刍议企业内部控制缺陷认定的现状、困境及基本框架重构

大赛璐安全系统（江苏）有限公司 汪勇兵

一、前言

通常而言，针对内部控制有效性进行评价的关键在于认定内部控制缺陷，由于现行规范对此的具体规定稍显空白，研究应用内部控制尚处于萌芽阶段，导致缺陷认定进程存在较大困难，遭遇重重阻碍，企业内部控制信息披露质量难以实现有效保障。因此，必须采取有效措施完善内部控制缺陷认定，帮助企业构建完善健全的内部控制制度。

二、简述内部控制缺陷的分类

一般来说，内部控制指的是通过企业董事会以及监事会、领导层及所有企业员工完成的实现相关控制目标的具体进程。实施合理有效的内部控制可充分确保企业日常管理经营活动符合法律规定，资金安全得以优化保障，财务报告及其相关信息完整确切真实，企业经营成效可获显著提高，企业实现可持续发展。

（一）根据缺陷成因进行划分

参考内部控制缺陷来源或者是成因能够将缺陷问题划分为运行缺陷或者是设计缺陷，其中，运行缺陷是指未结合设计意图运行设计完好的控制，或者是执行者在未获授权且难以胜任的情况下实施控制行为；设计缺陷则指的是在目标实现进程中欠缺必要的控制，或者是未能正确设计及就算是正常运行控制目标同样难以有效实现。

（二）根据严重程度进行划分

在《企业内部控制评价指引》中针对内部控制缺陷认定作出具体规定，结合所产生影响的程度可将内部控制缺陷划分为重大缺陷以及重要缺陷、一般缺陷。其中，重大缺陷指的是单个或者是多个控制缺陷组合，基于其的直接影响企业会背离设计制定的控制目标；重要缺陷则是指单个或者是多个控制缺陷的组合，相较于重大缺陷而言此类缺陷自身严重程度及所造成的经济后果较低一些，但是其依据会使企业偏离控制目标；一般缺陷为除重大缺陷及重要缺陷之外的缺陷。企业能够结合上述具体要求自行完成这三大缺陷认定标准的确定。在《企业内部控制审计指引》第四章第二十条至第二十二条中规定内部控制缺陷评价，阐述内控可能会形成重大缺陷问题的迹象，其中涵盖有多项内容，第一，注册会计师发现当期财务报表中存在有重大错报问题，在内部控制运行进程当中却没能顺利找出此类错报告；第二，注册会计师发现董事以及监事、高级管理人员存在舞弊情况；第三，企业针对公布的财务报表实施更正；第四，企业审计委员会及内部审计机构无效监督内部控制。

（三）根据具体表现形式进行划分

在《审计指引》中要求注册会计师针对财务报告内部控制有效性进行审计意见发表，在具体审计进程当中关注非财务报告内部控制重大缺陷，披露内部控制审计报告中增加非财务报告内部控制重大缺陷描述段。参考具体表现形式，一般可将内部控制缺陷划分为非财务报告缺陷及财务报告缺陷。

三、企业内部控制缺陷认定现状困境

（一）公司内部控制制度缺陷及财务报告内部控制缺陷的界定问题

针对内部控制概念进行界定的时候，美国萨班斯法案中给出的内部控制只是针对财务报告内部控制，在COSO框架中所认定的为公司内部控制。如何正确区分这两层面的内部控制，内部控制到底是公司层面的内部控制缺陷还是财务报告内部控制缺陷，若二者均是，如何合理界定值得思考。

（二）内部控制缺陷程度认定稍显模糊

在我国《评价指引》中，结合缺陷会使得企业偏离控制目标的严重程度及可能性大小将其划分为重大缺陷及重要缺陷、一般缺陷三种主要类型。《企业内部控制配套指引》以及《企业内部控制基本规范》将自由裁量权赋予给企业判断内部控制缺陷严重程度工作，使得企业在针对内部控制缺陷严重程度进行判断的时候可综合考虑行业自身特征以及可容忍风险度、风险偏好、所处特定环境等相关因素。虽然上述规范引导着企业内部控制缺陷认定，可是十分欠缺可操作性，导致实务作业遭遇重重阻碍，纵观可知，内部控制缺陷隶属于企业负面信息内容，多数企业均会存在有重大缺陷问题，若是将其归纳至重要缺陷或者是一般缺陷，则会导致生成企业内部控制相对较为有效的结论，使得内部控制自我评价丧失有效性，内控构建披露质量水平较低，过多流于形式。

（三）非财务报告内部控制缺陷认定难度较大

在美国萨班斯法案中所涉及的内部控制只是指财务报告内部控制，相较而言，我国内部控制有效性评价对应范围更为广泛，其中既涵盖有财务报告内部控制有效性又涵盖有非财务报告内部控制有效性评价，正是由于这种广泛定义的存在，使得我国企业面临最新挑战，即如何正确认定非财务报告内部控制缺陷，我国政府及相关监管部门高度重视此类问题。就目前的情况来看，由于未能明确界定非财务报告内部控制缺陷认定及披露等具体要求，加之无可参照先例，导致企业实际操作遭受重重阻碍，制度严肃有效性大大降低。

四、重构基本框架

内部控制缺陷认定的基本框架

（一）规范选用规则式制定思路

若是单纯选择使用原则式内部控制缺陷规范思路则会造成各类问题的形成，具体来说，第一，企业自我选择问题，由于内控缺陷隶属于企业负面信息，基于趋利避害的本能使得企业在原则式规范框架下，因为缺乏详细标准，造成部分企业确实重大内部控制缺陷，却始终不想披露，可见在认定负面信息的时候此类规范思路适应性较差；第二，信息难以实现有效一致，基于原则式内部控制缺陷认定框架，不同企业针对相同内部控制缺陷得出的相关结论存在有较大差异，导致内部控制缺陷信息缺乏一致性和可比性；第三，企业操作成本和难度问题，就企业自身运营而言，内部控制仍然属于新鲜事物，认定内部控制缺陷更是如此，所以，采用原则式认定思路会造成企业操作成本及难度的大大增加。相较而言，选用规则式认定规范可实现上述问题的有效解决，综合考虑企业操作性以及企业素质、信息一致性等多方因素，应采用规则式内部控制缺陷认定规范明确缺陷种类及概念、具体认定手段等内容。

（二）明确定义区分会计层面及公司层面内部控制缺陷

在此把会计层面内部控制缺陷定义成“可以直接导致财务错报的内控缺陷，包括从原始凭证、明细账、总分类账到财务报表以及合并财务报表编制和披露所有过程或环节中的内控缺陷”，其中包括账户核对类缺陷以及账户核算类缺陷、原始凭证类缺陷及会计政策遵从类缺陷、期末报告类缺陷五种主要类型，通过审计师实施审计工作，跟会计人员存在有直接联系。将公司层面内部控制缺陷可定义为“发生在会计层面之外的，影响公司经营效率和经济效益以及间接影响财务错报的内控缺陷”，审计公司层面内部控制缺陷的难度相对较大些，其跟公司各层面管理人员是息息相关的，对应的影响范围更为深远广泛。需注意的是，相较于会计层面内部缺陷而言，公司层面内部缺陷广度及高度更大些，但是在公司层面内部控制缺陷中并不包含有会计层面内部控制缺陷，进而企业在实施评价的时候必须进行合理区分，如此一来，能够合理规避企业实务中概念混淆情况的出现，同时充分明确会计人员跟公司管理人员基于内控工作的责任分工。

（三）采用定量或者是定性化标准区分内控缺陷

可选用量化标准认定会计层面内部控制缺陷，参考我国《注册会计师审计准则第1221号——重要性》对重要性的量化指标。很难使用量化标准区分公司层面内部控制缺陷程度，由于其会对财务错报造成影响，同时还会影响公司效率以及效益、运营合规安全性等，在此建议选用定性化标准认定公司内控缺陷，譬如说采用关键控制点认定法可使各类型关键业务得以明确，若业务存在缺陷，即认定为重大内控缺陷，重要的对外投资、购买和出售资产、对外担保、关联交易、募集资金使用和信息披露事务、对控股子公司管控为我国《企业内部控制基本规范》中认定的关键控制点，基于此综合考虑量化难问题，应弱化重要缺陷及一般缺陷，仅划分为重大内部控制缺陷及一般内部控制缺陷，公司实务操作性较强，管理成本大幅降低，工作成效显著提高。

五、结束语

综上可知，在鉴证及评价企业内部控制进程中，认定内部控制缺陷可谓是其中的关键应用环节，重要性不容忽视，因此需基于困境分析深入探索内控缺陷认定，完善企业实务操作，推动企业可持续优化发展。

[1]李昌振.我国企业内部控制缺陷披露存在的问题与对策[J].中国商贸,2013（25）

[2]程小可,郑立东,钟凯.企业内部控制缺陷披露研究综述[J].科学决策,2013（03）

[3]邹泽华.对小企业内部控制缺陷问题的几点浅见[J].江苏科技信息,2013（23）

[4]刘学莹,刘文杰.企业内部控制缺陷对审计费用的影响的文献述评[J].商场现代化,2014（03）