上公司内部审计

1、上市公司内部审计公司治理本意暗含着“约束”，而内部审计自古以来就特指“监督”，均指向“合规性”。随着股东新文化的出现与发展，公司治理成为国际社会普遍关注的焦点，其内涵扩展到“约束与激励”，内部审计则像一颗扎根于古代的大树，近代开花结果1,内涵扩展到“监督与服务”，二者的扩展面又均与“价值”相联系，“激励”是以创造价值为目标的，“服务”宗旨则是保存或促成“价值”。由此可见，公司治理与内部审计之间是“源”来已久且延绵持续的。一、公司治理之前沿理论20世纪30年代，美国股票市场的崩盘引起了大众对公司治理的另眼相看，大量证券交易监管法规相继出台，因为公司治理决定着企业自身持续发展能力，也关系到整个资本

2、市场规范性乃至经济秩序，因此，公司治理越来越受到政府监管部门和社会各界广泛关注。公司与股东、债权人、经营者、员工、顾客、政府等利益相关者有着千丝万缕的联系，公司必须通过自上而下地分配和行使责权、监督、评价和激励董事会、管理层以及员工来确保公司目标实现，同时对利益相关者不同要求目标进行协调并达成一致，这种艺术就是公司治理。公司治理分为公司治理结构和公司治理机制，公司治理结构是公司管理和控制的框架体系，用于明确公司战略目标决策、界定经营者责权、重大经营决策等重要事务时所应遵循的规则和程序，公司治理机制则提供用于明确以上具体责权的手段，如用人机制、监督机制和激励机制等。公司治理实践发展至今，大约可归

3、为二类：一是内部治理模式，以日、德等国为代表，强调大股东和大债权人的共同监管，也称“债权人主导型治理模式”，是目前全球比较趋同的模式，我国国有控股企业的公司治理似于此模式；二是外部治理模式，以美、英等国为代表，通过证券市场的股票交易活动对经营者形成制约，也称“股东主导型治理模式”，我国在海外（美英）上市的国有企业则需更多地关注这种模式。二，与内部审计相关之公司治理研究无论哪种治理模式，公司治理结构和治理机制都必然影响公司经营活动成果乃至价值，其意义对于上市公司更为长远。正如经济合作与发展组织（以下简称OECD公司治理结构原则所描述的，一个良好的公司治理应具备4个条件：保持良好的内控系统；坚持检

4、查评估内控设计及执行的有效性；对外如实披露内控现状；保持强有力的内审作用。为平衡相关利益者，很多国家的政府或证券监管机构先后出台了法规或条例对公司治理提出硬性要求，最严厉的莫过于美国的萨班斯一奥克斯莱法（以下简称“SOX法案”），它是一部涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律。SOX&案在“内部审计定位或作用”的内容中要求上市公司必须建立审计委员会，赋予其较以前更多的责任以确保其独立性。全美证券交易商协会和纽约证券交易所又于2003年11月发布了“公司治理最终规则”，详细地界定了审计委员会的职责：每年获取并审查独立董事提交的报告；与管理当局、独立审计师一起讨论经审

5、计的公司年度财务报表和季度财务报表；讨论公司收入公告、财务信息、收益指南等；讨论风险评价、风险管理政策；分别与管理当局、内部审计师和独立审计师定期会面并讨论相关难题；制定清晰的关于聘用现任或前任独立审计师的政策；定期向董事会报告等。为满足新修订的监管要求，确保审计委员会正常角色，就必须积极发挥内部审计师在组织中的作用，将关注焦点转向公司治理。1996年，国际内部审计师协会（以下简称IIA）提出关于内部审计的未来：特尔菲研究专题报告为内部审计职业开辟了新的发展方向，1999年IIA以此报告为依据修订了内部审计职业准则，不但为内部审计给出了全新定义，还强调了当今内部审计的实质，即关注、评估改善和参

6、与风险管理、内部控制和公司治理，为组织增加价值。三、我国上市公司治理中的内部审计现状2000年以来，顺应国际经济环境的变化，我国大多数上市公司开始建立现代企业法人治理结构，建立决策、执行和监督之间相互制衡的治理机制，建立以业绩为导向的激励约束机制等，与此同时，国内关于公司治理及法律政策的研究也有了较大进步，但与国际先进经验比较，仍有诸多不足：一是股权结构之“股权融资成本低”而导致对经营者约束力相对弱等；二是内部治理机制之“董事会、监事会、审计委员会对公司经济活动的监督仍不明显”等；三是绩效约束机制之“缺乏对公司内部人的有效制衡与监督”；四是治理法律法规之“缺乏相关公司治理的原则和标准”等。在这

7、种治理环境下，审计委员会或内部审计机构的正常作用难以发挥。（一）对公司信息披露的监督乏力我国现行的公司治理准则和信息披露制度中，相关对内部控制的监管要求不像国际上的监管那样健全或严格。以信息披露框架为例，现行体系没有要求上市公司披露除实际控制人之外的其它最终控制人与上市公司之间的控制关系，没有明确关联交易定价政策相关信息披露和内部约束机制2。据2003年的调查表明，深沪两市平均每家上市公司被占用1.43亿元。连续两年亏损的上市公司中，70稀有控股股东侵占资金行为。所以，大多数上市公司的定期报告中很少提及内部控制实施和公司风险管理的评估情况，这样必然减弱了对少数中小股东权益保护，值得注意的是，国

8、内审计准则也没有明确强调内部审计对信息披露监督和评价的相关职能。（二）对公司治理活动的监督有限我国大多数上市公司是由原国有企业重组改制而形成，控股公司除承担股东委托和社会责任外，还承担着处理存续公司历史遗留问题的重任，公司治理中难免会有牺牲部分相关利益者的情况，审计委员会或内部审计机构以其内部人的身份无法确保公司对治理目标的理性选择。国内公司因公司治理过程失控而引发的财务造假事件教训深刻，琼民源、银广夏、郑百文、红光实业、黎明股份等集体舞弊案折射的不仅是内部控制问题，更多体现的是公司治理目标偏离和公司治理制衡机制削弱的深层次问题。（三）对内部控制执行力的督促不足不解决好公司内部控制执行力问题，

9、难以支持公司治理激励和约束机制的运作。我国上市公司的内部控制处于相对较低的水平，因内控失效而导致舞弊的案例屡见不鲜，大多数组织动机（例粉饰业绩）的舞弊都是通过集体会计造假，而原因就是组织内部控制的失效，控制环境脆弱必然导致内部审计独立性缺乏，所以，内部审计仅限于对某领域年度受权范围发表审计意见或管理建议，对公司内部控制执行层面的持续监控无法实现。（四）内部审计地位及受重视水准差强人意我国上市公司管理层对内部审计的实施范围和结果报告施加了较大影响，对内部审计价值认知水准不高。首先，大多数公司审计委员会未得到充分授权，计划或项目批准流于形式；其次，内部审计多限于传统审计功能的发挥，有的甚至将财务控

10、制排除在外；同时，内部审计与外部审计就像二条黑夜中并行的船，没有交叉点，与外部审计的沟通由其他部门替代；还有，内部审计师对公司内部IT应用控制系统的接触也受到限制，与一般员工信息沟通的渠道不畅等；总之，没有营造内部审计参与公司治理的良好环境。（五）内部审计人员知识结构及胜任能力问题部分内部审计人员胜任能力不足。内部审计人员积累工作经验大多局限于在某单一专业领域，虽然知识结构和业务技能比以往有了很大的进步，但与国际同行相比有一定差距。美国SOX1案明确要求在美上市公司内部审计师应帮助管理层对公司IT应用控制和IT一般性控制进行评估并出具报告，但我国内部审计队伍中着实缺少既懂IT又熟悉财务、审计、

11、业务等综合知识结构的人才。依现状分析，我国国内政策环境和公司治理整体框架还有待完善，公司内部治理手段还有待优化，而内部审计在公司治理领域的转型与创新也面临很多困难。四、我国公司治理与内部审计之关系及发展随着我国企业市场环境尤其是法律环境的逐步改善，我国上市公司治理已经进入以大力促进公司专业化治理为标志的合规阶段。国内外相关专业领域的研究成果也持续涌现，为内部审计如何在公司治理中适当定位并实现创新提供了指南，内部审计人员应抓住这一难得的机遇，持续地学习，积极地探索。（一）支持协同公司治理内部关系良好的公司治理依赖于四大要素的协同实现。2002年7月，IIA指出:“健全一个完善公司治理结构的前提是

12、建立有效的公司治理体系的协同关系，即董事会、执行管理层、外部审计和内部审计等”，审计委员会或内部审计机构有责任协同四大要素的内部关系，做公司治理关系的协同者和项目支持者。公司治理有效性很大水准上取决于道德文化建设，IIA职业标准相关“公司治理方向”指出“内部审计应该增强对管理层职业道德的劝说”，审计委员会有权独立启动自我评估程序，通过内部审计机构对治理结构和政策、企业文化和道德规范等评估发表意见或建议，帮助董事会和管理层培养公司良好的内部控制文化和风险管理意识。IIA实务公告也指出了内部审计其他协同作用：可以通过对领导层进行任期经济责任审计，或协助纪检部门进行效能监察测评，提醒管理层增强执行人

13、员的责任心、提升管理水平，劝说经营者合法经营；可以通过股权或固定资产投资效益审计，劝说管理层在决策中综合考虑公司长短期利益并力求投资回报；可以通过财务预算或经营业绩审计，测评或建议公司真实、全面出具财务报告或对外信息披露。内部审计还可以在公司内部就国际、国内相关法令、准则方面发挥解释和咨询作用。（二）评价改进公司治理活动效果内部审计机构应将公司治理列为优先审计的对象，IIA新修订的职业标准相关“内部审计在公司治理活动中的重要地位”等指南为我们指点迷津，也为内部审计部门提供了向公司的利益相关者证明其真正价值的新的机遇，内部审计可以继续固化”项目审计专家”等角色。公司治理评价应以治理环境为起点，评

14、价公司总体治理结构政策、道德规范、审计委员会活动，证实公司是否拥有一套完整的治理、风险和合规环境；其次，重点对治理流程、程序和技术进行评价：内部审计可以通过个别评价协助反舞弊程序，对舞弊动机或表象进行披露，为舞弊举报事件调查提供线索和建议；内部审计人员接触并了解公司内部各专业或技术领域的特征，可以为人力资源部门的薪酬治理提供咨询服务；内部审计还可以对财务治理流程进行审计，确认公司是否有充足的财务治理原则和操作标准，揭露违规现象、分析误报原因、建议防范措施，从源头上防范财务造假和暗箱操纵；内部审计可以帮助管理层评估各战略发展阶段的重要决策或举措的前景，检查监督决策过程，确保战略举措的可行性和计划

15、的可操作性；内部审计还可以在评估治理绩效的准确性和可靠性方面发挥重要作用。（三）帮助增强风险管理防御能力风险的不确定性会对公司治理产生重大的威胁。IIA对“治理过程”的定义也提示我们，公司治理程序的设立旨在对管理层执行的风险和控制过程加以监督。所以，内部审计有责任帮助公司管理层适时把握风险、有效履行风险管理职责，向风险管理领域”项目管理层”方向努力。内部审计首先应该评估公司有无风险管理程序、是否有效；如果没有，内部审计有责任通过周密详细的调查和分析，积极协助风险管理体系的建立；如果已建立，那么内部审计将负责定期测评风险管理过程的充分性和有效性，评估要点包括：考察风险报告程序与事项追踪情况，评估

16、违规或舞弊等事项是否被公司适当层次发现、逐级上报、定向追踪并妥善处理；考察风险环境变化与学习、风险识别技术支持等能力，帮助公司有效识别风险问题，适时调整方法或技术。最后，内部审计还应积极支持并参与风险管理过程，例如对内部控制制度设计的充分性、合理性进行研究和建议，作为独立的第三方，主动识别各部门内部的单一风险和各管理部门之间共同承担的综合风险，对风险管理过程进行管理和协调等。总之，对公司治理而言，内部审计人员开展风险管理评估是比较有价值的工作内容之一。（四）协助提升公司内部控制执行力传说中扁鹊答魏文王，最精湛医术莫过于“治病于病情发作之前”，内部控制之于公司治理的作用也在于防微杜渐。SOX1案

17、关于管理层内部控制评价报告及就内控情况与外部审计师沟通等的职责，实际上是需要通过内部审计的帮助才能履行的，内部审计要坚持做管理层相关内控有效性“持续监督和检查的执行人”。内控健全性是准确执行的基础，内部审计师应针对风险遗漏点，发现设计漏洞并提出改进建议；内控遵循性是督促执行力的前提，内部审计师应针对重点范围测评控制水准，找出内控执行缺陷；内控科学性则是提升执行力的保障，内部审计师可以通过对关键控制点的详细测试，评价其是否发挥了应有的制约与控制作用。评估重点包括：“公司层面控制”：评估控制环境、风险评估、信息与沟通、监控等要素，为内部控制总评提供基调，为控制活动测评提供方向；“流程层面控制活动”

18、：评估投资筹资活动、实物资产管理、法律遵循性、预算管控流程、重要业务流程等控制情况；“IT一般性控制”：评估程序和数据的访问控制、程序变更管理、程序开发、系统运行、最终用户计算等。只有持续地监控内部控制系统，才能确保内控执行力持续提升，为公司治理机制的落实提供保障。（五）全面创新内部审计运作模式创新模式的首要任务是，根据OEDCSOX1案和IIA等相关要求增强审计委员会的职责：保持审计委员会成员的独立性，至少配备一名财务专家；增强对会计报告报告编制流程的监督，至少以半年为周期定期审计；在公司内部建立畅通员工沟通反馈渠道；赋予聘用独立顾问的权利；赋予对外部审计师提供服务的事前批准权利等。唯有如此，审计委员会才能充分利用内部审计机构的资源优势，帮助并支持内部审计职能正常发挥，从而促进完善四位一体3的公司治理结构。营造良好的环境固然重要，内部审计自身模式的创新更为关键。首先，内部审计应该以发现并解决问题为审计理念，从“揭露型”向“持续改良型”转变；起次，内部审计应该以让审计对象参与审计为审计策略，从“从属型”向“参与型”转变，共同研究问题有助于公司治理的改善；同时，内部审计还应以为组织增加价值为审计活动的目的，从盲目强调“独立性”向积极追求“价值实现”转变，只有将公司治理目标与内部审计宗旨统一起来，方能真正为管理层排忧解难；