企业内部控制评价与内部控制审计的协调:一个整合框架,本文主要内容关键词为:内部控制论文,框架论文,评价论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、引言
2008年6月,财政部等五部委联合发布了《企业内部控制基本规范》。2010年4月,我国企业内部控制配套指引出台,其中包括《企业内部控制应用指引》、《企业内部控制评价指引》(以下简称《评价指引》)和《企业内部控制审计指引》(以下简称《审计指引》)。这标志着我国企业内部控制“应用+评价+审计”三位一体的规范体系初步形成。
国内学者围绕内部控制评价进行了一系列研究。但鲜见针对内部控制评价及内部控制审计的整合研究。内部控制评价和内部控制审计有整合的可能性,更有整合的必要性。本文首先对内部控制评价和内部控制审计整合的必要性、可能性进行分析,提出内部控制评价和内部控制审计整合的大体思路,最后尝试建立一个具体的整合框架。
从本质上说,内部控制审计和内部控制评价都属于企业内部控制评价工作的范畴,为避免概念上的混淆,有必要先对内部控制评价和内部控制审计进行界定。本文中的内部控制评价专指企业管理层对内部控制有效性做出评价;内部控制审计,指会计师事务所接受委托,对企业内部控制设计与运行有效性进行审计。
二、内部控制评价和内部控制审计整合的必要性和可能性
(一)整合的必要性
1.成本效益原则。内部控制评价和内部控制审计都是对企业内部控制设计、实施有效性进行评价,出具评价意见。二者在工作内容上具有一致性,可相互利用,若不进行协调整合,必产生大量重复性工作,导致不必要的浪费。成本效益原则是企业的行动指南,坚持成本效益原则,进行内部控制评价和内部控制审计整合至关重要。
2.内部控制评价和内部控制审计主体各有长短,为真正达到内部控制评价和内部控制审计并行的预期效果,应对二者进行整合。
(1)内部控制评价。内部控制评价由企业管理层实施,其对企业内部控制有效性进行评价,存在缺乏客观性的缺陷,但也具有信息优势。
首先是客观评价问题。企业对自身内部控制进行评价易受主观意识影响,难以识别内部控制问题所在。此外,内部控制设计、实施、评价在我国开展时间并不长,我国大多数企业人员尚不具备评价内部控制有效性所需的知识、经验和能力,其客观评价内部控制有效性的专业胜任能力值得怀疑。
其次为客观反映问题。内部控制信息披露具有经济后果,国内外大量实证研究表明,内部控制信息披露与企业权益资本成本、债务契约条款、高管人力资本价值都存在显著相关关系。基于自利原则,企业管理层存在掩盖内部控制缺陷的动机。
再次,管理层进行内部控制评价,相比外部审计,也具有一定优势,即其对企业业务流程等各方面情况更为了解。企业日常监控和专项监控结合进行,再辅之以内部控制评价,容易对企业内部控制进行全方位、全过程的监督评价。
(2)内部控制审计:专业能力强,但难以全程监控。内部控制审计由外部会计师事务所进行,其作为评价主体既有优势也有劣势。首先,会计师事务所评价企业内部控制有效性独立性更强,更具专业胜任能力和丰富经验。然而,会计师事务所处在企业外部,从有限理性及成本效益方面考息,难以对企业内部控制实施情况全程监控,易忽略企业内部控制存在的小缺陷,而小缺陷也有大文章可做,看似简单的问题,可能具有深远的控制意义。
3.我国内部控制实施现状及大量实证研究表明,我国企业内部控制意识并不强,企业内部管理层和外部会计师事务所都不具有持续评价动机。我国实施内部控制评价、内部控制审计主要靠政策法规强制推动,如不进行规范,各主体被动为之,一些没有明确规定、有空可钻的灰色地带,例如内部控制缺陷认定标准不明等,必成为滋生舞弊的摇篮。若如此,内部控制评价和内部控制审计同步进行,内部控制审计和财务报表审计整合进行,看似规定严密,无懈可击,仍可能出现大量舞弊。
整合内部控制评价和内部控制审计,进一步限定企业和注册会计师责任,保证内部控制整套体系实施效果,势在必行。
(二)整合的可能性
内部控制评价和内部控制审计根本目标具有一致性,这是内部控制评价和内部控制审计得以整合的根本原因。内部控制实务从最初简单的内部牵制手段发展到如今的全面风险管理,从来都是企业为了实现自身目标(以风险管理为手段)而产生并不断发展的。内部控制从其本质来看,便是为了促进组织实现其目标。当然,资本市场环境下,强制披露内部控制审计和内部控制评价报告还为了减小信息不对称以保护投资者利益。
内部控制审计和内部控制评价实施主体具有不同动机和直接目标:注册会计师内部控制评价起源于财务报表审计的需要;管理层实施内部控制评价,更多的是被动遵循法律法规要求。但由内部控制本质所决定的,无论内部控制评价还是内部控制审计,作为内部控制系统中完善内部控制的关键环节——评价,最终都应回归内部控制本质,即促进企业内部控制完善,促进企业目标实现。基于根本目标的一致性,内部控制评价和内部控制审计具有协调整合的可能性。
三、整合思路
1.一个整合关键点:内部控制缺陷认定。内部控制缺陷认定对实现内部控制目标及具体开展内部控制评价工作都至关重要。首先,内部控制评价和内部控制审计的根本目标是促进企业内部控制完善,实现企业目标。基于企业内部控制完善机制PDCA(计划—执行—检查—改进)模型,评价企业内部控制,发现内部控制缺陷,进而改进,是内部控制完善关键环节。披露重大缺陷对满足信息使用者需求也很重要,利益相关者可据此评估企业风险,正确决策。
其次,我国《评价指引》和《审计指引》明确要求企业和注册会计师对内部控制缺陷进行认定和评价,对不同类型缺陷采取不同应对措施,完成评价工作和审计工作时,也明确要求对内部控制缺陷进行披露。因此,具体内部控制评价工作中,管理层为规避经营风险、监管风险,会计师事务所规避审计风险最终也要落脚于内部控制缺陷识别、认定和报告。
然而,我国内部控制配套指引对内部控制缺陷认定采用原则性规定,并未提供具体方法、标准指南。原则性规定更多依赖主观判断,需要隐性知识,而隐性知识对工作人员素质提出更高要求;原则导向下,内部控制缺陷界定、分类模糊,基于自利主义倾向,企业会尽可能掩盖内部控制缺陷,导致内部控制信息披露流于形式。
来自《中国上市公司2011内部控制白皮书》的数据说明了这一点。2010年,我国上市公司自愿披露内部控制缺陷比例低于1%,会计师事务所出具的内部控制审计报告中认为上市公司内部控制失效的比例也低于1%。在99%以上认为自身内部控制体系有效的上市公司中,多家上市公司实际存在内部控制重大缺陷。例如,2010年我国有50家上市公司由于违法违规被监管机构处罚,占2 105家上市公司的2.38%;截至2011年4月30日,我国已有93家上市公司重述2010年年报,占2 105家上市公司的4.42%。
在内部控制建立、评价、审计中,内部控制缺陷认定都是最基础的问题,其实施更面临严峻考验。如前所述,企业内部管理层及外部会计师事务所对内部控制缺陷认定各具天然优势和局限性。内部控制审计和内部控制评价该如何协调以促进企业内部控制缺陷的识别和披露?考虑到内部控制缺陷认定的核心地位,这是实施整合框架要明确的一个关键点。
2.一个基本问题:评价范围一致性。企业管理层内部控制评价范围已基本形成定论——对内部控制整体进行评价。而关于内部控制审计范围的争论则由来已久。有些学者从内部控制审计实施成本、国际惯例、注册会计师职业经验和胜任能力等角度分析,认为企业内部控制审计范围应限于财务报告内部控制。但从内部控制本质来看,从来就不应局限于财务报告内部控制,而应立足于企业整体目标的实现。此外,从利益相关者需求出发——他们不仅关注报告目标,还关注合规、经营、战略目标,内部控制审计范围也应定位于企业内部控制整体。最终,《审计指引》采用了一种折中的方式,即注册会计师对财务报告内部控制有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。但财务报告内部控制是无法从内部控制系统中分离出来而独立存在的,它总是与资产的保护和企业的经营管理过程交织在一起,因而其边界无法确定(白华,2011)。可见,划分财务报告内部控制和非财务报告内部控制实际上并不可行。无论从内部控制本质还是从实践可行性考虑,内部控制审计范围都应定位于内部控制整体。因此,内部控制评价和内部控制审计范围应一致定位于企业内部控制整体。
3.三个原则:各司其职是关键;相互沟通是保证;互相独立是前提。
(1)各司其职是关键。整合内部控制评价和内部控制审计,管理层和注册会计师二者责任必须界定清楚。建立健全和有效实施内部控制、评价内部控制有效性是企业董事会的责任;按照《审计指引》的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。
(2)相互沟通是保证。整合内部控制评价和内部控制审计,企业管理层和注册会计师应该知识共享,信息共享,相互沟通。企业管理层对企业状况了解得更全面,他们所拥有的对于本企业内部控制设计及运行特征的隐性知识可以和注册会计师共享;而注册会计师具有专业的内部控制体系建设和评价的系统知识,掌握一定的系统性评价方法或评价工具,在评价方案拟订、评价组织、评价实施等方面具有丰富的经验(吴秋生等,2011)。企业内部控制评价主体和内部控制审计主体相互沟通是保证评价工作协调进行、整合框架得以建立的重要方面。
(3)互相独立是前提。内部控制审计和内部控制评价必须相互独立。独立性是审计的灵魂,内部控制评价和内部控制审计协调沟通的同时,必须保证彼此独立。否则,内部控制审计便失去了存在价值。《审计指引》规定,注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作,应对其专业胜任能力和客观性进行充分评价。《SEC关于实施内部控制报告要求的声明》中也指出,管理层和注册会计师必须进行持续、公开的沟通,以创造形成高质量报告和审计的最佳环境,但对沟通进行限制或规范的底线是不能使其丧失本来的价值。
四、具体实施设计:一个整合框架
1.评价标准的选取。关于内部控制有效性评价标准,目前学界主要有两种观点:①过程导向,即内部控制有效性标准为遵循一套框架规则(目前一般采用1992年COSO发布的《企业内部控制——整合框架》)。②目标导向,即内部控制有效性标准为合理保证内部控制目标实现。
从过程导向标准来看,即使内部控制设计、运行形式上遵循框架,但不能合理保证内部控制目标实现,则不能认为其有效;基于目标导向标准,内部控制有效性评价基于潜在事项判断,而非实际发生事项,有效内部控制仅为实现相关目标提供合理保证,而非绝对保证,实现相关目标的内部控制不一定有效,未实现相关目标的内部控制也不一定无效。因此,内部控制有效性标准应是过程导向和结果导向的结合。
相对注册会计师而言,管理层对企业内部控制建立、实施细节更为了解,因此,过程导向标准评价中,企业内部可提供更多资料,以判断企业内部控制设计、运行是否遵循了这一框架。企业内部控制设计、实施能否为企业目标实现提供合理保证,这需要更为专业的判断,注册会计师更能胜任之。由此,内部控制有效性评价标准应坚持过程导向和目标导向的结合,而内部控制评价和内部控制审计应各有侧重。
2.评价方法的采用。和评价标准相对应,企业内部控制评价应采用全面透视方法,即企业应以内部控制框架为参照物,根据内部控制框架构成要素是否存在来评价内部控制设计是否有效,然后测试内部控制运行有效性,最后综合设计和运行有效性的评价结果对内部控制有效性做出总体评价。
同时,注册会计师进行内部控制审计的直接目标是规避出具不恰当内部控制审计意见及财务报表审计意见的风险,更注重结果;而基于有限理性原则和成本效益原则,注册会计师只能对内部控制有效性时点发表审计意见,注册会计师宜对企业内部控制实施风险导向审计,因此,内部控制审计应该而且必然采用风险导向审计方法。
标签:内部控制论文; 注册会计师论文; 企业内部控制评价指引论文; 企业内部控制配套指引论文; 内部控制缺陷论文; 审计计划论文; 审计方法论文; 有效市场论文; 审计目标论文; 审计职业论文; 会计师事务所论文; 财会论文; 财务报告论文;