论内部控制目标导向:基于审计与管理视角的研究
摘要 本文从内部控制目标和方法论的发展与演进入手。根据学术界对内部控制目标体系的研究。分析得出其内在逻辑,并对内部控制目标进行整合,提出基于风险管理的价值创造目标导向。
关键词 内部控制;目标导向;风险管理;价值创造
一、内部控制的发展与演进:目标与方法论
(一)内部控制的萌芽:与管理活动如影相随
内部控制理论的产生是近代的事情,但是,内部控制实务却源远流长,应该说,自古有之(石爱中,2006)。早在公元前3000多年前的美索不达米亚文化时期,人类社会的一系列活动中就体现出了带有本能意义的内部牵制。那时的管理基本上是建立在个人观察、判断和直观基础上的传统经验管理。尽管这种内部牵制的管理思想源远流长,但没有形成系统的管理理论,也不可能提出内部控制的概念。
在随后的一些管理活动中,也都非常明显地出现了内部控制的实践活动。例如。古埃及会计称为“书吏”,“其责任和权力都比较大,不仅负责事项的记录,而且还要负责对全部库存财产的监督”。而且,以“书吏”工作为基础,“在国库长官、国库出纳官、国库书吏及国库监督官之间初步建立了一种经济牵制关系,这些官员各司其事,又互相制约,并把控制重点放在支出方面”(郭道扬,1999)。
到了15世纪,资本主义得到初步发展。特别是工业革命后,企业管理理论得到了迅速的发展和完善,形成了涉及组织结构、职责分配、业务程序、内部审计等许多方面的控制体系。但是,尽管“内部控制在这期间已在管理实践中完成了其主体内容的塑造过程,但其各项构成要素和控制措施只是散见在企业各项管理制度、惯例和实务中”。管理者并没有从理论上进行总结,也没有提出内部控制的概念。
19世纪末,审计人员在改进审计方法的探索中,开始了对内部控制的研究。在审计介入内部控制理论的研究之前,作为现代内部控制雏形的内部牵制制度,其主要目的就是查错防弊,它是通过总结以往的经验、在实践的基础上逐渐形成的。基于提高审计效率和保证审计质量的需要。审计人员把内部控制从企业管理活动中抽象出来,赋予其目标和体系,从实践上升为理论,使之成为审计技术和程序的组成内容(张宜霞、舒惠好,2006)。
由此可见,内部控制的初衷并不是为审计服务的。它完全是从管理的角度出发的,应当是企业客观存在的东西。
(二)内部控制的发展:管理思想的忠实追随者
1949年。美国会计师协会所属审计程序委员会在其专门报告《内部控制:一个协调的系统要素及其对管理层和独立公共会计师的重要性》中首次对内部控制下了一个定义:“内部控制包括组织的计划和企业为了保护资产。检查会计数据的准确性和可靠性,提高经营效率,以及促使遵循既定的管理方针等所采用的所有方法和措施”。该报告是从企业经营管理角度来定位内部控制的,从理论上给出了内部控制的广泛涵义。但是,它对财务报表审计中应对内部控制检查到什么程度,给注册会计师提供的指导却很少。使审计人员感到无所适从。审计人员认为,1949年的定义内容过于广泛,超出了他们评价被审计单位内部控制所承担的责任。迫于压力。为了满足审计人员在审计中的业务需要,AICPA所属的审计程序委员会于1953年10月颁布了《审计程序说明》第19号,并于1963年颁布了《审计程序公告第33号》,对内部控制的定义做了正式修改,大大缩小了注册会计师的责任范围。
与1949年的定义相比。这些定义过于消极,仅仅从财务审计当时的实际需要出发。范围过于狭窄,人为地限制了内部控制理论和实践的发展。然而,事与愿违。20世纪60年代以后,注册会计师的审计责任却进入了诉讼爆炸时期。审计界把内部控制的定义限制在一个较小的范围内,从表面上看是减轻了审计师的责任和工作量,但从更深层次来说,它恰恰增加了审计风险。
20世纪六七十年代以来,一系列财务失败和可疑商业行为,特别是80年代出现了主要是由金融机构破产引起的更为耸人听闻的财务失败事件,以至于1985年,由AICPA、AAA、FEI、IIA、IMA五个职业协会组成的团体另外建立了一个委员会。即全美反欺诈财务报告委员会(National Commission onFraudulent Financial Reporting)。该委员会通过对欺诈性财务报告案例的研究,发现50%是因为内部控制失效的缘故,指出薄弱的内部控制是许多欺诈性财务报告发生的主要原因。针对这种情况,该委员会成立了专门研究内部控制问题的机构——COSO委员会来制定关于内部控制定义及框架的指南。1992年,COSO发布了具有革命性的研究报告,即《内部控制——整体框架》,标志着内部控制迎来了历史的春天。
1992年COSO发布的《内部控制——整体框架》在一定程度上实现了审计技术导向内部控制与管理导向内部控制的整合,是对构建统一内部控制平台的第一次尝试。COSO报告提供了一个广泛的内部控制框架,成为迄今为止对内部控制最全面的论述。它在一定程度上突破了以往对内部控制仅从会计、审计方面进行研究的狭隘性,在内容上不再局限于会计控制,而是将其拓展到企业的管理以及企业的治理,从一个更高、更系统的角度给出了内部控制的一个框架体系(林钟高,2006)。该框架尽管得到广泛认可,但理论界与实务界还是认为存在缺陷,如对风险强调不够,使得内部控制与企业风险管理无法进行很好的结合(朱荣恩、贺欣,2003)。
为了适应21世纪商业环境发展对内部控制的要求以及风险管理的需要。COSO于2004年9月正式颁布了《企业风险管理——整体框架》。这一报告代表了内部控制理论的最新发展成果。COSO的2004年报告指出:“内部控制是企业风险管理的有机组成部分。企业风险管理包含内部控制,并形成一个(比内部控制)更为广泛的管理概念和工具”。因此,内部控制与风险管理之间的融合已是一种必然趋势,这种融合可理解为风险管理包含了内部控制,还可理解为企业风险管理框架就是企业内部控制的外在表现(严晖,2005)。风险管理框架在1992年整体框架的基础上又增加了三个内部控制要素:目标制定、事项识别、风险评估,同时把内部控制的目标定位提高到战略定位。这是内部控制史上的又一次飞跃。
(三)一个暂行结论:内部控制、管理活动与独立审计的价值相关性
综观内部控制的发展与演进可以发现:内部控制(内部牵制)的实践及思想雏形起源于早期的管理活动,并随着经济社会管理活动的发展而不断向前演进。伴随着资本主义的萌芽与发展,特别是工业革命以后。企业得到了前所未有的发展。这种发展导致了对企业经济活动进行鉴证的审计不断发展。审计人员在改进审计方法的探索中,开始了对内部控制的研究,把内部控制从企业管理的实践活动中抽象出来。赋予其目标和体系。使之从实践上升为理论,成为审计技术和程序的组成内容。理论化的内部控制大大促进了审计业务的发展。但由于审计人员人为地把内部控制局限在一个较小的范围内。反而限制了内部控制实践和理论的发展。审计责任的诉讼爆炸及社会各界对内部控制的关注,又促使内部控制回归管理。内部控制的发展存在一个总的趋势,即目标越来越明确,范围越来越大,边界越来越清晰,内容越来越丰富,且有与管理逐步融合之势。这一系列内部控制目标与研究方法论的发展与演进过程,充分表现了其与管理活动及独立审计的价值相关性,如图1所示:
由以上论述可以看出内部控制目标及方法论的发展与演进过程,即:内部控制来源于管理,又回归到管理。这种回归不是简单的转圆圈式的回到出发点。而是一种螺旋上升式的发展,是对内部控制从实践到理论的提升与完善。这种回归如下页图2所示:
二、内部控制的目标体系:内在逻辑
进一步考察可知,关于内部控制目标体系的构建与完善,学术界有一些文献提出了设想。阎达五、杨有红(2001)从内部控制的目标和内容的演进进程的角度出发。论述了内部控制目标尽管呈多元化发展趋势,但概括起来主要涉及以下两点:一是合规经营,具体而言。就是保证企业依法组织经营活动。保证会计信息真实可靠、确保财产安全;二是效益性。即保证企业管理政策的贯彻实施和效益目标的实现。并在对内部控制目标的归纳基础上,认为内部控制体系的建设不只是企业自身的事情,它有着广泛的社会性。李兆华(2004)提出,应针对内部控制所参照的三项规则,将内部控制的目标划分为三类:经营目标、信息目标和规制目标。宋鑫(2004)则认为,确定公司内部控制目标时,应考虑治理机构层次以及健全的公司治理环境下内部控制的有效运行,分层次进行控制目标设计,以便最大限度地发挥内部控制效用。陈志斌(2005)通过对内部控制的发展历程分析发现。内部控制第一层次的目标仅仅是防弊纠错,保证财产物资的安全,保证会计信息的及时与真实;内部控制第二层次的目标是保障经营活动的合规合法性,保证法律法规的遵照执行;内部控制第三层次的目标是为提高单位的效益和效率服务;内部控制第四层次的目标提出要完善公司治理。要服务于公司创造价值。要保护单位中人的“安全”与价值。他又提出,内部控制的理想目标应该是把单位建成具有自我纠偏和自我超越功能的自觉组织和学习型组织。李连华(2005)在COSO风险管理框架的基础上。将内部控制目标理解为三大基本目标——会计信息真实可靠、企业资产安全和营运效率提高。并认为三大目标目前都没有得到很好的实现。林钟高(2006)将内部控制视为企业管理的一个有机组成部分。其目标也应当和企业的总目标一致,而且内部控制的目标应当有助于企业总目标的实现。是总目标的具体化。基于企业价值最大化的总目标,相应地,内部控制是由控制主体根据企业总体目标而建立的,目的已不再局限于传统的查弊和纠错,而是涉及到企业经营管理的各个方面,是参与企业经营的各利益相关者权益要求的实现途径,进而成为公司法人治理结构的具体体现,这与企业组织形式的演化及公司法人治理结构的发展相一致。
目前。针对内部控制目标的研究几乎都是在内部控制目标多元化的趋势下。分层次、分类别地对内部控制目标进行重构,以便科学、合理地指引内部控制有效运行,充分发挥内部控制的效用。通过上述观点不难发现,学术界在对多元化的内部控制目标进行划分时都遵循着某种趋势,即由初级需求不断发展为高级需求。由企业自身的管理需求不断发展为企业社会责任的保证。
在这种探寻内部控制目标体系的过程中存在某种内在逻辑:内部管理需求和外部审计监管需求。分析以上观点,并结合COSO内部控制及风险管理目标体系。笔者对内部控制目标重新进行了整合,使之能够满足内部管理需求和外部审计监管需求。其内在逻辑关系如图3所示:
根据图3分析如下:在1992年COSO内部控制的三大目标的基础上,结合2004年COSO风险管理增加的一个目标和对原有的几个目标的补充,笔者把内部控制目标重新整合为三大类,即战略目标、经营目标和合规性目标。由于财务等相关报告的编制是标准化的,而这些报告标准(包括会计法、会计准则等财务呈报相关法律)在我国本身就是政府法规的重要组成部分。公司只要在政府所颁布的会计法规或会计标准的界限内编制财务报告,就是遵循了法律法规,就是“合规”的。因而也是能够满足财务报告质量要求的。这样看来,COSO框架中被作为两项目标的“报告”与“合规”。在我国实际上是可以合并在“合规”项目之内的(李心合,2007)。基于此,笔者将内部控制目标整合为战略、经营和合规三大目标。
三、内部控制的目标导向:发展趋势
对内部控制的渊源进行追溯,对现状进行探讨,除了总结之外。更重要的是探求内部控制目标导向的发展趋势,发现存在的问题并提出对策,以实现内部控制的提升与完善。
在本文第二部分分析的基础上,重新整合的三大目标根据需求的不同,又可分为满足内部管理需求的战略目标、经营目标和满足外部审计监管需求的合规性目标。而这两种需求所引致的目标导向又是相互作用的。相辅相成的。
(一)内部管理需求对外部审计监管视角的作用
内部管理需求引致的目标包括战略目标和经营目标。战略目标的层次比其他目标更高,是与企业的远景或使命相关的高层次目标,其他目标是战略目标的具体化。风险管理框架在内部控制框架的基础上引入战略目标。说明内部管理不仅仅可确保短期经营的效率与效果。而且介入了企业长期战略(包括经营目标)的制定过程。
一个企业的战略管理是否正确、有效。不仅影响企业的日常经营,还会对反映企业经营成果的财务报告的可靠性产生直接影响。因此。审计师要有效地把握财务报告的错报风险,就必须从错报产生的源头着手,从战略系统观对企业经营风险进行分析、测试、评价和决策,并通过对企业保持和加强竞争优势的战略及其恰当性进行分析评价,才能从源头根本解决“合规”性问题,控制审计风险。从而系统地提高审计监管的科学性和有效性。
从相反的角度来看,长期以来。内部控制理论把关注重点放在对外公开的财务报告上,以防止财务报告舞弊案的发生。但事实是。财务报告舞弊的问题还是会经常发生。进一步探寻其中的原因可知,对外的财务报告是企业过去的经营成果的被动反映,一味强调审计监管导向的内部控制只能通过财务报告的约束作用间接作用于企业的经营活动。另外,在大多数情况下,财务舞弊是企业在企业战略、经营管理出现问题时所采取的“瞒天过海”策略。仅强调与财务报告相关的内部控制并不能防止企业战略、经营管理上的失败。“另一个毒瘤是。管理层经营失败而不可避免地导致股东价值下跌。原由就可能在于其糟糕的战略,无法保持核心竞争力,或竞争优势的销蚀”。
从以上正反两个方面可以推知,从内部管理需求的角度出发。强调对企业战略、经营目标的关注,不仅不会削弱外部审计监管视角的合规性,反而会从源头上抑制或避免“违规”的发生。
(二)外部审计监管需求对内部管理视角的作用
外部审计监管需求引致合规性目标。尽管人们对内部控制的管理导向日趋关注,但也不能忽略它在审计中的职能与作用。满足审计监管的合规性需求,就满足了广大投资者的需求。可以缓解信息不对称产生的一系列问题。有助于提高企业的外部形象与信誉,进而提升企业的整体价值。因此。COSO的内部控制和风险管理两个框架报告都保留了(财务)报告可靠性、法律法规遵循性两个“合规”性目标。
关于审计监管需求的内部控制可以维护市场的秩序和有效性。提高经营透明度,降低信息的不对称。基于此。各个国家和地区都在关注战略、经营风险管理的同时。对其在相关法律中做出了不同程度的要求。美国的SEC更是在SOX法案之后提出了“财务报告内部控制”的概念,更进一步明确了外部审计监管的不可或缺。
由此,可以得出结论:有效、科学、合理的内部控制目标应同时满足内部管理需求和外部审计监管需求。只有标本兼治,内外部相互促进。才能共同提升和完善内部控制。
企业管理的目标是创造价值,创造价值的前提是防范风险,防范风险的内在机制在于内部控制(陈志斌,2007)。从内部管理视角来看待内部控制,其首要目标是服务于企业的价值创造。这就要求企业在战略导向和风险导向的管理要求的基础上。以可接受的风险水平为出发点,实现价值最大化。在此基础上,也要不断深化审计监管视角的内部控制,使之更好地服务于企业的价值创造。
基于此,笔者认为:内部控制目标应同时满足战略、经营、合规三大目标,在范围上各有兼顾。在程度上各有倾斜。整合后的内部控制目标应为:基于风险管理的价值创造,同时兼顾“合规”性目标。