美國的COSO《內部控制一整體框架》、英國的Tumbull指南和加拿大的CoCo《控制指南》,是當今世界影響重大的內部控制評價標準。2008年,財政部頒布的《企業內部控制基本規范》,無疑為我國建立統一的內部控制評價標準奠定了基礎。本文擬在比較各國內部控制評價標準的基礎上,提出改進我國內部控制評價標準的建議。
一、內部控制評價標準及分類
(一)內部控制評價標準 內部控制評價的目標就是評價內部控制的有效性。而內部控制的有效性從根本上講是依據內部控制目標的實現程度來判定的。鑒于內部控制目標實現程度的局限性,對內部控制有效性的判斷在現實情況下沒有選擇從結果理性的角度直接評價內部控制目標的實現情況,而是從過程理性的角度出發判斷內部控制的設計和運行的有效性。因此,內部控制評價標準要解決的問題就是:什么樣的內部控制才是有效的內部控制?當前,對這一問題的解決方法是設計內部控制的一個框架體系,即首先確定內部控制的范圍和目標,然后確定一個有效內部控制應當具備的要素,如COSO的《內部控制一整合框架》、Tumbull指南等都是這樣一個基本的思路。因此,在制定一個特定背景下的內部控制評價標準時,必然面臨的問題是要確定:內部控制的范疇與目標;內部控制應當包含的要素;這些要素之間的邏輯關系。而這些在很大程度上面臨著不確定性和選擇的問題,從而也就引發出另一個問題:什么樣的評價標準才是適當的。一個適當的內部控制評價標準至少應當滿足以下條件:相關性。與所要評價的內部控制的目標相關;中立性。制定過程遵循了透明的程序;一致性。可以適當一致地、定性和定量地衡量公司的內部控制,在類似的環境下付出同樣的努力實施的評價會得出大致相似的風險、測試結果和結論;可驗證性。有適當的評價軌跡,沒有參與評價的人能夠沿著這個軌跡重復評價或評估評價過程;完整性。沒有忽略會改變公司內部控制有效性結論的相關要素。按照這些條件,COSO內部控制框架、Tumbull指南和CoCo《控制指南》都是適當的評價標準。
(二)內部控制評價標準分類 由于不同規模企業的內部控制差別較大,所以,評價標準的設計應當考慮企業規模對內部控制的影響。按照適用企業的規模可以分為適用于一般企業的內部控制評價標準和適用于小規模企業的內部控制評價標準。從內部控制評價的整個過程來看,不但要明確什么樣的內部控制是有效的內部控制,還要明確如何有效地評價內部控制的有效性。因此,評價標準的整個體系要分為內部控制的評價標準和內部控制評價實施的標準或規范。從內部控制涵蓋的范圍來看,針對范圍大小不同的內部控制,可以分為企業財務報告內部控制、企業內部控制和企業風險管理的評價標準等。
二、內部控制評價標準的國際比較
(一)國際內部控制評價標準簡介世界各國都有其內部控制標準僅可。本文僅介紹以下國家內部控制的標準。
(1)美國的COSO報告。COSO《內部控制一整體框架》(簡稱COSO報告)是目前世界范圍內影響最大、應用最廣泛的一個標準,也是SEC(證券交易委員會)和PCAOB(公眾公司會計監管委員會)推薦使用的標準。20世紀70年代水門事件后,美國國會很快通過了《反國外賄賂法》,該法案除有反賄賂的條款外,還規定了與會計及內部控制有關的條款。這促使許多職業團體加強了對內部控制的研究,并發布了一系列準則、指南或建議。1985年,美國注冊會計師協會、管理會計師協會、內部審計師協會、國際財務經理協會及美國會計學會等機構共同贊助成立了防舞弊財務報告委員會。該委員會旨在研究舞弊性財務報告產生的原因及其相關領域,其中包括內部控制不健全的問題。1987年,在該委員會的建議下,其贊助機構又贊助成立了一個專門研究內部控制問題的委員會,即COSO委員會。經過三年多的潛心研究以及與相關各方的深入探討,COSO委員會于1992年提出了《內部控制一整體框架》專題報告,開創性地提出了內部控制整體框架的概念。COSO委員會成立的初衷和定位決定了其目的是制定一個服務于獨立公共會計師、企業、監管機構、其他相關者都需要的內部控制定義,為評價內部控制的有效性提供一個合理化的標準。COSO委員會提出的內部控制整體框架報告,凝集著半個多世紀來內部控制研究方面的積極成果,同時,在許多方面有重大的質的突破,代表著當今內部控制研究的最高成就,被公認為是內部控制發展史上一塊重要的里程碑。COSO報告提出了三項具體的目標和五項互相聯系的要素,首次將內部控制從平面結構發展為立體框架結構。內部控制的三類目標是一個組織努力的方向,而內部控制構成要素則是為實現這些目標所必需的條件,兩者之間存在著直接的關系。五類要素之間相互協調、相互聯系,每一個要素都適用于所有的目標類別,共同構成能夠對不斷變化的環境做出動態反映的一個整體。
(2)英國的Turnbull指南。鑒于上市公司提出應有一個內部控制方面的具體操作性的規定,倫敦股票交易所委托英國特許會計師協會成立了以Tumbull先生為主席,由董事長、總經理、財務經理、部門經理、外部審計人員、企業員工以及大學教授組成的委員會,就如何幫助在英國上市的公司貫徹執行“上市規則”和“聯合準則”中的建立健全內部控制的要求進行研究。該委員會1999年完成了一份系統的指導企業建立內部控制的報告,即《內部控制框架指南》。由于這個報告是在Tumbull先生領導下完成的,又稱為Tumbull指南。Tumbull指南一經發布,便為財務報告理事會、倫敦證交所、上市公司、公司外部審計人員所接受并在各自工作中運用。2005年,Tumbull指南在保持基本原則不變的情況下進行了局部的修改,并于2005年10月頒布了修改后的Tumbull指南。《Turmbull指南》對分散在英國法律、法規中涉及內部控制的規定進行了歸納和整理,立足英國的法律環境和公司治理特點,建立了具有原則導向性、風險導向性、框架指引性的內部控制指南。
(3)加拿大的CoCo《控制指南》。1992年加拿大特許會計師協會(CICA)成立了CoCo委員會,該委員會的使命是發布有關內部控制系統設計、評估和報告的指導性文件。經過三年的研究,coco委會員于1995年10月正式發布了關于內部控制的框架性文件——控制指 南。該指南對內部控制的定義、內部控制的要素、內部控制的作用、內部控制的參與者、內部控制原則進行了闡述,建立了一個完整的內部控制理論體系。在隨后的幾年中,CoCo委員會又陸續發布了一系列指導性文件,為CoCo內部控制框架的應用提供了具體詳盡的操作規范。CoCo委員會的控制指南在一定程度上參考了COSO委員會的內部控制框架,但CoCo的內部控制框架仍具有鮮明的特色。CoC。委員會報告指出:在任何一個企業中,控制均包括目的、承諾、能力、監控和學習四個最基本的要素。其中目的是對企業發展方向的描述,它包括企業的目標、面臨的風險和機遇、經營方針、計劃、業績目標及其評價指標等;承諾是對企業特質的描述,它涉及到企業的道德標準、人力資源政策、權力和責任的分配以及員工之間的相互信任等;能力是指企業相對于給定任務的勝任程度,它涉及到知識、技能和工具、信息及信息的傳遞、協調和控制活動;監控和學習則著眼于企業的發展,它包括對企業內、外部環境的考察、對經營業績的考核、對相關假設的質疑、對信息需求與信息系統的重新評價、追蹤調查及后續行動程序的建立以及對控制有效性的評估。在確立內部控制的整體框架后,coco委員會基于該框架提出了內部控制的基本原則。內部控制原則是內部控制理論與實務的聯結體,它為企業實施內部控制和評價內部控制有效性確立了標準。coco委員會的內部控制原則是《控制指南》的主要內容,同時也是CoCo委員會的重要貢獻。
(4)中國《企業內部控制基本規范》。為了加強和規范企業內部控制,提高企業經營管理水平和風險防范能力,2006年,財政部、國資委、證監會、審計署、銀監會、保監會聯合發起成立企業內部控制標準委員會。2007年,企業內部控制標準委員會公布了《企業內部控制基本規范》(以下簡稱《基本規范》)及17項具體規范的征求意見稿,并于2008年6月頒布。企業內部控制標準委員會的建立及《基本規范》等的頒布,標志著我國內部控制建設進入了一個新的階段。我國的《基本規范》主要是在借鑒COSO報告的基礎上,結合我國的具體情況進行了適當修改和完善。在借鑒國外內控框架的同時,基本規范體現了以下創新:一是內容創新。基本規范中的五要素框架并未照抄照搬國外的框架,而是根據我國的實際情況作了較大調整,并在內容上大為充實,在表達方式上符合我國法規特點、文化傳統和語言習慣,使國外提出的較為宏觀、抽象的內控理念轉變為了具有針對性、實用性的內控規定。二是體系創新。除基本規范之外,我國還頒布了17項具體規范,并將繼續起草若干具體規范和應用指南;與此同時,還將研究、制定評價標準和配套實施辦法,形成全方位、立體性推進內控體系建設的局面。三是機制創新。我國的內控體系建設任務,是各部門、各方面通力合作、合力推進的,這使得內控問題從立法規范、標準建設、宣傳培訓、組織實施到監督檢查等有一個良好的溝通協作機制,避免了單純從某一局部、某一方面入手可能造成的局限和被動。
(二)內部控制具體評價標準的國際比較 以下對各國的內部控制評價標準做詳細的比較探討。
(1)內部控制的含義。COSO報告認為,內部控制是由董事會、管理層和員工共同設計并實施的,旨在為實現組織目標提供合理保證的過程。內部控制作為過程,其本身不是目的,而是實現目標的手段,內部控制的有效性也只是“過程”中某個時點上的一種狀態。按照這種認識,內部控制不能再被片面曲解為機械的制度、規定,而是與管理過程融合在一起,是一個不斷發現和解決問題的循環往復的動態過程。根據Tumbull指南,內部控制是一個旨在防止風險發生或將風險控制在可接受的低水平的系統。該系統包括公司的政策、過程、任務、行為和其他方面。健全的內部控制系統可以減少但不能消除決策中的拙劣判斷的可能性、人為錯誤、雇員或其他人員蓄意繞過控制過程、管理層越過控制以及不可預知情況的發生。因此,健全的內部控制系統可以提供合理但不是絕對的保證。CoCo《控制指南》使用的是“控制”,而不是“內部控制”,指出“控制”是“一個主體要素(包括實體資源、系統、過程、文化、結構和任務)的集合體,這些要素組合在一起能夠支持人們實現主體的目標”,“控制需要企業內所有成員的參與,包括董事會、管理層和所有其他員工;控制對達成企業目標只能提供合理的保證,而不是絕對的保證,這是因為控制本身存在內在的缺陷,如存在人為的錯誤或成本、效益約束等;控制的終極目的是為了創造財富,而不只是單純地控制成本;有效的控制需要保持獨立和整體、穩定和適應變化之間的平衡”。《基本規范》所稱內部控制,是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。由此可以看出。各國評價標準對內部控制的定義有些差異:COSO報告和《基本規范》認為是一個過程,Tumbull指南認為是一個系統,而CoCo《控制指南》則認為是一個要素的集合體。系統和集合體的范圍明顯要大于過程。盡管定義有些差異,但內部控制的本質卻是一致,都是為合理保證其控制目標的實現服務的。
(2)內部控制的目標。COSO報告指出,內部控制是為實現以下三類目標提供合理保證:經營的效率和效果、財務報告的可靠性、適用法律法規的遵循性。第一類目標針對企業的基本業務目標,包括業績和盈利目標以及資源的安全性;第二類目標關于編制可靠的公開發布的報表中的財務數據;第三類目標涉及企業對所適用的法規的遵循。Tumbull指南認為內部控制要實現以下三類目標:對風險做出適當反應促進經營的效率和效果;提高會計信息質量,防止財務欺詐;遵循法律規章。CoCo《控制指南》界定了“控制”的三類目標:經營的效率和效果;內部和外部報告的可靠性;遵守適用的法律、規章及內部政策。《基本規范》指出,內部控制旨在實現以下五類目標:企業戰略;經營的效率和效果;財務報告及管理信息的真實、可靠和完整;資產的安全完整;遵循國家法律法規和有關監管要求。由于各國的內部控制評價標準都是借鑒COSO報告的基礎上發展而來,Tumbull指南和CoCo《控制指南》的三類目標基本和COSO報告一致,而我國的《基本規范》在保留COSO報告原有的三個目標的同時,增加了企業戰略和資產安全完整兩類目標。COSO報告的三類子目標,基本上都屬于維持企業當期經營的范疇,著眼點在于企業生存,沒有站在企業戰略高度關注未來發展,而發展和戰略規劃問題是企業所有問題的根本。所以加上企業戰略的目標,更有利于企業應對未來外部環境變化帶來的風險。COSO報告認為,保護資產安全內部控制屬于經營效果效率目標的范疇,已經包括在經營效果效率內部控制之中,而GAO認為保護資產安全內部控制涉及到資產價值真實性的問題,對財務報告可靠性有重大影響,應該包括在財務報告內部控制之中。這就導致了兩者出現分歧,單獨把保護資產安全完整作為一個目標,便能很好地解決這一分歧,因此,在COSO報告原有的三個目標的基礎上,加上企業戰略和資產的安全完整兩個目標,便顯得很有意義了。
(3)內部控制的構成要素。COSO報告提出了內部控制的五要素,五項要素是指控制環境、風險評估、控制活動、信息和溝通及監 督。以上五項要素實際上內容廣泛,相互關聯。控制環境是其他控制成分的基礎;在規劃控制活動時,必須對企業可能面臨的風險有細致的分析;風險評估和控制活動必須借助信息與溝通;內部控制的設計和執行必須受到有效的監控。關于控制要素,Turnbull指南提出了“四要素”論,即控制環境、控制活動、信息與溝通、監督檢查四部分。CoCo《控制指南》報告指出:在任何一個企業中,控制均包括目的、承諾、能力、監控和學習四個最基本要素。其中目的是對企業發展方向的描述,它包括企業的目標、面臨的風險和機遇、經營方針、計劃、業績目標及其評價指標等;承諾是對企業特質的描述,它涉及到企業的道德標準、人力資源政策、權力和責任的分配以及員工之間的相互信任等;能力是指企業相對于給定任務的勝任程度,它涉及到知識、技能和工具、信息及信息的傳遞、協調和控制活動;監控和學習則著眼于企業的發展,它包括對企業內、外部環境的考察、對經營業績的考核、對相關假設的質疑、對信息需求與信息系統的重新評價、追蹤調查及后續行動程序的建立以及對控制有效性的評估。我國的《基本規范》在內部控制構成要素上,采用的是五要素,即內部環境、風險評估、控制措施、信息與溝通和監督檢查。從形式上看,CoCo《控制指南》的四要素和其他國家的有很大差別,因為其對要素的劃分是按照員工執行一項任務的過程來劃分的。CoCo委員會認為:企業員工在執行企業所指派的任務時,將以他對企業目的的理解為指南,并以其能力作為支撐。員工的承諾或者說對企業的忠誠是員工在長時期內充分發揮自己能力和保持最優努力水平的保證。此外,員工必須對自身的工作業績和外部環境進行監控以便及時采取適當的后續行動,并在調整自身行動以適應環境變化的過程中學會更好地完成工作。實質上,CoCo《控制指南》的四要素基本上包含了COSO報告五要素的內容,只是劃分的角度不一樣。Turnbll指南與COSO報告相比,沒有把風險評估列為單獨的控制要素,因為其認為風險的評估貫穿內部控制的整個過程和所有層面,在某種意義上,內部控制等同于風險管理。盡管我國的《基本規范》借鑒了COSO報告的五要素,但在具體內容上卻有所創新。如由于我國與發達國家相比,公司治理結構還存在很多問題,《基本規范》使用的是“內部環境”而不是“控制環境”,這樣便更能強調公司內部治理結構對內部控制的影響作用。
(4)內部控制的責任主體。在COSO報告下,管理層對內部控制負主要責任,不但要向董事會下屬的審計委員會報告,還要評估內部控制的有效性并對外發布內部控制報告。在Turnbull指南下,董事會負責審查內部控制的有效性,管理層有責任監督內部控制系統,并向董事會提交評價內部控制有效性的報告;董事會要審查管理層的內部控制報告,對內部控制進行年度評估,并在年度報告中發布內部控制聲明。我國的《基本規范》對內部控制的主要責任主體的責任分別進行規定:企業董事會應當充分認識自身對企業內部控制所承擔的責任,加強對本企業內部控制建立和實施情況的指導和監督;董事長(或者法定代表人、代表企業行使職權的主要負責人)對本企業內部控制的建立健全和有效實施負責;經理(或者總裁、廠長)根據法定職權、企業章程和董事會的授權,負責組織領導本企業內部控制的日常運行;總會計師(或者財務總監、分管財務會計工作的負責人)在董事長和經理的領導下,主要負責與財務報告的真實可靠、資產的安全完整密切相關的內部控制的建立健全與有效執行。由上面的分析可以看出,在COSO報告中,內部控制的責任主體主要是管理層。雖然把董事會與內部控制聯系起來,但它的這種聯系僅僅局限于企業有一些事情需要董事會審批或授權,基本上把內部控制限定在CEO之下,而對董事會更為重要的作用和董事會與CEO之間的聯系和制衡關注不夠。而《基本規范》和Turnbull指南,都強調了董事會對內部控制的重要責任,并且與Turnbull指南相比,《基本規范》更加明確地規定各責任主體對內部控制的責任,使治理層和管理層的責任分工更加明確。
(5)內部控制的外部審計。在COSO報告下,審計師要在審計財務報表的同時對公司的財務報告內部控制進行審計,既要評價管理層對內部控制的評價,又要對內部控制的有效性發表意見。而在Turnbull指南下,審計師只是對董事會的內部控制聲明進行審查,并不需要對公司內部控制系統的有效性出具報告。因為,Turnbull指南與CoCo《控制指南》一樣,對內部控制的定義范圍比COSO委員會的定義更為寬泛。其目的在于為企業設計、評估、報告內部控制以及相關的公司治理事宜提供指導,而不是對企業內部控制的最低法定要求。因此,這一內部控制概念對公司財務報告的外部審計不適用,審計人員應根據審計環境和財務報告使用者的要求合理地確定與審計相關的內部控制范圍。在我國,執行基本規范的上市公司,應當對本公司內部控制的有效性進行自我評價,披露年度自我評價報告,并可聘請具有證券、期貨業務資格的會計師事務所對內部控制的有效性進行審計。由于我國對內部控制審計的范圍并沒有明確規定,這給內部控制的外部審計工作加大了難度,所以我國還只是鼓勵對內部控制進行外部審計,而不是強制要求。
(6)內部控制評價標準體系。從前面內部控制評價標準的性質和內容的分析中,我們知道,評價標準的整個體系可以分為內部控制的評價標準和內部控制評價實施的標準。盡管美國SEC基于靈活性的考慮并沒有制定內部控制的評價標準,而是規定了評價標準適當與否的條件,但指出COSO的內部控制框架為適當的標準,PCAOB也以此制定審計準則,從總體上來看,形成了一個層次清晰的體系。在評價標準上,包括:COSO《內部控制—整合框架》;COSO《財務報告內部控制—小規模公眾公司指引》;這兩項是進行內部控制建設的指引,也是后期進行評價和審計的標準;SEC發布的管理層評價內部控制的解釋性指南,這是企業管理層進行內部控制自我評估的指南;PCAOB發布的內部控制審計準則,這是審計師進行審計的標準,規定了審計的方法和程序。這就形成了內部控制標準、自我評估標準、審計標準的完整、規范的體系。在評價標準上,我國目前僅出臺了《基本規范》和17項具體規范的征求意見稿。在評價實施的標準上,意見不一。比如,有的是按照中注協發布的《內部控制審核指導意見》,而有的則按照《中國注冊會計師其他鑒證業務準則第3101號一歷史財務信息審計或審閱以外的鑒證業務》實施。
三、我國內部控制評價標準的建議
(一)制定技術規范時采用“風險導向、自上而下”的方法論 內部控制標準有效推進的關鍵是降低成本,提高效率。從技術層面看,提高效率的路徑在于:針對內部控制體系建設、內部控制評價和內部控制審計的每一個方面,在開發和制定技術規范時,要充分借鑒先進的方法論,并考慮我國內部控制環境的特點,做到簡潔、高效、實用和可操作。我國可采用“風險導向、自上而下”的方法。
(二)遵循五要素原則 控制環境、風險評估、控制活動、信息和溝通、監督五要素是一個相互聯系、綜合作用的有機控制整體,使單純的控制活動與企業環境、管理目標及控制風險相結合,形成一套不斷改進、自我完善的內部控制機制。五要素的有機結合,更科學合理,更有利于企業董事會、經理層和其他員工共同實施,為營運的效率效果、財務報告的可靠性及相關法令的遵循性等目標的達成提供合理保證。目前我國的企業內部控制基本規范已充分借鑒和吸收了五要素,在此基礎上有所創新和補充完善。
(三)突出財務報告內部控制主線并兼顧風險管理 內部控制體系包括戰略目標、經營目標、經營效率與效果、財務報告目標、資產安全等。這些目標既涉及到內部控制,也涉及到風險管理等。現階段應當側重規范企業管理行為,保障財務會計信息與資產的安全,提高對外披露的財務報告的真實性。隨著企業的管理狀況不斷完善,內部控制制度的目標應相應提高,從保障財務信息的真實與資產的安全、完整,促進企業貫徹落實發展戰略、提高運營效率等方面延伸,逐步實現與國際慣例的完全趨同。
(四)建立完整的內部控制評價標準體系 我國企業內部控制評價標準體系總體上應包括兩個組成部分:(1)內部控制評價的標準。我國企業內部控制評價的標準應當包括:《企業內部控制基本規范》,將其作為內部控制評價的一般標準,適用于上市公司及大中型企業;《小企業內部控制基本規范》,將其作為適用于小企業內部控制評價的一般標準,就小型企業如何按照成本效率的原則使用《企業內部控制基本規范》設計和執行內部控制提供指導。(2)內部控制評價實施的標準。我國企業內部控制評價實施的標準應當包括:《企業內部控制評價規范》。將其作為企業管理層自我評價內部控制的規范,對內部控制評價的基本方法和程序進行指導;《中國注冊會計師審計準則第X號——內部控制審計》,用來規范和指導注冊會計師對內部控制的審計。所以,我國應盡快推出與企業內部控制基本規范相配套的內部控制評價規范和內部控制審計準則等,從而使我國在不同層次和不同環節建立完整的內部控制評價標準體系。
