时间:2020-03-11 作者:汪寿成 刘明辉 (作者单位:湖北大学商学院 东北财经大学中国内部控制研究中心)
[大]
[中]
[小]
摘要:
尽管内部控制的实践可以追溯到公元前3000多年前的美索不达米亚文化时期,但内部控制进入注册会计师的视野并逐步演化出内部控制鉴证则是社会经济发展到一定阶段的产物。从内部控制鉴证演进历史可以看出,内部控制鉴证经历了从无到有、由审核到审计、由自愿性鉴证到强制性鉴证的演进过程。尤其是本世纪初,内部控制审计的产生与发展对内部控制鉴证理论和实务产生了深远的影响,改变了人们对内部控制鉴证的传统认识,引起了鉴证目标、鉴证业务类型、鉴证范围、鉴证标准、鉴证方法及鉴证报告的诸多变革。
一、内部控制鉴证的变革动因
任何鉴证业务的主体都包括责任方、预期使用者和注册会计师,他们之间的关系构成了鉴证业务三方关系。笔者认为,内部控制鉴证演进的根本原因在于:随着社会经济环境的变化,鉴证业务三方关系具体内容发生了变化以及在此基础上鉴证主体三方展开的动态博弈。
在内部控制鉴证的萌芽期前,企业所面临的经营环境相对简单。此时,委托人将财产委托给代理人(管理层)经营,主要关心公司的财务状况、财务成果,而对代理人(管理层)从事的具体管理活动并不十分关心;管理层承担的只是财务受托责任。在此背景下,委托人与代理人(管...
尽管内部控制的实践可以追溯到公元前3000多年前的美索不达米亚文化时期,但内部控制进入注册会计师的视野并逐步演化出内部控制鉴证则是社会经济发展到一定阶段的产物。从内部控制鉴证演进历史可以看出,内部控制鉴证经历了从无到有、由审核到审计、由自愿性鉴证到强制性鉴证的演进过程。尤其是本世纪初,内部控制审计的产生与发展对内部控制鉴证理论和实务产生了深远的影响,改变了人们对内部控制鉴证的传统认识,引起了鉴证目标、鉴证业务类型、鉴证范围、鉴证标准、鉴证方法及鉴证报告的诸多变革。
一、内部控制鉴证的变革动因
任何鉴证业务的主体都包括责任方、预期使用者和注册会计师,他们之间的关系构成了鉴证业务三方关系。笔者认为,内部控制鉴证演进的根本原因在于:随着社会经济环境的变化,鉴证业务三方关系具体内容发生了变化以及在此基础上鉴证主体三方展开的动态博弈。
在内部控制鉴证的萌芽期前,企业所面临的经营环境相对简单。此时,委托人将财产委托给代理人(管理层)经营,主要关心公司的财务状况、财务成果,而对代理人(管理层)从事的具体管理活动并不十分关心;管理层承担的只是财务受托责任。在此背景下,委托人与代理人(管理层)均无对内部控制进行鉴证的需求。所有者与注册会计师的委托受托关系受制于所有者与管理层的委托受托关系。既然无对内部控制鉴证的需求,当然也无对内部控制进行鉴证的供给。
内部控制鉴证的萌芽期,企业所面临的经营环境发生变化。公司所有权与经营权进一步分离,所有权分布日益分散,企业“内部人控制”的现象开始凸现。此时,无论是委托人为了核实代理人(管理层)受托责任的履行情况,还是代理人(管理层)为了解除受托责任,都存在对内部控制的有效性进行鉴证的需求。但由于鉴证目标不明确、鉴证范围不确定、公认的鉴证标准不存在、鉴证的法律责任不清晰、鉴证成本过高等,注册会计师提供内部控制鉴证服务的意愿与能力受到了极大的限制,导致内部控制鉴证的供给缺乏。
在内部控制审核期,公司所有权与经营权进一步分离,所有权分布更加分散,企业“内部人控制”的现象更加突出,委托人要求对内部控制进行鉴证的意愿更加强烈。从内部控制鉴证服务的供给方(注册会计师)来看,经过理论界、职业界的共同努力,内部控制鉴证的目标开始明确(为对内部控制有效性发表意见提供有限保证)、鉴证范围开始确定(集中于企业内部会计控制)、公认的鉴证标准已经出现(内部控制结构)、鉴证的法律责任逐渐清晰,注册会计师提供内部控制鉴证服务的意愿与能力均得到提高。
在内部控制审计期,企业与其所面临的多样的、急剧变化的内外部环境的联系日益增强,企业的经营风险增大。从需求方看,本世纪初,安然、世通、施乐等舞弊事件的发生,给投资者造成巨额损失,严重影响了正常的经济秩序,极大地动摇了投资者对资本市场的信心。为了加强企业内部控制,扼制财务舞弊案件的发生,仅进行自愿性的内部控制审核是不够的,必须实行强制性的内部控制审计。从供给方看,明确的鉴证目标(为对内部控制有效性发表意见提供合理保证)、合理的鉴证范围(主要是财务报告内部控制)、公认的鉴证标准(COSO内部控制整体框架等)、科学的鉴证方法(自上而下、风险导向的方法)以及明确的法律责任为注册会计师提供内部控制审计服务奠定了良好的基础。
二、从内部控制审核到强制性内部控制审计的变革内容
(一)鉴证目标:由有限保证向合理保证转变
在内部控制审核阶段,内部控制鉴证的目标是将业务风险降低至该业务环境下可接受的水平,但风险水平高于合理保证业务,作为对管理层结论消极发表意见的基础。在内部控制审计阶段,内部控制鉴证的目标是将内部控制鉴证业务风险降低至该业务环境下可接受的低水平,作为对管理层结论积极发表意见的基础。简而言之,内部控制审核提供的是有限保证,而内部控制审计提供的是合理保证。
产生这种转变的原因在于,从预期使用者的角度来看,内部控制是企业实现其经营目标、报告目标和遵循目标的重要保证,预期使用者越来越关心企业内部控制设计与运行的有效性,需要注册会计师为企业内部控制的有效性进行鉴证,并提供合理保证而不是有限保证。
从责任方的角度来看,内部控制的设计与运行的责任方是公司管理层。在经历了安然等事件和金融危机的洗礼后,管理层越来越重视企业内部控制的设计与运行情况,他们需要注册会计师对内部控制的设计与运行进行评价,找出存在的缺陷,提出改进意见。从这个意义上讲,管理层需要注册会计师对内部控制鉴证提供合理保证而不是有限保证。
从注册会计师的角度来看,预期使用者的需求是确定鉴证业务保证水平的关键驱动因素。首先,从鉴证对象上看,内部控制鉴证实质上是对行为或过程的鉴证,尽管鉴证对象特殊,但注册会计师并非第一次面对特殊的鉴证对象。对内部控制有效性发表意见,其实是审计在高层次上的回归。其次,就标准而言,经过不断探索,目前已经形成了以COSO框架为代表的相对完善的内部控制标准,为将内部控制鉴证定位为合理保证的业务提供了条件。最后,就证据的收集而言,“自上而下、风险导向”的审计思路为注册会计师获取充分适当的证据提供了保证。
(二)鉴证业务类型:由信息鉴证向行为或过程鉴证转变
首先,这种转变能在实现内部控制鉴证的前提下使制度的实施成本最低。内部控制鉴证的根本目的在于促使被审计单位设计和运行良好的内部控制。由于无论是将内部控制鉴证确定为何种性质的业务,都应对内部控制设计与运行的有效性进行审计,因而均能实现内部控制鉴证这种制度安排的目的。问题的关键在于实施这种制度安排的成本。如果将内部控制鉴证作为信息鉴证,注册会计师除了要对内部控制的有效性进行审计外,还要对管理层内部控制的评价报告过程的合理性进行评价,其实施成本高于行为或过程鉴证。
其次,这种转变有利于划清管理层与注册会计师的责任。管理层内部控制评价报告针对的是内部控制整体,而注册会计师关于内部控制有效性的审计意见主要针对财务报告内部控制。将内部控制鉴证作为对管理层内部控制评价报告的鉴证,不利于分清管理层与注册会计师的责任。
最后,这种转变有利于消除预期使用者的误解。如果将内部控制鉴证作为信息鉴证,预期使用者有可能将注册会计师对内部控制报告发表的意见误解为对内部控制有效性发表的意见;如果要求同时对内部控制评价报告和内部控制的有效性发表意见,在注册会计师对管理层内部控制的评价报告发表无保留意见,而对内部控制发表否定意见的情形下,预期使用者将迷惑不解。而将内部控制鉴证由对信息的鉴证转变为对过程或行为的鉴证则有助于预期使用者理解。
(三)鉴证范围:由内部会计控制向财务报告内部控制转变,鉴证范围存在进一步拓展的趋势
就鉴证范围而言,为了满足监管者的要求,内部控制审核与内部控制审计都是将焦点集中于与会计有关的内部控制上。但在内部控制审核阶段,内部控制鉴证的范围主要是内部会计控制;在内部控制审计阶段,内部控制鉴证的范围主要集中于财务报告内部控制。
根据1972年美国注册会计师协会(AICPA)发布的《第54号审计程序公告》,内部会计控制是组织计划以及关于保护资产安全完整和财务记录有效性的程序和记录,并对下列事项提供合理的保证:交易经过合理的授权进行;公司对交易进行了必要的纪录,以确保财务报表的编制与公认会计原则保持一致;资产的使用和处置经过管理层的适当授权;在合理期间内,对现存资产与资产的会计记录之间的任何差异采取了恰当的行动。
根据2003年6月美国证券交易委员会(SEC)正式发布的最终规则中的定义,财务报告内部控制是由公司的首席执行官和首席财务官或者行使类似职权的人员设计的或在其监督之下由注册人(registrant)的董事会、管理层和其他人员实施的,旨在为财务报告的可靠性和按照公认会计原则对外编制财务报表提供合理保证的过程。财务报告内部控制主要包括这样一些政策和程序:(1)用于保持以合理详细程度、准确公允地反映注册人的资产交易和处置情况的会计记录;(2)为下列事项提供合理保证:对交易进行必要的记录,从而容许按照公认会计原则编制财务报表;注册人的收入和支出只按照注册人管理层和董事的授权;(3)为防止或及时发现未经授权取得、使用和处置注册人资产提供合理保证,这可能对财务报表产生重要影响。
从上述定义中可以看出,内部会计控制与财务报告内部控制都对交易授权、会计记录、报表编制、资产使用等方面进行了规范,两者之间的差异主要表现在:
(1)财务报告内部控制是从对财务报表影响的角度来界定的,在确定内部控制鉴证范围时,注册会计师必须以是否对财务报告产生影响为标准来界定财务报告内部控制和非财务报告内部控制。
(2)财务报告内部控制将控制视为一个过程,从动态的角度理解内部控制,认为管理控制与会计控制无法简单地分割开来;而内部会计控制则更多的是从静态的角度来理解控制,认为内部管理控制与内部会计控制能够区分。
(3)财务报告内部控制明确了财务报告内部控制的控制主体和责任人,直接控制主体和责任主体是首席执行官和首席财务官,间接的控制主体和责任主体是董事会、管理层和其他人员。这有利于从源头上防止财务欺诈案件的产生。
(4)财务报告内部控制体现了全过程控制的思想,事前预防、事中控制与事后反馈并举(例如,财务报告内部控制要为防止或及时发现未经授权取得、使用和处置注册人资产提供合理保证);而内部会计控制则是体现了一种事后反馈的思路(例如,内部会计控制要在合理期间内,对现存资产与资产的会计记录之间的任何差异采取恰当的行动提供合理保证)。
在内部控制审计阶段,鉴证范围还存在向非财务报告内部控制拓展的趋势:
首先,从预期使用者角度而言,内部控制审计的需求主要源于监管机构和投资者,财务信息的可靠性是其关注的重点,而财务报告内部控制是保证财务信息可靠性的关键。因此,内部控制审计的范围应以财务报告内部控制为主体,同时由于存在其他预期使用者,内部控制审计的内容应尽可能地兼顾这些预期使用者的要求。
其次,从责任方来说,保证财务报告真实可靠是企业的法定责任,企业的经营管理活动,归根结底要通过财务报告来反映,抓住了财务报告内部控制这条主线,通过对财务报告内部控制的有效性进行审计,并对审计过程中发现的非财务报告内部控制进行披露,在一定程度上抓住了企业经营管理与内部控制的重心和主体,有利于企业强化财务报告内部控制,同时也有利于企业其他内部控制的建设。
最后,从注册会计师的角度而言,财务报告内部控制一直是注册会计师审计所关注的重点,已经形成了一整套对财务报告内部控制进行检查和评价的方法。内部控制审计以财务报告内部控制为主体,同时兼顾非财务报告内部控制,使得注册会计师审计重点突出,有利于降低制度的实施成本。
(四)鉴证标准:由内部控制制度经内部控制结构向内部控制整合框架转变
随着人们对内部控制认识的不断深入,内部控制的概念几经演变,内部控制的鉴证标准也经历了几次变革。
早先,内部控制的鉴证标准是内部控制制度。为了便于注册会计师发表意见,AICPA将企业的内部控制分成内部管理控制和内部会计控制,并在1972年发布的《第54号审计程序公告》中对内部会计控制进行了定义,成为此阶段内部控制鉴证的权威标准。
1988年4月AICPA发布《审计准则公告第55号》,正式以“内部控制结构”取代“内部控制制度”。《审计准则公告第55号》指出,企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序,包括控制环境、会计系统和控制程序。自此,内部控制结构成为内部控制鉴证的权威标准。
1992年,COSO提出了报告《内部控制——整合框架》,认为“内部控制是由董事会、管理当局和其他职员实施的一个过程,旨在为下列各类目标的实现提供合理保证:经营效果和效率;财务报告的可靠性;遵循适用的法律和法规”。基于这三个目标,COSO整合了各方面内部控制的要求,使内部控制包括控制环境、风险评估、控制活动、信息与沟通和监督五个相互关联的要素,并与管理流程整合在一起。因其重要性和科学性,内部控制整合框架很快得到人们的承认,AICPA于1995年正式接受COSO的内部控制整合框架,这意味着内部控制整合框架正式成为内部控制鉴证的标准。
(五)鉴证方法:由“自下而上”的思路向“自上而下、风险导向”的思路转变
传统的内部控制鉴证方法采用了简化主义的认知模式,认为整体是部分的简单相加,通过对部分的了解和评价就可以得出关于总体的结论。在这种认知模式下,注册会计师将主要精力集中于业务流程层面内部控制的了解、测试和评价上,试图通过对业务流程层面内部控制的了解、测试与评价来得出对企业整体层面内部控制的结论。这是一种“自下而上”的思路。方法论上的缺陷使得鉴证的效率与效果均不够理想。
现代内部控制鉴证方法认为整体并非部分的简单相加,通过对部分的了解,可能无法获得对整体的了解。在这种认知模式下,注册会计师首先应测试控制环境和了解财务报表,识别和评估重大错报风险;然后基于风险评估的结果,注册会计师应识别需要测试的重要账户和经营流程。最后,再对流程和账户的内部控制进行测试和评价。这是一种“自上而下、风险导向”的审计思路。采用这种思路不仅能够提高审计的效率而且还能提高审计的效果。
(六)鉴证报告:由自愿性披露向强制性披露的转变
在内部控制审核阶段,内部控制鉴证业务一般是出于自愿而非法律所强制,管理层内部控制自评报告和注册会计师的内部控制鉴证报告是否披露也是自愿性的。
2002年,美国国会发布了《萨班斯——奥克斯利法案》。该法案要求,公司首席执行官、首席财务官或类似职务者必须书面声明对内控设计和执行的有效性负责,并要求对外披露管理层对财务报告内部控制的评价报告,该报告还需经注册会计师审计。其他国家也借鉴了美国的做法。这标志着公司管理层的内部控制自评报告以及注册会计师的内部控制鉴证报告由以前自愿性披露改为强制性披露。内部控制鉴证由自愿性鉴证转变为强制性鉴证,强化了公司内部控制有效性的外部监督机制,将促使管理层重视内部控制,强力推动公司内部控制建设。■
责任编辑 武献杰
相关推荐