公司治理下的内部控制与审计报告模板.doc

1、企业治理下内部控制和审计提要本文回顾分析了英国企业治理和内部控制发展历史上三个含有里程碑意义文件-卡德伯利汇报、哈姆佩尔汇报和特恩布尔汇报，揭示了英中国部控制发展四大趋势，并结合我中国部控制研究和发展现实状况，借鉴英国经验，对目前我中国部控制理论研究定位、上市企业内部控制有效性披露和内部审计发展方向等问题提出了若干提议。企业治理和内部控制发展史上三大汇报历史上看，英中国部控制发展离不开企业治理研究推进。20世纪80-90年代，英国企业治理像今天美国一样，面临着巨大信任危机。面对发明性会计(creative accounting)泛滥、企业经营失败和连续不停丑闻、董事薪酬激增和企业短期行为主义猖

2、獗等一系列企业治理问题，社会公众、监管机构不满情绪日益升温。这一阶段也就成为英国企业治理问题研究一个高峰期，多种专门委员会纷纷成立，并公布了各自研究汇报，其中比较著名有卡德伯利汇报(Cadbury Report，1992)、拉特曼汇报(Rutterman Report，1994)、格林伯利汇报(Creenbury Report，1995)和哈姆佩尔汇报(Hampel Report，1998)。在吸收这些研究结果基础上，1998年最终形成了企业治理委员会综合准则(Combined Code of the committee on Corporate Governance)。综合准则很快就被伦敦证

3、券交易所认可，成为交易所上市规则补充，要求全部英国上市企业强制性遵守。这些研究结果从理论和实践两个方面，极大地推进了英国企业治理和内部控制发展，尤其是卡德伯利汇报、哈姆佩尔汇报，和作为综合准则指南特恩布尔汇报(Turnbull Report，1999)，堪称英国企业治理和内部控制研究历史上三大里程牌。一、卡德伯利汇报卡德伯利汇报从财务角度研究企业治理，同时将内部控制置于企业治理框架之下。其实，1985年“企业法”S.221条款就要求，董事对企业保持充足会计统计负责，为满足上述要求，在现实中董事必需建立企业财务管理方面内部控制制度，包含设计程序使舞弊风险最小化。也就是说，1985年“企业法”已经

4、对董事确保合适内部控制制度提出了含蓄要求。卡德伯利汇报深入认为，有效内部控制是企业有效管理一个关键方面。所以提议董事们应发表一个申明，对企业内部控制有效性进行具体描述，外部审计师对其申明进行复核(review)和汇报，同时要求在董事会认可申明之前，审计委员会应对企业内部控制申明进行复核。该汇报还认为，内部审计有利于确保内部控制有效性，内部审计日常监督是内部控制整体组成部分，会计师职业应在以下方面起到领导作用: (1)开发用以评定有效性一整套标准; (2)开发董事会汇报形式具体指南; (3)开发审计师用以相关审计程序和汇报格式具体指南。卡德伯利汇报在很多方面开创了英国企业治理历史先河，它明确要求

5、建立审计委员会、实施独立董事制度，同时将内部控制作为企业治理组成部分。尽管汇报尚存在很多不足，但它所确定企业治理很多标准一直沿用至今。二、哈姆佩尔汇报哈姆佩尔汇报将内部控制目标定在保护资产安全、保持正确财务会计统计、确保企业内部使用和向外部提供财务信息可靠性，同时激励董事对内部控制各个方面进行复核，包含确保高效经营、遵守法律法规方面控制。哈姆佩尔汇报认为，极难将财务控制和其它控制区分开来，并坚信董事及管理人员对控制各个方面进行复核含相关键意义，内部控制不应仅局限于企业治理财务方面。该汇报全方面赞同卡德伯利汇报将内部控制视为有效管理关键方面见解，并认为董事会应该对内部控制进行复核以强调相关控制目

6、标，这些目标包含对企业风险评定和反应、财务管理、遵守法律法规、保护资产安全和使舞弊风险最小化等方面。尽管哈姆佩尔汇报所提出准则，将企业治理向前推进了一步，但并未满足普遍要求，其关键批评意见集中于该汇报内容缺乏新意、委员会关键由既得利益者组成、相关标准难以付诸实施、责任不够明确等。当初贸易和工业部责任人玛格丽特贝凯特就认为，汇报在受托责任和透明度方面仍有不足。三、特恩布尔汇报卡德伯利汇报和哈姆佩尔汇报全部程度不一样地对企业内部控制提出了要求，作为集大成者综合准则在“最好实务准则(Best Practice Code)”中对内部控制提出了综合性和标准性要求。尽管综合准则要求企业董事会应建立健全内部

7、控制，不过该准则并未就怎样构建“健全内部控制”提供具体指南。所以，英格兰和威尔士特许会计师协会(ICAEW)和伦敦证券交易所达成一致，为上市企业实施准则中和内部控制相关要求提供具体指南。1999年ICAEW组成以尼格尔特恩布尔(Nigel Turnbull)为主席十人工作小组公布了内部控制：综合准则董事指南，即特恩布尔汇报。作为指导企业构建内部控制指南，该汇报意义在于，它为企业及董事会提供了具体、颇具可行性内部控制指导。其关键内容是：董事会对企业内部控制负责，应制订正确内部控制政策，并寻求日常确保，使内部控制系统有效发挥作用，还应深入确定内部控制在风险管理方面是有效。在决定内部控制政策，并在此

8、基础上评定特定环境下内部控制组成时，董事会应对以下问题进行深入思索：(1)企业面临风险性质和程度；(2)企业可承受风险程度和类型；(3)风险发生可能性；(4)企业降低事故能力及对已发生风险影响；(5)实施特殊风险控制成本，和从相关风险管理中获取利益。实施风险控制政策是管理层职责，在推行其职责过程中，管理层应确定、评价企业所面临风险，并实施董事会所设计、运行内部控制政策。企业职员有义务将内部控制作为实现其责任目标组成部分，她们应集体含有必需知识、技能、信息和授权，以建立、运行和监督企业内部控制系统。这要求对企业及其目标，所处产业和市场和面临风险有深入了解。合理内部控制要素包含政策、程序、任务、行

9、为和企业其它方面，这些要素结合在一起，对影响企业目标实现重大商业性、业务性、财务性和遵照性风险做出正确反应，以提升企业经营效率和效果。其中包含避免资产不妥使用、损失或舞弊，并确保已对负债进行了确定和管理。企业内部控制应反应组织结构在内控制环境，包含：(1)控制活动；(2)信息和沟通程序；(3)连续性监督程序。特恩布尔汇报指出了健全内部控制所应含有基础特征：(1)它根植于企业经营之中，形成企业文化一部分。换言之，它不仅仅是为了取悦监管者而进行年度例行检验; (2)针对企业面临不停改变风险，含有快速反应能力; (3)含有对管理中存在缺点或失败进行快速汇报能力，而且能立即地采取纠正方法。对内部控制有

10、效性进行复核是董事会职责必备部分。董事会应在谨慎、仔细地了解信息基础上形成对内部控制是否有效正确判定。董事会应限定对内部控制复核过程，包含十二个月中复核范围、收到汇报频率和年度评定程序等，这也将为企业年报和统计中内部控制申明提供合适支持。内部控制发展若干趋势一、对内部控制有效性进行汇报要求日趋减弱卡德伯利汇报提议，董事应就内部控制有效性进行汇报，并要求审计师对董事会汇报进行复核。由此产生了一系列问题，其中之一就是审计师应向谁进行汇报、是否应将其复核汇报公开。在向社会公众提供公开汇报方面，有效性要求使董事会和审计师均感到很迷惑，因为那将意味着内部控制将为避免错误或舞弊提供“绝对确保”，而实际上没

11、有一个内部控制系统能够完全避免人为错误。假如因为非有意原因造成错误陈说或遗漏，董事或审计师将因为其确定有效性而负担法律责任。Power(1997)研究发觉，当内部控制及其有效性概念仍处于模糊状态时，董事会及会计师均不愿做出这么申明。和卡德伯利汇报形成鲜明对比是，哈姆佩尔汇报激励而非要求董事就内部控制有效性作出判定，并对卡德伯利准则中第4.5条款进行了修改，将原来“董事应就企业内部控制有效性进行汇报”，修改为“董事应对企业内部控制进行汇报”，删除了“有效性”一词。哈姆佩尔汇报提议，在董事会汇报中明确董事在内部控制方面责任，说明内部控制仅能为避免重大错误或遗漏提供“合理”确保，描述企业为提供有效财

12、务控制而建立关键程序，并确定董事已经就系统有效性进行了复核。哈姆佩尔汇报认为，审计师无须向社会公众公布其对董事会汇报审查结果。这么做会在董事会和审计师之间建立更为有效沟通渠道，使得最好实务在汇报范围和性质方面不停进步。而特恩布尔汇报则要求，董事会应对企业内部控制有效性进行复核，总结进行复核所使用程序，并在年度汇报或统计中披露用于处理内部控制重大问题方法和过程，董事会最少还应披露用于确定、评定和管理关键风险连续性监督程序。特恩布尔汇报还激励董事会在年报中提供额外信息，以帮助信息使用者了解企业风险管理程序和内部控制。由此可见，英国对相关企业内部控制汇报和披露方面要求并未放松，但对内部控制有效性进行

13、汇报要求却日趋减弱。二、内部控制和风险管理融合日趋紧密表一概括了英中国部控制范围演化过程和发展趋势。卡德伯利汇报和拉特曼汇报对内部控制要求关键限于财务控制，而财务控制关键功效在于保护资产安全、保持正确财务会计统计和确保企业内部使用和向外部提供财务信息可靠性。哈姆佩尔汇报则向前推进了一步，认为极难将财务控制和其它控制区分开来，激励董事对有效经营、遵守法律法规等方面进行复核，从而大大扩大了内部控制范围。特恩布尔汇报再次扩大了内部控制范围，将其和风险管理联络起来。内部控制和风险管理结合很早就引发了大家关注，但二者关系仍无普遍认可见解。一个见解认为内部控制隶属于风险管理范围，是风险管理方法之一。比如K

14、rogstad(1999)就认为内部控制不存在于真空或暗箱之中，而存在于帮助组织进行风险管理并提升有效治理程序之中，McNamee也认为内部控制是企业管理者对企业风险反应。另一个有代表性见解是将风险管理纳入内部控制体系，认为控制包含了风险。比如，美国COSO汇报将风险评定视为内部控制五个要素之一。加拿大CICA控制委员会则认为“控制应包含对风险确实定和规避”(1999)。经过争论和实践，大家对二者关系认识不停深化，逐步认识到将二者关系隔离分析方法是不可取，内部控制和风险管理只有相融合，才能实现最好效果。比如，Blackburn(1999)就认为“风险管理和内部控制仅是人为分离，而在现实商业行为

15、中，她们是一体化”，这种融合极大地推进了内部控制订义发展。Maijoor()曾指出定义内部控制困难所在，并深入认为目前内部控制研究是零碎和不完善，内部控制在企业治理中作用并不显著，造成政策提议建立在未经证实假设之上。特恩布尔汇报转向扩张观念，将内部控制和风险管理合为一体，认为二者是近乎等同概念。这是英国和企业治理相关公开文件中，第一次强调内部控制和企业风险关系。而以前卡德伯利汇报没有明确二者之间关系，哈姆佩尔汇报也仅在内部控制环境下简单地提及风险管理。特恩布尔汇报认为企业经营目标、内部控制组织和环境处于不停改变之中，作为结果，其面临风险也在不停改变。一个健全内部控制依靠于对企业所面临风险性质和

16、程度全方面、综合评价。因为利润本身部分地作为企业成功冒险回报，内部控制目标就是帮助正确地管理和控制风险，而非降低风险。正如该委员会主席尼格尔特恩布尔所说：“我们致力于制订实务指南，以确保董事会知晓企业所面临关键风险，并制订对应程序对风险进行管理，实施管理层负责经过建立有效内部控制系统进行风险管理，而董事会作为一个整体对其进行汇报。”这种融合避免了对内部控制订义不清麻烦，使之从传统内部财务控制狭窄范围内摆脱出来，扩展至经过战略参与企业价值发明，同时亦标志着风险导向内部控制时代来临。三、内部审计角色由监督者逐步转变为控制者内部审计一度曾被定在“监督者”角色。卡德伯利汇报认为，内部审计是对外部审计补

17、充，建立内部审计机构对关键控制和程序进行监督是良好企业实务组成部分，这种日常监督也是企业内部控制整体中一部分，它有利于保持内部控制系统有效性。内部控制代表董事会对任何有舞弊可疑性行为实施调查，为确保其地位独立性，应使内部审计责任人和审计委员会主席沟通通畅无阻。哈姆佩尔汇报却认为，没有必需对内部审计做出严格要求，但董事会应常常考虑，是否需要建立独立内部审计机构。特恩布尔汇报对内部审计做出了更为具体指导，认为是否建立内部审计机构不能一概而论，而是取决于企业具体原因。这些原因包含规模、企业行为多样性和复杂性、职员数量和成本效益方面考虑。高级管理人员和董事会需要对风险和控制给出客观确保和提议，一个有效

18、内部审计部门(或独立第三方)则能够提供这种确保和提议，内部审计亦能够在诸如健康和安全、管制和法律遵守及环境等问题提供确保和提议。特恩布尔汇报认为，在决定是否有必需建立单独内部审计机构这一问题上，董事会应考虑企业行为、市场、组织重构、信息系统和其它外部环境方面原因是否会增加企业所面临风险。那些未建立内部审计机构企业，其管理人员应使用其它监督程序，以确保内部控制能正常、按要求运转，董事会有必需对这些程序是否提供足够和客观确保进行评定。特恩布尔汇报还认为，内部审计师关键作用是确证和提议，而不再是以往“监督和复核”。这一转变给予内部审计更多内涵，也推进了英中国部审计职业角色转变。这一转变也和内部审计师

19、协会(IIA)将内部审计定位成增值性审计想法不谋而合。在风险导向内部控制下，内部审计计划和企业风险管理策略联络在一起，内部审计利用对目前风险分析，确保其审计计划和企业经营计划相一致。正如McNamee所预言那样，内部审计师应成为内部战略计划者-一个管理控制扩展，以确保系统正常运做，实现组织目标，内部审计师应最终脱离狭隘会计之源。在变革时代，内部审计师应在全方面管理中发挥更高价值功效，这一崭新定位已经成为内部审计师职业发展目标，也为内部审计师在组织中占据新位置提供了机遇。四、内部控制自我评定日益受到重视内部控制自我评定(CAS)是企业管理层和职员在专题讨论中，共同对内部控制进行评定(Mc Nam

20、ee，1995)。自我评定是组织监督和评定内部控制系统关键工具，它将运行和维持内部控制关键责任给予企业管理层，同时使职员和内部审计和管理层一道负担对内部控制评定责任。这使以往由内部审计对控制充足性及有效性进行独立验证发展到全新阶段，即经过设计、计划和运行内部控制自我评定程序，由组织整体对管理控制和治理负责。英国一直重视内部控制自我评定，但卡德伯利汇报和哈姆佩尔汇报仅要求对内部控制系统进行复核(review)。而在特恩布尔汇报中，则第一次使用了评定(assessment)字眼，汇报还用相当大篇幅对内部控制自我评定做出了标准性要求。特恩布尔汇报要求，在给董事会汇报中，管理层应对和其相关领域中所存在

21、风险，和对应内部控制系统有效性提供平衡自我评定。特恩布尔汇报认为，在对内部控制进行自我评定时，应尤其考虑以下多个问题：(1)自上次评定以来，关键风险性质和程度所发生改变，和企业对这些商业风险和外部环境改变所做出反应能力。(2)管理层对内部控制系统和风险连续监督范围和质量，和内部审计功效和其它确保方法工作情况怎样。(3)就监督结果和董事会交流程度和频率，方便在企业内建立起累计评定体系，对内部控制情况及风险管理有效程度加以评定。(4)期间内任一时间所确定重大控制失败或弱点，及其所造成或可能造成不可遇见结果及或有事项程度，和对企业财务情况和业绩产生重大影响。(5)企业公开汇报程序有效性。一旦知道内部

22、控制中所存在重大失败或弱点，董事会应决定这种失败或弱点是怎样产生，并对内部控制系统有效性进行重新评定。从上述情况看，尽管汇报还未对评定程序、方法等做出更为具体要求，但显著地，对内部控制自我评定重视程度，是日益加强。几点启示一、内部控制理论研究定位问题长久以来，我中国部控制理论研究关键集中于会计审计领域，侧重从会计和审计角度研究内部控制，其研究结果也关键服务于审计方法应用、审计成本节省和审计风险控制。注册会计师职业在审计中采取制度基础审计方法，经过对内部控制测试，确定审计关键和风险，深入修改审计计划，而内部审计师则将内部控制作为监督或评价关键目标。仅从会计和审计角度研究内部控制，肯定造成视角过于

23、狭窄。1996年财政部颁布独立审计具体准则第9号内部控制和审计风险，对企业内部控制订义、目标和不足等做出了较为全方面叙述，但它所采取内部控制是英、美等国家所“淘汰”概念，其作用也仅局限于对注册会计师从事审计业务提供具体指导。财政部颁布内部会计控制规范基础规范(试行)是现在我中国部控制领域内最具权威标准，也是上市企业进行内部控制实践所依据标准，但该规范仍局限在内部会计控制领域。而英中国部控制发展，经历了财务控制、财务控制和管理控制相结合、内部控制和风险管理相融合等多个阶段，其范围不停扩大，早已超出了会计控制范围。1月，中国证监会颁布了中国第一部企业治理准则上市企业治理准则，对企业治理很多方面进行

24、了规范，但该准则却并没有包含内部控制方面内容，这使得该准则自诞生之日起便带有显著缺点。企业治理和内部控制之间应形成良性互动关系，内部控制发展离不开企业治理推进，企业治理优化也离不开有效内部控制作为保障。我们认为，二者间关系应该在准则中得到反应，治理准则对内部控制、内部审计亦应作出明确要求。英中国部控制发展离不开企业治理推进，内部控制和内部审计研究均置于企业治理框架之内，重视从企业治理角度研究内部控制，把内部控制看作企业治理有机组成部分。我们认为，应借鉴其英中国部控制研究经验，加强对内部控制理论研究，致力于研究内部控制是否对企业治理产生影响、这种影响机制怎样发生作用和企业董事会和管理层怎样设计、

25、运行企业内部控制机制等基础理论问题。二、对内部控制有效性进行强制性汇报有待商榷现在中国上市企业内部控制实施是强制性披露制度。即使这种强制性信息披露有利于投资者了解上市企业相关信息和投资决议。不过，这种强制性披露要求合理性仍值得商榷。因为，假如企业或注册会计师在汇报中认为上市企业内部控制是“有效性”，这就意味着她们做出了某种承诺和确保，且给人绝对承诺和确保印象。实际上，内部控制所能提供仅是“合理”确保，而非“绝对”确保，这种绝正确确保很轻易将本身置于潜在诉讼风险之中。正是出于对诉讼风险担心，英国上市企业董事及注册会计师才反复游说，最终取消了对“有效性”汇报要求。因为内部控制涵盖范围很大，包含到财

26、务会计、经营管理、正当合规等很多方面，使得任何一起证券市场民事诉讼全部有可能牵扯到内部控制。提议人、负有责任董事、监事和注册会计师全部有可能因对内部控制“有效性”做出承诺而面临诉讼，而造成巨额赔偿。所以，要求上市企业或注册会计师对内部控制有效性进行汇报做法，值得深入探讨。这是英中国部控制发展给我们另一个启示。三、风险导向内部审计是内部审计发展方向伴随风险导向内部控制时代来临，内部审计工作关键也发生改变，由“控制”转向“风险”。现代内部审计除了关注传统内部控制之外，更关注有效风险管理机制和健全企业治理结构(王光远，)。在风险导向内部审计观念下，年度审计计划和企业最高层风险战略连接在一起，内部审计

27、人员经过对目前风险分析确保其审计计划和经营计划相一致，使用风险管理标准改变审核过程。风险管理成为组织中关键步骤，促进内部审计工作关键不再是测试控制，而是确定风险及测试管理风险方法，在风险导向内部审计中，控制仍然关键，但分析、确定、揭示关键性经营风险，才是内部审计焦点。现在我中国部审计面临着和内部控制研究相同问题，即内部审计还未和企业治理相结合，成为企业治理有机部分。目前中国企业内部审计关键将大部分精力用于财务数据真实性、正当性查证和生产经营监督，管理审计还未得到广泛开展。所以，我们认为应顺应内部审计科学发展客观规律，在实践中有意识地推进内向型管理审计发展。从强调确定和测试控制完整性，逐步转向强调确定和测试风险是否得到有效管理，从传统强调关注风险原因，逐步转向关注情景计划。内向型管理审计提议应不再仅是强化控制、提升控制效率和效果，而应该是规避风险、转移风险和控制风险，经过风险管理有效化，提升整体管理效率和效果。