郑石桥
【摘 要】 内部控制缺陷是超过可容忍的风险暴露,它与内部控制局限性、内部控制例外事项、内部控制偏差这些概念,既有联系,也有区别。内部控制缺陷识别是寻找和确认内部控制缺陷,首先是尋找内部控制偏差,然后从偏差中识别出需要进行风险暴露评估的内部控制缺陷,在此基础上区分不同的内部控制目标,通过定量或定性方法评估内部控制缺陷的风险暴露,将风险暴露评估结果与风险承受度相比较,确认内部控制缺陷。内部控制缺陷认定是将确认的内部控制缺陷分为不同的等级,需要将确认的内部控制缺陷分为两类,一类通过定性标准将其划分为不同等级,一类通过定量标准将其划分为不同等级。
【关键词】 内部控制缺陷; 内部控制缺陷识别; 内部控制缺陷认定; 内部控制风险暴露; 风险承受度
【中图分类号】 F239.44 【文献标识码】 A 【文章编号】 1004-5937(2017)18-0119-06
一、引言
内部控制鉴证对优化内部控制、提升组织的管理水平和资本市场效率具有重要的作用。内部控制鉴证内容是内部控制缺陷,在鉴证内部控制缺陷的基础上,通过内部控制缺陷性与有效性的互补关系,确定内部控制有效性。从某种意义上来说,内部控制鉴证就是寻找内部控制缺陷并对内部控制缺陷进行等级划分的过程。一般来说,寻找内部控制缺陷称为内部控制缺陷识别,而对内部控制缺陷进行等级划分则称为内部控制缺陷认定。目前,从内部控制鉴证实务来看,内部控制缺陷识别和认定已经成为内部控制评价或审计的重大挑战之一[ 1 ]。
围绕内部控制缺陷识别和认定,有大量的工作性研究文献,也有一定数量的学术性研究文献,还有一些权威规范的规定。然而,目前仍然存在三个主要问题,一是相关概念混乱,二是逻辑框架缺乏,三是相关标准缺乏。本文认为概念是基础,概念不清楚则无法构建逻辑框架,而逻辑框架不清楚则无法进行制度构建和实施鉴证行动。基于此,本文致力于厘清内部控制缺陷识别和认定的相关概念及构建逻辑框架。由于篇幅所限,本文不涉及相关标准。
随后的内容安排如下:首先是简要的文献综述,梳理内部控制缺陷识别和认定的相关文献;在此基础上,厘清内部控制缺陷识别和认定的相关概念;然后提出内部控制识别和认定的逻辑框架;最后是结论和启示。
二、文献综述
内部控制缺陷有许多研究文献,本文主要关注两类文献,一是内部控制缺陷相关概念,二是内部控制缺陷识别和认定的逻辑步骤。
关于内部控制缺陷相关概念,国外的一些权威规范涉及内部控制缺陷、内部控制重大缺陷、内部控制重要缺陷、内部控制一般缺陷、内部控制局限性[ 2-6 ]。国内的相关权威规范也涉及上述概念。就学术研究文献来说,根据白华、高立[ 7 ]及曹丹、董佳宇[ 8 ]的文献综述,国外文献很少研究内部控制缺陷相关概念。国内的不少文献研究内部控制缺陷的概念,一般认为,内部控制缺陷是内部控制过程存在的缺点或不足,这种缺点或不足直接导致了内部控制无法为控制目标的实现提供合理保证[ 9-12 ]。一些文献还研究了内部控制缺陷与内部控制局限性的关系,认为二者的共性是都会导致内部控制目标受阻,但是,二者存在本质区别,不能将内部控制局限性确认为内部控制缺陷[ 9,11 ]。还有一些文献分析了内部控制缺陷性和有效性的关系,认为二者是互补关系,从100%减去内部控制缺陷性就是有效性[ 9,13 ]。
关于内部控制缺陷识别和认定的逻辑步骤,美国PCAOB-AS5及日本《关于财务报告内部控制评价与审计准则以及财务报告控制评价与审计实施准则的制定(意见书)》都选择“从上到下,风险导向”这种风险基础法作为主流方法。也有一些学术文献研究不同模式的效率[ 14-15 ]。国内文献也有一些研究内部控制缺陷识别和认定的逻辑步骤,南京大学会计与财务研究院课题组[ 16 ]提出了基于内部控制要素的内部控制评价基本框架及模式。王惠芳[ 17 ]认为,内控缺陷规范标准应采用规则式与原则式相结合的制定思路。李宇立[ 18 ]认为,缺陷的识别与认定是一个过程,包含三个步骤:首先,确定风险偏好和风险容忍度;其次,将单位层面的风险容忍度“自上而下”地在各层级分配;最后,将敞口风险与对应的风险容忍度进行对比。廖高玲[ 19 ]提出了原则式与规则式互补的框架。李丹平[ 20 ]提出基于目标导向的内部控制缺陷认定,将内部控制缺陷分为已经造成了内部控制目标偏离的内部控制缺陷和潜在的尚未造成内部控制目标偏离的内部控制缺陷,通过结果评价和过程评价,认定内部控制缺陷。
上述权威规范和研究文献,对于我们认知内部控制缺陷识别和认定有较大的启发,然而,关于内部控制缺陷识别和认定,仍然存在三个问题:一是相关概念混乱,二是逻辑框架缺乏,三是相关标准缺乏。本文将致力于厘清前两个问题。
三、内部控制缺陷识别和认定的相关概念之厘清
(一)内部控制缺陷识别和内部控制缺陷认定
内部控制缺陷识别和内部控制缺陷认定的概念没有明确界定。从逻辑上来说,内部控制鉴证包括两个步骤,一是寻找内部控制缺陷,二是对已经找到的内部控制缺陷划分等级。本文将前者称为内部控制缺陷识别,后者称为内部控制缺陷认定。上述两个步骤存在重大差异。然而,很多文献将上述两个步骤混为一谈。
财政部等颁布的《企业内部控制基本规范》第四十五条规定,“企业应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告”。中国内部审计协会《第2201号内部审计具体准则——内部控制审计》第二十二条规定,“内部审计人员应当根据获取的证据,对内部控制缺陷进行初步认定,并按照其性质和影响程度分为重大缺陷、重要缺陷和一般缺陷”。这里的内部控制缺陷认定,无法区分是指对寻找到的内部控制缺陷之确认,还是对内部控制缺陷划分等级。笔者推测,应该是两方面的含义都有。endprint
财政部等颁布的《企业内部控制评价指引》第十七条规定,“内部控制评价工作组应当根据现场测试获取的证据,对内部控制缺陷进行初步认定,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷”。很顯然,这里的内部控制缺陷认定是指对内部控制缺陷划分等级,并未包括对寻找到的内部控制缺陷之确认。纵观《企业内部控制评价指引》,找不到关于对寻找到的内部控制缺陷之确认的相关规定。笔者推测,应该是将内部控制缺陷识别作为内部控制缺陷认定处理了。
财政部等颁布的《企业内部控制审计指引》第二十条规定,“注册会计师应当评价其识别的各项内部控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷”。中国注册会计师协会颁布的《企业内部控制审计指引实施意见》规定,“注册会计师要对内部控制缺陷进行评价,以划分为不同等级”。很显然,这里的缺陷评价,就是对内部控制缺陷划分等级。
通过对上述权威规范的描述,不难发现,现有的权威规范并未区分内部控制缺陷识别和内部控制缺陷认定,只是笼统地作为内部控制缺陷认定,而内部控制缺陷认定也没有统一的名称,有的规范中称为内部控制缺陷评价。
确认一种状态是不是内部控制缺陷,对已经确认的内部控制缺陷进行等级划分,这是两项有重要区别的审计工作,其依赖的审计标准不同,使用的审计程序也不同,完全不能将二者混为一谈。为此,本文将寻找内部控制缺陷这一过程称为内部控制缺陷识别,对已经识别的内部控制缺陷划分等级这一过程称为内部控制缺陷认定。它们依赖的标准不同,采用的技术方法不同,但是,共同组成内部控制鉴证的核心内容。
(二)内部控制缺陷及其与相关概念的关系
内部控制缺陷及其与相关概念之间的关系并未明确界定。与内部控制缺陷相近的概念有三个,一是内部控制偏差,二是内部控制局限性,三是内部控制例外事项。只有将它们四者联系起来分析,才能厘清内部控制缺陷的实质。
关于内部控制缺陷,COSO-IC和COSO-RM的定义是,已经察觉的、潜在或实际的缺点,抑或通过强化措施能够带来目标实现更大可能性的机会。PCAOB-AS5从财务报告内部控制缺陷角度指出,当控制的设计或运行不能使管理层或员工在履行其日常职责的过程中防止或及时发现错误,那么,财务报告内部控制就存在缺陷。同时,COSO-IC和COSO-RM都使用了内部控制局限性这个概念,还列举了局限性的典型表现:决策过程中可能出现错误判断;执行过程中可能出现错误或过失;因勾结串通或管理层越权而失效;制约与控制带来的收益与执行控制成本之间的权衡。
我国《企业内部控制基本规范》《企业内部控制评价指引》《第2201号内部审计具体准则——内部控制审计》《企业内部控制审计指引》均使用了内部控制缺陷这个概念,但是没有界定这个概念。《企业内部控制基本规范》《企业内部控制评价指引》《第2201号内部审计具体准则——内部控制审计》没有使用内部控制局限性这个概念。《企业内部控制审计指引》要求内部控制审计报告中说明内部控制局限性,但是并没有明确界定这个概念。可见,在我国的相关权威规范中,并未严格区分内部控制缺陷和内部控制局限性。
一些学术文献涉及内部控制缺陷和内部控制局限性的区别,主要体现在:内部控制缺陷是内部控制设计者在设计过程中未意识到的缺点,以及内部控制执行过程中不按设计意图运行而产生运行结果偏差的可能;内部控制局限性则是设计者在设计过程中事先预留的风险敞口,以及运行过程中按照设计意图运行也无法实现控制目标的可能[ 9,11 ]。
至于内部控制偏差、内部控制例外事项,几乎所有的相关权威规范都没有涉及,只是在一些会计师事务所的操作指南和上市公司的内部控制评价指引中有一些规定①。
本文认为,内部控制偏差、内部控制缺陷、内部控制局限性、内部控制例外事项存在重大差异。正确区分它们,是内部控制缺陷识别的前提。它们之间的关系如图1所示。
内部控制偏差是对内部控制应然状况的偏差,这种偏差又分为两种情形:一是由于偶然性因素的作用而产生的,称为偶然性偏差;二是由于系统性因素的作用而产生的,称为系统性偏差。这两种偏差的重要区别是:偶然性偏差完全是由偶然因素造成的,并不是内部控制系统本身的原因而产生的,一般来说,不会重复发生。例如,某人因为家庭纠纷而心情不好导致内部控制失误,因为极端天气导致某机器不能有效运行,这些只是在极为偶然的情形下发生的内部控制偏差,并不能表明内部控制系统以后还会产生同样的偏差。系统性偏差是由内部控制系统本身的原因而产生的,并且,只要条件具备,还可能重复发生。例如,某岗位存在不相容职能,致使该岗位员工贪污,只要该岗位职能不变,则该岗位还可能发生贪污行为,所以,系统性偏差表明内部控制系统本身存在瑕疵,这种系统性偏差称为内部控制瑕疵,只要这种瑕疵没有得到修复,以后还可能继续发生内部控制偏差。
系统性偏差表明内部控制存在瑕疵,但是,内部控制瑕疵又分为两种类型,一是内部控制缺陷,二是内部控制局限性。这二者的共性是它们都会导致内部控制目标偏离,所以从结果视角来看二者无区别。但是,内部控制局限性是源于成本效益原则的考虑,在某些情形下,明知有风险暴露,但是如果对该风险进行控制则不符合成本效益原则,所以有意识地放任这些风险。而内部控制缺陷则不同,它并不是有意识的风险暴露,从制度设计来说,对这些风险进行控制是符合成本效益原则的,之所以形成风险暴露,要么是未能识别这些风险,要么是设计的应对措施不足以应对这些风险,要么是设计的应对措施没有得到有效执行,总之是对本该应对的风险未能有效地应对。从这个意义上,有些文献认为,正是由于内部控制局限性的存在,所以内部控制目标不能绝对保证,正是内部控制缺陷的存在使得内部控制拟提供的保证程度未能达成[ 9,11 ]。
至此,内部控制偏差可以分为三种类型,一是内部控制缺陷,二是内部控制局限性,三是偶然因素造成的内部控制偏差,前两者组成内部控制瑕疵。很显然,内部控制局限性造成的偏差和偶然因素造成的内部控制偏差无法通过内部控制鉴证来提升优化其水平并进而达到抑制其偏差的目的,都界定为内部控制例外事项,内部控制鉴证只能针对内部控制缺陷。正确地厘清它们之间的关系,是有效识别内部控制缺陷的前提。endprint
四、内部控制缺陷识别和认定的逻辑框架
(一)内部控制缺陷识别和认定的总体逻辑框架
内部控制鉴证的内容是内部控制缺陷性。从逻辑上来说,内部控制鉴证包括三个步骤:一是寻找内部控制缺陷,一般称为内部控制缺陷识别;二是对已经识别的内部控制缺陷进行等级分类,一般称为内部控制缺陷认定;三是在此基础上,根据内部控制缺陷性和有效性的互补关系,确定内部控制有效性。一般来说,只有内部控制存在重大缺陷时,才能确定其整体无效。当然,内部控制缺陷识别和认定本身还有许多步骤。大致来说,内部控制缺陷识别和认定的总体逻辑过程如图2所示。
(二)内部控制缺陷识别的逻辑框架
内部控制缺陷识别就是寻找并确认内部控制缺陷。根据图2所示,内部控制缺陷识别首先是通过审计程序来寻找内部控制偏差。一般来说,寻找内部控制偏差有两种模式:一是风险基础法(risk-based audit approach),也称为原则导向法,其特点是从“风险”到“控制”;二是控制基础法(control-based audit approach),也称为规则导向法,还称为详细评价法,其特点是“控制”到“风险”[ 14-15,21 ]。美国的PCAOB-AS5、日本《关于财务报告内部控制评价与审计准则以及财务报告控制评价与审计实施准则的制定(意见书)》及我国的内部控制审计准则都选择“从上到下,风险导向”这种风险基础法作为主流方法。
对于识别的内部控制偏差,要将其区分为内部控制缺陷和内部控制例外事项。对于确认的内部控制缺陷,要评估其风险暴露。风险暴露是指风险与应对措施之差异,它源于控制措施不足以应对其拟应对的风险。风险暴露有三个原因:一是未能有效识别风险,致使有的风险没有设计应对措施;二是设计的控制措施不足以应对其拟应对的风险;三是设计的内部控制措施未能得到有效执行,所以不能有效应对其拟应对的风险。内部控制基本要素的任何一方面存在缺陷,都可能导致上述三个原因的产生。例如,风险评估要素存在缺陷,致使一些重要的风险未能识别;控制活动或控制环境或信息与沟通设计不当或执行不力,致使风险未能得到有效应对;内部监视失败,致使内部控制系统未能有效运行,从而风险未能得到有效应对。
对确认的内部控制缺陷进行风险暴露评估,要区分不同的内部控制目标分别进行。因为内部控制目标有多种,任何一个组织对于不同的控制目标会有不同的风险承受度(如图3所示),同时,任何一个内部控制缺陷对于不同的内部控制目标会有不同的影响,如果不区分内部控制目标,则无法确定风险暴露。
内部控制缺陷风险暴露评估要区分现实缺陷和潜在缺陷分别评估。现实缺陷是指已经对内部控制目标形成影响的缺陷,潜在缺陷指还未对内部控制目标形成影响的缺陷。现实缺陷按从样本推断总体的方法,根据对样本的影响来推断这种缺陷对总体的可能影响。潜在缺陷要估计两个方面:一是影响发生的可能性;二是一旦发生,其影响程度。这两方面结合起来,就是潜在影响的期望值。很显然,两者都具有主观判断,但是,潜在缺陷的主观判断成分更大[ 12 ]。风险暴露评估要兼顾内部控制过程和结果,有定性和定量的许多技术方法,限于篇幅,这里不展开讨论。
以每个内部控制目标为基础进行风险暴露评估之后,要将评估的风险暴露与该目标的风险承受度相比较,确定超过可容忍的风险暴露。一般来说,它们三者之间有如下关系:
超过可容忍的风险暴露(ORi)=风险暴露评估值(ERi)-风险承受度(ARi)
这里的i表示第i项内部控制目标。如果ORi小于零,则不必确认为内部控制缺陷;只有当ORi大于零时,才确认为内部控制缺陷[ 12,18 ]。
另外,KPMG[ 22 ]的调查发现,只有极少数公司对风险偏好进行了定义和沟通,仅25%的公司对风险偏好有正式的阐述,绝大多数公司并没有定义和沟通风险偏好。风险偏好与风险承受度是异曲同工的,没有风险偏好的确定,当然也无从谈风险承受度的确定。所以,对于大多数企业来說,ORi的确定具有挑战性。
(三)内部控制缺陷认定的逻辑框架
对于已经确认的内部控制缺陷,要对其划分等级,这就是内部控制缺陷认定。美国PCAOB-AS5、日本《关于财务报告内部控制评价与审计准则以及财务报告控制评价与审计实施准则的制定(意见书)》及我国《内部控制评价指引》《内部控制审计指引》都将内部控制缺陷严重程度划分为三个等级:重大缺陷,重要缺陷,一般缺陷。由于内部控制缺陷要分控制目标来识别,所以其认定自然也要按不同的内部控制目标来进行。以我国《企业内部控制基本规范》所确定的内部控制目标为基础,内部控制缺陷认定的基本情形如表1所示。
问题的关健是,如何将内部控制缺陷认定为不同等级呢?国内外的相关权威规范都要求审计师自行确定内部控制缺陷认定标准。内部控制缺陷认定的核心是风险暴露评估,而风险暴露评估又有定性评估和定量评估两种情形。定性评估主要适用于对内部控制目标有影响但是又难以通过量化的方式来确定其影响程度,或者虽然能主观判断其影响但是这种判断的主观成分太大,以至于不具有合理的可靠性。对于这些内部控制缺陷,要通过不断的经验积累,采用例举的方式来确定其缺陷等级。例如,财政部颁布的《企业内部控制审计指引》第二十二条规定,下列迹象表明内部控制可能存在重大缺陷:注册会计师发现董事、监事和高级管理人员舞弊;企业更正已经公布的财务报表;注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;企业审计委员会和内部审计机构对内部控制的监督无效。定量评估主要适用于能量化风险暴露的内部控制缺陷,认定的基本思想是根据超过可容忍的风险暴露(ORi)程度,一般将这种超过程度划分为三个等级,按超过程度分别确定为重大缺陷、重要缺陷、一般缺陷。当然,无论是定性认定还是定量认定,都需要确定缺陷认定标准。定性标准和定量标准制定也涉及许多问题,由于篇幅所限,这里不展开讨论。endprint
虽然内部控制缺陷风险暴露有定性评估和定量评估,但是它们的使用具有逻辑顺序。首先判断是否属于定性评估范围,如果是,则按定性标准进行认定;如果不适用定性评估,则按定量标准进行认定。事实也是如此,研究发现在美上市公司的许多重大缺陷是根据内部控制审计准则指出的表明公司内部控制可能存在重大缺陷的重要迹象来认定的,其他的则通过重大缺陷的定义来认定[ 23 ]。
五、结论和启示
内部控制鉴证的核心内容是内部控制缺陷识别和认定,围绕内部控制缺陷识别和认定,有一些相关的权威规范和大量的研究性文献。然而,目前仍然存在三个主要问题,一是相关概念混乱,二是逻辑框架缺乏,三是相关标准缺乏。本文主要关注前两个问题。
从本质上来说,内部控制缺陷是超过可容忍的风险暴露,是由过程缺陷而导致的结果偏差。它与内部控制局限性、内部控制例外事项、内部控制偏差这些概念,既有联系,也有区别。内部控制缺陷识别是寻找和确认内部控制缺陷,首先是通过风险基础法或控制基础法寻找内部控制偏差,然后从偏差剔除例外事项,识别出需要进行风险暴露评估的内部控制缺陷,在此基础上,区分不同的内部控制目标,通过定量或定性方法评估内部控制缺陷的风险暴露,将特定内部控制目标的风险暴露评估结果与事先确定的相应控制目标的风险承受度相比较,确认内部控制缺陷。内部控制缺陷认定是将确认的内部控制缺陷分为不同等级,需要将确认的内部控制缺陷分为两类,一类通过定性标准将其划分为不同等级,一类通过定量标准将其划分为不同等级。
本文的结论启示我们,内部控制缺陷识别和认定是一个复杂的系统工程,这一过程中需要很多的职业判断,也面临很多的选择,主观成分较多。为此,一方面需要从业人员具有较高的职业素养,需要对被审计单位的内部控制有深刻的理解,更需要对内部控制鉴证相关权威规范的要义有深刻的把握;另一方面,相关职业组织要尽可能颁布一些职业指引,将成功的经验分享给大家;同时还要加强监管,防止滥用职业判断,将内部控制鉴证形式化。
【参考文献】
[1] 刘玉廷.全面提升企业经营管理水平的重要举措——《企业内部控制配套指引》解读[J].会计研究,2010(5):3-16.
[2] COSO(Committee of Sponsoring Organizations of the Treadway Commission).Internal control-integrated framework[Z].1994.
[3] COSO(Committee of Sponsoring Organizations of the Treadway Commission).Internal control-integrated framework[Z].2013.
[4] COSO(Committee of Sponsoring Organizations of the Treadway Commission).Enterprise risk management -integrated framework[Z].2004.
[5] PCAOB.第5号审计准则——与财务报告审计相结合的财务报告内部审计[R].2007.
[6] 日本企业会计审议会.关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定(意见书)[R].2007.
[7] 白华,高立.内部控制缺陷实证研究的最新进展:一个文献综述[J].财会通讯,2011(5):111-114.
[8] 曹丹,董佳宇.内部控制缺陷研究:基于国外实施研究动态文献综述[J].时代金融,2014(10):194-197.
[9] 杨有红,李宇立.内部控制缺陷的识别、认定与报告[J].会计研究,2011(3):76-80.
[10] 刘建伟,郑瞳.内部控制缺陷概念、分类与认定[J].财会月刊,2012(12):74-75.
[11] 田娟,余玉苗.内部控制缺陷识别与认定中存在的问题与对策[J].管理世界,2012(6):180-181.
[12] 李宇立.内部控制缺陷研究:理论分析和经验证据[M].中国财政经济出版社,2013.
[13] 陈汉文,张宜霞.企业内部控制的有效性及其评價方法[J].审计研究,2008(3):48-54.
[14] MORRILL J B,MORRILL C K,KOPP L S.Internal control assessment and interference effects[J].Behavioral Research in Accounting,2012,24(1):73-90.
[15] ZHENG B Z,PATEL C,EVANS E.An experimental examimation of juegments of chinese professional auditors in evaluation internal control systems[J].Corporate Ownership & Control,2015,12(4):791-806.
[16] 南京大学会计与财务研究院课题组.论中国企业内部控制评价制度的现实模式:基于112个企业案例的研究[J].会计研究,2010(6):51-62.
[17] 王惠芳.内部控制缺陷认定:现状、困境及基本框架重构[J].会计研究,2011(8):61-67.
[18] 李宇立.内部控制缺陷识别与认定的技术路线:基于管理层视角的分析[J].中南财经政法大学学报,2012(3):113-119.
[19] 廖高玲.企业内部控制缺陷认定框架设计[J].会计师,2013(7):60-61.
[20] 李丹平.目标导向的内部控制缺陷认定研究[D].暨南大学硕士学位论文,2013.
[21] 姚刚.内部控制审计论[M].中国财政经济出版社,2013.
[22] KPMG.Understanding and articulating risk appetite[R].2009.
[23] 陈武朝.在美上市公司内部控制重大缺陷认定、披露及对我国企业的借鉴[J].审计研究,2012(1):103-109.endprint