内容提要：本文回顾分析了英国公司治理和内部控制发展历史上三个具有里程碑意义的文献——卡德伯利报告、哈姆佩尔报告和特恩布尔报告，揭示了英国内部控制发展的四大趋势：（1）对内部控制有效性进行报告的要求日趋减弱；（2）内部控制与风险管理的融合日趋紧密；（3）内部审计的角色由监督者逐步转变为控制者；（4）内部控制自我评估日益受到重视。最后结合我国内部控制研究和发展的现状，借鉴英国的经验，对当前我国内部控制理论研究的定位、上市公司内部控制有效性的披露以及内部审计的发展方向等问题提出了若干建议。

关键词：公司治理      内部控制       风险管理     英国     启示

 

历史上看，英国内部控制的发展离不开公司治理研究的推动。20世纪80-90年代，英国的公司治理象今天的美国公司一样，面临着巨大的信任危机。面对创造性会计（creative accounting）的泛滥、公司经营的失败和连续不断的丑闻、董事薪酬激增以及企业短期行为主义猖獗等一系列公司治理问题，社会公众、监管机构不满的情绪日益升温。这一阶段也就成为英国公司治理问题研究的一个高峰期，各种专门委员会纷纷成立，并发布了各自的研究报告，其中比较著名的有卡德伯利报告（Cadbury Report,1992）、拉特曼报告（Rutterman Report,1994）、格林伯利报告（Greenbury Report,1995）和哈姆佩尔报告（Hampel Report,1998）。在吸收这些研究成果的基础上，于1998年最终形成了公司治理委员会综合准则（Combined Code of the committee on Corporate Governance），综合准则很快就被伦敦证券交易所认可，成为交易所上市规则的补充，要求所有英国上市公司强制性遵守。这些研究成果从理论和实践两个方面，极大地推动了英国公司治理和内部控制的发展，尤其是卡德伯利报告、哈姆佩尔报告以及作为综合准则指南的特恩布尔报告（Turnbull Report,1999）堪称是英国公司治理和内部控制研究历史上的三大里程碑。

在英国，早期的公司治理研究将财务问题作为中心，致力于提高财务控制和财务报告质量，以强化董事会对股东的受托责任。财务风险被认为是由于舞弊或无能而引致的可能发生的财务损失，人们虽广泛相信这种风险不可避免，但亦认为内部控制系统能在防止舞弊和无能方面发挥作用。1992年的卡德伯利准则以内部控制、财务报告质量以及公司治理之间存在直接关系为前提，明确要求公司改善内部控制机制，该报告的全称为公司治理的财务方面（The Financial Aspects of Corporate Governance）。

卡德伯利报告从财务角度研究公司治理，同时将内部控制置于公司治理的框架之下。其实，1985年“公司法”之S.221条款就规定，董事对公司保持充分的会计记录负责，为满足上述要求，在现实中董事必须建立公司财务管理方面的内部控制制度，包括设计程序使舞弊风险最小化，这也就是说，1985年的“公司法”已经对董事确保适当的内部控制制度提出了含蓄的要求。

卡德伯利报告进一步认为有效的内部控制是公司有效管理的一个重要方面。因此建议董事们应发表一个声明，对公司内部控制的有效性进行详细描述，外部审计师对其声明进行复核（review）和报告，同时规定在董事会认可声明之前，审计委员会应对公司的内部控制声明进行复核。报告认为内部审计有助于确保内部控制的有效性，内部审计的日常监督是内部控制的整体组成部分。该报告还认为会计师职业应在以下方面起到领导作用：（1）开发用以评估有效性的一整套标准；（2）开发董事会报告形式的具体指南；（3）开发审计师用以相关审计程序和报告格式的具体指南。

卡德伯利报告在许多方面开创了英国公司治理历史的先河，它明确要求建立审计委员会、实行独立董事制度，同时将内部控制作为公司治理的组成部分。尽管报告尚存在许多局限性，但它所确认的许多公司治理的原则一直沿用至今。

公司治理委员会成立于1995年11月，其发起人为当时的财务报告委员会主席希德尼· 利普沃斯爵士(Sir Sydney Lipworth)，委员会的赞助者为伦敦证券交易所（LSE）、英国工业联合会（CBI）、英国董事协会、全英会计师机构咨询委员会、全英养老金联合会（NAPF）以及英国保险公司联盟（ABI）。委员会认为公司治理的重要性在于其对商业繁荣和受托责任的贡献，而受托责任在过去的时间里占据了主角，以至于使人们忽视了公司治理对商业繁荣的推动作用。

哈姆佩尔报告将内部控制的目的定位于保护资产的安全、保持正确的财务会计记录、保证公司内部使用和向外部提供的财务信息的可靠性。报告同时鼓励董事对内部控制的各个方面进行复核，包括确保高效经营、遵守法律法规定方面的控制。哈姆佩尔报告认为很难将财务控制与其他控制区分开来，并坚信董事及管理人员对控制的各个方面进行复核具有重要意义，内部控制不应仅局限于公司治理的财务方面。但该报告全面赞同卡德伯利报告将内部控制视为有效管理的重要方面的观点，并认为董事会应该对内部控制进行复核以强调相关控制目标，这些目标包括对企业风险评估和反映、财务管理、遵守法律法规、保护资产安全，以及使舞弊风险最小化等方面。

哈姆佩尔报告共计提出了56条“结论和建议”，其中第52-54条涉及到内部控制。报告第52条建议从卡德伯利准则第4.5点中去掉“有效性”一词，使该条变成“董事应对内部控制系统进行报告”。同时建议应秘密向董事会成员提供内部控制报告，以建立更为有效的沟通渠道并推动最佳实务的发展。第53条建议董事应保持并复核与相关控制目标有关的控制，而不仅仅是财务控制。第54条建议未建立独立内部审计机构的公司，应时常考虑建立独立内部审计机构的必要性和可行性。

尽管哈姆佩尔报告所提出的准则，将公司治理向前推进了一步，但并未满足普遍的要求，其主要的批评意见集中于该报告的内容缺乏新意、委员会主要由既得利益者组成、有关原则由难以付诸实施、责任不够明确等等。当时商业与工业部的负责人玛格丽特·贝凯特就认为报告在受托责任与透明度方面做的不够，并暗示她将提交一个有关公司治理方面的立法建议。                                              

卡德伯利报告和哈姆佩尔报告都程度不同地对公司内部控制提出了要求，作为集大成者的综合准则在“最佳实务准则(Best Practice Code)”中对内部控制提出了综合性和原则性的规定。其中原则D.2规定：“董事会应建立健全内部控制，以保护股东投资和公司资产”；D.2.1条款进一步要求“董事应至少每年对组织的内部控制进行一次复核，并向股东报告他们的复核情况。复核应涵盖所有的控制，包括：财务控制、业务控制和遵循性控制及风险管理”；D.2.2条款则规定：“未建立内部审计制度的公司应经常考虑，是否有必要建立这种制度”。

尽管综合准则要求公司董事会应建立健全内部控制，但是该准则并未就如何构建“健全的内部控制”提供详细的指南。因此，英格兰和威尔士特许会计师协会（ICAEW）与伦敦证券交易所达成一致，为上市公司执行准则中与内部控制相关的要求提供具体指南。1999年ICAEW组织成了以尼格尔·特恩布尔（Nigel Turnbull）为主席的十人工作小组，该工作组于1999年9月公布了以主席命名的指南——《内部控制：综合准则董事指南》。作为指导企业构建内部控制的指南，该报告的意义在于它为公司及董事会提供了具体的、颇具可行性的内部控制指引。

董事会对公司的内部控制负责，应制定正确的内部控制政策，并寻求日常的保证，使内部控制系统有效发挥作用，还应进一步确认内部控制在风险管理方面是有效的。在决定内部控制政策，并在此基础上评估特定环境下内部控制的构成时，董事会应对以下问题进行深入思考：（1）公司面临风险的性质和程度；（2）公司可承受风险的程度和类型；（3）风险发生的可能性；（4）公司减少事故的能力，以及对已发生风险的影响；（5）实施特殊风险控制的成本，以及从相关风险管理中获取的利益。

合理的内部控制要素包括政策、程序、任务、行为以及公司的其他方面，这些要素结合在一起，对影响公司目标实现的重大的商业性、业务性、财务性和遵循性风险做出正确反应，以提高公司经营的效率和效果。其中包括避免资产的不当使用、损失或舞弊，并保证已对负债进行了确认和管理。公司的内部控制应反映组织结构在内的控制环境，包括：（1）控制活动；（2）信息和沟通程序；（3）持续性监督程序。特恩布尔报告指出了健全的内部控制所应具备的基本特征：（1）它根植于公司的经营之中，形成公司文化的一部分，换言之，它不仅仅是为了取悦监管者而进行的年度例行检查；（2）针对公司面临的不断变化的风险，具有快速反应的能力；（3）具有对管理中存在的缺陷或失败进行快速报告的能力，并且能及时地采取纠正措施。

对内部控制有效性进行复核是董事会职责的必备部分。董事会应在谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判断。董事会应限定对内部控制复核的过程，包括一年中复核的范围、收到报告的频率以及年度评估的程序等等，这也将为公司年报和记录中的内部控制声明提供适当的支持。

从1992年的卡德伯利报告到1999年的特恩布尔指南，英国理论界和实务界对内部控制的研究逐步趋于系统和完善，沿着内部控制发展的轨迹，我们可以总结其在英国发展的趋势，这些规律也必将对世界内部控制的发展产生影响。

卡德伯利报告建议董事应就内部控制的有效性进行报告（code,4.5），并要求审计师对董事会报告进行复核（code,脚注）。由此产生了一系列问题，其中之一就是审计师应向谁进行报告、是否应将其复核报告公开。在向社会公众提供公开报告方面，有效性要求使董事会和审计师均感到很困惑，因为那将意味着内部控制将为避免错误或舞弊提供“绝对保证”，而事实上没有一个内部控制系统能够完全避免人为错误或者蓄谋践踏，如果由于非故意原因导致错误陈述或遗漏，董事或审计师将因为其确认的有效性而承担法律责任。Power（1997）的研究发现，当内部控制及其有效性的概念仍处于模糊状态时，董事会及会计师均不愿做出这样的声明。

与卡德伯利报告形成鲜明对比的是，哈姆佩尔报告鼓励而非要求董事就内部控制的有效性作出判断，并对卡德伯利准则中的第4.5条款进行了修改，将原来的“董事应就公司内部控制的有效性进行报告”，修改为“董事应对公司内部控制进行报告”，删除了“有效性”一词。哈姆佩尔报告建议在董事会报告中明确董事在内部控制方面的责任，说明内部控制仅能为避免重大的错误或遗漏提供“合理”保证，描述公司为提供有效的财务控制而建立的主要程序，并确认董事已经就系统的有效性进行了复核。哈姆佩尔报告认为审计师不必向社会公众公布其对董事会报告的审查结果。这样做会在董事会与审计师之间建立更为有效的沟通渠道，使得最佳实务在报告的范围和性质方面不断进步。

特恩布尔报告规定，董事会应对公司内部控制的有效性进行复核，总结进行复核所使用的程序，并在年度报告或记录中披露用于解决内部控制重大问题的方法和过程，董事会至少还应披露用于确认、评估和管理重要风险的持续性监督程序。特恩布尔报告还鼓励董事会在年报中提供额外的信息，以帮助信息使用者理解公司的风险管理程序和内部控制。由此可见，英国对有关公司内部控制的报告和披露方面的要求并未放松，但对内部控制有效性进行报告的规定却日趋减弱。

 表一概括了英国内部控制范围的演化过程和发展趋势，卡德伯利报告和拉特曼报告对内部控制的要求主要限于财务控制，而财务控制的主要功能在于保护资产的安全、保持正确的财务会计记录、以及确保公司内部使用和向外部提供的财务信息的可靠性。哈姆佩尔报告则向前推进了一步，认为很难将财务控制与其他控制区分开来，鼓励董事对有效经营、遵守法律法规等方面进行复核，从而大大扩大了内部控制的范围。特恩布尔报告再次扩大了内部控制的范围，将其与风险管理联系起来。内部控制与风险管理的结合很早就引发了人们的关注，但二者的关系仍无普遍认可的观点。一种观点认为内部控制从属于风险管理的范畴，是风险管理的方式之一。例如Krogstad（1999）就认为内部控制不存在于真空或暗箱之中，而存在于协助组织进行风险管理并提升有效的治理程序之中；McNamee也认为内部控制是企业管理者对企业风险的反应。另一种有代表性的观点是将风险管理纳入内部控制体系，认为控制包含了风险。例如美国的COSO报告将风险评估视为内部控制的五个要素之一；而加拿大CICA的控制委员会则认为“控制应包括对风险的确认和规避”（1999，P.9）。经过争论和实践，人们对二者关系的认识不断深化，逐渐认识到将两者关系隔离的分析方法是不可取的，内部控制与风险管理只有相融合，才能实现最佳效果。例如，Blackburn（1999）就认为“风险管理与内部控制仅是人为的分离，而在现实的商业行为中，他们是一体化的”，这种融合极大地推进了内部控制定义的发展。

Maijoor(2000)曾指出定义内部控制的困难所在，并进一步认为当前内部控制的研究是零散和不完善的，内部控制在公司治理中的作用并不明显，导致政策建议建立在未经证实的假设之上。特恩布尔报告转向扩张的观念，将内部控制与风险管理合为一体，认为两者是近乎等同的概念。这是英国与公司治理相关的公开文件中，第一次强调内部控制与企业风险的关系，而此前的卡德伯利报告没有明确两者之间的关系，哈姆佩尔报告也仅在内部控制的环境下简单地提及风险管理。

特恩布尔报告认为公司经营的目标、内部控制组织和环境处于不断变化之中，作为结果，其面临的风险也在不断变化。一个健全的内部控制依赖于对公司所面临风险性质和程度的全面、综合的评价。因为利润本身部分地作为企业成功冒险的回报，内部控制的目的就是帮助正确地管理和控制风险，而非减少风险。正如该委员会主席尼格尔·特恩布尔所说：“我们致力于制定实务指南，以保证董事会知晓公司所面临的重要风险，并制定相应的程序对风险进行管理，执行的管理层负责通过建立有效的内部控制系统进行风险管理，而董事会作为一个整体对其进行报告。”

这种融合避免了对内部控制定义不清的麻烦，使之从传统的内部财务控制的狭窄范围内摆脱出来，扩展至通过战略参与为公司创造价值，同时亦标志着风险导向内部控制时代的来临。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

表一：英国内部控制发展趋势和演进过程

注：拉特曼报告被后来的综合准则所取代。

内部审计一度曾被定位于“监督者”的角色。卡德伯利报告认为内部审计是对外部审计的补充，建立内部审计机构对关键控制和程序进行监督是良好公司实务的组成部分，这种日常监督也是公司内部控制整体中的一部分，它有利于保持内部控制系统的有效性。内部控制代表董事会对任何有舞弊可疑性的行为执行调查，为保证其地位的独立性，应使内部审计负责人与审计委员会主席的沟通畅通无阻。哈姆佩尔报告却认为，没有必要对内部审计做出严格的规定，但董事会应经常考虑，是否需要建立独立内部审计机构。

特恩布尔报告对内部审计做出了更为详细的指引，认为是否建立内部审计机构不能一概而论，而是取决于公司具体的因素，这些因素包括规模、公司行为的多样性和复杂性、员工的数量以及成本效益方面的考虑。高级管理人员和董事会需要对风险和控制给出客观的保证和建议，一个有效的内部审计部门（或独立第三方）则可以提供这种保证和建议，内部审计亦可以在诸如健康和安全、管制和法律遵守及环境等问题提供保证和建议。

特恩布尔报告认为在决定是否有必要建立单独的内部审计机构这一问题上，董事会应考虑公司行为、市场、组织重构、信息系统和其他外部环境方面因素是否会增加公司所面临的风险。那些未建立内部审计机构的公司，其管理人员应使用其他监督程序，以确保内部控制能正常、按要求运转，董事会有必要对这些程序是否提供足够和客观的保证进行评估。

特恩布尔报告认为内部审计师的主要作用是“确证（assurance）和建议”，而不再是以往的“监督和复核”，这一转变赋予内部审计更多的内涵，也推动了英国内部审计职业角色的转变。这一转变也与IIA将内部审计定位成增值性审计的想法不谋而合。在风险导向的内部控制下，内部审计计划与公司风险管理策略联系在一起，内部审计利用对当前的风险分析，保证其审计计划与企业的经营计划相一致。正如McNamee所预言的那样，内部审计师应成为内部战略计划者——一个管理控制的扩展，以确保系统正常运做，实现组织目标，内部审计师应最终脱离狭隘的会计之源。在变革的时代，内部审计师应在全面管理中发挥更高价值的功能，这一崭新的定位已经成为内部审计师职业发展的目标，也为内部审计师在组织中占据新的位置提供了机遇。

表二：内部审计的变化比较表

资料来源：David McNamee and George M. Selim: “Risk Management: Changing the Internal Auditor’s paradigm”, P.5, The Institute of Internal Auditors Research Foundation, 1998.

内部控制自我评估（CAS）是公司管理层和员工在专题讨论中，共同对内部控制进行的评估（McNamee,1995），自我评估是组织监督和评估内部控制系统的主要工具。它将运行和维持内部控制的主要责任赋予公司管理层，同时使员工和内部审计与管理层一道承担对内部控制评估的责任。这使以往由内部审计对控制的充足性及有效性进行独立验证发展到全新的阶段，即通过设计、规划和运行内部控制自我评估程序，由组织整体对管理控制和治理负责。

英国一直重视内部控制的自我评估，但卡德伯利报告和哈姆佩尔报告仅要求对内部控制系统进行复核（review），而在特恩布尔报告中，则第一次使用了评估（assessment）的字眼，报告还用相当大篇幅对内部控制自我评估做出了原则性的规定。

特恩布尔报告规定，在给董事会的报告中，管理层应对与其相关的领域中所存在的风险，以及相应的内部控制系统的有效性提供平衡的自我评估。特恩布尔报告认为在对内部控制进行自我评估时，应特别考虑以下几个问题：（1）自上次评估以来，重要风险的性质和程度所发生的变化，以及公司对这些商业风险和外部环境变化所做出反应的能力；（2）管理层对内部控制系统和风险持续监督的范围和质量，以及内部审计功能和其他保证方式的工作状况如何；（3）就监督的结果与董事会交流的程度和频率，以便在公司内建立起累计评估体系，对内部控制状况及风险管理有效程度加以评估；（4）期间内任一时间所确认的重大控制失败或弱点，及其所导致或可能导致的不可遇见的结果及或有事项的程度，以及对公司财务状况和业绩产生的重大影响；（5）公司公开报告程序的有效性。一旦知道内部控制中所存在的重大失败或弱点，董事会应决定这种失败或弱点是如何产生的，并对内部控制系统的有效性进行重新评估。

    从上述情况看，尽管报告尚未对评估的程序、方法等做出更为具体的规定，但明显地，对内部控制自我评估的重视程度，是日益加强的。

通过上述对英国内部控制发展的回顾，我们总结了内部控制在英国的发展趋势，从中可以得到很多可资借鉴的经验和有益的启示，这些启示有助于推动我国内部控制的研究和实践。

长期以来，我国内部控制理论研究主要集中于会计审计领域，侧重从会计和审计的角度研究内部控制，其研究成果也主要服务于审计方法的应用、审计成本的节约和审计风险的控制。注册会计师职业在审计中采用制度基础审计方法，通过对内部控制的测试，确定审计的重点和风险，进一步修改审计计划，而内部审计师则将内部控制的作为监督或评价的重点目标。

仅从会计和审计的角度研究内部控制，必然导致视角过于狭窄，我国到目前为止尚未形成象美国的COSO、英国的Turnbull这样系统的内部控制体系，便与内部控制基础理论研究不够深入、系统有直接关系。1996年财政部颁布的《独立审计具体准则第9号——内部控制和审计风险》，对企业内部控制的定义、目标和局限性等做出了较为全面的阐述，但它所采用的内部控制是英、美等国家所“淘汰”的概念，其作用也仅局限于对注册会计师从事审计业务提供具体指引。2001年财政部颁布的《内部会计控制规范——基本规范（试行）》是目前我国内部控制领域内最具权威的标准，也是上市公司进行内部控制实践所依据标准，但该《规范》仍局限在内部会计控制领域。而英国内部控制的发展，经历了财务控制、财务控制与管理控制相结合、内部控制与风险管理相融合等几个阶段，其范围不断扩大，早已超出了会计控制的范围。而公司治理的研究，亦未将内部控制方面作为重点研究对象，2002年1月，中国证监会颁布了我国第一部公司治理准则——《上市公司治理准则》，对公司治理的诸多方面进行了规范，但该准则却并没有涉及内部控制方面的内容，这使得该准则自诞生之日起便是便带有明显的缺陷。公司治理与内部控制之间应形成良性互动关系，内部控制的发展离不开公司治理的推动，公司治理的优化也离不开有效的内部控制作为保障，我们认为二者的这种关系应该在准则中得到反映，治理准则对内部控制、内部审计亦应作出明确的规定。

英国内部控制的发展离不开公司治理的推动，内部控制和内部审计研究均置于公司治理的框架之内，重视从公司治理的角度研究内部控制，把内部控制看作公司治理的有机组成部分。我们认为应借鉴其英国内部控制研究的经验，加强对内部控制理论的研究，其中需要解决的问题之一就是内部控制研究的定位问题。本文认为内部控制的研究应立足于公司治理、与公司治理的研究相结合，致力于研究内部控制是否对公司治理产生影响、这种影响机制如何发生作用以及公司董事会和管理层如何设计、运行公司内部控制机制等基本理论问题，其落脚点是促使内部控制发挥积极作用，提升公司治理水平。从而逐步形成既符合我国企业实际情况，又与国际公认标准接轨的内部控制理论体系。

目前我国上市公司的内部控制实行的是强制性披露制度。在中国证监会2001年4月颁布的《公开发行证券的公司信息披露内容与格式准则第11号——上市公司发行新股招股说明书》中，规定“发行人应披露管理层对内部控制制度的完整性、合理性及有效性的自我评估意见，同时应披露注册会计师关于发行人内部控制评价报告的结论性意见”。而《公开发行证券的公司信息披露内容与格式准则第1号——招股说明书》对申请首次发行股票公司也有类似的要求，规定“发行人应披露公司管理层对内部控制制度完整性、合理性及有效性的自我评估意见，注册会计师指出以上‘三性’存在重大缺陷的，应披露并说明改进措施。”我们也认为上市公司内部控制信息的披露应该实行强制性披露，并对所有信息披露的内容与格式做出统一的规定（刘秋明，2002），这种强制性的信息披露有利于投资者了解上市公司的相关信息和投资决策。

但我们认为，上述文件对内部控制“有效性”进行强制性披露的要求值得商榷。因为如果公司或注册会计师在报告中认为上市公司的内部控制是“有效性”的，这就意味着他们做出了某种承诺和保证，而这种承诺和保证又是绝对的。例如隧道股份（600820）在2001年配股说明书中这样披露：“公司管理层认为公司的内部控制制度是完整、合理和有效的”，其聘请的注册会计师上海立信长江会计师事务所有限公司亦认为“公司的内部控制的完整性、合理性及有效性是合理、公允的”。实际上，内部控制所能提供的仅是“合理”保证，而非“绝对”保证，这种绝对的保证很容易将自身置于潜在的诉讼风险之中，正是出于对诉讼风险的担心，英国上市公司的董事及注册会计师才反复游说，最终取消了对“有效性”报告的规定。

我国目前虽未大规模启动民事赔偿机制，但我国《证券法》第63条、第161条、第202条，通过对各类虚假陈述行为人规定民事赔偿责任的形式，赋予被侵权的投资人享有民事赔偿诉讼的权利，有关民事赔偿的相关司法解释也即将出台，从而为具体案件的审理做出规定。由于内部控制的涵盖范围很大，涉及到财务会计、经营管理、合法合规等诸多方面，使得任何一起诉讼都有可能牵扯到内部控制，发起人、负有责任的董事、监事以及注册会计师均有可能因对内部控制的“有效性”做出承诺而面临诉讼，而导致巨额的赔偿。因此，要求上市公司或注册会计师对内部控制的有效性进行报告的做法，值得进一步探讨，这是英国内部控制发展给我们的另一个启示。

1、Blackburn, S(1999), “Managing risk and achieving Turnbull compliance”, Accountants Digest 417, ABG.

2、Cadbury Committee(1992), Report of the committee on the Financial Aspects of Corporate Governance, Gee, London.

3、Committee of Sponsoring Organizations of the Treadway Commission(COSO)(1992) Internal Control-Integrated Framewok, AICPA, New Jersey.

4、David McNamee(1992), “Change and the nature of auditing”, Managerial Auditing Journal, Vol.10,1995.

5、David McNamee and George M. Selim: “Risk Management: Changing the Internal Auditor’s paradigm”, P.5, The Institute of Internal Auditors Research Foundation, 1998.

6、Hampel Committee (1998), Committee on Corporate Governance, Final Report, Gee, London.

7、Internal Control Working Party(The Turnbull Report)(1999),Guidance for Directors on the Combined Code, ICAEW, London.

8、Krogstad, J.L., Ridley, A.J., and Rittenberg, L.E.(1999), “Where we’re going”, Internal Auditor,October, pp.28-33.

9、Maijoor,s.(2000), “The internal control explosion.”, International Journal of Auditing Vol.4, PP101-109.

10、 Power, M. (1997),The Audit Society, Oxford University Press, Oxford.

11、理查.M.斯坦恩伯格 凯瑟琳.L.布罗密罗，《公司治理和董事会》，石油工业出版社，2002年8月第1版。

12、刘秋明，“我国上市公司内部控制信息披露问题及改进”，《证券市场导报》，2002年第6期。

13、王光远，“关于内向型管理审计的基本特征”，《财会月刊》，2002年第6期。

14、王光远，“内向型管理审计：从控制导向到风险导向”，《财会月刊》，2002年第7期。