上公司内部审计

1、上市公司内部审计公司治理本意暗含着“约束”，而内部审计自古以来就特指“监督”， 均指向“合规性”。随着股东新文化的出现与发展，公司治理成为国 际社会普遍关注的焦点，其内涵扩展到“约束与激励”，内部审计则 像一颗扎根于古代的大树，近代开花结果 1，内涵扩展到“监督与服 务”，二者的扩展面又均与“价值”相联系，“激励”是以创造价值 为目标的，“服务”宗旨则是保存或促成“价值”。由此可见，公司 治理与内部审计之间是“源”来已久且延绵持续的。一、公司治理之前沿理论20 世纪 30 年代，美国股票市场的崩盘引起了大众对公司治理的另眼 相看，大量证券交易监管法规相继出台，因为公司治理决定着企业自 身持续发

2、展能力，也关系到整个资本市场规范性乃至经济秩序，因此， 公司治理越来越受到政府监管部门和社会各界广泛关注。公司与股东、 债权人、经营者、员工、顾客、政府等利益相关者有着千丝万缕的联 系，公司必须通过自上而下地分配和行使责权、监督、评价和激励董 事会、管理层以及员工来确保公司目标实现，同时对利益相关者不同 要求目标进行协调并达成一致，这种艺术就是公司治理。公司治理分为公司治理结构和公司治理机制，公司治理结构是公司管 理和控制的框架体系，用于明确公司战略目标决策、界定经营者责权、 重大经营决策等重要事务时所应遵循的规则和程序，公司治理机制则 提供用于明确以上具体责权的手段，如用人机制、监督机制和激

3、励机 制等。公司治理实践发展至今，大约可归为二类：一是内部治理模式， 以日、德等国为代表，强调大股东和大债权人的共同监管，也称“债 权人主导型治理模式”，是目前全球比较趋同的模式，我国国有控股 企业的公司治理似于此模式；二是外部治理模式，以美、英等国为代 表，通过证券市场的股票交易活动对经营者形成制约，也称“股东主 导型治理模式”，我国在海外（美英）上市的国有企业则需更多地关 注这种模式。二, 与内部审计相关之公司治理研究无论哪种治理模式，公司治理结构和治理机制都必然影响公司经营活 动成果乃至价值，其意义对于上市公司更为长远。正如经济合作与发 展组织（以下简称 OEC）D 公司治理结构原则所描

4、述的，一个良好 的公司治理应具备4个条件：保持良好的内控系统；坚持检查评 估内控设计及执行的有效性；对外如实披露内控现状；保持强有 力的内审作用。为平衡相关利益者，很多国家的政府或证券监管机构先后出台了法规 或条例对公司治理提出硬性要求，最严厉的莫过于美国的萨班斯 奥克斯莱法（以下简称“ SOX法案”），它是一部涉及会计职业监管、 公司治理、证券市场监管等方面改革的重要法律。SOX法案在“内部审计定位或作用”的内容中要求上市公司必须建立审计委员会，赋予其 较以前更多的责任以确保其独立性。全美证券交易商协会和纽约证券 交易所又于 2003年 11月发布了“公司治理最终规则”，详细地界定 了审计委

5、员会的职责：每年获取并审查独立董事提交的报告；与管理 当局、独立审计师一起讨论经审计的公司年度财务报表和季度财务报 表；讨论公司收入公告、财务信息、收益指南等；讨论风险评价、风 险管理政策；分别与管理当局、内部审计师和独立审计师定期会面并 讨论相关难题；制定清晰的关于聘用现任或前任独立审计师的政策； 定期向董事会报告等。为满足新修订的监管要求，确保审计委员会正常角色，就必须积极发 挥内部审计师在组织中的作用，将关注焦点转向公司治理。 1996年， 国际内部审计师协会（以下简称 IIA ）提出关于内部审计的未来：特 尔菲研究专题报告为内部审计职业开辟了新的发展方向， 1999年 IIA 以此报告

6、为依据修订了内部审计职业准则，不但为内部审计给出了 全新定义，还强调了当今内部审计的实质，即关注、评估改善和参与 风险管理、内部控制和公司治理，为组织增加价值。三、我国上市公司治理中的内部审计现状2000 年以来，顺应国际经济环境的变化，我国大多数上市公司开始建 立现代企业法人治理结构，建立决策、执行和监督之间相互制衡的治 理机制，建立以业绩为导向的激励约束机制等，与此同时，国内关于 公司治理及法律政策的研究也有了较大进步，但与国际先进经验比较， 仍有诸多不足：一是股权结构之“股权融资成本低”而导致对经营者 约束力相对弱等；二是内部治理机制之“董事会、监事会、审计委员 会对公司经济活动的监督仍

7、不明显”等；三是绩效约束机制之“缺乏 对公司内部人的有效制衡与监督”；四是治理法律法规之“缺乏相关 公司治理的原则和标准”等。在这种治理环境下，审计委员会或内部 审计机构的正常作用难以发挥。（ 一 ） 对公司信息披露的监督乏力我国现行的公司治理准则和信息披露制度中，相关对内部控制的监管 要求不像国际上的监管那样健全或严格。以信息披露框架为例，现行 体系没有要求上市公司披露除实际控制人之外的其它最终控制人与上 市公司之间的控制关系，没有明确关联交易定价政策相关信息披露和 内部约束机制 2。据 2003 年的调查表明，深沪两市平均每家上市公司 被占用 1.43 亿元。连续两年亏损的上市公司中， 7

8、0%存有控股股东侵 占资金行为。所以，大多数上市公司的定期报告中很少提及内部控制 实施和公司风险管理的评估情况，这样必然减弱了对少数中小股东权 益保护，值得注意的是，国内审计准则也没有明确强调内部审计对信 息披露监督和评价的相关职能。（ 二） 对公司治理活动的监督有限我国大多数上市公司是由原国有企业重组改制而形成，控股公司除承 担股东委托和社会责任外，还承担着处理存续公司历史遗留问题的重 任，公司治理中难免会有牺牲部分相关利益者的情况，审计委员会或 内部审计机构以其内部人的身份无法确保公司对治理目标的理性选择。 国内公司因公司治理过程失控而引发的财务造假事件教训深刻，琼民 源、银广夏、郑百文、

9、红光实业、黎明股份等集体舞弊案折射的不仅是内部控制问题，更多体现的是公司治理目标偏离和公司治理制衡机 制削弱的深层次问题。（ 三） 对内部控制执行力的督促不足不解决好公司内部控制执行力问题，难以支持公司治理激励和约束机 制的运作。我国上市公司的内部控制处于相对较低的水平，因内控失 效而导致舞弊的案例屡见不鲜，大多数组织动机（例粉饰业绩）的舞 弊都是通过集体会计造假，而原因就是组织内部控制的失效，控制环 境脆弱必然导致内部审计独立性缺乏，所以，内部审计仅限于对某领 域年度受权范围发表审计意见或管理建议，对公司内部控制执行层面 的持续监控无法实现。（ 四） 内部审计地位及受重视水准差强人意我国上市

10、公司管理层对内部审计的实施范围和结果报告施加了较大影 响，对内部审计价值认知水准不高。首先，大多数公司审计委员会未 得到充分授权，计划或项目批准流于形式；其次，内部审计多限于传 统审计功能的发挥，有的甚至将财务控制排除在外；同时，内部审计 与外部审计就像二条黑夜中并行的船，没有交叉点，与外部审计的沟 通由其他部门替代；还有，内部审计师对公司内部 IT 应用控制系统的 接触也受到限制，与一般员工信息沟通的渠道不畅等；总之，没有营 造内部审计参与公司治理的良好环境。（ 五） 内部审计人员知识结构及胜任能力问题部分内部审计人员胜任能力不足。内部审计人员积累工作经验大多局 限于在某单一专业领域，虽然知

11、识结构和业务技能比以往有了很大的 进步，但与国际同行相比有一定差距。美国 SOX法案明确要求在美上 市公司内部审计师应帮助管理层对公司 IT 应用控制和 IT 一般性控制 进行评估并出具报告，但我国内部审计队伍中着实缺少既懂 IT 又熟悉 财务、审计、业务等综合知识结构的人才。依现状分析，我国国内政策环境和公司治理整体框架还有待完善，公 司内部治理手段还有待优化，而内部审计在公司治理领域的转型与创 新也面临很多困难。四、我国公司治理与内部审计之关系及发展随着我国企业市场环境尤其是法律环境的逐步改善，我国上市公司治 理已经进入以大力促进公司专业化治理为标志的合规阶段。国内外相 关专业领域的研究成

12、果也持续涌现，为内部审计如何在公司治理中适 当定位并实现创新提供了指南，内部审计人员应抓住这一难得的机遇， 持续地学习，积极地探索。（ 一 ） 支持协同公司治理内部关系良好的公司治理依赖于四大要素的协同实现。2002年7月，IIA指出:“健全一个完善公司治理结构的前提是建立有效的公司治理体系的协 同关系，即董事会、执行管理层、外部审计和内部审计等”，审计委 员会或内部审计机构有责任协同四大要素的内部关系，做公司治理关 系的协同者和项目支持者。公司治理有效性很大水准上取决于道德文化建设， IIA 职业标准相关 “公司治理方向”指出“内部审计应该增强对管理层职业道德的劝 说”，审计委员会有权独立启

13、动自我评估程序，通过内部审计机构对治理结构和政策、企业文化和道德规范等评估发表意见或建议， 帮助董事会和管理层培养公司良好的内部控制文化和风险管理意识。IIA实务公告也指出了内部审计其他协同作用：可以通过对领导 层进行任期经济责任审计，或协助纪检部门进行效能监察测评，提醒 管理层增强执行人员的责任心、提升管理水平，劝说经营者合法经营； 可以通过股权或固定资产投资效益审计，劝说管理层在决策中综合 考虑公司长短期利益并力求投资回报；可以通过财务预算或经营业 绩审计，测评或建议公司真实、全面出具财务报告或对外信息披露。 内部审计还可以在公司内部就国际、国内相关法令、准则方面发挥解 释和咨询作用。（

14、二） 评价改进公司治理活动效果 内部审计机构应将公司治理列为优先审计的对象， IIA 新修订的职业 标准相关“内部审计在公司治理活动中的重要地位”等指南为我们指 点迷津，也为内部审计部门提供了向公司的利益相关者证明其真正价 值的新的机遇，内部审计可以继续固化“项目审计专家”等角色。公司治理评价应以治理环境为起点，评价公司总体治理结构政策、道 德规范、审计委员会活动，证实公司是否拥有一套完整的治理、风险 和合规环境；其次，重点对治理流程、程序和技术进行评价：内部 审计可以通过个别评价协助反舞弊程序，对舞弊动机或表象进行披露， 为舞弊举报事件调查提供线索和建议；内部审计人员接触并了解公 司内部各专

15、业或技术领域的特征，可以为人力资源部门的薪酬治理提 供咨询服务；内部审计还可以对财务治理流程进行审计，确认公司 是否有充足的财务治理原则和操作标准，揭露违规现象、分析误报原 因、建议防范措施，从源头上防范财务造假和暗箱操纵；内部审计 可以帮助管理层评估各战略发展阶段的重要决策或举措的前景，检查 监督决策过程，确保战略举措的可行性和计划的可操作性；内部审 计还可以在评估治理绩效的准确性和可靠性方面发挥重要作用。（ 三） 帮助增强风险管理防御能力 风险的不确定性会对公司治理产生重大的威胁。 IIA 对“治理过程” 的定义也提示我们，公司治理程序的设立旨在对管理层执行的风险和 控制过程加以监督。所以

16、，内部审计有责任帮助公司管理层适时把握 风险、有效履行风险管理职责，向风险管理领域“项目管理层”方向 努力。内部审计首先应该评估公司有无风险管理程序、是否有效；如果没有， 内部审计有责任通过周密详细的调查和分析，积极协助风险管理体系 的建立；如果已建立，那么内部审计将负责定期测评风险管理过程的 充分性和有效性，评估要点包括：考察风险报告程序与事项追踪情 况，评估违规或舞弊等事项是否被公司适当层次发现、逐级上报、定 向追踪并妥善处理；考察风险环境变化与学习、风险识别技术支持 等能力，帮助公司有效识别风险问题，适时调整方法或技术。最后， 内部审计还应积极支持并参与风险管理过程，例如对内部控制制度设

17、 计的充分性、合理性进行研究和建议，作为独立的第三方，主动识别 各部门内部的单一风险和各管理部门之间共同承担的综合风险，对风 险管理过程进行管理和协调等。总之，对公司治理而言，内部审计人 员开展风险管理评估是比较有价值的工作内容之一。（ 四 ） 协助提升公司内部控制执行力传说中扁鹊答魏文王，最精湛医术莫过于“治病于病情发作之前”， 内部控制之于公司治理的作用也在于防微杜渐。 SOX法案关于管理层内 部控制评价报告及就内控情况与外部审计师沟通等的职责，实际上是 需要通过内部审计的帮助才能履行的，内部审计要坚持做管理层相关 内控有效性“持续监督和检查的执行人”。内控健全性是准确执行的基础，内部审计

18、师应针对风险遗漏点，发现 设计漏洞并提出改进建议；内控遵循性是督促执行力的前提，内部审 计师应针对重点范围测评控制水准，找出内控执行缺陷；内控科学性 则是提升执行力的保障，内部审计师可以通过对关键控制点的详细测 试，评价其是否发挥了应有的制约与控制作用。评估重点包括： “公司层面控制”：评估控制环境、风险评估、信息与沟通、监控 等要素，为内部控制总评提供基调，为控制活动测评提供方向； “流程层面控制活动”：评估投资筹资活动、实物资产管理、法律 遵循性、预算管控流程、重要业务流程等控制情况；“ IT 一般性控 制”：评估程序和数据的访问控制、程序变更管理、程序开发、系统 运行、最终用户计算等。只

19、有持续地监控内部控制系统，才能确保内 控执行力持续提升，为公司治理机制的落实提供保障。（ 五）全面创新内部审计运作模式创新模式的首要任务是，根据 OEDC SOX法案和IIA等相关要求增强 审计委员会的职责：保持审计委员会成员的独立性，至少配备一名财务专家；增强对会计报告报告编制流程的监督，至少以半年为周 期定期审计；在公司内部建立畅通员工沟通反馈渠道；赋予聘用 独立顾问的权利；赋予对外部审计师提供服务的事前批准权利等。 唯有如此，审计委员会才能充分利用内部审计机构的资源优势，帮助 并支持内部审计职能正常发挥，从而促进完善四位一体 3 的公司治理 结构。营造良好的环境固然重要，内部审计自身模式的创新更为关键。首先， 内部审计应该以发现并解决问题为审计理念，从“揭露型”向“持续 改良型”转变；起次，内部审计应该以让审计对象参与审计为审计策 略，从“从属型”向“参与型”转变，共同研究问题有助于公司治理 的改善；同时，内部审计还应以为组织增加价值为审计活动的目的， 从盲目强调“独立性”向积极追求“价值实现”转变，只有将公司治 理目标与内部审计宗旨统一起来，方能真正为管理层排忧解