摘要:基于內部控制職能論,并考慮內部控制五要素之間的相互作用,按內控五要素進行自我評價,披露內部控制信息,筆者認為這樣并不科學。本文認為,圍繞內部控制的設計和運行對內部控制評價披露更具有現實意義。
關鍵詞:內部控制 職能論 披露
2010年4月26日,財政部、證監會、審計署、銀監會、保監會等五部委聯合發布了《企業內部控制配套指引》(下稱《配套指引》)。該《配套指引》包括18項《企業內部控制應用指引》(下稱《應用指引》)、《企業內部控制評價指引》(下稱《評價指引》)和《企業內部控制審計指引》(下稱《審計指引》),連同2008年發布的《企業內部控制基本規范》(下稱《基本規范》),標志著既借鑒了國際先進經驗,又符合我國企業自身情況的內部控制規范體系基本建成。《基本規范》第5條規定,內部控制應當包括內部環境、風險評估、控制活動、信息與溝通和內部監督五個要素。《評價指引》第5條規定,企業應當根據《基本規范》、配套指引以及本企業的內部控制制度,圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督等要素,確定內部控制評價的具體內容,對內部控制設計與運行情況進行全面評價。那么當前多數上市公司披露的內部控制自我評價報告按五要素逐一對自身的內控進行評價,看似條理清晰,符合《基本規范》和《評價指引》的要求,而實際上圍繞著五要素對內部控制進行評價是一個認識上的識區。
COSO(1992)發布了《內部控制——評價工具》,并說明這些工具純粹出于舉例說明的目的,不是《內部控制——整合框架》不可分割的部分。在所提供的評價工具中,有一套空白工具和已填寫的工具。其框架按內部控制五要素排列,按要素進行評價,并得出結論。雖然COSO(1992)特別強調“這些工具并不意味著在實施和記錄評價時優先采用,由于主體和行業的差別,主體會運用不同的評價工作或采用不同評價技術的其他方法”,但是作為權威機構發布的評價工具對于企業實施內部控制評價的影響不言而喻。本文將基于內部控制職能論,厘清內部控制五要素之間的關系,從而走出按五要素披露內部控制信息的誤區。
一、內部控制的本質
內部控制研究是會計理論研究中的熱門話題,但是,內部控制究竟是什么?并無定論。對此,楊雄勝(2011)指出:“面對日益廣泛開展的內部控制研究,我們不得不正視一個越來越嚴重的問題:人們尤其是所謂內部控制的研究者們,事實上對內部控制究竟是什么至今沒有形成一種確定清晰的認識。”他指出:“內部控制是運用專門手段工具及方法,防范與遏制非我與損我,保護與促進自我與益我的系統化制度。”
本文采用白華(2012)提出的“內部控制職能論”,即認為內部控制的本質是管理中的控制職能。COSO(1992)認為內部控制是一個過程。結合這一觀點,對內部控制職能論理解如下:其一,從其發揮作用的方式來看,內部控制是嵌入企業經營管理過程之中,成為這些過程的一部分,與它們整合在一起,并隨著它們的進行而依次展開的一個控制過程。其二,從其發揮作用的內在機理來看,內部控制是通過其各構成要素之間多方向交叉、共同作用于企業經營管理行為的一個循環往復的過程。其三,從其發揮作用的范圍來看,內部控制是一個隨著企業的發展而影響范圍不斷擴大的過程。新業務、新職能部門和新分支機構發展到哪里,內部控制就延伸到哪里。其四,從其發揮 作用的效果來看,內部控制是隨著理論的不斷完善和實踐經驗的不斷總結而逐步提高保證程度的過程。
內部控制是一項管理職能,它與計劃、組織、領導等職能共同作用于控制對象之上。在這個基礎上,《基本規范》是強調控制職能發揮作用的一個過程,針對《基本規范》,財政部又發布了18項《應用指引》,每一項都有一系列相關制度的安排,都包括計劃、組織、領導和控制四項職能,只不過側重每一項所面臨的風險控制。如果按五要素分類來進行評價,比如,把公司治理結構和議事規則方面的制度安排歸類于控制環境,這種制度安排要涉及到計劃、決策、執行、監督等方面,是一個管理制度。控制環境是內部控制的一個構成要素,內部控制是管理職能中的一個職能。如果按要素評價,一項管理制度從屬于內部控制的一個要素不盡合理。因此,從內部控制職能論的角度看,按五要素進行評價本身不合邏輯。
二、科學認識內部控制五要素
內部控制五要素不是簡單的并列關系,而是相互聯系、相互作用的,是相互融合的一個整體。
從內部控制實現控制目標的過程來看。COSO用“金字塔模型”來說明內部控制構成的五要素之間的聯系,它指出,“內部控制并不是一個構成要素,僅僅影響下一個構成要素的系列過程。它是一個幾乎任何一個構成要素都能夠和可能影響其他構成要素的多方向的往復過程。”風險評估不僅影響控制活動,還可能表明有必要重新考慮信息與溝通的需要,或主體的監控活動的需要。控制提供了員工開展活動和履行控制責任的氛圍,充當其他構成要素的基礎。也就是風險評估要素里有控制環境、控制活動、信息與溝通和監控其他四要素。其實,每一個要素均內在地涵蓋了其他四個要素,沒有一個要素能獨立的存在。內部控制五要素“你中有我、我中有你”,構成一個不可分割的整體。以監控要素為例,它可以自成系統,監控需要組織結構安排、權責分配等控制環境的支撐,運行風險評估查找控制風險,通過控制活動的驗證、審核等來實施監督,監督過程中要有信息的上傳下達,即信息與溝通,如此通過五要素之間的相互作用實現對內部控制的監控。說明了內部控制不僅僅是一個從控制環境開始到監控結束的一個單向進行的過程,而是每一個要素均可以作為起點和終點的多方向進行的過程。
從內部控制實現控制目標的結果來看。內部控制所有五項要素與每類目標都有關聯。附屬公司、部門、業務單位、職能單位或諸如購買、生產、營銷在內的企業行為,其通過控制職能,包含了控制五要素,不同程度地實現了內部控制的三大目標。COSO在提到內部控制有效性時,指出:“評價某一內控系統是否有效是一種主觀判斷,判斷來自對五項要素是否存在及有效運行的評估……盡管所有五項標準都必須滿足,但并不意味著在不同企業各項要素的功能必須完全一致或在同一水平上。各要素間存在某種平衡。由于控制服務于多重目的,服務于目的的在某一要素中的控制也可能體現在其他要素的控制上。”從這點來看,內部控制五要素在實現內部控制目標上也是相互聯系、相互作用的。控制要素的部分缺失可能由其他要素方面的控制來補充,從而實現有效的控制。
由上可知,從控制目標實現的過程和結果上看,內部控制五要素相互聯系、相互作用,是一個不可分割的整體。如果按內部控制五要素進行評價,五要素間的邊界將無法劃分。更致命的是,按五要素評價沒有考慮控制要素的部分缺失可能由其他要素方面的控制來補充,從而實現有效的控制,這將導致對內部控制有效性的錯評。因此,按內部控制五要素披露內部控制信息是行不通的。
三、從內部控制設計和運行的有效性對內部控制信息進行評價披露
2007年,美國PCAOB(公眾公司會計監管委員會)《第5號審計準則》將控制缺陷定義為,“控制缺陷是指某種控制的設計或運行無法讓管理層或雇員在正常的情況下執行分配給他們的職能,以及時地防止或發現錯誤陳述。”并規定,“如果存在一個或多個重大控制缺陷,則管理層不能得出公司財務報告內部控制有效的結論。”也就是說,內部控制有效性可以通過重大控制缺陷來衡量,重大控制缺陷可以從控制的設計和運行兩個方面評價,那么,我們可以得出內部控制的有效性可以從控制的設計和運行兩個方面來評價。《第5號審計準則》進一步對設計和控制缺陷進行了定義,“設計缺陷是指以下情況,即:當(a)滿足控制目標所必要的控制缺失;(b)現在的控制未能適當設計,以至于即使控制如所設計的那樣運行,也不能達到控制的目標。”因此,我們用設計的合理性,包括內部控制設計的充分性和適當性,來評價內部控制有效性在設計方面的體現。當滿足了控制目標所必要的控制存在時,內部控制設計是充分的;當這些設計的控制如設計那樣運行能達到控制目標時,即設計的控制措施與控制目標是相關的,內部控制設計是適當的。“運行缺陷是指當一個適當設計的控制未能如所設計的那樣運行,或執行控制的人沒有必要的權限或資格來有效執行控制時的情況。”我們可以理解為運行缺陷是在一個設計適當的控制下沒有實現控制目標,換言之,運行的有效性要看在一個設計適當的控制下控制目標是否能實現。
我國《基本規范》第45條規定,“內部控制缺陷包括設計缺陷和運行缺陷。”《評價指引》第3條規定,“企業實施內部控制評價至少遵循下列原則:全面性原則。評價工作應當包括內部控制的設計和運行,涵蓋企業及其所屬單位的各種業務和事項。”說明我國的內部控制自我評價從設計和運行兩方面評價,《評價指引》解讀中關于控制設計和運行缺陷的定義借鑒了美國《第5號審計準則》對設計和運行缺陷的定義。
因此,內部控制評價是對內部控制有效性進行評價,而內部控制有效性的認定又基于內部控制重大缺陷的識別和認定,控制缺陷產生于內部控制的設計和執行過程當中,內部控制信息披露自然圍繞著內部控制設計的合理性和運行的有效性展開。Z
參考文獻:
1.Treadway委員會發起組織委員會(COSO).內部控制——整合框架[M].方紅星,譯.大連:東北財經大學出版社,2008.
2.白華.內部控制、公司治理與風險管理——一個職能論的視角[J].經濟學家,2012,(3).
3.CCH公司,譯.美國證交會內部控制規則及配套準則[M].北京:中信出版社,2009.
4.王煜宇,溫濤.企業內部控制評價模型及運用[J].統計與決策,2005,(2).
