企业内部控制的有效性及其评价方法

48审计研究2008年3期企业内部控制的有效性及其评价方法∗陈汉文张宜霞【摘要】企业有效的内部控制是为相关目标提供合理保证的内部控制。鉴于这种特点，适当的内部控制评价方法必须满足一定的条件。从目前的情况来看，评价企业内部控制的方法总体上可以分为详细评价法和风险基础法两种，风险基础法相对来说具有更高的成本效益和效率。政府监管部门应当规范风险基础的评价方法，引导企业管理层和注册会计师应当实施风险基础的方法来评价和审计内部控制。【关键词】内部控制有效性详细评价法风险基础法*陈汉文，厦门大学会计系，邮编：361005，电子信箱：yixiazhang@163.com；张宜霞，厦门大学工商管理博士后流动站、浙江工商大学财务与会计学院。本文为国家自然科学基金课题（编号：70272055）、博士后基金项目（编号：20070420129）和辽宁省教育厅课题（编号：20060229，05W042）的阶段性成果。本文获得中国会计学会财务成本分会第17届年会优秀论文奖，感谢与会学者提出的宝贵意见。2002年美国《萨班斯－奥克斯利法案》（SOX法案）颁布以来，企业管理层对内部控制的评价以及注册会计师对内部控制的审计成为人们关注的一个焦点，一些国家和地区相继提出了类似的强制要求。强制要求本身的制定往往是相对容易的，但是，企业的管理层如何评价内部控制以及注册会计师如何审计内部控制却没有想象的那么容易，这不但涉及到内部控制评价理念的差别，还涉及到适当评价方法的选择。一、企业内部控制的有效性与有效的企业内部控制（一）企业内部控制的有效性尽管相关各方都在探讨内部控制的评价，追求有效的内部控制，但并没有就内部控制的有效性给出一个确切的定义。内部控制不是独立存在的，从本质上来说它服务于企业的目标，派生于企业的经营和管理，从而，内部控制的目标也是派生于企业的目标。所以，从本源的角度来看，内部控制的有效性是指内部控制为相关目标的实现提供的保证程度或水平，有效性不同的内部控制可以提供不同程度的保证，其变动范围应当是从0到100％，如图1所示。一般情况下，不同企业的内部控制系统运行在不同的有效性水平上，同样，某一特定内部控制系统在不同时点的运行可能也不同。尽管内部控制是内部控制有效性的变动范围01内部控制的保证水平图1内部控制有效性的变动范围一个过程，其有效性却是该过程在某一时点的状态或情形（COSO，1992）。这就产生了一个问题：是评价内部控制在某一时点的有效性，还是某一时期的有效性？对一项具体的控制活动来说，如果仅仅是在某一个时点对其有效性进行评价，那么，这个有效性是该指该项控制活动在这一时点的状态或情形。但是，从本质上来说企业内部控制是一个整体系统，而整体系统的有效性就必须具有一定的稳定性，只评价某一个时点的有效性并没有太大的价值和意义。另一方面，内部控制是为相关目标乃至企业目标的实现提供合理保证，而相关目标的实现都存在一个过程，都与一定的期间（如财务年度）相对应。所以，上市公司内部控制的年度评价应当是评价上市公司内部控制截至财务报告日或昀近财务年度的有效性，是对内部控制在某个期间有效性的评价。（二）有效的企业内部控制评价内部控制的有效性，首先要解决的一个问题就是什么是有效的内部控制。解决这一问题的方法主要是制定一个企业内部控制框架，很多国家和49审计研究2008年3期机构都对这个问题进行了研究，包括美国注册会计师协会、美国的反欺诈财务报告委员会发起组织委员会（COSO）、英国财务报告理事会等，都制定了内部控制的框架或标准来阐述有效内部控制应当具备的要素和内容。通过这个企业内部控制框架界定内部控制的含义，确定内部控制的目标，描述有效的内部控制通常情况应该具备的要素。比如，COSO的《内部控制－整合框架》构建了包括三类目标、五个构成要素的内部控制框架，《企业风险管理－整合框架》构建了包括四类目标、八个构成要素的企业风险管理框架等，这些框架也就是所谓的内部控制评价标准。COSO把内部控制定义为，“由主体的董事会、管理层和其他人员实施的，用来为经营效果和效率、财务报告的可靠性、遵守适用的法律法规三类目标的实现提供合理保证的一个过程”。以这一定义来看，有效的内部控制被界定为能够为内部控制目标的实现提供合理保证的内部控制。之所以是合理保证而不是绝对保证，是因为人类在决策过程中的判断可能有纰漏、建立内部控制需要考虑相关的成本和效益、个人缺失可能会导致故障的发生、控制可能会因为两个或多个人员的串通而被规避以及管理层越过内部控制等固有局限。因此，我们可以对有效的内部控制得出以下两点结论：1．有效的内部控制不是一个点，而是一个区间众所周知，绝对保证是指100％的保证，有效的内部控制提供的既然是合理保证，就不是绝对的100％的保证。美国《证券交易法》条款13（b）（7）把“合理保证”和“适当详细”定义为“这样一种详细水平和保证程度，它使谨慎的高级职员在处理它们自己的事务时感到满意”。尽管我们很难准确地确定合理保证具体是什么水平的保证，但是，可以确定的是在合理保证和绝对保证之间必然存在一个区间。所以，COSO对有效内部控制的这种界定只可能是界定了有效内部控制的一个下限，而不是上限。从逻辑和理论上来看，有效的内部控制是指能够为内部控制目标的实现提供合理或者更高水平保证的内部控制，或者讲，有效的内部控制不是一个点，而是存在一个判定区间。这个区间的上限为1，即100％的绝对保证，下限是一个不确定的数值，它取决于人们的判断，设定为P0，这个区间就是[P0，1]。如图2所示。只要内部控制保证相关目标实现的水平落入这个区间，那么，该内部控制就是有效的内部控制。反之，则是无效的。00.5P01有效内部控制的区间内部控制的保证水平图2有效内部控制的区间2．有效的内部控制对于不同的相关目标来说含义不同由于内部控制不同目标实现的影响因素不同，所以，对于内部控制的不同目标而言，有效内部控制的含义是不同的，合理保证的内容是不一样的。对于财务报告的可靠性、遵循相关的法律法规这两个目标来说，企业内部控制可以合理保证它们的实现，因为这两类目标的实现处于企业的控制范围之内，并且取决于企业相关控制活动完成的好坏。而对于经营目标和战略目标来说，却不是这样。企业内部控制不能防止糟糕的判断或决策，也不能防止那些能够导致经营业务没有达到经营目标的外部事项。也就是说，企业经营目标和战略目标的实现除了受到自身因素的影响外，还要受到外部因素的影响，并不总是处在企业的控制范围之内。因此，企业内部控制尽管能够增大管理层做出更好决策的可能性，但不能合理保证这些目标的实现，只能合理的保证管理层以及起监督作用的董事会了解企业向着实现目标的方向前进的程度。所以，有效的内部控制，对于财务报告目标和合规目标来说指的是能够合理保证财务报告可靠性、遵循相关的法律法规，而对于经营目标和战略目标来说，指的则是能够合理保证管理层和董事会及时了解目标正在实现的程度。因此，评价企业内部控制的有效性实际上是在判断企业内部控制能够为相关目标的实现提供的保证水平是否处于有效内部控制的区间。如果企业内部控制为相关目标的实现提供的保证水平达到甚至超过了合理保证的水平，也就是在有效内部控制的区间内，那么它就是有效的；如果提供的保证水平低于合理保证的水平，那么，它就是无效的，如图3所示。（三）有效的企业内部控制与相关目标的实现由于内部控制有效性的评价是基于潜在事项的判断，而不是实际发生的事项，有效的内部控制为相关目标的实现提供的只是合理保证，而不是绝对保证，所以，相关目标实际实现了的内部控制不50审计研究2008年3期内部控制保证水平的变动范围合理水平内部控制的实际保证水平00.51有效内部控制的区间无效的内部控制有效的内部控制有效的内部控制图3有效的内部控制与无效的内部控制一定是有效的内部控制，相关目标没有实际实现的内部控制也不一定是无效的内部控制。以财务报告内部控制的评价为例，评价财务报告内部控制的有效性是基于公司的内部控制能否防止或及时发现一个潜在的重要错报，而不是根据一个重要错报是否实际已经发生，从而评价财务报告内部控制能否合理保证财务报告的可靠性。所以，财务报表实际没有发生重要错报时，内部控制不一定是有效的内部控制，而财务报表实际发生了重要错报时，内部控制也不一定是无效的内部控制。假定合理保证的水平为P0，财务报表发生重要错报的固有风险为MR，内部控制没有防止或及时发现重要错报的风险为CR，则财务报表昀终发生错报的风险FR＝MR×CR。按照内部控制评价的一般逻辑，如果FR（1－P0），则财务报告内部控制是有效的，如果FR（1－P0），则财务报告内部控制是无效的。1．在不考虑内部控制的情况下，财务报表发生重要错报的风险MR1，即（1－MR）0，也就是说，即使没有内部控制，财务报表没有发生重要错报的可能性并不是0，而是大于0，也就是说，在财务报表实际没有发生重要错报的情况下，也有可能FR（1－P0）。所以，即使财务报表实际没有发生重要错报，在评价财务报告内部控制时，也可能评价为无效。2．财务报表昀终发生重要错报的风险FR＝MR×CR，尽管FR可能很小，但大于0，也就是说，即使财务报表实际发生了重要错报，也有可能FR（1－P0）。所以，即使财务报表实际发生了重要错报，在评价内部控制时，也可能评价为有效。二、企业内部控制评价方法的约束条件尽管不存在适合所有公司的内部控制评价方法，但是，无论是对内部控制评价方法进行规制，还是企业自由选择自己的评价方法，都要考虑评价思路和方法的适当性。一个适当的内部控制评价思路和方法至少要满足以下几个方面的条件。（一）评价结论的可靠性根据该思路和方法对内部控制的有效性进行评价形成的结论要具有一定程度的可靠性，也就是对内部控制有效性的判断出现错误的风险要足够低，至少要降到适当的水平，这是一种适当的评价方法首先必须具备的条件。评价结论的可靠性不够高，不能达到一个合理水平的评价方法所形成的评价结论是难以被认可的。（二）评价的成本效益性不但内部控制本身存在成本效益的问题，内部控制评价也存在成本效益的问题。适当的企业内部控制评价方法必须考虑评价引起的成本和效益问题，要符合成本效益原则，具有一定的效益性。（三）广泛的适用性和灵活性不同企业的内部控制不同，评价内部控制有效性的具体方法也有所不同，这取决于公司的特定情况和控制的重要性。一种评价方法应当具有广泛的适用性和灵活性，才能得到不同规模、不同行业、不同类型企业的应用和参考。尤其是如果制定统一的内部控制评价指南或规范，更要考虑评价方法对不同规模、不同行业和不同类型企业的适用性，要允许企业根据自己内部控制的特定情况灵活调整具体的评价方法、评价程序和评价内容，设计一个满足企业需要并为评估结果提供合理保证的评价过程。（四）评价的全面性内部控制的评价程序必须是全面的，足以既能评价内部控制设计的合理性，又能测试运行的有效51审计研究2008年3期性。所以，评价范围和内容要全面，评价结论要根据设计有效性和运行有效性的评价来形成的。（五）合理的支持证据适当的证据文件是内部控制有效运行本身所必需的，一种适当的评价思路和方法必须为内部控制有效性的评价结果（包括测试）提供合理的证据文件支持。提供合理的支持证据一方面是为了确保评价结论的可信性，另一方面是为其他人评价或审计内部控制保留必要的痕迹。这些条件既是一个适当的评价方法必须具备的，也是判断一个评价方法是否适当的标准和依据。三、企业内部控制有效性的评价方法评价企业内部控制的有效性实质是评价内部控制为相关目标的实现提供的保证水平是否达到或超过合理保证的水平。从另一个角度来看，就是评价相关目标的风险在经过内部控制之后是否已经降低到了一个适当的水平，如果已经降到了一个适当的水平，则内部控制是有效的，反之，则无效。尽管企业内部控制框架提供了一个有效内部控制系统的一般模板，也是评价内部控制有效性的标准，但是，根据内部控制框架或标准对内部控制的有效性进行评价却可以选择不同的起点或切入点，使用不同的评价思路和方法。从内部控制评价本身以及目前的发展情况来看，主要存