內部控制缺陷認定的困境分析和對策研究

（眾環(huán)海華會計師事務所有限公司 湖北武漢 430077）

一﹑引言

2010年，五部委聯(lián)合發(fā)布了《企業(yè)內部控制應用指引》、《企業(yè)內部控制評價指引》和《企業(yè)內部控制審計指引》等文件，執(zhí)行內控規(guī)范的企業(yè)必須對企業(yè)內部控制有效性進行自我評價，披露年度自我評價報告，同時聘請會計師事務所對財務報告內部控制的有效性進行審計，出具內部控制審計報告。

目前在上市公司內部控制信息強制披露的背景下，內部控制缺陷的識別和認定倍受關注，同時它也是評價內部控制是否有效的關鍵點，是內部控制評價和審計工作中面臨的重大難題（劉玉廷，2010）。之所以內部控制缺陷的識別和認定成為重大難題，是因為上述規(guī)范體系中在對內控缺陷識別和認定做了原則性規(guī)定之后并沒有提供具有操作性的指導。這直接導致企業(yè)管理層和外部審計機構只能憑借個人主觀判斷進行內控缺陷的識別和認定（田娟，2012），這種主觀判斷容易受到人員的專業(yè)勝任能力和自我選擇性的影響。企業(yè)評價內部控制的目的是不斷提高為控制目標實現(xiàn)提供合理保證的程度。因此，對于內控缺陷本質的理解應該是基于目標導向型的，主要從偏離控制目標實現(xiàn)的可能性和程度以及影響后果來識別和認定內控缺陷。目標導向型的識別和認定對什么是內部控制缺陷、種類的劃分、如何區(qū)分內控缺陷和內控局限、如何區(qū)分財務報告與非財務報告內控缺陷等一系列問題更需要明確的規(guī)范以及具有較強的實務操作性。正是這些問題的概念模糊和實務操作性不強導致了我國企業(yè)內控缺陷認定的困難，進而影響到企業(yè)自我評價以及內控信息披露的質量。

二、內部控制缺陷相關文獻綜述

從研究側重點來看，現(xiàn)有的內部控制缺陷文獻主要集中在五個方面：內部控制缺陷披露與公司報告質量的相關性（Doyle，Ge 和 McVay，2007；LaFond，2008；楊有紅和毛新述，2009）；披露內部控制缺陷企業(yè)自身特征研究：企業(yè)審計特征、治理特征等角度（楊有紅和陳陵云，2009；Hollis等，2009；Jeffrey等，2007）；影響內部控制缺陷披露的主要因素（Doyle，Ge 和 McVay，2007；Hollis 等，2007； 林斌和饒靜，2009；田高良等，2010）；內部控制缺陷與會計信息質量的關系（Doyle，2007；Goh&Li，2008）；內控缺陷披露的市場反應（Hammersley 等，2008；Beneish 等，2008；Bryan&Lilien，2005）。通過梳理以上相關文獻，筆者發(fā)現(xiàn)國外學者對內部控制缺陷進行了一定的研究，但均忽略了內部控制缺陷的認定問題。研究者一般首先假設上市公司可以對內控缺陷進行專業(yè)認定和披露，然后就直接研究存在內控缺陷公司的特征以及市場對這些公司的反應。

在少數(shù)內部控制缺陷識別和認定的研究中，內部控制缺陷的分類標準繁多，分類的依據(jù)略顯隨意。部分學者把重大內部控制缺陷按照公司運營的各個子模塊來劃分：賬戶類缺陷、培訓類缺陷、期末報告和會計政策類缺陷、收入確認類缺陷、職務分離類缺陷、賬戶核對類缺陷、子公司類缺陷、高管類缺陷和技術類缺陷（Ge和 Mcvay，2005；齊保壘2010；單華軍2010）；也有學者按照重大缺陷形成原因將其分為：人員歸因缺陷、復雜性歸因缺陷和一般歸因缺陷（JeffreyDoyle，2006）；還有學者按照審計難易程度分為較難審計類和容易審計類內控缺陷，并且認為較難審計類內控缺陷包括控制環(huán)境缺陷、財務報告缺陷、關鍵人員缺陷，較容易審計類內控缺陷包括日常業(yè)務控制缺陷、控制系統(tǒng)缺陷、交易核算缺陷（S.Hammersley，2007）；還有學者按照企業(yè)審計特征和治理特征來劃分內控缺陷：上市公司中報或年報財務報表重述行為及存在審計師變更的（魯清仿，2009）。可見，我國對內控缺陷的研究比較零散，缺乏系統(tǒng)、專門的研究。

因此，筆者將從內部控制缺陷的識別和認定的規(guī)范化視角進行深入研究，提出內部控制缺陷的識別和認定存在的現(xiàn)實問題，并在此基礎上探討解決的方法和路徑。

三、內部控制缺陷認定存在的現(xiàn)實問題分析

（一）內控缺陷和內控局限性的認定模糊

在企業(yè)進行自我評價的過程中，基于企業(yè)的“自我選擇性”，可能很大程度上會利用內控缺陷和內控局限性的理解誤區(qū)來選擇對自己有利的披露方式，將管理層越權、串通或共謀等超越內部控制的故意行為認定為內控局限性，從而得出內控有效性的結論。事實上，內控缺陷和內控局限性兩者既有共同點又存在本質的區(qū)別。內控缺陷和內控局限性的共同點在于由于兩者的存在會導致內控只能為控制目標的實現(xiàn)提供合理保證而非絕對保證。區(qū)別在于，內控缺陷是內控設計上的漏洞或者執(zhí)行過程中未按照設計意圖運行而產生運行結果偏差，它是可以通過人為努力來完善和修正的；而內控局限性則是固有風險，它是在設計和執(zhí)行過程中無法預見的各種風險敞口以及就算按照設計執(zhí)行也無法實現(xiàn)控制目標的可能性。美國COSO委員會認為：“任何內控系統(tǒng)，不管其設計和執(zhí)行多么完善，都只能對實現(xiàn)董事會和管理層的控制目標提供合理、而非絕對的保證。這些控制目標的達成受限于內控系統(tǒng)的固有局限性。”雖然內控缺陷和內控局限性之間存在著本質區(qū)別，但在實際操作過程中并不是很容易區(qū)分。這是導致很多企業(yè)內控無效的重要原因。例如，一直以零庫存管理、直銷模式和實時信息管理而聞名的戴爾是世界最大的PC電腦制造商，在財務丑聞曝光前，不僅制定了嚴格的監(jiān)管制度，而且還花費巨額資金聘請國際著名會計師事務所普華永道為其制定了完善的《風險管理手冊》，在之后的SEC（2010）調查報告和年報信息中，戴爾公司的問題在于錯報供應商大額支付款項、準備金和應計項目會計處理不當。戴爾財務高管主要是通過“餅干罐會計”來進行大量的會計盈余調節(jié)。所謂“餅干罐會計”，是指在經營狀況良好的年度，提取準備金來降低盈余；在營運不佳的年度，則動用這筆基金來提高盈余，給報表閱讀者以公司年年獲利、財務平穩(wěn)的印象。最終這一會計“技巧”為戴爾招致1億美元的罰款，同時高管層支付數(shù)百萬美元不等的罰款。在此次的內部控制審計報告中表明戴爾存在重大缺陷。但是如果不對內控缺陷與內控局限性進行合理區(qū)分，如果SEC的法規(guī)執(zhí)行部沒有對戴爾的會計和財務報告事項提出質疑，再三發(fā)函要求進行徹查的話，極有可能導致企業(yè)在評價內控有效性時避重就輕，進行虛假披露，把內控缺陷認為是內控局限性而蒙混過關。

（二）財務報告內控缺陷與公司內控缺陷的認定不明

站在企業(yè)的角度，根據(jù)我國《企業(yè)內部控制評價指引》的要求，企業(yè)除了要對財務報告內部控制缺陷進行認定外，還要將非財務報告內部控制缺陷納入內部控制評價范圍。在企業(yè)自我評價報告中并未要求企業(yè)將財務報告內控缺陷與非財務報告內控缺陷分開披露。

站在注冊會計師的角度，根據(jù)我國《企業(yè)內部控制評價指引》的要求只需要對財務報告內部控制的有效性發(fā)表審計意見，對非財務報告內部控制的有效性并不直接發(fā)表審計意見，而是規(guī)定對于發(fā)現(xiàn)的非財務報告的重大缺陷，要在內控審計報告中增加“非財務報告內部控制重大缺陷描述段”予以披露。

很明顯，企業(yè)與注冊會計師進行評級和發(fā)表意見的對象并不一致。企業(yè)是對企業(yè)整體層面進行內控自我評價，而注冊會計師則只重點關注財務報告內控缺陷。兩份報告在形式上就有區(qū)別，再加上在沒有統(tǒng)一認定標準的情況下，企業(yè)和注冊會計師對內控缺陷認定就容易形成信息披露不一致。

此外，國內外學者雖然對內控缺陷的認定進行了一定的研究和探討，但對此并沒有得出比較權威和一致的結論，更未涉及如何明確區(qū)分財務報告內控缺陷和非財務報告內控缺陷等問題。同時，對于如何區(qū)分財務報告和非財務報告內控缺陷以及內控缺陷如何認定，相關指引沒有明確規(guī)定，也沒有先例可以參照。這給注冊會計師的實際操作帶來了很大的困難，有可能他們在職業(yè)過程中采取的認定方法和標準是不合理、不科學的，與企業(yè)的認定之間也會產生誤解和分歧。這直接影響內部控制報告的權威性和質量。

（三）內控缺陷程度的區(qū)分

我國《企業(yè)內部控制評價指引》和《企業(yè)內部控制審計指引》將內控缺陷分為重大缺陷、重要缺陷和一般缺陷三類。其中，把重大缺陷定義為“可能導致企業(yè)嚴重偏離控制目標”；把重要缺陷定義為“嚴重程度和經濟后果低于重大缺陷，但仍有可能導致企業(yè)偏離控制目標”；把一般缺陷定義為“除重大缺陷、重要缺陷之外的其他缺陷”。這種描述性的定義并沒有明確規(guī)定“可能”的具體程度，在實際操作過程中給注冊會計師帶來了很多困難。我國《企業(yè)內部控制評價指引》將“可能性”解釋為：“合理可能性是大于微小可能性（幾乎不可能發(fā)生）的可能性，確定是否具備合理可能性涉及評價人員的職業(yè)判斷。”模糊化的可能性給企業(yè)創(chuàng)造了很大的操作空間，再加上企業(yè)的“自我選擇性”，很可能導致企業(yè)把重大缺陷劃分為重要缺陷和一般缺陷，從而得出內控有效性的結論。加之相關指引并沒有強制要求企業(yè)和注冊會計師對重要缺陷和一般缺陷進行披露并發(fā)表意見，導致內控規(guī)范虛置，內控建設流于形式。同時也讓內控自我評價和審計的可信度大打折扣。

四、內控缺陷認定問題對策探討與研究

（一）采用原則式與規(guī)范式相結合的思路

筆者在對現(xiàn)有的相關研究進行梳理，以及對比國內外內控缺陷比例的基礎上認為，原則式內控缺陷認定有其弊端。首先，內控缺陷本身的“負面效應”容易導致企業(yè)有“自我選擇”傾向。如果內控缺陷認定只有原則式指導，沒有規(guī)范式參照，很多企業(yè)可能趨利避害選擇不披露重大缺陷。可見原則式的思路并不完全適合這種負面信息披露的執(zhí)行。其次，內部控制是最近10年才開始在我國提出并逐步實施的，屬于新鮮事物，企業(yè)還不具備依靠原則式框架進行清晰認定的素質。再加上原則式認定在實際操作時也給企業(yè)增加了難度。此外，原則式認定可能出現(xiàn)實際具有相同控制缺陷的企業(yè)出具不同的內控自我評價報告。可見，不管是對內控缺陷的認定，還是對內控缺陷和內控局限的劃分、內控缺陷程度的劃分、財務報告和非財務報告的劃分都應該采用原則式和規(guī)范式相結合的思路，這樣才能更有利于內控建設和審計的進行。例如，企業(yè)在進行自我評價時，應該根據(jù)各個層面各環(huán)節(jié)內控關鍵點進行逐一比照，來判斷是否存在內控缺陷，當然這種比照并不能僅依靠某一個人的判斷，應當由足夠的人員參與以及足夠合理的控制測試作為支撐。例如，對目前一些國內企業(yè)中普遍存在的嚴重影響內部控制有效性的行為，如管理層越權、串通或共謀等行為，在現(xiàn)階段以規(guī)則的方式將其明確認定為內控缺陷而非內控局限性，減少企業(yè)自由選擇的空間。可以借鑒Jeffrey Doyle等人（2006）的研究成果，將以下情形認定為非財務報告內控缺陷：（1）存在盈余管理或盈余質量較低；（2）財務錯報和報表重述；（3）信息披露質量低；（4）公司規(guī)模較小；（5）公司成立時間短；（6）公司財務能力弱或虧損；（7）公司正在經歷重大的組織變化如正經歷重整；（8）公司業(yè)務構成較復雜，如分部較多、海外業(yè)務較多等；（9）公司增長較快；（10）企業(yè)董事、監(jiān)事和高級管理人員舞弊等。

（二）采用定性與定量相結合的方式

財務報告內控缺陷的劃分一般應采用定量的方式。財務報告內控缺陷相比非財務報告內控缺陷更會影響到財務報告的錯報，可以采用“可能性”和“導致后果”的嚴重程度來劃分，對這種嚴重程度應該進行量化，而不是簡單的劃分為一般、重要或重大內控缺陷。對“可能性”量化可以借鑒我國《或有事項會計準則》規(guī)定。其中“很可能”為發(fā)生概率大于50％但小于或等于95％；“可能”為大于5％但小于或等于50％；“極小可能”為大于0但小于或等于5％。對“導致后果”具體的量化方法可以根據(jù)缺陷造成的錯報額占財務報告相關項目金額如資產總額、營業(yè)收入等的百分比來確定。例如日本就規(guī)定：如果一項或多項控制缺陷造成公司合并稅前收益的錯報率大于5％，就可以認定為財務報告重大缺陷。也可以借鑒我國《注冊會計師審計準則第1221號———重要性》對重要性的量化指標，一項財務報告控制缺陷造成公司合并稅前利潤錯報率大于5％的為重大內控缺陷，小于5％但大于1％的為重要內控缺陷，小于1％的為一般內控缺陷。非財務報告內控缺陷除了會間接引起財務報告錯報，還涉及到企業(yè)層面的經營效率、合規(guī)性、持續(xù)性等重大問題。本身的屬性特點決定了它很難量化，因此應采用定性的方式進行認定。《企業(yè)內部控制審計指引》對非財務報告內控重大缺陷進行了定性規(guī)定，如存在以下情況可以認定企業(yè)存在非財務報告內控缺陷：企業(yè)當期財務報表存在重大錯報，而內部控制在運行過程中沒有發(fā)現(xiàn)該錯報；注冊會計師發(fā)現(xiàn)董事、監(jiān)事和高級管理人員舞弊；企業(yè)更正已經公布的財務報表；企業(yè)審計委員會和內部審計機構對內部控制的監(jiān)督無效。除了以上情況，還應該結合具體行業(yè)、具體經營情況、業(yè)績要求等制定相對細化具體的認定標準。

五、結束語

內部控制缺陷的識別和認定是內部控制自我評價和審計鑒證過程中非常重要的一環(huán)，但從現(xiàn)狀來看也是實際操作不理想的一環(huán)。主要的原因就是內控缺陷的界定、分類以及認定標準沒有統(tǒng)一明確的標準。對于內控控制缺陷的識別和認定這樣的新鮮事物，企業(yè)和注冊會計師都處于一種摸著石頭過河的狀態(tài)。筆者認為，應該從兩方面入手，首先利用原則式和規(guī)范式相結合的思路從理論層面來明確內控缺陷的界定，區(qū)分內控缺陷和內控局限，以及財務報告缺陷和非財務報告缺陷。其次，采用定性和定量的方法從實際操作層面來具體化財務報告內控缺陷和非財務報告內控缺陷。本文的局限性在于對內控缺陷識別和認定難題的解決對策的探索略顯單薄，規(guī)范化思路和量化操作層面有待進一步完善。