内部控制缺陷的识别、认定与报告

内部控制缺陷认定与报告

杨有红（北京工商大学）李宇立（新疆财经大学，中央财经大学）

摘要：内部控制缺陷的认定是评价内部控制是否有效的关键。把握内部控制缺陷的实质、厘清内部控制缺陷和内部控制局限性是认定内部控制缺陷的基础。缺陷认定是一个过程，这一过程必须解决缺陷识别、缺陷严重程度评估、缺陷认定权限划分等三个基础问题。此外，企业还应针对具体缺陷关注应对措施的制定，以及缺陷的对外披露两个深层问题。

关键词：内部控制缺陷认定对外报告

内部控制评价是持续改进企业内部控制的重要手段。内控评价得出内部控制是否有效的关键在于判定内部控制是否存在缺陷、缺陷的类型及采取的措施。因此，内部控制有效性认定的核心是缺陷的识别和缺陷的分级。已有大量的研究主要集中于探讨内部控制缺陷的披露：其一，影响内部控制缺陷披露的主要因素（Doyle, Ge和McV ay，2007a；林斌和饶静，2009；田高良，齐保垒，李留闯，2010）；其二，内部控制缺陷与公司的财务报告质量的关系（Doyle, Ge和McV ay，2007b；Ashbaugh-Skaife，Collins，Kinney 和LaFond，2008；杨有红，毛新述，2009；齐保垒，田高良，李留闯，2010）；其三，内部控制缺陷与公司筹资成本和股东财富分配的关系（DeFond和Francis，2005；Ashbaugh-Skaife，Collins，Kinney 和LaFond，2007；Hammersley等，2008；Beneish，Billings 和Hodder，2008；杨有红，毛新述，2009；方红星，孙翯，2010）。上述经验研究结果可以为内部控制监管制度的完善提供一定的参考作用，但对指导企业内部控制缺陷的识别和认定的作用却十分有限。

按照美国现行法规的要求，上市公司管理层提交的内部控制自我评价报告和审计人员的鉴证意见报告仅限于财务报告相关内部控制。对重要缺陷和重大缺陷的定义都基于“重大错报无法被及时地预防和发现”。然而，我国《内部控制基本规范》中的相关要求是针对“全面内部控制”的。也就是说，不仅财务报告相关内部控制在法规层面被要求规范执行，而且非财务报告相关内部控制也要符合标准。这就意味着，可借鉴的国外实践经验是有限的。尽管《企业内部控制评价指引》（以下称《评价指引》）和《企业内部控制审计指引》（以下称《审计指引》）对缺陷的初步认定和最终认定做了原则性规定，但在《评价指引》实施过程中，不可避免地会遇到一些起亟需明细的操作性问题。例如，缺陷识别的技术方法？如何界定缺陷的类型和严重程度？如何根据缺陷判定内部控制的有效性？什么样的缺陷必须对外报告？

本文以内部控制缺陷的实质及其与内部控制局限性的关系为突破口，论述内部控制缺陷的识别、严重性评估、认定、应对以及缺陷的对外报告。

一、内部控制缺陷的实质

（一）概念

内部控制缺陷是内部控制过程存在的缺点或不足，这种缺点或不足使得内部控制无法为控制目标的实现提供合理保证。内部控制评价正是要找出内控的缺陷，不断提高为内控目标实现提供合理保证的程度。正如COSO-IC（1992）和COSO-RM（2004）对控制缺陷下的定义：“已经察觉的、潜在的或实际的缺点，抑或通过强化措施能够带来目标实现更大可能性的机会。”

（二）内部控制缺陷的认定基础

理想化的、没有任何瑕疵的内部控制是不存在的，判断内部控制是否存在缺陷的标准不是仅仅看控制系统是否存在缺点或不足，而是看这种缺点或不足是否阻碍其为控制目标的实

现提供合理保证。按照天文表精确度的要求，我们日常生活中使用的手表等计时器理论上都存在着计时误差，但每天一、二秒甚至更多一点的误差不会影响准确计时这一目标的实现，基于资源的有限性以及成本效益考量，我们没有必要按天文表的精确度要求来测试、校正我们的计时器。正如PCAOB审计准则第5号《与财务报表审计相融合的财务报告内部控制审计》第11段所言：“对那些没有以合理可能性导致财务报表发生重大错报的控制来说，即使存在缺陷，也没有必要进行测试。”尽管我们的内控评价的范围不局限于财务报告内控，但PCAOB第5号给予我们一个方法论的启示：无论是内控评价还是内控审计，对内控缺陷的认定都应该基于目标导向来进行内部控制缺陷的识别和评估。

（三）内部控制缺陷与内部控制局限性的关系

内控未能实现目标的原因分为两大类：内控缺陷和内控局限性。COSO报告指出：“内部控制体系无论设计和运行多么好，都只能对主体目标的实现向管理层和董事会提供合理（而非绝对）的保证。目标实现的可能性受到所有内部控制体系都存在的固有局限的影响。”COSO 还列举了内控局限性的典型表现：决策过程中可能出现错误判断、执行过程中可能出现的错误或过失；因勾结串通或管理层越权而失效；制约于控制带来的收益与执行控制成本之间的权衡。内部控制缺陷和内部控制局限性这两个概念既有本质区别，但又密切联系、容易混淆。

内部控制缺陷和内部控制局限性的共性表现为：（1）两者都以目标为判断的准绳，内部控制缺陷表现在不能为控制目标的实现提供合理保证，而内部控制局限性体现在能够为控制目标的实现提供合理保证但不能为控制目标的实现提供绝对保证；（2）它们都产生于内部控制设计和运行两个环节；（3）尽管内部控制包括预防性控制(preventive controls)和发现性控制(perceptive controls),但它对蓄意策划的合谋和管理层越权行为而言是无能为力的，这既是内部控制的固有局限性，也是内部控制最严重的运行缺陷；（3）衡量缺陷和局限性的标准不是看是否实际发生偏离目标，而是看是否具有合理可能性。

内部控制缺陷和内部控制局限性的区别在于：（1）内部控制缺陷是内部控制设计者在设计过程中未意识到缺点，以及内部控制执行过程中不按设计意图运行而产生运行结果偏差的可能；内部控制局限性则是设计者在设计过程中事先预留的风险敞口，以及运行过程中按照设计意图运行也无法实现控制目标的可能；（2）由于内部控制存在着局限性，内控只能为控制目标的实现提供合理保证，而不是绝对保证；内部控制缺陷的存在使得内部控制过程无法为控制目标的实现提供合理保证；（3）内部控制存在着因合谋和越权而失效的可能，这表现为内部控制的局限性，但某一控制过程存着合谋或越权的迹象，则表现为内部控制的缺陷。

无论是将内控的局限性误当内控缺陷进行认定和揭露，还是误将缺陷作为局限性来忽略，都将导致控过程偏离控制目标并可能导致内部控制有效性信息的虚假揭露。为保证内控缺陷识别和评估的科学性，我们必须厘清内部控制缺陷和内部控制局限性的共性与区别。

二、内部控制缺陷认定的一般程序

缺陷认定是一个过程，这一过程通常包括建立标准、缺陷识别、严重程度评估、最终认定四个环节。

（1）建立内控缺陷认定标准。企业内控缺陷具体认定标准的设定基于风险偏好和风险容忍度。而风险的偏好和容忍度在内控体系建立之初以及战略目标确定时业已完成的，并且通过“自上而下”的方式演化成为细化了的目标体系。该目标体系即为内部控制缺陷的识别和评估的依据。无论是中国的内控规范还是美国的内控框架，都将控制系统运行结果偏离控制目标的程度作为评估缺陷严重程度的标准，即内控偏离控制目标的程度越大显示缺陷越严重。《评价指引》同时指出，重大缺陷、重要缺陷和一般缺陷的具体认定标准由企业自行确定。当然，缺陷认定标准可能因具体目标的变化做出相应的调整。

（2）识别内控缺陷。识别内控缺陷的主要工作是，将敞口风险与对应岗位或层级的风险容忍度相对比。其中，风险容忍度与内部控制的预期目标相对应，敞口风险则与内部控制