企业内部控制评价系统研究综述
摘要:近年来,由于企业内部控制缺失或无效导致企业财务丑闻或失败案例不断出现,对内部控制的有效性进行评价越来越成为管理学界和企业界关注和探讨的热点问题。从界定内部控制及内部控制评价的概念入手,从内部控制评价标准、评价指标体系、评价方法等四方面对内部控制评价系统的国内外文献进行梳理和回顾,并进行了述评及研究展望。
关键词:内部控制 评价系统
内部控制理论整合到风险管理框架中被公认为是其理论发展的最高成就。然而,一批执行由美国COSO发布的《内部控制整合框架》和《企业风险管理整合框架》的知名公司却在金融危机中纷纷破产或被收购,再次向世人表明,即使被外部审计鉴证为拥有“健全内部控制”的大公司,其内部控制运行的有效性并不一定能得到保证。究其原因:一是内部控制评价标准模型缺乏可操作性,不能有效指导企业内部控制实践;二是公司治理存在缺陷,内部控制形同虚设。因此,公司内部控制运行质量引发管理学界和企业界展开新一轮的内部控制评价研究,构建一个科学的企业内部控制评价系统是当前面临的非常重要与紧急的任务。
一、相关概念辨析
内部控制起源于管理和审计的需要,保证资产安全、防范会计信息失真以及确定审计范围是内部控制发展的主要动力和源泉。美国《内部控制整合框架》指出内部控制是一个过程,“内部控制广义上可定义为一个受企业董事会、经理层和其他人员影响的,为达到经营的效果和效率、财务报告的可靠性、法律法规的遵循性等目标提供合理保证的程序”。目前这个定义受到世界各国和各类组织的广泛认可。
1.美国公众公司会计监督委员会认为:内部控制评价是一个进行风险评估的过程,这个过程被企业当局和外部审计师所利用,以便评价企业会计信息系统的优劣。
2.我国最早的研究者认为内部控制评价是指由企业内部审计和外部监管部门对企业内部控制系统全面进行的审查测试与分析评价。其后的研究者认为内部控制评价是审计人员通过对被审计单位内部控制系统的审查、测试、评价,判断其可信程度,从而对内部控制系统做出鉴证意见的一种审计方法。
3.2010年财政部等五部委发布的《企业内部控制评价指引》指出:“内部控制评价是指企业董事会或类似的权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程”。可见,我国认为内部控制评价是一个对企业内部控制目标实现与否、内部控制设计和执行有效与否进行合理评价的过程。
由此,我国明确规定了评价主体(企业董事会或类似权力机构)、评价客体(内部控制的有效性)、评价目标(促进企业设计与运行有效的内部控制)和评价报告(报告的种类、格式和内容)。因此,内部控制的评价标准、指标及方法三部分应作为构建内部控制评价系统的重要内容。
二、内部控制评价标准研究
对财务报告内部控制(ICFR)的评价,是美国内部控制评价法律规定的主要内容。SOX法案404条款(2002)要求上市公司管理层应基于适当、公认的评价框架对ICFR进行评价,并在年末公告两方面内容:其一是企业需要提交一份有关ICFR的评估报告;其二是管理层出具对这个报告负责的结论。PCAOB(美国公众公司会计监督委员会)公布了AS-2(审计准则第二号)(2004):外部审计师对上市公司的财务报告及报告期间的内部控制同时审计;AS-5(2007)指明评估所用框架,即以COSO的内部控制整合框架为评价标准,并在美国得到普遍运用。
李金路(2005)认为内部控制评价的标准是指内部控制制度整体运行应实现的目标,并结合对内部控制因素的分析对内部控制评价标准作出系统阐述。李小燕等(2008)提出公司财务控制制度的健全性、符合性两方面的定性评价标准,以及有效性的定量标准。邵继来(2009)认为企业内控制度评价标准含有制度建设、执行以及保障三个层次。董美霞(2010)指出要综合考虑风险和内部控制目标,对内部控制的所有基本要素确立评价标准。
张宜霞(2007)认为内部控制评价标准应满足相关性、没有偏见、一致性、可验证性和充分完整等严格条件,并提出设计内部控制评价体系的总体思路。这一观点在后来的《基本规范》和《评价指引》中得到了很好的体现。
我国《企业内部控制基本规范》虽然强制上市公司对内部控制评价情况进行报告,但并没有详细规定评价的具体内容、标准和方法;《企业内部控制评价指引》作为企业评价内部控制质量的原则性指导框架,不够具体,内部控制评价工作流于形式。因此,国内很多学者(李斌,2009;池国华,2011等)都认可将美国COSO框架提出的企业内部控制三大目标与五大要素作为作为评价标准。
三、内部控制评价指标体系研究
COSO报告在评价内部控制有效性时,一般把评价指标设计成一系列问题,重点从企业战略目标同经营目标的协调、目标实现、风险控制、企业文化、员工能力、监督控制等方面设计问题,然后针对评价对象的实际情况,依据答案情况来评价内部控制的健全性和运行的有效性。
文胜泽(2007)从管理学和经济学角度论述了构建内部控制评价指标体系的基础理论,使得内部控制评价基础理论不再局限于审计和公司治理领域,对内部控制评价性质做了更深入的诠释。
朱荣恩(2004)引入美国财务报告内部控制评价体系,通过对中美两国内部发展体系的比较,建立了基于COSO框架的内部控制评价体系。傅元略(2002)和唐予华等(2003)利用COSO报告关于内部控制构成要素的理论,建立了内部控制评价指标体系,并且构建了内部控制综合评价模型(ZPM)。王素莲(2005)以COSO报告中的要素为对象,结合SOX法案404条款内容,尝试构建一套中国企业内部控制评价指标体系。蔡军和韩庆兰(2006)按照SOX法案404条款的要求,在COSO框架指导下,建立了五个内部控制体系步骤,以及如何对内部控制执行进行测试。
赵东方、张莉(2005)认为应构建防卫性、建设性和一般性三个层次的内部控制评价指标,采用内部审计评估和控制自我评估两种评价方式。王海林(2008)认为在内部控制评价中引入内部控制等级概念,并构建内部控制评价体系,以实现对内部控制完整性和有效性等做出全面评估。张先治,戴文涛(2011)构建了企业、注册会计师和监管部门三位一体的监管模式,结合我国内部控制评价的状况来构建企业内部控制评价指标。
王煜宇和温涛(2005)从内部控制环境、风险评估、内部会计控制、内部管理控制和监督控制五个方面构建了由35个指标组成的企业内部控制评价指标体系。韩传模,汪士果(2009)提出运用三维结构剖析企业内部控制系统,建立递阶层次指标体系,识别了企业主要的业务流程和关键控制措施。厦门大学内部控制指数课题组(2010)针对我国内部控制评价指引提出了35个二级评价指标,同时对相关企业进行实证调查,得出模糊评价模型的应用性和实用性,也为我国企业开展内部控制评价提供参考。
四、内部控制评价方法研究
Leary(2004)提出了内部控制评价模型(ICE),并与来自五家公司的94位审计师运用其各自公司的评价方法进行比较,证明该模型与现有的评价方法一样有效。Bierstaker,Janvrin&Lowe(2008)对会计公司的调查表明:审计人员偏好文字描述式,其次是问卷调查式。Chunyan Shao(2009)认为,根据内部财务控制的复杂性特点建立一种基于评价指数系统的模糊评价方法具有可操作性。Akresh(2010)认为,内部控制审计是审计财务报告的生成过程,而财务审计是审计内部控制过程的产出,这一过程分解为固有风险、控制设计和执行风险、控制运行效果风险。
林朝华,唐予华(2003)介绍了国际流行的内部控制评审最新理念――CSA,认为该方法为实现企业的目标提供了一定程度的合理保证。何恩良(2003)认为,内部控制评价定性评价受评价人员的主观影响,其主要评价内部控制制度的合法性、有效性、可操作性、经济性、先进性;定量评价更具有科学性,应首先建立定量评价标准,然后通过模型评价其健全性和有效性。王立勇(2004)运用可靠性理论及数学统计方法来构建内部控制系统评价定量分析的数学模型,根据企业的业务流程设计内部控制系统可靠的框架图。朱卫东等(2005)基于COSO报告框架构建了内部控制评价指标体系,并将BP神经网络技术应用于企业内部控制评价中。
陈汉文、张宜霞(2008)认为政府监管部门应当规范风险基础的评价方法,引导企业管理层和注册会计师应当实施风险基础的方法来评价和审计内部控制。
内部控制评价无论对管理学界还是对企业界,都是一个相当重要的课题。通过对上述中外研究成果的文献回顾和综述,目前还存在着以下问题:
第一,内部控制评价标准:美国的COSO Framework执行成本较高,导致其不断受到质疑。《企业内部控制评价指引》在一定程度上解决了我国缺乏可供企业参考的评价标准的问题,但具体实施效果如何有待于学者们收集更多的实证数据进行检验,从而形成符合我国实际国情的动态评价标准体系。
第二,内部控制评价指标:以内部控制五要素为基础的指标体系得到许多学者的认同,但二级或三级指标内容有待于统一;以内部控制目标为基础的指标体系的构建,需要兼顾内部控制各要素;定性与定量综合的指标体系,往往权重难于合理分配,且定量指标的选取有待于统一。如何建立起一套科学合理的评价指标体系是一个有益的尝试与探索,可作为以后继续研究的方向。
第三,内部控制评价方法:国外学者多主张建立各种模型以增强评价的客观科学性,但内部控制评价模型由于操作成本过高等原因,导致评价方法的运用推广受到限制;国内学者倾向于模糊评价法和层次分析法(AHP)两种方法的综合运用,但存在受评价者的主观性影响,且对各指标一致性有严格要求等问题。因此,急需探索出一种可操作性强且能一定程度上保证客观评价的方法。
第四,关于内部控制评价体系方面:目前共存在四种类型的内部控制评价体系,分别是以财务报表审计为目的;以内部控制审计为目的;以完善内部控制为目的;以信息披露为目的,这四种评价的客体相同,可以共享不少方法和信息,但如何能对这四种内部控制评价进行有效整合以降低评价成本非常值得研究。