治理型内部审计,并非一种新的审计模式或形式,而是一种全新的内部审计理念。它既不同于早期基于所有权监督需要的内部审计,也不同于曾一度占统治地位的经营权(或管理权)主导型内部审计。它只是将内部审计的视角由公司管理引至公司治理,提升了内部审计的角色定位,拓展了内部审计功能和作用范围。治理型内部审计的提出,既可以视为内部审计所有权监督本质的理性回归,也可以视作内部审计现有职能的延展,更是内部审计与所处环境良性互动发展的最好例证。最早提出内部审计治理功能的应该是IIA(国际内部审计师协会)于1999年发布的内部审计权威定义。根据该定义,现代内部审计在内涵与外延上均实现了重大突破,内部审计已从传统的管理范畴,即一种管理工具或管理活动,是内部控制的重要组成部分这一定位上升到治理的高度。内部审计不仅可以触及组织经营活动的各个方面,更可以触及组织治理活动的各个方面。现代内部审计既是基于第一层委托代理关系(所有者—经营者)的所有权监督,也是基于第二层或更低层委托代理关系的管理权监督。治理型内部审计涵盖了所有下级的委托代理责任,既体现了公司治理的要求,也满足了公司内部的多重需要。 治理型内部审计的提出和推行,原因可归纳为三点:一是持续不断的公司治理失败案件的发生促使人们研究和寻求更高质量的公司治理;二是经验研究表明内部审计可以在公司治理中发挥作用;三是立法部门、证券监管机构、相关职业团体及研究机构的推动,导致有关法律、法规、规则等管制的加强。 (一)内部审计成为其他治理主体极具价值的资源 较早的治理研究——Cadbury报告(1992),将治理定义为“指导和控制公司的系统。”治理是用于设立目标,以及如何实现和监督这些目标的一种结构。在这个指导和控制循环中,内部审计担当了公司治理的重要职责,将其他治理和控制方面整合在一起,成为确保适当和有效公司治理最重要的也是唯一的机制。内部审计通过整合其他控制和治理程序(尤其是风险管理),帮助管理层、审计委员会、董事会、外部审计人员和其他关键利益相关者完成在公司治理中的职责而实现其治理作用。内部审计作为公司治理的程序和技术性手段,符合《内部审计实务标准》中关于治理程序的定义“组织利益相关者(如股东)的代表所使用的各种程序,旨在对管理层所管理的风险和控制过程进行监督”,内部审计治理是其他治理程序有效性的确认者,是对其他治理的再治理、再控制,是其他治理主体可依赖的极具价值的资源。公司治理的要求决定了内部审计的关注重点,内部审计的关注重点是风险、内部控制、治理程序和绩效,这正是有效公司治理的主要要求。可见,内部审计正身体力行着公司治理的目标需求。但是,目前鲜有文献从理论上对内部审计的治理功能进行深入系统的分析,而且现有文献对内部审计在公司治理中的具体作用及如何发挥也缺乏深入的探讨。 (二)内部审计的基本治理活动是“风险监控”和“控制确认” IIA(2002)在《改善公司治理的建议》中强调,内部审计在公司治理中发挥作用,应通过“为管理层和审计委员会提供组织风险管理程序、内部控制的持续评价来实现。”在《内部审计思想》一书中,Hermanson和Rittenberg认为,内部审计的基本治理活动就是进行“风险监控”和提供“控制确认”,在这两种活动中,有效的内部审计以多种方式扮演重要的“前线运动员的角色”。内部审计人员在风险驱动下所做的工作为其他治理参与者提供了关键的信息,包括为审计委员会和管理层。“风险评估、控制确认和遵循工作构成内部审计活动的主要部分,此外,内部审计人员还可以花费大量的时间在咨询或经营导向的工作上,以提高组织的效率或效果”(Hermanson,Rittenberg,2006)。 总体上讲,各国学者对内部审计的基本治理活动的认识趋于一致,但对各项治理活动及目标缺乏清楚的界定,也未对各项治理活动的关系加以明确。 (三)内部审计在服务于不同公司治理主体过程中存在潜在角色冲突 首先,内部审计作为有效公司治理的主体之一,“通常服务于参与治理过程的各相关方,如董事会、审计委员会、执行管理层、外部审计。但是,内部审计也为治理对象提供服务与增加价值,如一般管理层以及财务、信息技术管理和业务等各组织部门。因此,内部审计经常被要求服务于两个对象:负责治理的人和被治理者”(Hermanson,Rittenberg,2006)。这就使得内部审计在服务于两类不同对象时所扮演的角色产生冲突。 其次,内部审计的许多活动可以整合到组织的控制结构中。例如,内部审计部门经常执行重要监控活动,这可以整合到组织控制过程中。这经常会引发关于内部审计合理定位的问题——是直接作为控制系统的一部分,还是作为控制有效性的确认者。 再次,除了提供确认服务,内部审计向咨询服务的扩张被认为可能损害它作为治理程序有效性的确认者和独立分析师的价值,即提供咨询服务可能损害确认过程的价值。 最后,在内部审计报告关系上,为了使内部审计有效运行,获得期望的结果,根据Ruud的观点,“当首席执行审计官(CAE)直接向审计委员会(而不是首席财务官)报告,或者直接向董事会报告时,就能形成最佳结构”。IIA(2001)认为,“理想的情况是,审计执行主管应该对审计委员会、董事会或其他相关治理机构报告业务工作,向组织的首席执行官(CEO)报告行政工作。审计执行主管和董事会审计委员会或其他相关治理主体必须能直接交流信息。”Robert Moeller(2006)则认为,“内部审计不应当仅仅向审计委员会报告他们自己认为审计委员会需要看到的事项,相反,内部审计应当向审计委员会提供所有的审计报告以及公司管理层的反应。”由于利用内部审计的一个重要目标是实现所有者对高管层的监督,因此,“使内部审计隶属于董事会下设的,由独立董事负责的审计委员会的做法是必要的选择”(李平,2003)。