田小秋

【摘要】美国SOX法案颁布以后，内部控制的研究受到了国内外学者的追捧，内部控制实质性漏洞作为内部控制缺陷中影响最大的缺陷，国外学者从其定义、类型、影响因素、评价方法等方面进行了较为全面的研究。而我国相关部门还没有对实质性漏洞进行相关的概念界定，仅有极少数学者对其进行了相关的研究。本文将对内部控制实质性漏洞相关研究进行了综述，希望其对我国学者进行相关研究起到一定的推动作用。

【关键词】实质性漏洞 内部控制 信息披露

一、引言

2001年12月，安然公司突然申请破产保护，此后，公司丑闻不断，规模也"屡创新高"；2002年6月的世界通信会计丑闻事件等，彻底打击了美国投资者对美国资本市场的信心。为了改变这一局面，美国国会和政府加速通过了《萨班斯法案》（以下简称SOX法案）并在SOX 法案中首次提出了“实质性漏洞”的概念。实质性漏洞的提出引起了国内外学者的广泛关注，并对其进行了相关研究。

二、“实质性漏洞”定义

美国公众公司会计监管委员会（PCAOB）在审计准则第2号（AS2 ）中将实质性漏洞（material weakness）定义为“有一定可能导致年度或中期报告中的重大错报未被防止或发现的一个重大缺陷或多个重大缺陷的组合”。审计准则第5号（AS5 ）指出了material weakness（实质性漏洞 ）和 significant deficiency（重要缺陷 ）之间的区别即：如果一项或若干项缺陷能致使年度或中期财务报表存在重大错报不能有效预防或及时察觉的合理可能，该缺陷构成实质性漏洞 （material weakness），而那些严重程度低于实质性漏洞的一项或若干项缺陷，仅仅是重要到值得那些负责监管公司财务报告的人注意，那么该缺陷为重大缺陷（significant deficiency）。相较于传统理论关于内部控制“重大缺陷”的认识，实质性漏洞的概念更加强调内控缺陷对报表的“影响程度”，换句话说，实质性漏洞是更为重要的“重大缺陷”（瞿旭等，2009）。

我国对实质性漏洞的概念还没有进行准则界定，瞿旭等（2009）在实证研究中第一次提出“实质性漏洞”的概念，但也是借鉴美国公众公司会计监管委员会（PCAOB）在审计准则中定义。

三、“实质性漏洞”类型

Ge 和McVay（ 2005） 将内部控制实质性漏洞划分为九大类型： 账户特定式、培训、期末报告与会计政策、收入确认、职责划分与授权、对账、子公司特定式、高级管理层及技术问题。并列举了每类实质性漏洞的缺陷表现形式。

Raghunandan 和Rama（2005）将漏洞问题划分为整体问题和账目具体问题两部分，整体问题包括：控制环境、雇员责任、培训、期末决算等。

Franklin（2007）同样将内部控制问题划分为整体层面和具体层面两部分，整体层面包括：培训、期末报告、会计政策、子公司特定式、高级管理层和技术问题等；具体层面包括：应收应付款项、关联方交易、有价证券、成本预算和确认、收入确认以及成本控制等问题。

四、实质性漏洞披露影响因素

Ashbaugh，Collins & Kinne（2007）以及Doyle，Ge & McVay（2007）研究了影响内部控制重大缺陷和实质性漏洞披露的因素，他们为财务报告相关内部控制报告的研究提供了基础。他们发现，控制风险因素源于两个主要的方面。其一，组织本身的复杂性或组织的快速变化（与此有关的是：分部的数量、海外业务、并购、重组、销售增长和特殊目的机构的数量）。其二，内部控制的相对投入（反映该变量的有：财务困境、损失、公司的存续时间、规模和公司治理情况）Andrew（2007）对上述研究给予肯定的同时提出了部分质疑。首先，财务困境和损失作为内部控制相对投入的代理变量与内部控制实质性漏洞披露可能性之间的逻辑关系不清晰。其次，认为会计师事务所的规模、报告重述以及机构投资者的持股情况和内部控制缺陷披露的可能性之间出现的（单调增的）关联关系是偶然的。

Ettredge，Chan，& Sun（2006）研究了内部控制质量对审计报告延迟的影响。他们发现，内部控制实质性漏洞的存在与审计延迟相关，若公司在人事、职责分工和结算过程中存在缺陷，则往往会经历较长的延迟。

Raniet al.（2008）的研究表明审计费用与公司内部控制存在的问题的类型和严重程度有关。Raghunandan & Rama（2006）的研究结果显示，2004年披露实质性漏洞的公司比没有类似披露的公司审计费用高出约43%。

Ettredge et al.（2007）发现，最初存在内部控制实质性漏洞的公司其CFO的更换率较高，而后任CFO的专业胜任能力优于前任。

五、实质性漏洞的评价方法

在现有的文献中，专门针对实质性漏洞的评价方法、评价体系进行的研究比较少见，大多数的研究都集中在与实质性漏洞相关的整体内部控制的评价研究方面，在目前关于内部控制评价的研究方法中，又主要分为定性和定量研究两种方法。定性研究方法主要有 CSA 法（内部控制自我评估法）、调查表法、流程图法以及经验判断法等。定量研究方法上又以 AHP 法（层次分析法）为主，该方法以定性和定量相结合，由美国运筹学家托马斯？赛迪提出，并被运用于内部控制的综合评价。

国内关于实质性漏洞进行评价的研究非常有限，主要集中在对内部控制的评价研究。瞿旭等（2011）从银行的角度，提出在研究先期可以采用定量与定性相结合的方法，根据银行的内生机制和经营活动可以建立一套合理的涵盖管理、技术和业务运营多维度多层次立体的实质性漏洞评价指标体系。

六、评述

通过上面的综述可以看出，在SOX法案颁布之后，国外对实质性漏洞的研究较多，涉及内部控制信息实质性漏洞的类型、影响因素、评价方法等。而我国对实质性漏洞的研究则少之又少。由于实质性漏洞是内控缺陷的核心部分，其代表着内控体系中最为重大的缺陷，通过对实质性漏洞进行识别和判断，了解企业存在实质性漏洞的频率，可以从一定程度上评价企业内部控制体系的有效性。

我国现对实质性漏洞的界定还没有相应的披露机制，建议通过建立完善的实质性漏洞信息披露机制、进一步明确实质性漏洞信息披露相关主体的职责、加强内部控制实质性漏洞信息披露的监管等措施，提高和改善实质性漏洞信息披露的质量。

参考文献：

[1]W. Ge and S. McVay. 2005. The Disclosure of Material Weakness in Internal Control after the Sarbanes - Oxley Act. Ac-counting Horizons，19： 137 ～ 158.

[2]瞿旭，李明，杨丹，叶建明.上市银行内部控制实质性漏洞披露研究———基于民生银行的案例分析[J].会计研究，2009，4.

[3]瞿旭，杨丹.完善企业内部控制体系———基于实质性漏洞的视角[J].理论探讨，2011，05.