受托責任通過一系列的契約合同確立,在程序上是一個雙方不斷博弈的過程,并隨著社會經濟的發展不斷豐富。從總體上分析,其基本內容包括行為責任和報告責任兩個方面。行為責任是指按照合法性、經濟性、效率性、效果性等要求管理受托資源;報告責任是指如實向委托方報告和說明履行受托責任的過程及其結果的義務。如果未能履行受托責任,就會產生履行風險。履行風險按是否故意可分為錯誤風險和道德風險。錯誤是無意的,如決策失誤和執行不當。道德風險是指由于利益不一致、信息不對稱而產生的。道德風險在會計領域的典型表現就是舞弊風險。舞弊是使用欺騙手段的故意行為,從舞弊主體分類可分為員工舞弊和管理層舞弊,從受托責任環節分類可分為行為舞弊和報告舞弊,這些錯誤和舞弊都可能導致受托責任得不到有效履行。
因此,理論上委托方和受托方地位是平等的,有著互助合作的美好愿望,但是,現實中由于所處環境不同而有所差異。為了保證受托責任的有效履行,人們設計了各種不同的制度安排,諸如會計和審計制度。會計是向委托方提供關于企業財務狀況、經營成果和現金流量的信息,以利于評價受托方履行受托責任情況并進行相應的決策。由于財務報告可能存在錯誤或舞弊,需要注冊會計師對企業財務報告的真實性和公允性進行審計,旨在客觀、公正地反映受托方履行受托責任情況。
因此,受托責任概念為理解企業內部和外部關系提供了依據,也為會計和審計發展提供了有力支撐。楊時展指出:隨著社會的發展,受托責任逐步大眾化,受托責任的內容越來越充實,對受托責任的監督越來越嚴密。
二、基于受托責任的內部控制發展軌跡分析
內部控制理論的發展經過了一個漫長的時期,大致可分為內部牽制、內部控制制度、內部控制結構、內部控制整體框架與風險管理整體框架等不同的發展階段。
(一)內部牽制階段
內部控制歷史悠久,在奴隸社會、封建社會和早期的資本主義社會,內部控制的具體形式是內部牽制。《柯氏會計詞典》將內部牽制定義為:“以提高有效的組織和經營,并防止錯誤和其他非法業務發生的業務流程設計。”其機制是處理一項業務或記錄時要求職責分離和相互制約。因此,最初的內部控制思想主要是控制個人和部門層次的簡單的錯誤風險和舞弊風險。
(二)內部控制制度階段
20世紀40年代末至70年代,內部控制開始受到審計師的重視。1949年,美國會計師協會(AIA)審計程序委員會在《內部控制,一種協調制度要素及其對管理當局和注冊會計師的重要性 》報告中,對內部控制首次作了權威性定義:“內部控制包括組織機構的設計和企業內部采取的所有協調的方法和措施,旨在保護企業的財產,檢查會計信息的準確性,提高經營效率,推進企業堅持執行既定的管理政策。”
1958年, 美國會計師協會審計程序委員會發布第29號審計程序公報《獨立審計人員評價內部控制的范圍》,進一步將內部控制分為兩類,即會計控制和管理控制。前者與受托財務責任有關,目標是保護企業的資產,檢查會計數據的準確性;后者與受托管理責任有關,目標在于提高經營效率,促使有關人員遵守既定的管理方針。
(三)內部控制結構階段
20世紀80年代,受系統論、控制論等理論的影響,西方學術界提出了內部控制結構的概念。
1988年,美國注冊會計師協會(AICPA)在其發布的第55號審計準則公告《會計報表審計中對內部控制結構的關注》中首次采用內部控制結構取代了原來的內部控制概念。公告認為:“內部控制結構包括為合理保證實現公司的具體目標而建立的一系列政策和程序。”內部控制結構由控制環境、會計制度、控制程序3個要素組成。
在內部控制結構階段,其主要變化是提出了控制環境的概念。控制環境包括管理者的經濟理念和風格、組織結構、董事會及委員會的職能、確認權責的方法、監督方法、外部關系等,反映了董事會、經理層、其他人員對內部控制的態度、認識和行動。企業中的每一個人都對內部控制負有責任,即受托控制責任,通過合理的授權和責任,可以充分發揮部門和人員的積極性。
(四)內部控制整體框架階段
1992年,COSO發布了《內部控制——整體框架》,主要內容為:①定義:內部控制被寬泛地定義為一個由董事會、管理層和其他人員實施的、旨在為實現控制目標提供合理保證的過程。定義中包括了“合理保證”等基本概念。②目標:經營的效率性和效果性;財務報告的可靠性;符合適用的法律和法規。③要素:控制環境;風險評估;控制活動;信息與溝通;監督。
在內部控制整體框架階段,其主要變化是強調了風險意識。所有的企業,不論其規模、機構、性質或產業是什么,其組織的不同層級都會遭遇風險,企業必須對風險采取必要的控制行動。無風險的控制只會增加控制成本,影響管理的靈活性;反之,對重大風險失去控制,必然會導致企業經營失敗。
2001年美國發生的安然事件等一系列財務丑聞,又一次讓內部控制成為關注的焦點。面對日益猖獗的舞弊行為,2002年美國國會通過了《薩班斯—奧克斯利法案》,法案強化了管理層的控制責任,強化了對內部控制的外部監督,并賦予了嚴厲的法律責任。內部控制不僅是內部管理和注冊會計師審計的需要,而且成為股東、監管層和社會公眾的需要,會計、內部控制、審計成為履行受托報告責任的三駕馬車。
(五)風險管理整體框架階段
2004年,COSO根據新的研究成果,發布了《風險管理——整體框架》,其主要內容為:①定義:風險管理是一個過程,它由一個主體的董事會、管理當局和其他人員實施,應用于戰略制定并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險容量之內,并為主體目標的實現提供合理保證。②目標:戰略目標——高層次目標,與使命相關聯并支撐其使命;經營目標——有效和高效率地利用其資源;報告目標——報告的可靠性;合規目標——符合適用的法律和法規。對于控制目標,COSO委員會認為,因為報告目標與合規目標在企業的控制范圍之內,所以可以期望風險管理為實現這些目標提供合理保證。但是,戰略目標和經營目標的實現取決于外部環境,對于這些目標,企業風險管理能夠合理地保證管理當局和董事會及時地了解實現目標的程度。③要素:內部環境;目標設定;事項識別;風險評估;風險應對;控制活動;信息與溝通;監督。 對于內部控制和風險管理的關系,COSO委員會認為,內部控制是企業風險管理不可分割的一部分。風險管理框架涵蓋了內部控制,從而構建了一個更強有力的概念和管理工具。由于《內部控制——整體框架》經受了時間考驗,并且成為現行規則、法規和法律的基礎,因此《內部控制——整體框架》對內部控制的定義和框架依然有效。雖然《內部控制——整合框架》中只有一部分被《風險管理——整體框架》所引用,但是作為參考文獻形式整體上融進了《風險管理——整體框架》。
在風險管理整體框架階段,其主要變化為:①用風險管理代替內部控制,并增加了與風險相關要素,這也體現了內部控制的本質和發展趨勢。②在目標上增加了戰略目標。一方面,隨著社會經濟環境急劇變革,市場競爭日趨激烈,企業經營失敗不斷發生,而經營失敗在很大程度上是由于戰略失敗造成的;另一方面,經營失敗常常導致財務報告舞弊,因此,對戰略風險的控制是對現實狀況的必然反映。
總之,從內部控制發展軌跡可以看出,內部控制目標和受托責任目標具有一致性,受托責任存在履行風險,如錯誤風險、舞弊風險等,需要一種風險防范工具,內部控制一直扮演著這樣的角色,因此,內部控制本質上是對受托責任履行風險的控制。
三、基于受托責任的內部控制框架設計
以受托責任為基礎,結合COSO控制框架,筆者認為:內部控制是一個系統,它由一個企業的董事會、管理當局和其他人員實施,應用于戰略制定并貫穿于企業之中,旨在識別可能會影響受托責任的潛在事項、管理風險以使其在企業的風險容量之內,為受托責任的實現提供合理保證。依據上述概念,初步建立起新的內部控制框架。
(一)目 標
(1)本質目標:內部控制的本質目標是對受托責任履行風險的控制系統。
(2)一般目標:在不同的發展階段,受托責任不同,內部控制又形成不同的一般目標。當前環境下的一般目標分為兩類:一類是對外部受托責任履行風險的控制,主要包括戰略風險和報告風險的控制;另一類是對內部受托責任履行風險的控制,主要包括對經營風險和遵循風險的控制。
(3)具體目標:在一般目標下,根據不同層次的業務流程設計具體控制目標,如采購活動風險控制、投資活動及特殊交易的風險控制等。
(二)子系統
在一般目標下,內部控制系統可分為外部受托責任控制系統和內部受托責任控制系統兩個子系統。外部受托責任控制系統是對外部受托責任履行風險的控制;內部受托責任控制系統是對內部受托責任履行風險的控制。在兩個子系統中,各自存在著相應的目標、層次和要素,在兩個子系統之間,本質目標一致,相互聯系,相互影響。
(三)層次和要素
子系統包含5個層次,有的層次可進一步細分為要素。具體結構如下:
1. 控制環境層次
控制環境包括治理職能和管理職能,以及治理層和管理層對內部控制及其重要性的態度、認識和措施。其中,治理職能和外部受托責任相關,管理職能和內部受托責任相關,管理層在治理層的監督下,營造并保持誠實守信和合乎道德的文化,建立防止或發現并糾正錯誤和舞弊的內部控制。
控制環境設定了內部控制的基調,內容包括6個方面:①對誠信和道德價值觀念的溝通和落實。②對勝任能力的重視。③治理層的參與程度。④管理層的理念和經營風格。⑤組織結構及職權與責任的分配。⑥人力資源政策與實務。控制環境從受托責任意識、受托責任的分配、受托責任的激勵機制等方面,為有效實施內部控制奠定了基礎,同時,也形成了一種新型的受托責任,即受托控制責任。
2. 風險控制層次
風險控制層次由目標設定、事項識別、風險評估、風險應對、控制活動5個要素構成。
(1)目標設定:由于要針對不同的目標分析其相應的風險,因此目標的制定自然成為風險管理流程的首要步驟。
(2)事項識別:識別影響企業目標實現的各種潛在事項,有積極影響的潛在事項代表機會,有消極影響的潛在事項代表風險。
(3)風險評估:評估風險的重要性和發生的可能性,并以此作為決定風險應對的依據。風險評估應立足于固有風險和剩余風險,綜合考慮風險之間的相互影響。
(4)風險應對:包括回避、承受、降低或者分擔風險4類方案,比較不同方案的潛在影響,并在企業風險容忍度范圍內,作出風險應對方案的選擇。
(5)控制活動:制定和執行政策與程序以確保風險應對得以有效實施。 3.信息與溝通層次
信息與溝通層次由信息和溝通兩個要素構成。
美國數學家、信息論的創始人香農認為:“信息是用來消除隨機不定性的東西。”因此,必須以一定的格式和時間間隔進行確認、捕捉和傳遞來自于企業內部和外部的相關信息,以保證企業的員工能夠履行相應的受托責任和控制措施。溝通也是廣義上的溝通,不但包括企業內部的溝通,還包括與企業外部相關方的有效溝通,如股東、客戶、供應商、政府監管部門等。
目前企業都注重信息化建設,但是路徑選擇非常重要,包括載體和方向,具體體現在以下方面:①明確各自的角色和職責,建立開放、立體、動態的受托責任鏈,在受托責任鏈的基礎上形成內部控制鏈系統。②建立有效的信息溝通機制,與內部控制相關的信息及時地被獲取、加工、報告,并在內部控制鏈系統中向下、平行和向上傳遞。③組織各種內部控制交流會和討論會及自我評估,及時向委托方報告受托責任及相應受托控制責任的履行情況。
4.監測、評價和鑒證層次
COSO《風險管理——整體框架》的第五個要素是“Monitoring”,經常被翻譯為“監督”或“監控”。通過COSO對“Monitoring”的解釋,筆者認為翻譯為“監測”比較貼切,即監測內部控制運行的有效性。
在本層次,除了日常的持續監測外,還應當發揮審計職能。內部審計是內部控制的重要組成部分,內部審計師被譽為“內控專家”,內部審計不參與經營管理活動,能夠獨立評價各部門控制履行情況。根據《薩班斯—奧克斯利法案》和SEC要求,美國公眾公司會計監督委員會(PCAOB)發布了第5號審計準則——《與財務報表審計相結合的財務報告內部控制審計》,內部控制審計成為注冊會計師的一項重要鑒證業務。
5. 法律責任
違背受托責任,必然要承擔法律責任。
對于錯誤行為,可以通過監測發現,及時采取糾正措施。但對于舞弊行為,如同伙合謀、管理層越權,由于行為隱蔽,一般很難發現,因此COSO認為內部控制存在固有局限性,只能提供合理的保證。但是,舞弊行為經常突如其來,防不勝防,不但給投資者帶來了巨大損失,而且擾亂了整個市場經濟秩序。
安然事件等一系列舞弊事件,向人們敲響了警鐘。因此,為了彌補內部控制技術缺陷,世界各國紛紛完善法律制度,懲治舞弊行為,維護投資者和社會公眾利益。
四、結束語
構建內部控制理論框架的目的不僅僅是指導一個組織如何設計其內部控制制度,更重要的是要提高一個組織對內部控制理論的認識,從而能更自覺、主動和積極地落實內部控制,實現內部控制的規范化、制度化。只有堅持正確的受托責任觀,才能抓住內部控制的關鍵。
隨著內部控制的重要性增加,內部控制已經突破了企業“內部”的范疇,成為一種受托社會責任,因此,應該采用一個內外兼顧的廣義控制概念,在此基礎上進一步完善控制整體框架。此外,隨著受托責任內容的豐富和各類風險的加劇,內部控制也逐漸演進為一種受托責任,即受托控制責任,相對于傳統的受托財務責任、受托管理責任,受托控制責任應如何規范,也是一個尚待解決的問題。
主要參考文獻
[1]石愛中,胡繼榮.審計研究[M].北京:經濟科學出版社,2002.
[2]徐政旦,等.審計研究前沿[M].上海:上海財經大學出版社,2002 .
[3]朱榮恩,賀欣.內部控制框架的新發展——企業風險管理框架[J].審計研究,2003(6).
[4]COSO. InternalControl——IntegratedFramework[S].1992.
[5]COSO. EnterpriseRiskManagement ——IntegratedFramework[S].2004.
