公司治理下的内部控制与审计

1 / 17 公司治理下的内部控制与审计 提要本文回顾 分析 了英国公司治理和内部控制 发展 历史 上三个具有里程碑意义的 文献 -卡德伯利报告、哈姆佩尔报告和特恩布尔报告，揭示了英国内部控制发展的四大趋势，并结合我国内部控制 研究 和发展的现状，借鉴英国的经验，对当前我国内部控制 理论 研究的定位、上市公司内部控制有效性 的披露以及内部审计的发展方向等 问题 提提出了若干建议。 公 司司治理和内部控制发展 史史上的三大报告 历史 上上看，英国内部控制的 发发展离不开公司治理研 究究的推动。 20 世纪 80 -90 年代，英国的 公公司治理像今天的美国 一一样，面临着巨大的信 任任危机。面对创造性 会会计 (creativ e accounti ng)的泛滥、公司 经经营的失败和连续不断 的的丑闻、董事薪酬激增 以以及 企业 短期行为 主主义猖獗等一系列公司 治治理问题， 社会 公 众众、监管机构的不满情 绪绪日益升温。这一阶段 也也就成为英国公司治理 问问题研究的一个高峰期 ，各种专门委员会纷纷 成成立，并发布了各自的 研研究报告，其中比较著 名名的有卡德伯利报告 (C adbury Repport， 1992)、拉特 曼报告 (Rutt erman Repoort， 1994)、 格格林伯利报告 (Cree nbury Repoort， 1995)和 哈哈姆佩尔报告 (Hamp el Report， 1998)。在吸收 这这些研究成果的基础上 ， 1998 年最终形成 了了公司治理委员会综合 准 准则 (Combined Code of the commit tee on 2 / 17 Cor porate Gov ernance)。 综综合准则很快就被伦敦 证证券交易所认可，成为 交交易所上市规则的补充 ，要求所有英国上市公 司司强制性遵守。这些研 究究成果从理论和实践两 个个方面，极大地推动了 英英国公司治 理和内 部控 制制的发展，尤其是卡德 伯伯利报告、哈姆佩尔报 告告，以及作为综合准则 指指南的特恩布尔报告 (T urnbull Reeport， 1999) ，堪称英国公司治理 和和内部控制研究历史上 的的三大里程牌。 一、 卡卡德伯利报告 卡德伯 利利报告从财务角度研究 公公司治理，同时将内部 控控制置于公司治理的框 架架之下。其实， 1985 年 “ 公司法 ” 条款就 规规定，董事对公司保持 充充分的会计记录负责， 为为满足上述要求，在现 实实中董事必须建立公司 财财务管理方面的内部控 制制制度，包括设计程序 使使舞弊风险最小化。也 就就是说， 1985 年的 “ 公司法 ” 已经对董事 确确保适当的内部控制制 度度提出了含蓄的要求。 卡德伯利报告进一步认 为为，有效的内部控制是 公公司有效管理的一个重 要要方面。因此建议董事 们们应发表一个声明，对 公公司内部控制的有效性 进进行详细描述，外部审 计计师对其声明进行复核 ( review)和报 告告，同时规定在董事会 认认可声明之前，审计委 员员会应对公司的内部控 制制声明进行复核。该报 告告还认为，内部审计有 助助于确保内部控制的有 效效性，内部审计的日常 监监督是内部控制的整体 组组成部分，会计师职业 应应在以3 / 17 下方面起到领导 作作用 : (1)开发用 以以评估有效性的一整套 标标准 ; (2)开发董 事事会报告形式的具体指 南南 ; (3)开发审计 师师用以相关审计程序和 报报告格式的 具体指南。 卡德伯利报告在许多方 面面开创了英国公司治理 历历史的先河，它明确要 求求建立审计委员会、实 行行独立董事制度，同时 将将内部控制作为公司治 理理的组成部分。尽管报 告告尚存在许多局限性， 但但它所确认的公司治理 的的许多原则一直沿用至 今今。 二、哈姆佩尔报 告告 哈姆佩尔报告将内 部部控制的目的定位于保 护护资产的安全、保持正 确确的财务会计记录、保 证证公司内部使用和向外 部部提供的财务信息的可 靠靠性， 同时鼓励董事对 内内部控制的各个方面进 行行复核，包括确保高效 经经营、遵守 法律 法 规规方面的控制。哈姆佩 尔尔报告认为，很难将财 务务控制与其他控制区分 开开来，并坚信董事及管 理理人员对控制的各个方 面面进行复核具有重要意 义义，内部控制不应仅局 限限于公司治理的财务方 面面。该报告全面赞同卡 德德伯利报告将内部控制 视视为有效管理的重要方 面面的观点，并认为董事 会会应该对内部控制进行 复复核以强调相关控制目 标标，这些目标包括对企 业业风险评估和反 映、财 务务管理、遵守法律法规 、保护资产安全以及使 舞舞弊风险最小化等方面 。 尽管哈姆 佩尔报告 所所提出的准则，将公司 治治理向前推进4 / 17 了一步， 但但并未满足普遍的要求 ，其主要的批评意见集 中中于该报告的 内容 缺缺乏新意、委员会主要 由由既得利益者组成、有 关关原则难以付诸实施、 责责任不够明确等。当时 贸贸易与 工业 部的负 责责人玛格丽特 贝凯特 就就认为，报告在受托责 任任与透明度方面仍有不 足足。 三、特恩布尔报 告告 卡德伯利报告和哈 姆姆佩尔报告都程度不同 地地对公司内部控制提出 了了要求，作为集大成者 的的综合准则在“最佳实 务务准则 (Best Pr actice Cod e)” 中对内部控制 提提出了综合性和原则 性 的的规定。尽管综合准则 要要求公司董事会应建立 健健全内部控制，但是该 准准则并未就如何构建 “ 健健全的内部控制 ” 提供 详详细的指南。因此，英 格格兰和威尔士特许会计 师师协会(ICAEW)与与伦敦证券交易所达成 一一致，为上市公司执行 准准则中与内部控制相关 的的要求提供具体指南。 11999 年 ICAEW 组组成的以尼格尔 特恩 布布尔 (Nigel Tu rnbull)为主 席席的十人工作小 组公布 了了内部控制：综合准 则则董事指南，即特恩 布布尔报告。作为指导企 业业构建内部控制的指南 ，该报告的意义在于， 它它为公司及董事会提供 了了 具体的、颇具可行性 的的内部控制指引。其主 要要内容是：转贴于论文 联联盟 http:/ 董事会对公司的内部 控控制负责，应制定正确 的的内部控制政策，并寻 求求日常的保证，使内部 控控制系统有效发挥作用 ，5 / 17 还应进一步确认内部 控控制在风险管理方面是 有有效的。在决定内部控 制制政策，并在此基础上 评评估特定环境下内部控 制制的构成时，董事会应 对对以下 问题 进行深 入入思考： (1)公司面 临临风险的性质和程度； (2)公司可承受风险 的的程度和类型； (3)风风险发生的可能性； (44)公司减少事故的能 力力及对已发生风险的 影影响 ； (5)实施特 殊殊风险控制的成本，以 及及从相关风险管理中获 取取的利益。 执行风险 控控制政策是管理层的职 责责，在履行其职责的过 程程中，管理层应确认、 评评价公司所面临的风险 ，并执行董事会所设计 、运行的内部控制政策 。公司员工有义务将内 部部控制作为实现其责任 目目标的组成部分，他们 应应集体具备必要的知识 、技能、信息和授权， 以以建立、运行和监督公 司司内部控制系统。这要 求求对公司及其目标，所 处处的产业和市场以及面 临临的风险有深入的理解 。 合理的内部控制要 素素包括政策、程序、任 务务、行为以及公司的其 他他方面，这些要 素结合 在在一起，对影响公司目 标标实现的重大的商业性 、业务性、财务性和遵 循循性风险做出正确反应 ，以提高公司经营的效 率率和效果。其中包括避 免免资产的不当使用、损 失失或舞弊，并保证已对 负负债进行了确认和管理 。 公司的内部控制应 反反映组织结构在内的控 制制环境，包括： (1)控控制活动； (2)信息 和和沟通程序； (3)持 续续性监督程序。特恩布 尔尔报告指出了健全的内 部部控制所应具备的基本 特特6 / 17 征： (1)它根植于 公公司的经营之中，形成 公公司文化的一部分。换 言言之，它不仅仅是为了 取取悦监管者而进行的年 度度例行检查 ; (2)针针对公司面临的不断变 化化的风险，具有快速反 应应的能力 ; (3)具 有有对管理中存在的缺陷 或或失败进行快速报告的 能能力，并且能及时地采 取取纠正措施。 对内部 控控制有效性进行复核是 董董事会职责的必备部分 。董事会应在谨慎、仔 细细地了解信息的基础上 形形成对内部控制是否有 效效的正确判断。董事会 应应限定对内部控制复核 的的过程，包括一年中复 核核的范围、收到报告的 频频率以及年度评估的程 序序等，这也将为公司年 报报和记录中的内部控制 声声明提供适当的支持。 内部控制 发展 的若 干干趋势 一、对内部控 制制有效性进行报告的要 求求日 趋减弱 卡德伯利 报报告建议，董事应就内 部部控制的有效性进行报 告告，并要求审计师对董 事事会报告进行复核。由 此此产生了一系列问题， 其其中之一就是审计师应 向向谁进行报告、是否应 将将其复核报告公开。在 向向 社会 公众提供公 开开报告方面，有效性要 求求使董事会和审计师均 感感到很困惑，因为那将 意意味着内部控制将为避 免免错误或舞弊提供 “ 绝 对对保证 ” ，而事实上没 有有一个内部控制系统能 够够完全避免人为错误。 如如果由于非故意原因导 致致错误陈述或遗漏，董 事事或审计师将因为其确 认认的有效性而承担 法 律律 责任。 Power( 1997)的 研究 发现，当内7 / 17 部控制及 其其有效性的概念仍处于 模模 糊状态时，董事会及 会计 师均不愿做出 这这样的声明。 与卡德 伯伯利报告形成鲜明对比 的的是，哈姆佩尔报告鼓 励励而非要求董事就内部 控控制的有效性作出判断 ，并对卡德伯利准则中 的的第条款进行了修改， 将将原来的“董事应就公 司司内部控制的有效性进 行行报告”，修改为“董 事事应对公司内部控制进 行行报告”，删除了“有 效效性”一词。哈姆佩尔 报报告建议，在董事会报 告告中明确董事在内部控 制制方面的责任，说明内 部部控制仅能为避免重大 的的错误或遗漏提供“合 理理”保证，描述公 司为 提提供有效的财务控制而 建建立的主要程序，并确 认认董事已经就系统的有 效效性进行了复核。哈姆 佩佩尔报告认为，审计师 不不必向社会公众公布其 对对董事会报告的审查结 果果。这样做会在董事会 与与审计师之间建立更为 有有效的沟通渠道，使得 最最佳实务在报告的范围 和和性质方面不断进步。 而特恩布尔报告则规 定定，董事会应对公司内 部部控制的有效性进行复 核核， 总结 进行复核 所所使用的程序，并在年 度度报告或记录中披露用 于于解决内部控制重大问 题题的 方法 和过程， 董董事会至少还应披露用 于于确认、评估和管理重 要要风险的持续性监督程 序序。特恩布尔报告还鼓 励励董事会在年报中提供 额额外的信息，以帮助信 息息使用者理解公司的风 险险管理程序和内部控制 。由此可见，英国对有 关关公司内部控制的报告 和和披8 / 17 露方面的要求并未 放放松，但对内部控制有 效效性进行报告的规定却 日日趋减弱。转贴于论文 联联盟 http:/ 二、内部控制与风险管 理理的融合日趋紧密 表 一一概括了英国内部控制 范范围的演化过程和 发 展展 趋势。卡德伯利报 告告和拉特曼报告对内部 控控制的要求主要限于财 务务控制，而财务控制的 主主要功能在于保护资产 的的安全、保持正确的财 务务 会计 记录以及确 保保公司 内部使用和向外 部部提供的财务信息的可 靠靠性。哈姆佩尔报告则 向向前推进了一步，认为 很很难将财务控制与其他 控控制区分开来，鼓励董 事事对有效经营、遵守 法法律 法规等方面进行 复复核，从而大大扩大了 内内部控制的范围。特恩 布布尔报告再次扩大了内 部部控制的范围，将其与 风风险管理联系起来。内 部部控制与风险管理的结 合合很早就引发了人们的 关关注，但两者的关系仍 无无普遍认 可的观点。一 种种观点认为内部控制从 属属于风险管理的范畴， 是是风险管理的方式之一 。例如 Krogstad (1999)就认为 内内部控制不存在于真空 或或暗箱之中， 而存在于 协协助组织进行风险管理 并并提升有效的治理程序 之之中， McNamee 也也认为内部控制是 企 业业 管理者对企业风险 的的反应。另一种有代表 性性的观点是将风险管理 纳纳入内部控制体系，认 为为控制包含了风险。例 如如，美国的 COSO 报 告告将风险评估视为内部 控控制的五个要素之一。 加加拿大 CICA 的控制 委委员会则认为 “ 控制应 包包括对风险的确认和规 避避 ”(1999) 。经 过过争论和实践，人们对 二二者关系的认识9 / 17 不断 深 化化，逐渐认识到将两者 关关系隔离的 分析 方方法 是不可取的，内 部部控制与风险管理只有 相相融合，才能实现最 佳 效效果。例如， Black burn(1999) 就认为 “ 风险管理与 内内部控制仅是人为的分 离离，而在现实的商业行 为为中，他们是一体化的 ” ，这种融合极大地推 进进了内部控制定义的发 展展。 Maijoor( 2000)曾指出定 义义内部控制的困难所在 ，并进一步认为当前内 部部控制的 研究 是零 散散和不完善的，内部控 制制在公司治理中的作用 并并不明显，导致政策建 议议建立在未经证实的假 设设之上。特恩布尔报告 转转向扩张的观念，将内 部部控制与风险管理合为 一一体，认为两者是近乎 等等同的概念。这是英国 与与公司治理相关的公开 文文件中，第一次强调内 部部控制与企业风险的关 系系。而此前的卡德伯利 报报告没有明确两者之间 的的关系，哈姆佩尔报告 也也仅在内部控制的环境 下下简单地提及风险管理 。 特恩布尔报告认为 公公司经营的目标、内部 控控制组织和环境处于不 断断变化之中，作为结果 ，其面临的风险也在不 断断变化。一个健全的内 部部控制依赖于对公司所 面面临风险性质和程度的 全全面、综合的评价。因 为为利润本身部分地作为 企企业成功冒险的回报， 内内部控制的目的就是帮 助助正确地管理和控制风 险险，而非减少风险。正 如如该委员会主席尼格尔 特恩布尔所说：“我 们们致力 于制定实务指南 ，以保证董事会知晓公 司司所面临的重要风险， 并并制定相应的程序对风 险险进行管理，执行10 / 17 的管 理理层负责通过建立有效 的的内部控制系统进行风 险险管理，而董事会作为 一一个整体对其进行报告 。” 这种融合避免了 对对内部控制定义不清的 麻麻烦，使之从传统的内 部部财务控制的狭窄范围 内内摆脱出来，扩展至通 过过战略参与公司价值创 造造，同时亦标志着风险 导导向内部控制 时代 的的来临。 三、内部审 计计的角色由监督者逐步 转转变为控制者 内部审 计计一度曾被定位于“监 督督者”的角色。卡德伯 利利报告认为，内部审计 是是对外部审计 的补充， 建建立内部审计机构对关 键键控制和程序进行监督 是是良好公司实务的组成 部部分，这种日常监督也 是是公司内部控制整体中 的的一部分，它有利于保 持持内部控制系统的有效 性性。内部控制代表董事 会会对任何有舞弊可疑性 的的行为执行调查，为保 证证其地位的独立性，应 使使内部审计负责人与审 计计委员会主席的沟通畅 通通无阻。哈姆佩尔报告 却却认为，没有必要对内 部部审计做出严格的规定 ，但董事会应经常考虑 ，是否需要建立独立内 部部审计机构。 特恩布 尔尔报告对内部审计做出 了了更为详细的指引，认 为为是否建立内部审计机 构构不能一概而论，而 是 取取决于公司具体的因素 。这些因素包括规模、 公公司行为的多样性和复 杂杂性、员工的数量以及 成成本效益方面的考虑。 高高级管理人员和董事会 需需要对风险和控制给出 客客观的保证和建议，一 个个有效的内部审计部门 ( 或独立第三方 )则可 以以提供这种保证和建议 ，内11 / 17 部审计亦可以在诸 如如健康和安全、管制和 法法律遵守及环境等 问 题题 提供保证和建议。 转转贴于论文联盟 htt p:/论文联盟编 辑辑。 特恩布尔报告认 为为，在决定是否有必要 建建立单独的内部审计机 构构这一 问题 上，董 事事会应考虑公司行为、 市市场、组织重构、信息 系系 统和其他外部环境方 面面因素是否会增加公司 所所面临的风险。那些未 建建立内部审计机构的公 司司，其管理人员应使用 其其他监督程序，以确保 内内部控制能正常、按要 求求运转，董事会有必要 对对这些程序是否提供足 够够和客观的保证进行评 估估。 特恩布尔报告还 认认为，内部审计师的主 要要作用是 确证和建议 ，而不再是以往的 “ 监监督和复核 ” 。这一转 变变赋予内部审计更多的 内内涵，也推动了英国内 部部审计职业角色的转变 。这一转变也与内部审 计计师协会 (IIA)将 内内部审计定位成增值性 审审计的想法不谋而合。 在在风险导向的内部控制 下下，内部 审计计划与公 司司风险管理策略联系在 一一起，内部审计利用对 当当前的风险 分析 ， 保保证其审计计划与 企 业业 的经营计划相一致 。正如 McNamee 所所预言的那样，内部审 计计师应成为内部战略计 划划者 -一个管理控制 的的扩展，以确保系统正 常常运做，实现组织目标 ，内部审计师应最 终脱 离离狭隘的 会计 之源 。在变革的 时代 ， 内内部审计师应在全面管 理理中发挥更高价值的功 能能，这一崭新的定位已 经经成为内部审计师职业 发12 / 17 展 的目标，也为 内内部审计师在组织中占 据据新的位置提供了机遇 。 四、内部控制自我 评评估日益受到重 视 内 部部控制自我评估 (CASS)是公司管理层和员 工工在专题讨论中，共同 对对内部控制进行的评估 ( Mc Namee， 1 995)。自我评估 是是组织监督和评估内部 控控制系统的主要工具， 它它将运行和维持内部控 制制的主要责任赋予公司 管管理层，同时使员工和 内内部审计与管理层一道 承承担对内部控制评估的 责责任。这使以往由内部 审审计对控制的充足性及 有有效性进行独立验证发 展展到全新的阶段，即通 过过设计、规划和运行内 部部控制自我评估程序， 由由组织整体对管理控制 和和治理负责。 英国一 直直重视内部控制的自我 评评估，但卡德伯利报告 和和哈姆佩尔报告仅要求 对对内部控制系统进行复 核核 (review)。 而而在特恩布尔报告中， 则则第一次使用了评估 (a ssessment) 的字眼，报告还用相 当当大篇幅对内部控制自 我我评估做出了原则性的 规规定。特恩布尔报告规 定定，在给董事会的报告 中中，管理层应对与其相 关关的领域中所存在的风 险险，以及相应的内部控 制制系统的有效性提供平 衡衡的自我评估。特恩布 尔尔报告认为，在对内部 控控制进行自我评估时， 应应特别考虑以下几个问 题题： (1)自上次评估 以以来，重要风险的性质 和和程度所发生的变化， 以以及公司对这些商业风 险险和 外部环境变化所做 出出反应的能力。(2)管管理层对内部控制系统 和和风险持续监督的范围 和和质量，13 / 17 以及内部审计 功功能和其他保证方式的 工工作状况如何。 (3)就就监督的结果与董事会 交交流的程度和频率，以 便便在公司内建立起累计 评评估体系，对内部控制 状状况及风险管理有效程 度度加以评估。 (4)期 间间内任一时间所确认的 重重大控制失败或弱点， 及及其所导致或可能导致 的的不可遇见的结果及或 有有事项的程度，以及对 公公司财务状况和业绩产 生生的重大 影响 。 (55)公司公开报告程序 的的有效性。一旦知道内 部部控制中所存在的重大 失失败或弱点 ，董事会应 决决定这种失败或弱点是 如如何产生的，并对内部 控控制系统的有效性进行 重重新评估。 从上述情 况况看，尽管报告尚未对 评评估的程序、 方法 等等做出更为具体的规定 ，但明显地，对内部控 制制自我评估的重视程度 ，是日益加强的。 几 点点启示 一、内部控制 理论 研究 定位 问问题 长期以来，我国 内内部控制理论研究主要 集集中于会计审计领域， 侧侧重从会计和审计的角 度度研究内部控制，其研 究究成果也主要服务于审 计计方法的 应用 、审 计计成本的节约和审计风 险险的控制。注册会计师 职职业在审计中采用制度 基基础审计方法，通 过对 内内部控制的测试，确定 审审计的重点和风险，进 一一步修改审计计划，而 内内部审计师则将内部控 制制作为监督或评价的重 点点目标。 仅从会计和 审审计的角度研究内部控 制制，必然导致视角过14 / 17 于 狭狭窄。 1996 年财政 部部颁布的独立审计具 体体准则第 9 号 内部控 制制和审计风险，对企 业业内部控制的定义、目 标标和局限性等做出了较 为为全面的阐述，但它所 采采用的内部控制是英、 美美等国家所 “ 淘汰 ” 的 概概念，其作用也仅局限 于于对注册会计师从事审 计计业务提供具体指引。 2 001 年财政部颁布 的的内部会计控制规范 基本规范 (试行 )是 目前 我国内部 控控制领域内最具权威的 标标准，也是上市公司进 行行内部控制实践所依据 标标准，但该规范仍 局局限在内部会计控制领 域域。而英国内部控制的 发发展，经历了财务控制 、财务控制与管理控制 相相结合、内部控制与风 险险管理相融合等几个阶 段段，其范围不断扩大， 早早已超出了会计控制的 范范围。 2002 年 1 月 ， 中国 证监会颁布 了了我国第一部公司治理 准准则 上市公司治理 准准则，对公司治理的 诸诸多方面进行了规范， 但但该准则却并没有涉及 内内部控制方面的 内容 ，这使得该准则自诞 生生之日起便带有明显的 缺缺陷。 公司治理与内部 控控制之间应形成良性互 动动关系，内部控制的发 展展离不开公司治理的推 动动，公司治理的优化也 离离不开有效的内部控制 作作为保障。我们认为， 两两者间的关系应该在准 则则中得到反映，治理准 则则对内部控制、内部审 计 计亦应作出 明确的规定 。 。转贴于论文联盟 ht tp:/ 英国内 部部控制的 发展 离不 开开公司治理的推动，内 部部控制和内部审计 研 究究 均置于公司治理的 框框架之内，重视从公15 / 17 司 治治理的角度研究内部控 制制，把内部控制看作公 司司治理的有机组成部分 。我们认为，应借鉴其 英英国内部控制研究的经 验验，加强对内 部控制 理理论 的研究，致力于 研研究内部控制是否对公 司司治理产生 影响 、 这这种影响机制如何发生 作作用以及公司董事会和 管管理层如何设计、运行 公公司内部控制机制等基 本本理论 问题 。 二 、对内部控制的有效性 进进行强制性报告有待商 榷榷 目前 我国上市公 司司的内部控制实行的是 强强制性披露制度。虽然 这这种强制性的信息披露 有有利于投资者了解上市 公公司的相关信息和投资 决决策。但是，这种强制 性性披露要求的合理性仍 值值得商榷。因为，如果 公公司或注册 会计 师 在在报告中认为上市公司 的的内部控制是 “ 有效性 ” 的，这就意味着他 们 做做出了某种承诺和保证 ，且给人绝对承诺和保 证证的印象。实际上，内 部部控制所能提供的仅是 “ 合理 ” 保证，而非 “ 绝绝对 ”保证，这