审查结果。这样做会在董事会与审计师之间建立更为有效的沟通渠道,使得最佳实务在报告的范围和性质方面不断进步。 而特恩布尔报告则规定,董事会应对公司内部控制的有效性进行复核,总结进行复核所使用的程序,并在年度报告或记录中披露用于解决内部控制重大问题的方法和过程,董事会至少还应披露用于确认、评估和管理重要风险的持续性监督程序。特恩布尔报告还鼓励董事会在年报中提供额外的信息,以帮助信息使用者理解公司的风险管理程序和内部控制。由此可见,英国对有关公司内部控制的报告和披露方面的要求并未放松,但对内部控制有效性进行报告的规定却日趋减弱。
二、内部控制与风险管理的融合日趋紧密
表一概括了英国内部控制范围的演化过程和发展趋势。卡德伯利报告和拉特曼报告对内部控制的要求主要限于财务控制,而财务控制的主要功能在于保护资产的安全、保持正确的财务会计记录以及确保公司内部使用和向外部提供的财务信息的可靠性。哈姆佩尔报告则向前推进了一步,认为很难将财务控制与其他控制区分开来,鼓励董事对有效经营、遵守法律法规等方面进行复核,从而大大扩大了内部控制的范围。特恩布尔报告再次扩大了内部控制的范围,将其与风险管理联系起来。内部控制与风险管理的结合很早就引发了人们的关注,但两者的关系仍无普遍认可的观点。一种观点认为内部控制从属于风险管理的范畴,是风险
管理的方式之一。例如Krogstad(1999)就认为内部控制不存在于真空或暗箱之中,而存在于协助组织进行风险管理并提升有效的治理程序之中,McNamee也认为内部控制是企业管理者对企业风险的反应。另一种有代表性的观点是将风险管理纳入内部控制体系,认为控制包含了风险。例如,美国的COSO报告将风险评估视为内部控制的五个要素之一。加拿大CICA的控制委员会则认为“控制应包括对风险的确认和规避”(1999)。经过争论和实践,人们对二者关系的认识不断深化,逐渐认识到将两者关系隔离的分析方法是不可取的,内部控制与风险管理只有相融合,才能实现最佳效果。例如,Blackburn(1999)就认为“风险管理与内部控制仅是人为的分离,而在现实的商业行为中,他们是一体化的”,这种融合极大地推进了内部控制定义的发展。 Maijoor(2000)曾指出定义内部控制的困难所在,并进一步认为当前内部控制的研究是零散和不完善的,内部控制在公司治理中的作用并不明显,导致政策建议建立在未经证实的假设之上。特恩布尔报告转向扩张的观念,将内部控制与风险管理合为一体,认为两者是近乎等同的概念。这是英国与公司治理相关的公开文件中,第一次强调内部控制与企业风险的关系。而此前的卡德伯利报告没有明确两者之间的关系,哈姆佩尔报告也仅在内部控制的环境下简单地提及风险管理。
特恩布尔报告认为公司经营的目标、内部控制组织和环境处于不断变化之中,作为结果,其面临的风险也在不断变化。一个健全的内部控制依赖于对公司所面临风险性质和程度的全面、综合的评价。因为利润本身部分地作为企业成功冒险的回报,内部控制的目的就是帮助正确地管理和控制风险,而非减少风险。正如该委员会主席尼格尔·特恩布尔所说:“我们致力于制定实务指南,以保证董事会知晓公司所面临的重要风险,并制定相应的程序对风险进行管理,执行的管理层负责通过建立有效的内部控制系统进行风险管理,而董事会作为一个整体对其进行报告。” 这种融合避免了对内部控制定义不清的麻烦,使之从传统的内部财务控制的狭窄范围内摆脱出来,扩展至通过战略参与公司价值创造,同时亦标志着风险导向内部控制时代的来临。 三、内部审计的角色由监督者逐步转变为控制者
? ? 内部审计一度曾被定位于“监督者”的角色。卡德伯利报告认为,内部审计是对外部审计的补充,建立内部审计机构对关键控制和程序进行监督是良好公司实务的组成部分,这种日常监督也是公司内部控制整体中的一部分,它有利于保持内部控制系统的有效性。内部控制代表董事会对任何有舞弊可疑性的行为执行调查,为保证其地位的独立性,应使内部审计负责人与审计委员会主席的沟通畅通无阻。哈姆佩尔报告却认为,没有必要对内部
审计做出严格的规定,但董事会应经常考虑,是否需要建立独立内部审计机构。
? ? 特恩布尔报告对内部审计做出了更为详细的指引,认为是否建立内部审计机构不能一概而论,而是取决于公司具体的因素。这些因素包括规模、公司行为的多样性和复杂性、员工的数量以及成本效益方面的考虑。高级管理人员和董事会需要对风险和控制给出客观的保证和建议,一个有效的内部审计部门(或独立第三方)则可以提供这种保证和建议,内部审计亦可以在诸如健康和安全、管制和法律遵守及环境等问题提供保证和建议。 ? ? 特恩布尔报告认为,在决定是否有必要建立单独的内部审计机构这一问题上,董事会应考虑公司行为、市场、组织重构、信息系统和其他外部环境方面因素是否会增加公司所面临的风险。那些未建立内部审计机构的公司,其管理人员应使用其他监督程序,以确保内部控制能正常、按要求运转,董事会有必要对这些程序是否提供足够和客观的保证进行评估。
? ? 特恩布尔报告还认为,内部审计师的主要作用是\确证和建议\,而不再是以往的“监督和复核”。这一转变赋予内部审计更多的内涵,也推动了英国内部审计职业角色的转变。这一转变也与内部审计师协会(iia)将内部审计定位成增值性审计的想法不谋而合。在风险导向的内部控制下,内部审计计划与公司风险管理策略联系在一起,内部审计利用对当前的风险分析,保证其
审计计划与企业的经营计划相一致。正如mcnamee所预言的那样,内部审计师应成为内部战略计划者--一个管理控制的扩展,以确保系统正常运做,实现组织目标,内部审计师应最终脱离狭隘的会计之源。在变革的时代,内部审计师应在全面管理中发挥更高价值的功能,这一崭新的定位已经成为内部审计师职业发展的目标,也为内部审计师在组织中占据新的位置提供了机遇。 四、内部控制自我评估日益受到重视
? ? 内部控制自我评估(cas)是公司管理层和员工在专题讨论中,共同对内部控制进行的评估(mcnamee,1995)。自我评估是组织监督和评估内部控制系统的主要工具,它将运行和维持内部控制的主要责任赋予公司管理层,同时使员工和内部审计与管理层一道承担对内部控制评估的责任。这使以往由内部审计对控制的充足性及有效性进行独立验证发展到全新的阶段,即通过设计、规划和运行内部控制自我评估程序,由组织整体对管理控制和治理负责。
? ? 英国一直重视内部控制的自我评估,但卡德伯利报告和哈姆佩尔报告仅要求对内部控制系统进行复核(review)。而在特恩布尔报告中,则第一次使用了评估(assessment)的字眼,报告还用相当大篇幅对内部控制自我评估做出了原则性的规定。特恩布尔报告规定,在给董事会的报告中,管理层应对与其相关的领域中所存在的风险,以及相应的内部控制系统的有效性提供平衡的自
公司治理和内部控制发展史上的三大报告
