这种评价对内部控制按其基本结构建立规范统一的评价模式,确定评价要点。这种认识的代表观点就是COSO框架。即按COSO五要素及其各要素的主要内容建立评价框架。这种观点在国际范围内得到较多认同。但是,任何理论观点及法律制度是否真正合理,不能简单地看得到多少人的赞成或反对,而应该聚焦其具体实施的效果及人们在实践中所作的现实选择。即使在美国,COSO框架也没有真正解决内部控制评价问题。美国管理会计师协会在SOX法案实施4年后即2006年7月,曾就COSO框架是否成为内部控制评价标准模式作了一项调查,围绕公司组织、CPA审计、内部审计三方面作出问卷,结果,公司组织38%、CPA24%、内部审计34%没有应用COSO框架;按公司规模,大企业34%、小企业54%未采纳COSO框架。受访者在回答COSO1992框架是否满足了SOX法案404条款的要求时,肯定与否定的比例均为1/3。在美国审计职业界,较为共识的看法是,CPA很难明确肯定他们的工作具备了总结出COSO1992框架中5个要素相关组成部分是否正常运作的具体标准,以至于对一个公司内控总体是否有效实难作出明确判断。SEC在2006年7月11日发布的概念解释中对此承认,COSO1992框架本身不足以保证管理层对财务报告内部控制(ICOFR)有效性作出一致的评价:“虽然COSO框架提供了一个包含内部控制要素和目标的整合框架,但它不够详细,没有提供管理层按照这一框架评估公司的ICOFR有效性时应采取的具体步骤。因此,我们认为COSO框架不是具体列举如何实施ICOFR有效性评估的指南”。这表明,试图以COSO框架作为设计内部控制评价要点的做法,实践中已陷入困境。问题关键在于,内部控制5要素下究竟应包括哪些具体内容,恐怕是一个很难找到对全世界所有企业都适用的统一模式。在中国,国有资产监督管理委员会课题组曾对中国企业内部控制基本框架提出了“12345”模型,即1个目标:提高经
营效率和效果;2大类责任主体:董事会和管理层;3条建设主线:治理结构、财务控制和业务控制;4项基本要求:短流程、强支撑、高授权、大监督;5种保障措施:改善支撑环境、加强风险管理、完善制度流程、促进信息沟通、提高监督能力。但总的看来,这种概括过于口号式,作为教科书内容宣传可以,但作为一个指导企业内控制度建设的框架显然失之概括,不够实用,加上其内容前后之间重复,在逻辑条理性方面存在先天不足,因而很难形成对指导企业内部控制制度建设真正具有实在促进、示范意义的框架内容,更妄论便于评价分析。 2.应急式评价
这种评价按COSO5要素,分析各要素在现阶段中国企业存在的主要、突出问题,以这些问题作为评价的重点,形成评价要点框架。这种做法的理由,既然我们很难勾画出一个评价企业内部控制的规范模式,那么不如按大家熟悉的内部控制5要素,分析我国企业在5个内部控制要素方面存在的突出问题,把这些问题定义为可理解、可计量和可检验的评价标准,可以作为中国现阶段企业内部控制评价的主要内容。建立这样的社会性企业内部控制评价制度,可以唤起全社会对企业内部控制薄弱环节的极大关注,可以为中国企业在内部控制方面应予披露哪些信息提供一个非常有用的框架标准,可以引导企业自觉地改进内部控制。经过一段试行,若从全社会角度看,这些内部控制的薄弱环节普遍得到改善,则必将大大提高整个企业内部控制的水平。此时,再针对企业内部控制的新的薄弱环节,调整改进内部控制评价内容,如此不断重复,则必然会使中国企业内部控制处于一种持续改善的状态中。这正是我国建立内部控制评价制度的目的所在!这样的思路有两方面理由:其一,问题容易找,评价重点好确定;其二,评价能抓住要害,切中中国企业内控软肋,可以发挥内部控制评价快速提升中国企业整体内控
水平的作用,也可免于陷入美国一揽子评价内控成本过大,导致社会各方难以接受从而严重削弱内部控制评价制度重要作用的不足,更重要的是这样做可避免中国企业内部控制评价流于形式化。这些评价要点的确定,必须遵循建立内部控制评价制度的基本要求。对此,美国SEC规定,一个合适的内部控制评价标准必须满足以下条件:(1)没有偏见;(2)允许合理地定性和定量分析公司的内部控制;(3)足够完整,没有忽视改变公司内部控制有效性结论的任何重要因素;(4)与对财务报告内部控制的评估有关。加拿大特许会计师协会对此的原则是:可理解,以避免该框架的潜在不同使用者对其作出显著不同的理解。借鉴这些现成原则,确定中国企业内部控制评价要点的具体内容就不再是难题。中国最终发布的《企业内部控制评价指引》,形式上采纳了框架评价意见,但又要求重点关注主要风险点,这似乎又体现了问题式(应急式)评价的特点。 (三)内部控制评价方法
这方面理论与实务界均有大量的探索和经验做法。总体分析,有以下两种不同的方法:
1.寻找重大缺陷法
内部控制评价究其实质就是尽一切可能去寻找或发现公司存在有可能影响内部控制目标实现的各种问题,即重大缺陷或实质性漏洞。传统的审计正是按此思路进行的。若履行了各种必要的审计程序和方法后,仍未发现企业有重大控制缺陷,那么可视同该公司的内部控制为其目标的实现提供了合理保证。但这种方法主要解决了审计师在内部控制评价中的责任问题,对于具体企业借以改善内部控制的指导作用却非常有限。我们认为社会性的内部控制评价制度,不只是为了强化CPA对企业内部控制的审计责任,更主要是为了动态监控企业内部控制制度
的运行情况,及时发现问题,并提醒企业加以改善;公司也可以利用评价框架进行自我评估,以不断优化内部控制制度。显然,寻找重大缺陷的内部控制评价方法,不足以全面实现以上目标。 2.常规透视法
内部控制评价就是针对企业内部控制存在的突出、主要问题及其必须做到方面,作出全面评估,借以快速改进和全面提高各企业的内部控制水平。相当于一个人的常规体检,内部控制评价是对法人组织健康状况的常规检查。如此,内部控制评价的方法就必须是常规透视式的全面评价法。为此,应赋予各主要问题不同的标准分值,每个问题项分为不同的状态,并对问题及不同状态作出明确、具体可复查的定义与标准,例如无制度无做法为0,有制度且合理并得到有效执行为5,有制度不够健全未执行为1,制度健全但未得到执行为2,无制度但有行动为3,制度不够健全但得到执行为4,从而便于计量汇总和分析,可满足社会对各企业内部控制水平作出评价及各企业对自身内部控制制度作出自我评估的需要,从而在全社会形成如何评价并区别一个企业内部控制制度优劣的共识。从已发布的《企业内部控制评价指引》来看,中国企业内控评价似乎将实行自我评估与社会评价相结合的做法,如此评价方法将需要解决常规透视规范结构问题。 三、中国企业内部控制评价要点研究
如何确定中国企业内部控制评价的基本要点是中国企业内部控制评价制度的核心内容,也是本项研究的难点。本文试图通过案例分析的方法解决这一难题。 (一)研究设计 1.选择案例
选择案例是案例研究中一个重要而必不可少的步骤。根据本研究的目的,成
