论公司治理中的内部审计职能及其冲突

孙立

（武汉大学经济与管理学院 湖北 武汉 430072）

论公司治理中的内部审计职能及其冲突

孙立

（武汉大学经济与管理学院 湖北 武汉 430072）

本文认为，确认和咨询是现代内部审计的两大基本职能，但二者极有可能发生冲突。原因是提供咨询服务可能损害确认过程的价值,也会使内部审计师丧失客观性。内部审计职业所面临的重要挑战之一，是由于提供确认和咨询服务所导致的自我定位问题。内部审计在公司治理中到底扮演何种角色，其确认和咨询两种职能中哪种职能与公司治理最相关，受组织治理程序和结构、内部审计师在组织中的定位的高度影响。

公司治理内部审计确认咨询冲突

一、引言

内部审计作为公司治理中的一种治理程序，通过其基本治理活动—风险监控和控制确认来发挥治理作用。Bookal（2002）指出，“内部审计人员对风险和控制独一无二的全程关注，对于良好的治理程序和财务报告至关重要”。IIA（2006）则在《组织治理:内部审计师指南》中明确表示：“内部审计是通过对组织的风险管理、控制和治理程序进行确认，才成为有效治理重要基石之一的”。内部审计通过服务于其他治理主体如董事会及其下属审计委员会、执行管理层等，成为各治理主体极具价值的资源，从而在不同委托代理关系中承担不同的职责。内部审计提供确认和咨询服务可以同时兼容吗？内部审计可以同时服务于两个主体吗？他能同时向审计委员会和高级管理层提供他们所要求的客观确认，并为经营管理层提供满足他们要求的改进经营的措施吗？当内部审计职业进入21世纪，似乎许多人都开始认同这两种角色是兼容的，而且内部审计也可以同时为两个主体提供服务。甚至在政府部门，人们也呼吁内部审计应当为审计委员会及管理层服务。国际会计师联合会公共部门委员会明确提出，为确保其效果，审计委员会应当独立于组织的高级管理层。但21世纪初发生诸多公司治理失败的案例，促使IIA倡导内部审计应直接向审计委员会报告，进而又引起了人们对内部审计两种角色兼容性的质疑，质疑的核心在于内部审计独立性的保持。“显然，内部审计职业所面临的重要挑战之一，是由于提供确认和咨询服务所导致的自我定位问题（Anderson，2006）”。“平衡好管理层、内部审计、董事会之间的关系是相当微妙而艰难的，然而对于良好的公司治理是所必需的（Joscelyne，2004）”。

二、内部审计治理潜在角色冲突

内部审计作为有效公司治理的主体之一，“通常服务于参与治理过程的各相关方，如董事会、审计委员会、执行管理层、外部审计。但同时，内部审计也为治理对象，如一般管理层以及财务、信息技术管理和业务等各组织部门提供增值服务。因此，“内部审计经常被要求服务于两个对象：负责治理的人和被治理者（Hermanson，Rittenberg，2006）”。作为董事会的代理人，内部审计能提供对风险、控制、治理结构与程序、遵循等方面独立、客观的评价，对公司治理起着最有效的作用。董事会“拥有”内部审计，从而培育出相互支持的“内部审计—董事会”联系。“内部审计师可以传达给董事会诸如有关文化、氛围、道德、透明性和内在相互影响的信息。另外，现代内部审计是基于组织框架来对组织面临的不同战略和经营、财务、遵循性风险进行确认、反应和管理。最终，内部审计师能够提供包括管理层监管和保证活动的总体框架有效性，以及单个关键风险管理的客观保证”。但内部审计的许多活动可以整合到组织的控制结构中。如内部审计部门经常执行重要监控活动，这可以整合到组织控制过程中。这经常会引发关于内部审计合理定位的问题——是直接作为控制系统的一部分，还是作为控制有效性的确认者，或二者兼而有之。历史地看，内部审计在确保代理人按委托人利益行事，有效解释和报告自己行为方面发挥着重要作用，是受托责任系统中的内部控制机制。同时，内部审计又是控制的确认者，监督、评价和改善内部控制是内部审计的基本职责。内部审计作为组织的控制职能，考核、评价组织的其他控制。“内部审计人员评价组织机构各专门领域的内部控制的技能是他们渗透到组织中的敲门砖”，“内部审计是作为组织的控制职能，来考核、评价组织的其他控制”（RobertMoller，2006）。控制评价是内部审计人员的“执行秘诀”（Sawyer，2005）。

支持董事会的角色会使内部审计产生压力，因为内部审计传统上被定位为管理层的“合作者”，是管理层的“耳目”。正如IIA做出的以下总结：内部审计人员的作用包括监控、评价和分析组织的风险与控制，以及检查和确认信息与对政策、程序和法律的遵循。内部审计人员与管理层像伙伴一样一起工作，为董事会、审计委员会和高级管理层确认风险得到控制以及组织的公司治理是强有力和有效的。并且，当组织中有任何改进空间时，内部审计人员就会提出改善过程、政策和程序的建议。“尽管在许多行业或地区，‘审计是管理层的耳目’这一观点仍占据主流地位，但为了解决公司治理问题，内部审计已转变为审计委员会的‘耳目’。”内部审计师需要小心处理两方的需求和期望，否则会导致内部审计在服务于两类不同对象时所扮演的角色产生冲突。事实表明，内部审计在服务于审计委员会和管理层这两个主要客户的过程中可能存在潜在冲突。Hermanson和Rittenberg（2006）指出，在公司治理层面，审计委员会和管理层对内部审计存在竞争性需求。业务经理关注如何实现其经营目标，对他们而言，内部审计应通过识别改善经营的机会来增值，它们要么提高经营效果，要么如通常所知，发现潜在的成本节约，提高经营效率；他们关心审计报告或审计过程中所提的建议，但对审计人员就内部控制完整性所发表的观点漠不关心，相比之下，他们更在意报告这些意见会如何影响上级对他们的评价。管理层对内部审计的要求包括：控制的独立评价，帮助编制控制报告，程序有效性的评价，帮助设计控制，风险分析、风险确认，对风险和控制自我评估的推动。由此可见，经营管理层对内部审计增进其经营效率和效果的方法更感兴趣。而内部审计及所需技能在满足审计委员会要求时，与满足战略和经营管理需要方面恰好相反。审计委员会（董事会）相对而言对提高效率的建议兴趣不大，他们关心审计人员对以下情况的意见：内部控制是否适当，经理提供的数据是否可靠，法律和法规是否得到遵循，资产是否安全等。审计委员会对内部审计的要求包括：对控制的确认，包括对高层基调的独立评估；会计实质和程序的独立评估，包括财务报告；主要关注会计控制和财务报告的风险分析；舞弊分析和特别调查。通过上述比较可以发现，管理层要求内部审计人员以广泛的业务技术为基础，提供确认和咨询服务，关注风险、评价经营效率并激励组织行为，而审计委员会对控制的确认更感兴趣。“内部审计人员在帮助管理层评估治理程序的有效性、向审计委员会报告高层基调的过程中，会发现自己陷入冲突之中”（Hermanson、Rittenberg，2006）。内部审计立足于满足经理层各种需要的角度，如果一切活动都需直接由审计委员会决定，既无必要也影响效率，这就需要在董事会和经理层之间就内部审计范围进行权限的划分。

如上所述，不同的客户有着不同的需求，但基本问题是内部审计部门在资源有限的条件下如何在不同服务之间平衡以满足不同客户的要求？内部审计的客户及其需求同等重要吗？若不是，是否存在最基本的客户？换而言之，谁是内部审计最基本的客户？内部审计应如何协调与审计委员会及管理层的关系？这些都是内部审计所面临的基本现实问题。关于内部审计如何在审计委员会与高管层之间发挥其应有的协调作用，英格兰大学商学院的Sharmain Solomon进行了较为系统的研究，提出了很多极富创造性的的建议，包括：在组织内部树立起有效协调的观念，内部审计将协调之责贯穿于整个内审工作的过程之中，并充分利用“全面关系管理”（TotalRelationship Management，TRM）模型；将协调之责融入内部审计部门结构之中，设专人或专职部门来处理董事会和高管层可能发生的冲突；不断监控和改善协调，积累经验、吸取教训，通过成功案例来提升协调职能，强调对内审人员进行培训和教育，同时注意对组织其他成员的熏陶；强调沟通的重要性，建立有效的沟通机制，并利用各种正式、非正式机制促进协调作用的发挥。总之，由于各组织具体情况不同，面临的各种冲突的性质不同，因此特别需要内审人员借鉴新的管理理念，利用新的管理工具，创造性地发挥协调作用，增进组织价值。Joscelyne（2004）提出的建议是：组织设立一个独立客观的顾问，确保各主体职责分明，为改善工作关系、保持良好的均衡提供建议。该顾问的工作包括：按照现行法规和公司治理准则检查审计委员会特征、实际职能的适当性；在了解风险问题（包括道德问题）、控制风险水平等方面向管理层和审计委员会提供建议；确定组织建立了明确的报告关系，报告责任确已履行；评估各主体间的关系，确保组织不会因利益冲突、关系紧张、隔阂等面临风险；按照《内部审计职业实务标准》、最佳治理实务，评价内部审计的使命和有效性。显而易见，顾问的上述大部分工作，仍需在董事会和管理层的支持下，由内部审计来完成，因为控制确认、风险管理评价以及遵循性工作本身就是内部审计的职责范围。而王光远教授（2005）认为，在董事会和高管层的受托责任关系中，内部审计既服务于治理主体，也服务于治理对象，因此不可避免要处理各种复杂的、竞争性的关系，所以内部审计应重视人际关系，加强全面沟通，在确保独立性、客观性的前提下，加强与董事会、管理层及外部审计的有效沟通，避免各种冲突。本人认为，审计委员会和高管层对内部审计的权限和责任，内部审计对审计委员会和高管层报告的内容和形式，内部审计与审计委员会及高管层交流和沟通的方式，有关的回避制度，冲突的处理等影响审计委员会和管理层关系的主要方面应在内部审计章程中予以明确，这样一方面可尽量减少直接的正面冲突发生，另一方面对于发生冲突如何解决也有据可依。内部审计应发挥的协调作用对内部审计师本身也提出了新的挑战，它要求内部审计师应具备良好的人际协调能力和沟通能力。

三、内部审计治理的主要职能及其冲突

现代内部审计的确认功能是伴随着内部审计产生至今所具有的一项传统和基本的功能。自现代企业制度建立以来，内部审计的认证性功能一直都被人们关注，但由于治理层次的不清以及治理层次间代理问题研究的缺乏，原有的确认职能更多的只是关注了公司内部由于管理分权而产生的管理层级间的委托代理关系。随着公司治理概念日益得到重视，人们逐渐认识到公司内部的委托代理关系是具有多样性和层次性的。而这种多样性和层次性的委托代理关系所产生的受托经济责任都应当属于内部审计认证性职能的履行范围。张伟（2004）在内部审计和企业委托代理理论方面作了探讨，提出现代企业制度下存在多重委托代理关系，而传统内部审计只是针对了较低级别—上下层管理人员间的委托代理关系，却没考虑治理层次—最高管理层对所有者的受托责任，因此进一步提出不同层次的内部审计结构安排—基于治理的最高管理层对所有者的受托责任和其他不同管理层次对上一级管理层的受托责任，从而拓展了内部审计认证功能的作用范围。蔡春认为，现代认证性审计应当包括三个层次：最高层次是董事会成员对股东大会承当的受托经济责任的履行的认证性审计（董事会业绩考评与审核），中间层次是保证最高管理层对董事会承当的受托经济责任，最后一级才是自总经理以下的各级管理层及授权所产生的受托经济责任认证性审计（可能包括很多层级），在最后这个多层级的关系中，受托经济责任可能会细分为很多具体职责，最终转化为内部审计功能在认证性上的拓展内容。因此蔡春提出，内部审计提供的认证性功能主要是指对组织的风险管理、内部控制和治理程序进行独立评价，包括财务、经营业绩、遵循性鉴证、系统安全调查等。咨询服务是“提供建议以及相关的客户服务活动，这种服务的性质与范围通过与客户协商确定，其目的是增加价值并提高机构的运作效率。这样的服务包括顾问服务、建议、协调、程序设计及培训等”（IIA，2001）。内部审计通过评估系统的技能及可靠性（确认服务）和提供具体的建议支持这些系统的设计（咨询服务）来发挥作用。但内部审计师所能提供的服务取决于其在组织中的定位及其预先设定的职能。咨询性功能是内部审计随着公司治理要求的不断提高而逐渐产生和拓展出来的。实际上是将内部审计在确认时发现的问题，对制度、管理和经营控制等方面有针对性地提供咨询性建议，防止出现重大的经营波动和管理漏洞。此外，内部审计还可以开展一些有关提高内部控制，降低审计失败可能的包括顾问、建议、协调、流程设计和培训等在内的工作，为公司各管理层服务。“内部审计咨询性功能的实现可以看作是内部审计人员通过对以往审计过程中问题的总结，对将来审计中可能产生的问题的预判，并提前堵住这些漏洞，将监督提前的重要举措”（蔡春，2006）。确认服务与咨询服务之间存在着根本性的差别，这种差别主要体现为服务中牵涉到的主体及其数量的差异，从而决定了两种服务在目标、性质、对审计人员的要求、报告的形式和内容的要求等方面形成诸多差异。两种服务合约中涉及主体的差别如（图1）和（图2）所示。

根据Urton Anderson的观点，确认服务中的第三方就是审计确认的客户，他们决定着这项服务的价值。为产生预期效果，内部审计应当自始至终保护第三方（主要是董事会或审计委员会和高管层）的利益，因此使得提供审计和确认服务的过程复杂化。用于保护第三方利益的审计确认准则中要求审计人员自主决定审计范围，而不是由所审查领域的业务管理者来确定，此外确认准则中关于对审计人员客观性和独立性的约束以及对报告形式和内容的要求等都体现了对第三方的保护，但保护的程度随着第三方与合约关系的密切程度以及第三方是否明确而有所不同。确认一般具有强制性，一旦确定某个领域必须进行确认，内审部门就不能随意决定不去实施该确认项目，除非认为是该领域风险过高，或者对所选定领域的初步风险评估被证明是错误的，内审部门才可放弃，审计人员不愿意或者缺乏必要技能等都不能成为放弃该确认项目的理由。为提供确认服务，内部审计人员需要独立和客观，也即正直、胜任、职业谨慎和道德行为规范。与确认服务不同，咨询服务仅涉及两个主体：审计人员（服务的提供者）和业务管理者。业务管理者作为委托人即是服务的客户。咨询项目所增加的价值取决于该项目对业务管理活动的价值，咨询服务中不存在对第三方利益的保护，业务管理者自主决定审计工作范围。内部审计准则中也无需规定咨询服务具体的报告要求，是否出具书面报告，是否要进行后续审计都应根据客户的要求或至少经过委托人的同意，并在合约中加以确定。即使是出具书面报告，内部审计师也只是提出建议。咨询项目可能不需要任何详细解释就会被内审部门拒之门外，内审人员缺乏相关技能或者计划问题均可成为充分的理由。内部审计确认与咨询职能的冲突主要是指内部审计在发挥咨询功能时可能影响内部审计在履行确认功能时应具有的独立性。在确认服务之外，内部审计向咨询服务的扩张被认为可能损害它作为治理程序有效性的确认者和独立分析师的价值（尽管内部审计提供任何咨询服务是否一定会损害确认过程的价值这一结论还有待论证），即提供咨询服务可能损害确认过程的价值，也会使内部审计师丧失客观性。在CPA审计明确要求确认服务和咨询服务必须分立的大背景下，IIA强调两种服务需整合一起形成一个连续统一体，那么究竟如何处理确认服务和咨询服务的关系，如何在两大服务区作合理的资源分配，如何化解两大服务区的冲突，是现代内部审计的重大课题。

JS.Zanzing（1998）在其博士论文研究中提出这样一种观点：内部审计师与组织内被审计客户之间对内部审计功能的认识上存在较大的差别。审计客户（被审计人）往往会认为内审人员不应当让咨询性的作用影响独立性评价，即暗示内部审计人员不应过多地介入咨询方面的工作。但内审人员自己的观念是内审人员不应直接参与组织的设计、经营，即直接的咨询服务，但可以发挥管理咨询建议的作用，即内部审计的咨询功能。G.Sarens和ID.Beelde（2004）进一步研究了影响内审职能的三个变量：报告关系、组织支持和内部控制系统，结论是：内审部门与管理层的关系密切，则内审活动的咨询性更强，认证作用弱；如果内审部门和审计委员会关系密切，则认证性活动会得到加强。郭胜利（2003）具体解释了内部审计的认证性活动和咨询性活动的内涵，“内部审计的保证活动关注的是公司的治理结构方面，其实是利益相关者的代表—股东通过内部审计来监督管理者的经营活动以保证他们更好地履行受托责任。而咨询活动是管理者通过内部审计获得关于公司治理、内部控制以及风险方面更准确的信息，以便他们改善公司经营管理，从而帮助他们更好地履行受托经济责任”。“内部审计职业就是在服务管理咨询和独立的职业审查间取得平衡”（JS.Zanzing，1998）。内部审计实际所能提供的服务取决于其在组织中的定位及其预先设定的职能。各种治理和结构因素如（图2）所示。

四、内部审计治理报告关系上的冲突

内部审计作为一种有价值的资源服务于其他治理主体，各治理主体在需求上存在差异，这必然又涉及到报告关系的讨论。本质上，内部审计与其他治理主体之间也是一种委托受托关系，受托人的需求必定会影响内部审计的报告责任。这里主要探讨内部审计与董事会及其所属审计委员会、高级管理层之间的报告关系。

出于对内部审计独立性和客观性方面的考虑，无论理论界还是实务界人士，越来越倾向于内部审计报告的层次应指向CEO和董事会及其所属的审计委员会。Goldberg和Danko（2003）在强调改善内部审计、高管层和董事会工作关系时指出，“当前，大多数内部审计部门是向CFO报告，内部审计应同时向高管层和董事会报告”。为了使内部审计有效运行，获得期望的结果，根据Ruud的观点，“当首席执行审计官（CAE）直接向审计委员会（而不是首席财务官CFO）报告，或者直接向董事会报告时，就能形成最佳结构”。IIA（2001）认为，“理想的情况是，审计执行主管应该对审计委员会、董事会或其他相关治理机构报告业务工作，向组织的首席执行官（CEO）报告行政工作。审计执行主管和董事会审计委员会或其他相关治理主体必须能直接交流信息。”RobertMoller（2006）则认为，“内部审计人员始终要牢记对高级管理层和审计委员会负有的重要报告责任”、“内部审计不应当仅仅向审计委员会报告他们自己认为审计委员会需要看到的事项，相反，内部审计应当向审计委员会提供所有的审计报告以及公司管理层的反应”。Joscelyne（2004）也指出，良好的公司治理要求内部审计与董事会之间建立一个比管理层更强有力的报告关系，这样才能保证内部审计独立、客观的评价组织的内部控制系统和风险管理过程。严晖（2004）认为：当前公司治理环境下，内部审计的报告关系是“面向审计委员会和高级管理层的能动式双轨报告”。董事会及其所属审计委员会、高管层职责的变化引发对内审服务需求的变化。由于利用内部审计的一个重要目标是实现所有者对高管层的监督，因此，“使内部审计隶属于董事会下设的，由独立董事负责的审计委员会的做法是必要的选择”（李平，2003）。理论上讲，报告层次越高，内部审计质量越好，内部审计职能越有效，越能在公司治理中发挥作用，但还是存在两方面的问题值得我们进一步思考和研究：一是内部审计质量与报告层次的正向关系，需要来自经验证据的支持；二是内部审计在同时向CEO、审计委员会报告时，可能面临的何种冲突与特定的组织治理状况相联系，这同样也需要来自实务的资料说明。由于近年来关于改进公司治理的立法和证券交易提案已经把审计委员会在监督和报告公司治理有效性中的作用提升到一个更突出的位置，从而导致许多人建议内部审计人员直接向审计委员会报告而不是向高管层报告，也惟有如此，内部审计才能参与公司治理，提升其原有职能。但这种建议将会使内部审计与作为管理层“耳目”的传统角色发生冲突。

内部审计报告对象本来取决于内部审计的客户需求，但随着个相关主体职责的扩展，对内部审计的需求就有了诸多的重叠，这也使得报告关系更加错综复杂。调查显示，就经营评价的报告而言，72%的CAE表示要向高管层报告，44%的CAE则表示要向审计委员会报告，这就表明不少公司存在双重报告现象，即既向高管层报告，又向审计委员会报告。就报告的内容而言，Sawyer（2005）指出，“董事会正变得越来越老练，正逐渐意识到对公司所发生的任何事情他们应该承担受托责任”，“董事会成员可能不会去阅读关于内部审计检查的所有报告，但对关于整个组织的控制和执行的总结报告非常地感兴趣……”，“关于内部审计师已经完成和已经发现的内容，以及内部审计师对机构管理和经营状况评价的定期报告可能是董事会下属审计委员会最关心的内容”，“关于组织经营状况的报告会吸引管理层的注意，这些报告是一个强有力的工具”，“管理层把这些报告看成是管理健康或组织患病的一个标志”。可见，董事会及其所属的审计委员会、高管层都需要定期的汇总报告，只是关注的重点不同，这取决于他们各自不同的需求。

五、结论与启示

一般认为，内部审计在公司治理中到底扮演何种角色，其确认和咨询两种职能中哪种职能与公司治理最相关，受组织治理程序和结构、内部审计师在组织中的作用和执业资格的成熟水平的高度影响。在一个治理结构和程序不太成熟的组织中，内部审计职能更多的集中于最优结构和实务的建议，以及现有治理结构和程序与法规、其他遵循要求的比较。在一个有着成熟治理结构和实务的组织中，内部审计师能够更多地关注：评价公司层面治理的各个组成部分是否如期望中的一样工作；分析治理结构各部分之间的报告透明性的水平；比较治理最佳实务；确定遵循被普遍认可和适用的治理准则。随着组织治理实务的结构成熟性的变化，内部审计师花费在不同任务上的时间如何变化。内部审计通过开展除执行分散的特殊程序审计之外的工作，在处理治理活动时通常是最有效的。内部审计师在组织中独一无二的地位，允许他们在没有直接职责时也应对治理结构和设计进行观察。内部审计师通常通过提供董事和执行管理层所需的治理结构、设计的改进、变革建议，而不仅仅是评价建立的程序是否得到执行，来帮助组织进步。这与通过分散的审计来提供特殊治理活动的客观评价是不同的。“对治理进行审计”和“对管理进行审计”是时代赋予内部审计的新特征。当内部审计被定位于第一层委托代理关系的所有权监督时，它是一种监督成本，而当内部审计被定位于第二层及以下更低层次委托代理关系的经营权监督时，它又是一种守约成本，无论是监督成本还是守约成本，其降低代理成本的本质是一致的——而这正是公司治理的本质和目标所在。

［1］蔡春：《公司治理审计论》，中国时代经济出版社2006年版。

［2］傅黎瑛：《公司治理的重要基石：治理型内部审计》，《当代财经》2006年第5期。

［3］劳伦斯·索耶：《现代内部审计实务》，中国商业出版社1990年版。

［4］罗伯特．莫勒尔著，刘霄仑等译：《SOA与内部审计新规则》，中国时代经济出版社2007年版。［5］乔冠华、蒋苏娅：《审计委员会的理论与运作》，中国时代经济出版社2007年版。

［6］时现：《现代企业内部治理审计研究》，中国石化出版社2004年版。

［7］孙立：《内部审计动因的委托代理分析》，《财会通讯》2005年第12期。

［8］张巧良、陈俊：《内部审计理论研究的回顾与展望》，《财会通讯》2005年第5期。

［9］孙立：《治理型内部审计相关研究综述》，《商业时代》2008年第26期。

［10］Andrew D.Bailey,Jr.,Audrey A.Gram ling,Sridhar Ramamoorti著,王光远等译:《内部审计思想》,中国时代经济出版社2006年版。

［11］Cattrysse，Jan.Reflection on the CorporateGovernanceand the Role of InternalAuditor.http://papers.ssrn.com，2002.

［12］George Bartsiotas.An ExpandingRole.InternalAuditor，2008.

［13］Moeller·Robert.Managing InternalAuditing in a Post— SOAworld.JournalofCorporate Accounting&Finance，2004.

孙 立（1972-），女，湖北监利人，武汉大学经济与管理学院讲师

（ 编辑 聂慧丽）