最近结合着COSO和三道防线理论,谈到了一些内部审计的内容,大家都知道,内部审计是企业风险管理的第三道防线,在防控风险的职能中是必不可少的一环。
在大风控的历史文章中,有多篇文章专门谈到了内部审计工作,如在2018年有一篇谈到了内部审计在企业的定位:内部审计灵魂缺失的年代,如何准确定位内部审计在企业的风险管理中职能?
在最近解读新版COSO内部控制体系中,第五篇解读了内控框架中的控制环境的内容,其中谈到控制原则中有好几个都是强调董事会和管理层的职责,里面特别强调了董事会为了更好的实施监督工作,由内部审计应该承担的内容,保持内部审计的独立性和专业性对于监督工作的履行十分重要。
中国企业目前还有很多单位没有实现内部审计向董事会直接汇报的机制,之前,我们遇到这种情况都会提出建议,建议为了保证内部审计工作的独立性,内部审计部门应该直接向董事会汇报。我之前也将内部审计的独立性称为其职能发挥的灵魂。
那么,今天我们再问同样的一个问题,内部审计部门应不应该向董事会(包括向其下设的审计委员会)直接汇报?
按照目前全球广泛参考和采用的以美国模式为主建立起来的风险管理、内部控制体系的理论框架,这个回答无疑是肯定的。
但是,在中国目前的公司治理结构的情况下,这个答案还不太好回答。
为什么?
我们今天来跟大家解释下,从更高的角度来看一下这个问题,这要涉及到一个国家的公司治理到底选择了什么的模式。
大家知道按照法律体系来看,全球可以分为不同的法系,我们比较熟知的是海洋法系和大陆法系。
海洋法系也称英美法系、普通法系,以英国和美国为主要代表。
大陆法系以德国和法国为主要代表,包括日本,中国也属于广义上的大陆法系。
不同的法系之间,对于公司治理的设计是不同的,比如说,海洋法系中只有股东大会、董事会和高级管理层的设置,并没有监事会。
而我们熟悉的“三会一层”,则是大陆法系的公司治理设计要求。
那有人会问,海洋法系中没有监事会,董事会既行使决策权又履行监督权,如何实现对董事会的监督?
答案是独立董事制度。
为了让董事会更好的具备独立性和专业性,防止内部人控制,美国曾大力发展独立董事制度,特别是在2000年以后发生了安然、世通等一些列的造假案件之后,2002年颁布的《萨班斯法案》中更是强制要求,在美国上市的公众企业董事会中至少包含2/3的独立董事,很多公司的独立董事更是出现了普遍超过90%的情况。
对于履行监督职能的审计委员会,更是100%都要求是外部董事,以保证其监督的独立性。
那你可能会问,在德、法、日这些大陆法系中设立了监事会之后,监事会的监督职能真能实现吗?
能!
我们知道在中国的公司法中,董事会与监事会是平级的,都对股东大会负责,但实际上监事会的权力会弱的多,特别是董事会中有这么多执行董事的情况下。
但在德国的公司治理中,监事会是高于董事会的,董事会要向监事会负责,即所谓的“双层制”,这个时候监事会监督董事会和高级管理层就容易的多。
日本监事会虽然和董事会为平级,但其职能权力要更具体实在,职责履行要充分的多。
中国的公司治理结构中,我们既学习大陆法系引入了监事会的设置,又学习了海洋法系引入了独立董事制度。
但是运行的如何?
从监督上讲,起到的作用都有限,外部董事和监事会监督职能被弱化的现象在中国是普遍存在的。
这是一个遗憾,也是探索建立中国特色现代企业管理制度的成本。
这两种方式是不是必须要任选其一?
也不是,如果我们真正能吸收到两种治理方式的优势,融合中国的特殊企情进行改造完善,那将是一大创新。
董事会、监事会、高级管理层如果切实可以履行好决策权、监督权、经营权,其实是一个比较完美的结构。
外部董事制度有其优越性,最主要的是吸收专业人才,体现专业性,而不是体现独立和监督的职能,也就是这些外部董事要真正起到赋能董事会做出更佳决策的作用,如果大家记得我之前改造的三道防线理论,在三层价值网理论中,独立董事的作用应该属于第二层“能力层”,和我们风险管理倡导的定位是类似的。
体现独立性和监督权的职能要交给监事会,所以,从中国目前的治理结构的角度来讲,审计委员会应该设在监事会,履行监督权是比较顺畅的。
那是不是内部审计部门需要直接向治理层董事会或监事会下设的审计委员会汇报呢?
也不一定。
其实,任何一层组织机构都需要有平级监督职能的嵌入,为组织机构的上一级管理者或监督者反馈信息服务,所以,内部审计角色其实一直履行着两种职责:
一种是为经营管理层针对经营活动进行监督反馈;
另外一种是为上级审计机构对公司的整体监督情况和信息进行反馈(包括对经营管理层的监督)。
这也是目前一切冲突和矛盾的来源,因为职能履行起来存在一定利益相悖点。
所以,这就需要界定下内部审计的主要职责是为谁服务,才能确定它向谁直接汇报更好一些。
以我个人意见,我还是希望未来中国企业可以按下面这样的结构来设计监督职能在公司治理中的位置:
由于刚才谈到内部审计的两种监督职责的利益相悖问题,其实这个问题由来已久,一直没有太好的解决方案,我们可以有两个建议来解决:
1、设计矩阵管理的方式,鉴于内部审计为经营管理层服务为主要内容,其直线汇报可以向经营管理层,但保留一条虚线汇报到审计委员会。
2、另外设计一个虚拟的审计中心,承担审计委员会对经营管理层监督的实施落地,可以按照项目制、期限制抽调审计资源组成虚拟审计中心小组,期间绩效由审计委员会来考核。