内部审计、审计委员会、管理层关系研究

摘要：内部审计作为公司治理的重要组成部分，除了服务于管理层开展经营审计、绩效审计外，还负责检查和评估内部控制体系。由于与管理层之间存在信息不对称问题，审计委员会对财务报告质量和内部控制有效性缺乏足够的了解。内部审计机构隶属审计委员会和管理层“双重领导”的模式具有特殊意义：一方面内部审计机构能够强化内部控制职能和独立性，更好地发挥内部监督作用；另一方面内部审计能够为审计委员会传递信息，缓解审计委员会与管理层之间的信息不对称问题。为解决内部审计“双重领导”模式下管理层和审计委员会的潜在目标冲突，内部审计机构提交给管理层的年度预算和审计计划必须经过审计委员会复核、批准。

关键词：内部审计 审计委员会 管理层

由于企业所有权与控制权分离，股东与管理层之间会产生信息不对称问题，管理层可能会偏离股东目标，追求在职消费和过度投资，从而损害外部股东的利益。为解决这种问题，需要建立一套监督制衡机制。审计委员会作为公司治理中的重要监督力量，可以通过监督财务报告信息质量、风险管理及内部控制的有效性来降低财务和经营风险（Gerrit et al，2009）。但由于审计委员会成员大部分是独立董事，与管理层之间存在信息不对称问题。内部审计作为公司内部控制的重要组成部分，在评估内部控制的有效性和风险管理方面发挥着重要作用。审计委员会需要内部审计的信息支持，以便更好地发挥监督职能。而管理层也需要依赖内部审计部门来评价和监督经营活动，以提高公司经营的效率和效果。因此，如何界定内部审计同审计委员会和管理层的关系，充分发挥各自的职能，将是本文的研究重点。

一、内部审计职能和组织定位

（一）内部审计职能定位

COSO报告（1992）表明，内部审计对评价内部控制系统具有重要作用，对公司的治理结构行使监督职能。FCIIA（2005）认为，内部审计作为公司治理的重要组成部分，其职责在于风险管理以及内部控制，为董事会（以及审计委员会）履职提供有力支持。IIA（2007）将内部审计定义为：“一种旨在增加组织价值和改善组织营运的独立、客观的确认和咨询活动，它通过系统化、规范化的方法来评价和改善风险管理、内部控制和治理程序的效果，以帮助实现组织目标。”《中国内部审计准则（2006）》则明确了内部审计在强化内部控制、改善风险管理、完善治理结构、促进组织目标实现方面的重要作用。

（二）内部审计组织定位

由于我国公司治理结构的多元化，导致各经济体的内部审计组织机构设置存在不同的定位。依据公司治理要素对我国内部审计组织机构设置分为三种类型，即决策系统隶属下的内部审计，经营管理系统隶属下的内部审计，以及监督系统隶属下的内部审计。

决策系统隶属下的内部审计，通常是受本单位董事会领导。当董事会下设有专门委员会时，通常会由专门委员会如审计委员会来监督和指导内部审计。内部审计在审计委员会的直接领导下，能提高内部审计的独立性。《上市公司治理准则》规定，审计委员会监督内部审计制度及其实施，强调审计委员会对内部审计的监督关系。《深圳证券交易所上市公司内部控制指引》则明确规定内部审计直接对董事会负责。

经营管理系统隶属下的内部审计，通常是由总经理直接领导。内部审计机构直接向总经理报告，有助于总经理对内部审计机构的建议及时做出反应，充分发挥内部审计的服务职能，但由于总经理仍属于企业的管理层，内部审计难以对管理层的经济活动进行监督和评价，导致内部审计监督范围受限。同时内部审计由管理层领导会影响其审计意见的独立性，审计委员会在评价内部控制的有效性及财务报告的可靠性时，可能更多的依赖外部审计的意见。

监督系统隶属下的内部审计，通常是由监事会领导。这种模式虽然提高了内部审计在公司中的地位，使得内部审计人员的独立性增强，但由于监事会独立于董事会和经理层，不能直接服务于企业的各项经营决策，使得内部审计机构并不能很好地发挥其改善经营决策、提高经营效率的职能。在监事会下设内部审计机构可能难以实现内部审计目标。

通过对上述三种模式的探讨可以看出，相对于总经理和监事会，内部审计在隶属于董事会或董事会所属的审计委员会领导时，能更有效地发挥监督作用。但内部审计隶属于审计委员会并不意味着内部审计机构只是审计委员会下设的办事机构。内部审计机构作为企业管理的一个职能部门，同时还应该接受管理层的直接领导，这是由内部审计机构的职能定位所决定的。《中国内部审计准则（2006）》第25、26、27号分别规定内部审计机构和人员对组织经营活动的经济性、效果性和效率性进行审查和评价。内部审计部门接受审计委员会和管理层的“双重领导”，一方面使得内部审计进入股东、董事会、高管层等较高层级，提升内部审计机构的地位和作用，另一方面有助于内部审计工作渗透到各个业务层面，便于开展经营审计、绩效审计和内部控制审计。

二、审计委员会与管理层的潜在目标冲突

在内部审计机构对审计委员会和管理层双向负责的模式下，如何界定审计委员会和管理层对内部审计的职责范围与尺度是个难题。由于管理层和审计委员会的职能定位不同，两者对内部审计的目标存在差异。管理层出于业绩考核的需要，可能更多的追求短期获利的风险活动，因而他们并不愿意将大量的资金和人力投入到短期内难以见效的内部控制建设活动。而审计委员会负有对内部控制和财务报告信息质量的监督职责。美国《萨班斯-奥克斯利法案》规定审计委员会要从管理层和外部审计机构获取内部控制和会计信息的报告，对内部控制和财务报告信息负有主要监督责任。欧洲公司治理准则明确规定审计委员会在风险管理和内部控制方面负有监督职责。我国《上市公司治理准则》规定审计委员会审计公司的财务信息及其披露，并审查公司的内部控制制度。审计委员会成员为了履行监督职责，希望公司建立一个良好的内部控制体系，以防范业务风险，因而要求内部审计更多的关注与财务报告相关的内部控制。

已有文献研究表明，内部控制质量的提高能够减少财务重述发生的可能性。而财务重述行为的发生通常表明先前的财务报告存在重大错误或误导性信息，可能引发投资者对财务报告可靠性的质疑和对公司管理层的信任危机。审计委员会成员大多是独立董事，他们非常重视自身在资本市场上的声誉，财务重述行为的发生往往会损害他们的声誉。因而审计委员会成员会通过提升内部审计和外部审计的质量来避免公司发生财务重述行为。

内部审计机构通过评估和改进内部控制体系，能够减少甚至避免财务重述行为，从而增强审计委员会成员对财务报告的信赖程度。然而内部审计能否满足审计委员会的要求在很大程度上受到管理层对内部审计资源分配的限制。因此，审计委员会希望管理层将更多的内部审计资源投入内部控制活动。Carcello et al.（2005）通过调查发现，只有59%的首席内部审计师承认审计委员会审核内部审计年度预算报告。这表明审计委员会可能并不愿意去干涉内部审计年度预算和计划方案。管理层可能要求内部审计机构更多的从事经营审计和与咨询相关的增值，而不是短期内难以见效的内部控制活动。这些都表明管理层和审计委员会在内部审计机构的预算分配及活动上的目标并不一致。

为了平衡审计委员会和管理层对内部审计的目标差异，确保内部审计机构既能检查和评估内部控制系统的适当性和有效性，同时完成对各下属企业、同级部门的经营审计和绩效考核目标，内部审计机构提交给管理层的年度预算和审计计划必须经过审计委员会复核、批准；审计委员会要监督内部审计部门工作，并复核内部审计报告。

三、内部审计机构与管理层互动关系

在企业业务日趋复杂化和职权分散化的背景下，管理层通常需要通过内部审计来了解和评价各组织单位和员工经营活动的效率和效果。内部审计作为独立客观的内部咨询机构，能够增加公司价值，提升公司透明度，帮助管理层实现组织目标。

内部审计机构与管理层之间的良性互动是确保内部审计职能有效性的关键。Gilmour（1998）认为，当管理层把内部审计看作是改善控制的资源，而且能够经常和审计师保持交流，并且在企业宣传内部控制是每个人的职责时，更有利于内部审计工作的开展。管理层对内部审计工作的支持是内部审计部门实现自身价值的必要条件。一方面，管理层对内部审计反映的问题要引起重视并予以解决，以便充分发挥内部审计在改善经营管理，提高经济效益方面的作用；另一方面，管理层不应对内部审计活动加以不当干涉或限制，以便最大限度地保证内部审计工作的独立性和客观性。

四、内部审计机构与审计委员会的互动关系

在同属于监督机构的审计委员会和内部审计之间，审计委员会作为董事会专业委员会以及独立董事出任的做法决定着审计委员会具有较高的战略性和较低的业务渗透性（杨有红等，2006）。而内部审计机构作为管理部门，既要负责全公司的内部控制评价，还要审计各所属单位及同级部门，因而具有较强的业务渗透性。这种功能上的优势互补使得内部审计机构同审计委员会能够相互支持。

（一）审计委员会对内部审计机构的支持

审计委员会在监督和领导内部审计部门，并负责批准内部审计部门预算和工作计划时，能够使内部审计的职能得到进一步强化。在仅有管理层领导时，内部审计机构更多的是被定位为成本中心，内部审计机构主要负责经营绩效审计以及经济责任审计。审计委员会的介入使得内部审计机构开始更多的关注公司整体内部控制和风险管理情况。

同时，内部审计机构在接受审计委员会的领导时，向审计委员会或董事会报告工作能提高内部审计的地位和独立性，更有利于发挥内部审计的监督职能。IIA（2002）指出，内部审计师应当取得高级管理层和董事会的支持，这样他们才能取得审计客户的合作，并且在不受干扰的条件下开展工作。内部审计机构在发现与管理层相关的问题时，有权直接向审计委员会报告工作，这样能最大限度地确保内部审计的独立性。

（二）内部审计对审计委员会的支持

审计委员会为了有效地履行监督治理职责，需要内部审计在内部控制和风险管理方面的工作支持。由于审计委员会大部分成员都是非执行独立董事，这会导致审计委员会与管理层之间同样存在信息不对称问题（Raghunandan et al.，2001）。审计委员会的专家们虽然具备履行监督责任的能力，但他们只能通过召开定期会议和临时会议的方式来审核财务报告。在这种机制中，审计委员会存在明显的劣势：一方面审计委员会成员履职时间得不到充分保障，另一方面成员获取信息的渠道比较有限。这些都会导致审计委员会成员对财务报告信息质量和内部控制缺乏足够的了解，难以有效地发挥其监督作用，有时甚至流于形式。但是当审计委员会与内部审计功能相互融合时，审计委员会可以降低同管理层之间的信息不对称问题。内部审计机构作为常设管理机构，由于其积极实施内部审计和内部控制，对企业经营活动非常熟悉，便于查出内部控制存在的问题，提出的建议也更具有可操作性。因而审计委员会可以依靠内部审计获取内部控制方面的信息，缓解信息不对称问题。

Abbott（1988），Reed（1996）研究表明，内部审计人员凭借其独有的知识体系能够为审计委员会职能的发挥提供有效的支持作用。这种知识体系不仅涵盖了与风险管理、内部控制相关的专业知识，还包括了丰富的实务经验。前者通常从外部审计工作经验中所获取，而后者来源于内部审计人员对公司业务流程、内部控制实务的掌握。内部审计人员较强的专业素质使得他们有能力为审计委员会决策提供专业咨询意见。

内部审计对审计委员会的支持作用具体表现为以下三点：

首先，由于审计委员会成员大部分是独立董事，不直接参与经营业务，对控制环境缺乏足够的了解。而控制环境作为内部控制的基础，直接影响到企业内部控制的贯彻执行。内部审计部门作为职能机构，对企业文化、政策环境非常了解，可以通过正式/非正式会议，在审计委员会与管理层之间积极沟通，增加审计委员会对企业控制环境的了解。

其次，上市公司通常由内部审计部门负责对内部控制的有效性进行确认和评估，并出具内部控制自我评价报告。审计委员会可以通过内部控制自我评价报告来了解内部控制以及与财务报告相关的风险领域，并就一些重大内部控制缺陷同内部审计人员进行沟通，从而更好地发挥其对公司的内部控制、财务报告及其披露的监督作用。Gendron et al.（2004）研究表明，当管理层对内部审计报告中反映的问题积极改进时，审计委员会会增强对内部控制有效性的认可。

最后，审计委员会除了要确保内部控制系统是充分且有效外，通常还负责整个风险管理过程。对于尚未建立风险管理系统的公司而言，内部审计通过建立健全内部控制体系能够降低潜在风险，提升风险管理水平。

Beasley et al.（2009）对英国42家上市公司审计委员会的研究表明，审计委员会成员同时依赖于内部审计和外部审计来评估与财务报告相关的内部控制的有效性。外部审计和内部审计在内部控制和风险识别上具有天然的合作协调关系。在会计报表审计中，外部审计需要了解与财务报告相关的内部控制；在内部控制审计中，外部审计要对内部控制的有效性进行鉴定。对外部审计识别的内部控制重大缺陷，内部审计可以利用自身优势进一步调查。外部审计与内部审计分享风险和内部控制信息能够联合为审计委员会提供更多有价值的信息。

为提升内部审计机构同审计委员会的互动作用，必须建立内部审计与审计委员会的信息沟通机制。《上市公司治理准则》规定内部审计在审计中发现的重大问题有权直接向审计委员会报告。《中小企业板上市公司内部审计工作指引》则明确要求内部审计部门向审计委员会报告工作。内部审计机构要定期向审计委员会报告内部审计工作，并就一些重大事项通过正式或非正式会议形式与审计委员会成员沟通。

参考文献：

1.刘世林.基于决策、执行、监督分离治理模式下的企业内部审计地位探讨[J].会计研究，2010，（2）.

2.杨有红，赵佳佳.审计委员会职责再造与关系梳理[J].会计研究，2006，（5）.

3.Gerrit Sarens，Ignace De Beelde，Patricia Everaert，“Internal audit： A comfort provider to the audit committee”，The British Accounting Review ，2009，（41）.

4.Raghunandan， K.R.，Read，W.J.，D.V.，“Audit committee composition， gray directors， and interaction with internal auditing”，Accounting Horizons ，2001，12：（1）.