一、引言 内部审计作为公司治理中的一种治理程序,通过其基本治理活动—风险监控和控制确认来发挥治理作用。Bookal(2002)指出,“内部审计人员对风险和控制独一无二的全程关注,对于良好的治理程序和财务报告至关重要”。IIA(2006)则在《组织治理:内部审计师指南》中明确表示:“内部审计是通过对组织的风险管理、控制和治理程序进行确认,才成为有效治理重要基石之一的”。内部审计通过服务于其他治理主体如董事会及其下属审计委员会、执行管理层等,成为各治理主体极具价值的资源,从而在不同委托代理关系中承担不同的职责。内部审计提供确认和咨询服务可以同时兼容吗?内部审计可以同时服务于两个主体吗?他能同时向审计委员会和高级管理层提供他们所要求的客观确认,并为经营管理层提供满足他们要求的改进经营的措施吗?当内部审计职业进入21世纪,似乎许多人都开始认同这两种角色是兼容的,而且内部审计也可以同时为两个主体提供服务。甚至在政府部门,人们也呼吁内部审计应当为审计委员会及管理层服务。国际会计师联合会公共部门委员会明确提出,为确保其效果,审计委员会应当独立于组织的高级管理层。但21世纪初发生诸多公司治理失败的案例,促使IIA倡导内部审计应直接向审计委员会报告,进而又引起了人们对内部审计两种角色兼容性的质疑,质疑的核心在于内部审计独立性的保持。“显然,内部审计职业所面临的重要挑战之一,是由于提供确认和咨询服务所导致的自我定位问题(Anderson,2006)”。“平衡好管理层、内部审计、董事会之间的关系是相当微妙而艰难的,然而对于良好的公司治理是所必需的(Joseclyne,2004)”。 二、内部审计治理潜在角色冲突 内部审计作为有效公司治理的主体之一,“通常服务于参与治理过程的各相关方,如董事会、审计委员会、执行管理层、外部审计。但同时,内部审计也为治理对象,如一般管理层以及财务、信息技术管理和业务等各组织部门提供增值服务。因此,“内部审计经常被要求服务于两个对象:负责治理的人和被治理者(Hermangon,Rittenberg,2006)”。作为董事会的代理人,内部审计能提供对风险、控制、治理结构与程序、遵循等方面独立、客观的评价,对公司治理起着最有效的作用。董事会“拥有”内部审计,从而培育出相互支持的“内部审计一董事会”联系。“内部审计师可以传达给董事会诸如有关文化、氛围、道德、透明性和内在相互影响的信息。另外,现代内部审计是基于组织框架来对组织面临的不同战略和经营、财务、遵循性风险进行确认、反应和管理。最终,内部审计师能够提供包括管理层监管和保证活动的总体框架有效性,以及单个关键风险管理的客观保证”。但内部审计的许多活动可以整合到组织的控制结构中。如内部审计部门经常执行重要监控活动,这可以整合到组织控制过程中。这经常会引发关于内部审计合理定位的问题——是直接作为控制系统的一部分,还是作为控制有效性的确认者,或二者兼而有之。历史地看,内部审计在确保代理人按委托人利益行事,有效解释和报告自己行为方面发挥着重要作用,是受托责任系统中的内部控制机制。同时,内部审计又是控制的确认者,监督、评价和改善内部控制是内部审计的基本职责。内部审计作为组织的控制职能,考核、评价组织的其他控制。“内部审计人员评价组织机构各专门领域的内部控制的技能是他们渗透到组织中的敲门砖”,“内部审计是作为组织的控制职能,来考核、评价组织的其他控制”(RobertMoller,2006)。控制评价是内部审计人员的“执行秘诀”(Sawyer,2005)。 支持董事会的角色会使内部审计产生压力,因为内部审计传统上被定位为管理层的“合作者”,是管理层的“耳目”。正如IIA做出的以下总结:内部审计人员的作用包括监控、评价和分析组织的风险与控制,以及检查和确认信息与对政策、程序和法律的遵循。内部审计人员与管理层像伙伴一样一起工作,为董事会、审计委员会和高级管理层确认风险得到控制以及组织的公司治理是强有力和有效的。并且,当组织中有任何改进空间时,内部审计人员就会提出改善过程、政策和程序的建议。“尽管在许多行业或地区,‘审计是管理层的耳目’这一观点仍占据主流地位,但为了解决公司治理问题,内部审计已转变为审计委员会的‘耳目’。”内部审计师需要小心处理两方的需求和期望,否则会导致内部审计在服务于两类不同对象时所扮演的角色产生冲突。事实表明,内部审计在服务于审计委员会和管理层这两个主要客户的过程中可能存在潜在冲突。Hermanson和Rittenberg(2006)指出,在公司治理层面,审计委员会和管理层对内部审计存在竞争性需求。业务经理关注如何实现其经营目标,对他们而言,内部审计应通过识别改善经营的机会来增值,它们要么提高经营效果,要么如通常所知,发现潜在的成本节约,提高经营效率;他们关心审计报告或审计过程中所提的建议,但对审计人员就内部控制完整性所发表的观点漠不关心,相比之下,他们更在意报告这些意见会如何影响上级对他们的评价。管理层对内部审计的要求包括:控制的独立评价,帮助编制控制报告,程序有效性的评价,帮助设计控制,风险分析、风险确认,对风险和控制自我评估的推动。由此可见,经营管理层对内部审计增进其经营效率和效果的方法更感兴趣。而内部审计及所需技能在满足审计委员会要求时,与满足战略和经营管理需要方面恰好相反。审计委员会(董事会)相对而言对提高效率的建议兴趣不大,他们关心审计人员对以下情况的意见:内部控制是否适当,经理提供的数据是否可靠,法律和法规是否得到遵循,资产是否安全等。审计委员会对内部审计的要求包括:对控制的确认,包括对高层基调的独立评估;会计实质和程序的独立评估,包括财务报告;主要关注会计控制和财务报告的风险分析;舞弊分析和特别调查。通过上述比较可以发现,管理层要求内部审计人员以广泛的业务技术为基础,提供确认和咨询服务,关注风险、评价经营效率并激励组织行为,而审计委员会对控制的确认更感兴趣。“内部审计人员在帮助管理层评估治理程序的有效性、向审计委员会报告高层基调的过程中,会发现自己陷入冲突之中”(Hermanson、Rittenberg,2006)。内部审计立足于满足经理层各种需要的角度,如果一切活动都需直接由审计委员会决定,既无必要也影响效率,这就需要在董事会和经理层之间就内部审计范围进行权限的划分。