李云云
在借鉴了美国2002年颁布的《萨班斯—奥克斯利法案》(Sarbanes-Oxley Act,简称SOX法案)的基础上,2006年7月15日,财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会,并于2008年5月22日制定、颁发了《企业内部控制基本规范》(以下简称《基本规范》)。2010年4月26日财政部会同证监会、审计署、银监会、保监会又发布了《企业内部控制配套指引》。《企业内部控制基本规范》和《企业内部控制配套指引》的发布标志着中国企业内部控制规范体系基本建成。
《基本规范》及其配套指引只是规定了我国企业建立内部控制制度的基本原则、目标、框架、主要控制环节和相应的核心控制点,从而指导内部控制的应用、评价以及审计。由于与会计准则相比,依据《基本规范》及其配套指引评价内部控制没有量化的标准,实施难度较大。即便是企业内部以及注册会计师以此得出内部控制状况的结论,企业外部利益相关者由于信息的不对称也很难对于不同企业得出量化的具有可比性的内部控制状况的结论。因此,构建有利于外部的政府监管部门、非营利性机构、机构投资者等利益相关者操作的客观、简明实用、明确具体的对不同企业内部控制状况评价的体系具有重要意义。
1992年COSO委员会发布的《内部控制——整体框架》为内部控制的评价提供了一个框架性的指导。安然事件后,美国颁布的SOX法案要求企业按照COSO报告的框架来评估和报告其内部控制。COSO委员会于2004年发布的《企业风险管理——整合框架》拓展了1992框架,却没有提供具体的具有可操作性的内部控制评价指南。国外的现有文献几乎都是通过实证的方法来检验该法案的实施效果,而没有研究内部控制评价系统的设计。学者们在研究时多以披露的内部控制重大缺陷的情况作为评价内部控制的标准,主要集中研究内部控制缺陷的影响因素和经济后果,如Franklin等(2007)在证实了计量的复杂性是内部控制缺陷的决定因素,公司的经营复杂性对于内部控制缺陷具有一定的影响的同时,同时发现具有内部控制缺陷的公司一般具有较差的财务状况。Messod Daniel Beneish等(2008)认为内部控制存在缺陷与盈余管理程度存在一定的正相关关系,还发现内部控制缺陷将带来更高的审计费用,并且也会使权益资本成本变得更高;Karla Johnstone等(2011)的研究发现在披露了内部控制实质性缺陷以后,由于对内部控制实质性缺陷的修正将会改善公司董事会、审计委员会以及高级管理层的特征。
在国内,近几年理论界和实务界对于内部控制的关注度越来越高。池国华(2010)基于管理的视角,在借鉴业绩评价理论的基础上构建了一套有利于企业内部管理的内部控制评价系统模式,当然这种评价模式并不适用于政府监管机构和外部投资者等。张兆国、张旺峰、杨清香(2011)认为内部控制目标的实现水平具有可观测性和客观性,以目标为导向构建了一个适合我国上市公司的内部控制评价体系。刘英杰(2011)提出了一个定性和定量相结合的评价内部控制的综合方法,企业可以根据具体情况得出自身内部控制的加权综合评价得分,并且据此对内部控制的评价结果进行定性描述。池国华、关建朋、乔跃峰(2011)阐述了内部控制评价系统应具有的特性,进一步提出构建系统所必须坚持的三项基本原则,即权变、目标导向和经济性;在分析了内部控制评价系统的整体架构和逻辑框架的基础上设计了一种在逻辑框架下的内部控制评价系统的构建方案。张先治、戴文涛(2011)根据我国企业内部控制评价体系中构建企业、注册会计师和有关监管部门三位一体的内外部监督评价模式,给出一种由政府监管部门或外部非营利性机构实施的、对企业内部控制目标实现程度的综合量化评价的方法,并且构建了具体的评价指标。《中国上市公司2011年内部控制白皮书》的研究则主要基于上市公司内部控制信息的披露状况描述上市公司建立健全内部控制体系的情况。
从国内学者目前对内部控制评价的研究成果来看,学者们对内部控制评价的研究非常丰富,但很少考虑到内部控制信息披露的情况,并且很多是从企业管理者的角度来考虑内部控制的评价问题,而不是从外部利益相关者这一角度来考虑相关问题。《中国上市公司2011年内部控制白皮书》的研究虽然是基于信息披露的状况而进行的,但白皮书仅发布了我国所有上市公司内部控制的整体状况,而没有给出其所研究的每一个样本的情况,不便于投资者分析。政府监管机构和外部投资者等由于时间和信息资源的限制,需要在考虑审计师的意见后,结合企业披露的内部控制信息,综合评价企业的内部控制情况。
对于外部利益相关者来说,想要了解企业内部控制目标的实现程度,首先需要知悉内部控制机制设计和运行的情况,这主要是靠各种披露的内部控制信息。在内部控制审计报告中,绝大多数都是标准无保留意见,如根据《中国上市公司2011年内部控制白皮书》,2010年,在沪深交易所2105家上市公司中,875家上市公司聘请会计师事务所出具了内部控制审计报告,会计师事务所对其中873家上市公司的内部控制体系出具的为无保留意见。显而易见,这873家上市公司内部控制的有效性不可能是完全相同的。因此,外部利益相关者需要具体分析上市公司提供的内部控制信息,主要有上市公司年报中的“公司治理”、“重要事项”一节中所载明的内容或者单独披露的“内部控制自我评价报告”。本文基于此,试图找出一种便于外部利益相关者衡量企业内部控制状况的评价方法。
外部利益相关者在衡量企业内部控制状况时,首先考虑企业是否提供内部控制审计报告或内部控制鉴证,在企业提供内部控制审计报告的前提下,再进一步考虑注册会计师对审计报告提供的意见,之后根据企业提供的与内部控制相关的信息情况从内部控制目标完成情况分析内部控制机制的完善程度,从而得到内部控制有效性状况的结论。
外部利益相关者对于内部控制信息的评价是一种基于内部控制目标的实现程度而进行的综合量化评价,是在一套反映企业内部控制评价本质特征和目标要求的评价指标体系基础上,通过一定的方法,将企业内部控制状况评价结果转化成一个指导决策、易于比较的具体数值——企业内部控制评价分值,属于多指标综合评价的范畴。
目前较常用的综合评价方法主要有层次分析法(AHP)、模糊评价法、德尔菲法、熵值法、主成分分析法等。将层次分析法与模糊评价法相结合,即多层模糊综合评价法,是一种定性与定量相结合,将模糊现象适度精确化、定性分析定量化的评价方法。在得出各种指标的得分后,通过采用乘和加(加权平均)等算术方法来合成指数,这种计算方法比较简便。最后,计算出内部控制综合评价指数,通过不同企业、行业间对比可以大致得出某一企业内部控制状况,通过统计软件的分析,更能分析宏观评价我国企业内部控制的有效性。
企业内部控制评价指标体系的建立基本上有两种思路:一种是按内控要素,另一种是按内控目标。两种思路的根本区别在于评价的主体(或评价的角度)以及评价指标的选取不同。我国《企业内部控制基本规范》在形式上借鉴了COSO内部控制五要素框架,《企业内部控制评价指引》也明确规定企业董事会需要按照内部控制内控要素评价企业内部控制状况,也就是说按内控要素进行评价的主体必须是企业自身或站在企业的角度。以监管部门或外部非营利性机构为评价主体的内部控制评价指标,即从外部评价的角度来评价内部控制的指标,只能根据内部控制目标来设计评价指标。
1992年,COSO委员会在其发布的COSO报告中,把内部控制的目标设定为三类:(1)经营的效率和效果;(2)财务报告的可靠性;(3)适用法律法规的遵循性。后来又增加了战略目标,并将这一目标设定为内部控制最高层次的目标。在我国财政部2008年颁布的《企业内部控制基本规范》中,将内部控制的总体目标确定为“合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果、促进企业实现发展战略”。据此,企业内部控制目标主要分为合规性目标、资产安全性目标、报告目标、经营目标以及战略目标五类。
表1 内部控制评价指标体系
评价合规性目标的实现情况主要考虑外部监管机构监督的成果。资产安全性目标主要是检验其资产损失及被外部占用情况。衡量报告目标主要考率财务报告体现出来的盈余管理程度、前期差错更正情况以及被披露的其他财务报告问题。企业经营目标是否实现主要从经营的效率和效果两方面来衡量。考察经营效率主要是通过比较企业资产的周转情况以及企业的偿债能力,而企业的经营成果主要体现为获利能力,此外,若被ST或PT则说明公司的经营状况出现了问题。战略目标则主要是考察企业长期发展的能力。
基于上述分析,本文在借鉴张兆国等(2011)的研究成果的基础上构建了企业内部控制评价指标体系,见表1。
本文在总结和借鉴前人研究成果的基础上,根据内部控制二元整体理论指出外部利益相关者评价企业内部控制的流程,并构建了内部控制评价指标体系。
由于资源的限制等因素,本文没有给出各指标的权重确定方法,也没有利用设计的内控评价指标体系对我国内部控制状况进行相应的实证研究,这些都是需要在今后的研究中进一步完善和拓展的。
[1]池国华.基于管理视角的企业内部控制评价系统模式[J].会计研究,2010(10):55-61.
[2]池国华、关建朋、乔跃峰.企业内部控制评价系统的构建[J].财经问题研究,2011(5):87-92.
[3]刘英杰.企业内部控制评价体系研究[D].财政部财政科学研究所硕士学位论文:2011.