中国企业内部控制评价系统研究

中国企业内部控制评价系统研究张先治戴文涛一、研究背景和研究价值内部控制理论发展到风险管理整合框架被公认为是内部控制理论研究的最高成就。然而，美国的雷曼、美林等一些自称或被外部审计鉴证为拥有“健全内部控制”的大公司在金融危机中纷纷破产或被收购，这对内部控制理论形成了巨大的挑战：既然内部控制的功能之一是规避风险，为何执行由全美反舞弊财务报告委员会（简称COSO）2004年9月发布《企业风险管理——整合框架》的一些知名公司却逃不了破产或被收购的厄运？经过深入研究，得出两点结论：一是内部控制评价标准模型缺乏可操作性，不能有效指导企业内部控制实践；二是公司治理存在缺陷，内部控制形同虚设。在这样的背景下，公司内部控制运行质量开始引起世人的密切关注，引发理论界和实务界展开新一轮的内部控制评价研究。借鉴美国COSO报告的五要素框架形式，同时在内容上体现《企业风险管理整合框架》的八要素内容，我国财政部等五部门联合发布了《企业内部控制基本规范》（以下简称《基本规范》）。虽然《基本规范》的颁布结束了我国没有内部控制框架的局面，但与会计准则相比，《基本规范》更多的是理念、要素、框架，实施难度大，评价难度也大（朱荣恩，2008）。因此，能否建立起科学的内部控制评价体系，是落实《基本规范》的关键措施之一。就管理学而言，企业内部控制评价问题既是一项方法论研究，也是一项基础理论研究。从方法论的角度来说，企业内部控制评价涉及到多指标的综合评价和复杂系统的识别，诸多管理学中的前沿数量方法和系统工程学科的先进技术被大量应用。但是定量研究的基础必须由一个健全而有说服力的评价系统作为支撑。随着对企业内部控制评价研究的不断深入，学者们逐渐认识到，企业的内部控制评价是一个复杂的系统，仅从评价系统的某些具体要素角度（如评价指标、评价技术等）来研究企业内部控制评价难免会比较孤立、片面，也很难保证评价的公允性和权威性。从系统论的角度分析企业内部控制评价，按企业内部控制评价系统的要素构成探讨内部控制评价是内部控制评价研究的恰当选择。2010年4月26日，我国财政部、审计署等部门联合发布了《企业内部控制配套指引》（简称《配套指引》）。其中《企业内部控制评价指引》和《企业内部控制审计指引》对内部控制有效性的内部评价主体、评价依据、评价范围及注册会计师内部控制审计范围、相关责任等进行了明确的规定。这为建立适合我国制度环境的内部控制评价系统，实现我国企业内部控制体系中“构建企业、注册会计师和有关监管部门三位一体的、有效的内外部监督评价体系”目标奠定了基础。根据中国目前的制度环境，建立起企业内部控制评价系统，可以掌握我国企业内部控制总体运行质量，了解和分析我国企业内部控制中存在的问题，并针对这些问题采取切实有效的措施，提高公司运营质量和经营业绩，保护投资者利益，减少或杜绝企业因破产倒闭、违法违规等事件给整个社会带来的不良后果。同时，企业内部控制质量的及时公开，也可以对企业形成强有力的声誉制约，促进证券市场质量的提高，有利于外国投资者来华投资，繁荣我国的资本市场。二、研究述评如何科学地评价企业内部控制状况，是国外研究者和研究机构一直关注的领域。相关的研究成果不仅数量较多，而且采用的研究方法多样。其中建立数学模型和内部控制框架是国外研究者和研究机构较为推崇的内部控制评价方法。早期的内部控制评价研究表明，执业经验和个人判断对内部控制评价有重要影响（Robert，1974；Hamilton和Wright，1982；Robert和Brown，1980；Robert和Kramer，1980）。为避免内部控制评价的主观性，许多研究者提出了各种不同的内部控制评价模型。Yu和Neter（1973）建立了一个随机模型，以便于审计师从数量上客观评价内部控制系统的可靠性。Donald（1983）从一个执行审计任务的办事处获得工作文件，用判别分析构建描述性的内部控制基本评价。Srivastav（1985）的理论模型对内部控制是否有效提出以下三个标准：控制程序（活动）被执行的概率、对输入的正确信息进行正确决策的概率、对输入的错误信息进行正确决策的概率。此外，John和James（1983）还提出了汇总内部控制判断的模糊集模型；Raymanetal.（1986）提出了审查内部控制进程的计算模型；Mohammad（1993）提出了描述结构和评价内部控制的模型。我国的王立勇（2004））运用可靠性理论和数理统计方法构建内部控制系统评价的分析数学模型，并利用该模型判断内部控制的效果。上述研究者提出的多种内部控制评价模型，其目的主要是保证内部控制评价的客观性。但这些模型或者是因为需要过多地依靠评价者的主观判断，或者是因为纯数学上的理论模型，在实际中无法找到可行的替代变量，或者是因为模型的假设难以被接受、模型的使用成本较高等原因，在内部控制评价实践中并没有被广泛采用。最近若干年，一个新兴的研究热点就是建立内部控制框架评价企业内部控制状况。其中，尤以COSO委员会的内部控制框架最为著名。COSO报告发布之前，内部控制存在着多种解释。从审计视角看，内部控制是保证财务报告可靠性的有效手段和方法；从管理者视角看，内部控制是保证企业效率、效果目标实现的管理控制；从股东和其他利益相关者的角度看，内部控制是为解决代理人的道德风险与逆向选择问题而建立的一套制衡制度，即公司治理。为整合现实中存在着的各种各样内部控制概念和解释，也为公司评价其内部控制系统的有效性提供一个参照标准，美国的COSO委员会1992年发布了具有里程碑式的《内部控制——整体框架》，并于1994年进行了修改和完善，这就是著名的“COSO报告”。该报告提出了内部控制的三个目标和五个要素。三个目标分别是合理保证经营活动的效率和效果、合理保证财务报告的可靠性、适度保证对现有法律法规的遵循。五个要素分别是控制环境、风险评估、控制活动、信息与沟通及监督。按照该框架，当董事会和管理层为以下几个方面提供合理保证时，就可以判定企业内部控制是有效的：他们了解企业经营目标的实现程度；公布的财务报告的编制是可信赖的；使用的法律法规得到了遵循。COSO的内部控制框架自发布以来逐渐获得了监管者、管理者的广泛认可，但学者们却普遍认为内部控制整体框架存在着一些缺陷。朱荣恩教授（2008）认为，内部控制框架仅仅提供了一些原则，并没有为管理层提供诸如如何建立控制文档、如何进行内部控制测试等方面的指南，也没有为管理层提供如何识别出控制缺陷方面的指南。Thomas（1993）认为，COSO报告的评估标准主要是基于提供给企业管理者的自我评估模型需要而归纳出内部控制的五要素及其范围，在内部控制“有效性”的评价方面并没有提出任何具体标准，对实务的指导相当有限。《萨班斯—奥克斯法案》（简称SOX法案）实施后两年，美国管理会计师协会（IMA）曾就1992年COSO报告是否足以成为实施SOX法案404条款的评价标准展开过调查，调查结果显示仅有10%以下的管理层认为COSO报告能提供上述具体指南（IMA，2006）。在不追究法律责任（SOX法案颁布前美国对待内部控制有重大缺陷的公司做法）或法律责任追究不严的制度环境下，大多数公司都对评价结论泛泛而谈，评价结论流于形式（Ragahunandan和Rama，1994；Dorothy和Ragahunandan，1996）我国学者也对企业内部控制评价进行了研究。林朝华和唐予华（2003）介绍了国际流行的内部控制评审的最新理念：内部控制自我评估（CSA）。张谏忠和吴轶伦（2005）介绍了内部控制自我评估构成，以及在宝钢运用的成功经验。别晓竹和赵凤学（2005）分析SOX法案的颁布背景及内部控制条款，结合我国上市公司内部控制现状，提出上市公司内部控制体系构建的维度。王煜宇和温涛（2005）从内部控制环境、风险评估、内部会计控制、内部管理控制、监督控制五个方面构建了由35个具体指标组成的企业内部控制评价指标体系。王素莲（2005）以COSO提出的《内部控制——整体框架》中的要素为对象，结合SOX法案404条款的内容以及国内外内部控制评价理论与实践，尝试构建一套中国企业内部控制评价指标体系。蔡军和韩庆兰（2006）按照SOX法案404条款的要求，阐述了在COSO内部控制框架指导下，建立内部控制体系的五个步骤，以及如何对内部控制执行进行测试。陈汉文和张宜霞（2008）研究了内部控制的有效性以及有效内部控制的内涵，并基于管理层和注册会计师评价和审计内部控制视角探讨了企业内部控制有效性的评价方法。从国内学者对企业内部控制评价的研究成果看，明显存在两点不足：一是仅仅研究了内部控制评价系统的某一具体要素；二是内部控制评价指标体系设计不科学、缺乏可操作性。学者们对内部控制评价研究时，我国的《基本规范》和《配套指引》尚未发布，企业内部控制评价多数是根据COSO内部控制整体框架进行设计，没有体现中国企业的制度环境特征；评价指标体系中的评价指标多数是会计指标，缺乏反映企业内部控制评价本质特征和目标要求的定性和定量指标；而且有的评价指标体系仅仅是理论上的探讨，无法利用公开的数据信息对企业内部控制状况进行测评。基于此，本研究在借鉴国外内部控制评价系统建立的基础上，结合中国企业的制度环境，根据内部控制理论、财政部等部门发布的《基本规范》和《配套指引》构建中国企业内部控制评价系统。三、中国企业内部控制评价系统构建中国企业内部控制评价系统是指由中国企业内部控制评价范畴的有关要素组成的一个相互联系、相互制约、内涵与外延相统一的有机整体。主要包括内部控制评价内涵、评价目的、评价模式、评价主体、评价客体、评价模型等。针对上述内容，下面分别进行研究。（一）企业内部控制评价的内涵与目的按照《基本规范》，企业实施内部控制的目的是“合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略”。所以，企业内部控制的有效性源自企业内部控制目标的实现程度，内部控制的有效性应当是内部控制为内部控制有关目标提供合理保证的程度和水平；有效的内部控制是为企业内部控制目标的实现提供合理保证的内部控制（陈汉文和张宜霞，2008）；企业内部控制评价是对企业内部控制的有效性进行的评价，也就是指企业内部控制评价主体根据一定的内部控制评价标准对企业在一定时期内（通常是一个财务年度）的内部控制合理保证内部控制目标的实现程度或水平而进行的评价活动。如果企业的内部控制评价结果达到或超出了一定的内部控制评价标准（即合理的保证水平），企业的内部控制就是有效的内部控制；如果评价结果低于一定的内部控制评价标准，企业的内部控制就是无效的内部控制。在我国，对企业内部控制状况进行评价，主要目的有三个：（1）科学、合理地评价企业内部控制质量，为政府以及资本市场监管部门了解企业内部控制状况，制定相关的法律法规提供客观依据。（2）对上市公司形成强有力的声誉制约，激励企业努力提高内部控制质量，完善企业内部控制，保护投资者和其他利益相关者的权益。（3）使企业了解内部控制状况，找出内部控制存在的薄弱环节，提高经营质量；同时，为投资者提供投资依据，繁荣我国的资本市场。（二）企业内部控制评价模式建立内部控制评价模式已经成为一项国际惯例。内部控制评价模式是内部控制的评价与报告模式，其实质是内部控制评价与报告的制度安排。仔细研究一下萨班斯法案的内容便可发现：美国成立独立的公众公司会计监察委员会（简称PCAOB），要求管理层对企业财务报告内部控制的有效性进行评价、注册会计师对财务报告内部控制的有效性进行审计，其实质是基于“规制或监管”的视角而建立的一种内部控制评价与报告的制度安排，目的是通过财务报告内部控制评价强制要求确保财务报告的可靠性，维护市场秩序和市场的有效性。美国做出这样的制度安排，与其制度环境密切相关。美国企业制度的典型特征是公司制，股权的高度分散使得公司股东不能有效地监控经理层的行为，从而容易产生“弱股东，强管理层”的代理问题。这种代理问题的解决主要是依赖直接融资与公司控制权市场及破产法律等外部机制。依靠市场的力量和法律的作