内部控制评价责任主体
一、内部控制评价的责任主体是董事会还是管理层
开展内部控制评价首先必须明确内部控制评价的责任主体,即应当由谁负责组织实施内部控制评价并对内部控制评价结果的可靠性负责。因为这一问题不仅关系到内部控制评价应当如何组织实施,而且关系到内部控制评价的质量。“如果从评价效率和评价准确性方面来讲,评价主体的选择比评价程序、评价方法等都重要,……评价主体的适当性严重影响着评价结论的准确性,甚至可以说,评价的准确性首先决定于谁来进行评价的问题。”(李连华,2007)
内部控制评价的责任主体不同于内部控制评价的操作主体,即由谁来具体实施内部控制评价。无论内部控制评价的责任主体是谁,内部控制评价的操作主体都是企业的内部审计机构及其人员或者外聘的社会审计组织及其人员,以及参与内部控制的各级管理者及其他员工。操作主体由企业内部审计机构及其人员担任,还是外包给社会审计组织及其人员,这主要取决于两种操作主体执行内部控制评价业务的成本效益比。学者们对内部控制评价的操作主体已有许多论述,笔者不准备对此进行深入阐述。
内部控制评价的责任主体与操作主体的关系是:责任主体要对评价结果向使用者负责。为此,它要组织和领导操作主体进行评价工作,并监控操作主体的工作质量;操作主体应当对责任主体负责,接受责任主体的领导和监督。不管是董事会还是管理层作为责任主体,责任主体都应当按照成本效益原则确定操作主体。
关于内部控制评价的责任主体,中美两国内部控制规范的规定有着明显的区别。我国2010年4月正式颁布的《企业内部控制评价指引》第二条规定:“内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成结论、出具评价报告的过程。”美国国会于2002年7月发布的《萨班斯—奥克斯利法案》(Sarbanes-Oxley Act)第302节规定:公司CEO、CFO或类似职务者必须书面声明对内控设计和执行的有效性负责,并要求随定期报告一同对外披露管理层对财务报告内部控制的评价报告。因此,我国规定的内部控制评价责任主体为董事会或类似权力机构,美国规定的责任主体是管理层,两者规定明显不同。
那么,内部控制评价的责任主体到底应当是董事会还是管理层呢?
二、不同目的的内部控制评价其责任主体不同
笔者认为内部控制评价的责任主体不能一概而论。总体来讲,由于内部控制评价是内部控制监控的重要形式,内部控制又是由企业董事会、管理层和其他人员实施的,因此,内部控制评价也应当是由企业董事会、管理层和其他人员实施的。也就是说,内部控制评价主体既可能是董事会,也可能是管理层。具体来讲,不同目的的内部控制评价,其评价的责任主体是不相同的。关于内部控制评价的目的,目前人们尚未有系统的研究和论述。内部控制评价的目的大体可分为三种:管理目的的评价、治理目的的评价和对外披露目的的评价。
所谓管理目的的评价,是指为了持续保持内部控制有效性所实施的内部控制评价。它可以是局部评价,也可以是全面评价。由于它是有效运行内部控制的重要方面,因此,其评价的责任主体是管理层。由于管理目的的内部控制全面评价工作量大、成本高,因此它通常与对外披露目的的评价结合进行。
所谓治理目的的评价,是指董事会及其审计委员会为了加强对内部控制的监督,在企业发生重大贪污舞弊、弄虚作假、案件事故,以及怀疑管理层有凌驾内部控制问题等情况下,指令内部审计机构及其人员或聘请外部审计组织及其人员,甚至审计委员会成员亲自参与实施的,对相关内部控制的有效性进行的评价。它通常是局部进行的,遇有管理层凌驾等问题也可以全面进行。公司的“内部人控制”问题出现后,强化董事会对内部控制的治理、指导和监督责任就成为大势所趋。以前,当公司出现丑闻时,很多人问:“管理层怎么让这发生的?”现在,恐怕要问:“董事会怎么让这发生的?”(周勤业、王啸,2005)COSO《框架》认为,董事会及其审计委员会在内部控制中应当承担治理、指导和监督责任,包括“通过选择管理层,董事会在确定诚信与道德价值观的期望方面发挥着重要作用,而且通过其监督活动来确认是否符合期望。同样,通过保留在某些关键决策上的权力,董事会可以在高层次的目标设定和战略规划中发挥作用。董事会通过它提供的监督,广泛地参与到内部控制之中。”
所谓对外披露目的的评价,是指为了对外披露反映企业内部控制有效性的评价报告所实施的内部控制评价。随着安然、世通等一系列重大财务丑闻的爆发,人们发现在“内部人控制”日益严重的今天,管理层操纵财务成果和财务状况的问题日益增多,且日益为财务报表审计所难以发现。在这种情况下,外部使用者仅仅根据财务报表及其审计报告进行判断和决策,已经变得风险越来越大,深入了解财务报表生成过程的可靠性变得越来越重要。财务报表生成过程的可靠性主要取决于财务报告内部控制的有效性。因此,为了给外部使用者判断财务报表可靠性提供更多可靠的依据,公司对外披露有关财务报告内部控制有效性的评价报告及其独立审计师审计报告就成为必然的要求。
对外披露目的的内部控制评价通常要求全面评价,以便全面而真实地披露内部控制有效性评价,更好地为外部利益相关者各方服务。它通常与管理目的的全面评价结合进行,或者说它可以根据评价发现的内部控制缺陷情况,对外披露内部控制有效性信息和采取措施弥补内部控制缺陷。它是最常见的内部控制评价形式,有关评价主体的纷争主要是针对这种形式的内部控制评价而言的。
其实,披露目的的内部控制评价责任主体确定与披露目的的财务报告责任主体确定是一个相同的问题。大家知道,财务报告编制的责任主体是管理层,应当由管理层亲自或聘请社会专家编制,由管理层对财务报告的可靠性负责;董事会通过聘请注册会计师对财务报表进行审计,将财务报告和财务报表审计报告一同对外披露来履行其对财务报告的治理责任。同样道理,内部控制评价的责任主体也应当是管理层,应当由管理层亲自或聘请社会专家评价,由管理层对评价报告的可靠性负责;董事会通过聘请注册会计师对内部控制评价报告进行审计,将评价报告及其审计报告一同对外披露来履行其对评价报告的治理责任。
三、内部控制责任主体出现争议的原因分析
一些人之所以将董事会认定为对外披露目的的内部控制评价的责任主体,主要原因是他们误以为内部控制监控就是董事会对内部控制的监督,误以为内部控制评价就是内部控制审查。比如,我国《企业内部控制基本规范》就把内部控制的监控要素命名为内部监督要素,《内部控制评价指引》也把测试检查以收集证据的方法规定为内部控制评价的基本方法。其实,内部控制的监控与内部控制的监督是两种性质不同的工作,它们的责任主体、工作内容、工作方式、工作方法等都有明显的区别。
内部控制监控是内部控制五个构成要素之一,是一个不断对内部控制体系的运行质量进行自我评估的过程。它可以通过持续监控活动、个别评价或两者的结合来实现。持续监控发生在经营过程中,包括日常的管理和监控活动,以及员工在履行其职责过程中所采取的其他行动。个别评价则独立于经营过程外,是对内部控制体系运行有效性进行的评价。个别评价可以针对重点风险领域进行局部评价,也可以针对全部或某一个内部控制目标进行全面评价;可以由董事会负责组织实施,也可以由管理层负责组织实施。评价的基本方法是自我评估法,并不需要收集充分、适当的证据,但仍需要作详细、真实的记录。因为内部控制评价工作是一种有组织的自我反思的、自觉报告工作,必须由参与内部控制的全体人员积极参加,进行批评和自我批评。内部审计部门及其人员或聘请的社会审计组织及其人员在其中的职责主要是组织,在此基础上参与评价和对重大和重要缺陷进行查实反映。(杨瑞平,2010)自我评估的常用方法主要有以下三种:
引导会议法。该法是指把管理层和员工召集起来,形成一个工作组(work terms of workshop),就特定的内部控制问题或过程进行面谈和讨论,以获取有关内部控制评价关注点或指标实际情况信息的一种方法。
问卷调查法。该法是指内部控制评价者利用事先准备好的内部控制评价调查问卷对受访者(承担并行使内部控制职责者)进行调查,根据受访者回答的“是/否”或者“有/无”情况,获取有关内部控制评价关注点或指标实际情况信息的一种方法。
管理结果分析法。该法是指内部控制评价人员通过学习企业经营管理过程,了解经营管理结果,结合从其他方面收集的信息,获取有关内部控制评价关注点或指标实际情况信息的一种方法。
内部控制的监督则是董事会及其审计委员会对内部控制承担的责任之一。其监督的内容包括管理层建设和运行内部控制的情况、评价和完善内部控制的情况等。它可以通过审定管理层的内部控制建设或完善方案,实施治理目的的内部控制评价,通过与内部或外部审计师沟通、接受员工举报等了解内部控制存在的问题并质询管理层,督促管理层纠正内部控制重大缺陷并追究有关人员责任,聘请外部审计师对披露目的的内部控制评价报告进行审计等方式来进行。(杨瑞平,2010)监督的方法主要是检查批判的方法,包括审阅、核对、查询、函证、观察、复算等,监督者的身份独立于被监督对象,它既要求获取充分、适当的证据,又要求作详细、如实的记录。
董事会对内部控制的监督,可以通过董事会及其审计委员会亲自组织实施治理目的的内部控制评价等方式来实现,但不能通过董事会及其审计委员会负责对外披露目的的内部控制评价来实现。如果由董事会及其审计委员会负责对外披露目的的内部控制评价,出具评价报告,再由董事会及其审计委员会聘请外部审计师对评价报告进行审计,就会出现自己组织评价自己聘请审计的“自我评价”问题,既不利于保证评价的质量,也不利于保证审计的质量。这可以从目前我国一些上市公司提供的内部控制评价报告质量状况得到证明。近年来,我国有越来越多的上市公司开始在年度报告中提供董事会或其审计委员会编制内部控制评价报告,但从阅读这些评价报告了解的情况看,这些报告几乎没有披露内部控制重大和重要缺陷,极少数报告所披露的所谓缺陷也大多不是真正的内部控制缺陷。显然,几乎无缺陷披露的内部控制评价报告与我国上市公司内部控制的实际情况是不相符的,相当多的权威人士认为,“对我国内部控制现状不宜估计过高”(王宏,2008)。因此,由董事会或其审计委员会负责的内部控制评价,其真实性也是很值得怀疑的,其作用是很有限的,甚至是负面的。
【参考文献】
[1] 李连华.内部控制理论结构[M].厦门大学出版社,2007.
[2] 郑洪涛,张颖.企业内部控制学[M].东北财经大学出版社,2009.
[3] 王宏.基于国际视野和科学发展的我国内部控制框架体系研究[M].东北财经大学出版社,2008.
[4] 杨瑞平.企业内部控制环境研究[M].经济科学出版社,2010.
