上市公司内部控制缺陷识别的困境与认定

摘要：本文通过剖析目前上市公司内部控制缺陷识别的困境，对产生困境的原因与应对各种困境的方法进行了深入的探讨、归纳和总结，进而结合我国的特殊国情，提出了具有中国特色的内部控制体系。

关键词：内部控制缺陷；内部控制体系；困境；中国特色

一、文献综述

在SOX 法案颁布实施之前，许多学者研究存在内部控制缺陷公司所具有的特征以及市场对这些公司的反应，因为他们认为上市公司可以对内部控制缺陷进行专业认定。但是此法案颁布实施之后，内部控制缺陷问题开始被国内外学者关注。然而却忽略了内部控制缺陷的认定问题。西方学者根据研究的需要，使得内部控制缺陷的认定和分类没有统一的结论，也没有明确依据和原因指出内部控制缺陷的分类。并且，这些研究中企业在内部控制缺陷披露时需要面临的自我选择问题很多都没有被提及，比如对内部控制缺陷的研究也比较零散，缺乏系统的研究，对内部控制的研究起步较晚，这些是中国学者的情况。鉴于上述文献也存在缺陷，本文将首先归纳上市公司内部控制缺陷认定所需要面对的困境；然后结合上市公司的目前出现的具体问题，深入分析其原因和解决方法；最后结合我国的特殊国情提出相关政策建议。

二、上市公司内部控制缺陷认定的困境

1.评价企业内部控制情况的内部控制框架体系不完善。COSO 报告发布之前，内部控制存在着多种解释。著名的“COSO 报告”美国的COSO委员会为了对现实中存在的各种内部控制的解释进行整合，其于1992年发布了《内部控制——整体框架》，并于1994年对《内部控制——整体框架》进行修改和完善。内部控制的三个目标和五个要素是这个报告提出的。合理保证经营活动的效率和效果、合理保证财务报告的可靠性及适度保证对现有法律法规的遵循是三个目标。控制环境、风险评估、控制活动及信息与沟通及监督是五个要素。这一架构的提出虽然在一定程度上为评价企业内部控制提供了依据，也在很大程度上得到了业界的认可。但是经过这些年的研究发现该框架仍明显存在着两点不足：一是该框架仅研究了内部控制评价系统的某一个具体要素；二是内部控制评价指标体系设计缺乏可操作性。该框架仅研究了内部控制评价系统的某一个具体要素，并且内部控制评价指标体系设计缺乏可操作性，这些都是该框架的明显的不足之处。

2.内部控制缺陷的概念模糊。我们所要评估的内部控制缺陷到底是指财务报告的内部控制缺陷还是公司内部控制缺陷？假如都是的这两个层面的内部控制该如何区分？ 公司是应该对这两种内部控制缺陷哪一种进行认定及如何认定？ 目前我们内部控制认定中的难点正如这些问题提出的，由于定义不明确内部控制各项规范的顺利实施将被深深的影响着。国内外学者对这一问题在探索后仍未得到明确的结论。

3.如何衡量内部缺陷的程度。即使我们能够把上面三种问题都区分清楚，明确了什么是内部控制缺陷，那我们该如何确定内部控制缺陷的程度呢？目前国内外在内部控制缺陷 “发生可能性”和 “导致后果的程度”基础上划分为三类，即一般、重要和重大控制缺陷，这样分类可以对内部控制缺陷程度进行认定。美国公众公司会计监督委员会发布的第 2 号及第 5 号审计准则将内部控制缺陷分为控制缺陷、重要缺陷和重大缺陷三类，这种分类是依据内部控制缺陷导致财务报表重大错报发生的可能性。我国 《企业内部控制评价指引》借鉴这一定义和分类提出公司层面的内部控制缺陷，指出内部控制缺陷分为一般、重要和重大缺陷，这是把结果也界定为控制目标的偏离。实际中即使在上述规范对内部控制缺陷认定提供了一定指导情况下如何进行操作呢？企业目标偏离的程度及财务错报又是什么？ 有无定性化或定量化的标准？ 国内外只是说尊重企业自身的自由选择和判断，但是就这些问题均未给出相应指导规则。这种做法虽然说更贴近企业自身与行业的特征，但无疑也给企业带来了很大的自由空间，使其作出有利于自身而并不客观的判断。没有具体清晰的定量化或定性化标准很可能造成混乱的局面。

三、内部控制缺陷认定的方法

1.对公司的内部控制和财务报告法人内部控制进行严格的界定与区分。正如前文讲的，内部控制缺陷认定困难，因为美国 COSO 框架与 SOX 法案都没有对内部控制中的公司内部控制与财务报告内部控制作出严格区分和界定。为此，我们将内部控制缺陷分为财务报告内部控制缺陷与公司内部控制缺陷两大类。“包括从原始凭证、明细账、总分类账到财务报表以及合并财务报表编制和披露所有过程或环节中的内部控制缺陷并且可以直接导致财务报表发生错报的内部控制缺陷”可以作为财务报告内部控制缺陷的定义。账户核算类、账户核对类、原始凭证类、期末报告类及会计政策遵从类，具体的可以把内部控制缺陷划分成这五类。这类缺陷和会计人员有很重要的关系，并且很容易被审计师所审计。“发生在财务报告缺陷之外的，影响公司经营效率以及间接影响财务错报的内部控制缺陷”是公司内部控制缺陷的定义。相对应，控制环境类、风险评估类、信息与沟通类、控制活动类、内部监督类五类控制缺陷，下面还应设置二级细目，这些是COSO 五方面的公司内部控制要素。

2.比较内部控制缺陷的程度——采用量化的方法。企业在内部控制缺陷严重程度判断中的自由的裁量权是被《配套指引》和《基本规范》所赋予， 《配套指引》和《基本规范》允许企业在判断缺陷是否重大时考虑自身的行业特征、风险偏好和可容忍风险度、所处特定环境。当可容忍风险以目标的形式分解到各部门、各岗位，成为判断缺陷是否存在以及缺陷严重程度的标准之后， 对目标偏离的可能性以及偏离的程度就反映了缺陷的严重程度。评价方法可以是定性分析， 也可以是定量分析。但是定性的方法在具体操作的过程中给我们带来很多不便之处。因此，我们认为应通过对某项内部控制缺陷造成财务错报的 “可能性”和 “导致后果”进行量化衡量，来判断什么是一般、重要或重大内部控制缺陷。目前国内外的相关规范制度并没有涉及到 “可能性”量化的问题。可以认为财务报告内部控制缺陷应该用量化的标准认定。

四、适合中国国情的内部控制模式

如果直接将美国的内部控制的评价模式移植到国内很可能产生水土不服的现象，因为中国和美国的制度环境大不一样。中国企业内部控制评价的视角首先应该放在规制或监管上，这是因为中国存在特殊的制度环境。因此本文认为较适合我国制度环境的内部控制的评价模式是“董事会内部控制评价+政府监管部门内部控制综合评价+注册会计师财务报告内部控制审计”。董事会的内部控制评价、监管部门或非营利性机构的内部控制综合评价、注册会计师财务报告的内部控制审计，这三部分是由企业的内部控制报告与评价划分的。其中董事会的内部控制评价和注册会计师财务报告的内部控制审计是依据各自独立的审核测试程序，分别完成内部控制自我评价报告和审计鉴证报告，它们是两个平行并且相互独立的业务流程。政府监管部门或非营利性机构结合企业财务报告信息、外部监管信息等形式获得的企业内部控制补充信息对企业的内部控制质量进行综合评价，并披露内部控制评价的结果，这是根据董事会的内部控制自我评价报告披露和注册会计师的财务报告内部控制审计披露的。考虑到我国对大多数非上市公司没有强制要求披露内部控制状况，现阶段内部控制评价的客体是所有中国上市公司，而内部控制外部评价主体主要是政府监管部门或外部非营利性组织。

五、总结

本文通过剖析目前内部控制缺陷识别的困境，对产生困境的原因与应对各种困境的方法进行了归纳和总结，进而结合我国国情，提出了中国特色的内部控制体系。但对困境的应对方法，因法律架构的缺失并未完整给出；对于量化内部缺陷的方式也只是借鉴《会计准则》的具体规定，没有深入挖掘。这些问题，都有待于深入探索与剖析。

参考文献：

[1]刘玉廷.全面提升企业经营管理水平的重要举措——《企业内部控制配套指引》解读[J].会计研究，2010.

[2]美国管理会计师协会，张先治等译.财务报告内部控制与风险管理[M].东北财经大学出版社，2008（1）.

[3]南京大学会计与财务研究院课题组.论中国企业内部控制评价制度的现实模式[J]. 会计研究，2010.

[4]Jeffrey Doyle， Weili Ge， Sarah McVay. Determi-nants of Weaknesses in Internal Control over Financial Repor-ting[J].SSRN Working Paper，2006.

[5]Kenichi Yazawa. Why Don t Japanese Companies Disclose Internal Control Weakness？： Evidence from J - SOX Madated Audits[J].SSRN Working Paper，2010.

[6]Jacqueline S. Hammersley， Linda A. Myers， Catherine Shakespeare. Market Reactions to the Disclosure of Internal Control Weaknesses and to the Characteristics of those Weaknesses under Section 302 of the Sarbanes Oxley Act of 2002[J].SSRN Working Paper，2002.

（作者单位：安徽大学商学院）