基于公司治理的内部审计发展研究

耿慧敏

摘 要：公司治理改革的浪潮将内部审计由幕后推向前台，在公司治理框架中内部审计的基本活动是风险监控和控制确认。内部审计与其他治理主体的关系密切，内部审计是其他主体极具价值的资源，内部审计在参与公司治理中面临着竞争性需求和服务于二主的报告关系，只有深刻地认识内部审计在公司治理架构中的定位，才能有效整合治理中的风险与控制。

关键词：公司治理；内部审计；风险监控

中图分类号：F239.45 文献标识码：A 文章编号：1000-176X（2009）06-0088-05

著名公司治理研究专家特里克（R.I.Tricker）说过：“21世纪是公司治理的世纪，它左右了世界范围中所有公司的权力支配的合法性和有效性。”随着企业规模的扩大、业务的复杂、运作的全球化、外部环境的多变，许多国家、组织和企业都已经清楚地认识到，良好的公司治理是企业不断进行自我调整，做出科学决策，实现目标和愿景的必要条件。进入21世纪，以安然和世通为代表的一系列公司丑闻发生后，在世界范围内掀起了一股公司治理改革的新浪潮，内部审计被推向改革前沿。

一、公司治理改革的浪潮将内部审计由幕后推向前台

关注内部审计在公司治理中的作用，源自于三方面因素：一是持续不断的财务丑闻爆发，人们需要更高质量的公司治理；二是经验研究表明内部审计可以在公司治理中发挥作用；三是法律、法规等管制的加强。

大量研究表明，内部审计与公司治理质量相关。内部审计能对公司治理产生积极影响，包括在报告质量、公司业绩等方面［1］。具体来说，首先，内部审计在一定条件下可以预防财务报告的违规行为和员工偷窃行为；内部审计独立性越高，越可以改善控制环境、减少报告错误、提升报告质量；内部审计的参与有利于公司业绩的改善。其次，人们越来越重视内部审计，不断地扩展内部审计在确保公司治理质量方面的职责。内部审计“被推向最重要的企业发展趋势的前沿——企业需要承担更大的受托责任，具有更高的道德水准；需要恢复投资者在市场上的信心；需要很好地控制企业目标”。“公司董事会、新闻媒体、投资者、分析师、管制者都越来越认同内部审计在这些方面的重要性”。人们视内部审计和首席审计执行官（CAE）为发现和解决工商企业报告系统、内部控制和职业道德行为等故障的主要手段［2］。在公司内部，负责治理的人要提供以实施有效治理程序的确认信息，而且还应向公众确认所有报告信息的可靠性，在这一过程中，内部审计显得尤为重要。

此外，美国《萨班斯法案》的出台、纽约证券交易所（NYSE）新的上市规定也起到了推波助澜的作用。2002年纽约证券交易所要求所有上市公司必须设立内部审计部门，这是对内部审计作为公司治理主要支持者价值的强烈认可。在英国，美国安然事件发生后出台的Higgs报告（2003），Smith报告（2003），2003年新修订的“公司治理综合准则”等新的管制要求，同样提升了内部审计在治理中的重要性。

中国于2006年6月5日出台了《上海证券交易所上市公司内部控制指引》，同年9月28日出台了《深证证券交易所上市公司内部控制指引》，两个指引的语言表述虽然略有不同，但是都规定上市公司应设立专门负责监督检查的内部审计部门并直接对董事会负责，上交所的《指引》规定：“公司应确定专门职能部门负责内部控制的日常检查监督工作，并根据相关规定以及公司的实际情况配备专门的内部控制检查监督人员。公司可根据自身组织架构和行业特点安排该职能部门的设置。”可以看出，这里的“监督检查部门”其实就是内部审计部门。

内部审计理论与实务界也前所未有地重视、思考和研究内部审计如何促进有效的公司治理。随之而来的一个问题是，内部审计把触角深入该领域时，如何从理论上对二者的关系作些思考，以明确一些基本概念、基本关系，这是内部审计发挥作用的前提，也是进一步研究的基础。

二、内部审计基本治理活动：风险监控和控制确认

公司治理改革的发展，为内部审计提供了新的发展机遇，内部审计人员的挑战在于找到适当的服务方式，来满足其他治理主体的期望。IIA董事会主席Bookal也说，“机不可失，时不再来”，“现在最重要的是内部审计人员要能胜任所赋予的新职责”［3］。IIA在《改善公司治理的建议》中强调，内部审计部门在公司治理中发挥作用，应通过“为管理层和审计委员会提供组织风险管理程序、内部控制的持续评价”来实现。国际内部审计师协会在2003年强调：“在许多方面，内部审计是两种主要的治理活动：监督风险和确保控制有效的一线行动者，是公司治理中审计委员会的‘耳目……内部审计在公司治理中的作用包括监督、评价和分析组织的风险与各项控制；复核并证实信息可靠并符合相关政策、程序与法律；协助管理者向董事会、审计委员会以及执行管理机构提供风险防范以及治理有效的保证；对有助于组织改善的任何方面提供建议以完善过程、政策与程序”［4］。

在公司治理结构中，与风险相关的关键活动是监控风险和提供控制确认，内部审计的基本治理活动如图1所示。

内部审计的主要治理活动就是进行风险监控和提供控制确认。风险监控包括识别风险、评估风险对组织的潜在影响、确定应对风险的策略，及以后监控新风险的环境、监控现行的风险策略和相应的控制措施等。控制是管理层为了提高既定目的和目标实现可能性而采取的各种行动，是管理层适当计划、组织和指挥的结果，控制确认关键是保证控制措施处于正确的位置以处理组织风险，包括评价高层基调、评估控制环境、测试控制有效性、评价管理层监控程序的有效性、向相关主体报告评估结果。

Crowe Chizek咨询公司的《内部审计在加强公司治理方面发挥着关键作用》报告［6］，考察了内部审计的职业机会，即“在应对日益加强的监管制度和管理要求、成为公司治理的战略伙伴、加强控制和改善风险管理方面的作用”。该报告列示了内部审计可协助管理层和董事会履行职责的例子：帮助董事会进行治理自我评估；为审计委员会提供有关内部控制和风险管理的最新实务理念；寻找机会平衡好遵循性活动，以减少长期成本；评价组织的行为守则及道德政策，确保其正常运行并已传达至员工；对举报热线及后续程序进行年度审查，并将结果报告给审计委员会；在年度审计计划中考虑披露与透明度的目标。我们可以看出上述建议有如下两个特点：一是主要建议内部审计在控制确认和风险管理、遵循性活动等方面发挥作用；二是服务对象、报告对象明显偏向董事会及其所属审计委员会。

IIA于2003年的问卷调查表明，已有38%的首席审计执行官（CAE）向审计委员会、高管层报告内部控制，48%的首席审计执行官提供风险评估报告。英国的调查显示，内部审计工作的80%是内部控制和风险管理程序的确认（IIA-Australia等，2004）。2004年，澳大利亚内部审计师协会、新西兰内部审计师协会和安永（澳大利亚）会计公司进行了一项题为“澳大利亚和新西兰内部审计发展趋势”的调查，调查对象是澳大利亚证券交易所（ASX）的前200位的公司和新西兰证券交易所（NZSX）前100位的公司。结果显示，95%的被调查者表示“内部控制确认和对风险管理程序、系统的确认”是内部审计的主要工作［7］。