郑石桥 王纪颖

编者按：内部审计历史悠远，并且已经成为当代组织治理的主要基石，然而，实践中有许多困惑，例如，内部审计究竟应该干什么？哪些是内部审计业务？哪些不是内部审计业务？内部审计的边界在何处？实践中的上述困惑表明内部审计基本理论还缺乏系统化的研究。从本期开始，本刊将连续刊发内部审计基本理论研究系列文章。

【摘 要】 委托代理关系在奠定组织目标实现基础、提高组织营运效率效果的同时，产生了代理问题，并且放大次优问题和风险因素这些消极因素，消极因素会威胁组织目标的达成。为了应对这些消极因素，由三道防线组成的治理机制得以建立，内部审计可以在任何一道防线中发挥作用，在第一道防线中，作为制衡机制的组成部分，行使审核功能；在第二道防线中，作为监督机制的组成部分，行使监督功能；在第三道防线中，作为监视机制，行使监视功能。

【关键词】 委托代理； 代理问题； 次优问题； 风险； 内部审计

【中图分类号】 F239.44 【文献标识码】 A 【文章编号】 1004-5937（2017）01-0126-06

一、引言

内部审计具有悠久的历史。现实中，许多组织建立了內部审计机构，这些内部审计机构在组织目标的实现过程中发挥了重要的作用，甚至已经成为组织治理的基石。然而，也有许多的组织并没有建立内部审计机构，这些组织的治理及组织目标也有优秀的表现。那么，这其中的原因是什么？换言之，内部审计的需求因素究竟是什么？是什么因素驱动内部审计的产生及变迁呢？

现有文献主要从代理理论和管理需要理论的视角检验了内部审计需求。代理理论和管理需要理论能一定程度上解释内部审计需求，然而，同样有委托代理关系，为什么有些组织没有建立内部审计机构？同一个组织，为什么在不同的时期对内部审计需求会有差异呢？现有理论不能解释上述这些问题。本文以组织目标达成为基础，从抑制消极因素的视角提出内部审计需求理论框架。

随后的内容安排如下：首先是一个简要的文献综述，梳理内部审计需求相关文献；在此基础上，从组织目标出发，提出解释内部审计需求及变迁的理论框架；然后用这个理论框架来解释现实生活中的内部审计需求差异化现象；最后是结论和启示。

二、文献综述

内部审计需求因素也称为内部审计动因，从现有文献来看，主要从两个视角解释内部审计需求或动因，一是代理理论，二是管理需要理论[1-2]①。代理理论认为，内部审计是应对组织内部委托代理关系的代理问题而产生，这种观点是将审计一般的需求理论应用到内部审计。不少的文献以代理理论为基础，检验了内部审计需求。国外的文献中，Carcello，Hermanson & Raghunandan[3-4]发现，内部审计预算与公司规模存在正相关关系。Goodwin-Stewart & Kent [5]发现公司规模与内部审计规模显著正相关。Sarens[6]发现，公司规模越大、内部报告层次越多，内部审计规模越大，企业所有权结构的分散程度与内部审计规模正相关。Sarens & Abdolmohammadi[7]发现，企业所有权结构的分散程度与内部审计规模正相关。国内文献中，徐冰[8]发现，企业规模能合理解释家族企业对审计的需求。程新生和张宜[9]认为，公司规模扩大、管理层次增多，客观上需要建立内部审计制度。耿建新等[10]发现，公司的控股子公司与分公司数量越多对单设内审部门的要求越强烈。刘国常和郭慧[11]发现，审计规模与公司分支数量显著正相关。翟冬云和张吉岗[12]发现，内审规模与公司规模显著正相关。

管理需要理论认为，内部审计是源于管理的需要，是因为管理越来越复杂，所以，对内部审计有需求。作为内部审计职业创始人之一的维克多·布瑞克认为：“在内部审计师职业建立以前的岁月里，工商企业和其他各种组织的活动范围变得愈来愈庞大，愈来愈复杂。这些变化的到来，致使对控制和经营效率的管理更加困难。……愈来愈多的管理者发现，有必要任用一些专门的职员去检查和报告正在发生的事情，并对其原因进行深入的调查，这些专业人员就是内部审计人员”[13]。我国著名会计学家娄尔行主编的教材也有类似观点：“企业规模不断扩大的结果，控制跨度增加，经营地点分散，削弱了企业主管人员能够直接了解所属各级经营管理情况的能力，因而不得不依靠中层管理人员的汇报。这些汇报是否真实可靠、公正客观，企业的决策和各项规章制度是否得到贯彻执行、收到预期的成效，企业主管人员需要有鉴别能力的、能够作出客观评价的专门人员予以帮助。于是产生了企业内部审计”[14]。其他还有一些文献从管理需要视角论证内部审计需求。冯均科[1]提出职能缺位论与职能强化论来解释内部审计需求，职能缺位论认为，内部审计所实现的职能，是社会职能尤其是本经济单位管理职能的一部分，没有这种职能，与之有关的管理职能的履行可能会出现故障。职能强化论认为，社会给予各种专门工作的职能分工总是随着社会的进步而发生各种变化，对某些工作的需要得以强化，进而需要对该项工作的职能强化，内部审计正是如此。程新生和张宜[9]认为，经营领域的多元化及经营区域的广泛化，客观上需要建立内部审计制度。Wallace & Kreutzfeldt[15]发现，与未设立内部审计的公司相比，设立内部审计的公司，其行业竞争更为激烈、技术更新换代更快、外部监管更严格。Carcello，Hermanson & Raghunandan[3-4]发现，一些特殊行业的内部审计预算更高。

上述文献为我们认知内部审计需求奠定了良好的基础。然而，有限理性是否会引致内部审计需求呢？内部审计的产生与其促进组织目标达成是否存在关联？这些问题都需要做进一步的深入探究。本文以组织目标达成为基础，从抑制消极因素的视角提出内部审计需求理论框架。

三、理论框架

一般认为，审计源于委托代理关系，自利和有限理性是审计的主要需求因素[16]。这些因素当然是内部审计的需求因素。然而，任何一个组织都有目标，组织内部的每个部门、每个岗位都应该围绕组织目标来开展工作，与组织目标无关的部门或岗位没有存在的机会。内部审计也是如此。所以，从逻辑上来说，一定是内部审计在组织目标的达成过程中发挥了某种重要的作用，才导致了内部审计的产生。基于此，本文以组织目标达成为基础，从理论逻辑上来分析内部审计需求因素。

（一）影响组织目标达成的消极因素

影响组织目标的因素包括积极因素和消极因素，前者直接推进组织目标的达成，后者对组织目标达成产生负面影响，从而会抑制组织目标之达成。积极因素一般要直接参与组织产品或服务的生产，而内部审计并不参与组织产品或服务的生产，所以，难以从积极因素的路径来促进组织目标的达成，而是从抑制消极因素的路径来促进组织目标的达成。

那么，影响组织目标达成的消极因素有哪些呢？一般来说，大致有两类：一是源于人性自利和有限理性而产生的代理问题及次优问题，二是源于组织环境因素的风险。下面具体分析上述两类消极因素。

我们先来看代理问题及次优问题。组织的所有者和最高管理层之间形成委托代理关系②，然而，任何一个组织内部都必须实行一定程度的分层管理，在分层管理下，上一层级管理层必须将一定的资源和权力交付给下一层级管理层，同时，也会将一定的责任交付给下一层级。事实上，上一层级管理层和下一层级管理层之间形成了委托代理关系。如此一来，从组织的所有者开始，到组织分层管理的最基层，形成了一个委托代理链，如图1所示。

相对于组织的所有者和最高管理层的委托代理关系（本文称为原始委托代理关系），组织内部的委托代理关系是派生的（本文称为派生委托代理关系）。派生委托代理关系是组织内部专业化分工合作的基础，也是组织运行效率效果的基础。没有委托代理关系，组织内部所有的资源、权力、责任都集中于最高管理层，需要最高管理层对所有的事项都有深入的介入甚至事必躬亲，这无疑会影响组织运行的效率，最终导致组织无法达成其目标。也可以这样说，委托代理关系是人类社会最伟大的发明之一，没有委托代理关系，就没有人类社会的文明进步。

然而，委托代理关系能否真的按委托人的意图来运行呢？未必如此！委托代理关系中的人都是现实生活中的正常人。现实生活中的正常人具有两个典型的人性特征，一是自利，二是有限理性[17]。自利是指人会计算、有创造性、能寻求自身利益最大化，表现为经济人。有限理性是指人的行为是有意识的理性选择，但这种理性又是有限的，并不能在任何情形下都做出正确选择。具有上述特征的正常人会在其行为中显现出利己倾向，也不能保证不犯错误。然而，具有上述特征的正常人进入委托代理关系后，其上述人性特征会得以放大，从而产生代理问题和次优问题。

代理问题是代理人由于自利而带来的问题，也称为机会主义行为，包括逆向选择与道德风险，主要表现为代理人损害委托人的利益而谋取自己的利益，例如，卸责、以权谋私、弄虚作假、违规、受贿等，都属于代理问题或机会主义行为。代理人的机会主义行为为什么会发生？为什么能得以发生呢？这就涉及到机会主义行为的发生条件。主要是激励不相容、信息不对称、环境不确定性。由于激励不相容，代理人目标与委托人目标不完全一致，代理人会有自利的动机，会为了自己的目标而损害委托人的目标。但是，这种自利动机的实施是以信息不对称和环境不确定性为前提的。信息不对称是指代理人知道的许多信息，委托人不知道，代理人正是利用这种信息优势，在委托人不知情的情形下来谋取自己的利益。即使有信息不对称，如果代理人产出完全由代理人努力所决定，委托人可以通过产出来判断代理人是否存在机会主义行为，这种判断的前提是代理人的产出完全由代理人的努力所决定。然而，在环境不确定性的情形下，代理人努力和环境共同决定代理人的产出，并且无法区分这种产出中代理人努力和环境的份额，从而委托人也就无法根据产出来判断代理人是否存在机会主义行为。

在委托代理关系中，源于自利的代理人的机会主义行为会损害委托人的利益。同时，代理人的有限理性也会损害委托人的利益。一般来说，有限理性是普遍存在的，即使没有委托代理关系，也会出现有限理性。但是，在委托代理关系下，代理人的有限理性可以得到放大，从而产生更加严重的次优问题③。其原因是，在委托代理关系下，代理人更加放胆而为，因为其行为带来的成功是其绩效，而其行为带来的失败则主要由组织的所有者承担，所以，相对于非委托代理关系而言，在委托代理关系下，代理人更有可能敢于决策、敢于行为，从而更加容易发生错误行为。例如，医生往往不会贸然给家人诊断治疗，这其中的原因是医生知道对于疾病认知的复杂性，医生的任何决策都存在风险，由于亲情关系，其有限理性得以抑制。但是，对于他人，医生则一定程度上放松了对有限理性的这种抑制。组织中的管理人也一样，如果是自己设立或提供资源的组织，就如同自己的家人，任何行为都会谨慎，其有限理性得到抑制。当組织属于他人，自己只是代理人时，就如同医生为他人看病，代理人更有可能放胆而为，有限理性可能得以放大，从而次优问题有可能严重。

然而，影响组织目标达成的消极因素中，许多并不是由委托代理关系带来的，即使没有委托代理关系，组织环境中也存在一些影响组织目标达成的消极因素。作为组织的管理者，其主要责任是达成组织目标，所以，如何达成组织目标，是管理层需要关注的首要任务。即使没有委托代理关系，任何一个组织要实现其目标，都会受到一些因素的威胁，这些威胁因素也就是风险。应对这些风险是组织各级管理层的重要职责之一。当然，代理问题和次优问题也会影响组织目标之达成，从某种意义上来说，也是广义风险。不过，此处的风险是代理问题和次优问题之外的消极因素，可以称为狭义风险，这些因素对组织目标有威胁，既可能来源于组织外部，称为外部风险因素，也可以来源于组织内部，称为内部风险因素。总体来说，威胁因素都来源于组织环境，正是组织环境的竞争性、变动性、复杂性使得组织目标可能不能达成。消极因素虽然不是源于委托代理关系，然而，在委托代理关系下，由于代理人的自利以及有限理性的放大，组织环境带来的风险因素对组织目标的达成可能产生更为严重的影响，从而使得委托人需要更加关注代理人如何应对这些风险因素。

总体来说，委托代理关系在奠定组织目标实现基础、提高组织营运效率效果的同时，也带来代理问题，也可能放大次优问题和风险，具体表现为消极因素，这些消极因素会影响组织目标的达成，进而损害委托人的利益。

（二）应对消极因素的内部治理机制

一般来说，委托人是组织的设立者，组织目标的达成与委托人利益具有一致性。委托人作为理性人，当然会预期到组织目标达成中的上述消极因素。为此，他会推动建立相应的治理机制来应对这些消极因素。一般来说，基于成本效益原则和可持续性原则，应对消极因素有三道防线，如图2所示。

第一道防线就是消极因素的发生地点，也就是具体的业务流程，显然，消极因素发生在何处，就应该首先在何处应对消极因素。对于一个有目标的组织来说，业务单元和职能部门是消极因素的发生地，因此，也就成为消极因素防线的第一道防线。第一道防线用于应对消极因素的措施是多种多样的，不同的组织会有不同的具体应对程序和方法。但是，一般来说，应对措施可以分为四类：激励机制、制衡机制、透明机制、道德机制。激励机制是通过一些制度安排，降低代理人的激励不相容程度，抑制代理问题的动机，促使其按组织目标所要求的方向来努力工作。制衡机制是在业务流程中加入一些措施，通过这些措施来阻止消极因素，这些措施是业务流程的必要步骤，从而能对消极因素发挥稳定且可靠的抑制作用。透明机制是将信息让相关人员知悉，从而减少因为信息不对称而产生的消极因素。道德机制是提升相关人员的道德水准，通过道德水准的提升，相关人员会主动抑制其对组织目标不利的行为。

通过第一道防线，大量的消极因素得到抑制，但是，一般来说，不可能完全消除，从而产生剩余消极因素，这需要由第二道防线来应对。第二道防线通常不涉及组织内部具体的业务职能或业务活动，由独立于第一道防线之外的内部组织来行使，是在第一道防线的基础上，以系统的方式对第一道防线的工作做再次检查，以发现第一道防线未能抑制的消极因素。一般来说，经过第二道防线之后，消极因素已经降低到可以容忍的程度，否则，组织目标就难以达成。

第一道防线和第二道防线尽管有分工，但都是直接应对消极因素。第三道防线则不同，它不直接应对消极因素，它的功能是确保前面两道防线持续有效。设想一下，如果前面两道防线出现了设计缺陷或执行缺陷，在没有可靠纠错机制的情形下，则这种缺陷可能难以得到纠正，从而这两道防线的功能也就没有基础了。要持续可靠地抑制消极因素，第一道防线和第二道防线必须持续可靠地运行，而要持续可靠地运行，则必须要有纠错机制，及时地发现第一道防线和第二道防线的缺陷，这个纠错机制，就是第三道防线。所以，第三道防线的主要功能是确保前面两道防线持续可靠地运行，其主要工作方式是监视前面两道防线，及时地发现其缺陷，并推进对缺陷的整改。

（三）内部审计定位

在应对消极因素的三道防线中，内部审计定位于何处呢？在图2所示的消极因素应对机制中，内部审计可以在任何一道防线中发挥作用，也可以同时在三道防线中发挥作用。

在第一道防线中，作为制衡机制的组成部分，行使审核功能。注意，审核只是对其他人履行过的职能进行检查，本身不履行新职能，只是一种纠错机制。例如，现实生活中，一些单位对工程款实行先审计后付款的制度，内部审计部门对申请付款的工程结算进行审核，检查工程结算是否符合相关规定，付款申请是否符合相关合约及有关规定，在此基础上，得出审核结论。需要特别注意的是，内部审计作为制衡机制的组成部分，只是对他人已经完成工作的再次检查，本身不履行其他功能。例如，上述工程款支付中，内部审计部门是對他人已经编制的工程结算进行审核，本身并不编制工程结算，如果编制了工程结算，就不是检查功能了，而是履行了新职能，这也就不是在履行审计职能了。

内部审计作为制衡机制的组成部分，并不表现内部审计具有事前审计的功能，这里的审计，还是事后审计，是对已经编制完成的工程结算进行审计，如果工程结算没有编制，也就无法审计。当然，相对于工程款项支付的付款程序来说，工程结算审计是事前审计。但是，审计并未审计付款这个程序，而是审计工程结算。

在第二道防线中，作为监督机制的组成部分，行使监督功能。第二道防线是在第一道防线的基础上，对消极因素进行再次检查，以发挥抑制消极因素的作用。这种定位通过两个路径发挥对消极因素的抑制作用，一是通过对第一道防线已经完成工作的再次检查，以发现第一道防线的漏网之鱼；二是形成对第一道防线的威胁机制，因为第一道防线知道后面还会有人检查自己的工作，所以，在工作中会更加谨慎，从而能防止有意或无意的错误，更加有效地抑制消极因素。一般来说，第二道防线的这种监督不会影响第一道防线的业务流程，而是在第一道防线履行完全部业务流程之后，内部审计作为监督者再次做事后检查，这与业务流程中的制衡式检查不同。

在第三道防线中，作为监视机制，行使监视功能。内部审计作为第三道防线的主要功能是确保前面两道防线持续可靠地工作，主要工作路径是监视前面两道防线，及时发现这两道防线的缺陷并促进整改。现实生活中，许多组织的内部审计部门主要履行内部控制评价职能，及时发现内部控制缺陷并促进整改，这种职能定位，就是定位在第三道防线，监视内部控制。当内部审计定位于第三道防线时，就不直接应对消极因素，而是监视直接应对消极因素的第一道防线和第二道防线，是对控制的再控制。

一般来说，上述三种定位并不矛盾，内部审计可以同时定位在上述三种功能中。无论定位于何处，都是组织内部各层结构的一个节约交易费用的制度安排，都有助于解决组织内部的一些消极因素，促进组织目标之达成。究竟如何定位，还要从应对消极因素的治理机制整体构造来考虑，人们并不为审计而审计，只是审计机制符合成本效益原则时，才会选择审计机制。然而，审核功能、监督功能、监视功能虽然在应对消极因素中的定位不同，但是却有共同的技术属性，这就是判断特定主题是否符合既定标准。在审核功能中，判断相关交易或事项的处理是否符合关于该交易或事项的相关规定；在监督功能中，同样是判断已经完成的相关交易或事项的处理是否符合关于该交易或事项的相关规定；在监视功能中，判断第一道防线和第二道防线是否存在缺陷，而缺陷判断及认定是以相关的既定标准为标杆的。总体来说，审核功能、监督功能、监视功能的共同技术属性是判断特定主题是否符合既定标准，这种技术属性也就是鉴证。

关于内部审计上述定位，还有三个问题需要说明，第一，审核、监督与监视是何关系？第二，审核、监督与监视与确认和咨询是什么关系？第三，审核、监督与监视与组织增值是什么关系？关于第一个问题，审核（Examine）是在业务流程中对其他人履行过的职能进行检查，是业务流程中的一个环节，是制衡机制；监督（Supervise）是在业务流程完成之后，对其他人履行过的职能进行检查，不是业务流程的一个环节，是监督机制；监视（Monitor）是指消极因素应对机制（内部控制）的评估，发现缺陷并促进整改，是监视机制。关于第二个问题，国际内部审计师协会（IIA）提出的确认和咨询，是对控制、风险及治理过程的确认和咨询，这类似于本文的监视，也就是通过确认来评估控制、风险及治理过程，以发现缺陷；通过咨询来促进对这个缺陷的整改。关于第三个问题，IIA提出增值型内部审计，其重要路径是优化价值链，而控制、风险及治理过程是价值链的重要要素，内部审计通过对控制、风险及治理过程的确认和咨询，就能发挥增值作用。所以，监视功能是增值型内部审计的体现。

四、现实中的内部审计需求差异化分析

本文以组织目标达成为基础，从抑制消极因素的视角提出内部审计需求理论框架。下面，用这个理论框架来解释现实中的内部审计需求差异化，以一定程度上验证这个理论框架。

既然内部审计是应对消极因素的治理机制之组成部分，可以发挥审核功能、监督功能、监视功能，为什么有些组织没有内部审计机构？根据本文的理论框架，可能的原因有四个。

第一，该组织消极因素不严重，已经处于委托人可容忍的水平，所以，无须再建立消极因素应对机制。由于没有消极因素应对机制，当然也就没有内部审计机构了。

第二，该组织消极因素较为严重，但是，该组织的最高管理层并不在意这些消极因素，并不认真地应对这些消极因素，从而也就没有建立有效的消极因素治理机制，此时，也就可能没有内部审计需求。

第三，该组织消极因素较为严重，该组织的最高管理层也在意这些消极因素，并且很认真地建立消极因素应对机制，然而，在最高管理层看来，在多种可选择的应对机制中，其他机制已经较好地发挥功效了，相对而言，内部审计机制并不符合成本效益，所以，没有将审计机制纳入消极因素应对机制的整体框架中。

第四，只有当组织消极因素较为严重，该组织的最高管理层认真地建立消极因素应对机制，并且，在多种机制中，组织的最高管理层认为，内部审计机制符合成本效益原则，能保持独立性，此时，内部审计才会成为有效需求。

五、结论和启示

内部审计具有悠久的历史，现实世界中，内部审计呈现差异化，内部审计为什么会出现？内部审计为什么会再现差异化？这些问题归结为内部审计需求。代理理论和管理需要理论能一定程度上解释内部审计需求。本文以组织目标达成为基础，从抑制消极因素的视角提出内部审计需求理论框架。

任何组织都有目标，影响其目标达成的因素包括积极因素和消极因素。影响组织目标达成的消极因素有两类，一是源于人性自利和有限理性，在委代理关系中，自利人可能产生代理问题，有限理性人可能产生次优问题。即使没有委托代理关系，组织环境中也存在一些影响组织目标达成的消极因素。由于这些因素会威胁组织目标的达成，所以称为风险。在委托代理关系下，由于代理人的自利以及有限理性的放大，组织环境带来的风险因素对組织目标达成的威胁可能被放大。

为了应对消极因素，内部治理机制得以建立，通常包括三道防线，第一道防线就是消极因素的发生地点，应对措施包括激励机制、制衡机制、透明机制、道德机制；第二道防线由独立于第一道防线之外的内部组织来行使，是在第一道防线工作的基础上，以系统的方式对第一道防线的工作做再次检查，发现第一道防线未能抑制的消极因素，主要是监督机制；第三道防线的主要功能是确保前面两道防线持续可靠地运行，其主要工作方式是监视前面两道防线，及时地发现其缺陷，并推进对缺陷的整改。

在应对消极因素的三道防线中，内部审计可以在任何一道防线中发挥作用，也可以同时在三道防线中发挥作用。在第一道防线中，内部审计作为制衡机制的组成部分，行使审核功能。在第二道防线中，内部审计作为监督机制的组成部分，行使监督功能。在第三道防线中，内部审计作为监视机制，行使监视功能。审核功能、监督功能、监视功能的共同技术属性是判断特定主题是否符合既定标准，这种技术属性也就是鉴证。

现实世界中，内部审计需求差异化的原因主要包括三个方面，一是消极因素的严重程度，二是委托人对消极因素的在意程度，三是各种治理机制的成本效益不同，进而导致其在治理机制组合中的地位不同。上述三方面的因素组合起来，导致内部审计需求差异化。

本文的研究启示我们，内部审计虽然具有一些共同的需求因素，但最终还是多因素共同驱动的结果，每个组织需要从本组织的委托人需求、组织环境特征及各种治理机制的成本效益出发来设计本组织的内部审计制度，适宜的内部审计制度才能是有效的制度。

【参考文献】

[1] 冯均科.内部审计动因初探[J].当代财经，1996（12）：43-46.

[2] 李曼，施建军.企业内部审计需求动机研究：文献综述与未来发展[J].财贸研究，2012（6）：132-138.

[3] CARCELLO J. V，HERMANSON D R，RAGHUNANDAN K.Factors associated with U.S.public companiesinvestment in internal auditing[J].Accounting Horizons，2005，19（2）：69-84.

[4] CARCELLO J V， HERMANSON D R，RAGHUNANDAN K.Changes in internal auditing during the time of the major US accounting scandals[J].International Journal of Auditing，2005，9（2）：117-127.