公司治理和內(nèi)部控制報告

公司治理和內(nèi)部控制報告卡德伯利報告卡德伯利報告認為，有效的內(nèi)部控制是公司有效管理的一個重要方面。因此建議董事們應發(fā)表一個聲明，對公司內(nèi)部控制的有效性進行詳細描述，同時規(guī)定審計委員會應對公司的內(nèi)部控制聲明進行復核。該報告還認為，內(nèi)部審計有助于確保內(nèi)部控制的有效性，內(nèi)部審計的日常監(jiān)督是內(nèi)部控制的整體組成部分?？ǖ虏麍蟾嬖谠S多方面開創(chuàng)了英國公司治理歷史的先河，它明確要求建立審計委員會，強調(diào)內(nèi)部審計的日常監(jiān)督是內(nèi)部控制的整體組成部分。一、卡德伯利報告卡德伯利報告從財務(wù)角度研究公司治理，同時將內(nèi)部控制置于公司治理的框架之下。其實，1985年“公司法”S.221條款就規(guī)定，董事對公司保持充分的會計記錄負責，為滿足上述要求，在現(xiàn)實中董事必須建立公司財務(wù)管理方面的內(nèi)部控制制度，包括設(shè)計程序使舞弊風險最小化。也就是說，1985年的“公司法”已經(jīng)對董事確保適當?shù)膬?nèi)部控制制度提出了含蓄的要求。卡德伯利報告進一步認為，有效的內(nèi)部控制是公司有效管理的一個重要方面。因此建議董事們應發(fā)表一個聲明，對公司內(nèi)部控制的有效性進行詳細描述，外部審計師對其聲明進行復核(review和報告，同時規(guī)定在董事會認) 可聲明之前，審計委員會應對公司的內(nèi)部控制聲明進行復核。該報告還認為，內(nèi)部審計有助于確保內(nèi)部控制的有效性，內(nèi)部審計的日常監(jiān)督是內(nèi)部控制的整體組成部分，會計師職業(yè)應在以下方面起到領(lǐng)導作用:?(1)開發(fā)用以評估有效性的一整套標準;?(2)開發(fā)董事會報告形式的具體指南;?(3)開發(fā)審計師用以相關(guān)審計程序和報告格式的具體指南?？ǖ虏麍蟾嬖谠S多方面開創(chuàng)了英國公司治理歷史的先河，它明確要求建立審計委員會、實行獨立董事制度，同時將內(nèi)部控制作為公司治理的組成部分。盡管報告尚存在許多局限性，但它所確認的公司治理的許多原則一直沿用至今二、哈姆佩爾報告哈姆佩爾報告將內(nèi)部控制的目的定位于保護資產(chǎn)的安全、保持正確的財務(wù)會計記錄、保證公司內(nèi)部使用和向外部提供的財務(wù)信息的可靠性，同時鼓勵董事對內(nèi)部控制的各個方面進行復核，包括確保高效經(jīng)營、遵守法律法規(guī)方面的控制。哈姆佩爾報告認為，很難將財務(wù)控制與其他控制區(qū)分開來，并堅信董事及管理人員對控制的各個方面進行復核具有重要意義，內(nèi)部控制不應僅局限于公司治理的財務(wù)方面。該報告全面贊同卡德伯利報告將內(nèi)部控制視為有效管理的重要方面的觀點，并認為董事會應該對內(nèi)部控制進行復核以強調(diào)相關(guān)控制目標，這些目標包括對企業(yè)風險評估和反映、財務(wù)管理、遵守法律法規(guī)、保護資產(chǎn)安全以及使舞弊風險最小化等方面。盡管哈姆佩爾報告所提出的準則，將公司治理向前推進了一步，但并未滿足普遍的要求，其主要的批評意見集中于該報告的內(nèi)容缺乏新意、委員會主要由既得利益者組成、有關(guān)原則難以付諸實施、責任不夠明確等。當時貿(mào)易與工業(yè)部的負責人瑪格麗特·貝凱特就認為，報告在受托責任與透明度方面仍有不足。三、特恩布爾報告卡德伯利報告和哈姆佩爾報告都程度不同地對公司內(nèi)部控制提出了要求，作為集大成者的綜合準則在“最佳實務(wù)準則(Best?Practice?Code)”中對內(nèi)部控制提出了綜合性和原則性的規(guī)定。盡管綜合準則要求公司董事會應建立健全內(nèi)部控制，但是該準則并未就如何構(gòu)建“健全的內(nèi)部控制”提供詳細的指南。因此，英格蘭和威爾士特許會計師協(xié)會(ICAEW)與倫敦證券交易所達成一致，為上市公司執(zhí)行準則中與內(nèi)部控制相關(guān)的要求提供具體指南。1999年ICAEW組成的以尼格爾·特恩布爾(Nigel?Turnbull為主)席的十人工作小組公布了《內(nèi)部控制：綜合準則董事指南》，即特恩布爾報告。作為指導企業(yè)構(gòu)建內(nèi)部控制的指南，該報告的意義在于，它為公司及董事會提供了具體的、頗具可行性的內(nèi)部控制指引。其主要內(nèi)容是：董事會對公司的內(nèi)部控制負責，應制定正確的內(nèi)部控制政策，并尋求日常的保證，使內(nèi)部控制系統(tǒng)有效發(fā)揮作用，還應進一步確認內(nèi)部控制在風險管理方面是有效的。在決定內(nèi)部控制政策，并在此基礎(chǔ)上評估特定環(huán)境下內(nèi)部控制的構(gòu)成時，董事會應對以下問題進行深入思考：(1)公司面臨風險的性質(zhì)和程度;(2)公司可承受風險的程度和類型;(3)風險發(fā)生的可能性;(4)公司減少事故的能力及對已發(fā)生風險的影響;(5)實施特殊風險控制的成本，以及從相關(guān)風險管理中獲取的利益。執(zhí)行風險控制政策是管理層的職責，在履行其職責的過程中，管理層應確認、評價公司所面臨的風險，并執(zhí)行董事會所設(shè)計、運行的內(nèi)部控制政策。公司員工有義務(wù)將內(nèi)部控制作為實現(xiàn)其責任目標的組成部分，他們應集體具備必要的知識、技能、信息和授權(quán)，以建立、運行和監(jiān)督公司內(nèi)部控制系統(tǒng)。這要求對公司及其目標，所處的產(chǎn)業(yè)和市場以及面臨的風險有深入的理解。合理的內(nèi)部控制要素包括政策、程序、任務(wù)、行為以及公司的其他方面，這些要素結(jié)合在一起，對影響公司目標實現(xiàn)的重大的商業(yè)性、業(yè)務(wù)性、財務(wù)性和遵循性風險做出正確反應，以提高公司經(jīng)營的效率和效果。其中包括避免資產(chǎn)的不當使用、損失或舞弊，并保證已對負債進行了確認和管理。公司的內(nèi)部控制應反映組織結(jié)構(gòu)在內(nèi)的控制環(huán)境，包括：(1)控制活動;(2)信息和溝通程序;(3)持續(xù)性監(jiān)督程序。特恩布爾報告指出了健全的內(nèi)部控制所應具備的基本特征：(1)它根植于公司的經(jīng)營之中，形成公司文化的一部分。換言之，它不僅僅是為了取悅監(jiān)管者而進行的年度例行檢查;?(2)針對公司面臨的不斷變化的風險，具有快速反應的能力;?(3)具有對管理中存在的缺陷或失敗進行快速報告的能力，并且能及時地采取糾正措施。對內(nèi)部控制有效性進行復核是董事會職責的必備部分。董事會應在謹慎、仔細地了解信息的基礎(chǔ)上形成對內(nèi)部控制是否有效的正確判斷。董事會應限定對內(nèi)部控制復核的過程，包括一年中復核的范圍、收到報告的頻率以及年度評估的程序等，這也將為公司年報和記錄中的內(nèi)部控制聲明提供適當?shù)闹С帧?nèi)部控制發(fā)展的若干趨勢一、對內(nèi)部控制有效性進行報告的要求日趨減弱卡德伯利報告建議，董事應就內(nèi)部控制的有效性進行報告，并要求審計師對董事會報告進行復核。由此產(chǎn)生了一系列問題，其中之一就是審計師應向誰進行報告、是否應將其復核報告公開。在向社會公眾提供公開報告方面，有效性要求使董事會和審計師均感到很困惑，因為那將意味著內(nèi)部控制將為避免錯誤或舞弊提供“絕對保證”，而事實上沒有一個內(nèi)部控制系統(tǒng)能夠完全避免人為錯誤。如果由于非故意原因?qū)е洛e誤陳述或遺漏，董事或?qū)徲嫀煂⒁驗槠浯_認的有效性而承擔法律責任.Power(1997)的研究發(fā)現(xiàn)，當內(nèi)部控制及其有效性的概念仍處于模糊狀態(tài)時，董事會及會計師均不愿做出這樣的聲明。與卡德伯利報告形成鮮明對比的是，哈姆佩爾報告鼓勵而非要求董事就內(nèi)部控制的有效性作出判斷，并對卡德伯利準則中的第4.5條款進行了修改，將原來的“董事應就公司內(nèi)部控制的有效性進行報告”，修改為“董事應對公司內(nèi)部控制進行報告”，刪除了“有效性”一詞。哈姆佩爾報告建議，在董事會報告中明確董事在內(nèi)部控制方面的責任，說明內(nèi)部控制僅能為避免重大的錯誤或遺漏提供“合理”保證，描述公司為提供有效的財務(wù)控制而建立的主要程序，并確認董事已經(jīng)就系統(tǒng)的有效性進行了復核。哈姆佩爾報告認為，審計師不必向社會公眾公布其對董事會報告的審查結(jié)果。這樣做會在董事會與審計師之間建立更為有效的溝通渠道，使得最佳實務(wù)在報告的范圍和性質(zhì)方面不斷進步。而特恩布爾報告則規(guī)定，董事會應對公司內(nèi)部控制的有效性進行復核，總結(jié)進行復核所使用的程序，并在年度報告或記錄中披露用于解決內(nèi)部控制重大問題的方法和過程，董事會至少還應披露用于確認、評估和管理重要風險的持續(xù)性監(jiān)督程序。特恩布爾報告還鼓勵董事會在年報中提供額外的信息，以幫助信息使用者理解公司的風險管理程序和內(nèi)部控制。由此可見，英國對有關(guān)公司內(nèi)部控制的報告和披露方面的要求并未放松，但對內(nèi)部控制有效性進行報告的規(guī)定卻日趨減弱。二、內(nèi)部控制與風險管理的融合日趨緊密表一概括了英國內(nèi)部控制范圍的演化過程和發(fā)展趨勢?？ǖ虏麍蟾婧屠芈鼒蟾鎸?nèi)部控制的要求主要限于財務(wù)控制，而財務(wù)控制的主要功能在于保護資產(chǎn)的安全、保持正確的財務(wù)會計記錄以及確保公司內(nèi)部使用和向外部提供的財務(wù)信息的可靠性。哈姆佩爾報告則向前推進了一步，認為很難將財務(wù)控制與其他控制區(qū)分開來，鼓勵董事對有效經(jīng)營、遵守法律法規(guī)等方面進行復核，從而大大擴大了內(nèi)部控制的范圍。特恩布爾報告再次擴大了內(nèi)部控制的范圍，將其與風險管理聯(lián)系起來。內(nèi)部控制與風險管理的結(jié)合很早就引發(fā)了人們的關(guān)注，但兩者的關(guān)系仍無普遍認可的觀點。一種觀點認為內(nèi)部控制從屬于風險管理的范疇，是風險管理的方式之一。例如Krogstad(1999)就認為內(nèi)部控制不存在于真空或暗箱之中，而存在于協(xié)助組織進行風險管理并提升有效的治理程序之中，McNamee也認為內(nèi)部控制是企業(yè)管理者對企業(yè)風險的反應。另一種有代表性的觀點是將風險管理納入內(nèi)部控制體系，認為控制包含了風險。例如，美國的COSO報告將風險評估視為內(nèi)部控制的五個要素之一。加拿大CICA的控制委員會則認為“控制應包括對風險的確認和規(guī)避”(1999)。經(jīng)過爭論和實踐，人們對二者關(guān)系的認識不斷深化，逐漸認識到將兩者關(guān)系隔離的分析方法是不可取的，內(nèi)部控制與風險管理只有相融合，才能實現(xiàn)最佳效果。例如，Blackburn(1999)就認為“風險管理與內(nèi)部控制僅是人為的分離，而在現(xiàn)實的商業(yè)行為中，他們是一體化的”，這種融合極大地推進了內(nèi)部控制定義的發(fā)展。Maijoor(2000)曾指出定義內(nèi)部控制的困難所在，并進一步認為當前內(nèi)部控制的研究是零散和不完善的，內(nèi)部控制在公司治理中的作用并不明顯，導致政策建議建立在未經(jīng)證實的假設(shè)之上。特恩布爾報告轉(zhuǎn)向擴張的觀念，將內(nèi)部控制與風險管理合為一體，認為兩者是近乎等同的概念。這是英國與公司治理相關(guān)的公開文件中，第一次強調(diào)內(nèi)部控制與企業(yè)風險的關(guān)系。而此前的卡德伯利報告沒有明確兩者之間的關(guān)系，哈姆佩爾報告也僅在內(nèi)部控制的環(huán)境下簡單地提及風險管理。特恩布爾報告認為公司經(jīng)營的目標、內(nèi)部控制組織和環(huán)境處于不斷變化之中，作為結(jié)果，其面臨的風險也在不斷變化。一個健全的內(nèi)部控制依賴于對公司所面臨風險性質(zhì)和程度的全面、綜合的評價。因為利潤本身部分地作為企業(yè)成功冒險的回報，內(nèi)部控制的目的就是幫助正確地管理和控制風險，而非減少風險。正如該委員會主席尼格爾·特恩布爾所說：“我們致力于制定實務(wù)指南，以保證董事會知曉公司所面臨的重要風險，并制定相應的程序?qū)︼L險進行管理，執(zhí)行的管理層負責通過建立有效的內(nèi)部控制系統(tǒng)進行風險管理，而董事會作為一個整體對其進行報告?！边@種融合避免了對內(nèi)部控制定義不清的麻煩，使之從傳統(tǒng)的內(nèi)部財務(wù)控制的狹窄范圍內(nèi)擺脫出來，擴展至通過戰(zhàn)略參與公司價值創(chuàng)造，同時亦標志著風險導向內(nèi)部控制時代的來臨。三、內(nèi)部審計的角色由監(jiān)督者逐步轉(zhuǎn)變?yōu)榭刂普邇?nèi)部審計一度曾被定位于“監(jiān)督者”的角色?？ǖ虏麍蟾嬲J為，內(nèi)部審計是對外部審計的補充，建立內(nèi)部審計機構(gòu)對關(guān)鍵控制和程序進行監(jiān)督是良好公司實務(wù)的組成部分，這種日常監(jiān)督也是公司內(nèi)部控制整體中的一部分，它有利于保持內(nèi)部控制系統(tǒng)的有效性。內(nèi)部控制代表董事會對任何有舞弊可疑性的行為執(zhí)行調(diào)查，為保證其地位的獨立性，應使內(nèi)部審計負責人與審計委員會主席的溝通暢通無阻。哈姆佩爾報告卻認為，沒有必要對內(nèi)部審計做出嚴格的規(guī)定，但董事會應經(jīng)?？紤]，是否需要建立獨立內(nèi)部審計機構(gòu)。特恩布爾報告對內(nèi)部審計做出了更為詳細的指引，認為是否建立內(nèi)部審計機構(gòu)不能一概而論，而是取決于公司具體的因素。這些因素包括規(guī)模、公司行為的多樣性和復雜性、員工的數(shù)量以及成本效益方面的考慮。高級管理人員和董事會需要對風險和控制給出客觀的保證和建議，一個有效的內(nèi)部審計部門(或獨立第三方)則可以提供這種保證和建議，內(nèi)部審計亦可以在諸如健康和安全、管制和法律遵守及環(huán)境等問題提供保證和建議。特恩布爾報告認為，在決定是否有必要建立單獨的內(nèi)部審計機構(gòu)這一問題上，董事會應考慮公司行為、市場、組織重構(gòu)、信息系統(tǒng)和其他外部環(huán)境方面因素是否會增加公司所面臨的風險。那些未建立內(nèi)部審計機構(gòu)的公司，其管理人員應使用其他監(jiān)督程序，以確保內(nèi)部控制能正常、按要求運轉(zhuǎn)，董事會有必要對這些程序是否提供足夠和客觀的保證進行評估。特恩布爾報告還認為，內(nèi)部審計師的主要作用是"確證和建議"，而不再是以往的“監(jiān)督和復核”。這一轉(zhuǎn)變賦予內(nèi)部審計更多的內(nèi)涵，也推動了英國內(nèi)部審計職業(yè)角色的轉(zhuǎn)變。這一轉(zhuǎn)變也與內(nèi)部審計師協(xié)會(iia將)內(nèi)部審計定位成增值性審計的想法不謀而合。在風險導向的內(nèi)部控制下，內(nèi)部審計計劃與公司風險管理策略聯(lián)系在一起，內(nèi)部審計利用對當前的風險分析，保證其審計計劃與企業(yè)的經(jīng)營計劃相一致。正如mcnamee所預言的那樣，內(nèi)部審計師應成為內(nèi)部戰(zhàn)略計劃者--一個管理控制的擴展，以確保系統(tǒng)正常運做，實現(xiàn)組織目標，內(nèi)部審計師應最終脫離狹隘的會計之源。在變革的時代，內(nèi)部審計師應在全面管理中發(fā)揮更高價值的功能，這一嶄新的定位已經(jīng)成為內(nèi)部審計師職業(yè)發(fā)展的目標，也為內(nèi)部審計師在組織中占據(jù)新的位置提供了機遇。四、內(nèi)部控制自我評估日益受到重視 內(nèi)部控制自我評估(cas是公司管理層和員工在專題討論中，) 共同對內(nèi)部控制進行的評估(mcnamee，1995)。自我評估是組織監(jiān)督和評估內(nèi)部控制系統(tǒng)的主要工具，它將運行和維持內(nèi)部控制的主要責任賦予公司管理層，同時使員工和內(nèi)部審計與管理層一道承擔對內(nèi)部控制評估的責任。這使以往由內(nèi)部審計對控制的充足性及有效性進行獨立驗證發(fā)展到全新的階段，即通過設(shè)計、規(guī)劃和運行內(nèi)部控制自我評估程序，由組織整體對管理控制和治理負責。英國一直重視內(nèi)部控制的自我評估，但卡德伯利報告和哈姆佩爾報告僅要求對內(nèi)部控制系統(tǒng)進行復核(review。)而在特恩布爾報告中，則第一次使用了評估(assessment的)字眼，報告還用相當大篇幅對內(nèi)部控制自我評估做出了原則性的規(guī)定。特恩布爾報告規(guī)定，在給董事會的報告中，管理層應對與其相關(guān)的領(lǐng)域中所存在的風險，以及相應的內(nèi)部控制系統(tǒng)的有效性提供平衡的自我評估。特恩布爾報告認為，在對內(nèi)部控制進行自我評估時，應特別考慮以下幾個問題：(1)自上次評估以來，重要風險的性質(zhì)和程度所發(fā)生的變化，以及公司對這些商業(yè)風險和外部環(huán)境變化所做出反應的能力。(2)管理層對內(nèi)部控制系統(tǒng)和風險持續(xù)監(jiān)督的范圍和質(zhì)量，以及內(nèi)部審計功能和其他保證方式的工作狀況如何。(3)就監(jiān)督的結(jié)果與董事會交流的程度和頻率，以便在公司內(nèi)建立起累計評估體系，對內(nèi)部控制狀況及風險管理有效程度加以評估。(4)期間內(nèi)任一時間所確認的重大控制失敗或弱點，及其所導致或可能導致的不可遇見的結(jié)果及或有事項的程度，以及對公司財務(wù)狀況和業(yè)績產(chǎn)生的重大影響。(5)公司公開報告程序的有效性。一旦知道內(nèi)部控制中所存在的重大失敗或弱點，董事會應決定這種失敗或弱點是如何產(chǎn)生的，并對內(nèi)部控制系統(tǒng)的有效性進行重新評估。從上述情況看，盡管報告尚未對評估的程序、方法等做出更為具體的規(guī)定，但明顯地，對內(nèi)部控制自我評估的重視程度，是日益加強的。上一頁幾點啟示一、內(nèi)部控制理論研究定位問題長期以來，我國內(nèi)部控制理論研究主要集中于會計審計領(lǐng)域，側(cè)重從會計和審計的角度研究內(nèi)部控制，其研究成果也主要服務(wù)于審計方法的應用、審計成本的節(jié)約和審計風險的控制。注冊會計師職業(yè)在審計中采用制度基礎(chǔ)審計方法，通過對內(nèi)部控制的測試，確定審計的重點和風險，進一步修改審計計劃，而內(nèi)部審計師則將內(nèi)部控制作為監(jiān)督或評價的重點目標。僅從會計和審計的角度研究內(nèi)部控制，必然導致視角過于狹窄。1996年財政部頒布的《獨立審計具體準則第9號—內(nèi)部控制和審計風險》，對企業(yè)內(nèi)部控制的定義、目標和局限性等做出了較為全面的闡述，但它所采用的內(nèi)部控制是英、美等國家所“淘汰”的概念，其作用也僅局限于對注冊會計師從事審計業(yè)務(wù)提供具體指引。2001年財政部頒布的《內(nèi)部會計控制規(guī)范——基本規(guī)范(試行)》是目前我國內(nèi)部控制領(lǐng)域內(nèi)最具權(quán)威的標準，也是上市公司進行內(nèi)部控制實踐所依據(jù)標準，但該《規(guī)范》仍局限在內(nèi)部會計控制領(lǐng)域。而英國內(nèi)部控制的發(fā)展，經(jīng)歷了財務(wù)控制、財務(wù)控制與管理控制相結(jié)合、內(nèi)部控制與風險管理相融合等幾個階段，其范圍不斷擴大，早已超出了會計控制的范圍。2002年1月，中國證監(jiān)會頒布了我國第一部公司治理準則—《上市公司治理準則》，對公司治理的諸多方面進行了規(guī)范，但該準則卻并沒有涉及內(nèi)部控制方面的內(nèi)容，這使得該準則自誕生之日起便帶有明顯的缺陷。公司治理與內(nèi)部控制之間應形成良性互動關(guān)系，內(nèi)部控制的發(fā)展離不開公司治理的推動，公司治理的優(yōu)化也離不開有效的內(nèi)部控制作為保障。我們認為，兩者間的關(guān)系應該在準則中得到反映，治理準則對內(nèi)部控制、內(nèi)部審計亦應作出明確的規(guī)定。英國內(nèi)部控制的發(fā)展離不開公司治理的推動，內(nèi)部控制和內(nèi)部審計研究均置于公司治理的框架之內(nèi)，重視從公司治理的角度研究內(nèi)部控制，把內(nèi)部控制看作公司治理的有機組成部分。我們認為，應借鑒其英國內(nèi)部控制研究的經(jīng)驗，加強對內(nèi)部控制理論的研究，致力于研究內(nèi)部控制是否對公司治理產(chǎn)生影響、這種影響機制如何發(fā)生作用以及公司董事會和管理層如何設(shè)計、運行公司內(nèi)部控制機制等基本理論問題。二、對內(nèi)部控制的有效性進行強制性報告有待商榷目前我國上市公司的內(nèi)部控制實行的是強制性披露制度。雖然這種強制性的信息披露有利于投資者了解上市公司的贊助商鏈接和投資決策。但是，這種強制性披露要求的合理性仍值得商榷。因為，如果公司或注冊會計師在報告中認為上市公司的內(nèi)部控制是“有效性”的，這就意味著他們做出了某種承諾和保證，且給人絕對承諾和保證的印象。實際上，內(nèi)部控制所能提供的僅是“合理”保證，而非“絕對”保證，這種絕對的保證很容易將自身置于潛在的訴訟風險之中。正是出于對訴訟風險的擔心，英國上市公司的董事及注冊會計師才反復游說，最終取消了對“有效性”報告的規(guī)定。由于內(nèi)部控制的涵蓋范圍很大，涉及到財務(wù)會計、經(jīng)營管理、合法合規(guī)等諸多方面，使得任何一起證券市場民事訴訟都有可能牽扯到內(nèi)部控制。發(fā)起人、負有責任的董事、監(jiān)事以及注冊會計師均有可能因?qū)?nèi)部控制的“有效性”做出承諾而面臨訴訟，而導致巨額的賠償。因此，要求上市公司或注冊會計師對內(nèi)部控制的有效性進行報告的做法，值得進一步探討。這是英國內(nèi)部控制發(fā)展給我們的另一個啟示。三、風險導向內(nèi)部審計是內(nèi)部審計的發(fā)展方向隨著風險導向內(nèi)部控制時代的來臨，內(nèi)部審計的工作重點也發(fā)生變化，由“控制”轉(zhuǎn)向“風險”?，F(xiàn)代內(nèi)部審計除了關(guān)注傳統(tǒng)的內(nèi)部控制之外，更關(guān)注有效的風險管理機制和健全的公司治理結(jié)構(gòu)(王光遠，2002)。在風險導向內(nèi)部審計觀念下，年度審計計劃與公司最高層的風險戰(zhàn)略連接在一起，內(nèi)部審計人員通過對當前的風險分析確保其審計計劃與經(jīng)營計劃相一致，使用風險管理原則改變審核過程。風險管理成為組織中關(guān)鍵流程，促使內(nèi)部審計的工作重點不再是測試控制，而是確認風險及測試管理風險的方法，在風險導向的內(nèi)部審計中，控制仍然重要，但分析、確認、揭示關(guān)鍵性的經(jīng)營風險，才是內(nèi)部審計的焦點。目前我國內(nèi)部審計面臨著與內(nèi)部控制研究相似的問題，即內(nèi)部審計尚未與公司治理相結(jié)合，成為公司治理的有機部分。當前我國企業(yè)內(nèi)部審計主要將大部分精力用于財務(wù)數(shù)據(jù)的真實性、合法性的查證和生產(chǎn)經(jīng)營的監(jiān)督，管理審計尚未得到廣泛的開展。因此，我們認為應順應內(nèi)部審計科學發(fā)展的客觀規(guī)律，在實踐中有意識地推動內(nèi)向型管理審計的發(fā)展。從強調(diào)確認和測試控制完整性，逐步轉(zhuǎn)向強調(diào)確認和測試風險是否得到有效管理，從傳統(tǒng)的強調(diào)關(guān)注風險因素，逐步轉(zhuǎn)向關(guān)注情景規(guī)劃。內(nèi)向型管理審計的建議應不再僅是強化控制、提高控制效率和效果，而應該是規(guī)避風險、轉(zhuǎn)移風險和控制風險，通過風險管理的有效化，提高整體管理效率和效果。與虛像財務(wù)報告有關(guān)。另外還涉及財務(wù)經(jīng)理、COO（首席經(jīng)營官）、其他高級副總裁和董事會成員。（2）審計委員會：大多數(shù)公司的審計委員會很少開會甚至沒有審計委員會。經(jīng)調(diào)查，涉及舞弊的公司的審計委員會一般一年只開一次會，25％的被調(diào)查公司沒有審計委員會，65％的審計委員會會計工作不稱職或沒有在主要的會計、財務(wù)崗位上的工作經(jīng)驗。（3）董事會：內(nèi)部人控制現(xiàn)象嚴重。經(jīng)調(diào)查，60％的董事是內(nèi)部人或與公司管理層有特殊關(guān)系的“灰色”（gray）董事、這些董事和經(jīng)理擁有近1／3的公司股份，CEO、總裁個人擁有近17％。大約40％的幸事會沒有獨立的外部董事，（4）裙帶關(guān)系：在董事、經(jīng)理以及有顯著權(quán)利的個人之間的家庭關(guān)系很普遍。經(jīng)調(diào)查，近40％的公司提供了有家庭關(guān)系的證據(jù)，約半數(shù)公司的創(chuàng)始人仍是現(xiàn)在在任的CEO，或最初的CEO仍在位，超過20％的公司的管理人員同時擁有不相容職權(quán)如CEO與CFO。針對上述的調(diào)查結(jié)果，研究人員就高級管理層和董事會的控制環(huán)境問題提出一些建議：（l）如同COSO報告《內(nèi)部控制一整體框架》中所強調(diào)的，不能過于夸大控制環(huán)境的重要性。要控制高級管理人員面臨的壓力。了解財務(wù)報告要求的高級管理人員要指導其他高級管理人員理解財務(wù)報告問題，限制過于偏激的報告；董事會成員和審計師要監(jiān)督防止經(jīng)理利用財務(wù)知識舞弊。（2）對于收入低于5千萬美元、審計委員會弱小的公司中出現(xiàn)的舞弊，強調(diào)嚴格的審計委員會工作的重要性，對于更小的公司也同樣重要。（3）需要認真考慮小公司是否要象大公司那樣強調(diào)董事的獨立性和專門技能。由于小公司的權(quán)利比較集中，有一個嚴謹?shù)亩聲O(jiān)督功能也許也很重要。（4）由于獨立的審計委員會的效果可能被其所獲得的信息的質(zhì)量、范圍所限制，要有效行使監(jiān)督職能，審計委員會就需獲取可靠的財務(wù)和非財務(wù)信息及行業(yè)的標準數(shù)據(jù)，對此，董事會和審計委員會應相互合作以獲取和其他信息提供者提供的相關(guān)、可靠信息。（5）投資者應意識到由家庭關(guān)系或個人集權(quán)所可能帶來的復雜問題。COSO報告概述COSO是全國虛假財務(wù)報告委員會下屬的發(fā)起人委員會（TheCommitteeofSponsoringOrganizationsofTheNationalCommissionofFraudulentFinancialReporting）的英文縮寫。根據(jù)薩班斯法案第404節(jié)條款以及美國證券交易委員會（SEC）的相應實施標準，要求公眾公司的管理層評估和報告公司最近年度的財務(wù)報告的內(nèi)部控制的有效性。2004年3月9日，PCAOB發(fā)布了其第2號審計標準：“與財務(wù)報表審計相關(guān)的針對財務(wù)報告的內(nèi)部控制的審計”，并于6月18日經(jīng)SEC批準。SEC對該標準的認同等于從另外一個側(cè)面承認了1992年COSO公布的《內(nèi)部控制—綜合框架》（也稱“COSO內(nèi)部控制框架”）。這也表明COSO框架已正式成為美國上市公司內(nèi)部控制框架的參照性標準。1992年Treadway委員會經(jīng)過多年研究，針對公司行政總裁、其他高級執(zhí)行官、董事、立法部門和監(jiān)管部門的內(nèi)部控制進行高度概括，發(fā)布《內(nèi)部控制一整體框架》（InternaControl－IntegratedFramework）報告，即通稱的COSO報告。該報告第一部分是概括；第二部分是定義框架，完整定義內(nèi)部控制，描述它的組成部分，為公司管理層、董事會和其他人員提供評價其內(nèi)部控制系統(tǒng)的規(guī)則；第三部分是對外部團體的報告；是為報告編制報表中的內(nèi)部控制的團體提供指南的補充文件；第四部分是評價工具，提供用以評價內(nèi)部控制系統(tǒng)的有用材料。COSO報告提出內(nèi)部控制是用以促進效率，減少資產(chǎn)損失風險，幫助保證財務(wù)報告的可靠性和對法律法規(guī)的遵從。COSO報告認為內(nèi)部控制有如下目標：經(jīng)營的效率和效果（基本經(jīng)濟目標，包括績效、利潤目標和資源、安全），財務(wù)報告的可靠性（與對外公布的財務(wù)報表編制相關(guān)的，包括中期報告、合并財務(wù)報表中選取的數(shù)據(jù)的可靠性）和符合相應的法律法規(guī)。[編輯]COSO報告中內(nèi)部控制的組成1.控制環(huán)境（Controlenvironment）它包括組織人員的誠實、倫理價值和能力；管理層哲學和經(jīng)營模式；管理層分配權(quán)限和責任、組織、發(fā)展員工的方式；董事會提供的關(guān)注和方向?？刂骗h(huán)境影響員工的管理意識，是其他部分的基礎(chǔ)。2.風險評估（riskassessment）是確認和分析實現(xiàn)目標過程中的相關(guān)風險，是形成管理何種風險的依據(jù)。它隨經(jīng)濟、行業(yè)、監(jiān)管和經(jīng)營條件而不斷變化，需建立一套機制來辨認和處理相應的風險。3.控制活動（controlactivities）是幫助執(zhí)行管理指令的政策和程序。它貫穿整個組織、各種層次和功能，包括各種活動如批準、授權(quán)、證實、調(diào)整、經(jīng)營績效評價、資產(chǎn)保護和職責分離等。4.信息和交流（informationandcommunication）信息系統(tǒng)產(chǎn)生各種報告，包括經(jīng)營、財務(wù)、守規(guī)等方面，使得對經(jīng)營的控制成為可能。處理的信息包括內(nèi)部生成的數(shù)據(jù)，也包括可用于經(jīng)營決策的外部事件、活動、狀況的信息和外部報告。所有人員都要理解自己在控制系統(tǒng)中所處的位置，以及相互的關(guān)系；必須認真對待控制賦予自己的責任，同時也必須同外部團體如客戶、供貨商、監(jiān)管機構(gòu)和股東進行有效的溝通。5.監(jiān)控（monitoring）監(jiān)控在經(jīng)營過程中進行，通過對正常的管理和控制活動以及員工執(zhí)行職責過程中的活動進行監(jiān)控，來評價系統(tǒng)運作的質(zhì)量。不同評價的范圍和步驟取決于風險的評估和執(zhí)行中的監(jiān)控程序的有效性。對于內(nèi)部控制的缺陷要及時向上級報告，嚴重的問題要報告到管理層高層和董事會。[編輯]COSO報告中內(nèi)部控制的職責（l）管理層：CEO最終負責整個控制系統(tǒng)。對大公司，CEO可把權(quán)限分配給高級經(jīng)理，并評價其控制活動，然后，高級經(jīng)理具體制定控制的程序和人員責任；對小公司，一切可更為直接，由最高經(jīng)理具體執(zhí)行。（2）董事會：管理層對董事會負責，由董事會設(shè)計治理結(jié)構(gòu)，指導監(jiān)管的進行。有效的董事會應掌握有效的上下溝通渠道，設(shè)立財務(wù)、內(nèi)部審計等職能，防止管理層超越控制，有意歪曲事實來掩蓋管理的缺陷。（3）內(nèi)部審計師：內(nèi)審對評價控制系統(tǒng)的有效性具有重要作用，對公司的治理結(jié)構(gòu)行使者監(jiān)管的職能。內(nèi)部其他人員：明確各自的職責，提供系統(tǒng)所需的信息，實現(xiàn)相應的控制；對經(jīng)營中出現(xiàn)的問題，對不合法、違規(guī)行為有責任與上級溝通。外部人員。公司的外部人員也有助于控制目標的實現(xiàn)，如外部審計可提供客觀獨立的評價，通過財務(wù)報表審計直接向管理階層提供有用信息；另如法律部門、監(jiān)管部門、客戶、其他往來單位、財務(wù)分析師、信用評級公司、新聞媒體等也都有助于內(nèi)部控制的有效執(zhí)行。[編輯]COSO報告的現(xiàn)實意義COSO報告是在美國金融風險加劇，財務(wù)欺詐抬頭，社會各界對內(nèi)部控制和獨立審計師寄予厚望的“危難”時刻，由五個職業(yè)會計團體聯(lián)合并潛心研究近4年左右的時間才誕生的。COSO報告中蘊涵了許多嶄新的理念和思想。這些理念和思想，不僅對過去，而且對現(xiàn)在甚至未來的企業(yè)管理、財會工作和獨立審計都有著重要影響。主要有以下幾個方面：1.準確定位內(nèi)部控制基本目標。COSO報告指出內(nèi)部控制本身不是目的，而是實現(xiàn)目標的手段。內(nèi)部控制目標是幫助企業(yè)奔向經(jīng)營目標、完成使命和減少經(jīng)營過程中的風險。用中國話來說就是為企業(yè)的經(jīng)營和管理工作“保駕護航”。2.提出三類目標、五項構(gòu)成要素概念。COSO把內(nèi)部控制細分為經(jīng)營效率與效果、財務(wù)報告可靠和遵紀守法三類子目標和控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)測活動五項構(gòu)成要素。這些概念的提出，為評價內(nèi)部控制系統(tǒng)提供了一套完整的標準，使COSO報告在理論和實際應用兩個方面都較原來的內(nèi)部控制學說有一個質(zhì)的飛躍。3.提出內(nèi)部控制是“過程”，并由控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)測活動五項要素構(gòu)成。五項控制要素不是內(nèi)部控制過程中先后順序上的一道道工序，而是一個多方向交叉的多維的反復的過程。COSO報告突出了內(nèi)部控制過程中的復雜性和各控制要素之間有機的多維的聯(lián)系與影響。4.強調(diào)“人”的重要性。COSO報告指出人和環(huán)境是推動企業(yè)發(fā)展的引擎。內(nèi)部控制是由人來設(shè)計和實施的，企業(yè)中的每位員工都受內(nèi)部控制的影響，并通過自身的工作影響著他人的工作和整個內(nèi)部控制系統(tǒng)。所以，要求所有員工都應清楚他們在企業(yè)、在內(nèi)部控制系統(tǒng)中的位置和角色，并協(xié)調(diào)一致，才能推進內(nèi)部控制的有效運轉(zhuǎn)。5.認識到董事會在內(nèi)部控制中的作用。COSO認為董事會與公司內(nèi)部控制之間是有聯(lián)系的，企業(yè)中一些行為需要董事會批準或授權(quán)。一個客觀、能動和富有調(diào)查精神的董事會，能夠及時發(fā)現(xiàn)并修正公司經(jīng)理班子逾越內(nèi)部控制的行爐。6.強調(diào)內(nèi)部控制系統(tǒng)系是“內(nèi)置于”（builtin）企業(yè)經(jīng)營和管理過程中的一項基礎(chǔ)設(shè)施（infrastructure），與管理活動的計劃、執(zhí)行和監(jiān)控職能交織融合在一起，不是后天添加物（builton）。同時內(nèi)控系統(tǒng)應有應對不斷變化的客觀世界的機制。[編輯]COSO報告的局限性COSO報告是以職業(yè)會計師為主體隊伍的研究成果，應用的現(xiàn)實特別是面對美國財務(wù)危機的現(xiàn)狀，顯示COSO報告在控制能力上的差距。COSO報告中主要值得商榷的問題有：1.沒有充分認識到董事會對內(nèi)部控制系統(tǒng)的至關(guān)重要性。雖然COSO報告把董事會與內(nèi)部控制聯(lián)系起來，但它的這種聯(lián)系僅僅局限于企業(yè)有一些事情需要董事會審批或授權(quán)，基本上把內(nèi)部控制限定在CEO之下，而對董事會更為重要的作用和董事會與CEO之間的聯(lián)系和制衡關(guān)注不夠。這好比設(shè)計一幢大廈，只看到了地上部分，忽視了地下基礎(chǔ)。2.COSO提倡的反映內(nèi)部控制運行狀態(tài)的“管理報告”的信息含量和可信性值得懷疑。首先，從正常邏輯上考慮，如果一個企業(yè)的內(nèi)部控制存在問題，企業(yè)能夠如實地公示社會嗎？第二，管理報告對內(nèi)部控制的評價只是基于某一時點狀況而言的。根據(jù)COSO報告，企業(yè)不需披露在此時點之前存在的但已被發(fā)現(xiàn)和更正的內(nèi)部控制缺陷。第三，報告的范圍僅限于與財務(wù)報告有關(guān)的內(nèi)部控制，而財務(wù)報告只是經(jīng)營結(jié)果的反映。筆者認為內(nèi)部控制系統(tǒng)的評估和持續(xù)監(jiān)測是絕對必需的，但COSO建議的這種評估和披露方式容易誤導投資者。3.COSO報告中的“合理保證”、“成本效益”等詞語，基本上是從會計上直接移植過來的，對于規(guī)避注冊會計師法律責任是有好處的。但對社會用戶來說，增添了許多猜疑和無奈。到底什么算是“合理保證”，如何做到“成本效益配比”，在實踐中恐怕很難說清楚。內(nèi)部控制評價應通過提高評價標準和評價過程的客觀性和透明度增加科學性。4.把企業(yè)經(jīng)營和管理中一些重要職能排斥在內(nèi)部控制觸角之外。COSO一方面指出內(nèi)部控制與管理各功能（計劃、