公司治理视角下的内部审计定位研究

沈维成

（安徽工业大学，安徽 马鞍山 243002）

公司治理视角下的内部审计定位研究

沈维成

（安徽工业大学，安徽 马鞍山 243002）

在内部审计演变的过程中，随着外部环境的变化，内部审计经历了财务导向审计、业务导向审计、管理导向审计、风险导向审计以及现时的治理导向审计，即内部审计由管理层耳目演变成审计委员会耳目。作为保护受托责任履行的一种公司治理机制，内部审计通过连续一体的确认服务与咨询服务提高治理效率，保护以股东为主体的利益相关者的权益。

公司治理；内部审计；受托责任；确认服务；咨询服务

内部审计定位决定了内部审计策略不同,进而导致内部审计资源配置差异，由此内部审计定位决定了内部审计的效率效果。在内部审计演变的过程中，随着外在环境的变化，内部审计经历了财务导向审计、业务导向审计、管理导向审计、风险导向审计，并在现阶段由风险导向审计转向治理导向审计。在这个内部审计模式不断演变的过程中，内部审计的服务主体也再作相应的调整，其服务对象由单一主体——管理当局——向多重主体转变。

本世纪伊始，美国爆发了安然公司、世通公司等震惊世界的一系列公司财务丑闻，针对此美国国会发布了具有里程碑式意义的法律文件，即《上市公司会计改革和投资者保护法案》（简称SOX），该法案第404条款提出的内部控制评审要求，目地在于通过加强内部控制来改进公司治理状况，并最终强化公司的受托责任。作为对SOX响应，纽约证券交易所要求所有上市公司必须设立内部审计部门，以此来进一步完善公司治理。特别是在美国世界通信公司财务舞弊案件中内部审计的卓越表现，①使得人们对内部审计作用刮目相看，重新审视内部审计在公司治理的作用，认为内部审计是完善公司治理结构的一个不可或缺的积极因素。在这种迅速变化的经济环境下，内部审计已经成为管理者（包括高级管理层和一般经营业务层）、股东、董事会、审计委员会、外部审计人员以及其他重要利益相关者的主要辅助职能，期望通过内部审计的确认服务与咨询服务的职能来为不同的利益相关者提供公司治理与运营的各种信息或建议，帮助他们改善决策质量。因此内部审计通过提供一种连续式的确认与咨询服务来发挥自己的作用,更重要的是这些服务不但可以为企业管理当局所用，还可以作为董事会、审计委员会等其他主体获取自身决策所需信息的来源通道，进而保护以股东为主体的利益相关者的权益以防止受到不当侵害。

作为企业内部一个兼具经营管理与公司治理双重职能的部门，内部审计面对如此多的需求服务主体，在资源一定的情况下，如何按照成本效益原则来提供服务将是一个非常困惑的事情。内部审计是不是能够满足所有的客户需求？或者内部审计将只能以某一服务主体作为自己工作的主要服务对象？换句话说，内部审计是按传统观点以企业管理层作为自己主要服务对象还是以股东作为自己主要的服务对象？因此，在现时复杂多变的环境下，内部审计必须准确定位自己的服务对象，以最大程度发挥自己的功能，提升企业价值。

一、变化中的内部审计环境

传统内部审计理论观点认为，内部审计是一种独立的复核和监督活动，其产生的原因在于企业内部各层级的受托责任，即是企业规模的扩大导致最高管理层不能有效监控下级管理层和一般员工，从而需要一个独立的监控机制来为管理层评价员工的工作业绩提供评价机制，而这一评价工作的重担正好落到内部审计的肩膀上。

但是现代企业所处的环境极其复杂多变，面临着众多的风险，如外部环境风险、经营过程和资产损失风险、信息风险等。②“在一个瞬息万变、全球性竞争、涌现各种新的组织形式及先进的信息技术等特征的环境中，对组织现时及新近的状况进行计量已显得不那么重要了，而对即将发生、甚至是较远未来发生的有关事项的信息及计量变得更加重要。”[1]

作为一个组织形态的企业，其存在的目的是为了完成利益相关者的受托责任。基于此愿景，企业的董事会和最高管理层需要制定实现目标的战略并且将企业的总目标分解成各个下属职能机构和部门的任务。为了有效达成企业的目标，减少这一进程中的风险因素，增加企业价值，需要有一些应对的控制措施，以防止对目标的偏离。在这个控制过程中，内部审计在公司治理与营运中起着不可替代的作用。

要想控制实现目标过程中风险，保持企业价值的最大化，对结果的控制是无效率的和无效果的，风险控制在于过程导向，即在过程中识别威胁目标实现的各种可能因素，使得控制措施的采取具有及时性和针对性。与此类似，内部审计要达到意欲的目的也必须采取过程导向的审计观，在过程导向观下，内部审计即时诊断出威胁因素，以传递给指导和控制整个公司系统的董事会和管理层，进而使得其采取的措施更具有及时性和针对性，保证企业目标的实现，减少企业经营失败的可能性。

在过程导向观下，内部审计不再仅仅提供独立的复核和监督活动以服务于管理层，而且还要帮助其他利益相关者关注公司经营和治理过程中面临的各种各样的风险，改善组织运营，增加企业价值。根据不同的利益主体的需要，其可能提供类型不同的服务：经营管理层可能需要内部审计就经营过程的效率和效果提出建议；审计委员会（董事会）可能就治理程序是否得当需要内部审计提供信息上的支持；外部审计师在执行财务报表审计过程中，可能需要利用内部审计的工作，因为内部审计本身就是被审计单位内部控制的一个有机组成部分。正是从这个意义上看，内部审计也是公司治理的有机组成部分，通过自身的运作为其他公司治理主体提供公司治理所需要的信息而发挥着越来越重要的作用。

国际内部审计师协会（The Institute of Internal Auditors，简称IIA）在最新的《国际内部审计专业实务框架》中指出，内部审计是一种旨在增加组织价值和改善组织运营的独立、客观的确认和咨询活动。它通过系统化、规范化的方法来评价和改善风险管理、内部控制及治理程序的效果，以帮助实现组织目标。在新的定义中IIA将内部审计目标提升到价值增值层面，即内部审计目标由消极防弊（财务导向审计）到积极兴利，从低层次的兴利（业务导向审计）到高层次的兴利（管理导向审计、风险导向审计），再到增加企业价值（治理导向审计）。而实现这一目标的手段就是通过内部审计的确认服务与咨询服务来实现的，该定义特别强调了内部审计除了可以改善风险管理、加强内部控制，还可以改进治理程序，作为公司治理的一个积极因素而存在。因此，内部审计与董事会（审计委员会）、管理层、注册会计师审计一起构成有效公司治理的四大基石。③

二、内部审计：确保受托责任履行的内部治理机制

从本质上来说，内部审计与外部审计一样，也是因受托责任的产生而形成的。正如会计史学家Richard Brown所述，“审计的产生可以追溯到比会计产生稍晚的时期……当社会文明发展到某个人被其他人托付财产的必要性时，那么对前者的忠诚进行某种检查的合理性就显而易见了。”[2]在国内，最早将西方受托责任观念引入我国的是原中南财经大学杨时展教授。他曾指出，受托责任是一切审计工作的出发点，审计因受托责任的发生而发生，因受托责任的发展而发展。我国另外两位会计学者阎金锷和杨树滋进一步指出，受托责任关系的形成，一是财产所有权和管理权分离；另一是多层次经营管理的分权制。由前者形成的经济责任受托关系，是外部审计产生的基础，而由后者形成的受托经济责任关系是内部审计产生的基础。因此，内部审计也是作为一种履行受托责任的机制而产生，并随着受托责任的发展而逐步发展完善。但是这种受托责任在企业不同发展时期可能表现出不同的特征。

（一）从内部审计的产生过程来看内部审计的功能

在企业产生发展早期，企业的所有权和经营权并没有分离，特别是在所有者兼经营者这种古典的企业当中，经理人因企业规模扩大而不得不采用多层次经营模式，势必要转让部分的权利，由下级的代理人来帮助经理人（所有者）管理企业的部分业务，如业务分部、地区分布，或其他的诸如子公司的业务等，但是这部分毕竟不是经理人（所有者）亲自处理的业务因而需要确定受托人有没有按照既定的标准保质保量地完成任务，这样就需要一个检查和监督机制，这个机制的产生就是我们现在所熟知的内部审计。但这部分权利的转让本质上是财产权而不是经营权，因而内部审计在为经理人工作的同时本质上还是在为所有者工作，因为这时的经理人还是所有者，这两者并没有分离，经理人就是所有者，所以不会产生现代观点的股东与经理之间的代理问题。内部审计的设置也能按照其既定的目标发挥自己的作用，完成经理人交代的任务，进而履行了所有者交付的受托责任。但是随着企业的进一步发展，特别是随着资本市场的发展，企业筹集资金的方式发生了实质性变化，由向几个投资者筹集资本扩大成向整个社会募集资金，而且随着企业规模进一步扩大，由于所有者经营才能和时间的限制，在加之专业的经理人才的出现，所有者和经营权的分离势呈必然。这样企业的控制权就从所有者手中转移到经理人手中，实现了两权分离。此时的企业规模比之传统下模式的企业要大的多，而且业务也更呈多样化，因而经理人因个人的经营精力、时间的限制而采取放权的方式更呈常态化，也就是说企业经理人通过层层委托的方式，采取多层次的经营模式。同样，经理人也需要对非属于自己经营的业务考核，以判别各个层次的下属履行业务的质量，因而内部审计在这样的经营环境中不是以装饰品而存在，而是以实质性的评价机构来展现自己的价值所在，通过评价和监督各个部门的业务执行质量，来帮助经理人来评价、奖惩相关业务部门。但是要注意的时，在两权分离下的企业内部审计和两权合一下的企业的内部审计在形式功能上基本相似，但是其产生机理并不相同：两权合一下的企业内部审计其实产生于财产受托责任，而两权分离下的企业内部审计产生于经管受托责任。表面上两种内部审计都是服务于企业的经理人，但是实际上两者服务对象有实质的不同。在两权合一下的企业的内部审计形式上服务于企业的经理人，但是此时的企业经理人与企业所有者是合而为一的，因此本质上企业内部审计还是服务于企业的所有者；但是两权分离下的企业，其所有权和经营权分离，内部审计实际上只服务于企业的管理者，而并未服务于企业的所有者，这样就产生了其服务对象上的实质偏差。

（二）本源性质的内部审计：履行股东受托责任的机制

企业中的受托责任实际上是链条式的，最初是股东与董事会之间的委托代理关系，在董事会接受股东的委托之后就寻找经理人来经营管理企业，因此经理同样对董事会承担受托责任，此后在多层次分权经营模式下，会产生若干经理层之间的委托受托关系。从这个角度看，内部审计在履行审计职责时是通过对不同层次经营管理层受托责任的履行进行评价进而履行对股东的最终受托责任的。但是，从前面内部审计的发展轨迹来看，两权分立条件下的内部审计已经演变成完全为经理④服务了，而渐渐淹没其对股东的责任，这与初始意义上的内部审计的功能是背道而驰的。这种“异化”的内部审计不但不会增加股东的价值保护股东的利益，还可能与企业管理层合谋共同侵害企业股东的合法权益，因为内部审计本身也是一个代理人，按照委托代理理论，内部审计也有自己的利益要求。

因此要保证内部审计作为受托责任履行的制度安排，必须在现实的条件下将内部审计还原成本源性质的机制，即是最终作为股东负责的一种制度安排。当前内部审计是作为经理人下属的一个独立监控部门而存在的，它的最终受益对象或服务对象是经理人，在两权分离状态下，内部审计有可能成为经理人侵害股东利益的帮凶，因为作为经理人下属的机构，不能是从独立性角度还是从权威性以及收入安排角度，内部审计都不可能达到最优状态，在某种程度上成为经理人糊弄外部人的一种装饰品。因而内部审计设置于经理人直接领导或是董事会直接领导或是下设董事会下的审计委员会都是不科学的。那么如何才能将内部审计还原成本源性质的制度装置？将内部审计直接交由股东大会？这不可能。因为股东大会本身就不是一个常设机构，使得内部审计本身发现的审计问题不能得到及时解决。因此最理想的方法就是按照谢德仁（2006）的思路，将审计委员会安排成股东会下的机制，在此基础上将内部审计设置于审计委员会，这样才能发挥内部审计的本源作用，即是作为股东受托责任的履行机制。[3]之所以将内部审计设置于审计委员会下，这时有公司治理结构中审计委员会和内部审计的特点决定的。首先从审计委员会的角度来看，审计委员会是公司内部有效保护股东利益的一种制度安排，董事会在制定财务会计政策方面从审计委员会寻求指导。但是审计并不是一个执行实际审计工作的机制，它只是一个程序保证机制而已，这决定了审计委员会要发挥作用必须借助于内部审计的工作，否则其难以发挥作为保护股东利益的机制。其次，从内部审计来看，正如Gramling,Audrey A.,Mario J.Maletta,Arnold Schneider,and BryanK.Church（2004）指出的，[4]内审部门是透视整个公司的窗口，是负责治理的其他主体可以依赖的一种极具价值的资源，他们还认为，内部审计要成为有价值的资源，必须达到一定的质量水准，内部审计质量影响着内审部门与其他三个主体的关系，进而会影响公司治理质量。实际上作为公司治理机制的一个必备要素，内部审计不是直接发挥公司治理作用的，而是间接通过对其他治理要素的作用来发挥自己的公司治理功能的。在这个过程中内部审计主要是通过自己提供的确认服务和咨询服务来提供信息和意见，进而推动其他公司主体的活动，最终改善公公司治理效率。

三、内部审计履行职能的方式：确认服务与咨询服务

作为公司治理的一个机制，内部审计在企业中的治理功能是通过确认和咨询活动来为其他公司治理主体提供信息服务的。IIA指出，内部审计是一种旨在增加组织价值和改善组织运营的独立、客观的确认和咨询活动。它通过系统化、规范化的方法来评价和改善风险管理、内部控制及治理程序的效果，以帮助实现组织目标。这一概念强调了内部审计不但可以提供确认服务而且还可以提供咨询活动，其目的就是通过保持公司良好的内部控制、有效管理风险以及改善公司治理来增进企业的价值。这样内部审计可以通过评估系统的机能及可靠性（确认服务）和提供具体的建议支持这些系统的设计（咨询服务）来发挥作用。[5]

《内部审计准则职业实务准则》词汇表中指出，确认是指客观检查相关证据以向组织提供有关风险管理、内部控制和治理程序提供独立的评价活动，属于这一类型活动的包括财务审计、经营业绩审计、遵循性审计、系统安全审计、审慎性调查审计等业务。通过确认服务，内部审计可以得出公司内部控制、风险管理以及治理程序是否有效，从而为审计委员会等主体及时采取有效的措施来监控管理层提供相应的信息进而确保股东的权益。《内部审计准则职业实务准则》词汇表将咨询服务定义为：咨询服务是提供建议及相关的客户服务活动，其性质和范围与客户协商确定，其目的是增加组织价值和改善组织运营，这包括顾问服务、建议、协调、流程设计和培训，内部控制培训、起草相关政策、参与质量管理小组等。通过咨询服务，内部审计可以从改善风险管理和控制流程，进一步帮助管理层和审计委员会等公司治理主体应对不确定性，进而降低风险。而且内部审计因能够承担建议职能，从而能够更好地向管理层和审计委员会等公司治理主体提供关于风险管理和内部控制制度运行情况的分析和确认。

相对于确认服务来说，咨询服务是一种新颖的活动。但是，实际上这种类型活动早已有之，只是直到上世纪末才将它纳入到内部审计的定义之中，进而将其作为与确认服务活动并列的一种服务活动。⑤由于内部审计在提高信息披露质量增进企业价值时不同于企业的生产部门、销售部门等下属机构，这些下属部门可以直接为企业带来价值的增值，而企业内部审计的增值作用在于其通过独立、客观的咨询服务来评价企业的内部控制、管理企业风险和改进公司治理程序过程中获取的信息传递给公司治理主体的能力以及相关治理主体对该信息的信任和利用程度，这才是内部审计发挥作用的关键所在，它要保护股东的利益则必须借助于其信息或者建议被其他主体所利用。内部审计不仅仅是“独立问题的发现者，而应成为推动改革的使者”，因此内部审计必须与其他活动主体保持良好的关系，因此内部审计除了需要提高自身的业务能力之外，还必须注重自身沟通能力的改进，加强与其他主体的良好的人际关系也是内部审计必须学会的本领。即是内部审计由传统的监督性审计转变为增值性审计，其目的是要通过自身的活动，发现企业运行中不足以及改进的方法，进而提升企业价值，扩大股东的权益，即是Sawyer所说的参与式的审计。

当然这种作用的实际发挥取决于内部审计在组织中的地位及其预先设定的职能，因为内部审计在组织架构中所处的层级不同，其对资源的掌控就受到很大影响，从而就会影响其在公司治理中作用的发挥，可能直接影响确认服务和咨询服务所产生的信息（包括会计信息）披露质量的高低。由此使得其他主体在利用内部审计提供的有瑕疵的信息导致不当的决策。

注：

①世界通信公司的内部审计主管查证，在2001年度以及2002年度第一季度，世界通信公司将支出给其他电信公司的费用确认为资本性支出，在五个季度内因低估期间费用而导致利润虚增38.52亿美元。

②风险可以从广义和狭义两个角度来理解。广义的风险观认为风险既包括积极的事项（机会），增加企业价值；也包括消极的事项（狭义风险），减少企业价值。本文是从狭义角度来理解风险意义的。

③2002年7月，IIA在对美国国会的建议中指出，一个健全的公司治理结构是建立在有效治理体系的四个主要条件的协同运作之上的，这主要四个条件是：董事会、管理层、注册会计师审计和内部审计。Gramling,Audrey A.,Mario J.Maletta,Arnold Schneider,and BryanK.Church（2004）从“四主体”（董事会下属审计委员会、管理层、外部审计师以及内部审计）角度出发，探讨了内部审计在公司治理中的作用。在他们看来，内审部门是“透视整个公司的窗口”，是负责治理的其他主体可以依赖的一种极具价值的资源。他们还指出，内部审计要成为有价值的资源，必须达到一定的质量水准，内部审计质量影响着内审部门与其他三个主体的关系，进而会影响公司治理质量。国内学者张玉（2005）也持同样的观点，他认为，在司法机构和管理机构的监管下，董事会、高级管理层、外部审计师以及审计委员会（内部审计师）是有效治理赖以存在的基石。

④这里的经理实际上指的是企业的高级管理层，而并不是一般的业务管理层。

⑤这实际上是随着研究的深化逐步拓展的，即从专门的确认服务逐步过渡到确认服务与咨询服务并列的局面，从IIA有关内部审计定义中可以窥见一斑。1947年IIA发布第1号《内部审计师责任说明书》，该说明书将内部审计定义为：在组织内检查会计、财务以及其他业务，从而向管理当局提供防护性的建设性服务的独立性评价活动。它主要涉及会计和财务事项，但也可以适当地涉及业务性质的事项。1957年IIA发布第2号《内部审计师责任说明书》，该说明书将内部审计定义为：在组织内检查会计、财务及其他业务，以向管理当局提供服务的独立性评价活动。1971年IIA发布第3号《内部审计师责任说明书》，该说明书将内部审计定义为：在组织内部检查各种业务活动，以向管理当局提供服务的独立评价活动，它是一种通过计量和评价其他控制的有效性来发挥作用的管理控制。1976年IIA发布第4号《内部审计师责任说明书》，与1971年发布第3号《内部审计师责任说明书》相比，没有实质性变化，可以看作是对其的延续。1985年IIA发布第5号《内部审计师责任说明书》，依然强调内部审计的独立评价职能。1999年IIA重新定义内部审计：内部审计是一种旨在增加组织价值和改善组织运营的独立、客观的确认和咨询活动。它通过系统化、规范化的方法来评价和改善风险管理、内部控制及治理程序的效果，以帮助实现组织目标。直到此时才把内部审计的咨询职能独立出来，作为一个与确认服务并列的职能。

［1］[美]Anderew D.Bailey,Jr,Audrey A.Gramling， Sridhar Ramamoorti.内部审计思想[C].北京：中国时代经济出版社，2006.107.

［2］文硕.世界审计史[M].北京：中国商业出版社，1990.274.

［3］谢德仁.上市公司审计委员会制度研究[M].北京：清华大学出版社，2006.53.

［4］Gramling， Audrey A.，Mario J.Maletta,Arnold Schneider,and BryanK.Church.The role of the internal audit function in corporate governance：a synthesis of the extant internal auditing literature and directions for future search[J].Journal of Accounting Literature,2004,(23)： 194-244.

［5］[美]Anderew D.Bailey,Jr,Audrey A.Gramling,Sridhar Ramamoorti.内部审计思想[Z].北京：中国时代经济出版社，2006.69.

Research on Internal Audit Location from the Perspective of Corporate Governance

Shen Wei-cheng
（Anhui University of Technology，Ma’anshan Anhui 243002，China）

With external environment changing,internal control changes from fiancé-oriented,exaction-oriented,management-oriented,risk-oriented to governance-oriented at present.That is,internal control is the“eye and ear”of both management and audit committee.As a mechanic of protecting accountability,internal control improves corporate governance efficiency to protect stockholder’s benefit through continuous assurance activity and consulting activity.

corporate governance;internal auditing;accountability;assurance activity;consulting activity

F239.45

A

1672-0547（2011）03-0051-04

2011－03-13

沈维成（1981-），男，安徽和县人，安徽工业大学管理学院讲师，硕士，研究方向：公司治理。