内部控制缺陷认定与报告

      杨有红（北京工商大学）      李宇立（新疆财经大学，中央财经大学）

摘要：内部控制缺陷的认定是评价内部控制是否有效的关键。把握内部控制缺陷的实质、厘清内部控制缺陷和内部控制局限性是认定内部控制缺陷的基础。缺陷认定是一个过程，这一过程必须解决缺陷识别、缺陷严重程度评估、缺陷认定权限划分等三个基础问题。此外，企业还应针对具体缺陷关注应对措施的制定，以及缺陷的对外披露两个深层问题。

关键词：内部控制  缺陷认定   对外报告

内部控制评价是持续改进企业内部控制的重要手段。内控评价得出内部控制是否有效的关键在于判定内部控制是否存在缺陷、缺陷的类型及采取的措施。因此，内部控制有效性认定的核心是缺陷的识别和缺陷的分级。已有大量的研究主要集中于探讨内部控制缺陷的披露：其一，影响内部控制缺陷披露的主要因素（Doyle, Ge 和 McVay，2007a；林斌和饶静，2009；田高良，齐保垒，李留闯，2010）；其二，内部控制缺陷与公司的财务报告质量的关系（Doyle, Ge 和 McVay，2007b；Ashbaugh-Skaife，Collins，Kinney 和 LaFond，2008；杨有红，毛新述，2009；齐保垒，田高良，李留闯，2010）；其三，内部控制缺陷与公司筹资成本和股东财富分配的关系（DeFond 和 Francis，2005；Ashbaugh-Skaife， Collins，Kinney 和 LaFond，2007；Hammersley等，2008；Beneish，Billings 和 Hodder，2008；杨有红，毛新述，2009；方红星，孙翯，2010）。上述经验研究结果可以为内部控制监管制度的完善提供一定的参考作用，但对指导企业内部控制缺陷的识别和认定的作用却十分有限。

按照美国现行法规的要求，上市公司管理层提交的内部控制自我评价报告和审计人员的鉴证意见报告仅限于财务报告相关内部控制。对重要缺陷和重大缺陷的定义都基于“重大错报无法被及时地预防和发现”。然而，我国《内部控制基本规范》中的相关要求是针对“全面内部控制”的。也就是说，不仅财务报告相关内部控制在法规层面被要求规范执行，而且非财务报告相关内部控制也要符合标准。这就意味着，可借鉴的国外实践经验是有限的。尽管《企业内部控制评价指引》（以下称《评价指引》）和《企业内部控制审计指引》（以下称《审计指引》）对缺陷的初步认定和最终认定做了原则性规定，但在《评价指引》实施过程中，不可避免地会遇到一些起亟需明细的操作性问题。例如，缺陷识别的技术方法？如何界定缺陷的类型和严重程度？如何根据缺陷判定内部控制的有效性？什么样的缺陷必须对外报告？

本文以内部控制缺陷的实质及其与内部控制局限性的关系为突破口，论述内部控制缺陷的识别、严重性评估、认定、应对以及缺陷的对外报告。

一、内部控制缺陷的实质

（一）概念

内部控制缺陷是内部控制过程存在的缺点或不足，这种缺点或不足使得内部控制无法为控制目标的实现提供合理保证。内部控制评价正是要找出内控的缺陷，不断提高为内控目标实现提供合理保证的程度。正如COSO-IC（1992）和COSO-RM（2004）对控制缺陷下的定义：“已经察觉的、潜在的或实际的缺点，抑或通过强化措施能够带来目标实现更大可能性的机会。”

（二）内部控制缺陷的认定基础

理想化的、没有任何瑕疵的内部控制是不存在的，判断内部控制是否存在缺陷的标准不是仅仅看控制系统是否存在缺点或不足，而是看这种缺点或不足是否阻碍其为控制目标的实现提供合理保证。按照天文表精确度的要求，我们日常生活中使用的手表等计时器理论上都存在着计时误差，但每天一、二秒甚至更多一点的误差不会影响准确计时这一目标的实现，基于资源的有限性以及成本效益考量，我们没有必要按天文表的精确度要求来测试、校正我们的计时器。正如PCAOB审计准则第5号《与财务报表审计相融合的财务报告内部控制审计》第11段所言：“对那些没有以合理可能性导致财务报表发生重大错报的控制来说，即使存在缺陷，也没有必要进行测试。”尽管我们的内控评价的范围不局限于财务报告内控，但PCAOB第5号给予我们一个方法论的启示：无论是内控评价还是内控审计，对内控缺陷的认定都应该基于目标导向来进行内部控制缺陷的识别和评估。

（三）内部控制缺陷与内部控制局限性的关系

内控未能实现目标的原因分为两大类：内控缺陷和内控局限性。COSO报告指出：“内部控制体系无论设计和运行多么好，都只能对主体目标的实现向管理层和董事会提供合理（而非绝对）的保证。目标实现的可能性受到所有内部控制体系都存在的固有局限的影响。”COSO还列举了内控局限性的典型表现：决策过程中可能出现错误判断、执行过程中可能出现的错误或过失；因勾结串通或管理层越权而失效；制约于控制带来的收益与执行控制成本之间的权衡。内部控制缺陷和内部控制局限性这两个概念既有本质区别，但又密切联系、容易混淆。

内部控制缺陷和内部控制局限性的共性表现为：（1）两者都以目标为判断的准绳，内部控制缺陷表现在不能为控制目标的实现提供合理保证，而内部控制局限性体现在能够为控制目标的实现提供合理保证但不能为控制目标的实现提供绝对保证；（2）它们都产生于内部控制设计和运行两个环节；（3）尽管内部控制包括预防性控制(preventive controls)和发现性控制(perceptive controls),但它对蓄意策划的合谋和管理层越权行为而言是无能为力的，这既是内部控制的固有局限性，也是内部控制最严重的运行缺陷；（3）衡量缺陷和局限性的标准不是看是否实际发生偏离目标，而是看是否具有合理可能性。

内部控制缺陷和内部控制局限性的区别在于：（1）内部控制缺陷是内部控制设计者在设计过程中未意识到缺点，以及内部控制执行过程中不按设计意图运行而产生运行结果偏差的可能；内部控制局限性则是设计者在设计过程中事先预留的风险敞口，以及运行过程中按照设计意图运行也无法实现控制目标的可能；（2）由于内部控制存在着局限性，内控只能为控制目标的实现提供合理保证，而不是绝对保证；内部控制缺陷的存在使得内部控制过程无法为控制目标的实现提供合理保证；（3）内部控制存在着因合谋和越权而失效的可能，这表现为内部控制的局限性，但某一控制过程存着合谋或越权的迹象，则表现为内部控制的缺陷。

无论是将内控的局限性误当内控缺陷进行认定和揭露，还是误将缺陷作为局限性来忽略，都将导致控过程偏离控制目标并可能导致内部控制有效性信息的虚假揭露。为保证内控缺陷识别和评估的科学性，我们必须厘清内部控制缺陷和内部控制局限性的共性与区别。

二、内部控制缺陷认定的一般程序

缺陷认定是一个过程，这一过程通常包括建立标准、缺陷识别、严重程度评估、最终认定四个环节。

（1）建立内控缺陷认定标准。企业内控缺陷具体认定标准的设定基于风险偏好和风险容忍度。而风险的偏好和容忍度在内控体系建立之初以及战略目标确定时业已完成的，并且通过“自上而下”的方式演化成为细化了的目标体系。该目标体系即为内部控制缺陷的识别和评估的依据。无论是中国的内控规范还是美国的内控框架，都将控制系统运行结果偏离控制目标的程度作为评估缺陷严重程度的标准，即内控偏离控制目标的程度越大显示缺陷越严重。《评价指引》同时指出，重大缺陷、重要缺陷和一般缺陷的具体认定标准由企业自行确定。当然，缺陷认定标准可能因具体目标的变化做出相应的调整。

（2）识别内控缺陷。识别内控缺陷的主要工作是，将敞口风险与对应岗位或层级的风险容忍度相对比。其中，风险容忍度与内部控制的预期目标相对应，敞口风险则与内部控制的实际效果相关联。需要核查的敞口风险有两类：因内部控制不健全导致的纯粹敞口风险；因内部控制有效性的欠缺导致的剩余风险。核查敞口风险也同样涉及组织的各个层级。与风险容忍度分解不同的是，敞口风险的核查应当采取基于风险组合观的“自下而上”的方式。缺陷的具体识别方法将在第三部分予以介绍。

（3）评估缺陷严重程度。我国的《评价指引》和《审计指引》根据缺陷导致企业偏离控制目标的可能性大小将缺陷分为重大缺陷、重要缺陷和一般缺陷，将“可能导致企业严重偏离控制目标”的缺陷界定为重大缺陷、将“严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标” 的缺陷界定为重要缺陷；将“除重大缺陷、重要缺陷之外的其他缺陷”界定为一般缺陷。缺陷应对措施和报告方式都有赖于缺陷严重程度的评估。本文将在第三部分中详细介绍缺陷严重程度评估的方法。

（4）缺陷的最终认定。不同层级的管理部门和人员拥有的缺陷认定权限不同（本文将在第四部分进行具体分析）。他们将依据相应的权限对不同影响程度的缺陷进行最终的认定。

简而言之，内部控制缺陷认定的过程可以归纳为：将目标未实现的、或可能未实现的差异（即敞口风险）在不同层级范围内予以汇总，考察敞口风险是否低于所属层级的可容忍水平。如果超出可容忍水平，则依据既定的缺陷认定标准判断缺陷的严重程度。在缺陷认定的基础上，管理部门还应当采取行之有效的应对措施以修正和弥补控制缺陷，并且按照法规的要求对内控缺陷加以报告。

三、内部控制缺陷识别与严重性评估的方法

内部控制缺陷认定首先需要解决的是认定的技术手段问题。内部控制缺陷按其成因分为设计缺陷和运行缺陷。

（一）缺陷识别的方法

内部控制缺陷中，有些缺陷仅表现为控制过程偏离控制目标的可能但并未造成现时的危害；而还有些缺陷则表现为控制系统已发生偏离控制目标的现实。对这两种缺陷类型的识别应分别采用以下方法：测试识别和迹象识别。

1．测试识别

测试识别是指采用控制过程技术分析、符合性测试、实质性测试等手段识别内部控制的设计缺陷和运行缺陷。

设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。如果管理层和员工遵循内控政策和程序进行交易和事项的处理，也不能为内控目标的实现提供合理保证，这类缺陷归为设计缺陷。设计缺陷应该从以下两个角度识别：缺失和设计不当。缺失指缺少某一方面的内部控制政策或程序，例如，会计估计变更没有必要的审批程序。设计不当指虽然针对某一交易或事项制定了内部控制政策和程序，但采用了不正确的控制手段（例如，在货币资金内部控制中规定由出纳核对银行日记账和银行对账单并由出纳编制银行存款调节表）或者由于控制政策或程序未能涵盖影响控制目标实现的所有风险（例如，资产减值内部控制制度设计得过于简单，无法为资产减值计提的合理性和资产计价的可靠性提供合理保证）。

运行缺陷指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。运行缺陷需要通过对内控执行过程的穿行测试来发现。例如，某笔资金使用需经总经理签字授权后方可使用，但企业因急需使用资金为由在先使用的情况下再追补总经理审批手续，则可判断资金授权审批控制存在运行缺陷；再比如，测试中发现财会人员对会计准则缺乏准确的理解则有理由认定财务报告内部控制存在运行缺陷，财务报表存在错报的可能。

2．迹象识别

迹象识别指通过所发现的已背离内部控制目标的迹象识别内部控制的设计缺陷和运行缺陷。迹象识别实际上基于内部控制的运行结果对内部控制有效性的判断。严重背离内控目标的迹象发生本身表明现有的内部控制无法为控制目标的实现提供合理保证。表明内控缺陷的迹象包括（但不限于）：（1）管理层的舞弊行为，内控系统未能发现或虽已发现但不能给予有效的制止；（2）因决策过程违规、违法使用资金受到监管部门的处罚或责令整改；（3）审计委员会或者外部审计师发现财务报表存在错报；（4）企业资产出现贪污、挪用等行为；（5）某个业务领域频繁地发生相似的重大诉讼案件。

表明内控缺陷的迹象尽管能够直接判断缺陷的严重程度，但并不能直接告诉缺陷所处的环节。因此，企业应以迹象为突破口测试内控的设计与运行情况，进行缺陷定位。

（二）缺陷严重程度评估

如前所述，内控缺陷按其影响程度不同可分为重大缺陷、重要缺陷和一般缺陷。需要注意的是，内部控制缺陷的三个水平处于连续的状态中，究竟应该在哪里“划线”不容回避（爱德华?卡尼等，2009）。本文在此给出缺陷严重程度评估的两点建议。

1．以偏离目标的可能性和偏离目标的程度作为衡量缺陷严重性的标准

根据迹象识别出的缺陷可直接根据目标偏离度（这里特指“消极偏离”，即目标未实现，而不是超额实现）判断其严重程度，对处于潜在风险期的缺陷可以从偏离目标的可能性和偏离目标的程度两个维度进行缺陷严重程度评估。评价方法可以是定性分析，也可以是定量分析。定性分析是直接用文字描述偏离目标的可能性和偏离目标的程度，如“极低”、“低”、“中等”、“高”、“极高”等。当然，定性指标可以利用技术方法（例如Likert等级量表法）转化成为定量指标，定量分析是用数值衡量偏离目标的可能性（如概率）和偏离目标的程度（如可能的损失额或损失额占净利润的百分比、可能的错报额或错报额占资产的百分比）。

《基本规范》和《配套指引》赋予了企业在内部控制缺陷严重程度判断中的自由裁量权（discretion，又称自由裁量权，是指合法合理地进行自由选择的权力），允许企业在判断缺陷是否重大时考虑自身实际情况和所处特定环境。这里的具体情况主要指企业的行业特征、风险偏好和可容忍风险度。当可容忍风险以目标的形式分解到各部门、各岗位，成为判断缺陷是否存在以及缺陷严重程度的标准之后，对目标偏离的可能性和偏离的程度就反映了缺陷的严重程度。表1例举了企业可采取的内控缺陷严重程度评估标准。表中诸如1%、3%、5%以及10%这样的偏离值的选择，为我们给出的示例，企业自身具有自由量裁权。

表1                       内控缺陷严重程度评估标准

2．充分考虑缺陷组合和替代性控制

缺陷严重程度评估必须充分考虑以下两点对评估结论的影响：（1）关注和分析缺陷组合风险。缺陷与偏离目标可能性之间不仅存在着一一对应关系，还存在着缺陷组合的风险叠加效应。例如，在其他控制环节严密的情况下，由出纳核对银行日记账和银行对账单是一个重要的缺陷，但是，如果同时与银行印鉴管理不严、支票管理漏洞相组合，则构成重大缺陷。（2）替代性控制（补偿性控制）的作用。替代性控制是其他正式或非正式的控制对某一控制缺陷的遏制或弥补。例如，某企业尽管存在着信息与沟通方面的制度设计缺陷，但该企业有这样一个良好的习惯：每天上班之前的半小时，管理层成员都自发地来到办公楼前的操场上，就前一日的生产、销售、安全、财务情况进行交流，然后回到各自的工作岗位继续开展工作。这样不成文的习惯作法成为该企业经理层以及经理层与董事会成员之间有效沟通的良好实务。

四、内部控制缺陷最终认定的权限以及缺陷的应对措施

缺陷识别和严重性评估很大程度上属于技术层面的问题，但缺陷的最终认定则属于管理层面的问题。企业应该建立内部控制缺陷分级授权最终认定的制度以及纠偏责任落实机制。缺陷认定与负责采取纠偏措施两者间要权责对应。不同严重程度的缺陷由于风险、控制层次、纠偏难度（纠偏所涉及的部门或动用的资源）存在着差别，需要由企业的不同层级来认定和承担纠偏责任。对于认定的属于运行环节的缺陷，应通过加强监督、提高执行力度的方法解决；属于设计环节的缺陷，应在采取纠正措施的同时，着手修订内控设计。缺陷严重程度、认定机构及纠偏措施间对应关系如下表（表2）如示：

  表2          内控缺陷严重程度、认定机构及纠偏措施间的对应关系

需要说明的是，内部控制缺陷的应对指缺陷发现的后续处理，它是内部控制体系优化工作的重要组成部分。事后对缺陷的总结、追溯缺陷致因是对管理体系各个控制环节的反馈，并对后期的调整修订、总体控制能力的提升起到决定性作用。当然也有人认为，缺陷的整改可以被认为是一项管理活动，而非内部控制活动。无论怎样看待缺陷整改行为的归属，当认定的缺陷已经足够严重时，就应当采取相应的整改措施。内部控制缺陷的弥补措施和修正措施是有差别的。弥补措施是指利用B措施对A措施不力的影响进行消除，A措施和B措施间具有互补性。修正措施是指，A措施存在问题，则采取A’措施来替代A措施，A与A’之间是替代关系。

内控评价部门主要通过内控缺陷的现场测试和缺陷汇总分析，对一般缺陷加以认定并负责相应的纠偏行动。经理层负责组织领导企业内部控制的日常运行，在缺陷认定方面体现为缺陷认定工作的组织、对一般缺陷和非一般缺陷（包括重要缺陷和重大缺陷）的甄别，以及重要缺陷的纠偏。由于董事会负责内部控制的建立健全和有效实施，需要对内部控制的有效性进行全面评价、形成评价结论、出具评价报告。因此，董事会主要关注的是：内部控制缺陷是否构成了受托于股东的经济责任履行的重大障碍，即重大缺陷应当由董事会予以最终认定。

五、内部控制缺陷的对外报告

对外发布内部控制评价报告将成为对上市公司的强制性规定。但是，何种影响程度的内部控制缺陷应该对外披露、如何披露内部控制缺陷等技术层面的问题需要厘清。

内部控制信息披露服务于投资者的权益保护以及投资者对企业投资回报的预期。财务报告之所以是投资决策的重要依据，原因在于它有助于投资者评估企业未来产生现金流量的金额、时间和不确定性，从而服务于投资决策。但是，依据财务数据对企业前景的预期能否成为现实、差异的波动方向取决于对未来不确定因素的管控。内部控制的有效性以及缺陷的严重程度决定着他管控未来风险的能力以及预期变为现实的可靠程度。对外披露内控缺陷信息是企业必须承担的义务。但是，无论从法律赋予管理层的义务层面讲，还是受托者对委托者承担的道义责任层面上讲，并不是所有的内部控制缺陷都必须对外披露。对外披露的缺陷应该是对投资者制定投资决策、修正以往投资决策产生影响的缺陷信息。缺陷的披露实际上起风险提示的作用，只有较大可能偏离目标且危害程度较严重的缺陷才有义务对外披露。

内部控制评价报告的结论性内容是内部控制是否有效，但其核心内容是有关内部控制缺陷信息的披露。但是，“自我揭短”是需要勇气但又不是单凭勇气能够解决问题的。我国近几年上市公司内部控制信息自愿披露已充分印证了这一点。因此，《企业内部控制基本规范》已要求企业强制进行内部控制评价并对外披露内部控制评价报告。为不折不扣贯彻《评价指引》和《审计指引》，有关部门应该通过内部控制指引配套讲解等方式对内部控制缺陷披露进行规定和引导。有关内部控制缺陷的信息应至少披露以下内容：（1）内部控制缺陷的认定标准；（2）缺陷对外披露的标准；（3）按认定标准和披露标准确定的应对外披露的内部控制缺陷；（4）采取的缺陷整改措施；（5）采取整改措施后的剩余风险。

内部控制缺陷的认定在中国处于起步阶段，缺陷认定标准的确立、完善和共识需要一段时间，不可能一蹴而就，但契而不舍的探索将有助于缩短这一路程。

主要参考文献

方红星，孙翯. 2010. 交叉上市公司内部控制缺陷披露的影响因素与市场反应——基于兖州煤业的案例研究.上海立信会计学院学报，1：28-36.

林斌，饶静. 2009. 上市公司为什么自愿披露内部控制鉴证报告？——基于信号传递理论的实证研究，会计研究，2：45-52.

齐保垒; 田高良; 李留闯. 2010. 上市公司内部控制缺陷与财务报告信息质量.管理科学，4：38-47.

田高良，齐保垒，李留闯. 2010. 基于财务报告的内部控制缺陷披露影响因素研究. 南开管理评论，4：134-141

杨有红，毛新述. 2009. 内部控制、财务报告质量与投资者保护，北京工商大学工作论文.

爱德华?卡尼等. 王光远等[译] . 2009. 联邦政府内部控制.中国时代经济出版社，250.

Ashbaugh-Skaife, H., D. Collins, W. Kinney, and R. LaFond. 2007. The effect of internal control deficiencies on firm risk and cost of equity capital. Available at: http: / /ssrn.com/ abstract_896760.

Ashbaugh-Skaife, H., D. Collins, W. Kinney, and R. LaFond. 2008. The effect of SOX internal control deficiencies and their remediation on accrual quality. The Accounting Review 83 (1): 217–250.

Beneish, M. D., M. B. Billings, and L. D. Hodder. 2008. Internal control weaknesses and information uncertainty. The Accounting Review 83 (3): 665–703.

Doyle, J., W. Ge, and S. McVay. 2007a. Determinants of weaknesses in internal control over financial reporting. Journal of Accounting and Economics, 44: 193–223.

Doyle, J., W. Ge, and S. McVay. 2007b. Accruals quality and internal control over financial reporting. The Accounting Review 82(5): 1141–1170.

Hammersley, J., L. Myers, and C. Shakespeare. 2008. Market reactions to the disclosure of internal control weaknesses and to the characteristics of those weaknesses under Section 302 of the Sarbanes-Oxley Act of 2002. Review of Accounting Studies 13 (1): 141–165.