上市公司內(nèi)部控制缺陷層級劃分及其傳導效應

上海大學管理學院 李壽喜

一、“內(nèi)部控制缺陷”的第一層級——基于經(jīng)濟后果性的劃分

企業(yè)內(nèi)部控制的“病毒”即是“內(nèi)部控制缺陷”，具有較強的經(jīng)濟外部性，因為上市公司作為使用公眾資金的公司，嚴重的內(nèi)部控制缺陷會導致其釋放不良信號，誤導市場資源配置，進而埋下市場危機的“種子”。盡管一個正常的理性投資者具有一定的“免疫功能”——即風險防范意識，但重大的“內(nèi)部控制缺陷”可能導致投資者喪失“免疫功能”。因此，按“內(nèi)部控制缺陷”帶來的經(jīng)濟后果性劃分內(nèi)控缺陷類型，即分成重大缺陷、重要缺陷和一般缺陷，并將“重大缺陷”作為內(nèi)控自我評價和外部審計的重點，成為世界各地市場的必然選擇。將之稱為第一層級缺陷。

美國PCAOB（2004）發(fā)布的審計準則第2號按年報或中期報告發(fā)生重大錯報的可能性，將企業(yè)內(nèi)部控制缺陷劃分為三種類型，分別是控制缺陷、重要缺陷和重大缺陷。其中，控制缺陷是指內(nèi)部控制的設計或運行沒有使得管理層或員工，在正常執(zhí)行所分派職責的過程中，及時的阻止或查明錯報的情況。重要缺陷是指，某一控制缺陷，單獨或連同其他控制缺陷一起，嚴重影響公司按照公認會計原則設立、授權、記錄、處理、或報告對外財務數(shù)據(jù)，以致很可能導致重要的年報或中期報告中的錯報不能被阻止或查明的情況。重大缺陷是指某一重要缺陷，單獨或與其他重要缺陷一起，導致年報或中期報告中的重大錯報很可能不能被阻止或查明的情況。

美國2002年頒布的Sarbanes-Oxley Act（縮寫為SOX）強化了對上市公司內(nèi)部控制的監(jiān)管。其中SOX302條款要求公司管理層向外部審計師和審計委員會報告已發(fā)現(xiàn)的內(nèi)部控制重大缺陷，但這種內(nèi)部控制缺陷是否要在向SEC提交的報告中向股東揭示，并不明確，因此，在SOX404條款實施之前，管理層關于內(nèi)部控制缺陷的揭示有較大的自由空間。

而SOX404條款則明確要求，上市公司應在對外披露的財務報表中，包含管理層關于財務報告的內(nèi)部控制設計與運行是否有效的評估結果，以及外部審計師對其的審計意見。如果公司內(nèi)部控制存在一項或多項重大缺陷，審計師就要對其內(nèi)部控制發(fā)表負面審計意見。

2010年中國財政部等五部門頒布的《企業(yè)內(nèi)部控制評價指引》第四章“內(nèi)部控制缺陷的認定”指出，“企業(yè)內(nèi)部控制評價工作組應當根據(jù)現(xiàn)場測試獲取的證據(jù)，對內(nèi)部控制缺陷進行初步認定，并按其影響程度分為重大缺陷、重要缺陷和一般缺陷。”“重大缺陷，是指一個或多個控制缺陷的組合，可能導致企業(yè)嚴重偏離控制目標。重要缺陷，是指一個或多個控制缺陷的組合，其嚴重程度和經(jīng)濟后果低于重大缺陷，但仍有可能導致企業(yè)偏離控制目標。一般缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。”

二、“內(nèi)部控制缺陷”的第二層級——基于內(nèi)部控制對象的劃分

在基于投資者利益保護角度，按經(jīng)濟后果性劃分“內(nèi)部控制缺陷”后，自然就需要明確可能對投資者利益帶來損害的“控制缺陷”的來源。因此，有必要將企業(yè)內(nèi)部控制缺陷按內(nèi)部控制的對象劃分為“財務報告內(nèi)部控制缺陷”和“非財務報告內(nèi)部控制缺陷”。“財務報告內(nèi)部控制缺陷”可能導致企業(yè)向市場提供虛假的信息，從而誤導投資者的決策。“非財務報告內(nèi)部控制缺陷”可能導致企業(yè)的經(jīng)營效率下降或重大決策失誤，最終損害投資者利益。

2010年發(fā)布的《企業(yè)內(nèi)部控制審計指引》第六章“出具審計報告”第三十二條指出：“注冊會計師對在審計過程中注意到的非財務報告內(nèi)部控制缺陷，應當區(qū)別具體情況予以處理：注冊會計師認為非財務報告內(nèi)部控制缺陷為一般缺陷的，應當與企業(yè)進行溝通，提醒企業(yè)加以改進，但無需在內(nèi)部控制審計報告中說明；注冊會計師認為非財務報告內(nèi)部控制缺陷為重要缺陷的，應當以書面形式與企業(yè)董事會和經(jīng)理層溝通，提醒企業(yè)加以改進，但無需在內(nèi)部控制審計報告中說明；注冊會計師認為非財務報告內(nèi)部控制缺陷為重大缺陷的，應當以書面形式與企業(yè)董事會和經(jīng)理層溝通，提醒企業(yè)加以改進；同時應當在內(nèi)部控制審計報告中增加非財務報告內(nèi)部控制重大缺陷描述段，對重大缺陷的性質(zhì)及其對實現(xiàn)相關控制目標的影響程度進行披露，提示內(nèi)部控制審計報告使用者注意相關風險。”

很明顯，我國關于內(nèi)部控制缺陷的定義范圍較美國寬，美國關于內(nèi)部控制缺陷的定義主要關注“信息錯報”，而我國關于內(nèi)部控制缺陷的定義則強調(diào)“偏離控制目標”，也就是說，我國對內(nèi)部控制的監(jiān)管不僅關注財務報告內(nèi)部控制缺陷，還關注非財務報告內(nèi)部控制缺陷，這可能是因為我國經(jīng)濟和社會環(huán)境尚處于轉(zhuǎn)型時期，資本市場比較脆弱，因此，政府采取了審慎監(jiān)管的策略。

三、內(nèi)部控制缺陷的第三層級——按自我評價和外部審計的對象劃分

明確了內(nèi)部控制缺陷的第二層級——即財務報告內(nèi)部控制缺陷和非財務報告內(nèi)部控制缺陷，就為企業(yè)推進內(nèi)部控制機制建設指明了方向，即如何在上市公司和投資者之間構建“病毒防火墻”。由于公司內(nèi)部控制系統(tǒng)需要根據(jù)企業(yè)內(nèi)部和外部環(huán)境的變化不斷進行動態(tài)調(diào)整，因此公司內(nèi)部審計部門和外部審計師要定期或不定期進行測試，由此就需要按內(nèi)部控制機制的靜態(tài)和動態(tài)性質(zhì)劃分為設計缺陷和運行缺陷。

內(nèi)部控制設計的目標就是基于企業(yè)內(nèi)部控制的對象——即財務報告和經(jīng)濟活動，搜尋存在的各項漏洞（Weaknesses），并根據(jù)經(jīng)濟后果性大小，按重大、重要和一般的輕重緩急來配備內(nèi)控資源。隨著市場環(huán)境的變化和風險壓力的作用，一些重要和一般的內(nèi)部控制缺陷也可能變成重大缺陷，因此，企業(yè)必須建立對內(nèi)部控制缺陷的動態(tài)監(jiān)控和預警體系。通過內(nèi)部審計和外部審計的定期或不定期測試來發(fā)現(xiàn)運行缺陷。由此可知，內(nèi)部控制缺陷的第三層級－即分成設計缺陷和運行缺陷是內(nèi)部控制缺陷第二層級的延伸和分解。

四、內(nèi)部控制缺陷的第四層級——基于內(nèi)部控制要素內(nèi)容的劃分

為了統(tǒng)一規(guī)劃上市公司內(nèi)部控制機制的設計和運行，以便實施統(tǒng)一監(jiān)管，各國紛紛制定關于公司內(nèi)部控制的標準，目前主流的做法是將公司內(nèi)部控制劃分為內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通和持續(xù)監(jiān)控等五個要素。由此，可將公司內(nèi)部控制缺陷進行第四層級的劃分。2010年財政部等五部門頒布的《企業(yè)內(nèi)部控制配套指引》由18項應用指引構成，按內(nèi)部控制要素可分為三類，即內(nèi)部環(huán)境類指引、控制活動類指引、控制手段類指引，基本涵蓋了企業(yè)資金流、實物流、人力流和信息流等各項業(yè)務和事項（劉玉廷，2010）。其中，內(nèi)部環(huán)境類指引有5項，包括組織架構、發(fā)展戰(zhàn)略、人力資源、企業(yè)文化和社會責任等指引。控制活動類應用指引有9項，包括資金活動、采購業(yè)務、資產(chǎn)管理、銷售業(yè)務、研究與開發(fā)、工程項目、擔保業(yè)務、業(yè)務外包、財務報告等指引。控制手段類指引偏重于“工具”性質(zhì)，往往涉及企業(yè)整體業(yè)務或管理。此類指引有4項，包括全面預算、合同管理、內(nèi)部信息傳遞和信息系統(tǒng)等指引（劉玉廷，2010）。由此將企業(yè)內(nèi)部控制缺陷劃分為內(nèi)部環(huán)境類控制缺陷、控制活動類內(nèi)控缺陷和控制手段類內(nèi)控缺陷。按照與時俱進的理念和學習型組織的特點，明確企業(yè)在不同內(nèi)控要素上的缺陷，可為企業(yè)查找和監(jiān)督內(nèi)部控制風險點指明方向，提高內(nèi)部控制的效率和效果。

五、內(nèi)部控制缺陷的第五層級——基于內(nèi)部控制缺陷的影響面和責任歸屬劃分

隨著市場環(huán)境的變化和企業(yè)業(yè)務的擴張，企業(yè)的資金流、實物流、人力流和信息流可能出現(xiàn)異常的變化，并導致原有的內(nèi)部控制系統(tǒng)失靈。因此，企業(yè)必須對內(nèi)部控制系統(tǒng)可能出現(xiàn)的風險點設立動態(tài)監(jiān)控和預警體系，以便及時將信息傳遞給不同級別的管理人員或責任人，幫助其及時作出應對決策。

具體說來，第一步，企業(yè)首先確定風險點的分布，即分析風險情景出現(xiàn)之前可能會觀察到的征兆事件。第二步，確定風險征兆。任何風險征兆的釋放，都是呈現(xiàn)一定的時間序列規(guī)律的。因此，首先需要對這些征兆按照時間的先后次序進行分組，確定每一時間段上可以搜集到的征兆事件。接著，再對這些征兆事件的可觀察性和可信度進行評價，因為只有那些既可觀察到，又是可信的征兆才能作為風險監(jiān)視的關鍵事件。第三步，實施風險監(jiān)視，即在各種風險情景出現(xiàn)的路徑上，分析確定一些必定出現(xiàn)的關鍵征兆事件作為路標，然后連續(xù)地進行信息搜集，從而監(jiān)視這些征兆點的出現(xiàn)情況。企業(yè)通常根據(jù)經(jīng)費狀況確定財力可及的征兆監(jiān)視任務。第四步，風險預警。當把搜集到的零星證據(jù)整合到一起能夠明確說明何種風險將會發(fā)生時，需要為決策層提供風險預警。通常的做法是由智能信息分析人員對掌握的風險征兆進行分析、綜合和預測，形成帶有風險預警性質(zhì)的智能信息分析報告，提供給決策者。在預警時通過設定一定的警報級別來啟動預警機制。如用綠、藍、黃、橙、紅5色代表從低到高5種危險程度，根據(jù)監(jiān)視到的不同征兆的出現(xiàn)情況啟動不同的警報級別。這樣就可以通過有效的智能信息搜集和監(jiān)視，規(guī)避企業(yè)可能遭遇的風險，或者抓住難得的機遇。由此可以按責任歸屬或決策權限將內(nèi)部控制缺陷劃分為公司總體層面的缺陷、賬戶或交易層面的缺陷和其他層面的缺陷。賬戶或交易層面的缺陷影響面較小，主要由相應部門的主管或崗位責任人員負責。而公司總體層面內(nèi)控缺陷則影響面很廣，需要由公司高管來糾正。也就是說，內(nèi)部控制缺陷的第五層級是要確定公司每種類型內(nèi)部控制缺陷的責任人，形成“人人參與內(nèi)控，人人防范缺陷”的立體網(wǎng)絡。

圖1 上市公司內(nèi)部控制缺陷的層級劃分

通過以上研究，得到如下結論：（1）上市公司內(nèi)部控制缺陷可劃分為五個層級（參見圖1）。這種層級的順序也是政府對上市公司內(nèi)部控制監(jiān)管的路徑，即政府對上市公司的監(jiān)管，應該從投資者的需求和利益出發(fā)，逐步通過內(nèi)部控制對象、自我評價和外部審計的對象、內(nèi)部控制要素的規(guī)范，將市場的風險壓力傳遞給上市公司的高管和員工。（2）與圖1中實線箭頭相反的是虛線箭頭，該箭頭方向表示上市公司內(nèi)部控制缺陷的傳導效應方向，即上市公司內(nèi)部控制缺陷傳導效應的源頭是公司高管和員工的行為和價值觀，具體體現(xiàn)為公司總體層面內(nèi)控缺陷、賬戶或交易層面缺陷和其他缺陷等，而最終影響的是投資者利益。通過以上五個層級的內(nèi)控監(jiān)管制度設計，目的就是為降低投資者與上市公司之間的信息不對稱性，提高資本市場的資源配置效率。（3）由于關于內(nèi)部控制監(jiān)管的制度設計與運行也存在巨大的成本，當這種成本低于所帶來效益時，就能促進資本市場的健康發(fā)展；而當這種成本大于其效益時，將會出現(xiàn)制度失靈，并無法擠出資本市場的泡沫，最終導致資本市場的危機。

［1］劉玉廷：《全面提升企業(yè)經(jīng)營管理水平的重要舉措——〈企業(yè)內(nèi)部控制配套指引〉解讀》，《會計研究》2010年第5期。

［2］Ashbaugh-Skaife，H.，D.Collins，and W.Kinney.The discovery and reporting of internal control deficiencies prior to SOX-mandated audits.Journal of Accounting and Economics，2007，44（1-2）：166-192.

［3］Public Company Accounting Oversight Board（PCAOB）.Auditing Standard No.2—An Audit of Internal Control over Financial Reporting Performed in Conjunction with an Audit of Financial Statements，2004.