淺論內部審計機構在公司治理中的作用

1　公司治理概念及公司治理程序　　所謂公司治理，就是對公司的統治和支配，它的功能是配置權、責、利，其中，特別是對剩餘控制權和剩餘索取權的配置是其中的重要組成部分。在公司內部治理體系中，董事會作爲股東大會的常設機構，它的運作是核心，董事會負責公司戰略計劃的制定和實施，開展風險治理活動堅持公司首先和價值取向，衡量和監控公司的業績，評價、任命和撤換治理層等方面的工作；治理層是以總經理爲核心的執行層，在授權的範圍內擁有對公司事務的治理權和代理權，負責處理公司的日常經營事務。根據《內部審計實務標準》中定義，治理程序是指公司的投資人代表所遵循的程序，旨在對治理層執行的風險和控制過程加以監視，與公司治理相關的主要關係人包括：股東、董事會、由總經理領導的經理職員。公司治理就是要這些利益相關者的權利、責任及其相互作用和相互的關係。　　2　內部審計在公司中的定位　　內部審計是一種獨立、客觀的保證工作與諮詢活動，它的目的是爲組織增加價值並進步組織的動作效率。它採取系統化、規範化的來對風險治理、控制及治理程序進行評價，進步它們的效率，從而幫助實現組織目標。內部審計所協助的組織的治理成員包括治理層職員、董事會成員。內部審計師有責任向他們提供有關該組織的內部控制系統的適用性和有效性以及質量的資訊資料。向每個人提供的資訊資料在方式上和細節上可能有所不同，這取決於治理職員和董事會的要求。　　內部審計機構屬於內部控制環境的一個組成部分，它向董事會中的審計委員會報告業務工作，內部審計機構負責人由審計委員會主席任命，行政上由進階治理層治理，向進階治理層報告行政工作。通常，內部審計機構終極要對董事會負責，由於它的審計工作對象是公司內部的可審計活動或事項，審計結果將由被審計者與進階治理層溝通後決定是否採納審計意見，內部審計機構在與進階治理層溝通後，不論進階治理層是否同意內部審計意見，都將把其意見一併反饋給董事會。　　3　內部審計在公司治理中作用　　爲適應全球化執行模式，國際註冊內部審計師協會制定了《內部審計實務標準》，建議各國的內部審計師在公司按照該標準開展工作。在美國，安然世界通訊等公司的一系列醜聞使投資者對上市公司資訊表露的真實性產生懷疑，而這種醜聞均牽涉上市公司治理層的錯誤行爲，使投資者對上市公司治理制度的有效性產生懷疑，2002年由此催生了《薩班斯-奧克斯利法案》的出臺，該法案對內部審計機構在公司治理中的職能有一些建議。根據國外一些審計研究成果，筆者以爲在西方國家內部審計在公司治理中的.主要作用表現在以下幾個方面。　　3.1　溝通審計業務計劃　　審計執行主管負責與進階治理層和董事會溝通工作。溝通審計業務計劃包括審計機構的業務計劃報進階治理層審批，並報董事會備案。報告中應包括充分的資訊，以便他們能夠確定內部審計機構的目標和計劃，能否有助於實現組織的目標和計劃，審計業務計劃在中期發性生要變化時，亦應及明溝通，在執行審計業務計劃的過程中，假如內部審計資源不足和審計範圍受到限制，審計執行主管應及時向進階治理層和董事會報告，報告內容包括資源不足和範圍限制可能帶來的後果。　　3.2　報告重大事項　　審計執行主管每年至少向進階治理層和董事會提交一次工作報告，當出現重大的審計事項時，審計執行主管應向董事會及時報告。在通常情況下，《內部審計章程》和《內部審計實務標準》規定審計執行主管在向董事會報告重大事項前，應就被審計單位的審計結果同進階治理層進行討論，即便討論取得了令人滿足的結果，審計執行主管也應報告，並將與進階治理層討論的情況通知董事會。　　3.3　與進階治理層討論重大風險領域　　風險治理是治理層的一項主要職責，而對公司的風險治理過程進行評估和報告則是內部審計工作的一項重要內容。假如審計執行主管經過獨立客觀的評估後，以爲被審計單位和進階治理層已接受了的風險水平與公司的風險治理戰略和政策不一致時，或該水平不能被公司接受，審計執行主管應就此事與進階治理層進行討論。　　3.4　支援董事會開展全公司的風險評估　　在公司治理架構中，董事會負責監視和確定存在適當的風險治理流程，這些流程是充分和有效的，治理層應當確保組織中存在良好的風險治理過程並使其發揮作用。內部審計機構則要運用風險治理方法和控制措施，對風險治理過程的充分性和有效性進行了檢查。評價和報告，提出改進意見，爲治理層及董事會提供幫助。爲此，內部審計師應採取適當的審計程序收集足夠的證據，從總體上對風險治理過程的充分性所選擇風險治理方式的適當性發表意見。　　3.5　檢查內部審計機構在公司風險治理框架中的定位　　在西方國家，董事會負責制定戰備目標，風險的所有權賦予進階治理層，剩餘風險留給執行層，持續識別、評估和監視活動交與內部審計機構。但是，對於尚未建立風險治理流程的組織，內部審計師經常被要求進行風險治理過程的初建工作和業務流程的設計工作，而這些工作往往超出內部審計的保證和諮詢範圍，爲避免損害獨立性，內部審計機構一方面要透過其他方式以促進公司對風險治理過程的建立，另一方面要在公司治理過程中要經常檢查自身在風險治理框架中的定位，時刻警惕內部審計機構獨立性和客觀性的損害。　　3.6　監視遵守公司行爲規範和貿易慣例情況　　公司行爲規範是由公司制定的、旨在規範員工行爲、防止過失違法違紀的正式和書面的規章制度。貿易慣例是在貿易活動中形成的被廣泛接受的通用做法，一般是非正式的，但一旦違反，會給公司帶來不利，兩者對公司目標的實現都影響，內部審計師有責任評價遵守公司行爲規範和貿易慣例情況時，內部審計師應從評估組織相關行爲規範和貿易慣例是否存在、相關的控制和保證系統是否建立和是否充分和恰當，系統的執行效果如何等方面進行。　　3.7　協助董事會評估外部審計師的獨立性　　年度的報告和內控制度報告由外部審計師進行審計，在聘請外部審計師進行審計時，內部審計機構有責任協助董事會確認和評估外部審計師的獨立性，一般一年一次，將評價結果報告董事會。外部審計師獨立性評估的一般包括：外部審計師或其家庭成員有沒有對本公司進行投資，家庭成員的投資也要回到外部審計師身上，投資關係會影響外部審計師的獨立性。外部審計師或其家庭成員和本公司之間有無僱傭關係，僱傭關係也會影響獨立性。《薩班斯法案》的有關規定，外部審計師違反該法案提供了某些非審計業務，表明其缺少獨立性。　　3.8　評估公司的道德氛圍　　公司的治理過程是否有效，很大程度上取決於公司的道德氛圍，在這一方面，內部審計機構一方面由於其地位獨立，客觀公正，有良好的職業操守和技能，有能力有資格提請董事會和進階治理層和員工遵守、道德規範和責任，在公司的道德文化建設中發揮積極作用。也有責任定期評估整個公司，包括董事會的道德氛圍。　　3.9　評估公司向董事會報告的機制　　公司內部向董事會報告的機制是保障公司有效和高效執行的政策、、程序、技術手段的總稱。治理層受董事會的委託開展治理活動有必要也有責任向董事會報告工作，報告機制是否完善和有效影響到公司治理和治理的效果。內部審計機構的責任是對相關的報告機制進行檢查和評估，評估的內容包括三個方面，一是是否建立了相關的報告機制，例如報告的內容、負責報告的職員、報告的形式、時限、應承擔的責任等。二是報告機制是否充分有效，三是機制的運轉情況和效果如何等。　　3.10　對檢查和審計結果進行跟蹤並報告　　無論是法規監視部分、外部審計師和內部審計師的檢查結果，內部審計機構都有責任進行跟蹤和報告。由於內部審計機構把公司的經營風險作爲審計風險，所以，《實務公告》指出，審計執行主管應建立跟蹤檢查程序，以監視、保證治理行爲得到有效落實，特別是重要的審計發現和審計建議，由於它對公司能夠產生重要影響，所以內部審計機構必須對其進行跟蹤檢查，直到它們被糾正爲止。　　3.11　評估業績測評系統的充分性和整體目標的實現情況　　內部審計的目的是爲組織增加價值並進步組織的動作效率，透過保證和諮詢服務，幫助實現組織目標。檢查被審計單位的目標與公司的目標是否一致，公司必須制定一套業績測評系統，包括衡量的標準和測評的程序，內部審計機構的重要作用是一方面要對測評系統本身進行評估，另一方面要透過檢查和評估工作，得出組織整體目標是否得到實現的審計結論。　　3.12　樹立防範舞弊意識，鼓勵報告不正當的行爲　　舞弊行爲是一種預謀且對公司損害極爲嚴重的行爲，因此，在公司治理中，內部審計師被賦予了新的職能。通常，防範舞弊的首要機制的控制，是治理職員的職責，固然沒有一部法律或規章要求內部審計師具備專職發現舞弊的能力，但客觀上董事會和進階治理層希看內部審計師應有足夠的有關舞弊方面的知識和能力來確定可能存在的舞弊線索，積極捕捉可能出現的舞弊信號，把公司的潛伏損失降低到一個可接受的水平，在某些西方國家公司中，《內部審計章程》還規定內部審計師要鼓勵報告不正當的行爲，要求內部審計在審計過程中要保持足夠的職業審慎，樹立舞弊防範意識。　　以上是筆者以爲在西方國家，內部審計機構在公司治理中發揮的十二項核心的作用，它與我國公司內部審計師在公司治理中的作用有很大不同，但是，隨着國有股份在公司中份額的減少，公司治理結構的進一步優化，市場作用的加大，公司內部審計機構在公司治理的作用也將發生根本性的轉變。