关于赴英国、西班牙开展企业内部控制调研情况的报告

一、英国内部控制标准制定实施情况及有关监管要求

（一）英国内部控制标准的制定及实施。1992年的卡德伯利报告(Cadbury Report)、1998年的哈姆佩尔报告(Hampel Report)以及作为公司治理委员会联合准则 (Combined Code of the Committee on Corporate Governance)指南的特恩布尔报告( Turnbull Report，1999)是英国内部控制研究历史上的三大里程碑。

卡德伯利报告从财务角度研究公司治理，将内部控制置于公司治理的框架之下，认为财务风险是由于舞弊或无能而引致的可能发生的财务损失，这种风险不可避免，但内部控制系统能在防止舞弊方面发挥作用。卡德伯利报告在许多方面开创了英国公司治理历史的先河，它将内部控制作为公司治理的组成部分，明确要求建立审计委员会、实行独立董事制度，它所确认的公司治理原则一直沿用至今。

哈姆佩尔报告对内部控制概念进行拓展，明确内部控制不应仅局限于公司治理和财务内部控制，要求董事及管理人员对财务控制、经营控制、遵循性控制等方面进行复核评价，以保护资产安全，加强财务管理、评估企业风险、遵守法律法规、促使舞弊风险最小。

特恩布尔报告就如何构建“健全的内部控制”提供了详细的指南。它认为董事会对公司的内部控制负责，公司应制定正确的内部控制政策及日常的保障措施，使内部控制系统有效发挥作用，公司还应进一步确认内部控制在风险管理方面是有效的。董事会应在谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判断，董事会应制定内部控制核查的范围、收到报告的频率以及年度评估的程序等等。

（二）英国政府对上市公司内控的监管要求。20世纪90年代初英国发生了以麦克斯韦事件为代表的一系列财务欺诈案件，引起各界对公司治理问题的广泛关注，1991年5月由财务报告理事会（FRC）、伦敦股票交易所（LSE）及会计职业界共同组成了委员会，就如何改善公司治理和提高财务报告质量展开研究，并于1992年12月发布研究报告《公司治理的财务方面》(即卡德伯利报告)。该报告着眼于董事对财务报告质量及其对股东的问责制，要求董事会对公司内部财务控制的有效性发表公告，并要求外部审计师对该公告予以审核。但由于评价有效性的标准及审计师审核的详细指南尚未建立，故该报告建议会计职业界及企业界的代表共同协作开发用以评价内部控制有效性的一整套标准和审计师用以审核的具体指南。

1998年颁布了《联合准则》规定，公司应保持一个健全的内部控制体系，以保护股东的投资和公司的资产；董事会至少每年对内部控制的有效性评估一次，并向股东报告，评估应涵盖所有重要的控制，包括财务、运营、遵循性控制和风险管理，但并没有要求外部审计师审核。为帮助董事执行《联合准则》中关于内部控制的相应条款，特恩布尔报告对英国现有的公司内部控制体系进行了总结，并给出一个明确的公司内部控制框架，使得公司和董事会可以在此框架基础上形成自己的内控体系模式，该框架不具有法律强制力而是指导性的。但伦敦股票交易所的上市规则之一是要求上市公司就《联合准则》在年度报告中阐明没有遵守的条款并解释原因，即采取“遵循或解释”的准自愿或半强制方式，2003修订的《联合准则》及2005年修订的特恩布尔报告均未改变这一做法。

二、西班牙及欧盟的内部控制标准制定实施情况及有关监管要求

（一）西班牙及欧盟内部控制标准的制定及实施。近年来，欧盟连续发布了一系列直接或间接影响上市公司内部控制规则的指令和建议，其中证券和公司法领域相继发布或修订了一个建议和三项指令，对欧盟内公司的内部控制提出了新的要求。

2002年，欧盟公司法专家高层工作组（HLG）在研究报告中建议公司在每年的公司治理声明中披露其风险管理系统方面的信息。2004年，欧盟发布透明度指令，要求公司年报中需出具报告，用以描述其所面临的主要风险和不确定性，且在半年报中也必须包含关于本年度剩余6个月内面临的主要风险及不确定性信息的内容。2006年，欧盟修订会计指令，要求上市公司提供年度公司治理声明，该声明必须包括一份与财务报告相关的公司内部控制和风险管理系统主要特征的描述，并对披露的内容提出了最低要求。2016年，欧盟修订审计指令，规定公共利益组织（包括上市公司）必须建立一个审计委员会以监督财务报告过程，监督公司内部控制、内部审计、风险管理系统的有效性。审计师必须向审计委员会报告在审计中产生的关键事项，特别是与财务报告有关的内部控制重大缺陷。

除上述欧盟规则外，许多欧洲国家，如法国、西班牙、荷兰等，均制定或更新了内部控制要求，并将其嵌入本国的公司治理守则或相应法律法规，内部控制和风险管理受到欧盟国家管理当局的广泛关注。

（二）西班牙及欧盟政府对上市公司内控的监管要求。相较于美国、英国等国家，欧盟对上市公司的内部控制采取的监管方法更为原则。欧盟对上市公司内部控制的监管主要从欧盟及各成员国两个层面进行。欧盟层面主要通过三个指令及相关行业要求进行规范，属于欧盟法律法规，对欧盟范围内的公司具有强制约束力。欧盟各成员国包括西班牙则主要通过公司治理准则进行要求，因为欧盟各国公司治理准则大多采取“遵循或披露”的实施方式，借助披露发挥市场约束力，其强制性弱于法律法规。

欧盟指令对欧盟范围内公司内部控制的要求与萨班斯法案（SOX）相比存在较大差异：一是欧盟范围内没有规定董事会评价内部控制有效性的法律义务，而SOX法案要求公司披露内部控制的有效性，并聘请注册会计师对公司财务报告内控有效性出具审计报告。二是欧盟指令要求公司对外报告主要集中于一般风险和不确定性、内部控制的弱点及财务报告系统的主要特征，而SOX法案要求董事会对内部控制有效性进行结论性的评价。三是最终责任主体不同，欧盟框架则将内控最终责任归于董事会，而SOX法案将内控责任归于CEO和CFO等公司高级管理层。

三、内部控制工作中信息化和数字化的应用和发展趋势

近年来，以云计算、大数据、物联网和移动互联为代表的新技术和智能化不断对企业内部控制工作进行着颠覆式的改造和影响：一是企业需要适应数字化发展的持续发展要求；二是企业如何更好应用智能化、数字化工具，对企业面临的各类风险进行管控。调研中，我们了解了英国、西班牙有关企业在开展内部控制工作中数字化、智能化和自动化工具的应用情况。

（一）利用数字化平台和大数据分析工具，对企业各类数据进行更加有效的分析，识别风险，提供具备价值的结论和建议。随着企业加速采用大数据、云平台、人工智能等新技术，数字化的风险管理和内部控制就成为发展的必然。很多英国和西班牙企业通过应用数据分析、以及数据仪表盘等可视化工具，对企业数据进行全面、实时的有效监控，让管理层能对各个部门的工作状态以及运营状况进行实施监督和控制，实现业务过程和内部控制、风险防范的深度融合，在业务源头充分了解实际运营情况，进行有效的监督，加强内部控制预防、检查与纠正能力。

（二）自动化业务处理。部分企业在内部控制环节，利用流程机器人流程自动化（RPA）对大量、重复性和简单作业进行自动化收集，整理，处置和分析等，减少人工作业，提高作业质量，实现内控过程的减员增效。比如在报销、采购订单处理、付款环节管理、合同录入等关键业务环节和企业内控的关键环节，利用RPA技术手段规范高风险和关键业务过程，从根本上提升业务管控能力，提高内部控制活动的效率和效力。

（三）GRC(治理、风险与合规)平台建设应用。调研中，我们了解到一部分欧洲企业已经开展或者正在开展GRC平台建设，以在企业内部建设更加主动、更加敏捷的管理和控制能力。GRC平台主要包括操作风险管理，策略和合规性管理，财务控制管理，IT治理和内部审计等功能板块，支持企业建立完整的风险和合规性视图，简化控制执行和监控活动，将内部GRC(治理、风险与合规)与外部监管要求衔接，使企业在满足内部控制合规要求的同时，从公司治理和全面风险管理的视角对高风险业务进行控制和监督。

四、几点启示

（一）进一步完善我国企业内部控制规范体系。英国、欧盟等国家的内部控制并没有照搬美国萨班斯法案的强制性要求，而是根据欧洲国家政治经济的特殊性和欧洲企业的特点，采取自愿披露的方式，重点发挥市场的约束力。目前，我们正在利用世行技援项目，开展我国企业内部控制规范体系修订完善研究。在修订完善我国企业内部控制规范过程中，不能照搬照抄美国做法，而是应结合中国企业实际，借鉴吸收美国、欧洲内部控制的有益做法，发展和完善具有中国特征的内部控制规范体系及相应的监管要求，进一步提高我国内部控制规范的科学性和适用性。

（二）建立科学合理管控机构。我国企业的治理结构与欧盟企业类似，股权相对集中，董事会能够对管理层实施有效监控，这与美国公司“弱股东、强管理层”的格局有所不同。我国企业应依据国家的相关法律法规以及企业的章程，进一步规范公司治理结构以及议事规则，建立科学合理的管控机构，明确决策以及执行、监督等等方面的职责权限，形成科学有效的职责分工以及制衡制度，形成董事会、经理层、监事会相互分离、相互制衡的有效治理结构，有效提升董事会的科学决策以及内部监督的能力。

（三）健全完善信息系统控制。充分使用高科技的信息技术整合以及优化内部控制系统，是内部控制在企业有效落地的重要手段。企业在已经建立管理信息体系和业务信息系统的基础上，应当考虑应用数字化和智能化手段作为企业内部控制体系建设的工具，充分利用已有信息系统和管理软件等信息系统之间的可集成性，将内部控制融入企业经营管理和业务流程中，减少人为操纵，实现企业内部控制工作的持续改进和优化，同时优化内控制成本，提高内部控制的效率和效果。