为何在数字之前,那台机器必须先可信
上一篇给我们留下了可信度问题:管理层既负责编制财务报表,又有十足的动机把它们粉饰得好看,于是请来一位独立的局外人——外部审计师——为报表担保。可是审计师无法亲自重做公司记录过的每一笔交易;那有成千上万笔。所以在审计师检验会计系统的*产出*之前,他们会就*系统本身*问一个更深的问题:这家公司的记账机器,是否被建造得能在过程之中就抓住并拦下错误与偷窃?那台机器——在幕后悄悄运转的政策与程序之网——就是内部控制,而对数字的信任,正是从这里真正开始的。
剥去行话,内部控制不过是一家企业为实现目标而采用的一整套日常防护措施:保护其资产(使现金与存货不被偷走或遗失)、产出可靠的报告(使账簿如实反映真正发生过的事),以及遵守法律。想象一间忙碌的厨房:贴在冰箱上的检查清单、上锁的物料柜、大单出餐前两个人签字确认、每班结束时清点的钱箱。没有哪一样轰轰烈烈,但合在一起,就能防止错误与不诚实悄悄越积越多。公司的各项控制正是同一种本能,放大并写成白纸黑字——审批、上锁、清点、对账——每一项都是一堵小墙,挡住某一件可能出错的事。
控制有两种类型值得早早点名,因为这一区分贯穿其后的一切。预防性控制在问题发生之前就将其拦下——要求任何超过 1 万的付款都须有第二个签名,从一开始就让一个人偷钱变得困难得多。侦查性控制在问题已经溜过之后将其查出——每月一次的银行对账,浮现出一笔谁也说不清的付款。好的系统两者并用:预防是前门,侦查是门后的网。任何一种单独都不够,因为总有些东西会越过前门,而一张没有门的网,会让太多东西漏进来,多到永远追不回。
一份共同蓝图:COSO 的五个组成部分
如果每家公司都自创一套“良好控制”的说法,这个词就成了每个人想让它是什么意思它就是什么意思,审计师或监管者也就没有一把共同的尺子去衡量。于是全世界定下了一份共同蓝图:COSO 框架,由“反虚假财务报告委员会的发起组织委员会”(这个缩写背后藏着的那个长名字)发布。它是迄今为止设计与评价内部控制最广泛使用的模型,把整个庞杂的主题组织成五个环环相扣的组成部分。学会这五个,你就掌握了每一位审计师、管理者和监管者谈论控制时所用的词汇。
- 控制环境——高层定下的基调与道德氛围。领导层是真的在乎诚实,还是嘴上说说?这个软性的、文化层面的基础是最重要的组成部分,也是最难伪装的,因为其余每一项控制都取决于人们是否把规则当回事。
- 风险评估——系统性地识别可能出什么错。现金可能从哪里漏出去?哪些估计可能被操纵?你无法控制一个你尚未先行命名的风险。
- 控制活动——具体的检查手段本身:审批、对账、实物上锁,以及分离不相容的职责。人们听到“内部控制”时多半想到的就是这一部分,可它只是五个里的一个。
- 信息与沟通——把正确、准确的数据在正确的时间送到正确的人手里。一项没人看得到结果、或没人被告知要据此行动的控制,什么也控制不了。
- 监督活动——定期检查这些控制是否仍然有效。人会离职,系统会变动,一项去年还管用的控制,今年可能已悄悄失灵;监督正是发现这件事的环节。这往往是内部审计发挥作用的地方。
描绘 COSO 框架的经典方式是一个立方体:顶面排着三个目标(经营、报告、合规),正面往下是五个组成部分,侧面是组织的各个部分——这一切意在协同运作,而非一份打勾的清单。还要留意,这个顺序并非偶然。控制环境排在最前、垫在一切之下,因为文化先于机制:在一家老板对偷工减料睁一只眼闭一只眼的公司里,世上最精巧的控制活动也一文不值。正因如此,健全的*高层基调*被当作地基,而不是脚注。
职责分离:最有力的单一控制
在所有控制活动中,论“每一块钱换来的威力”,有一项凌驾其余之上:职责分离。这个想法简单得近乎令人难为情——把一项敏感任务拆分给不同的人,使没有任何单独一个人能从头到尾掌控它。数票的人不许同时是候选人、收你钱的收银员通常也不是日后查点钱箱的同一个人,这都是有原因的。如果一个人能独自、秘密地完成每一步,他就既可能出错、又能把错误埋起来。把这些步骤分散到几双手里,舞弊或错误此后就要么得从别人眼皮底下溜过,要么得主动串通。
传统上,有三类职责应分别掌握在不同人手中:授权(批准一笔交易)、保管(经手实际资产——现金、存货),以及记录(记入账簿)。把这三者分开,最常见的“一个人作案”式舞弊就几乎不可能了,因为偷走资产、批准这场盗窃、再在账上把它藏起来,已无法由同一个人神不知鬼不觉地全部办成。审计师在各处搜寻这种分离,而它的缺失,是他们最先举起的危险信号之一。
A PAYMENT CYCLE, BROKEN APART
Step Who does it Duty type
------------------------------------------------------------
1. Request a purchase Clerk A (initiation)
2. Approve the purchase Manager B authorization
3. Sign the cheque Treasurer C custody
4. Record the payment Bookkeeper D recording
5. Reconcile the bank Accountant E monitoring
If ONE person did all five, they could:
invent a fake supplier -> approve it -> pay it ->
record it -> and hide it in the reconciliation.
Splitting the five means no one can act alone
without someone else having to notice (or collude).诚实的上限:合理保证,绝非担保
这里是整个主题中最重要的一份诚实,也是一种值得见到就杀掉的误解:没有任何内部控制系统,无论搭得多好,能*担保*万无一失。它至多能给出的,是合理保证——一种很高但并非绝对的信心。三种力量划定了这条上限。串通:只要两个人一约定一起作弊,再严的职责分离也被击破。管理层凌驾:它几乎能击破一切,因为设计这些控制的人可以干脆无视它们——那个对记账员说“先记上,回头我再解释”的老板。还有纯粹的人为失误:一项控制的可靠程度,只等于那个在周五下午五点、疲惫不堪地执行它的人。
还有一条成本上限。每一项控制都消耗金钱与时间,所以公司无法装上无穷无尽的防护;它必须把一项控制所买来的保护,和运行它的代价相权衡。雇第二个人,纯粹为了重数一个 50 元的备用金盒,那是荒唐的。正是这一成本效益的现实,使内部控制成为一桩讲求合理判断、而非追求极度多疑的事。目标不是零风险——那既够不着、也付不起——而是在事关利害的前提下,把风险压到一个合理的水平。正因为控制可能被凌驾,审计师从不轻易相信它真的奏效了;他们带着职业怀疑——一种探问的心态,把“这项控制已经执行”当作一个有待检验的说法,而非一个想当然的事实。这与下一篇要谈的重要性是同一种诚实精神:审计师如同控制的设计者一样,把力气集中在错误真正要紧之处,对琐碎到微不足道的,则任其过去。
管理层为什么会*想要*凌驾控制?因为舞弊三角的三股压力——压力、机会、合理化——恰恰最沉地压在那些有权凌驾的人身上。强健的内部控制正对准中间这条边,*机会*:它无法消除一位首席执行官冲业绩目标的压力,也劝不住他为自己开脱,但它能把“悄悄做点什么”的轻易机会之门狠狠关上。把控制看作一场对机会的蓄意进攻——而非官僚式的打勾走形式——正是让它从一串规则变成你真正理解之物的关键。舞弊三角在本阶后面会有自己完整的一篇。
当法律出手:萨班斯-奥克斯利法案
在会计史的大部分时间里,把内部控制做好只是企业被*鼓励*去做的事。这在 2001 至 2002 年前后变了:一连串美国巨头公司——以安然(Enron)和世通(WorldCom)最为臭名昭著——在被揭露财务报表系蓄意造假之后相继崩塌,投资者与员工的积蓄一同化为乌有。公众对公司数字的信任出现裂痕。作为回应,美国国会通过了 2002 年的萨班斯-奥克斯利法案——以两位提案人命名,大家一律简称它为 *SOX*——强制上市公司整顿其报告方式,并让高管为此承担个人责任。
SOX 一举改变了多件事,但有三件值得记牢。它设立了一个新的监管者——公众公司会计监督委员会(PCAOB),来检查和监管那些审计上市公司的事务所——使外部审计这一行不能再自己监管自己。它让首席执行官和首席财务官在可能面临刑事处罚的威慑下,亲自证明其财务报表准确无误。而它著名的第 404 条要求管理层评估并报告公司财务报告内部控制的有效性——并要求外部审计师对这一评估也加以鉴证。第 404 条正是 COSO 框架从一个好想法变成一项年度义务的原因:一家美国上市公司评估其控制时,几乎总是用 COSO 的五个组成部分来搭建这一评估。
退一步看,整一阶就归位了。内部控制是让可靠报告成为可能的那台机器;COSO 是这台机器的共同蓝图;职责分离是它最锋利的那个零件;而 SOX 则是那部在一波丑闻之后,把“建造并证明这台机器”从一种美德变成一项法律义务的法律。地基既已铺好,外部审计师终于能高效地做他们的工作——在控制机器强健之处,对账簿的*产出*测试得轻得多;在它薄弱之处,则挖得深得多。控制与“该测试多少”之间的这层联系,正是下一篇——关于审计风险与证据——的起点。