福州大學經濟與管理學院　　林　　兢　　蘇金香

?

內部控制缺陷的判定*
——基于COSO新內部控制框架研究

福州大學經濟與管理學院林兢蘇金香

摘要：內部控制缺陷認定標準是進行內部控制評價和鑒證的基礎，但理論界對內部控制缺陷認定標準仍存在很大分歧，現有指南可操作性比較欠缺，本文利用COSO新內部控制框架從公司層面和賬戶層面建立了一套內部控制缺陷認定標準，為進一步推進內部控制理論和實務研究提供借鑒。

關鍵詞：內部控制缺陷認定COSO新內部控制框架

一、引言

后安然時代，世界各國都加強了內部控制的建設，對增強投資者信心，促進資本市場、金融市場健康發(fā)展發(fā)揮重要重要。盡管如此，內部控制評價問題一直是困擾理論界和實務界的難題。內部控制評價是持續(xù)改進企業(yè)內部控制的重要手段（楊有紅、李宇立，2011）。而判定內部控制是否有效的關鍵是判定內部控制是否存在缺陷（楊有紅、李宇立，2011）以及缺陷的重要程度的判定。已有的有關內部控制缺陷的研究主要集中于以下五個方面：影響內部控制缺陷披露的主要因素（Ge，McVay，Doyle，2005和Bryan and Lilian等，Jeffrey等，2007；楊有紅和陳陵云，2009；林斌和饒靜，2009；田高良等，2010）；內部控制缺陷披露與公司財務報告質量的關系（Doyle，Ge和McVay，2007；Ashbaugh-Skaife等，2008；楊有紅和毛新述，2009；齊保壘等，2010）；內部控制缺陷與公司籌資成本和股東財富分配的關系（Mei、Chan等，2005；Ashbaugh-Skaife，2009；Costello等，2010；Park Jeong等，2011；Lawrence A.Gordon和Amanda L.Wilford，2012）；內部控制缺陷披露和審計費用關系（Krishnan，2005；Raghunandan和Rama，2006；Fralin，2007；Vishal和Meghna Singhvi，2011）。關于內部控制缺陷認定的研究，思路主要是從已披露的內部控制信息中發(fā)現內部控制缺陷的蛛絲馬跡，再根據一定的內部控制缺陷分類和識別方法提出認定框架體系，如周勤業(yè)和王嘯（2005）、楊有紅和李宇立（2011）、王惠芳（2011）、陳武朝（2012）。但現有研究中對于認定標準還存在很大爭議，可操作性也不強，因此有必要對該問題做更深入研究。2013年美國COSO委員會根據環(huán)境的變化，對1992年的內部控制框架進行修訂，發(fā)布了修訂后的《內部控制—整合框架》（以下簡稱新框架），將內部控制五要素細化成17項原則81個關注點，使得內部控制更具可操作性，這也為內部控制缺陷認定標準研究提供依據。本文以COSO的新框架為依據，探討內部控制缺陷的識別和判定，構建內部控制缺陷認定標準體系，為外部審計師、內部審計師判定是否存在內部控制缺陷，及缺陷的重要程度提供可操作的依據。

二、內部控制缺陷認定比較

（一）內部控制定義比較

1992年COSO發(fā)布的內部控制報告給出內部控制定義：“內部控制是由企業(yè)董事會、管理層和其他員工實施的，為達成經營目標、財務報告目標以及法律法規(guī)遵循目標而提供合理保證的過程”。這個定義后來被大多數國家接受并廣泛使用，具有廣泛影響力；1994年COSO報告中雖然沒有單列資產保護目標，但這個目標已經包含在了上述幾類目標中；2004年COSO委員會發(fā)布《企業(yè)管理風險管理—整合框架》，正式將風險管理引入內部控制框架中；美國SEC于2003年提出財務報告內部控制，其定義的內部控制基本功能是合理保證財務報告的可靠性和保護資產安全。2013年5月COSO發(fā)布的內部控制最新框架中將內部控制五要素細化成17項原則，與1992年COSO界定的內部控制五要素相比發(fā)生了重大改變，但內部控制定義并沒有改變。追索美國內部控制理論發(fā)展史可以看出，內部控制定義是一個不斷完善的過程，隨著公司內部控制的不斷實踐，美國各個機構主要根據1992年COSO內部控制框架給出的內部控制定義進行增補，期間完善了內部控制目標體系，并且將風險管理、企業(yè)管理控制納入內部控制框架中。英國于2005年發(fā)布了新的Turnbull指南，建立了具有原則性導向、風險導向、框架指引性的內部控制指南。最后將內部控制定義為：“內部控制是一個系統(tǒng)，主要是為了防止風險發(fā)生或將風險控制在可接受的低水平”。分析發(fā)現，與美國COSO框架定義的內部控制目標不同，Turnbull指南的內部控制目標還包括保障股東權益與保護公司資產安全。但有人也對此提出了一些質疑，認為Turnbull指南提出原則導向的內部控制模式，在執(zhí)行方面可能存在困難，可操作性不足。我國《企業(yè)內部控制基本規(guī)范》認為內部控制是由所有員工、管理層和治理層實施的以實現內部控制目標的一個過程。我國定義的內部控制包含五大目標，包括企業(yè)經營管理合法合規(guī)、保障資產安全、財務報告信息真實完整，經營效率和效果和實現發(fā)展戰(zhàn)略。根據上述各國內部控制定義的論述中發(fā)現，各國內部控制定義、責任主體、目標、構成要素、控制范圍等各方面均存在差異。各國內部控制責任主體均是管理層和董事會，只是在具體的責任上存在細微差別；Turnbull指南定義的內部控制目標比美國COSO框架多了保障股東投資和資產保護兩個目標，中國內部控制在此基礎上增加了公司戰(zhàn)略這個目標。美國主要是通過立法和監(jiān)管政策對內部控制強制性監(jiān)管，對內部控制提出了具體要求，而英國則使用原則導向給予公司足夠的空間，英國公司在自律的前提下進行法律的半強制性監(jiān)管，而在中國運用規(guī)則導向更符合我國的國情。

（二）各國內部控制缺陷認定標準比較

（1）美國。美國發(fā)布的一系列準則對于內部控制缺陷分類的總體標準基本保持一致，但在細化分類時有不同的標準。2004年4月PCAOB委員會正式發(fā)布第2號審計準則，按照內部控制缺陷導致財務報表錯報發(fā)生的“可能性”，將內部控制缺陷分為控制缺陷、重要缺陷以及重大缺陷。2007年5月，PCAOB委員會第5號審計準則對內部控制缺陷做了小小變動，重大缺陷指的是“存在合理的可能性導致無法及時被阻止或發(fā)現的重大錯報的產生”。用“合理的可能”替代了2號準則定義中的“極小可能”，重要缺陷排除了在“極小可能”和“可能”之間的缺陷。第5號審計準對于內部控制重大缺陷的修訂有一定意義，重新明確了實質性缺陷的概念，使得查出的實質性缺陷是那些確實重要的缺陷，更好的引導注冊會計師發(fā)現內部控制缺陷。2013年COSO新框架中內部控制根據缺陷的嚴重程度分成內部控制缺陷（internal control deficiency） 和重大缺陷（major deficiency）。新內部控制框架還指出，監(jiān)管者、準則制定者在評估內部控制缺陷時，可以根據內部控制缺陷界定的嚴重程度。PCAOB委員會在第2號審計準則（AS2）中將重大內部控制缺陷定義成：“一個或一系列的控制缺陷，影響企業(yè)按照會計準則準確可靠地向外部報告財務信息，從而很可能不能及時發(fā)現并阻止財務報告中錯報”。PCAOB委員會發(fā)布的第5號審計準則，指出內部控制存在重大缺陷的四個跡象：發(fā)現高層管理層欺詐，針對財務報表重大錯報修正而進行的財務報表重述、審計師發(fā)現財務報表重大錯報以及外部財務報告和財務報告內部控制監(jiān)督失效。2013年發(fā)布的COSO新框架在內部控制有效性認定方面，更加注重五大要素聯合所發(fā)揮的整體作用，將內部控制五要素細化成17項原則，并列出了應特別關注的81個關注點（focus）。17項原則成為判斷內部控制是否有效的主要標準，81個關注點具體到公司內部控制建設的方方面面，成為上市公司內部控制建設應特別關注的點。根據這17項原則81個關注點進行內部控制缺陷認定更具有針對性和可行性。

（2）英國。英國在構建內部控制體系時主要是原則性導向，所以對于內部控制控制缺陷分類及識別認定都沒有具體的規(guī)定，但對管理層和董事會在識別內部控制缺陷后的責任有一定的界定。和美國強制性監(jiān)管相比，英國降低了強制披露內部控制有效性評價的要求，但管理層、董事會如果發(fā)現了內部控制重大缺陷，就應及時確定這些缺陷是在設計或是運行環(huán)節(jié)發(fā)生的，并重新評估管理層設計、運行并監(jiān)督內部控制的整個過程。

（3）中國。2008年6月五部委頒布的基本規(guī)范將內部控制缺陷定義為“內部控制設計缺陷不能有效防范錯誤與舞弊，或內部控制運行缺陷不能及時發(fā)現并糾正錯誤與舞弊”。2010年4月，五部委頒布了《內部控制指引》，認為內部控制缺陷應該綜合判斷，根據偏離內部控制目標的程度，按其“發(fā)生可能性”和“導致后果的程度”分為重大缺陷、重要缺陷和一般缺陷，這種分類方法基本上是遵循了美國的做法。《內部控制評價指引》基于財務報告內部控制缺陷和非財務報告內部控制缺陷的分類方法，針對財務報告內部控制主要采用定量標準，而非財務報告內部控制缺陷主要采用定性標準進行衡量。如定量標準選擇的基準指標包括利潤、總資產、營業(yè)收入等財務指標，并借鑒了會計準則中或有事項可能性的規(guī)定，采用百分比如5%、50%作為存在內部控制缺陷可能性的分界，可能性大于50%的為重大缺陷，可能性介于5%和50%之間的為重要缺陷，可能性介于零和5%之間的為一般缺陷。定性標準主要通過文字性描述，要求事項描述的完整、清楚，實務中很多公司采用關鍵控制點法和公司特征法進行披露。2010年4月五部委頒布《企業(yè)內部控制審計指引》，其中列示了四種跡象的識別方法基本上借鑒了美國的做法。另外，財政部在解讀《內部控制評價指引》中，還列示了非財務報告內部控制可能存在重大缺陷的幾點跡象。

（4）三國比較。從以上內部控制缺陷認定國際比較分析中發(fā)現，英國采用原則式的內部控制缺陷認定標準，相比于規(guī)則式，原則式的認定標準強調各個缺陷的差異和特性，但實務操作難度較大。我國內部控制規(guī)范體系與美國的差異主要在于，我國通過《內部控制應用指引》構建了一個涵蓋全部業(yè)務的內部控制框架，而美國僅僅關注財務報告內部控制，SOX法案考慮到法規(guī)的可執(zhí)行性，內部控制缺陷認定也僅是財務報告內部控制缺陷認定，但仍舊沒有針對內部控制缺陷具體衡量方式做出規(guī)定，也沒有提出一個可行的內部控制缺陷認定模式。中國的內部控制缺陷認定也問題頗多，首先，我國內部控制缺陷認定包括的非財務報告內部控制缺陷，如發(fā)展戰(zhàn)略、組織架構等，其成因復雜、原因迥異，在操作中并不像財務報告缺陷根據錯報金額大小來判斷，更加難以分析認定；其次，我國提出的內部控制缺陷認定是與內部控制三大目標相聯系的，主要根據目標的偏離程度即嚴重程度來劃分，但由于內部控制體系構建較晚，對于一般缺陷、重要缺陷和重大缺陷沒有明顯的分界，定性、定量標準主觀性太強，各個公司可以根據自身需要確定標準，這對于內部控制建設和完善是不利的。

三、內部控制缺陷認定框架體系構建

根據李宇立（2011）的觀點，內部控制缺陷認定流程應包括以下幾個方面，分別是內部控制缺陷分類、根據認定標準進行缺陷識別、嚴重程度評估、確定內部控制缺陷類型。國外相關研究發(fā)現以前年度的內部控制缺陷整改及披露對本年度是否存在內部控制缺陷有一定的影響，所以內部控制缺陷認定體系應包涵內部控制整改及披露。所以將內部控制缺陷認定流程確定為：內部控制缺陷分類——通過認定方法進行內部控制缺陷識別——缺陷嚴重程度評估——確定內部控制缺陷—采取一定措施進行內部控制缺陷整改—披露內部控制缺陷信息，如圖1所示。

圖1　內部控制缺陷認定框架流程

Doyle（2007）、王惠芳（2011）等不少學者從公司層面和賬戶層面出發(fā)研究的內部控制缺陷，企業(yè)內部控制規(guī)范也要求審計時必須分別對企業(yè)層面和業(yè)務層面的內部控制進行測試，這樣的劃分具有一定的合理性；其次，《內部控制評價指引》規(guī)定了內部控制的五要素，不少學者（如楊有紅，2012）根據五要素對內部控制缺陷進行分類，內部控制發(fā)揮作用需要五要素共同發(fā)揮作用，將內部控制缺陷根據五要素進行劃分也具有其合理性。COSO新框架將內部控制五要素細化成17項原則81個關注點，每個關注點都細化到內部控制建設的具體操作層面，從這個角度出發(fā)進行內部控制缺陷認定更具有可行性，增加了可操作性。依據COSO新框架構建了本文內部控制缺陷認定框架體系，如圖2所示。

圖2　內部控制缺陷認定體系圖

（一）公司層面內部控制缺陷認定公司層面內部控制缺陷不僅僅影響財務錯報，還影響到公司整個層面的戰(zhàn)略計劃、運營效率等方面，其導致的后果很難用具體數字來進行衡量，所以公司層面的內部控制缺陷認定主要采用定性方法，輔以定量方法，定性分析可以通過關鍵控制點或跡象法進行識別。根據2008年的內部控制指引第45條“內部控制缺陷包括設計缺陷及運行缺陷”的思路，利用COSO新框架來判定內部控制設計是否合理、運行是否有效，首先要確定關鍵控制點，從內部控制五個要素具體細化的17項原則出發(fā)，分別分析81個關注點，再判定是內部控制設計缺陷還是運行缺陷，通過表格列舉內部控制公司層面可能出現的缺陷。

（1）控制環(huán)境方面缺陷認定。根據COSO新框架，控制環(huán)境涉及5項原則21個關注點，說明了控制環(huán)境的重要性?？刂骗h(huán)境決定了公司的基調，對公司行為架構、目標設定和風險評估都有著潛移默化的影響，也影響這公司的控制活動、風險評估以及監(jiān)控活動。

第一，誠信和道德價值觀承諾方面的缺陷認定。COSO新框架第一項原則就是誠信和道德價值觀，規(guī)定董事會、管理層應該通過一系列指令、行為來證明誠信及道德價值觀的重要性，比如平時就強調誠信重要性、招聘員工時考慮員工的誠信。管理層還應建立相應的行為準則和評價是否遵守誠信道德價值觀的政策和規(guī)范，如果公司沒有做到這些就屬于設計缺陷。而對于違反誠信和道德價值觀有關政策和行為的情況，管理層或治理層如沒有及時采取懲罰、糾正措施，就屬于內部控制運行方面的缺陷。如公司高層管理人員缺少誠信而發(fā)生財務舞弊行為，被證監(jiān)會暫停上市（ST）也屬于這方面的缺陷。如表1所示。

表1　誠信和道德價值觀承諾方面的缺陷認定

第二，董事會保持獨立性方面的缺陷認定。獨立性是保持董事會有效性的內在需求，董事會監(jiān)督內部控制建設及運行時應與管理層應保持獨立性。首先，董事會與管理層應有明確的職責分工、嚴格的董事問責制，并且有相關的書面文件嚴格界定董事會在內部控制的責任，如果企業(yè)沒有制定相關政策來界定責任則屬于設計缺陷。其次，董事會成員應具備足夠的相關專業(yè)知識和實踐經驗，識別內部控制問題后并采取公平、公正的有效措施。董事會中，獨立董事常被認為是公正的力量，獨立董事比率也因此作為董事會獨立性的衡量指標，對于資產重組、股權轉讓等重大問題的決策，獨立董事發(fā)表獨立意見可以保障各方利益；董事會對于管理層設計、執(zhí)行內部控制的整個過程進行有效的監(jiān)督，這就需要審計委員會、內審部門的有效運作。如果公司在以上三個方面沒有確實執(zhí)行，歸屬于運行缺陷。董事會保持獨立性這項原則中的各個關注點的缺陷識別方法如表2所示。

表2　董事會保持獨立性方面的缺陷認定

第三，建立組織結構、報告途徑等方面的缺陷認定。COSO新框架明確了管理層的內部控制職責，公司為加強內部控制，應依法建立董事會、監(jiān)事會、審計委員會等組織結構，并建立審計委員會、提名委員會等專門委員會。我國大部分公司存在匯報路徑不清晰、授權體系混亂等問題，管理者應為公司建立正確的報告渠道，通過適當的授權管理，通過分級、分類的權限分配，明確各個關鍵領域的權責分工，做到在授權設計、授權實現、授權監(jiān)督以及激勵考核的全程授權管理。如果公司沒有設立合適的組織機構、公司指令報告路徑不清晰或者審批授權程序不完備都屬于設計方面的缺陷，如表3所示。

表3　建立組織結構、報告途徑等方面的缺陷認定

第四，人力資源政策方面的缺陷認定。COSO新框架更加強調了“人才”對于內部控制建設的重要性，做好人才方面的工作可以有效推動內部控制系統(tǒng)設計有效性和運行有效性。公司進行人力資源管理首先將內部控制要求納入人力資源政策和實務，建立評價政策和實踐有關的員工能力和缺點，吸引、發(fā)展和保留有專業(yè)勝任能力的人員需要有效的培訓和指導機制，并有相應的應急計劃來保證員工持續(xù)性、激發(fā)員工積極性。公司如果在人力資源方面沒有制定相關政策、沒有評價人力資源政策機制和相應的培訓體制，就屬于控制環(huán)境中人力資源設計方面的漏洞；而公司在人才問題突然問題時無法應對則屬于運行缺陷，具體缺陷類型和識別方法如表4所示。

表4　人力資源政策方面的缺陷認定

第五，建立個人內部控制職責方面的缺陷認定。COSO新框架強調了全員參與的內部控制建設，公司應明確每個員工的內部控制職責，員工職責不清晰對內部控制系統(tǒng)的有效運行將產生不良影響，進而影響內部控制整體執(zhí)行力。公司應將各個控制點的具體責任分配到具體崗位，并建立相應的績效評估機制、評價機制來落實每個員工的內部控制職責。如表5所示。

表5　建立個人內部控制職責方面的缺陷認定

（2）風險評估方面的缺陷認定。COSO新框架中將風險評估細分為4項原則，包括制定目標、應用工具識別風險并進行風險管理、識別潛在舞弊以及識別和評價公司面臨的重大事項變更。

第一，制定識別和評價風險的目標方面的缺陷認定。風險評估中的第1項原則就規(guī)定公司應制定清晰的目標來有效識別和評價阻礙內部控制目標實現的風險。外部財務報告目標的關注點主要是企業(yè)是否遵守會計準則、考慮財務報告的重要性以及是否可以反映公司的實體控制活動。若公司沒有及時披露中期財務報表、簡略財務報表或者期末財務報告，說明企業(yè)在這一方面存在缺陷；而外部非財務報告目標的關注點主要是公司是否遵守法律法規(guī)，是否被證監(jiān)會ST。與舊框架相比，COSO新框架的報告目標增加了內部報告目標，如市場調查報告、內部評價報告等，內部報告目標反映了準確和完整的管理信息，公司應提供相關的供內部人員使用的信息報告，讓內部人員快速了解公司的各項信息。遵守法律法規(guī)目標反映了外部法律和規(guī)則制度的最低行為標準，應考慮違背這個目標會造成的最低程度風險，如果公司財務目標沒有達成，可能是公司財務報表存在錯報或者發(fā)生財務報表重述；如果企業(yè)違背法律法規(guī)造成嚴重后果，監(jiān)管部門會對公司做出相應的處罰，比如暫停退市（ST）。如表6所示。

表6　制定識別和評價風險的目標方面的缺陷認定

第二，識別風險及風險管理方面的缺陷認定。COSO新框架規(guī)定公司應在公司整個實體層面識別可能威脅公司實現目標的風險，公司應考慮的內部因素包括組織機構、經營管理、資產、業(yè)務流程、財務狀況，信息系統(tǒng)運行，外部因素包括經濟形式、產業(yè)狀況、市場競爭、資源供給、自然災害等。公司應運用各類技巧對各類風險進行搜集、確認、分類和評價，對識別的較大發(fā)生概率、影響重大的風險應特別考慮，并對每個風險采取針對性的應對措施。關于這一項原則的缺陷認定如表7所示。

表7　識別風險及風險管理方面的缺陷認定

第三，評價潛在舞弊方面的風險缺陷認定。COSO新框架在舞弊方面進行了更深入的討論，認為舞弊風險跟一般風險有所區(qū)別，舞弊風險主觀故意性強、隱蔽性強、后果損失嚴重。防止舞弊是內部控制最基本的功能之一，COSO新框架認為在風險評估階段應重點考慮舞弊風險，公司進行舞弊風險評估時，應首先考慮可能的舞弊風險類型、欺詐報告以及可能發(fā)生的資產損失情況。公司應根據業(yè)務特征，在設計內部控制系統(tǒng)時考慮反舞弊機制，設置舞弊舉報、舉報人保護、加強防腐教育建設。如果公司缺少相應的反舞弊機制就屬于設計方面的缺陷，若公司被爆出發(fā)生財務舞弊、管理層凌駕內部控制等案件，說明公司在舞弊風險識別和評估方面存在缺陷。如表8所示。

第四，識別重大變更事項方面的缺陷認定。COSO新框架專門強調了公司應主動識別和評價會對內部控制體系產生重大影響的變化事項，包括公司內部因素變化如組織結構重大調整、發(fā)生兼并重組、主營業(yè)務變更和外部環(huán)境變化如法律法規(guī)、市場環(huán)境。公司可以通過內部控制自我評價或者審計等方法來識別和評價公司面臨的各項變化，并相應調整內部控制體系，如果公司產生重大變化事項而公司未能做出有效應，使得公司出現不可持續(xù)經營對就屬于運行缺陷，嚴重情況下可能導致公司可持續(xù)經營出現問題，被出具非標準的財務報告審計報告。如表9所示。

表9　識別重大變更事項方面的缺陷認定

（3）控制活動方面的缺陷認定。根據2013年COSO新框架，控制活動指的是通過制定政策和程序來確保管理者指令得以有效實施的行為，新框架還提出公司應在整體層面制定政策，并在此基礎上安排具體控制流程，增強內部控制實施效果。

第一，公司控制活動的選擇?？刂苹顒硬⒉皇菃我坏模煌愋偷目刂苹顒酉嗷ソM合，會產生更好的效果，所以要保證內部控制活動的有效實施，必須考慮不同控制活動的相互組合，新框架指出控制活動具體包括授權審批、實物控制、常規(guī)數據控制、調節(jié)控制、監(jiān)督控制等人工控制以及ERP系統(tǒng)等自動化控制，人工控制在認定這項關注點的缺陷時不僅要考慮控制活動的組合，還要考慮這些組合的控制活動的實施效果；當然，要保證內部控制活動的有效實施，還是離不開“人”的作用，內部控制規(guī)則應界定好每個人的權限，這也是預防舞弊、欺詐的基本條件。關于這一項關注點的缺陷認定如表10所示。

表10　公司控制活動選擇方面的缺陷認定

第二，技術性一般控制活動。COSO新框架特別強調了技術相關的風險，公司應針對技術流程風險設置相應的技術性一般控制活動，包括技術基礎設施控制活動、安全管理過程控制活動和技術引進、發(fā)展及維持控制活動。當今社會不斷變革，公司技術應用日新月異，公司應該考慮技術變化情況及其產生的影響，并加強改進技術設施建設（如大型計算機、復雜通訊網絡）和建立一系列應急計劃（如備份和恢復程序、災害復原計劃等）。我國在這方面比較薄弱，公司應加強技術開發(fā)、技術運行、技術評價方面的風險控制，避免技術風險對公司業(yè)務產生重大影響。關于技術性一般控制活動的關注要點及缺陷認定如表11所示。

表11　技術性一般控制活動方面的缺陷認定

第三，公司制定政策和流程以開展控制活動。COSO新框架將控制活動的實施進一步細分為一般控制政策及具體業(yè)務流程兩個方面。公司首先在整體層面制定內部控制政策，并在此基礎上邏輯推演出具體內部控制流程，可以避免內部控制“流于形式”。政策必須以文件形式記錄，是聲明管理者關于什么是正確的書面文件；程序是為了實踐內部控制政策而采取的行動，必須界定清楚執(zhí)行控制活動人員的責任，必須規(guī)定每項控制活動及后續(xù)修正行動的時間安排，而且需要有專業(yè)勝任能力的員工來執(zhí)行控制活動，最后，公司還需要定期評估內部控制的政策和程序以及相關控制活動的持續(xù)性和有效性，所有這些在內部控制規(guī)范文件的缺失都屬于內部控制設計缺陷，其他三個關注點歸屬到運行缺陷。如表12所示。

表12　公司制定政策和流程以開展控制活動的缺陷認定

（4）信息與溝通方面的缺陷認定。信息對于實施內部控制是不可或缺的，管理者從公司內部和外部獲取、處理和利用有價值的信息以支持內部控制其他功能的發(fā)揮。COSO新框架將信息與溝通這一要素和內部報告目標進行了區(qū)分，主要涉及3項原則：公司應獲取高質量的信息、公司內部交流和與外界的溝通。

第一，公司獲取或者產生高質量信息。第13項原則幾個關注點主要是；公司應制定相關政策和程序，從公司內部和外部獲取高質量的財務信息與非財務信息，并通過信息系統(tǒng)處理數據，并保證信息準確性、及時性、持續(xù)性、保密性及有效性。其中財務信息不僅用于編制公開的財務報表，還作為制定決策的基礎，經營信息也可能影響存貨或應收賬款的股價，從而影響財務報表編制。信息系統(tǒng)是識別、加工和報告公司內外部信息的工具，信息系統(tǒng)產生的信息質量對于有效決策非常關鍵，這就需要依賴控制活動職能的有效實施。如表13所示。

表13　公司獲取或者產生高質量信息的缺陷認定

第二，公司內部交流方面的缺陷認定。COSO新框架第14項原則認為內部控制制度和規(guī)范只有有效傳達到各個部門、明確各個員工職責，才能有效實施內部控制措施，這就需要公司內部控制信息的溝通與交流這一項原則起作用，公司內部信息包括內部控制政策和程序、特定目標、員工實施內部控制的角色和責任、組織自上而下的溝通渠道等。重大事項、內部控制系統(tǒng)失靈引起的事項都應該與董事會溝通，管理層與董事會溝通越有效，董事會越能有效實施監(jiān)督職能。除考慮正常的交流渠道，COSO新框架強調非常規(guī)渠道的重要性，如匿名交流的保險機制建設，這也是一個預防內部控制失敗的機制。當然，公司應要根據公司自身規(guī)模、文化價值觀、緊迫性等因素，考慮各種溝通方法，是以口頭傳達、郵件通知、一對一討論還是以書面文件下發(fā)，否則會造成內部信息交流不順暢。其具體的缺陷認定及舉例如表14所示。

表14　公司內部交流方面的缺陷認定

第三，與外部利益相關者溝通方面的缺陷認定。與外部實體進行交流，公司可以了解到顧客、供應商對產品服務的評價和反饋信息、可以了解顧客的需求和愛好，可以通過審計師對內部控制財務報告和非財務報告的獨立評價，通過監(jiān)管部門了解最新法律法規(guī)變化，了解這些信息可以讓公司更好應對外界發(fā)生的事件、外部環(huán)境的變化，另外COSO新框架認為選擇非常規(guī)溝通渠道及溝通方式也很重要。如表15所示。

表15　與外部利益相關者溝通方面的缺陷認定

（5）監(jiān)督活動方面的缺陷認定COSO新框架認為構建內部控制體系后，公司還需要建立監(jiān)督機制以保證內部控制系統(tǒng)的正常運轉，這就需要持續(xù)監(jiān)控、獨立評估來實現。

第一，公司監(jiān)督活動選擇的缺陷認定。公司需要持續(xù)性的監(jiān)督活動，來提供內部控制其他要素有效性的反饋信息，以維持日常內部控制活動的有效運行。內部控制系統(tǒng)性的評估也十分必要，內部控制監(jiān)督程序能夠有效發(fā)揮作用離不開有勝任能力的員工。公司應確定內部控制評價范圍和頻率，并周期性的提供反饋信息，如表16所示。

表16　公司監(jiān)督活動選擇的缺陷認定

第二，公司評價并匯報內部控制缺陷。COSO新框架指出，對公司內部控制系統(tǒng)進行評價本身也是內部控制建設的一部分，如果缺失將被認為是內部控制監(jiān)督方面的漏洞，所以針對內部控制第17項原則——識別的內部控制缺陷，公司還應建立政策和程序將缺陷傳達至管理層或董事會，并及時進行整改和披露相關的內部控制缺陷及整改信息，其認定如表17所示。

表17　公司評價并報告內部控制缺陷

（6）內部控制17項原則整合的缺陷認定。以上從內部控制五要素17項原則81個關注點出發(fā)，確定內部控制缺陷是屬于設計缺陷或運行缺陷；在確定了各關注點屬于何種類型的內部控制缺陷后，應考慮將發(fā)現的各個關注點存在的缺陷先在各項原則內進行分析，并匯總綜合判斷，最終判定是重大缺陷、重要缺陷還是一般缺陷。如圖3所示。

其中，內部控制設計缺陷是公司現存內部控制設計不恰當或缺少必須的控制使得內部控制運行難以實現目標。根據COSO新框架，每一項內部控制制度、流程的設計主要從內部控制五要素17項原則出發(fā)，所以上文對內部控制設計有效性的評估也主要從內部控制17項原則81個關注點出發(fā)，通過內部控制制度、具體流程設置一些量化標準或指標。在上文中確定了哪些關注點是歸屬于設計缺陷的部分后，再進行缺陷整合判斷，如果缺少一個或幾個關鍵控制點則判定成重大缺陷，缺少多個一般控制點則是重要缺陷，缺少一個一般控制點就為一般缺陷。另外，內部控制運行缺陷指的是公司設計好的內部控制制度并沒有按照計劃執(zhí)行，或者運行人員沒有得到授權就實施控制。上文從81個關注點出發(fā)進行判斷時，歸屬于運行缺陷的部分，也要進行運行缺陷整合判斷。運行缺陷識別方法可以借鑒財務報告審計中的穿行測試，如果內部控制運行完全沒有按照流程進行，多個關鍵控制點失去作用則認定為重大缺陷，其中某個關鍵控制點失去控制判定為重要缺陷，一般控制點失控則為一般缺陷判定標準。如表18所示。

表18　內部控制公司層面的設計和運行缺陷判定標準

（二）賬戶層面內部控制缺陷認定

賬戶層面的內部控制缺陷主要是指會計層面的內部控制缺陷，即直接導致財務錯報的內部控制缺陷，包括原始憑證、明細分類賬、總賬甚至財務報告編制和披露的所有過程中產生的內部控制缺陷，其所產生的影響金額往往比較容易估計，所以賬戶層面的內部控制缺陷認定標準主要采用定量方式。本文借鑒審計財務報表的重要性水平來定量分析賬戶層面的內部控制缺陷，將內部控制缺陷造成的錯報金額或損失金額與事先設定的重要性水平進行對比，遠遠低于重要性水平的認定為內部控制一般缺陷，低于重要性水平的認定為重要缺陷，而超過重要性水平的認定為重大缺陷，其缺陷認定標準如圖4所示。

圖4　賬戶層面內部控制缺陷認定標準

確定了缺陷認定標準后，接下來要解決的是重要性水平的確定問題，根據我國審計實務中的判定標準，重要性水平主要是利用資產總額、營業(yè)收入、凈利潤等財務指標作為基數，用百分比作為分界標準。通過財務指標和百分比將內部控制缺陷嚴重程度進行量化，更易于理解。關于重要性水平的確定如表19所示。內部控制缺陷認定是內部控制評價和鑒證基礎，本文利用COSO內部控制新框架構建了內部控制缺陷認定體系及標準，為企業(yè)內部控制自評和外部審計師內部控制審計提供標準，能更準確判定企業(yè)內部控制質量，進一步完善內部控制。

表19　內部控制缺陷重要性水平確定

參考文獻：

［1］周勤業(yè)、王嘯：《美國內部控制信息披露的發(fā)展及其借鑒》，《會計研究》2005年第2期。

［2］楊有紅、李宇立：《內部控制缺陷的識別、認定與報告》，《會計研究》2011年第3期。

［3］王惠芳：《內部控制缺陷認定：現狀、困境及基本框架重構》，《會計研究》2011年第8期。

［4］Jeffrey Doyle，Weili Ge，Sarah McVay．Determinants of Weaknesses in Internal Control over Financial Reporting．Journal of Accounting and Economics，2007.

［5］Financial Reporting Council．Internal Control-Revised Guidance for Directors on the Combined Code，2005．

（編輯梁 恒）

*本文系福州大學科技發(fā)展基金項目（項目編號：15CKQ04）的階段性研究成果。