关于内部控制缺陷认定的研究
【摘要】在上市公司内部控制的建立、评价及审计中，内部控制缺陷的认定都是最基础的问题，然而由于中西方均缺乏关于内部控制缺陷认定的系统研究，目前的内部控制规范对于内部控制缺陷认定也存在诸多亟待完善的地方。

本文旨在通过对上市公司内部控制评价报告分析研究，找出内部控制缺陷认定存在的问题，并提出改进意见。

【关键词】内部控制缺陷，认定，改进建议
20世纪爆发的世通安然等重大财务舞弊事件让全球资本市场开始关注企业内部控制的建设。

2002年7月，美国国会通过《萨班斯--奥克斯利法案》。

2008年6月，我国财政部、证监会、审计署、银监会和保监会五部委联合发布《企业内部控制基本规范》；2010年4月，五部委又联合发布《企业内部控制配套指引》。

一系列指引和规范的出台充分显示出了我同监管部建立完善的上市公司内部控制制度的迫切要求，同时也标志着我国企业实际的内部控制建设也驶入了快车道。

一、内部控制缺陷定义及分类
（一）内部控制缺陷定义
内部控制缺陷是指内部控制制度建立或执行未达到预期标准，不能及时防范和控制影响企业控制目标实现的风险。

根据我国《企业内部控制评价指引》规定，内部控制缺陷通常分为设计缺陷和运行缺陷，其中设计缺陷是指企业内部控制制度未涵盖实现控制目标
所必需的重要控制措施，或现有重要控制措施设计不合理，导致控制目标无法实现；运行缺陷是指控制执行者未按照内部控制制度要求执行，或控制执行者不具备有效执行控制的能力，导致控制目标无法实现。

（二）内部控制缺陷分类
对于内部控制缺陷的分类，国内外学者从各自的角度出发，对内控缺陷种类进行了一定的划分。

ge和mcvay（2005）将内控重大缺陷分为九大类：会计类、培训类、期末报告和会计政策类、收入确认类、职务分离类、账户核对类、子公司类、高管类和技术类。

他们通过对s0x法案生效后披露重大控制缺陷的261家公司进行研究，结果发现，公司认定和披露最多的内控缺陷类别为：收人确认类、职务分离类、期末报告和会计政策类以及账户核对类。

jeffrey doyle等人（2006）将内控重大缺陷按其形成原因分为三类：人员归因类、复杂性归因类和一般归因类。

他们对披露重大内控缺陷公司的特征进行了研究，结果发现，披露重大内控缺陷的公司具有规模小、成立时间短、财务羸弱、业务复杂、增长迅速以及正经历重组等特征。

jacqueline s. hammersley 等（2007）按照审计难易程度将内控缺陷分为较难审计类和容易审计类，其中较难审计类内控缺陷包括关键人员类、财务报告和控制环境类；容易审计类内控缺陷包括人员类、控制系统类、交易核算类以及日常业务控制类。

通过咨询会计师事务所合伙人和公司高管，他们对sox法案颁布后内控缺陷披露的市场反应进
行了研究，结果发现，市场对那些可能发生内控缺陷的公司反应普遍不好，内控缺陷越严重，披露的信息含量越模糊，市场负面反应越大。

与西方相比，中国学者对内部控制的研究起步较晚，目前多是研究内部控制自我评价报告的披露问题，对内控缺陷的关注度较低。

王飞（2006）探讨了商业银行内部控制缺陷的表现形式，如组织结构设置、监督约束机制、业务流程安排、风险管理评估、内部审计作用及人员管理等方面的问题。

建议通过完善稽核审计体系及权力制约机制等措施改进上市公司内部控制。

鲁清仿（2009）认为公司内控缺陷具有相对性，故应在评估公司年度治理整改报告的基础上结合相关规定，将内部控制重大缺陷的界定标准分为两类：上市公司中报或年报中有修订或“补丁”行为的及存在审计师变更的。

齐保垒和田高良（20lo）在财务报告内部控制缺陷影响因素的研究中，将实质性缺陷与重大薄弱环节划分为会计类、期末报告与会计政策类、收入确认类和子公司控制类等4种类型。

南京大学课题组（20lo）利用媒体对112家公司内控的报道，总结了目前我国企业内部控制存在的缺陷，如内控环境缺陷、风险评估缺陷、控制活动缺陷、信息沟通缺陷和内部监督缺陷，其中表现突出的内控缺陷是：控制环境中的员工控制和经理层控制缺陷，风险评估中的战略风险评估缺陷，控制活动中控制盲区缺陷，信息沟通中的内部报告缺陷和对外披露缺陷。

内部监督中的内部审计缺陷。

二、内部控制缺陷认定中存在的问题
（一）内部控制设计缺陷难以客观评价
2008 年《企业内部控制基本规范》发布后，大多数企业结合自身情况建立了内部控制制度，企业重要的经营活动有章可循、有法可依，并通过对照制度检查评价，内部控制的运行缺陷得到及时发现和纠正，企业的经营行为得到规范，基础管理不断夯实。

但通常情况下，内部控制制度是按照管理层的意图设计和运行的，当制度本身存在缺陷，特别是存在如不当授权、滥用职权、个人决策等治理层面的问题，执行者一般很难发现或纠正。

因此，企业内部控制自我评价中，对设计缺陷通常难以客观评价。

（二）非财务报告内部控制缺陷难以准确认定
《企业内部控制评价指引》将非财务报告内部控制有效性纳入了内部控制评价范围，今后对于影响企业战略目标实现、制约经营效益和效率提升、威胁资金资产安全以及违法违规行为等可能造成企业偏离控制目标的事项，企业在披露内部控制评价报告时要如实予以反映。

但目前由于非财务报告内部控制缺陷的认定和披露等要求没有明确界定，难以通过定量分析法予以认定，也没有先例可以参照，这就给企业的实际操作带来了难度，也降低了这项制度要求的效力和严肃性。

（三）不同企业内部控制缺陷的认定标准
难以统一内部控制的有效性是内部控制为企业目标实现提供的保证程度，从本质上讲内部控制服务于企业目标。

由于企业目标不尽相同，经营业务范围和业务规模存在较大差异，因此，企业的内
部控制也必然是个性化的。

从严格意义上讲，不同企业内部控制缺陷的认定标准不能“一刀切”，需要因地制宜，具体分析和评价。

这就给这项工作的实施带来了一定的困难，也给报告使用者带来了一定的难度。

三、内部控制缺陷的整改建议
（一）改善内部控制环境，重视企业组织架构建设企业内部应建立完整的内部控制制度体系和清晰的业务流程，合理地对公司各个职能部门和人员进行责任分工、控制和考核，对每一个部门的责任和利益明确界定，防止权力重叠，也避免出现权力真空。

通过汇编内部管理制度、业务流程图、权限指引等，促进企业各层级员工明确机构设置和职责分工，正确行使职权。

（二）内部控制制度的环境适应性，制定内部控制的战略目标内部控制是为了上市公司应对不同阶段的风险而建立的，随着全球一体化进程的加快，企业面临的风险愈加多变、复杂，公司的快速增长必须伴随着相适应的内部控制的改变和适应。

公司的过快成长可能会超出其内部控制作用的范围，因此，公司需要花时间来建立新的政策和程序，并需要配备相应素质的人力资源在管理和技术等方面与之相匹配。

《企业风险管理—整体框架》明确指出，战略目标是内部控制的最高层次目标。

因此，公司要重视内部控制的战略目标，从总体层面上实现对风险的识别与控制。

建设自我企业文化，承担社会责任，培养员工的认同感。

（三）提高企业员工综合素质，培养风险意识
管理层应在日常工作中加强风险管理，建立健全风险预测、风险评估、风险控制和风险约束机制，并且在技术上制定风险回避、风险转移和风险分散等管理策略，以有效防范和控制风险；并实时监督评价内控效果，及时采取措施化解风险。

其次，全体员工应树立风险意识，积极贯彻实施企业内部控制制度，使内控政策落到实处。

内部控制是由人来完成的，而“软控制”即组织内部人员的道德观和能力是内部控制有效的关键因素之一。

上市公司应强调“软控制”的作用，着手培养自己的人才，根据企业战略目标配备相应的人力资源，加强对每位职工的职业道德教育和技能培训，提高人员的综合素质。

（四）加快企业信息化建设，完善企业活动控制
企业的快速发展，无论是从资金流、信息流、还是实物流，无论是从预算管理、工程项目进展、资产管理，企业快速成长带来的庞大信息量无时无刻不在考验企业的内部控制制度。

我国2010年上市公司内部控制缺陷分部表明，控制活动类内控缺陷与强相关于控制手段类内控缺陷，因此，应融合先进的it技术，加强企业各部分信息的融合，将人事制度化，将制度信息化，将信息软件化。

erp以及sap信息化建设可以极大地提升内部控制制度透明度，进而有利于制度的执行与监管。

参考文献：
[1]南京大学会计与财务研究院课题组．论中国企业内部控制评价制度的现实模式[j]．会计研究，2010，（6）：51—61.
[2]田高良，齐保垒，李留闯．基于财务报告的内部控制缺陷披露影响因素研究[j]．南开管理评论，2010，（4）：134—141.
[3] 美国管理会计师协会，张先治等译．2008．财务报告内部控制与风险管理．第l版．大连：东北财经大学出版社.。