內部控製缺陷認定的困境分析和對策研究
論壇
作者:段小娟 郭幼英
摘要:內部控製缺陷的識別與認定是評價內部控製是否有效的關鍵問題,也是內部控製評價和鑒定中最基礎的問題。然而目前我國在內控缺陷的識別和認定上還存在著諸多不完善的地方,這將導致企業內控缺陷認定的困難進而影響到企業內控信息披露的質量。本文對此現狀和困境進行了分析,並提出相應的解決對策和途徑。
關鍵詞:內部控製缺陷識別與認定困境對策
一引言
2010年,五部委聯合發布了《企業內部控製應用指引》、《企業內部控製評價指引》和《企業內部控製審計指引》等文件,執行內控規範的企業必須對企業內部控製有效性進行自我評價,披露年度自我評價報告,同時聘請會計師事務所對財務報告內部控製的有效性進行審計,出具內部控製審計報告。
目前在上市公司內部控製信息強製披露的背景下,內部控製缺陷的識別和認定倍受關注,同時它也是評價內部控製是否有效的關鍵點,是內部控製評價和審計工作中麵臨的重大難題(劉玉廷,2010)。之所以內部控製缺陷的識別和認定成為重大難題,是因為上述規範體係中在對內控缺陷識別和認定做了原則性規定之後並沒有提供具有操作性的指導。這直接導致企業管理層和外部審計機構隻能憑借個人主觀判斷進行內控缺陷的識別和認定(田娟,2012),這種主觀判斷容易受到人員的專業勝任能力和自我選擇性的影響。企業評價內部控製的目的是不斷提高為控製目標實現提供合理保證的程度。因此,對於內控缺陷本質的理解應該是基於目標導向型的,主要從偏離控製目標實現的可能性和程度以及影響後果來識別和認定內控缺陷。目標導向型的識別和認定對什麼是內部控製缺陷、種類的劃分、如何區分內控缺陷和內控局限、如何區分財務報告與非財務報告內控缺陷等一係列問題更需要明確的規範以及具有較強的實務操作性。正是這些問題的概念模糊和實務操作性不強導致了我國企業內控缺陷認定的困難,進而影響到企業自我評價以及內控信息披露的質量。
二、內部控製缺陷相關文獻綜述
從研究側重點來看,現有的內部控製缺陷文獻主要集中在五個方麵:內部控製缺陷披露與公司報告質量的相關性(Doyle,Ge和McVay,2007;LaFond,2008;楊有紅和毛新述,2009);披露內部控製缺陷企業自身特征研究:企業審計特征、治理特征等角度(楊有紅和陳陵雲,2009;Hollis等,2009;Jeffrey等,2007);影響內部控製缺陷披露的主要因素(Doyle,Ge和McVay,2007;Hollis等,2007;林斌和饒靜,2009;田高良等,2010);內部控製缺陷與會計信息質量的關係(Doyle,2007;Goh&Li,2008);內控缺陷披露的市場反應(Hammersley等,2008;Beneish等,2008;Bryan&Lilien,2005)。通過梳理以上相關文獻,筆者發現國外學者對內部控製缺陷進行了一定的研究,但均忽略了內部控製缺陷的認定問題。研究者一般首先假設上市公司可以對內控缺陷進行專業認定和披露,然後就直接研究存在內控缺陷公司的特征以及市場對這些公司的反應。
在少數內部控製缺陷識別和認定的研究中,內部控製缺陷的分類標準繁多,分類的依據略顯隨意。部分學者把重大內部控製缺陷按照公司運營的各個子模塊來劃分:賬戶類缺陷、培訓類缺陷、期末報告和會計政策類缺陷、收入確認類缺陷、職務分離類缺陷、賬戶核對類缺陷、子公司類缺陷、高管類缺陷和技術類缺陷(Ge和Mcvay,2005;齊保壘2010;單華軍2010);也有學者按照重大缺陷形成原因將其分為:人員歸因缺陷、複雜性歸因缺陷和一般歸因缺陷(JeffreyDoyle,2006);還有學者按照審計難易程度分為較難審計類和容易審計類內控缺陷,並且認為較難審計類內控缺陷包括控製環境缺陷、財務報告缺陷、關鍵人員缺陷,較容易審計類內控缺陷包括日常業務控製缺陷、控製係統缺陷、交易核算缺陷(S. Hammersley,2007);還有學者按照企業審計特征和治理特征來劃分內控缺陷:上市公司中報或年報財務報表重述行為及存在審計師變更的(魯清仿,2009)。可見,我國對內控缺陷的研究比較零散,缺乏係統、專門的研究。
因此,筆者將從內部控製缺陷的識別和認定的規範化視角進行深入研究,提出內部控製缺陷的識別和認定存在的現實問題,並在此基礎上探討解決的方法和路徑。
三、內部控製缺陷認定存在的現實問題分析
(一)內控缺陷和內控局限性的認定模糊
在企業進行自我評價的過程中,基於企業的“自我選擇性”,可能很大程度上會利用內控缺陷和內控局限性的理解誤區來選擇對自己有利的披露方式,將管理層越權、串通或共謀等超越內部控製的故意行為認定為內控局限性,從而得出內控有效性的結論。事實上,內控缺陷和內控局限性兩者既有共同點又存在本質的區別。內控缺陷和內控局限性的共同點在於由於兩者的存在會導致內控隻能為控製目標的實現提供合理保證而非絕對保證。區別在於,內控缺陷是內控設計上的漏洞或者執行過程中未按照設計意圖運行而產生運行結果偏差,它是可以通過人為努力來完善和修正的;而內控局限性則是固有風險,它是在設計和執行過程中無法預見的各種風險敞口以及就算按照設計執行也無法實現控製目標的可能性。美國COSO委員會認為:“任何內控係統,不管其設計和執行多麼完善,都隻能對實現董事會和管理層的控製目標提供合理、而非絕對的保證。這些控製目標的達成受限於內控係統的固有局限性。”雖然內控缺陷和內控局限性之間存在著本質區別,但在實際操作過程中並不是很容易區分。這是導致很多企業內控無效的重要原因。例如,一直以零庫存管理、直銷模式和實時信息管理而聞名的戴爾是世界最大的PC電腦製造商,在財務醜聞曝光前,不僅製定了嚴格的監管製度,而且還花費巨額資金聘請國際著名會計師事務所普華永道為其製定了完善的《風險管理手冊》,在之後的SEC(2010)調查報告和年報信息中,戴爾公司的問題在於錯報供應商大額支付款項、準備金和應計項目會計處理不當。戴爾財務高管主要是通過“餅幹罐會計”來進行大量的會計盈餘調節。所謂“餅幹罐會計”,是指在經營狀況良好的年度,提取準備金來降低盈餘;在營運不佳的年度,則動用這筆基金來提高盈餘,給報表閱讀者以公司年年獲利、財務平穩的印象。最終這一會計“技巧”為戴爾招致1億美元的罰款,同時高管層支付數百萬美元不等的罰款。在此次的內部控製審計報告中表明戴爾存在重大缺陷。但是如果不對內控缺陷與內控局限性進行合理區分,如果SEC的法規執行部沒有對戴爾的會計和財務報告事項提出質疑,再三發函要求進行徹查的話,極有可能導致企業在評價內控有效性時避重就輕,進行虛假披露,把內控缺陷認為是內控局限性而蒙混過關。