接的关系；能够保证沟通渠道和信息的传递。在这一部分，内审人员应该对这些能力及与此相关的沟通渠道、沟通效果等方面进行确认，对不足的部分提出审计意见，间接帮助组织实现目标。

3.4监控和学习

良好的控制应该能够监控到企业外部和内部的环境因素，敏锐洞悉其中的变化和所带来的风险对企业目标的影响；应该对目标执行情况、绩效情况进行监控，包括衡量绩效、执行情况的对比、对良好效果的奖励、对偏差的纠正措施。在这一部分，内部审计人员应该重点关注企业是否建立了相应的监控措施，是否能够跟踪到实际的执行情况，对目标执行出现偏差时（如预算超支、指标没有达成、绩效考核不佳、控制的效果不佳等情况），是否及时采取了救治措施，通过对这些信息的确认可以促进这一控制过程（这区别与内审的监督职能），通过对管理层实施的监控和学习活动的评价来促进公司的控制的有效性和实现的效果。

4在遵循性方面发挥作用

遵循性审计有时候也被称为合规性审计，是最为传统的内部审计职能，主要包括：

4.1对法律法规的遵循情况

内部审计人员要关注公司制度、实际经营行为与法律法规是否抵触，更重要的是要关注公司是否建立了不违法乱纪、依法经营的控制措施。因为对法律法规的遵循情况（包括所有的审计事项）都不能仅仅依赖内部审计人员对结果的评价，解决问题的根本是所建立的控制措施本身就应当避免这项风险的产生，审计人员更重要的是评估和监督这个控制过程的有效运作。

4.2公司行为规范和商业惯例

在这方面，内部审计人员首先要考虑企业是否存在相应的行为规范，这包括张贴的行为守则、发放的工作手册、正式与非正式场合的宣讲、培训等各种形式；对商业惯例的遵循程度，企业除审计部门之外，是否有相应的控制系统来保证行为规范和商业惯例的运行情况，比如举报和奖惩措施，以及奖惩措施的落实和纠偏效果。

4.3考核系统和报告机制

考核系统包括董事会与经营层签订的合同、任务指标的完成情况、计划执行情况、预算执行情况、工资薪金的考核等与此有关的内部管理工具，包括考核标准的制定情况、这一过程的建立和有效运行情况。报告机制指应当在公司内部建立的充分而有效的报告体系，包括基层对中层的报告、中层对高级管理层的报告、高级管理层对董事会的报告机制，这个体系应该能够充分及时地反馈风险管理和控制过程的情况。良好的机制应该有书面的政策、渠道畅通、沟通及时，内部审计师通过评估，要确认这一体系是否存在，运转的效率和效果，并把这一结构反馈给董事会和高级管理层，从而促进报告机制的有效运行。

5内部审计产品

内部审计应当有书面的工作成果，这个书面的成果就是内部审计师所生产的产品。内部审计工作中，对风险的评估、审计范围的划定、审计资源的分配、审计过程的督导、质量保证与改进等一系列程序的建立，都是为了能够持续地生产出合格的、高质量的产品，并通过产品来参与经营和治理的过程，这就是内部审计产品理论。内审产品的质量决定了内部审计在增加价值和改善运营方面所能发挥的作用。内审产品是在开展工作的过程中产生的，所以说开展工作的过程就是内部审计师评价并改善风险管理、内部控制及公司治理的过程，也就是内部审计在经营和治理方面发挥作用的过程。在更多的时候，内审产品会提交给高级管理层和董事会。产品的表现形式是多样的，有：业务的确认结果、问题或风险的分析结果、富有建设性的审计建议等多种形式，但无论形式如何，确认和咨询都交织在内审产品中。虽然这两部分产生于不同的立场，但相互的交织更能为高级管理层和董事会提供协助，从而改善公司运营，增加价值。

5.1在高级管理层方面

内部审计师可以站在管理层的立场上，以高质量的内审产品，帮助管理层对内部控制进行优化和持续改进。在内控和治理过程并不完善的时候，内审产品会更多地包含咨询成果，监督立场的适当淡化会更加调动管理层的参与程度，从而更充分地发挥作用。

5.2在董事会方面

内部审计师拥有相对独立的立场和高度的客观性，当然要让董事会认可这一点，需要持续的、高质量的内审产品。这可能需要日积月累的付出，用实际的内审产品来赢得董事会的信赖，这种信赖是来之不易的。在这样的立场上，内部审计给董事会提供风险管理、内部控制、遵循性等方面的报告。同时，凭借董事会的影响，能更大程度上督促改进运营过程中的不足（除非董事会打算接受容忍度之外的风险），能够促使建立更加良好的道德风尚。通过高质量的内审产品，将审计职能发挥到整个受托责任关系的层面，从而确保受托责任的有效履行，稳固公司治理的基础。

6结束语

综上，在良好的文化氛围中，构建“董事会、高级管理层、内部审计师和外部审计师”这四大基石，确保相互之间的有效协同，就能保证一个健全的公司治理过程。四大基石要有效协同，就要明确内部审计师在公司治理过程中的地位，使内部审计师介入“股东、董事会、高级管理层和利益相关者”这一受托责任关系中。内部审计通过一系列的质量控制程序和审计师的专业能力，来产出高质量的内审产品。内部审计通过其产品在风险管理、内部控制、制度遵循性、经营活动等方面发挥作用，来促进公司治理过程的持续改进、合理保证公司治理过程的有效性。随着规章制度的逐步完善、各项准则与国际趋同、先进的公司治理观念的运用，内部审计在公司治理方面将扮演着越来越重要角色，发挥更加积极的作用。

作者：王鹰武 单位：青海互助青稞酒股份有限公司