內部控制缺陷認定標準及披露研究

柯文鳳

內部控制缺陷是指內部控制的設計存在漏洞，不能有效防范錯誤與舞弊，或者內部控制的運行存在弱點和偏差，無法檢測和糾正內部控制中錯誤和欺詐行為的情況。內部控制缺陷按照不同的分類方法，可以有不同的分類。按照重要程度可以分為重要缺陷、重大缺陷和一般缺陷，按照內部控制缺陷的本質分類可以分為設計缺陷、運行缺陷等。文章從內部控制缺陷認定標準出發，分析內部控制缺陷認定標準和披露的現狀及存在的問題，并提出相關建議。

一、引言

在內部控制審計中，內部控制缺陷的認定大多依靠注冊會計師的職業判斷能力。注冊會計師依據內部控制缺陷的認定標準對公司的內部控制進行評價形成結論。

2010年4月15日，財政部、證監會、審計署、銀監會和保監會財會聯合發布的《企業內部控制評價指引》第十七條指出，“重大缺陷、重要缺陷和一般缺陷的具體認定標準，由企業根據上述要求自行確定。”解釋第1號對企業應該如何確定內控缺陷的認定標準做出解釋：“企業可以根據《企業內部控制基本規范》及其配套指引，結合企業規模、行業特征、風險水平等因素，研究確定適合本企業的內部控制重大缺陷、重要缺陷和一般缺陷的具體認定標準。企業確定的內部控制缺陷標準應當從定性和定量的角度綜合考慮，并保持相對穩定。”

從國內外相關權威法規來看，內控缺陷認定標準沒有明確規定，但規定公司應制定缺陷識別標準。盡管一些文件涉及內部控制缺陷識別的標準，但總的來說，這個數字很小，研究也并不深入。

隨著企業內部控制體系的貫徹實施以及上市公司內部控制評價報告的披露，內部控制缺陷的認定標準引起了業界的關注。2010年由財政部等五部委聯合發布的《企業內部控制評價指引》意味著我國公司的內部控制法制化建設初步形成，對全面提高上市公司管理水平以及應對金融危機都具有重要的現實意義和理論價值。然而，就目前來看，內部控制的規范還存在很多需要不斷改進和完善的地方。內部控制缺陷的認定，在上市公司內部控制建立、評價及審計中起著基礎性作用，無論是定性標準還是定量標準都與職業判斷影響較為緊密。因此，需要政府、企業以及事務所這樣的中介機構共同努力來使內部控制更為完善，使內部控制缺陷及其認定標準的披露更為規范。

二、內部控制缺陷認定標準的披露

內部控制缺陷認定標準為上市公司內部控制缺陷的認定的依據，揭示了上市公司在內部控制缺陷認定過程中遵循的依據和準則、采用的方法以及認定的結果和對結果的評價等問題。因此，上市公司應充分披露內部控制缺陷認定標準和內部控制缺陷認定結果。投資者和其他利益相關者通過上市公司披露的內部控制缺陷認定標準可以獲取上市公司在內部控制缺陷認定方面做的工作進而了解上市公司的內部控制建設情況。目前，我國企業主要是通過內部控制評價報告披露內部控制缺陷認定標準的。因此，內部控制評價報告的披露需要引起我們的注意。

內部控制評價報告披露是指企業管理當局依據一定的準則向外界披露本單位內部控制合理性、完整性和有效性評價的信息以及注冊會計師對內部控制報告審核的信息。內部控制評價報告披露包括自愿性披露和強制性披露。一般來說，自愿性披露的往往是對企業有利的信息，極少提及內部控制的缺陷，而強制性披露則是國家法律法規對企業做出的要求，是企業必須披露的內容，國家對此做出了統一規范，這類披露由于目前我國內部控制缺陷認定標準尚不完善，所以從中分析所能得到的企業內部控制運行情況的相關信息也是有限的。但是，企業通過內部控制信息的披露，可以加強對企業內部控制設計的合理性、科學性和執行的有效性等方面的外部監督，通過內部控制評價報告的披露，可以減少信息的不對稱，有助于利益相關者做出正確的決策，從而促進市場資源的有效配置。此外，國家通過強制披露體現出了對企業內部控制評價的重視，加強了企業內部控制的有效性。

截至2016年12月31日，上海和深圳證券交易所共有3050家上市公司，2930家上市公司披露了內部控制評價報告，占全部上市公司的96.07%。2016年，在2930家披露內部控制評價報告的上市公司中，2874家披露了內部控制缺陷認定標準。從這里可以看出，前都大部分公司目發布了內部控制評價報告，但是，仍有不少上市公司對年報的“公司治理”、“重要事項”等進行一般性描述，遠遠不能滿足資本市場的需求，在確定內部控制缺陷的認定標準和披露方面仍存在諸多不完善之處。

三、內部控制缺陷認定標準及披露存在的問題

（一）內部控制缺陷認定缺乏統一標準

內部控制缺陷認定標準存在較大的選擇性和隨意性，內控信息中也存在很多的不完整性和模糊性，對內部控制信息披露質量有較大的影響，不利于企業及時發現內部控制問題。各個企業為了自身的利益，往往會選擇對自己企業有利的標準來進行信息披露，這必然對報告的使用者產生不利的影響。

（二）內部控制缺陷認定標準披露動機不足

公司管理層對內部控制的認識比較薄弱，沒有認識到內部控制的重要性。這使得上市公司內部控制信息披露動機不強。有些企業即使披露，也只是披露企業內部控制好的方面，對企業控制的薄弱環節則很少主動披露，更少有公司實事求是地披露內部控制缺陷認定標準。

（三）內部控制缺陷認定標準的披露缺乏監管，執行不力

2011年4月29日，中國證監會發布了《信息披露違法行為行政責任認定規則》，僅僅指出了哪些信息披露是違法行為，但是并未規定違反此規定的法律責任。而且，我國至今也尚未要求注冊會計師對公司內部控制信息披露進行詳細的審計，這就會使得我國上市公司的內部控制缺陷認定標準披露缺乏可信性和權威性。

（四）內部控制缺陷認定標準的披露形式化

我國上市公司在內部控制缺陷認定標準披露方面存在著嚴重的形式化問題，由此得出的內部控制評價報告內容各家大同小異，并不能夠真實地反映企業內部控制情況，對利益相關者的使用價值很低。我國大部分企業報喜不報憂，披露的認定標準大部分只停留在知識層面，導致內部控制大部分都認為沒有重大缺陷，這實際上與我國內部控制的發展情況相悖。即便有少數企業在某些年份的報告中披露了一些缺陷認定標準，但是仍然避重就輕，對缺陷認定標準描述含糊不清。

（五）內部控制缺陷認定標準的披露權責認定不清

公司董事會和監事會負責完善公司治理并對股東負責。此外，注冊會計師在執行審計，審查業務和其他認證服務時，應當正式保持其獨立性。并且需要對所出具的評價報告負責任，與此相關的認定標準的披露也應由注冊會計師負責。一般情況下，企業內部控制評價由董事會，監事會和注冊會計師進行，但缺乏對各部分相關責任的確定。這導致了信息披露方面的很大的主觀性和隨意性。

四、完善內部控制缺陷認定標準及披露的對策

（一）政府層面

監管部門對相關內部控制缺陷認定標準披露要求應該更加細化、明確，應該出具更為規范的、操作性更強的實施意見，進一步加強對企業內部控制缺陷披露標準的規范和監督。內部控制評價報告的結論反映了內部控制是否有效。內部控制缺陷信息的披露與確定內部控制缺陷的標準披露密不可分。監管部門要按照《企業內部控制評價指引》的有關內部控制評價和披露部分，進一步完善和發布操作規程和指引。它使內部控制缺陷披露的識別標準更加具體化，便于監督。為避免公司對內部控制評價報告的操縱，一旦確定非財務報告內部控制缺陷的識別標準，在不同評估期間必須保持一致，不得任意改變。

（二）企業層面

企業要完善公司治理機制，充分發揮內部審計部門在監督評估中的作用。公司內部審計部門應由董事會和審計委員會直接領導。加強內部審計部門的獨立性。內部審計部門要從全局出發，客觀，獨立地評估企業風險，評估內部控制的有效性。缺陷識別和嚴重程度屬于技術層面問題，然而缺陷最終認定屬于管理層面的問題。企業應當強化企業治理層在內部控制體系中的作用，充分發揮治理層的監管作用。此外，要提高對內部控制缺陷認定標準的重視，高層管理者要深刻認識到加強內部控制缺陷認定標準對完善內部控制披露的意義。提高內部員工對內控文化的認同，加強控制意識，規范內部控制缺陷認定標準的披露。

（三）事務所等中介機構

中介機構應當增強專業勝任能力，提升服務質量，積極引導上市公司的內部控制缺陷認定標準的披露工作，強化內部控制審計業務的業務培訓，提高相關員工的業務水平，提供具有專業水準的服務。審計人員應當始終保持職業懷疑，避免出現在證據不足的情況下出現了審計失誤。

五、結語

內部控制就像一個攝像機，只要有經營活動，就會反映到財務里;反之，只要財務有反映，那么就一定有經營活動發生。內部控制缺陷的認定，就是基于這樣的理論。對企業影響的程度、大小，決定了這個缺陷是什么樣的層次，決定了人們對它的重視程度以及會采取什么樣的措施來應對。企業內部控制涉及到政府、企業以及事務所等中介機構，因此，需要各方共同努力，使企業內部控制缺陷標準的制定以及披露更加完善和規范。

（作者單位：安徽大學商學院）