内部控制鉴证客体理论框架和例证分析.docx

内部控制鉴证客体:理论框架和例证分析 【摘 要】 可能的内部控制鉴证客体需要具有完整的内部控制系统，包括控制目标、控制主体、控制客体、控制措施；而可能的内部控制鉴证客体要成为现实的鉴证客体，需要符合委托人立场的成本效益原则。内部控制复杂程度及内部控制鉴证法律责任影响内部控制鉴证成本。内部控制越是复杂、鉴证法律责任越大，内部控制鉴证成本越高。内部控制缺陷严重程度和影响广度影响内部控制鉴证收益。内部控制缺陷越是严重、影响广度越大，通过鉴证发现该缺陷能避免的潜在损失也就越大，从而内部控制鉴证收益也就越大。 下载 【关键词】 内部控制鉴证； 内部控制鉴证客体； 内部控制鉴证成本； 内部控制鉴证收益； 内部控制缺陷 【中图分类号】 F239.44 【文献标识码】 A 【文章编号】 1004-5937（2017）15-0133-04 一、引言 内部控制鉴证客体涉及鉴证谁，也就是对谁的内部控制进行鉴证。例如，上市公司可以作为内部控制鉴证客体，一个行政单位可以作为内部控制鉴证客体，某公司某项业务相关的内部控制也可以作为独立的内部控制鉴证客体，甚至一个重要的岗位也可以作为内部控制鉴证客体。那么，内部控制鉴证客体选择是否具有规律呢？究竟按什么原则来选择内部控制鉴证客体呢？现有文献未涉及这个问题。本文从内部控制系统完整性和成本效益原则两个角度，提出内部控制鉴证客体选择的一个理论框架。 随后的内容安排如下：首先是简要的文献综述，梳理相关文献；在此基础上，从内部控制系统完整性和成本效益原则两个角度，提出内部控制鉴证客体选择的一个框架；然后以这个框架来分析典型例证，以一定程度上验证这个理论框架；最后是结论。 二、文献综述 一些文献研究内部控制主体。从本质上来说，内部控制主体应该是内部控制鉴证的客体，但是，这些文献主要是研究不同主体在建立和实施内部控制方面的责任分工 1-3 ，并未从内部控制鉴证的角度来研究内部控制主体，与本文的研究主题关联不大。 一些文献涉及内部控制鉴证对象和评价客体。孙文刚 4 认为，内部控制鉴证对象大体可分为四种：内部控制、管理层对内部控制的评估报告、财务报告内部控制、管理层对财务报告内部控制的评估报告。一些文献认为，内部控制评价客体含两个方面：一方面是对内部控制的设计进行评价，另一方面是对内部控制的执行进行评价 5 。很显然，这里的内部控制鉴证对象或评价客体，事实上是内部控制鉴证范围，而不是内部控制鉴证客体。 有的文献认为，为了评价内部控制的有效性，还需要对内部控制主体的素质和品行进行评价，例如，由监事会、审计委员会和内部审计部门分别对董事会、管理层、下级部门和其他人员进行评价与监督 6 。很显然，这里虽然涉及内部控制主体的评价，但是并不研究谁能作为内部控制鉴证客体，与本文的研究主题关联不大。 有的文献认为，不同层次的管理者所控制的对象不一样，所以，所评价的客体也是有所区别的，基于管理视角的内部控制评价主体可以划分为高层管理者、中层管理者、基层管理者三种类型，其所评价客体应该是内部控制整体、经营控制、作业控制 7 。很显然，这里的评价客体所涉及的主要是评价范围。 所以，总体来说，关于内部控制鉴证客体的选择，尚未有文献涉及。本文拟建立一个关于内部控制鉴证客体选择的理论框架。 三、理论框架 内部控制鉴证客体事实上是内部控制的建立和实施者，也就是内部控制主体。然而，内部控制主体可以有不同的层级，例如，一个公司整体是一个内部控制主体，公司内部的一个部门是一个内部控制主体，某部门的一个岗位也是一个内部控制主体。内部控制鉴证选择的理论框架所要回答的是如何选择内部控制鉴证客体，主要涉及两个问题：一是内部控制鉴证客体的可能情形；二是在这些可能情形中，哪些情形存在内部控制鉴证的可能性。前者涉及具有内部控制完整性的可能情形，后者涉及从多种可能情形中选择内部控制鉴证客体的原则成本效益原则。 （一）可能的内部控制鉴证客体内部控制体系具有完整性的可能情形 要对某客体的内部控制进行鉴证，一个基础性的条件是该客体存在一个完整的内部控制体系，如果没有完整的内部控制体系，则内部控制鉴证就无法得出有意义的结论。例如，对内部制衡机制进行鉴证，如果不能确定具体范围，则该制衡机制可能难以确定其控制目标，进而也难以确定其控制客体，当然也难以对其有效性发表意见。一般来说，完整的内部控制系统有四个要素：控制目标、控制主体、控制客体、控制措施。控制目标涉及通过内部控制所希望得到的结果，例如，财产安全、业务经济合规合法、信息真实完整、经营效率效果等都是控制目标。控制主体是谁来控制，也就是控制的实施者。控制客体是对什么进行控制，是内部控制的直接标的物，一般来说，业务经营活动、资产、信息甚至人都是内部控制的客体。控制措施包括两个方面，一是风险评估，二是风险应对。这里的风险是影响内部控制目标达成的负面因素，要达成控制目标，首先要找到这个因素并对其进行评估，在此基础上，再用一些措施来?对或控制这些因素，通过这个过程，内部控制目标就有可能达成。上述四个要素组成一个具有实施功能的内部控制系统 8 。 一般来说，从纵向看，任何一个组织的不同层级都可能具有完整的内部控制系统。整个组织具有完整的内部控制系统，组织内部的单位也具有完整的内部控制系统，甚至一些重要的岗位也具有完整的内部控制系统。同时，从横向看，针对不同类型事项的内部控制也可能具有完整性，例如，会计控制、统计控制、营销内部控制、人力资源内部控制、资产内部控制、资金内部控制等，其本身都具有完整性。所以，内部控制可以从空间范围和内容范围两个维度来认知，完整的内部控制也就存在多种情形，其大致情形如表1所示。 从空间范围来说，内部控制鉴证客体有多种情形。同类单位可以作为内部控制鉴证客体，例如，科研经费管理制度，可以将所有的高等学校作为内部控制鉴证客体；特定单位可以作为内部控制鉴证客体，例如，内部审计部门做内部控制评估，就是以本单位整体作为内部控制鉴证客体；特定单位的某内部机构可以作为内部控制鉴证客体，例如，内部审计部门选择某内部机构，对该内部机构的内部控制进行评估；特定事项相关的内部控制也可以作为内部控制鉴证客体，例如，采购内部控制就可以独立作为内部控制鉴证客体，工程项目内部控制也可能成为独立的内部控制鉴证客体；特定人相关的内部控制也可以作为内部控制鉴证客体，例如，领导干部经济责任审计，其所主管的领域，内部控制状况也是其履行经济管理责任的重要内容。 从内容范围来说，在特定的空间范围内部，可以选择该空间范围内的全部内部控制进行鉴证，例如，内部审计部门对子公司的内部控制进行鉴证，可以对该子公司的全部内部控制进行鉴证；也可以选择该空间范围内的部分内部控制进行鉴证，例如，外部审计师对上市公司的内部控制审计，目前，主要关注财务报告内部控制，并不是全部内部控制。 （二）现实的内部控制鉴证客体符合成本效益原则的鉴证客体 表1显示，许多情形下，内部控制系统都具有完整性。那么，是否对所有情形的内部控制都要进行鉴证呢？回答是否定的，只有符合成本效益原则的情形，才会成为内部控制鉴证客体。 这里的成本效益原则，就是通过内部控制鉴证获得的收益大于内部控制鉴证的成本。对于某可能的内部控制鉴证客体来说，只有其鉴证收益大于鉴证成本，这种客体才可能成为现实的内部控制鉴证客体，这种意义的鉴证客体才是真正可能得到实施的鉴证客体。 虽然如此，这里的成本效益至少涉及三个主体：内部控制鉴证委托人、内部控制鉴证主体、内部控制鉴证客体，这里的相关成本效益究竟是站在谁的立场来考虑的？ 上述三个主体的情形有较大的差异。对于内部控制鉴证主体而言，一般来说，内部控制鉴证委托人要么通过预算的方式为其配置资源，要么通过付费的方式为其提供财务资源，正常情形下，内部控制鉴证主体通过不同方式获得的收益会大于鉴证成本。所以，对于内部控制鉴证主体来说，不涉及成本效益问题。 内部控制鉴证委托人和内部控制鉴证客体的地位不同。一般来说，二者之间存在某些委托代理关系。内部控制鉴证客体是代理人，而内部控制鉴证委托人是委托人。在这种关系中，委托人一般处于较为主导的地位，可以决定是否对其代理人的内部控制进行鉴证。由于代理人所领导组织的最终利益也影响委托人的利益，所以，委托人在权衡其利弊得失时，也会较大程度上将代理人领导组织的整体利益考虑进去。如此一来，从内部控制鉴证来说，委托人的成本效益更具有全局性，并且，处于主导地位。所以，在成本效益涉及的三个主体中，委托人立场的成本效益是选择内部控制鉴证客体的基准。 那么，委托人立场的内部控制鉴证成本效益又受哪些因素的影响呢？先来看鉴证成本。内部控制鉴证成本包括两个方面：一是委托人直接发生的成本，包括委托人为内部控制鉴证主体配置资源及鉴证过程中委托人发生的相关成本；二是内部控制鉴证客体发生的相关成本，包括支付给内部控制鉴证主体的支出和鉴证过程中该客体直接发生的支出。由于鉴证客体所领导组织的最终利益与鉴证委托人相关，所以，委托人会将上述两方面的成本都考虑进去。一般来说，内部控制鉴证成本与所鉴证内部控制本身的特征相关。内部控制越是复杂，内部控制鉴证主体对其进行鉴证所需要付出的资源越多，并且，发生鉴证错误的可能性也越大，从而鉴证风险也越大。由于这些原因，内部控制鉴证客体需要内部控制鉴证委托人提供的资源也就越多。内部控制的复杂性影响鉴证风险，同时，内部控制鉴证法律责任的规定也会影响鉴证风险。法律责任越是严格，内部控制鉴证风险也就越大。为了应对这种增大的风险，一方面，内部控制鉴证主体可能做更多的细致工作，从而增加鉴证成本；另一方面，为了弥补增加的鉴证风险，鉴证主体可能要求增加其报酬，对匹配其增加的风险承担责任。所以，总体来说，内部控制复杂程度及内部控制鉴证法律责任会影响内部控制鉴证成本。内部控制越是复杂、鉴证法律责任越大，内部控制鉴证成本越高。 再来看内部控制鉴证收益。总体来说，内部控制鉴证收益主要来源于避免内部控制缺陷带来的损失，正是由于内部控制鉴证发现了内部控制缺陷，从而避免了这种缺陷可能带来的潜在损失。所以，从这种意义上来说，内部控制鉴证收益来源于所避免的内部控制缺陷带来的潜在损失。这种潜在损失越大，内部控制鉴证收益也就越大。 那么，内部控制缺陷潜在损失又受哪些因素的影响呢？一般来说，主要有两个因素，一是内部控制缺陷的严重程度，二是内部控制缺陷的影响广度。内部控制缺陷一般区分为重大缺陷、重要缺陷和一般缺陷。缺陷越是严重，对于特定的利益相关者来说，带来的潜在损失越大。所以，内部控制缺陷越是严重，及时发现了该缺陷，能避免的潜在损失也就越大，从而内部控制鉴证收益也就越大。内部控制缺陷的影响广度是指特定内部控制缺陷一旦发生，可能要涉及利益相关者。涉及的利益相关者越多，其影响广度就越大，进而这种内部控制缺陷的潜在损失也就得到扩大。所以，内部控制影响广度越大，及时发现了该缺陷，能避免的潜在损失也就越大，从而内部控制鉴证收益也就越大。 ?C合上述内部控制鉴证成本和收益，基于成本效益原则的内部控制鉴证客体选择有如下结论：内部控制复杂程度及内部控制鉴证法律责任会影响内部控制鉴证成本，内部控制越是复杂、鉴证法律责任越大，内部控制鉴证成本越高；内部控制缺陷严重程度和影响广度影响内部控制鉴证收益，内部控制缺陷越是严重、影响广度越大，通过鉴证发现该缺陷能避免的潜在损失也就越大，从而内部控制鉴证收益也就越大。 四、例证分析 2002年7月，美国国会发布萨班斯奥克斯利法案（SOX），其中302和404条款要求随定期报告一同对外披露管理层对财务报告内部控制的评价报告，该报告还需经负责公司定期报告审计的注册会计师的审计。由此之后，许多国家也作出了类似的规定。从而，世界范围内，内部控制鉴证进入了一个全新的时代，上市公司成为法定的强制性内部控制鉴证客体，内部控制评价和内部控制审计成为常规审计业务。 这里有两个问题与本文的主题相关。第一，为什么在此之前没有这种强制性规定？第二，为什么只是财务报告内部控制，而不是全部内部控制？ 关于第一个问题，根据本文的理论框架，在此之前，在监管部门看来，上市公司内部控制强制鉴证不符合成本效益原则，而通过安然事件之后，监管部门认为对上市公司实行强制性内部控制鉴证已经符合成本效益原则。具体来说，美国上市公司财务报告舞弊已经是困扰监管部门及利益相关者多年的问题，在许多的应对方案中，内部控制是其中之一。但是，安然事件的严重程度及其影响之广，使得监管部门认识到，内部控制在防范财务舞弊中的作用非常大，如果能通过内部控制鉴证及时发现这些缺陷，其所能避免的潜在损失也很大，从而其鉴证收益也很大。强制性鉴证符合成本效益原则。 关于第二个问题，财务报告内部控制缺陷如果存在，造成财务信息虚假，而财务信息虚假的影响面较广，所以，其潜在损失也大。这也说明，如果能避免这种损失，其鉴证收益也就越大。另一个方面，非财务报告内部控制较为复杂，其鉴证的主观判断很多，鉴证成本较高，会影响其鉴证的成本效益。 综合上述分析，选择对上市公司的财务报告内部控制实行强制性鉴证符合成本效益原则，这与本文的理论框架相一致。 五、结论 内部控制鉴证客体涉及对谁的内部控制进行鉴证。现有文献未涉及这个问题，本文从内部控制系统完整性和成本效益原则两个角度，提出内部控制鉴证客体选择的一个理论框架。 要对某客体的内部控制进行鉴证，一个基础性的条件是该客体存在一个完整的内部控制体系，包括控制目标、控制主体、控制客体、控制措施。从纵向来看，内部控制鉴证客体包括多种情形：同类单位、特定单位、特定单位的内部控制机构、特定事项相关内部控制、特定人或特定岗位相关内部