二 英国内部控制框架的演进与最新框架分析

在英国，内部控制准则的发展是公司治理准则的研究和发展推动的结果。目前，英国内部控制准则和公司治理准则主要由英国财务报告委员会（Financial Reporting Council, FRC）制定并发布。

（一）英国内部控制准则的演进

英国在内部控制标准方面，先后形成了三个指南：一是英国英格兰和威尔士特许会计师协会（ICAEW）于1999年9月发布的《内部控制：综合准则董事指南》（Internal Control: Guidance for Directors on the Combined Code），简称特恩布尔指南（Turnbull Guidance）；二是FRC于2005年10月修订的《内部控制：综合准则董事指南（修订）》（Internal Control: Revised Guidance for Directors on the Combined Code），简称修订的特恩布尔指南（Revised Turnbull Guidance）；三是FRC于2014年9月发布了《风险管理、内部控制和相关财务与经营报告指南（2014）》（Guidance on Risk Management, Internal Control and Related Financial and Business Reporting 2014）。这些研究成果，特别是相关准则和指南，从理论和实践两个方面极大地推动了英国公司治理和内部控制的发展。

1．特恩布尔指南

1999年9月公布的《内部控制：综合准则董事指南》（简称特恩布尔指南）由导言［包括《公司治理综合准则（1998）》中内部控制的要求、指南的目标，内部控制和风险管理的重要性，公司集团］；维护健全、可靠的内部控制（包括责任，健全可靠的内部控制系统的要素）；审查内部控制的有效性（包括责任，审查有效性的过程）；董事会内部控制声明；内部审计；附录（评估公司风险管理和控制过程的有效性）等构成。作为指导上市公司构建内部控制的指南，该指南的意义在于，它为公司及董事会提供了具体的、颇具可行性的内部控制指引。

尽管该指南只直接适用于上市公司，但对非上市公司也至少产生两方面的影响：一是公司治理通过供应链影响其他公司，其他公司也可能被要求这样做，以使其客户（或者合作伙伴）降低风险；二是特恩布尔指南所采用的内部控制方法被广泛认为是共同的、稳健的商业实务，而不局限于上市公司。

2．修订的特恩布尔指南

FRC于2005年10月对特恩布尔指南进行了更新，发布了《内部控制：综合准则董事指南（修订）》（Internal Control: Revised Guidance for Directors on the Combined Code），简称修订的特恩布尔指南（Revised Turnbull Guidance），自2006年1月1日起实施。

修订的特恩布尔指南在结构上没有变化，具体内容变化也不大。主要变化有：①删除了关于内部审计的指南。这是因为在《公司治理综合准则（2003）》“内部控制”部分删除了关于内部审计的D.2.2的规定，移到了“审计委员会和审计师”中进行规范。②细微修订了三条：一是将原指南的第36条和第40条合并成第33条：“年度报告应当包括富有意义的、高质量的信息，这些信息是董事会认为对协助股东了解公司风险管理过程和内部控制系统的主要特征非常必要的，且不应当给人留下误导的印象。”这样，使年度报告中包括的内部控制信息更具体一些。二是将原第25条转变为第24条时，增加“在履行义务过程中，谨慎利用通常适用于董事的标准”。

3．《风险管理、内部控制和相关财务与经营报告指南》

FRC于2014年9月发布的《风险管理、内部控制和相关财务与经营报告指南》。在该指南中，FRC没有区别风险管理与内部控制，而是将其结合起来考虑并制定相关指南。该指南共有六部分，其中与风险管理和内部控制直接相关的有四部分：董事会对风险管理与内部控制的责任、董事会行使对风险管理与内部控制的责任、建立风险管理与内部控制系统、监督和审查内部控制系统。

英国内部控制准则具有与公司治理准则紧密结合、强调责任分明、强调定期复核和报告内部控制的有效性、原则导向而非具体规则、将内部控制与风险管理密切结合的特点；其实施机制具有多部门协同以共同推进内部控制标准的制定和实施、对内部控制有效性的经常性审查和定期评估相结合、向股东报告内部控制的有效性、强化审计委员会在内部控制中的作用、强调内部审计在内部控制中的重要性等特点。

（二）英国最新内部控制框架分析

FRC于2014年9月发布的《风险管理、内部控制和相关财务与经营报告指南》是英国最新内部控制框架。在该指南中，FRC没有区别风险管理与内部控制，而是将其结合起来考虑并制定相关指南。该指南共有六部分，其中与风险管理和内部控制直接相关的有四部分：董事会对风险管理与内部控制的责任、行使对风险管理与内部控制的责任、建立风险管理与内部控制系统、监督和审查内部控制系统。

（1）董事会对风险管理与内部控制的责任

董事会对组织的风险管理和内部控制的整体方法承担相关责任，这些责任包括：①确保设计和实施适当的风险管理与内部控制系统，以识别公司面临的风险，并使董事会能够对主要风险做出稳健的评估；②确定公司所面临的主要风险的性质和范围，以及公司为实现其战略目标所愿意承担的风险（确定其“风险偏好”）; ③确保适当的文化和奖惩制度已被嵌入整个组织中；④就如何管理和减轻主要风险发生的可能性和所造成的影响达成一致；⑤监督和审查风险管理和内部控制系统及其管理层的监督和审查过程，确保其有效发挥作用以及在必要时采取纠正措施；⑥确保恰当的内部及外部的信息和沟通过程，对风险管理和内部控制的外部沟通承担责任。

管理层的作用是实施董事会关于风险管理和内部控制的相关政策，并对其承担日常责任。董事会必须确保管理层已经理解相关风险、实施和监管适当的政策和控制，并向董事会提供及时的信息，以便董事会能够履行其职责。但是，管理层应确保清楚地制定和理解其内部职责，并被嵌入组织的每一个层次中。所有雇员应当明白其职责，以便根据企业文化来行事。

（2）行使对风险管理与内部控制的责任

董事会应建立风险管理和内部控制的基调，并建立合理的系统确保其能够有效地履行责任。这取决于董事会的规模及其构成等因素，公司运行的规模、多元性和复杂性、公司面临的主要风险的性质。但是董事会在决定合适决策的同时应考虑其他因素：①希望将何种文化嵌入公司当中以及该文化是否已实现；②如何确保董事会是否进行了充分讨论；③董事会和管理层的技能、知识和经验；④董事会信息的流入和流出以及该信息的质量；⑤董事会要求的保证以及如何获取该保证。

（3）建立风险管理与内部控制系统

风险管理和内部控制系统集中包含政策、文化、组织、行为、流程、系统以及公司的其他方面。风险管理与内部控制系统的主要目标包括：①通过评估现有风险和新出现的风险、恰当应对风险和重大控制失误以及保护资产的安全完整来提高经营的效率和效果；②帮助降低在做出决策时做出错误判断的可能性和影响，承担超出董事会同意承担水平的风险，人为错误，或被故意规避控制流程；③帮助确保内部报告以及外部报告的质量；④帮助确保遵循适用的法律和法规，以及与业务开展相关的内部政策。风险管理和内部控制的系统应当包括：风险评估，管理和减轻风险（包括控制流程的使用），信息和沟通系统以及监督和审查其持续有效性的流程。风险管理和内部控制系统应当嵌入公司的运营中，以及能够快速应对不断变化的经营风险，不论这些风险是产生于公司的内部因素还是商业环境的变化。这个系统不应被视作定期的合规运用，而是作为公司日常经营过程的有机组成部分。

（4）监督和审查内部控制系统

单纯存在风险管理和内部控制系统并不能说明风险管理的效果。有效和持续的监督审查是完善风险管理和内部控制系统不可或缺的成分。监督审查的过程是为了使董事会总结风险和内部控制系统是否与公司战略目标吻合；确保该系统能处理公司的风险及能恰当地发展、运用和维护。

此外，《风险管理、内部控制和相关财务与经营报告指南》还对董事会如何履行其对风险管理和内部控制的职责、如何建立风险管理和内部控制系统、如何监督和审查风险管理和内部控制系统、如何呈报相关的财务报告和经营报告进行了说明，做出了原则性规定。

2．主要启示

英国风险管理与内部控制系统最新进展的启示：①将风险管理与内部控制整合起来；②突出强调董事会对风险管理与内部控制的责任并明确六大责任的内容；③强调对风险管理与内部控制系统建设、监督与审查，是其企业日常经营的有机组成部分。