刘秋明 :公司治理下的内部控制与审计--英国的经验与启示
内容提要:本文回顾分析了英国公司治理和内部控制发展历史上三个具有里程碑意义的文献——卡德伯利报告、哈姆佩尔报告和特恩布尔报告,揭示了英国内部控制发展的四大趋势:(1)对内部控制有效性进行报告的要求日趋减弱;(2)内部控制与风险管理的融合日趋紧密;(3)内部审计的角色由监督者逐步转变为控制者;(4)内部控制自我评估日益受到重视。最后结合我国内部控制研究和发展的现状,借鉴英国的经验,对当前我国内部控制理论研究的定位、上市公司内部控制有效性的披露以及内部审计的发展方向等问题提出了若干建议。
关键词:公司治理 内部控制 风险管理 英国 启示
一、公司治理和内部控制发展史上的三大报告
历史上看,英国内部控制的发展离不开公司治理研究的推动。20世纪80-90年代,英国的公司治理象今天的美国公司一样,面临着巨大的信任危机。面对创造性会计(creative accounting)的泛滥、公司经营的失败和连续不断的丑闻、董事薪酬激增以及企业短期行为主义猖獗等一系列公司治理问题,社会公众、监管机构不满的情绪日益升温。这一阶段也就成为英国公司治理问题研究的一个高峰期,各种专门委员会纷纷成立,并发布了各自的研究报告,其中比较著名的有卡德伯利报告(Cadbury Report,1992)、拉特曼报告(Rutterman Report,1994)、格林伯利报告(Greenbury Report,1995)和哈姆佩尔报告(Hampel Report,1998)。在吸收这些研究成果的基础上,于1998年最终形成了公司治理委员会综合准则(Combined Code of the committee on Corporate Governance),综合准则很快就被伦敦证券交易所认可,成为交易所上市规则的补充,要求所有英国上市公司强制性遵守。这些研究成果从理论和实践两个方面,极大地推动了英国公司治理和内部控制的发展,尤其是卡德伯利报告、哈姆佩尔报告以及作为综合准则指南的特恩布尔报告(Turnbull Report,1999)堪称是英国公司治理和内部控制研究历史上的三大里程碑。
1、卡德伯利报告
在英国,早期的公司治理研究将财务问题作为中心,致力于提高财务控制和财务报告质量,以强化董事会对股东的受托责任。财务风险被认为是由于舞弊或无能而引致的可能发生的财务损失,人们虽广泛相信这种风险不可避免,但亦认为内部控制系统能在防止舞弊和无能方面发挥作用。1992年的卡德伯利准则以内部控制、财务报告质量以及公司治理之间存在直接关系为前提,明确要求公司改善内部控制机制,该报告的全称为公司治理的财务方面(The Financial Aspects of Corporate Governance)。
卡德伯利报告从财务角度研究公司治理,同时将内部控制置于公司治理的框架之下。其实,1985年“公司法”之S.221条款就规定,董事对公司保持充分的会计记录负责,为满足上述要求,在现实中董事必须建立公司财务管理方面的内部控制制度,包括设计程序使舞弊风险最小化,这也就是说,1985年的“公司法”已经对董事确保适当的内部控制制度提出了含蓄的要求。
卡德伯利报告进一步认为有效的内部控制是公司有效管理的一个重要方面。因此建议董
事们应发表一个声明,对公司内部控制的有效性进行详细描述,外部审计师对其声明进行复核(review)和报告,同时规定在董事会认可声明之前,审计委员会应对公司的内部控制声明进行复核。报告认为内部审计有助于确保内部控制的有效性,内部审计的日常监督是内部控制的整体组成部分。该报告还认为会计师职业应在以下方面起到领导作用:(1)开发用以评估有效性的一整套标准;(2)开发董事会报告形式的具体指南;(3)开发审计师用以相关审计程序和报告格式的具体指南。
卡德伯利报告在许多方面开创了英国公司治理历史的先河,它明确要求建立审计委员会、实行独立董事制度,同时将内部控制作为公司治理的组成部分。尽管报告尚存在许多局限性,但它所确认的许多公司治理的原则一直沿用至今。
2、哈姆佩尔报告
公司治理委员会成立于1995年11月,其发起人为当时的财务报告委员会主席希德尼· 利普沃斯爵士(Sir Sydney Lipworth),委员会的赞助者为伦敦证券交易所(LSE)、英国工业联合会(CBI)、英国董事协会、全英会计师机构咨询委员会、全英养老金联合会(NAPF)以及英国保险公司联盟(ABI)。委员会认为公司治理的重要性在于其对商业繁荣和受托责任的贡献,而受托责任在过去的时间里占据了主角,以至于使人们忽视了公司治理对商业繁荣的推动作用。
哈姆佩尔报告将内部控制的目的定位于保护资产的安全、保持正确的财务会计记录、保证公司内部使用和向外部提供的财务信息的可靠性。报告同时鼓励董事对内部控制的各个方面进行复核,包括确保高效经营、遵守法律法规定方面的控制。哈姆佩尔报告认为很难将财务控制与其他控制区分开来,并坚信董事及管理人员对控制的各个方面进行复核具有重要意义,内部控制不应仅局限于公司治理的财务方面。但该报告全面赞同卡德伯利报告将内部控制视为有效管理的重要方面的观点,并认为董事会应该对内部控制进行复核以强调相关控制目标,这些目标包括对企业风险评估和反映、财务管理、遵守法律法规、保护资产安全,以及使舞弊风险最小化等方面。
哈姆佩尔报告共计提出了56条“结论和建议”,其中第52-54条涉及到内部控制。报告第52条建议从卡德伯利准则第4.5点中去掉“有效性”一词,使该条变成“董事应对内部控制系统进行报告”。同时建议应秘密向董事会成员提供内部控制报告,以建立更为有效的沟通渠道并推动最佳实务的发展。第53条建议董事应保持并复核与相关控制目标有关的控制,而不仅仅是财务控制。第54条建议未建立独立内部审计机构的公司,应时常考虑建立独立内部审计机构的必要性和可行性。
尽管哈姆佩尔报告所提出的准则,将公司治理向前推进了一步,但并未满足普遍的要求,其主要的批评意见集中于该报告的内容缺乏新意、委员会主要由既得利益者组成、有关原则由难以付诸实施、责任不够明确等等。当时商业与工业部的负责人玛格丽特·贝凯特就认为报告在受托责任与透明度方面做的不够,并暗示她将提交一个有关公司治理方面的立法建议。
3、特恩布尔报告
卡德伯利报告和哈姆佩尔报告都程度不同地对公司内部控制提出了要求,作为集大成者的综合准则在“最佳实务准则(Best Practice Code)”中对内部控制提出了综合性和原则性的规定。其中原则D.2规定:“董事会应建立健全内部控制,以保护股东投资和公司资产”;D.2.1条款进一步要求“董事应至少每年对组织的内部控制进行一次复核,并向股东报告他们的复核情况。复核应涵盖所有的控制,包括:财务控制、业务控制和遵循性控制及风险管理”;D.2.2条款则规定:“未建立内部审计制度的公司应经常考虑,是否有必要建立这种制度”。
尽管综合准则要求公司董事会应建立健全内部控制,但是该准则并未就如何构建“健全的内部控制”提供详细的指南。因此,英格兰和威尔士特许会计师协会(ICAEW)与伦敦证券交易所达成一致,为上市公司执行准则中与内部控制相关的要求提供具体指南。1999年ICAEW组织成了以尼格尔·特恩布尔(Nigel Turnbull)为主席的十人工作小组,该工作组于1999年9月公布了以主席命名的指南——《内部控制:综合准则董事指南》。作为指导企业构建内部控制的指南,该报告的意义在于它为公司及董事会提供了具体的、颇具可行性的内部控制指引。
董事会对公司的内部控制负责,应制定正确的内部控制政策,并寻求日常的保证,使内部控制系统有效发挥作用,还应进一步确认内部控制在风险管理方面是有效的。在决定内部控制政策,并在此基础上评估特定环境下内部控制的构成时,董事会应对以下问题进行深入思考:(1)公司面临风险的性质和程度;(2)公司可承受风险的程度和类型;(3)风险发生的可能性;(4)公司减少事故的能力,以及对已发生风险的影响;(5)实施特殊风险控制的成本,以及从相关风险管理中获取的利益。
执行风险控制政策是管理层的职责,在履行其职责的过程中,管理层应确认、评价公司所面临的风险,并执行董事会所设计、运行的内部控制政策。公司员工有义务将内部控制作为实现其责任目标的组成部分,他们应集体具备必要的知识、技能、信息和授权,以建立、运行和监督公司内部控制系统。这要求对公司及其目标,所处的产业和市场以及面临的风险有深入的理解。
合理的内部控制要素包括政策、程序、任务、行为以及公司的其他方面,这些要素结合在一起,对影响公司目标实现的重大的商业性、业务性、财务性和遵循性风险做出正确反应,以提高公司经营的效率和效果。其中包括避免资产的不当使用、损失或舞弊,并保证已对负债进行了确认和管理。公司的内部控制应反映组织结构在内的控制环境,包括:(1)控制活动;(2)信息和沟通程序;(3)持续性监督程序。特恩布尔报告指出了健全的内部控制所应具备的基本特征:(1)它根植于公司的经营之中,形成公司文化的一部分,换言之,它不仅仅是为了取悦监管者而进行的年度例行检查;(2)针对公司面临的不断变化的风险,具有快速反应的能力;(3)具有对管理中存在的缺陷或失败进行快速报告的能力,并且能及时地采取纠正措施。
对内部控制有效性进行复核是董事会职责的必备部分。董事会应在谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判断。董事会应限定对内部控制复核的过程,包括一年中复核的范围、收到报告的频率以及年度评估的程序等等,这也将为公司年报和记录中的内部控制声明提供适当的支持。
二、内部控制发展的若干趋势
从1992年的卡德伯利报告到1999年的特恩布尔指南,英国理论界和实务界对内部控制的研究逐步趋于系统和完善,沿着内部控制发展的轨迹,我们可以总结其在英国发展的趋势,这些规律也必将对世界内部控制的发展产生影响。
1、对内部控制有效性进行报告的要求日趋减弱。
卡德伯利报告建议董事应就内部控制的有效性进行报告(code,4.5),并要求审计师对董事会报告进行复核(code,脚注)。由此产生了一系列问题,其中之一就是审计师应向谁进行报告、是否应将其复核报告公开。在向社会公众提供公开报告方面,有效性要求使董事会和审计师均感到很困惑,因为那将意味着内部控制将为避免错误或舞弊提供“绝对保证”,而事实上没有一个内部控制系统能够完全避免人为错误或者蓄谋践踏,如果由于非故意原因导致错误陈述或遗漏,董事或审计师将因为其确认的有效性而承担法律责任。Power(1997)的研究发现,当内部控制及其有效性的概念仍处于模糊状态时,董事会及会计师均不愿做出这样的声明。
与卡德伯利报告形成鲜明对比的是,哈姆佩尔报告鼓励而非要求董事就内部控制的有效性作出判断,并对卡德伯利准则中的第4.5条款进行了修改,将原来的“董事应就公司内部控制的有效性进行报告”,修改为“董事应对公司内部控制进行报告”,删除了“有效性”一词。哈姆佩尔报告建议在董事会报告中明确董事在内部控制方面的责任,说明内部控制仅能为避免重大的错误或遗漏提供“合理”保证,描述公司为提供有效的财务控制而建立的主要程序,并确认董事已经就系统的有效性进行了复核。哈姆佩尔报告认为审计师不必向社会公众公布其对董事会报告的审查结果。这样做会在董事会与审计师之间建立更为有效的沟通渠道,使得最佳实务在报告的范围和性质方面不断进步。
特恩布尔报告规定,董事会应对公司内部控制的有效性进行复核,总结进行复核所使用的程序,并在年度报告或记录中披露用于解决内部控制重大问题的方法和过程,董事会至少还应披露用于确认、评估和管理重要风险的持续性监督程序。特恩布尔报告还鼓励董事会在年报中提供额外的信息,以帮助信息使用者理解公司的风险管理程序和内部控制。由此可见,英国对有关公司内部控制的报告和披露方面的要求并未放松,但对内部控制有效性进行报告的规定却日趋减弱。
2、内部控制与风险管理的融合日趋紧密。
表一概括了英国内部控制范围的演化过程和发展趋势,卡德伯利报告和拉特曼报告对内部控制的要求主要限于财务控制,而财务控制的主要功能在于保护资产的安全、保持正确的财务会计记录、以及确保公司内部使用和向外部提供的财务信息的可靠性。哈姆佩尔报告则向前推进了一步,认为很难将财务控制与其他控制区分开来,鼓励董事对有效经营、遵守法律法规等方面进行复核,从而大大扩大了内部控制的范围。特恩布尔报告再次扩大了内部控制的范围,将其与风险管理联系起来。内部控制与风险管理的结合很早就引发了人们的关注,但二者的关系仍无普遍认可的观点。一种观点认为内部控制从属于风险管理的范畴,是风险管理的方式之一。例如Krogstad(1999)就认为内部控制不存在于真空或暗箱之中,而存在于协助组织进行风险管理并提升有效的治理程序之中;McNamee也认为内部控制是企业管
理者对企业风险的反应。另一种有代表性的观点是将风险管理纳入内部控制体系,认为控制包含了风险。例如美国的COSO报告将风险评估视为内部控制的五个要素之一;而加拿大CICA的控制委员会则认为“控制应包括对风险的确认和规避”(1999,P.9)。经过争论和实践,人们对二者关系的认识不断深化,逐渐认识到将两者关系隔离的分析方法是不可取的,内部控制与风险管理只有相融合,才能实现最佳效果。例如,Blackburn(1999)就认为“风险管理与内部控制仅是人为的分离,而在现实的商业行为中,他们是一体化的”,这种融合极大地推进了内部控制定义的发展。
Maijoor(2000)曾指出定义内部控制的困难所在,并进一步认为当前内部控制的研究是零散和不完善的,内部控制在公司治理中的作用并不明显,导致政策建议建立在未经证实的假设之上。特恩布尔报告转向扩张的观念,将内部控制与风险管理合为一体,认为两者是近乎等同的概念。这是英国与公司治理相关的公开文件中,第一次强调内部控制与企业风险的关系,而此前的卡德伯利报告没有明确两者之间的关系,哈姆佩尔报告也仅在内部控制的环境下简单地提及风险管理。
特恩布尔报告认为公司经营的目标、内部控制组织和环境处于不断变化之中,作为结果,其面临的风险也在不断变化。一个健全的内部控制依赖于对公司所面临风险性质和程度的全面、综合的评价。因为利润本身部分地作为企业成功冒险的回报,内部控制的目的就是帮助正确地管理和控制风险,而非减少风险。正如该委员会主席尼格尔·特恩布尔所说:“我们致力于制定实务指南,以保证董事会知晓公司所面临的重要风险,并制定相应的程序对风险进行管理,执行的管理层负责通过建立有效的内部控制系统进行风险管理,而董事会作为一个整体对其进行报告。”
这种融合避免了对内部控制定义不清的麻烦,使之从传统的内部财务控制的狭窄范围内摆脱出来,扩展至通过战略参与为公司创造价值,同时亦标志着风险导向内部控制时代的来临。
卡德伯利报告 路特曼报告 哈姆佩尔报告 内部控制,包括财务、经范围 内部财务控制 内部财务控制 营和遵循性等所有控制及风险管理 内部控制和风险管理 特恩布尔报告 对报告进行复核,可报告 对有效性进行报告 以对有效性进行报告 对报告进行复核 对报告进行复核 未做出严格规定,但要经内部审作为良好实务加以推—— 计 荐 审计部门 常考虑是否需要建立内部体分析 是否建立内部审计部门需具 表一:英国内部控制发展趋势和演进过程
注:拉特曼报告被后来的综合准则所取代。
爱斯基摩人
