内部控制是个宽泛的概念,目前被广泛认可的定义主要来自于美国COSO框架和英国Turnbull框架。
COSO框架全称为《内部控制——整合框架》,发布于1992年,是历史上第一部系统性说明和解释内部控制的指导性文件。
COSO框架界定了内部控制涉及的人员、目标和定位。更具体地说,内部控制是内嵌于企业的一组相互联系和监督的过程,由董事会、经理层、员工等所有公司个体组织和进行,旨在为实现守法合规、报告真实、稳定盈利提供合理保证。
后来,该框架经过迭代,COSO于2013年对整合框架进行修订,在旧版的基础上进一步细化和明确了内部控制目标——经营目标是指保证经营的效率和效果,包括保证经营及财务绩效和保证资产安全、规避资产流失;
报告目标是指保证对内和对外财务报告可靠、及时、透明、满足相关法规制定者或企业政策的要求;合规目标是指保证对适用法律和规章的服从。
Turnbull框架全称为《内部控制——综合守则指引》,发布于1999年。
Turnbull框架认为,内部控制是一个整合映射系统,覆盖了企业的政策、过程、任务和行为,作用是协助确保企业能够为股东利益最大化高效经营、确保对外发布信息和对内传递信息的真实度和可靠性,确保开展生产运营活动均在在法律法规适用范围以内。
可以看出,虽然COSO框架和Turnbull框架使用的措辞不同,但二者对内部控制的定义本质上是相通的,即内部控制是企业为达成内部控制目标而建立和运行的一系列复杂流程,内部控制目标主要包括经营、报告、合规三类。
美国率先于2002年颁布的萨班斯法案沿用了COSO框架,随后多个国家和地区发布的内部控制规范均沿用了COSO框架或Turnbull框架。
中国《企业内部控制基本规范》采用了COSO框架,认为内部控制的本质是一套由全部公司内部人员共同执行的、为实现控制目标而相互联结和彼此限制的流程。
为了对中国市场更具指导性,基本规范”在COSO框架中涵盖的三个控制目标的基础上又增加了保障资产安全和促进战略兑现两项。
一般认为,实现五项控制目标存在时序上的优先顺序,只有保证合规守法、资产安全和信息可靠的前提下,才能提高运营效率,最终达成战略性发展。
内部控制缺陷的含义
COSO框架认为,内部控制缺陷是指可能降低企业达成内部控制目标可能性的漏洞。SOX问世以后,除了为上市公司带来建立和完善内部控制系统的任务,也为审计师带来鉴证和审计企业内部控制的业务。
为了使审计师不降低对新业务的严谨度,美国公众公司会计监督委员会诞生。PCAOB在审计准则中将内部控制缺陷划分为重大缺陷、重要缺陷和一般缺陷。我们2008年颁布的《企业内部控制基本规范》也采用了这种分类方式,根据可能伤害企业达成控制目标的可能性的程度将内控缺陷分为三类。
之后,2010年颁布的《企业内部控制基本规范配套指引》考虑了企业间主营业务的差异性,放弃了“一刀切”的划分标准,将一部分裁量权让渡给企业,允许企业根据自身实际情况划分和定级内部控制缺陷。
内部控制有效性的含义
萨班斯法案的颁布使内部控制有效性这一概念进入公众视野。虽然包括SOX和《企业内部控制基本规范》在内的各国家和地区的内部控制规范几乎都要求企业评估内部控制有效性,然而,目前并没有内部控制有效性的权威定义。
领域内专家学者们主要从定性评价和定量评价开展相关研究,并在具体研究中使用不同措辞,包括内控质量、内控水平等。
(1)基于内部控制缺陷的定性评价
一部分人认为,内部控制有效性反映的是企业内部控制系统对控制目标的实现程度,而内部控制缺陷的存在会削弱企业实现内部控制目标的能力。
因此,以公司是否存在内部控制缺陷判断公司内部控制是否有效是合理的。如果以公司是否披露内部控制缺陷以及披露的缺陷的严重性作为其内部控制是否有效的判别标准,认为未披露缺陷的公司内部控制有效性要优于披露缺陷的公司。
在美国背景下,以是否存在或披露重大缺陷划分内部控制是否有效。在中国背景下,采用了更灵活的划分标准,以企业是否存在重大缺陷确认内部控制是否有效,认为企业存在重要及以上缺陷就意味着内部控制存在严重问题,而有人认为企业披露了任何等级的内部控制缺陷都会伤害内部控制有效性。
(2)基于特定迹象的定性评价
虽然内部控制规范要求企业披露已存在的内部控制缺陷,但披露不充分情况一直存在。从2011年至2014年仅有0.92%的A股上市公司披露了重大缺陷,而同期美国数据为19.45%。
如果企业存在高管舞弊、财报重述等四类迹象,那么该企业内部控制系统内很可能蛰伏着重大缺陷。已有研究借鉴这种迹象识别法,当公司发生非标审计意见、内部控制相关信息的否定语句、年报重述、违规被处罚中任意一种情况时,就认为内部控制有效性较低。
当内部控制被审计师出具否定意见时则认为内部控制无效。根据特定迹象将内部控制有效性划分为低、中、高三档:如果公司违规、年报被出具非标意见或披露内控缺陷,则认为内部控制质量较低;如果公司自愿发布了内控报告则认为内部控制质量较高;若公司不属于以上两类,则内部控制质量中等。
(3)基于内部控制信息披露丰富度的定量评价
这类度量方法将评价标准从拘泥于是否披露内部控制缺陷的二分法扩展到更大的披露范围,形成基于信息披露的内部控制指数。
这方面比较有代表性的有:从内部控制的辖制范围、内部控制的功能定位、内部控制的变动情由、内部控制有效性的评估、管理层的职责、监事会和审计委员的功能、是否构建可以全球通用的内部控制框架、外部审计信息的公开充分程度、内部审计在内部控制系统运行中的作用设计了综合指数。
我们更倾向于以内部控制五要素为纲要构建指数体系,认为内部控制有效性评价的核心在于判断内部控制各组成要素的合理程度和适配程度,并应提供综合评价结果以衡量各要素对系统整体功能性的作用效果。
将五要素设置为一级指标,对照上市公司的实际情况为每个公司的特定面向打分,最后得出一套评分系统。但这类评价方法在中国的推行面临着上市公司漏报或错报内部控制相关真实信息的风险。
另外,即使上市公司的披露信息都是真实的,这类评价方法测算的其实是内部控制披露质量,与内部控制有效性仍然存在差异。
(4)基于内部控制目标完成度的定量评价
这类度量方法认为,确认内部控制是否有效的最高标准是内部控制目标是否得以实现
从信息披露真实有效、生产活动合法守规、经营业绩稳定增长、战略规划得以完成四个维度全面评估内部控制目标的实现程度,以四个维度为一级指标,再分别选取代理变量为四个一级指标赋分并整合,最终得到一个综合得分。
我们借鉴了这种思想,构建出目标导向的内部控制有效性量化方法,根据内部控制目标设计一级指标,再对一级指标进行降维分解,分别建立了内部控制评价模型。
为帮助企业更好地执行“基本规范”,为其提供给利益相关者更直观地评价结果。
该指数依托于“基本规范”等制度框架,基于五个控制目标的实现程度设计初始指数得分标准,并结合内控缺陷的发现与整改情况对初始指数进行校正,最终得到反映上市公司内部控制有效性的指数。
