企业内部控制评价方法的比较

企业内部控制评价方法的比较

自2002年《美国萨班斯-奥克斯利法》（sox法）颁布以来，商业评估和注册会计师对内部控制的审计已成为焦点，一些国家和地区相继提出了类似的要求。强制要求本身的制定往往是相对容易的,但是,企业的管理层如何评价内部控制以及注册会计师如何审计内部控制却没有想象的那么容易,这不但涉及到内部控制评价理念的差别,还涉及到适当评价方法的选择。一、有效的内部控制和企业内部监督(一)控制内部控制尽管相关各方都在探讨内部控制的评价,追求有效的内部控制,但并没有就内部控制的有效性给出一个确切的定义。内部控制不是独立存在的,从本质上来说它服务于企业的目标,派生于企业的经营和管理,从而,内部控制的目标也是派生于企业的目标。所以,从本源的角度来看,内部控制的有效性是指内部控制为相关目标的实现提供的保证程度或水平,有效性不同的内部控制可以提供不同程度的保证,其变动范围应当是从0到100%,如图1所示。一般情况下,不同企业的内部控制系统运行在不同的有效性水平上,同样,某一特定内部控制系统在不同时点的运行可能也不同。尽管内部控制是一个过程,其有效性却是该过程在某一时点的状态或情形(COSO,1992)。这就产生了一个问题:是评价内部控制在某一时点的有效性,还是某一时期的有效性?对一项具体的控制活动来说,如果仅仅是在某一个时点对其有效性进行评价,那么,这个有效性是该指该项控制活动在这一时点的状态或情形。但是,从本质上来说企业内部控制是一个整体系统,而整体系统的有效性就必须具有一定的稳定性,只评价某一个时点的有效性并没有太大的价值和意义。另一方面,内部控制是为相关目标乃至企业目标的实现提供合理保证,而相关目标的实现都存在一个过程,都与一定的期间(如财务年度)相对应。所以,上市公司内部控制的年度评价应当是评价上市公司内部控制截至财务报告日或最近财务年度的有效性,是对内部控制在某个期间有效性的评价。(二)要素层面的内部控制研究评价内部控制的有效性,首先要解决的一个问题就是什么是有效的内部控制。解决这一问题的方法主要是制定一个企业内部控制框架,很多国家和机构都对这个问题进行了研究,包括美国注册会计师协会、美国的反欺诈财务报告委员会发起组织委员会(COSO)、英国财务报告理事会等,都制定了内部控制的框架或标准来阐述有效内部控制应当具备的要素和内容。通过这个企业内部控制框架界定内部控制的含义,确定内部控制的目标,描述有效的内部控制通常情况应该具备的要素。比如,COSO的《内部控制-整合框架》构建了包括三类目标、五个构成要素的内部控制框架,《企业风险管理-整合框架》构建了包括四类目标、八个构成要素的企业风险管理框架等,这些框架也就是所谓的内部控制评价标准。COSO把内部控制定义为,“由主体的董事会、管理层和其他人员实施的,用来为经营效果和效率、财务报告的可靠性、遵守适用的法律法规三类目标的实现提供合理保证的一个过程”。以这一定义来看,有效的内部控制被界定为能够为内部控制目标的实现提供合理保证的内部控制。之所以是合理保证而不是绝对保证,是因为人类在决策过程中的判断可能有纰漏、建立内部控制需要考虑相关的成本和效益、个人缺失可能会导致故障的发生、控制可能会因为两个或多个人员的串通而被规避以及管理层越过内部控制等固有局限。因此,我们可以对有效的内部控制得出以下两点结论:1.合理保证和绝对保证的区间:coso对有效内部控制的界定众所周知,绝对保证是指100%的保证,有效的内部控制提供的既然是合理保证,就不是绝对的100%的保证。美国《证券交易法》条款13(b)(7)把“合理保证”和“适当详细”定义为“这样一种详细水平和保证程度,它使谨慎的高级职员在处理它们自己的事务时感到满意”。尽管我们很难准确地确定合理保证具体是什么水平的保证,但是,可以确定的是在合理保证和绝对保证之间必然存在一个区间。所以,COSO对有效内部控制的这种界定只可能是界定了有效内部控制的一个下限,而不是上限。从逻辑和理论上来看,有效的内部控制是指能够为内部控制目标的实现提供合理或者更高水平保证的内部控制,或者讲,有效的内部控制不是一个点,而是存在一个判定区间。这个区间的上限为1,即100%的绝对保证,下限是一个不确定的数值,它取决于人们的判断,设定为P0,这个区间就是[P0,1]。如图2所示。只要内部控制保证相关目标实现的水平落入这个区间,那么,该内部控制就是有效的内部控制。反之,则是无效的。2.有效内部控制的有效性由于内部控制不同目标实现的影响因素不同,所以,对于内部控制的不同目标而言,有效内部控制的含义是不同的,合理保证的内容是不一样的。对于财务报告的可靠性、遵循相关的法律法规这两个目标来说,企业内部控制可以合理保证它们的实现,因为这两类目标的实现处于企业的控制范围之内,并且取决于企业相关控制活动完成的好坏。而对于经营目标和战略目标来说,却不是这样。企业内部控制不能防止糟糕的判断或决策,也不能防止那些能够导致经营业务没有达到经营目标的外部事项。也就是说,企业经营目标和战略目标的实现除了受到自身因素的影响外,还要受到外部因素的影响,并不总是处在企业的控制范围之内。因此,企业内部控制尽管能够增大管理层做出更好决策的可能性,但不能合理保证这些目标的实现,只能合理的保证管理层以及起监督作用的董事会了解企业向着实现目标的方向前进的程度。所以,有效的内部控制,对于财务报告目标和合规目标来说指的是能够合理保证财务报告可靠性、遵循相关的法律法规,而对于经营目标和战略目标来说,指的则是能够合理保证管理层和董事会及时了解目标正在实现的程度。因此,评价企业内部控制的有效性实际上是在判断企业内部控制能够为相关目标的实现提供的保证水平是否处于有效内部控制的区间。如果企业内部控制为相关目标的实现提供的保证水平达到甚至超过了合理保证的水平,也就是在有效内部控制的区间内,那么它就是有效的;如果提供的保证水平低于合理保证的水平,那么,它就是无效的,如图3所示。(三)公司内部控制是否能够保证好由于内部控制有效性的评价是基于潜在事项的判断,而不是实际发生的事项,有效的内部控制为相关目标的实现提供的只是合理保证,而不是绝对保证,所以,相关目标实际实现了的内部控制不一定是有效的内部控制,相关目标没有实际实现的内部控制也不一定是无效的内部控制。以财务报告内部控制的评价为例,评价财务报告内部控制的有效性是基于公司的内部控制能否防止或及时发现一个潜在的重要错报,而不是根据一个重要错报是否实际已经发生,从而评价财务报告内部控制能否合理保证财务报告的可靠性。所以,财务报表实际没有发生重要错报时,内部控制不一定是有效的内部控制,而财务报表实际发生了重要错报时,内部控制也不一定是无效的内部控制。假定合理保证的水平为P0,财务报表发生重要错报的固有风险为MR,内部控制没有防止或及时发现重要错报的风险为CR,则财务报表最终发生错报的风险FR=MR×CR。按照内部控制评价的一般逻辑,如果FR<(1-P0),则财务报告内部控制是有效的,如果FR>(1-P0),则财务报告内部控制是无效的。二、优化评价方法尽管不存在适合所有公司的内部控制评价方法,但是,无论是对内部控制评价方法进行规制,还是企业自由选择自己的评价方法,都要考虑评价思路和方法的适当性。一个适当的内部控制评价思路和方法至少要满足以下几个方面的条件。(一)可靠性评价根据该思路和方法对内部控制的有效性进行评价形成的结论要具有一定程度的可靠性,也就是对内部控制有效性的判断出现错误的风险要足够低,至少要降到适当的水平,这是一种适当的评价方法首先必须具备的条件。评价结论的可靠性不够高,不能达到一个合理水平的评价方法所形成的评价结论是难以被认可的。(二)成本效益评价不但内部控制本身存在成本效益的问题,内部控制评价也存在成本效益的问题。适当的企业内部控制评价方法必须考虑评价引起的成本和效益问题,要符合成本效益原则,具有一定的效益性。(三)适用范围及灵活性原则不同企业的内部控制不同,评价内部控制有效性的具体方法也有所不同,这取决于公司的特定情况和控制的重要性。一种评价方法应当具有广泛的适用性和灵活性,才能得到不同规模、不同行业、不同类型企业的应用和参考。尤其是如果制定统一的内部控制评价指南或规范,更要考虑评价方法对不同规模、不同行业和不同类型企业的适用性,要允许企业根据自己内部控制的特定情况灵活调整具体的评价方法、评价程序和评价内容,设计一个满足企业需要并为评估结果提供合理保证的评价过程。(四)价内部控制设计合理性测试内部控制的评价程序必须是全面的,足以既能评价内部控制设计的合理性,又能测试运行的有效性。所以,评价范围和内容要全面,评价结论要根据设计有效性和运行有效性的评价来形成的。(五)控制有效性的评价结果的证据适当的证据文件是内部控制有效运行本身所必需的,一种适当的评价思路和方法必须为内部控制有效性的评价结果(包括测试)提供合理的证据文件支持。提供合理的支持证据一方面是为了确保评价结论的可信性,另一方面是为其他人评价或审计内部控制保留必要的痕迹。这些条件既是一个适当的评价方法必须具备的,也是判断一个评价方法是否适当的标准和依据。三、标的风险是否在内部控制之后是否已经降低评价企业内部控制的有效性实质是评价内部控制为相关目标的实现提供的保证水平是否达到或超过合理保证的水平。从另一个角度来看,就是评价相关目标的风险在经过内部控制之后是否已经降低到了一个适当的水平,如果已经降到了一个适当的水平,则内部控制是有效的,反之,则无效。尽管企业内部控制框架提供了一个有效内部控制系统的一般模板,也是评价内部控制有效性的标准,但是,根据内部控制框架或标准对内部控制的有效性进行评价却可以选择不同的起点或切入点,使用不同的评价思路和方法。从内部控制评价本身以及目前的发展情况来看,主要存在详细评价法和风险基础评价法两种方法。(一)对照内部控制框架或标准进行分析和判断在《企业内部控制-整合框架》中,COSO指出,确定某一内部控制系统是否有效是在评估五个要素是否存在以及是否有效发挥作用基础上的主观判断。在《企业风险管理-整合框架》中,COSO也指出,认定一个主体的企业风险管理是否“有效”,是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断。在美国证券交易委员会2003年6月通过的实施SOX法案404节的规则(SEC,2003)以及后来发布的管理层评价指南中,都强调内部控制评价的程序必须足以既能评价财务报告内部控制的设计,又能测试运行的有效性。因此,遵循这个思路,很多企业和事务所都曾经采用过详细评价法。这种方法的基本思路是:以内部控制框架或标准为参照物,根据内部控制框架的构成要素是否存在评价内部控制的设计有效性,然后测试内部控制的运行有效性,最后综合设计和运行的评价对内部控制的有效性做出总体评价,评估内部控制目标实现的风险,判断是否存在实质性漏洞(MW),确定内部控制是否有效。详细评价法的逻辑和程序如图4所示:这种思路和方法在企业最初进行内部控制建设或日常的评价中应用较多。此外,在SOX法案开始时,企业的管理层在评价内部控制以及注册会计师审计内部控制时基本上都是遵照美国公共公司会计监督委员会在2004年发布的第2号审计准则(PCAOB,2004)执行的,采用的基本上也是这种思路。这种思路和方法的特点是从控制到风险,即从内部控制到相关目标实现的风险。这种评价思路和方法首先要根据现有的内部控制框架评价企业内部控制的设计和运行,识别出控制缺陷,然后判断是否是实质性漏洞,从而判断内部控制的有效性。评价运行有效性可以采用测试的方法确定相关的内部控制是否得到了有效实施,从理论和实务上来说不存在太大的问题。而评价设计的有效性在该方法中则是对照内部控制框架或标准进行的,所以,最关键的问题是如何对照企业内部控制框架或标准确定内部控制设计的有效性。这种对照内部控制框架或标准判断设计有效性的思路应当是来自于COSO的《内部控制-整合框架》等报告中提出的控制的完整性概念。COSO在这个报告中明确指出,内部控制框架的这些组成要素和标准适用于整个内部控制系统,或者是一类或多类目标。当考虑任何一类目标的控制时,例如有关财务报告的控制,所有五个要素都应该满足才能得出有关财务报告的控制是有效的结论。但是,内部控制的组成要素之间具有相互补充、相互渗透的关系,尽管五个组成要素都应该被满足,但是这并不意味着在不同的企业中每个组成要素都得到同样的执行。不同组成要素之间存在某种平衡,因为内部控制能够满足多个目标,一个组成要素中的控制可能会满足另外一个组成要素范畴内的控制需要实现的目标。而且,控制降低风险的程度是不同的,所以,效果有限的多个控制一起可以达到满意的效果。鉴于上述原因,尽管内部控制的框架或标准描述了一个有效的内部控制系统所应当具备的构成要素,如果采用简单的一一对应的方法对照内部控制框架来评价内部控制设计的有效性,就有可能产生两个问题:一个是成本高,效率低;另一个是评价结论的不可靠性。内部控制框架或标准描述这些构成要素时,是把企业抽象成一个主体,并没有考虑企业所处的国家、所处的行业、企业的规模等特定的因素,其目的是构建一个通用的内部控制标准和参照物。但是,并不是所有的企业(如不同规模的企业、不同行业的企业)都必须具备与内部控制框架或标准完全一样的内部控制才算是有效,而且,这个框架中的所有要素涉及的控制与内部控制目标的相关性和对内部控制目标的重要性是不同的。因此,如果一一对应的对照内部控制框架或标准评价内部控制设计的有效性必定会评价了过多的、不必要的控制,导致成本高而效率低,这一点已经在美国上市公司过去几年实施SOX法案的经历中得到了体现。有效的内部控制并不要求所有的要素同等程度的存在,因为内部控制要素本身具有一定的相互补充性和相互替代性,存在某种程度的平衡,并且这种替代或平衡在很多情况下并不能确切的衡量,也不能准确的体现在内部控制的框架或标准中。所以,如果一一对应地对照内部控制框架或标准评价内部控制设计的有效性必定会出现评价结论的偏差:按照内部控制框架或标准评价可能是一个缺陷,但是,实际上却是有效的。这一点很明显的体现在了不同规模企业内部控制的评价上。根据内部控制框架或标准评价内部控制本身并没有错,但是,内部控制的框架或标准本身是一个通用的框架,更多的关注内部控制的“WhatandWhy”,即使是COSO在2006年发布的《较小规模公众公司财务报告内部控制指南》也“主要被设计用于帮助管理者建立和保持有效的财务报告内部控制”,尽管这些框架或标准提供了评价有效性的标准,但不足以说明如何完成内部控制有效性的评价。所以,这个思路如果用于内部控制的建立和保持应当是比较适合的,而要用于内部控制有效性的年度评价则并不是十分恰当,这一点在美国上市公司过去几年的经历中得到了充分的体现。(二)风险基础评价法企业内部控制的另一种思路和方法是从风险到控制,即从内部控制相关目标实现的风险到内部控制。首先,要评估相关目标实现的风险;其次,识别和确定企业充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。对于不同的目标来说,目标风险的含义、内部控制实质性漏洞的含义是不相同的,在评价每一类目标时都需要做具体设定。风险基础评价法的逻辑和程序如图5所示。“自上而下”和“风险基础”的理念在这种方法中得到了充分的体现。“风险基础”主要体现在:以评估控制目标实现的风险为起点;关注重要的财务报告和披露风险与问题;仅评价充分应对风险的控制;证据的获取和场所的选择根据风险评估的结果;评价结论(内部控制是否有效)也是风险基础的,判断有效与否是根据内部控制是否相当可能没有防止或发现财务报表中的重要错报。“自上而下”主要体现在:从财务报表整体开始,然后到账户、披露;从公司层面的控制开始,然后到活动层面的控制。美国证券交易委员会和公共公司会计监督委员会2007年6月最终分别发布的管理层报告内部控制的指南(SEC,2007)和内部控制审计准则(PCAOB,2007)都采用了这一思路。风险基础评价法与详细评价法的区别类似于财务报表的详细审计与财务报表的风险基础审计,主要体现在以下几个方面:四、没有对内部控制的评价由于我国不同行业、企业内部控制的规制隶属于不同的部门,内部控制的法规建设一直处于各自为政的局面。关于内部控制的评价,出现的正式官方文件主要有中国证券监督管理委员会2001年发布的《关于做好证券公司内部控制评审工作的通知》、注册会计师协会2002年发布的《企业内部控制审核指导意见》和中国银行业监督管理委员会2004年发布的《商业银行内部控制评价试行办法》。注册会计师对内部控制的审核主要是了解内部控制的设计、评价内部控制设计的合理性以及测试和评价内部控制执行的有效性。对商业银行内部控制的评价包括过程评价和结果评价,过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等体系要素的评价,结果评价是对内部控制主要目标实现程度的评价。2006年7月,财政部发起成立了企业内部控制标准委员会,开始进行统一内部控制标准的建立,2007年3月,内部控制标准委员会发布了《企业内部控制规范》的征求意见稿。2006年7月,上海证券交易所发布了《上海证券交易所上市公司内部控制指引》。2006年9月,深圳证券交易所发布了《深圳证券交易所上市公司内部控制指引》。总体上看,目前我国内部控制法规建设的重点还是统一的内部控制标准,尽管相关法规已经要求企业评价内部控制的有效性,但没有对内部控制评价的方法进行指导和规范。从我国企业内部控制评价的现状来看,主要有以下几种情况:(1)有些企业内部控制的建设主要基于传统的经验,缺乏有效的内部控制标准或框架指导。(2)有些企业尽管通过咨询机构或其他途径参考了内部控制的标准或框架,但是,无论是内部控制的建设,还是评价,都停留在内部控制标准或框架的表面上。从内部控制的建设来看,只是机械的模仿内部控制框架的一些构成要素和内容,建立了书面规则和制度意义上的内部控制,而很少对控制环境等基础性因素进行改进和完善。从内部控制的评价来看,在评价内部控制时主要关注的是业务活动层面的具体控制活动和措施,对于企业层面的控制关注不足,很少考虑对内部控制的整体有效性进行评价。(3)有些企业根据通用的内部控制标准或框架建立了内部控制系统,按照相关要求对内部控制进行了评价,但在内部控制的建设和评价方面面临一系列问题和困难:首先,依据的内部控制框架是国外的,而国内尚没有发布类似的、能得到国际互认的框架,内部控制框架的解释权在他不在我。其次,无论是内部控制的建设还是评价延续了以往结果导向的习惯,重结果,轻过程,对过程的效率和成本效益关注不足。再次,过分依赖于咨询机构,没有从企业的实际情况出发设计有效的内部控制体系和评价方法。第四,内部控制的各种评价形式没有得到充分的整合和协调,重复性工作较多。最后,企业传统的体制和习惯等控制环境因素难以在短期内得到根本的改变。上述情况都反映出我国企业内部控制评价存在的根本问题就是:评价的动力不足;缺乏本土化的评价标准;评价方法不够科学和合理,不符合成本效益原则;对内部控制及其评价的研究不足,没有充分结合企业自身的情况,采用风险基础的方法。尽管不同的国家、不同的评价主体在评价内部控制时所用的方法和程序存在差异,但从目前的现状以及未来国际发展趋势来看,基本上都趋向于采用风险基础的方法。美国证券交易委员会和公共公司会计监督委员会2007年分别发布的管理层报告内部控制的指南和内部控制审计准