內(nèi)部控制缺陷的判定*
——基于COSO新內(nèi)部控制框架研究

福州大學(xué)經(jīng)濟(jì)與管理學(xué)院　　林　　兢　　蘇金香

?

內(nèi)部控制缺陷的判定*
——基于COSO新內(nèi)部控制框架研究

福州大學(xué)經(jīng)濟(jì)與管理學(xué)院林兢蘇金香

摘要：內(nèi)部控制缺陷認(rèn)定標(biāo)準(zhǔn)是進(jìn)行內(nèi)部控制評(píng)價(jià)和鑒證的基礎(chǔ)，但理論界對(duì)內(nèi)部控制缺陷認(rèn)定標(biāo)準(zhǔn)仍存在很大分歧，現(xiàn)有指南可操作性比較欠缺，本文利用COSO新內(nèi)部控制框架從公司層面和賬戶(hù)層面建立了一套內(nèi)部控制缺陷認(rèn)定標(biāo)準(zhǔn)，為進(jìn)一步推進(jìn)內(nèi)部控制理論和實(shí)務(wù)研究提供借鑒。

關(guān)鍵詞：內(nèi)部控制缺陷認(rèn)定COSO新內(nèi)部控制框架

一、引言

后安然時(shí)代，世界各國(guó)都加強(qiáng)了內(nèi)部控制的建設(shè)，對(duì)增強(qiáng)投資者信心，促進(jìn)資本市場(chǎng)、金融市場(chǎng)健康發(fā)展發(fā)揮重要重要。盡管如此，內(nèi)部控制評(píng)價(jià)問(wèn)題一直是困擾理論界和實(shí)務(wù)界的難題。內(nèi)部控制評(píng)價(jià)是持續(xù)改進(jìn)企業(yè)內(nèi)部控制的重要手段（楊有紅、李宇立，2011）。而判定內(nèi)部控制是否有效的關(guān)鍵是判定內(nèi)部控制是否存在缺陷（楊有紅、李宇立，2011）以及缺陷的重要程度的判定。已有的有關(guān)內(nèi)部控制缺陷的研究主要集中于以下五個(gè)方面：影響內(nèi)部控制缺陷披露的主要因素（Ge，McVay，Doyle，2005和Bryan and Lilian等，Jeffrey等，2007；楊有紅和陳陵云，2009；林斌和饒靜，2009；田高良等，2010）；內(nèi)部控制缺陷披露與公司財(cái)務(wù)報(bào)告質(zhì)量的關(guān)系（Doyle，Ge和McVay，2007；Ashbaugh-Skaife等，2008；楊有紅和毛新述，2009；齊保壘等，2010）；內(nèi)部控制缺陷與公司籌資成本和股東財(cái)富分配的關(guān)系（Mei、Chan等，2005；Ashbaugh-Skaife，2009；Costello等，2010；Park Jeong等，2011；Lawrence A.Gordon和Amanda L.Wilford，2012）；內(nèi)部控制缺陷披露和審計(jì)費(fèi)用關(guān)系（Krishnan，2005；Raghunandan和Rama，2006；Fralin，2007；Vishal和Meghna Singhvi，2011）。關(guān)于內(nèi)部控制缺陷認(rèn)定的研究，思路主要是從已披露的內(nèi)部控制信息中發(fā)現(xiàn)內(nèi)部控制缺陷的蛛絲馬跡，再根據(jù)一定的內(nèi)部控制缺陷分類(lèi)和識(shí)別方法提出認(rèn)定框架體系，如周勤業(yè)和王嘯（2005）、楊有紅和李宇立（2011）、王惠芳（2011）、陳武朝（2012）。但現(xiàn)有研究中對(duì)于認(rèn)定標(biāo)準(zhǔn)還存在很大爭(zhēng)議，可操作性也不強(qiáng)，因此有必要對(duì)該問(wèn)題做更深入研究。2013年美國(guó)COSO委員會(huì)根據(jù)環(huán)境的變化，對(duì)1992年的內(nèi)部控制框架進(jìn)行修訂，發(fā)布了修訂后的《內(nèi)部控制—整合框架》（以下簡(jiǎn)稱(chēng)新框架），將內(nèi)部控制五要素細(xì)化成17項(xiàng)原則81個(gè)關(guān)注點(diǎn)，使得內(nèi)部控制更具可操作性，這也為內(nèi)部控制缺陷認(rèn)定標(biāo)準(zhǔn)研究提供依據(jù)。本文以COSO的新框架為依據(jù)，探討內(nèi)部控制缺陷的識(shí)別和判定，構(gòu)建內(nèi)部控制缺陷認(rèn)定標(biāo)準(zhǔn)體系，為外部審計(jì)師、內(nèi)部審計(jì)師判定是否存在內(nèi)部控制缺陷，及缺陷的重要程度提供可操作的依據(jù)。

二、內(nèi)部控制缺陷認(rèn)定比較

（一）內(nèi)部控制定義比較

1992年COSO發(fā)布的內(nèi)部控制報(bào)告給出內(nèi)部控制定義：“內(nèi)部控制是由企業(yè)董事會(huì)、管理層和其他員工實(shí)施的，為達(dá)成經(jīng)營(yíng)目標(biāo)、財(cái)務(wù)報(bào)告目標(biāo)以及法律法規(guī)遵循目標(biāo)而提供合理保證的過(guò)程”。這個(gè)定義后來(lái)被大多數(shù)國(guó)家接受并廣泛使用，具有廣泛影響力；1994年COSO報(bào)告中雖然沒(méi)有單列資產(chǎn)保護(hù)目標(biāo)，但這個(gè)目標(biāo)已經(jīng)包含在了上述幾類(lèi)目標(biāo)中；2004年COSO委員會(huì)發(fā)布《企業(yè)管理風(fēng)險(xiǎn)管理—整合框架》，正式將風(fēng)險(xiǎn)管理引入內(nèi)部控制框架中；美國(guó)SEC于2003年提出財(cái)務(wù)報(bào)告內(nèi)部控制，其定義的內(nèi)部控制基本功能是合理保證財(cái)務(wù)報(bào)告的可靠性和保護(hù)資產(chǎn)安全。2013年5月COSO發(fā)布的內(nèi)部控制最新框架中將內(nèi)部控制五要素細(xì)化成17項(xiàng)原則，與1992年COSO界定的內(nèi)部控制五要素相比發(fā)生了重大改變，但內(nèi)部控制定義并沒(méi)有改變。追索美國(guó)內(nèi)部控制理論發(fā)展史可以看出，內(nèi)部控制定義是一個(gè)不斷完善的過(guò)程，隨著公司內(nèi)部控制的不斷實(shí)踐，美國(guó)各個(gè)機(jī)構(gòu)主要根據(jù)1992年COSO內(nèi)部控制框架給出的內(nèi)部控制定義進(jìn)行增補(bǔ)，期間完善了內(nèi)部控制目標(biāo)體系，并且將風(fēng)險(xiǎn)管理、企業(yè)管理控制納入內(nèi)部控制框架中。英國(guó)于2005年發(fā)布了新的Turnbull指南，建立了具有原則性導(dǎo)向、風(fēng)險(xiǎn)導(dǎo)向、框架指引性的內(nèi)部控制指南。最后將內(nèi)部控制定義為：“內(nèi)部控制是一個(gè)系統(tǒng)，主要是為了防止風(fēng)險(xiǎn)發(fā)生或?qū)L(fēng)險(xiǎn)控制在可接受的低水平”。分析發(fā)現(xiàn)，與美國(guó)COSO框架定義的內(nèi)部控制目標(biāo)不同，Turnbull指南的內(nèi)部控制目標(biāo)還包括保障股東權(quán)益與保護(hù)公司資產(chǎn)安全。但有人也對(duì)此提出了一些質(zhì)疑，認(rèn)為T(mén)urnbull指南提出原則導(dǎo)向的內(nèi)部控制模式，在執(zhí)行方面可能存在困難，可操作性不足。我國(guó)《企業(yè)內(nèi)部控制基本規(guī)范》認(rèn)為內(nèi)部控制是由所有員工、管理層和治理層實(shí)施的以實(shí)現(xiàn)內(nèi)部控制目標(biāo)的一個(gè)過(guò)程。我國(guó)定義的內(nèi)部控制包含五大目標(biāo)，包括企業(yè)經(jīng)營(yíng)管理合法合規(guī)、保障資產(chǎn)安全、財(cái)務(wù)報(bào)告信息真實(shí)完整，經(jīng)營(yíng)效率和效果和實(shí)現(xiàn)發(fā)展戰(zhàn)略。根據(jù)上述各國(guó)內(nèi)部控制定義的論述中發(fā)現(xiàn)，各國(guó)內(nèi)部控制定義、責(zé)任主體、目標(biāo)、構(gòu)成要素、控制范圍等各方面均存在差異。各國(guó)內(nèi)部控制責(zé)任主體均是管理層和董事會(huì)，只是在具體的責(zé)任上存在細(xì)微差別；Turnbull指南定義的內(nèi)部控制目標(biāo)比美國(guó)COSO框架多了保障股東投資和資產(chǎn)保護(hù)兩個(gè)目標(biāo)，中國(guó)內(nèi)部控制在此基礎(chǔ)上增加了公司戰(zhàn)略這個(gè)目標(biāo)。美國(guó)主要是通過(guò)立法和監(jiān)管政策對(duì)內(nèi)部控制強(qiáng)制性監(jiān)管，對(duì)內(nèi)部控制提出了具體要求，而英國(guó)則使用原則導(dǎo)向給予公司足夠的空間，英國(guó)公司在自律的前提下進(jìn)行法律的半強(qiáng)制性監(jiān)管，而在中國(guó)運(yùn)用規(guī)則導(dǎo)向更符合我國(guó)的國(guó)情。

（二）各國(guó)內(nèi)部控制缺陷認(rèn)定標(biāo)準(zhǔn)比較

（1）美國(guó)。美國(guó)發(fā)布的一系列準(zhǔn)則對(duì)于內(nèi)部控制缺陷分類(lèi)的總體標(biāo)準(zhǔn)基本保持一致，但在細(xì)化分類(lèi)時(shí)有不同的標(biāo)準(zhǔn)。2004年4月PCAOB委員會(huì)正式發(fā)布第2號(hào)審計(jì)準(zhǔn)則，按照內(nèi)部控制缺陷導(dǎo)致財(cái)務(wù)報(bào)表錯(cuò)報(bào)發(fā)生的“可能性”，將內(nèi)部控制缺陷分為控制缺陷、重要缺陷以及重大缺陷。2007年5月，PCAOB委員會(huì)第5號(hào)審計(jì)準(zhǔn)則對(duì)內(nèi)部控制缺陷做了小小變動(dòng)，重大缺陷指的是“存在合理的可能性導(dǎo)致無(wú)法及時(shí)被阻止或發(fā)現(xiàn)的重大錯(cuò)報(bào)的產(chǎn)生”。用“合理的可能”替代了2號(hào)準(zhǔn)則定義中的“極小可能”，重要缺陷排除了在“極小可能”和“可能”之間的缺陷。第5號(hào)審計(jì)準(zhǔn)對(duì)于內(nèi)部控制重大缺陷的修訂有一定意義，重新明確了實(shí)質(zhì)性缺陷的概念，使得查出的實(shí)質(zhì)性缺陷是那些確實(shí)重要的缺陷，更好的引導(dǎo)注冊(cè)會(huì)計(jì)師發(fā)現(xiàn)內(nèi)部控制缺陷。2013年COSO新框架中內(nèi)部控制根據(jù)缺陷的嚴(yán)重程度分成內(nèi)部控制缺陷（internal control deficiency） 和重大缺陷（major deficiency）。新內(nèi)部控制框架還指出，監(jiān)管者、準(zhǔn)則制定者在評(píng)估內(nèi)部控制缺陷時(shí)，可以根據(jù)內(nèi)部控制缺陷界定的嚴(yán)重程度。PCAOB委員會(huì)在第2號(hào)審計(jì)準(zhǔn)則（AS2）中將重大內(nèi)部控制缺陷定義成：“一個(gè)或一系列的控制缺陷，影響企業(yè)按照會(huì)計(jì)準(zhǔn)則準(zhǔn)確可靠地向外部報(bào)告財(cái)務(wù)信息，從而很可能不能及時(shí)發(fā)現(xiàn)并阻止財(cái)務(wù)報(bào)告中錯(cuò)報(bào)”。PCAOB委員會(huì)發(fā)布的第5號(hào)審計(jì)準(zhǔn)則，指出內(nèi)部控制存在重大缺陷的四個(gè)跡象：發(fā)現(xiàn)高層管理層欺詐，針對(duì)財(cái)務(wù)報(bào)表重大錯(cuò)報(bào)修正而進(jìn)行的財(cái)務(wù)報(bào)表重述、審計(jì)師發(fā)現(xiàn)財(cái)務(wù)報(bào)表重大錯(cuò)報(bào)以及外部財(cái)務(wù)報(bào)告和財(cái)務(wù)報(bào)告內(nèi)部控制監(jiān)督失效。2013年發(fā)布的COSO新框架在內(nèi)部控制有效性認(rèn)定方面，更加注重五大要素聯(lián)合所發(fā)揮的整體作用，將內(nèi)部控制五要素細(xì)化成17項(xiàng)原則，并列出了應(yīng)特別關(guān)注的81個(gè)關(guān)注點(diǎn)（focus）。17項(xiàng)原則成為判斷內(nèi)部控制是否有效的主要標(biāo)準(zhǔn)，81個(gè)關(guān)注點(diǎn)具體到公司內(nèi)部控制建設(shè)的方方面面，成為上市公司內(nèi)部控制建設(shè)應(yīng)特別關(guān)注的點(diǎn)。根據(jù)這17項(xiàng)原則81個(gè)關(guān)注點(diǎn)進(jìn)行內(nèi)部控制缺陷認(rèn)定更具有針對(duì)性和可行性。

（2）英國(guó)。英國(guó)在構(gòu)建內(nèi)部控制體系時(shí)主要是原則性導(dǎo)向，所以對(duì)于內(nèi)部控制控制缺陷分類(lèi)及識(shí)別認(rèn)定都沒(méi)有具體的規(guī)定，但對(duì)管理層和董事會(huì)在識(shí)別內(nèi)部控制缺陷后的責(zé)任有一定的界定。和美國(guó)強(qiáng)制性監(jiān)管相比，英國(guó)降低了強(qiáng)制披露內(nèi)部控制有效性評(píng)價(jià)的要求，但管理層、董事會(huì)如果發(fā)現(xiàn)了內(nèi)部控制重大缺陷，就應(yīng)及時(shí)確定這些缺陷是在設(shè)計(jì)或是運(yùn)行環(huán)節(jié)發(fā)生的，并重新評(píng)估管理層設(shè)計(jì)、運(yùn)行并監(jiān)督內(nèi)部控制的整個(gè)過(guò)程。

（3）中國(guó)。2008年6月五部委頒布的基本規(guī)范將內(nèi)部控制缺陷定義為“內(nèi)部控制設(shè)計(jì)缺陷不能有效防范錯(cuò)誤與舞弊，或內(nèi)部控制運(yùn)行缺陷不能及時(shí)發(fā)現(xiàn)并糾正錯(cuò)誤與舞弊”。2010年4月，五部委頒布了《內(nèi)部控制指引》，認(rèn)為內(nèi)部控制缺陷應(yīng)該綜合判斷，根據(jù)偏離內(nèi)部控制目標(biāo)的程度，按其“發(fā)生可能性”和“導(dǎo)致后果的程度”分為重大缺陷、重要缺陷和一般缺陷，這種分類(lèi)方法基本上是遵循了美國(guó)的做法。《內(nèi)部控制評(píng)價(jià)指引》基于財(cái)務(wù)報(bào)告內(nèi)部控制缺陷和非財(cái)務(wù)報(bào)告內(nèi)部控制缺陷的分類(lèi)方法，針對(duì)財(cái)務(wù)報(bào)告內(nèi)部控制主要采用定量標(biāo)準(zhǔn)，而非財(cái)務(wù)報(bào)告內(nèi)部控制缺陷主要采用定性標(biāo)準(zhǔn)進(jìn)行衡量。如定量標(biāo)準(zhǔn)選擇的基準(zhǔn)指標(biāo)包括利潤(rùn)、總資產(chǎn)、營(yíng)業(yè)收入等財(cái)務(wù)指標(biāo)，并借鑒了會(huì)計(jì)準(zhǔn)則中或有事項(xiàng)可能性的規(guī)定，采用百分比如5%、50%作為存在內(nèi)部控制缺陷可能性的分界，可能性大于50%的為重大缺陷，可能性介于5%和50%之間的為重要缺陷，可能性介于零和5%之間的為一般缺陷。定性標(biāo)準(zhǔn)主要通過(guò)文字性描述，要求事項(xiàng)描述的完整、清楚，實(shí)務(wù)中很多公司采用關(guān)鍵控制點(diǎn)法和公司特征法進(jìn)行披露。2010年4月五部委頒布《企業(yè)內(nèi)部控制審計(jì)指引》，其中列示了四種跡象的識(shí)別方法基本上借鑒了美國(guó)的做法。另外，財(cái)政部在解讀《內(nèi)部控制評(píng)價(jià)指引》中，還列示了非財(cái)務(wù)報(bào)告內(nèi)部控制可能存在重大缺陷的幾點(diǎn)跡象。

（4）三國(guó)比較。從以上內(nèi)部控制缺陷認(rèn)定國(guó)際比較分析中發(fā)現(xiàn)，英國(guó)采用原則式的內(nèi)部控制缺陷認(rèn)定標(biāo)準(zhǔn)，相比于規(guī)則式，原則式的認(rèn)定標(biāo)準(zhǔn)強(qiáng)調(diào)各個(gè)缺陷的差異和特性，但實(shí)務(wù)操作難度較大。我國(guó)內(nèi)部控制規(guī)范體系與美國(guó)的差異主要在于，我國(guó)通過(guò)《內(nèi)部控制應(yīng)用指引》構(gòu)建了一個(gè)涵蓋全部業(yè)務(wù)的內(nèi)部控制框架，而美國(guó)僅僅關(guān)注財(cái)務(wù)報(bào)告內(nèi)部控制，SOX法案考慮到法規(guī)的可執(zhí)行性，內(nèi)部控制缺陷認(rèn)定也僅是財(cái)務(wù)報(bào)告內(nèi)部控制缺陷認(rèn)定，但仍舊沒(méi)有針對(duì)內(nèi)部控制缺陷具體衡量方式做出規(guī)定，也沒(méi)有提出一個(gè)可行的內(nèi)部控制缺陷認(rèn)定模式。中國(guó)的內(nèi)部控制缺陷認(rèn)定也問(wèn)題頗多，首先，我國(guó)內(nèi)部控制缺陷認(rèn)定包括的非財(cái)務(wù)報(bào)告內(nèi)部控制缺陷，如發(fā)展戰(zhàn)略、組織架構(gòu)等，其成因復(fù)雜、原因迥異，在操作中并不像財(cái)務(wù)報(bào)告缺陷根據(jù)錯(cuò)報(bào)金額大小來(lái)判斷，更加難以分析認(rèn)定；其次，我國(guó)提出的內(nèi)部控制缺陷認(rèn)定是與內(nèi)部控制三大目標(biāo)相聯(lián)系的，主要根據(jù)目標(biāo)的偏離程度即嚴(yán)重程度來(lái)劃分，但由于內(nèi)部控制體系構(gòu)建較晚，對(duì)于一般缺陷、重要缺陷和重大缺陷沒(méi)有明顯的分界，定性、定量標(biāo)準(zhǔn)主觀性太強(qiáng)，各個(gè)公司可以根據(jù)自身需要確定標(biāo)準(zhǔn)，這對(duì)于內(nèi)部控制建設(shè)和完善是不利的。

三、內(nèi)部控制缺陷認(rèn)定框架體系構(gòu)建

根據(jù)李宇立（2011）的觀點(diǎn)，內(nèi)部控制缺陷認(rèn)定流程應(yīng)包括以下幾個(gè)方面，分別是內(nèi)部控制缺陷分類(lèi)、根據(jù)認(rèn)定標(biāo)準(zhǔn)進(jìn)行缺陷識(shí)別、嚴(yán)重程度評(píng)估、確定內(nèi)部控制缺陷類(lèi)型。國(guó)外相關(guān)研究發(fā)現(xiàn)以前年度的內(nèi)部控制缺陷整改及披露對(duì)本年度是否存在內(nèi)部控制缺陷有一定的影響，所以?xún)?nèi)部控制缺陷認(rèn)定體系應(yīng)包涵內(nèi)部控制整改及披露。所以將內(nèi)部控制缺陷認(rèn)定流程確定為：內(nèi)部控制缺陷分類(lèi)——通過(guò)認(rèn)定方法進(jìn)行內(nèi)部控制缺陷識(shí)別——缺陷嚴(yán)重程度評(píng)估——確定內(nèi)部控制缺陷—采取一定措施進(jìn)行內(nèi)部控制缺陷整改—披露內(nèi)部控制缺陷信息，如圖1所示。

圖1　內(nèi)部控制缺陷認(rèn)定框架流程

Doyle（2007）、王惠芳（2011）等不少學(xué)者從公司層面和賬戶(hù)層面出發(fā)研究的內(nèi)部控制缺陷，企業(yè)內(nèi)部控制規(guī)范也要求審計(jì)時(shí)必須分別對(duì)企業(yè)層面和業(yè)務(wù)層面的內(nèi)部控制進(jìn)行測(cè)試，這樣的劃分具有一定的合理性；其次，《內(nèi)部控制評(píng)價(jià)指引》規(guī)定了內(nèi)部控制的五要素，不少學(xué)者（如楊有紅，2012）根據(jù)五要素對(duì)內(nèi)部控制缺陷進(jìn)行分類(lèi)，內(nèi)部控制發(fā)揮作用需要五要素共同發(fā)揮作用，將內(nèi)部控制缺陷根據(jù)五要素進(jìn)行劃分也具有其合理性。COSO新框架將內(nèi)部控制五要素細(xì)化成17項(xiàng)原則81個(gè)關(guān)注點(diǎn)，每個(gè)關(guān)注點(diǎn)都細(xì)化到內(nèi)部控制建設(shè)的具體操作層面，從這個(gè)角度出發(fā)進(jìn)行內(nèi)部控制缺陷認(rèn)定更具有可行性，增加了可操作性。依據(jù)COSO新框架構(gòu)建了本文內(nèi)部控制缺陷認(rèn)定框架體系，如圖2所示。

圖2　內(nèi)部控制缺陷認(rèn)定體系圖

（一）公司層面內(nèi)部控制缺陷認(rèn)定公司層面內(nèi)部控制缺陷不僅僅影響財(cái)務(wù)錯(cuò)報(bào)，還影響到公司整個(gè)層面的戰(zhàn)略計(jì)劃、運(yùn)營(yíng)效率等方面，其導(dǎo)致的后果很難用具體數(shù)字來(lái)進(jìn)行衡量，所以公司層面的內(nèi)部控制缺陷認(rèn)定主要采用定性方法，輔以定量方法，定性分析可以通過(guò)關(guān)鍵控制點(diǎn)或跡象法進(jìn)行識(shí)別。根據(jù)2008年的內(nèi)部控制指引第45條“內(nèi)部控制缺陷包括設(shè)計(jì)缺陷及運(yùn)行缺陷”的思路，利用COSO新框架來(lái)判定內(nèi)部控制設(shè)計(jì)是否合理、運(yùn)行是否有效，首先要確定關(guān)鍵控制點(diǎn)，從內(nèi)部控制五個(gè)要素具體細(xì)化的17項(xiàng)原則出發(fā)，分別分析81個(gè)關(guān)注點(diǎn)，再判定是內(nèi)部控制設(shè)計(jì)缺陷還是運(yùn)行缺陷，通過(guò)表格列舉內(nèi)部控制公司層面可能出現(xiàn)的缺陷。

（1）控制環(huán)境方面缺陷認(rèn)定。根據(jù)COSO新框架，控制環(huán)境涉及5項(xiàng)原則21個(gè)關(guān)注點(diǎn)，說(shuō)明了控制環(huán)境的重要性。控制環(huán)境決定了公司的基調(diào)，對(duì)公司行為架構(gòu)、目標(biāo)設(shè)定和風(fēng)險(xiǎn)評(píng)估都有著潛移默化的影響，也影響這公司的控制活動(dòng)、風(fēng)險(xiǎn)評(píng)估以及監(jiān)控活動(dòng)。

第一，誠(chéng)信和道德價(jià)值觀承諾方面的缺陷認(rèn)定。COSO新框架第一項(xiàng)原則就是誠(chéng)信和道德價(jià)值觀，規(guī)定董事會(huì)、管理層應(yīng)該通過(guò)一系列指令、行為來(lái)證明誠(chéng)信及道德價(jià)值觀的重要性，比如平時(shí)就強(qiáng)調(diào)誠(chéng)信重要性、招聘員工時(shí)考慮員工的誠(chéng)信。管理層還應(yīng)建立相應(yīng)的行為準(zhǔn)則和評(píng)價(jià)是否遵守誠(chéng)信道德價(jià)值觀的政策和規(guī)范，如果公司沒(méi)有做到這些就屬于設(shè)計(jì)缺陷。而對(duì)于違反誠(chéng)信和道德價(jià)值觀有關(guān)政策和行為的情況，管理層或治理層如沒(méi)有及時(shí)采取懲罰、糾正措施，就屬于內(nèi)部控制運(yùn)行方面的缺陷。如公司高層管理人員缺少誠(chéng)信而發(fā)生財(cái)務(wù)舞弊行為，被證監(jiān)會(huì)暫停上市（ST）也屬于這方面的缺陷。如表1所示。

表1　誠(chéng)信和道德價(jià)值觀承諾方面的缺陷認(rèn)定

第二，董事會(huì)保持獨(dú)立性方面的缺陷認(rèn)定。獨(dú)立性是保持董事會(huì)有效性的內(nèi)在需求，董事會(huì)監(jiān)督內(nèi)部控制建設(shè)及運(yùn)行時(shí)應(yīng)與管理層應(yīng)保持獨(dú)立性。首先，董事會(huì)與管理層應(yīng)有明確的職責(zé)分工、嚴(yán)格的董事問(wèn)責(zé)制，并且有相關(guān)的書(shū)面文件嚴(yán)格界定董事會(huì)在內(nèi)部控制的責(zé)任，如果企業(yè)沒(méi)有制定相關(guān)政策來(lái)界定責(zé)任則屬于設(shè)計(jì)缺陷。其次，董事會(huì)成員應(yīng)具備足夠的相關(guān)專(zhuān)業(yè)知識(shí)和實(shí)踐經(jīng)驗(yàn)，識(shí)別內(nèi)部控制問(wèn)題后并采取公平、公正的有效措施。董事會(huì)中，獨(dú)立董事常被認(rèn)為是公正的力量，獨(dú)立董事比率也因此作為董事會(huì)獨(dú)立性的衡量指標(biāo)，對(duì)于資產(chǎn)重組、股權(quán)轉(zhuǎn)讓等重大問(wèn)題的決策，獨(dú)立董事發(fā)表獨(dú)立意見(jiàn)可以保障各方利益；董事會(huì)對(duì)于管理層設(shè)計(jì)、執(zhí)行內(nèi)部控制的整個(gè)過(guò)程進(jìn)行有效的監(jiān)督，這就需要審計(jì)委員會(huì)、內(nèi)審部門(mén)的有效運(yùn)作。如果公司在以上三個(gè)方面沒(méi)有確實(shí)執(zhí)行，歸屬于運(yùn)行缺陷。董事會(huì)保持獨(dú)立性這項(xiàng)原則中的各個(gè)關(guān)注點(diǎn)的缺陷識(shí)別方法如表2所示。

表2　董事會(huì)保持獨(dú)立性方面的缺陷認(rèn)定

第三，建立組織結(jié)構(gòu)、報(bào)告途徑等方面的缺陷認(rèn)定。COSO新框架明確了管理層的內(nèi)部控制職責(zé)，公司為加強(qiáng)內(nèi)部控制，應(yīng)依法建立董事會(huì)、監(jiān)事會(huì)、審計(jì)委員會(huì)等組織結(jié)構(gòu)，并建立審計(jì)委員會(huì)、提名委員會(huì)等專(zhuān)門(mén)委員會(huì)。我國(guó)大部分公司存在匯報(bào)路徑不清晰、授權(quán)體系混亂等問(wèn)題，管理者應(yīng)為公司建立正確的報(bào)告渠道，通過(guò)適當(dāng)?shù)氖跈?quán)管理，通過(guò)分級(jí)、分類(lèi)的權(quán)限分配，明確各個(gè)關(guān)鍵領(lǐng)域的權(quán)責(zé)分工，做到在授權(quán)設(shè)計(jì)、授權(quán)實(shí)現(xiàn)、授權(quán)監(jiān)督以及激勵(lì)考核的全程授權(quán)管理。如果公司沒(méi)有設(shè)立合適的組織機(jī)構(gòu)、公司指令報(bào)告路徑不清晰或者審批授權(quán)程序不完備都屬于設(shè)計(jì)方面的缺陷，如表3所示。

表3　建立組織結(jié)構(gòu)、報(bào)告途徑等方面的缺陷認(rèn)定

第四，人力資源政策方面的缺陷認(rèn)定。COSO新框架更加強(qiáng)調(diào)了“人才”對(duì)于內(nèi)部控制建設(shè)的重要性，做好人才方面的工作可以有效推動(dòng)內(nèi)部控制系統(tǒng)設(shè)計(jì)有效性和運(yùn)行有效性。公司進(jìn)行人力資源管理首先將內(nèi)部控制要求納入人力資源政策和實(shí)務(wù)，建立評(píng)價(jià)政策和實(shí)踐有關(guān)的員工能力和缺點(diǎn)，吸引、發(fā)展和保留有專(zhuān)業(yè)勝任能力的人員需要有效的培訓(xùn)和指導(dǎo)機(jī)制，并有相應(yīng)的應(yīng)急計(jì)劃來(lái)保證員工持續(xù)性、激發(fā)員工積極性。公司如果在人力資源方面沒(méi)有制定相關(guān)政策、沒(méi)有評(píng)價(jià)人力資源政策機(jī)制和相應(yīng)的培訓(xùn)體制，就屬于控制環(huán)境中人力資源設(shè)計(jì)方面的漏洞；而公司在人才問(wèn)題突然問(wèn)題時(shí)無(wú)法應(yīng)對(duì)則屬于運(yùn)行缺陷，具體缺陷類(lèi)型和識(shí)別方法如表4所示。

表4　人力資源政策方面的缺陷認(rèn)定

第五，建立個(gè)人內(nèi)部控制職責(zé)方面的缺陷認(rèn)定。COSO新框架強(qiáng)調(diào)了全員參與的內(nèi)部控制建設(shè)，公司應(yīng)明確每個(gè)員工的內(nèi)部控制職責(zé)，員工職責(zé)不清晰對(duì)內(nèi)部控制系統(tǒng)的有效運(yùn)行將產(chǎn)生不良影響，進(jìn)而影響內(nèi)部控制整體執(zhí)行力。公司應(yīng)將各個(gè)控制點(diǎn)的具體責(zé)任分配到具體崗位，并建立相應(yīng)的績(jī)效評(píng)估機(jī)制、評(píng)價(jià)機(jī)制來(lái)落實(shí)每個(gè)員工的內(nèi)部控制職責(zé)。如表5所示。

表5　建立個(gè)人內(nèi)部控制職責(zé)方面的缺陷認(rèn)定

（2）風(fēng)險(xiǎn)評(píng)估方面的缺陷認(rèn)定。COSO新框架中將風(fēng)險(xiǎn)評(píng)估細(xì)分為4項(xiàng)原則，包括制定目標(biāo)、應(yīng)用工具識(shí)別風(fēng)險(xiǎn)并進(jìn)行風(fēng)險(xiǎn)管理、識(shí)別潛在舞弊以及識(shí)別和評(píng)價(jià)公司面臨的重大事項(xiàng)變更。

第一，制定識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)的目標(biāo)方面的缺陷認(rèn)定。風(fēng)險(xiǎn)評(píng)估中的第1項(xiàng)原則就規(guī)定公司應(yīng)制定清晰的目標(biāo)來(lái)有效識(shí)別和評(píng)價(jià)阻礙內(nèi)部控制目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)。外部財(cái)務(wù)報(bào)告目標(biāo)的關(guān)注點(diǎn)主要是企業(yè)是否遵守會(huì)計(jì)準(zhǔn)則、考慮財(cái)務(wù)報(bào)告的重要性以及是否可以反映公司的實(shí)體控制活動(dòng)。若公司沒(méi)有及時(shí)披露中期財(cái)務(wù)報(bào)表、簡(jiǎn)略財(cái)務(wù)報(bào)表或者期末財(cái)務(wù)報(bào)告，說(shuō)明企業(yè)在這一方面存在缺陷；而外部非財(cái)務(wù)報(bào)告目標(biāo)的關(guān)注點(diǎn)主要是公司是否遵守法律法規(guī)，是否被證監(jiān)會(huì)ST。與舊框架相比，COSO新框架的報(bào)告目標(biāo)增加了內(nèi)部報(bào)告目標(biāo)，如市場(chǎng)調(diào)查報(bào)告、內(nèi)部評(píng)價(jià)報(bào)告等，內(nèi)部報(bào)告目標(biāo)反映了準(zhǔn)確和完整的管理信息，公司應(yīng)提供相關(guān)的供內(nèi)部人員使用的信息報(bào)告，讓內(nèi)部人員快速了解公司的各項(xiàng)信息。遵守法律法規(guī)目標(biāo)反映了外部法律和規(guī)則制度的最低行為標(biāo)準(zhǔn)，應(yīng)考慮違背這個(gè)目標(biāo)會(huì)造成的最低程度風(fēng)險(xiǎn)，如果公司財(cái)務(wù)目標(biāo)沒(méi)有達(dá)成，可能是公司財(cái)務(wù)報(bào)表存在錯(cuò)報(bào)或者發(fā)生財(cái)務(wù)報(bào)表重述；如果企業(yè)違背法律法規(guī)造成嚴(yán)重后果，監(jiān)管部門(mén)會(huì)對(duì)公司做出相應(yīng)的處罰，比如暫停退市（ST）。如表6所示。

表6　制定識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)的目標(biāo)方面的缺陷認(rèn)定

第二，識(shí)別風(fēng)險(xiǎn)及風(fēng)險(xiǎn)管理方面的缺陷認(rèn)定。COSO新框架規(guī)定公司應(yīng)在公司整個(gè)實(shí)體層面識(shí)別可能威脅公司實(shí)現(xiàn)目標(biāo)的風(fēng)險(xiǎn)，公司應(yīng)考慮的內(nèi)部因素包括組織機(jī)構(gòu)、經(jīng)營(yíng)管理、資產(chǎn)、業(yè)務(wù)流程、財(cái)務(wù)狀況，信息系統(tǒng)運(yùn)行，外部因素包括經(jīng)濟(jì)形式、產(chǎn)業(yè)狀況、市場(chǎng)競(jìng)爭(zhēng)、資源供給、自然災(zāi)害等。公司應(yīng)運(yùn)用各類(lèi)技巧對(duì)各類(lèi)風(fēng)險(xiǎn)進(jìn)行搜集、確認(rèn)、分類(lèi)和評(píng)價(jià)，對(duì)識(shí)別的較大發(fā)生概率、影響重大的風(fēng)險(xiǎn)應(yīng)特別考慮，并對(duì)每個(gè)風(fēng)險(xiǎn)采取針對(duì)性的應(yīng)對(duì)措施。關(guān)于這一項(xiàng)原則的缺陷認(rèn)定如表7所示。

表7　識(shí)別風(fēng)險(xiǎn)及風(fēng)險(xiǎn)管理方面的缺陷認(rèn)定

第三，評(píng)價(jià)潛在舞弊方面的風(fēng)險(xiǎn)缺陷認(rèn)定。COSO新框架在舞弊方面進(jìn)行了更深入的討論，認(rèn)為舞弊風(fēng)險(xiǎn)跟一般風(fēng)險(xiǎn)有所區(qū)別，舞弊風(fēng)險(xiǎn)主觀故意性強(qiáng)、隱蔽性強(qiáng)、后果損失嚴(yán)重。防止舞弊是內(nèi)部控制最基本的功能之一，COSO新框架認(rèn)為在風(fēng)險(xiǎn)評(píng)估階段應(yīng)重點(diǎn)考慮舞弊風(fēng)險(xiǎn)，公司進(jìn)行舞弊風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)首先考慮可能的舞弊風(fēng)險(xiǎn)類(lèi)型、欺詐報(bào)告以及可能發(fā)生的資產(chǎn)損失情況。公司應(yīng)根據(jù)業(yè)務(wù)特征，在設(shè)計(jì)內(nèi)部控制系統(tǒng)時(shí)考慮反舞弊機(jī)制，設(shè)置舞弊舉報(bào)、舉報(bào)人保護(hù)、加強(qiáng)防腐教育建設(shè)。如果公司缺少相應(yīng)的反舞弊機(jī)制就屬于設(shè)計(jì)方面的缺陷，若公司被爆出發(fā)生財(cái)務(wù)舞弊、管理層凌駕內(nèi)部控制等案件，說(shuō)明公司在舞弊風(fēng)險(xiǎn)識(shí)別和評(píng)估方面存在缺陷。如表8所示。

第四，識(shí)別重大變更事項(xiàng)方面的缺陷認(rèn)定。COSO新框架專(zhuān)門(mén)強(qiáng)調(diào)了公司應(yīng)主動(dòng)識(shí)別和評(píng)價(jià)會(huì)對(duì)內(nèi)部控制體系產(chǎn)生重大影響的變化事項(xiàng)，包括公司內(nèi)部因素變化如組織結(jié)構(gòu)重大調(diào)整、發(fā)生兼并重組、主營(yíng)業(yè)務(wù)變更和外部環(huán)境變化如法律法規(guī)、市場(chǎng)環(huán)境。公司可以通過(guò)內(nèi)部控制自我評(píng)價(jià)或者審計(jì)等方法來(lái)識(shí)別和評(píng)價(jià)公司面臨的各項(xiàng)變化，并相應(yīng)調(diào)整內(nèi)部控制體系，如果公司產(chǎn)生重大變化事項(xiàng)而公司未能做出有效應(yīng)，使得公司出現(xiàn)不可持續(xù)經(jīng)營(yíng)對(duì)就屬于運(yùn)行缺陷，嚴(yán)重情況下可能導(dǎo)致公司可持續(xù)經(jīng)營(yíng)出現(xiàn)問(wèn)題，被出具非標(biāo)準(zhǔn)的財(cái)務(wù)報(bào)告審計(jì)報(bào)告。如表9所示。

表9　識(shí)別重大變更事項(xiàng)方面的缺陷認(rèn)定

（3）控制活動(dòng)方面的缺陷認(rèn)定。根據(jù)2013年COSO新框架，控制活動(dòng)指的是通過(guò)制定政策和程序來(lái)確保管理者指令得以有效實(shí)施的行為，新框架還提出公司應(yīng)在整體層面制定政策，并在此基礎(chǔ)上安排具體控制流程，增強(qiáng)內(nèi)部控制實(shí)施效果。

第一，公司控制活動(dòng)的選擇?？刂苹顒?dòng)并不是單一的，不同類(lèi)型的控制活動(dòng)相互組合，會(huì)產(chǎn)生更好的效果，所以要保證內(nèi)部控制活動(dòng)的有效實(shí)施，必須考慮不同控制活動(dòng)的相互組合，新框架指出控制活動(dòng)具體包括授權(quán)審批、實(shí)物控制、常規(guī)數(shù)據(jù)控制、調(diào)節(jié)控制、監(jiān)督控制等人工控制以及ERP系統(tǒng)等自動(dòng)化控制，人工控制在認(rèn)定這項(xiàng)關(guān)注點(diǎn)的缺陷時(shí)不僅要考慮控制活動(dòng)的組合，還要考慮這些組合的控制活動(dòng)的實(shí)施效果；當(dāng)然，要保證內(nèi)部控制活動(dòng)的有效實(shí)施，還是離不開(kāi)“人”的作用，內(nèi)部控制規(guī)則應(yīng)界定好每個(gè)人的權(quán)限，這也是預(yù)防舞弊、欺詐的基本條件。關(guān)于這一項(xiàng)關(guān)注點(diǎn)的缺陷認(rèn)定如表10所示。

表10　公司控制活動(dòng)選擇方面的缺陷認(rèn)定

第二，技術(shù)性一般控制活動(dòng)。COSO新框架特別強(qiáng)調(diào)了技術(shù)相關(guān)的風(fēng)險(xiǎn)，公司應(yīng)針對(duì)技術(shù)流程風(fēng)險(xiǎn)設(shè)置相應(yīng)的技術(shù)性一般控制活動(dòng)，包括技術(shù)基礎(chǔ)設(shè)施控制活動(dòng)、安全管理過(guò)程控制活動(dòng)和技術(shù)引進(jìn)、發(fā)展及維持控制活動(dòng)。當(dāng)今社會(huì)不斷變革，公司技術(shù)應(yīng)用日新月異，公司應(yīng)該考慮技術(shù)變化情況及其產(chǎn)生的影響，并加強(qiáng)改進(jìn)技術(shù)設(shè)施建設(shè)（如大型計(jì)算機(jī)、復(fù)雜通訊網(wǎng)絡(luò)）和建立一系列應(yīng)急計(jì)劃（如備份和恢復(fù)程序、災(zāi)害復(fù)原計(jì)劃等）。我國(guó)在這方面比較薄弱，公司應(yīng)加強(qiáng)技術(shù)開(kāi)發(fā)、技術(shù)運(yùn)行、技術(shù)評(píng)價(jià)方面的風(fēng)險(xiǎn)控制，避免技術(shù)風(fēng)險(xiǎn)對(duì)公司業(yè)務(wù)產(chǎn)生重大影響。關(guān)于技術(shù)性一般控制活動(dòng)的關(guān)注要點(diǎn)及缺陷認(rèn)定如表11所示。

表11　技術(shù)性一般控制活動(dòng)方面的缺陷認(rèn)定

第三，公司制定政策和流程以開(kāi)展控制活動(dòng)。COSO新框架將控制活動(dòng)的實(shí)施進(jìn)一步細(xì)分為一般控制政策及具體業(yè)務(wù)流程兩個(gè)方面。公司首先在整體層面制定內(nèi)部控制政策，并在此基礎(chǔ)上邏輯推演出具體內(nèi)部控制流程，可以避免內(nèi)部控制“流于形式”。政策必須以文件形式記錄，是聲明管理者關(guān)于什么是正確的書(shū)面文件；程序是為了實(shí)踐內(nèi)部控制政策而采取的行動(dòng)，必須界定清楚執(zhí)行控制活動(dòng)人員的責(zé)任，必須規(guī)定每項(xiàng)控制活動(dòng)及后續(xù)修正行動(dòng)的時(shí)間安排，而且需要有專(zhuān)業(yè)勝任能力的員工來(lái)執(zhí)行控制活動(dòng)，最后，公司還需要定期評(píng)估內(nèi)部控制的政策和程序以及相關(guān)控制活動(dòng)的持續(xù)性和有效性，所有這些在內(nèi)部控制規(guī)范文件的缺失都屬于內(nèi)部控制設(shè)計(jì)缺陷，其他三個(gè)關(guān)注點(diǎn)歸屬到運(yùn)行缺陷。如表12所示。

表12　公司制定政策和流程以開(kāi)展控制活動(dòng)的缺陷認(rèn)定

（4）信息與溝通方面的缺陷認(rèn)定。信息對(duì)于實(shí)施內(nèi)部控制是不可或缺的，管理者從公司內(nèi)部和外部獲取、處理和利用有價(jià)值的信息以支持內(nèi)部控制其他功能的發(fā)揮。COSO新框架將信息與溝通這一要素和內(nèi)部報(bào)告目標(biāo)進(jìn)行了區(qū)分，主要涉及3項(xiàng)原則：公司應(yīng)獲取高質(zhì)量的信息、公司內(nèi)部交流和與外界的溝通。

第一，公司獲取或者產(chǎn)生高質(zhì)量信息。第13項(xiàng)原則幾個(gè)關(guān)注點(diǎn)主要是；公司應(yīng)制定相關(guān)政策和程序，從公司內(nèi)部和外部獲取高質(zhì)量的財(cái)務(wù)信息與非財(cái)務(wù)信息，并通過(guò)信息系統(tǒng)處理數(shù)據(jù)，并保證信息準(zhǔn)確性、及時(shí)性、持續(xù)性、保密性及有效性。其中財(cái)務(wù)信息不僅用于編制公開(kāi)的財(cái)務(wù)報(bào)表，還作為制定決策的基礎(chǔ)，經(jīng)營(yíng)信息也可能影響存貨或應(yīng)收賬款的股價(jià)，從而影響財(cái)務(wù)報(bào)表編制。信息系統(tǒng)是識(shí)別、加工和報(bào)告公司內(nèi)外部信息的工具，信息系統(tǒng)產(chǎn)生的信息質(zhì)量對(duì)于有效決策非常關(guān)鍵，這就需要依賴(lài)控制活動(dòng)職能的有效實(shí)施。如表13所示。

表13　公司獲取或者產(chǎn)生高質(zhì)量信息的缺陷認(rèn)定

第二，公司內(nèi)部交流方面的缺陷認(rèn)定。COSO新框架第14項(xiàng)原則認(rèn)為內(nèi)部控制制度和規(guī)范只有有效傳達(dá)到各個(gè)部門(mén)、明確各個(gè)員工職責(zé)，才能有效實(shí)施內(nèi)部控制措施，這就需要公司內(nèi)部控制信息的溝通與交流這一項(xiàng)原則起作用，公司內(nèi)部信息包括內(nèi)部控制政策和程序、特定目標(biāo)、員工實(shí)施內(nèi)部控制的角色和責(zé)任、組織自上而下的溝通渠道等。重大事項(xiàng)、內(nèi)部控制系統(tǒng)失靈引起的事項(xiàng)都應(yīng)該與董事會(huì)溝通，管理層與董事會(huì)溝通越有效，董事會(huì)越能有效實(shí)施監(jiān)督職能。除考慮正常的交流渠道，COSO新框架強(qiáng)調(diào)非常規(guī)渠道的重要性，如匿名交流的保險(xiǎn)機(jī)制建設(shè)，這也是一個(gè)預(yù)防內(nèi)部控制失敗的機(jī)制。當(dāng)然，公司應(yīng)要根據(jù)公司自身規(guī)模、文化價(jià)值觀、緊迫性等因素，考慮各種溝通方法，是以口頭傳達(dá)、郵件通知、一對(duì)一討論還是以書(shū)面文件下發(fā)，否則會(huì)造成內(nèi)部信息交流不順暢。其具體的缺陷認(rèn)定及舉例如表14所示。

表14　公司內(nèi)部交流方面的缺陷認(rèn)定

第三，與外部利益相關(guān)者溝通方面的缺陷認(rèn)定。與外部實(shí)體進(jìn)行交流，公司可以了解到顧客、供應(yīng)商對(duì)產(chǎn)品服務(wù)的評(píng)價(jià)和反饋信息、可以了解顧客的需求和愛(ài)好，可以通過(guò)審計(jì)師對(duì)內(nèi)部控制財(cái)務(wù)報(bào)告和非財(cái)務(wù)報(bào)告的獨(dú)立評(píng)價(jià)，通過(guò)監(jiān)管部門(mén)了解最新法律法規(guī)變化，了解這些信息可以讓公司更好應(yīng)對(duì)外界發(fā)生的事件、外部環(huán)境的變化，另外COSO新框架認(rèn)為選擇非常規(guī)溝通渠道及溝通方式也很重要。如表15所示。

表15　與外部利益相關(guān)者溝通方面的缺陷認(rèn)定

（5）監(jiān)督活動(dòng)方面的缺陷認(rèn)定COSO新框架認(rèn)為構(gòu)建內(nèi)部控制體系后，公司還需要建立監(jiān)督機(jī)制以保證內(nèi)部控制系統(tǒng)的正常運(yùn)轉(zhuǎn)，這就需要持續(xù)監(jiān)控、獨(dú)立評(píng)估來(lái)實(shí)現(xiàn)。

第一，公司監(jiān)督活動(dòng)選擇的缺陷認(rèn)定。公司需要持續(xù)性的監(jiān)督活動(dòng)，來(lái)提供內(nèi)部控制其他要素有效性的反饋信息，以維持日常內(nèi)部控制活動(dòng)的有效運(yùn)行。內(nèi)部控制系統(tǒng)性的評(píng)估也十分必要，內(nèi)部控制監(jiān)督程序能夠有效發(fā)揮作用離不開(kāi)有勝任能力的員工。公司應(yīng)確定內(nèi)部控制評(píng)價(jià)范圍和頻率，并周期性的提供反饋信息，如表16所示。

表16　公司監(jiān)督活動(dòng)選擇的缺陷認(rèn)定

第二，公司評(píng)價(jià)并匯報(bào)內(nèi)部控制缺陷。COSO新框架指出，對(duì)公司內(nèi)部控制系統(tǒng)進(jìn)行評(píng)價(jià)本身也是內(nèi)部控制建設(shè)的一部分，如果缺失將被認(rèn)為是內(nèi)部控制監(jiān)督方面的漏洞，所以針對(duì)內(nèi)部控制第17項(xiàng)原則——識(shí)別的內(nèi)部控制缺陷，公司還應(yīng)建立政策和程序?qū)⑷毕輦鬟_(dá)至管理層或董事會(huì)，并及時(shí)進(jìn)行整改和披露相關(guān)的內(nèi)部控制缺陷及整改信息，其認(rèn)定如表17所示。

表17　公司評(píng)價(jià)并報(bào)告內(nèi)部控制缺陷

（6）內(nèi)部控制17項(xiàng)原則整合的缺陷認(rèn)定。以上從內(nèi)部控制五要素17項(xiàng)原則81個(gè)關(guān)注點(diǎn)出發(fā)，確定內(nèi)部控制缺陷是屬于設(shè)計(jì)缺陷或運(yùn)行缺陷；在確定了各關(guān)注點(diǎn)屬于何種類(lèi)型的內(nèi)部控制缺陷后，應(yīng)考慮將發(fā)現(xiàn)的各個(gè)關(guān)注點(diǎn)存在的缺陷先在各項(xiàng)原則內(nèi)進(jìn)行分析，并匯總綜合判斷，最終判定是重大缺陷、重要缺陷還是一般缺陷。如圖3所示。

其中，內(nèi)部控制設(shè)計(jì)缺陷是公司現(xiàn)存內(nèi)部控制設(shè)計(jì)不恰當(dāng)或缺少必須的控制使得內(nèi)部控制運(yùn)行難以實(shí)現(xiàn)目標(biāo)。根據(jù)COSO新框架，每一項(xiàng)內(nèi)部控制制度、流程的設(shè)計(jì)主要從內(nèi)部控制五要素17項(xiàng)原則出發(fā)，所以上文對(duì)內(nèi)部控制設(shè)計(jì)有效性的評(píng)估也主要從內(nèi)部控制17項(xiàng)原則81個(gè)關(guān)注點(diǎn)出發(fā)，通過(guò)內(nèi)部控制制度、具體流程設(shè)置一些量化標(biāo)準(zhǔn)或指標(biāo)。在上文中確定了哪些關(guān)注點(diǎn)是歸屬于設(shè)計(jì)缺陷的部分后，再進(jìn)行缺陷整合判斷，如果缺少一個(gè)或幾個(gè)關(guān)鍵控制點(diǎn)則判定成重大缺陷，缺少多個(gè)一般控制點(diǎn)則是重要缺陷，缺少一個(gè)一般控制點(diǎn)就為一般缺陷。另外，內(nèi)部控制運(yùn)行缺陷指的是公司設(shè)計(jì)好的內(nèi)部控制制度并沒(méi)有按照計(jì)劃執(zhí)行，或者運(yùn)行人員沒(méi)有得到授權(quán)就實(shí)施控制。上文從81個(gè)關(guān)注點(diǎn)出發(fā)進(jìn)行判斷時(shí)，歸屬于運(yùn)行缺陷的部分，也要進(jìn)行運(yùn)行缺陷整合判斷。運(yùn)行缺陷識(shí)別方法可以借鑒財(cái)務(wù)報(bào)告審計(jì)中的穿行測(cè)試，如果內(nèi)部控制運(yùn)行完全沒(méi)有按照流程進(jìn)行，多個(gè)關(guān)鍵控制點(diǎn)失去作用則認(rèn)定為重大缺陷，其中某個(gè)關(guān)鍵控制點(diǎn)失去控制判定為重要缺陷，一般控制點(diǎn)失控則為一般缺陷判定標(biāo)準(zhǔn)。如表18所示。

表18　內(nèi)部控制公司層面的設(shè)計(jì)和運(yùn)行缺陷判定標(biāo)準(zhǔn)

（二）賬戶(hù)層面內(nèi)部控制缺陷認(rèn)定

賬戶(hù)層面的內(nèi)部控制缺陷主要是指會(huì)計(jì)層面的內(nèi)部控制缺陷，即直接導(dǎo)致財(cái)務(wù)錯(cuò)報(bào)的內(nèi)部控制缺陷，包括原始憑證、明細(xì)分類(lèi)賬、總賬甚至財(cái)務(wù)報(bào)告編制和披露的所有過(guò)程中產(chǎn)生的內(nèi)部控制缺陷，其所產(chǎn)生的影響金額往往比較容易估計(jì)，所以賬戶(hù)層面的內(nèi)部控制缺陷認(rèn)定標(biāo)準(zhǔn)主要采用定量方式。本文借鑒審計(jì)財(cái)務(wù)報(bào)表的重要性水平來(lái)定量分析賬戶(hù)層面的內(nèi)部控制缺陷，將內(nèi)部控制缺陷造成的錯(cuò)報(bào)金額或損失金額與事先設(shè)定的重要性水平進(jìn)行對(duì)比，遠(yuǎn)遠(yuǎn)低于重要性水平的認(rèn)定為內(nèi)部控制一般缺陷，低于重要性水平的認(rèn)定為重要缺陷，而超過(guò)重要性水平的認(rèn)定為重大缺陷，其缺陷認(rèn)定標(biāo)準(zhǔn)如圖4所示。

圖4　賬戶(hù)層面內(nèi)部控制缺陷認(rèn)定標(biāo)準(zhǔn)

確定了缺陷認(rèn)定標(biāo)準(zhǔn)后，接下來(lái)要解決的是重要性水平的確定問(wèn)題，根據(jù)我國(guó)審計(jì)實(shí)務(wù)中的判定標(biāo)準(zhǔn)，重要性水平主要是利用資產(chǎn)總額、營(yíng)業(yè)收入、凈利潤(rùn)等財(cái)務(wù)指標(biāo)作為基數(shù)，用百分比作為分界標(biāo)準(zhǔn)。通過(guò)財(cái)務(wù)指標(biāo)和百分比將內(nèi)部控制缺陷嚴(yán)重程度進(jìn)行量化，更易于理解。關(guān)于重要性水平的確定如表19所示。內(nèi)部控制缺陷認(rèn)定是內(nèi)部控制評(píng)價(jià)和鑒證基礎(chǔ)，本文利用COSO內(nèi)部控制新框架構(gòu)建了內(nèi)部控制缺陷認(rèn)定體系及標(biāo)準(zhǔn)，為企業(yè)內(nèi)部控制自評(píng)和外部審計(jì)師內(nèi)部控制審計(jì)提供標(biāo)準(zhǔn)，能更準(zhǔn)確判定企業(yè)內(nèi)部控制質(zhì)量，進(jìn)一步完善內(nèi)部控制。

表19　內(nèi)部控制缺陷重要性水平確定

參考文獻(xiàn)：

［1］周勤業(yè)、王嘯：《美國(guó)內(nèi)部控制信息披露的發(fā)展及其借鑒》，《會(huì)計(jì)研究》2005年第2期。

［2］楊有紅、李宇立：《內(nèi)部控制缺陷的識(shí)別、認(rèn)定與報(bào)告》，《會(huì)計(jì)研究》2011年第3期。

［3］王惠芳：《內(nèi)部控制缺陷認(rèn)定：現(xiàn)狀、困境及基本框架重構(gòu)》，《會(huì)計(jì)研究》2011年第8期。

［4］Jeffrey Doyle，Weili Ge，Sarah McVay．Determinants of Weaknesses in Internal Control over Financial Reporting．Journal of Accounting and Economics，2007.

［5］Financial Reporting Council．Internal Control-Revised Guidance for Directors on the Combined Code，2005．

（編輯梁 恒）

*本文系福州大學(xué)科技發(fā)展基金項(xiàng)目（項(xiàng)目編號(hào)：15CKQ04）的階段性研究成果。