二 英國內部控制框架的演進與最新框架分析

在英國，內部控制準則的發展是公司治理準則的研究和發展推動的結果。目前，英國內部控制準則和公司治理準則主要由英國財務報告委員會（Financial Reporting Council, FRC）制定并發布。

（一）英國內部控制準則的演進

英國在內部控制標準方面，先后形成了三個指南：一是英國英格蘭和威爾士特許會計師協會（ICAEW）于1999年9月發布的《內部控制：綜合準則董事指南》（Internal Control: Guidance for Directors on the Combined Code），簡稱特恩布爾指南（Turnbull Guidance）；二是FRC于2005年10月修訂的《內部控制：綜合準則董事指南（修訂）》（Internal Control: Revised Guidance for Directors on the Combined Code），簡稱修訂的特恩布爾指南（Revised Turnbull Guidance）；三是FRC于2014年9月發布了《風險管理、內部控制和相關財務與經營報告指南（2014）》（Guidance on Risk Management, Internal Control and Related Financial and Business Reporting 2014）。這些研究成果，特別是相關準則和指南，從理論和實踐兩個方面極大地推動了英國公司治理和內部控制的發展。

1．特恩布爾指南

1999年9月公布的《內部控制：綜合準則董事指南》（簡稱特恩布爾指南）由導言［包括《公司治理綜合準則（1998）》中內部控制的要求、指南的目標，內部控制和風險管理的重要性，公司集團］；維護健全、可靠的內部控制（包括責任，健全可靠的內部控制系統的要素）；審查內部控制的有效性（包括責任，審查有效性的過程）；董事會內部控制聲明；內部審計；附錄（評估公司風險管理和控制過程的有效性）等構成。作為指導上市公司構建內部控制的指南，該指南的意義在于，它為公司及董事會提供了具體的、頗具可行性的內部控制指引。

盡管該指南只直接適用于上市公司，但對非上市公司也至少產生兩方面的影響：一是公司治理通過供應鏈影響其他公司，其他公司也可能被要求這樣做，以使其客戶（或者合作伙伴）降低風險；二是特恩布爾指南所采用的內部控制方法被廣泛認為是共同的、穩健的商業實務，而不局限于上市公司。

2．修訂的特恩布爾指南

FRC于2005年10月對特恩布爾指南進行了更新，發布了《內部控制：綜合準則董事指南（修訂）》（Internal Control: Revised Guidance for Directors on the Combined Code），簡稱修訂的特恩布爾指南（Revised Turnbull Guidance），自2006年1月1日起實施。

修訂的特恩布爾指南在結構上沒有變化，具體內容變化也不大。主要變化有：①刪除了關于內部審計的指南。這是因為在《公司治理綜合準則（2003）》“內部控制”部分刪除了關于內部審計的D.2.2的規定，移到了“審計委員會和審計師”中進行規范。②細微修訂了三條：一是將原指南的第36條和第40條合并成第33條：“年度報告應當包括富有意義的、高質量的信息，這些信息是董事會認為對協助股東了解公司風險管理過程和內部控制系統的主要特征非常必要的，且不應當給人留下誤導的印象。”這樣，使年度報告中包括的內部控制信息更具體一些。二是將原第25條轉變為第24條時，增加“在履行義務過程中，謹慎利用通常適用于董事的標準”。

3．《風險管理、內部控制和相關財務與經營報告指南》

FRC于2014年9月發布的《風險管理、內部控制和相關財務與經營報告指南》。在該指南中，FRC沒有區別風險管理與內部控制，而是將其結合起來考慮并制定相關指南。該指南共有六部分，其中與風險管理和內部控制直接相關的有四部分：董事會對風險管理與內部控制的責任、董事會行使對風險管理與內部控制的責任、建立風險管理與內部控制系統、監督和審查內部控制系統。

英國內部控制準則具有與公司治理準則緊密結合、強調責任分明、強調定期復核和報告內部控制的有效性、原則導向而非具體規則、將內部控制與風險管理密切結合的特點；其實施機制具有多部門協同以共同推進內部控制標準的制定和實施、對內部控制有效性的經常性審查和定期評估相結合、向股東報告內部控制的有效性、強化審計委員會在內部控制中的作用、強調內部審計在內部控制中的重要性等特點。

（二）英國最新內部控制框架分析

FRC于2014年9月發布的《風險管理、內部控制和相關財務與經營報告指南》是英國最新內部控制框架。在該指南中，FRC沒有區別風險管理與內部控制，而是將其結合起來考慮并制定相關指南。該指南共有六部分，其中與風險管理和內部控制直接相關的有四部分：董事會對風險管理與內部控制的責任、行使對風險管理與內部控制的責任、建立風險管理與內部控制系統、監督和審查內部控制系統。

（1）董事會對風險管理與內部控制的責任

董事會對組織的風險管理和內部控制的整體方法承擔相關責任，這些責任包括：①確保設計和實施適當的風險管理與內部控制系統，以識別公司面臨的風險，并使董事會能夠對主要風險做出穩健的評估；②確定公司所面臨的主要風險的性質和范圍，以及公司為實現其戰略目標所愿意承擔的風險（確定其“風險偏好”）; ③確保適當的文化和獎懲制度已被嵌入整個組織中；④就如何管理和減輕主要風險發生的可能性和所造成的影響達成一致；⑤監督和審查風險管理和內部控制系統及其管理層的監督和審查過程，確保其有效發揮作用以及在必要時采取糾正措施；⑥確保恰當的內部及外部的信息和溝通過程，對風險管理和內部控制的外部溝通承擔責任。

管理層的作用是實施董事會關于風險管理和內部控制的相關政策，并對其承擔日常責任。董事會必須確保管理層已經理解相關風險、實施和監管適當的政策和控制，并向董事會提供及時的信息，以便董事會能夠履行其職責。但是，管理層應確保清楚地制定和理解其內部職責，并被嵌入組織的每一個層次中。所有雇員應當明白其職責，以便根據企業文化來行事。

（2）行使對風險管理與內部控制的責任

董事會應建立風險管理和內部控制的基調，并建立合理的系統確保其能夠有效地履行責任。這取決于董事會的規模及其構成等因素，公司運行的規模、多元性和復雜性、公司面臨的主要風險的性質。但是董事會在決定合適決策的同時應考慮其他因素：①希望將何種文化嵌入公司當中以及該文化是否已實現；②如何確保董事會是否進行了充分討論；③董事會和管理層的技能、知識和經驗；④董事會信息的流入和流出以及該信息的質量；⑤董事會要求的保證以及如何獲取該保證。

（3）建立風險管理與內部控制系統

風險管理和內部控制系統集中包含政策、文化、組織、行為、流程、系統以及公司的其他方面。風險管理與內部控制系統的主要目標包括：①通過評估現有風險和新出現的風險、恰當應對風險和重大控制失誤以及保護資產的安全完整來提高經營的效率和效果；②幫助降低在做出決策時做出錯誤判斷的可能性和影響，承擔超出董事會同意承擔水平的風險，人為錯誤，或被故意規避控制流程；③幫助確保內部報告以及外部報告的質量；④幫助確保遵循適用的法律和法規，以及與業務開展相關的內部政策。風險管理和內部控制的系統應當包括：風險評估，管理和減輕風險（包括控制流程的使用），信息和溝通系統以及監督和審查其持續有效性的流程。風險管理和內部控制系統應當嵌入公司的運營中，以及能夠快速應對不斷變化的經營風險，不論這些風險是產生于公司的內部因素還是商業環境的變化。這個系統不應被視作定期的合規運用，而是作為公司日常經營過程的有機組成部分。

（4）監督和審查內部控制系統

單純存在風險管理和內部控制系統并不能說明風險管理的效果。有效和持續的監督審查是完善風險管理和內部控制系統不可或缺的成分。監督審查的過程是為了使董事會總結風險和內部控制系統是否與公司戰略目標吻合；確保該系統能處理公司的風險及能恰當地發展、運用和維護。

此外，《風險管理、內部控制和相關財務與經營報告指南》還對董事會如何履行其對風險管理和內部控制的職責、如何建立風險管理和內部控制系統、如何監督和審查風險管理和內部控制系統、如何呈報相關的財務報告和經營報告進行了說明，做出了原則性規定。

2．主要啟示

英國風險管理與內部控制系統最新進展的啟示：①將風險管理與內部控制整合起來；②突出強調董事會對風險管理與內部控制的責任并明確六大責任的內容；③強調對風險管理與內部控制系統建設、監督與審查，是其企業日常經營的有機組成部分。