內控缺陷識別框架的初探

摘 要：作為薩班斯法案（SOX）最為重要的條款之一，404條款明確規定了管理層應承擔設立和維持一個應有的內部控制結構的職責。在企業內部控制缺陷信息的識別及評價方面，美國公眾公司會計監管委員會（PCAOB）在其發布的第2號審計準則（AS2）中提出的規則導向與詳細評價為其提供了重要的框架參考。本文參照國資委擬定的《財務內部控制評價》中的缺陷認定步驟以及AICPA(2004)發布的《控制例外和缺陷的評價框架》，總結內控缺陷識別的評價標準，擬完成一套普適性的缺陷識別框架，為完善企業內部控制體系做出貢獻。

關鍵詞：例外事項；內控缺陷；識別框架

中圖分類號：F275 文獻標識碼：A 文章編號：1006-4117（2011）12-0209-02

一、文獻回顧及研究切入點

2002年薩班斯法案（SOX）的出臺，美國上市公司內部控制制度發生了重大變革。我國緊跟SOX的腳步，并在美國COSO委員會發布的《內部控制-整體框架》（COSO-IC）基礎上，于2008年發布《企業內部控制基本規范》，指出內部控制缺陷包括設計缺陷和運行缺陷。涂燕等（2004）在《芻議我國內部控制的缺陷及完善》從內控的演變過程入手，分析了我國內控環境、風險評估、信息與溝通和監督方面存在的缺陷；林朝華等（2006）在《CSA：內部控制系統評價的新觀念和新方法》中介紹了國際流行的內控評審的最新理念：內控的自我評估（CSA）克服了以往內控評審僅僅由審計師執行的缺陷，讓管理者與操作員工參與自己所涉及的內控評估中，CSA成為21世紀組織檢查與評價內控的主流。梳理與內部控制缺陷有關的已有研究成果，我們不難發現，國內已有的文獻主要側重于對于企業內部控制缺陷的理論分析和個案研究（如中航油案例分析、民生銀行實質性內部控制缺陷分析等），并沒有形成普適性的研究結論和上市公司通用的內控缺陷認定框架。因此本文根據2004年AICPA發布了控制例外和缺陷的評價框架，以內控缺陷識別的定性與定量標準為突破口，對內控缺陷的識別做出了具體的框架設計。

二、內控缺陷定義與例外事項

內部控制是被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵守，由治理層、管理層和其他人員設計與執行的政策及程序。內部控制缺陷是內部控制過程中存在的缺點或不足，這種缺點或不足使得內部控制無法為控制目標的實現提供合理保證。內部控制例外是指企業在進行內部控制有效性測試中產生的例外事項，所有的例外事項都必須按照定量與定性而對標準進行評估，判斷是否其構成一個控制缺陷。這樣我們就可以針對管理層或者外部審計師在對上市公司評估過程中發現的例外事項進行識別，根據設定的定性與定量分析標準，將例外事項是否構成內控缺陷的過程設計成一套框架體系。

三、內控缺陷的評價標準

根據《企業內部控制基本規范》中關于內部控制缺陷的認定規范，將內控缺陷分為設計缺陷和運行缺陷。當某項控制的設計或執行不能使管理層或員工在正常行使其職責過程中及時防止或發現控制目標偏離時，表明存在財務內部控制設計和執行缺陷。設計缺陷是指缺少實現內部控制目標必需的某項控制措施，或者現有內部控制的設計不適當，導致即使內部控制按照設計執行，通常也無法實現內部控制目標；執行缺陷是指設計適當的內部控制沒有按設計執行，或者執行內部控制的相關人員缺乏必要的授權或不具備實施有效控制的資格。缺陷認定主要從內控的五大要素開展，然后再匯總進行整體控制缺陷認定；不同要素控制缺陷類型的具體認定標準不同，但方法基本一致，即定量分析或定性判斷；評估標準的選擇來自于實務中的經驗，與實踐緊密結合，提高指標的有用性。

（一）定性判斷。對例外事項進行“質”的評價，要求評估人員運用歸納和分析等方法對例外事項從性質方面進行評價；在評估一個缺陷或缺陷匯總的嚴重性時，應當考慮一個足夠知情的、有勝任能力的、并且客觀的專業人員是否會認為此控制缺陷（或缺陷匯總）可能導致企業嚴重偏離財務控制目標，即構成重大缺陷。如果存在產生控制目標偏離的風險相當高的情況，此項控制缺陷或缺陷匯總應當被視為重大缺陷。某些情況（如重大審計調整、重述以前年度已公布的財務報告）可能并不是由控制缺陷本身導致的。這些情況通常包含了特有的事項和環境，并且受客觀因素的影響。例如：當公司管理層已經建立了合理的方式使用會計準則，而且相關控制的設計合理、執行有效，則可以合理地認為控制并沒有失效。但當發生重大審計調整、重述以前年度已公布的財務報告時，通常不能認為內部控制依然有效，必須基于企業特有的事實和環境進行慎重考慮，并且進行仔細地評估和咨詢。對于定性判斷的標準，舉例如下表：

（二）定量分析。對例外事項進行“量”的評價，要求評估人員從例外事項可能引起的年報以及中報的潛在錯報、漏報入手，從數量方面對其進行界定；對于定量分類標準，選取上市公司關于企業重大風險指標的標準偏差率（經驗數據），通過對比標準偏差率和實際偏差率來對缺陷進行識別。在內部控制有效性測試中，管理層或審計師識別的錯誤暗示著一個控制缺陷的存在，即報表錯報隱藏著缺陷，已知的或者有可能發生的無關緊要的錯報至少是一個一般缺陷，已知的或者有可能發生的大于不重大的錯報是重要缺陷的強烈指標，已知的或者有可能發生的重大錯報至少是一個重要缺陷或是重大缺陷（實質性漏洞）的強烈指標。所以這就為我們進行定量化指標選取提供了依據，即選取占利潤的一定百分比對錯報進行劃分，這樣就可以對缺陷的識別提供了前提。定量判斷視上市公司自身情況而定，如銀行業的資本充足率偏差：

定 量 分 析 標 準

以我國上市銀行為例，選取資本充足率指標偏離程度對內控缺陷進行識別。最新達成的《巴塞爾協議III》規定全球范圍內的銀行在一定期限內的資本充足率維持8%不變，各大銀行在各個時期資本充足率會上下浮動，本表將資本充足率下降的標準偏差設為3%，如果資本充足率下降的實際偏差大于3%，那將意味著銀行抵御風險的能力下降，從而通過這一例外事項間接反映了銀行內部控制的不完善，從而識別缺陷。

四、內控缺陷的識別框架

對例外事項的評估框架：

Box1.對例外事項原因與頻率的徹底了解對評估此例外是否構成控制缺陷是相當重要的。評價是否達到控制目標應考慮一下因素：1、定性因素（參考定性分類標準）；2、有關控制在執行中日常事項的偏差率（參考定量分類標準）；3、這個例外事項是否可導致財務報表錯報。

Box2.若控制目標沒有達到，那么通過額外的測試能否得出這一偏差在整個樣本中不具有代表性，如，如果例外事項得出了一個不容忽視的偏差率，那么說明控制目標起初未實現，在一個允許有一定偏差的測試中，如果實際偏差大于設定的偏差，那么說明控制目標就是沒有實現。

Box3.沒有實現控制目標后有兩種選擇：1、如果例外事項和其導致的偏差不具有代表性，而是一些抽樣誤差造成的，評估人員可追加抽取不少于首次數量的樣本，檢查是存在例外事項，即進行延伸測試和重新評估。2、如果其具有代表性，那么這一例外實行將被認定為控制缺陷。內部控制缺陷的識別在我國處于起步階段，缺陷識別評價標準的確立、完善和業內外人士的共識需要一段時間，不可能簡單概括，一蹴而就，本文具體以銀行業為例，初步探討了內控缺陷的識別框架，將例外事項的評估步驟概括性的展現出來，但是對于包括銀行在內的各大上市公司的適用還需要經過反復的斟酌與研究，鍥而不舍的堅持將有助于縮短這一進程。

作者單位：首都經濟貿易大學會計學院

參考文獻：

[1]高一斌，王宏.對加快推進內部會計控制建設若干問題的思考[J].會計研究.2005，2.