公司治理与内部审计_基于风险管理目标的整合
2001年12月以来,美国相继爆出一系列会计造假丑闻,暴露了其资本市场的弊端,其后美国政府相应出台了多项政策。2002年7月,美国总统布什签署了《萨班斯一奥克斯利法案》,8月1日,一套新的上市公司治理标准也由美国纽约证券交易所颁布出台。美国拥有世界上最为成熟和规范的资本市场,在这次“会计危机”后,也开始反思自身的公司治理问题。只有建立一套完整的治理系统,才能彻底解决舞弊、腐败和管理不当间题。在这一系统中,内部审计是必不可少的组成部分。本文将重新审视公司治理的若干基本问题,密切结合内部审计的最新理论实务发展,研究在统一的核心—风险管理下的内部审计与公司治理的整合问题。
一、公司治理若千基本问题的再息考
1、公司治理的定义及核心公司治理(。orP0rategoverllance)这一概念,产生并通行于英语系国家,是一个有关现代企业法人的组织和制度安排的概念。
从现有的研究上看,公司治理从概念上可以归结为三类:“制度说”(以M.Blair和张维迎的观点为代表);“组织结构说,’(以昊敬琏观点为代表);“决策机制说,’(以Hart0.观点为代表)a从这三类概念上说,“组织结构说”侧重于治理结构中各部分分工、职责和制衡关系,“决策说”强调合约不完善时剩余控制分配的重要性,“制度说”把治理上升到企业所有权安排的高度,包含了前二者的实质。因此,本文以下分析将建立在“制度说”的定义基础上,即:“公司治理广义地讲是指有关公司控制权和剩余索取权分配的一整套法律、文化和制度性安排,这些安排决定公司的目标、谁在什么状态下实施控制、风险和收益如何在不同企业成员之间分配这样一些问题。”
风险,从广义上理解,是指对目标实现产生影响的事情发生的可能性。风险的衡量标准是后果与可能性。风险在现代企业管理中已成为一个重要概念。由于不能精确地测量未来,管理人员不得不考虑将会发生的一系列可能事件。这些事件的每一个都会对企业及其目标有重要的影响。负面的影响称为“风险”,正面的影响称为“机会”。公司治理是组织应对风险的战略反应,其职责核心就是确保有效的风险管理方案的适当性。在上述公司治理定义中,我们可以看到,公司治理这一制度安排所决定的企业目标、决策人及风险和收益的分配都围绕风险展开:风险直接影响目标的实现;而决策人对风险的控制和管理直接导致目标是否实现及实现程度;治理结构中各部分的人员又需要承受分配的一定风险并获得相应的收益。另外,从解释公司治理问题产生的经济学观点上看,无论是契约理论中提及的不完备契约,还是信息经济学中提及的信息不对称,以及代理理论中提及的代理问题,这些引发公司治理产生的因素究其实质都属于风险,都是使企业目标无法实现的各种可能性事件。因此,笔者认为,风险管理是公司治理的核心。
2、公司治理的范围公司治理包含的因素很多。1985年英国“公司法”把公司治理制度描述为由董事、股东和审计人员(包括内部审计和外部审计人员)三方所构成的制度。而“公司治理:国际比较’户杂志主编Tricker认为:“公司治理涉及的是董事会和股东、高级管理部门、法规制定者和审计人员,以及其他利益相关者的关系。”
笔者认为,从主要功能上说公司治理的范围可以包括:股东、董事会一决策者;管理阶层一执行者;审计人员(包括内部审计人员及外部审计人员)一监督者;其他利害关系人(例如:顾客、供应商、债权人及员工等)一影响者等。从这个观点上说,笔者强调审计人员应该在公司治理中有一席之地。因为,沟通公司治理各功能主体的重要工具就是会计信息系统。会计信息系统本身不仅是公司治理结构的组成部分,会计信息更严重制约和影响着公司治理结构中其他制度安排效用的高低。会计信息系统提供的会计信息真实可靠是内、外部厦门大学管理学院会计系严晖…基于风险管理目标的合整么负节旅乡价协钵激励机制正常运行的前提条件,而有效的审计监督制度正是确保这一前提条件实现的关键。外部审计对公司财务报表进行审计,并对其公允性发表审计意见,从而起到增强会计信息可信性的作用。而内部审计处于公司内部,对于公司内部控制、管理经营活动、风险管理等都具有透彻深人的了解,对公司治理所发挥的作用在层面上则更为深人,在范围上更为广泛。
二、内部审计理论的新发展发达国家的内部审计已经经历了两个主要阶段,现在正进人第三个阶段。早期的内部审计注重于观察、计算与重新执行。1941年,vietorzBrinnk将内部控制的概念引人了内部审计,引发了内部审计历史上的一大重要变革。此后的内部审计的关注点转向了控制。目前,管理者正处在一个日益复杂和全球化的环境中经营,风险是组织活动的驱动力,公司治理是组织对风险的战略反应,而整合风险管理和公司治理,与公司其他机构共同合作,提供实时、持续的监控,并参与战略规划,从而将关注点转向风险,是内部审计的新范式(DavidzMeNameez&GeoRges Selim,1997)。而这一范式转变的意义是巨大的。它使内部审计注重于现在和将来交易的风险,从而使其所发挥的作用对于组织的管理团队有很大价值。内部审计成为组织内部的一种“增值活动”。
顺应于内部审计理论及实务的变化,国际内部审计师协会(Institute。PrInterllalAuditor,IIA)在1999年对内部审计重新定义,并建立了新定义基础上的内部审计专业实务框架(SPPIA)。IIA采用了上述内部审计新范式的观点,对内部审计作出了一个有变革意义的新定义:“内部审计是一种独立、客观的确认与咨询活动,它的目的是为组织增加价值并提高组织的运营效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现组织的目标。”
这一新定义同11月993年提出的内部审计的定义相比,有了很大的变化。1993年的定义甲,强调内部审计是对组织的活动进行审查,并进行独立的评价,目的是协助组织成员有效履行职责。新定义与旧定义相比,有了两个显著的变化:(l)强调内部审计的“参与式”审计活动。旧定义强调独立评价,是游离于组织经营活动之外的评价,使内部审计人员与管理层之间产生了一种潜在的敌对关系。而新定义强调内部审计活动能使组织增值,与管理层密切合作,二者目标一致。这种“参与式”审计更好地发挥了内部审计区别于外部审计的作用,体现了内部审计积极改善组织经营,提高效果效率的职能。(2)扩大了内部审计的范围。新定义将内部审计的范围延伸到风险管理和公司治理。这就比旧定义中提及的控制及经营活动要更为广泛和深人地触及公司管理的精髓。
三、公司治理与内部审计一基于风险管理目标的整合在内部审计的新定义中,我们看到不论在范围上还是在参与程度上,内部审计都向着增加组织的价值迈进了一步。如何理解新定义中涉及的控制、风险管理及治理过程三方面的关系呢?按照内部审计的传统理解,内部审计仅仅局限在公司内部控制层面上,通过对内部控制的测试与评价来把握整个经营管理活动的全部。现代内部审计之父劳伦斯•索耶指出:“控制对内部审计师来说,既是一种机会,也是一种责任。内部审计师不可能成为企业生产经营管理各方面的专家,但是有一个芝麻开门的秘诀,运用这一秘诀,他们可以打开通常只有技术专家才能打开的大门,这一秘诀就是控制。”因此,传统内部审计的关注点就是控制。传统的内部控制不论是在内部控制制度两分法阶段或是内部控制结构阶段,都没有关注风险。同样的,传统的公司治理的有关研究表明,人们关注的是治理结构中各组成部分的关系及制衡,但是并没有体会公司治理的核心所在。在这样的状况下,公司治理、内部控制及风险管理三者关系是相互割裂的,而内部审计作为内部控制中的一个组成部分,仅对其余部分的控制进行测试并评价,这样的活动无法和组织目标联系在一起,无法实现增值。
风险管理是公司治理和内部拧制的核心。公司治理的核心职责就是确保公司应对风险措施的适当性,因此公司治理中包含一些战略性的风险管理的因素,例如:股东董事会所设下的公司经营管理基调.是风险偏好型亦或是风险规避型,再如公司高层管理当局(CEO)等的经营风格、理念、管理哲学中包含的风险态度等。这些战略性风险管理因素就是公司治理与风险管理的交汇点。根据COSO报告提出的“内部控制整体框架”这一跨时代的内部控制理论与实务成果,内部控制整体框架中包含着专门一个要素,即风险评估。风险评估是确认和分析与完成某些特定目标有关的风险。它构成了决定如何管理风险的基础,是内部控制的职能。不仅如此,内部控制中的其他要素,例如控制环境中的“软控制”因素,控制程序中的各项程序从一定程度上说都有助于对风险进行管理。因此,最新的内部控制研究结果表明,内部控制与风险管理愈发趋向目标一致,其某些内容也有较大重合。COSO于2001年起着手进行企业风险管理(ERM,Enter-p五sezdskzmanagement)研究,并力图建立一个类似于内部控制框架一样有理论与实践意义的风险管理框架,并在为ERM项目制定的目标中明确指出:风险管理框架必须和内部控制框架相协调,把控制目标的建立嵌人到某种形式的风险管理过程中去。而在内部控制将领域扩展到控制环境等“软控制”要素上时,就决定了公司治理与内部控制的相互交汇。在现代管理的视野中,对传统的控制程序等“硬控制”的强调正逐渐转向对高层管理当局设立的基调、管理哲学、人力资源等“软控制”的关注。在cOSO报告提出的内部控制定义中,也特别提出了“内部控制过程受组织的董事会、管理层和其他人员影响”,由此可见“软控制”因素对组织内部控制的影响是深远的。而内部控制对公司治理的影响也是巨大的。内部控制为组织的经营目标、财务目标及遵循性目标的实现提供合理保证,同样为公司治理机制的运行提
