1、公司治理下的部控制與審計提要本文回顧分析了英國公司治理和部控制發展歷史上三個具有里程碑意義的文獻-卡德伯利報告、哈姆佩爾報告和特恩布爾報告，揭示了英國部控制發展的四大趨勢，并結合我國部控制研究和發展的現狀，借鑒英國的經驗，對當前我國部控制理論研究的定位、上市公司部控制有效性的披露以及部審計的發展方向等問題提出了若干建議。公司治理和部控制發展史上的三大報告歷史上看，英國部控制的發展離不開公司治理研究的推動。20世紀80-90年代，英國的公司治理像今天的美國一樣，面臨著巨大的信任危機。面對創造性會計(creative accounting)的泛濫、公司經營的失敗和連續不斷的丑聞、董事薪酬激增以及企

2、業短期行為主義猖獗等一系列公司治理問題，社會公眾、監管機構的不滿情緒日益升溫。這一階段也就成為英國公司治理問題研究的一個高峰期，各種專門委員會紛紛成立，并發布了各自的研究報告，其中比較著名的有卡德伯利報告(Cadbury Report，1992)、拉特曼報告(Rutterman Report，1994)、格林伯利報告(Creenbury Report，1995)和哈姆佩爾報告(Hampel Report，1998)。在吸收這些研究成果的基礎上，1998年最終形成了公司治理委員會綜合準則(Combined Code of the committee on Corporate Governance

3、)。綜合準則很快就被倫敦證券交易所認可，成為交易所上市規則的補充，要求所有英國上市公司強制性遵守。這些研究成果從理論和實踐兩個方面，極推動了英國公司治理和部控制的發展，尤其是卡德伯利報告、哈姆佩爾報告，以及作為綜合準則指南的特恩布爾報告(Turnbull Report，1999)，堪稱英國公司治理和部控制研究歷史上的三大里程牌。一、卡德伯利報告卡德伯利報告從財務角度研究公司治理，同時將部控制置于公司治理的框架之下。其實，1985年“公司法”S.221條款就規定，董事對公司保持充分的會計記錄負責，為滿足上述要求，在現實中董事必須建立公司財務管理方面的部控制制度，包括設計程序使舞弊風險最小化。也就

4、是說，1985年的“公司法”已經對董事確保適當的部控制制度提出了含蓄的要求。卡德伯利報告進一步認為，有效的部控制是公司有效管理的一個重要方面。因此建議董事們應發表一個聲明，對公司部控制的有效性進行詳細描述，外部審計師對其聲明進行復核(review)和報告，同時規定在董事會認可聲明之前，審計委員會應對公司的部控制聲明進行復核。該報告還認為，部審計有助于確保部控制的有效性，部審計的日常監督是部控制的整體組成部分，會計師職業應在以下方面起到領導作用: (1)開發用以評估有效性的一整套標準; (2)開發董事會報告形式的具體指南; (3)開發審計師用以相關審計程序和報告格式的具體指南。卡德伯利報告在許多

5、方面開創了英國公司治理歷史的先河，它明確要求建立審計委員會、實行獨立董事制度，同時將部控制作為公司治理的組成部分。盡管報告尚存在許多局限性，但它所確認的公司治理的許多原則一直沿用至今。二、哈姆佩爾報告哈姆佩爾報告將部控制的目的定位于保護資產的安全、保持正確的財務會計記錄、保證公司部使用和向外部提供的財務信息的可靠性，同時鼓勵董事對部控制的各個方面進行復核，包括確保高效經營、遵守法律法規方面的控制。哈姆佩爾報告認為，很難將財務控制與其他控制區分開來，并堅信董事及管理人員對控制的各個方面進行復核具有重要意義，部控制不應僅局限于公司治理的財務方面。該報告全面贊同卡德伯利報告將部控制視為有效管理的重要

6、方面的觀點，并認為董事會應該對部控制進行復核以強調相關控制目標，這些目標包括對企業風險評估和反映、財務管理、遵守法律法規、保護資產安全以及使舞弊風險最小化等方面。盡管哈姆佩爾報告所提出的準則，將公司治理向前推進了一步，但并未滿足普遍的要求，其主要的批評意見集中于該報告的容缺乏新意、委員會主要由既得利益者組成、有關原則難以付諸實施、責任不夠明確等。當時貿易與工業部的負責人瑪格麗特貝凱特就認為，報告在受托責任與透明度方面仍有不足。三、特恩布爾報告卡德伯利報告和哈姆佩爾報告都程度不同地對公司部控制提出了要求，作為集大成者的綜合準則在“最佳實務準則(Best Practice Code)”中對部控制提

7、出了綜合性和原則性的規定。盡管綜合準則要求公司董事會應建立健全部控制，但是該準則并未就如何構建“健全的部控制”提供詳細的指南。因此，英格蘭和威爾士特許會計師協會(ICAEW)與倫敦證券交易所達成一致，為上市公司執行準則中與部控制相關的要求提供具體指南。1999年ICAEW組成的以尼格爾特恩布爾(Nigel Turnbull)為主席的十人工作小組公布了部控制：綜合準則董事指南，即特恩布爾報告。作為指導企業構建部控制的指南，該報告的意義在于，它為公司及董事會提供了具體的、頗具可行性的部控制指引。其主要容是：董事會對公司的部控制負責，應制定正確的部控制政策，并尋求日常的保證，使部控制系統有效發揮作用

8、，還應進一步確認部控制在風險管理方面是有效的。在決定部控制政策，并在此基礎上評估特定環境下部控制的構成時，董事會應對以下問題進行深入思考：(1)公司面臨風險的性質和程度；(2)公司可承受風險的程度和類型；(3)風險發生的可能性；(4)公司減少事故的能力及對已發生風險的影響；(5)實施特殊風險控制的成本，以及從相關風險管理中獲取的利益。執行風險控制政策是管理層的職責，在履行其職責的過程中，管理層應確認、評價公司所面臨的風險，并執行董事會所設計、運行的部控制政策。公司員工有義務將部控制作為實現其責任目標的組成部分，他們應集體具備必要的知識、技能、信息和授權，以建立、運行和監督公司部控制系統。這要求

9、對公司及其目標，所處的產業和市場以及面臨的風險有深入的理解。合理的部控制要素包括政策、程序、任務、行為以及公司的其他方面，這些要素結合在一起，對影響公司目標實現的重大的商業性、業務性、財務性和遵循性風險做出正確反應，以提高公司經營的效率和效果。其中包括避免資產的不當使用、損失或舞弊，并保證已對負債進行了確認和管理。公司的部控制應反映組織結構在的控制環境，包括：(1)控制活動；(2)信息和溝通程序；(3)持續性監督程序。特恩布爾報告指出了健全的部控制所應具備的基本特征：(1)它根植于公司的經營之中，形成公司文化的一部分。換言之，它不僅僅是為了取悅監管者而進行的年度例行檢查; (2)針對公司面臨的

10、不斷變化的風險，具有快速反應的能力; (3)具有對管理中存在的缺陷或失敗進行快速報告的能力，并且能及時地采取糾正措施。對部控制有效性進行復核是董事會職責的必備部分。董事會應在謹慎、仔細地了解信息的基礎上形成對部控制是否有效的正確判斷。董事會應限定對部控制復核的過程，包括一年中復核的圍、收到報告的頻率以及年度評估的程序等，這也將為公司年報和記錄中的部控制聲明提供適當的支持。部控制發展的若干趨勢一、對部控制有效性進行報告的要求日趨減弱卡德伯利報告建議，董事應就部控制的有效性進行報告，并要求審計師對董事會報告進行復核。由此產生了一系列問題，其中之一就是審計師應向誰進行報告、是否應將其復核報告公開。在

11、向社會公眾提供公開報告方面，有效性要求使董事會和審計師均感到很困惑，因為那將意味著部控制將為避免錯誤或舞弊提供“絕對保證”，而事實上沒有一個部控制系統能夠完全避免人為錯誤。如果由于非故意原因導致錯誤述或遺漏，董事或審計師將因為其確認的有效性而承擔法律責任。Power(1997)的研究發現，當部控制及其有效性的概念仍處于模糊狀態時，董事會及會計師均不愿做出這樣的聲明。與卡德伯利報告形成鮮明對比的是，哈姆佩爾報告鼓勵而非要求董事就部控制的有效性作出判斷，并對卡德伯利準則中的第4.5條款進行了修改，將原來的“董事應就公司部控制的有效性進行報告”，修改為“董事應對公司部控制進行報告”，刪除了“有效性”

12、一詞。哈姆佩爾報告建議，在董事會報告中明確董事在部控制方面的責任，說明部控制僅能為避免重大的錯誤或遺漏提供“合理”保證，描述公司為提供有效的財務控制而建立的主要程序，并確認董事已經就系統的有效性進行了復核。哈姆佩爾報告認為，審計師不必向社會公眾公布其對董事會報告的審查結果。這樣做會在董事會與審計師之間建立更為有效的溝通渠道，使得最佳實務在報告的圍和性質方面不斷進步。而特恩布爾報告則規定，董事會應對公司部控制的有效性進行復核，總結進行復核所使用的程序，并在年度報告或記錄中披露用于解決部控制重大問題的方法和過程，董事會至少還應披露用于確認、評估和管理重要風險的持續性監督程序。特恩布爾報告還鼓勵董事

13、會在年報中提供額外的信息，以幫助信息使用者理解公司的風險管理程序和部控制。由此可見，英國對有關公司部控制的報告和披露方面的要求并未放松，但對部控制有效性進行報告的規定卻日趨減弱。二、部控制與風險管理的融合日趨緊密表一概括了英國部控制圍的演化過程和發展趨勢。卡德伯利報告和拉特曼報告對部控制的要求主要限于財務控制，而財務控制的主要功能在于保護資產的安全、保持正確的財務會計記錄以及確保公司部使用和向外部提供的財務信息的可靠性。哈姆佩爾報告則向前推進了一步，認為很難將財務控制與其他控制區分開來，鼓勵董事對有效經營、遵守法律法規等方面進行復核，從而大大擴大了部控制的圍。特恩布爾報告再次擴大了部控制的圍，

14、將其與風險管理聯系起來。部控制與風險管理的結合很早就引發了人們的關注，但兩者的關系仍無普遍認可的觀點。一種觀點認為部控制從屬于風險管理的疇，是風險管理的方式之一。例如Krogstad(1999)就認為部控制不存在于真空或暗箱之中，而存在于協助組織進行風險管理并提升有效的治理程序之中，McNamee也認為部控制是企業管理者對企業風險的反應。另一種有代表性的觀點是將風險管理納入部控制體系，認為控制包含了風險。例如，美國的COSO報告將風險評估視為部控制的五個要素之一。加拿大CICA的控制委員會則認為“控制應包括對風險的確認和規避”(1999)。經過爭論和實踐，人們對二者關系的認識不斷深化，逐漸認識

15、到將兩者關系隔離的分析方法是不可取的，部控制與風險管理只有相融合，才能實現最佳效果。例如，Blackburn(1999)就認為“風險管理與部控制僅是人為的分離，而在現實的商業行為中，他們是一體化的”，這種融合極推進了部控制定義的發展。Maijoor(2000)曾指出定義部控制的困難所在，并進一步認為當前部控制的研究是零散和不完善的，部控制在公司治理中的作用并不明顯，導致政策建議建立在未經證實的假設之上。特恩布爾報告轉向擴的觀念，將部控制與風險管理合為一體，認為兩者是近乎等同的概念。這是英國與公司治理相關的公開文件中，第一次強調部控制與企業風險的關系。而此前的卡德伯利報告沒有明確兩者之間的關系，

16、哈姆佩爾報告也僅在部控制的環境下簡單地提及風險管理。特恩布爾報告認為公司經營的目標、部控制組織和環境處于不斷變化之中，作為結果，其面臨的風險也在不斷變化。一個健全的部控制依賴于對公司所面臨風險性質和程度的全面、綜合的評價。因為利潤本身部分地作為企業成功冒險的回報，部控制的目的就是幫助正確地管理和控制風險，而非減少風險。正如該委員會主席尼格爾特恩布爾所說：“我們致力于制定實務指南，以保證董事會知曉公司所面臨的重要風險，并制定相應的程序對風險進行管理，執行的管理層負責通過建立有效的部控制系統進行風險管理，而董事會作為一個整體對其進行報告。”這種融合避免了對部控制定義不清的麻煩，使之從傳統的部財務控

17、制的狹窄圍擺脫出來，擴展至通過戰略參與公司價值創造，同時亦標志著風險導向部控制時代的來臨。三、部審計的角色由監督者逐步轉變為控制者部審計一度曾被定位于“監督者”的角色。卡德伯利報告認為，部審計是對外部審計的補充，建立部審計機構對關鍵控制和程序進行監督是良好公司實務的組成部分，這種日常監督也是公司部控制整體中的一部分，它有利于保持部控制系統的有效性。部控制代表董事會對任何有舞弊可疑性的行為執行調查，為保證其地位的獨立性，應使部審計負責人與審計委員會主席的溝通暢通無阻。哈姆佩爾報告卻認為，沒有必要對部審計做出嚴格的規定，但董事會應經常考慮，是否需要建立獨立部審計機構。特恩布爾報告對部審計做出了更為

18、詳細的指引，認為是否建立部審計機構不能一概而論，而是取決于公司具體的因素。這些因素包括規模、公司行為的多樣性和復雜性、員工的數量以及成本效益方面的考慮。高級管理人員和董事會需要對風險和控制給出客觀的保證和建議，一個有效的部審計部門(或獨立第三方)則可以提供這種保證和建議，部審計亦可以在諸如健康和安全、管制和法律遵守及環境等問題提供保證和建議。特恩布爾報告認為，在決定是否有必要建立單獨的部審計機構這一問題上，董事會應考慮公司行為、市場、組織重構、信息系統和其他外部環境方面因素是否會增加公司所面臨的風險。那些未建立部審計機構的公司，其管理人員應使用其他監督程序，以確保部控制能正常、按要求運轉，董事

19、會有必要對這些程序是否提供足夠和客觀的保證進行評估。特恩布爾報告還認為，部審計師的主要作用是確證和建議，而不再是以往的“監督和復核”。這一轉變賦予部審計更多的涵，也推動了英國部審計職業角色的轉變。這一轉變也與部審計師協會(IIA)將部審計定位成增值性審計的想法不謀而合。在風險導向的部控制下，部審計計劃與公司風險管理策略聯系在一起，部審計利用對當前的風險分析，保證其審計計劃與企業的經營計劃相一致。正如McNamee所預言的那樣，部審計師應成為部戰略計劃者-一個管理控制的擴展，以確保系統正常運做，實現組織目標，部審計師應最終脫離狹隘的會計之源。在變革的時代，部審計師應在全面管理中發揮更高價值的功能

20、，這一嶄新的定位已經成為部審計師職業發展的目標，也為部審計師在組織中占據新的位置提供了機遇。四、部控制自我評估日益受到重視部控制自我評估(CAS)是公司管理層和員工在專題討論中，共同對部控制進行的評估(Mc Namee，1995)。自我評估是組織監督和評估部控制系統的主要工具，它將運行和維持部控制的主要責任賦予公司管理層，同時使員工和部審計與管理層一道承擔對部控制評估的責任。這使以往由部審計對控制的充足性及有效性進行獨立驗證發展到全新的階段，即通過設計、規劃和運行部控制自我評估程序，由組織整體對管理控制和治理負責。英國一直重視部控制的自我評估，但卡德伯利報告和哈姆佩爾報告僅要求對部控制系統進行

21、復核(review)。而在特恩布爾報告中，則第一次使用了評估(assessment)的字眼，報告還用相當大篇幅對部控制自我評估做出了原則性的規定。特恩布爾報告規定，在給董事會的報告中，管理層應對與其相關的領域中所存在的風險，以及相應的部控制系統的有效性提供平衡的自我評估。特恩布爾報告認為，在對部控制進行自我評估時，應特別考慮以下幾個問題：(1)自上次評估以來，重要風險的性質和程度所發生的變化，以及公司對這些商業風險和外部環境變化所做出反應的能力。(2)管理層對部控制系統和風險持續監督的圍和質量，以及部審計功能和其他保證方式的工作狀況如何。(3)就監督的結果與董事會交流的程度和頻率，以便在公司建

22、立起累計評估體系，對部控制狀況及風險管理有效程度加以評估。(4)期間任一時間所確認的重大控制失敗或弱點，及其所導致或可能導致的不可遇見的結果及或有事項的程度，以及對公司財務狀況和業績產生的重大影響。(5)公司公開報告程序的有效性。一旦知道部控制中所存在的重大失敗或弱點，董事會應決定這種失敗或弱點是如何產生的，并對部控制系統的有效性進行重新評估。從上述情況看，盡管報告尚未對評估的程序、方法等做出更為具體的規定，但明顯地，對部控制自我評估的重視程度，是日益加強的。幾點啟示一、部控制理論研究定位問題長期以來，我國部控制理論研究主要集中于會計審計領域，側重從會計和審計的角度研究部控制，其研究成果也主要

23、服務于審計方法的應用、審計成本的節約和審計風險的控制。注冊會計師職業在審計中采用制度基礎審計方法，通過對部控制的測試，確定審計的重點和風險，進一步修改審計計劃，而部審計師則將部控制作為監督或評價的重點目標。僅從會計和審計的角度研究部控制，必然導致視角過于狹窄。1996年財政部頒布的獨立審計具體準則第9號部控制和審計風險，對企業部控制的定義、目標和局限性等做出了較為全面的闡述，但它所采用的部控制是英、美等國家所“淘汰”的概念，其作用也僅局限于對注冊會計師從事審計業務提供具體指引。2001年財政部頒布的部會計控制規基本規(試行)是目前我國部控制領域最具權威的標準，也是上市公司進行部控制實踐所依據標

24、準，但該規仍局限在部會計控制領域。而英國部控制的發展，經歷了財務控制、財務控制與管理控制相結合、部控制與風險管理相融合等幾個階段，其圍不斷擴大，早已超出了會計控制的圍。2002年1月，中國證監會頒布了我國第一部公司治理準則上市公司治理準則，對公司治理的諸多方面進行了規，但該準則卻并沒有涉及部控制方面的容，這使得該準則自誕生之日起便帶有明顯的缺陷。公司治理與部控制之間應形成良性互動關系，部控制的發展離不開公司治理的推動，公司治理的優化也離不開有效的部控制作為保障。我們認為，兩者間的關系應該在準則中得到反映，治理準則對部控制、部審計亦應作出明確的規定。英國部控制的發展離不開公司治理的推動，部控制和

25、部審計研究均置于公司治理的框架之，重視從公司治理的角度研究部控制，把部控制看作公司治理的有機組成部分。我們認為，應借鑒其英國部控制研究的經驗，加強對部控制理論的研究，致力于研究部控制是否對公司治理產生影響、這種影響機制如何發生作用以及公司董事會和管理層如何設計、運行公司部控制機制等基本理論問題。二、對部控制的有效性進行強制性報告有待商榷目前我國上市公司的部控制實行的是強制性披露制度。雖然這種強制性的信息披露有利于投資者了解上市公司的相關信息和投資決策。但是，這種強制性披露要求的合理性仍值得商榷。因為，如果公司或注冊會計師在報告中認為上市公司的部控制是“有效性”的，這就意味著他們做出了某種承諾和保證，且給人絕對承諾和保證的印象。實際上，部控制所