内部控制缺陷识别与认定的技术路线:基于管理层视角的分析

李宇立

(新疆财经大学 会计学院，新疆 乌鲁木齐830012)

在内部控制评价和审计过程中，控制缺陷的识别与认定是评价内部控制体系是否有效的关键[1]。虽然COSO基于全面内部控制定义缺陷，PCAOB仅就财务报告相关内部控制定义缺陷，但是它们均体现为:缺陷的存在对目标的实现构成了障碍①。《企业内部控制基本规范》及其配套指引实施以来，内部控制缺陷的识别与认定问题已经成为上市公司管理层和注册会计师针对内部控制自我评价和审计的主要冲突之所在。由于美国SEC在法规层面仅对财务报告相关内部控制予以了刚性约束，“四大”积攒的丰富的内部控制咨询与审计经验基本上局限于此。因此，对于公司管理层而言，探索一套满足我国法规要求的内控缺陷识别与认定的技术方案具有重要的现实意义。

实践中，当内部控制的理论目标演化为具有企业个性特征的预期目标，内部控制可发挥的作用演化为内部控制的实际效果时，倘若两者之间存在差距，那么就意味着，企业内部控制体系具有缺陷。也就是说，内部控制缺陷已经(或将来有可能)使得内部控制不能为控制目标的实现提供“合理保证”。偏离目标的程度则反映了缺陷的严重程度。具体该如何操作呢？本文将基于管理层的视角，分析内部控制缺陷识别与认定的一般程序以及缺陷认定的标准，进而讨论内部控制缺陷识别的具体方法，并对缺陷的汇总分析和应对加以探讨。本文旨在为内部控制规范体系的切实履行提供公司操作层面的技术参考。

一、内部控制缺陷识别与认定的一般程序以及缺陷认定的标准

(一)内部控制缺陷识别与认定的一般程序

缺陷的识别与认定是一个过程，包含三个步骤。首先，确定风险偏好和风险容忍度。该步骤在内部控制体系建立之初以及战略目标确定时业已完成，并且演化成为细化了的目标。其次，将单位层面的风险容忍度“自上而下”地在各层级分配，形成不同部门和岗位的可容忍风险，随后依据具体目标的变化做出相应的调整。最后，将敞口风险与对应岗位或层级的风险容忍度进行对比。其中，风险容忍度与内部控制的预期目标相对应，敞口风险则与内部控制的实际效果相关联。需要核查的敞口风险有两类:因内部控制不健全导致的纯粹敞口风险；因内部控制有效性的欠缺导致的剩余风险。核查敞口风险也同样涉及组织的各个层级。与风险容忍度分解不同的是，敞口风险的核查应当采取基于风险组合观的“自下而上”的方式。

内部控制缺陷识别与认定的核心即为:将风险在不同层级范围内予以汇总，考察敞口风险是否低于所属层级的可容忍风险水平。如果超出可容忍风险，则依据既定的缺陷认定标准判断缺陷的严重程度。也就是说，每一次具体缺陷识别与认定工作的主要任务是将敞口风险和可容忍的风险相对比。图1描述了敞口风险与风险容忍度相对比的过程，即内部控制缺陷识别与认定的一般程序。

图1 内部控制缺陷识别与认定的一般程序

(二)内部控制缺陷认定的标准

1.按照严重程度划分的缺陷类型

COSO报告中的“缺陷”广泛涵盖内部控制或风险管理系统中所有“值得关注”的情况[2](P74)[3](P79-80)。SEC相关规则和 PCAOB AS5将内部控制缺陷按照缺陷的严重程度划分为:一般缺陷(inconsequential deficiency，或称其为不重要缺陷)、重要缺陷(significant deficiency)和重大缺陷(material weakness)[4][5]。《企业内部控制评价指引》有着类似的分类[6]。对比中美两国对不同严重程度缺陷的定义，其差别在于内部控制涵盖的范围。SEC相关规则和PCAOB AS5提出的缺陷是指财务报告相关内部控制的缺陷，重要缺陷和重大缺陷均指重大错报未被及时地预防和发现的可能性。《评价指引》所指重要缺陷和重大缺陷为全面内部控制的缺陷，导致对整体控制目标严重偏离未给予及时关注和防止。而中美两国定义的共同之处在于两方面②:其一，“重大缺陷”的严重程度大于“重要缺陷”；其二，无论是“重大错报”，还是“整体控制目标严重偏离”，它们都是目标未实现(或可能无法实现)的结果③。这与内部控制缺陷的实质具有内在一致性。

图2 内部控制缺陷的严重程度

图2反映了内部控制缺陷严重程度递增的情况。需要注意的是，内部控制缺陷的三个水平处于连续的状态中，究竟应该在哪里“划线”不容回避[7](P250)。实践中，在考虑缺陷的严重程度方面，SEC允许管理层和审计人员依据自身环境和具体情况做出判断，《评价指引》也传递了同样的信息。如前所述，内部控制目标实现的情况(亦即实际发挥的作用)与预期目标之间往往有差距，这就反映为内部控制的现实缺陷。此外，判断潜在缺陷的严重程度关乎敞口风险(即，未被控制措施覆盖的风险)产生(或可能产生)的一过性损失(即，每发生一次所带来的损失)以及发生的频率。

2.缺陷认定的标准:自由裁量权的运用

如前所述，内部控制缺陷的严重程度处于连续的状态中，企业可以依据自身环境和具体情况做出判断，同时，目标的偏离程度反映了缺陷的严重程度。表1中，诸如1%、3%、5%以及10%这样的区间值的选择，企业具有自由裁量权。自由裁量权来源于企业具有个性特征的风险偏好和可容忍风险度。

表1 缺陷认定标准的选择示例

需要说明的是，风险容忍度(可接受范围)的确立受到风险偏好的影响，并且与公司战略目标和细化目标相互对应。可以说，风险可承受范围的划定是对战略目标、具体目标的量化以及风险偏好传承的结果。实践中，任何量化目标都可以成为确定风险容忍度的基础。究竟选择何者，取决于公司的战略规划。另外，潜在的缺陷可能导致未来目标实现受阻，与现实的缺陷相比，对其判断的主观性较强。这是管理层和注册会计师在内部控制信息披露中一个重要的博弈领域。可以预料的是，在财务报告内部控制的潜在缺陷认定方面，注册会计师因其专业性将占据主导，而在非财务报告方面，管理层具有优势。

二、内部控制缺陷识别的具体方法

内部控制缺陷的识别是缺陷认定的基础，二者之间密不可分。因此，为了准确判断内部控制缺陷的严重程度，必须积极地发现缺陷信息，同时在必要的情况下对缺陷信号加以识别并予以追踪，以期服务于缺陷的汇总分析与应对。

(一)缺陷的发现

1.内部控制缺陷信息的来源渠道

通过对资源投入的考量、组织内部活动及过程的分析评价，管理者能够获取有关内部控制缺陷的过程信息；而通过对产出结果的比对，则能够获取有关内部控制缺陷结果的信息(如图3所示)。换句话说，发现内部控制缺陷有两种方式:一种是发现缺陷本身；另一种则是发现因控制存在缺陷导致的结果。前者获取的是内部控制缺陷的直接信息，后者为缺陷的间接信息。获取的内部控制缺陷间接信息通常并不能直接告诉我们缺陷在哪里。直接信息则具有较高的相关性，它可以为具体环节的内部控制缺陷提供直接的证据。

图3 内部控制缺陷信息获取的路径

2.内部控制缺陷过程性信息的获取

获取缺陷过程性信息的方法包括:观察执行中的控制活动；重新执行相应控制；检查等。依据内部控制缺陷的过程性信息(即直接信息)不仅能够发现现实的缺陷，还能够发现潜在的缺陷。事实上，内部控制缺陷过程性信息的获取过程与注册会计师对被审单位实施内部控制符合性测试所使用的方法类似。所不同的是，对于企业管理层而言，获取缺陷信息的通常是内部审计机构和人员，而且获取这些信息的最终目的在于优化控制系统。

3.内部控制缺陷结果性信息的发掘

与过程性信息不同的是，结果性信息(即间接信息)反馈的通常是内部控制中现实的、较为严重的缺陷。此外，获取的结果性信息是已经显现出的后果，因此对缺陷存在性的判断通常更为准确。如果已经发现了缺陷的间接信息，那么，还必须找到缺陷产生的关键环节以及未能获取内部控制缺陷直接信息的原因。

在企业内部控制的目标体系中，诸如预期的市场份额、收益的稳定性(或增长率)、投资回报率、资本充足率(或信用等级)，以及计划的产品成本和产品质量等级都可以作为内部控制缺陷判断的参照系。当内部控制缺陷判断参照系中的关键指标未得以完成时(即，实际偏离了既定标准)，就给管理层释放出了内部控制缺陷的结果性信息。这些信息的来源包括，但不限于如下方面:产品(或服务)的成本信息、质量信息和销售信息；投资损益信息；信贷、购销合同纠纷信息；期间费用信息；非经常性损益信息；现金流信息等。本文在随后详细列示了投诉率和单位产品成本所反映的内部控制缺陷的结果性信息及其可能的原因(见图4和图5)。

4.内部控制缺陷过程性信息与结果性信息的互补

作为内部控制的主体，管理者和普通员工对于过程性的缺陷信息往往已经“习惯成自然”，而对结果性的缺陷信息相对敏感。但是，如果控制缺陷是潜在的，或是缺陷不够严重，有可能无法形成令人警觉的间接信息(或结果性信息)，而且，随着时间的推移，依据控制缺陷间接信息寻找缺陷环节的难度将逐渐加大。此外，在规模较小的组织中，交易和事项的数量相对较少，获取内部控制缺陷的直接信息较为容易，因此可以主要利用直接信息来得出内部控制缺陷存在与否以及严重程度的结论。然而，对于规模较大的组织，规范化的日常管理(例如全面质量管理、适时生产制、全面预算管理等)能够为内部控制缺陷存在性和严重程度提供丰富的间接信息，直接信息则往往是通过内审部门定期或不定期的监控获取。因此，反映控制缺陷结果的间接信息和反映过程的直接信息在大规模的组织中更能够体现出互补的特征。

(二)缺陷的追踪

1.缺陷追踪思路

如果相关人员获取了内部控制缺陷的过程性信息，那么接下来需要做的是，分析缺陷的严重程度并对产生的根源做出判断。但是，如果发现的是缺陷的结果性信息，则首先要追踪产生该结果的缺陷环节。由于交易或事项本身是产生负面结果的原因，控制是按照“从原因至结果”的过程进行的[8]，因此，对缺陷的结果性信息加以追踪，是以具体目标实现程度(敞口风险与风险容忍度的对比结果)为起点，基于业务流程发展脉络的逆向过程。

2.缺陷追踪方法——故障树分析法的应用

故障树分析法(fault tree analysis，FTA)，能够对系统中的各种危险因素进行辨识和评价，不仅能分析出事故的直接原因，而且能深入地揭示出事故的潜在原因。FTA的核心是绘制故障树。故障树(也称事故树或分析树)是一种逻辑因果关系图，它根据基本事件来显示系统的状态。故障树的编制主要有四个步骤。首先，确定顶上事件。顶上事件，即为所要分析的事故，既可以是可能发生的事故，也可以是已经发生的事故。其次，调查或分析造成顶上事件的各种原因。再次，描绘故障树。在找出造成顶上事件的各种原因之后，用相应事件符号和恰当的逻辑把它们从上到下分层连接起来，层层向下，直到最基本的原因事件。最后，审定故障树。

将FTA应用于内部控制缺陷追踪时，有两个关键问题须特别予以关注:

其一，确定内部控制缺陷追踪中的“顶上事件”。内部控制缺陷追踪中的“顶上事件”即为控制缺陷的结果性信息，例如图4和图5中“A产品投诉率高于可容忍范围”和“A单位产品成本高于可容忍范围”。在企业量化管理中，当各项指标的实际值落在风险容忍度范围之外时，就构成了FTA分析的顶上事件，进而需要按照导致缺陷发生的逻辑顺序倒推出缺陷产生的环节和原因。

图4 投诉率高于可容忍范围的若干可能的故障树

图5 单位成本高于可容忍范围的若干可能的故障树

其二，依据故障树寻找缺陷点。在确认了控制缺陷的“顶上事件”后，要具体分析控制上的疏忽和失误，即导致顶上事件的真正原因是什么。依据事件发生的逻辑关系，一层一层向下寻求，它们可能仍表现为故障，也可能是控制系统的弱点或是关键点，它们当中的一部分直接或间接地促成顶上事件的产生。通过对比流程中各个岗位的敞口风险和可容忍风险，找出所有缺陷环节。

为了说明FTA在内部控制缺陷追踪中的具体运用方法，图4和图5分别列示了投诉率和单位产品成本超过可容忍范围的若干可能的故障树。

需要说明的是，图4和图5中的投诉率和单位产品成本仅仅是我们在服务流程和生产制造流程中接触到的最为普遍的内部控制缺陷的结果性信号。实践中，量化管理中的各个指标都可能作为顶上事件，成为缺陷追踪的起点。另外，对内部控制结果性缺陷信号进行追踪后，有可能发现:相关流程和岗位的敞口风险都未超过可容忍的风险区间；我们所要寻找的“缺陷”根源在于不可控的外部因素。对于前者，就要在风险的组合观下重新审视关键的控制环节，企业可能需要赋予关键控制点更小的风险容忍度的权重。而对于后者，则要视具体情况调整参照系——可容忍风险度。

三、内部控制缺陷认定中的缺陷汇总分析与应对

对已经发现的、潜在的和现实的内部控制缺陷按照部门或业务单元加以汇总分析，有助于确定缺陷的报告对象以及整改措施。在缺陷汇总过程中应当关注:缺陷对实现组织目标产生重大影响的可能性；弥补性控制的有效性；多个缺陷的累积放大影响。此外，在评价缺陷严重程度时不仅要考虑已经造成的现实的损失，还要考虑潜在的损失。

经汇总的内部控制缺陷，依其严重程度不同，报告的对象和应对方式有所区别。表2列举了它们之间的关系。与公司层面目标相关的控制缺陷向高管人员及董事会报告(例如，对财务报告和盈利能力产生重大影响的控制缺陷)。那些仅与组织部分领域相关、影响业务单元控制目标实现的缺陷，其报告对象一般仅限于负责该业务单元的管理人员。而当怀疑有舞弊行为存在时，缺陷信息不应该向执行控制的直接负责人汇报，而应当向负责人的上级管理者，甚至是高管层或董事会报告[9](P47-48)。另外，内部控制缺陷的弥补措施和修正措施是有差别的。弥补措施是指利用B措施对A措施不力的影响进行消除，A措施和B措施间具有互补性。修正措施是指，A措施存在问题，则采取A′措施来替代A措施，A与A′之间是替代关系。

表2 缺陷类型、报告以及应对方式之间的关系

缺陷按照其严重程度不同，处置的主体会有所差别。缺陷越严重，做出应对决定的管理层级越高。而企业的集权或分权状态对于处置缺陷的行使主体的选择也有很大影响。在“有机—适应型”组织中，分权是一种常态，因此，处置缺陷的权利往往也会被下放至存在缺陷的各职能部门或业务单元。而在“稳定—机械型”组织中，相对集权，处置缺陷的权利通常会保留在较高层级的管理者手中。无论何种缺陷，内审部门都将利用其专业优势在具体缺陷应对方法选择上发挥重要作用。

四、结束语

内部控制缺陷的识别与认定不仅是对内部控制加以监控的核心内容(即内部控制体系中“内部监督”要素的重要组成部分)，同时也是披露内部控制自我评价报告的基础，更是注册会计师出具内部控制审计报告的基础。投资者通过考察内部控制缺陷是否构成了受托经济责任履行的障碍，来判断内部控制缺陷是否存在并影响资本保值与增值的实现。注册会计师、投资者和管理层在内部控制缺陷识别和认定方面的理念是不同的。但这种差异的冲突最终将集中在基于认定标准的重大缺陷的对外披露方面。正是由于企业管理层在内部控制缺陷认定标准设定过程中享有自由裁量权，所以，关注管理层视角下的，而非单一的注册会计师视角的，内部控制缺陷的识别与认定更具现实意义。

此外，内部控制规范自2011年起已陆续在企业中实施。规范体系在后续执行过程中，企业和事务所很可能利用“有效性”这个模糊的概念，采取“避重就轻”的策略规避监管，使得披露的信息缺乏内在价值。与“有效”相比，内部控制缺陷的存在性和严重程度则是一组较为直接和明晰的概念。在内部控制报告中关注“缺陷”而不是“有效”，更为重要。而内部控制自我评价的对内报告以及对外报告中的缺陷信息均来自于管理层日常的缺陷识别与认定工作。这便是本文的现实意义之所在。

注释:

①COSO-IC和COSO-RM对缺陷的定义是:已经察觉的、潜在的或实际的缺点，抑或通过强化措施能够带来目标实现更大可能性的机会。PCAOB则指出，当控制的设计或运行不能使管理层或员工在履行其日常职责的过程中防止或及时发现错报，那么财务报告内部控制就存在缺陷。

②SEC.RELEASE NOS.33-8829和PCAOB AS5的相关定义为:重要缺陷是指财务报告内部控制中的一个缺陷或若干个缺陷的组合，它在财务报告内部控制中的严重性小于重大缺陷，但足以引起那些有责任监督公司财务报告系统的人的注意；重大缺陷是指，财务报告内部控制中的一个缺陷或若干个缺陷的组合，从而存在公司年度或中期财务报表的重大错报无法被及时地预防和发现的合理的可能性。我国《评价指引》指出:重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标；重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。

③ “可能无法实现”涉及的是潜在的内部控制缺陷。潜在的内部控制缺陷还可能表现为敞口风险发生的可能性不确定。

[1]杨有红，李宇立.内部控制缺陷的识别、认定与报告[J].会计研究，2011，(3):76—80.

[2]COSO.Internal Control-Integrated Framework[R].Jersey City，NJ，1994.

[3]COSO.Enterprise Management Risk-Integrated Framework[R].Jersey City，NJ，2004.

[4]SEC.RELEASE NOS.33-8829；34-56203；File No.S7-24-06，RIN 3235-AJ58.Definition of the Term Significant Deficiency[S].Washington，D.C.2007.

[5]PCAOB.Auditing Standard No.5-An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements[S].New York，NY.2007.

[6]财政部，审计署，证监会，银监会，保监会.企业内部控制评价指引[S].2010.

[7][美]爱德华·卡尼.联邦政府内部控制[M].王光远，译.北京:中国时代经济出版社.2009.

[8]Michael A.Lewis.Cause，Consequence and Control:Towards a Theoretical and Practical Model of Operational Risk[J].Journal of Operations Management，2003，(2):205—224.

[9]COSO.Guidance on Monitoring Internal Control Systems[R].Jersey City，NJ，2009.