一、内部控制存在的误区 内部控制在审计视角下发展到现在,很多方面都存在重大的误区,具体表现在: 1.内部控制内容不全面。内部控制就其本质来说,其内容应该是非常广泛全面的,如1949美国会计师学会关于内部控制的定义就明确指出内部控制旨在保护企业资产、检查会计数据的准确性和可靠性,提高经营效率,促使有关人员遵循既定的管理方针。到了1992《COSO内部控制一整体框架》中内部控制的定义也比较全面,其中包括了经营效率的内容,用COSO框架文件的作者的话说,内部控制“内生于管理层的业务经营过程中”,这一观念的基础是意识到了内部控制是由管理层为实现经营目标而采取的政策、步骤、程序、计划、战略、功能、系统、能动性、活动以及其他行动组成的一个结合体。但是由于外部审计的强大影响,《COSO内部控制一整体框架》最终的内部控制标准绕开了一些至关重要的公司治理行为,如企业整体目标的确定,战略规划以及风险管理。这里的原因不难解释,COSO委员会的组成实际上都是会计职业团体,COSO整体框架的撰写者永道会计师事务所也是审计行业的代表,因此,将内部控制标准限制在财务报告范围内符合他们的最大利益。 由此造成的局面是内部控制的内容片面地局限在一个与财务审计相关的狭窄范围内,这一方面虽然增强了内部控制的针对性和务实性,解决了审计实务发展面临的难题,但另一方面也大大限制了内部控制的视野,造成了内部控制的畸形发展。 2.对管理舞弊的认识比较片面。管理舞弊一般指公司决策层为谋求公司或个人不正当的经济或政治利益,实施的有组织、有计划、有目的的欺诈造假行为。将管理舞弊分为四类:一是针对相关利益者的舞弊,指公司对顾客、员工、供应商及授权特许者的欺诈行为;二是针对政府的舞弊,指公司在政府采购和政府工程中的舞弊行为;三是财务报表舞弊,指公司提供虚假的财务报表;四是违反法规,指公司违犯法律法规。从这个分类可以看出,管理舞弊的种类和形式是多种多样的,并且任何一种舞弊如果出现的话,都有可能造成最严重的后果。 长期以来,由于内部控制的内容狭隘地局限于财务报告内部控制,导致了内部控制在关注管理舞弊的时候,也将注意力集中在财务报告舞弊上,这是内部控制存在管理舞弊偏见的第一个原因。导致管理舞弊偏见的另外一个原因是一系列的财务报告虚假的出现导致了财务报告舞弊现象过于突出,使得内部控制不得不重点关注于此。同时可以发现内部控制发展史上每一次重大财务报告虚假的出现随后就会带来内部控制的一次重大变革。1938年麦克森—罗宾斯公司在其报表中虚构了20%的资产,此事一经公布,立刻引起轰动,暴露了审计程序发展的不足,由此引发了美国公认审计准则的发展,同时,还为建立起现代美国审计的基本模式、在评价内部控制制度基础上的抽样审计奠定了基础。20世纪80年代爆发了引人注目的储蓄及信贷危机,将虚假财务报告发展到极点,作为回应,1992年《COSO内部控制一整体框架》的颁布。进入新世纪的2002年美国又爆发了安然、世通、施乐公司的连环财务虚假报告,其后的结果就是2003年的《萨班斯奥克斯利法案》颁布。 诚然,猖獗的财务报告舞弊是现代企业的一大毒瘤,现代企业必须尽一切努力去克服这一问题,由于财务报告舞弊的极坏影响力和严重后果,内部控制关注于此无可厚非,但是内部控制对于管理舞弊的关注不能仅限于此,按照内部控制的本质,任何导致股东价值下降的管理舞弊都应该是其关注的因素,而导致股东价值下降的管理舞弊既包括财务报告舞弊,也包括其他非财务报告舞弊,所以内部控制的关注点就应该放宽一点,对那些非财务报告舞弊也要有足够重视。 3.对风险的认识存在偏见。关于风险的概念,一般认为风险就是一种不确定性。风险的来源有内部因素也有外部因素。由于外部审计的影响,内部控制对于风险的偏见由来已久,前述内部控制定义我们已经知道1992年《COSO内部控制一整体框架》将风险管理排除在内部控的内容之外,这一定义严重背离实际情况,导致后来很多审计机构所做的审计结论与实际相违背。以1995年巴林银行破产案为例,这是一桩忽视金融衍生工具风险而引发的破产案。新加坡库IS斯一利布兰公司负责为巴林期货新加坡公司1994年这一年的账目进行审计。它的审计到巴林银行破产时已基本结束。1994年11月,库IS斯一利布兰公司得出的结论是,巴林期货新加坡公司内部的控制环境是令人满意的。很显然,对巴林期货新加坡公司的审查是不够的。巴林银行的审计师,伦敦的库柏斯一利布兰公司恐怕也未进行足够的检查,以致它确信该行对保证金支付和相关的账目等的控制措施是有效的。但实际上1994年巴林期货新加坡公司的交易员尼古拉斯·利森已经在疯狂投机日经期货指数,到1995年时新加坡公司已经出现13亿关元巨额亏损,可见当时其内部控制状况是存在漏洞的,这个案例正是反映内部控制存在风险偏见的鲜活案例。1990年代一系列的虚假金融工具暴露了内部控制存在的风险偏见问题,于是从1990年代中后期,COSO委员会逐渐将风险管理的内容引入内部控制中,并于2004年进一步发布了《企业风险管理》框架,内部控制的发展进入了一个全新的阶段。 4.内部控制建设的指导思想不合理。在决定是否采用某项控制技术时COSO提出“成本—效益”原则:如果采用一项控制技术其收益大于成本的话,就采用该技术,反之则不采用,即便当某一项控制技术可以防止重大不利事件的发生时也是如此。这一原则起初看起来可能十分有吸引力,但在事后看来却存在致命的缺陷。第一是采用某一内部控制技术,其成本和效益难以量化,当然其最终结论的可信度就存在疑问;第二是由于采取了“成本一效益”原则,很有可能就会错误地放弃了一些关键的控制技术,导致重大不利事件的发生。