对治理过程的审计

作 者:
诺曼·马克斯 

作者简介:
[美]诺曼·马克斯

原文出处:
中国内部审计

内容提要:

对治理过程进行审计


期刊代号:V3
分类名称:审计文摘
复印期号:2012 年 07 期

关 键 词:

字号:

      内部审计师应该努力考虑一种以风险为基础的方法

      内部审计部门是不是应该考虑对治理过程进行审计?是否能够有效地评价董事会运作的有效性?内部审计师们是否具备了充分的独立性?在向审计委员会报告时,是否具备了必要的技能?

      每当内部审计职业的思想领袖们建议需要在审计计划中包括对治理过程进行审计时,我总会听到这样一些问题。职业指南和研究报告也表明,这些内容将是未来几年内部审计需要进行的首要工作。在IIA近期发布的“知识共同体(CBOK)”报告中也有这样的内容,即第一个势在必行的变化就是“聚焦风险管理和治理过程”。CBOK也将“公司治理检查”列为未来5年内部审计工作的首要事项。

      以风险为基础编制审计计划,就是要评价管理层如何应对那些非常重要的风险,即在控制方面是否必须将这些风险限制在一个期望的水平内。那么,哪里适合进行治理审计?内部审计师如何应用以风险为基础的方法对治理过程进行审计?

      一、审计计划的主要部分

      治理失败也许是公司经营失败的一个最大原因。这也是史密斯阁下,即英国有关公司治理方面的“史密斯指南”一书的作者在吉隆坡2011年IIA年会时提出的一个基本观点。他指出:那些大公司出现丑闻和失败的真正原因,如安然、世通以及瑞航等事件,都是领导文化中存在一些令人厌恶的行为,比如贪婪、盛气凌人、横行霸道以及是非不分等,从而导致了因为错误的原因而制定了不切实际的增长计划和决策。

      2011年7月,麦肯锡咨询公司发布的“自经济危机之后的公司治理”季度报告中指出,在对全球的调查中,仅有25%的董事会认为其整体表现是“优秀”或“非常好”,但是,只有21%的董事会认为他们对组织战略非常了解,32%的董事会则认为,对于公司面对的风险,他们的认识有局限性或不了解存在的风险。

      这些情况说明,内部审计师们在制定或更新审计计划时应该认真考虑在组织治理过程中是否存在与公司经营失败相关的风险。事实上,由于风险的潜在影响,风险评级时也可以有充分的理由将治理风险评为高风险。

      在识别与治理有关的风险时,内部审计师们应该充分打开思路。即使是最好的董事会,并拥有最有经验和能力的董事们,也都会有出现失败的可能。所以,应考虑的风险举例如下:

      1.组织战略得到批准,实施情况由执行管理层进行监督,而董事会却没有可靠的、现行的、及时的和有用的信息。

      2.将太多的注意力集中在短期结果上,而对组织的长期战略缺乏足够的关注。

      3.董事会的监督会因为董事们在业务、行业、技术、IT或其他方面的经验缺失而受限。

      4.董事会不再有足够的活力应对挑战和独立董事们的质疑。

      5.审计委员会的监督会因为在财务报告和审计方面的经验缺失而受限。

      6.外部审计师没有发现重大的虚假陈述,是因为全球团队中有部分人员缺乏必要的行业经验和对相关会计政策的理解。

      7.董事会在风险管理方面的监督会因为风险管理经验缺失而受限。

      8.经董事会批准的战略没有与各运营部门管理者目的和目标相关联。

      9.由于缺乏沟通和与公司目标及激励政策相结合,IT的优先性没有与业务活动和组织的优先性相符。

      10.员工对公司经营行为规范不理解,因为这些规范没有用本地语言进行陈述或解释不清晰。

      内部审计的责任在于履行审计计划,其中包括对风险的评估,但这种职责的履行需要和管理层及董事会一同进行。虽然独立内部审计的职责应该作出最后决定,但还是应该考虑内部审计师们的观察力和对风险水平的评估能力。

      然而,当进行与治理相关的审计时,单方面的决策可能是困难的。在某种情况下,管理层和董事会可能会认为内部审计是多管闲事,甚至还可能认为内部审计缺乏评价董事会运行的有效性所必需的、充分的独立性、技能和经验。

      尽管如此,内部审计还是要找到克服这些阻碍的方法。如果内部审计师们要对组织中更为重大的风险提供确认服务时,不可能对那些与无效治理活动相关的风险视而不见。

      二、应对风险

      一旦对与治理活动相关的风险进行识别和评估,内部审计就需要决定在审计计划期间要应对哪些风险。通常,对于与治理活动相关的风险不需要也不适合逐一进行审计,而仅仅应针对那些影响组织运营成功以及实现目标的重大风险。

      此外,还要决定如何应对这些选出的风险。内部审计的管理层应该对这些风险逐一考虑,并决定采取最好的方法。以下几种方法可供考虑:

      1.传统的确认或咨询方法。使用传统的审计方法时,许多与治理相关的风险领域,如对公司行为规范的认识、管理层激励计划和组织战略的一致性、执行管理层和董事会获得的信息质量等,都不会认为是重大问题。但内部审计师可能会发现,IIA2006年发布的“立场公告”的“组织治理”中提到“内部审计师指南”的内容就非常有用。该指南指出了对治理活动有关价值的确认服务和咨询服务之间存在重要的区别。对于一个发展相当成熟的组织,内部审计师最有价值的作用在于对那些符合组织需要的治理政策和实务提供确认服务,即包括适用法律法规的遵循性,以及经营的有效性。然而,如果组织仍然处于改善其治理过程的阶段,内部审计师可能就需要在咨询服务方面做更多、更有效的工作。就像IIA“立场公告”所言,内部审计师最好的服务定位就是“变化的催化剂、建议或促进改善和加强组织治理结构的实务”。

相关文章: