内部控制缺陷的识别、认定与报告,本文主要内容关键词为:内部控制论文,缺陷论文,报告论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、文献回顾与研究切入点的选取
内部控制评价是持续改进企业内部控制的重要手段。内控评价得出内部控制是否有效的关键在于判定内部控制是否存在缺陷、缺陷的类型及采取的措施。因此,内部控制有效性认定的核心是缺陷的识别和缺陷的分级。已有的有关内部控制缺陷的研究主要集中于以下四个方面:影响内部控制缺陷披露的主要因素(Doyle,Ge和McVay,2007;Hollis等,2007;林斌和饶静,2009;田高良等,2010);内部控制缺陷披露与公司财务报告质量的关系(Doyle,Ge和McVay,2007;Ashbaugh-Skaife,Collins,Kinney和LaFond,2008;杨有红和毛新述,2009;齐保垒等,2010);内部控制缺陷与公司筹资成本和股东财富分配的关系;披露内部控制缺陷的公司与其他公司在某些特征上(如企业规模、复杂程度、存在年限、成长性)的差异(杨有红和陈凌云,2009;Hollis等,2009;Jeffrey等,2007)。
梳理与内部控制缺陷有关的已有研究成果,我们不难发现:上述四个方面的研究成果提高了人们对内部控制缺陷披露激励和约束因素的认识,加深了监管部门和投资者对内部控制强制性评价和内部控制缺陷披露重要性和迫切性的认知,并为管理当局优化完善内部控制措施以及投资者基于缺陷类型评估投资风险提供了认识基础。但是,已有研究均未涉及以五目标为导向进行内控缺陷的识别和认定。
尽管《企业内部控制评价指引》(以下称《评价指引》)和《企业内部控制审计指引》(以下称《审计指引》)对缺陷的初步认定和最终认定做了原则性规定,但在《评价指引》实施过程中,不可避免地会遇到一些亟须明确的操作性问题。例如,缺陷识别的技术方法有哪些,如何界定缺陷的类型和严重程度,如何根据缺陷判定内部控制的有效性,什么样的缺陷必须对外报告,等等。虽然美国内部控制评价与审计规范对缺陷的识别和严重程度评价有较为具体的操作指南,但这些操作指南仅限于财务报告相关内部控制,是围绕“重要账户和披露以及它们的相关认定”来进行的。我国的《评价指引》要求企业基于五目标进行全面评价,《审计指引》要求注册会计师“对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加‘非财务报告内部控制重大缺陷描述段’予以披露。”美国基于财务报告内控的缺陷识别与认定对我们基于五目标内控评价与审计中的缺陷识别与认定的借鉴意义是十分有限的。
本文以内部控制缺陷的实质及其与内部控制局限性的关系为突破口,论述内部控制缺陷的识别、严重性评估、严重等级认定、应对以及缺陷的对外报告。
二、内部控制缺陷及识别基础
内部控制缺陷是内部控制过程存在的缺点或不足,这种缺点或不足使得内部控制无法为控制目标的实现提供合理保证。内部控制评价正是要找出内控的缺陷,不断提高为内控目标实现提供合理保证的程度。正如COSO-IC(1992)和COSO-RM(2004)对控制缺陷下的定义:“已经察觉的、潜在的或实际的缺点,抑或通过强化措施能够带来目标实现更大可能性的机会。”
理想化的、没有任何瑕疵的内部控制是不存在的,判断内部控制是否存在缺陷的标准不是仅仅看控制系统是否存在缺点或不足,而是看这种缺点或不足是否阻碍其为控制目标的实现提供合理保证。按照天文表精确度的要求,我们日常生活中使用的手表等计时器理论上都存在着计时误差,但每天一、二秒甚至更多一点的误差不会影响准确计时这一目标的实现,基于资源的有限性以及成本效益考量,我们没有必要按天文表的精确度要求来测试、校正我们的计时器。正如PCAOB审计准则第5号《与财务报表审计相结合的财务报告内部控制审计》第11段所言:“对那些没有以合理可能性导致财务报表发生重大错报的控制来说,即使存在缺陷,也没有必要进行测试。”尽管我们的内控评价范围不局限于财务报告内控,但PCA-OB第5号给予我们一个方法论的启示:无论是内控评价还是内控审计,对内控缺陷的识别以及缺陷严重程度的划分都应该基于目标导向来进行内部控制缺陷的识别和评估。
内控未能实现目标的原因分为两大类:内控缺陷和内控局限性。正确识别内部控制缺陷必须厘清内部控制缺陷和内部控制局限性的关系。COSO报告指出:“内部控制体系无论设计和运行多么好,都只能对主体目标的实现向管理层和董事会提供合理而非绝对的保证。目标实现的可能性受到所有内部控制体系都存在的固有局限的影响。”COSO还列举了内控局限性的典型表现:决策过程中可能出现错误判断、执行过程中可能出现的错误或过失;因勾结串通或管理层越权而失效;制约于控制带来的收益与执行控制成本之间的权衡。内部控制缺陷和内部控制局限性这两个概念既有本质区别,又有密切联系、容易混淆。
内部控制缺陷和内部控制局限性的共性表现为:(1)两者都以目标为判断的准绳,内部控制缺陷表现在不能为控制目标的实现提供合理保证,而内部控制局限性体现在能够为控制目标的实现提供合理保证但不能为控制目标的实现提供绝对保证;(2)它们都产生于内部控制设计和运行两个环节;(3)尽管内部控制包括预防性控制(preventive controls)和查觉性控制(perceptive controls),但它对蓄意策划的合谋和管理层越权行为而言是无能为力的,这既是内部控制的固有局限性,也是内部控制最严重的运行缺陷;(4)衡量缺陷和局限性的标准不是看是否实际发生偏离目标,而是看是否具有合理可能性。
内部控制缺陷和内部控制局限性的区别在于:(1)内部控制缺陷是内部控制设计者在设计过程中未意识到缺点,以及内部控制执行过程中不按设计意图运行而产生运行结果偏差的可能;内部控制局限性则是设计者在设计过程中事先预留的风险敞口,以及运行过程中按照设计意图运行也无法实现控制目标的可能;(2)由于内部控制存在着局限性,内控只能为控制目标的实现提供合理保证,而不是绝对保证;内部控制缺陷的存在使得内部控制过程无法为控制目标的实现提供合理保证;(3)内部控制存在着因合谋和越权而失效的可能,这表现为内部控制的局限性,但某一控制过程存着合谋或越权的迹象,则表现为内部控制的缺陷。
无论是将内控的局限性误当内控缺陷进行认定和揭露,还是误将缺陷作为局限性来忽略,都将导致内控过程偏离控制目标并可能导致内部控制有效性信息的虚假揭露。为保证内控缺陷识别和评估的科学性,必须厘清内部控制缺陷和内部控制局限性的共性与区别。
三、内部控制缺陷的识别、严重性评估与认定方法
内部控制缺陷认定需要解决识别的技术手段和认定权限问题。内部控制缺陷按其成因分为设计缺陷和运行缺陷,按其影响程度分为重大缺陷、重要缺陷和一般缺陷。因此,对内控缺陷的认定应分为以下三个步骤:第一,识别内部控制设计和运行缺陷;第二,对识别出的内控缺陷进行严重程度评估,将其区分为重大缺陷、重要缺陷和一般缺陷;第三,赋予不同的管理次级以不同影响程度的缺陷认定权限。
(一)缺陷识别
内部控制缺陷中,有些设计缺陷和运行缺陷仅表现为控制过程偏离控制目标的可能但并未造成现时的危害;还有些缺陷则表现为控制系统已发生偏离控制目标的现实。对这两种缺陷类型的识别应分别采用测试识别和迹象识别两种方法。
1.测试识别
测试识别是指采用控制过程技术分析、符合性测试等手段识别内部控制的设计缺陷和运行缺陷。
设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。如果管理层和员工遵循内控政策和程序进行交易和事项的处理,也不能为内控目标的实现提供合理保证,这类缺陷归为设计缺陷。设计缺陷应该从以下两个角度识别:缺失和设计不当。缺失指缺少某一方面的内部控制政策或程序,例如,会计估计变更没有必要的审批程序;设计不当指虽然针对某一交易或事项制定了内部控制政策和程序,但采用了不正确的控制手段(例如,在货币资金内部控制中规定由出纳核对银行日记账和银行对账单并由出纳编制银行存款调节表)或者由于控制政策或程序未能涵盖影响控制目标实现的所有风险(例如,资产减值内部控制制度设计得过于简单,无法为资产减值计提的合理性和资产计价的可靠性提供合理保证)。
运行缺陷指现存设计完好的控制没有按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。运行缺陷需要通过对内控执行过程的穿行测试来发现。例如,某笔资金使用需经总经理签字授权后方可使用,但企业因急需使用资金为由在先使用的情况下再追补总经理审批手续,则可判断资金授权审批控制存在运行缺陷。
2.迹象识别
迹象识别指通过所发现的已背离内部控制目标的迹象,识别内部控制的设计缺陷和运行缺陷。迹象识别实际上是基于内部控制的运行结果对内部控制有效性的判断。严重背离内控目标的迹象发生,本身就表明现有的内部控制无法为控制目标的实现提供合理保证。表明内控缺陷的迹象包括:(1)管理层的舞弊行为,内控系统未能发现或虽已发现但不能给予有效的制止;(2)因决策过程违规、违法使用资金等受到监管部门的处罚或责令整改;(3)审计委员会或者外部审计师发现财务报表存在错报;(4)企业资产出现贪污、挪用等行为;(5)某个业务领域频繁地发生相似的重大诉讼案件。
表明内控缺陷的迹象尽管能够直接判断缺陷的严重程度,但并不能直接告诉缺陷所处的环节。因此,企业应以迹象为突破口测试内控的设计与运行,进行缺陷定位。
(二)缺陷严重程度评估
无论是中国的内控规范还是美国的内控框架,都依据控制系统偏离控制目标的程度对缺陷的严重程度进行分类。我国的《评价指引》和《审计指引》根据缺陷导致企业偏离控制目标的可能性和严重程度大小将缺陷分为重大缺陷、重要缺陷和一般缺陷,将“可能导致企业严重偏离控制目标”的缺陷界定为重大缺陷;将“严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标”的缺陷界定为重要缺陷;将“除重大缺陷、重要缺陷之外的其他缺陷”界定为一般缺陷。《评价指引》同时指出,重大缺陷、重要缺陷和一般缺陷的具体认定标准由企业自行确定。本文在此给出缺陷严重程度评估的两点建议:
1.以偏离目标的可能性和偏离目标的程度作为衡量缺陷严重性的标准
《基本规范》和《配套指引》赋予了企业在内部控制缺陷严重程度判断中的自由裁量权,允许企业在判断缺陷是否重大时考虑自身的行业特征、风险偏好和可容忍风险度、所处特定环境。当可容忍风险以目标的形式分解到各部门、各岗位,成为判断缺陷是否存在以及缺陷严重程度的标准之后,对目标偏离的可能性和偏离的程度就反映了缺陷的严重程度。根据迹象识别出的缺陷可直接根据目标偏离度(这里特指“消极偏离”,即目标未实现,而不是超额实现)判断其严重程度,对处于潜在风险期的缺陷可以从偏离目标的可能性和偏离目标的程度两个维度进行缺陷严重程度评估。评价方法可以是定性分析,也可以是定量分析。定性分析是直接用文字描述偏离目标的可能性和偏离目标的程度,如“极低”、“低”、“中等”、“高”、“极高”等;定量分析是用数值衡量偏离目标的可能性(如概率)和偏离目标的程度(如可能的损失额或损失额占净利润的百分比、可能的错报额或错报额占资产的百分比)。当然,定性指标可以利用技术方法(例如Likert等级量表法)转化成为定量指标。
2.充分考虑缺陷组合和替代性控制
缺陷严重程度评估必须充分考虑以下两点对评估结论的影响:(1)关注和分析缺陷组合风险。缺陷与偏离目标可能性之间不仅存在着一一对应关系,还存在着缺陷组合的风险叠加效应。例如,在其他控制环节严密的情况下,由出纳核对银行日记账和银行对账单是一个重要的缺陷,但是,如果同时与银行印鉴管理不严、支票管理漏洞相组合,则构成重大缺陷。(2)替代性控制(补偿性控制)的作用。替代性控制是其他正式或非正式的控制对某一控制缺陷的遏制或弥补。例如,某企业尽管存在着信息与沟通方面的制度设计缺陷,但该企业有这样一个良好的习惯:每天上班之前的半小时,管理层成员都自发地来到办公楼前的操场上,就昨天的生产、销售、安全、财务情况进行交流,然后回到各自的工作岗位。这种不成文的习惯作法成为该企业经理层以及经理层与董事会成员之间有效沟通的良好替代方法。
(三)内部控制缺陷认定与应对
缺陷识别和严重性评估很大程度上属于技术层面的问题,但缺陷认定则属于管理层面的问题。企业应该建立内部控制缺陷分级授权认定制度以及纠偏责任落实制度,并将其嵌入内部控制评价组织体系之中。缺陷认定与负责采取纠偏措施两者间要权责对应。不同严重程度的缺陷由于风险、控制层次、纠偏难度(纠偏所涉及的部门或动用的资源)存在着差别,需要由企业的不同层级来认定和承担纠偏责任。对于认定的属于运行环节的缺陷,应通过加强监督、提高执行力度的方法解决;属于设计环节的缺陷,应在采取纠正措施的同时,着手修订内控制度。缺陷严重程度判断标准、认定机构及纠偏措施间对应关系如下表所示:
四、内部控制缺陷的对外报告
对外发布内部控制评价报告将成为对上市公司的强制性规定。但是,何种影响程度的内部控制缺陷应该对外披露、如何披露内部控制缺陷等技术层面的问题需要厘清。
内部控制信息披露服务于投资者的权益保护以及投资者对企业投资回报的预期。财务报告之所以是投资决策的重要依据,原因在于它有助于投资者评估企业未来产生现金流量的金额、时间和不确定性,从而服务于投资决策。但是,依据财务数据对企业前景的预期能否成为现实、差异的波动方向取决于对未来不确定因素的管控。内部控制的有效性以及缺陷的严重程度决定着他管控未来风险的能力以及预期变为现实的可靠程度。对外披露内控缺陷信息是企业必须承担的义务。但是,无论从法律赋予管理层的义务层面讲,还是受托者对委托者承担的道义责任层面讲,并不是所有的内部控制缺陷都必须对外披露。对外披露的缺陷应该是对投资者制定投资决策、修正以往投资决策产生影响的缺陷信息。缺陷的披露实际上起风险提示的作用,只有较大可能偏离目标且危害程度较严重的缺陷才有必要对外披露。
内部控制评价报告的结论性内容是内部控制是否有效,其核心内容是有关内部控制缺陷信息的披露。然而,“自我揭短”是需要勇气但又不是单凭勇气能够解决问题的。我国近几年上市公司内部控制信息自愿披露的情况已充分印证了这一点。因此,《企业内部控制基本规范》已要求企业强制进行内部控制评价并对外披露内部控制评价报告。为不折不扣贯彻《评价指引》和《审计指引》,有关部门应该通过内部控制指引配套讲解等方式对内部控制缺陷披露进行规定和引导。有关内部控制缺陷的信息应至少披露以下内容:(1)内部控制缺陷的认定标准;(2)缺陷对外披露的标准;(3)按认定标准和披露标准确定的应对外披露的内部控制缺陷;(4)采取的缺陷整改措施;(5)采取整改措施后的剩余风险。
内部控制缺陷的认定在中国处于起步阶段,缺陷认定标准的确立、完善和共识需要一段时间,不可能一蹴而就,但锲而不舍的探索将有助于缩短这一进程。
标签:内部控制论文; 内部控制缺陷论文; 企业内部控制评价指引论文; 企业内部控制配套指引论文; 内控体系论文; 内控管理论文; 缺陷管理论文; 风险评价论文; 风险内控论文; 缺陷等级论文; 评估标准论文;