简论内部控制缺陷的再定义与分类*

厦门大学管理学院　吕　珺　对外经济贸易大学国际商学院　陈汉文



简论内部控制缺陷的再定义与分类*

厦门大学管理学院吕珺对外经济贸易大学国际商学院陈汉文

摘要：内部控制缺陷的分类在实务及研究中均十分重要，涉及到企业对内部控制缺陷的披露以及学者的相关研究结果。因此，对内部控制缺陷定义与分类的探讨非常有意义。本文首先介绍了相关法规对内部控制缺陷的界定与分类；其次介绍了学者们在相关研究中对内部控制缺陷的定义与分类；最后，在此基础上提出了本文对内部控制缺陷的定义与分类。

关键词：内部控制缺陷定义分类

对内部控制缺陷进行定义与分类是研究内部控制缺陷相关问题的核心基础与关键环节，因为对内部控制缺陷不同的定义与分类不仅会影响到内控缺陷判别的适当性和分类的科学、合理性，更会影响到实证研究的检验结果，并最终影响研究结论的可靠性。因此，对内部控制缺陷予以恰当的定义与分类就成为了贯穿研究始末的核心关键问题，同时也是今后关于内部控制缺陷展开进一步研究时需深入进行思考的重要问题。

一、内部控制缺陷定义与分类：来自相关法规

（一）PCAOB对内部控制缺陷的定义及分类美国公众公司会计监督委员（Public Company Accounting Oversight Board，PCAOB）（2004）将内部控制实质性漏洞定义为“一项重大的缺陷，或者多项重大缺陷的组合，其有可能导致年度或中期财务报告作出实质性的错误陈述未能得以避免或被发现。”PCAOB发布的于2007年11月15日起生效的第5号审计准则（Auditing Standard No. 5，简称AS5）中对内部控制缺陷的定义：内部控制缺陷（Deficiency）指的是，若一项内部控制的设计或执行使管理者和员工在履行其职能的常规过程（Normal Course）中不能及时阻止或者发现错报（Misstatements），则一项与财务报告内部控制相关的缺陷存在；而实质性漏洞（Material Weakness）是涉及财务报告内部控制的一项缺陷（a Deficiency）或者几项缺陷的联合（a Combination of Deficiencies），导致公司的年度报告或中期报告很有可能（Reasonable Possibility）出现重大错报（Material Misstatement）而未能被及时地阻止或发现的情形；重大缺陷（Significant Deficiency）则指的是涉及财务报告内部控制的一项缺陷或几项缺陷的联合，严重程度要低于实质性缺陷，但其重要程度足够引起对公司的财务报告进行监督的负责人的注意。

（二）我国内部控制规范对内部控制缺陷的定义与分类我国内部控制规范中有不少有关内部控制缺陷内容的相关条款，其中，《企业内部控制评价指引》第十七条中对内部控制缺陷的定义描述如下：重大缺陷是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标；重要缺陷是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标；一般缺陷是指除重大缺陷、重要缺陷之外的其他缺陷；重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定。

二、现有文献对内部控制缺陷的定义与分类：来自相关文献

（一）国外研究Doyle，Ge，和McVay（2007）将内部控制实质性缺陷实施了两种分类方案：第一种方案是将内部控制实质性缺陷分为账户、交易层面的实质性漏洞和公司层面的实质性漏洞，接着再将这两个层面往下进一步加以细分，具体如下：账户、交易层面的实质性缺陷（Account-Sp ecific or Transaction-Level Material Weaknesses），包括由于不适当的内部控制而造成的意外损失如坏账的发生、应收款项证券化过程中在文档方面存在缺陷、在运用新会计原则时或者面对新交易发生时对现有的会计原则在运用上没有适当的内部控制；而公司层面的实质性缺陷（Company-Level Material Weaknesses），包括被高管人员越过与无效的控制环境。第二种分类方案是将内部控制缺陷分为人事方面、复杂性方面和常规方面的缺陷，然后对这三个层次再作进一步划分和界定。人事方面（Staffing）包括：缺乏合格的员工和资源以致对于某些会计和披露事项作出了在时间上不适当的确认和决策且未能及时有效地加以复核、财务人员需要增强培训、职责分离方面的内部控制措施和程序薄弱。复杂性（Complexity）包括：在各事业部和子公司之间对公司政策运用得不一致、解释和运用复杂的会计标准（比如对与套期保值相关的标准）方面的实质性缺陷。常规方面（General）包括：合同订立实务方面内部控制措施薄弱、与交易相关的政策设计和执行过程中存在缺陷、期末的报告流程中存在缺陷。

（二）国内研究王惠芳（2011）把会计层面的内部控制缺陷定义为“可以直接导致财务错报的内控缺陷，包括从原始凭证、明细账、总分类账到财务报表以及合并财务报表编制和披露所有过程或环节中的内控缺陷”，并将会计层面的内部控制缺陷划分为五类，即账户核算类的缺陷、账户核对类的缺陷、原始凭证类的缺陷、期末报告类的缺陷和会计政策遵从类的缺陷。王惠芳（2011）将公司层面的内控缺陷界定为“发生在会计层面之外的，影响公司经营效率和经济效益以及间接影响财务错报的内控缺陷”，并按照COSO内部控制五要素外加IT分别对应内部控制缺陷，得到公司层面内部控制缺陷的分类：控制环境类缺陷、风险评估类缺陷、信息与沟通类缺陷、控制活动类缺陷、内部监督类缺陷、IT控制类缺陷。同时认为，上述公司层面的六类内部控制缺陷之下还应当设二级的细目详细分类，二级细目可按上市公司最容易发生并且审计难度比较大的业务类型来设，比如在控制环境缺陷下分别管理层越权、管理层诚信、关键人员缺乏等设置二级细目；在风险评估缺陷之下按外部风险评估、经营风险评估等设置二级细目；在控制活动缺陷之下按子公司管控、控制过程、内控环节衔接设置二级细目。王惠芳（2011）认为对会计层面的内控缺陷可据其对财务错报的"可能性"和"导致后果"进行量化，可划分为一般缺陷、重要缺陷、重大缺陷；对公司层面内控缺陷的程度由于难以量化，则划分为一般缺陷和重大缺陷。

三、内部控制缺陷定义与分类：本文的理解

（一）内部控制缺陷的定义首先要明确缺陷的定义。在辞海中的解释是“欠缺或不够完备的地方，强调造成不完整的情况。并列式：缺+陷。（作宾语）（同义）缺点。（反义）优点、长处。”缺陷在词典中的释意是“欠缺，缺失；不完美。”

其次要明确内部控制的定义。财政部联合五部委于2008年5月颁布的《基本规范》对内部控制的定义是：“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。”由此展开分析，内部控制缺陷的定义可以从能否实现内部控制目标的角度来考虑，更进一步是从能否合理保证内控目标内容的实现来考量。

再次需要明确内部控制缺陷与内部控制局限性的区别与联系。杨有红和李宇立（2011）对内部控制缺陷和内部控制局限性之间的关系分析得非常清晰，尤其是对这二者的区别阐述得十分透彻，引用如下：“内部控制缺陷和内部控制局限性的区别在于：（1）内部控制缺陷是内部控制设计者在设计过程中未意识到缺点，以及内部控制执行过程中不按设计意图运行而产生运行结果偏差的可能；内部控制局限性则是设计者在设计过程中事先预留的风险敞口，以及运行过程中按照设计意图运行也无法实现控制目标的可能；（2）由于内部控制存在着局限性，内控只能为控制目标的实现提供合理保证，而不是绝对保证；内部控制缺陷的存在使得内部控制过程无法为控制目标的实现提供合理保证；（3）内部控制存在着因合谋和越权而失效的可能，这表现为内部控制的局限性，但某一控制过程存着合谋或越权的迹象，则表现为内部控制的缺陷。”杨有红和李宇立（2011）还指出，“两者都以目标为判断的准绳，内部控制缺陷表现在不能为控制目标的实现提供合理保证，而内部控制局限性体现在能够为控制目标的实现提供合理保证但不能为控制目标的实现提供绝对保证。”上述两位学者对内控缺陷与内控局限之间区隔的透彻分析为我们界定内部控制缺陷带来了进一步的启示，即紧紧抓住“合理保证”这一核心。虽然内部控制自身存在对内控目标的实现无法绝对保证的局限性，然而，对内控目标的实现给予合理保证却是可以通过发现和纠正内部控制缺陷做到的。即，虽然内部控制局限是客观存在的，但内控缺陷是却是具有可以通过企业在内控建设和维护方面的主观努力将其最小化的空间的。以上分析有助于厘清二者之间的区别与联系，并认识到内部控制缺陷对于企业的重要意义，这也意味着深入研究内部控制缺陷十分必要。

综上分析，同时结合基本规范中对内部控制的定义，和《企业内部控制评价指引》关于内部控制缺陷的定义，本文对内部控制缺陷的定义是：如若企业的内部控制不能够合理的保证内控目标的实现，或者在可控范围内没能阻止或预防企业偏离控制目标，则认为该企业的内部控制存在缺陷。

（二）内部控制缺陷的分类关于内部控制缺陷如何分类对于实务领域及学术研究都很重要，涉及企业对内部控制缺陷的披露和学者的相关研究结果。故而，对内部控制缺陷的分类开展探讨非常具有意义。本文以上市公司公开披露的内部控制自我评价报告为基础，将内部控制缺陷分类如下。

（1）按存在与否划分内部控制缺陷。本文按是否存在内部控制缺陷将内控缺陷划分为两类：第一类是存在（或者称为具有）内部控制缺陷，而第二类则是未发现存在内部控制缺陷，后面简称为不存在（或者称为不具有）内部控制缺陷。划分这两类缺陷的标准是，如果发现：公司公开披露的当年度的内部控制自我评价报告中描述了完善内控制度的有关措施、自评报告中描述了内控制度及其实施过程中出现的重大风险及其处理情况、公司年度财务报告中披露的纠纷事件在5次以下、公司年度财务报告中披露的纠纷事件在5～10次、公司年度财务报告披露的纠纷事件在10次以上、公司年度财务报告中披露了处罚、网络媒体（证监会网站等网络媒体）中披露了公司违规。以上七种情况只要有其中一项发生，则将其划分为第一类，即具有内部控制缺陷，如果以上七种情况没有一项发生，则判定为不存在（或称不具有）内部控制缺陷，具体情况参见表1。

（2）按内容性质划分内部控制缺陷。本文按内容性质将内部控制缺陷划分为三类：第一类是内部控制自评类缺陷，第二类是纠纷类缺陷，第三类是处罚、违规类缺陷。如果公司对外披露的年度内部控制自我评估报告中描述了完善内控制度的有关措施，或者描述了内控制度及其实施过程中出现的重大风险及其处理情况，这两种情形只要有一项发生，则认为该公司具有内控自评类缺陷；如果公司在当年度财务报告中披露了纠纷事件（本文将这一类缺陷按严重程度分为三档，即年报披露的纠纷事件在5次以下、5～10次和10次以上），则认为该公司具有纠纷类缺陷；如果公司当年度财务报告中披露了公司及董监高受到了处罚（包括司法部门、财政部、证监会及交易所），或者是网络媒体（如证监会网站）披露了上市公司及董监高发生违规行为，则认为该公司具有处罚、违规类缺陷。具体情况请参见表2：

表2　按内容性质划分内部控制缺陷

四、结论

本文在回顾了相关法规以及学者们对内部控制缺陷的界定与分类的基础之上提出了本文对内部控制缺陷的定义与分类。通过本文的研究，提出如下相关建议：第一，我国上市公司监管部门有待于进一步研究和界定内部控制缺陷的定义和分类，在进一步丰富和完善内部控制配套指引方面作出更进一步的探索，更好地引导上市公司对内部控制缺陷的识别、纠正，进而有助于内部控制的良好建设；第二，监管部门可考虑构建一个操作性强的内部控制缺陷的披露框架，同时可将框架设得宽泛一些，留给公司自愿披露内容的充分空间。

参考文献：

［1］王惠芳：《内部控制缺陷认定：现状、困境及基本框架重构》，《会计研究》2011年第8期。

［2］王惠芳：《上市公司内部控制缺陷认定：困境破解及框架构建》，《审计研究》2011年第2期。

［3］杨有红、李宇立：《内部控制缺陷的识别、认定与报告》，《会计研究》2011年第3期。

［4］陈汉文、张宜霞：《企业内部控制的有效性及其评价方法》，《审计研究》2008年第3期。

［5］李宇立：《自我感知的内部控制缺陷间的关系--基于问卷调查的路径分析》，《审计研究》2011年第6期。

［6］齐保垒、田高良、李留闯：《上市公司内部控制缺陷与财务报告信息质量》，《管理科学》2010年第4期。

［7］陈汉文：《审计理论》，机械工业出版社2009年版。

［8］《企业内部控制基本规范企业内部控制配套指引》编委会：《企业内部控制基本规范、企业内部控制配套指引》，法律出版社2010年版。

［9］Public Companies Accounting Oversight Board（PCAO B）.Auditing Standard No.2：An Audit of Internal Control over Financial Reporting Performed in Conjunction with an Audit of Financial Statements.Release No.2004-001，2004-01-04.

［10］Doyle，Jeffrey，W.L.Ge，and S.McVay.Determi nants of Weaknesses in Internal Control over Financial Reporting.Journal of Accounting and Economics .2007，（44）.

［11］Beneish，M.D.，M. B.Billings，and L.D.Hodder，. Internal Control Weaknesses and Information Uncertainty .The Accounting Review.2008，83（3）.

［12］Elder，R.，Y.Zhang，and J.Zhou.Internal Contr ol Weaknesses and Client Risk Management.Journal of Accounting，Auditing and Finance.2009，24（4）.

［13］Ge，W.，S.McVay.The Disclosure Of Material Weaknesses in Internal Control after the Sarbanes-Oxley Act. Accounting Horizons，2005，（19）.

［14］Shu，L.，M.Pizzini，M.E.Vargus，and I. Bardhan.The Role of the Internal Audit Function in the Disclosure of Material Weaknesses.The Accounting Review. 2011，86（1）.

（编辑刘姗）

*本文系教育部人文社会科学重点研究基地重大项目“中国上市公司内部控制评价与指数研究”（项目编号：10JJD630003）、国家自然科学基金重点项目“信息生态环境与企业内部控制有效性问题研究”（项目编号：71332008）阶段性研究成果。