环境不确定性、人性假设和内部控制鉴证需求
编者按:从技术逻辑来说,审计就是对特定事项与既定标准之间的一致性获取证据并发表意见,这里的特定事项就是审计主题(Audit Subject Matter)。
总体来说,审计主题包括财务信息、非财务信息、行为、制度,审计就是围绕上述四类主题与既定标准之间的一致性收集证据并发表意见。
基于四类审计主题,分别形成财务信息审计、非财务信息审计、行为审计、制度审计。
作为制度审计的基本形态,内部控制评价已经成为内部审计部门的主要业务;在外部审计师的业务中,内部控制审核及审计也越来越具有重要地位。
然而,关于内部控制鉴证的许多基本理论问题,还处于碎片化的研究阶段。
从本期开始,本刊将连续刊发制度审计基本理论研究系列文章。
下载论文网 /3/view—12962661.htm 【摘 要】 关于内部控制鉴证的需求因素,需要回答三个基本问题,第一,为什么需要内部控制?第二,为什么需要内部控制鉴证?第三,内部控制鉴证为什么出现多样化?文章以环境不确定性和人性假设为基础,系统解答上述三个基本问题。
环境不确定性、自利、有限理性,导致了风险,为了应对风险,产生了内部控制;同样,由于环境不确定性、自利、有限理性,导致内部控制可能出现设计缺陷和执行缺陷,为此,利益相关者需要对内部控制进行鉴证,以及时发现和弥合内部控制缺陷;由于委托代理关系多样化、代理人自利和有限理性,同时,考虑成本效益原则,内部控制鉴证出现了多样化。
【关键词】 环境不确定性; 人性假设; 内部控制鉴证; 内部控制审计; 内部控制评估 【中图分类号】 F239.44 【文献标识码】 A 【文章编号】 1004—5937(2017)13—0124—08 一、引言 内部控制鉴证就是对内部是否存在缺陷的评价,包括内部鉴证(也称内部控制评估)和外部鉴证(也称内部控制审计)。
目前,内部控制鉴证已经成为民间审计、内部审计和政府审计的重要业务。
然而,内部控制鉴证的需求因素是什么呢?也就是说,为什么需要内部控制鉴证呢?现有文献涉及到内部控制外部鉴证的需求,但是,主要是研究了内部控制鉴证信息披露的动机,然而,内部控制鉴证可以不披露,所以,内部控制鉴证的需求因素和内部控制鉴证信息披露的需求因素应该是不同的。
本文以环境不确定性和人性假设为基础,研究内部控制鉴证的需求因素。
本文随后的内容安排如下:首先是一个简要的文献综述,梳理相关文献;在此基础上,以环境不确定性、人性假设为基础,提出一个关于内部控制鉴证需求的理论框架;然而,用这个理论框架来解释美国企业的内部控制外部鉴证变迁,以一定程度上验证这个理论框架;最后是结论和启示。
二、文献综述 内部控制鉴证的研究主题主要包括内部控制鉴证的需求因素、内部控制鉴证信息披露的影响因素及其后果[1—5]、内部控制鉴证判断的一致性[6—10]及内部控制鉴证的一些技术问题[11—12]。
与本文直接相关的主题是内部控制鉴证的需求因素,本文主要关注这类文献。
对于内部控制外部鉴证的需求因素,现有文献主要确认了监管方式转换和投资者保护两类因素,一些文献认为,实施内部控制审计制度是市场监管的新抓手,各国监管机构对微观主体的监管重心,逐渐从事后被动监管转变为过程控制,从财务信息质量监管转变为财务信息质量保证体系的监管,实施企业内部控制审计,则是这一监管方式变革的重要组成部分[13];另外一些文献认为,美国的《萨班斯—奥克斯利法案》404条款要求,公司管理层评价并报告内部控制的有效性并且要求独立审计师对该报告进行审计,其主要原因是认为内部控制能为财务报告可靠性提供合理保证,所以,内部控制外部鉴证可以保护投资者的利益,重建投资者对资本市场的信心[13—17]。
关于内部控制内部鉴证的需求因素,一般认为是为了完善、健全内部控制,对内部控制不健全的组织进行内部控制鉴证,可发现其薄弱环节,从而起到完善、健全的作用;而对于内部控制相对完善的组织,由于组织内外部条件和环境都在不断发生改变,控制风险的成因也在不断发生变化,内部控制的其他相关成分变化也从未停止,因而,就需要内部控制鉴证来为内部控制如何应对变化做出指导[18—19]。
上述文献对研究内部控制鉴证需求有一定的启发作用,然而,总体来说,关于内部控制鉴证的需求还是缺少一个系统理论框架。
三、内部控制鉴证需求:理论框架 关于内部控制鉴证的需求因素,需要回答三个基本问题,第一,为什么需要内部控制?第二,为什么需要内部控制鉴证?第三,内部控制鉴证为什么出现多样化?对于第一个问题,一般来说,内部控制是基于风险防范的需要,而风险又源于环境不确定性和人性假设,所以,环境不确定和人性假设是内部控制的引致因素。
对于第二个问题,一般来说,正是由于内部控制可能存在缺陷,不能达到其预定目标,所以,需要对内部控制进行?b证,而环境不确定和人性假设又是内部控制缺陷的引致因素。
总体来说,可以从环境不确定性和人性假设两个因素出发,解释为什么需要内部控制,为什么需要内部控制鉴证。
对于第三个问题,主要原因是委托代理关系不同,从而出现不同的内部控制鉴证需求。
上述框架如图1所示,实线部分是第一个基本问题,虚线部分是第二个和第三个基本问题。
(一)为什么需要内部控制 COSO委员会2013版《内部控制――整合框架》指出,内部控制是一套由企业的董事会、管理层及其他人员实施的程序,以合理确保有关运营、报告以及合规的目标得以实现。
2008年,财政部等五部委联合制定的《企业内部控制基本规范》指出,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
2012年,财政部颁布的《行政事业单位内部控制规范(试行)》指出,内部控制是指单位为实现控制目标,通过制定制度、实施措施和执行程序,对经济活动的风险进行防范和管控。
单位内部控制的目标主要包括:合理保证单位经济活动合法合规、资产安全和使用有效、财务信息真实完整,有效防范舞弊和预防腐败,提高公共服务的效率和效果。
上述三个内部控制方面的权威规范,虽然表述不同,但共同的内核是,内部控制是组织内部为实现特定目标而建立的一个系统,这个系统为特定目标的达成提供支持或保证。
然而,为什么需要建立这样一个系统来支持或保证目标的达成呢?其原因是,目标的达成存在不确定性,这些不确定性就称为风险,所以,内部控制是通过防范风险以支持或保证目标的达成。
然而,不确定性为什么会产生呢?其原因是,存在一些因素影响目标的达成,这些因素称为风险因素,所以,内部控制首先要评估风险因素,包括识别风险因素、分析风险因素、确定风险应对策略,在此基础上,建立控制措施来应对这些风险因素。
如果风险因素评估没有差错,应对这些风险因素的措施也是有效的,则风险因素对内部控制目标的影响就能得到有效抑制,从而内部控制目标的达成就能得到支持或保证。
那么,有哪些风险因素呢?《内部控制――整合框架(2013)》及《行政事业单位内部控制规范(试行)》并未对风险因素进行分类,《企业内部控制基本规范》将风险因素分为内部因素和外部因素,内部风险因素包括人力资源因素、管理因素、自主创新因素、财务因素、安全环保因素、其他内部因素;外部风险因素包括经济因素、法律因素、社会因素、科学技术因素、自然环境因素、其他外部因素。
然而,上述这些因素为什么会对内部控制目标的达成产生负面影响呢?根本的原因有两个,一是环境不确定性,二是人性假设。
先来看环境不确定性。
任何一个组织在确定其内部控制目标时,都会对影响内部控制目标的内部环境因素和外部环境因素有所评估,并以评估为基础来决定内部控制目标。
在内部控制目标达成过程中,如果上述这些环境因素按预期的情况进行变化,则这些因素对内部控制目标的影响也就在预期之内。
然而,上述这些环境因素完全可能与设定内部控制目标时的评估不一样(称为环境差异),从而出现环境不确定性或环境差异,这些环境不确定性或差异,对内部控制目标的达成形成非预期的影响,从而使得设定的内部控制目标之达成具有不确定性。
环境不确定性或环境差异的产生有两个原因,一是设定内部控制目标时,对环境因素的评估存在遗漏,一些重大的环境因素没有包括进来;二是对环境因素的变动估计错误,环境因素的实际变动与估计的可能变动有重大差异。
从某种意义上来说,内部控制目标是因变量,而环境因素是自变量,根据对自变量的估计,设定了因变量的目标,如果自变量不变,则因变量也不变,从而内部控制目标能达成;如果自变量发生了非预期变化,则因变量显然也会发生相应的偏离,从而内部控制目标的达成出现偏离。
为此,需要建立内部控制系统,识别和评估这些环境因素的变化,并采取有效的控制措施。
如果说环境不确定性主要是影响内部控制目标达成的物的因素(当然,物是人操持的,也离不开人的影响),那么,人性假设则是影响内部控制目标达成的人的因素。
人性假设是关于人性的设定,历史上出现过多种人性假设;例如,人性恶、人性善假设,经济人、社会人、复杂人假设等。
笔者认为,人性假设应该是现实生活中正常人在正常情形下表现出来的人性,这里有两个关键因素,一是正常人,也就是普通人,而不是社会中的特殊群众;二是正常情形下,不是特殊情形下。
根据这两个限定条件,Williamson[20]认为,一般来说,人性主要有两个方面,一是自利,二是有限理性。
所谓自利是指人会计算、有创造性、能寻求自身利益最大化,表现为经济人。
人出于自利之目的并不一定会损害他人利益,相反,有可能增进他人利益。
每个人由于自利的本能,在一定的条件下可能出现机会主义行为,此时的自利就可能损害他人的利益。
有限理性(Bounded Rationality)理论认为,人的行为是有意识的理性,但这种理性又是有限的,人并不能在任何情形下都做出最优选择[21]。
由于人是具有有限理性的,所以,人可能出现次优行为或次优问题。
特别需要说明的是,次优行为不同于Simon[21]的次优选择,后者是指没有做出最优选择,而前者是指即使在当前的环境下,也没有做出最适宜的选择,还存在改进的潜力,其优秀程度低于次优选择。
人的自利可能产生机会主义倾向,相关的人如果有了机会主义倾向,就会偏离组织目标甚至以牺牲组织目标为代价来追求个人目标,从而形成风险因素或影响组织目标达成。
有机会主义倾向的人可能从两个路径形成风险因素或影响内部控制目标之达成,一个路径是采取逆向行为,直接实施一些与控制目标要求相背离的行为,从而形成风险因素;二是卸责,主要是不作为,从而使得风险因素没有得到有效抑制。
以《企业内部控制基本规范》确定的目标为例,内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
就合法合规目标来说,有机会主义倾向的人为了自己的利益可能会违规,这是逆向行为;也可能是对于违规行为的控制不力,从而使得违规行为泛滥,合规合法性目标难以达成,这是卸责。
就资产安全目标来说,有机会主义倾向的人可能会挥霍组织资源以满足自己的需要,甚至采取舞弊行为来非法占有组织的资产,这是逆向行为;或者是对于相关资产的安全性不在意,任凭一些不安全因素的发生,这是卸责。
就财务报告及相关信息真实完整目标来说,有机会主义倾向的人为了自己的利益可能会故意弄虚作假,这是逆向行为;也可能是对于信息真实完整的控制不力,这是卸责。
就经营目标和战略目标来说,即使有机会主义倾向的人,一般也不会有意出现逆向行为,主要是卸责,表现为不努力工作,没有付出足够的精力和时间来实现这些目标。
有限理性对内部控制目标达成的影响,主要路径是次优行为,也就是由于人的非故意行为产生错误或失误,从而造成了风险因素或影响内部控制目标的达成。
以《企业内部控制基本规范》确定的目标为例,就合法合规目标来说,由于不知道相关法律法规或错误地理解了相关法律法规,可能出现违规行为;就资产安全来说,由于非故意行为,可能造成财产的损失浪费,或者由于非故意原因,让他人从本人负责的工作中获取了非法利益;就财务?蟾婕跋喙匦畔⒄媸低暾?目标来说,由于非故意原因,使得信息计算或加工错误或遗漏,或者由于非故意原因,让他人的弄虚作假行为得逞;就经营目标和战略目标来说,由于非故意原因,可能出现不当行为,从而对经营目标和战略目标出现负面影响,或者由于非故意原因,使得他人损害本组织经营目标和战略目标的行为得以实施。
以上分析了环境不确定性、人性假说、风险、内部控制之间的关系,总体来说,有如下结论:环境不确定性或环境差异对内部控制目标的达成形成非预期的影响,从而使得设定的内部控制目标之达成具有不确定性;人性的自利会产生机会主义行为,表现为逆向行为和卸责,通过机会主义行为形成风险因素或影响内部控制目标之达成;人性的有限理性会产生次优行为,出现非故意的错误或失误,从而造成风险因素或影响内部控制目标的达成;为了应对上述风险因素对内部控制目标的影响,需要建立内部控制系统。
(二)为什么需要内部控制鉴证 以上讨论了内部控制的需求因素。
然而,内部控制系统能否真的为控制目标的达成提供支持或保证呢?答案是不一定!其原因是,内部控制可能存在缺陷,由于内部控制缺陷的存在,其功能发挥受到限制,从而不能为内部控制目标的达成提供支持或保证。
根据美国《管理层内部控制评价指引》和《第5号审计准则――与财务报告审计相结合的财务报告内部控制审计》以及我国的《企业内部控制评价指引》和《企业内部控制审计指引》,内部控制缺陷分为设计缺陷和执行缺陷,前者主要是指内部控制的结构和程序不完整,遗漏了一些必要的控制,或者控制设计不合理,从而导致即使按照控制设计执行了,仍无法达到控制的目标;后者则是指一项控制虽然设计合理,但没有得到有效的执行,或者执行控制的员工没有得到合理的授权或资质,从而导致控制不能得到有效的执行。
根据内部控制缺陷对控制目标达成的影响程度,内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
当存在重大缺陷,内部控制目标存在现实或潜在的重大偏离,内部控制整体无效;当存在重要缺陷时,内部控制目标存在现实或潜在的重要偏离,虽然内部控制整体仍然有效,但是,在某些方面可能是无效的;当存在一般缺陷时,内部控制目标会出现一些现实或潜在偏离,这些偏离不具有重大或重要性,内部控制存在需要改进的瑕疵。
那么,内部控制缺陷为什么会存在呢?内部控制缺陷同样源于环境不确定性和人性假设,其基本情况如表1所示。
下面具体分析如何引致缺陷。
自利主要表现为有意行为,自利人在设计内部控制时,一方面可能故意将一些对自己有利的风险因素不予评估,或者是不设计控制措施,或者是设计的控制措施不足以应对这种风险;另一方面,自利人在设计内部控制时可能出现卸责,不认真进行内部控制评估和控制措施设计,从而使得风险评估和控制措施设计都存在缺陷。
自利还会影响内部控制执行,自利人在执行内部控制时可能是选择性执行,凡是对自己有利的内部控制措施就执行,对自己不利的内部控制措施就不执行或执行不力;自利人还可能为了自己的利益凌驾于内部控制之上,使得内部控制形同虚设;自利人在执行内部控制时还可能出现卸责,从而使得内部控制不能得到有效执行。
有限理性主要表现为非故意行为,其产生内部控制缺陷的路径与自利相似。
一方面,有限理性人可能由于非故意原因,将一些重要的风险因素遗漏,或者是设计的控制措施不足以应对其拟应对的风险,这些都表现为风险暴露超过风险容忍度,并在此基础上产生了内部控制设计缺陷;另一方面,有限理性人在执行内部控制时,可能由于非故意原因,未能有效地执行内部控制,从而出现风险控制未能达成预定目标,产生内部控制执行缺陷。
一方面,一般来说,风险评估和风险应对措施之设计都是以一定的环境条件为基础的,如果环境条件发生了变化,则风险可能发生变化,或者是风险应对措施需要发生变化。
所以,环境不确定性的存在可能使得原来设计的内部控制不适应新的环境,从而使得内部控制出现设计缺陷。
另一方面,内部控制的?绦幸残枰?一定的环境条件,如果环境条件发生了变化,则原来执行的内部控制可能也难以有效执行,从而出现内部控制执行缺陷。
例如,信息技术在内部控制中有广泛的应用,但是,如果操作这种信息技术内部控制的人员发生了变化,新来的人对相关信息技术不了解,则这种内部控制措施的有效执行就存在问题。
正是由于自利、有限理性、环境不确定性等因素的存在,内部控制可能存在缺陷,而这些缺陷的存在,就意味着内部控制目标可能出现重大、重要和一般偏离,这就损害了内部控制目标利益相关者的利益,这些利益相关者为了维护自己的利益,就产生了鉴证内部控制缺陷的需求,通过内部控制鉴证,及时地发现内部控制缺陷并使之得到弥补,从而为内部控制目标之达成奠定更加可靠的基础。
以上分析了自利、有限理性、环境不确定性、内部控制缺陷、内部控制鉴证之间的关系,总体来说,有如下结论:自利、有限理性、环境不确定性可能引致内部控制设计缺陷和执行缺陷,这些缺陷的存在可能损害内部控制目标利益相关者的利益,这些利益相关者为了维护自己的利益,就产生了鉴证内部控制缺陷的需求,通过内部控制鉴证,及时地发现内部控制缺陷并使之得到弥补,从而为内部控制目标之达成奠定更加可靠的基础。
(三)内部控制鉴证为什么出现多样化 虽然是内部控制缺陷损害了利益相关者的利益,从而导致了内部控制鉴证需求,但是,从现实生活来看,内部控制鉴证出现了多样化,表现为两个方面,一方面,许多情形下,并没有出现内部控制鉴证;另一方面,内部控制鉴证出现了多种类型。
根据本文前面的分析,内部控制缺陷源于自利、有限理性和环境不确定性,一般来说,这些因素是普通存在的,所以,内部控制缺陷具有普通性,只是程度不同而已。
由于内部控制缺陷具有普通性,内部控制缺陷对内部控制目标利益相关者的不利影响也具有普通性。
一些情形下没有内部控制鉴证,并不是这些情形下的内部控制不存在缺陷,而是存在内部控制缺陷,但是利益相关者并没有内部控制鉴证的需求。
这其中的原因是什么呢?有两方面的原因,第一,内部控制鉴证是需要付出成本的,在有些情形下,内部控制鉴证可能不符合成本效益原则,出于成本效益的考虑,利益相关者选择不进行内部控制鉴证。
第二,利益相关者不介意内部控制缺陷可能造成的利益损害,如果某组织的利益相关者对本组织的利益不很关注,或者是本组织的利益多寡与利益相关者的关联较弱,则利益相关者本身可能就不关注这个组织的目标达成情况,当然也不会介意支持或保证该组织目标达成的内部控制是否存在缺陷。
从现实生活来看,内部控制鉴证有多种类型,内部鉴证包括自我鉴证和独立鉴证,外部鉴证当然是独立鉴证,也区分为注册会计师鉴证和政府审计鉴证,这其中的原因是什么呢?从根本上来说,内部控制鉴证类型多样化的原因是委托代理关系多样化和人性假设,一方面,不同类型的委托代理关系,产生不同的内部控制目标利益相关者,从而产生不同的内部控制鉴证需求,进而需要不同的内部控制鉴证主体来实施;另一方面,自利和有限理性也会导致不同鉴证主体实施的内部控制鉴证各有利弊,从而需要不同内部控制鉴证的组合。
下面具体分析委托代理关系、人性假设和内部控制鉴证类型多样化的关系。
一些文献将内部控制内部鉴证等同内部控制自我鉴证,严格意义上来说,这是不正确的。
内部控制内部鉴证区分为自我鉴证和内部独立鉴证两种情形,自我鉴证是内部控制当事人对自己实施的内部控制所进行的鉴证,而本组织内部与所鉴证内部控制无关的部门对内部控制所实施的鉴证就是内部独立鉴证。
例如,财务部对本部门的内部控制的鉴证就是自我鉴证,而审计部对财务部的内部控制的鉴证就是内部独立鉴证。
从内部控制鉴证需要角度来看,有两个基本问题需要回答,第一,为什么需要内部鉴证?第二,为什么自我鉴证和内部独立鉴证并存? 关于为什么需要内部鉴证,任何一个组织内部都存在委托代理关系,委托人和代理人之间存在激励不相容、信息不对称,再加上组织环境存在不确定性,自利的代理人完全有条件偏离委托人的期望,出现机会主义倾向,实施机会主义行为[22],为了应对代理人的机会主义行为,委托人会推动建立一整套治理机制,内部控制是其中的重要内容[23]。
所以,内部控制是委托人抑制代理人机会主义行为,保障其利益不受损害的制度设计。
正是基于此,委托人当然会关注内部控制是否存在缺陷,从而有内部控制鉴证需求。
另外,即使代理人没有实施机会主义行为,代理人也是有限理性的,这种有限理性也可能带来内部控制设计缺陷或执行缺陷,从而损害委托人的利益,所以,基于代理人的有限理性,委托人也会产生内部控制鉴证需求。
虽然如此,为什么自我鉴证和内部独立鉴证并存呢?自我鉴证与内部独立鉴证相比,由于对所鉴证的内部控制非常熟悉,所以,最有可能发现内部控制所存在的缺陷,并且有利于后续整改。
但是,如果内部控制缺陷是对当事人有利的缺陷或者报告这种缺陷对当事人带来负面影响,由于自利的原因,当事人可能不报告、不整改这种内部控制缺陷。
由于自我鉴证不具有独立性,所以,不能完全依赖自我鉴证,必须在自我鉴证的基础上,再实施内部独立鉴证。
以上分析了内部鉴证需求及其多样化的原因,下面分析外部鉴证需求及其多样化的原因。
这里有两个基本问题需要回答,第一,为什么需要外部鉴证?第二,外部鉴证为什么区分为政府审计鉴证和注册会计师鉴证? 本文前面分析指出,内部控制鉴证源于内部控制利益相关者保护其自己利益的需求,内部控制外部鉴证需求源于在组织外部存在外部利益相关者。
一般来说,任何一个组织都存在外部利益相关者,组织内部控制目标的达成状况会影响这些外部利益相关者的利益,所以,这也是自己的利益,这些外部利益相关者会有内部控制鉴证需求。
然而,为什么不能直接依赖内部鉴证的结论呢?其原因是,内部鉴证是受到组织管理层控制的,而外部利益相关者和组织管理层是委托代理关系,激励不相容、信息不对称,再加上组织环境存在不确定性,由于管理层作为代理人同样可能出现机会主义行为,从而使得提供的内部控制鉴证报告出现虚假,正是在这种背景下,不受组织管理层控制的外部独立机构所提供的内部控制鉴证恰好满足了外部利益相关者的需要。
然而,外部鉴证为什么区分为政府审计鉴证和注册会计师鉴证?其原因是委托代理关系不同,一般来说,任何一个组织都要使用一定的资源,而资源的来源无非是两种类型,一是来源于公共资源,个人不要求回报的供资也类似于公共资源,这种情形下形成的组织就是公共组织;二是资源来源于私人,这种情形下形成的组织就是私营组织。
当然,有些组织的资源同时来源于两种渠道,此时,何种渠道为主,该组织就属于何种类型。
无论是私营组织还是公共组织,其直接供资者与该组织的管理层形成委托代理关系,直接供资者是委托人,该组织的管理层是代理人。
委托人基于其自身利益的保护,希望对其供资的组织之内部控制进行鉴证。
对于特定的组织来说,对该组织的内部控制进行鉴证有两个选择,一是委托人自己建立专门机构来实施内部控制鉴证,二是从市场上购买该种鉴证服务。
不同的组织有不同的选择,对于私营组织来说,由于该?M织的委托人共同供资的只有该组织,如果建立一个专门机构来实施内部控制鉴证,可能不符合成本效益原则,相反,直接从市场上购买具有专业水平的注册会计师来实施内部控制鉴证成本会低于自己建立专门的机构,所以,私营组织的外部利益相关者,主要聘请注册会计师实施内部控制的外部鉴证。
公共组织的供资者则不同,作为委托人或供资者可能给许多的公共组织提供了资源,是许多公共组织的委托人,此时,如果自己建立一个专门机构来对这些公共组织的内部控制进行鉴证,是符合成本效益原则,如果这个专门机构主要从事对公共组织的内部控制鉴证,还可以发展出专业优势,从而更加显现效率效果,政府审计机构鉴证公共组织的内部控制就出现了。
以上分析了委托代理关系、人性假设和内部控制鉴证类型多样化的关系,总体来说,有如下结论:由于成本效益原则制约或利益相关者不介意内部控制缺陷造成的利益损害,一些组织没有内部控制鉴证。
内部控制是委托人抑制代理人机会主义行为、保障其利益不受损害的制度设计,同时,代理人的有限理性也可能带来内部控制缺陷,所以,在委托代理关系下,基于代理人的自利和有限理性,委托人会产生内部控制鉴证需求,而委托代理关系可以分为内部委托代理关系和外部委托代理关系,从而出现了内部鉴证和外部鉴证。
外部鉴证有两种选择,委托人或者自己建立机构,或者从市场上聘请,由于成本效益的考虑,公共组织的委托人建立了政府审计机构来实施内部控制鉴证,而私营组织的委托人则从市场上聘请注册会计师来实施内部控制鉴证。
四、内部控制鉴证需求:美国企业的内部控制外部鉴证变迁分析 本文以上以环境不确定性、人性假设为基础,提出了一个内部控制鉴证需求的理论框架。
理论的生命力基于其能解释现实世界中的真实现象。
由于数据方面的限制,无法用数据来检验。
同时,由于本文提出的内部控制鉴证需求理论框架涉及的问题较多,也无法用一个例证来说明所有的问题。
本文以美国内部控制外部鉴证制度的变迁为例,用本文的理论框架来分析变迁的原因,以一定程度上验证本文的这部分理论。
一般来说,美国企业的内部控制外部鉴证大致经历了三个阶段:财务报表审计中的内部控制评价阶段、财务报告内部控制审核阶段、财务报告内部控制审计阶段[24—25]。
为什么会经历这样的变迁呢?下面,用本文提出的理论框架来解释这种变迁。
(一)财务报表审计中的内部控制评价阶段(20世纪初至20世纪60年代) 1936年,美国注册会计师协会在其发布的《独立注册会计师对财务报告审查》文告中,首次提出审计师在制定审计程序时,应考虑的一个重要因素就是审查企业的内部牵制和控制。
1939年,美国注册会计师协会的审计程序委员会公布了《审计程序文告第1号》,增加了对内部控制审查的内容,之后在发布的多个文件、法令中明确提出以内部控制为基础的审计程序。
严格说来,这个阶段并不存在内部控制鉴证,因为并不要求对内部控制发表意见,只是为了提高审计效率,在审计程序中考虑内部控制的作用,从而需要对内部控制进行审查。
与本文主题相关的问题是,为什么这个阶段没有内部控制外部鉴证需求呢?并不是这个阶段的内部控制不存在缺陷,而是这个阶段的内部控制缺陷给外部利益相关者造成的损害还不是显著,并未能引起外部利益相关者的关注,由于成本效益的考虑,外部利益相关者对内部控制进行鉴证的需求不强,所以,没有独立的外部内部控制鉴证。
(二)财务报告内部控制审核阶段(20世纪70年代至20世纪90年代) 1978年,美国科恩委员会(Cohen Commission)建议管理当局在披露财务报告时,提交一份关于内部控制系统的评价报告,说明管理当局对会计系统及其控制的评估,并要求注册会计师对该报告进行证明。
1987年,Treadway委员会于在其报告中也提出了类似的建议。
上述两个建议都未被采纳。
美??国会于1991年颁布《联邦储蓄保险公司改善法案》,第36节规定,资产总额在5亿美元以上的大银行必须评估并报告内控的有效性,同时要求注册会计师对管理层有关内控的声明进行验证。
1993年,为了规范注册会计师执行内部控制审核业务,AICPA发布了SSAE No.2《财务报告内部控制的审核》,内部控制评估成为独立的审核业务。
为什么科恩委员会和Treadway委员会提出内部控制鉴证建议而又未被采纳?为什么《联邦储蓄保险公司改善法案》又做出独立审核内部控制的规定? 20世纪70年代以来,美国财务报告舞弊已经引起了社会的广泛关注,专门研究反财务报告欺诈的Treadway委员会成立,根据该委员会的研究,纳入研究范围的欺诈财务报告案例中约有50%是因内控失效导致的,在其提出的防止欺诈实务指引框架中,设计和实施有效的内部控制是重要的措施。
另外,1977年实施的美国《反国外贿赂法案》,要求公司在保持健全会计记录的同时,设计、建立和保持有效的内部会计控制系统,以作为防范公司对外国政府官员进行非法的政治援助或贿赂的措施。
可见,在这个阶段,相关各界已经认识到内部控制缺陷带来的损害,因此,希望在建立健全内部控制的同时,还实施内部控制外部鉴证。
根据上述建议,SEC希望以立法的形式来推动内部控制的外部鉴证。
然而,这些建议并没有被采纳,主要的原因之一是认为内部控制外部鉴证成本很高。
然而,1991年的《联邦储蓄保险公司改善法案》又为何做出独立审核内部控制的规定呢?这与当时的背景相关,20世纪80年末期以来,由于美国商业银行破产频发,引起民众对联邦存款保险公司命运的担忧。
在这种背景下,内部控制外部鉴证的效益就更加突显,相关各方在权衡内部控制外部鉴证的成本效益时,就认为效益大于成本,从而商业银行内部控制外部鉴证作为独立业务在这种背景下出现了。
由于这些商业银行是私营组织,并不是公共组织,所以,注册会计师是鉴证主体。
(三)财务报告内部控制审计阶段(21世纪初至今) 2002年7月,美国国会发布《萨班斯—奥克斯利法案》(SOX),其中302和404条款规定,公司首席执行官、首席财务官或类似职务者必须书面声明对内控设计和执行的有效性负责,并要求随定期报告一同对外披露管理层对财务报告内部控制的评价报告,该报告还需经负责公司定期报告审计的注册会计师的审计。
这里有两个问题需要回答,第一,为什么会出现这种业务?第二,为什么是这种业务是审计而不是审核? 在SOX之前,已经有多个机构多次提议对公司内部控制进行外部鉴证,但是,都以成本效益原因未能得到实施。
事实上,相关各方对内部控制外部鉴证成本效益的权衡都是主观判断,并无客观的数据。
21世纪初,安然、世通等舞弊事件的发生,极大地动摇了投资者对资本市场的信心,这些事件的发生,突显了内部控制缺陷给外部利益相关者带来的损害,从而突显了内部控制外部鉴证的巨大价值。
相关各方认为,上市公司内部控制的外部鉴证符合成本效益原则,应该成为独立的业务。
同时,将这种独立业务定性为审计,而不是类似于《联邦储蓄保险公司改善法案》中的审核,其原因是要求这种鉴证具有更高的保证程度。
一般来说,审核提供的是有限保证意见,而审计提供的是合理保证意见。
在SOX立法的背景下,相关各方对内部控制外部鉴证寄予很高的希望,所以,也要求较高的保证程度。
另外一个需要解释的问题是,由于美国上市公司基本上私营组织,所以,这些公司的内部控制外部鉴证当然由注册会计师来实施。
以上根据本文提出的理论框架,分析了美国内部控制外部鉴证变迁的三个阶段,总体来说,本文提出的内部控制外部鉴证理论能解释美国内部控制外部鉴证的变迁。
五、结论和启示 关于内部控制鉴证的需求因素,需要回答三个基本问题,第一,为什么需要内部控制?第二,为什么需要内部控制鉴证?第三,内部控制鉴证为什么出现多样化?本文以环境不确定性和人性假设为基础,系统解答上述三个基本问题。
关于为什么需要内部控制,有如下结论:环境不确定性或环境差异对内部控制目标的达成形成非预期的影响,从而使得设定的内部控制目标之达成具有不确定性;人性的自利会产生机会主义行为,表现为逆向行为和卸责,通过机会主义行为形成风险因素或影响内部控制目标之达成;人性的有限理性会产生次优行为,出现非故意的错误或失误,从而造成风险因素或影响内部控制目标的达成;为了应对上述风险因素对内部控制目标的影响,需要建立内部控制系统。
关于为什么需要内部控制鉴证,有如下结论:自利、有限理性、环境不确定性可能引致内部控制设计缺陷和执行缺陷,这些缺陷的存在可能损害内部控制目标利益相关者的利益,这些利益相关者为了维护自己的利益,就产生了鉴证内部控制缺陷的需求,通过内部控制鉴证,及时发现内部控制缺陷并使之得到弥补,从而为内部控制目标之达成奠定更加可靠的基础。
关于内部控制鉴证为什么出现多样化,有如下结论:由于成本效益原则制约或利益相关者不介意内部控制缺陷造成的利益损害,一些组织没有内部控制鉴证。
内部控制是委托人抑制代理人机会主义行为、保障其利益不受损害的制度设计,同时,代理人的有限理性也可能带来内部控制缺陷,所以,在委托代理关系下,基于代理人的自利和有限理性,委托人会产生内部控制鉴证需求,而委托代理?P系可以分为内部委托代理关系和外部委托代理关系,从而出现了内部鉴证和外部鉴证。
外部鉴证有两种选择,委托人或者自己建立机构,或者从市场上聘请。
由于成本效益的考虑,公营组织的委托人建立了政府审计机构来实施内部控制鉴证,而私营组织的委托人则从市场上聘请注册会计师来实施内部控制鉴证。
美国企业的内部控制外部鉴证大致经历财务报表审计中的内部控制评价、财务报告内部控制审核、财务报告内部控制审计三个阶段,本文提出的内部控制外部鉴证理论能解释美国内部控制外部鉴证的变迁。
根据本文的结论,鉴证需求是内部控制鉴证的动力,没有动力,内部控制鉴证就不会产生。
目前,以我国上市公司为代表的公司企业已经初步有了内部控制鉴证制度(也许是制度移植的结果),而公共组织还未能建立这种制度,其重要原因是鉴证需求不强,需求不强的原因可能是没有人真正关心公共组织内部控制缺陷带来的损害,所以,政府作为公共组织的供资者,应该以成本效益原则为基础,通过立法的形式建立公共组织内部控制鉴证制度。
【参考文献】 [1] PETER M C,FERGUSON C,HALL J.Auditor conservatism and voluntary disclosure:Evidence from the Year 2000 systems issue[J]. Accounting & Finance,2003,43(1):21—40. [2] BRONSON S N,CARCELLO J V,RAGHUNANDAN K. Firm characteristics and voluntary management reports on internal control[J]. Auditing:A Journal of Practice &Theory,2006,25(2):25—39. [3] ROGIER D,KNECHEL W R.Economic incentives for voluntary reporting on internal risk management and control systems[J]. Auditing:A Journal of Practice&Theory,2008,27(1):35—66. [4] 林斌,饶静.上市公司为什么自愿披露内部控制鉴证报告[J].会计研究,2009(2):45—52. [5] 方红星,金韵韵.公司特征、外部审计与内部控制信息的自愿披露[J].会计研究,2009(10):44—52. [6] ASHTON R H. An experimental study of internal control judgments[J].Journal of Accounting Research,1974,12(1):143—157. [7] ASHTON R H,Brown P R.Descritive modeling of auditor internal control judgments:replication and extension[J].Journal of Accounting Research,1980,18(1):269—277. [8] HAMILTON R E,Wright W F. Internal control judgments and effecots of experience:replications and extensions[J]. Journal of Accounting Research,1982,20(2):756—765. [9] TABOR R H. Internal control evaluations and audit program revision:some additional evidence[J]. Journal of Accounting Research,1983,21(1):348—354. [10] WU G.Preparers’control—risk assessments under alternative audit—review processes[J]. Accounting and Finance,2012,52(S1):433—454. [11] MAUTZ R K,MINI D L.Internal control evaluation and audit program modification[J]. Accounting Review,1966,41(2):283—291. [12] SMITH A. The relationship of internal control evaluation and audit sample size[J]. Accounting Review,1972,47(2):260—269. [13] ?毓圭.充分认识内部控制审计制度重要意义 将内部控制审计业务做好做实做到位――在企业内部控制审计业务培训班上的讲话[J].中国注册会计师,2012(1):12—15. [14] 吴秋生.内部控制审计有关问题探讨[J].中国注册会计师,2010(4):60—64. [15] 杨瑞平.内部控制审计有关问题探索[J].商业研究,2010(4):63—67. [16] 胡继荣,徐飞,管小敏.风险导向下的财务报告内部控制审计研究[J].江西社会科学,2011(12):216—220. [17] 黄秋菊.对我国《企业内部控制审计指引》有关问题的探讨[J].中国注册会计师,2014(3):66—72. [18] 曹宇.内部控制审计理论研究[J].经济视角,2011(8):79—80. [19] 李健.内部控制审计理论研究[J].中国证券期货,2011(1):87—88. [20] WILLIAMSON O E. The modern corporation:origins,evolution,attributes[J].Journal of Economics Literate,1981,19(4):1537—1568. [21] SIMON H A.A behavioral model of rational choice[J].The Quarterly Journal of Economics,1955,69(1):99—118. [22] FAMA E F,JENSEN M C.Separation of ownership and control[J]. Journal of Law and Economics,1983,26(2):301—325. [23] 郑石桥,陈丹萍.机会主义、问责机制和审计[J].中南财经政法大学学报,2011(4):129—134. [24] 朱荣恩,应唯,袁敏.美国财务报告内部控制评价的发展及对我国的启示[J].会计研究,2003(8):48—53. [25] 张龙平,陈作习,宋浩.美国内部控制审计的制度变迁及其启示[J].会计研究,2009(2):75—80.