作者:姚刚
出版社:中国财政经济出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
内部控制审计论试读:
前言
一本书是在本人博士论文——《内部控制审计制度研究》的基础上修改而成的。之所以定名为《内部控制审计论》,主要考虑是希望把博士学习期间从事内部控制审计制度研究的一些成果直接体现出来,并进一步上升到理论高度来揭露内部控制审计的本质,而不再全貌地反映整个研究过程。
自2002年以来,内部控制审计制度首先在美国以法规形式进行确立,即当年颁布的《上市公司会计改革和投资者保护法》(又称萨班斯法案)要求上市公司向投资者报告内部控制自我评价报告,同时要求聘请外部独立审计师对公司财务报告内部控制进行审计。随后,日本、英国和中国香港等国家或地区也纷纷出台了内部控制审计的相关规定。
2008年5月,我国财政部、审计署、证监会、银监会和保监会等五部委联合颁布了《企业内部控制基本规范》,提出了对企业实施内部控制审计的制度安排,这标志着我国内部控制审计制度的确立。2010年4月,《企业内部控制审计指引》正式发布,自2011年起,内部控制审计制度在境内外同时上市的公司中实施,并于2012年起在上海、深圳A股主板的所有上市公司中实施,要求审计师对公司财务报告内部控制进行审计。由此,我国内部控制审计制度正式开始实施。
然而,随着内部控制审计制度的实施,审计理论界和实务界对内部控制审计制度的讨论也越来越多,对于一些理论和实务问题,存在较大争论。这些争论既包括审计技术方法、缺陷评估标准以及怎样开展整合审计等实务操作层面,也涉及内部控制审计理论层面,如,内部控制审计对象是企业内部控制本身还是管理层关于内部控制的认定,审计范围是财务报告内部控制还是全面内部控制,是时点内部控制还是期间内部控制等等。尤其是自2011年以来,有学者指出财务报告内部控制的研究进入了一个为不能独立存在的系统寻找独立存在理由的尴尬境地,更有学者质疑财务报告内部控制审计制度安排的合理性。“存在即是合理”。内部控制审计实践并不是一个新鲜事物,而可以追溯到早期的详细查账审计时期,甚至庄园审计时期。在审计发展的各个阶段都可以看到内部控制审计的影子,但为什么直到二十一世纪初期,内部控制审计作为一种制度安排,才得以通过法规的形式确立呢?这其中必然有一定的规律性。
只有找到内部控制审计的本质规律,并进而指导内部控制审计实务,才有可能使得内部控制审计实务具有生命力。因此,本书抛开了有关内部控制审计技术方法等实务操作层面的问题,而是直接定位于内部控制审计制度安排层面。对内部控制审计制度的研究,将有助于解开当前内部控制审计理论和实务中的各种疑问,有助于系统地构建内部控制审计理论框架,并指导内部控制审计方法论的形成和审计准则规范体系的建设,从而促进内部控制审计制度的健康发展。
基于上述背景和选题,本书是对内部控制审计制度基本理论问题的研究,其目的是揭示内部控制审计的本质,在此基础上提出一种内部控制审计观,并进一步研究内部控制审计的目标及其实现机制,即解决内部控制审计“为什么”和“是什么”,以及内部控制审计的目标和实现机制的问题。二
如何找到内部控制审计制度安排的规律性呢?笔者认为,这需要回到审计理论的起点。长期的审计学科的学习研究和实务经验告诉我们,审计理论的起点问题是一个悬而未决的理论问题,至少有审计目标起点、审计假设起点、审计环境起点等不同观点。为了避免在上述理论问题上的纠缠,笔者直接从审计产生的背景进行考察,即委托代理关系。
审计是委托代理关系的产物,内部控制审计也不例外。遵循这样一个朴素的认识,从委托代理关系及其变迁开始,展开对内部控制审计制度动因的考察。
通过对委托代理关系的剖析,笔者认为,委托代理关系由委托代理激励机制和委托代理监督机制组成。传统委托代理激励机制是通过经营者参与企业剩余收益的分享来实现的,如企业管理者分配一定数量的企业净利润,因而相应的监督机制只需要对剩余收益进行核实即可。这里的委托代理监督机制是对委托代理结果进行监督,开展财务报表审计。
传统委托代理监督机制,即仅仅对委托代理结果进行财务审计,越来越受到干扰,甚至失灵。例如,在资本市场发达的美国和欧洲,管理层(即受托方)收益的大部分越来越取决于股票期权、期股和公司股票价值等资本性收益,而这些资本性收益的决定因素则远远超过了企业财务成果,即便通过对受托经营主体开展财务审计,受托方对财务审计的结果也不再像以往那样重视,因为管理层可以通过消费预期来提高股价从而在任期内获得较高收益,如推行新的管理模式和战略决策,或者进行并购重组等等,但这些行为的合理性往往通过当期的财务审计是无法实现的。
在我国的国有企业管理监督实践中,由于产权不清晰,出资人不到位等原因导致了委托双方责任不明确,委托链条过长(有的企业往往到了5级子公司,甚至更长),容易形成“内部人控制”。在这种情形下仅仅依赖于传统委托代理监督机制,开展财务审计,就难以维护正常的委托代理关系,造成监督缺位。
那么,上述对传统委托代理监督机制的挑战,有没有一定的规律性呢?进一步研究发现,上述传统委托代理监督机制的弱化或者失灵,来自于委托代理各方利益取向的异化,而这种异化则来自于经济制度的创新。
从委托方来看,现代金融制度创新,如公司股份制、资产证券化等,使得委托代理关系多极化和委托方多元化。委托代理关系多极化使得处于中间层的受托方同时又是委托方,利益取向变得模糊;而委托方多元化则使得委托方之间利益不完全一致,大股东有可能通过剥削小股东而获利。同时,现代企业制度的创新,如有限责任公司制和保护性破产制度的引入,使得大股东可能通过剥削债权人,为获利而破产。
从受托方来看,激励制度的创新,如股票期权制度的引入,使得受托方不再仅仅依赖于剩余收益的分享,而更多地依赖于股票收益。上述委托双方利益取向的异化,造成了传统委托代理监督机制的弱化或者失灵。
基于上述认识,笔者提出了一种新的内部控制审计观,即内部控制审计是传统委托代理监督机制的创新,是对委托代理过程的监督。当委托代理关系中各方利益取向发生异化时,仅仅依靠对委托代理结果的监督就不能起到对委托代理关系的监督作用,出现了传统委托代理监督机制的失灵,因此需要对委托代理监督机制进行创新,即在对委托代理结果进行监督的基础上,增加对委托代理过程的监督,开展内部控制审计。
至此,本书要研究的第一个目标,内部控制审计“为什么”和“是什么”的问题,已经有了答案。此前关于“内部控制审计有没有必要”、“内部控制作为企业内部的管理制度,其审计结果能否对外公开”和“内部控制审计对象是财务报告内部控制还是全面内部控制”等疑问和争论就都迎刃而解了。
按照本书的观点,内部控制虽然是企业内部管理和企业治理的组成部分,传统意义上可以说是受托人受托经营企业的内部制度,没有对外披露并接受审计的义务,但是由于经济制度的创新,委托代理双方利益取向发生了异化,传统的委托代理监督机制发生了失灵。这样委托人要求对委托代理过程进行审计也就顺理成章了;而作为上市公司,把上述内部控制的审计结果对社会公众进行披露也就是一种必然义务,成为公司信息披露的必然组成部分了,而不能以企业商业秘密为由进行回避。同理,内部控制审计作为对委托代理过程的监督,很显然,就不能局限于财务报告内部控制,而应该是委托代理过程所有的内部控制。
审计是一个人造系统,而任何人造系统都是有目标的,在这个人造系统里的各个环节和组成部分都是由目标决定的。所以,接下来,笔者在内部控制审计是对委托代理过程进行监督的论断下,对内部控制审计目标和实现机制问题进行了研究。
要研究内部控制审计的目标,先要研究内部控制本身,也就是作为委托代理监督机制的监督对象——委托代理过程。本书从委托代理关系出发,结合企业契约理论中关于企业契约不完备的观点,提出了内部控制的契约观,指出内部控制是企业不完全契约的补充。从委托代理关系来看,企业内部控制包括:以所有者为中心的对经营者的控制和以经营者为中心的对各级管理者和员工的控制。按照内部控制契约观,企业内部控制的目标是降低交易费用,即保证康芒斯所称的第二类交易的效率,使其在企业组织中的交易费用低于市场的交易费用。那么,内部控制审计的目标就是对上述作为委托代理过程的内部控制进行监督,鉴证内部控制的有效性并发表意见。
如何才能实现上述内部控制审计目标呢?这是当前内部控制审计实务讨论最多的地方,也是关系到内部控制审计实务能否得到发展和具有持久生命力的关键。基于笔者多年的实务经验,本书提出了内部控制审计目标的实现机制,包括三个部分:内部控制有效性及内部控制有效性价值判断标准的确定、内部控制有效性评价与审计结论的形成、内部控制审计配套政策环境的完善。
实现机制的第一个方面是定义内部控制有效性和建立有效性的价值判断标准。按照此前提出的内部控制契约观,对内部控制有效性的价值判断标准,笔者提出了内部控制降低交易费用的三种测度,即降低交易费用的作用层面、表现形式和运行机制测度。
实现机制的第二个方面是内部控制有效性评价与审计结论的形成。按照评价学原理,笔者提出了内部控制有效性评价的定性和定量评价路径,并结合内部控制降低交易费用目标,提出了缺陷评估的步骤,并在此基础上提出了内部控制审计结论形成的原则。
实现机制的第三个方面是与内部控制审计制度安排配套的政策环境。考虑内部控制审计独立性、专业胜任能力、审计成本效率和审计报告法律责任的特殊性,笔者提出了完善内部控制审计相关配套保证措施的建议。三
最后,想借此机会感谢我的恩师陈毓圭研究员。做学问是快乐的,能跟着尊敬的陈老师做学问则是幸福的。陈老师治学严谨,学识渊博,和他交流难免感到自己底子薄,心生畏惧;但是经过一段时间的学习后,自己的思维深度和研究水平有所提高,解决起研究和工作中的问题来就觉得思路开阔,无比快乐。陈老师关爱学生,钟情教书育人,虽担任中国注册会计师协会副会长兼秘书长要职,工作繁忙,但辅导学生仍是毫不含糊,我已记不清有多少个周末和节假日在他的办公室讨论本书的构思和观点。每每因为学生有一小点进步或者稍有心得,所有疲惫在他身上都烟消云散,此情此景令我倍加感动,真是幸福!这种师生之间的思想交流、学术碰撞和人格砥砺足以让我珍惜一辈子。
本书在成稿、初审和出版过程中,得到了财政部科研所王世定研究员、余中一研究员、杨小舟研究员、中国人民大学荆新教授、北京工商大学王斌教授和首都经贸大学付磊教授的悉心指导,在此对他们表示诚挚的谢意。感谢中注协图书馆提供帮助。感谢各位师兄弟姐妹们在多次研讨中对我文章的指正。感谢财政部会计领军班同学、英格兰及威尔士特许会计师第一期同学参与本书的讨论。感谢天职国际会计师事务所、清科集团和立信会计师事务所领导和同事的支持。
在此,我也想说谨以此书献给我的父母和妻儿。感谢父母多年来对我的养育之恩!感谢妻儿对我的理解和支持!姚刚2013年7月1日导论一
内部控制审计并不是一个新鲜事物,其前身可以追溯到内部控制检查、内部控制制度审计、内部控制测试与评价和内部控制审核等形式。然而,内部控制审计上升到审计学科的一个分支,不再依附于财务报告审计或者内部审计、管理审计等,则是21世纪初的创举,其中,以美国萨班斯法案404条款推动在美上市公司必须实施内部控制审计为代表。
2002年7月,美国总统布什批准了《上市公司会计改革和投资者保护法(2002)》(简称萨班斯法案)。2003年6月,美国证监会(简称SEC)正式实施萨班斯法案。按照萨班斯法案404条款(简称404条款)的要求,在美上市公司需要由管理层出具内部控制自我评估报告,并由外部审计师出具内部控制审计报告。自此,美国以法律的形式确立了内部控制审计制度。
2008年5月,我国财政部、审计署、证监会、银监会和保监会等五部委联合发布了《企业内部控制基本规范》(简称基本规范),并于2010年4月发布了《企业内部控制审计指引》(简称指引)。指引要求:自2011年1月1日起,在境内外同时上市的公司中实施内部控制审计;并自2012年1月1日起,在A股主板所有上市公司中实施内部控制审计。自此,我国以部门规章的形式确立了内部控制审计制度。
在内部控制审计制度的确立和实施过程中,无论是美国还是我国,内部控制审计制度化是一个饱受争议的话题,人们对于内部控制审计理论和实务存在很多争论和分歧,这激起了本人的研究兴趣。
为什么对内部控制审计制度有如此多的争论呢?笔者认为,这些争论的出现,一方面反映了社会各界对内部控制审计制度的不熟悉或不适应;另一方面也预示着内部控制审计制度的价值所在。我的判断是,如果一项制度引起了较大的震动,至少说明她触及到了现有价值体系和利益分配格局,不是换汤不换药的戏法。
可以肯定的是,诸多争论的出现是符合事物发展客观规律的。任何一种制度都有一个抽象——具体——再抽象的过程,从来都是先有实践,再有理论,然后再在实践中达到理论升华,反过来又指导实践,实现螺旋式上升的。内部控制审计制度的发展,当前还处于具体到再抽象的发展过程中,所出现的种种争论正是内部控制理论滞后于实务发展的结果。
美国是内部控制审计实务推进最早、最系统、最为成熟的国家,为此,本人对美国萨班斯法案404条款的实施情况进行了跟踪研究。研究发现,美国关于内部控制审计制度的争论主要表现在以下四个方面:
第一,内部控制审计的实施是否会降低市场效率,进而影响到美国证券市场的领导地位?由此引发了包括许多美国国会议员、时任纽约市市长彭博、时任美国证监会主席克里斯多弗·考克斯和时任美联储主席格林斯潘等政治经济界人士的激烈争论。
第二,内部控制审计强制实施的企业范围和时间表如何确定?在经过各方权衡之后,基于时间、成本和技术规范等原因,美国证监会(SEC)先后5次调整了在美上市公司强制执行内部控制审计的范围和时间。
第三,内部控制审计的对象是企业内部控制本身还是管理层关于内部控制的自我评估报告,即管理层认定?这导致了美国证监会(SEC)批准美国上市公司会计监管委员会(PCAOB)用审计准则5号(AS5)替代审计准则2号(AS2),即用对内部控制的审计替代对管理层关于内部控制自我评估报告的审计。
第四,内部控制审计的技术标准和审计方法论如何确定?在实施过程中,美国证监会通过对审计师执行内部控制审计效率的调查,促成了PCAOB改进内部控制审计方法。在审计准则5号(AS5)中强调采用“风险导向、自上而下”的审计策略和方法,并强调公司层面内部控制。同时,关于内部控制审计方法和缺陷认定标准等技术也成了审计师们纠结的问题。
我国的情况如何呢?通过整理我国关于内部控制审计制度的争论,发现争论主要表现在以下三个方面:
一是关于内部控制审计制度的合理性以及内部控制审计性质和目的方面。如内部控制能否成为一种审计对象,并对其进行审计?内部控制审计的目的是什么?不同的内部控制审计意见类型传递给市场的信息差异是什么?同一公司的内部控制审计意见类型和财务报告审计意见类型的不同组合,特别是当其中一个为标准意见,另一个为非标准意见时,这样的审计意见组合给市场传递什么样的信息?
有学者对现行的财务报告内部控制审计制度提出了质疑,如张艳、钟文胜(2011)指出,财务报告内部控制审计制度破坏了现行的财务报告制度和审计制度的协同性。有学者则对内部控制审计的性质和审计风险提出了新的观点,如雷英、吴建友等(2011)认为内部控制审计应该是行为审计,需要单独的审计风险模型。
二是关于内部控制审计对象和范围。争论的焦点在于:内部控制审计是局限于财务报告内部控制还是全面内部控制?内部控制审计的对象是企业内部控制系统本身还是管理层对于内部控制的自我评估报告?内部控制审计范围是某一个时点的内部控制还是某一个期间的内部控制?
三是关于内部控制审计的技术和标准方面。主要的争论有:内部控制本身的标准如何确定,是统一采用财政部颁发的《企业内部控制基本规范》及其配套指引的要求,还是按照被审计单位性质、规模进行调整,以及如何调整?如何认定企业内部控制的缺陷?对于我国内部控制审计指引所规定的财务报告内部控制和非财务报告内部控制如何区分?实质性漏洞(重大缺陷)、重要缺陷和一般缺陷的标准如何确定?内部控制审计是与财务报告审计整合审计还是分别审计?是由同一个审计机构审计还是由不同的审计机构审计?
对于美国和我国关于内部控制审计制度的诸多争论,笔者认为:上述争论反映了内部控制审计理论滞后于内部控制审计实践的现实,反映了对内部控制审计制度基本理论问题研究的匮乏。
这些基本理论问题聚焦于内部控制审计制度的合理性、内部控制审计的性质、内部控制审计目标、内部控制审计的对象、内部控制审计范围以及内部控制审计的实现机制(包括技术、组织、人员素质)等方面。
例如,美国关于萨班斯法案404条款实施内部控制审计对资本市场效率的影响,如何确定内部控制审计分批实施的范围和时间表,我国关于内部控制审计报告信息传递影响的不确定性,都可以归结为对内部控制审计制度安排及其合理性的争论。
内部控制是对财务报告内部控制有效性发表鉴证意见,还是对全部内部控制的有效性发表鉴证意见,可以归结为对内部控制审计目标的分歧。
内部控制审计是管理审计、信息审计还是行为审计,可以归结为对内部控制审计性质的分歧。
内部控制审计是对内部控制本身还是管理层认定进行审计,是对时点内部控制还是时段内部控制进行审计,可以归结为对内部控制审计对象与范围的争论。
内部控制是整合审计还是分开审计,内部控制标准和缺陷评估标准如何确定,审计证据数量和质量如何保证,审计师能力的要求如何,可以归结为内部控制审计实现机制的分歧。
基于上述背景,本人决定以“内部控制审计制度研究:一种新的内部控制审计观及其实现”为题展开研究。理由如下:
第一,当前关于内部控制审计的争论不再停留在“怎么做”的层面,而是深入到内部控制审计“是什么”和“为什么”的层面。只有对内部控制审计制度本身展开研究,才能回答内部控制审计理论研究和实务操作中的各种争论,从而指导内部控制审计理论和实务的发展。
第二,从审计基本理论结构来看,审计本质的研究是审计理论研究的逻辑起点,内部控制审计理论研究也应该以内部控制审计制度本质作为逻辑起点。
内部控制审计制度的本质问题不解决,我们就无法回答内部控制审计制度安排中的各种理论和实务问题。对内部控制审计本质理解不同,就会导致内部控制审计的目标不同,而对于内部控制审计目标的理解不同,就会导致目标的实现机制不同。因此,缺乏对内部控制审计制度的统一认识,就如同站在不同的起跑线上,对上述争论中的各方面缺乏一个评判标准,所以,各种争论和分歧也就在所难免,“公说公有理,婆说婆有理”。
这样一个选题,对于内部控制审计的发展具有如下意义:
第一,对内部控制审计制度的研究,有助于解开当前内部控制审计理论研究和实务操作所面临的困局,具有一定的现实意义。
正如在研究背景中提到的,当前关于内部控制审计理论和实务的争论都集中指向了内部控制审计制度的基本理论问题。对内部控制审计本质的理论解释、审计目标和实现机制等内部控制审计基本理论问题的回答,无疑是解开当前内部控制理论和实务研究困局的必由之路。
第二,对内部控制审计制度的研究,具有基础性、系统性和前瞻性,将丰富现有的内部控制审计理论研究成果,具有一定的理论指导意义。
本书从审计产生的起点——委托代理关系及其变迁出发,研究内部控制审计制度,进而系统地研究内部控制审计理论框架及其实现机制,跳出了就某一个具体的理论或者实务问题展开研究的路径,具有基础性和系统性。本书提出了内部控制审计制度的新观点,并在此基础上对内部控制审计的实现机制以及配套措施进行研究,具有一定的前瞻性。
同时,从现有内部控制审计相关研究的文献分布来看,当前的研究主要集中在审计实务、技术标准方面,只有少量的文献关注到内部控制审计的理论问题。本书的选题也是对当前内部控制审计理论研究现状的有益补充。
第三,本书对内部控制审计目标的实现机制进行了研究,并从方法论的层面进行阐释,系统地回答内部控制审计实务所面临的各种挑战,而不是零散地对内部控制审计技术展开研究。因而,有助于内部控制审计方法论的形成,有利于具体审计技术规范修订和完善,具有较强的实践指导意义。二
内部控制审计的理论研究是一个原创性的工作。这个原创性体现在:现阶段关于审计理论的研究主要是针对财务报告审计的,审计假设、审计目标和审计本质等基本是围绕财务报告审计展开的。现行主要的关于内部控制审计的研究也都是在有关财务报告审计理论框架下开展的,这显然无益于发现内部控制审计的本质规律,并构建内部控制审计的理论框架。
如何跳出财务报告审计理论框架来研究内部控制审计的基本问题,这必须要回到审计理论研究的起点。本书从审计的起点出发,考察委托代理关系及其变迁,进行逻辑推理,试图得出内部控制审计制度的相关结论。总体研究思路是:从委托代理关系及其演变出发,考察内部控制审计制度产生的根本动因,对内部控制审计制度本质进行理论解释,并对内部控制审计制度的合理性进行论证,进而研究内部控制审计的审计学属性、审计目标定位及其实现机制。
按照这个思路,本书从委托代理关系与审计制度产生出发,研究委托代理关系中激励机制和监督机制的制度设计和运行,并从经济制度的创新和经济环境的变化考察委托代理关系的变化,以及由此引致的委托代理各方当事人利益取向的异化,进而研究内部控制审计制度的定位和本质。同时,笔者还从审计学科的角度,解释内部控制审计的审计学属性。进而借鉴现有审计学理论的研究成果,对内部控制审计目标及其实现机制进行研究。
本书主要的研究内容如下:
第一章,“内部控制审计制度的变迁”。本书将对美国和我国内部控制审计制度的发展过程进行梳理和归纳,并对当前关于内部控制审计的主要争论和观点进行评述。同时,对美国萨班斯法案404条款的实施情况进行了跟踪研究,以向读者展示内部控制审计制度在美国的实施情况以及给我们的启示。
第二章,“一种新的内部控制审计观——对委托代理过程的监督机制”。这是对内部控制审计制度的理论解释。本章将从委托代理关系和审计的产生出发,对委托代理机制运行的本质,即委托代理激励机制和委托代理监督机制进行剖析。进而从经济制度的变化研究了委托代理关系的异化所导致的传统委托代理监督机制的失灵。由此,揭示内部控制审计是委托代理监督机制创新,即在对委托代理结果监督的基础上,增加对委托代理过程的监督,开展内部控制审计。内部控制审计是对委托代理过程进行监督,这是一种新的内部控制审计观,也是本书的立论。进一步地,对内部控制审计的审计学属性进行了分析,论证了内部控制审计制度的合理性。
第三章,“内部控制审计目标及其实现机制”。本章将对内部控制的概念进行辨析,从经济学的角度对内部控制的本质进行了再认识,并导出了内部控制的目标。在对内部控制再认识的基础上,提出内部控制审计的目标,进而提出内部控制审计目标的实现机制。
第四章,“内部控制有效性及价值判断标准”。本章将依据第三章提出的内部控制及其目标的观点,研究内部控制有效性的定义;并依据内部控制契约观,研究内部控制有效性的测度,为下一章开展内部控制有效性的评价奠定基础。本章还将对现有主要的内部控制标准,即内部控制有效性的价值判断标准进行介绍,并对如何在内部控制审计中采用上述标准进行评价。
第五章,“内部控制有效性评价与审计结论形成”。本章将基于评价学的基本理论对内部控制审计的评价特征进行分析,并从评价学的角度,讨论如何在基于契约观的内部控制测度下开展内部控制有效性评价的路径选择和约束条件。还将对内部控制有效性评价的常见方法进行总结,并从方法论的角度对各种方法的使用进行评价。最后本章将以内部控制降低交易费用目标为判断标准进行内部控制缺陷评估,并讨论内部控制审计结论的形成和审计报告的出具。
第六章,“内部控制审计目标实现的保证措施”。本章从内部控制审计的独立性问题、审计师的专业胜任能力问题、审计成本与审计质量问题以及内部控制审计报告法律责任问题四个方面,阐述了实施内部控制审计的保证措施。三
本书得出以下主要结论:
1.内部控制审计是委托代理监督机制的创新,是对委托代理过程的监督,这是本书提出的一种新的内部控制审计观。内部控制审计产生的根本动因是传统委托代理监督机制的失灵。
由于所有者和经营者之间存在利益冲突和信息不对称,任何一种委托代理关系都包含两个机制:一是激励机制,用来解决所有者和经营者之间的利益冲突问题,使得总的代理成本最小;二是监督机制,用来解决所有者和经营者之间的信息不对称问题,使得所有者掌握足够的信息用以决策,并据此来兑现激励机制。
传统委托代理激励机制是通过经营者参与企业剩余收益的分享来实现的,因而相应的监督机制只需要对剩余收益进行核实,即对委托代理结果进行监督,开展财务报表审计。当传统委托代理关系中各方利益取向发生异化时,仅仅依靠对委托代理结果的监督就不能起到对委托代理关系的监督作用,造成传统委托代理监督机制的失灵,因此需要对委托代理监督机制进行创新,即在对委托代理结果监督的基础上,增加对委托代理过程的监督,开展内部控制审计。
2.传统委托代理监督机制的失灵来自委托代理关系中各方利益取向的异化,而这种异化来自于经济制度的创新。
委托代理各方利益取向异化主要包括两个方面:一是由于现代金融制度创新和现代企业制度创新所引致的委托方利益取向的异化,即委托方败德行为的发现;二是来自激励制度创新所致的受托方利益取向的异化,加剧了受托方败德行为的风险。
3.从审计学属性来看,作为对委托代理过程的监督机制,内部控制审计是一种外向型管理审计。
内部控制审计制度的合理性主要体现在:第一,注册会计师对委托代理过程进行监督,开展内部控制审计,具有天然的独立、客观和专业胜任能力的优势。第二,对企业内部控制进行审计并向社会披露的合理性,可以从企业社会责任的角度得到解释,即内部控制审计可以解除由于内部控制“外部性”所导致的企业社会责任。第三,由政府强制性推行内部控制审计制度的制度变迁的合理性,可以从审计报告的公共产品特征及政府强制性制度变迁的高效率得到解释。
4.内部控制审计目标是鉴证内部控制的有效性并发表意见。
对内部控制的本质和目标的理解不同,影响到内部控制有效性的定义,从而影响到内部控制审计目标的确定。本书提出了内部控制的契约观,认为内部控制是企业不完全契约的补充,内部控制的目标是降低交易费用。
相对于从会计审计视角和从管理视角对内部控制的认识,内部控制的契约观从委托代理关系角度抓住了内部控制的本质,为解释内部控制的有效性以及内部控制有效性的评价奠定了理论基础。
5.内部控制有效性是内部控制实现降低交易费用目标的程度,内部控制有效性可以从内部控制结果的有效性和内部控制过程的有效性来考察。
根据内部控制契约观提出的内部控制降低交易费用目标,本书提出了内部控制有效性的测度,即如何对内部控制有效性进行度量和评价。分别是:从内部控制降低交易费用的作用层面看,内部控制有效性的测度包括内部治理控制测度和内部管理控制测度;从内部控制降低交易费用的途径和表现形式看,内部控制有效性的测度有经营效率效果测度、财务报告可靠性测度和合规经营测度等;从内部控制降低交易费用的运行机制看,内部控制有效性的测度有内部控制设计有效性测度、与环境的契合性测度、内部控制运行有效性测度等。
6.内部控制有效性评价包括定性评价和定量评价两种路径。一般认为,定量评价比定性评价具有更科学和更可靠的优势。无论是定性评价还是定量评价,都必须解决好评价对象、评价指标、评价标准和评价结论四个关键问题。
根据内部控制契约观,结合内部控制有效性的测度研究,重点分析了详细评价法、风险导向评价法、简单加权平均评价法和基于层次分析法的模糊综合评价法,对各自的优点以及如何在内部控制审计中运用进行了评价。其中,基于层次分析法的模糊综合评价法采用递阶结构分析和两两比较方法,有效地解决了定性分析定量化的科学性问题,使指标组成和权重分配更加科学合理,提高了评价结论的客观性、可靠性和科学性。
7.内部控制有效是一个区间的概念。在内部控制契约观下,对内部控制缺陷的评价应该以内部控制例外事件对内部控制降低交易费用目标的影响程度来判断。对内部控制缺陷评价的步骤,主要考虑了缺陷与内部控制降低交易费用目标的关联性、影响程度、有无补偿性控制和谨慎性判断原则等。
内部控制审计结论包含标准意见、否定意见和无法表示意见,一般没有保留意见。当一项内部控制缺陷或者多项内部控制缺陷的组合构成重大缺陷,并且严重影响到企业交易费用降低,使得委托代理过程中的以所有者为中心的内部治理控制和以经营者为中心的内部管理控制可能发生重大负面影响,且没有相应的补偿性控制或者补偿性控制无效,这时注册会计师应当得出内部控制无效的结论,出具否定意见的内部控制审计报告。
同一家公司的内部控制审计报告和财务报表审计报告之间存在关联性,但并不是一一对应。
8.建立内部控制审计的配套保证措施是内部控制审计目标实现机制的组成部分。相对于财务报表审计,内部控制审计中面临着审计独立性、审计师专业胜任能力、审计成本与审计质量以及审计报告法律责任等特殊问题,本书提出了内部控制审计相应的配套保证措施的政策建议。
本书在以下方面有所创新:
首先,提出了一种新的内部控制审计观,形成了内部控制审计制度研究的一个新视角。
通过对委托代理关系及其变迁的深入考察,揭示出任何一种委托代理关系都存在两种机制,即委托代理激励机制和委托代理监督机制,分别用以解决委托方和受托方的利益冲突问题和信息不对称问题。传统的委托代理关系中,激励机制是通过让受托方参与到剩余收益的分享来实现的,因此监督机制只需要对委托代理的结果,即剩余收益进行监督即可。
通过对经济制度变迁和委托代理关系的进一步考察,指出由于经济制度的变迁导致了委托代理双方利益取向的异化,并由此导致了传统的委托代理监督机制的失灵,即仅仅对委托代理结果进行监督不能起到对委托代理关系的监督作用,需要对委托代理监督机制进行创新。为此,提出了内部控制审计是对委托代理过程监督的观点,提出了一种新的内部控制审计观。在此基础上,提出了内部控制审计的一个理论框架。
其次,从委托代理关系出发,运用契约理论,对内部控制及其目标进行了再认识,提出了内部控制契约观及内部控制目标是降低交易费用的观点,揭示了内部控制的经济学本质,并为内部控制的有效性定义、测度和评价奠定了基础。
运用契约理论,指出内部控制是企业不完全契约的补充,提出了内部控制的契约观和内部控制的目标是降低交易费用的观点。这一观点的提出,抓住了内部控制的经济学本质,比传统的会计与审计视角的内部控制、管理视角的内部控制的概念有了较大突破,提升了对内部控制的认识,为内部控制有效性的定义找到了理论基础。
在此基础上,对内部控制有效性进行了定义,提出了内部控制有效性测度的概念,并按照内部控制降低交易费用的层面、降低交易费用的途径和降低交易费用的运行机制分析了内部控制有效性的测度,这为如何开展内部控制有效性的评价打下了理论基础。这种对内部控制有效性的系统研究,相比传统的和某一个内部控制标准进行对标的做法而言,深入到内部控制有效性测度和内部控制目标之间的关系,将有助于提高内部控制有效性评价的科学性和可靠性。
最后,提出了内部控制审计实现机制的保证措施,如解决内部控制审计在审计独立性、审计师专业胜任能力、审计成本与审计质量以及审计报告法律责任等特殊性的具体措施。特别是指出应该对内部控制审计和财务报表审计整合审计的组织形式进行反思,以及对非重大过失的内部控制审计法律责任进行免责的建议,具有一定的创新性。第一章内部控制审计制度的变迁第一节内部控制审计制度的发展
从美国2003年实施内部控制审计以来,内部控制审计制度的运行还不到十年时间,我国内部控制审计制度的正式实施仅仅一年多的时间。当前,关于内部控制审计的研究文献主要集中在内部控制审计的实务操作层面,而其中大部分的研究又都集中在对美国PCAOB审计准则2号(AS2)和审计准则5号(AS5)的介绍,对于内部控制审计制度安排、目标定位等理论问题的研究较少。
基于这种情况,本书对内部控制审计制度正式出现以前,即内部控制检查、内部控制制度审计、内部控制测试评价和内部控制审核等概念下讨论内部控制审计制度的相关文献进行了回顾。一个基本的逻辑是,内部控制审计制度是随着审计环境、审计理论和审计实务不断发展的结果。对内部控制审计制度发展过程中相关观点的了解,有助于把握内部控制审计制度发展的历史脉络。一、美国内部控制审计制度的发展
美国内部控制审计的发展最具有代表性,分析美国内部控制审计的历史演变,对把握内部控制审计制度发展的规律有重要的借鉴意义。通过对美国内部控制审计制度发展相关文献的研究,美国内部控制审计发展的历程大致可以分为以下阶段:内部控制检查阶段、制度基础审计中的内部控制评价阶段、内部控制审核阶段和内部控制审计阶段。值得注意的是,对内部控制审计发展阶段的区分仅仅是为了研究的需要,而并非绝对的时间划分,某阶段之间可能有重合。(一)内部控制检查阶段(1934年美国证券法之前)
在这个阶段,内部控制检查主要围绕有关受托事项和财务账簿的真实性而开展。对内部控制的检查并没有指出内部控制和财务报告之间的关系,也没有对如何进行内部控制检查提出系统的方法和理论,因此称之为内部控制审计的萌芽。这一阶段,最具影响力的事件是1929年世界经济危机及随后的美国罗斯福新政、美国1933年《证券法》和1934年《证券交易法》的出台。《证券法》(1933年)和《证券交易法》(1934年)提出了“内部会计控制”的概念。其中,“披露控制与程序”是《证券交易法》规则13a—15(d)定义的一个术语,它规定公司应按照美国证监会(SEC)规则所制定的控制和程序,如规定的期间和格式,记录、处理、汇总和报告公司交易,并按照交易法案得到归档或提交。进一步地,“披露控制和程序”还用列举的方式指出,公司应根据交易法案归档或提交报告的要求,将需要披露的信息,传达给公司的管理层(包括CEO、CFO或执行类似职能的人),从而及时决策是否需要做出相关披露。事实上这些法规仅仅规定了公司信息披露的程序和内容,而没有具体说明需要注册会计师对内部控制进行审计或审核。这是最早期的内部控制检查的制度规范。(二)制度基础审计中的内部控制评价阶段(20世纪初期至20世纪60年代)
罗伯特·蒙哥马利在《审计理论与实践》(1912年)一书中,认识到内部控制对审计的重要性,指出应该把对资产负债表的审计与评价客户的内部控制系统联系起来。1938年,美国麦克森·罗宾斯公司破产事件的爆发,暴露了审计程序的失败和企业内部控制的严重缺陷。美国证监会(SEC)在麦克森·罗宾斯公司破产案的调查报告中,对审计师进行的内部控制检查水平持有异议,认为“许多会计师以一种太随意的方式看待这个重要而基础的审计问题。由于在对财务报表的检查中……大部分情况下采用验证和抽样程序,我们可以看到,对客户的内部牵制和内部控制系统的全面了解不可能得到过度强调。”
美国证监会(SEC)还指出,对内部牵制系统检查不应该局限于会计职能,而应该对整个交易有一个全面了解,因此,要求会计职业就“什么组成了检查内部控制的合适水平”制定指引。1939年10月,美国注册会计师协会发布了《审计程序公告第1号》,提出内部控制评价。随后美国证监会(SEC)对审计程序进行了修正,要求注册会计师在审计报告中增加对内部控制审查的内容。
麦克森·罗宾斯事件之后,社会各界开始对内部控制评价进行广泛关注,内部控制评价逐步成为财务报表审计的组成部分和必要程序,制度基础审计也逐渐取代了账项基础审计。
20世纪40年代后,对内部控制的评价成为财务报表审计的重要内容,技术和方法日趋成熟。1949年,美国注册会计师协会发布了《内部控制:协作体系的要素及其对管理层和独立公共会计师的重要性》报告,对内部控制作了定义。随后,审计程序委员会(CAP)制定了关于内部控制评价的审计准则,发展和完善了内部控制评价,对内部控制的含义、范围和目标进行了规范。由此,美国的内部控制评价从财务报表审计的一个辅助工具,正式成为一项必要程序,并写入了审计准则。(三)内部控制审核阶段(20世纪70年代至20世纪90年代)
随着内部控制评价成为财务报表审计的必要程序,会计职业团体、政府监管部门和立法机构更加重视内部控制的作用,使财务报表审计中内部控制评价最终演变为独立的鉴证业务,即内部控制审核。以下重大事件起到了重要作用:
1.1977年《反海外贿赂法案》。该法案规定,美国公司不得对外国政府官员进行非法的政治援助或财务支付(如贿赂),同时,还要求强化会计记录和内部控制,要求公司建立并保持有效的内部会计控制系统。
2.1978年科恩委员会的报告及美国证监会(SEC)的回应。1974年美国注册会计师协会成立了注册会计师责任委员会,也称科恩委员会,专门用来研究注册会计师的职责问题。科恩委员会在1978年提交的报告中建议:由公司管理层出具内部控制报告披露公司内部控制的状况,同时聘任注册会计师对管理层出具的内部控制报告进行审核评价并向外界报告。作为对科恩委员会报告的回应,1979年4月,美国证监会(SEC)发布了《管理层对内部会计控制的公告(征求意见稿)》(Statement of Management on Internal Accounting Control),提议由管理层在向股东提交的年度报告中包含内部会计控制自我评估报告。SEC原计划将该提议以法律形式确定下来,但因为实施成本过高、信息的相关性不明显和内部控制标准不明确等技术问题,而遭到上市公司、注册会计师、律师以及其他相关人士的反对,该提议不得不暂缓执行。
3.1987年美国反欺诈财务报告委员会(COSO委员会)的报告及SEC的再次回应。20世纪80年代,美国发生的系列公司破产、舞弊和审计失败案例引起了社会公众的极度不满。在此背景下,1985年美国成立了反欺诈财务报告全国委员会,即Treadway委员会(也称COSO委员会)。这个委员会的职责是专门研究欺诈财务报告产生的原因,并为减少欺诈的发生提出建议。1987年,该委员会提交的一份报告指出:第一,研究范围中的欺诈财务报告案例大约有50%是由于内部控制失效而导致的,并提出了防止财务欺诈发生的建议框架。其中,最主要的措施就是设计和实施有效的内部控制。第二,投资者有权利了解管理层履行内部控制的情况,管理层也有义务向投资者报告本企业内部控制的有效性。在该委员会建议的基础上,美国证监会(SEC)于1988年发布了《第34-25925号提案:报告管理层的责任》(No.34-25925 Report of Managements’ Responsibilities)提案。该提案提议由管理层向投资者报告财务数据和内部控制的情况,并由外部审计师对内部控制的有效性进行评价。同样,由于该制度运行成本过大等原因,该提案未能付诸施行。
4.1991年《联邦储蓄保险公司改善法案》。20世纪90年代初期,美国商业银行破产事件频发,激起了广大民众对联邦存款保险公司的担忧。美国国会于1991年颁发了《联邦储蓄保险公司改善法案》(Federal Deposit Insurance Corporation Improvement Act of 1991,FDICIA)。该法案第36条规定,资产总额在5亿美元以上的大银行必须评估并报告其内部控制的有效性,并由注册会计师对管理层内部控制自我评估报告进行审计。该规定并不适用于金融机构每年提交给股东的年度报告,而仅仅是要求大银行向相关银行监管机构提交。因此,该法案对上市公司的影响不大,但该法案开创了强制要求管理层报告内部控制有效性的先例。从一定意义上讲,该法案表明内部控制信息可以由管理层提供,通过提供内部控制信息能够达到强化管理层责任意识和完善公司内部控制等效果。很多原先反对对外报告内部控制的团体,开始转而赞同由上市公司管理层对外提供内部控制报告。随后,美国注册会计师协会(AICPA)发布了《财务报告内部控制的审核准则》(SSAE No.2),以规范内部控制审核业务。至此,美国实现了从财务报表审计中的内部控制评价向内部控制审核鉴证的转变,很多上市公司开始自愿披露内部控制审核报告。(四)内部控制审计阶段(21世纪初至今)
21世纪初,安然、世通等舞弊案件的发生极大动摇了投资者对资本市场的信心。为了强化上市公司的责任,保护投资者利益,2002年7月,布什总统批准了《2002年上市公司会计改革和投资者保护法》(简称萨班斯法案、SOX法案或SOA法案)。该法案第404条款规定:公司CEO、CFO或类似职务者必须书面声明对本公司内部控制的设计和执行的有效性负责,并要求董事会对公司的财务报告内部控制进行自我评估,作为年度定期报告的组成部分对外披露;同时,还要求注册会计师对公司管理层的内部控制自我评估报告进行审计。这标志着两个转变:一是管理层内部控制报告由自愿性披露变为强制性披露;二是审计师对内部控制的鉴证从有限保证责任的鉴证(内部控制审核)变为合理保证责任的鉴证(内部控制审计)。
根据萨班斯法案的要求,2003年11月SEC发布了《最终规则——管理层对财务报告内部控制的报告及其对定期披露的证明》(Final Rule: Managements' Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports)。该规则要求所有遵循1934年证券交易法13 (a)或者15(d)条款的公司,都需要在年报中包括管理层对本公司财务报告内部控制的评估报告。
2004年3月,PCAOB发布审计准则第2号——《与财务报表审计结合进行的财务报告内部控制审计》(Auditing Standard No.2-An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements,AS2)。该准则要求由同一家会计师事务所对同一公司的财务报表审计业务和财务报告内部控制审计业务进行整合审计。PCAOB于2007年发布审计准则第5号——《与财务报表审计整合的财务报告内部控制审计》(Auditing Standard No.5-An Audit of Internal Control Over Financial Reporting that is Integrated with An Audit of Financial Statements,AS5)取代AS2。审计准则5号的主要变化是,提出了自上而下、风险导向的方法论,增加了对舞弊控制的审计,并更加强调穿行测试的重要性。这些变化使得审计师能够将有限的审计资源投向高风险领域,减少不必要的审计程序,并力争在内部控制重大缺陷导致报表重大错报前被发现。
由此,美国开启了内部控制审计制度化的时代,强制要求上市公司披露内部控制自我评估报告和内部控制审计报告。二、我国内部控制审计制度的发展
我国内部控制审计的发展可以划分为财务报表审计中内部控制评价阶段、内部会计控制审核阶段和内部控制审计阶段。(一)财务报表审计中的内部控制评价阶段(2000年之前)
随着制度基础审计方法的推行,内部控制的重要性逐渐得到审计师、企业和监管机构等社会各界的认可,内部控制评价逐渐成为一项重要的审计程序和工作内容。
这一阶段的主要规定有:1996年财政部颁布的《独立审计准则第9号——内部控制和审计风险》、1997年中国人民银行颁布的《加强金融机构内部控制的指导原则》、1997年证监会颁布的《关于上市公司做好各项资产减值准备等有关事项的通知》、1999年全国人大常委会颁布的《会计法》、2000年深圳证券交易所发布的《公开发行证券公司信息披露编报规则》第7号和第8号、2000年证监会发布的《公开发行证券公司信息披露编报规则》第1号、第3号、第5号,等等。
其中,《会计法》(1999)是我国第一部涉及内部控制相关要求的法律,明确要求各单位应当建立、健全内部会计监督制度,提出了单位负责人关于内部控制应承担的责任。《独立审计准则第9号——内部控制和审计风险》(1996)第18条则规定了,注册会计师应当将在审计过程中注意到的内部控制重大缺陷,告知被审计单位管理当局。必要时,可出具管理建议书,还提出了内部控制的“三要素”。
证监会、深圳证券交易所则就上市公司和金融机构的内部控制提出了更加明确的披露要求和报告责任。如深圳证券交易所发布的《公开发行证券公司信息披露编报规则》第7号和第8号(2000)中规定,商业银行和证券公司还应将其委托会计师事务所出具的内部控制评价报告随年度报告一并报送中国证监会和证券交易所。证监会发布的《公开发行证券公司信息披露编报规则》第1号、第3号、第5号(2000)则要求,商业银行、保险公司、证券公司等金融机构应建立健全内部控制制度,并由公司管理层对内部控制制度的完整性、合理性和有效性做出说明。
在这阶段,我们看到,关于内部控制评价的规定主要是基于制度基础审计需要以及行业管理需要而进行的。其中,一个显著的趋势是对于上市公司和金融企业的内部控制的要求明显加强。(二)内部会计控制审核阶段(21世纪初至2008年)
内部会计控制审核阶段的形成是以2001年财政部内部会计控制系列规范的出台以及2002年中国注册会计师协会《内部控制审核指导意见》的发布为标志的。
2001年6月,财政部颁布的《内部会计控制规范——基本规范(试行)》和《内部会计控制规范——货币资金(试行)》,明确提出了各单位应建立和完善内部会计控制体系,要求以内部会计控制为主,同时兼顾与会计相关的其他控制。随后,又相继颁布了《内部会计控制规范——采购及付款》(2002)、《内部会计控制规范——销售及收款》(2002)、《内部会计控制规范——工程项目》(2003)、《内部会计控制规范——担保》(2004)和《内部会计控制规范——对外投资》(2004)等规范。
2002年2月,中国注册会计师协会发布的《内部控制审核指导意见》,规范了注册会计师对被审计单位管理当局与会计报表相关的内部控制有效性认定审核业务。
此后,不同的监管机构和行业协会纷纷出台了各部门和行业的内部控制审核评价办法。我国进入了内部控制独立审核的快速发展轨道。其他部门发布的主要规范有:2003年中国内部审计协会发布的《内部审计具体准则——内部控制审计》、2005年银监会发布的《商业银行内部控制评价试行办法》和《商业银行市场风险管理指引》、2005年证监会发布的《关于提高上市公司质量意见的通知》、2006年新修订的《中国注册会计师审计准则》第1121号准则和1231号准则、2006年证监会发布的《首次公开发行股票并上市管理办法》、2006年国资委发布的《中央企业全面风险管理指引》、2006年上海证券交易所发布的《上海证券交易所上市公司内部控制指引》、2006年深圳证券交易所发布的《深圳证券交易所上市公司内部控制指引》、2007年国务院法制办发布的《上市公司监督管理条例(征求意见稿)》等。
从准则的层面,《内部审计具体准则——内部控制审计》
试读结束[说明:试读内容隐藏了图片]