（众环海华会计师事务所有限公司 湖北武汉 430077）

一﹑引言

2010年，五部委联合发布了《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》等文件，执行内控规范的企业必须对企业内部控制有效性进行自我评价，披露年度自我评价报告，同时聘请会计师事务所对财务报告内部控制的有效性进行审计，出具内部控制审计报告。

目前在上市公司内部控制信息强制披露的背景下，内部控制缺陷的识别和认定倍受关注，同时它也是评价内部控制是否有效的关键点，是内部控制评价和审计工作中面临的重大难题（刘玉廷，2010）。之所以内部控制缺陷的识别和认定成为重大难题，是因为上述规范体系中在对内控缺陷识别和认定做了原则性规定之后并没有提供具有操作性的指导。这直接导致企业管理层和外部审计机构只能凭借个人主观判断进行内控缺陷的识别和认定（田娟，2012），这种主观判断容易受到人员的专业胜任能力和自我选择性的影响。企业评价内部控制的目的是不断提高为控制目标实现提供合理保证的程度。因此，对于内控缺陷本质的理解应该是基于目标导向型的，主要从偏离控制目标实现的可能性和程度以及影响后果来识别和认定内控缺陷。目标导向型的识别和认定对什么是内部控制缺陷、种类的划分、如何区分内控缺陷和内控局限、如何区分财务报告与非财务报告内控缺陷等一系列问题更需要明确的规范以及具有较强的实务操作性。正是这些问题的概念模糊和实务操作性不强导致了我国企业内控缺陷认定的困难，进而影响到企业自我评价以及内控信息披露的质量。

二、内部控制缺陷相关文献综述

从研究侧重点来看，现有的内部控制缺陷文献主要集中在五个方面：内部控制缺陷披露与公司报告质量的相关性（Doyle，Ge 和 McVay，2007；LaFond，2008；杨有红和毛新述，2009）；披露内部控制缺陷企业自身特征研究：企业审计特征、治理特征等角度（杨有红和陈陵云，2009；Hollis等，2009；Jeffrey等，2007）；影响内部控制缺陷披露的主要因素（Doyle，Ge 和 McVay，2007；Hollis 等，2007； 林斌和饶静，2009；田高良等，2010）；内部控制缺陷与会计信息质量的关系（Doyle，2007；Goh&Li，2008）；内控缺陷披露的市场反应（Hammersley 等，2008；Beneish 等，2008；Bryan&Lilien，2005）。通过梳理以上相关文献，笔者发现国外学者对内部控制缺陷进行了一定的研究，但均忽略了内部控制缺陷的认定问题。研究者一般首先假设上市公司可以对内控缺陷进行专业认定和披露，然后就直接研究存在内控缺陷公司的特征以及市场对这些公司的反应。

在少数内部控制缺陷识别和认定的研究中，内部控制缺陷的分类标准繁多，分类的依据略显随意。部分学者把重大内部控制缺陷按照公司运营的各个子模块来划分：账户类缺陷、培训类缺陷、期末报告和会计政策类缺陷、收入确认类缺陷、职务分离类缺陷、账户核对类缺陷、子公司类缺陷、高管类缺陷和技术类缺陷（Ge和 Mcvay，2005；齐保垒2010；单华军2010）；也有学者按照重大缺陷形成原因将其分为：人员归因缺陷、复杂性归因缺陷和一般归因缺陷（JeffreyDoyle，2006）；还有学者按照审计难易程度分为较难审计类和容易审计类内控缺陷，并且认为较难审计类内控缺陷包括控制环境缺陷、财务报告缺陷、关键人员缺陷，较容易审计类内控缺陷包括日常业务控制缺陷、控制系统缺陷、交易核算缺陷（S.Hammersley，2007）；还有学者按照企业审计特征和治理特征来划分内控缺陷：上市公司中报或年报财务报表重述行为及存在审计师变更的（鲁清仿，2009）。可见，我国对内控缺陷的研究比较零散，缺乏系统、专门的研究。

因此，笔者将从内部控制缺陷的识别和认定的规范化视角进行深入研究，提出内部控制缺陷的识别和认定存在的现实问题，并在此基础上探讨解决的方法和路径。

三、内部控制缺陷认定存在的现实问题分析

（一）内控缺陷和内控局限性的认定模糊

在企业进行自我评价的过程中，基于企业的“自我选择性”，可能很大程度上会利用内控缺陷和内控局限性的理解误区来选择对自己有利的披露方式，将管理层越权、串通或共谋等超越内部控制的故意行为认定为内控局限性，从而得出内控有效性的结论。事实上，内控缺陷和内控局限性两者既有共同点又存在本质的区别。内控缺陷和内控局限性的共同点在于由于两者的存在会导致内控只能为控制目标的实现提供合理保证而非绝对保证。区别在于，内控缺陷是内控设计上的漏洞或者执行过程中未按照设计意图运行而产生运行结果偏差，它是可以通过人为努力来完善和修正的；而内控局限性则是固有风险，它是在设计和执行过程中无法预见的各种风险敞口以及就算按照设计执行也无法实现控制目标的可能性。美国COSO委员会认为：“任何内控系统，不管其设计和执行多么完善，都只能对实现董事会和管理层的控制目标提供合理、而非绝对的保证。这些控制目标的达成受限于内控系统的固有局限性。”虽然内控缺陷和内控局限性之间存在着本质区别，但在实际操作过程中并不是很容易区分。这是导致很多企业内控无效的重要原因。例如，一直以零库存管理、直销模式和实时信息管理而闻名的戴尔是世界最大的PC电脑制造商，在财务丑闻曝光前，不仅制定了严格的监管制度，而且还花费巨额资金聘请国际著名会计师事务所普华永道为其制定了完善的《风险管理手册》，在之后的SEC（2010）调查报告和年报信息中，戴尔公司的问题在于错报供应商大额支付款项、准备金和应计项目会计处理不当。戴尔财务高管主要是通过“饼干罐会计”来进行大量的会计盈余调节。所谓“饼干罐会计”，是指在经营状况良好的年度，提取准备金来降低盈余；在营运不佳的年度，则动用这笔基金来提高盈余，给报表阅读者以公司年年获利、财务平稳的印象。最终这一会计“技巧”为戴尔招致1亿美元的罚款，同时高管层支付数百万美元不等的罚款。在此次的内部控制审计报告中表明戴尔存在重大缺陷。但是如果不对内控缺陷与内控局限性进行合理区分，如果SEC的法规执行部没有对戴尔的会计和财务报告事项提出质疑，再三发函要求进行彻查的话，极有可能导致企业在评价内控有效性时避重就轻，进行虚假披露，把内控缺陷认为是内控局限性而蒙混过关。

（二）财务报告内控缺陷与公司内控缺陷的认定不明

站在企业的角度，根据我国《企业内部控制评价指引》的要求，企业除了要对财务报告内部控制缺陷进行认定外，还要将非财务报告内部控制缺陷纳入内部控制评价范围。在企业自我评价报告中并未要求企业将财务报告内控缺陷与非财务报告内控缺陷分开披露。

站在注册会计师的角度，根据我国《企业内部控制评价指引》的要求只需要对财务报告内部控制的有效性发表审计意见，对非财务报告内部控制的有效性并不直接发表审计意见，而是规定对于发现的非财务报告的重大缺陷，要在内控审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

很明显，企业与注册会计师进行评级和发表意见的对象并不一致。企业是对企业整体层面进行内控自我评价，而注册会计师则只重点关注财务报告内控缺陷。两份报告在形式上就有区别，再加上在没有统一认定标准的情况下，企业和注册会计师对内控缺陷认定就容易形成信息披露不一致。

此外，国内外学者虽然对内控缺陷的认定进行了一定的研究和探讨，但对此并没有得出比较权威和一致的结论，更未涉及如何明确区分财务报告内控缺陷和非财务报告内控缺陷等问题。同时，对于如何区分财务报告和非财务报告内控缺陷以及内控缺陷如何认定，相关指引没有明确规定，也没有先例可以参照。这给注册会计师的实际操作带来了很大的困难，有可能他们在职业过程中采取的认定方法和标准是不合理、不科学的，与企业的认定之间也会产生误解和分歧。这直接影响内部控制报告的权威性和质量。

（三）内控缺陷程度的区分

我国《企业内部控制评价指引》和《企业内部控制审计指引》将内控缺陷分为重大缺陷、重要缺陷和一般缺陷三类。其中，把重大缺陷定义为“可能导致企业严重偏离控制目标”；把重要缺陷定义为“严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标”；把一般缺陷定义为“除重大缺陷、重要缺陷之外的其他缺陷”。这种描述性的定义并没有明确规定“可能”的具体程度，在实际操作过程中给注册会计师带来了很多困难。我国《企业内部控制评价指引》将“可能性”解释为：“合理可能性是大于微小可能性（几乎不可能发生）的可能性，确定是否具备合理可能性涉及评价人员的职业判断。”模糊化的可能性给企业创造了很大的操作空间，再加上企业的“自我选择性”，很可能导致企业把重大缺陷划分为重要缺陷和一般缺陷，从而得出内控有效性的结论。加之相关指引并没有强制要求企业和注册会计师对重要缺陷和一般缺陷进行披露并发表意见，导致内控规范虚置，内控建设流于形式。同时也让内控自我评价和审计的可信度大打折扣。

四、内控缺陷认定问题对策探讨与研究

（一）采用原则式与规范式相结合的思路

笔者在对现有的相关研究进行梳理，以及对比国内外内控缺陷比例的基础上认为，原则式内控缺陷认定有其弊端。首先，内控缺陷本身的“负面效应”容易导致企业有“自我选择”倾向。如果内控缺陷认定只有原则式指导，没有规范式参照，很多企业可能趋利避害选择不披露重大缺陷。可见原则式的思路并不完全适合这种负面信息披露的执行。其次，内部控制是最近10年才开始在我国提出并逐步实施的，属于新鲜事物，企业还不具备依靠原则式框架进行清晰认定的素质。再加上原则式认定在实际操作时也给企业增加了难度。此外，原则式认定可能出现实际具有相同控制缺陷的企业出具不同的内控自我评价报告。可见，不管是对内控缺陷的认定，还是对内控缺陷和内控局限的划分、内控缺陷程度的划分、财务报告和非财务报告的划分都应该采用原则式和规范式相结合的思路，这样才能更有利于内控建设和审计的进行。例如，企业在进行自我评价时，应该根据各个层面各环节内控关键点进行逐一比照，来判断是否存在内控缺陷，当然这种比照并不能仅依靠某一个人的判断，应当由足够的人员参与以及足够合理的控制测试作为支撑。例如，对目前一些国内企业中普遍存在的严重影响内部控制有效性的行为，如管理层越权、串通或共谋等行为，在现阶段以规则的方式将其明确认定为内控缺陷而非内控局限性，减少企业自由选择的空间。可以借鉴Jeffrey Doyle等人（2006）的研究成果，将以下情形认定为非财务报告内控缺陷：（1）存在盈余管理或盈余质量较低；（2）财务错报和报表重述；（3）信息披露质量低；（4）公司规模较小；（5）公司成立时间短；（6）公司财务能力弱或亏损；（7）公司正在经历重大的组织变化如正经历重整；（8）公司业务构成较复杂，如分部较多、海外业务较多等；（9）公司增长较快；（10）企业董事、监事和高级管理人员舞弊等。

（二）采用定性与定量相结合的方式

财务报告内控缺陷的划分一般应采用定量的方式。财务报告内控缺陷相比非财务报告内控缺陷更会影响到财务报告的错报，可以采用“可能性”和“导致后果”的严重程度来划分，对这种严重程度应该进行量化，而不是简单的划分为一般、重要或重大内控缺陷。对“可能性”量化可以借鉴我国《或有事项会计准则》规定。其中“很可能”为发生概率大于50％但小于或等于95％；“可能”为大于5％但小于或等于50％；“极小可能”为大于0但小于或等于5％。对“导致后果”具体的量化方法可以根据缺陷造成的错报额占财务报告相关项目金额如资产总额、营业收入等的百分比来确定。例如日本就规定：如果一项或多项控制缺陷造成公司合并税前收益的错报率大于5％，就可以认定为财务报告重大缺陷。也可以借鉴我国《注册会计师审计准则第1221号———重要性》对重要性的量化指标，一项财务报告控制缺陷造成公司合并税前利润错报率大于5％的为重大内控缺陷，小于5％但大于1％的为重要内控缺陷，小于1％的为一般内控缺陷。非财务报告内控缺陷除了会间接引起财务报告错报，还涉及到企业层面的经营效率、合规性、持续性等重大问题。本身的属性特点决定了它很难量化，因此应采用定性的方式进行认定。《企业内部控制审计指引》对非财务报告内控重大缺陷进行了定性规定，如存在以下情况可以认定企业存在非财务报告内控缺陷：企业当期财务报表存在重大错报，而内部控制在运行过程中没有发现该错报；注册会计师发现董事、监事和高级管理人员舞弊；企业更正已经公布的财务报表；企业审计委员会和内部审计机构对内部控制的监督无效。除了以上情况，还应该结合具体行业、具体经营情况、业绩要求等制定相对细化具体的认定标准。

五、结束语

内部控制缺陷的识别和认定是内部控制自我评价和审计鉴证过程中非常重要的一环，但从现状来看也是实际操作不理想的一环。主要的原因就是内控缺陷的界定、分类以及认定标准没有统一明确的标准。对于内控控制缺陷的识别和认定这样的新鲜事物，企业和注册会计师都处于一种摸着石头过河的状态。笔者认为，应该从两方面入手，首先利用原则式和规范式相结合的思路从理论层面来明确内控缺陷的界定，区分内控缺陷和内控局限，以及财务报告缺陷和非财务报告缺陷。其次，采用定性和定量的方法从实际操作层面来具体化财务报告内控缺陷和非财务报告内控缺陷。本文的局限性在于对内控缺陷识别和认定难题的解决对策的探索略显单薄，规范化思路和量化操作层面有待进一步完善。