［提要］本文回顾剖析了英国公司治理和内部控制进步历史上三个具备里程碑意义的文献--卡德伯利报告、哈姆佩尔报告和特恩布尔报告，揭示了英国内部控制进步的四大趋势，并结合国内内部控制研究和进步的近况，借鉴英国的经验，对目前国内内部控制理论研究的定位、上市公司内部控制有效性的披露与内部审计的进步方向等问题提出了若干建议。

公司治理和内部控制进步史上的三大报告

历史上看，英国内部控制的进步不能离开公司治理研究的推进。20世纪80-90年代，英国的公司治理像今天的美国一样，面临着巨大的信赖危机。面对创造性会计的泛滥、公司经营的失败和连续持续的丑闻、董事薪资激增与企业短期行为主义猖獗等一系列公司治理问题，社会公众、监管机构的不满情绪日益升温。这一阶段也就成为英国公司治理问题研究的一个高峰期，各种专门委员会纷纷成立，并发布了各自的研究报告，其中比较著名的有卡德伯利报告、拉特曼报告、格林伯利报告和哈姆佩尔报告。在吸收这类研究成就的基础上，1998年最后形成了公司治理委员会综合准则。综合准则非常快就被伦敦证券交易平台认同，成为交易平台上市条件的补充，需要所有英国上市公司强制性遵守。这类研究成就从理论和实践两个方面，很大地推进了英国公司治理和内部控制的进步，特别是卡德伯利报告、哈姆佩尔报告，与作为综合准则指南的特恩布尔报告，堪称英国公司治理和内部控制研究历史上的三大里程牌。
1、卡德伯利报告
卡德伯利报告从财务角度研究公司治理，同时将内部控制置于公司治理的框架之下。其实，1985年“公司法”S.221条约就规定，董事对公司维持充分的会计记录负责，为满足上述需要，在日常董事需要打造公司财务管理方面的内部控制规范，包含设计程序使舞弊风险最小化。也就是说，1985年的“公司法”已经对董事确保适合的内部控制规范提出了含蓄的需要。
卡德伯利报告进一步觉得，有效的内部控制是公司有效管理的一个要紧方面。因此建议董事们应发表一个声明，对公司内部控制的有效性进行详细描述，外部审计师对其声明进行复核和报告，同时规定在董事会认同声明之前，审计委员会应付企业的内部控制声明进行复核。该报告还觉得，内部审计能够帮助确保内部控制的有效性，内部审计的平时监督是内部控制的整体组成部分，会计师职业应在以下方面起到领导用途: 开发用以评估有效性的一整套标准; 开发董事会报告形式的具体指南; 开发审计师用以有关审计程序和报告格式的具体指南。
卡德伯利报告在很多方面开创了英国公司治理历史的先河，它明确需要打造审计委员会、实行独立董事规范，同时将内部控制作为公司治理的组成部分。尽管报告尚存在很多局限性，但它所确认的公司治理的很多原则一直沿用到今天。
2、哈姆佩尔报告
哈姆佩尔报告将内部控制的目的定坐落于保护资产的安全、维持正确的财务会计记录、保证公司内部用和向外部提供的财务信息的靠谱性，同时鼓励董事对内部控制的每个方面进行复核，包含确保高效经营、遵守法律法规方面的控制。哈姆佩尔报告觉得，非常难将财务控制与其他控制区别开来，并坚信董事及管理职员对控制的每个方面进行复核具备要紧意义，内部控制不应仅局限于公司治理的财务方面。该报告全方位同意卡德伯利报告将内部控制视为有效管理的要紧方面的看法，并觉得董事会应该对内部控制进行复核以强调有关控制目的，这类目的包含对企业风险评估和反映、财务管理、遵守法律法规、保护资产安全与使舞弊风险最小化等方面。
尽管哈姆佩尔报告所提出的准则，将公司治理向前推进了一步，但并未满足常见的需要，其主要的批评建议集中于该报告的内容缺少新意、委员会主要由既得利益者组成、有关原则很难付诸推行、责任不够明确等。当时贸易与工业部的负责人玛格丽特·贝凯特就觉得，报告在受托责任与透明度方面仍有不足。
3、特恩布尔报告
卡德伯利报告和哈姆佩尔报告都程度不同地对公司内部控制提出了需要，作为集大成者的综合准则在“最好实务准则”中对内部控制提出了综合性和原则性的规定。尽管综合准则需要公司董事会应打造完善内部控制，但该准则并未就怎么样构建“完善的内部控制”提供详细的指南。因此，英格兰和威尔士特许会计师协会与伦敦证券交易平台达成一致，为上市公司实行准则中与内部控制有关的需要提供具体指南。1999年ICAEW组成的以尼格尔·特恩布尔为主席的十人工作小组公布了《内部控制：综合准则董事指南》，即特恩布尔报告。作为指导企业构建内部控制的指南，该报告的意义在于，它为公司及董事会提供了具体的、颇具可行性的内部控制引导。其主要内容是：
董事会对企业的内部控制负责，应拟定正确的内部控制政策，并寻求平时的保证，使内部控制系统有效发挥用途，还应进一步确认内部控制在风险管理方面是有效的。在决定内部控制政策，并在此基础上评估特定环境下内部控制的构成时，董事会应付以下问题进行深入考虑：公司面临风险的性质和程度；公司可承受风险的程度和种类；风险发生的可能性；公司降低事故的能力及对已发生风险的影响；推行特殊封控的本钱，与从有关风险管理中获得的利益。
实行封控政策是管理层的职责，在履行其职责的过程中，管理层应确认、评价公司所面临的风险，并实行董事会所设计、运行的内部控制政策。公司职员有义务将内部控制作为达成其责任目的的组成部分，他们应集体拥有必要的常识、技能、信息和授权，以打造、运行和监督公司内部控制系统。这需要对公司及其目的，所处的产业和市场与面临的风险有深入的理解。
适当的内部控制要点包含政策、程序、任务、行为与企业的其他方面，这类要点结合在一块，对影响公司目的达成的重大的商业性、业务性、财务性和遵循性风险做出正确反应，以提升公司经营的效率和成效。其中包含防止资产的不当用、损失或舞弊，并保证已对负债进行了确认和管理。
企业的内部控制应反映组织结构在内的控制环境，包含：控制活动；信息和交流程序；持续性监督程序。特恩布尔报告指出了完善的内部控制所应拥有的基本特点：它根植于企业的经营之中，形成公司文化的一部分。换言之，它不止是为了取悦监管者而进行的年度例行检查; 针对公司面临的不断变化的风险，具备迅速反应的能力; 具备对管理中存在的缺点或失败进行迅速报告的能力，并且能准时地采取纠正手段。
对内部控制有效性进行复核是董事会职责必须具备的部分。董事会应在小心、仔细地知道信息的基础上形成对内部控制是不是有效的正确判断。董事会应限定对内部控制复核的过程，包含一年中复核的范围、收到报告的频率与年度评估的程序等，这也将为公司年报和记录中的内部控制声明提供适合的支持。

内部控制进步的若干趋势

1、对内部控制有效性进行报告的需要日趋减弱
卡德伯利报告建议，董事应就内部控制的有效性进行报告，并需要审计师对董事会报告进行复核。由此产生了一系列问题，其中之一就是审计师应向哪个进行报告、是不是应将它复核报告公开。在向社会公众提供公开报告方面，有效性需要使董事会和审计师均感到非常困惑，由于那将意味着内部控制将为防止错误或舞弊提供“绝对保证”，而事实上没一个内部控制系统可以完全防止人为错误。假如因为非故意缘由致使错误陈述或遗漏，董事或审计师将由于其确认的有效性而承担法律责任。Power的研究发现，当内部控制及其有效性的定义仍处于模糊状况时，董事会及会计师均不愿做出如此的声明。
与卡德伯利报告形成鲜明对比的是，哈姆佩尔报告鼓励而非需要董事就内部控制的有效性作出判断，并对卡德伯利准则中的第4.5条约进行了修改，将原来的“董事应就公司内部控制的有效性进行报告”，修改为“董事应付公司内部控制进行报告”，删除去“有效性”一词。哈姆佩尔报告建议，在董事会报告中明确董事在内部控制方面的责任，说明内部控制仅能为防止重大的错误或遗漏提供“合理”保证，描述公司为提供有效的财务控制而打造的主要程序，并确认董事已经就系统的有效性进行了复核。哈姆佩尔报告觉得，审计师不必向社会公众公布其对董事会报告的审察结果。如此做会在董事会与审计师之间打造更为有效的交流途径，使得最好实务在报告的范围和性质方面不断进步。
而特恩布尔报告则规定，董事会应付公司内部控制的有效性进行复核，总结进行复核所用的程序，并在年度报告或记录中披露用于解决内部控制重大问题的办法和过程，董事会至少还应披露用于确认、评估和管理要紧风险的持续性监督程序。特恩布尔报告还鼓励董事会在年报中提供额外的信息，以帮助信息用户理解企业的风险管理程序和内部控制。这样来看，英国对有关公司内部控制的报告和披露方面的需要并未放松，但对内部控制有效性进行报告的规定却日趋减弱。
2、内部控制与风险管理的融合日趋紧密
表一概括了英国内部控制范围的演化过程和发展势头。卡德伯利报告和拉特曼报告对内部控制的需要主要限于财务控制，而财务控制的主要功能在于保护资产的安全、维持正确的财务会计记录与确保公司内部用和向外部提供的财务信息的靠谱性。哈姆佩尔报告则向前推进了一步，觉得非常难将财务控制与其他控制区别开来，鼓励董事对有效经营、遵守法律法规等方面进行复核，从而大大扩大了内部控制的范围。特恩布尔报告第三扩大了内部控制的范围，将它与风险管理联系起来。内部控制与风险管理的结合非常早就引发了大家的关注，但两者的关系仍无常见认同的看法。一种看法觉得内部控制从是风险管理的范畴，是风险管理的方法之一。比如Krogstad就觉得内部控制没有于真空或暗箱之中，而存在于帮助组织进行风险管理并提高有效的治理程序之中，McNamee也觉得内部控制是企业管理者对企业风险的反应。另一种有代表性的看法是将风险管理纳入内部控制体系，觉得控制包括了风险。比如，美国的cosplayO报告将风险评估视为内部控制的五个要点之一。加拿大CICA的控制委员会则觉得“控制应包含对风险的确认和避免”。经过争论和实践，大家对二者关系的认识不断深化，渐渐认识到将两者关系隔离的剖析办法是不可取的，内部控制与风险管理只有相融合，才能达成最好成效。比如，Blackburn就觉得“风险管理与内部控制只是人为的离别，而在现实的商业行为中，他们是一体化的”，这种融合很大地推进了内部控拟定义的进步。
Maijoor曾指出概念内部控制的困难所在，并进一步觉得目前内部控制的研究是零散和不健全的，内部控制在公司治理中有哪些用途并不明显，致使政策建议打造在未经证实的假设之上。特恩布尔报告转向扩张的观念，将内部控制与风险管理合为一体，觉得两者是近乎等同的定义。这是英国与公司治理有关的公开文件中，首次强调内部控制与企业风险的关系。而此前的卡德伯利报告没明确两者之间的关系，哈姆佩尔报告也仅在内部控制的环境下简单地提及风险管理。
特恩布尔报告觉得公司经营的目的、内部控制组织和环境处于不断变化之中，作为结果，其面临的风险也在不断变化。一个完善的内部控制依靠于对公司所面临风险性质和程度的全方位、综合的评价。由于收益本身部分地作为企业成功冒险的回报，内部控制的目的就是帮助正确地管理和控制风险，而非降低风险。正如该委员会主席尼格尔·特恩布尔所说：“大家致力于拟定实务指南，以保证董事会知道公司所面临的要紧风险，并拟定相应的程序对风险进行管理，实行的管理层负责通过打造有效的内部控制系统进行风险管理，而董事会作为一个整体对其进行报告。”
这种融合防止了对内部控拟定义不清的麻烦，使之从传统的内部财务控制的狭窄范围内摆脱出来，扩展至通过策略参与公司价值创造，同时亦标志着风险导向内部控制年代的到来。
3、内部审计的角色由监督者逐步转变为控制者
内部审计一度曾被定坐落于“监督者”的角色。卡德伯利报告觉得，内部审计是对外部审计的补充，打造内部审计机构对重点控制和程序进行监督是好公司实务的组成部分，这种平时监督也是公司内部控制整体中的一部分，它有益于维持内部控制系统的有效性。内部控制代表董事会对任何有舞弊可疑性的行为实行调查，为保证其地位的独立性，应使内部审计负责人与审计委员会主席的交流畅通无阻。哈姆佩尔报告却觉得，没必要对内部审计做出严格的规定，但董事会应常常考虑，是不是需要打造独立内部审计机构。
特恩布尔报告对内部审计做出了更为详细的引导，觉得是不是打造内部审计机构不可以以偏概全，而是取决于公司具体的原因。这类原因包含规模、公司行为的多样性和复杂性、职员的数目与本钱效益方面的考虑。高级管理职员和董事会需要对风险和控制给出客观的保证和建议，一个有效的内部审计部门则可以提供这种保证和建议，内部审计亦可以在诸如健康和安全、管制和法律遵守及环境等问题提供保证和建议。
特恩布尔报告觉得，在决定是不是有必要打造单独的内部审计机构这一问题上，董事会应考虑公司行为、市场、组织重构、信息管理软件和其他外部环境方面原因会不会增加公司所面临的风险。那些未打造内部审计机构的公司，其管理职员应用其他监督程序，以确保内部控制能正常、按需要运转，董事会有必要对这类程序是不是提供足够和客观的保证进行评估。
特恩布尔报告还觉得，内部审计师的主要用途是"确证和建议"，而不再是以往的“监督和复核”。这一转变赋予内部审计更多的内涵，也推进了英国内部审计职业角色的转变。这一转变也与内部审计师协会将内部审计定位成增值性审计的想法不谋而合。在风险导向的内部控制下，内部审计计划与公司风险管理方案联系在一块，内部审计借助对目前的风险剖析，保证其审计计划与企业的经营计划相一致。正如McNamee所预言的那样，内部审计师应成为内部策略计划者--一个管理控制的扩展，以确保系统正常运做，达成组织目的，内部审计师应最后脱离狭隘的会计之源。在变革的年代，内部审计师应在全方位管理中发挥更高价值的功能，这一崭新的定位已经成为内部审计师职业进步的目的，也为内部审计师在组织中占据新的地方提供了机会。
4、内部控制自我评估日益遭到看重
内部控制自我评估是公司管理层和职员在专题讨论中，一同对内部控制进行的评估。自我评估是组织监督和评估内部控制系统的主要工具，它将运行和保持内部控制的主要责任赋予公司管理层，同时使职员和内部审计与管理层一道承担对内部控制评估的责任。这使以往由内部审计对控制的充足性及有效性进行独立验证进步到全新的阶段，即通过设计、规划和运行内部控制自我评估程序，由组织整体对管理控制和治理负责。
英国一直看重内部控制的自我评估，但卡德伯利报告和哈姆佩尔报告仅需要对内部控制系统进行复核。而在特恩布尔报告中，则首次用了评估的字眼，报告还用相当大篇幅对内部控制自我评估做出了原则性的规定。特恩布尔报告规定，在给董事会的报告中，管理层应付与其有关的范围中所存在的风险，与相应的内部控制系统的有效性提供平衡的自我评估。特恩布尔报告觉得，在对内部控制进行自我评估时，应特别考虑以下几个问题：自上次评估以来，要紧风险的性质和程度所发生的变化，与公司对这类商业风险和外部环境变化所做出反应的能力。管理层对内部控制系统和风险持续监督的范围和水平，与内部审计功能和其他保证方法的工作情况怎么样。就监督的结果与董事会交流的程度和频率，以便在公司内打造起累计评估体系，对内部控制情况及风险管理有效程度加以评估。期间内任一时间所确认的重大控制失败或弱点，及其所致使或可能致使的不可遇到的结果及或有事情的程度，与对公司财务情况和营业额产生的重大影响。公司公开报告程序的有效性。一旦了解内部控制中所存在的重大失败或弱点，董事会应决定这种失败或弱点是怎么样产生的，并对内部控制系统的有效性进行重新评估。
从上述状况看，尽管报告尚未对评估的程序、办法等做出更为具体的规定，但明显地，对内部控制自我评估的看重程度，是日益加大的。

什么时间启示

1、内部控制理论研究定位问题
长期以来，国内内部控制理论研究主要集中于会计审计范围，侧重从会计和审计的角度研究内部控制，其研究成就也主要服务于审计办法的应用、审计本钱的节省和审计风险的控制。注册会计师职业在审计中使用规范基础审计办法，通过对内部控制的测试，确定审计的重点和风险，进一步修改审计计划，而内部审计师则将内部控制作为监督或评价的重点目的。
仅从会计和审计的角度研究内部控制，势必致使视角过于狭窄。1996年财政部颁布的《独立审计具体准则第9号—内部控制和审计风险》，对企业内部控制的概念、目的和局限性等做出了较为全方位的讲解，但它所使用的内部控制是英、美等国家所“淘汰”的定义，其用途也仅局限于对注册会计师从事审计业务提供具体引导。2001年财政部颁布的《内部会计控制规范——基本规范》是现在国内内部控制范围内最具权威的规范，也是上市公司进行内部控制实践所依据标准，但该《规范》仍局限在内部会计控制范围。而英国内部控制的进步，历程了财务控制、财务控制与管理控制相结合、内部控制与风险管理相融合等几个阶段，其范围不断扩大，早已超出了会计控制的范围。2002年1月，中国证监会颁布了国内第一部公司治理准则—《上市公司治理准则》，对公司治理的很多方面进行了规范，但该准则却并没涉及内部控制方面的内容，这使得该准则自诞生之日起便带有明显的缺点。公司治理与内部控制之间应形成良性互动关系，内部控制的进步不能离开公司治理的推进，公司治理的优化也不能离开有效的内部控制作为保障。大家觉得，两者间的关系应该在准则中得到反映，治理准则对内部控制、内部审计亦应作出明确的规定。
英国内部控制的进步不能离开公司治理的推进，内部控制和内部审计研究均置于公司治理的框架之内，看重从公司治理的角度研究内部控制，把内部控制看作公司治理的有机组成部分。大家觉得，应借鉴其英国内部控制研究的经验，加大对内部控制理论的研究，致力于研究内部控制是不是对公司治理产生影响、这种影响机制怎么样发生用途与公司董事会和管理层怎么样设计、运行公司内部控制机制等基本理论问题。
2、对内部控制的有效性进行强制性报告有待商榷
现在国内上市企业的内部控制实行的是强制性披露规范。虽然这种强制性的信息披露有益于投资者知道上市企业的有关信息和投资决策。但，这种强制性披露需要的合理性仍值得商榷。由于，假如公司或注册会计师在报告中觉得上市企业的内部控制是“有效性”的，这就意味着他们做出了某种承诺和保证，且给人绝对承诺和保证的印象。事实上，内部控制所能提供的只是“合理”保证，而非“绝对”保证，这种绝对的保证比较容易将自己置于潜在的诉讼风险之中。正是出于对诉讼风险的担忧，英国上市企业的董事及注册会计师才反复游说，最后取消了对“有效性”报告的规定。
因为内部控制的涵盖范围非常大，涉及到财务会计、营运管理、合法合规等很多方面，使得任何一块证券市场民事诉讼都大概牵扯到内部控制。发起人、负有责任的董事、监事与注册会计师均大概因对内部控制的“有效性”做出承诺而面临诉讼，而致使巨额的赔偿。因此，需要上市公司或注册会计师对内部控制的有效性进行报告的做法，值得进一步探讨。这是英国内部控制进步给大家的另一个启示。
3、风险导向内部审计是内部审计的进步方向
伴随风险导向内部控制年代的到来，内部审计的工作重点也发生变化，由“控制”转向“风险”。现代内部审计除去关注传统的内部控制以外，更关注有效的风险管理机制和完善的公司治理结构。在风险导向内部审计观念下，年度审计计划与公司最高层的风险策略连接在一块，内部审计职员通过对目前的风险剖析确保其审计计划与经营计划相一致，用风险管理原则改变审核过程。风险管理成为组织中重点步骤，促进内部审计的工作重点不再是测试控制，而是确认风险及测试管理风险的办法，在风险导向的内部审计中，控制仍然要紧，但剖析、确认、揭示重点性的经营风险，才是内部审计的焦点。
现在国内内部审计面临着与内部控制研究一样的问题，即内部审计尚未与公司治理相结合，成为公司治理的有机部分。目前国内企业内部审计主要将大多数精力用于财务数据的真实性、合法性的查证和生产经营的监督，管理审计尚未得到广泛的拓展。因此，大家觉得应适应内部审计科学进步的客观规律，在实践中有意识地推进内向型管理审计的进步。从强调确认和测试控制完整性，逐步转向强调确认和测试风险是不是得到有效管理，从传统的强调关注风险原因，逐步转向关注情景规划。内向型管理审计的建议应不再只是强化控制、提升控制效率和成效，而应该是避免风险、转移风险和控制风险，通过风险管理的有效化，提升整体管理效率和成效。