内部控制缺陷的识别认定与报告.docxVIP

内部控制缺陷认定与报告 ? ??????杨有红（北京工商大学）??????李宇立（新疆财经大学，中央财经大学） ? ? 摘要：内部控制缺陷的认定是评价内部控制是否有效的关键。把握内部控制缺陷的实质、厘清内部控制缺陷和内部控制局限性是认定内部控制缺陷的基础。缺陷认定是一个过程，这一过程必须解决缺陷识别、缺陷严重程度评估、缺陷认定权限划分等三个基础问题。此外，企业还应针对具体缺陷关注应对措施的制定，以及缺陷的对外披露两个深层问题。 关键词：内部控制??缺陷认定???对外报告 ? 内部控制评价是持续改进企业内部控制的重要手段。内控评价得出内部控制是否有效的关键在于判定内部控制是否存在缺陷、缺陷的类型及采取的措施。因此，内部控制有效性认定的核心是缺陷的识别和缺陷的分级。已有大量的研究主要集中于探讨内部控制缺陷的披露：其一，影响内部控制缺陷披露的主要因素（Doyle, Ge 和 McVay，2007a；林斌和饶静，2009；田高良，齐保垒，李留闯，2010）；其二，内部控制缺陷与公司的财务报告质量的关系（Doyle, Ge 和 McVay，2007b；Ashbaugh-Skaife，Collins，Kinney 和 LaFond，2008；杨有红，毛新述，2009；齐保垒，田高良，李留闯，2010）；其三，内部控制缺陷与公司筹资成本和股东财富分配的关系（DeFond 和 Francis，2005；Ashbaugh-Skaife， Collins，Kinney 和 LaFond，2007；Hammersley等，2008；Beneish，Billings 和 Hodder，2008；杨有红，毛新述，2009；方红星，孙翯，2010）。上述经验研究结果可以为内部控制监管制度的完善提供一定的参考作用，但对指导企业内部控制缺陷的识别和认定的作用却十分有限。 按照美国现行法规的要求，上市公司管理层提交的内部控制自我评价报告和审计人员的鉴证意见报告仅限于财务报告相关内部控制。对重要缺陷和重大缺陷的定义都基于“重大错报无法被及时地预防和发现”。然而，我国《内部控制基本规范》中的相关要求是针对“全面内部控制”的。也就是说，不仅财务报告相关内部控制在法规层面被要求规范执行，而且非财务报告相关内部控制也要符合标准。这就意味着，可借鉴的国外实践经验是有限的。尽管《企业内部控制评价指引》（以下称《评价指引》）和《企业内部控制审计指引》（以下称《审计指引》）对缺陷的初步认定和最终认定做了原则性规定，但在《评价指引》实施过程中，不可避免地会遇到一些起亟需明细的操作性问题。例如，缺陷识别的技术方法？如何界定缺陷的类型和严重程度？如何根据缺陷判定内部控制的有效性？什么样的缺陷必须对外报告？ 本文以内部控制缺陷的实质及其与内部控制局限性的关系为突破口，论述内部控制缺陷的识别、严重性评估、认定、应对以及缺陷的对外报告。 一、内部控制缺陷的实质 （一）概念 内部控制缺陷是内部控制过程存在的缺点或不足，这种缺点或不足使得内部控制无法为控制目标的实现提供合理保证。内部控制评价正是要找出内控的缺陷，不断提高为内控目标实现提供合理保证的程度。正如COSO-IC（1992）和COSO-RM（2004）对控制缺陷下的定义：“已经察觉的、潜在的或实际的缺点，抑或通过强化措施能够带来目标实现更大可能性的机会。” （二）内部控制缺陷的认定基础 理想化的、没有任何瑕疵的内部控制是不存在的，判断内部控制是否存在缺陷的标准不是仅仅看控制系统是否存在缺点或不足，而是看这种缺点或不足是否阻碍其为控制目标的实现提供合理保证。按照天文表精确度的要求，我们日常生活中使用的手表等计时器理论上都存在着计时误差，但每天一、二秒甚至更多一点的误差不会影响准确计时这一目标的实现，基于资源的有限性以及成本效益考量，我们没有必要按天文表的精确度要求来测试、校正我们的计时器。正如PCAOB审计准则第5号《与财务报表审计相融合的财务报告内部控制审计》第11段所言：“对那些没有以合理可能性导致财务报表发生重大错报的控制来说，即使存在缺陷，也没有必要进行测试。”尽管我们的内控评价的范围不局限于财务报告内控，但PCAOB第5号给予我们一个方法论的启示：无论是内控评价还是内控审计，对内控缺陷的认定都应该基于目标导向来进行内部控制缺陷的识别和评估。 （三）内部控制缺陷与内部控制局限性的关系 内控未能实现目标的原因分为两大类：内控缺陷和内控局限性。COSO报告指出：“内部控制体系无论设计和运行多么好，都只能对主体目标的实现向管理层和董事会提供合理（而非绝对）的保证。目标实现的可能性受到所有内部控制体系都存在的固有局限的影响。”COSO还列举了内控局限性的典型表现：决策过程中可能出现错误判断、执行过程中可能出现的错误或过失；因勾结串通或