基于受托责任视角的公司治理与内部审计关系研究
来源:用户上传
作者:
公司治理改革浪潮将内部审计推向了前沿,使其成为时代宠儿。内部审计的触角正逐步深入治理领域,学者们理应探究:内部审计在公司治理中如何发挥作用。从IIA的界定来看,内部审计要“评价和改善治理程序”,同时内部审计又是公司治理的基本主体之一。公司治理是受托责任系统的一种控制机制。那么,考察内部审计与公司治理的关系,涉及三个方面的问题:一是理论上,在受托责任系统中内部审计与公司治理是什么关系;二是作为基本治理主体之一的内部审计在公司治理中发挥何种作用;三是如何理解“内部审计评价和改善治理程序”。
一、公司治理与内部审计:受托责任理论为基础的分析
杨时展先生说,受托责任是一切审计工作的出发点。王光远教授在《内部审计思想》的译序中也指出,内部审计本质上仍属于受托责任的问题。受托责任的发展主导了内部审计性质的变迁。探讨公司治理中的内部审计,同样要以受托责任理论为基础。
多年来内部审计职业界一直为两个问题而“苦苦挣扎”:一是内部审计到底做什么,二是应由谁来做。根据IIA的最新定义:(1)内部审计在组织各个层次的受托责任关系中发挥作用,当然也包括公司治理所涉及的受托责任关系;(2)内部审计提供确认和咨询两类服务,它要评价和改善受托责任系统;(3)内部审计除了在传统的控制领域发挥作用,新定义还特别强调了评价和改善风险管理、治理程序;(4)意味着内部审计配置方式的变革,内部审计可以由组织内部人提供,也可以与内外部人合作或外包,服务提供可采取多种方式。
内部审计是受托责任系统中的控制机制,确保组织受托财务责任和受托管理责任的有效履行。TomLee(1993)说,审计的主要目标就是,当对被审计者的行为和行动缺乏信任时,通过鉴证被审计者来证实受托责任的履行。Power(1997)也认为,当受托责任关系中存在不信任时,审计是促进受托责任完整履行的主要方式。Sherer和Kent(1983)指出,法定的外部审计、内部审计、管理审计等各种审计类型,都是为了改善组织对各参与者的受托责任,审计的角色很难准确界定,“具体的受托责任过程性质不同,审计也表现出不同的属性。但一般来说,审计发挥监控机制的作用,通过提供反馈来改善组织对参与者的受托责任”,“反馈的内容包括两个方面:评价所提供信息的可信性;评价组织的业绩。前者界定了遵循性审计的范围,后者界定了效率性审计和效果性审计的范围”。王光远教授(2004)系统回顾内部审计的发展、总结现代内部审计的特征后指出,现代内部审计是包括财务审计和管理审计的综合审计,要确保受托财务责任和受托管理责任的完整履行。我们认为,公司治理问题中最核心的是股东、董事会和高管层之间的受托责任关系,在该特定的受托责任关系中,内部审计同样要确保受托人履行受托财务责任和受托管理责任,从而保证整个受托责任系统的有效运行。
二、受托责任观下,内部审计是一种内部治理机制
探讨内部审计在公司治理中的作用,就是要分析内部审计在公司治理所涉及的受托责任关系中的角色。以受托责任理论为基础,我们认为:
1.内部审计本身可视为一种内部治理机制。理论上,内部审计在股东、董事会和高管层之间的受托责任关系中行使确认之职,可增强财务信息及非财务信息的可信性,减少信息不对称,有助于契约的签订和执行;履行咨询职能,则可改善其他控制程序,并影响受托责任环境,确保受托责任的有效履行。因此,内部审计可视为一种内部治理机制。实务中,董事会行使职责,需要内部审计协助,管理层解除受托责任,也需要内部审计的工作,外部审计也一直依赖内部审计的成果,因此,内部审计作为董事会、高管层及外审人员的助手,已然是确保受托责任系统运行的一种治理机制。当前的趋势是,内部审计归属董事会或其所属的审计委员会领导,这样,内部审计本身就属于董事会这一治理机制的组成部分了。
2.内部审计可缩小经理人和股东之间的利益差距,影响企业的业绩和价值。内部审计可视为一种治理机制,但还要看这种机制是否有效,如果它无法发挥应有的作用,或者是可替代的,或者不符合成本效益原则,人们也不会接受。Denis(2001)认为,分析特定的公司治理机制有两个标准:一是该治理机制是否能缩小经理人和股东之间的利益差距(如果可以,则是怎样缩小的),二是该治理机制对企业业绩或企业价值能否产生重大影响,这两个治理机制有效性的衡量标准,也可用来分析内部审计的作用。就委托人和受托人之间信息不对称而言,受托财务责任履行情况的报告和受托管理责任履行情况的报告都很重要;就委托人和受托人之间的契约履行而言,受托管理责任履行的可观察变量和受托财务责任履行的可观察变量都有助于契约的履行。现代内部审计是包括财务审计和管理审计的综合审计,要审查受托财务责任和受托管理责任的履行情况,从而确保受托人能按委托人的利益行事,以缩小委托人和受托人的利益差距。此外,Gramling等(2004)也指出,诸多的研究表明内部审计会影响企业业绩,瞿曲等(2005)也分析了内部审计所提供的与外部审计有差异的服务,即内部审计不仅在财务会计信息的确认方面发挥作用,而且在经营领域发挥作用,最终降低交易成本和代理成本,进而影响企业价值。因此,内部审计可以在公司治理中发挥作用,当然,内部审计的质量以及成本效益原则仍是须考虑的因素。
3.内部审计在组织中的位阶影响其在治理中的作用发挥。内部审计在公司治理中发挥作用的前提是,要进入股东、董事会和高管层这一层次的受托责任关系。如果内部审计只是在较低层级的受托责任关系中发挥作用,那么就不属于公司治理的范围,内部审计也无法在治理中发挥作用。实务中,这体现在内部审计的报告关系上,如果是向董事会及其所属的审计委员会或CEO负责并向其报告,内部审计显然进入了公司治理的受托责任关系中,如果是受财务部门或组织其他中层部门领导,内部审计则很可能排除在公司治理的受托责任关系之外,无法发挥应用的作用。IIA在《内部审计报告关系:服务于二主》(2003)的报告中,公布了一份向全球审计信息网(GAIN)会员进行问卷调查的结果,就职能(functional)报告责任而言,超过70%的内审部门向审计委员会或CEO基于受托责任理论的内部审计若干问题研究报告,但仍有近1/4是向财务主管报告,就行政(administrative)报告关系而言,则51%的内审部门向财务主管报告,IIA对此种状况下内部审计能否在治理中发挥作用表示疑虑。Hermanson(2002)甚至认为,向审计委员会报告这种结构,才最有利于改善治理,才能使内部审计成为治理结构的一部分。
4.公司治理和公司管理都离不开内部审计,现代内部审计并非只是“内部治理审计”。内部审计和公司治理本质上都是受托责任系统中的控制机制,只是涉及的受托责任关系的范围不同,公司治理仅涉及特定的以股东为主的利益相关者、董事会、高管层之间的受托责任关系,内部审计的职能范围则涉及组织各层次的受托责任关系,在公司治理和公司管理层次都发挥作用。公司治理和公司管理虽有联系(如Tricker认为公司战略是治理和管理的交叉),但治理和管理处于不同的受托责任关系中,治理和管理所涉及的受托责任关系参与者、目的、职能和评价标准都不一样。把公司治理的职能范围无限扩大,涵盖至企业所有的受托责任关系,这无疑是不正确的,另一方面,我们也不能否认公司管理中所存在的受托责任关系,公司的管理活动涉及组织各种横向和纵向的受托责任关系,它们构成组织受托责任系统的重要组成部分。正因为此,我们不能把现代内部审计在公司治理中的作用与在公司管理中的作用混在一起,称之为“内部治理审计”。
三、内部审计对治理程序的确认
内部审计的评价是对受托责任的评价,那么,如何理解IIA所界定的“治理程序”?“治理程序”的评价与内部控制评价存在怎样的联系?“治理程序”是否可以成为内部审计评价的对象?这是本部分所要探讨的问题。
治理程序、风险管理评价是内部控制评价的延伸。IIA在新定义中指出,内部审计要“评价和改善风险管理、内部控制和治理程序的效果”,那么这三者之间关系如何?内部控制与公司治理都因委托受托关系而发生,以董事会为主导的公司内部治理机制本质上仍属内部控制范畴。风险是内部控制和公司治理须考虑的重要因素,COSO(2004)新近发布的企业风险管理(ERM)框架,是对外界批评1992年《内部控制――综合框架》各种缺陷的回应,是对原有框架的完善和发展。我们认为,ERM框架概念内涵上仍属于组织的内部控制。所以,就内部审计的工作范围而言,对治理程序、风险管理的评价是内部控制评价的延伸。
著名内部审计学家AndrewChambers(1995)认为,内部审计的理论构建应以内部控制概念为中心。现代内部审计之父LawrenceSawyer指出,评价内部控制的技能是内部审计人员的“魔杖”,是内部审计渗透到其他领域的“敲门砖”,内部审计是控制重要与否的代言人。Goldberg和Danko(2003)在《萨班斯法案》颁布后不久,撰写了《公司治理:翻天覆地的变化即将到来》一文,文中,他们指出,“公司治理包括两类程序:一是设定公司目标的程序;二是合理确保目标实现、出具可靠财务报告的程序。其中第二类程序也被称作内部控制,受到组织董事会、管理层基于受托责任理论的内部审计若干问题研究及其他员工的影响”。但须说明的是,IIA界定的“治理程序”并没有、也不可能包括所有的公司治理机制,如产品要素市场竞争,公司接管、资本市场竞争等,内部审计是不可能审查此类治理机制的。另外,在公司治理中董事会作为受托人也承担着受托责任,对其受托责任履行情况同样需进行评价,那么该评价职能是否由内审部门来承担?理论上讲是可以的,但现实中内审部门处于董事会的领导之下,由内审部门评价董事会难以实行,因此,尽管对董事会的评价也属于内部控制评价,但本文并不对此作进一步探讨,我们仅从作为董事会的助手角度,分析内部审计在治理中的作用。另一个问题是风险管理与内部控制。COSO在2004年推出了企业风险管理(ERM)框架,它指出,“企业风险管理是一个过程,它受组织董事会、管理层及其他员工的影响,适用于战略制定及整个组织,它用来辨认可能影响组织的潜在事件,并依据其风险偏好管理风险,为组织目标的实现提供合理的保证。”很明显,ERM框架是对1992年框架的发展,只是COSO竭力避免使用“内部控制”――这一极易被人们误认为仅仅是“内部会计控制”的词,而使用了“风险管理”一词。所以,无论治理程序还是风险管理,都未脱离内部控制范畴,对其评价是内部控制评价的延伸。
转载注明来源:https://www.xzbu.com/2/view-367439.htm