為何在數字之前,那台機器必須先可信
上一篇給我們留下了可信度問題:管理層既負責編製財務報表,又有十足的動機把它們粉飾得好看,於是請來一位獨立的局外人——外部審計師——為報表擔保。可是審計師無法親自重做公司記錄過的每一筆交易;那有成千上萬筆。所以在審計師檢驗會計系統的*產出*之前,他們會就*系統本身*問一個更深的問題:這家公司的記賬機器,是否被建造得能在過程之中就抓住並攔下錯誤與偷竊?那台機器——在幕後悄悄運轉的政策與程序之網——就是內部控制,而對數字的信任,正是從這裡真正開始的。
剝去行話,內部控制不過是一家企業為實現目標而採用的一整套日常防護措施:保護其資產(使現金與存貨不被偷走或遺失)、產出可靠的報告(使賬簿如實反映真正發生過的事),以及遵守法律。想象一間忙碌的廚房:貼在冰箱上的檢查清單、上鎖的物料櫃、大單出餐前兩個人簽字確認、每班結束時清點的錢箱。沒有哪一樣轟轟烈烈,但合在一起,就能防止錯誤與不誠實悄悄越積越多。公司的各項控制正是同一種本能,放大並寫成白紙黑字——審批、上鎖、清點、對賬——每一項都是一堵小牆,擋住某一件可能出錯的事。
控制有兩種類型值得早早點名,因為這一區分貫穿其後的一切。預防性控制在問題發生之前就將其攔下——要求任何超過 1 萬的付款都須有第二個簽名,從一開始就讓一個人偷錢變得困難得多。偵查性控制在問題已經溜過之後將其查出——每月一次的銀行對賬,浮現出一筆誰也說不清的付款。好的系統兩者並用:預防是前門,偵查是門後的網。任何一種單獨都不夠,因為總有些東西會越過前門,而一張沒有門的網,會讓太多東西漏進來,多到永遠追不回。
一份共同藍圖:COSO 的五個組成部分
如果每家公司都自創一套「良好控制」的說法,這個詞就成了每個人想讓它是什麼意思它就是什麼意思,審計師或監管者也就沒有一把共同的尺子去衡量。於是全世界定下了一份共同藍圖:COSO 框架,由「反虛假財務報告委員會的發起組織委員會」(這個縮寫背後藏著的那個長名字)發布。它是迄今為止設計與評價內部控制最廣泛使用的模型,把整個龐雜的主題組織成五個環環相扣的組成部分。學會這五個,你就掌握了每一位審計師、管理者和監管者談論控制時所用的詞彙。
- 控制環境——高層定下的基調與道德氛圍。領導層是真的在乎誠實,還是嘴上說說?這個軟性的、文化層面的基礎是最重要的組成部分,也是最難偽裝的,因為其餘每一項控制都取決於人們是否把規則當回事。
- 風險評估——系統性地識別可能出什麼錯。現金可能從哪裡漏出去?哪些估計可能被操縱?你無法控制一個你尚未先行命名的風險。
- 控制活動——具體的檢查手段本身:審批、對賬、實物上鎖,以及分離不相容的職責。人們聽到「內部控制」時多半想到的就是這一部分,可它只是五個裡的一個。
- 信息與溝通——把正確、準確的數據在正確的時間送到正確的人手裡。一項沒人看得到結果、或沒人被告知要據此行動的控制,什麼也控制不了。
- 監督活動——定期檢查這些控制是否仍然有效。人會離職,系統會變動,一項去年還管用的控制,今年可能已悄悄失靈;監督正是發現這件事的環節。這往往是內部審計發揮作用的地方。
描繪 COSO 框架的經典方式是一個立方體:頂面排著三個目標(經營、報告、合規),正面往下是五個組成部分,側面是組織的各個部分——這一切意在協同運作,而非一份打勾的清單。還要留意,這個順序並非偶然。控制環境排在最前、墊在一切之下,因為文化先於機制:在一家老闆對偷工減料睜一隻眼閉一隻眼的公司裡,世上最精巧的控制活動也一文不值。正因如此,健全的*高層基調*被當作地基,而不是腳註。
職責分離:最有力的單一控制
在所有控制活動中,論「每一塊錢換來的威力」,有一項凌駕其餘之上:職責分離。這個想法簡單得近乎令人難為情——把一項敏感任務拆分給不同的人,使沒有任何單獨一個人能從頭到尾掌控它。數票的人不許同時是候選人、收你錢的收銀員通常也不是日後查點錢箱的同一個人,這都是有原因的。如果一個人能獨自、秘密地完成每一步,他就既可能出錯、又能把錯誤埋起來。把這些步驟分散到幾雙手裡,舞弊或錯誤此後就要麼得從別人眼皮底下溜過,要麼得主動串通。
傳統上,有三類職責應分別掌握在不同人手中:授權(批准一筆交易)、保管(經手實際資產——現金、存貨),以及記錄(記入賬簿)。把這三者分開,最常見的「一個人作案」式舞弊就幾乎不可能了,因為偷走資產、批准這場盜竊、再在賬上把它藏起來,已無法由同一個人神不知鬼不覺地全部辦成。審計師在各處搜尋這種分離,而它的缺失,是他們最先舉起的危險信號之一。
A PAYMENT CYCLE, BROKEN APART
Step Who does it Duty type
------------------------------------------------------------
1. Request a purchase Clerk A (initiation)
2. Approve the purchase Manager B authorization
3. Sign the cheque Treasurer C custody
4. Record the payment Bookkeeper D recording
5. Reconcile the bank Accountant E monitoring
If ONE person did all five, they could:
invent a fake supplier -> approve it -> pay it ->
record it -> and hide it in the reconciliation.
Splitting the five means no one can act alone
without someone else having to notice (or collude).誠實的上限:合理保證,絕非擔保
這裡是整個主題中最重要的一份誠實,也是一種值得見到就殺掉的誤解:沒有任何內部控制系統,無論搭得多好,能*擔保*萬無一失。它至多能給出的,是合理保證——一種很高但並非絕對的信心。三種力量劃定了這條上限。串通:只要兩個人一約定一起作弊,再嚴的職責分離也被擊破。管理層凌駕:它幾乎能擊破一切,因為設計這些控制的人可以乾脆無視它們——那個對記賬員說「先記上,回頭我再解釋」的老闆。還有純粹的人為失誤:一項控制的可靠程度,只等於那個在週五下午五點、疲憊不堪地執行它的人。
還有一條成本上限。每一項控制都消耗金錢與時間,所以公司無法裝上無窮無盡的防護;它必須把一項控制所買來的保護,和運行它的代價相權衡。雇第二個人,純粹為了重數一個 50 元的備用金盒,那是荒唐的。正是這一成本效益的現實,使內部控制成為一樁講求合理判斷、而非追求極度多疑的事。目標不是零風險——那既夠不著、也付不起——而是在事關利害的前提下,把風險壓到一個合理的水平。正因為控制可能被凌駕,審計師從不輕易相信它真的奏效了;他們帶著職業懷疑——一種探問的心態,把「這項控制已經執行」當作一個有待檢驗的說法,而非一個想當然的事實。這與下一篇要談的重大性是同一種誠實精神:審計師如同控制的設計者一樣,把力氣集中在錯誤真正要緊之處,對瑣碎到微不足道的,則任其過去。
管理層為什麼會*想要*凌駕控制?因為舞弊三角的三股壓力——壓力、機會、合理化——恰恰最沉地壓在那些有權凌駕的人身上。強健的內部控制正對準中間這條邊,*機會*:它無法消除一位首席執行官衝業績目標的壓力,也勸不住他為自己開脫,但它能把「悄悄做點什麼」的輕易機會之門狠狠關上。把控制看作一場對機會的蓄意進攻——而非官僚式的打勾走形式——正是讓它從一串規則變成你真正理解之物的關鍵。舞弊三角在本階後面會有自己完整的一篇。
當法律出手:薩班斯-奧克斯利法案
在會計史的大部分時間裡,把內部控制做好只是企業被*鼓勵*去做的事。這在 2001 至 2002 年前後變了:一連串美國巨頭公司——以安然(Enron)和世通(WorldCom)最為臭名昭著——在被揭露財務報表係蓄意造假之後相繼崩塌,投資者與員工的積蓄一同化為烏有。公眾對公司數字的信任出現裂痕。作為回應,美國國會通過了 2002 年的薩班斯-奧克斯利法案——以兩位提案人命名,大家一律簡稱它為 *SOX*——強制上市公司整頓其報告方式,並讓高管為此承擔個人責任。
SOX 一舉改變了多件事,但有三件值得記牢。它設立了一個新的監管者——公眾公司會計監督委員會(PCAOB),來檢查和監管那些審計上市公司的事務所——使外部審計這一行不能再自己監管自己。它讓首席執行官和首席財務官在可能面臨刑事處罰的威懾下,親自證明其財務報表準確無誤。而它著名的第 404 條要求管理層評估並報告公司財務報告內部控制的有效性——並要求外部審計師對這一評估也加以鑒證。第 404 條正是 COSO 框架從一個好想法變成一項年度義務的原因:一家美國上市公司評估其控制時,幾乎總是用 COSO 的五個組成部分來搭建這一評估。
退一步看,整一階就歸位了。內部控制是讓可靠報告成為可能的那台機器;COSO 是這台機器的共同藍圖;職責分離是它最鋒利的那個零件;而 SOX 則是那部在一波醜聞之後,把「建造並證明這台機器」從一種美德變成一項法律義務的法律。地基既已鋪好,外部審計師終於能高效地做他們的工作——在控制機器強健之處,對賬簿的*產出*測試得輕得多;在它薄弱之處,則挖得深得多。控制與「該測試多少」之間的這層聯繫,正是下一篇——關於審計風險與證據——的起點。