与 SEC 从缺陷的重要性程度进行划分不同，学术界从 其它多个角度对内部控制缺陷进行了各种各样的划分。比 如，Ge and Mcvay （ 2005） 从业务类别的角度将内控重大 缺陷分为九大类： 会计账户类、培训类、期末报告和会计 政策类、收入确认类、职务分离类、账户核对类、子公司 类、高管类和技术类； Doyle et al． （ 2007） 将内控重大缺陷 按其严重程度分为公司层面和账户层面 （ 会计层面） 的重 大缺陷，同时也将重大缺陷按形成原因分为人员问题、复 杂性问题和一般性问题三类； Klamm et al． （ 2012） 研究内 控缺陷持续存在的影响因素时，将内控缺陷划分为与信息 技术相关的公司层面缺陷、与信息技术不相关的公司层面 缺陷以及会计账户层面缺陷三个类别。这些划分都基于特 定的研究目的，并没有形成普遍接受的内控缺陷分类方法 或认定标准。
将内控缺陷划分为重大缺陷、重要缺陷和一般缺陷。所不 同的是，各个企业的内控缺陷的重要性水平和内控缺陷发 生的可能性水平设定标准不同。
（ 一） 样本公司内控缺陷的重要性水平标准设定情况 从内控缺陷重要性水平标准的设定方式上来看，样本 公司大体可以分为以下三类： 第一，基准 指 标 百 分 比 法。 这 类 公 司 通 常 采 用 利 润、 总资产和经营收入等财务指标作为基准指标，同时设定基 准指标的一定百分比来确定基本的重要性水平，然后再根 据内部控 制 缺 陷 导 致 的 财 务 报 告 错 报、 漏 报 或 损 失 金 额 （ 以下用 “L” 代替） 与基本重要性水平之间的关系作为内 控缺陷的重要性标准，并据以划分重大缺陷、重要缺陷和 一般缺陷。比如，有的公司以毛利润的 1% 作为基本的重 要性水平，当 L 大于等于该重要性水平的 100% （ 即毛利 润的 1% ） 时，该缺陷就被认定为重大缺陷； 当 L 大于或 等于该重要性水平的 50% （ 即毛利润的 0. 5% ） ，小于该重 要性水平的 100% （ 即毛利润的 1% ） 时，该缺陷就被认定 为重要缺陷； 当 L 小于该重要性水平的 50% （ 即毛利润的 0. 5% ） 时，该缺陷就被认定为一般缺陷。从样本公司披露 的情况来看，有 99 家公司采用了这种方法。信息质量特征 中一个非常重要的特征是信息的可比性，信息的可比性要 求信息的 “生产” 标准也要具有可比性。但是，样本公司 在设定标准时，在可比性方面存在多方面问题。 首先，内控缺陷重要性水平的基准指标不一致。 （ 1） 有些公司以单一财务指标作为内控缺陷重要性水平的基准指 标，但是选择的财务指标各不相同。样本公司中有 61 家公 司运用单一财务指标作为确定重要性水平的基准指标，但是 有的以税前利润或营业收入为基准指标，有的则以净资产或 总资产为基准指标，这样难免会导致重要性标准缺乏可比 性。（ 2） 有些公司以多个财务指标为内控缺陷重要性水平的 基准指标。样本公司中有 21 家公司同时选用 4 个财务指标 作为内控缺陷重要性基准指标，有 10 家公司同时选用 3 个 指标，有 16 家公司则同时选用 2 个指标。采用多个财务指 标作为基准指标，除了不同公司在内控缺陷认定标准方面缺 乏可比性之外，由于财务指标之间本身的数量关系不一定完 全对应，可能会导致内控缺陷认定标准缺乏内在一致性。 其次，即使采用同样的财务指标作为基准指标，其划 分重要性水平的标准也不尽相同。样本公司披露的重要性 水平中，利润总额的 5% 是比较常见的重要性水平，也有 以利润总额的 6% 、3% 、2% 、1% 等作为重要性水平； 资 产总额的 1% 比较常见，资产总额的 0. 3% 、0. 5% 、5% 等 也散见于不同的公司中； 营业收入的 1% 和 0. 5% 在运用多 个财务指标的公司中也经常被作为确定重要性水平的依据。 尽管重要性水平是一个职业判断的问题，但是其标准设定 差异如此之大，披露的内控缺陷信息还如何可比？ 再次，内控缺陷基 准 指 标 的 基 准 数 据 期 间 选 择 不 同。 在确定重要性标准时，有些公司以当年财务报表中基准指
* 本文受暨南大学科研培育与创新基金项目 （ 12JNYH003） 、教育部人文社科研究项目 （ 12YJA790023） 和广东省社科规划办人文社科 项目 （ GD10CGL09） 资助。
79
定错报的 “可能性” 大小上存在困难，AS. 2 所制定的内控 缺陷认定标准运用到实践中可能会很复杂。为此，PCAOB 于 2007 年发布 AS. 5 替代了有争议的 AS. 2。AS. 5 对控制 缺陷的定义与 AS. 2 相同，但是修订了重要缺陷和重大缺 陷的定义，并修订了重大缺陷的 “明显征兆 （ 标志） ”。
三、样本选择及研究视角
本文以沪深 A 股主板上市公司披露的 2011 年内控自我 评价报告为研究对象。截至 2011 年 12 月 31 日在沪深 A 股 主板上市的公司，共有 896 家公司披露了 2011 年内部控制 自我评价报告。在样本选择过程中，本文首先剔除仅披露 内控缺陷定义的公司。这类公司照抄照搬相关文件中有关 重大缺陷、重要缺陷和一般缺陷的定义，并没有披露公司 进行缺陷认定的具体标准。其次剔除仅简单描述公司内控 缺陷认定标准的公司。这类公司仅披露公司从哪些角度和 维度刻画内控缺陷认定标准，并未在报告中详细披露公司 形成文字性的内控缺陷认定标准。最后剔除报告中并未提 及内控缺陷认定标准的公司或虽提及公司制定了内控缺陷 认定标准，但是并未展开进一步描述的公司。依据上述原 则，共获得 151 个样本，占 896 家公司的 16. 9% 。
上市公司内部控制缺陷
*
认定标准研究
丁友刚 王永超
（ 暨南大学会计学系 510632）
【摘要】 内部控制缺陷认定标准是企业内部控制评价的核心问题。本文以我国沪深 A 股上市公司披露的 2011 年 内控评价报告为研究对象，从重要性和可能性两个维度考察上市公司内控缺陷认定定量标准的制定情况，并运 用内容分析法从缺陷事件的性质、发生的可能性和影响的严重程度三个维度考察上市公司内控缺陷认定定性标 准的制定情况。研究发现，上市公司内控缺陷认定标准在制定方面存在着诸多影响内控缺陷信息质量的问题， 本文在此基础上提出了若干总体性的改进建议。 【关键词】 内部控制缺陷 定性标准 定量标准
80
基于管理层的视角，研究了内部控制缺陷识别与认定的技 术路线； 陈武朝 （ 2012） 在考察 SOX 法案执行初期在美上 市公司财务报告内部控制重大缺陷认定和披露的基础上， 结合我国相关政策规定，对重大缺陷认定和披露两个问题 进行了研究； 田娟等 （ 2012） 则对内控缺陷识别、财务报 告与非财务报告内控缺陷的区分等问题进行了研究，并提 出了相应的对策。
一、引言
内部控制缺陷认定标准是内部控制评价和审计工作的 核心和前提。2008 年、2010 年，财政部等五部委先后联合 发布了 《企业内部控制基本规范》 及其配套指引。其中， 《内部控制评价指引》 将内部控制缺陷按影响程度划分为 重大缺陷、重要缺陷和一般缺陷，但同时又规定： “重大缺 陷、重要缺陷和一般缺陷的认定标准，由企业根据上述要 求自行确定”。这在赋予企业 “自由裁量权” 的同时，也 给企业留下了操纵的空间 （ 林斌等，2012） ，企业可能会 避重就轻，导致一些重大缺陷由于缺乏明确的认定标准将 其划入重 要 和 一 般 缺 陷 （ 田 娟 等，2012 ） 或 无 法 被 认 定 （ 陈武朝，2012） 。当前，我国上市公司正分批分步落实企 业内部控制规范，及时研究内部控制缺陷认定标准相关问 题显然具有十分重要的意义。
由于政策层面并没有要求企业遵循统一的内部控制缺 陷认定标准，上市公司可以结合公司规模、行业特征、风 险水平、风险承受度和公司战略目标等因素确定适合公司 实际情况的内部控制缺陷认定标准。尽管各个公司的内部 控制缺陷认定标准在形式和内容上存在较大不同，但是， 总体上都包括定性和定量标准这两个方面。
四、样本公司内控缺陷认定定量标准设定情况
二、文献回顾
（ 一） 国外内部控制缺陷划分及认定文献综述 SOX 法案颁布之前，内部控制缺陷并没有引起监管层 以及学术界的足够重视。各国学者对内部控制的研究主要 集中在内部控制制度的设计方面 （ 刘亚莉等，2011） 。安 然等公司财务舞弊案件的爆发使得普遍存在于公司中的内 部控制缺陷充分暴露。为了更好地推进 SOX 法案的实施， SEC 先后于 2003 年 6 月、2005 年 5 月发布了 《最终规则： 管理层关于财务报告内部控制的报告以及对 ＜ 交易法 ＞ 定 期报告中披露的确认》 （ 10 － 020） 和 《证券交易委员会 关于实施内部控制报告要求的声明》 （ 2005 － 74） ，对企业 管理层财务报告内部控制缺陷评估和重大缺陷认识等问题 进行了详细的规定。然而，这些规定只提供了一些原则性 的规范，并未提供详细的操作指南。 与此同时，SEC 下属的 PCAOB 于 2004 年发布 AS. 2， 将内部控制缺陷划分为控制缺陷 （ control deficiency） 、重 要缺陷 （ significant deficiency） 和重大缺陷 （ material weakness） ，并对这几类缺陷进行了定义，同时，还列举了存在 重要缺陷和重大缺陷的 “明显征兆”，包括一些定量和定 性特征 （ Bedard et al． ，2011） 。然而，AS. 2 有关重要缺陷 和重大缺陷的定义含混不清，给企业在内控缺陷认定时留 下很多的 “自由裁量权” （ Bedard et al． ，2011） 。由于在确
（ 二） 国内内部控制缺陷划分及认定文献综述 我国财政部等五部委 2010 年发布的 《企业内部控制评 价指引》 和 《企业内部控制审计指引》 均将内部控制缺陷 按成因或来源分为设计缺陷和运行缺陷，并按影响程度划 分为重大缺陷、重要缺陷和一般缺陷。由此可见，我国对 内部控制缺陷的划分同时采用了 COSO 委员会 《内部控制 ———整体框架》 中按照成因的划分以及 PCAOB 按照影响 程度的划分。而且，我国五部委发布的 《企业内部控制基 本规范》 及其配套指引提出的内部控制既包括财务报告内 部控制，也包括非财务报告内部控制，所以，《企业内部控 制审计指引》 要求， “注册会计师对在审计过程中注意到 的非财务报告内部控制缺陷，应当区别情况予以处理”。 在学术界，国内学者对内部控制缺陷的研究主要集中 在内部控制缺陷披露的影响因素与市场反应上 （ 刘亚莉 等，2011） 。其中，有些研究也涉及到内控缺陷的分类。比 如，齐保垒和田高良 （ 2010） 在财务报告内部控制缺陷影 响因素的研究中，将实质性缺陷与重大薄弱环节划分为会 计类、期末报告与会计政策类、收入确认类和子公司控制 类等 4 种类型； 南京大学课题组 （ 2010） 则将内部控制缺 陷按照内控五要素分为控制环境缺陷、风险评估缺陷、控 制活动缺陷、信息与沟通缺陷与内部监督缺陷，并把这五 大类内控缺陷再细分为 28 个子类。 另外一些研究则开始探讨内控缺陷认定的技术和框架 问题。比如，王惠芬 （ 2011） 针对我国上市公司内控缺陷 认定现状及其面临的困境，从理论衔接、规范思路及缺陷 程度等方面重构了内部控制缺陷认定的基本框架； 杨有红 等 （ 2011） 从内部控制缺陷与内部控制局限性的关系 出 发，探讨了内控缺陷认定与报告问题； 李宇立 （ 2012） 则