一、公司治理中内部审计的职责 按照《中国内部审计准则》的解释,内部审计是在组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的真实性、合法性和有效性来促进组织目标的实现。按照国资委颁布的《中央企业内部审计管理暂行办法》(国资委令第8号)的解释,企业内部审计是指企业内部审计机构依据国家有关法律法规、财务会计制度和企业内部管理规定,对本企业及子企业(单位)财务收支、财务预算、财务决算、资产质量、经营绩效,以及建设项目或者有关经济活动的真实性、合法性和效益性进行监督和评价的工作。综合以上两个文件的精神,从较为宽泛的意义上来看,内部审计的内容应当包含三个方面:一是财务审计,二是经营审计,三是内部控制审计。在财务审计中,既包含着财务收支审计,也包括财务效益审计,更重要的是有关财务和会计制度以及会计核算规范性的审计;在经营审计中,除了企业领导人员经济责任审计外,还包括其对经营决策和经营管理行为合规性的审计;由于内部控制机制的设计和内部控制制度的安排主要是为了防范企业面对的财务、经营、法律等方面的各类风险,内部控制审计也包含风险审计,重点关注企业内部控制制度建设和执行情况的有效性。 内部审计的权威性来源于内部审计的独立性和客观性。因此,《中国内部审计准则》规定,内部审计机构应在其内部建立严格的质量控制制度,并积极了解、参与组织内部控制制度的建设;内部审计人员应当遵循职业道德规范,并以应有的职业谨慎态度执行审计业务;内部审计机构和人员应保持其独立性和客观性,不得参与被审计单位的任何实际经营管理活动。 但是,内部审计的独立性是相对的,这是由内部审计在公司治理结构中的地位、内部审计的对象以及内部审计的报告路线决定的。从目前大多数公司的治理结构看,内部审计是既属于董事会审计委员会闭会期间的办事机构,又属于经营管理层的日常管理部门。作为董事会审计委员会闭会期间的办事机构,该部门应当向审计委员会负责,对公司经营管理人员实施必要的审计程序,与经营管理人员的行为形成制衡关系。因此,内部审计部门的审计结论应当及时向董事会审计委员会报告,甚至直接向董事长汇报工作情况。同时,作为经营管理层的内部职能管理部门,内部审计部门又应当接受公司总经理的行政领导,有责任将审计情况和审计结论向总经理汇报。内部审计机构的双重身份使得在下审一级时,能够保证审计的独立性和客观公正性,在审计本级职能部门时,审计人员独立履行审计程序和审计结论的客观公正性会受到影响。 二、公司治理中内部审计的定位 内部控制是促进企业加强管理、堵塞漏洞、揭露舞弊、防范风险的有效手段,在当前我国企业转换经营机制、建立现代企业制度的新形势下,加强和完善企业内部控制,充分发挥企业内部控制的作用,对增强企业适应市场经济的能力和生存能力特别重要。作为内部审计重要内容之一的内部控制审计,在公司治理中有着不可或缺的地位。通过实施内部控制审计,对企业内部控制制度体系的完整性和有效性进行全方位的测试,及时堵塞内部控制方面存在的漏洞,防患于未然,从而有效防范企业面对的财务、经营、法律等方面的各类风险。 内部审计、内部控制、风险管理和公司治理的关系可以概括为“一个基础,三道防线”。 “一个基础”,即公司治理结构。为管理好企业的风险,必须建立一个健全的、以董事会为首的公司治理结构。为此,董事会成员要具有足够的知识、经验和独立的判断能力,董事会与管理层要相互尊重、信任并保持密切的合作关系,要建立一种公平、简单而清晰透明的责任制度。同时,董事会应当制定清晰的战略目标和规章制度,包括企业的风险政策和承受风险极限,弘扬一套重视风险管理的企业文化等。在董事会中,一般应当设有提名委员会、薪酬委员会、考核委员会、审计委员会(一般包含风险管理委员会的职责)。审计委员会的主要职责是确定审计计划、范围、流程、报告以及内部控制系统和风险管理系统,明确公司的主要风险并使其处于有效监控之中。审计委员会获得董事会授权后,可在其职权范围内调查任何事宜,决定聘请外部审计师和法律顾问。在董事会运作中,审计委员会每年至少要召开一次由内部审计人员和外部审计人员参加,但管理层不在场的会议,以充分讨论审计事项,评估管理层提交报告的可信度以及涉及管理层的其他事项。 “三道防线”。第一道防线是业务单位。风险管理的手段和内部控制程序应当融入到企业的各业务单位的工作与流程中,以防止风险管理与各业务单位的工作脱节。“第一道防线”是业务单位,并不是意味着仅仅防止业务单位的人员因操作失误等带来的风险,还包括业务单位的人员通过自己的管理活动应对来自企业外部的风险。将各业务单位作为第一道防线,一个重要的管理理念在于风险管理决不是某一个单位的事情,而是一个系统的整体行为。第二道防线是风险管理单位。风险管理单位是在管理层序列中设立的风险管理专职部门,其职责是领导和协调公司内各单位在管理风险方面的工作,确保企业风险管理得到落实和执行,并对相关的工作做出持续性的监控。第三道防线是内部审计。目前,美国等不少国家和中国香港地区的证券监管机构规定,上市公司必须设审计委员会,人数不得少于3人,至少有1位财务或会计专家,独立非执行董事任主席。内部审计部门是董事会设立的审计委员会下的独立于其他管理部门的职能部门,应对平级的职能部门进行审计。内部审计部门的负责人应由董事会提名委员会提名,董事会批准其任职;内部审计部门可不需事先征得CEO同意而直接向董事会、审计委员会报告,但审计报告应同时送CEO;CEO也可以给内部审计部门下达工作任务。在现代市场经济和现代企业制度下,内部审计应当进入全面风险管理阶段,重点在于对风险评估、控制的有效性进行审计和监督,应当覆盖财务、经营、合规等方面的风险和控制。