1、英国内部控制发展的历史透视与思考【文章日期】2007-11-19【作 者】李爱华/张鹏【作者简介】李爱华,沈阳大学工商管理学院副教授、副院长,沈阳市资金管理办公室;张鹏,沈阳大学工商管理学院,沈阳市资金管理办公室。 (沈阳 110044)【内容提要】本文剖析近现代英国内部控制演进历程,阐述内部控制有效性披露要求日益减弱和内部控制与风险管理融合越来越紧密已成为内部控制发展的两个趋势,认为我国目前对内部控制有效性进行强制性报告有待探讨,我国需顺应科学发展的客观规律,努力规避、转移和控制风险,积极推动风险导向内部审计的实施。【摘 要 题】海外管理【关 键 词】公司治理/内部控制有效性 /风险管理/风
2、险导向内部审计【正 文】中图分类号:F222 文献标识码:A 文章编号: 1003-4161(2008)03-0138-0321 世纪是充满挑战和机会的新世纪,多样化和多变性的环境使企业的经营管理经历着实质性的变革。笔者认为,内部控制的理论渊源是审计与管理,它是各决策层为了确保各类契约关系顺畅履行,维护和扩大各类契约当事人利益而设置的规则、程序、手续和办法,其根本目的是将企业运行持续地置于“得到控制”(being control)状态,确保企业有一个好的战略目标,好的经营团队,并按照既定目标持续高效地发展和增值,为企业各类契约当事人发现并创造价值。研究英国内部控制的发展历程,可以从一个视角探索
3、内部控制理论与实务发展的历史脉络,进而在比较具体的历史分析中概括出现代内部控制的基本特征及发展趋势.这对于改进我国内部控制工作具有十分重要的现实意义。1.公司治理下的英国内部控制发展回顾英国内部控制的发展离不开公司治理的推动,上世纪 90 年代是英国公司治理问题研究的高峰期,在发布的研究报告中 1992 年的卡德伯利报告(Cadbury Report)、1998 年的哈姆佩尔报告(Hampel Report)以及作为公司治理委员会综合准则(Combined Code of the Committee on Corporate Governance)指南的特恩布尔报告(Turnbull Repo
4、rt,1999)堪称是英国公司治理和内部控制研究历史上的三大里程碑。1992 年的卡德伯利报告全称为公司治理的财务方面(The Financial Aspects Of Corporate Governance)。它从财务角度研究公司治理,将内部控制置于公司治理的框架之下,认为财务风险是由于舞弊或无能而引致的可能发生的财务损失,这种风险不可避免,但内部控制系统能在防止舞弊和无能方面发挥作用。它以内部控制、财务报告质量以及公司治理之间的相互关系为前提,明确要求公司改善内部控制机制,建议董事们应就公司内部控制的有效性发表声明,外部审计师和审计委员会应对公司的内部控制声明进行复核等等。卡德伯利报告在
5、许多方面开创了英国公司治理历史的先河,它将内部控制作为公司治理的组成部分,明确要求建立审计委员会、实行独立董事制度,它所确认的公司治理原则一直沿用至今。1998 年的哈姆佩尔报告全面赞同卡德伯利报告将内部控制视为有效管理的重要方面的观点,鼓励董事对内部控制的各个方面进行复核以保护资产安全,加强财务管理、评估企业风险、遵守法律法规、促使舞弊风险最小。报告第 52 条建议从卡德伯利准则中去掉“有效性”一词,变成“董事应对内部控制系统进行报告” 。应秘密向董事会成员提供内部控制报告,以建立更为有效的沟通渠道并推动最佳实务的发展。第 53 条建议董事应保持并复核与相关控制目标有关的所有控制,而不仅仅是
6、财务控制。第 54 条建议未设立独立内部审计机构的公司,应时常考虑设立独立内部审计机构的必要性和可行性。哈姆佩尔报告所提出的准则,将公司治理向前推进了一步,但内容缺乏新意,委员会主要由既得利益者组成,责任不够明确。1998 年的综合准则在“最佳实务准则(Best Practice Code)”中对内部控制提出了综合性和原则性的规定:“董事会应建立健全内部控制,以保护股东投资和公司资产” , “董事应至少每年对组织的内部控制进行一次复核,并向股东报告他们的复核情况。复核应涵盖所有的控制,包括:财务控制、业务控制、遵循性控制及风险管理” , “未设立内部审计制度的公司应经常考虑,是否有必要建立这种
7、制度” 。1999 年的特恩布尔报告就如何构建“健全的内部控制”提供了详细的指南。它认为董事会对公司的内部控制负责,应制定正确的内部控制政策,并寻求日常的保证,使内部控制系统有效发挥作用,还应进一步确认内部控制在风险管理方面是有效的。董事会应在谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判断。董事会应限定对内部控制复核的范围、收到报告的频率以及年度评估的程序等等。2.内部控制发展趋势从 1992 年的卡德伯利报告到 1999 年的特恩布尔指南,英国理论界和实务界对内部控制的研究逐步趋于系统和完善,在此过程中,我们发现报告内部控制有效性的要求日趋减弱。卡德伯利报告建议董事报告内部控制
8、有效性,并要求审计师对其进行复核。那么审计师应向谁进行报告、是否应将其复核报告公开。在向社会公众提供公开报告方面,有效性要求意味着内部控制将为避免错误或舞弊提供“绝对保证” ,而事实上没有一个内部控制系统能够完全避免人为错误或者蓄谋践踏,如果由于非故意原因导致错误陈述或遗漏,董事或审计师将因为其确认的有效性而承担法律责任。鲍尔(M Power)的研究发现,当内部控制及其有效性的概念仍处于模糊状态时,董事会及审计师均不愿做出这样的声明。哈姆佩尔报告鼓励而非要求董事就内部控制的有效性作出判断,删除了卡德伯利准则中所用的“有效性”一词。哈姆佩尔报告建议在董事会报告中明确董事在内部控制方面的责任,说明
9、内部控制仅能为避免重大的错误或遗漏提供“合理保证” ,即审计师不必向社会公众公布其对董事会报告的审查结果。这样做会在董事会与审计师之间建立更为有效的沟通管道,使得最佳实务在报告的范围和性质方面不断进步。特恩布尔报告规定,董事会应对公司内部控制的有效性进行复核,总结进行复核所使用的程序,并在年度报告或记录中披露用于解决内部控制重大问题的方法和过程,董事会至少还应披露用于确认、评估和管理重要风险的持续性监督程序。特恩布尔报告还鼓励董事会在年报中提供额外的信息,以帮助信息使用者理解公司的风险管理程序和内部控制。由此可见,英国对有关公司内部控制的报告和披露方面的要求并未放松,但对内部控制有效性进行报告
10、的规定却日趋减弱。还有,美国 COSO 报告中也明确指出,内部控制只是一种“合理保证” ,不是“绝对保证” 。加拿大 CICA 报告中也有类似说明,可见,内部控制有效性披露要求减弱已成为内部控制发展的一个趋势。与此同时,我们观察到内部控制与风险管理的融合越来越紧密。卡德伯利报告对内部控制的要求主要限于财务控制。哈姆佩尔报告开始在内部控制环境下简单提及风险管理,它认为很难将财务控制与其他控制区分开来,鼓励董事对有效经营、遵守法律法规等方面进行复核,这些已大大拓宽了内部控制的范围。特恩布尔报告认为内部控制与风险管理是近乎等同的概念,公司经营的目标、内部控制组织和环境处于不断变化之中,其面临的风险也
11、在不断变化,一个健全的内部控制制度依赖于对公司所面临风险性质和程度的全面、综合评价,内部控制的目的是管理和控制风险而非减少风险。不难看出,特恩布尔报告推进了内部控制定义的发展,使其从传统的内部财务控制的狭窄范围内摆脱出来,强调通过战略参与为公司创造价值,这些又标志着风险导向内部控制时代的来临。(本文来源于 CSSCI 学术论文网:http:/ 全文阅读链接:http:/ 年 11 月,证监会发布了公开发行证券公司信息披露编报规则 ,要求公开发行证券的商业银行、保险公司、证券公司建立健全内部控制制度,并在招股说明书正文中说明内部控制制度的完整性、合理性和有效性,同时,要求注册会计师对被审计者的内
12、部控制制度及风险管理的“三性”进行评价和报告。在中国证监会 2001 年 4 月颁布的公开发行证券的公司信息披露内容与格式准则第 11 号上市公司发行新股招股说明书中,规定“发行人应披露管理层对内部控制制度的完整性、合理性及有效性的自我评估意见,同时应披露注册会计师关于发行人内部控制评价报告的结论性意见”。而公开发行证券的公司信息披露内容与格式准则第 1 号招股说明书对申请首次发行股票公司也有类似的要求,2002 年 2 月 9 日,中国注册会计师协会发布内部控制审核指导意见 ,规范注册会计师就被审核单位管理当局在特定日期对内部控制有效性的认定进行审核,并发表审核意见。笔者认为对上市公司内部控
13、制信息按统一内容与格式实行强制性披露,它有利于投资者了解上市公司的相关信息和投资决策。但对内部控制“有效性”进行强制性披露的要求值得商榷。如果公司或注册会计师在报告中认为上市公司的内部控制是“有效性”的,这就意味着他们做出了某种绝对的承诺和保证。实际上,内部控制所能提供的仅是“合理保证”,而非“绝对保证”,这种绝对的保证很容易将自身置于潜在的诉讼风险之中。我国目前虽存在着重行政刑事责任轻民事责任问题,未大规模启动民事赔偿机制,但证券法第 63 条、第 161 条、第 202 条,通过对各类虚假陈述行为人规定民事赔偿责任的形式,赋予被侵权的投资人享有民事赔偿诉讼的权利。由于内部控制的涵盖范围很大
14、,涉及财务会计、经营管理、合法合规等诸多方面,公司发起人、负有责任的董事、监事以及注册会计师均有可能因对内部控制“有效性”做出的承诺而面临诉讼,并导致巨额的赔偿。那么要求上市公司或注册会计师对内部控制的有效性进行报告的做法,就值得进一步探讨,这也是英国及美国、加拿大等国内部控制发展给我们的一个启示。另外,随着风险导向内部控制时代的来临,内部审计的工作重点由控制转向风险,它关注有效的风险管理机制和健全的公司治理结构,风险导向内部审计已成为现代内部审计的发展方向。内部审计的本质是确保受托责任履行的管理控制机制。在风险导向阶段,受托责任关系以及管理控制发生了变化,与风险结合起来,使风险导向内部审计成
15、为确保受托责任有效履行的能动的管理控制机制。我国企业由于经营管理水平迥异,内部审计发展参差不齐,有些企业以财务审计为内部审计重点,有些则主要开展业务审计及管理审计。风险导向内部审计是一种综合的审计类型,它以企业目标及风险为出发点判断审计重点的理念显然比较符合不同企业的需求,我国各种类型企业都应该借鉴这种理念开展适合自身的内部审计活动。风险导向内部审计已经将职能从监督和评价转变为确证和咨询。确证是根据客户的标准、要求对特定领域进行评价并提供其需要的信息,能够用于改善决策,提高其科学性。咨询则是直接作为专家顾问参与经营活动,改善客户的状况。这两个职能的变化首先体现了现代企业管理上的一个最基本的理念
16、满足顾客需求。我国企业内部审计人员首先要树立服务的理念,为管理层提供相关、及时的信息,并积极参与经营管理活动,以风险为出发点,帮助企业在承担适度风险的同时抓住发展的机会,成为企业关键业务的“推进器”。其次应该积极营销内部审计服务,通过宣传和培训让客户了解内部审计的增值作用,从而更加信赖和依赖内部审计服务,扩展内部审计职能。在风险力量的作用下,公司治理的核心转向了科学决策,内部控制则扩展到了风险管理框架。风险导向内部审计除了对公司治理和现代内部控制发挥各自作用之外,还能够互相提供对方的信息反馈,促进公司治理与内部控制的协同与整合,从而实现外部受托责任与内部受托责任的统一。我国风险导向内部审计要发
17、挥整合作用,需要大力健全提高内部审计地位的制度审计委员会制度以及独立董事制度。风险导向内部审计要熟悉企业战略、目标和计划,了解企业经营管理的各项职能,只有这样才能为不同层次以及不同职能部门的管理者提供他们所需要的服务。因此,内部审计人员必须具备广博的知识和多元化的技能。除此之外,处理人际关系的能力和技巧对于内部审计人员来说也是必需的,只有与被审计单位以及企业管理层和内部各个职能部门保持良好关系,才能使内部审计职能得以发挥,内部审计报告得到重视,内部审计增值目标得以实现。我国企业的内部审计人员大多来自财务会计岗位,因此在经营管理等业务方面能力有所欠缺,知识结构也不很合理,应该逐步在内部审计机构中增加非会计专业背景人员,以组成有各方面综合能力的内部审计项目组展开多种类型内部审计。另外,要注重内部审计人员的培训,可行的做法是让内部审计人员在企业内部各个不同的职能部门轮岗实习,熟悉各项具体业务流程。另外,国外内部审计机构通常会成为企业的培训基地,既能够使企业成员全面了解整个企业范围的控制和风险的有关知识,又能够保持与企业其他部门的良好人际关系,这也是值得我国企业借鉴的做法。【责任编辑】启方
