内部控制缺陷的判定*
——基于COSO新内部控制框架研究

福州大学经济与管理学院　　林　　兢　　苏金香



内部控制缺陷的判定*
——基于COSO新内部控制框架研究

福州大学经济与管理学院林兢苏金香

摘要：内部控制缺陷认定标准是进行内部控制评价和鉴证的基础，但理论界对内部控制缺陷认定标准仍存在很大分歧，现有指南可操作性比较欠缺，本文利用COSO新内部控制框架从公司层面和账户层面建立了一套内部控制缺陷认定标准，为进一步推进内部控制理论和实务研究提供借鉴。

关键词：内部控制缺陷认定COSO新内部控制框架

一、引言

后安然时代，世界各国都加强了内部控制的建设，对增强投资者信心，促进资本市场、金融市场健康发展发挥重要重要。尽管如此，内部控制评价问题一直是困扰理论界和实务界的难题。内部控制评价是持续改进企业内部控制的重要手段（杨有红、李宇立，2011）。而判定内部控制是否有效的关键是判定内部控制是否存在缺陷（杨有红、李宇立，2011）以及缺陷的重要程度的判定。已有的有关内部控制缺陷的研究主要集中于以下五个方面：影响内部控制缺陷披露的主要因素（Ge，McVay，Doyle，2005和Bryan and Lilian等，Jeffrey等，2007；杨有红和陈陵云，2009；林斌和饶静，2009；田高良等，2010）；内部控制缺陷披露与公司财务报告质量的关系（Doyle，Ge和McVay，2007；Ashbaugh-Skaife等，2008；杨有红和毛新述，2009；齐保垒等，2010）；内部控制缺陷与公司筹资成本和股东财富分配的关系（Mei、Chan等，2005；Ashbaugh-Skaife，2009；Costello等，2010；Park Jeong等，2011；Lawrence A.Gordon和Amanda L.Wilford，2012）；内部控制缺陷披露和审计费用关系（Krishnan，2005；Raghunandan和Rama，2006；Fralin，2007；Vishal和Meghna Singhvi，2011）。关于内部控制缺陷认定的研究，思路主要是从已披露的内部控制信息中发现内部控制缺陷的蛛丝马迹，再根据一定的内部控制缺陷分类和识别方法提出认定框架体系，如周勤业和王啸（2005）、杨有红和李宇立（2011）、王惠芳（2011）、陈武朝（2012）。但现有研究中对于认定标准还存在很大争议，可操作性也不强，因此有必要对该问题做更深入研究。2013年美国COSO委员会根据环境的变化，对1992年的内部控制框架进行修订，发布了修订后的《内部控制—整合框架》（以下简称新框架），将内部控制五要素细化成17项原则81个关注点，使得内部控制更具可操作性，这也为内部控制缺陷认定标准研究提供依据。本文以COSO的新框架为依据，探讨内部控制缺陷的识别和判定，构建内部控制缺陷认定标准体系，为外部审计师、内部审计师判定是否存在内部控制缺陷，及缺陷的重要程度提供可操作的依据。

二、内部控制缺陷认定比较

（一）内部控制定义比较

1992年COSO发布的内部控制报告给出内部控制定义：“内部控制是由企业董事会、管理层和其他员工实施的，为达成经营目标、财务报告目标以及法律法规遵循目标而提供合理保证的过程”。这个定义后来被大多数国家接受并广泛使用，具有广泛影响力；1994年COSO报告中虽然没有单列资产保护目标，但这个目标已经包含在了上述几类目标中；2004年COSO委员会发布《企业管理风险管理—整合框架》，正式将风险管理引入内部控制框架中；美国SEC于2003年提出财务报告内部控制，其定义的内部控制基本功能是合理保证财务报告的可靠性和保护资产安全。2013年5月COSO发布的内部控制最新框架中将内部控制五要素细化成17项原则，与1992年COSO界定的内部控制五要素相比发生了重大改变，但内部控制定义并没有改变。追索美国内部控制理论发展史可以看出，内部控制定义是一个不断完善的过程，随着公司内部控制的不断实践，美国各个机构主要根据1992年COSO内部控制框架给出的内部控制定义进行增补，期间完善了内部控制目标体系，并且将风险管理、企业管理控制纳入内部控制框架中。英国于2005年发布了新的Turnbull指南，建立了具有原则性导向、风险导向、框架指引性的内部控制指南。最后将内部控制定义为：“内部控制是一个系统，主要是为了防止风险发生或将风险控制在可接受的低水平”。分析发现，与美国COSO框架定义的内部控制目标不同，Turnbull指南的内部控制目标还包括保障股东权益与保护公司资产安全。但有人也对此提出了一些质疑，认为Turnbull指南提出原则导向的内部控制模式，在执行方面可能存在困难，可操作性不足。我国《企业内部控制基本规范》认为内部控制是由所有员工、管理层和治理层实施的以实现内部控制目标的一个过程。我国定义的内部控制包含五大目标，包括企业经营管理合法合规、保障资产安全、财务报告信息真实完整，经营效率和效果和实现发展战略。根据上述各国内部控制定义的论述中发现，各国内部控制定义、责任主体、目标、构成要素、控制范围等各方面均存在差异。各国内部控制责任主体均是管理层和董事会，只是在具体的责任上存在细微差别；Turnbull指南定义的内部控制目标比美国COSO框架多了保障股东投资和资产保护两个目标，中国内部控制在此基础上增加了公司战略这个目标。美国主要是通过立法和监管政策对内部控制强制性监管，对内部控制提出了具体要求，而英国则使用原则导向给予公司足够的空间，英国公司在自律的前提下进行法律的半强制性监管，而在中国运用规则导向更符合我国的国情。

（二）各国内部控制缺陷认定标准比较

（1）美国。美国发布的一系列准则对于内部控制缺陷分类的总体标准基本保持一致，但在细化分类时有不同的标准。2004年4月PCAOB委员会正式发布第2号审计准则，按照内部控制缺陷导致财务报表错报发生的“可能性”，将内部控制缺陷分为控制缺陷、重要缺陷以及重大缺陷。2007年5月，PCAOB委员会第5号审计准则对内部控制缺陷做了小小变动，重大缺陷指的是“存在合理的可能性导致无法及时被阻止或发现的重大错报的产生”。用“合理的可能”替代了2号准则定义中的“极小可能”，重要缺陷排除了在“极小可能”和“可能”之间的缺陷。第5号审计准对于内部控制重大缺陷的修订有一定意义，重新明确了实质性缺陷的概念，使得查出的实质性缺陷是那些确实重要的缺陷，更好的引导注册会计师发现内部控制缺陷。2013年COSO新框架中内部控制根据缺陷的严重程度分成内部控制缺陷（internal control deficiency） 和重大缺陷（major deficiency）。新内部控制框架还指出，监管者、准则制定者在评估内部控制缺陷时，可以根据内部控制缺陷界定的严重程度。PCAOB委员会在第2号审计准则（AS2）中将重大内部控制缺陷定义成：“一个或一系列的控制缺陷，影响企业按照会计准则准确可靠地向外部报告财务信息，从而很可能不能及时发现并阻止财务报告中错报”。PCAOB委员会发布的第5号审计准则，指出内部控制存在重大缺陷的四个迹象：发现高层管理层欺诈，针对财务报表重大错报修正而进行的财务报表重述、审计师发现财务报表重大错报以及外部财务报告和财务报告内部控制监督失效。2013年发布的COSO新框架在内部控制有效性认定方面，更加注重五大要素联合所发挥的整体作用，将内部控制五要素细化成17项原则，并列出了应特别关注的81个关注点（focus）。17项原则成为判断内部控制是否有效的主要标准，81个关注点具体到公司内部控制建设的方方面面，成为上市公司内部控制建设应特别关注的点。根据这17项原则81个关注点进行内部控制缺陷认定更具有针对性和可行性。

（2）英国。英国在构建内部控制体系时主要是原则性导向，所以对于内部控制控制缺陷分类及识别认定都没有具体的规定，但对管理层和董事会在识别内部控制缺陷后的责任有一定的界定。和美国强制性监管相比，英国降低了强制披露内部控制有效性评价的要求，但管理层、董事会如果发现了内部控制重大缺陷，就应及时确定这些缺陷是在设计或是运行环节发生的，并重新评估管理层设计、运行并监督内部控制的整个过程。

（3）中国。2008年6月五部委颁布的基本规范将内部控制缺陷定义为“内部控制设计缺陷不能有效防范错误与舞弊，或内部控制运行缺陷不能及时发现并纠正错误与舞弊”。2010年4月，五部委颁布了《内部控制指引》，认为内部控制缺陷应该综合判断，根据偏离内部控制目标的程度，按其“发生可能性”和“导致后果的程度”分为重大缺陷、重要缺陷和一般缺陷，这种分类方法基本上是遵循了美国的做法。《内部控制评价指引》基于财务报告内部控制缺陷和非财务报告内部控制缺陷的分类方法，针对财务报告内部控制主要采用定量标准，而非财务报告内部控制缺陷主要采用定性标准进行衡量。如定量标准选择的基准指标包括利润、总资产、营业收入等财务指标，并借鉴了会计准则中或有事项可能性的规定，采用百分比如5%、50%作为存在内部控制缺陷可能性的分界，可能性大于50%的为重大缺陷，可能性介于5%和50%之间的为重要缺陷，可能性介于零和5%之间的为一般缺陷。定性标准主要通过文字性描述，要求事项描述的完整、清楚，实务中很多公司采用关键控制点法和公司特征法进行披露。2010年4月五部委颁布《企业内部控制审计指引》，其中列示了四种迹象的识别方法基本上借鉴了美国的做法。另外，财政部在解读《内部控制评价指引》中，还列示了非财务报告内部控制可能存在重大缺陷的几点迹象。

（4）三国比较。从以上内部控制缺陷认定国际比较分析中发现，英国采用原则式的内部控制缺陷认定标准，相比于规则式，原则式的认定标准强调各个缺陷的差异和特性，但实务操作难度较大。我国内部控制规范体系与美国的差异主要在于，我国通过《内部控制应用指引》构建了一个涵盖全部业务的内部控制框架，而美国仅仅关注财务报告内部控制，SOX法案考虑到法规的可执行性，内部控制缺陷认定也仅是财务报告内部控制缺陷认定，但仍旧没有针对内部控制缺陷具体衡量方式做出规定，也没有提出一个可行的内部控制缺陷认定模式。中国的内部控制缺陷认定也问题颇多，首先，我国内部控制缺陷认定包括的非财务报告内部控制缺陷，如发展战略、组织架构等，其成因复杂、原因迥异，在操作中并不像财务报告缺陷根据错报金额大小来判断，更加难以分析认定；其次，我国提出的内部控制缺陷认定是与内部控制三大目标相联系的，主要根据目标的偏离程度即严重程度来划分，但由于内部控制体系构建较晚，对于一般缺陷、重要缺陷和重大缺陷没有明显的分界，定性、定量标准主观性太强，各个公司可以根据自身需要确定标准，这对于内部控制建设和完善是不利的。

三、内部控制缺陷认定框架体系构建

根据李宇立（2011）的观点，内部控制缺陷认定流程应包括以下几个方面，分别是内部控制缺陷分类、根据认定标准进行缺陷识别、严重程度评估、确定内部控制缺陷类型。国外相关研究发现以前年度的内部控制缺陷整改及披露对本年度是否存在内部控制缺陷有一定的影响，所以内部控制缺陷认定体系应包涵内部控制整改及披露。所以将内部控制缺陷认定流程确定为：内部控制缺陷分类——通过认定方法进行内部控制缺陷识别——缺陷严重程度评估——确定内部控制缺陷—采取一定措施进行内部控制缺陷整改—披露内部控制缺陷信息，如图1所示。

图1　内部控制缺陷认定框架流程

Doyle（2007）、王惠芳（2011）等不少学者从公司层面和账户层面出发研究的内部控制缺陷，企业内部控制规范也要求审计时必须分别对企业层面和业务层面的内部控制进行测试，这样的划分具有一定的合理性；其次，《内部控制评价指引》规定了内部控制的五要素，不少学者（如杨有红，2012）根据五要素对内部控制缺陷进行分类，内部控制发挥作用需要五要素共同发挥作用，将内部控制缺陷根据五要素进行划分也具有其合理性。COSO新框架将内部控制五要素细化成17项原则81个关注点，每个关注点都细化到内部控制建设的具体操作层面，从这个角度出发进行内部控制缺陷认定更具有可行性，增加了可操作性。依据COSO新框架构建了本文内部控制缺陷认定框架体系，如图2所示。

图2　内部控制缺陷认定体系图

（一）公司层面内部控制缺陷认定公司层面内部控制缺陷不仅仅影响财务错报，还影响到公司整个层面的战略计划、运营效率等方面，其导致的后果很难用具体数字来进行衡量，所以公司层面的内部控制缺陷认定主要采用定性方法，辅以定量方法，定性分析可以通过关键控制点或迹象法进行识别。根据2008年的内部控制指引第45条“内部控制缺陷包括设计缺陷及运行缺陷”的思路，利用COSO新框架来判定内部控制设计是否合理、运行是否有效，首先要确定关键控制点，从内部控制五个要素具体细化的17项原则出发，分别分析81个关注点，再判定是内部控制设计缺陷还是运行缺陷，通过表格列举内部控制公司层面可能出现的缺陷。

（1）控制环境方面缺陷认定。根据COSO新框架，控制环境涉及5项原则21个关注点，说明了控制环境的重要性。控制环境决定了公司的基调，对公司行为架构、目标设定和风险评估都有着潜移默化的影响，也影响这公司的控制活动、风险评估以及监控活动。

第一，诚信和道德价值观承诺方面的缺陷认定。COSO新框架第一项原则就是诚信和道德价值观，规定董事会、管理层应该通过一系列指令、行为来证明诚信及道德价值观的重要性，比如平时就强调诚信重要性、招聘员工时考虑员工的诚信。管理层还应建立相应的行为准则和评价是否遵守诚信道德价值观的政策和规范，如果公司没有做到这些就属于设计缺陷。而对于违反诚信和道德价值观有关政策和行为的情况，管理层或治理层如没有及时采取惩罚、纠正措施，就属于内部控制运行方面的缺陷。如公司高层管理人员缺少诚信而发生财务舞弊行为，被证监会暂停上市（ST）也属于这方面的缺陷。如表1所示。

表1　诚信和道德价值观承诺方面的缺陷认定

第二，董事会保持独立性方面的缺陷认定。独立性是保持董事会有效性的内在需求，董事会监督内部控制建设及运行时应与管理层应保持独立性。首先，董事会与管理层应有明确的职责分工、严格的董事问责制，并且有相关的书面文件严格界定董事会在内部控制的责任，如果企业没有制定相关政策来界定责任则属于设计缺陷。其次，董事会成员应具备足够的相关专业知识和实践经验，识别内部控制问题后并采取公平、公正的有效措施。董事会中，独立董事常被认为是公正的力量，独立董事比率也因此作为董事会独立性的衡量指标，对于资产重组、股权转让等重大问题的决策，独立董事发表独立意见可以保障各方利益；董事会对于管理层设计、执行内部控制的整个过程进行有效的监督，这就需要审计委员会、内审部门的有效运作。如果公司在以上三个方面没有确实执行，归属于运行缺陷。董事会保持独立性这项原则中的各个关注点的缺陷识别方法如表2所示。

表2　董事会保持独立性方面的缺陷认定

第三，建立组织结构、报告途径等方面的缺陷认定。COSO新框架明确了管理层的内部控制职责，公司为加强内部控制，应依法建立董事会、监事会、审计委员会等组织结构，并建立审计委员会、提名委员会等专门委员会。我国大部分公司存在汇报路径不清晰、授权体系混乱等问题，管理者应为公司建立正确的报告渠道，通过适当的授权管理，通过分级、分类的权限分配，明确各个关键领域的权责分工，做到在授权设计、授权实现、授权监督以及激励考核的全程授权管理。如果公司没有设立合适的组织机构、公司指令报告路径不清晰或者审批授权程序不完备都属于设计方面的缺陷，如表3所示。

表3　建立组织结构、报告途径等方面的缺陷认定

第四，人力资源政策方面的缺陷认定。COSO新框架更加强调了“人才”对于内部控制建设的重要性，做好人才方面的工作可以有效推动内部控制系统设计有效性和运行有效性。公司进行人力资源管理首先将内部控制要求纳入人力资源政策和实务，建立评价政策和实践有关的员工能力和缺点，吸引、发展和保留有专业胜任能力的人员需要有效的培训和指导机制，并有相应的应急计划来保证员工持续性、激发员工积极性。公司如果在人力资源方面没有制定相关政策、没有评价人力资源政策机制和相应的培训体制，就属于控制环境中人力资源设计方面的漏洞；而公司在人才问题突然问题时无法应对则属于运行缺陷，具体缺陷类型和识别方法如表4所示。

表4　人力资源政策方面的缺陷认定

第五，建立个人内部控制职责方面的缺陷认定。COSO新框架强调了全员参与的内部控制建设，公司应明确每个员工的内部控制职责，员工职责不清晰对内部控制系统的有效运行将产生不良影响，进而影响内部控制整体执行力。公司应将各个控制点的具体责任分配到具体岗位，并建立相应的绩效评估机制、评价机制来落实每个员工的内部控制职责。如表5所示。

表5　建立个人内部控制职责方面的缺陷认定

（2）风险评估方面的缺陷认定。COSO新框架中将风险评估细分为4项原则，包括制定目标、应用工具识别风险并进行风险管理、识别潜在舞弊以及识别和评价公司面临的重大事项变更。

第一，制定识别和评价风险的目标方面的缺陷认定。风险评估中的第1项原则就规定公司应制定清晰的目标来有效识别和评价阻碍内部控制目标实现的风险。外部财务报告目标的关注点主要是企业是否遵守会计准则、考虑财务报告的重要性以及是否可以反映公司的实体控制活动。若公司没有及时披露中期财务报表、简略财务报表或者期末财务报告，说明企业在这一方面存在缺陷；而外部非财务报告目标的关注点主要是公司是否遵守法律法规，是否被证监会ST。与旧框架相比，COSO新框架的报告目标增加了内部报告目标，如市场调查报告、内部评价报告等，内部报告目标反映了准确和完整的管理信息，公司应提供相关的供内部人员使用的信息报告，让内部人员快速了解公司的各项信息。遵守法律法规目标反映了外部法律和规则制度的最低行为标准，应考虑违背这个目标会造成的最低程度风险，如果公司财务目标没有达成，可能是公司财务报表存在错报或者发生财务报表重述；如果企业违背法律法规造成严重后果，监管部门会对公司做出相应的处罚，比如暂停退市（ST）。如表6所示。

表6　制定识别和评价风险的目标方面的缺陷认定

第二，识别风险及风险管理方面的缺陷认定。COSO新框架规定公司应在公司整个实体层面识别可能威胁公司实现目标的风险，公司应考虑的内部因素包括组织机构、经营管理、资产、业务流程、财务状况，信息系统运行，外部因素包括经济形式、产业状况、市场竞争、资源供给、自然灾害等。公司应运用各类技巧对各类风险进行搜集、确认、分类和评价，对识别的较大发生概率、影响重大的风险应特别考虑，并对每个风险采取针对性的应对措施。关于这一项原则的缺陷认定如表7所示。

表7　识别风险及风险管理方面的缺陷认定

第三，评价潜在舞弊方面的风险缺陷认定。COSO新框架在舞弊方面进行了更深入的讨论，认为舞弊风险跟一般风险有所区别，舞弊风险主观故意性强、隐蔽性强、后果损失严重。防止舞弊是内部控制最基本的功能之一，COSO新框架认为在风险评估阶段应重点考虑舞弊风险，公司进行舞弊风险评估时，应首先考虑可能的舞弊风险类型、欺诈报告以及可能发生的资产损失情况。公司应根据业务特征，在设计内部控制系统时考虑反舞弊机制，设置舞弊举报、举报人保护、加强防腐教育建设。如果公司缺少相应的反舞弊机制就属于设计方面的缺陷，若公司被爆出发生财务舞弊、管理层凌驾内部控制等案件，说明公司在舞弊风险识别和评估方面存在缺陷。如表8所示。

第四，识别重大变更事项方面的缺陷认定。COSO新框架专门强调了公司应主动识别和评价会对内部控制体系产生重大影响的变化事项，包括公司内部因素变化如组织结构重大调整、发生兼并重组、主营业务变更和外部环境变化如法律法规、市场环境。公司可以通过内部控制自我评价或者审计等方法来识别和评价公司面临的各项变化，并相应调整内部控制体系，如果公司产生重大变化事项而公司未能做出有效应，使得公司出现不可持续经营对就属于运行缺陷，严重情况下可能导致公司可持续经营出现问题，被出具非标准的财务报告审计报告。如表9所示。

表9　识别重大变更事项方面的缺陷认定

（3）控制活动方面的缺陷认定。根据2013年COSO新框架，控制活动指的是通过制定政策和程序来确保管理者指令得以有效实施的行为，新框架还提出公司应在整体层面制定政策，并在此基础上安排具体控制流程，增强内部控制实施效果。

第一，公司控制活动的选择。控制活动并不是单一的，不同类型的控制活动相互组合，会产生更好的效果，所以要保证内部控制活动的有效实施，必须考虑不同控制活动的相互组合，新框架指出控制活动具体包括授权审批、实物控制、常规数据控制、调节控制、监督控制等人工控制以及ERP系统等自动化控制，人工控制在认定这项关注点的缺陷时不仅要考虑控制活动的组合，还要考虑这些组合的控制活动的实施效果；当然，要保证内部控制活动的有效实施，还是离不开“人”的作用，内部控制规则应界定好每个人的权限，这也是预防舞弊、欺诈的基本条件。关于这一项关注点的缺陷认定如表10所示。

表10　公司控制活动选择方面的缺陷认定

第二，技术性一般控制活动。COSO新框架特别强调了技术相关的风险，公司应针对技术流程风险设置相应的技术性一般控制活动，包括技术基础设施控制活动、安全管理过程控制活动和技术引进、发展及维持控制活动。当今社会不断变革，公司技术应用日新月异，公司应该考虑技术变化情况及其产生的影响，并加强改进技术设施建设（如大型计算机、复杂通讯网络）和建立一系列应急计划（如备份和恢复程序、灾害复原计划等）。我国在这方面比较薄弱，公司应加强技术开发、技术运行、技术评价方面的风险控制，避免技术风险对公司业务产生重大影响。关于技术性一般控制活动的关注要点及缺陷认定如表11所示。

表11　技术性一般控制活动方面的缺陷认定

第三，公司制定政策和流程以开展控制活动。COSO新框架将控制活动的实施进一步细分为一般控制政策及具体业务流程两个方面。公司首先在整体层面制定内部控制政策，并在此基础上逻辑推演出具体内部控制流程，可以避免内部控制“流于形式”。政策必须以文件形式记录，是声明管理者关于什么是正确的书面文件；程序是为了实践内部控制政策而采取的行动，必须界定清楚执行控制活动人员的责任，必须规定每项控制活动及后续修正行动的时间安排，而且需要有专业胜任能力的员工来执行控制活动，最后，公司还需要定期评估内部控制的政策和程序以及相关控制活动的持续性和有效性，所有这些在内部控制规范文件的缺失都属于内部控制设计缺陷，其他三个关注点归属到运行缺陷。如表12所示。

表12　公司制定政策和流程以开展控制活动的缺陷认定

（4）信息与沟通方面的缺陷认定。信息对于实施内部控制是不可或缺的，管理者从公司内部和外部获取、处理和利用有价值的信息以支持内部控制其他功能的发挥。COSO新框架将信息与沟通这一要素和内部报告目标进行了区分，主要涉及3项原则：公司应获取高质量的信息、公司内部交流和与外界的沟通。

第一，公司获取或者产生高质量信息。第13项原则几个关注点主要是；公司应制定相关政策和程序，从公司内部和外部获取高质量的财务信息与非财务信息，并通过信息系统处理数据，并保证信息准确性、及时性、持续性、保密性及有效性。其中财务信息不仅用于编制公开的财务报表，还作为制定决策的基础，经营信息也可能影响存货或应收账款的股价，从而影响财务报表编制。信息系统是识别、加工和报告公司内外部信息的工具，信息系统产生的信息质量对于有效决策非常关键，这就需要依赖控制活动职能的有效实施。如表13所示。

表13　公司获取或者产生高质量信息的缺陷认定

第二，公司内部交流方面的缺陷认定。COSO新框架第14项原则认为内部控制制度和规范只有有效传达到各个部门、明确各个员工职责，才能有效实施内部控制措施，这就需要公司内部控制信息的沟通与交流这一项原则起作用，公司内部信息包括内部控制政策和程序、特定目标、员工实施内部控制的角色和责任、组织自上而下的沟通渠道等。重大事项、内部控制系统失灵引起的事项都应该与董事会沟通，管理层与董事会沟通越有效，董事会越能有效实施监督职能。除考虑正常的交流渠道，COSO新框架强调非常规渠道的重要性，如匿名交流的保险机制建设，这也是一个预防内部控制失败的机制。当然，公司应要根据公司自身规模、文化价值观、紧迫性等因素，考虑各种沟通方法，是以口头传达、邮件通知、一对一讨论还是以书面文件下发，否则会造成内部信息交流不顺畅。其具体的缺陷认定及举例如表14所示。

表14　公司内部交流方面的缺陷认定

第三，与外部利益相关者沟通方面的缺陷认定。与外部实体进行交流，公司可以了解到顾客、供应商对产品服务的评价和反馈信息、可以了解顾客的需求和爱好，可以通过审计师对内部控制财务报告和非财务报告的独立评价，通过监管部门了解最新法律法规变化，了解这些信息可以让公司更好应对外界发生的事件、外部环境的变化，另外COSO新框架认为选择非常规沟通渠道及沟通方式也很重要。如表15所示。

表15　与外部利益相关者沟通方面的缺陷认定

（5）监督活动方面的缺陷认定COSO新框架认为构建内部控制体系后，公司还需要建立监督机制以保证内部控制系统的正常运转，这就需要持续监控、独立评估来实现。

第一，公司监督活动选择的缺陷认定。公司需要持续性的监督活动，来提供内部控制其他要素有效性的反馈信息，以维持日常内部控制活动的有效运行。内部控制系统性的评估也十分必要，内部控制监督程序能够有效发挥作用离不开有胜任能力的员工。公司应确定内部控制评价范围和频率，并周期性的提供反馈信息，如表16所示。

表16　公司监督活动选择的缺陷认定

第二，公司评价并汇报内部控制缺陷。COSO新框架指出，对公司内部控制系统进行评价本身也是内部控制建设的一部分，如果缺失将被认为是内部控制监督方面的漏洞，所以针对内部控制第17项原则——识别的内部控制缺陷，公司还应建立政策和程序将缺陷传达至管理层或董事会，并及时进行整改和披露相关的内部控制缺陷及整改信息，其认定如表17所示。

表17　公司评价并报告内部控制缺陷

（6）内部控制17项原则整合的缺陷认定。以上从内部控制五要素17项原则81个关注点出发，确定内部控制缺陷是属于设计缺陷或运行缺陷；在确定了各关注点属于何种类型的内部控制缺陷后，应考虑将发现的各个关注点存在的缺陷先在各项原则内进行分析，并汇总综合判断，最终判定是重大缺陷、重要缺陷还是一般缺陷。如图3所示。

其中，内部控制设计缺陷是公司现存内部控制设计不恰当或缺少必须的控制使得内部控制运行难以实现目标。根据COSO新框架，每一项内部控制制度、流程的设计主要从内部控制五要素17项原则出发，所以上文对内部控制设计有效性的评估也主要从内部控制17项原则81个关注点出发，通过内部控制制度、具体流程设置一些量化标准或指标。在上文中确定了哪些关注点是归属于设计缺陷的部分后，再进行缺陷整合判断，如果缺少一个或几个关键控制点则判定成重大缺陷，缺少多个一般控制点则是重要缺陷，缺少一个一般控制点就为一般缺陷。另外，内部控制运行缺陷指的是公司设计好的内部控制制度并没有按照计划执行，或者运行人员没有得到授权就实施控制。上文从81个关注点出发进行判断时，归属于运行缺陷的部分，也要进行运行缺陷整合判断。运行缺陷识别方法可以借鉴财务报告审计中的穿行测试，如果内部控制运行完全没有按照流程进行，多个关键控制点失去作用则认定为重大缺陷，其中某个关键控制点失去控制判定为重要缺陷，一般控制点失控则为一般缺陷判定标准。如表18所示。

表18　内部控制公司层面的设计和运行缺陷判定标准

（二）账户层面内部控制缺陷认定

账户层面的内部控制缺陷主要是指会计层面的内部控制缺陷，即直接导致财务错报的内部控制缺陷，包括原始凭证、明细分类账、总账甚至财务报告编制和披露的所有过程中产生的内部控制缺陷，其所产生的影响金额往往比较容易估计，所以账户层面的内部控制缺陷认定标准主要采用定量方式。本文借鉴审计财务报表的重要性水平来定量分析账户层面的内部控制缺陷，将内部控制缺陷造成的错报金额或损失金额与事先设定的重要性水平进行对比，远远低于重要性水平的认定为内部控制一般缺陷，低于重要性水平的认定为重要缺陷，而超过重要性水平的认定为重大缺陷，其缺陷认定标准如图4所示。

图4　账户层面内部控制缺陷认定标准

确定了缺陷认定标准后，接下来要解决的是重要性水平的确定问题，根据我国审计实务中的判定标准，重要性水平主要是利用资产总额、营业收入、净利润等财务指标作为基数，用百分比作为分界标准。通过财务指标和百分比将内部控制缺陷严重程度进行量化，更易于理解。关于重要性水平的确定如表19所示。内部控制缺陷认定是内部控制评价和鉴证基础，本文利用COSO内部控制新框架构建了内部控制缺陷认定体系及标准，为企业内部控制自评和外部审计师内部控制审计提供标准，能更准确判定企业内部控制质量，进一步完善内部控制。

表19　内部控制缺陷重要性水平确定

参考文献：

［1］周勤业、王啸：《美国内部控制信息披露的发展及其借鉴》，《会计研究》2005年第2期。

［2］杨有红、李宇立：《内部控制缺陷的识别、认定与报告》，《会计研究》2011年第3期。

［3］王惠芳：《内部控制缺陷认定：现状、困境及基本框架重构》，《会计研究》2011年第8期。

［4］Jeffrey Doyle，Weili Ge，Sarah McVay．Determinants of Weaknesses in Internal Control over Financial Reporting．Journal of Accounting and Economics，2007.

［5］Financial Reporting Council．Internal Control-Revised Guidance for Directors on the Combined Code，2005．

（编辑梁 恒）

*本文系福州大学科技发展基金项目（项目编号：15CKQ04）的阶段性研究成果。