内部控制有效性的分析与分析：环节、模式与范围_企业内部控制基本规范论文

内部控制有效性认定辨析：环节、方式、范围，本文主要内容关键词为：内部控制论文,环节论文,有效性论文,方式论文，此文献不代表本站观点，内容供学术参考，文章仅供参考阅读下载。

      中图分类号：F230 文献标识码：A 文章编号：1005-0892(2015)01-0122-07

      本世纪初，举世瞩目的“安然事件”和《萨班斯-奥克斯利法案》激活了中外学者对内部控制的研究热情。在2008年发端于美国但影响全球的金融危机后，我国财政部等五部委陆续出台并构建了以“一个基本规范”和“三个指引”为基础的内部控制规范体系，内部控制成为理论与实务研究的热点议题之一。据统计，在《经济研究》、《管理世界》、《会计研究》等七种主要的关于会计和经济的重要期刊中，2000-2010年以内部控制为主题词的研究文献达到236篇，其中，《会计研究》中的相关文献就有100篇(朱华建等，2011)。[1]从已有文献的研究内容看，内部控制的研究热点主要集中在四个方面，即内部控制执行、内部控制评价、内部控制信息披露和内部控制审计。作为最为重要的内部控制研究主题之一，内部控制评价和监督评价受到学者们的广泛关注，研究文献达到36篇。内部控制系统评价的重要任务之一就是评价内部控制的有效性，为企业利益相关者利用财务报告信息决策提供合理保证。现实中，尽管我国已经初步建立了“应用+评价+审计”的内部控制规范体系(王蕙芳，2011)，[2]但学者们对于内部控制有效性的研究主要集中在三个方面，即内部控制有效性的内涵、影响因素及有效性评价。然而，无论是理论还是实践，内部控制有效性认定都是内部控制不可或缺的重大议题。由于对内部控制有效性的内涵和外延界定不清，导致内部控制在有效性认定方面存在三大困惑：从环节上看，是设计有效还是执行有效？从认定方式上看，是目标实现程度还是重大缺陷程度？从认定范围上看，是部分目标有效还是全部目标有效？本文拟从内部控制有效性认定的上述三个方面进行分析。本文认为，执行有效才是内部控制有效的终极目标，设计有效应服务于执行有效。内部控制目标实现与内部控制有效并非互为充要条件，内部控制目标根据其内容不同可分为两个层次(合理保证层和促进实现层)，合理保证层包括报告目标、合规目标、资产安全目标，促进实现层包括战略目标和经营目标。

      本文可能的理论贡献是：(1)只有执行有效才是内部控制有效，设计有效是执行有效的前提，它应服从和服务于执行有效。(2)将内部控制有效性的认定方式划分为基于“目标实现观”的“肯定式”认定和基于“重大缺陷观”的“否定式”认定，尽管“否定式”认定比“肯定式”认定更简单和容易实现，但“肯定式”认定仍是内部控制有效性的判断基础。本文尝试建立三级内部控制有效性认定与四级内部控制缺陷间的对应关系：与重大缺陷对应的是内部控制无效，与重要缺陷对应的是内部控制基本有效，与一般缺陷和零缺陷对应的是内部控制有效。(3)内部控制目标应分为两个层次：“合理保证层”和“促进实现层”。内部控制为报告目标、合规目标、资产安全目标提供合理保证，但只能促进经营目标和战略目标的实现，不应将内部控制的功能万能化。与内部控制目标的层次相对应，内部控制的有效性认定也应分为“合理保证”认定和“促进实现”认定。

      二、认定环节：设计有效还是执行有效

      KPMG在《内部控制实务指南》中强调，内部控制有效性包括设计有效性和执行有效性两方面，并指出保证内部控制有效性需要一个持续的监督过程(周小燕，2010)。[3]以本文的理解，内部控制有效性应包括静态有效和动态有效两个方面，前者是指设计有效，即内部控制制度建设符合单位的特点，能够覆盖单位风险控制节点且满足全面性、重要性、制衡性、适应性和成本效益原则；后者是指执行有效，即设计合理的内部控制制度能够在实践中得到贯彻和落实。很显然，为了实现设计有效，在内部控制制度设计方面，要充分考虑内部控制五大目标实现的可能性，尽可能在设计环节做到全面、细致，这在客观上导致内部控制制度成为囊括一切的“字典”，典型表现就是我国大型国有企业聘请国际著名的四大会计师事务所为其设计的内部控制制度成为厚厚的“大部头”作品，由于“超越”企业的实际情况而束之高阁，弃之不用。事实上，在内部控制设计有效还是执行有效的选择上，一直面临着尴尬的境地：一方面，为了实现设计有效，内部控制制度构建要求全面、系统、细致；另一方面，基于效率和成本效益原则的限制，设计有效的内部控制又很难应用于实践，这充分暴露出内部控制在“设计有效”和“执行有效”之间存在着相互替代的“跷跷板”效应，设计有效的内部控制制度很难在实践中得到执行，而现实中得以执行的内部控制制度又很难符合设计有效的要求。

      在我国，设计有效和执行有效的矛盾更为突出，其原因可以从以下两个方面来探究：

      第一，内部控制设计者大都依据COSO发布的《内部控制——整体框架》(简称IC-IF92)和《企业风险管理——整合框架》(简称ERM-IF2004)，我国借鉴这两个报告出台的《企业内部控制基本规范》所搭建的内部控制框架被学者概括为“三个五”，即五个目标(报告目标、合规目标、资产安全目标、经营目标与战略目标)、五条原则(全面性、重要性、制衡性、适应性和成本效益性)、五个要素(内部环境、风险评估、控制活动、信息与沟通、监控)。从本源上看，由于固守形式主义研究传统，以COSO报告与《企业内部控制基本规范》“三个五”为框架所设计的内部控制制度，看不到不同类型企业内部控制与风险管理的“个性”特征。在连篇累牍的内部控制制度中，彰显的是各种不同类型的企业在内部控制与风险管理上的“共性”特征，包括在控制目标、控制要素、控制机制等方面的“共性”特征(李心合，2013)。[4]基于“共性”特征设计的内部控制为了做到设计有效，唯一的途径是追求“全面性”，看不到事关执行有效“适应性”原则的影子，最后的结果是内部控制制度将财务活动和管理活动等各项活动“全覆盖”，治理层面、管理层面和操作层面“全包括”，纵向组织体系和横向组织体系“全进入”，高管人员、中层管理人员和普通员工“全员工参与”(李心合，2013)。[4]设计者为了实现设计有效，完全忽略了内部控制制度执行中的效率性、适应性以及成本效益原则的限制。

      第二，内部控制制度执行者和设计者的相互脱节。我国企业的内部控制制度一般是执行者委托第三方为其设计，作为设计者的第三方一般都是单位的“外部人”，尽管作为外部人的内部控制制度设计者有丰富的设计经验，并且对企业的实际运行情况进行调研。但由于企业实际运行的复杂性，设计者对企业的实际运行情况很难做到了然于心，在设计内部控制制度的过程中，更重要的是基于“全面性”和开脱设计责任的考虑，设计者的设计目标被唯一地简化为“设计有效”，由此导致的最终结果是：内部控制制度设计有效的“形式”高于其执行有效的“实质”，在实践中表现为设计过度和执行不足同时并存。

      实际上，内部控制的设计过度和执行不足如同一枚硬币的正反两面，必定会同时出现，内部控制的过度设计是其执行不足的重要原因之一。

      内部控制“设计有效”和“执行有效”之间存在的替代效应，带来的直接后果是顾此而失彼，内部控制有效性到底应侧重于“执行”还是“设计”呢？毋庸置疑，执行有效才是内部控制制度最终的目标所在，当设计有效与执行有效出现矛盾时，应以执行有效为基础。然而在实践中，执行有效知易行难，忽略执行有效的内部控制设计只能是“水中花”与“镜中月”。那么，如何才能做到执行有效呢？

      第一，以执行有效为基础设计单位的内部控制制度，为此在设计内部控制制度时应充分考虑“适应性”和“成本效益”原则，在遵从COSO报告内部控制基本框架的同时，应凸显企业具体的业务、规模、企业文化等“个性”特征。

      第二，建立风险管控为导向的内部控制制度。内部控制本质上是组织的内部风险控制机制(丁友刚和胡兴国，2007)，[5]因此，应基于内部控制管控企业风险而构建内部控制制度，具体需要做到：

      (1)全面梳理企业的业务流程，并查找最主要的风险控制点。

      (2)就企业风险控制点进行针对性的内部控制制度设计，将风险控制在风险容量之内。

      (3)将内部控制制度应用于实践，接受实践检验。

      (4)参照“精益管理”的思想，依据内部控制实际运行情况，进行定期修订和持续改进。

      需要指出的是，强调内部控制执行有效并不是忽略内部控制设计有效。显然，设计有效是执行有效的前提，执行有效是设计有效的目标所在，设计和执行二者是密不可分的，只有在内部控制的设计环节充分考虑执行环节的实际情况，内部控制的有效性认定才能从设计有效落实到执行有效。

      三、认定方式：目标现实程度还是重大缺陷程度

      界定内部控制有效性的关键是界定内部控制有效性的内涵和外延，成熟的观点有二：目标实现观与重大缺陷观。

      (一)目标实现观

      作为主流的观点，“目标实现观”认为有效的内部控制就是要实现内部控制的目标，且内部控制目标的实现程度就是内部控制有效性程度(陈汉文和张宜霞，2008；COSO，2004；张颖和郑洪涛，2010)。[6，10-11]我国的《企业内部控制基本规范》指出，“内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略”；学者们将其概括为：合规目标、资产安全目标、报告目标、经营目标、战略目标五个方面。①然而，目标实现并不完全等同于内部控制有效，内部控制有效不是目标实现的充分条件，目标实现也不是内部控制有效的充分条件，原因可以从以下两个方面来分析：

      首先，实现了内部控制目标但内部控制不一定有效。决定五大目标实现的因素不仅包括内部控制制度，还包括公司治理制度、企业管理制度、外部监管制度等，内部控制制度并不是唯一可以促进实现五大目标的因素。公司治理与企业管理制度对内部控制存在着“替代作用”，二者同样可使企业实现内部控制的五大目标，这可以解释我国许多企业在建立内部控制制度之前，内部控制的五大目标为什么照样可以全部或部分实现。

      其次，有效的内部控制不一定能实现目标。一方面，因为内部控制为目标实现提供的是“合理保证”而不是“绝对保证”。“绝对保证”的有效性概率是100%，而“合理保证”的有效性概率介于[0，100%]之间(陈汉文和张宜霞，2008)。[6]但是概率是多少才可称为“合理保证”，对此学者们并未达成共识，这也是内部控制有效性认定悬而未决的难题之一。另一方面，内部控制有其固有的局限性，有效的内部控制也不可能克服其固有局限。在实践中存在内部控制有效但由于其固有局限性导致不能实现目标的可能性，如决策过程中可能出现错误判断、执行过程中可能出现的错误或过失，因勾结串通或管理层越权而失效等导致内部控制目标不能实现等情况。

      (二)重大缺陷观

      传统的内部控制有效性界定都使用了“肯定式”的定义，回答内部控制有效性“是什么”，或者满足什么条件就是有效的内部控制。“重大缺陷观”对内部控制有效性的界定采用了“否定式”的方式，即如果企业内部控制存在重大缺陷，那么内部控制就是无效的，否则就是有效的。尽管强化内部控制有效性也不能克服内部控制的固有局限(郑小荣，2011)，[7]但根据缺陷程度划分内部控制有效性仍是一种在实务中可操作性较强的方法。基于内部控制缺陷程度的内部控制有效度应建立三个层次：无效、基本有效、有效。内部控制的缺陷程度可分为四个层次：重大缺陷、重要缺陷、一般缺陷、零缺陷，与重大缺陷相对应的内部控制有效性为无效，与重要缺陷对应的内部控制有效性是基本有效，与一般缺陷和零缺陷对应的是有效。内部控制缺陷程度与内部控制有效性的关系如表1所示。

      

      通过上述分析可以看出，内部控制有效性的“重大缺陷观”本质上与“目标实现观”是一致的，都是围绕“能否实现内部控制的目标以及实现程度”作为内部控制有效性的最终判定依据，所不同的是，“重大缺陷观”采用的是“否定式”的消极表达，而“目标实现观”采用的是“肯定式”的积极表达。“重大缺陷观”中缺陷认定是关键，然而内部控制缺陷认定，特别是非财务报告的内部控制缺陷认定是企业内部控制评价面临的重大挑战之一(刘玉廷，2010)。[8]“目标实现观”中目标的“合理保证”程度与“促进实现”程度的认定是关键，然而“合理保证”程度和“促进实现”程度与内部控制有效性的关系是悬而未决的内部控制难题，即“合理保证”程度和“促进实现”程度是多高，内部控制才是有效的？笔者将其称为“内部控制有效性之谜”。

      无论是内部控制有效性认定的哪种观点，内部控制目标都是其有效性认定难以逾越的“鸿沟”。因此，内部控制有效性的“目标实现观”应作为判断内部控制有效性的基础观点。

      四、认定范围：部分有效还是全部有效

      作为主流的内部控制有效性观点，“目标实现观”认为内部控制有效性来源于内部控制目标的实现(陈汉文和张宜霞，2008；COSO，1994；张颖和郑洪涛，2010；张先治和戴文涛，2011；宋常等，2014)，[6，9，11-13]能够实现其目标，内部控制就是有效的内部控制。然而在“目标实现观”下，存在着“五大目标”是全部有效还是部分有效的问题，从内部控制运行的实践看，五大目标全部实现有效显然是不可能的。这涉及内部控制的目标层次性，可根据目标层次确定内部控制有效性的外延。

      (一)内部控制目标的层次性

      内部控制的五大目标包括：合规目标、资产安全目标、报告目标、经营目标、战略目标。根据内部控制的实现程度可划分为两个层次：合理保证层和促进实现层，前者主要包括合规目标、资产安全目标、报告目标，后者包括经营目标和战略目标。

      对于合理保证层，内部控制只能为合规目标、资产安全目标、报告目标提供“合理保证”而非“绝对保证”。首先，内部控制就是为了能够合理保证企业在合法的范围设计业务活动以规避法律诉讼风险，这是内部控制的基础，因此，合规目标应置于第一层。其次，在合规目标的基础上保障资产安全是内部控制风险管理的最基本要求，因此将资产安全目标置于第二层。最后，合理保证的最终目标就是为了实现财务报告的真实可靠，只有实现了合规目标和资产安全目标才能实现财务报告的真实可靠，因此，将报告目标置于第三层。

      对于促进实现层，内部控制只能在一定程度上促进企业经营效率和效果的提高以及促进企业战略目标的实现。内部控制是降低效率还是提高效率？内部控制能否促进实现战略目标？这是一个有争议的议题，②本文的观点是，内部控制不能为经营目标和战略目标提供“合理保证”，但可以在一定程度上“促进实现”经营效率的提高和企业战略，因此将二者归入“促进实现层”。

      显然，合理保证层目标是内部控制目标的基础，也是内部控制最本源的意义所在。只有实现了合理保证层目标才能“促进实现”企业经营目标和战略目标，促进实现层目标是内部控制的“附加功能”，不能强求内部控制对经营目标和战略目标也提供“合理保证”。据此，本文尝试建立内部控制目标的层次结构，如图1所示。

      

      图1 内部控制目标的层次

      (二)内部控制有效性的层次性

      基于内部控制有效性的“目标实现观”和内部控制目标的层次性，内部控制的有效性也应分为两大层次：合理保证层与促进实现层。

      第一层：合规目标、资产安全目标与报告目标的有效性，内部控制有效性程度取决于内部控制为上述三大目标提供“合理保证”的程度。

      第二层：经营目标和战略目标的有效性，内部控制有效性程度取决于内部控制促进经营目标和战略目标实现的程度，因此将其界定为“促进实现”层。

      “合理保证”有效性与“促进实现”有效性的划分意义在于，对内部控制有效性的评价应区分“合理保证有效性”和“促进实现有效性”两个层次。其难点是如何合理界定“合理保证”程度和“促进实现”程度与内部控制有效性的关系，为内部控制有效性评价提供理论支持。

      五、研究结论与理论启示

      综上所述，从内部控制有效性的认定环节看，“执行有效”才是内部控制有效的真谛，“设计有效”应服从和服务于“执行有效”。内部控制有效性认定方式上的“目标实现观”比“重大缺陷认定观”具有更强大的解释力，但“重大缺陷认定观”在认定路径上较容易实现。从内部控制有效性的认定范围看，基于“目标实现观”有效性认定应区分“合理保证层”和“促进实现层”，“合理保证层”有效性认定是“促进实现层”认定的基础。

      内部控制的有效性认定需要回答两个基本问题：其一，内部控制是有效还是无效？其二，如果内部控制是有效的，有效程度如何划分？从现有的研究成果看，恰恰是在这两个问题上其基础理论研究不清，导致内部控制有效性在认定的环节、方式和范围上存在困惑。

      为追本溯源，应加强内部控制有效性的基础理论研究。(1)加强内部控制目标研究。内部控制目标作为内部控制建立的逻辑起点，关系到内部控制其他范畴的确立，因此不仅要研究内部控制目标的内容，更重要的是要建立内部控制目标的理论层次结构，如五大目标关系如何？内部控制在何种程度上促进经营目标和战略目标的实现？在研究方法上，可借鉴美国《财务会计概念框架》的研究范式：确立内部控制目标的研究题目→调查座谈→形成结论。(2)加强内部控制原则的研究。作为内部控制目标和内部控制实务的桥梁，内部控制原则不仅是联系理论和实务的纽带，也是内部控制制度“落地”的关键。因此应加强对内部控制原则的研究，不仅要研究内部控制原则的内容，而且要研究内部控制原则的层次结构，尤其是要关注两方面的问题：一是全面性和适应性的矛盾；二是全面性和成本效益原则的矛盾。(3)加强内部控制有效性的后果研究。任何事物都有其产生的前因和后果，内部控制有效性的前因是影响内部控制有效性的因素，国内外在这方面的研究已经取得了丰硕的成果，但对内部控制有效性的后果研究相对不足。关于内部控制有效性后果的研究选题有很多，如内部控制有效能否促进企业价值最大化目标的实现，内部控制有效能否增进股东利益，内部控制有效能否促进公司履行社会责任等。国外实证研究发现，内部控制有效不仅可以提高会计信息的质量(Doyle等，2007)，[14]而且能降低企业风险(Bargeron等，2010)。[15]但内部控制有效对会计信息质量提高程度、降低风险程度的影响研究不足，这些问题都有待于学者们进行探索与挖掘。

      内部控制发展依次经历了内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整体框架阶段，2004年COSO颁布了《企业风险管理——整体框架》，标志着内部控制进入到风险管理框架阶段。内部控制的本质是企业内部的风险控制，构建基于风险导向的内部控制有效性认定代表着内部控制有效性认定未来的研究方向。

      ①一般认为，经营目标包括资产安全、经营效率和效果两个方面，即内部控制的资产安全目标隶属于经营目标，但也可将资产安全单独作为一个目标概括，这一点学者们的认识并未完全统一。出于分析方便的考虑，本文将资产安全目标单列为一个独立的目标。

      ②内部控制能否提高经营效率，有两种观点：一种认为内部控制的基本原理是相互牵制，无论是分离式牵制还是合作式牵制都会降低效率；另一种观点认为在短期看尽管牵制可能会降低效率，但从长期看内部控制可以避免风险从而提高效率。从2013年5月COSO最新发布的内部控制执行摘要看，内部控制目标只有三个：经营目标、报告目标和法规遵循目标，并未将战略目标作为内部控制的目标，我国的《企业内部控制基本规范》赋予其战略目标的使命。

标签：企业内部控制基本规范论文;  企业内部控制评价指引论文;  内部控制目标论文;  内部控制缺陷论文;  企业经营目标论文;  企业资产论文;  coso内部控制论文;