第二章内部控制评价理论与方法
一、评价理论与方法
评价,是依据明确的目标来测定评价客体的属性,并将其属性转变为客观定量数值或者主观效用的一种行为。评价本质上是对评价客体进行‘‘价”的评定,即对评价客体的价值进行评定的过程,它通过对评价客体属性的定量化评价,实现对评价客体整体效用水平的量化表述,从而揭示事物的价值或发展规律。
评价是决策的基础,评价一般包括两个基本点:其一,基于评价目标的指导,对评价客体进行系统分析,构建评价指标体系及确定对应的权重体系;其二,测定评价客体的相关属性,并将其转变为评价主体的主观效用[38]。
评价,是一个系统,由评价主体、评价客体和评价中介或评价手段等多个相互联系、相互作用的要素或子系统形成,其中,评价手段包括评价方法、评价程[39]序、评价信息等,如图3-1所示。在评价系统中,评价理论与方法是核心问题。
(一)评价理论体系
评价理论体系是一个综合体,由评价活动和研究中的各种理论共同构成,对评价活动与研究有着不同程度上的影晌。学术界对评价理论体系的构建研究从多个角度进行,目前,主要形成三种角度的评价理论体系:其一,基于具体评价活动过程的角度;其二,基于学科的角度;其三,基于应用的角度。
1、基于评价活动过程的评价理论体系
评价活动的具体开展需要理论与方法的支持,而完整的评价理论与方法体系一般由表现评价活动同一性的评价方法论、面对不同客体的评价理论基础和基本理论模型、众多具体评价方法及应用模型、评价过程管控的办法与规范等四个部分组成。具体的评价活动,是在评价方法论的指导下,根据评价对象的属性、评价要求和条件,结合相关理论,选择、设计合适的评价方法,进而加以运用,同时在整个评价活动过程中还需要管理和控制。据此流程,基于评价活动过程的评价理论体系可如图3-2所示。本文对内部控制进行评价,正属于该理论体系的应用。
2、基于学科的评价理论体系
学术界将基于学科的科学评价理论体系一般分为3个部分:其一,为评价基础理论部分,包含评价的概念体系、内容体系、对象体系和基本理论等;其二,为评价方法体系部分,包括评价方法、评价程序和评价模型等;其三,为学科理论部分,是指评价作为一门学科相关的理论研究问题,如学科性质、相关学科、研究对象和研究内容等。
3、基于应用的评价理论体系
基于应用的评价理论体系,是指基于评价的应用范围的角度而归纳的理论体系,且在每一个应用范围里都有不同的评价方法、技术、应用背景和条件等。评价的应用范围十分广泛,如在科学工作、自然、经济、管理等方面。该评价理论体系一般也主要分为3个部分:其一,应用范围;其二,应用原理与方法,如评价方法、技术与应用背景等;其三,案例与实证,是指各种评价方法、原理在各领域应用的成功案例和实证。
(二)评价目的
评价活动开展的第一步即是对评价目的的确定,后续的评价工作是根据评价目的进行选择、设计的。目前,评价目的一般分为三类:其一,分类,对评价客体根据相同或者相近的属性,进行研究分类;其二,排序,将评价客体在同一类中按照一定的标准进行排序;其三,整体性评价,即对评价客体进行评价和比较,得出整体性的评价,査缺补漏,对不足的地方及时采取改进措施。本文对企业内部控制进行评价,是对企业内部控制体系的整体性进行评价,评价活动应依据整体性评价的目的进行具体程序、方法等的计划和安排。
(三)评价方法
不同的评价目的,选择不同的评价方法。评价的方法,不是主观了想的事物,而是人类实践活动的经验和认识的总结。经过长期的、不断进步的总结和研究,评价方法有很多,并且每种评价方法均有其特有的操作模式或数学模型,目前评价方法仍在不断的创新。对于众多的评价方法,一般将其分为三类:其一,基于专家知识的主观评价法;其二,基于数据统计的客观评价方法;其三,基于系统[38] 124-125模型的综合评价法,如表3-1详细所示 。目前对于评价方法的使用,较少的使用单一方法进行评价,而较多综合多种评价方法进行评价活动,从而保证评价结果的尽可能准确。
二、内部控制评价
在对前文评价理论与方法回顾、概述的基础上可知,内部控制评价是属于“基于评价活动过程的理论体系”的评价,是以对企业内部控制体系的整体性评价为目的,并应根据该评价目的,结合其理论体系,对内部控制评价体系进行设计和调_。下文在借鉴其他学者研究成果和《企业内部控制评价指引》的基础上,对内部控制评价体系进行描述,并重点对内部控制评价方法进行介绍。
(一)内部控制评价体系
1、内部控制评价体系
前文中已经提及,内部控制评价是围绕内部控制的设计和运行的有效性展开评价。企业内部控制是一个整体,基于企业风险管理框架,内部控制应包括内部环境、目标设定等八要素,内部控制的各构成部分在互相配合的基础上发挥作用。
企业为了对内部控制进行充分、合理、有效的评价以实现目标,就需要对内部控制整个系统进行评价。因此,一个完整、有效的内部控制评价体系应涵盖:评价原则、评价目的(目标)、评价主体、评价客体(内容)、评价标准、评价程序、评价方法、评价缺陷认定及评价报告企业开展内部控制评价应遵循该评价体系。
2、内部控制评价体系的基本框架
(1)内部控制评价原则
内部控制评价原则是开展评价工作应遵循的原则,对内部控制评价工作具有指导意义。根据《企业内部控制评价指引》规定,企业在执行内部控制评价时至少应遵循以下三个原则:
a、全面性原则。评价工作应包含内部控制的设计与运行,评价范围应包括企业和其下属单位的各项业务或事项。
b、重要性原则。评价工作应以全面性原则为基础,坚持以风险为导向和重点突出的思路,着重关注重要业务单位、重大业务事项和高风险领域。
C、客观性原则。评价工作应准确揭示经营管理的风险状况,客观反映内部控制设计与运行的有效性情况。只有在设计和运行过程中一贯保持客观性,才能确保获得的最终评价结果的客观性。
企业应当以内部控制评价指引为依据,结合内部控制具体情况,制定具体的评价计划,应涵盖内部控制评价的原则、目的、主客体等要素内容,明确规定相关单位或岗位的职责权限,坚持贯彻责任制,按照计划开展内部控制评价工作。企业董事会应对内部控制评价报告的真实性负责。
(2)内部控制评价目的
企业内部控制评价的目的,是对内部控制的设计和运行有效性进行评价以促进内部控制体系不断改进和完善。内部控制评价的目的与内部控制的目标紧密相连。我国在借鉴COSO的基础上提出,企业风险管理框架中内部控制目标应包括:战略目标、经营目标、财务报告目标和合规目标。因此可以说,内部控制评价的目的是,通过对内部控制的不断改进和完善来实现内部控制整体目标,进而降低企业的经营风险。具体来说,内部控制评价的目的一般可以分为:从企业管理角度出发,对企业内部控制体系进行综合评价,促进企业经营管理水平的提高和整体目标的落实;响应相关机构、法律法规的要求,如财政部、证监会、深圳证券交易所等对加强企业内部控制评价的要求;服务于注册会计师的审计工作,基于企业内部控制有效性评价以提高审计工作效率等。
(3)内部控制评价主体
内部控制评价主体,是指开展内部控制评价工作的机构或组织。《企业内部控制评价指引》中对企业主体并未进行明确的规定,但从对内部控制评价的定义中可知,评价主体应包括企业董事会或类似权力机构。总结现有的研究和评价实[41]践操作,内部控制评价主体一般可归为两类:内部评价主体和外部评价主体,且评价主体内涵随着科技的进步、企业性质的变化以及内部控制的发展得到了不断丰富。内部评价主体一般包括董事会、监事会、审计委员会、管理层、内部审计机构以及全体员工,而外部评价主体主要包括注册会计师、政府、证券交易所和广大投资者等。
依据不同的评价目的,不同的评价主体对企业内部控制进行不同的侧重的评价。对董事会层面的内部控制进行评价,由股东大会委托监事会进行监督;对企业整体层面以及日常管理层面的内部控制评价,由董事会、审计委员会进行监督,委托内部审计机构具体执行,或者聘请外部会计师事务所进行评价活动,具体流程如图3-3所示。评价主体内涵丰富,在不同的内部控制评价层面有不同的评价主体,董事会、监事会等公司治理层机构根据自责对企业的内部控制评价负责,[42]具体执行评价主体则是企业内部审计机构或者会计师事务所人员。
(4)内部控制评价客体
内部控制评价客体,是指内部控制评价主体在什么范围内对什么进行评价,即是在企业范围内对内部控制的有效性进行评价。内部控制有效性,是指企业现有内部控制体系合理保证控制目标实现的程度,主要包括内部控制设计与运行的有效性。内部控制设计有效性,是指为确保内部控制目标实现,所需要的内部控制有关要素都存在且设计合理。内部控制运行有效性,是指依照确定的程序,现有内部控制得到了准确执行。内部控制运行有效性评价时应当关注:相关内部控制在评价时段内是如何运行;相关内部控制能否得到一贯执行;实施内部控制的有关人员是否拥有应有的能力和权限。
(5)内部控制评价标准
为了保证内部控制评价的科学而有效,须建立一套合理的内部控制评价标准,目前学术界普遍将内部控制评价标准分为一般评价标准与具体评价标准。
a、一般评价标准,是指可运用于内部控制所有方面的评价标准,包括完整性、合理性与有效性。完整性,是指设计内部控制评价的标准应包涵企业业务经营的各个方面,及时识别存在的可能风险点,并包括企业生产经营活动的全过程。理性,是指企业应基于具体经营环境和客观状况,建立适合于自身的内部控制体系,从而确保资源浪费的减少以及企业经济效益的提高。有效性,是指企业设计内部控制的政策和程序,不应抵触相关法律法规,应满足法律法规的要求,并且对设计好的内部控制应进行持续有效的执行。有效性以完整性和合理性为基础,且有效性是完整性和合理性的升华 。”
b、具体评价标准,是指企业在进行内部控制评价的具体过程中应该遵循的各项标准。通常情况下,内部控制评价具体标准分为要素评级标准和业务层次标准。内部控制包括内部环境等要素,每一个要素又可以细分为多个子要素,如内部环境要素可以分为风险管理理念、风险容量等子要素,这些要素构成了要素评价标准的内容。业务层次标准是对要素评级标准的进一步细分。每一要素包括多个控制活动来确保公司治理层的目的和指令得以实施,业务层次标准是指针对这些控制活动流程中的风险控制点进行评价并设计应对措施的标准。这两个层级标准相辅相成,在具体内部控制评价过程中,应根据实际情况将这两个层级标准结合起来。
(6)内部控制评价程序
根据《内部控制评价指引》规定,内部控制评价程序可分为:制定评价工作计划、组成评价工作组、实行实地测试、认定控制缺陷、归纳结果、编报评价报告等。企业内部控制评价主体应根据不同的评价目的,明确各自监督或执行的职责,按照具体的评价程序,有序开展内部控制评价。
(7)内部控制评价方法
评价方法有很多,对内部控制进行评价的方法相应的也有很多。本文将在后面对内部控制评价方法进行详细介绍。
(8)内部控制评价缺陷认定
企业采用评价方法对内部控制进行评价之后,需要对其内部控制的不足进行缺陷认定。内部控制评价是对内部控制设计和运行的有效性进行评价,相应的,内部控制缺陷应包括设计和运行两方面的缺陷。评价主体根据评价过程中获取的证据、资料,在日常监督和专项监督的基础上,对内部控制缺陷进行初步认定,然后经过相应的审定机构进行最终确认。
内部控制缺陷一般根据影响的程度,可以分为重大缺陷、重要缺陷和一般缺陷。根据《内部控制评价指引》的规定,重大缺陷是指可能造成企业严重偏离控制目的的一个或多个控制缺陷的组合;重要缺陷是指严重程度略低于重大缺陷,但仍有可能造成企业偏离控制目的的一个或多个控制缺陷的组合;一般缺陷是指不包括重大缺陷和重要缺陷的其他控制缺陷。重大缺陷和重要缺陷通常需进行上报,由董事会最终确认,并讨论应对措施。
(9)内部控制评价报告
内部控制评价报告是对内部控制系统性总结的评价报告,是内部控制评价系统的最后环.节。评价主体在完成内部控制评价工作后,应以报告的形式描述评价结果尤其是初步认定的缺陷,并在报告中针对控制缺陷提出改进建议。评价报告根据报送的对象和时间,一般可归类为对内评价报告和对外评价报告。对内评价报告,一般以企业董事会、管理层为报送对象,评价报告的内容详细、格式具有 :‘多样性,根据报送对象的要求,报告时间可以分为定期和不定期。对外评价报告,是以股东大会、广大投资者等为报送对象,评价报告的内容和格式根据《内部控制评价指引》的要求,具有特定的模式,时间具有强制性,为年度的评价报告,企业应以12月31日为内部控制评价报告的基准曰,经过审核批准后,并应于基准日后的4个月内进行报送,即对外披露。
(二)内部控制评价方法
内部控制评价的方法众多,可以从宏观和微观的角度对其进行分类。宏观的评价方法,是指内部控制评价的总体方法思路;微观的评价方法,是指具体操作的内部控制评价方法。
1、内部控制宏观评价方法
企业内部控制框架为内部控制有效性评价提供了标准。根据内部控制框架或评价标准,因选择的切入点不同,可以采用不同的评价方法思路。目前,内部控[43]制评价的总体方法思路主要有两种:详细评价法和风险基础评价法。
(1)详细评价法
1992年,COSO在颁布的《企业内部控制——整合框架》中提出,确定内部控制体系是否有效,是在评估内部控制五要素是否存在、是否发挥作用的基础上进行的主观判定。2004年,COSO在《企业风险管理——整合框架》中还指出,确认企业风险管理有效是否,是基于对风险管理八要素是否存在、是否运行有效的评估上进行的判断2003年,在SOX法案第404节规则和之后的管理层评价指南中,美国证券交易委员会均指出内部控制评价的程序应能够对财务报告内部控制的设计和运行有效性进行评价。据此,很多企业和会计师事务所在实际内部控制评价操作中都遵循这一思路,即:以内部控制框架为参照物,根据其构成要素是否存在,以评价内部控制的设计是否有效,同时运用评价方法测试内部控制的运行是否有效,最后综合设计和运行的评价结果对内部控制总体有效性进行评价,评估企业内部控制目标的实现风险[45]。
详细评价法的主要特点是从控制到风险,即首先依据内部控制标准框架对设计和运行进行评价,判断缺陷或实质性漏洞是否存在,最后对内部控制的有效性和目标实现风险进行综合评价。该方法从总体上没有太大的问题,并且具有很强的可行性,但是,在使用过程中,可能在依据企业内部控制标准框架进行内部控制设计有效性评价上存在问题。内部控制标准框架的构成要素和目标使用于整个内部控制体系,在考虑任何一类目标的控制之时,所有要素都应该被满足,这样才能得出财务报告相关的内部控制有效的评价结论。不过,内部控制框架的构成要素之间具有相辅相成的关系,相互补充、相互渗透,因此,在要求所有要素都被满足的条件下,并不意味着任何企业都应该对每一个构成要素都绝对执行。内部控制的各构成要素之间存在一定的平衡性,在存在多个控制目标的情况下,一个构成要素的控制可能也能满足另一个构成要素需要实现的目标。
综上所述可知,内部控制框架仅仅是描述了 一个有效的内部控制体系所应该具备的各要素,具有通用性,但是,如果在内部控制评价过程中简单使用依次对应的办法,对内部控制设计有效性进行评估,则可能出现两个问题:其一,提高成本,降低效率;其二,评估结论可能存在偏差。不同的企业,并不是当与内部控制框架完全一致时,才具备有效的内部控制,并且各构成要素与内部控制目标的相关性和对其重要性存在不同,一一对应进行评价,必然会出现过多的不必要工作,使得成本升高、效率降低。由于内部控制的各构成要素之间存在一定的平衡,当企业内部控制体系有效时,内部控制各构成要素并不一定与内部控制框架是一一对应的,因此,采用详细评价法反而会出现评价结论的偏差或者错误。这两个问题在内部控制评价实践过程中已得到体现,如COSO在2006年又补发了《较小规模公众公司财务报告内部控制指南》,但这远远还不够。
详细评价法,目前在我国使用的还比较多,主要因为该评价方法思路在内部控制建设和保持阶段,有很大的适用性,而我国企业内部控制大部分还处于该阶段。但对内部控制有效性进行年度评价时,则如前文所说,该方法存在很大的不足。
(2)风险基础评价法
风险基础评价法,与详细评价法的特点正好相反:> 是从风险到控制。首先,对内部控制目标的实现风险进行评估;其次,识别并确定是否存在应对这些风险的控制措施,即评价应对目标实现风险的相关内部辑制的设计是否有效;第三,识别并搜集内部控制有效运行的相关证据,评价现有内部控制的运行是否有效;最后,评价内部控制缺陷,判断缺陷是否为实质性漏洞、内部控制整体是否有效不同的内部控制目标,其实现风险和缺陷的内涵是不同的,因此,在评价不同的目标时需要做不同的设定。
风险基础评价方法思路,是对“自上而下”和“风险基础”这两种理念的充分展现。“自上而下”理念体现在:是从财务报表的整体层面开始,到具体的账[45117户、披露;是从公司层面的整体内部控制开始,到业务层面的具体内部控制 。
“风险基础”理念表现在:以内部控制目标的实现风险评估为起点;对财务报告和披露的风险与问题进行重点关注;根据风险评估结果,有选择的搜集证据和确定测试场所;对内部控制是否有效的判断是以内部控制能否有效防止或识别财务报表中的重大错报为基础的,该评价结论也是以风险为基础的。2007年,美国证券交易委员会(SEC)和美国上市公司会计监督管理委员会(PCAOB)分别发布的管理层内部控制报告指南和内部控制审计准则,都釆用了风险基础评价方法这一思路。
风险基础评价法相对于详细评价法具有明显的优势,以风险为导向对内部控制进行针对性评价,可以降低成本、提高效率,并且评价结果更加具有针对性和专业性。从内部控制评价的发展趋势来说,风险基础评价法必然是以后发展的方向。不过,该方法对评价主体的专业性要求则更高,因为在评价过程需要很多的判断,如评价内部控制控制目标实现的风险等,若判断存在偏差,则会导致后续评价存在差错。所以,为保证风险基础评价法的顺利运用,应加强评价主体的专业知识和判断能力,从而得到有效、可靠的评价结果。
2、内部控制微观评价方法——综合评价法
在上述两种评价方法思路的基础上,衍生出众多的具体内部控制评价方法。传统的内部控制评价方法有个别访谈法、抽样检查、实地查验、穿行测试法和比较分析法等。这些传统方法主要是对内部控制进行定性评价,比如个别访谈法主要是根据事先准备的框架,对被评价企业的工作人员进行独立访谈,了解企业内部控制的现状,并形成评价底稿,存在很大的主观性,访谈人员的变动可能会使得评价结果产生偏差,且定性的评价结果无法进行横向和纵向的比较。另外,传统的内部控制评价方法主要是基于审计中的内部控制测评程序需要,在进行内部控制测评的过程中,可能无法对企业内部控制整体有效性进行评价。
基于此,学术界对内部控制定量评价法进行研究,借鉴评价方法的现有成果,提出了德尔菲法、层次分析法、模糊评价法、熵(shang)值法、主成分分析法等内部控制定量评价的方法。这些内部控制评价方法各有所长,在实际操作中,一般根据具体目标需要进行选择搭配。最常用的内部控制评价方法是将层次分析法和模糊评价法相结合的综合评价法,受到大部分的学者认可。
层次分析法(The Analytic Hierarchy Process,即AHP),是美国学者萨蒂(T.L.Satty)于20世纪70年代提出来的一种定性与定量相结合、多目标、系统化和层次化的决策方法。该方法的基本思路是:将一个比较冗杂的问题分化成若干构成因素,并依据控制与影响的关系,形成层次性结构,而后釆用两两比较的办法明确各因素之间的相对重要性,最后计算各因素的权重,并以此为基础实现对不同决策方案的排序。层次分析法与人类对冗杂问题思考判断的过程大体上相似,其最大的优点是具有系统性和层次性,且简介而又实用。
模糊评价法,是由美国两位学者L.A.Zadeh和R.E.Bellman于20世纪60年代一起提出。该评价方法是在综合模糊数学和模糊关系合成原理的基础上对不一定量的因素进行量化的方法,打破了对于事物的区分“非此即彼”的传统认识,它认为有一种“亦此亦彼”的过渡状态存在于两个清晰的状态之间。通常事件的不确定性可以分成两类:其一,事件发生的不确定性;其二,事件本身状态的不确定性,即事件状态存在模糊性。模糊评价法一般分为三个步骤:第一步,明确被评价对象的因素集与评语集;第二步,确定各因素的权重与隶属度,并建立模糊评价矩阵;第三步,将因素的权重与模糊评价矩阵进行归一化的模糊运算,并获得最终评价值结果。
企业内部控制评价的特点,决定了选用将层次分析法和模糊评价法相结合的综合评价法是必然的。首先,内部控制评价是对内部控制目标的实现风险进行评价,而内部控制目标包括战略目标、经营目标、财务报告目标和合规目标,而这些子目标又可以按照影响因素等再进行细分,具有一定的层次性,层次分析法正好符合这特点。其次,对于一些内部控制评价指标,尤其是定性评价指标很难严格界定其评价标准,如在利用发展战略、企业文化建设情况等定性指标来评价企业内部控制时,只能用模糊的语言——“优、良、中、差”等来表述,很明显,该情况下采用传统的评价方法就存在阻碍,但若基于层次分析法确定各层指;标权重,然后运用模糊评价法计算评价结果,就能在很大程度上解决这一障碍。
最后,企业内部控制评价是对整体的一种综合评价,单一的定量评价指标或定性,评价指标均无法获得使人认可的结论,所以必须运用定性评价指标和定量评价指标相结合的方法,而将层次分析法和模糊评价法相结合的综合评价法正是这一种方法。