陆昕昕

一、引言

根据国内和国外出台的管理内部控制规范，明确内部控制缺陷的依据没有建立起完整的构架，就是规定在企业自身发展角度提出内部控制缺陷识别标准。在学术研究中，确实存在一些资料提到内部控制缺陷，但是内容不够丰富，涉及到的信息还是比较肤浅，没有形成完整的理论结构。

明确内部控制缺陷的标准就是分类内部控制缺陷，寻找内部控制缺陷为的是发现缺陷，归纳缺陷为的是认识缺陷。不管是发现缺陷，还是认识缺陷，依靠的都是具体标准，这篇论文强调内部控制缺陷的判断依据。内部控制缺陷的明确准则就是判断有差异的内部控制缺陷，即业务经营产生的管理漏洞，导致内部控制在其位不谋其职。从某种程度来说，在企业的长期发展中内部控制缺陷的判断依据是很重要的过程。企业检查内部控制缺陷，特别是像非财务报告内部控制缺陷，需要一定时间。总体来说，这个挑战既有来自企业内部的管理层，又有来自企业外部的市场和客户。换句话说，内部控制缺陷的判断依据是企业分析经营决策的核心标准之一。

文章具体结构为：第一阐述文献综述，第二根据内部控制缺陷依据的关键是控制缺陷影响整体制度的情况来区别，在理论角度研究有差异的内部控制制度缺陷定性依据和定量依据系统。并且对内部控制缺陷依据的实例开展研究，以此来证明理论基础的真实性，最后得出结论和忠告。

二、文献综述

在国内外研究资料中，对于内部控制缺陷的判断依据总体数量不多，这些资料中有关论文主题的资料还是有的。定义内部控制缺陷，主要文献归纳为重大缺陷、重要缺陷和一般缺陷。尽管小部分资料指出区别重要缺陷和一般缺陷，不存在实际差别，提高了企业执行成本。也有一些文献认为在实证研究基础上，必须按照主题要求，区分不同性质的内部控制缺陷。

一般来说，在大部分资料指出，内部控制缺陷判断依据分为定性依据和定量依据。同时，大量文献认为每个缺陷都有其对应的依据，小部分文献认为每个缺陷既可以按照定性依据又可以按照定量依据。在定量依据中，大部分资料认可“可能性”以及“导致后果”两个角度具体化，认为通过审计财务报表的关键作用进行量化。小部分研究人员分析国内上市公司内部控制评价报告，据此划分上市公司内部控制缺陷。该文主要说明内部控制缺陷存在风险带来目标完成进度的影响情况，由此认为差异的内部控制缺陷识别系统由定性依据和定量依据组成。

三、内部控制缺陷判断依据：相关理论

内部控制缺陷判断依据就是划分内部控制缺陷的要求，主要包括两层含义：一层含义如何划分内部控制缺陷，另一层含义为内部控制缺陷划分类别。

（一）内部控制缺陷分类和判断依据系统

区分内部控制缺陷涉及到两类问题，第一类问题即按照什么样的目标来定义内部控制缺陷，第二类问题即内部控制缺陷分哪几个种类。

说到依据具体的对象分类内部控制缺陷，关键来说内部控制很好完成特殊目标创立的保证系统，该系统有没有缺陷依据缺陷自身的保证程度分析，无法达到自身的保证程度，即为内部控制缺陷。目前的规定版本各异，1994年公布的COSO-IC明确其符合规定、符合法律、财务数据客观公正、经营绩效良好三个目标，2013年公布的COSO-IC明确其符合规定、符合法律、财务数据和非财务数据客观公正、经营绩效良好三个目标，财政部等部门公布的《企业内部控制基本规范》明确其尊纪守法、财产稳固、财务数据和其他数据正确客观、经营绩效和经营战术起到作用五个目标。按照《企业内部控制基本规范》，所涉及到的目标很全面。

缺陷划分种类依据缺陷的影响效应，其影响效应取决于缺陷针对内部控制目标的实际效应。目前内部控制诸多规定划分内部控制缺陷为三个层次，PCAOB公布AS2中把内部控制缺陷划分控制缺陷（Control Deficiency）、显著缺陷（Significant Deficiency）和实质性缺陷（Material Weakness）,PCAOB公布AS5中把内部控制缺陷划分非重要缺陷（Inconsequential Deficiency）、显著缺陷（Significant Deficiency）和实质性缺陷（Material Weakness）。学习AS5规定后，财政部等机构公布《企业内部控制评价指引》，即一般缺陷、重要缺陷和重大缺陷构成了企业内部控制缺陷。中国和美国对于内部控制缺陷选择了同样的定义方法，说明拥有同样的核心，更有利于理解和应用。

日本按照自身企业现状，产生了不同的内部控制缺陷划分体系。他们的内部控制缺陷主要有重大缺陷和一般缺陷。一些研究人员对此持有相反的观点，指出不必要清楚划分重要缺陷和一般缺陷。研究人员王惠芳经过研究之后，认为企业内部控制缺陷量化会产生一定的难度，同样强调不需要刻意分类重要缺陷和一般缺陷。田娟得出了和王惠芳一样的结论，重要缺陷和一般缺陷在企业发展中都存在，注册会计师指出的审计意见中涵盖的重要缺陷和一般缺陷过分划分，提高企业的成本。

本文指出，划分内部控制缺陷还要按照制度本身的目标，缺陷类别还要为缺陷本身的目标做出解释说明。在上述理论基础上，注册会计师审计内部控制，需要注重重大缺陷和非重大缺陷；单位进行内部控制评估，更加重视一般缺陷、重要缺陷和重大缺陷。基于上述行为，产生的具体成因为：（1）注册会计师作为外部人员，审计内部控制具有一定的要求，具体操作中总会存在一些挑战，只有借助内部控制的有效分析和内部控制缺陷分析来互相补充，内部控制的有效分析为100%-内部控制缺陷分析，目前规定下强调了重大缺陷。重要缺陷和一般缺陷不是着重强调，不是必须纳入常规统计。总体来说，审计工作中把重大缺陷放在第一位。（2）单位作为自身管理部门，整合了内部组织的核心机构，开展审计活动针对管理制度带来的隐患，以此来完善今后的企业管理，一般来说内审程序会检查出一般缺陷、重要缺陷和重大缺陷，并通知具体的管理部门，由他们开展相关整改活动。

（二）缺陷类别判断步骤

谈到划分存在的内部控制缺陷种类，涉及到缺陷类别的判断步骤。常规的说，内部控制缺陷是指风险影响程度在可以接受的影响水平之上，因此判断缺陷是在风险影响程度基础之上，内部控制缺陷风险影响程度的评估依赖定性依据和定量依据开展工作，只要属于定量依据的，归入定量评估；不能定量的，归入定性评估。上述提到的定量评估或者定性评估，本质上不属于方法论范畴，却可以将内部控制缺陷的实际作用以量化为标准，量化的标准和内部控制目标匹配。

在实际企业发展中，大部分内部控制缺陷做到量化很难，一般属于定性评估，因此缺陷判断类别借助定量依据或者定性依据。从某种程度来说，内部控制缺陷风险影响评估系统决定合适的缺陷判断依据，一旦选择定性评估内部控制缺陷风险，就是选择定性内部控制判断依据；一旦选择定量评估内部控制缺陷风险，就是选择定量内部控制判断依据。

选择缺陷判断依据以后，就是要把内部控制缺陷风险评估数值和缺陷判断依据开展比较，从而明确缺陷类别。上述理论成立情况下，内部审计按照定性评估和定量规定，出现重大缺陷、重要缺陷和一般缺陷；审计师审计，不强调重要缺陷和一般缺陷。上述理论成立的基础就是缺陷带来的风险作用内部控制目标的完成效应和内部控制缺陷明确标准通过同种途径看待缺陷风险导致的影响，就是说内部控制缺陷识别规则即内部控制缺陷风险效应分类要求。

（三）缺陷判断的定性依据

内部控制缺陷判断主要由缺陷判断依据决定，在这里首先谈到定性依据。定性依据按照缺陷性质考量风险影响和分类内部控制缺陷种类，常规涉及到下面因素：有没有守法、有没有违反规定、有没有产生负面影响、有没有犯罪行为、有没有产生广泛作用。

定性依据根据不一样的内部控制目标，产生不一样的内部控制缺陷，关于不一样的目标有不一样的效果，因此要具体明确判断依据。在已经存在的内部控制目标中，定性依据很难具体化，只适合不容易具体化的内部控制缺陷。一般针对此类缺陷，选择明确清单的方法，尤其是对于特殊内部控制目标，分类内部控制缺陷，同样能够选择明确清单的方法。

基于专业组织针对财务报告内部控制重大缺陷的权威解读，也通过明确清单的步骤，PCAOB指明的内部控制审计要求描述重要缺陷和重大缺陷的独特之处，财政部等主管机构出台《企业内部控制审计指引》二十二条指出了财务报告内部控制显示重大缺陷的信号，具体内容如下：“注册会计师发现董事、监事和高级管理人员舞弊；企业更正已经公布的财务报表；注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；企业审计委员会和内部审计机构对内部控制的监督无效”。

外面组织判断缺陷集中强调重大缺陷，单位里面判断缺陷必须划分重要缺陷和一般缺陷，写入详细清单中，描述清楚。在万科股份有限公司的管理中，通过清单规定财务报告内部控制缺陷判断的定性依据：（1）其中把重大缺陷定义如下：“公司会计报表、财务报表以及信息披露等方面发生重大违规事件；公司审计委员会和内部审计机构未能有效发挥监督职能；注册会计师对公司财务报表出具无保留意见之外的其他三种意见审计报告”。（2）剩下的重要缺陷可以这样概括：“公司会计报表、财务报告编制不完全符合企业会计准则和披露要求，导致财务报表出现重要错报；公司以前年度公告的财务报告出现重要错报需要进行追溯调整”。（3）另外一般缺陷的概念为：“未构成重大缺陷、重要缺陷标准的其他内部控制缺陷”。

（四）缺陷判断的定量依据

排除适合定性判断的缺陷以外的，就按照定量依据开展缺陷判断。缺陷判断定量依据使用两类方法，一类方法是相对数，另一类方法是绝对数。常规来说，划分缺陷类别按照缺陷内部控制目标的实际效果，选择相对数方法更可行。每个企业存在差异性，选择相对数方法，比较不同类型企业不是很合适。尽管在特殊状况下，当企业资金特别多，缺陷产生的绝对数值偏离度很大，从而产生小额的数值比例，符合形成重大缺陷的特质；同时法律法规中对于具体数额的规定，到达这个规定的数额形成重大缺陷。排除这些特殊情况，都选择相对数明确缺陷判断依据。

尽管专业机构对于内部控制目标定义不同，财政部等部门公布《企业内部控制基本规范》定义标准最完整，具体包括行为、资产、信息、经营和战略目标，不同目标采用不同缺陷判断依据。

行为目标强调经营业务管理行为有没有遵纪守法，并且有合适的保证。每一个企业明确经营业务管理行为必须遵纪守法是很难的，可以接受一定的缺陷影响水平。尽管缺陷影响水平能够构成缺陷，在缺陷影响水平之上的缺陷，严重情况更不一样。资产目标强调企业资金安全，包括资金违规拥有、违规使用、浪费损失情况，特殊的内部控制缺陷对上面的金额根据相对数方法进行分类，也可以使用绝对数方法。当企业资金出现违规拥有、违规使用在相当金额之上的缺陷视作重大缺陷；当企业资金损失情况在相当金额之上的缺陷视作重大缺陷；当企业资金浪费情况在相当金额之上的缺陷视作重大缺陷。信息目标强调企业数据的公正客观，同时保存财务数据和非财务数据。针对财务数据，目前按照审计财务报表为基础，选择相对数方法明确财务报告内部控制缺陷判断依据，缺陷作用到资金一定程度时，定义为重大缺陷；数值达不到一定资金比例，就属于重要缺陷；数值低于重要缺陷比例，成为了一般缺陷。在企业实例中，北京银行股份有限公司提交的财务报告内部控制缺陷判断依据为：“将重大缺陷定义为缺陷导致的误报金额已经接近甚至超过重要性水平；把重要缺陷导致的误报金额已经接近或达到重要性水平设定为5%到50%；一般缺陷导致误报金额明确在重要性水平的5%以内。”经营目标和战略目标体现为具体化的信息，保证企业资金的作用较小，不可以根据目标影响程度来判断，根据缺陷实际金额占完成目标的比重来确定，以此来判断内部控制缺陷实际金额所达到的比重。在这个比重基础上，分类缺陷类别。

（五）内部控制缺陷判断程度匹配性

内部控制缺陷判断不完全按照其依据生搬硬套，需要更多的管理工作经验。内部控制缺陷判断存在两方面实际作用，第一内部控制缺陷只要明确是重大缺陷，那么这个单位的内部控制视作无任何作用，当这样的结果公布与众，这个单位的名誉和社会影响会出现消极效果；第二明确内部控制缺陷后，依据不一样要求具体开展改进工作，缺陷实际作用影响到不同的管理部门。因此，不管是单位内部审计还是注册会计师审计，高度看重内部控制缺陷判断，认为内部控制缺陷判断具有匹配性。

从单位内部评价内部控制来说，只有重大缺陷必须由单位的核心管理部门进行改进，并且重大缺陷由核心管理部门承担具体责任，他最后明确必须经过核心管理部门。当然，最有权力的部门对于责任的承担，也会有推脱的时候，不承担内部控制管理部门的设立，由审计委员会或监事会承担。像重要缺陷以及一般缺陷由单位具体管理部门明确。

从注册会计师来说，只有审计单位的内部控制被明确为重大缺陷，这个单位的内部控制失效，这样的结果一经公布，有百害而无一利。因此，注册会计师需要谨慎明确重大缺陷。尽管按照涉及到的内部控制审计要求得到审计证据以后，公正写明审计意见，在这个过程中依然需要实际工作经验，根据形成的审计证据出具的审计意见产生了主观判断，有出现一定偏见的可能性。

四、内部控制缺陷明确标准：国内上市公司缺陷最新数据

根据目前国内上市公司的发展，判断内部控制缺陷的水平飞速发展，其判断依据更是不断改进，这篇论文根据理论基础，本文选取2011年和2014年A股上市公司的真实数据，得出以内部控制目标为指引的缺陷定量和定性判断系统的结论。

2010年开始内部控制报告公布于众，63家国内和国外上市公司执行公开制度。到了2011年，沪深A股国有上市公司进行强制公开，总共896家企业公布2011年内部控制评价报告，有151家上市公司公开缺陷判断依据，达到16.9%的比例。按照151家代表企业，其中126家企业选择定量依据，大部分强调财务报告内部控制，只有1家企业选择评分方法定量考虑，另外125家企业借助审计财务报表的重要性程度，将其区分为重大缺陷、重要缺陷和一般缺陷，选择分析方法为基准百分比法、绝对金额法和混合基准百分比法与绝对金额法的方法。在151家代表企业中，142家企业公开内部控制缺陷判断的定性依据，选择清单表示方法，明确企业出现的重大缺陷。

2014年，2141家上市公司披露内部控制缺陷标准，445家上市公司强制披露内部控制缺陷的具体规定。在2141家上市公司中，1963家上市公司公开财务报告内部控制和非财务报告内部控制缺陷定性和定量要求，达到缺陷判断企业的91.68%，另外178家上市公司没有公布全面的内部控制缺陷判断依据。

以上数据反映出，上市公司很看重财务报告内部控制和非财务报告内部控制缺陷，有差异的内部控制目标带来差异的缺陷标准，目前上市公司大部分采用此类标准。虽然不一样的企业标准不一样，整体来看大部分上市公司的缺陷判断依据涵盖定性依据和定量依据。所以说企业的常规做法符合上述理论的研究，或者说实际做法与理论匹配。

五、结论和忠告

内部控制缺陷判断的关键信息就是内部控制缺陷发现和分类，发现内部控制缺陷就是认识缺陷，分类内部控制缺陷就是明确缺陷，这篇论文强调明确缺陷。内部控制缺陷判断就是分类缺陷类别，核心含义就是缺陷漏洞导致的内部控制目标偏差的类别区分，内部控制缺陷判断依据即缺陷划分类别依据，主要包括怎样划分和分类类别。

至于怎样划分，内部控制缺陷判断依据涵盖定性和定量依据，定性依据涉及到缺陷的性质产生的风险效果，很难做到具体化，定量依据涉及到缺陷导致内部控制目标的可能性和结果出现的风险影响，具体化比较容易，定性和定量依据按照风险出现作用目标的效果判断缺陷类别。

至于缺陷的类别，不一样元素影响不一样内部控制目标的效果划分，缺陷判断依据涵盖行为目标、资产目标、信息目标、经营目标和战略目标缺陷判断依据。每个元素按照缺陷产生的目标偏差水平，分类为一般缺陷、重要缺陷和重大缺陷。

根据上述理论分析和实例分析，认为内部控制缺陷判断本身就充满着不断改进的过程，尝试设立一个规范的内部控制缺陷判断依据不太实际，更是觉得没有实际意义。当判断内部控制结论向外界公开，并且公开缺陷判断依据，出现了使用者信息不对称的情况。这样的公开同时具有控制管理人员和审计人员的机会主义的实际效果。从某种程度来说，上市公司内部控制报告关于缺陷判断依据的内容透明度很低，会计事务所聘用的注册会计师不愿意公开缺陷判断依据，如此状况必须唤醒主管部门的警惕。