公司治理审计
随着公司治理的重要性不断突出,内部审计部门不得不将公司治理列为优先审计的对象。公司治理内部审计的内容包括以下几个方面:
一、治理环境审计:为良好的公司治理提供基础的文化,框架和政策
1、评价总体治理结构和政策
治理结构和政策应当具有以下主要特征:董事会各委员会之间持续的交流和联系;在公司层面和分支机构、小组层面分配治理责任和活动;阐明横向及纵向的监督事项;持续可靠的、有效的信息流动可以上达董事会各职能委员会;对包括但不限于治理,道德规范和监督政策的总体政策进行清楚地描述和沟通。只有组织存在一个经过仔细考虑的结构良好的治理环境,公司治理的流程和程序才能有效。公司的治理结构和政策应当反映组织的法律、经营和报告体系及其组成部分,而且必须在各治理事项间清楚地分配责任。
在结构和政策方面,内部审计部门可以努力证实组织是否真正拥有这样一个公司范围的十分完整的治理、风险和合规环境,并评价其有效性,以帮助董事会和高级管理层。如果企业没有完整的治理方法,内部审计可以帮助其建立。另外,内部审计还可以帮助促进与其治理目标,活动及发现有关的信息在治理结构的各要素之间(如各委员会)持续和无障碍的交流。
要实现上述目标,内部审计首先必须评价董事会、执行委员会及其章程的结构,以保证组织具有改善公司治理的恰当政策。这些政策应当一方面保证董事会具有实质上的独立,而不仅仅是名义上的独立;另一方面为组织的其他部分建立一个良好的道德规范和公司治理的样本。其次,内部审计必须证实,所有的公司治理政策都符合法律法规的要求,董事会和各个执行委员会的治理活动与组织的重要性次序保持一致。
2、评价治理环境和道德规范
企业文化和道德规范必须符合下列特征:正式的书面形式的行为准则;对组织文化和道德目标的清楚阐述;对行为准则和违规处罚等进行有效的交流;使用需求分析来确定与道德相关的交流的有效性和发现培训需求;在报告违反行为准则事项时具有无障碍的广泛的交流渠道;要求个体确认各自的责任范围;无论涉及的对象是谁,必须进行持续有效的调查,并坚持按规定处理;以及管理层关于支持监督活动的明确承诺,包括提供充分的资源和训练其如何评价与治理有关的事件和活动。
为了实现有效的治理,组织需要鼓励良好的公司治理并强调道德规则的企业文化。作为向这一方向迈进的第一步,内部审计应当评价企业的文化标准和道德程序,并揭露与治理有关的薄弱环节。IIA的实务公告2130-1(“内部审计活动和内部审计师在组织道德文化中的作用”)中专门说明了对这一评估的需要,指出 “内部审计应当定期评价组织的道德氛围…”,并被写入了IIA修订后的新标准。当然,谈论对组织的企业文化和道德程序进行评价要比发现保证组织的道德规范得到执行的专门方法更为容易。这正是必须检查企业的道德标准和政策,并证实它们是否在日常活动中得到有效执行的原因。内部审计部门必须掌握在整个企业中测试该有效性的方法,比如进行风险文化调查。
3、评价审计委员会的活动
审计委员会的活动应当具有下列特征:正式的书面形式的审计委员会章程对目的,成员及独立性,会议频率,成员的作用和责任,与管理层、内部和外部审计师的关系,报告责任,进行特别调查的授权等问题进行阐述;实际的活动与章程的规定相比较;实际的活动与正式的指南和规则相比较;实际的活动与最佳实务相比较;以及审计委员会使用正式的自我评估程序。
审计委员会对保证治理结构及其支持程序的有效性负最终责任。因此,将审计委员会的活动与章程中确定的作用和责任,以及外部指南和最佳实务等进行比较就非常重要。例如,审计委员会的结构和章程必须包含特定的责任和与2002年的Sarbanes-Oxley Act,SEC规定和其他公司治理指南的遵守有关的最佳实务。内部审计师经常应审计委员会的要求进行这类评价,以证实他们遵守了这些新的规定。当然,必须将这些责任和最佳实务整合到公司总体的治理活动中。审计委员会章程还必须保证内部审计师具有有效执行和遵守审计标准所需的各种资源,接近委员会成员的权利和接近高级管理层的权利。该章程必须和内部审计部门的章程保持高度的一致性。最后,内部审计师应该将这些评估视作通过观察、训练和建议等方式为审计委员会提供价值的重要的机会。
二、治理流程审计:支持治理环境的特定活动
1、评价舞弊控制和沟通流程
舞弊控制和沟通流程应当具备下列特征:反舞弊程序将舞弊的预防视为一个持续进行的过程,而不只是一个侦察或调查程序;在发展舞弊风险评估的基础上开发、追踪和运用舞弊计划和舞弊指征;将特定控制活动与特定的舞弊情节相联系形成对应关系;反舞弊培训和沟通程序;使用腐败内幕揭发程序和舞弊举报热线;事件报告和追踪程序等。
在法律法规变化的刺激下,反舞弊活动的重点从侧重于合规性和调查的反应性战略转向侧重于舞弊预防和早期发现的主动性战略。在这样的环境下,内部审计需要确定组织是否具有这种贡献于有效治理所需的反舞弊的预防和侦察程序。支持舞弊控制的沟通和风险评估程序也是如此。
对舞弊控制进行检查时,内部审计必须考虑几个关键点:组织是否设有腐败揭发程序和相关的支持性沟通渠道,以有助于保证舞弊能够迅速引起高级管理层和审计委员会的注意?腐败揭发程序背后的组织流程是否能够保证鼓励雇员参与所需的保密性?雇员是否有理由相信,如果他们泄漏了机密信息,将会遭受处罚?
2、评价报酬政策和相关流程
报酬政策和相关程序应当具备下列特征:正式的报酬政策和流程由报酬委员会提出;报酬政策和流程的主要内容有实际报酬和奖励,延期报酬计划的批准和透明度,“特殊”安排的批准和透明度,报告和监督,遵守适用的法规要求等;检查者的胜任能力,即执行报酬评估的人员是否在这一高技术性领域进行了足够深入的研究?
当前执行的报酬政策常常引起对公司治理政策和程序的严厉批评,给公司的声誉带来了潜在的风险。其结果是,内部审计部门有必要对组织的报酬政策及其流程开展全面地、自上而下的检查。在进行报酬检查时,内部审计应当:检查实际执行的激励程序,延期报酬计划的透明度,与报酬相关的报告和监督,以及是否存在特殊安排等;评估并证实报酬委员会成员的独立性和他们用以得出总报酬及其结构的程序;确定报酬委员会的行动是否符合Sarbanes -Oxley Act中与报酬有关的规定;确定高级管理层的绩效评价包含了关键因素,如诚实,是否有能力制定与公司责任有关的正式的高层基调,是否有能力清楚的表述组织的价值观、道德规范和行为期望等;确定企业是否使用定量的流程设计和改善技术来创造和衡量关键经营流程的价值、质量和有效性。以前内部审计一般没有对报酬方面给以充分的注意,部分原因是源于缺乏分析与报酬相关的复杂事项的专业能力。显然,弥补这一不足需要增加这方面的专业人员。
3、评价财务治理流程
财务治理流程主要关注两个问题:作为财务治理基础的原则和流程是否建立且是否有效;财务治理原则和标准是否得到了有效的沟通。
尽管新的报告规定鼓励企业更加有意识地关注其财务控制,但财务控制背后的财务治理原则和操作标准受到的注意相对较少。如果没有原则和标准,特定的控制很难长期有效。因此,企业要建立财务治理流程,为其财务控制提供所需的框架。财务治理框架是一个相关的新概念,它包括两个组成部分:其一是财务控制原则,用来指导财务报告的有效控制;其二是操作标准,用来建立、记录和沟通组织财务治理方面的目标。例如,“财务报告应遵守所有法律法规的要求”是一个明确规定的原则;而要求每一业务都必须编制目录和有证明文件,就是一个适用的与报告有关的操作标准。
内部审计需要检查组织是否在整个公司建立了包括明确的政策和标准在内的财务治理流程。这一评估并非主要集中在特定的财务控制方面,而是试图证实治理活动之下的原则和标准是否适当,是否在关键的财务流程中得到积极地执行。
4、评价战略计划和决策的治理活动
战略计划和良好的治理之间具有紧密地联系,但这一联系直到现在才受到高级管理层和内部审计部门应有的注意。随着治理问题日益受到关注,以良好的治理作为企业战略规划活动的中心是明智之举。例如,热衷于进行并购活动的企业应该设法以对治理结构、政策和操作原则的可靠理解为基础评价并购前景。企业当然不希望在并购进行的过程中再去争论治理流程的问题。因此,在实际运作之前,企业就应该已经检查了所有与战略计划和决策相关的监督、沟通和程序等方面。
每个企业都需要在良好的公司治理和战略计划之间建立紧密的联系,而内部审计可以通过评估计划和决策流程推进这一目标的实现。
5、评价治理绩效的衡量
如同企业定期对各种经营活动进行衡量和量化,以确定它们是否有效,组织也可以测量和量化其治理活动。而且,内部审计部门可以在评估该绩效评价的准确性和可靠性方面发挥重要作用。
首先,内部审计应该确定组织是否已经开展与治理活动有关的绩效评价。如果是,内部审计应该评估其功能、范围和有效性,确定这些衡量指标与总体治理活动相关的程度。与可以运用风险文化调查来测量整个组织范围内的控制意识一样,内部审计可以开发类似的自我评估程序,来证实评估治理绩效和评价其有效性的衡量指标确实存在。
三、治理程序审计:对治理活动的执行和操作十分关键的特定程序
1、评价内部和外部治理报告程序
治理报告程序应当关注下列问题:治理报告是否符合法规中的报告标准和定义;是否建立了适当的报告标准;报告过程中是否使用了正确的重要性区间;报告的违规之处是否在组织中的适当层次被发现、上报,并得到解决。
治理审计的第三部分和最后部分应当侧重于证实和评价企业中专门的与治理相关的报告程序是否存在。进行评价时,内部审计首先应该识别和清点与治理有关的报告程序,然后测试所有内外部治理报告的准确性和适当性。有效的治理报告必须与财务报告一样准确完整,以适应股东、监管机构和财务团体的其他成员不断增加的详细审查。
以后,企业将必须更为频繁地发布治理报告,以与新的治理要求保持一致。在向社会公众公开之前,这些报告必须接受与财务信息同样程度的内部检查和控制,以发现与组织声誉有关的潜在风险。内部审计因而需要对治理报告负责,以保证与这一日益重要的领域有关的监督和控制的适当性。
2、评价治理事项的上报和追踪程序
治理事项的上报和追踪应当具备下列特征:政策程序规定了治理事项的上报和追踪;解决治理问题的责任进行了清楚地界定和交流;发现的治理事项能够通过治理程序回溯至识别阶段;伴随着高级管理层的适当参与,治理事项以有效及时的方式得到解决。
治理环境有效的企业将具有适当的程序识别和上报与治理有关的事项,并对其进行追踪。由于该程序的重要性,内部审计必须对其进行认真评估。与之相关的评估应当能够对四个主要问题给出明确的答案:是否存在适当的治理事项上报和追踪程序?如果存在,这些程序是否能够有效地追踪治理事项?这些程序所提供的数据是否有助于提高治理事项的识别和追踪?谁负责追踪治理事项?另一重要方面是,确定这些治理事项一旦发生,是否能够有效地彻底追查。如果企业没有迅速彻底地按照治理事项追踪程序产生的报告采取行动,那么即使存在可靠的治理事项追踪程序,对企业也没有什么好处。在评价上报流程的适当性时,内部审计师应当确信该上报流程包含了审计委员会和董事会。
3、评价治理变化和学习程序
治理变化和学习程序应当包括下列内容:变化和学习创新被用来支持新治理方法的采用或现有程序的改革;治理问题的重要性通过持续的教育和培训得到加强。
管理层面临的真正挑战在于,没有一套单一的、不变的治理问题。事实上,新的问题不断出现,现有的问题以不可预见的方式发生持续的演化。其结果是,在治理领域开发和实施变化和学习的创新方法对企业而言十分重要。同样,评价这些创新方法管理的有效性对内部审计也很重要。
内部审计应当识别新出现的、或不断发展变化的治理问题,证实组织有适当的专门方法来发现这些问题,并确信这些创新方法能够实现其预期目的。例如,犯罪者在持续不断地努力开发新的不可预见的舞弊方式。因此,组织有必要开发一套综合的反舞弊体系,超出了舞弊意识的范畴而强调舞弊预防。在这一背景下,组织为了为反舞弊程序提供有效的支持,必须开发范围广泛的变化管理和学习支持活动。
4、评价治理支持软件和技术
显然,许多组织的治理流程和程序将使用一系列技术和软件工具实现其目标。组织治理活动的有效性在不同程度上取决于其技术资源的适当性和可靠性。过去企业并未优先考虑风险管理和治理技术投资,但在当前经营环境下,获取实时信息变得至关重要,对遵纪守法的要求以加速度上升,因此技术成为组织努力提高和衡量其风险管理和治理的关键动因。随着配置不断升级,技术成为组织的中枢神经系统,实时地确定风险得到管理,行动正在实施。各种政策和措施真正发挥作用的关键在于与经营流程的融合,而这正是实时的风险和合规管理的实质。技术有助于通过推进各种风险管理、治理活动的综合、信息流动、绩效和报告来增加透明度、完整性和可说明性。
由于技术对组织治理活动的重要性,内部审计应当对关键的技术资源进行定期的检查,以评价和证实其是否充分和是否持续有效。这些检查应当确定治理活动正在使用的所有软件和技术,并评估与该技术相关的控制是否适当。在Sarbanes-Oxley的余波中,许多与治理有关的新技术措施将会出现,组织应当依靠内部审计协助其评估这些措施的功效和控制。
修改后的IIA职业标准大大强调了治理活动在内部审计职能中重要地位。同时新标准也为内部审计部门提供了向公司的利益相关者证明其真正价值的新的机遇。为了将机遇转化为资本,内部审计师必须采用一种更为主动,清楚和积极的方法对公司治理进行审计。上述工作程序为内部审计最可能为高级管理层、审计委员会和股东创造重要价值的治理活动提供了指南。它能够使内部审计真正在治理领域获得领导地位。