公司治理框架下的风险治理导向内部审计研究
[摘要]风险为广义公司治理所关注的核心因素,而内部审计作为公司治理的重要组成部分,两者基于风险管理目标的整合是内部审计发展的必由之路。本文基于传统内部审计的缺陷,将风险治理导向内部审计纳入公司治理的框架之下,并提出发展风险治理导向内部审计的若干途径。
[关键词]公司治理; 风险治理; 内部审计
近年来,世界范围内发生了一系列会计丑闻,反映出当前的公司治理模式存在着诸多问题。虽然各个国家都出台了相应的解决方法,但成效不明显。内部审计目标服从并服务于公司治理目标,两者的共同作用形式可归结为企业风险管理,它们基于风险管理目标的整合使得公司治理框架下的内部审计在风险预测、风险防范、风险评估等方面能有所把握,并能对风险控制提出意见及建议。对企业总目标的实现起到一定的推动作用。内部审计有必要围绕公司治理目标开展工作。把工作领域从查错防弊和内部控制监督等拓展到公司治理的风险预防和风险控制问题上。本文从公司治理和内部审计基于风险这一视角出发,探讨公司治理框架下的风险治理导向内部审计。
一、内部审计和公司治理的关系
国际内部审计师协会(IIA)在1999年定义内部审计为“内部审计师用来增加组织价值和改善组织运营的独立的、客观的保证和咨询活动。它以系统的、专业的方法和对风险管理、控制及治理过程的有效性进行评价和改善,帮助组织实现其目标”。2002年4月IIA在对美国国会关于《Sarbanes-Oxley Act》的意见陈述书中提出。内部审计、外部审计、董事会以及高层管理人员是有效公司治理的四大基石。这是国际上第一次正式将内部审计与外部审计一起提上了公司治理的有效高度,将两者看作是公司治理问题中必不可少的组成部分。有关内部审计和公司治理的关系,学术界作了许多有益的探索。内部审计是组织治理的重要组成部分。是增加价值、改善经营的一种保证和咨询机制(Carman Rossiter,2007)。内部审计作为实现内部控制的关键因素。是公司治理结构的有机组成部分(陈艳利、刘英明,2004)。有学者指出,内部审计的完善要求改变传统审计工作的思路,拓宽审计领域,从而使其与公司治理全面融合(田伦、万全。2007)。我国的公司管理层过多地关注内部审计的职能范围和技术方法的发展变化,而忽视内部审计在公司治理中的地位和作用,导致其独立性、客观性及权威性得不到应有的保证(窦亚芹,2007)。内部审计与公司治理相互作用。它们的内在一致性和形成的内在动力将促进公司的健康可持续发展。内部审计的发展离不开公司治理的推动,公司治理结构的优化也离不开有效的内部审计作为保障(任静,2007;周晓瑁,2007)。内部审计应评估公司的治理过程,并提出适当的改善建议(胡敏,2006)。
综上所述。内部审计是公司治理的一部分,是公司管理当局基于公司治理而设置的治理机制之一,通过其特有的评价和咨询活动最终协助管理当局实现企业目标。公司治理并非抽象的目标,而是通过提供一个框架为公司目标服务,这与内部审计的最终目标相一致。目前,在我国上市公司治理框架中,董事会或股东大会必须确保一个有效的监控体系,做到保护公司资产安全。处理面临的主要风险,在行使这些职能时,董事会或股东大会就要依靠管理层的建议和报告以及内部审计。所以,内部审计在企业的治理过程中不可或缺,内部审计是公司治理结构的重要组成部分。
二、内部审计和公司治理基于风险警理目标的整合
IIA多年来一直积极倡导内部审计参与风险管理,认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性和对风险管理及内部控制框架的有效性提供保证服务。有效的风险管理框架可以提升组织的内部审计绩效。公司治理既是现代企业制度建设的要求,也是企业应对经营风险的战略反应,内部审计关注的重点转向了风险,其定义也增加了风险管理与公司治理的内容(宋秋玲,2004)。所以,内部审计参与风险管理不仅为内部审计自身的发展提供了契机,而且内部控制、公司治理基于风险管理平台的整合将有助于提高治理效率和效果,在预防和控制风险的过程中促成组织目标的实现。
(一)传统内部审计的主要缺陷
我国上市公司的公司治理和内部审计没能有效地结合起来为公司总目标服务,还存在很多认识偏差和实际运作的误区。首先,割裂了内部审计与公司治理的关系。许多公司依然把查错防弊当作内部审计的主要职能,未对公司治理方面的控制、评价和分析提出有效性建议。内部审计人员和公司管理人员各司其职。缺少沟通,管理层人员难以识别风险信息,公司治理的过程往往隐含着巨大的风险。其次,内部审计的实施缺乏独立性。大多数企业将内部审计归属于财务部门、审计委员会或监事会,内部审计的独立性严重缺乏,对企业的风险监管和控制也就发挥不了相应的作用。现代内部审计的主要职责得不到体现。最后,重外部审计,轻内部审计。内部审计作为公司治理的一部分,两者的目标是一致的。外部审计的目标和公司治理的目标却不尽一致,主要是两者所服务的利益主体有时会不相同。此外,外部审计部门或监管机构也不能全面提供对公司内部控制状况、审计风险、监管风险以及决策风险等的评估信息,即使提供了也是从公司内部治理的角度来考虑的信息,而这些都是在内部审计的业务范围之内。
(二)内部审计和公司治理基于风险管理目标的整合
未来的内部审计不能仅仅局限于简单的“查错防弊”等审计目标,应该作为公司治理的一部分,为企业目标的实现打好基础,这就需要对内部审计基于公司治理和风险管理两个维度进行重构。随着现代企业的飞速发展。公司治理所涵盖的内容都有增多的趋势,风险的边界和范围也在不断拓展和加深。作为公司治理的重要组成部分的内部审计的范围也需要扩大和加强。IIA的一项调查研究表明,内部审计构筑在组织风险的基础上,并在组织治理和风险管理两个方面拓展其职业领域。鉴于公司治理过程中风险的存在,现代企业的内部审计必须围绕风险监管为公司治理服务,从而为实现公司总目标服务。所以从涵盖范围上内部审计不仅要从以前简单的事后审计逐步向事前、事中审计方向发展,而且更多地还要从财务数值审计向更高层次的参谋助手方向发展,以及从财务报表为中心的财务收支审计、内部控制的审计向风险治理导向审计发展。内部审计不仅要渗透到公司治理的各个方面,而且还要依据“风险治理导向”的要求对某一个或者一系列项目进行详细审计。在适当情况下,内部审计部门应与公司管理层审计委员会或董事会就风险管理实务中的薄弱环节进行讨论。在该过程中管理层负责对重大风险采取针对性行动,内部审计部门负责评价这些活动,并对此提出风险管理意见。公司治理活动在内部审计的协助下规避不利的风险问题,这是现代企业公司治理过程中内部审计所需要的最重要的转变。这样以风险管理为中心,内部审计和公司治理就实现了对接和整合。
三、发展风险治理导向内部审计的对策
公司治理框架下的风险治理导向内部审计是指内部审计人员在各级领导和各部门的协同和支持下,对事关企业全局的各类风险进行甄别、排查,据此出具内部审计意见,并提出风险治理建议书,为企业提供了一个完整而系统的风险分布及治理导图。风险治理导向内部审计按照性质分为决策型(跨期)和实施型(即期)两种,前者是根据企业一个会计年度甚至更长的期间的目标、战略、经营等制定审计计划,预测公司治理活动中存在的各种风险和机会,在公司治理中发挥宏观调控的功能,其目的在于让企业在战略规划中规避恶性风险,把握良性机遇,从而增加企业价值,实现企业目标。后者强调对跨期风险治理导向内部审计计划在本期的具体执行。除了对企业日常发生的实际业务进行事前、事中、事后审计等以外,更重要的是它能针对影响公司治理目标实现的特定业务或活动进行重点审计,从而更深入地看待风险,为公司治理提供风险管理建议。
(一)建立健全并有效执行内部审计制度
现代企业不断进行着兼并和重组,管理机构也不断变化,许多隐藏的风险不能被公司管理层发现。没有制度保障,企业内部审计机构的稳定就难以保证,风险监控能力必将大打折扣。为健全内部控制,改善经营管理。提高资金使用效果及经济效益,应建立健全内审制度,对包括制度架构的建立,强化信息的披露等。另外还要和审计委员会的工作相配合。审计委员会和内部审计师之间要进行独立沟通,在审查企业内部控制程序的有效性、外部审计人员聘任更换和报酬支付、监控风险以及提高财务透明度等事项上。给予内部审计以支持与帮助。建议在相关法律法规中确立上市公司独立的内部审计制度。在修改《审计法》时应将建立企业的内部审计制度考虑在内,修改《公司法》时将建立独立的、符合法定要求的内部审计机构作为股份公司申请上市的法定条件之一。同时,企业内部也应该及时调整内部审计的职能定位,把内部审计从传统的只审查企业经济活动的合规性和合法性的财务审计逐渐过渡到审计和评价企业经营活动中存在的现实和潜在的风险问题的现代企业制度内部审计。在有效的制度下,企业内部审计部门应该严格遵守内部审计的相关制度,把握企业现实存在的和潜在的风险,协助企业其他管理部门做好公司治理,促使企业良性发展,从而实现企业目标。
(二)发展“参与式”内部审计
内部审计的涵盖范围逐渐扩大,内部审计应参与到公司治理和风险监管的过程中来,协助管理者分析和评价企业的风险以及预测企业的潜在风险,确保公司治理围绕公司总目标健康运转。国际内部审计师协会对内部审计的定义强调内部审计通过风险监管等一系列活动使组织增值,其与公司治理的管理层的密切结合,广泛和深入地触及公司治理的精髓。在现代公司治理过程中,内部审计部门不仅要担当监督者。而且还要勇于参与公司的内部治理成为一个“参与者”,要求内部审计人员从公司治理者的角度去审视和理解问题,对风险问题有更透彻的认识。公司治理和内部审计都是为实现公司总目标服务的,两者具有利益的一致性。两者能且应当充分整合。当然这种参与式内部审计模式,必须要求企业的内部审计部门的独立性强,而且要有相对健全的公司治理机制。这是建立参与式的内部审计模式的基础。发展“参与式”内部审计能降低整体风险水平和个体应该承担的风险水平。在内部审计部门参与公司治理以前,企业的风险主要由内部审计部门以外的其他部门承担。引进“参与式”内部审计。众多的部门人员在沟通之中更容易发现潜在的风险,从而降低了整体风险水平。而且,即使有风险,也因为大家的参与而得到平摊,所以说“参与式”内部审计使公司治理过程中风险发生的可能性降低。
(三)利用外部审计发展内部审计
现阶段公司治理的主要任务已转移到风险管理上来,要做好风险监管就更应该利用好外部审计。内部审计和外部审计代表的利益主体不相同。审计的出发点和重点也就不相同。外部审计在组织上、工作上都具有较强的独立性,这就有可能导致一方发现问题而并没有被另一方发现,若外部审计发现而内部审计没有发现,内部审计人员就可在审查性的基础上接受这个审计事实。并且对企业内部存在的问题提出建设性的意见抑或通知管理当局尽快解决。外部审计相对较独立,所以就更容易跳出公司的局限,更深一步地看问题,而这样能得出的结论往往更有建设性。这样外部审计在一定程度上便弥补了内部审计的不足。针对公司治理结构、治理机制方面存在的缺陷,内部审计应该充分利用外部审计提出的意见改善公司治理,提高公司治理应对风险的能力。此外,内部审计的重构离不开管理层的大力支持,以及内部审计人员自身素质的进一步提高。管理层在意识上重视内部审计及其工作人员,真正把他们当作公司治理中重要的一部分,让他们能以主人翁的心态去积极主动参与公司治理,做好内部审计。内部审计人员的素质得到提高可以减少道德风险和逆向选择,提高内部审计工作绩效。