基本含义
是指组织内部审计机构和人员依据国家法律、法规、政策和标准,独立、客观地对本组织公司治理环境、状况进行监督、评价和咨询,提出改善公司治理的意见或建议的行为。 为随着公司治理的重要性不断突出,内部审计部门不得不将公司治理列为优先审计的对象。公司治理审计的目的
公司治理审计的目的是帮助组织提高公司治理能力,改善公司治理状况,合理地保证组织经营目标的实现,促进组织价值的增加。
[编辑]公司治理审计的主要内容
公司治理审计包括股东层面公司治理审计和董事会层面治理审计,涉及监事审计、独立审计、内部审计、政府审计等。在公司治理监督约束机制建立和运行过程中,审计网络成为监督约束机制的基础,因而公司治理必须考虑审计的作用。开展治理审计,维护利害相关人的利益、健全公司经营管理基础、提高公司信用、改善经营管理组织、促进提高经营绩效。股东会主导的治理审计
一、股东会主导的治理审计
按照代理理论解释.经营者的利益目标与所有者可能不同。在经营者控制公司经营权、信息不对称的条件下,发生道德风险、逆向选择,损害股东利益,股东开展治理审计是维护其利益的一种必然选择。股东会主导治理审计的前提是股东会可以充分发挥其功能,以股东会为公司治理核心,由股东和其他利益相关者委托审计^对董事会、经营者责任审计,审计信息由审计^传递给股东和其他利益相关者。股东会主导下的内部治理审计是由公司内部审计^开展的浩理审计,包括监事对董事会、经营者开展财务审计、绩效审计等,检查评价其财务活动和绩效并向股东会报告;由董事会领导或授权财务总监领导内部审计对经营者责任履行审计。
外部治理审计是由公司外部审计^开展的浩理审计,包括独立审计师审计 政府相关部门审计等。
股东会主导治理审计存在的问题:目前缺乏幔东屡面对董事会代理责任审计这一制度安排。美国COSO委员会在《内部控制结构》中提出独立审计师要调查控制环境,包台了对董事会调查了解,但井未要求将董事会作为一个特定的实体,对其代理责任和绩效进行审计或考核评价。在法律上、制度安排上如果缺乏对董事会代理责任审计,则股东和其他利益相关者利益容易受到损害 正因为如此,各国公司冶理原则均提出了对董事和董事会绩效评价的要求,这是公司治理不容忽略的问题。
二、董事会主导的治理审计
股权分散的公司,股东会的控制力较弱,形成了以董事会为核心的治理结构。董事会包括代表股东利益的董事和代表其他利益主体的独立董事,董事会上对股东会承担治理责任和管理责任,下对经营者代理责任审计。董事会主导治理审计的前提是董事会在公司治理中具有棱心作用,董事会的职能到位,董事会与经营者权力制衡合理。在以董事会为核心的控制体系中,可供选择的活理审计途径有:董事会直接领导内部审计、设立专职财务董事并开展财务审计授权财务总监领导内部审计、建立审计委员会、聘请独立审计师等。董事会主导的冶理审计主要开展财务审计和管理审计,财务审计是对经营者财务括动以及相关会计信息进行审计;管理审计是“董事会对整个组织经营谓研,以落实董事会的各种经营政策和要求是否成功地贯彻执行;促进组织与外部世界的联系更加有效,经营更加有效,企业管理更有效率和更加稳定 。内部治理审计董事会领导内部审计:内部审计具有监督、评价、控制等职能。内部审计不仅仅是监督,还协助经营者加强控 、改善管理、提高经营效率。建立董事会领导下的内部审计制度,确立新的审计委托关系,通过内部审计实现对经营者再控制。“内部审计负责^应由董事会一致同意确定,以增强其独立性”,由董事会直接领导内部审计,赋予审计部门鞍大的权力,可以对整个公司财务括动、经营培动进行审计,有利于审计职能的发挥、改善监控效果。在冶理结构规范的公司,董事长与总经理分设,内部审计由董事会领导是鞍为理想的模式。
董事会委派财务总监井授权其领导内部审计:由董事会决定财务总监人选,委派财务总监领导内部审计井对董事会自责。财务总监领导内部审计,可以加强对公司财务晤动的审计控制。财务总监领导的内部审计必须与经营者主导的财务管理独立,这是实施审计控制的基本前提
由独立董事组成的审计委员会开展治理审计:大股东可以委派董事参与公司管理,开展审计监督;而小股东如何实现其活理权力,是备国珐律界、学术界、实业界关注的问题。建立独立董事制度,是小股东和其他利益相关者行使公司治理权力的重要途径。审计委员会的类型有两种:一类是由独立董事组成的审计委员会;另一类是由公司执行董事、管理人员组成的审计委员会。两者在性质上不完全相同,前者是一种外部力量为主导的治理审计模式,后者是一种以内部力量为主导的治理审计模式,审计委员会在财务报告、公司治理、内部控制三个方面发挥功能。审计委员会不参与企业的决第,但审计委员会与内部审计之间关系密切,通过内部审计和外部审计开展的一系列括动促使经营者提供真实会计信息、有效地履行其管理职责。
英美等国资本市场发达,有较为完善的经理人市场,法律制度健全。上市公司股权分散,股东会作用有限,甚至流于形式。在单层浩理结构下,不设监事会,而是在董事会设置各种专门委员会进行专业化冶理。审计委员会是普遍设置的委员会之一,其成员一般不少于3A.。在美国,大公司普遍存在的现象是首席执行官兼任董事长,经营者权力高度集中,公司浩理属于“市场控制主导型”,董事会所属的审计委员会由独立董事组成,是一种外部力量为主导的浩理审计模式。审计独立性是开展治理审计的基本保证,由独立董事组成审计委员会,增强了内部审计相对于管理部门的独立性。
从40年代开始,美国证券管理部门、民间审计团体等,强调在上市公司内部建立审计委员会的重要性。1972年,美国证券交易委员会发布了《会计公告》第123号,建议由独立的外部董事组成审计委员会。1977年,纽约证券交易所正式要求,所有本国上市的股份公司, 必须在1978年6月30日前建立和保持一个完全由独立董事组成的常设审计委员会,作为其证券交易或继续交易的条件 要求审计委员会由能够做出独立封断的董事组成,独立于管理部门并不受任何其他关系影响。1987年,美国证券商协会要求所有纳斯达克上市公司必须设立绝大部分成员为独立董事的审计委员会。英国、加拿大、新加蛙等国《公司法》要求所有上市公司设立审计委员会。例如,杜邦公司审计委员会由6名独立董事组成,经股东大会同意,审计委员会有权聘请独立审计师,由独立审计师对管理当局财务活动及相关会计信息审计、对管理绩效评价。
各国审计委员会的职责不完全相同.但差异不大,一般包括三个大的方面:财务报告、公司治理、内部控制。具体工作有:对公司财务报告过程进行监督并审查财务报告;选择独立审计师:在审计工作开始前,与独立审计师讨论审计目的、范围和程序,并评价独立审计师工作及其能力;对内部审计负责人考核、评价.指导内部审计,就内部审计、外部审计和内部控制中的重要问题进行磋商,向董事会报告工作;评价财会人员能力,评价管理当局绩效。独立董事组成审计委员会,目的是协助董事会了解有关法律和公司内部审计等问题,提请董事把注意力集中到会计控制、审计控制和财务管理方面,使董事会审计控制功能得以发挥。 长期以来,作为财务报告过程、内部控制系统和公司行为准则的监督者,审计委员会的作用得到了加强”,在英美等国,总的趋势是审计委员会的职责范围逐渐扩大。
由执行董事和管理人员组成的审计委员会开展治理审计:在有些国家,法律法规对审计委员会的掏成没有强要求,而是根据公司冶理和管理控制需要,以执行董事和管理人员为主建立审计委员会,由审计委员会开展冶理审计,这是一种以内部力量为主的冶理审计模式。在我国,有许多公司已经认识到审计委员会的重要性,在董事会设立了公司管理人员为主的审计委员会,审计委员会领导的内部审计不断调整其审计战略以达到审计控制目的。内部力量为主导的审计委员会,审计控制功能发挥的关键是保持其独立性。外部治理审计
董事会直接委托独立审计师对经营者提供的财务报告审计、对内部控制审计,前提条件是董事会的功能能够正常发挥、保持足够的独立性、以维护公司利益和所有者利益为出发点。否则,独立审计师的独立性和治理审计效果难以保证。独立审计师除了对财务报告审计.还对公司内部控制进行审计 在20世纪90年代,美国注册会计师协会发布《审计鉴证准则》第6号,要求公司公布的内部控制报告要经过独立审计师审计并出具审计报告。公司对外提供的内部控制报告,由董事长、总经理、财务负责人、内部审计负责人共同签字。各国或不同地区对内部控制审计的要求尽管不同,但是通过内部控制审计些证,加重了经营者和独立审计师对内部控制的责任。通过独立审计师对内部控制审计,客观上实现了对经营者主导的内部控制再控制。为了保证外部治理审计效果, 董事会在实施其监督职能时,可要求内部审计经理对外部审计师的绩效进行评价,向董事会和高级管理层报告评价结果”。董事会通过内部审计促进独立审计师提高审计效率、效果。三、监事会主导的治理审计
以德国、日本、奥地利、中国等为代表的公司体系要求建立双层治理结构,这些国家对于监事会职责的法律规定不完全相同,其中德国股份公司监事会最具特色。德国股份公司有监事会、执行董事会,但不设立审计委员会,是一种双层垂直陪理组织结构,由监事会决定执行董事会人选,是以内部治理审计为主导的审计模式,这与英美等国外部力量为主导的陪理审计模式完全不同。德、日等国公司治理审计的共同特点是,冶理审计包括监事审计、独立审计师审计两部分,而在实质上,德、日公司陪理审计存在明显区别。
内部治理审计
德国股份公司以监事会为中心的冶理机制,有两大特点:一是职工对公司监控的参与程度很高,人力资本在沿理机制占有重要地位,人力资本与货币资本有机结合,使得公司决策比较公开,有利于对经营者监督。公司各利益相关者结成长期契约关系,有助于保持长期合作,成为一种现实而又可行的共同冶理模式;二是银行作为公司的主要股东或资金提供者,是公司治理的核心。监事会有权聘任或解聘经理、财务负责人和其他高级管理人员+因而是由股东、公司职工真正行使监督权与控制嘏的机构。德国公司监事会是公司治理的中心,因而形成了以监事会为核心的冶理审计模式。德国公司监事会的职责与日本以及我国监事会有明显不同,监事会下设执行董事会,执行董事会对监事会负责。德国《股份公司法)规定,监事会是公司股东、职工利益的代表,是公司的监督机构,具有任免执行董事会成员和主席的权力;监督执行董事会成品是否按公司章程行使经营权; 对资本增减、筹资与投资等重要财务事项进行决策;审核账簿、核对资产,井在必要时召开股东大会。在监事人选和监事会组成上,监事会成员由股东大会选举的监事、委派监事和职工监事组成,其中股东选举监事、职工监事在比例上有明确规定,监事会主席由监事会成员选举。在监事会成员专业知识和能力上有明确规定,要求有比较突出的专业特长和丰富的管理经验。监事对经营者审计+目的是维护股东和职工利益,姒总体上促进企业安全有效经营、保护资产安全完整、保证会计信息合法。
外部治理审计
监事会有权聘请独立审计师,监事和独立审计师姒不同角度对公司内部控制、财务报告合法性审计,开展绩效审计和管理审计,分别向委托人提供审计信息。德国监事会主导的治理审计模式,审计效果得到各国公认。而在日本和中国,公司治理审计普遍存在的问题是,无论监事审计还是独立审计师审计,审计效果并未得到股东、政府等利益相关者认可。四、监事会与董事会相结合的治理审计日本和我国股份公司在双层冶理结构的法律框架内,分别建立董事会和监事会。监事会的主要职责是对董事和高级管理人员进行监察,对公司账目检查等。董事会既有权做出管理决策.又对经营者实施绩效考核评价。监事会与董事会相结台的治理审计要求监事具有足够的经验、能力和专业背景,有能力独立地对公司财务活动和账目检查。建立财务监事委派制度,由财会专业人员、审计人员担任监事,在法律上赋予其权力,以保证其行使监督权 为保证监事会的独立性,应增加外部监事的比例,外部监事应占嗌事会人数的一定比例。
内部治理审计
监事会与专职董事相结合的治理审计。由监事会和董事会对经营者的管理贵任进行监督检查,选一治理审计模式在日本股份公司普遍采用。监事会是股份公司的机关之一,其任务是审查董事所执行的职务,评价公司的管理行为和管理决策是否妥当; 关注内部控制,特l上非法行为;检查信息披露,评价财会人员职能履行等。日本《商法特例法)规定,监事会有权调查公司业务及财产状况和账目,审查董事职务履行和执行业务的状况,硷查公认会计师的审计报告等。《证券交易法》规定,上市公司会计信皂由公认会计师审计,监事具有参与选任或解任公认会计师的权限 日本公司监事会权力不及德国公司监事会,只有监督权,没有决策权 在监事人选l卸监事会组成上,虽然日本监事制度师法于德国,但日本《商法》要求公司股东大会选举监事,监事必须由公司以外的人担任。监事审计力度和监控效果不及德国.专职董事监控力量 及英美等国独立董事组成的审计委员会.这是日本公 陪理的不足。日本许多大公司陪理模式为 主银行控制主导型”,银行作为公司大股东或债权人,对经营者监控起着主导作用 主银行通过公司往来账户、短期信贷、商业伙伴关系等逾径获得经营信息和会计信息 主银行作为公司的股东或债权人,常常派遣人员进^董事会,这些人员成为负责公司财务与计划事务的专职董事 实证研究结果表明,专职董事主要任务是检查公司财务状况,监控公司重组过程等。监事套与董事套所一的审计委员会相结合的治理审计。在双层冶理结构的挂律框架内,公司内部设立董事会、监事会,监事会对董事会负有监督职责。为了发挥董事会监控的功能,董事会中可以再设立审计委员会、财务委员会等专门委员会等, 助董事会开展专门工作。将决策权、执行权、监督权分离,并且相互制衡,防止经营者监用权力。监事审计与审计委员会监督相结合,内部治理与外部冶理相结合,无疑会增强监控力量。中国股份公司治理审计模式尚未成熟,可能的选择之一是监事审计与审计委员会相结合的模式。我国《公司法》等法律珐规赋予监事会的职责之一是定期检查公司财务、对公司重大对外投资和对外支出进行专项检查等,并可在董事会设立专门委员会。我国现行监事会治理审计模式不能很好地履行审计控制职能,实践中监事会不能保持独立性,在已知现有治理审计模式技果不佳的情况下, 监事会+审计委员会”模式不先为一种值得尝试的选择。监事会与审计委员会相结台的冶理审计模式要求监事会与审计委员会进行台理分工、协调,以避免机构重叠、工作重复。这一冶理审计模式的选择,主要是考虑法律法规的约束、公司冶理的需要。
外部治理审计
由董事会聘请独立审计师或由利益相关者对经营者提供的财务报告进行审计,对内部控制进行测试、评价和鉴证。为了提高临事审计效率和数果,应由外部审计对临事审计进行评伊,在这一方面,无论是日本公司还是口国公司,均缺乏对监事审计效率和审计效果的评价,这是制度安排上的不足。外部浩理审计的关键是保持独立性。“日本公司活理审计中独立审计师形式上独立、实质上不独立”,是日本公司近年来经营绩教衰退、内部控制频繁出现重大问题的主要原因之 。我国一些公司出现重大舞弊事件,同样与冶理审计不力有直接关系。一、治理环境审计:1、评价总体治理结构和政策
治理结构和政策应当具有以下主要特征:董事会各委员会之间持续的交流和联系;在公司层面和分支机构、小组层面分配治理责任和活动;阐明横向及纵向的监督事项;持续可靠的、有效的信息流动可以上达董事会各职能委员会;对包括但不限于治理,道德规范和监督政策的总体政策进行清楚地描述和沟通。只有组织存在一个经过仔细考虑的结构良好的治理环境,公司治理的流程和程序才能有效。公司的治理结构和政策应当反映组织的、经营和报告体系及其组成部分,而且必须在各治理事项间清楚地分配责任。在结构和政策方面,内部审计部门可以努力证实组织是否真正拥有这样一个公司范围的十分完整的治理、风险和合规环境,并评价其有效性,以帮助董事会和高级管理层。如果没有完整的治理,内部审计可以帮助其建立。另外,内部审计还可以帮助促进与其治理目标,活动及发现有关的信息在治理结构的各要素之间持续和无障碍的交流。
要实现上述目标,内部审计首先必须评价董事会、执行委员会及其章程的结构,以保证组织具有改善公司治理的恰当政策。这些政策应当一方面保证董事会具有实质上的独立,而不仅仅是名义上的独立;另一方面为组织的其他部分建立一个良好的道德规范和公司治理的样本。其次,内部审计必须证实,所有的公司治理政策都符合法律法规的要求,董事会和各个执行委员会的治理活动与组织的重要性次序保持一致。
2、评价治理环境和道德规范
企业文化和道德规范必须符合下列特征:正式的书面形式的行为准则;对组织文化和道德目标的清楚阐述;对行为准则和违规处罚等进行有效的交流;使用需求来确定与道德相关的交流的有效性和发现培训需求;在报告违反行为准则事项时具有无障碍的广泛的交流渠道;要求个体确认各自的责任范围;无论涉及的对象是谁,必须进行持续有效的调查,并坚持按规定处理;以及管理层关于支持监督活动的明确承诺,包括提供充分的资源和训练其如何评价与治理有关的事件和活动。为了实现有效的治理,组织需要鼓励良好的公司治理并强调道德规则的企业文化。作为向这一方向迈进的第一步,内部审计应当评价企业的文化标准和道德程序,并揭露与治理有关的薄弱环节。IIA的实务公告2130-1中专门说明了对这一评估的需要,指出 “内部审计应当定期评价组织的道德氛围…”,并被写入了IIA修订后的新标准。当然,谈论对组织的企业文化和道德程序进行评价要比发现保证组织的道德规范得到执行的专门方法更为容易。这正是必须检查企业的道德标准和政策,并证实它们是否在日常活动中得到有效执行的原因。内部审计部门必须掌握在整个企业中测试该有效性的方法,比如进行风险文化调查。
3、评价审计委员会的活动
审计委员会的活动应当具有下列特征:正式的书面形式的审计委员会章程对目的,成员及独立性,会议频率,成员的作用和责任,与管理层、内部和外部审计师的关系,报告责任,进行特别调查的授权等进行阐述;实际的活动与章程的规定相比较;实际的活动与正式的指南和规则相比较;实际的活动与最佳实务相比较;以及审计委员会使用正式的自我评估程序。审计委员会对保证治理结构及其支持程序的有效性负最终责任。因此,将审计委员会的活动与章程中确定的作用和责任,以及外部指南和最佳实务等进行比较就非常重要。例如,审计委员会的结构和章程必须包含特定的责任和与2002年的Sarbanes-Oxley Act,SEC规定和其他公司治理指南的遵守有关的最佳实务。内部审计师经常应审计委员会的要求进行这类评价,以证实他们遵守了这些新的规定。当然,必须将这些责任和最佳实务整合到公司总体的治理活动中。审计委员会章程还必须保证内部审计师具有有效执行和遵守审计标准所需的各种资源,接近委员会成员的权利和接近高级管理层的权利。该章程必须和内部审计部门的章程保持高度的一致性。最后,内部审计师应该将这些评估视作通过观察、训练和建议等方式为审计委员会提供价值的重要的机会。二、治理流程审计:支持治理环境的特定活动
1、评价舞弊控制和沟通流程
舞弊控制和沟通流程应当具备下列特征:反舞弊程序将舞弊的预防视为一个持续进行的过程,而不只是一个侦察或调查程序;在舞弊风险评估的基础上开发、追踪和运用舞弊计划和舞弊指征;将特定控制活动与特定的舞弊情节相联系形成对应关系;反舞弊培训和沟通程序;使用腐败内幕揭发程序和舞弊举报热线;事件报告和追踪程序等。在法律法规变化的刺激下,反舞弊活动的重点从侧重于合规性和调查的反应性战略转向侧重于舞弊预防和早期发现的主动性战略。在这样的环境下,内部审计需要确定组织是否具有这种贡献于有效治理所需的反舞弊的预防和侦察程序。支持舞弊控制的沟通和风险评估程序也是如此。
对舞弊控制进行检查时,内部审计必须考虑几个关键点:组织是否设有腐败揭发程序和相关的支持性沟通渠道,以有助于保证舞弊能够迅速引起高级管理层和审计委员会的注意?腐败揭发程序背后的组织流程是否能够保证鼓励雇员参与所需的保密性?雇员是否有理由相信,如果他们泄漏了机密信息,将会遭受处罚?
2、评价报酬政策和相关流程
报酬政策和相关程序应当具备下列特征:正式的报酬政策和流程由报酬委员会提出;报酬政策和流程的主要内容有实际报酬和奖励,延期报酬计划的批准和透明度,“特殊”安排的批准和透明度,报告和监督,遵守适用的法规要求等;检查者的胜任能力,即执行报酬评估的人员是否在这一高技术性领域进行了足够深入的?当前执行的报酬政策常常引起对公司治理政策和程序的严厉批评,给公司的声誉带来了潜在的风险。其结果是,内部审计部门有必要对组织的报酬政策及其流程开展全面地、自上而下的检查。在进行报酬检查时,内部审计应当:检查实际执行的激励程序,延期报酬计划的透明度,与报酬相关的报告和监督,以及是否存在特殊安排等;评估并证实报酬委员会成员的独立性和他们用以得出总报酬及其结构的程序;确定报酬委员会的行动是否符合Sarbanes -Oxley Act中与报酬有关的规定;确定高级管理层的绩效评价包含了关键因素,如诚实,是否有能力制定与公司责任有关的正式的高层基调,是否有能力清楚的表述组织的价值观、道德规范和行为期望等;确定企业是否使用定量的流程设计和改善技术来创造和衡量关键经营流程的价值、质量和有效性。以前内部审计一般没有对报酬方面给以充分的注意,部分原因是源于缺乏分析与报酬相关的复杂事项的专业能力。显然,弥补这一不足需要增加这方面的专业人员。
3、评价财务治理流程
财务治理流程主要关注两个问题:作为财务治理基础的原则和流程是否建立且是否有效;财务治理原则和标准是否得到了有效的沟通。尽管新的报告规定鼓励企业更加有意识地关注其财务控制,但财务控制背后的财务治理原则和操作标准受到的注意相对较少。如果没有原则和标准,特定的控制很难长期有效。因此,企业要建立财务治理流程,为其财务控制提供所需的框架。财务治理框架是一个相关的新概念,它包括两个组成部分:其一是财务控制原则,用来指导财务报告的有效控制;其二是操作标准,用来建立、记录和沟通组织财务治理方面的目标。例如,“财务报告应遵守所有法律法规的要求”是一个明确规定的原则;而要求每一业务都必须编制目录和有证明文件,就是一个适用的与报告有关的操作标准。
内部审计需要检查组织是否在整个公司建立了包括明确的政策和标准在内的财务治理流程。这一评估并非主要集中在特定的财务控制方面,而是试图证实治理活动之下的原则和标准是否适当,是否在关键的财务流程中得到积极地执行。
4、评价战略计划和决策的治理活动
战略计划和良好的治理之间具有紧密地联系,但这一联系直到现在才受到高级管理层和内部审计部门应有的注意。随着治理日益受到关注,以良好的治理作为战略规划活动的中心是明智之举。例如,热衷于进行并购活动的企业应该设法以对治理结构、政策和操作原则的可靠理解为基础评价并购前景。企业当然不希望在并购进行的过程中再去争论治理流程的问题。因此,在实际运作之前,企业就应该已经检查了所有与战略计划和决策相关的监督、沟通和程序等方面。每个企业都需要在良好的公司治理和战略计划之间建立紧密的联系,而内部审计可以通过评估计划和决策流程推进这一目标的实现。
5、评价治理绩效的衡量
如同企业定期对各种经营活动进行衡量和量化,以确定它们是否有效,组织也可以测量和量化其治理活动。而且,内部审计部门可以在评估该绩效评价的准确性和可靠性方面发挥重要作用。首先,内部审计应该确定组织是否已经开展与治理活动有关的绩效评价。如果是,内部审计应该评估其功能、范围和有效性,确定这些衡量指标与总体治理活动相关的程度。与可以运用风险文化调查来测量整个组织范围内的控制意识一样,内部审计可以开发类似的自我评估程序,来证实评估治理绩效和评价其有效性的衡量指标确实存在。三、治理程序审计
1、评价内部和外部治理报告程序
治理报告程序应当关注下列问题:治理报告是否符合法规中的报告标准和定义;是否建立了适当的报告标准;报告过程中是否使用了正确的重要性区间;报告的违规之处是否在组织中的适当层次被发现、上报,并得到解决。治理审计的第三部分和最后部分应当侧重于证实和评价企业中专门的与治理相关的报告程序是否存在。进行评价时,内部审计首先应该识别和清点与治理有关的报告程序,然后测试所有内外部治理报告的准确性和适当性。有效的治理报告必须与财务报告一样准确完整,以适应股东、监管机构和财务团体的其他成员不断增加的详细审查。
以后,企业将必须更为频繁地发布治理报告,以与新的治理要求保持一致。在向公众公开之前,这些报告必须接受与财务信息同样程度的内部检查和控制,以发现与组织声誉有关的潜在风险。内部审计因而需要对治理报告负责,以保证与这一日益重要的领域有关的监督和控制的适当性。
2、评价治理事项的上报和追踪程序
治理事项的上报和追踪应当具备下列特征:政策程序规定了治理事项的上报和追踪;解决治理问题的责任进行了清楚地界定和交流;发现的治理事项能够通过治理程序回溯至识别阶段;伴随着高级管理层的适当参与,治理事项以有效及时的方式得到解决。治理环境有效的企业将具有适当的程序识别和上报与治理有关的事项,并对其进行追踪。由于该程序的重要性,内部审计必须对其进行认真评估。与之相关的评估应当能够对四个主要问题给出明确的答案:是否存在适当的治理事项上报和追踪程序?如果存在,这些程序是否能够有效地追踪治理事项?这些程序所提供的数据是否有助于提高治理事项的识别和追踪?谁负责追踪治理事项?另一重要方面是,确定这些治理事项一旦发生,是否能够有效地彻底追查。如果企业没有迅速彻底地按照治理事项追踪程序产生的报告采取行动,那么即使存在可靠的治理事项追踪程序,对企业也没有什么好处。在评价上报流程的适当性时,内部审计师应当确信该上报流程包含了审计委员会和董事会。
3、评价治理变化和程序
治理变化和学习程序应当包括下列:变化和学习创新被用来支持新治理的采用或现有程序的改革;治理问题的重要性通过持续的和培训得到加强。管理层面临的真正挑战在于,没有一套单一的、不变的治理问题。事实上,新的问题不断出现,现有的问题以不可预见的方式发生持续的演化。其结果是,在治理领域开发和实施变化和学习的创新方法对企业而言十分重要。同样,评价这些创新方法管理的有效性对内部审计也很重要。
内部审计应当识别新出现的、或不断变化的治理问题,证实组织有适当的专门方法来发现这些问题,并确信这些创新方法能够实现其预期目的。例如,犯罪者在持续不断地努力开发新的不可预见的舞弊方式。因此,组织有必要开发一套综合的反舞弊体系,超出了舞弊意识的范畴而强调舞弊预防。在这一背景下,组织为了为反舞弊程序提供有效的支持,必须开发范围广泛的变化管理和学习支持活动。
4、评价治理支持软件和技术
显然,许多组织的治理流程和程序将使用一系列技术和软件工具实现其目标。组织治理活动的有效性在不同程度上取决于其技术资源的适当性和可靠性。过去企业并未优先考虑风险管理和治理技术投资,但在当前经营环境下,获取实时信息变得至关重要,对遵纪守法的要求以加速度上升,因此技术成为组织努力提高和衡量其风险管理和治理的关键动因。随着配置不断升级,技术成为组织的中枢神经系统,实时地确定风险得到管理,行动正在实施。各种政策和措施真正发挥作用的关键在于与经营流程的融合,而这正是实时的风险和合规管理的实质。技术有助于通过推进各种风险管理、治理活动的综合、信息流动、绩效和报告来增加透明度、完整性和可说明性。由于技术对组织治理活动的重要性,内部审计应当对关键的技术资源进行定期的检查,以评价和证实其是否充分和是否持续有效。这些检查应当确定治理活动正在使用的所有软件和技术,并评估与该技术相关的控制是否适当。在Sarbanes-Oxley的余波中,许多与治理有关的新技术措施将会出现,组织应当依靠内部审计协助其评估这些措施的功效和控制。
修改后的IIA职业标准大大强调了治理活动在内部审计职能中重要地位。同时新标准也为内部审计部门提供了向公司的利益相关者证明其真正价值的新的机遇。为了将机遇转化为资本,内部审计师必须采用一种更为主动,清楚和积极的方法对公司治理进行审计。上述工作程序为内部审计最可能为高级管理层、审计委员会和股东创造重要价值的治理活动提供了指南。它能够使内部审计真正在治理领域获得领导地位。