第三章 了解内部审计活动在组织的治理中的作用(10-20%)
概述
这一章主要包括四个部分的内容,都是和2100工作标准有关的具体内容。分别是 主要内容: 2100工作性质 2110风险管理 2120控制 2130治理
风险管理、控制是重点内容。要求理解治理的内涵。治理在第六章还会有更为具体详细的介绍。
一、 公司治理问题的内涵
概念辨析:所有权,经营权,控制权,
公司治理的英文是“corporate governance”,国内也翻译成“公司治理结构”、“公司治理机制”等。“公司治理”概念最早出现在1980年代初期。
狭义的公司治理解决的是因所有权和控制权相分离而产生的代理问题,它要处理的是公司股东与公司高层管理人员之间的关系问题。
公司治理结构的核心是指,在两权分离的情况下,所有者对经营者的监督和激励的问题(即委托代理问题)。
广义的公司治理可以理解为关于企业组织方式、控制机制、利益分配的一系列法律、机构、文化和制度安排,它界定的不仅仅是企业与其所有者之间的关系,而且包括企业与其所有利益相关者之间的关系
对于股东之间的关系在公司治理中的重要性却常常被忽视。 股东之间的关系在公司治理中的重要性
在多数国家的大公司中,最基本的代理问题并不是外部投资者和管理者之间的关系问题,而是外部股东和控制性的大股东之间的利益冲突问题,因为控制性股东几乎能够全部控制管理者。所以,公司治理要解决的就是三个方面的问题:第一,解决经营者和股东之间的委托代理问题,从而保证股东利益最大化的问题;第二,如何协调所有者之间关系的问题,特别是保护中小投资者不被大股东侵犯的问题;第三,在股东追求利益最大化的情况下,协调利益相关者之间关系的问题。
二、公司治理问题产生的条件:
在以下两个条件成立的情况下,公司治理问题将产生。第一,组织成员之间存在着代理问题,或者说是利益冲突问题;第二,存在着交易成本,从而代理问题不能通过一个完全合同来解决。
三、 公司治理可以看作是对初始合同中没有特别规定的问题作决定的一种机制。即使是在一个小型封闭的企业里,公司治理问题也是存在的。但公司治理问题在一个大型的公众公司里将更加重要。在一个典型的英美公众公司拥有众多的小股东。与小型私人控制的企业不同,
公众公司存在的两个问题
第一,股东虽然还是拥有剩余控制权(即投票权),但分散的小股东无法执行日常的公司管理。第二,分散的小股东缺乏监督管理者的内在动力,即不愿意监督管理者。原因是,监督是一个公共物品。如果某一个股东的监督导致公司业绩改善,那么所有的股东都将受益。在监督是有成本的情况下,每一个股东都有搭便车(freerider)的愿望。当然,最终的结果是可想而知的,如果所有的股东都这样想,结果监督将无法实现。在股权分散的情况下,公司治理首先要解决所有者和经营者之间的委托代理问题。在一个大型的公众公司里,股东、经理人员、债权人和工人各个企业要素的提供者之间的关系需要治理规则来平衡。
企业作为一个主体,它与企业外部各种力量(如上下游企业、社区、政府等)之间也需要一种平衡。公司治理就是要处理这些利益相关者(stakeholders)之间的关系问题。利益相关者包括企业内部的股东、经理人员、债权人和工人,和企业外部的相关上下游企业、社区、政府。企业内部的利益相关者关系涉及到企业最优所有权安排问题。企业与外部利益相关者之间的关系涉及到一个外部性问题。如何处理企业利益相关者之间的关系,不仅仅是一个经济问题,它还是一个法律与社会问题。 三、公司治理机制
在所有权和控制权分离的情况下,可能出现严重后果:公众公司的经理将会以损害股东利益(我们假设,股东仅仅追求利润和公司市场价值的最大化)为代价,来追求自己的利益。如,经理可能会让自己得到过高的报酬或者在职消费。为了能提高自己的权力,他们可能会执行一些没有利润的投资,还可能会建造自己的“企业帝国”、“代理人问题”。 公司治理的一些机制,它们包括,董事会结构、股权结构、敌意收购和公司的资本结构。所有这些公司治理的机制都是有用的,但是它们本身也有其自身的局限性。 1.董事会结构
在一个公众公司中,对经理层的监督是依靠董事会来执行的。所有者首先选出董事会来代表他们的利益,然后董事会再对经理层实施监督,并对经理层的主要决定进行批准。董事会的结构对公司治理产生重要的影响。董事会结构首先表现为执行董事和非执行董事(或外部董事)的比例。对于董事会中内部董事和外部董事的结构问题,一般认为,外部董事在监督管理者中扮演着重要的角色。(执行董事时内部董事持股董事,非执行董事及外部董事及非持股董事)把外部董事纳入到专门的委员会中能降低管理者串谋以及掠夺股东利益的可能性。董事会结构的另一个表现形式是董事会内部的职能分工。根据董事会的职能和作用,董事会内部通常划分为执行委员会、审计委员会、报酬委员会、提名委员会、预算委员会、筹资委员会等等。这些委员会具有各自独立的功能和人员。委员会的存在对于董事会很好地发挥作用是有帮助的。第一,它明确了董事会的各种职责,提高了董事会效率。第二,利于董事会直接参与公司的重大决策,并获得经营信息。第三,利于非执行董事对公司事务的参与。对于加强董事会监督作用,一般认为解决部分问题的一个重要手段就是构建良好的报酬制度,董事的股票所有权能够把董事的利益与股东利益协同起来。一些实证研究表明,高绩效公司的董事比差绩效公司的董事持有更多的股票。
2.股权结构:所有权集中的作用
(大股东会危险小股东的利益来谋取自身的利益,大股东与经理人之间产生第三方代理问题)
既然小股东没有动力去监督经理并实施代理权斗争,那么,改进公司治理的一种有效手段就是确保公司中有更多的大股东。所以,为了解决投资者搭便车的问题,应使股权适当集中于大股东手中。当控制权集中于少数投资者手中时,由于占有企业利益的大部分,他们比
控制权(如投票权)分散在很多投资者手中时更容易采取一致行动。大股东有动力去监督经理,避免搭便车问题。大股东还有足够多的投票权对经理施加压力甚至罢免经理。也就是说,大股东通过共同利益最大化和对企业资产的控制来解决代理问题。如果一个公司有一个100%的股权持有者,那么也就不存在所有权和控制权的分离。然而,这样的结果也不是最理想的,至少上市可能带来的收益,就没有了。在一个大股东的持股比例小于100%的情况下,代理问题将会减少,但是并不能消除。第一,大股东还是不能完全地兼顾经理和干涉公司内部事务,因为他们不可能完全地得到监督可能带来的收益。第二,一个大股东将会使用它自己的投票权来为自己牟利,这常常是以损害小股东和利益相关者的利益为代价的。因此,一个好的公司治理机制不仅要保护大投资者的利益,而且要保护小投资者的利益。另外,在大股东也是一个大的机构的情况下,这个机构的股东还雇佣一个经理来代表他,将产生一个新的委托代理问题。 3.敌意收购:
(某公司目前管理下的价值为C,改善管理后价值为C+P,这个人可能会收购公司的所有股权)
公司控制权市场的作用为了理解敌意收购是如何运行的,我们考虑一个公司,这个公司在目前管理的情况下的价值为C。但是,某人认为如果管理被改善,他的价值为C+P,所以,这个人可能会收购公司的所有的股权,成本是C,然后再引入新的管理层,并得到一个资本利得的收益P。但是,在现实的情况下,敌意收购的收益可能不如上面假设的情况那么多。因为,第一,收购者不仅会面临来自其他收购者的竞争。一个收购者的出价将会使其他人意识到以下的事实,即这个公司的价值被低估了。这样,一个收购的斗争将会开始,公司的价格将会上升,直至接近C+P。这个收购的斗争将减少收购者的收益。第二,收购者还将面临来自现任经理的竞争。假设,公司经理目前存在偷懒行为,也就是说,公司没有在一个最高的效率下运行。公司经理的一个战略是,在收购计划出台后,公司经理将会减少偷懒行为,提高公司的运行效率。例如经理层可能会引入负债,承诺自己不会在将来建造企业帝国(见公司治理的另一个机制——资本结构)。这个行为将会提升公司的价值,并因此使得收购者花费更多的钱来控制公司。虽然股东会在这些行动中收益,但是收购者的利润将降低。
4.资本结构
以上讨论的几种公司治理的机制,都涉及到股东或者他们的代表的监督和投票。另外一个非常重要的问题是公司经理的机制是公司的资本结构,特别是公司对负债的选择。如果公司引进负债,那么,这将限制无效率管理的发生,至少在经理层想还债的情况下是这样的。因此,债务将成为一个束缚和承诺的工具。例如,债务使得以下情况成为可能,即管理层将不会进行大量无效的投资来建设自己的企业帝国。债务的引进,可能是公司的初始所有者在公司上市前引进的结果,也可能是积极的股东在上市后引进的结果,也有可能是公司的经理
在应付外来敌意收购的情况下采用的。
3.1 工作性质
2100:工作性质-内部审计活动运用系统化、规范化的方法来评价并致力于风险管理、控制和治理过程的改进。
IIA实务公告2100-1:工作性质
1.内部审计工作的范围是围绕系统化、规范化的方法,评价和改进风险管理、控制和治理过程的适当性和效果,以及评价和改进所分配任务完成的质量状况。 对组织现有的风险管理、控制和治理过程的适当性进行评价,目的是对这些过程按设想的发挥作用提供合理的保证,使组织的目标和目的得以实现,并为改进组织的高效运营工作
提出建议。
高层管理者和董事会还可以对被审计的工作范围和活动提供总体的指导。
2.如果管理层以某种方式计划、设计的风险管理、控制和治理过程,能够为高效率地、经济地实现组织的目标、目的提供合理的保证,那么,风险管理、控制和治理过程就是适当的。
整个管理过程的主要目标是要实现:财务和运营信息的相关性、可靠性和可信度;既有效果又有效率地使用组织的资源;组织资产的安全保障;遵守法律法规、道德和商业规范以及合约;确认风险暴露并利用有效的策略控制风险;为运营工作或程序设定目标和目的。
管理层定期审核组织的目标和目的并修改其风险管理、控制和治理过程,是为了适应内部或外部环境的变化。
控制可以是预防性的、检查性的,或者是指导性的。控制系统的概念是组织用以实现其目标和目的的所有控制要素和活动的综合。
7.内部审计的综合工作范围应对管理层的以下工作提供合理的保证: 风险管理系统的效果;
内部控制系统的效果和效率; 治理过程的效果。
8. 【例题】董事会、管理层、外部审计师以及内部审计师在创建适当的控制过程中起着重要作用。高层管理者的首要职责是( )。 A.建立和保持组织文化;
B.审核财务和运营信息的可靠性和完整性;
C.确保外部审计师和内部审计师监督风险管理和控制过程的管理; D.实施和监督由董事会设计的控制。 [答疑编号811030105] 【答案】A
【解析】A管理层计划、组织和领导实施大量的活动以合理确保组织的目标和目的得以实现。为适应内外部环境的变化,管理层会定期检查组织的目标和目的并修订其程序。管理层也建立和保持组织的文化,包括倡导控制的道德氛围(实务公告2100-1)。
选项B不正确,内部审计师有责任评价控制的适当性和有效性,包括那些与财务和运营信息的可靠性和完整性有关的控制(标准2120.A1);选项C不正确,管理高层的作用是监督风险管理和控制过程系统的建立、管理和评估(实务公告2120.A1-1);选项D不正确,虽然董事会有监督职责,但通常不涉及业务的细节。
9. 【例题】控制可根据其所实施的职能来分类,比如,检查性控制、预防性控制、或指导性控制。以下哪项是指导性控制( )。 A.月度银行对账单; 检查性控制
B.在专用账户上对所有的支出进行双重签名; 预防性控制 C.当天记录发生的每项交易; 预防性控制
D.要求内部审计活动的所有成员都是注册内部审计师。 [答疑编号811030107] 【答案】D
【解析】要求内部审计活动的所有成员都是CIA是指导性控制;控制的设计是引起或鼓励理想事件的发生(实务公告2100-1)。这项要求增强了内部审计活动的专业性和专家能力。
选项A不正确,月度银行对账单是检查性控制;选项B不正确,在专用账户上对所有的支出进行双重签名是预防性控制,设计这项控制是为了防止不理想的事件;选项C不正确,将当天发生的每项交易记录下来是预防性控制,设计这项控制是为了防止不理想事件。
10.效率的执行是以准确、及时和经济的方式完成组织的目标和目的。经济的执行是采用与风险暴露相当的最少的资源(如,成本)来完成组织的目标和目的(实务公告2100-1)
3.2 风险管理
2110- 风险管理- 内部审计活动应该帮助组织识别并评价重要的风险暴露,并促进风险管理和控制系统的改进。
2110.A1 - 内部审计活动应该监控和评价组织风险管理系统的效果。
2110.A2 - 内部审计活动应该评价与组织的以下方面的治理、运营和信息系统有关的风险暴露:财务和运营信息的可靠性和完整性;运营的效果和效率;资产的安全保障;法律、法规以及合同的遵守情况。
2110.C1 - 在咨询业务期间,内部审计师应该关注的风险要和业务目标保持一致,并且应该警惕存在的其他重大风险。
2110.C2 - 内部审计师应该将在咨询业务中对风险的了解结合到发现和评价组织的重大风险暴露的过程中去。
IIA实务公告2110-1:评估风险管理过程的适当性 风险管理是管理层的关键职责。管理层为实现其业务目标,应确保组织具有合理的风险管理过程,且能发挥作用。董事会和审计委员会对于风险管理过程的存在性、适当性、有效性方面负有监督角色。内部审计师应协助管理层和审计委员会。董事会对组织的风险管理和控制过程负责。
对组织的风险管理过程进行评估和报告通常是审计的重点。 每个组织都可以选择用以执行其风险管理过程的特定方法。内部审计师应该确定所有参与公司治理的关键群体和个人(包含董事会和审计委员会)都了解这些方法。内部审计师必须使自身相信组织的风险管理过程,关注5个关键目标,从而形成风险管理过程整体适当性的意见。确认并优先考虑业务战略和活动带来的风险;管理层和董事会已确定组织可接受的风险程度,包括为实现组织的战略目标而接受的风险;设计并执行风险缓解活动,将风险减少或在其他方面将风险管理在管理层和董事会可以接受的程度;开展持续的监控活动,定期重估风险和控制的效果,从而管理风险;董事会和管理层定期收到风险管理过程的结果报告。组织的公司治理过程应定期向利益关系方沟通风险、风险策略和控制情况。
内部审计师应该有责任就组织的风险管理流程的充分性向董事会与管理层提供确认。这种责任要求他们对风险管理流程是否充分到足以保护组织的资产、声誉与持续的经营形成意见。为了上述目标,内部审计师必须确信组织的风险管理流程是否着眼于5个关键目标,即:(1)找出业务战略与活动领域的风险并进行优先排序;(2)管理层和董事会已经确定了组织可以接受的风险水平,包括为实现组织的战略计划而接受的风险;(3)设计并开展了风险降低活动,将风险降低至管理层和董事会可以接受的水平上;(4)开展持续的监督活动,定期对风
第三章了解内部审计活动在组织治理中的作用
