中图分类号:F230 文献标识码:A 文章编号:1005-0892(2015)01-0122-07 本世纪初,举世瞩目的“安然事件”和《萨班斯-奥克斯利法案》激活了中外学者对内部控制的研究热情。在2008年发端于美国但影响全球的金融危机后,我国财政部等五部委陆续出台并构建了以“一个基本规范”和“三个指引”为基础的内部控制规范体系,内部控制成为理论与实务研究的热点议题之一。据统计,在《经济研究》、《管理世界》、《会计研究》等七种主要的关于会计和经济的重要期刊中,2000-2010年以内部控制为主题词的研究文献达到236篇,其中,《会计研究》中的相关文献就有100篇(朱华建等,2011)。[1]从已有文献的研究内容看,内部控制的研究热点主要集中在四个方面,即内部控制执行、内部控制评价、内部控制信息披露和内部控制审计。作为最为重要的内部控制研究主题之一,内部控制评价和监督评价受到学者们的广泛关注,研究文献达到36篇。内部控制系统评价的重要任务之一就是评价内部控制的有效性,为企业利益相关者利用财务报告信息决策提供合理保证。现实中,尽管我国已经初步建立了“应用+评价+审计”的内部控制规范体系(王蕙芳,2011),[2]但学者们对于内部控制有效性的研究主要集中在三个方面,即内部控制有效性的内涵、影响因素及有效性评价。然而,无论是理论还是实践,内部控制有效性认定都是内部控制不可或缺的重大议题。由于对内部控制有效性的内涵和外延界定不清,导致内部控制在有效性认定方面存在三大困惑:从环节上看,是设计有效还是执行有效?从认定方式上看,是目标实现程度还是重大缺陷程度?从认定范围上看,是部分目标有效还是全部目标有效?本文拟从内部控制有效性认定的上述三个方面进行分析。本文认为,执行有效才是内部控制有效的终极目标,设计有效应服务于执行有效。内部控制目标实现与内部控制有效并非互为充要条件,内部控制目标根据其内容不同可分为两个层次(合理保证层和促进实现层),合理保证层包括报告目标、合规目标、资产安全目标,促进实现层包括战略目标和经营目标。 本文可能的理论贡献是:(1)只有执行有效才是内部控制有效,设计有效是执行有效的前提,它应服从和服务于执行有效。(2)将内部控制有效性的认定方式划分为基于“目标实现观”的“肯定式”认定和基于“重大缺陷观”的“否定式”认定,尽管“否定式”认定比“肯定式”认定更简单和容易实现,但“肯定式”认定仍是内部控制有效性的判断基础。本文尝试建立三级内部控制有效性认定与四级内部控制缺陷间的对应关系:与重大缺陷对应的是内部控制无效,与重要缺陷对应的是内部控制基本有效,与一般缺陷和零缺陷对应的是内部控制有效。(3)内部控制目标应分为两个层次:“合理保证层”和“促进实现层”。内部控制为报告目标、合规目标、资产安全目标提供合理保证,但只能促进经营目标和战略目标的实现,不应将内部控制的功能万能化。与内部控制目标的层次相对应,内部控制的有效性认定也应分为“合理保证”认定和“促进实现”认定。 二、认定环节:设计有效还是执行有效 KPMG在《内部控制实务指南》中强调,内部控制有效性包括设计有效性和执行有效性两方面,并指出保证内部控制有效性需要一个持续的监督过程(周小燕,2010)。[3]以本文的理解,内部控制有效性应包括静态有效和动态有效两个方面,前者是指设计有效,即内部控制制度建设符合单位的特点,能够覆盖单位风险控制节点且满足全面性、重要性、制衡性、适应性和成本效益原则;后者是指执行有效,即设计合理的内部控制制度能够在实践中得到贯彻和落实。很显然,为了实现设计有效,在内部控制制度设计方面,要充分考虑内部控制五大目标实现的可能性,尽可能在设计环节做到全面、细致,这在客观上导致内部控制制度成为囊括一切的“字典”,典型表现就是我国大型国有企业聘请国际著名的四大会计师事务所为其设计的内部控制制度成为厚厚的“大部头”作品,由于“超越”企业的实际情况而束之高阁,弃之不用。事实上,在内部控制设计有效还是执行有效的选择上,一直面临着尴尬的境地:一方面,为了实现设计有效,内部控制制度构建要求全面、系统、细致;另一方面,基于效率和成本效益原则的限制,设计有效的内部控制又很难应用于实践,这充分暴露出内部控制在“设计有效”和“执行有效”之间存在着相互替代的“跷跷板”效应,设计有效的内部控制制度很难在实践中得到执行,而现实中得以执行的内部控制制度又很难符合设计有效的要求。 在我国,设计有效和执行有效的矛盾更为突出,其原因可以从以下两个方面来探究: 第一,内部控制设计者大都依据COSO发布的《内部控制——整体框架》(简称IC-IF92)和《企业风险管理——整合框架》(简称ERM-IF2004),我国借鉴这两个报告出台的《企业内部控制基本规范》所搭建的内部控制框架被学者概括为“三个五”,即五个目标(报告目标、合规目标、资产安全目标、经营目标与战略目标)、五条原则(全面性、重要性、制衡性、适应性和成本效益性)、五个要素(内部环境、风险评估、控制活动、信息与沟通、监控)。从本源上看,由于固守形式主义研究传统,以COSO报告与《企业内部控制基本规范》“三个五”为框架所设计的内部控制制度,看不到不同类型企业内部控制与风险管理的“个性”特征。在连篇累牍的内部控制制度中,彰显的是各种不同类型的企业在内部控制与风险管理上的“共性”特征,包括在控制目标、控制要素、控制机制等方面的“共性”特征(李心合,2013)。[4]基于“共性”特征设计的内部控制为了做到设计有效,唯一的途径是追求“全面性”,看不到事关执行有效“适应性”原则的影子,最后的结果是内部控制制度将财务活动和管理活动等各项活动“全覆盖”,治理层面、管理层面和操作层面“全包括”,纵向组织体系和横向组织体系“全进入”,高管人员、中层管理人员和普通员工“全员工参与”(李心合,2013)。[4]设计者为了实现设计有效,完全忽略了内部控制制度执行中的效率性、适应性以及成本效益原则的限制。
