公司治理下的内部控制与审计报告dtur.docx

《公司治理下的内部控制与审计报告dtur.docx》由会员分享，可在线阅读，更多相关《公司治理下的内部控制与审计报告dtur.docx（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Evaluation Warning: The document was created with Spire.Doc for .NET.公司治理下下的内部控控制与审计计提要本本文回顾分分析了英国国公司治理理和内部控控制发展历史上三个个具有里程程碑意义的的文献-卡卡德伯利报报告、哈姆姆佩尔报告告和特恩布布尔报告，揭揭示了英国国内部控制制发展的四大大趋势，并并结合我国国内部控制制研究和发展展的现状，借借鉴英国的的经验，对对当前我国国内部控制制理论研究的定位位、上市公公司内部控控制有效性性的披露以以及内部审审计的发展展方向等问问题提出了了若干建议议。公司治治理和内部部控制发展展史上的三三大报告历历

2、史上看，英英国内部控控制的发展展离不开公公司治理研研究的推动动。20世世纪80-90年代代，英国的的公司治理理像今天的的美国一样样，面临着着巨大的信信任危机。面对创造造性会计(crreatiive aaccouuntinng)的泛泛滥、公司司经营的失失败和连续续不断的丑丑闻、董事事薪酬激增增以及企业业短期行为为主义猖獗獗等一系列列公司治理理问题，社会会公众、监监管机构的的不满情绪绪日益升温温。这一阶阶段也就成成为英国公公司治理问问题研究的的一个高峰峰期，各种种专门委员员会纷纷成成立，并发发布了各自自的研究报报告，其中中比较著名名的有卡德德伯利报告告(Caddburyy Repport，1199

3、2)、拉特曼曼报告(RRutteermann Repport，11994)、格林伯伯利报告(Creeenburry Reeportt，19995)和哈哈姆佩尔报报告(Haampell Repport，11998)。在吸收收这些研究究成果的基基础上，11998年年最终形成成了公司治治理委员会会综合准则则(Commbineed Coode oof thhe coommitttee on CCorpooratee Govvernaance)。综合准准则很快就就被伦敦证证券交易所所认可，成成为交易所所上市规则则的补充，要要求所有英英国上市公公司强制性性遵守。这这些研究成成果从理论论和实践两两个方面，极

4、极大地推动动了英国公公司治理和和内部控制制的发展，尤尤其是卡德德伯利报告告、哈姆佩佩尔报告，以以及作为综综合准则指指南的特恩恩布尔报告告(Turrnbulll Reeportt，19999)，堪堪称英国公公司治理和和内部控制制研究历史史上的三大大里程牌。一、卡德德伯利报告告卡德伯利利报告从财财务角度研研究公司治治理，同时时将内部控控制置于公公司治理的的框架之下下。其实，11985年年“公司法法”S.2221条款款就规定，董董事对公司司保持充分分的会计记录负负责，为满满足上述要要求，在现现实中董事事必须建立立公司财务务管理方面面的内部控控制制度，包包括设计程程序使舞弊弊风险最小小化。也就就是说，

5、11985年年的“公司司法”已经经对董事确确保适当的的内部控制制制度提出出了含蓄的的要求。卡卡德伯利报报告进一步步认为，有有效的内部部控制是公公司有效管管理的一个个重要方面面。因此建建议董事们们应发表一一个声明，对对公司内部部控制的有有效性进行行详细描述述，外部审审计师对其其声明进行行复核(rrevieew)和报报告，同时时规定在董董事会认可可声明之前前，审计委委员会应对对公司的内内部控制声声明进行复复核。该报报告还认为为，内部审审计有助于于确保内部部控制的有有效性，内内部审计的的日常监督督是内部控控制的整体体组成部分分，会计师师职业应在在以下方面面起到领导导作用: (1)开开发用以评评估有效

6、性性的一整套套标准; (2)开开发董事会会报告形式式的具体指指南; (3)开发发审计师用用以相关审审计程序和和报告格式式的具体指指南。卡德德伯利报告告在许多方方面开创了了英国公司司治理历史史的先河，它它明确要求求建立审计计委员会、实行独立立董事制度度，同时将将内部控制制作为公司司治理的组组成部分。尽管报告告尚存在许许多局限性性，但它所所确认的公公司治理的的许多原则则一直沿用用至今。二二、哈姆佩佩尔报告哈哈姆佩尔报报告将内部部控制的目目的定位于于保护资产产的安全、保持正确确的财务会会计记录、保证公司司内部使用用和向外部部提供的财财务信息的的可靠性，同同时鼓励董董事对内部部控制的各各个方面进进行复

7、核，包包括确保高高效经营、遵守法律律法规方面面的控制。哈姆佩尔尔报告认为为，很难将将财务控制制与其他控控制区分开开来，并坚坚信董事及及管理人员员对控制的的各个方面面进行复核核具有重要要意义，内内部控制不不应仅局限限于公司治治理的财务务方面。该该报告全面面赞同卡德德伯利报告告将内部控控制视为有有效管理的的重要方面面的观点，并并认为董事事会应该对对内部控制制进行复核核以强调相相关控制目目标，这些些目标包括括对企业风险评评估和反映映、财务管管理、遵守守法律法规、保护资产产安全以及及使舞弊风风险最小化化等方面。尽管哈姆姆佩尔报告告所提出的的准则，将将公司治理理向前推进进了一步，但但并未满足足普遍的要要

8、求，其主主要的批评评意见集中中于该报告告的内容缺乏新新意、委员员会主要由由既得利益益者组成、有关原则则难以付诸诸实施、责责任不够明明确等。当当时贸易与与工业部的负负责人玛格格丽特贝贝凯特就认认为，报告告在受托责责任与透明明度方面仍仍有不足。三、特恩恩布尔报告告卡德伯利利报告和哈哈姆佩尔报报告都程度度不同地对对公司内部部控制提出出了要求，作作为集大成成者的综合合准则在“最佳实务务准则(BBest Praccticee Codde)”中中对内部控控制提出了了综合性和和原则性的的规定。尽尽管综合准准则要求公公司董事会会应建立健健全内部控控制，但是是该准则并并未就如何何构建“健健全的内部部控制”提提供

9、详细的的指南。因因此，英格格兰和威尔尔士特许会会计师协会会(ICAAEW)与与伦敦证券券交易所达达成一致，为为上市公司司执行准则则中与内部部控制相关关的要求提提供具体指指南。19999年IICAEWW组成的以以尼格尔特恩布尔尔(Niggel TTurnbbull)为主席的的十人工作作小组公布布了内部部控制：综综合准则董董事指南，即特恩恩布尔报告告。作为指指导企业构构建内部控控制的指南南，该报告告的意义在在于，它为为公司及董董事会提供供了具体的的、颇具可可行性的内内部控制指指引。其主主要内容是：董事会会对公司的的内部控制制负责，应应制定正确确的内部控控制政策，并并寻求日常常的保证，使使内部控制制

10、系统有效效发挥作用用，还应进进一步确认认内部控制制在风险管管理方面是是有效的。在决定内内部控制政政策，并在在此基础上上评估特定定环境下内内部控制的的构成时，董董事会应对对以下问题题进行深入入思考：(1)公司司面临风险险的性质和和程度；(2)公司司可承受风风险的程度度和类型；(3)风风险发生的的可能性；(4)公公司减少事事故的能力力及对已发发生风险的的影响；(55)实施特特殊风险控控制的成本本，以及从从相关风险险管理中获获取的利益益。执行风风险控制政政策是管理理层的职责责，在履行行其职责的的过程中，管管理层应确确认、评价价公司所面面临的风险险，并执行行董事会所所设计、运运行的内部部控制政策策。公

11、司员员工有义务务将内部控控制作为实实现其责任任目标的组组成部分，他他们应集体体具备必要要的知识、技能、信信息和授权权，以建立立、运行和和监督公司司内部控制制系统。这这要求对公公司及其目目标，所处处的产业和和市场以及及面临的风风险有深入入的理解。合理的内内部控制要要素包括政政策、程序序、任务、行为以及及公司的其其他方面，这这些要素结结合在一起起，对影响响公司目标标实现的重重大的商业业性、业务务性、财务务性和遵循循性风险做做出正确反反应，以提提高公司经经营的效率率和效果。其中包括括避免资产产的不当使使用、损失失或舞弊，并并保证已对对负债进行行了确认和和管理。公公司的内部部控制应反反映组织结结构在内

12、的的控制环境境，包括：(1)控控制活动；(2)信信息和沟通通程序；(3)持续续性监督程程序。特恩恩布尔报告告指出了健健全的内部部控制所应应具备的基基本特征：(1)它它根植于公公司的经营营之中，形形成公司文文化的一部部分。换言言之，它不不仅仅是为为了取悦监监管者而进进行的年度度例行检查查; (22)针对公公司面临的的不断变化化的风险，具具有快速反反应的能力力; (33)具有对对管理中存存在的缺陷陷或失败进进行快速报报告的能力力，并且能能及时地采采取纠正措措施。对内部控制有效性进行复核是董事会职责的必备部分。董事会应在谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判断。董事会应限定对内部

13、控制复核的过程，包括一年中复核的范围、收到报告的频率以及年度评估的程序等，这也将为公司年报和记录中的内部控制声明提供适当的支持。内部控制发展的若干趋势一、对内部控制有效性进行报告的要求日趋减弱卡德伯利报告建议，董事应就内部控制的有效性进行报告，并要求审计师对董事会报告进行复核。由此产生了一系列问题，其中之一就是审计师应向谁进行报告、是否应将其复核报告公开。在向社会公众提供公开报告方面，有效性要求使董事会和审计师均感到很困惑，因为那将意味着内部控制将为避免错误或舞弊提供“绝对保证”，而事实上没有一个内部控制系统能够完全避免人为错误。如果由于非故意原因导致错误陈述或遗漏，董事或审计师将因为其确认的

14、有效性而承担法律责任。Power(1997)的研究发现，当内部控制及其有效性的概念仍处于模糊状态时，董事会及会计师均不愿做出这样的声明。与卡德伯利报告形成鲜明对比的是，哈姆佩尔报告鼓励而非要求董事就内部控制的有效性作出判断，并对卡德伯利准则中的第4.5条款进行了修改，将原来的“董事应就公司内部控制的有效性进行报告”，修改为“董事应对公司内部控制进行报告”，删除了“有效性”一词。哈姆佩尔报告建议，在董事会报告中明确董事在内部控制方面的责任，说明内部控制仅能为避免重大的错误或遗漏提供“合理”保证，描述公司为提供有效的财务控制而建立的主要程序，并确认董事已经就系统的有效性进行了复核。哈姆佩尔报告认为

15、，审计师不必向社会公众公布其对董事会报告的审查结果。这样做会在董事会与审计师之间建立更为有效的沟通渠道，使得最佳实务在报告的范围和性质方面不断进步。而特恩布尔报告则规定，董事会应对公司内部控制的有效性进行复核，总结进行复核所使用的程序，并在年度报告或记录中披露用于解决内部控制重大问题的方法和过程，董事会至少还应披露用于确认、评估和管理重要风险的持续性监督程序。特恩布尔报告还鼓励董事会在年报中提供额外的信息，以帮助信息使用者理解公司的风险管理程序和内部控制。由此可见，英国对有关公司内部控制的报告和披露方面的要求并未放松，但对内部控制有效性进行报告的规定却日趋减弱。二、内部控制与风险管理的融合日趋

16、紧密表一概括了英国内部控制范围的演化过程和发展趋势。卡德伯利报告和拉特曼报告对内部控制的要求主要限于财务控制，而财务控制的主要功能在于保护资产的安全、保持正确的财务会计记录以及确保公司内部使用和向外部提供的财务信息的可靠性。哈姆佩尔报告则向前推进了一步，认为很难将财务控制与其他控制区分开来，鼓励董事对有效经营、遵守法律法规等方面进行复核，从而大大扩大了内部控制的范围。特恩布尔报告再次扩大了内部控制的范围，将其与风险管理联系起来。内部控制与风险管理的结合很早就引发了人们的关注，但两者的关系仍无普遍认可的观点。一种观点认为内部控制从属于风险管理的范畴，是风险管理的方式之一。例如Krogstad(1

17、999)就认为内部控制不存在于真空或暗箱之中，而存在于协助组织进行风险管理并提升有效的治理程序之中，McNamee也认为内部控制是企业管理者对企业风险的反应。另一种有代表性的观点是将风险管理纳入内部控制体系，认为控制包含了风险。例如，美国的COSO报告将风险评估视为内部控制的五个要素之一。加拿大CICA的控制委员会则认为“控制应包括对风险的确认和规避”(1999)。经过争论和实践，人们对二者关系的认识不断深化，逐渐认识到将两者关系隔离的分析方法是不可取的，内部控制与风险管理只有相融合，才能实现最佳效果。例如，Blackburn(1999)就认为“风险管理与内部控制仅是人为的分离，而在现实的商业

18、行为中，他们是一体化的”，这种融合极大地推进了内部控制定义的发展。Maijoor(2000)曾指出定义内部控制的困难所在，并进一步认为当前内部控制的研究是零散和不完善的，内部控制在公司治理中的作用并不明显，导致政策建议建立在未经证实的假设之上。特恩布尔报告转向扩张的观念，将内部控制与风险管理合为一体，认为两者是近乎等同的概念。这是英国与公司治理相关的公开文件中，第一次强调内部控制与企业风险的关系。而此前的卡德伯利报告没有明确两者之间的关系，哈姆佩尔报告也仅在内部控制的环境下简单地提及风险管理。特恩布尔报告认为公司经营的目标、内部控制组织和环境处于不断变化之中，作为结果，其面临的风险也在不断变化

19、。一个健全的内部控制依赖于对公司所面临风险性质和程度的全面、综合的评价。因为利润本身部分地作为企业成功冒险的回报，内部控制的目的就是帮助正确地管理和控制风险，而非减少风险。正如该委员会主席尼格尔特恩布尔所说：“我们致力于制定实务指南，以保证董事会知晓公司所面临的重要风险，并制定相应的程序对风险进行管理，执行的管理层负责通过建立有效的内部控制系统进行风险管理，而董事会作为一个整体对其进行报告。”这种融合避免了对内部控制定义不清的麻烦，使之从传统的内部财务控制的狭窄范围内摆脱出来，扩展至通过战略参与公司价值创造，同时亦标志着风险导向内部控制时代的来临。三、内部审计的角色由监督者逐步转变为控制者内部

20、审计一度曾被定位于“监督者”的角色。卡德伯利报告认为，内部审计是对外部审计的补充，建立内部审计机构对关键控制和程序进行监督是良好公司实务的组成部分，这种日常监督也是公司内部控制整体中的一部分，它有利于保持内部控制系统的有效性。内部控制代表董事会对任何有舞弊可疑性的行为执行调查，为保证其地位的独立性，应使内部审计负责人与审计委员会主席的沟通畅通无阻。哈姆佩尔报告却认为，没有必要对内部审计做出严格的规定，但董事会应经常考虑，是否需要建立独立内部审计机构。特恩布尔报告对内部审计做出了更为详细的指引，认为是否建立内部审计机构不能一概而论，而是取决于公司具体的因素。这些因素包括规模、公司行为的多样性和复

21、杂性、员工的数量以及成本效益方面的考虑。高级管理人员和董事会需要对风险和控制给出客观的保证和建议，一个有效的内部审计部门(或独立第三方)则可以提供这种保证和建议，内部审计亦可以在诸如健康和安全、管制和法律遵守及环境等问题提供保证和建议。特恩布尔报告认为，在决定是否有必要建立单独的内部审计机构这一问题上，董事会应考虑公司行为、市场、组织重构、信息系统和其他外部环境方面因素是否会增加公司所面临的风险。那些未建立内部审计机构的公司，其管理人员应使用其他监督程序，以确保内部控制能正常、按要求运转，董事会有必要对这些程序是否提供足够和客观的保证进行评估。特恩布尔报告还认为，内部审计师的主要作用是确证和建

22、议，而不再是以往的“监督和复核”。这一转变赋予内部审计更多的内涵，也推动了英国内部审计职业角色的转变。这一转变也与内部审计师协会(IIA)将内部审计定位成增值性审计的想法不谋而合。在风险导向的内部控制下，内部审计计划与公司风险管理策略联系在一起，内部审计利用对当前的风险分析，保证其审计计划与企业的经营计划相一致。正如McNamee所预言的那样，内部审计师应成为内部战略计划者-一个管理控制的扩展，以确保系统正常运做，实现组织目标，内部审计师应最终脱离狭隘的会计之源。在变革的时代，内部审计师应在全面管理中发挥更高价值的功能，这一崭新的定位已经成为内部审计师职业发展的目标，也为内部审计师在组织中占据

23、新的位置提供了机遇。四、内部控制自我评估日益受到重视内部控制自我评估(CAS)是公司管理层和员工在专题讨论中，共同对内部控制进行的评估(Mc Namee，1995)。自我评估是组织监督和评估内部控制系统的主要工具，它将运行和维持内部控制的主要责任赋予公司管理层，同时使员工和内部审计与管理层一道承担对内部控制评估的责任。这使以往由内部审计对控制的充足性及有效性进行独立验证发展到全新的阶段，即通过设计、规划和运行内部控制自我评估程序，由组织整体对管理控制和治理负责。英国一直重视内部控制的自我评估，但卡德伯利报告和哈姆佩尔报告仅要求对内部控制系统进行复核(review)。而在特恩布尔报告中，则第一次

24、使用了评估(assessment)的字眼，报告还用相当大篇幅对内部控制自我评估做出了原则性的规定。特恩布尔报告规定，在给董事会的报告中，管理层应对与其相关的领域中所存在的风险，以及相应的内部控制系统的有效性提供平衡的自我评估。特恩布尔报告认为，在对内部控制进行自我评估时，应特别考虑以下几个问题：(1)自上次评估以来，重要风险的性质和程度所发生的变化，以及公司对这些商业风险和外部环境变化所做出反应的能力。(2)管理层对内部控制系统和风险持续监督的范围和质量，以及内部审计功能和其他保证方式的工作状况如何。(3)就监督的结果与董事会交流的程度和频率，以便在公司内建立起累计评估体系，对内部控制状况及风

25、险管理有效程度加以评估。(4)期间内任一时间所确认的重大控制失败或弱点，及其所导致或可能导致的不可遇见的结果及或有事项的程度，以及对公司财务状况和业绩产生的重大影响。(5)公司公开报告程序的有效性。一旦知道内部控制中所存在的重大失败或弱点，董事会应决定这种失败或弱点是如何产生的，并对内部控制系统的有效性进行重新评估。从上述情况看，尽管报告尚未对评估的程序、方法等做出更为具体的规定，但明显地，对内部控制自我评估的重视程度，是日益加强的。几点启示一、内部控制理论研究定位问题长期以来，我国内部控制理论研究主要集中于会计审计领域，侧重从会计和审计的角度研究内部控制，其研究成果也主要服务于审计方法的应用

26、、审计成本的节约和审计风险的控制。注册会计师职业在审计中采用制度基础审计方法，通过对内部控制的测试，确定审计的重点和风险，进一步修改审计计划，而内部审计师则将内部控制作为监督或评价的重点目标。仅从会计和审计的角度研究内部控制，必然导致视角过于狭窄。1996年财政部颁布的独立审计具体准则第9号内部控制和审计风险，对企业内部控制的定义、目标和局限性等做出了较为全面的阐述，但它所采用的内部控制是英、美等国家所“淘汰”的概念，其作用也仅局限于对注册会计师从事审计业务提供具体指引。2001年财政部颁布的内部会计控制规范基本规范(试行)是目前我国内部控制领域内最具权威的标准，也是上市公司进行内部控制实践所

27、依据标准，但该规范仍局限在内部会计控制领域。而英国内部控制的发展，经历了财务控制、财务控制与管理控制相结合、内部控制与风险管理相融合等几个阶段，其范围不断扩大，早已超出了会计控制的范围。2002年1月，中国证监会颁布了我国第一部公司治理准则上市公司治理准则，对公司治理的诸多方面进行了规范，但该准则却并没有涉及内部控制方面的内容，这使得该准则自诞生之日起便带有明显的缺陷。公司治理与内部控制之间应形成良性互动关系，内部控制的发展离不开公司治理的推动，公司治理的优化也离不开有效的内部控制作为保障。我们认为，两者间的关系应该在准则中得到反映，治理准则对内部控制、内部审计亦应作出明确的规定。英国内部控制

28、的发展离不开公司治理的推动，内部控制和内部审计研究均置于公司治理的框架之内，重视从公司治理的角度研究内部控制，把内部控制看作公司治理的有机组成部分。我们认为，应借鉴其英国内部控制研究的经验，加强对内部控制理论的研究，致力于研究内部控制是否对公司治理产生影响、这种影响机制如何发生作用以及公司董事会和管理层如何设计、运行公司内部控制机制等基本理论问题。二、对内部控制的有效性进行强制性报告有待商榷目前我国上市公司的内部控制实行的是强制性披露制度。虽然这种强制性的信息披露有利于投资者了解上市公司的相关信息和投资决策。但是，这种强制性披露要求的合理性仍值得商榷。因为，如果公司或注册会计师在报告中认为上市

29、公司的内部控制是“有效性”的，这就意味着他们做出了某种承诺和保证，且给人绝对承诺和保证的印象。实际上，内部控制所能提供的仅是“合理”保证，而非“绝对”保证，这种绝对的保证很容易将自身置于潜在的诉讼风险之中。正是出于对诉讼风险的担心，英国上市公司的董事及注册会计师才反复游说，最终取消了对“有效性”报告的规定。由于内部控制的涵盖范围很大，涉及到财务会计、经营管理、合法合规等诸多方面，使得任何一起证券市场民事诉讼都有可能牵扯到内部控制。发起人、负有责任的董事、监事以及注册会计师均有可能因对内部控制的“有效性”做出承诺而面临诉讼，而导致巨额的赔偿。因此，要求上市公司或注册会计师对内部控制的有效性进行报

30、告的做法，值得进一步探讨。这是英国内部控制发展给我们的另一个启示。三、风险导向内部审计是内部审计的发展方向随着风险导向内部控制时代的来临，内部审计的工作重点也发生变化，由“控制”转向“风险”。现代内部审计除了关注传统的内部控制之外，更关注有效的风险管理机制和健全的公司治理结构(王光远，2002)。在风险导向内部审计观念下，年度审计计划与公司最高层的风险战略连接在一起，内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致，使用风险管理原则改变审核过程。风险管理成为组织中关键流程，促使内部审计的工作重点不再是测试控制，而是确认风险及测试管理风险的方法，在风险导向的内部审计中，控制仍然重要

31、，但分析、确认、揭示关键性的经营风险，才是内部审计的焦点。目前我国内部审计面临着与内部控制研究相似的问题，即内部审计尚未与公司治理相结合，成为公司治理的有机部分。当前我国企业内部审计主要将大部分精力用于财务数据的真实性、合法性的查证和生产经营的监督，管理审计尚未得到广泛的开展。因此，我们认为应顺应内部审计科学发展的客观规律，在实践中有意识地推动内向型管理审计的发展。从强调确认和测试控制完整性，逐步转向强调确认和测试风险是否得到有效管理，从传统的强调关注风险因素，逐步转向关注情景规划。内向型管理审计的建议应不再仅是强化控制、提高控制效率和效果，而应该是规避风险、转移风险和控制风险，通过风险管理的有效化，提高整体管理效率和效果。