一、背景:治理审计的重要性上升 (一)治理审计与组织治理 在全球范围内,治理审计在组织治理中的作用日益重要。一方面,2008年全球金融危机以及金融与公共部门持续发生的治理丑闻引起利益相关者更加关注组织治理结构及其实务。另一方面,全球范围内发生的兼并收购量持续大幅增长,2015年达到5万亿美元的历史高位,从而催生了对治理透明度和问责制的更大需求,许多组织开始主动寻求内部审计组织介入。在此情境下,治理审计正快速融入对组织战略业务绩效评估以及对治理结构及相关流程的审查中。 应当说,治理审计介入组织治理的必要性早已得到国际内部审计师协会(ⅡA)的认可并已成为内部审计定义的组成部分。这可从六个方面来诠释:其一,内部审计历来是用于评估组织内部控制的有效性以及识别影响实现组织目标及组织能力的潜在风险,不过当前内部审计逐渐将评估组织的治理结构和实务拓展为其职能的一部分。其二,治理审计在避免治理失败以及有效实施以增长为导向的战略从而产生卓越的绩效和价值创造方面是至关重要的。其三,治理审计有多种方式增加组织价值,如将识别与评估治理风险因素作为持续确认与咨询服务的一部分。其四,内部审计在治理审计与审查方面的方法必须基于两大支柱,即审计治理结构和流程(主要基于硬控制,可采用分析法)以及审计组织文化(主要基于软控制,方法包括直觉、常识、对人类行为的理解等)。其五,治理审计能促进价值保护(即董事会偏好的治理方向)及支持战略增长,但所面临的挑战在于要在这两者之间取得最佳平衡并要在长期实现卓越和持续的绩效中保持相关性和竞争力。其六,组织文化是推动和实现价值创造及价值保护工作的重要潜在因素。可以说,组织文化对于组织成功、实现卓越的治理结果、促进内部审计实现价值等方面都具有重要的影响。 (二)组织治理改革 实践证明,治理审计能促进组织治理改革,组织治理改革也能提升治理审计的重要性,两者互为条件。 在世界各地,组织治理都是监管的焦点,受到高度关注。近年来,全球大幅增加的兼并收购活动使组织关注焦点从日益激烈的竞争、创新和整合转移到风险管理中来。在全球范围内,不同行业的监管要求都在提高,利益相关者的预期日益提高,迫切要求开创一个新的组织治理时代。 事实上,组织治理改革的步伐从未停息。21世纪以来,美国2002年的《萨班斯—奥克斯利法案》就是一部以组织治理改革为导向的法律,后来被欧洲、加拿大、中国、日本和其他国家所广泛效仿,如英国和印度的《公司法》就包含了与组织治理相关的条款;南非在公司治理方面的《King报告》也是一个很好的例子,并被视为公司治理准则的领头羊而保持持续的影响力;荷兰的公司治理准则也受到高度评价。而2007~2009年的全球金融危机迅速提高了组织对透明度和问责制的要求,为此美国2010年通过的《多德—弗兰克法案》、澳大利亚和意大利的《公司破产法》都增加了监管审查,英国也于2010年通过了《反贿赂法》并在2013年成立了金融行为监管局。显然,一直致力于对组织治理进行改革的行业远不止金融服务业,国家也远不止美国,而是遍及全球各国各行各业。 二、组织治理与组织战略的平衡 (一)组织治理与战略 治理是关于价值保护和价值绩效相互权衡的问题,其最大挑战在于实现风险和报酬之间、价值创造和价值保护之间的最佳平衡。一般而言,董事会将重点放在组织治理上,而管理层将重点放在企业绩效上,即管理层以绩效指标为导向,董事会以治理评估(或业务模式的可持续性)为导向。两者之间有如下关系:当治理非常强有力时,组织在战略上就会保持稳健,限制管理层在风险选择上的灵活性和自由度,因而可能对业绩产生不利影响;若治理力度太弱,组织在战略上会倾向于激进,管理层或许会采取不负责任的行为,因而可能要承担不计后果的风险,大幅减少持续卓越的业绩,甚至为零。2015年CBOK全球调查显示,内部审计师和审计委员会将治理列为五大风险之一的比例分别是45%和55%,而管理层最关注战略业务/绩效风险(比例为70%)。 (二)信息完整性 许多组织治理丑闻可归因于信息风险、完整性风险管理不善或两者兼有。其中,信息风险发生在决策信息质量不高时,如信息不可靠、不完整、过时,董事会和管理层便难以作出良好决策。而当信息被操纵或改变,董事会和管理层基于错误或摩擦信息做决策时,完整性风险就成为治理失败的原因。治理审计为此可以提供的最有价值的服务之一就是确认与决策相关的信息的完整性,提高董事会和管理层使用信息进行决策时的自信(信息安全服务)。 (三)确认服务 当治理审计为组织治理提供确认服务时,即意味着对用于战略决策而获得的信息的相关性、可靠性、及时性进行评估。通过提供信息准确性、一致性、可靠性的确认,治理审计可以极大降低信息完整性风险。因此,治理审计确保了用于决策的信息的质量,使董事会和管理层能自信地使用所获得的信息。 (四)咨询服务 治理审计提供的咨询服务能够在内部审计无须承担管理责任的情况下改善组织治理。可提供的咨询服务类型包括:向董事会和管理层提供决策过程的建议、最佳实务、解释和见解、灌输最佳治理实务思想、讨论发展趋势等(见表1)。比如,在兼并收购活动中,治理审计可以开展重要的尽职调查活动。 三、治理审计从“小叮咬”策略开始 在管制较严的组织中,内部审计师往往更容易将治理审计纳入审计领域,尤其是监管机构明确表达了开展与监测治理活动的具体期望时。但在管制较松的组织中,由于组织内部存在政治和文化障碍,内部审计师难以说服管理层甚至董事会对行政和董事会活动开展正式的治理审计,难以单独制订一项针对治理审计的全面计划。此时,内部审计部门转而使用“小叮咬”策略可能会更为成功,即将治理审计作为其他例行审计的一部分,与其他已经建立起来的例行审计一并开展审查和检验,而不是从一开始就采取开展整个公司的全面治理审计或审查的“大叮咬”策略。该策略可以通过提供治理审计和审查来改变组织内部的态度,逐渐推动整个组织接纳一个全面、针对整个公司的治理审计或审查的概念,从而为随后全面治理审计或审查活动奠定基础。这是一种治理中的“啃咬”,建立在“微调”基础上,是一种实践上的创新解决方案。