1、企业内部控制评价概念框架构建收稿日期:2012-10-15 基金项目:国家社会科学基金重大招标项目“完善国有控股金融机构公司治理研究” (10zd&035) ;国家社会科学基金项目“企业内部控制综合评价模型与中国上市公司内部控制质量研究” (12BGL032) ;教育部博士研究生学术新人奖资助 作者简介:戴文涛(1971-) ,男,江苏丰县人,高级统计师,高级会计师,博士后,主要从事内部控制、公司理财等方面的研究。E-mail: 王 茜(1981-) ,女,吉林四平人,博士研究生,主要从事财务管理、内部控制等方面的研究。 谭有超(1982-) ,男,山东德州人,博士研究生,主要从事公司治理与公
2、司财务研究。 摘 要:企业内部控制评价概念框架涉及企业内部控制评价的最基本概念和理论要素,这些概念和理论要素界定了企业内部控制评价研究对象的性质、功能和范围,指导着实务层面上的技术方法和制度建设。鉴于现有成果仅仅研究了企业内部控制评价概念框架的某一方面,有必要以内部控制评价的本质属性作为逻辑起点,研究企业内部控制评价的环境、主体、客体、目标、方法、规范及其它们之间的逻辑关系,从而建立起一个完整的企业内部控制评价概念框架。 关键词:企业内部控制评价;概念框架;逻辑起点;理论要素 中图分类号:F275 文献标识码:A 文章编号:1000-176X(2013)02-0115-08 一、问题的提出 内
3、部控制是现代企业极为重要的一项内部治理机制,担负着纠错防弊、预防和降低企业内部风险、保证组织健康发展的重要职能。本世纪初,美国频发的安然、世通等一系列知名公司的财务舞弊事件导致前总统布什于 2002 年 7 月 30 日紧急签署了被誉为自富兰克林罗斯福总统时代以来“最彻底的公司改革法案”萨班斯-奥克斯利法案(Sarbanes-Oxley Act of 2002,简称 SOX 法案) 。该法案的103、302、304 条款是针对上市公司内部控制的,它要求公司的管理层对财务报告内部控制有效性进行评价,注册会计师对企业财务报告内部控制进行审计,并将评价结果对外披露。为执行 SOX 法案,美国 Tre
4、adway委员会重新审视了 1994 年发布的内部控制整体框架存在的问题,并于2004 年 9 月正式发布企业风险管理整合框架 。企业风险管理整合框架涵盖了原来的内部控制整体框架,风险管理的引入,拓展和细化了内部控制1。 新的内部控制框架的发布被公认为是内部控制理论研究的最高成就。然而,雷曼、美林等一些自称或被外部审计鉴证为拥有“健全的内部控制”或“完善的风险管理”的大公司在 2008 年的金融危机中纷纷破产或被收购,这不仅对内部控制理论形成了巨大的挑战,也使公司风险行为成为学术界、实务界以及政府监管部门关注的焦点2。公司内部治理机制的一个基本目标是监管公司的经营政策和财务决策,来保护投资者的
5、利益;风险承担导致的公司价值损失以及当前危机的发生,已经被许多人视为公司内部治理机制的失灵3-4-5。从表面看,美国一些知名公司破产或被收购源于次贷危机、监管机构渎职以及政策失误等外部因素,但深层次的原因在于公司内部控制、风险管理机制形同虚设,内部控制信息披露徒具形式。在这样的背景下,公司内部控制质量引起世人强烈关注,从而引发了国外学者展开了新一轮的内部控制评价方法研究。 在我国,随着 “蓝田股份” 、 “银广厦” 、 “郑百文” 、 “中信泰富”和“中航油”等一系列财务舞弊和内控失效事件的频频发生,公司内部控制也成为社会各界尤其是政府监管部门日益关注的问题。借鉴美国 COSO内部控制五要素框
6、架形式,同时在内容上体现其风险管理八要素框架实质,我国财政部等五部委在 2008 年 6 月 28 日联合发布了企业内部控制基本规范 (简称基本规范 ) ,并随后发布了 18 项应用指引、 企业内部控制评价指引 、 企业内部控制审计指引 (简称配套指引 ) 。基本规范连同配套指引 ,共同构建了中国企业内部控制规范体系6。 为解决基本规范及其配套指引的落地生根问题,我国学者也展开了内部控制评价的相关研究。陈汉文和张宜霞7、张龙平等8、朱荣恩9、杨有红和李宇立10、刘明辉11、吴秋生和杨瑞平12研究了内部控制有效性评价、内部控制审计准则、审计鉴证、内部控制缺陷的识别以及内部控制评价整合等理论问题。
7、杨雄胜13、上海市内部审计协会课题组14基于案例研究了中国企业内部控制评价制度的现实模式、企业内部控制自我评价。骆良彬和王河流15、韩传模和汪士果16、王海林17、李小燕和田也壮18对内部控制评价数学模型、评价指标体系和内部财务控制有效性标准体系进行了探讨;厦门大学内控指数课题组19、戴文涛20、王宏等21、张兆国等22基于内部控制要素、内部控制目标实现程度构建了企业内部控制指数。张先治和戴文涛根据我国内部控制内外部监督评价体系目标,结合国内外企业内部控制评价理论和实践状况,构建了中国企业内部控制评价系统23。 企业内部控制评价概念框架在内部控制评价研究中处于根基地位,规定着企业内部控制评价研
8、究对象的性质、功能、范围以及实务层面上的技术方法和制度建设。科学地构建企业内部控制评价概念框架对于内部控制评价理论发展和应用研究有着十分重要的意义,但上述内部控制评价研究成果仅仅研究了企业内部控制评价概念框架的某一方面,并没有建立起一个科学、系统的内部控制评价概念框架。基于此,本文在已有研究成果的基础上,对企业内部控制评价概念框架逻辑起点、包含的内容及其逻辑关系进行研究。 二、企业内部控制评价概念框架的逻辑起点 企业内部控制评价概念框架涉及内部控制评价研究的最基本的概念和理论要素,这些概念和理论要素并不是简单地堆砌,而是按照一定的逻辑关系连接成一个具有整体性、系统性和有序性的基本理论结构,决定
9、着企业内部控制评价研究对象的性质、功能和范围。要建立起企业内部控制评价概念框架,其首要问题就是要从诸多基本概念或理论要素中选择一个能够充当构建企业内部控制评价概念框架的逻辑起点。那么,哪一个基本概念或理论要素可以充当企业内部控制评价概念框架的逻辑起点呢? 参照内部控制评价的相关学科如内部控制、公司理财、财务会计的概念框架都是目标起点的做法,国内很多学者认为企业内部控制评价概念框架的逻辑起点是内部控制评价目标。但问题是,内部控制、西方财务学、财务会计概念框架真的把目标作为起点了吗? 首先,看一看内部控制概念框架。美国 COSO 的内部控制报告分为四个部分,第一部分 “管理层总结” ,是对内部控制
10、总体构架的高度总结,是针对总裁、高级管理人员、董事会成员、律师和监管当局而写的;第二部分“总体架构” ,对内部控制进行定义,阐述其构成要素,为管理层、董事会及他人提供评估内部控制有效性的准则;第三部分“外部团体报告” ,是附件,对那些已经或准备公开披露其对编制财务报表进行内部控制的企业提供指导;第四部分“评估工具” ,提供对内部控制系统进行评估的有用资料。我们一般所说的 COSO 内部控制整体框架主要指总报告的第二部分内容,该部分共分八章,包括定义、控制环境、风险评估、控制活动、信息与沟通、监控等,有研究者如赵顺娣和陈留平将其概括为“一个定义、三个目标、五个要素”24。我国五部委联合发布的基本
11、规范第三条首先对内部控制进行定义,指出内部控制是由董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,然后阐释内部控制目标,即合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。由此可见,COSO 的内部控制整体框架和我国的基本规范并不是以目标作为起点,而是在对内部控制进行定义(即确定内部控制的性质)的基础上,才最终确定内部控制目标。 其次,看一看公司理财概念框架。李心合认为,从形式上看,西方财务学的起点选择都是目标概念,但是一个值得关注但被忽视的现象是,很少有财务学教科书在阐释目标函数之前不首先对“公司财务”进行“定性”2
12、5。在研究了美国学者 Eugene 与 Michael 合著的财务管理理论与实践 、William 的财务管理实务 、Stephen 等的公司理财基础 、英国学者 PeterAtrill 的财务管理基础后,李心合指出,西方财务管理学教科书从来都是“性质或本质起点论” ,所谓的目标起点论只是国内学者对西方财务学理论的一种不恰当的归纳和认识25。 最后,看一看财务会计概念框架。国际会计准则理事会(IASB)的编报财务报表框架和美国财务会计准则委员会(FASB)的财务会计概念框架是国际公认的财务报告概念框架。由于双方意识到消除各自概念框架差异的重要性,2002 年 10 月,IASB 与 FASB
13、签署“诺沃克协议”致力于会计准则国际趋同,并将建立“联合概念框架”项目列入其趋同计划中。之后,经过六年的精心研究、讨论和反复征求意见,双方终于在确立“决策有用性”为主导的财务报告目标观的基础上,确定了有用财务信息质量特征的新层次结构(见表 1 所示) ,并于 2010 年 9 月 28 日正式发布了自 2004 年以来合作开展的共同概念框架联合项目(简称“联合概念框架” )第一阶段的成果“目标和质量特征” 。作为财务报告概念基础和质量要求的两章框架,总体上说,是有着显著改进和提高的高质量框架文献,是编报企业财务报告基础概念的新篇章26。这给了人们一种认识:似乎概念框架的逻辑起点应该是目标。这种
14、认识实际上是一种误解。IASB 与 FASB 的概念公告尽管在阐释形式上“是以目标作为研究起点”,然而事实上,对财务会计的“定性”始终都是“定位” (目标)的前提。如果 FASB 不是把会计定义为一个经济信息系统, “一项为决策提供经济信息的服务活动” ,就不可能有目标概念的“决策有用性”的观点,从这个意义上,财务会计的性质和作用仍是财务会计的前提或基石,是概念框架中高于目标概念的实质上的研究起点25。 一项事物,在没有对它“定性” (本质)之前,是不可能有所谓的 “目标”定位的25。因此,企业内部控制评价概念框架的逻辑起点应是企业内部控制评价本质。 表 1 联合概念框架中的有用财务 信息质量
15、特征层次结构 三、企业内部控制评价概念框架内容及其逻辑关系 企业内部控制评价概念框架应该包括哪些基本概念或理论要素,并不取决于人们的主观臆断,而是取决于内部控制评价实践的一般性质(即本质)和要素结构。李心合、张兆国等、杨清香等认为,概念框架主要包括本质、对象、主体、目标、方法、规范(标准)和环境。基于上述观点,下面阐释一下内部控制评价概念框架内容及其逻辑关系25-27-28。 1.企业内部控制评价本质企业内部控制评价是什么 在过去的理论研究和实际操作中,为了一定的实践目的而进行的内部控制评价最为典型,也最为常见。如早期的基于审计目的的内部控制评价、基于企业战略的控制自我评价(Control S
16、elf-Assessment,简称CSA) 。这种基于实践目的的内部控制评价具有很强的针对性,其本质是作为审计人员和企业的一种审计方法和管理手段而存在,是现代企业内部控制评价的一个测度环节,为具体的实践目标服务。 将企业内部控制评价作为实践中的一个环节来认识,确实可以有效地指导实践。但这种认识往往存在较大的局限性,这就给构建一般的企业内部控制评价概念框架带来了巨大困难,甚至会出现较大的分歧和争议。原因是针对企业内部控制评价本质的认识不同,就会出现完全不同的内部控制概念框架和实践体系。因此,要构建一个一般的内部控制评价概念框架就必须撇开具体的评价实践活动,上升到企业经济本质的高度。按照现代企业理
17、论,企业的经济性质是一个企业与其利益相关者制定的关系契约集合,只要企业同其利益相关者能够建立一个较为合理的契约,并能够有效地加以履行,企业的经营目标就必然能够实现,即企业的经营目标保证了企业与其利益相关者制定的关系契约得以有效的制定和执行。但是由于人的有限理性、信息不对称以及投机倾向的客观存在,使得企业同利益相关者之间最优契约的建立和履行常常存在较大的交易成本。为降低企业同其利益相关者之间的信息不对称,减少企业利益相关者的有限理性和投机倾向给企业经营带来的危害,进而保证各利益相关者能够制定和履行最优契约,保证企业的可持续发展,就必须通过有效的内部控制信息披露。 因此,从经济学的角度看,企业内部
18、控制评价的目的是满足企业利益相关者在制定和履行契约时对企业经营、资产安全和法规遵守等方面的信息需求,企业内部控制评价的本质是一种信息披露形式,它不直接作用于企业的经营活动,仅仅是企业各个利益相关者的决策支持系统。 2.企业内部控制评价环境在何种制度安排下实施评价 对任何事物进行评价总要基于一定的制度环境。企业内部控制评价环境是指实施内部控制评价所基于的制度安排。由于各国企业制度背景、法律环境、公司治理状况和资本市场发展水平存在着较大差异,所以企业内部控制评价环境存在着显著的不一致。美国基于其企业制度主要形式是公司制、股权较分散、公司法只存在于州的层面、公司治理及资本市场较为完善等特点,建立了“
19、管理层财务报告内部控制有效性评价+注册会计师对管理层财务报告内部控制有效性发表意见+注册会计师对财务报告内部控制进行审计”这样一种制度安排,其目的是通过财务报告内部控制评价强制要求确保财务报告的可靠性,维护市场秩序和市场的有效性。与美国的企业内部控制评价制度安排不同,英国根据其实行自由企业制度、机构投资者持股比重较大以及独特的内部控制法律框架等因素,建立了“董事会内部控制有效性评价+注册会计师对董事会内部控制声明进行审查” 这样一种制度安排,企业内部控制评价范围不仅包括财务报告内部控制,而且涵盖了所有类型的控制,尤其是强调了企业内部控制与企业风险的关系,主要目的是满足企业经营管理需要。 中国存
20、在的特殊制度环境如股权结构较特殊、投资者法律保护不健全、资本市场发展不完善、公司治理机制有缺陷等一方面使得中国不可能完全照搬美国或英国的内部控制评价制度安排,另一方面也决定了中国企业内部控制评价的视角也必须是规制或监管。按照财政部等五部委发布的基本规范及其配套指引的相关规定,结合我国提出的企业内部控制制度体系建立目标,即“通过三至五年的努力,基本建立以监管部门为主导、各单位具体实施为基础、会计师事务所等中介机构咨询服务为支撑、政府监管和社会评价相结合的内部控制实施体系” ,我们认为,张先治和戴文涛提出的“董事会内部控制评价+注册会计师财务报告内部控制审计+政府监管部门(或非盈利性机构)内部控制
21、综合评价”模式是较适合我国制度环境的内部控制评价制度安排23。 3.企业内部控制评价主体企业内部控制评价由谁来实施 从现实情况看,企业内部控制评价主体有谁来担当,这似乎是一个已经解决的问题,因为不论是美国的内部控制法律法规,还是我国五部委发布的配套指引 ,都规定公司管理层或董事会对企业财务报告内部控制的有效性进行自我评价、注册会计师对财务报告内部控制的有效性进行审计。按照内部控制法律法规的相关规定(不论是美国的还是中国的) ,董事会(或管理层)和注册会计师确实是企业内部控制评价主体,但必须明确的是,董事会(或管理层)和注册会计师仅仅是企业内部控制内部评价主体。内部控制五要素及其范围主要是基于企业管理者的自我评估模型需要而归纳出(Thomas,1993) ,企业董事会按照内控五要素进行评价,注册会计师对企业内部控制的有效性发表审计意见,其评价目的主要是满足企业自身评估需要,从评价的过程和目的看,他们都是内部控制内部评价主体。 企业内部控制评价活动按照评价主体的不同可以分为两类:一类是内部评价主体进行的评价活动,另一类是外部评价主体进行的评价活动。在将内部控制评价本质确定为一种信息披露形式、并不直接作用于企业
