企業(yè)內部控制評價方法的比較

企業(yè)內部控制評價方法的比較

自2002年《美國薩班斯-奧克斯利法》（sox法）頒布以來，商業(yè)評估和注冊會計師對內部控制的審計已成為焦點，一些國家和地區(qū)相繼提出了類似的要求。強制要求本身的制定往往是相對容易的,但是,企業(yè)的管理層如何評價內部控制以及注冊會計師如何審計內部控制卻沒有想象的那么容易,這不但涉及到內部控制評價理念的差別,還涉及到適當評價方法的選擇。一、有效的內部控制和企業(yè)內部監(jiān)督(一)控制內部控制盡管相關各方都在探討內部控制的評價,追求有效的內部控制,但并沒有就內部控制的有效性給出一個確切的定義。內部控制不是獨立存在的,從本質上來說它服務于企業(yè)的目標,派生于企業(yè)的經營和管理,從而,內部控制的目標也是派生于企業(yè)的目標。所以,從本源的角度來看,內部控制的有效性是指內部控制為相關目標的實現(xiàn)提供的保證程度或水平,有效性不同的內部控制可以提供不同程度的保證,其變動范圍應當是從0到100%,如圖1所示。一般情況下,不同企業(yè)的內部控制系統(tǒng)運行在不同的有效性水平上,同樣,某一特定內部控制系統(tǒng)在不同時點的運行可能也不同。盡管內部控制是一個過程,其有效性卻是該過程在某一時點的狀態(tài)或情形(COSO,1992)。這就產生了一個問題:是評價內部控制在某一時點的有效性,還是某一時期的有效性?對一項具體的控制活動來說,如果僅僅是在某一個時點對其有效性進行評價,那么,這個有效性是該指該項控制活動在這一時點的狀態(tài)或情形。但是,從本質上來說企業(yè)內部控制是一個整體系統(tǒng),而整體系統(tǒng)的有效性就必須具有一定的穩(wěn)定性,只評價某一個時點的有效性并沒有太大的價值和意義。另一方面,內部控制是為相關目標乃至企業(yè)目標的實現(xiàn)提供合理保證,而相關目標的實現(xiàn)都存在一個過程,都與一定的期間(如財務年度)相對應。所以,上市公司內部控制的年度評價應當是評價上市公司內部控制截至財務報告日或最近財務年度的有效性,是對內部控制在某個期間有效性的評價。(二)要素層面的內部控制研究評價內部控制的有效性,首先要解決的一個問題就是什么是有效的內部控制。解決這一問題的方法主要是制定一個企業(yè)內部控制框架,很多國家和機構都對這個問題進行了研究,包括美國注冊會計師協(xié)會、美國的反欺詐財務報告委員會發(fā)起組織委員會(COSO)、英國財務報告理事會等,都制定了內部控制的框架或標準來闡述有效內部控制應當具備的要素和內容。通過這個企業(yè)內部控制框架界定內部控制的含義,確定內部控制的目標,描述有效的內部控制通常情況應該具備的要素。比如,COSO的《內部控制-整合框架》構建了包括三類目標、五個構成要素的內部控制框架,《企業(yè)風險管理-整合框架》構建了包括四類目標、八個構成要素的企業(yè)風險管理框架等,這些框架也就是所謂的內部控制評價標準。COSO把內部控制定義為,“由主體的董事會、管理層和其他人員實施的,用來為經營效果和效率、財務報告的可靠性、遵守適用的法律法規(guī)三類目標的實現(xiàn)提供合理保證的一個過程”。以這一定義來看,有效的內部控制被界定為能夠為內部控制目標的實現(xiàn)提供合理保證的內部控制。之所以是合理保證而不是絕對保證,是因為人類在決策過程中的判斷可能有紕漏、建立內部控制需要考慮相關的成本和效益、個人缺失可能會導致故障的發(fā)生、控制可能會因為兩個或多個人員的串通而被規(guī)避以及管理層越過內部控制等固有局限。因此,我們可以對有效的內部控制得出以下兩點結論:1.合理保證和絕對保證的區(qū)間:coso對有效內部控制的界定眾所周知,絕對保證是指100%的保證,有效的內部控制提供的既然是合理保證,就不是絕對的100%的保證。美國《證券交易法》條款13(b)(7)把“合理保證”和“適當詳細”定義為“這樣一種詳細水平和保證程度,它使謹慎的高級職員在處理它們自己的事務時感到滿意”。盡管我們很難準確地確定合理保證具體是什么水平的保證,但是,可以確定的是在合理保證和絕對保證之間必然存在一個區(qū)間。所以,COSO對有效內部控制的這種界定只可能是界定了有效內部控制的一個下限,而不是上限。從邏輯和理論上來看,有效的內部控制是指能夠為內部控制目標的實現(xiàn)提供合理或者更高水平保證的內部控制,或者講,有效的內部控制不是一個點,而是存在一個判定區(qū)間。這個區(qū)間的上限為1,即100%的絕對保證,下限是一個不確定的數值,它取決于人們的判斷,設定為P0,這個區(qū)間就是[P0,1]。如圖2所示。只要內部控制保證相關目標實現(xiàn)的水平落入這個區(qū)間,那么,該內部控制就是有效的內部控制。反之,則是無效的。2.有效內部控制的有效性由于內部控制不同目標實現(xiàn)的影響因素不同,所以,對于內部控制的不同目標而言,有效內部控制的含義是不同的,合理保證的內容是不一樣的。對于財務報告的可靠性、遵循相關的法律法規(guī)這兩個目標來說,企業(yè)內部控制可以合理保證它們的實現(xiàn),因為這兩類目標的實現(xiàn)處于企業(yè)的控制范圍之內,并且取決于企業(yè)相關控制活動完成的好壞。而對于經營目標和戰(zhàn)略目標來說,卻不是這樣。企業(yè)內部控制不能防止糟糕的判斷或決策,也不能防止那些能夠導致經營業(yè)務沒有達到經營目標的外部事項。也就是說,企業(yè)經營目標和戰(zhàn)略目標的實現(xiàn)除了受到自身因素的影響外,還要受到外部因素的影響,并不總是處在企業(yè)的控制范圍之內。因此,企業(yè)內部控制盡管能夠增大管理層做出更好決策的可能性,但不能合理保證這些目標的實現(xiàn),只能合理的保證管理層以及起監(jiān)督作用的董事會了解企業(yè)向著實現(xiàn)目標的方向前進的程度。所以,有效的內部控制,對于財務報告目標和合規(guī)目標來說指的是能夠合理保證財務報告可靠性、遵循相關的法律法規(guī),而對于經營目標和戰(zhàn)略目標來說,指的則是能夠合理保證管理層和董事會及時了解目標正在實現(xiàn)的程度。因此,評價企業(yè)內部控制的有效性實際上是在判斷企業(yè)內部控制能夠為相關目標的實現(xiàn)提供的保證水平是否處于有效內部控制的區(qū)間。如果企業(yè)內部控制為相關目標的實現(xiàn)提供的保證水平達到甚至超過了合理保證的水平,也就是在有效內部控制的區(qū)間內,那么它就是有效的;如果提供的保證水平低于合理保證的水平,那么,它就是無效的,如圖3所示。(三)公司內部控制是否能夠保證好由于內部控制有效性的評價是基于潛在事項的判斷,而不是實際發(fā)生的事項,有效的內部控制為相關目標的實現(xiàn)提供的只是合理保證,而不是絕對保證,所以,相關目標實際實現(xiàn)了的內部控制不一定是有效的內部控制,相關目標沒有實際實現(xiàn)的內部控制也不一定是無效的內部控制。以財務報告內部控制的評價為例,評價財務報告內部控制的有效性是基于公司的內部控制能否防止或及時發(fā)現(xiàn)一個潛在的重要錯報,而不是根據一個重要錯報是否實際已經發(fā)生,從而評價財務報告內部控制能否合理保證財務報告的可靠性。所以,財務報表實際沒有發(fā)生重要錯報時,內部控制不一定是有效的內部控制,而財務報表實際發(fā)生了重要錯報時,內部控制也不一定是無效的內部控制。假定合理保證的水平為P0,財務報表發(fā)生重要錯報的固有風險為MR,內部控制沒有防止或及時發(fā)現(xiàn)重要錯報的風險為CR,則財務報表最終發(fā)生錯報的風險FR=MR×CR。按照內部控制評價的一般邏輯,如果FR<(1-P0),則財務報告內部控制是有效的,如果FR>(1-P0),則財務報告內部控制是無效的。二、優(yōu)化評價方法盡管不存在適合所有公司的內部控制評價方法,但是,無論是對內部控制評價方法進行規(guī)制,還是企業(yè)自由選擇自己的評價方法,都要考慮評價思路和方法的適當性。一個適當的內部控制評價思路和方法至少要滿足以下幾個方面的條件。(一)可靠性評價根據該思路和方法對內部控制的有效性進行評價形成的結論要具有一定程度的可靠性,也就是對內部控制有效性的判斷出現(xiàn)錯誤的風險要足夠低,至少要降到適當的水平,這是一種適當的評價方法首先必須具備的條件。評價結論的可靠性不夠高,不能達到一個合理水平的評價方法所形成的評價結論是難以被認可的。(二)成本效益評價不但內部控制本身存在成本效益的問題,內部控制評價也存在成本效益的問題。適當的企業(yè)內部控制評價方法必須考慮評價引起的成本和效益問題,要符合成本效益原則,具有一定的效益性。(三)適用范圍及靈活性原則不同企業(yè)的內部控制不同,評價內部控制有效性的具體方法也有所不同,這取決于公司的特定情況和控制的重要性。一種評價方法應當具有廣泛的適用性和靈活性,才能得到不同規(guī)模、不同行業(yè)、不同類型企業(yè)的應用和參考。尤其是如果制定統(tǒng)一的內部控制評價指南或規(guī)范,更要考慮評價方法對不同規(guī)模、不同行業(yè)和不同類型企業(yè)的適用性,要允許企業(yè)根據自己內部控制的特定情況靈活調整具體的評價方法、評價程序和評價內容,設計一個滿足企業(yè)需要并為評估結果提供合理保證的評價過程。(四)價內部控制設計合理性測試內部控制的評價程序必須是全面的,足以既能評價內部控制設計的合理性,又能測試運行的有效性。所以,評價范圍和內容要全面,評價結論要根據設計有效性和運行有效性的評價來形成的。(五)控制有效性的評價結果的證據適當的證據文件是內部控制有效運行本身所必需的,一種適當的評價思路和方法必須為內部控制有效性的評價結果(包括測試)提供合理的證據文件支持。提供合理的支持證據一方面是為了確保評價結論的可信性,另一方面是為其他人評價或審計內部控制保留必要的痕跡。這些條件既是一個適當的評價方法必須具備的,也是判斷一個評價方法是否適當的標準和依據。三、標的風險是否在內部控制之后是否已經降低評價企業(yè)內部控制的有效性實質是評價內部控制為相關目標的實現(xiàn)提供的保證水平是否達到或超過合理保證的水平。從另一個角度來看,就是評價相關目標的風險在經過內部控制之后是否已經降低到了一個適當的水平,如果已經降到了一個適當的水平,則內部控制是有效的,反之,則無效。盡管企業(yè)內部控制框架提供了一個有效內部控制系統(tǒng)的一般模板,也是評價內部控制有效性的標準,但是,根據內部控制框架或標準對內部控制的有效性進行評價卻可以選擇不同的起點或切入點,使用不同的評價思路和方法。從內部控制評價本身以及目前的發(fā)展情況來看,主要存在詳細評價法和風險基礎評價法兩種方法。(一)對照內部控制框架或標準進行分析和判斷在《企業(yè)內部控制-整合框架》中,COSO指出,確定某一內部控制系統(tǒng)是否有效是在評估五個要素是否存在以及是否有效發(fā)揮作用基礎上的主觀判斷。在《企業(yè)風險管理-整合框架》中,COSO也指出,認定一個主體的企業(yè)風險管理是否“有效”,是在對八個構成要素是否存在和有效運行進行評估的基礎之上所作的判斷。在美國證券交易委員會2003年6月通過的實施SOX法案404節(jié)的規(guī)則(SEC,2003)以及后來發(fā)布的管理層評價指南中,都強調內部控制評價的程序必須足以既能評價財務報告內部控制的設計,又能測試運行的有效性。因此,遵循這個思路,很多企業(yè)和事務所都曾經采用過詳細評價法。這種方法的基本思路是:以內部控制框架或標準為參照物,根據內部控制框架的構成要素是否存在評價內部控制的設計有效性,然后測試內部控制的運行有效性,最后綜合設計和運行的評價對內部控制的有效性做出總體評價,評估內部控制目標實現(xiàn)的風險,判斷是否存在實質性漏洞(MW),確定內部控制是否有效。詳細評價法的邏輯和程序如圖4所示:這種思路和方法在企業(yè)最初進行內部控制建設或日常的評價中應用較多。此外,在SOX法案開始時,企業(yè)的管理層在評價內部控制以及注冊會計師審計內部控制時基本上都是遵照美國公共公司會計監(jiān)督委員會在2004年發(fā)布的第2號審計準則(PCAOB,2004)執(zhí)行的,采用的基本上也是這種思路。這種思路和方法的特點是從控制到風險,即從內部控制到相關目標實現(xiàn)的風險。這種評價思路和方法首先要根據現(xiàn)有的內部控制框架評價企業(yè)內部控制的設計和運行,識別出控制缺陷,然后判斷是否是實質性漏洞,從而判斷內部控制的有效性。評價運行有效性可以采用測試的方法確定相關的內部控制是否得到了有效實施,從理論和實務上來說不存在太大的問題。而評價設計的有效性在該方法中則是對照內部控制框架或標準進行的,所以,最關鍵的問題是如何對照企業(yè)內部控制框架或標準確定內部控制設計的有效性。這種對照內部控制框架或標準判斷設計有效性的思路應當是來自于COSO的《內部控制-整合框架》等報告中提出的控制的完整性概念。COSO在這個報告中明確指出,內部控制框架的這些組成要素和標準適用于整個內部控制系統(tǒng),或者是一類或多類目標。當考慮任何一類目標的控制時,例如有關財務報告的控制,所有五個要素都應該滿足才能得出有關財務報告的控制是有效的結論。但是,內部控制的組成要素之間具有相互補充、相互滲透的關系,盡管五個組成要素都應該被滿足,但是這并不意味著在不同的企業(yè)中每個組成要素都得到同樣的執(zhí)行。不同組成要素之間存在某種平衡,因為內部控制能夠滿足多個目標,一個組成要素中的控制可能會滿足另外一個組成要素范疇內的控制需要實現(xiàn)的目標。而且,控制降低風險的程度是不同的,所以,效果有限的多個控制一起可以達到滿意的效果。鑒于上述原因,盡管內部控制的框架或標準描述了一個有效的內部控制系統(tǒng)所應當具備的構成要素,如果采用簡單的一一對應的方法對照內部控制框架來評價內部控制設計的有效性,就有可能產生兩個問題:一個是成本高,效率低;另一個是評價結論的不可靠性。內部控制框架或標準描述這些構成要素時,是把企業(yè)抽象成一個主體,并沒有考慮企業(yè)所處的國家、所處的行業(yè)、企業(yè)的規(guī)模等特定的因素,其目的是構建一個通用的內部控制標準和參照物。但是,并不是所有的企業(yè)(如不同規(guī)模的企業(yè)、不同行業(yè)的企業(yè))都必須具備與內部控制框架或標準完全一樣的內部控制才算是有效,而且,這個框架中的所有要素涉及的控制與內部控制目標的相關性和對內部控制目標的重要性是不同的。因此,如果一一對應的對照內部控制框架或標準評價內部控制設計的有效性必定會評價了過多的、不必要的控制,導致成本高而效率低,這一點已經在美國上市公司過去幾年實施SOX法案的經歷中得到了體現(xiàn)。有效的內部控制并不要求所有的要素同等程度的存在,因為內部控制要素本身具有一定的相互補充性和相互替代性,存在某種程度的平衡,并且這種替代或平衡在很多情況下并不能確切的衡量,也不能準確的體現(xiàn)在內部控制的框架或標準中。所以,如果一一對應地對照內部控制框架或標準評價內部控制設計的有效性必定會出現(xiàn)評價結論的偏差:按照內部控制框架或標準評價可能是一個缺陷,但是,實際上卻是有效的。這一點很明顯的體現(xiàn)在了不同規(guī)模企業(yè)內部控制的評價上。根據內部控制框架或標準評價內部控制本身并沒有錯,但是,內部控制的框架或標準本身是一個通用的框架,更多的關注內部控制的“WhatandWhy”,即使是COSO在2006年發(fā)布的《較小規(guī)模公眾公司財務報告內部控制指南》也“主要被設計用于幫助管理者建立和保持有效的財務報告內部控制”,盡管這些框架或標準提供了評價有效性的標準,但不足以說明如何完成內部控制有效性的評價。所以,這個思路如果用于內部控制的建立和保持應當是比較適合的,而要用于內部控制有效性的年度評價則并不是十分恰當,這一點在美國上市公司過去幾年的經歷中得到了充分的體現(xiàn)。(二)風險基礎評價法企業(yè)內部控制的另一種思路和方法是從風險到控制,即從內部控制相關目標實現(xiàn)的風險到內部控制。首先,要評估相關目標實現(xiàn)的風險;其次,識別和確定企業(yè)充分應對這些風險的內部控制是否存在,即評價內部控制的設計應對相關目標實現(xiàn)風險的有效性;第三,識別和確定內部控制運行有效性的證據,評價現(xiàn)有的控制是否得到了有效的運行;最后,對控制缺陷進行評估,判定是否構成實質性漏洞,確定內部控制是否有效。對于不同的目標來說,目標風險的含義、內部控制實質性漏洞的含義是不相同的,在評價每一類目標時都需要做具體設定。風險基礎評價法的邏輯和程序如圖5所示?！白陨隙隆焙汀帮L險基礎”的理念在這種方法中得到了充分的體現(xiàn)?！帮L險基礎”主要體現(xiàn)在:以評估控制目標實現(xiàn)的風險為起點;關注重要的財務報告和披露風險與問題;僅評價充分應對風險的控制;證據的獲取和場所的選擇根據風險評估的結果;評價結論(內部控制是否有效)也是風險基礎的,判斷有效與否是根據內部控制是否相當可能沒有防止或發(fā)現(xiàn)財務報表中的重要錯報?！白陨隙隆敝饕w現(xiàn)在:從財務報表整體開始,然后到賬戶、披露;從公司層面的控制開始,然后到活動層面的控制。美國證券交易委員會和公共公司會計監(jiān)督委員會2007年6月最終分別發(fā)布的管理層報告內部控制的指南(SEC,2007)和內部控制審計準則(PCAOB,2007)都采用了這一思路。風險基礎評價法與詳細評價法的區(qū)別類似于財務報表的詳細審計與財務報表的風險基礎審計,主要體現(xiàn)在以下幾個方面:四、沒有對內部控制的評價由于我國不同行業(yè)、企業(yè)內部控制的規(guī)制隸屬于不同的部門,內部控制的法規(guī)建設一直處于各自為政的局面。關于內部控制的評價,出現(xiàn)的正式官方文件主要有中國證券監(jiān)督管理委員會2001年發(fā)布的《關于做好證券公司內部控制評審工作的通知》、注冊會計師協(xié)會2002年發(fā)布的《企業(yè)內部控制審核指導意見》和中國銀行業(yè)監(jiān)督管理委員會2004年發(fā)布的《商業(yè)銀行內部控制評價試行辦法》。注冊會計師對內部控制的審核主要是了解內部控制的設計、評價內部控制設計的合理性以及測試和評價內部控制執(zhí)行的有效性。對商業(yè)銀行內部控制的評價包括過程評價和結果評價,過程評價是對內部控制環(huán)境、風險識別與評估、內部控制措施、監(jiān)督評價與糾正、信息交流與反饋等體系要素的評價,結果評價是對內部控制主要目標實現(xiàn)程度的評價。2006年7月,財政部發(fā)起成立了企業(yè)內部控制標準委員會,開始進行統(tǒng)一內部控制標準的建立,2007年3月,內部控制標準委員會發(fā)布了《企業(yè)內部控制規(guī)范》的征求意見稿。2006年7月,上海證券交易所發(fā)布了《上海證券交易所上市公司內部控制指引》。2006年9月,深圳證券交易所發(fā)布了《深圳證券交易所上市公司內部控制指引》?？傮w上看,目前我國內部控制法規(guī)建設的重點還是統(tǒng)一的內部控制標準,盡管相關法規(guī)已經要求企業(yè)評價內部控制的有效性,但沒有對內部控制評價的方法進行指導和規(guī)范。從我國企業(yè)內部控制評價的現(xiàn)狀來看,主要有以下幾種情況:(1)有些企業(yè)內部控制的建設主要基于傳統(tǒng)的經驗,缺乏有效的內部控制標準或框架指導。(2)有些企業(yè)盡管通過咨詢機構或其他途徑參考了內部控制的標準或框架,但是,無論是內部控制的建設,還是評價,都停留在內部控制標準或框架的表面上。從內部控制的建設來看,只是機械的模仿內部控制框架的一些構成要素和內容,建立了書面規(guī)則和制度意義上的內部控制,而很少對控制環(huán)境等基礎性因素進行改進和完善。從內部控制的評價來看,在評價內部控制時主要關注的是業(yè)務活動層面的具體控制活動和措施,對于企業(yè)層面的控制關注不足,很少考慮對內部控制的整體有效性進行評價。(3)有些企業(yè)根據通用的內部控制標準或框架建立了內部控制系統(tǒng),按照相關要求對內部控制進行了評價,但在內部控制的建設和評價方面面臨一系列問題和困難:首先,依據的內部控制框架是國外的,而國內尚沒有發(fā)布類似的、能得到國際互認的框架,內部控制框架的解釋權在他不在我。其次,無論是內部控制的建設還是評價延續(xù)了以往結果導向的習慣,重結果,輕過程,對過程的效率和成本效益關注不足。再次,過分依賴于咨詢機構,沒有從企業(yè)的實際情況出發(fā)設計有效的內部控制體系和評價方法。第四,內部控制的各種評價形式沒有得到充分的整合和協(xié)調,重復性工作較多。最后,企業(yè)傳統(tǒng)的體制和習慣等控制環(huán)境因素難以在短期內得到根本的改變。上述情況都反映出我國企業(yè)內部控制評價存在的根本問題就是:評價的動力不足;缺乏本土化的評價標準;評價方法不夠科學和合理,不符合成本效益原則;對內部控制及其評價的研究不足,沒有充分結合企業(yè)自身的情況,采用風險基礎的方法。盡管不同的國家、不同的評價主體在評價內部控制時所用的方法和程序存在差異,但從目前的現(xiàn)狀以及未來國際發(fā)展趨勢來看,基本上都趨向于采用風險基礎的方法。美國證券交易委員會和公共公司會計監(jiān)督委員會2007年分別發(fā)布的管理層報告內部控制的指南和內部控制審計準