内部控制审计与组织效率
来源: 《会计研究》·方红星
2003-10-23
普通
「摘要」本文从考察内部控制的产生和演进轨迹入手,探寻内部控制与审计之间的逻辑联系,分析内部控制与审计的互动与耦合,并引入组织效率概念和简化的组织效率函数,以便在企业组织的框架内定格出内部控制和审计的性质和功能,在此基础上为相关问题的分析和解释提供一条更为科学、合理、开阔的思路。
「关键词」企业组织 内部控制 审计 组织效率
关于内部控制与审计的历史渊源和逻辑联系的研究,对于梳理二者自身的发展脉络,从而准确地把握内部控制和审计的性质和功能至关重要,也是科学地分析一些现实问题的关键。既有的研究成果大致可以分为两类:一类认为内部控制和审计是各自独立发展的两个范畴,只不过是审计摆脱详细审计(账项基础审计)模式之后,内部控制才被纳入审计之中,作为审计的对象和审计技术的基础,这是比较主流的观点;另一类认为审计本身就是一种经济控制(蔡春,2001),由此以来,内部控制与审计是此控制与彼控制的关系,只不过是运用不同的控制手段作用于不同的控制对象,从而实现不同的控制功能,自然二者会出现交叉乃至互补。应该说,这两类观点出于不同的角度,都有一定的合理性。然而,笔者认为如果没有一个明确的参照体系和核心线索,很难揭示二者本质上的逻辑联系,也很难解释二者互动和交叉发展的深层原因。这也是为什么不同的说法似乎都不能自圆其说的缘由所在。
本文旨在从考察内部控制的产生和演进轨迹人手,探寻内部控制与审计之间的逻辑联系,分析内部控制与审计的互动与耦合,并引人组织效率的概念和简化的组织效率函数,以便在企业组织的框架内定格出内部控制和审计的性质和功能,在此基础上为相关问题的分析和解释提供一条更为科学、合理、开阔的思路。本文的突出特点在于将内部控制和审计置于企业组织这一参照体系中进行研究,并且引人组织效率这一核心概念将二者联结起来。显然,本文的论述并非不能推广到非企业组织,之所以仅限于企业组织,只不过是出于研究的侧重点和方便性的考虑。
一、内部控制的产生和演进轨迹
内部控制必须与一定的组织联系起来理解,即它来自组织内部,针对组织内部,是为促使组织实现其所赋有的全部或者部分使命(目标)而开展的一系列专门的活动。这里有两个要点:第一,组织是相关利益(或非利益,下同)主体的结合体,或者说它是一干相关利益主体及其相互关系的联结,内部控制存在于(来自或者针对)这些相关利益主体之间,其目的在于从特定的角度协调某些关系;第二,内部控制是一系列活动,这些活动可能是有意(自觉)的,也可能是无意(自发)的,它并不依赖于外在的称谓或者被归结出来的概念。理解这两点,有助于我们把组织内部的控制(control in organizations)和对组织的控制(control of organizations)区分开来(桑德,2000),把概念化、程式化的内部控制和实质上的内部控制活动本身区分开来。从而避免陷入混淆和曲解。
由此,我们不难看出,内部控制是伴随着组织的形成而产生的。宽泛而言,自从组织产生之后,伴随着组织追求其目标的努力,就催生了内部控制。企业组织的内部控制是伴随着企业组织的形成而产生的。早期的分工、牵制、授权、汇报、稽查等都是内部控制活动。因而,可以肯定地说,内部控制最初是在组织中内生的,而不是外力(外部管制、规范的要求;审计)催生的。
内部控制经历了一个不断发展、完善的历史进程。推动其发展的因素主要来自组织的演进和环境(政治、经济、社会、技术)的变化。内部控制的演进主要表现为控制目标、控制对象和控制手段的变化。按照通行的概括,内部控制的演进遵循着“内部牵制(internal check)——内部控制制度(internal control system)——内部控制结构(internal control structure)——内部控制整合框架(internal control integrated framework)”的轨迹。应该说,这一概括大致上勾勒出了内部控制的发展进程。
但是,必须再次强调的是,内部控制的演进决不仅仅是概念的翻新。我们完全可以从“自发性(无意识的)内部控制——自觉性(有主观目的性的)内部控制——他律性(管制、规范要求的)内部控制”(内部控制的属性演变)、“零散的内部控制——专项的内部控制——系统的内部控制——综合的内部控制”(内部控制对象的拓展)、“原始的内部控制——现代手段辅助的内部控制”(内部控制手段的进步)等很多线索去探求内部控制的演进轨迹。而且沿着这些追溯线索也能够找到内部控制与审计渊源关系的一些契合点。本文限于篇幅,只根据通行的线索进行论述。
1.内部牵制阶段。从原始的组织诞生开始,直至20世纪40年代,内部控制的发展基本上停留在内部牵制阶段。这一阶段内部控制的着眼点在于职责的分工和业务流程及其记录上的交叉检查或交叉控制。内部牵制主要通过人员配备和职责划分、业务流程、簿记系统等来完成。其目标主要是防止组织内部的错误和舞弊,通过保护组织财产的安全来保障组织运转的有效性。
2.内部控制制度阶段。20世纪40年代至70年代,内部控制的发展进入内部控制制度阶段。这一阶段内部控制开始有了内部会计控制和内部管理控制的划分,主要通过形成和推行一整套内部控制制度(方法和程序)来实施控制。内部控制的目标除了保护组织财产的安全之外,还包括增进会计信息的可靠性、提高经营效率和遵循既定的管理方针。
3.内部控制结构阶段。20世纪80年代至90年代初,内部控制的发展进入内部控制结构阶段。这一阶段开始把控制环境作为一项重要内容与会计制度、控制程序一起纳入内部控制结构之中,并且不再区分会计控制和管理控制。控制环境反映组织的各个利益关系主体(管理当局、所有者和其他利益关系主体)对内部控制的态度、看法和行为;会计制度规定各项经济业务的确认、分析、归类、记录和报告方法,旨在明确各项资产、负债的经营管理责任;控制程序是管理当局所确定的方针和程序,以保证达到一定的目标。
4.内部控制整合框架阶段。1992年9月,美国反虚假财务报告委员会(通常以其首任主席的名字命名为Treadway委员会)的主办组织委员会(C0SO)发布了一份报告《内部控制:整合框架》,提出了内部控制的三项目标和五大要素,标志着内部控制进入一个新的发展阶段。内部控制的目标包括合理地确保(reasonablyassure):经营的效率和有效性;财务报告的可靠性;对适用法规的遵循。内部控制要素包括:(1)控制环境,包括员工的正直、道德价值观和能力,管理当局的理念和经营风格,管理当局确立权威性和责任、组织和开发员工的方法等;(2)风险评估,即为了达成组织目标而对相关的风险所进行的辨别与分析;(3)控制活动,是为了确保实现管理当局的目标而采取的政策和程序,包括审批、授权、验证、确认、经营业绩的复核、资产的安全性等;(4)信息与沟通,是为了保证员工履行职责而必须识别、获取的信息及其沟通,信息系统中包括会计信息系统;(5)监控,即对内部控制实施质量的评价,主要包括经营过程中的持续监控(日常管理和监督,员工履行职责的行动等)、个别评价或者两者的结合(C0SO,1992)。
二、审计模式的变革及其与内部控制的历史渊源和逻辑联系
尽管关于审计的属性有信息论、代理论、保险论等不同的诠释,但不可否认的是,审计是一项独立的验证活动。相对于被审计的组织(或者,针对内部审计而言,为组织中的某一个局部)而言,审计是一种外来的验证。如果审计可以理解为经济控制的话,它应该是对组织(或局部)的控制。审计的起源可以追溯到很早,但为了简便起见,本文的讨论仅限于现代意义上的审计,即19世纪中叶以后的审计。
审计模式是对审计技术和方法的内在结构尤其是主导因素进行概括和总结的产物。审计模式也处在动态的变革之中。从全面(详细)审计发展到非全面(抽样)审计是审计模式变革的总体脉络;根据审计样本选取原则的进步,非全面审计也在不断演进。总的看来,审计模式的变革大致上已经、正在或者将要经历的轨迹为:账项基础审计(transactions based auditing)——制度基础审计(system based auditing)——风险导向审计(risk based auditing)——业务基础整合审计(business based integrated auditing)。
账项基础审计实质上是直接针对会计账目和数据所进行的详细审计,它于19世纪中叶起源于英国。制度基础审计是通过对内部控制制度的评价来确定实质性测试的范围和程度的审计模式,它大致形成于20世纪40年代。风险导向审计立足于对审计风险进行系统的分析和评价,并据此对审计进行规划,它发轫于20世纪80年代。业务基础整合审计尚在萌芽之中,其核心是根据以经营业务为基础的风险/控制评价来分配审计资源,也有人认为它是对风险导向审计的发展或改进(胡春元,2001)。
应该说,审计模式的每一次变革,都是一次不小的进步。从账项基础审计到制度基础审计完成了审计发展史上的一次飞跃,即由全面审计讲变为非全面审计,大大节省了审计成本。但是,制度基础审计和账项基础审计一样,都属于程序驱动审计(proceduresdrivenauditing),即规划审计时主要考虑的是遵循制度和形成账项的程序及其结果,是一种后验式的方法论导向。风险导向审计考虑了审计环境,以分析和评价审计风险为核心来规划审计,可以促使审计资源在不同风险水平的审计领域之上的合理配置。然而,制度基础审计和风险导向审计都是审计理论导向(auditingtheoryoriented)的,由于审计理论都是以一系列假设为前提的,很难与现实完全吻合,因而需要以经营业务为导向,针对主要经营业务进行风险/控制评价,据此分配审计资源。从这个意义上说,从风险导向审计向业务基础整合审计的转变指导思想上是一个不小的转变。
推动审计模式变革的因素很多,其中最为主要的是审计目标定位的变化,而后者直接受到了所谓“期望沟距”(expectationgap,即社会公众对审计的期望与审计所实际达到的效果或者执行审计的人员自己的期望之间的差距)、物质技术(例如抽样技术、信息技术等)、法律责任(尤其是诉讼和判例)和审计技术自身发展等多重因素的影响。随着社会经济的发展,社会公众对审计的期望越来越高,一系列法律责任事件加大了其紧迫性,物质技术的发展也为更高的要求提供了可能性,审计职业界自身也积极参与和推动审计技术的发展和规范,这样,审计目标定位经历了查错揭弊、验证财务报告的真实性和公允性、验证财务报告与查错揭弊并重,最终转变为降低信息(财务和非财务信息)风险。显然,审计目标定位的变化几乎可以直接与审计模式的变革对应起来。
从表面上看,内部控制与审计的历史渊源始于20世纪初早期审计著作中对内部牵制理论的描述。1936年,美国审计职业组织美国会计师协会(AIA)首次提出内部控制的概念(阎金锷等,1998);直至40年代,以评价内部控制制度为核心,开发了制度基础审计。此后,内部控制与审计的发展交织在一起,在审计目标定位这个大前提下,不断地互动、耦合。1949年,美国注册会计师协会(AICPA)所属审计程序委员会发表了一份专题报告,首次阐述了内部控制的定义(刘明辉,2001)。该定义十分宽泛,招来了审计职业界的非议。于是,审计程序委员会1953年颁布了第19号《审计程序说明》,区分了会计控制和管理控制;并在此后的第33号《审计程序说明》中明确指出注册会计师应主要检查会计控制。这种审计目标定位的窄化招致了社会公众的不满,于是1988年,美国注册会计师协会审计准则委员会发布了第55号《审计准则公告》,首次以内部控制结构取代了内部控制,取消了对会计控制和管理控制的划分,并且第一次把审计的目光引到分析审计环境上来,孕育了风险导向审计。此后,1992年,C0SO提出了内部控制整合框架。1996年,审计准则委员会发布了第78号《审计准则公告》,以内部控制整合框架替代了内部控制结构。此后,开发业务基础整合审计模式开始被一些领先的审计职业机构提上日程。
由此可见,内部控制虽然是内生的,但其自20世纪40年代进入审计的视野之后,在审计目标定位的主导下,其发展十分迅猛,并且同审计模式的变革形成了密切的互动关系,乃至基本耦合,从而呈现出外力促动发展的趋势。
三、引入“组织效率”概念的分析与解读
显然,前面的分析是建立在对零散事件的追溯和因果关系的推理上的,主观色彩比较浓厚,而且得出的是表面化的结论。为了找到一条更为科学、合理的思路,提高理论的科学性和解释力,需要跳出内部控制和/或审计本身,从一个新的视角找出参照体系。为此,我们不妨引入“组织效率”的概念。
在本文中,组织效率是指组织目标的达成情况。由于企业组织是许多主体契约的联结,因而组织的目标实际上是一组目标所构成的目标体系,可以概括为“利益相关主体的利益最大化”,它是一个典型的多目标最优化模型。另外,组织的目标本身也是动态的,随着环境的变化和组织自身的演进,其目标也会不断演变。就目前主流的看法而言,企业组织的基本目标向量可以解释为组织价值(或经营成果)的最大化、财务报告与会计披露的真实性和公允性、财产和债务的安全性、持续经营和长期实现价值增值的能力等。对于一个组织而言,追求其目标、实现其使命的过程便是提高组织效率的过程。
从内部控制的三项目标看,显然它是提高组织效率的重要手段之一,是组织效率的重要内生变量。而且,它主要属于管理当局——实际对组织的财产及其经营行使控制权的的利益关系主体——的职权范围之内。我们不妨假设其他一切不变,将组织效率(OE)与内部控制(IC)的函数关系描述如下:
OE=f(IC)-g(IC)
其中,f(IC)表示内部控制效益(由于内部控制所导致的组织效率的提高),g(IC)表示内部控制成本(由于内部控制而耗费的组织资源的机会成本,以及内部控制对组织效率的牺牲)。显然,f(IC)和g(IC)都是随着内部控制的增加(深度、广度、精度等)而递增的。这样,自然就会得出一个最佳内部控制点的问题,即内部控制并不是多多益善,而有一个合理的度。这与经济学上大多数成本效益权衡(trade-off)模型并无二致。
审计也是为了提高组织效率服务的,但外部审计和内部审计稍有不同。外部审计实际上是由独立的一方对组织效率水平和状况做出评价和签证,以便起到促进(直接提高组织效率,或者指引出更有效的组织资源配置)作用,因而它是组织效率的一个外生变量。至于内部审计,我们既可以从组织中的科层的角度去理解,也可以干脆把它看作是内部控制的一部分。我们姑且仅考虑外部审计(EA),也对组织效率函数做出单因素的简化,可以得出:
OE=h(EA)-k(EA)
其中,h(EA)表示审计效益(由于审计所促进的组织效率的提高或者避免的组织效率损失),k(EA)表示审计成本(由于审计而耗费的组织资源的机会成本)。同样可以知道h(EA)和k(EA)都是EA的单调递增函数,因而整个组织效率函数也变成了一个此消彼长的模型。这样,审计也存在最佳边界的问题。
如果假设其他因素中立,引入内部控制和审计的双因素模型,可以得出新的组织效率函数:
OE=f(IC)-g(IC)+h(EA)-k(EA)
从理论上讲,尽管IC和EA一个是内生变量,一个是外生变量,但是它们之间也存在着一个带有规律性的函数关系:对内部控制投入的组织资源越多,内部控制就越健全,所能增进组织效率的空间越大,从而审计的风险越小,审计的资源投入就可以越小,相应地,审计所能增进组织效率的空间也越小。从数学上叙述,就是IC与EA呈负相关,从而导致f(IC)与h(EA)、g(IC)与k(EA)呈负相关,这就意味着构成OE的4个消长变量之间实际上存在着相互依赖、此消彼长的函数关系。而这正是内部控制与审计之间互动与耦合的逻辑关系的数学表述。
如果我们把审计也看作是一种控制的话,组织效率的双因素模型就可以用来说明控制(内部控制和作为外部控制的审计)与组织效率的关系,由此也可以探讨最佳控制水平的问题。
前面是简单的分析,即假设组织效率已经被抽象为一维数量。实际上,前已述及,组织效率本身就是一个动态的多目标模型,即多维数量。多目标之间的相互影响(尤其是所有者子目标和管理当局子目标之间的互动)可以用来解释内部控制、审计的产生和演变,乃至期望沟距和审计目标定位的变化。从理论上讲,我们应该可以运用多目标优化技术来解决复杂的组织效率函数问题,也可以从不同利益相关主体的角度解决单一组织效率向量的函数问题,可能后者会给我们更多、更具体、更有针对性的启示。
因此,我们可以得出这样的结论:内部控制和审计分别是影响组织效率的内在因素和外在因素之一,二者自身的产生、演进和彼此之间的互动、耦合,都是追求组织效率的必然结果。更简单地说,内部控制和审计的历史渊源和逻辑联系,完全可以运用组织效率函数做出科学的分析和解释。当然,这也并不是排斥或否定既有文献运用历史追溯和事件因果联系分析所得出的表面结论。实际上,我们不难发现,两者的拟合程度相当完美。只不过引入组织效率函数之后,相关的分析和解释有了一个合理的参照体系和科学的核心概念,更有利于引导相关的研究向纵深发展。
「关键词」企业组织 内部控制 审计 组织效率
关于内部控制与审计的历史渊源和逻辑联系的研究,对于梳理二者自身的发展脉络,从而准确地把握内部控制和审计的性质和功能至关重要,也是科学地分析一些现实问题的关键。既有的研究成果大致可以分为两类:一类认为内部控制和审计是各自独立发展的两个范畴,只不过是审计摆脱详细审计(账项基础审计)模式之后,内部控制才被纳入审计之中,作为审计的对象和审计技术的基础,这是比较主流的观点;另一类认为审计本身就是一种经济控制(蔡春,2001),由此以来,内部控制与审计是此控制与彼控制的关系,只不过是运用不同的控制手段作用于不同的控制对象,从而实现不同的控制功能,自然二者会出现交叉乃至互补。应该说,这两类观点出于不同的角度,都有一定的合理性。然而,笔者认为如果没有一个明确的参照体系和核心线索,很难揭示二者本质上的逻辑联系,也很难解释二者互动和交叉发展的深层原因。这也是为什么不同的说法似乎都不能自圆其说的缘由所在。
本文旨在从考察内部控制的产生和演进轨迹人手,探寻内部控制与审计之间的逻辑联系,分析内部控制与审计的互动与耦合,并引人组织效率的概念和简化的组织效率函数,以便在企业组织的框架内定格出内部控制和审计的性质和功能,在此基础上为相关问题的分析和解释提供一条更为科学、合理、开阔的思路。本文的突出特点在于将内部控制和审计置于企业组织这一参照体系中进行研究,并且引人组织效率这一核心概念将二者联结起来。显然,本文的论述并非不能推广到非企业组织,之所以仅限于企业组织,只不过是出于研究的侧重点和方便性的考虑。
一、内部控制的产生和演进轨迹
内部控制必须与一定的组织联系起来理解,即它来自组织内部,针对组织内部,是为促使组织实现其所赋有的全部或者部分使命(目标)而开展的一系列专门的活动。这里有两个要点:第一,组织是相关利益(或非利益,下同)主体的结合体,或者说它是一干相关利益主体及其相互关系的联结,内部控制存在于(来自或者针对)这些相关利益主体之间,其目的在于从特定的角度协调某些关系;第二,内部控制是一系列活动,这些活动可能是有意(自觉)的,也可能是无意(自发)的,它并不依赖于外在的称谓或者被归结出来的概念。理解这两点,有助于我们把组织内部的控制(control in organizations)和对组织的控制(control of organizations)区分开来(桑德,2000),把概念化、程式化的内部控制和实质上的内部控制活动本身区分开来。从而避免陷入混淆和曲解。
由此,我们不难看出,内部控制是伴随着组织的形成而产生的。宽泛而言,自从组织产生之后,伴随着组织追求其目标的努力,就催生了内部控制。企业组织的内部控制是伴随着企业组织的形成而产生的。早期的分工、牵制、授权、汇报、稽查等都是内部控制活动。因而,可以肯定地说,内部控制最初是在组织中内生的,而不是外力(外部管制、规范的要求;审计)催生的。
内部控制经历了一个不断发展、完善的历史进程。推动其发展的因素主要来自组织的演进和环境(政治、经济、社会、技术)的变化。内部控制的演进主要表现为控制目标、控制对象和控制手段的变化。按照通行的概括,内部控制的演进遵循着“内部牵制(internal check)——内部控制制度(internal control system)——内部控制结构(internal control structure)——内部控制整合框架(internal control integrated framework)”的轨迹。应该说,这一概括大致上勾勒出了内部控制的发展进程。
但是,必须再次强调的是,内部控制的演进决不仅仅是概念的翻新。我们完全可以从“自发性(无意识的)内部控制——自觉性(有主观目的性的)内部控制——他律性(管制、规范要求的)内部控制”(内部控制的属性演变)、“零散的内部控制——专项的内部控制——系统的内部控制——综合的内部控制”(内部控制对象的拓展)、“原始的内部控制——现代手段辅助的内部控制”(内部控制手段的进步)等很多线索去探求内部控制的演进轨迹。而且沿着这些追溯线索也能够找到内部控制与审计渊源关系的一些契合点。本文限于篇幅,只根据通行的线索进行论述。
1.内部牵制阶段。从原始的组织诞生开始,直至20世纪40年代,内部控制的发展基本上停留在内部牵制阶段。这一阶段内部控制的着眼点在于职责的分工和业务流程及其记录上的交叉检查或交叉控制。内部牵制主要通过人员配备和职责划分、业务流程、簿记系统等来完成。其目标主要是防止组织内部的错误和舞弊,通过保护组织财产的安全来保障组织运转的有效性。
2.内部控制制度阶段。20世纪40年代至70年代,内部控制的发展进入内部控制制度阶段。这一阶段内部控制开始有了内部会计控制和内部管理控制的划分,主要通过形成和推行一整套内部控制制度(方法和程序)来实施控制。内部控制的目标除了保护组织财产的安全之外,还包括增进会计信息的可靠性、提高经营效率和遵循既定的管理方针。
3.内部控制结构阶段。20世纪80年代至90年代初,内部控制的发展进入内部控制结构阶段。这一阶段开始把控制环境作为一项重要内容与会计制度、控制程序一起纳入内部控制结构之中,并且不再区分会计控制和管理控制。控制环境反映组织的各个利益关系主体(管理当局、所有者和其他利益关系主体)对内部控制的态度、看法和行为;会计制度规定各项经济业务的确认、分析、归类、记录和报告方法,旨在明确各项资产、负债的经营管理责任;控制程序是管理当局所确定的方针和程序,以保证达到一定的目标。
4.内部控制整合框架阶段。1992年9月,美国反虚假财务报告委员会(通常以其首任主席的名字命名为Treadway委员会)的主办组织委员会(C0SO)发布了一份报告《内部控制:整合框架》,提出了内部控制的三项目标和五大要素,标志着内部控制进入一个新的发展阶段。内部控制的目标包括合理地确保(reasonablyassure):经营的效率和有效性;财务报告的可靠性;对适用法规的遵循。内部控制要素包括:(1)控制环境,包括员工的正直、道德价值观和能力,管理当局的理念和经营风格,管理当局确立权威性和责任、组织和开发员工的方法等;(2)风险评估,即为了达成组织目标而对相关的风险所进行的辨别与分析;(3)控制活动,是为了确保实现管理当局的目标而采取的政策和程序,包括审批、授权、验证、确认、经营业绩的复核、资产的安全性等;(4)信息与沟通,是为了保证员工履行职责而必须识别、获取的信息及其沟通,信息系统中包括会计信息系统;(5)监控,即对内部控制实施质量的评价,主要包括经营过程中的持续监控(日常管理和监督,员工履行职责的行动等)、个别评价或者两者的结合(C0SO,1992)。
二、审计模式的变革及其与内部控制的历史渊源和逻辑联系
尽管关于审计的属性有信息论、代理论、保险论等不同的诠释,但不可否认的是,审计是一项独立的验证活动。相对于被审计的组织(或者,针对内部审计而言,为组织中的某一个局部)而言,审计是一种外来的验证。如果审计可以理解为经济控制的话,它应该是对组织(或局部)的控制。审计的起源可以追溯到很早,但为了简便起见,本文的讨论仅限于现代意义上的审计,即19世纪中叶以后的审计。
审计模式是对审计技术和方法的内在结构尤其是主导因素进行概括和总结的产物。审计模式也处在动态的变革之中。从全面(详细)审计发展到非全面(抽样)审计是审计模式变革的总体脉络;根据审计样本选取原则的进步,非全面审计也在不断演进。总的看来,审计模式的变革大致上已经、正在或者将要经历的轨迹为:账项基础审计(transactions based auditing)——制度基础审计(system based auditing)——风险导向审计(risk based auditing)——业务基础整合审计(business based integrated auditing)。
账项基础审计实质上是直接针对会计账目和数据所进行的详细审计,它于19世纪中叶起源于英国。制度基础审计是通过对内部控制制度的评价来确定实质性测试的范围和程度的审计模式,它大致形成于20世纪40年代。风险导向审计立足于对审计风险进行系统的分析和评价,并据此对审计进行规划,它发轫于20世纪80年代。业务基础整合审计尚在萌芽之中,其核心是根据以经营业务为基础的风险/控制评价来分配审计资源,也有人认为它是对风险导向审计的发展或改进(胡春元,2001)。
应该说,审计模式的每一次变革,都是一次不小的进步。从账项基础审计到制度基础审计完成了审计发展史上的一次飞跃,即由全面审计讲变为非全面审计,大大节省了审计成本。但是,制度基础审计和账项基础审计一样,都属于程序驱动审计(proceduresdrivenauditing),即规划审计时主要考虑的是遵循制度和形成账项的程序及其结果,是一种后验式的方法论导向。风险导向审计考虑了审计环境,以分析和评价审计风险为核心来规划审计,可以促使审计资源在不同风险水平的审计领域之上的合理配置。然而,制度基础审计和风险导向审计都是审计理论导向(auditingtheoryoriented)的,由于审计理论都是以一系列假设为前提的,很难与现实完全吻合,因而需要以经营业务为导向,针对主要经营业务进行风险/控制评价,据此分配审计资源。从这个意义上说,从风险导向审计向业务基础整合审计的转变指导思想上是一个不小的转变。
推动审计模式变革的因素很多,其中最为主要的是审计目标定位的变化,而后者直接受到了所谓“期望沟距”(expectationgap,即社会公众对审计的期望与审计所实际达到的效果或者执行审计的人员自己的期望之间的差距)、物质技术(例如抽样技术、信息技术等)、法律责任(尤其是诉讼和判例)和审计技术自身发展等多重因素的影响。随着社会经济的发展,社会公众对审计的期望越来越高,一系列法律责任事件加大了其紧迫性,物质技术的发展也为更高的要求提供了可能性,审计职业界自身也积极参与和推动审计技术的发展和规范,这样,审计目标定位经历了查错揭弊、验证财务报告的真实性和公允性、验证财务报告与查错揭弊并重,最终转变为降低信息(财务和非财务信息)风险。显然,审计目标定位的变化几乎可以直接与审计模式的变革对应起来。
从表面上看,内部控制与审计的历史渊源始于20世纪初早期审计著作中对内部牵制理论的描述。1936年,美国审计职业组织美国会计师协会(AIA)首次提出内部控制的概念(阎金锷等,1998);直至40年代,以评价内部控制制度为核心,开发了制度基础审计。此后,内部控制与审计的发展交织在一起,在审计目标定位这个大前提下,不断地互动、耦合。1949年,美国注册会计师协会(AICPA)所属审计程序委员会发表了一份专题报告,首次阐述了内部控制的定义(刘明辉,2001)。该定义十分宽泛,招来了审计职业界的非议。于是,审计程序委员会1953年颁布了第19号《审计程序说明》,区分了会计控制和管理控制;并在此后的第33号《审计程序说明》中明确指出注册会计师应主要检查会计控制。这种审计目标定位的窄化招致了社会公众的不满,于是1988年,美国注册会计师协会审计准则委员会发布了第55号《审计准则公告》,首次以内部控制结构取代了内部控制,取消了对会计控制和管理控制的划分,并且第一次把审计的目光引到分析审计环境上来,孕育了风险导向审计。此后,1992年,C0SO提出了内部控制整合框架。1996年,审计准则委员会发布了第78号《审计准则公告》,以内部控制整合框架替代了内部控制结构。此后,开发业务基础整合审计模式开始被一些领先的审计职业机构提上日程。
由此可见,内部控制虽然是内生的,但其自20世纪40年代进入审计的视野之后,在审计目标定位的主导下,其发展十分迅猛,并且同审计模式的变革形成了密切的互动关系,乃至基本耦合,从而呈现出外力促动发展的趋势。
三、引入“组织效率”概念的分析与解读
显然,前面的分析是建立在对零散事件的追溯和因果关系的推理上的,主观色彩比较浓厚,而且得出的是表面化的结论。为了找到一条更为科学、合理的思路,提高理论的科学性和解释力,需要跳出内部控制和/或审计本身,从一个新的视角找出参照体系。为此,我们不妨引入“组织效率”的概念。
在本文中,组织效率是指组织目标的达成情况。由于企业组织是许多主体契约的联结,因而组织的目标实际上是一组目标所构成的目标体系,可以概括为“利益相关主体的利益最大化”,它是一个典型的多目标最优化模型。另外,组织的目标本身也是动态的,随着环境的变化和组织自身的演进,其目标也会不断演变。就目前主流的看法而言,企业组织的基本目标向量可以解释为组织价值(或经营成果)的最大化、财务报告与会计披露的真实性和公允性、财产和债务的安全性、持续经营和长期实现价值增值的能力等。对于一个组织而言,追求其目标、实现其使命的过程便是提高组织效率的过程。
从内部控制的三项目标看,显然它是提高组织效率的重要手段之一,是组织效率的重要内生变量。而且,它主要属于管理当局——实际对组织的财产及其经营行使控制权的的利益关系主体——的职权范围之内。我们不妨假设其他一切不变,将组织效率(OE)与内部控制(IC)的函数关系描述如下:
OE=f(IC)-g(IC)
其中,f(IC)表示内部控制效益(由于内部控制所导致的组织效率的提高),g(IC)表示内部控制成本(由于内部控制而耗费的组织资源的机会成本,以及内部控制对组织效率的牺牲)。显然,f(IC)和g(IC)都是随着内部控制的增加(深度、广度、精度等)而递增的。这样,自然就会得出一个最佳内部控制点的问题,即内部控制并不是多多益善,而有一个合理的度。这与经济学上大多数成本效益权衡(trade-off)模型并无二致。
审计也是为了提高组织效率服务的,但外部审计和内部审计稍有不同。外部审计实际上是由独立的一方对组织效率水平和状况做出评价和签证,以便起到促进(直接提高组织效率,或者指引出更有效的组织资源配置)作用,因而它是组织效率的一个外生变量。至于内部审计,我们既可以从组织中的科层的角度去理解,也可以干脆把它看作是内部控制的一部分。我们姑且仅考虑外部审计(EA),也对组织效率函数做出单因素的简化,可以得出:
OE=h(EA)-k(EA)
其中,h(EA)表示审计效益(由于审计所促进的组织效率的提高或者避免的组织效率损失),k(EA)表示审计成本(由于审计而耗费的组织资源的机会成本)。同样可以知道h(EA)和k(EA)都是EA的单调递增函数,因而整个组织效率函数也变成了一个此消彼长的模型。这样,审计也存在最佳边界的问题。
如果假设其他因素中立,引入内部控制和审计的双因素模型,可以得出新的组织效率函数:
OE=f(IC)-g(IC)+h(EA)-k(EA)
从理论上讲,尽管IC和EA一个是内生变量,一个是外生变量,但是它们之间也存在着一个带有规律性的函数关系:对内部控制投入的组织资源越多,内部控制就越健全,所能增进组织效率的空间越大,从而审计的风险越小,审计的资源投入就可以越小,相应地,审计所能增进组织效率的空间也越小。从数学上叙述,就是IC与EA呈负相关,从而导致f(IC)与h(EA)、g(IC)与k(EA)呈负相关,这就意味着构成OE的4个消长变量之间实际上存在着相互依赖、此消彼长的函数关系。而这正是内部控制与审计之间互动与耦合的逻辑关系的数学表述。
如果我们把审计也看作是一种控制的话,组织效率的双因素模型就可以用来说明控制(内部控制和作为外部控制的审计)与组织效率的关系,由此也可以探讨最佳控制水平的问题。
前面是简单的分析,即假设组织效率已经被抽象为一维数量。实际上,前已述及,组织效率本身就是一个动态的多目标模型,即多维数量。多目标之间的相互影响(尤其是所有者子目标和管理当局子目标之间的互动)可以用来解释内部控制、审计的产生和演变,乃至期望沟距和审计目标定位的变化。从理论上讲,我们应该可以运用多目标优化技术来解决复杂的组织效率函数问题,也可以从不同利益相关主体的角度解决单一组织效率向量的函数问题,可能后者会给我们更多、更具体、更有针对性的启示。
因此,我们可以得出这样的结论:内部控制和审计分别是影响组织效率的内在因素和外在因素之一,二者自身的产生、演进和彼此之间的互动、耦合,都是追求组织效率的必然结果。更简单地说,内部控制和审计的历史渊源和逻辑联系,完全可以运用组织效率函数做出科学的分析和解释。当然,这也并不是排斥或否定既有文献运用历史追溯和事件因果联系分析所得出的表面结论。实际上,我们不难发现,两者的拟合程度相当完美。只不过引入组织效率函数之后,相关的分析和解释有了一个合理的参照体系和科学的核心概念,更有利于引导相关的研究向纵深发展。