內部審計的研究機會

第一章內部審計：歷史，演變與展望

一、背景

現代內部審計職業的產生、成長以及發展是和國際內部審計師協會（IIA）的歷史緊密交織在一起的，該協會于1941年成立于美國。在最近出版的《60年的分享中前進》中，記述了IIA的歷史，內部審計歷史學家Dale L.Flesher寫道：國際內部審計師協會的60年歷史是輝煌的，尤其是在最近10年的描述中（對IIA50年歷史的補充），每一個突出亮點都對其發展作出了貢獻，今天的IIA是這樣一個組織：①專注于內部審計實踐的推廣和發展的主要國際專業協會②在職業標準、認證、研究以及專業技術指導方面，是世界公認的權威，首席教育家和技術領導者③全球141個國家、76400個會員的總部。

考慮到國際內部審計師協會的相當謙卑的起源——1941年12月9日在紐約召開成立會議時，僅有24個發起成員——在過去的60年里，IIA以及內部審計職業在全球范圍內不斷擴張，持續提高影響力并得到了社會的廣泛認可，這的確是非常顯著的成長與進步。事實上，內部審計行業仍然保持著持續強勁的增長，并將成為“21世紀的職業”。

二、內部審計：一個歷史的視角

對外部和內部審計的需求來自于這樣一些方面：用一些具有獨立性的驗證方法，減少企業或非企業組織中的賬簿記錄錯誤、資產挪用及欺詐行為。一般來說，審計的起源正如會計歷史學家理查德·布朗（1905年）所說：“審計的起源可以追溯到只比會計略晚的時期…當人類文明的進步發展到一個人被他人托付一定的財產變得必要時（譯者注：即委托代理關系），對代理人是否忠實地履行代理義務進行某種形式的檢查的必要性就會變得顯而易見。”歷史學家認為，近東地區的商業組織和政府部門由于擔心不能正確地記錄收入和支出，從而影響賦稅的正確征收，早在公元前4000年就開始了正式的簿記系統，從而減輕了他們的這種擔憂。類似的情況也發生在中國的趙國時期（公元前1122-256）。對審計的需求可以追溯到巴比倫、希臘、羅馬帝國、意大利城邦等的公共財政體系，他們發明了詳細的檢查和復核制度。具體來說，這些國家的政府一方面擔心不稱職的官員作出錯誤或不準確的簿記，另一方面也擔心腐敗的官員有機會做出欺詐性行為。甚至在《圣經》（指公元前1800至公元95這段時間）里也直截了當地說明了建立控制的基本原理：“如果員工有機會偷竊，他們就可能會利用這樣的機會。”圣經中也有內部控制的例子，例如資產雙重保管的危險，需要德才兼備的員工，限制訪問以及職責分工。從歷史上看，復式簿記大約出現于公元1494年，可以直接追溯到履行受托責任和控制的迫切需要。縱觀歐洲歷史，例如一些欺詐的案列，如18世紀的南海泡沫、郁金香丑聞，為給管理者（代理人）施加更多控制提供了更好的正當理由。

在一兩個世紀的跨度時期里，歐洲的簿記和審計系統被逐步引入到美國。隨著業務活動規模的擴大，業務范圍的增加以及業務復雜性的增強，對于內部確認職能的需求逐漸變得迫切，因為這可以幫助驗證會計信息，從而幫助進行管理決策。管理者開始需要一些評估方法，不僅可以評估員工團隊的工作績效，還可以評估員工是否誠實。20世紀初的世紀之交左右，建立一個能夠完成這些任務的正式的內部審計職能，看起來是符合邏輯的結果了。其后不久，內部審計部門開始負責仔細收集和選擇特定業務情況的解釋性報告，使管理人員能從不同的、大量的交易中了解企業重要業務的發展、活動及結果。鐵路、國防和零售行業的企業很早就已經認識到了內部審計服務的價值，遠遠超出了財務報表審計，并致力于提供可靠的包含非財務數據的運營報告，例如零部件供應短缺的數量、對計劃表的遵守情況、產品的質量等。此外，美國審計總署和許多州的審計局，例如俄亥俄州審計局，在傳統上都雇傭了大量的內部審計人員。

總之，隨著交易量以及復雜程度的增加，企業主/經理層（委托人）距離交易源頭越來越遠，對報告方（代理人）可能存在的潛在的偏見，對業務進行回顧和總結所需的會計專業知識，為了確保獨立性和客觀性而需要保持的組織內地位，以及作為委托人“眼睛和耳朵”的客觀要求，所有這些因素疊加起來，最終使得內部審計部門成為經濟組織內的一個必要的獨立部門。內部審計部門的最初功能主要集中在防止工資欺詐，現金及其他資產的損失，慢慢地，其職能范圍擴展到了幾乎所有的財務業務的核查，并且逐漸從“幫助管理進行審計”轉變為“對管理進行審計”。對于企業而言，內部審計的極端重要性和相關性，以及在美國設立國際內部審計師協會的理由，可從兩個國際內部審計師協會成員的言論看出：內部審計是由需求驅動產生的，并使其成為現代企業的一個組成部分。沒有大企業能夠逃脫它。那些現在還沒有設立內部審計的大型企業早晚都必須得設立，并且，如果按目前的形勢發展，他們將不得不盡快建立起內部審計制度（Arthur E. Hald，1944） 。該協會（IIA）是內部審計人員信念的產物，他們認為美國的企業發展需要一個真正推動內部審計職業地位的組織…雖然它的根源在于會計，但其主要目的在于管理控制，包括一個完整的公司的內部財務及業務審核（Robert B. Milne，1945）。

盡管如此，國際內部審計師協會成立后的最初幾年，內部審計仍然被視為外部審計師的工作密切相關的延伸：他們經常被要求協助外部審計師對企業的財務報表進行審核或執行會計相關的職能，例如編制銀行余額調節表。內部審計被認為是企業組織內一個相當不起眼的角色，而且只在整個管理體系中承擔有限責任（Moeller Witt，1999）。在國際內部審計師協會成立近二十年后，Brink和Cashin （1958）提出了內部審計的如下定義，由此奠定了基于“業務審計”的方向：內部審計是會計廣泛領域中的一個特別的分支，它采用的是審計的基本技術和方法。外部會計師和內部審計師使用了許多相同的技術和方法，因此常常導致一個錯誤的假設，即認為這二者在工作及最終目標上沒有實質性差別。內部審計師像任何審計人員一樣，對陳述的真實性進行調查，但他們的關注范圍更廣，并且常常需要關注一些與會計賬目本身沒有太多直接關聯的問題。此外，內部審計人員作為公司自己的雇員，在公司所有的業務運營中有著更加切身的重要利益，自然會更加深刻地關心、幫助這些業務給公司創造更高的效益。因此，在更大程度上，管理服務的思想會更深地影響他的思維和一般方法。此后不久，全國工業委員會進一步強調了內部審計的重要性：管理與執行之間的差距不斷擴大，因此有必要開發一系列控制規范，幫助企業對業務進行有效的管理。內部審計師通過對每種形式的控制進行現場評估，來完善和完成每一個執行活動。目前，還無法找到能夠替代這種評估的方法。

關于職業準則和職業責任，在國際內部審計師協會歷史上有兩個最有影響力的人物，維克多Z.布林克和勞倫斯B.索耶。布林克是20世紀內部審計領域的開創性人物，是國際內部審計師協會的第一任研究室主任，在1947年《內部審計師責任說明書》的發布中起到了巨大作用。該說明書提出，雖然內部審計的首要職能是處理財務和會計的有關事項，但業務運營有關的事項也同樣在其業務覆蓋范圍。到1957年，《內部審計師責任說明書》的范圍已經延伸到了很多的管理服務領域，如①審查和評價會計、財務以及業務控制是否健全，完善和適當②確定既定的政策、計劃和程序的執行程度③查明為避免各種情況的資產損失，對公司資產的入賬及保護措施④確定內部的會計數據及其他數據的可靠程度⑤評估對賦予的職責的履行質量。

隨后在1971年，作為研究委員會主席的勞倫斯·索耶成功地完成了修改《內部審計師責任說明書》的任務。《內部審計師責任說明書》于1976年，1981年和1990年分別進行了進一步的修訂，以反映內部審計行業的持續、快速發展。1978年，國際內部審計師協會正式發布了《內部審計職業實務準則》，其目的在于：①協助將內部審計的作用、適用范圍、功能和目標傳達給他人②將世界范圍的內部審計標準進行統一③鼓勵提升內部審計工作④建立對內部審計業務進行一致性評價的基礎⑤提供一種依據，使得內部審計可以完全被認可為一種職業。《內部審計職業實務準則》對內部審計進行了定義，并明確了其目標：內部審計是在一個組織內部設立并為該組織服務的獨立評價活動。它是一種控制，通過檢查和評價其他控制的充分性和有效性來發揮功能。內部審計的目的是協助該組織的成員有效履行其職責。為此，內部審計提供與審核活動有關的分析、評價、建議、咨詢及信息。審計目標包括在合理的成本范圍內促進有效的控制。該準則還規定了用于評估和測評內部審計部門業務的標準，涵蓋了組織中內部審計的各個方面如獨立性、專業能力、工作范圍、審計工作的業績評價以及內部審計部門的管理。對《內部審計職業實務準則》的解釋記錄在了《內部審計準則說明書（SIAS）》中，其中舉例說明了控制的概念、風險評估、預防和調查欺詐行為、與獨立審計師的關系、與董事會溝通、審計結果的后續措施等。至此，在審計計劃、現場審計和審計報告方面，內部審計的基本步驟已被確定如下：進行初步調查、制定審計計劃、進行現場審計；編制工作底稿、擬出審計結果清單并考慮先后順序、與被審單位討論，最后出具審計報告。《內部審計職業實務準則》和《內部審計準則說明書》被用于衡量內部審計工作的質量。

毫無疑問的是，到上世紀70年代后期，即使使用詹姆士·凱里相當嚴格的7個判斷條件，內部審計也已經可以被稱為“成熟的職業”。1974年，當國際內部審計師協會主辦了國際注冊內部審計師（CIA）考試后，內部審計已經擁有了足夠體面的地位，并成為一個行業而存在。因為：它有一個專門的知識體系（于1972年批準通過了其一般知識體系），正式的教育過程（正規教育的最低規定課程），接納為國際內部審計師協會正式成員的控制標準（學習規定課程、通過CIA考試、專業經驗要求），職業道德規范（于1968年首次發布），公認的資格許可證書（在全世界多個地區認可的CIA或MIIA），從業人員執行工作時的公共利益（也許在政府、教育和非盈利組織中的內審工作比私營部門更明顯），以及對社會責任的認可（同樣，也許在政府，教育和非盈利組織中更為明顯）。為了提高內部審計在組織中的地位，與那些對組織治理負責的人員建立牢固的關系，并且直接與審計委員會進行溝通是十分重要的。今天有很多證據表明，這種關系在致力于改善治理結構和過程的優秀企業中被視為最佳的實踐。莫茨和諾依曼指出：“多數情況下，審計委員會被看做是董事會和審計人員之間的橋梁……審計委員會要對股東和社會公眾履行職責，其成員應對審計事務有更加濃厚的興趣以及更多的認知。管理人員也漸漸認識到了通過充分關注內部控制以及有效的審計，可以更好地保護自己，因此也開始更加積極地響應審計人員的建議和審計委員會的信息需求。”與這一觀點類似，布林克和威特指出：“多數情況下，內部審計已經成為高層管理工作中有價值的部分，受到越來越多的尊重，并且在所有的業務領域都已經提升到一個很高的水平。此外，內部審計越來越多地通過審計委員會為董事會提供服務。”1993年，《內部審計責任說明書》進一步提出，內部審計的工作范圍應包括復核及評估組織的內部控制是否有效、適當性，以及管理人員履行受托責任的質量。目前，內部審計的范圍包括：①確定財務、業務信息以及用以識別、計量、分類和報告這些信息是否可靠、完整的方法的適當性②審核組織的制度，這些制度用以確保遵循那些對經營和報告產生重大影響的政策、計劃、程序、法律法規，并確定組織是否遵循這些制度③審核資產保護的方法，并酌情核實資產實物的存在④評估組織資源的使用是否經濟、有效率⑤審核業務或項目，以確定其結果是否與既定目的和目標一致，以及操作和程序是否與計劃一致。

上世紀90年代初，內部審計人員根據他們組織特定的需求和偏好，在若干領域的工作已經眾所周知：合規性審計、交易循環審計、調查欺詐及其他違規行為、評估經營效益、分析、測量和報告業務及整個組織的風險，以及其他驗證和咨詢活動。他們進行財務審查和審計，業務審查和審計（有時也被稱為項目審計，績效審計，全面審計，以及其他類似的描述性稱謂）。在進行這些活動時，內部審計人員的工作方法是基于風險和控制，同時在開展審計過程中大量運用了先進的技術手段。慢慢地，內部審計人員也開始表現出在特定的行業，如醫療保健、石油、天然氣、能源、國防、金融服務、交通運輸、批發零售、科技、電信、媒體和娛樂、政府和非營利組織、教育等領域，通過行業的專業知識而表現出“行業專業化”。內部審計人員開始來自不同背景，包括非會計專業的學生也占據了很大的比例，婦女在這一行業內也開始有了突出的。此外，內部審計人員也變得更加國際化。在許多情況下，內部審計變得有些機會主義，內部審計人員在不確定的情形下，根據情況需要，無論是扮演風險主管、道德主管，還是審査主管的角色，都開始參與特別任務并做出貢獻。

三、當代內部審計的實踐：環境變化、新的角色與職責以及新的定義

由于內部審計作為一個行業的地位變得更加穩固，它開始迅速響應來自監管、法律規定以及高標準國內國際報告的新需求：國外反腐敗行為法案于1977年獲得通過，特別強調內部控制；舞弊性財務報告國家委員會的報告于1987年發布；反虛假財務報告委員會的報告于1992年發布；卡德伯利委員會隨后提出了內部控制框架；控制委員會的標準；和金委員會；美國聯邦量刑指南修正案；最近紐約證券交易所就上市公司董事會的結構和組成規則的變化，以及要求所有上市公司設立一個內部審計職能的部門；2002年新通過的薩班斯-奧克斯利法案；以及持續呼吁更好的公司治理。企業環境已經歷了影響深遠的全球組織快速和革命性的變化。管理層在應對激烈的全球競爭中的反應，已包括提高質量和風險管理措施，重新設計結構與業務流程，以及承擔更大的責任——所有這些都需要更加及時、可靠和相關的信息來進行決策。組織也爭先恐后地推出更為有效的治理結構和程序。在這樣的環境下，內部審計被視為幫助改善治理、支持關鍵治理程序的最合格的職業團體，這是毫不令人奇怪的。因為內部審計對這些管理戰略和行動的控制進行監督，并評估這些管理和行動的實施效果。但是，為了更好地抓住對內部審計需求大量增加的機會，內部審計人員不僅需要大幅度提高技能、品質及能力的綜合素質，而且也需要相應地提升他們在組織內的地位、形象，并恰當地將自己與各自的組織聯成一體。

21世紀后，審計人員的職能進一步擴展，拉特利夫和雷丁對此進行了總結并指出審計人員必要的技能：21世紀的審計人員必須準備對幾乎所有的事項進行審計——包括內控系統在內的經營活動、經營的績效、信息與信息系統、對法律法規的遵守、財務報表、環境報告與質量等等。因此，審計人員必須掌握的技能包括：①分析能力與批判性思考的能力②掌握充分了解任何審計對象的有效方法，包括個人、組織或系統③內部控制的新的觀念、原則和技術④對與審計對象及審計人員有關的風險和機會的認識和理解⑤對任意審計項目制定審計的總體和具體目標⑥選擇、收集（使用廣泛的審計程序）、評估、記錄審計證據，包括對統計和非統計方法的使用⑦使用各種不同的形式向不同的審計報告使用人報告審計結果⑧后續審計能力及職業道德⑨在各種類型的審計報告中可應用的審計技術。此外，審計人員必須理解獨立性和客觀性的概念，因為這些概念與不同類型的審計人員所做的不同類型的審計有關。他們必須全面理解風險、機會和審計證據的成本及重要性的含義。默勒與威特列出了一個勝任的內部審計人員所必須具備的個人品質，并認為除了技術和專業資格之外，這是一個令人生畏的清單：①基本的公平與正直②獻身于組織利益③適度的謙遜④專業化的姿態⑤投入⑥角色的一致性⑦好奇心⑧批判性的態度⑨警覺⑩堅持不懈B11精力充沛B12自信B13勇氣B14正確判斷的能力。在這些作者的設想中，當代內部審計人員的新角色、職責和品質需要很高的標準。為了更好地理解內部審計人員的這些要素，IIA研究基金會于1999年贊助出版了三卷本《內部審計專業勝任能力框架》，通過在全球范圍內的研究，清晰地指出為了應對私人及公共部門運營中所發生的巨大而復雜的變化，內部審計人員必須從根本上提升一整套的技能和能力。作為該研究的一部分，德爾福指出，在持續變化和不確定性的環境下，內部審計部門的功能價值獲得提升的方式是，向那些負責組織治理的人提供確認服務，使他們確信組織風險已經在運營中被很好地理解、處于被監控范圍之內并且風險可控。德爾福研究進一步認為，未來的內部審計活動將很可能更加柔性、多次自我導向，并且審計團隊更可能是由內部審計專家、應用專家以及一般的組織內員工混合組成。

國際內部審計師協會基金會資助的另一項研究由瑞騰伯格和科瓦列斯基實施，該研究描述并評估了外包現象的影響，并對迅速發展的內部審計職業概括了以下幾點：①審計的方式正在發生巨大的變化②內部審計工作可以由非雇員來完成③審計的獨立性是一個問題，但外包并未對此起到產生或消除的作用④現有的內部審計部門應當如同他們就要接受市場檢驗一樣地工作⑤國際內部審計師協會應當重新思考他們制定準則和政策的程序。20世紀90年代的后期，由于國際內部審計師協會資助的部分極有見地的研究工作，以及眾多發表在國際內部審計師協會旗艦雜志《內部審計師》上的極具前瞻性的文章，由此導致的一個結果是，國際內部審計師協會認識到了一項基本需要，即需要正式地對職業監管的原則、導向以及勝任能力與技能知識的基礎進行再評估。在國際內部審計師協會的戰略性文件“對于未來的展望“中提出了四重目標，包括提高內部審計的經濟價值，確保一致的高質量的內部審計，加強內部審計的職業地位，取得市場對內部審計的廣泛認可。指導任務小組（GTF）對現有的職業準則、道德規范、甚至對內部審計的定義都進行了全面的回顧后認為，舊有的術語未能充分地反映審計實務的發展情況，或未能有效地推動內部審計職業在競爭市場中的發展。新的職業實務框架包括以下目標：①為支持和促進內部審計活動實現更加廣泛的價值增值提供一個更加靈活的框架②為內部審計實務在世界范圍內的實踐勾畫基本的原則③促進組織流程和運營的提升④需要一個質量保障機制以確保遵守了準則的要求⑤基于全球范圍內的高質量內部審計服務的聲譽，在市場上獲得首選供應商地位的認可。

內部審計的新定義的目的在于適應該職業延伸后的角色和責任：內部審計是一項獨立、客觀的確認和咨詢活動，其目的在于增加組織價值并提升組織營運。通過使用系統、規范的方法來評估并改善風險管理、控制及治理過程的效果，內部審計可以幫助組織實現其組織目標。查普曼和安德森于2002年指出，關于內部審計的新定義從6個重要的方面描繪了這一職業的新形象①作為一項客觀的活動，而不是一定得在組織內部建立，修訂后的定義允許內部審計服務由外部人提供，也就是承認了高質量的內部審計服務現在可以以外包的方式來獲得；②通過強調內部審計的業務范圍包括確認和咨詢活動，新的定義突出內部審計要主動、聚焦客戶需求，并且需要關注在內部控制、風險管理和治理中的關鍵問題；③通過明確表述內部審計的作用在于增加組織價值和提升組織運營，新的定義強調內部審計對任何組織的重要貢獻；④通過考慮整個組織，新的定義對內部審計的任務要求更加廣泛，認為內部審計應該幫助組織完成其整體目標；⑤新定義假定控制的唯一目的是為了幫助組織管理其風險并促進有效的治理。這樣的觀點顯著地拓寬了內部審計的范圍，并將其工作領域延伸到包括風險管理、內部控制和治理程序；⑥新定義認為，內部審計的職業傳統，包括它作為以準則為基礎的職業特權，可以說是其最持久也最有價值的資產。嚴格的準則為構造一個重記錄、規范和系統的過程提供了基礎，這樣的過程可以確保內部審計業務可以被高質量地實施。內部審計的新定義于2002年被記錄于綜合的《職業實務框架》，這一框架是使內部審計的專業知識與應用指南結合起來的結構藍圖。《職業實務框架》由三個指南構成：《準則》和《職業道德規范》、《實務咨詢》、《發展與實務參考》。《職業實務框架》組織了全部范圍的指導，一定意義上是為了讓內部審計人員易于理解和得到及時的指導。人們期望框架能夠對內部審計從業人員的需求作出響應，并能在以后變得更加完善。國際內部審計師協會的《準則》以及《職業實務框架》的所有組成部分都能在其網站上獲得。

從以上的歷史性回顧和概括中容易看出，內部審計在過去六十多年時間里的發展十分顯著，在組織內部承擔的角色也越來越重要，無論是在企業、政府還是非盈利組織。伴隨著這樣的發展，今天的內部審計的功能，對組織本身及其利益相關者承擔了更加廣泛的責任。通過對組織尤其是組織的董事會審計委員會以及其管理機構提供擴展的確認和咨詢服務，內部審計有效地提升了組織的治理。另外，內部審計確認的信息同時改善了內部和外部的決策，因此改善了稀缺的組織資源以及經濟資源的配置以及有效果、有效率的使用。基于對現代組織功能及其相關影響的理解，本書的后續章節將對內部審計職能及其活動從多個角度進行討論。這些角度將為現代組織中的內部審計及其活動提供更加豐富和全面的理解，因此可以幫助提出各類基礎和應用的研究問題，這些問題可能成為學者和實際從業人員認真而持續的興趣。

四、對內部審計職業的展望

現代組織越來越依賴信息，并且更多地呈現出知識密集型的特征，它們在全球范圍內跨行業和領域進行著高度專業化和復雜的運營。在信息時代新的組織形式得到了長足的發展，隨著戰略聯盟的建立和虛擬組織的出現，新的組織形式已經劇烈了地改變了組織的目的和功能，同時也相應地改變了對組織控制的需要。今天的組織內部控制的情形，已經與20世紀大部分時期的工業化時代中的傳統組織內的控制明顯地不同。在這樣快速變化的經營環境下，內部審計的職能已經成為管理者、審計委員會、董事會、外部審計人員以及利益相關者的重要支持功能。只要進行了正確的設計和執行，內部審計可以在促進和支持有效的組織治理方面發揮關鍵的作用。跨國公司已經認識到組織所面臨的日益增長的一系列風險，因此對風險管理專業人員需求的急劇增長就并不令人吃驚了。任何促進增長和增值的規范方法都假定組織正在有效地管理各種重大和可能的風險。風險既可以從宏觀或企業整體的水平來進行考慮，也可以從微觀或部門的水平來進行考慮。風險管理通常是內部審計人員通過分析并向高層管理人員和董事會提供明智建議而發揮巨大作用的一個領域。基于其自身目的，內部審計部門也經常進行微觀層次的風險評估，從而識別哪些領域需要內部審計部門投入最大的努力，并且確定在特定的時期內整個審計領域中適當的審計范圍。內部審計人員可以通過評估、測量以及報告總體風險，扮演管理層重要的合作伙伴角色，主動實施企業風險管理，協助管理層建立并監督業務運營流程。基于風險管理的現代內部審計方法考慮了風險評估，并將它們與企業的目標系統地聯系起來。事實上，內部審計的職能能夠促進這些流程，以使得業務單元可以通過這些流程進行高質量的風險評估，相應地，通過提高決策相關信息的質量和減少重復工作，這些對于內部審計部門規劃自身的工作也非常有用。

對于當今的任何組織而言，一個關鍵的前提是，一個強有力的內部審計部門對于支持和促進組織的有效治理是非常有用的。許多組織的治理問題是和風險管理的有效監控和監督有關，并且如果內部審計人員被看做是風險管理專家，那么可以預期他們在接下來的數十年里將能夠在組織內發揮非常重要的作用。近來紐約證券交易所要求所有上市公司都設立內部審計部門，內部審計部門的形象又得到了極大的提升。由于在高層討論組織治理時占有一席之地，內部審計職業的視野得到大幅拓展，其增加價值的機會也呈指數增長。但是，對于內部審計專業人員而言挑戰仍然存在，他們需要發展對他們所提出的有價值建議的敏銳認知，保持他們的洞察力以及在組織內和組織外的形象。一旦內部審計活動得到了那些對治理負責者的信任和認可，它可以通過內部審計人員在控制最佳實務、風險監控與管理以及治理結構與過程等方面所擁有的豐富知識和經驗，繼續做出優異的成績和價值。尤其是隨著四大會計師事務所作為專業服務公司對合作內審表現出強烈的興趣，這給內部審計職業帶來了重大的國際影響。這種內部審計的全球化及相應的對內部審計價值增值功能的認可，的確是一個可喜的趨勢。

總而言之，在21世紀內部審計職業有著更多的美好前景，面臨著從未有過的發展機遇。但是，實務的發展還是必須由哪些有興趣的學者仔細研究，從而建立起一套系統化的知識體系，并傳遞給以后的內部審計專業人員。現有的知識體系不僅應該接受批評并不斷進行提煉以反映目前的發展狀態，而且也應當通過研究鼓勵、激勵那些不斷在實務中產生創新的尖銳思考。我們相信本文積累了很好的資源，以開啟對內部審計研究、實務以及教育的富有洞察力的旅程。

第二章內部審計與組織治理

一、緒言

我們相信任何對內部審計領域研究機會的考査都必須首先考慮內部審計功能運行所處的廣泛環境。本章首先關注內部審計在組織治理中的作用，特別是：①闡述組織治理的含義并且給出一個有效的組織治理的概念模型，該模型將同時適用于盈利和非盈利組織；②討論對“更優“冶理的需求，包括最近有關改善組織治理和受托責任的需求；③選擇幾個與董事會和審計委員會有關的關鍵問題進行回顧；④考慮治理結構中內部審計扮演的角色；⑤針對組織治理和內部審計的研究提供一些研究視角。

二、什么是組織治理

1、組織治理的定義

公司治理或組織治理是一個含義廣泛的概念，經常被監管者、投資者、注冊會計師和董事會使用。美國證券交易委員會前主席阿瑟·萊維特認為公司治理的有效性十分重要，他于1999年指出公司治理是“有效的市場監管不可缺少的”環節，是“公司管理層、董事會和它的財務報告系統之間的一種聯系” 。萊維特進一步指出，公司治理“并不能有力地促進保持監控獨立、風險穩定以及未來健康發展的文化”。萊維特關于公司治理的定義明顯反映出他作為監管者的立場以及對財務報告的關注。芒科斯和米諾于2001年將公司治理定義為“在決定公司發展方向和績效的過程中不同參與者之間的關系”，他們認為這些參與者包括股東、管理層和董事會。世界經濟合作和發展組織于1999年為公司治理給出了一個更為廣泛的定義：“公司治理……包括公司管理層、董事會、股東和其他利益相關者之間的一系列關系。公司治理也提供了一個結構，通過該結構可以制定公司的目標，確定實現這些目標以及對績效進行監督的手段。良好的公司治理可以對董事會和管理層提供適當的激勵，使他們努力實現代表公司和股東利益的目標，并能促進有效的監督……”世界經濟合作和發展組織的定義更加廣泛并且引入了目標一致、激勵、監督和控制的概念。治理原則和內部審計活動也適用于政府和非盈利組織，例如，公民期望來自當選官員的有效治理，非盈利主體要求托付給他們的資源被有效管理并致力于滿足社會需要。這些概念部分地而不是完全地體現在利益相關者和控制的框架中。

在不同的文化背景中，治理方法的有效性有著不同的運用方式，因此，關于組織治理的方法，我們考査了各種類型的組織和文化背景下治理的本質，這種多樣性使得研究途徑進一步豐富，同時也需要一個更廣泛的組織治理的定義。組織治理包括以下這些關鍵要素：監督、風險管理、確認、控制、目標、受托責任、利益相關者的確認和托管責任。把這些術語聯系起來并定義組織治理的一種方式是把國際內部審計師協會的治理定義拓展為：治理程序包括組織利益相關者的代表所使用的各種程序，旨在對管理層所管理的風險和控制過程進行監督。監控組織風險、確認控制措施能夠適當減輕這些風險，并直接有助于達到組織目標、維護組織價值。為實現有效監管，那些執行治理活動的人要對組織的利益相關者承擔受托責任。具體的利益相關者以及他們對組織進行監督、控制以實現共同目標的方式可能存在巨大差異。我們假設對這些領域中的許多方面進行研究的機會已經成熟，主要的研究內容包括從各相關主體在治理程序中發揮影響的能力，到內部審計積極促進治理的潛在作用，都值得進行深入探討。

與組織治理總體定義有關的一些可能的研究問題包括：①在上述模型中是否有沒有考慮到的因文化和種族的不同而有所不同的治理參數？ ②我們是否能夠制定有效的治理措施，使之可以應用于不同的文化、國家以及不同的產業？③我們是否能夠識別有效治理的基本屬性以及其對不同的業績衡量指標如股價波動或治理效率等的影響？④在這些程序中，法律規制對治理程序的性質以及內部審計在治理程序中的作用會產生哪些影響？⑤不同的報告，例如吉百利報告已經呼吁要求發布關于風險管理有效性的治理報告，強制性的公開報告是否能夠改善治理？在那些對特定治理報告進行強制施行的國家，內部審計的性質是否有所改變？在那些強制實行治理報告的國家和那些還沒有實行強制治理報告的國家，組織治理有什么差別？⑥美國近來的法律已經要求把內部控制有效性的報告作為治理有效性正式報告的一部分，什么樣的內部控制報告模型對提高組織治理的有效性最有用？⑦什么是有效治理系統的最主要的決定要素？這些決定要素是如何隨組織和文化的類型不同而不同的？什么樣的文化差異對組織治理的性質影響最大？⑧很多組織是跨國公司。在跨國公司之間，包括風險分析與控制的治理程序是否比那些處于單一文化或國家的公司間的治理程序的差異更大？它們有哪些不同？哪種能夠運行得更好？⑨由于組織類型、文化、目標等不同而產生的不同的利益相關者的識別以及對他們的受托責任是否存在著明顯的差別？這些差別是如何影響組織治理的性質？⑩治理報告的需求是什么？什么類型的報告可以滿足報告使用者對于治理和受托責任的要求？我們是否可以建立一個概念模型或通過實驗市場研究對這種模型進行實驗檢測？這些報告與演化中的內部控制報告有些什么區別？B11在什么樣的情況下，審計委員會或其他治理結構可以利用內部審計人員為外部主體如股東提供治理情況的鑒證？在什么樣的情況下，內部審計人員可以充分可靠地增加治理報告有效性的保證程度？B12一個組織如何最有效地把它的治理過程有效性信息傳遞給各利益相關者？這樣的報告是否應該由獨立的鑒證機構（獨立的注冊會計師事務所或內部審計部門）編制？如果不是，這樣的報告是否還需要其他的鑒證機構來改善？將內部審計工作外包給外部獨立的會計師事務所，或者由組織內部的部門來提供，則這種鑒證的性質是否存在區別？

2、組織治理的相關主體

組織治理始于以投資、稅收、慈善捐贈等方式對組織提供資源的廣泛的受益人群，一般稱為利益相關者，這些相關主體是需要治理的組織單位直接或間接的受益人。從管理層、董事會到內部審計人員和外部審計人員的一些利益相關者會直接參與組織的治理，監管者和職業協會在一定的情況下也會參與到組織的治理中。

利益相關者：首先由利益相關者向董事會授權，接著董事會會任命管理團隊來控制組織，使之在可接受的組織行為框架內實現組織目標。管制者、協會和法律環境也會影響可接受的組織行為的性質。在需要重點考慮公共安全因素的行業如金融服務、保健和運輸等行業中，管制者發揮了重要的作用。職業協會也可以對組織治理產生影響，或者直接通過被普遍接受的建議，或者通過職業標準、職業道德以及培訓計劃的制定來施加間接影響。對法律的考慮，例如責任規避、對犯罪的懲罰也會影響治理的策略。

內部審計職能：內部審計職能在治理過程中發揮著獨特的作用，事實上，這一作用受到了廣泛的討論。我們認為這種爭論的結果將在未來幾年極大地影響內部審計活動的性質。我們同樣認為研究人員可以通過使用多種研究方法來對這一爭論作出貢獻。管理者經常要求內部審計人員幫助提供下列確認服務：1）有效地識別與監控風險2）有效地控制組織過程3）組織流程是有效率的且有效果的。在這個結構中，內部審計職能發揮著獨特的作用。早期的內部審計有關的文獻，例如索耶經常把內部審計人員描述為管理層的耳目。正如本文其他章節所述，內部控制在更廣泛的意義上包括高級管理層在設定高層基調中發揮的關鍵作用。因此，內部審計人員在幫助管理層評估治理程序的有效性、向審計委員會報告高層基調的過程中，可能發現自己處于沖突之中。在許多組織中，由于內部審計幫助組織執行、評估、概念化組織內部的風險管理和控制程序，從而經常被置于領導地位。也就是說，在推行有效的治理和控制并評估管理控制實務的有效性時，內部審計發揮著積極的作用。但是這種服務究竟提供到何種程度時會與更廣泛的治理作用發生沖突呢？

審計委員會：至少在美國的公司治理結構中，在監督和報告公司治理的有效性方面，近來關于改進公司治理的立法和證券交易提案已經把審計委員會的作用提升到一個更加重要的位置。這使得很多人建議內部審計人員應該直接向審計委員會報告而不是向高級管理層報告。這種建議將會使得內部審計與其作為管理層耳目的傳統角色發生沖突。我們認為應該討論這種沖突的性質以及其對內部審計活動的性質和貢獻的影響，例如，研究人員應當考察內部審計在風險和治理領域聚焦于審計委員會的需要，與其傳統角色之間的沖突產生的是積極的影響還是消極的影響。

管理層：從歷史的角度來看，管理層顯然是公司治理的主要推動者。芒科斯和米諾于2001年詳細描述了公司的演變，并且指出“擁有公司的股東是如此的分散和如此的多元化，以至于用傳統的所有者來將他們的關系特征歸納為商業投機都很困難”，管理層“有增加股東數量的動機，因為這可以增加可以使用的資本，并且通過將每股價格維持在相對較低的水平上，可以增加股份的流動性”。他們還指出純粹的數字工作就可以實質性地剝奪股東的權利，最近有關改善治理結構的改革可以看作是對管理層權力集中的強烈反應。另一方面，所有的組織治理模型都認為，管理層的中心地位是組織治理的驅動力之一。通過確定高層基調和處理組織的日常經營，管理層對治理質量的影響是十分重大的。管理層還負責監控組織的風險并實施降低風險的控制措施。本章的后面幾節將對董事會、審計委員會和內部審計的具體作用進行進一步的討論，這三方分別關注于風險評估和控制的不同維度，內部審計在服務于董事會及審計委員會的過程中可能存在著潛在的沖突。當內部審計及所需技能在滿足審計委員會的要求時，與滿足戰略和經營管理的需求方面正好相反，二者有著明顯的差異。管理層要求內部審計人員以廣泛的業務技術為基礎，提供確認和咨詢服務，關注風險、評價經營效率并激勵組織行為，而審計委員會則對控制的確認更感興趣。

內部審計在組織治理中的作用無法從報告責任中分離出來，而報告責任的性質帶來了很多重要的研究問題：①當內部審計人員同時向審計委員會和不同層級的管理人員報告時，報告責任是否有內在的固有沖突？②隨著內部審計人員主要報告責任的改變，所提供的服務的性質和所感知到的服務的價值的是否存在差別？③內部審計部門內部應該建立哪些安全措施，從而使得其能夠滿足其外部治理責任的要求？④內部審計人員在多大程度上參與對組織結構治理有效性的審計過程？隨著組織特征的不同，內部審計的作用是否會系統地發生改變？⑤對內部審計滿足審計委員會需要的強調是否導致了將內部審計職能外包的增加？⑥隨著證券交易所和其他監管機構的治理要求的增加，內部審計的預算控制和資源消耗會發生怎樣的變化？⑦當內部審計的主要報告責任是對高級管理層而不是對審計委員會時，內部審計活動的性質會發生怎樣的變化？⑧是否存在一種理想的內部審計報告關系？這種理想的報告關系有些什么要素？其首要決定要素是什么？

3、風險和控制的監控

內部審計的基本治理活動可以分為風險監控和控制確認。根據國際內部審計師協會的定義，“風險是這樣一種可能性，一個事件或者行動或者不行動，可能會對相關的組織或活動產生不利的影響”，換句話說，就是壞事發生的可能性。風險包括不采取行動的機會成本，及在傳統風險理論中所使用的下行風險。在組織治理的考慮中，與風險相關的關鍵活動是對其進行監控，這包括所有監控歩驟：識別風險、評估風險對組織的潛在影響、確定應對風險的策略、監控新風險的環境、監控現行風險的策略、相應的控制措施等。風險與戰略不可避免地聯系在一起，評估新戰略中的固有風險并制定適當的控制措施以減緩與戰略相關的風險是必不可少的管理活動。控制的存在是為了應對風險。例如，如果不存在資產被盜的風險，會計系統中就不會強調適當的職責分離。根據國際內部審計師協會的定義，“控制是管理層為了提高實現既定目的和目標的可能性而采取的所有行動。管理層計劃、組織和指導執行有效的活動，從而為取得組織目的和目標提供合理的保證，因此，控制是管理層正確的計劃、組織和指導的結果”。在組織治理中，關鍵在于確保控制措施在位從而可以應對組織風險。管理層實施控制，而治理中的其他參與者更多發揮的是監督或評估作用。

與風險和控制有關的研究問題將在本書其它章節中詳細討論。與治理相關的一些研究問題包括：①內部審計應當在風險管理中扮演什么樣的角色？在治理結構中，內部審計人員應如何扮演最優風險管理者的角色？②管理層在什么情況下可以以內部審計人員的工作向外部相關方提供風險或控制的確認，例如使用電子商務的公司貿易伙伴或合營方？③內部審計人員經常被視為是控制專家。內部審計人員在什么樣的情況下可以有足夠的獨立性和可靠性為外部相關方提供內部控制有效性的報告？通過組織內部提供內部審計和將內部審計外包的做法是不是存在差異？④在控制的自我評估和控制評估中，內部審計扮演的是什么角色？考慮有效的控制，我們如何決定內部審計人員在治理結構中的最佳作用？⑤作為控制系統一部分的內部審計的一個重要作用是有效的監控，但什么是“有效的監控”？有效監控與內部審計的其他服務，如控制自我評估、風險自我評估或運營效率提升的建議等之間存在怎樣的沖突？

4、目標與責任

如上文所述，有效的治理需要足夠的資源來同時監控風險和控制，這些活動可以幫助組織來實現其目的或目標，根據國際內部審計師協會，這是“組織選擇實現目標的最廣泛的描述”。如果一個組織遭受了重要的內部控制失敗如重大欺詐等，那么其能夠實現目標的可能性就會大大降低。有效的治理活動是用于保護組織的價值。根據國際內部審計師協會，組織存在的目的在于為其所有者、其他利益相關者、消費者以及客戶創造價值或使他們受益。這個概念說明了組織存在的目的。組織治理的最后一個要素是責任。為實現有效監管，組織治理的參與者對組織的各利益相關方是負有責任的，因為這些利益相關者自己無法直接實施監控和確認活動，他們需要依賴組織治理的參與者。

與目標和責任有關的研究問題包括：①內部審計的有效性與優異的組織績效之間是否存在關聯關系？如果這樣的相關關系存在，那么應該如何客觀地對內部審計的有效性進行衡量？②內部審計的有效性與減少控制失敗的發生之間是否存在相關關系？如果這樣的相關關系存在，那么內部審計可以減少什么類型的控制失敗？③什么類型的內部審計結構能夠提升政府組織的受托責任？④內部審計應如何最大化地提升各利益相關方的受托責任？⑤擁有更多具體的可量化的目標的組織是否比那些目標相對較難衡量的組織績效更好？在幫助確定和評估可衡量目標的過程中，內部審計可以發揮什么樣的作用？

三、更優治理的需求

1、需求的關鍵驅動因素

過去的10年里，對更優組織治理的強烈要求一直存在。這種要求起始于對主要的公眾公司的關注，但現在已經擴展到更廣范圍的組織。這種要求至少來自于三個關鍵驅動因素：組織失敗、持股模式的改變以及法律環境。

首先，大量的組織失敗令人關注地持續發生，如財務欺詐、破產等，而這些失敗通常伴隨著以下一些問題：董事會在哪里？審計人員在哪里？監管者在哪里？從儲蓄和信貸危機到大量的財務欺詐，例如折扣零售連鎖店Phar-Mor公司、圣達特集團到最近的安然和世通等，組織治理的質量一直受到質疑。此外，對這類組織失敗特別是財務欺詐的研究，都證明了治理不力如董事會缺乏獨立性、審計委員會質量低劣或內部審計職能缺位等都與這些問題的出現相關。其次，投資者和股東活動家近年來對治理問題提出了越來越多的意見。隨著美國公眾公司的股權越來越集中于諸如美國教師退休基金會以及美國加州公共雇員養老基金這樣的機構投資者，這些機構更加傾向于將他們的權力延伸到組織的董事會和管理層——他們經常呼吁對董事會特征或其他治理機制方面進行變革。對于投資者而言，股權在個人投資者之間越是分散，通過向公司施加壓力從而滿足其對治理的要求的可能性就越小。許多近年來要求改善治理的呼吁的實質是，更好的治理將能夠降低組織的風險、減少組織的資本成本以及極大地增加股東價值。最后，法律環境已經增加了公眾公司中的董事和高管層的責任。根據斯坦福大學法學院證券集體訴訟研究院的研究，幾次關于證券集體訴訟的測量都表明其數量急劇增加，尤其是在2001年，這樣的增加反映了公司董事的服務面臨更大的法律風險，同時也反映了公司治理實務的改善需要。在這種環境下，董事和高管的責任保險人也基于降低自身風險的目的而推動治理的改善。

2、呼吁改善治理的團體

在很大程度上是對上述三個因素的回應，許多團體呼吁要求改善治理。下面選擇一些有代表性的報告與大家進行討論，但是這些例子并不完全。如果需要按國別分類查找主要的治理報告，您可以登錄世界銀行的網站。

1） 美國反虛假財務報告委員會/發起人委員會：1987年美國反虛假財務報告委員會的報告提出了很多減少財務報告欺詐的建議，這些建議可以應用于公眾公司、外部審計人員、美國證券交易委員會和其他監管者以及會計教育人員。為了使控制和治理同時得到改善，該報告呼吁建立合理的組織高層基調、獨立而有效的審計委員會，并且加強審計委員會對內部審計人員和外部審計人員獨立性的監督，包括為組織提供咨詢服務。美國反虛假財務報告委員會的發起人被稱為發起人委員會，接著發布了兩個特別地與治理有關的報告。1992年發布的報告《內部控制整體框架》為企業和其他組織提供了能夠對他們的控制系統進行評估并決定如何進行改進的標準。發起人委員會的內部控制模型集中于控制的“提高效率、降低資產損失風險、確保財務報告可靠并對法律法規進行了有效遵循”目標。發起人委員會的內部控制模型廣泛應用于北美地區，并且要求董事和管理層盡力去評估和降低風險。其他國家監管團體的報告如加拿大的發起人委員會、英國的卡德伯利報告、南非最初的金報告，都采用了基于主要控制目標的控制框架。盡管這些報告在一些方面仍然存在差異，但每種報告都提供了加強控制的框架，它們中的大部分還聚焦于風險和風險管理。發起人委員會于1999年發布了另一份報告《財務欺詐報告1987～1997：對美國公眾公司的分析》。這份報告考察了自美國反虛假財務報告委員會的報告發布十年以來的財務報告欺詐的案例，報告中的一些主要發現包括：1）欺詐似乎集中于規模較小的公眾公司；2）欺詐案例通常涉及公司的首席執行官和/或首席財務官；3）出現財務欺詐的公司的董事會和審計委員會顯得極其脆弱，缺少獨立性、專業知識和勤勉；4）財務欺詐通常會摧毀公司，超過半數的樣本公司在財務欺詐后的幾年內就破產了。該報告與治理相關的基本建議是，較小的公眾公司也應該努力改善審計委員會的構成及運行，而不能因為成本考量而將之排除在外，事實上，更應該加強這些公司的治理改善，因為它們在過去的十年里表現出了更多的財務欺詐。

發起人委員會目前正在實施另外一個項目，該項目的目標是制定一個可供管理層和董事們使用的風險管理框架，通過將風險管理確認為實施控制框架的前提，該研究項目把發起人委員會的模型提升到一個更高的層次。

2） 卡德伯利報告報告和哈姆佩爾報告：在英國，人們針對治理問題做了很多工作。卡德伯利于1992年發表的《公司治理的財務方面》提出了“關注董事會的控制和報告功能以及審計人員的作用”的建議。卡德伯利努力的一個主要成果是“最佳實務守則”，這一守則最終由倫敦證券交易所強制實施，該守則的三個基本要素是“公開、正直與受托責任”。哈姆佩爾于1998年給出的公司治理委員會的治理建議集中于“董事會的首要責任是不斷改善未來的商業前景”。哈姆佩爾委員會回顧了英國之前的治理報告并且就一些具體問題提出了自己的觀點，哈姆佩爾的具體建議集中于董事、股東和審計人員，特別是對建立與組織成功最大化相一致的原則的強調。

3） 全國公司董事協會藍帶委員會：以年會為基礎成立的全國公司董事協會藍帶委員會考慮了包括董事職業化、董事報酬、審計委員會、首席執行官的繼任以及戰略等在內的問題。與我們當前的討論最相關的兩個報告是2001年發布的《全國公司董事協會藍帶委員會關于董事職業化的報告》和2000年發布的《全國公司董事協會藍帶委員會關于審計委員會的報告》。前一個報告涉及到董事的獨立性、委員會過多（例如，多少個委員會算過多）以及責任等問題，后一個報告提供了審計委員會的實務指南，包括了如審計委員會的組成、程序和法律責任等問題，這將在后續章節作進一步討論。

4） 美國加州公共雇員養老基金會和美國教師退休基金會：兩個最有發言權和最激進的機構投資者是美國加州公共雇員養老基金會和美國教師退休基金會，二者都屬于養老金基金會。美國加州公共雇員養老基金會于1998年發布了《公司治理原則與指南》，認為美國市場上所有的公司都應該遵守包含在該原則和指南中的準則。美國教師退休基金會則重點關注了治理中的受托責任問題，董事會的獨立性也成為了其報告的重要主題。美國加州公共雇員養老基金會還關注了董事會的過程與評價、董事的特征和股東權利等問題。美國教師退休基金會于2002年在其網站上發布了《公司治理的政策說明》，此后持續更新。美國教師退休基金會在相當廣泛的范圍內討論了較多多的與治理有關的問題，包括董事會的構成與程序、股東權利、管理層報酬、首席執行官績效評估、受托人的監督以及社會責任等。

5） 公司治理中心及國際內部審計師協會：作為對安然事件的回應，許多團體都發布或重申了改善治理的要求。例如，肯尼索州立大學的公司治理中心和國際內部審計師協會發布了有關的建議。2002年，公司治理中心發布了《21世紀美國公眾公司的治理原則》，這些原則的發布是為了“促進當前的對話，增加投資者、利益相關者以及財務報告使用者的利益”，發布的10條原則指出了管理層、董事和審計人員之間有效互動的重要性，他們同時直接呼吁所有的公眾公司都建立一個有效、專職的內部審計部門。這些原則還涉及到了獨立性、專業能力、領導力和披露等治理要素。同樣在2002年，國際內部審計師協會向紐約證券交易所提出了有關的建議：1）主要的證券交易所應當聯合發布一整套針對公眾持股公司的公司治理原則，并且公眾持股公司的董事會應當在年度財務報告中披露他們在多大程度上遵循了這些原則；雖然有很多模型都可以作為正確的公司治理原則的基礎，但最近由肯尼索州立大學公司治理中心發布的《21 世紀美國公眾公司的治理原則》似乎是最適合的；2）所有公眾持股公司的董事會都應該向公眾披露他們對其組織內部控制有效性的評估；3）所有公眾持股公司都應該設立并保持有一個獨立的、資源足夠的、人員具有勝任能力的內部審計部門，從而可以持續地向管理層及審計委員會提供關于組織風險管理程序和相應內部控制制度的評估。

6） 新的聯邦法案和交易所的上市建議：2002年的年中，作為對安然、世通、環球電訊及許多其他公司財務災難的回應，薩班斯法案和新的交易所上市建議獲得了通過以幫助投資者信心的恢復。這些法規中與治理有關的條款可從有關網站中獲得。

美國治理環境的這些變化的影響仍然有待進一步觀察，但這為學術研究提供了肥沃的土壤。具體而言，可以對下列問題做進一步研究：①作為2002年新法規通過的結果，內部審計的作用發生了怎樣的變化？內部審計的地位是否得到了提高？如果是這樣的話，得到了怎樣的提高？②審計委員會或董事會成員是怎樣評估內部審計的作用的？內部審計的有效存在會在怎樣的程度上影響董事會的構成？③2002年通過的新法規是否導致了組織控制系統或治理實務的變化？④在內部審計直接向審計委員會（假定審計委員會主要關注控制和財務報告）報告的公司中，內部審計外包的情況是否增加了？⑤內部審計在評估和報告風險管理和控制方面應該發揮怎樣的作用？作為其幫助評估內部控制質量的職能的一部分，內部審計是否可以有效地報告高層基調？⑥內部審計與審計委員會之間互動的性質是否已經改變？如果已經改變，那么是如何改變的？內部審計與髙級管理層之間互動的性質又是如何改變的？⑦在紐約證券交易所上市的公司與其他有著不同治理要求的交易所上市的公司之間，內部審計是否有著重大的區別？⑧改善私人部門的內部審計的建議是否正被引入到公眾部門？如果是的話，促使這種變化發生的機制是什么？對更優治理如風險評估和控制的需求是十分明顯的，這些需求來自于各個方面。諸如組織受托責任的持續缺乏、股權模式的變化以及法律環境等因素都增加了當前對于治理改善的要求。接下來將更具體地考察董事會和審計委員會這兩個關鍵的治理參與者的作用，并考慮一種替代的治理結構：雙層模型。

四、董事會和審計委員會的作用

1、董事會

根據美國全國公司董事協會，董事會的設立目的是“監督公司的經營行為并指導公司事務，但并不管理經營活動”。美國全國公司董事協會對董事會作用描述的英文縮寫是NIFO，“從鼻子進去，從手指出來”，意味著董事對組織進行監督，但并不對其日常事務進行干預。美國教師退休基金會認為，董事會的首要目的是培育與股東所委托的責任一致的公司的長期成功。美國教師退休基金會支持董事會在挑選首席執行官、審査和批準公司的長期戰略、保證充足的財務資源、保障財務真實等領域的權威地位。芒科斯和米諾將董事會描述為提供資本的股東與利用資本創造價值的管理層之間的進行聯系橋梁，這意味著董事會是小而有力的經營公司團隊與大而分散的、相對乏力且只是希望公司經營良好的團體之間的重合部分。芒科斯和米諾進而提出了主要問題：公司治理唯一重要的挑戰是如何在給予管理層極大的經營活動自主權的同時讓管理層對這一權力的使用負責。雖然芒科斯和米諾的論述在最近的安然和世通公司案例之前，也早于薩班斯法案，他們成功地識別出應該利用立法對受托責任提出更多要求。在南非的金報告和英聯邦的卡德伯利報告中也有對受托責任的類似要求。我們需要更好地理解這些要求從而更清楚地認識審計人員的作用。

董事會的活動一般集中于監督首席執行官、監督公司戰略以及對風險和控制的監控。選擇、激勵、評價、續聘以及可能的解聘首席執行官或許是董事會的最重要的職責。近年來，美國公司董事會的權力可能更多地體現在首席執行官上，很多董事會更多地關注于首席執行官的連任計劃以及對首席執行官績效的正式評價。而全國公司董事協會藍帶委員會最近關注的重點是監控董事會在監控戰略過程中的作用。該委員會有兩個目標：幫助各類公司的首席執行官和董事會在制定公司戰略時更有建設性，以及幫助他們更有效地合作以確信公司正在建立和追求制勝的戰略。很多觀點認為戰略是董事會和首席執行官之間的一個迭代過程，但在不同的公司，董事會參與戰略制定的程度有所不同。董事會監控風險并監督組織的控制系統。全國虛假財務報告委員會于1992年提出的內部控制框架經常被用于指導董事會在這個領域的工作。董事會在這一領域工作的很大一部分都涉及到與在風險管理和控制第一線的主體的討論，包括內部審計人員。此外，與財務有關的風險統籌被視為董事會下屬審計委員會的工作領域。最后，董事會有代表提供資本的股東的責任，以確保組織是按股東利益最大化的原則在運行。例如，董事會要評價可能稀釋股東控制權的建議，或者賦予管理層更多的財產責任、而不增加相應的受托責任水平的建議。

為了履行他們的職責，董事會成員應遵守兩項法律準則：審慎責任和忠誠責任。審慎責任要求董事應善意行動、隨時了解、參加會議、投入時間與關注、基于他們的行動合理信任。忠誠責任則意味著不能利用董事職位來獲取私人利益或收益、按照公司利益最大化的原則行動，以及保密是最基本要求。近年來對于董事會的期望得到了提高，全國公司董事協會藍帶委員會實施了一系列有關治理的調査以監測關于董事會特征及活動的發展趨勢。詳細信息可以通過網站與藍帶委員會聯系獲得。此外，讀者們應該認識到治理實務在不同國家之間有很大的不同。全世界范圍的董事會實務對于內部審計職業而言都是很有趣的，隨著組織治理在全世界尤其是發展中國家的發展，國際內部審計師協會鼓勵那些對組織治理的性質有興趣的學者對此進行研究。讀者們可以訪問世界銀行的網站或其它在線資源以獲取特定國家的實務操作。

2、審計委員會

過去幾年里大量有關審計委員會的著作得到了出版。例如，每一個國際性的會計師事務所都發布了審計委員會指南，成立了藍帶委員會以處理審計委員會有關的問題。紐約證券交易所于1999年發布了新的審計委員會披露規則，美國證券交易所發布了了新的與審計委員會有關的上市要求，美國注冊會計師協會的審計準則委員會擴充了外部審計人員和審計委員會之間溝通的要求。由于安然公司事件的影響，對審計委員會的關注應該仍會持續，并且對審計委員會的期望幾乎可以確定會得到持續增加。審計委員會的職責被描述如下：審計委員會是保證可靠的財務披露和多方積極參與的監督前的各種機制中最為重要的。藍帶委員會進而把監督作用描述為“確保高質量的會計政策、內部控制以及獨立客觀的外部審計人員都在發揮作用，以防止欺詐、預測財務風險，并促進向董事會、公眾市場和股東及時準確地披露高質量的財務及其他重要信息”。在公司治理中審計委員會發揮著重要的作用，對于高質量報告的保障與控制以及風險的適當識別與管理而言，其也是重要的關鍵要素。

全國公司董事協會藍帶委員會及其他一些組織給審計委員會界定了三個關鍵職責：監督財務報告過程、監督內部控制系統以及監督內外部的審計工作。在很多人眼里，審計委員會的基本職能是監控財務報告的過程，以幫助確認財務報告可靠的目標。全國公司董事協會藍帶委員會認為，這一領域的工作包括復核財務報表和信息披露、評估組織的盈利質量、質詢管理的問題以及評估財務報告欺詐的風險。至于監督控制系統方面，全國公司董事協會藍帶委員會指出應評估高層基調以確保組織風險可以被評估和降低，并確保管理層考慮了控制缺陷。藍帶委員會同時建議全國虛假財務報告委員會開發的內部控制框架可以作為審計委員會在這一領域實施監督的基礎。審計委員會的最后一個職責是監督內部和外部審計工作的職能。就監督內部審計而言，審計委員會應發揮的作用有：取得內部審計報告、對內部審計章程進行復核、對內審人員的客觀性進行評估并對內審人員的配備進行監督。對外部審計人員的監督與此相似。現在一些監督活動美國的公眾公司已被明確要求必須強行實施，如部分具體的有關問題必須與外部審計人員進行溝通，對外部審計人員的獨立性進行評估，審計委員會還擁有聘任和解聘外部審計人員的權力。與職業界越來越關注審計委員會一致，與審計委員會有關的學術文獻也增加迅速。最近DeZoort等的一篇文獻綜述論文將審計委員會有關的實證研究劃分為四個領域：審計委員會的組成、權力、資源以及勤勉。大量討論的審計委員會有關的問題主要包括①審計委員會的存在或形成以及其與報告質量的關系②有財務報表欺詐的公司和沒有財務報表欺詐的公司之間的審計委員會的組成差異③審計委員會的特點，其與內部審計之間的相互作用關系④審計委員會的組成及其與處于困境公司的審計報告之間的關系⑤與審計委員會自愿披露有關的影響因素。總體來說，學術研究表明擁有一個獨立、勤勉和專業的審計委員會是大有裨益的。

與審計委員會有關的研究問題包括：①審計委員會需要什么類型的信息系統以使其能夠有效運行？在提供信息的方面內部審計應該發揮什么作用？②內部審計的質量和審計委員會的有效性之間是否存在聯系？③考慮工作匯報職能，審計委員會當前組成結構所決定的職能是不是有內在沖突的可能？在董事會之下設立審計委員會并向董事會報告，但董事會存在被管理層控制的可能性。董事會的組成是否會影響審計委員會的有效性？④當運營框架式的審計委員會成為內部人控制的整體的一部分時，審計委員會如何滿足外部的治理要求？⑤關于董事會活動的大多數討論都警告不要進行微觀管理。但是，很多內部審計人員的建議都談到了改善控制、風險管理、信息技術安全及運行效率等對管理活動的需求，有效的審計委員會如何處理這些在內部審計建議中經常見到的細節？⑥是否如同紐約證券交易所和法規所要求的，審計委員會需要更精通財務？財務能力應該如何衡量？關注財務能力是否會促進或阻礙審計委員會及董事會有效業績？

3、可選的治理結構：雙層治理結構

荷蘭、法國和德國的公司結構不同于前面描述的結構，它們一般是雙層結構。這種治理結構一般把董事會分為監事會和管理委員會，管理委員會全部由內部人員組成，處理公司常規的運營工作，監事會則被賦予常規的監督權力，負責對管理委員會的活動進行檢查從而對公司整體利益的保護負責。這一體系由于將董事會責任進行了分離而被一些人稱贊，但又由于在一些具體責任上的不透明而被一些人批評。一方面，雙層結構在以前的治理研究中表現出一些具有價值的特性：①監事會獨立于管理層；②監事會掌握較多信息，可以經常召開會議并且足夠努力以使其運行有效；③監事會足夠有力，例如它可以終止經營并解散現有的管理層。另一方面，監事會又與傳統的董事會不同：①它幾乎是全職運作；②它與美國所倡導的優秀公司治理原則“從鼻子進去，從手指出來”相違背；③在指導內部審計活動方面它是積極的，因此產生了潛在的內部審計為管理層工作與為監事會工作的分離。

與雙層董事會有關的研究問題包括：①我們如何對比衡量單層治理模型與一些歐洲和亞洲國家建立的雙層結構的有效性？②在保護利益相關者方面，具有全職的外部治理結構的組織是否更加有效？我們是否能夠從雙層結構中學到一些有效的做法以改善單層治理結構？③在單層治理結構和雙層治理結構中的內部審計的職能有哪些差異？

五、治理結構中內部審計的作用

1、內部審計與組織治理框架

在構建了組織治理的框架以后，我們可以在這一前提下更加具體地討論內部審計的作用。國際內部審計師協會對內部審計的定義是“一種獨立客觀的確認及咨詢活動，其目的在于提升價值并提高組織的運營能力。內部審計可以幫助組織實現計劃目標，通過使用一整套的規則辦法來對風險管理、控制和治理過程的有效性進行評估和提升”。在有關內部審計以及有關組織治理的定義中有幾個要點是共同出現的，尤其是確認、風險和控制。在很多方面，在對風險進行監控以及對控制進行確認這兩項職能中，內部審計的有效性是重要的“一線球員”。內部審計人員是風險驅動的，他們的努力工作為其他的治理參與者包括審計委員會和管理人員提供了重要信息。事實上，一些觀點將內審職能比喻為審計委員會的“眼睛和耳朵”。或許對組織治理中內審職能的最為準確的闡述出自國際內部審計師協會：內部審計的任務包括對組織面臨的內部和外部風險及控制情況進行評估和分析，對有關信息進行復核和確認，對組織按照程序和法律的要求運營的情況進行評估。作為管理層工作的助手，內部審計人員要確認風險處于可控范圍以內，對組織治理的有效進行確認并將確認結果向董事會、審計委員會和高級管理層匯報。此外，當可以對組織的運營與管理進行改善時，內審人員也應該針對具體的流程或政策提出相應的改善建議。

對風險進行評價、對控制進行確認以及確認對法律規則的遵守是內部審計的主要職能，這三項職能都與組織治理有著密切的關系。另外，內審人員也可在咨詢或組織的運營上投入更多的精力，以幫助組織改善其運營的效率或提升其運營的效果。從歷史的角度看，內部審計通過采用各種各樣的方式促進了對組織風險和控制的認知。例如，即使不是在同一組織中同時履行，但內部審計人員也履行了風險與控制的職能，包括：①評估審計領域存在的風險，并向管理層、審計委員會或同時向二者提供評估報告；②當組織內缺乏相應職位時領導風險管理活動；③評估與最新的計算機技術發展有關的風險，如果項目風險沒有被控制在預定的可接受水平上就終止該項目；④測試職能領域的控制是否得到了良好的遵守，將發現結果向管理層報告，如果重要的話，還應向審計委員會報告；⑤識別重大的控制缺陷包括高層基調的要素，以及與審計委員會的溝通；⑥實施計算機測試技術如持續控制監控技術以監控控制的有效性；⑦通過控制自我評估技術以幫助理解和發展在職能領域內的控制。

這部分關于組織治理和內部審計的總體觀點是：對于治理結構而言，內部審計是其重要的一方面。有效的內部審計可以更好地保障組織獲得運營的成功。相關的研究問題包括：①能否開發一個有效且有效率的內部審計模型？什么是導致內部審計進行積極評價的主要因素？內部審計的性質是否會因為審計委員或其它治理結構的關鍵特征不同而不同？②小規模組織可能缺少資源以設置獨立的內部審計部門，它們應當如何最好地實施內部審計流程以支持它們的治理要求？③在組織工作的很多領域里內部審計都起到了多維度的作用。舉例來說，內部審計人員利用他們在控制和風險方面的專業知識推動控制自我評估活動和風險自我評估活動。換句話說，組織中哪里有職能缺位，內部審計人員就可以在哪里發揮作用。在什么樣的情況下內部審計可以最有效地發揮綜合作用？這種綜合作用是否會潛在地損害內部審計其它工作的有效性？④內部審計的綜合作用是提升了還是損害了治理的有效性？例如，有效的控制自我評估和風險自我評估要求審計人員首先是作為推動者和顧問發揮作用而不是履行確認職能，這種情況下是否存在潛在的沖突？如果這樣的沖突存在，是否能夠進行有效的處理？⑤內部審計的有效性是否與它提供的咨詢服務的數量有關？這種相關性的影響是積極的還是消極的？在大多數的組織中，誰負責對內部審計的有效性進行評判？

2、影響治理結構和內部審計的文化與行業因素

對內部審計的文獻進行一個簡要的回顧容易發現，內部審計實務在世界范圍內因地區與行業的不同而存在很大的差異，這導致了一些附加的問題：①雖然政府部門內部審計也采用廣義的內部審計定義，但一些政府內部審計只是關注遵循性工作，而另一些則關注對運行經濟和效率的評價。為什么會存在這樣的差異？什么因素與這種差異有關？②內部審計報告關系的性質是否會因為組織的性質、審計委員會的權力或文化而發生變化？就內部審計的規模、結構和性質而言，又是怎樣受到這種報告關系的影響？舉例來說，欠發達國家的內部審計與與發達國家之間有什么樣的不同？內部審計是否會反映經濟發展的不同階段？③在治理約束和發展目標明顯不同的公司中，內部審計的區別是什么？在不同的治理模式、組織形式以及不同的行業中，內部審計的本質是否可以有不同的模型？④什么是內部審計性質的主要驅動力？例如，治理是否是比行業更強的驅動力？在受到嚴格管制的組織和行業中，治理和內部審計的性質是否不同？具體是如何不同？導致這種不同的驅動力是什么？⑤我們同樣知道，內部審計在發展中國家治理結構中的運行，與在發達國家治理結構中的運行所須滿足的要求是不同的。什么是這些差異的主要驅動力？是否有文化或社會價值觀在驅動內部審計實務的本質，或者說它主要是受治理結構的影響？

六、有關內部審計和組織治理的研究

內部審計至少因為四個方面的重要原因而表現出唯一的研究背景。第一，內部審計一般是為董事會、審計委員會、高級管理層提供服務，而這些機構或人員都是與組織治理密切相關的參與者。除此之外，內部審計也提供增值服務，而這一服務的對象往往是一般管理人員或財務、信息管理等專業技術管理人員。因此，內部審計經常被稱為服務于兩個部分：治理者與被治理者。對于那些對內部審計研究以及對內部審計在治理過程的價值增加中發揮的重要作用感興趣的研究者來說，這種獨特的關系提供了一個有意思的研究機會。第二，內部審計的一些職能具有與組織的控制結構重疊的屬性。舉例來說，內審部門往往需要履行監控職能，但這與組織自身的控制存在重疊，因此，這往往會產生有關內部審計正確作用的思考：內部審計本身應是組織控制體系的組成部分還是對組織控制體系有效性的確認方。第三，內部審計可以由組織內的內審機構實施，也可以外包給第三方的外部機構。外包本身并不特殊，但將內部審計外包具有一定的特殊性，因為這種服務的主要提供者是外部的會計師事務所。此外，由于外包機構并是組織的內在組成部分，是不是可以通過外包獲得更強的獨立性并有效改善治理，還是說以內部機構執行內部審計而發展起來的廣泛組織觀能夠改善治理？這還有待于繼續觀察。最后，一種觀點認為內部審計參與咨詢服務會損害其獨立性，并因而影響其對治理程序有效性的確認。對這個問題的擔憂與對外部審計人員的擔憂沒有什么不同。例如，任何咨詢服務的提供是否會損害確認服務的價值？

七、結語

有關組織治理和有效組織治理的有關的課題研究仍然在不斷地出現。對于組織治理而言，內部審計到底有多重要？這種作用性會因文化的不同而有所改變嗎？內部審計是由組織內部的機構執行還是由組織外部的機構來提供是否有重要的差別？ 對于有效治理我們是否有一個衡量的尺度可以應用于不同的國家、文化、行業或政府實體，從而可以幫助我們更好地預測有效治理的屬性？研究的機會是很多的，我們希望這些討論能夠推動更多的有關內部審計和組織治理的研究。

第三章內部審計：組織治理整體的一個組成部分

一、緒言

第一章提供了大量內部審計職業在過去60年來發展情況的討論。為了在當今全球性組織的環境中更好地理解和定位內部審計，本章將引入一個包括多個組織治理問題的概念性框架，此外，這個概念性框架將可以成為本文后續部分關鍵問題的路線圖。來自于新發布的職業實務框架中的權威性準則也被引用以支持、澄清或擴展內部審計的這一新職能。

二、概念性框架的核心

卡德伯利報告作為較早的有關治理的研究，將治理定義為指導和控制公司的系統。類似地，在本書由赫曼森撰寫的那一章中，也提出了治理是一種結構，用于保障組織目標的設立與達成。在一個組織中，首先是董事會與最高管理層對組織戰略方向進行擬定，隨后組織將其轉化為具體的目標并建立具體可操作的流程與措施。為了保障這一轉化過程的順利實現，需要對組織中威脅其實現的風險要素進行深入的理解。此外，還需要建立一系列的業務指標從而搭建控制系統，通過指標確認對組織內部各方的業績進行衡量，并對運營管理層、最高管理層和董事會提供反饋。財務主管對組織的績效進行匯報，外部審計人員對財務人員的匯報數據進行確認，審計委員會將有關信息向相關方進行提供與報告。最后，股東和利益相關者在獲得可靠的財務和運營信息后進行戰略層面的聯系決策。在組織的這個經營控制決策流程里，內部審計是重要的關鍵環節，通過將其他的幾個經營控制決策環節有機地聯系起來，成為確保組織治理適當和有效的流程中的重要一環。本章的其余部分將更加詳細地描述這些關系。提到的任何一個關系都可以成為深入研究的主題，本章提出了一些研究問題以說明相關研究領域。

1、理解組織及其目標

基于組織的戰略導向——在愿景和任務的描述中界定的、管理層制定和執行商定的、現實的和可實現的經營戰略和經營目標。戰略是指組織實現目標的總體路徑與方法，經營目標則是經營戰略下的具體的可測量并能夠達成的水平。很多因素都會影響一個組織的運營并因而決定了組織可以合理地追求并完成什么目的。包括經營類型、組織規模和結構或資本基礎和資本結構等在內的很多因素都影響了組織的目的和能力。對組織的目的和目標體系有一個深入的理解是每一個成功的內部審計的先決條件。2010年的《準則》明確指出內部審計的目的應該與組織的目標相一致，這些因素極大地影響著內部審計的性質、范圍和目的。首席審計師應建立風險導向的與組織目標一致的審計計劃以確定審計活動的優先順序。自上而下的組織目標體系指出了一個組織應當如何選擇適當的戰略方向以最大限度地滿足組織利益相關者的期望。組織的治理同時也會受到組織結構、經營決策的改變以及管理與組織實務發展的影響。理解這些組織關系也形成了建立有效內部審計職能的基礎。

2、管理與組織哲學及實務的發展

許多近期仍在持續發展的管理與組織哲學及實務都對當今的內部審計產生了重要影響。①關系網絡。全球通信技術的發展已經使今天的跨國公司形成虛擬通訊網絡。今天的組織大部分都與網絡連通聯網，看上去是無邊界的擴展企業，普遍的B2B和B2C 商務模式都以供應鏈管理、客戶關系管理和大量的戰略聯盟協議、外包管理協議、聯合品牌和交叉品牌的打造及其他關系為特征，基曼于1996年對此評論道：“德國工業巨頭戴姆勒奔馳的組織結構正在變得越來越典型，這家公司現在不僅包括了它內部的永久雇員，也包括了戰略聯盟、聯合發展和生產計劃以及交叉的利益相關者。要分辨公司從哪里開始到哪里結束已經變得越來越困難，而將這分辨清楚也越來越沒有必要”。事實上，組織似乎已經發展成為一個復雜的關系網絡，它們因此要對持續擴張的利益相關者承擔責任，也就是說，它們要對大量直接或間接受組織行為和決策影響的群體或相關方承擔責任。②非核心職能外包。那些希望將力量集中于它們認為的核心能力領域的組織更傾向于將其不具非核心競爭能力的職能領域外包。在這樣的情況下，內部審計相對較少關注內部運營過程的步驟，而是將更多的注意力和資源投入到確保協定的外包合同能夠達到期望的服務質量水平，能被及時完成并且具有成本效益。新準則2110和2120要求遵循性應包括對法律、法規及合同的遵守情況，這是對此的一個證實。③軟控制。許多組織對軟性的組織價值觀、倫理觀和組織文化的強調改變了控制的形式和結構。在這里相關的問題是：在控制已經改變、對指南和政策的遵循程度已經無法用傳統的方式進行審計的業務過程和領域，內部審計師應該如何進行審計？通過更多地強調對管理層以及作為對流程負責的雇員的自我評價，自我評估是確認控制風險的一種方法。

3、面向過程的價值創造觀和風險管理觀

內部審計新定義中的一個關鍵的要素是聚焦于“增加組織價值和改善組織運營”。在今天組織業務活動和環境極其復雜的情況下，對單獨的經營活動進行管理而忽略它們之間的關系仍然沒有被證明是成功的。此外，一個過程導向的管理方法整合了整個價值鏈或價值網，這對確保組織的活力和繁榮是必要的。在這個方法中的一條主要經營原則是改善內外部相關方的滿意度，在采購和銷售循環中建立與顧客與供應商的聯系。

為了提供最增值的服務，內部審計需要使用面向過程的審計方法。通過開展業務，內部審計對于組織運營有著深入的理解并對組織創造價值的過程十分熟悉，因此對于組織流程改善的理解更加深入。流程的改善還可能節約產品成本、縮短交貨時間、改善產品質量，因此也能提升供應商和客戶的價值從而為外部各方增加了價值。相對利用孤立信息進行評估，內部審計由于遵循價值創造的過程對信息進行評估，因此可以提供更為可靠和相關的信息，這可以改善內部和外部審計人員之間的關系與合作，并帶來更有效的組織治理。一個嚴格的創造價值的方法需要組織有效地管理所有重大的和可能的風險，風險管理可以在宏觀或企業整體層面進行考慮，也可以在微觀或企業部門層面進行考慮。風險管理可以在組織內部或外部實施，但重要的是要認識到執行風險管理的最終責任屬于最高管理層和董事會。正如了解一個組織的目標非常重要，內部審計需要識別出組織目標的風險非常重要，往往包括：威脅組織目標達成的風險、組織不能發現新機會的風險。因此為了評估有利和不利的風險，內部審計需要運用一套完整的過程導向的方法來評估風險。除了對風險的了解，內部審計還需要風險管理進行評估，這是為了確定結構、職能和控制程序在識別管理的風險因素方面是否適當。確認準則2010-A1指出：內部審計活動的項目計劃應建立在風險評估的基礎上，每年至少一次。最高管理層和董事會應考慮在這個過程中。

三、組織治理

可以在組織利益相關者的需求及組織與其利益相關者的關系的背景下來理解組織治理。國際內部審計師協會準則將治理程序定義為組織的利益相關者委托管理層對組織進行管理的過程中，對管理層適當履行受托責任進行監督的程序。由于許多大型企業破產，其中一些存在嚴重的管理層欺詐，因此過去十年里組織治理發生了根本性的變化。巨大的財務虧損促使投資者、債權人和其他委托人更加關注組織結構。因此，探索如何讓組織能夠確保其計劃和政策如預期般實施并發揮作用就變得十分重要了。內部審計在這方面可以發揮重要作用，因而可以促進組織治理的改善。

1、內部的利益相關者

董事會、最高管理層、經營管理層和員工是主要的內部利益相關者并對組織的活動負有直接責任。股東和投資者賦予董事會和最高管理層管理他們投入的資本的責任，指導和控制是最高管理層履行這一責任的主要方法。中級管理層主要承擔經營層面的責任，他們將最高管理層制定的戰略和目的轉化為組織的目標，并進一步分解為關鍵業績指標和指標體系。對這些關鍵業績指標和指標體系進行分析可以確保系統和流程適當地發揮作用，并最終知道組織是否如預期般發揮作用。員工負責日常經營活動，但在目前的趨勢下，比如員工擁有更高的知識水平、授權、自動化程度或在線控制水平的提高，管理層也可以向員工分派更多的控制活動。董事會是內部利益相關者中比較特殊的一個群體，主要負責總體戰略的擬定和經營活動的監督。董事會應盡量多樣化并有足夠數量的能勝任的董事，當然數量也不能過多以免影響決策的效率。較為流行的董事會體系主要分兩種：一種是歐洲尤其是在德國和法國的雙層或雙重體系，這一體系有管理委員會 和監事會；另一種是美國和英國的單層或單一體系，只有一個董事會。也有一些國家的董事會兼具單一和雙重體系的特征。董事會通常被劃分為幾個二級委員會以便利用董事會成員特殊的知識、經驗和專長，一般包括提名委員會、薪酬委員會以及審計委員會。

審計委員會是外部財務審計和內部審計及其他確認職能之間的協調者，審計委員會一般會執行財務監督職能。一些組織有一個有趣的特征，那就是其審計委員會的職責更加廣泛，需要對治理的經營和財務進行監督，一個比較好的例子就是瑞士制藥公司hoffinan La Roche，它的審計委員會負責財務與經營的協調，而財務事務的考慮由另外一個單獨的財務委員會負責。

2、外部的利益相關者

一個組織會有很多的外部利益相關者例如股東、客戶、供應商、監管方及社會公眾等等。就企業的日常運營而言，他們并不會直接參與，但組織的績效會對他們的利益產生影響。另外，他們的決策也可能對組織產生影響。組織需要吸引它的投資者、債權人、供應商和顧客，在這個過程中，向他們確認有關的組織信息非常重要。如前文所述，內部審計可在多個方面有效地改善治理。

投資者往往關注資本的流動性，并且希望資本成本在市場中處于合理水平。內部審計確認與組織運營有關的相關信息，可以幫助對資本市場的分析，為合理保障資本發揮作用，并將有關組織狀況的確認信息提供給債權人和投資者。如果公司不能提供高質量的確認信息，人們會面臨更高的不確定性，因而會認為該公司具有更高的風險水平，進行提高公司的資本成本。供應商的首要利益是其作為公司合作伙伴的商業利益，期望在談判后獲得更多的利益。顧客的首要利益是能夠及時經濟地獲得能夠滿足他們需要的產品。而其他的外部利益相關者如社會公眾和政府有著其他的利益。不同的利益相關者對信息和確認的要求可能有較大的差異，并且可能與組織本身之間存在一定的利益沖突。例如，組織可能不愿意將一些信息提供給金融債權人以免帶來更高的利率，但投資者可能希望知道更多的確認信息以做出買或賣的決策。這種情況可以用信息不對稱的觀點來解釋，經理人員對組織的認知和理解更好且更深入。為了減輕這種信息不對稱的情況，如內部審計部門這樣的內部或外部確認者可對信息是否真實和正確提供確認。信息不對稱的問題也會在單層和雙層的董事會體系中出現。如果董事長兼任首席執行官，這個人就會擁有更多日常經營和決策的有用信息，但這會使董事會的監督作用喪失，因此會成為一個問題。

內部審計可在適當有效的組織治理體系中發揮更廣泛的作用，此時的關鍵問題是內部審計的職責和作用在兩種體系的董事會下有何不同，這可在治理體系不同的組織和國家之間進行實證研究。（作者單位：重慶重郵信科通信技術有限公司；重慶郵電大學）