(一)内部控制
内部控制是现代企业必不可少的一种有效管理手段。作为企业的一种自律行为,内部控制制度是为防范风险、完成各项既定工作目标,对企业内部各职能部门及人员的业务活动进行风险控制、制度管理、相互制约和内部稽核等方法、措施和程序的总称。COSO(Committee of SponsoringOrganization of the Treadwaycommission)于1992年发布关于内部控制的纲领性文件《内部控制一一整体框架》,使内部控制的系统概念体系得以建立。2001年底以后,美国爆发了以安然、世通、施乐等公司财务舞弊案为代表的会计丑闻,集中暴露了美国公司在内部控制上存在的问题,由此导致美国通过了萨班斯法案,使人们对内部控制的重要性有了更深刻的认识。2004年9月,COSO结合《内部控制一整体框架》和萨班斯法案,发布了《企业风险管理一整体框架》,对内部控制框架进一步扩展和提高。一般来说,内部控制应具备以下几个功能:一是防护功能。健全、完善的内部控制能保证企业各项活动的开展在一个健康有序的环境中进行,有利于制约管理中的各种消极因素。二是反馈功能。这是信息与沟通健全、完善的内部控制应当具有的基本要素。三是监督与协调功能。内部控制应能监督和协调企业各部门、各环节更好地履行职责,及时发现和分析问题。因此,内部控制的目标主要体现在:保证业务活动按照适当的授权进行,保证所有交易和事项以确定的金额在恰当的会计期间及时记录在适当账户,使会计报表的编制符合会计准则相关要求,保证对资产和记录的接触和处理均经过适当的授权,保证账面资产、实际资产定期核对相符,能促进企业经济效益和效果的提高,保障各项活动在相关的法律、法规中进行,保证企业制定的各项管理方针、制度和措施的贯彻执行。
(二)公司治理
公司治理是关于公司各利益主体之间权、责、利关系的制度安排,涉及决策、激励、监督三大机制的建立和运行等。根据利益相关者理论控制权和剩余索取权由所有利益相关者掌握。从而形成了股东利益至上的治理结构、经营者为核心的治理结构和利益相关者共同参与的治理结构。公司治理效率在于能否有效化解分歧、凝聚力量降低各利益相关者的治理成本并在公司价值增值中获得相应的回报实现科学决策。公司治理包括内部公司治理和外部公司治理。所谓内部公司治理或称法人治理结构、内部监控机制,是由股东大会、董事会、监事会和经理层组成的,用来约束和管理经营者行为的控制制度,是董事会及经理层为确保企业财产安全完整、提高会计信息质量、实现经营管理目标,而建立和实施的一系列具有控制职能的措施和程序。所谓外部公司治理或称外部监控机制,是通过竞争的外部市场(如资本市场、经理市场、产品市场、兼并市场等)和管理体制对企业管理行为实施约束的控制制度。
(三)内部审计
内部审计与内部控制与生俱来,它是基于企业内部经济监督和管理的需要而逐渐发展起来的具有独立性的管理工作。美国内部审计师协会自1941年成立以来,一直致力于在全世界推行内部审计制度。1999年6月,国际内部审计师协会对内部审计作了比较完整的定义:内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。2002年美国一系列财务丑闻发生后,内部审计的作用更是受到了前所未有的重视,并被提升到公司治理的高度,内部审计的范围也从财务收支扩展到经营管理的各个方面,既要评价资源利用的经济性和有效性,又要对内部控制制度的健全性、有效性及对其的遵循情况进行评价。对存在缺陷和无效的内部控制,内部审计人员应提出改进和完善建议,并督促有关部门执行。
二、内部控制、公司治理和内部审计三者的联系
上市公司内部控制的有效性是检验公司治理是否有效的关键,内部审计是内部控制的一个重要环节,同时又是内部控制有效性的重要保证。能够保证内部控制有效的主要手段是内部审计,同时,内部审计又是公司治理的重要保证。上市公司内部控制、公司治理和内部审计的最终目标,都是服从于公司最终经营目标的。在一个比较规范的上市公司内部,三者相互联系、相互影响、相互联动、不可分割。
(一)内部审计与内部控制的互动关系
内部审计不仅是内部控制的一个重要组成部分,又是对内部控制执行情况的一种监督形式,是对内部控制的再控制。内部审计理论和实务的构建和实施应以内部控制概念为中心。
内部审计发展的历史就是内部控制发展的历史。按照国际内部审计师协会(IIA)第1号《内部审计准则说明书》的规定,控制可以是预防性的、检查性的,也可以是指导性的,控制可以是内部的,也可以是外部的。因此,内部审计既是内部控制系统的一部分,又是控制的确认者。内部审计与内部控制的最终目的都是管理风险、提升治理、实现组织目标。现代内部审计对控制的确认需要更充分的信息、更多的参与者,如控制自我评估、人性与文化等。
内部审计作为内部控制方式之一,其作用在于监督业务活动是否符合内部控制结构要求,评价内部控制的有效性,提供完善内部控制,纠正错弊的建议,其独立性有助于保持客观性和自主性而不会扭曲审计结果。上市公司的内部审计和内部控制是密不可分的,二者之间存在相互依存、相互促进的关系。
一方面,内部控制是进行内部审计的前提,内部审计要对企业的内部控制进行评审,了解企业的内部控制是否健全、有效,评价所有的控制目标是否实现,各种制度是否符合内部控制的基本要求,据以确定经济活动的合规性、合法性,会计信息的真实性、可靠性,从而据此以有的放矢地深入审查,并提出中肯的建议:另一方面,通过内部审计揭示管理中所存在的问题,并提出相应的改进建议,进一步促进、完善内部控制。
(二)内部审计与公司治理的互动关系
根据国际内部审计师协会1999年6月对内部审计的定义,内部审计与公司治理增加企业价值的根本目标是一致的。内部审计人员作为独立的第三方,可协调各部门共同管理企业,以防范宏观决策带来的风险。内部审计通过参与风险管理以合理有效地防范、控制风险,减少公司经营不确定性带来的损失,是咨询服务管理职能的具体体现,是增加公司价值的有效途径,这与公司治理的最终目标是一致的。
内部审计是公司治理的“守门员”,是“透视公司的窗口”。内部审计最终目标就是协助公司成员有效履行其受托责任。从公司治理的角度看,董事会、管理层、外部审计、内部审计是组织治理体系的四大“基础要素”,有效的治理建立在四者协同之上。内部审计促进公司治理提高的价值体现在:(1)董事会、管理层及外部审计可依赖的最有价值的资源。内部审计师对公司的会计报表进行相对独立的审计,既可对管理层的会计信息编报权力进行约束,又可缓解管理层与投资者之间的信息失衡,平衡和制约公司治理结构中各个组成成员的关系。( 2)改善经营效率和效果。内部审计在公司治理中传递信息的渠道,有向高级管理层报告、通过审计委员会向董事会报告、向监事会报告等。无论哪种沟通渠道,都反映了内部审计对不同利益相关者负责的一种境界。可见,公司治理是解决信息不对称的内部制度安排。(3)提供创新和最佳实务。(4)为供应商与组织间的相互关联系统所生成的信息提供可靠性和安全性的确认。进一步地,从更高的要求来看,顺应经济发展和组织管理变革的需要,内审人员应从传统的生产者转变为现代的营销者,内部审计应主动参与企业战略、并购、流程再造等一系列重大变革,成为组织变革代理人。内审人员应促导企业变革方案顺利实行,恰当处理参与变革与事后确认之间的关系。
(三)内部控制与公司治理的互动关系
内部控制存在于具体的控制环境中。控制环境是企业内部控制的一个重要组成部分,是构成一个组织的氛围,影响其他因素的基础,是由企业全体职工,主要是企业管理者所造就的,是充分有效的内部控制制度得以建立、运行的基础和保证。控制环境的好坏直接影响到企业内部控制的贯彻执行和企业经营目标及整体战略目标能否实现。公司治理是促使内部控制有效运行,保证内部控制功能发挥的基础,是实行内部控制的制度环境。内部控制在公司治理中担当的是内部管理监控系统的角色。二者的联系具体表现在:(1)公司治理与内部控制都统一于实现企业的目标。内部控制的基本目标仍是保证企业目标的实现,而公司治理的目标是保证企业运行在正确的轨道上,防止董事、经理等代理人损害股东的利益。健全的公司治理是企业目标得以实现的保证。( 2)内部控制与公司内部治理都遵循相互牵制、制衡的原则。良好的内部控制是完善公司治理的重要保证,有效的内部控制,可以规范会计行为,保护单位资产的安全、完整,确保国家有关法律、法规和单位内部规章、制度的贯彻执行。(3)健全的公司治理又是内部控制有效运行的保证。