內部控制缺陷識別和認定：概念和邏輯框架

鄭石橋

【摘 要】 內部控制缺陷是超過可容忍的風險暴露，它與內部控制局限性、內部控制例外事項、內部控制偏差這些概念，既有聯系，也有區別。內部控制缺陷識別是尋找和確認內部控制缺陷，首先是尋找內部控制偏差，然后從偏差中識別出需要進行風險暴露評估的內部控制缺陷，在此基礎上區分不同的內部控制目標，通過定量或定性方法評估內部控制缺陷的風險暴露，將風險暴露評估結果與風險承受度相比較，確認內部控制缺陷。內部控制缺陷認定是將確認的內部控制缺陷分為不同的等級，需要將確認的內部控制缺陷分為兩類，一類通過定性標準將其劃分為不同等級，一類通過定量標準將其劃分為不同等級。

【關鍵詞】 內部控制缺陷； 內部控制缺陷識別； 內部控制缺陷認定； 內部控制風險暴露； 風險承受度

【中圖分類號】 F239.44 【文獻標識碼】 A 【文章編號】 1004-5937（2017）18-0119-06

一、引言

內部控制鑒證對優化內部控制、提升組織的管理水平和資本市場效率具有重要的作用。內部控制鑒證內容是內部控制缺陷，在鑒證內部控制缺陷的基礎上，通過內部控制缺陷性與有效性的互補關系，確定內部控制有效性。從某種意義上來說，內部控制鑒證就是尋找內部控制缺陷并對內部控制缺陷進行等級劃分的過程。一般來說，尋找內部控制缺陷稱為內部控制缺陷識別，而對內部控制缺陷進行等級劃分則稱為內部控制缺陷認定。目前，從內部控制鑒證實務來看，內部控制缺陷識別和認定已經成為內部控制評價或審計的重大挑戰之一[ 1 ]。

圍繞內部控制缺陷識別和認定，有大量的工作性研究文獻，也有一定數量的學術性研究文獻，還有一些權威規范的規定。然而，目前仍然存在三個主要問題，一是相關概念混亂，二是邏輯框架缺乏，三是相關標準缺乏。本文認為概念是基礎，概念不清楚則無法構建邏輯框架，而邏輯框架不清楚則無法進行制度構建和實施鑒證行動。基于此，本文致力于厘清內部控制缺陷識別和認定的相關概念及構建邏輯框架。由于篇幅所限，本文不涉及相關標準。

隨后的內容安排如下：首先是簡要的文獻綜述，梳理內部控制缺陷識別和認定的相關文獻；在此基礎上，厘清內部控制缺陷識別和認定的相關概念；然后提出內部控制識別和認定的邏輯框架；最后是結論和啟示。

二、文獻綜述

內部控制缺陷有許多研究文獻，本文主要關注兩類文獻，一是內部控制缺陷相關概念，二是內部控制缺陷識別和認定的邏輯步驟。

關于內部控制缺陷相關概念，國外的一些權威規范涉及內部控制缺陷、內部控制重大缺陷、內部控制重要缺陷、內部控制一般缺陷、內部控制局限性[ 2-6 ]。國內的相關權威規范也涉及上述概念。就學術研究文獻來說，根據白華、高立[ 7 ]及曹丹、董佳宇[ 8 ]的文獻綜述，國外文獻很少研究內部控制缺陷相關概念。國內的不少文獻研究內部控制缺陷的概念，一般認為，內部控制缺陷是內部控制過程存在的缺點或不足，這種缺點或不足直接導致了內部控制無法為控制目標的實現提供合理保證[ 9-12 ]。一些文獻還研究了內部控制缺陷與內部控制局限性的關系，認為二者的共性是都會導致內部控制目標受阻，但是，二者存在本質區別，不能將內部控制局限性確認為內部控制缺陷[ 9，11 ]。還有一些文獻分析了內部控制缺陷性和有效性的關系，認為二者是互補關系，從100%減去內部控制缺陷性就是有效性[ 9，13 ]。

關于內部控制缺陷識別和認定的邏輯步驟，美國PCAOB-AS5及日本《關于財務報告內部控制評價與審計準則以及財務報告控制評價與審計實施準則的制定（意見書）》都選擇“從上到下，風險導向”這種風險基礎法作為主流方法。也有一些學術文獻研究不同模式的效率[ 14-15 ]。國內文獻也有一些研究內部控制缺陷識別和認定的邏輯步驟，南京大學會計與財務研究院課題組[ 16 ]提出了基于內部控制要素的內部控制評價基本框架及模式。王惠芳[ 17 ]認為，內控缺陷規范標準應采用規則式與原則式相結合的制定思路。李宇立[ 18 ]認為，缺陷的識別與認定是一個過程，包含三個步驟：首先，確定風險偏好和風險容忍度；其次，將單位層面的風險容忍度“自上而下”地在各層級分配；最后，將敞口風險與對應的風險容忍度進行對比。廖高玲[ 19 ]提出了原則式與規則式互補的框架。李丹平[ 20 ]提出基于目標導向的內部控制缺陷認定，將內部控制缺陷分為已經造成了內部控制目標偏離的內部控制缺陷和潛在的尚未造成內部控制目標偏離的內部控制缺陷，通過結果評價和過程評價，認定內部控制缺陷。

上述權威規范和研究文獻，對于我們認知內部控制缺陷識別和認定有較大的啟發，然而，關于內部控制缺陷識別和認定，仍然存在三個問題：一是相關概念混亂，二是邏輯框架缺乏，三是相關標準缺乏。本文將致力于厘清前兩個問題。

三、內部控制缺陷識別和認定的相關概念之厘清

（一）內部控制缺陷識別和內部控制缺陷認定

內部控制缺陷識別和內部控制缺陷認定的概念沒有明確界定。從邏輯上來說，內部控制鑒證包括兩個步驟，一是尋找內部控制缺陷，二是對已經找到的內部控制缺陷劃分等級。本文將前者稱為內部控制缺陷識別，后者稱為內部控制缺陷認定。上述兩個步驟存在重大差異。然而，很多文獻將上述兩個步驟混為一談。

財政部等頒布的《企業內部控制基本規范》第四十五條規定，“企業應當制定內部控制缺陷認定標準，對監督過程中發現的內部控制缺陷，應當分析缺陷的性質和產生的原因，提出整改方案，采取適當的形式及時向董事會、監事會或者經理層報告”。中國內部審計協會《第2201號內部審計具體準則——內部控制審計》第二十二條規定，“內部審計人員應當根據獲取的證據，對內部控制缺陷進行初步認定，并按照其性質和影響程度分為重大缺陷、重要缺陷和一般缺陷”。這里的內部控制缺陷認定，無法區分是指對尋找到的內部控制缺陷之確認，還是對內部控制缺陷劃分等級。筆者推測，應該是兩方面的含義都有。endprint

財政部等頒布的《企業內部控制評價指引》第十七條規定，“內部控制評價工作組應當根據現場測試獲取的證據，對內部控制缺陷進行初步認定，并按其影響程度分為重大缺陷、重要缺陷和一般缺陷”。很顯然，這里的內部控制缺陷認定是指對內部控制缺陷劃分等級，并未包括對尋找到的內部控制缺陷之確認?？v觀《企業內部控制評價指引》，找不到關于對尋找到的內部控制缺陷之確認的相關規定。筆者推測，應該是將內部控制缺陷識別作為內部控制缺陷認定處理了。

財政部等頒布的《企業內部控制審計指引》第二十條規定，“注冊會計師應當評價其識別的各項內部控制缺陷的嚴重程度，以確定這些缺陷單獨或組合起來，是否構成重大缺陷”。中國注冊會計師協會頒布的《企業內部控制審計指引實施意見》規定，“注冊會計師要對內部控制缺陷進行評價，以劃分為不同等級”。很顯然，這里的缺陷評價，就是對內部控制缺陷劃分等級。

通過對上述權威規范的描述，不難發現，現有的權威規范并未區分內部控制缺陷識別和內部控制缺陷認定，只是籠統地作為內部控制缺陷認定，而內部控制缺陷認定也沒有統一的名稱，有的規范中稱為內部控制缺陷評價。

確認一種狀態是不是內部控制缺陷，對已經確認的內部控制缺陷進行等級劃分，這是兩項有重要區別的審計工作，其依賴的審計標準不同，使用的審計程序也不同，完全不能將二者混為一談。為此，本文將尋找內部控制缺陷這一過程稱為內部控制缺陷識別，對已經識別的內部控制缺陷劃分等級這一過程稱為內部控制缺陷認定。它們依賴的標準不同，采用的技術方法不同，但是，共同組成內部控制鑒證的核心內容。

（二）內部控制缺陷及其與相關概念的關系

內部控制缺陷及其與相關概念之間的關系并未明確界定。與內部控制缺陷相近的概念有三個，一是內部控制偏差，二是內部控制局限性，三是內部控制例外事項。只有將它們四者聯系起來分析，才能厘清內部控制缺陷的實質。

關于內部控制缺陷，COSO-IC和COSO-RM的定義是，已經察覺的、潛在或實際的缺點，抑或通過強化措施能夠帶來目標實現更大可能性的機會。PCAOB-AS5從財務報告內部控制缺陷角度指出，當控制的設計或運行不能使管理層或員工在履行其日常職責的過程中防止或及時發現錯誤，那么，財務報告內部控制就存在缺陷。同時，COSO-IC和COSO-RM都使用了內部控制局限性這個概念，還列舉了局限性的典型表現：決策過程中可能出現錯誤判斷；執行過程中可能出現錯誤或過失；因勾結串通或管理層越權而失效；制約與控制帶來的收益與執行控制成本之間的權衡。

我國《企業內部控制基本規范》《企業內部控制評價指引》《第2201號內部審計具體準則——內部控制審計》《企業內部控制審計指引》均使用了內部控制缺陷這個概念，但是沒有界定這個概念?！镀髽I內部控制基本規范》《企業內部控制評價指引》《第2201號內部審計具體準則——內部控制審計》沒有使用內部控制局限性這個概念?！镀髽I內部控制審計指引》要求內部控制審計報告中說明內部控制局限性，但是并沒有明確界定這個概念。可見，在我國的相關權威規范中，并未嚴格區分內部控制缺陷和內部控制局限性。

一些學術文獻涉及內部控制缺陷和內部控制局限性的區別，主要體現在：內部控制缺陷是內部控制設計者在設計過程中未意識到的缺點，以及內部控制執行過程中不按設計意圖運行而產生運行結果偏差的可能；內部控制局限性則是設計者在設計過程中事先預留的風險敞口，以及運行過程中按照設計意圖運行也無法實現控制目標的可能[ 9，11 ]。

至于內部控制偏差、內部控制例外事項，幾乎所有的相關權威規范都沒有涉及，只是在一些會計師事務所的操作指南和上市公司的內部控制評價指引中有一些規定①。

本文認為，內部控制偏差、內部控制缺陷、內部控制局限性、內部控制例外事項存在重大差異。正確區分它們，是內部控制缺陷識別的前提。它們之間的關系如圖1所示。

內部控制偏差是對內部控制應然狀況的偏差，這種偏差又分為兩種情形：一是由于偶然性因素的作用而產生的，稱為偶然性偏差；二是由于系統性因素的作用而產生的，稱為系統性偏差。這兩種偏差的重要區別是：偶然性偏差完全是由偶然因素造成的，并不是內部控制系統本身的原因而產生的，一般來說，不會重復發生。例如，某人因為家庭糾紛而心情不好導致內部控制失誤，因為極端天氣導致某機器不能有效運行，這些只是在極為偶然的情形下發生的內部控制偏差，并不能表明內部控制系統以后還會產生同樣的偏差。系統性偏差是由內部控制系統本身的原因而產生的，并且，只要條件具備，還可能重復發生。例如，某崗位存在不相容職能，致使該崗位員工貪污，只要該崗位職能不變，則該崗位還可能發生貪污行為，所以，系統性偏差表明內部控制系統本身存在瑕疵，這種系統性偏差稱為內部控制瑕疵，只要這種瑕疵沒有得到修復，以后還可能繼續發生內部控制偏差。

系統性偏差表明內部控制存在瑕疵，但是，內部控制瑕疵又分為兩種類型，一是內部控制缺陷，二是內部控制局限性。這二者的共性是它們都會導致內部控制目標偏離，所以從結果視角來看二者無區別。但是，內部控制局限性是源于成本效益原則的考慮，在某些情形下，明知有風險暴露，但是如果對該風險進行控制則不符合成本效益原則，所以有意識地放任這些風險。而內部控制缺陷則不同，它并不是有意識的風險暴露，從制度設計來說，對這些風險進行控制是符合成本效益原則的，之所以形成風險暴露，要么是未能識別這些風險，要么是設計的應對措施不足以應對這些風險，要么是設計的應對措施沒有得到有效執行，總之是對本該應對的風險未能有效地應對。從這個意義上，有些文獻認為，正是由于內部控制局限性的存在，所以內部控制目標不能絕對保證，正是內部控制缺陷的存在使得內部控制擬提供的保證程度未能達成[ 9，11 ]。

至此，內部控制偏差可以分為三種類型，一是內部控制缺陷，二是內部控制局限性，三是偶然因素造成的內部控制偏差，前兩者組成內部控制瑕疵。很顯然，內部控制局限性造成的偏差和偶然因素造成的內部控制偏差無法通過內部控制鑒證來提升優化其水平并進而達到抑制其偏差的目的，都界定為內部控制例外事項，內部控制鑒證只能針對內部控制缺陷。正確地厘清它們之間的關系，是有效識別內部控制缺陷的前提。endprint

四、內部控制缺陷識別和認定的邏輯框架

（一）內部控制缺陷識別和認定的總體邏輯框架

內部控制鑒證的內容是內部控制缺陷性。從邏輯上來說，內部控制鑒證包括三個步驟：一是尋找內部控制缺陷，一般稱為內部控制缺陷識別；二是對已經識別的內部控制缺陷進行等級分類，一般稱為內部控制缺陷認定；三是在此基礎上，根據內部控制缺陷性和有效性的互補關系，確定內部控制有效性。一般來說，只有內部控制存在重大缺陷時，才能確定其整體無效。當然，內部控制缺陷識別和認定本身還有許多步驟。大致來說，內部控制缺陷識別和認定的總體邏輯過程如圖2所示。

（二）內部控制缺陷識別的邏輯框架

內部控制缺陷識別就是尋找并確認內部控制缺陷。根據圖2所示，內部控制缺陷識別首先是通過審計程序來尋找內部控制偏差。一般來說，尋找內部控制偏差有兩種模式：一是風險基礎法（risk-based audit approach），也稱為原則導向法，其特點是從“風險”到“控制”；二是控制基礎法（control-based audit approach），也稱為規則導向法，還稱為詳細評價法，其特點是“控制”到“風險”[ 14-15，21 ]。美國的PCAOB-AS5、日本《關于財務報告內部控制評價與審計準則以及財務報告控制評價與審計實施準則的制定（意見書）》及我國的內部控制審計準則都選擇“從上到下，風險導向”這種風險基礎法作為主流方法。

對于識別的內部控制偏差，要將其區分為內部控制缺陷和內部控制例外事項。對于確認的內部控制缺陷，要評估其風險暴露。風險暴露是指風險與應對措施之差異，它源于控制措施不足以應對其擬應對的風險。風險暴露有三個原因：一是未能有效識別風險，致使有的風險沒有設計應對措施；二是設計的控制措施不足以應對其擬應對的風險；三是設計的內部控制措施未能得到有效執行，所以不能有效應對其擬應對的風險。內部控制基本要素的任何一方面存在缺陷，都可能導致上述三個原因的產生。例如，風險評估要素存在缺陷，致使一些重要的風險未能識別；控制活動或控制環境或信息與溝通設計不當或執行不力，致使風險未能得到有效應對；內部監視失敗，致使內部控制系統未能有效運行，從而風險未能得到有效應對。

對確認的內部控制缺陷進行風險暴露評估，要區分不同的內部控制目標分別進行。因為內部控制目標有多種，任何一個組織對于不同的控制目標會有不同的風險承受度（如圖3所示），同時，任何一個內部控制缺陷對于不同的內部控制目標會有不同的影響，如果不區分內部控制目標，則無法確定風險暴露。

內部控制缺陷風險暴露評估要區分現實缺陷和潛在缺陷分別評估?，F實缺陷是指已經對內部控制目標形成影響的缺陷，潛在缺陷指還未對內部控制目標形成影響的缺陷?，F實缺陷按從樣本推斷總體的方法，根據對樣本的影響來推斷這種缺陷對總體的可能影響。潛在缺陷要估計兩個方面：一是影響發生的可能性；二是一旦發生，其影響程度。這兩方面結合起來，就是潛在影響的期望值。很顯然，兩者都具有主觀判斷，但是，潛在缺陷的主觀判斷成分更大[ 12 ]。風險暴露評估要兼顧內部控制過程和結果，有定性和定量的許多技術方法，限于篇幅，這里不展開討論。

以每個內部控制目標為基礎進行風險暴露評估之后，要將評估的風險暴露與該目標的風險承受度相比較，確定超過可容忍的風險暴露。一般來說，它們三者之間有如下關系：

超過可容忍的風險暴露（ORi）=風險暴露評估值（ERi）-風險承受度（ARi）

這里的i表示第i項內部控制目標。如果ORi小于零，則不必確認為內部控制缺陷；只有當ORi大于零時，才確認為內部控制缺陷[ 12，18 ]。

另外，KPMG[ 22 ]的調查發現，只有極少數公司對風險偏好進行了定義和溝通，僅25%的公司對風險偏好有正式的闡述，絕大多數公司并沒有定義和溝通風險偏好。風險偏好與風險承受度是異曲同工的，沒有風險偏好的確定，當然也無從談風險承受度的確定。所以，對于大多數企業來說，ORi的確定具有挑戰性。

（三）內部控制缺陷認定的邏輯框架

對于已經確認的內部控制缺陷，要對其劃分等級，這就是內部控制缺陷認定。美國PCAOB-AS5、日本《關于財務報告內部控制評價與審計準則以及財務報告控制評價與審計實施準則的制定（意見書）》及我國《內部控制評價指引》《內部控制審計指引》都將內部控制缺陷嚴重程度劃分為三個等級：重大缺陷，重要缺陷，一般缺陷。由于內部控制缺陷要分控制目標來識別，所以其認定自然也要按不同的內部控制目標來進行。以我國《企業內部控制基本規范》所確定的內部控制目標為基礎，內部控制缺陷認定的基本情形如表1所示。

問題的關健是，如何將內部控制缺陷認定為不同等級呢？國內外的相關權威規范都要求審計師自行確定內部控制缺陷認定標準。內部控制缺陷認定的核心是風險暴露評估，而風險暴露評估又有定性評估和定量評估兩種情形。定性評估主要適用于對內部控制目標有影響但是又難以通過量化的方式來確定其影響程度，或者雖然能主觀判斷其影響但是這種判斷的主觀成分太大，以至于不具有合理的可靠性。對于這些內部控制缺陷，要通過不斷的經驗積累，采用例舉的方式來確定其缺陷等級。例如，財政部頒布的《企業內部控制審計指引》第二十二條規定，下列跡象表明內部控制可能存在重大缺陷：注冊會計師發現董事、監事和高級管理人員舞弊；企業更正已經公布的財務報表；注冊會計師發現當期財務報表存在重大錯報，而內部控制在運行過程中未能發現該錯報；企業審計委員會和內部審計機構對內部控制的監督無效。定量評估主要適用于能量化風險暴露的內部控制缺陷，認定的基本思想是根據超過可容忍的風險暴露（ORi）程度，一般將這種超過程度劃分為三個等級，按超過程度分別確定為重大缺陷、重要缺陷、一般缺陷。當然，無論是定性認定還是定量認定，都需要確定缺陷認定標準。定性標準和定量標準制定也涉及許多問題，由于篇幅所限，這里不展開討論。endprint

雖然內部控制缺陷風險暴露有定性評估和定量評估，但是它們的使用具有邏輯順序。首先判斷是否屬于定性評估范圍，如果是，則按定性標準進行認定；如果不適用定性評估，則按定量標準進行認定。事實也是如此，研究發現在美上市公司的許多重大缺陷是根據內部控制審計準則指出的表明公司內部控制可能存在重大缺陷的重要跡象來認定的，其他的則通過重大缺陷的定義來認定[ 23 ]。

五、結論和啟示

內部控制鑒證的核心內容是內部控制缺陷識別和認定，圍繞內部控制缺陷識別和認定，有一些相關的權威規范和大量的研究性文獻。然而，目前仍然存在三個主要問題，一是相關概念混亂，二是邏輯框架缺乏，三是相關標準缺乏。本文主要關注前兩個問題。

從本質上來說，內部控制缺陷是超過可容忍的風險暴露，是由過程缺陷而導致的結果偏差。它與內部控制局限性、內部控制例外事項、內部控制偏差這些概念，既有聯系，也有區別。內部控制缺陷識別是尋找和確認內部控制缺陷，首先是通過風險基礎法或控制基礎法尋找內部控制偏差，然后從偏差剔除例外事項，識別出需要進行風險暴露評估的內部控制缺陷，在此基礎上，區分不同的內部控制目標，通過定量或定性方法評估內部控制缺陷的風險暴露，將特定內部控制目標的風險暴露評估結果與事先確定的相應控制目標的風險承受度相比較，確認內部控制缺陷。內部控制缺陷認定是將確認的內部控制缺陷分為不同等級，需要將確認的內部控制缺陷分為兩類，一類通過定性標準將其劃分為不同等級，一類通過定量標準將其劃分為不同等級。

本文的結論啟示我們，內部控制缺陷識別和認定是一個復雜的系統工程，這一過程中需要很多的職業判斷，也面臨很多的選擇，主觀成分較多。為此，一方面需要從業人員具有較高的職業素養，需要對被審計單位的內部控制有深刻的理解，更需要對內部控制鑒證相關權威規范的要義有深刻的把握；另一方面，相關職業組織要盡可能頒布一些職業指引，將成功的經驗分享給大家；同時還要加強監管，防止濫用職業判斷，將內部控制鑒證形式化。

【參考文獻】

[1] 劉玉廷.全面提升企業經營管理水平的重要舉措——《企業內部控制配套指引》解讀[J].會計研究，2010（5）：3-16.

[2] COSO（Committee of Sponsoring Organizations of the Treadway Commission）.Internal control-integrated framework[Z].1994.

[3] COSO（Committee of Sponsoring Organizations of the Treadway Commission）.Internal control-integrated framework[Z].2013.

[4] COSO（Committee of Sponsoring Organizations of the Treadway Commission）.Enterprise risk management -integrated framework[Z].2004.

[5] PCAOB.第5號審計準則——與財務報告審計相結合的財務報告內部審計[R].2007.

[6] 日本企業會計審議會.關于財務報告內部控制評價與審計準則以及財務報告內部控制評價與審計實施準則的制定（意見書）[R].2007.

[7] 白華，高立.內部控制缺陷實證研究的最新進展：一個文獻綜述[J].財會通訊，2011（5）：111-114.

[8] 曹丹，董佳宇.內部控制缺陷研究：基于國外實施研究動態文獻綜述[J].時代金融，2014（10）：194-197.

[9] 楊有紅，李宇立.內部控制缺陷的識別、認定與報告[J].會計研究，2011（3）：76-80.

[10] 劉建偉，鄭瞳.內部控制缺陷概念、分類與認定[J].財會月刊，2012（12）：74-75.

[11] 田娟，余玉苗.內部控制缺陷識別與認定中存在的問題與對策[J].管理世界，2012（6）：180-181.

[12] 李宇立.內部控制缺陷研究：理論分析和經驗證據[M].中國財政經濟出版社，2013.

[13] 陳漢文，張宜霞.企業內部控制的有效性及其評價方法[J].審計研究，2008（3）：48-54.

[14] MORRILL J B，MORRILL C K，KOPP L S.Internal control assessment and interference effects[J].Behavioral Research in Accounting，2012，24（1）：73-90.

[15] ZHENG B Z，PATEL C，EVANS E.An experimental examimation of juegments of chinese professional auditors in evaluation internal control systems[J].Corporate Ownership & Control，2015，12（4）：791-806.

[16] 南京大學會計與財務研究院課題組.論中國企業內部控制評價制度的現實模式：基于112個企業案例的研究[J].會計研究，2010（6）：51-62.

[17] 王惠芳.內部控制缺陷認定：現狀、困境及基本框架重構[J].會計研究，2011（8）：61-67.

[18] 李宇立.內部控制缺陷識別與認定的技術路線：基于管理層視角的分析[J].中南財經政法大學學報，2012（3）：113-119.

[19] 廖高玲.企業內部控制缺陷認定框架設計[J].會計師，2013（7）：60-61.

[20] 李丹平.目標導向的內部控制缺陷認定研究[D].暨南大學碩士學位論文，2013.

[21] 姚剛.內部控制審計論[M].中國財政經濟出版社，2013.

[22] KPMG.Understanding and articulating risk appetite[R].2009.

[23] 陳武朝.在美上市公司內部控制重大缺陷認定、披露及對我國企業的借鑒[J].審計研究，2012（1）：103-109.endprint