在实际审计工作中,对被审计单位企业的内部控制进行,必须有一套客观可行的基本参照标准。这套标准不仅可为企业自我评估和改进其内部控制以及注册会计师发表评价意见提供依据,还可以为各方人士的沟通与理解提供统一的基础。建立内部控制标准体系已经成为一项国际惯例,最具影响力的当属美国COSO委员会于1992年提出的内部控制综合框架公告。美国注册会计师协会认为该报告的提出,具有划时代的意义,其作用如同早期的公认会计原则,其未来在管理界的地位也如今日的公认会计原则一样。正如美国注册会计师协会所预想的,COSO报告很快受到了广泛的认可,很多国家及各专业团体仿效COSO对内部控制进行了重新研究,并采纳其最新理念,发布了自己的文告,形成了自己的内部控制评价标准体系。
我国很多学者对美国COSO报告进行了全面介绍和研究,并运用COSO报告的标准与评价方法,从控制环境、风险评估、控制活动、信息与沟通、监督五个方面对我国一些企业内部控制失败案例进行系统分析,同时建议在COSO报告的基础上建立一套内涵与外延统一、可操作性强的内部控制标准体系。另外还有很多学者则更注重我国传统意义上的内部控制标准研究,即主要以企业的业务系统为评价对象。在考察了以上两种研究态度及成果的基础上,笔者认为我国当前的内部控制评价标准体系的建立应当以前瞻性原则与务实性原则为指导,既要借鉴国际上先进的研究成果,又要结合我国的现实情况,惟有如此,才能真正发挥其加强企业内部管理、推动独立审计事业发展及为市场经济服务的作用。
"体系"一词在《辞海》中被解释为"若干有关事物相互联系相互制约而构成的一个整体"。笔者也认为:体系的基本特征在于它的关联性、全面性、整体性。因此,可以将内部控制评价标准体系定义为:属于内部控制评价标准范畴的有关事物相互联系相互制约而构成的一个内涵与外延相互统一的一个整体。笔者将以前瞻性与务实性原则为指导,在纵横考察西方内部控制评价标准理论与实务的基础上,结合我国国情,重新塑造内部控制评价标准体系。
内部控制评价标准既可以从企业管理与控制目标方面入手,也可以从内部控制要素入手,但无论怎样,都可以分为一般标准和具体标准两部分,一般标准以具体标准为基础,同时也是具体标准的升华,二者相辅相成,缺一不可,共同构成一个完整的体系。一般标准包括三方面:完整性、合理性、有效性;具体标准由内部控制要素评价标准和作业层级评价标准两部分组成。要素评价标准可分为五个方面:控制环境、风险评估、控制活动、信息与沟通、监督;作业层级评价标准因其浩繁复杂,不能穷尽,故笔者以生产性企业为例进行框架构建,亦分为五个业务循环:销售业务循环、购货业务循环、生产业务循环、薪金业务循环、理财业务循环。在内部控制评价的具体标准中,要素评价标准以作业层级评价标准为基础,确切的说就是,作业层级评价标准主要是控制活动要素评价标准的细化,对企业控制活动要素的评价要以作业层级的评价为基础和前提。但这并不意味着其他内部控制要素不体现在企业的业务活动中,恰恰相反,在进行作业层级评价时都会涉及到其他内部控制要素,如控制环境与风险评估要素是渗透在业务活动中的,控制活动的好坏同时也体现着信息与沟通及监督的良莠。本章以下部分将对内部控制评价标准体系详细阐述。
一、内部控制评价一般标准
内部控制评价的一般标准,是指应用于内部控制评价的各个方面的标准,即内部控制制度整体运行应遵循和达到的目标。正如同我国注册会计师执行报表审计的目的是对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见一样,在执行内部控制评价业务时,也应该有一个明确的目标。结合已有的研究成果及法律法规,笔者认为注册会计师执行内部控制评价业务的目标应该是对被评价企业内部控制的完整性、合理性及有效性发表意见,即内部控制评价的一般标准是内部控制的完整性、合理性及有效性。
(一)内部控制的完整性
内部控制的完整性包含两层涵义:一方面是指企业根据生产经营的需要,应该设置的内部控制都已设置;另一方面是指对生产经营活动的全过程进行自始自终的控制。完整性是内部控制评价一般标准中首要的一条,也是其他一般标准的基础。若内部控制的完整性都达不到,则内部控制的合理性与有效性就无从谈起。
完整性标准还要求对内部控制以不同方法进行评价时,都能呈现出一种系统性,如从资源利用角度看,应建立人力资源控制系统、物力资源控制系统、财力资源控制系统、信息资源控制系统。从经营环节看应有供应环节控制系统、生产环节控制系统和销售环节控制系统。
理解内部控制的完整性,还要认识到内部控制本身并不是一种单独的管理制度或者管理活动,也不是所有管理制度或管理活动的综合体,当然也不只是一种管理手段、方法或所有管理手段和方法的总和。其实质上是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。
注册会计师在对内部控制的完整性作出判断时,还应当考虑到企业经营规模及业务复杂程度的影响。一般而言,企业经营规模越大,业务复杂程度越高,则对内部控制完整性的要求就越高。另外,在对内部控制的完整性作出评价时,还应该充分注意到企业控制环境的影响,企业管理当局对内部控制及其重要性的态度、认识等都是内含于内部控制整体性的。
(二)内部控制的合理性
内部控制的合理性同样包括两层涵义:一是指内部控制设计和执行时的适用性;二是指内部控制设计和执行时的经济性。在满足了完整性这条首要标准之后,合理性是对内部控制更深一层次的要求。如果内部控制不具有完整性、则合理性与有效性就无从谈起。同样,若只追求全而又全的各种内部控制措施、方法等,而忽略设计和执行中的适用性和经济性,其结果只能是完全背离实施内部控制的初衷,甚至会给企业的正常生产经营造成负面影响,有效性也同样成了无稽之谈。
在评价内部控制的合理性时,适用性是首要的。它是指企业所建立的内部控制制度适应企业的特点和要求。各行业及个企业由于其组织规模、交易性质、经济技术条件、人员素质等所存在的差异,就相应地需要制定出不同的特点的内部控制控制,照搬其他企业的做法是行不通的。对某一特定企业来说,评价其内部控制的适用性要注意以下内容:控制点的设置是否合理;有没有安排过多或不必要的控制点;在每一个需要控制的地方是否都建立了控制环节;控制职能是否划分清楚;人员间的分工和牵制是否恰当,即既不能分工过细,又能起到相互牵制的作用。
然而,内部控制的适用性要以经济性为限制条件。内部控制的最终目的是提高企业的经济效益,减少低效和投资浪费,因而制定内部控制要以成本效益原则为指导。一方面内部控制的设计和运行应有重点,对企业经济活动有重要影响的部门和环节应实施强有力的控制;另一方面要在实行内部控制所花费的成本和由此产生的经济效益之间保持适当的比例,即因实行内部控制所花费的代价不能超过由此而获得的效益,否则,就得不偿失。
(三)内部控制的有效性
内部控制的有效性也有两层涵义:一是指企业的内部控制政策和措施没有与国家法律法规相抵触的地方;二是指是指设计完整、合理的内部控制在企业的生产经营过程中,能够得到贯彻执行并发挥作用,实现其为提高经营效率效果、提供可靠财务报告和遵循法律法规提供合理保证的目标。有效性是内部控制的精髓,如果一种内部控制制度不能实现"有效控制",则实质上就不存在什么内部控制制度了。在内部控制评价的三个一般标准中,内部控制的有效性以其完整性与合理性为基础,内部控制的完整性与合理性则以其有效性为目的。若不具有完整性与合理性,则内部控制的有效性无从谈起;同理,若没有了有效性,则内部控制的完整性与合理性也就丧失了基本的意义。
在评价内部控制的有效性时,第一层涵义即不与国家法律法规相抵触是前提,只有满足了这一点,才能考虑其执行的效果。而第二层涵义对企业来说则是根本性的,也是企业的追求目标。如果只满足了合法合规的前提,而在实际中根本不予执行或执行起来达不到预计效果,则内部控制对此企业来说就相当于不存在。
有效性要求内部控制制度能有效地防止错误与弊端的发生,产生效率和效益。这不仅仅需要内部控制总体上是有效的,而且需要各项具体制度也要有明确的目的并发挥其自身的作用。因此,内部控制系统要相互协调,决不能顾此失彼、自相矛盾,既要有制约作用,又要有协调机制,以有利于整体功能的发挥。控制要适度,过严会使管理活动失去生机,影响职工积极性的发挥; 过宽又会引起运行的机制失调,达不到控制目的。任何制度都要有利于管理者和职工群众的理解和执行,因此要简明扼要、方便易行、讲究实效。
以上三个标准属于评价内部控制的一般标准,把这些标准结合,实质上就是要对被审查企业的内部控制发表评价意见,或者说是对企业管理当局出具的内部控制声明书中的认定是否允当发表意见,因为管理当局在其出具的内部控制声明书中应当对本企业内部控制的完整性、合理性和有效性作出认定。
二、内部控制评价的具体标准
内部控制评价具体标准是指应用于内部控制评价具体方面的标准,是具体内部控制制度运行应遵循和达到的目标。内部控制评价具体标准是一般标准的基础,一般标准是具体标准的升华。注册会计师在对内部控制进行评价时,只有先从操作性较强的具体标准入手,对具体内部控制的设计与运行有了认识之后,才能通过总结、升华,从整体上对企业内部控制的完整性、合理性和有效性作出判断。
内部控制评价的具体标准还可以分为两个层次:第一层次是内部控制要素评价标准;第二层次是内部控制作业层级评价标准。借鉴美国COSO报告的研究成果,内部控制组成要素包括控制环境、风险评估、控制活动、信息与沟通、监督五个。每一个要素又可以再分为更多的项目,例如控制环境要素涵盖的项目就有操守及价值观、执行能力、董事会、管理哲学及经营型态、组织结构、权责分派体系、人力资源政策及实行等。至于作业层级评价标准主要是控制活动要素的细化,控制活动是确保管理阶层的指令得以实现的政策和程序,旨在帮助企业保证其已针对"使企业目标不能实现的风险"采取了必要的行动。控制活动是针对控制点而制定的,企业一般根据其生产经营活动的特点来设计控制活动,所以,作业层级评价标准比内部控制要素评价标准更繁杂。在以上标准体系图中,笔者仅以生产性企业为例对作业层级标准进行构造。
一个企业的具体内部控制浩繁庞杂,因此,无论是设计内部控制制度要素评价标准,还是作业层级评价标准,都需要有一个较为统一的评价标准模式。笔者认为,评价标准模式可以按以下层级设计:
(1)控制目标。在实际工作中,管理人员和审计人员总是根据控制目标,建立和评价内部控制,因此,设计评价标准模式,首先应根据经济活动的内容特点和管理要求提炼内部控制目标;
(2)控制点。各项控制目标分别需要通过若干相应的控制因素予以实现,而这些控制因素作用的发挥,则是根据某些容易发生错弊的业务环节特点进行针对性控制。这些可能发生错弊的业务环节,称为控制点;
(3)控制措施。不同的控制点,有着不同的业务内容和控制目标,因此需要采取不同的控制手续和方法,才能预防和发现各种错弊。这些为预防和发现错弊而在某控制点所运用的各种控制手续和方法等,即为控制措施。按此模式进行内部控制标准构造,不同行业、企业为实现控制目标所采取的控制措施可能相去甚远,不能穷尽,需要注册会计师根据具体情况,运用职业判断能力进行确认,故略去。王会杰