□李志斌(教授/博士后) 章铁生(教授)(扬州大学商学院江苏扬州225002安徽工业大学商学院安徽马鞍山243032)
清晰界定内部控制概念是研究其经济后果和评价有效性的基础。何谓内部控制?早期的内部控制概念经历了一段很长的历史演变,会计学者从20世纪早期开始关注内部控制问题,特别是与审计活动相关的内部控制,劳伦斯(Lawrence R.Dicksee,1905)讨论了审计学视角的内部控制问题。早期具有代表意义的定义是AICPA的审计程序委员会于1945年提出的,并在1963年修改如下:内部控制包括组织设计及所有用于以下方面的方法和措施——保护资产、检验会计数据的准确性和可靠性,促进效率、鼓励遵守既定的管理政策。
COSO报告(1992)的出台确立了内部控制范畴超越审计领域,并走入管理世界。COSO定义为:内部控制是受公司董事会、管理层和其他人员影响的,为达到经营活动的效率效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。美国学者Nelson & Ratliff(1996)对内部控制试图做出更为本质性的定义,将内部控制定义为正确的事在正确的时间发生提供合理保证,内部控制的作用范畴似乎更大了,但本质上对COSO定义未有实质性改善,其他权威报告对内部控制概念的界定基本与COSO报告一致。至此,COSO的内部控制概念被学界奉为权威。这一概念中的内部控制范畴与AICPA并无二致,进步之处在于突出了内部控制对目标实现的“合理保证”,而非绝对保证,意识到内部控制的固有局限。COSO(2013)发布的新框架与旧框架基本一致。COSO(2017)发布的企业风险管理框架中进一步明确了内部控制的内涵及其与风险管理的关系,认为内部控制体系是企业风险管理工作的基础和组成部分。
Maijoor(2000)认同内部控制范畴是广泛的,将内部控制的研究分为三个部分:一是审计学的内部控制研究,属于微观内部控制;二是组织理论视角的内部控制研究,实际是管理控制;三是经济学视角的内部控制研究,属于宏观层面的内部控制。COSO报告之后,国外直接讨论内部控制概念的文献很少。国外文献对中观组织层面的内部控制,Anthony(1965)最早提出了管理控制概念,认为管理控制是管理者保证资源获得和使用有效果和有效率以实现组织目标的过程,该过程与信息密切相关。该定义与COSO报告的合理保证过程的要义是一致的,Krister Bredmar(2012)对管理控制概念发展进行了分析,后续文献在该定义的基础上对管理控制的概念进行了演化发展,控制的内涵逐步变得丰富起来。从国内学术界对内部控制概念的讨论来看,除了多数研究引用COSO报告的定义之外,也有学者从不同理论视角试图对内部控制的概念进行界定,形成了不同认识。归纳起来有如下五种说法:一是经营管理制度与方法论。内部控制是企业各种经营管理制度、组织措施、管理方法和业务处理过程的总称,其目标是提高经营效率,控制经营风险,防止舞弊行为发生。二是治理机制论。内部控制是组织为了降低自身内部各层级之间的代理问题而建立的一套风险控制机制,实现企业利益相关者价值的内部治理机制。三是风险控制论。四是行为规则论。内部控制制度无疑属于企业规则的组成部分,是公司的“法”,按规则行事是维护企业组织内部相关各方利益关系的保证,强调组织可以通过规则衡量,奖励、支持、强化满意的适应性学习,惩罚、制止、淘汰不满意的适应性学习。五是整合论。这类定义认为内部控制是融经营、管理和治理等各层面的制度、程序于一体的系统。
内部控制评价建立在内涵的基础上,国内不同的内涵界定基本反映了内部控制的某一维度,为综合评价内部控制,融合多维度的整合论是其理论基础。因此,现有评价方法基本上是以COSO的五要素框架作为理论依据的。
内部控制的综合评价按照评价要点的不同,存在两种不同的思路,一类是框架式评价,另一类是问题式评价。框架式评价是指内部控制要按其基本结构建立起统一规范的评价模式,而问题式评价是指将评价指标细化,分析框架中各要素在企业中存在的主要问题,并将这些问题作为评价的重点,形成评价要点框架。框架式评价主要指以原则为导向的国际框架,其中的代表就是COSO框架。
指数评价法是框架式评价的一种,它可以实现对企业进行纵向和横向的对比。这种方法建立在相对固定的评价框架的基础上,评价框架的建立思路基本上有两种,一种是按内控要素,又称过程评价;另一种是按内控目标,又称结果评价。厦门大学内控指数课题组(2010)采用不同的标准对内部控制五要素进一步细化,再采用层次分析法确定指标权重,得到评价指数或者分值。框架式评价虽然为内部控制评价提供了一个基本的框架模式,但是这些体系并没有从根本上真正解决内部控制的评价问题。美国证券交易委员会(SEC)也在2006年发布的概念解释中承认,COSO 1992框架本身不足以保证管理层对财务报告内部控制有效性作出一致的评价。问题式评价在解决公司的自我评价方面得到了广泛的认可,它更注重企业中重要风险点的控制。美国证券交易委员会(SEC)和公共公司会计监督委员会(PCAOB)在 2007年 6月最终分别发布的管理层报告内部控制指南和内部控制审计准则都采用了这一方法。
(一)外部治理环境对内部控制的影响。企业所在的治理环境,如市场化进程、金融环境等对内部控制的有效性均有显著的正向影响(李志斌,2013);Kiridaran Kanagaretnam et al.(2016)实证研究表明,个人主义、权力距离与内部控制缺陷正相关,不确定性规避程度与内部控制缺陷则呈负相关。审计师是否提供非审计服务也成为影响内部控制有效性的重要因素,其结论是当审计师提供非审计业务时,强化了对企业交易的实质性了解,以及提前介入企业业务,因而能够对企业提升内部控制质量发挥更大的作用。
(二)公司内部治理对内部控制的影响。Hammersley et al.(2012)等研究发现,审计委员会规模小的公司更可能不矫正其缺陷;李育红(2011)研究公司内部治理机制对内部控制有效性的影响,研究发现,薪酬机制和声誉惩罚机制有利于对经理层产生约束作用,从而提高公司内部控制有效性;Jun Guo et al.(2016)从员工待遇政策的视角研究认为,友好型的雇佣政策能够显著减少与员工相关的内部控制缺陷。
(三)公司业务的复杂性对内部控制的影响。W.Ge & S.McVay(2005)和田高良等(2010)的研究表明,业务复杂性程度对相关内部控制缺陷存在正向影响,即公司的业务复杂性与内部控制有效性负相关。
(四)公司基本特征对内部控制的影响。Doyle,W.Ge & S.McVay(2007a)认为重大内部控制缺陷多存在于规模小、年轻、财务状况差、业务复杂、增长速度快或正在经历重组的公司;Franklin(2007)研究发现存在重大内部控制缺陷的公司往往累计盈利能力较低,负债程度较高。
不难看出,现有的研究局限于公司特征和内部环境对内部控制有效性的影响,未能充分重视公司外部环境的影响;张颖等(2010)通过问卷调查的方式研究认为,企业发展阶段、资产规模、财务状况、集权化程度是影响内部控制有效性的重要因素。
(一)内部控制与会计及相关信息质量。内部控制最原始的初衷是防止会计舞弊,保证会计信息质量,所以盈余质量和盈余可信度是内部控制的最直接的经济后果。会计信息质量成为内部控制经济后果研究的最初的,也是最基本的主题。中外研究结论一致,即内部控制有效性与会计信息质量正相关,国外的研究还表明,企业层面或特殊交易与账户的实质性缺陷对会计信息质量的影响是不一样的。在SOX实施多年以后,现有的研究开始关注内部控制缺陷修复后所产生的影响。
内部控制能够提高会计信息质量已经得到很多实证文献的支持,接下来更深入研究能够提高以会计信息为基础生成的预测信息质量。Ashbaugh-Skaife(2008)和Xu et al.(2008),Iving(2008)从分析师的视角研究认为,存在实质性缺陷公司的盈利的可预测性更差,分析师的预测具有较大的误差和离散程度,当这些缺陷得到修正后,盈利的可预测性增强。Beneish et al.(2008)进一步细化研究发现,公司披露与302条款相关的缺陷之后,分析师会调低盈利预测,而披露404条款下的内部控制缺陷则不会有如此调整。随着研究的深入和拓展,学术界开始关注内部控制对环境及社会信息等非财务信息披露的正向作用。
(二)内部控制与市场反应。内部控制有效性具有信息含量,与投资者利益密切相关。市场对内部控制缺陷有着负面的反应,降低盈余的可信性。现有实证研究验证了内部控制缺陷信息不仅会影响到投资者的风险感知,还会影响到投资者对于审计意见的评估。当投资者的评估意见传递到资本市场,市场因内部控制缺陷而产生负面反应。Ashbaugh-Skaife et al.(2009)的研究认为,无论是与 404 条款相关的缺陷还是与302条款相关的缺陷都会导致市场的负面反应,但是未发现对实质性缺陷的反应强于一般缺陷。国内的研究也表明,内部控制信息的披露具有市场效应。
(三)内部控制与资本成本。内部控制有效性对公司的融资契约和成本同样存在显著影响。研究发现,具有内部控制缺陷的公司,其贷款利差和贷款利率均较高;相对于账户层面的内部控制缺陷,在没有信用评级机构或银行的监督情况下,内控缺陷更能引致贷款利率的提升。Ghosh et al.(2006)和 Elbannan(2009)的研究结论与此一致,有内部控制缺陷的公司的信用评级较低、借贷成本较高。内部控制同时影响权益资本成本,在控制其他风险因素的情况下,存在内部控制缺陷的公司,权益成本更高,而且随着公司内部控制状况的变化,其权益融资成本也会变化,但 Ogneva,M.et al.(2007)研究认为404条款下的内部控制缺陷与权益资本成本没有显著的相关性。
Costello,A.et al.(2011)以内部控制缺陷作为公司财务报告质量的衡量指标,当公司具有实质性缺陷时,贷款机构减少使用财务契约和财务指标基础的业绩定价模式,取而代之的是价格和安全条款,以及信用评级为基础的业绩定价条款。随着内部控制缺陷的披露,贷款机构在贷款契约中会强化对管理层的监督。林钟高等(2017)研究认为,内部控制缺陷的修复与政府内部控制监管力度的强化的内外联动,才能有效发挥内控对企业债务融资决策的风险管控作用,降低债务融资成本。
(四)内部控制与投资效率。作为公司的管理控制体系,内控对公司的投资效率也存在重要影响。Mei Cheng et al.(2013)研究认为,内部控制缺陷与公司投资效率密切相关。存在内部控制缺陷的公司,在内部控制缺陷披露之前,若公司存在财务约束,则投资不足;反之,则过度投资,而在内部控制披露之后,公司财务效率显著提高。国内研究也表明,内部控制对于限制非效率投资和提升投资效率均具有正向作用。
(五)内部控制与利益相关者决策。内部控制缺陷信息的披露可能影响到各类使用者的决策,包括贷款机构、投资者和财务分析师。内部控制对会计信息质量影响显著,自然也会影响到审计师的决策,进一步影响审计费用和审计意见等。Raghunandan et al.等研究认为,公司内部控制缺陷的出现与审计费用之间存在正相关关系,提高的审计费用可以看作对风险溢酬的反应。国内的研究结论认为高质量的内部控制能够降低审计费用。Goh et al.(2011)的研究发现,内部控制缺陷审计意见的披露显著提高了对财务拮据公司出具持续经营非标审计意见的可能性。Schneider et al.(2008)研究认为内部控制的否定审计意见会负向影响贷款机构的风险评估和同意批准的可能信贷额度,但是如果公司聘用 “四大”,则这种负向影响会降低。Lopez et al.(2009)研究认为,否定的内部控制审计意见对投资者的评估结果产生了显著影响,包括较高的误报风险和未来重述风险、更大的信息不对称、较低的会计信息透明度、较高的风险溢价和资本成本,较低的盈利可持续性和较低的盈利可预测性。Shelton et al.(2008)研究认为,审计师的内部控制否定审计意见会导致投资分析师给出较高的风险评级、较低的内部控制强度的评价、赞成推荐股票的可能性减低。Asare et al(2008)研究发现,相对于账户层面的内部控制缺陷,股票分析师更看重企业层面的内部控制缺陷,对公司最近已经审计过的和未来的财务报告、审计报告和内部控制强度的信任度均较低。
内部控制缺陷的披露对董事会和高管的变更及薪酬也会产生影响。研究发现,内部控制存在实质性缺陷的公司更可能更换审计委员会成员、CFO和外部董事等高管,审计委员会成员也更易失去外部董事的席位;Ye和Krishnan(2009)进一步研究发现,无论是公司层面的内部控制缺陷还是账户层面的内部控制缺陷,董事和经理都会因此受到惩罚,而审计委员会成员仅仅会因为内部控制账户层面的实质性缺陷遭受惩罚。Hoitash et al.(2012)研究表明,CFO的股票期权和奖金与内部控制的实质性缺陷显著负相关,而且董事会强势的条件下,CFO的薪酬奖惩与内部控制缺陷的关联性最为严格,越是重要的实质性缺陷对CFO的薪酬的负向作用越强;Henry et al.(2008)研究认为,内部控制有效性与公司特别经济因素解释的部分薪酬相关,但余下的是公司因素不能决定的薪酬部分,则与内部控制缺陷没有关系;Rani et al.(2012)研究认为,CFO 的薪酬(除基本薪水)与内部控制缺陷披露显著负相关,且在公司治理监督较强和误报成本高的情境下,这种负相关关系更强。卢锐等(2011)研究认为,内部控制质量越高的公司,其管理层薪酬业绩的敏感度也越高,其中,国有控股上市公司的内部控制质量和薪酬业绩敏感度之间的协同性相对于非国有控股的上市公司更为显著。
本文研究框架如下页图所示,内部控制的内涵界定是确定其维度构建及有效性评价的理论基础,而内控的有效性是展开实证研究的前提,内部控制有效性的影响因素分别是从外部治理环境和企业内部治理和特征等视角展开的,而内控经济后果的研究则逐步从财务报告可靠性、合法合规性和经营效率、效果的“传统效应”向基于利益相关者决策的“溢出效应”拓展。
研究框架图
从上述文献不难看出,内部控制是学术界研究的热点问题,研究成果已经非常丰富,但仍有很多值得进一步研究的问题:
(一)回到内部控制本原,从缺陷及其修复的视角研究如何有效强化内部控制的风险免疫能力,进而防范和降低企业风险以及如何在企业层面实现内部控制有效 “落地”。目前这方面文献很少,尤其是针对内部控制存在缺陷的公司的企业风险是否更大所进行的实证检验还不多见。基于美国的资本市场,已有的研究更多的是以内控缺陷如何影响财务报告质量为桥梁,主要的研究视角是讨论内控存在缺陷的公司是否存在更高系统性风险和非系统性风险,以及这种风险如何影响权益资本成本 (Ogneva et al,2007;Ashbaugh-Skaife et al,2009),而且美国基本上讨论的是基于财务报告可靠性的内部控制问题(如SOX的实施是否有效等),在不少重要的方面没有达成一致意见,也较少关注新兴资本市场中的内部控制有效性的影响因素及其经济后果等问题。国内的研究现状基本类似,已有的研究也更多的是关注内部控制质量如何影响企业盈余质量以及财务困境,对内控缺陷具体如何影响信息风险、财务风险,以及包括合规风险、经营风险、战略风险等在内的其他企业风险的研究还需进一步深入。因此揭示内部控制的风险免疫机理,研究内控缺陷及其修复是否影响以及如何影响企业风险可能更为关键。
(二)企业环境及社会责任内部控制的研究将成为研究热点。内部控制的作用范围逐步拓展到社会责任和环境保护等方面,已有实证文献结论支持内部控制对环境与社会责任履行及信息披露有着显著的正向作用。因此,如何建立和完善环境与社会责任内控制度,以及探究其影响因素和经济后果将成为有价值的研究主题。
(三)政府控制及其引致的公司治理机制如何影响内部控制和对企业风险的作用机理有待深入研究。结合我国当前的转型经济制度背景,各级政府和对应层级的国资委与国企始终有着特殊的关系,造成国有企业在内控上具有显而易见的特殊性,但目前关于政府控制及其引致的公司治理机制如何影响内部控制和对企业风险的作用机理仍没有明确的结论,需要作进一步的理论探讨和实证检验。尽管有效防控企业风险最终要依赖内部治理机制和外部治理机制的协同效应,而目前这方面的经验证据还很缺乏,从而未能厘清内部控制防控企业风险的影响因素、作用路径和经济后果。未来可以将企业所处地区的制度环境和政府控制及其引致的公司治理机制等作为内部控制防控企业风险相关的外部环境因素,研究分析它们如何影响内部控制缺陷及其修复并且有效发挥防控企业风险功能,这样可能会全面揭示内部控制防控企业风险的作用机理,能够为内部控制监管提供证据与扩展监管新思路。
(四)内部控制的经济后果可以进一步挖掘。内部控制如何影响利益相关者的决策,并拓宽内部控制的价值创造实现机理值得进一步研究,比如现有文献中研究社会责任对公司价值直接作用的居多,探索其他作用机理和作用路径的研究则刚起步,且结论多元,可以研究内部控制对社会责任价值创造过程和机理的影响,从内部控制的视角诠释社会责任与公司价值之间的关系。