內(nèi)部控制缺陷認定標準：理論框架和例證分析

劉月升++鄭石橋

【摘 要】 內(nèi)部控制缺陷認定就是缺陷等級分級，其本質(zhì)是對缺陷風(fēng)險暴露造成的內(nèi)部控制目標偏離程度的等級劃分，如何分級的依據(jù)就是缺陷認定標準。內(nèi)部控制缺陷認定標準有定性標準和定量標準，前者主要考慮缺陷的性質(zhì)所形成的風(fēng)險暴露，一般難以量化，后者主要考慮缺陷影響內(nèi)部控制目標的可能性和后果所形成的風(fēng)險暴露，可以量化，二者都根據(jù)風(fēng)險暴露影響目標的程度來認定缺陷等級。由于不同因素對不同內(nèi)部控制目標的影響程度不同，不同內(nèi)部控制目標具有不同的可容忍偏離，所以，缺陷認定標準是一個體系，主要包括：行為目標相關(guān)缺陷認定標準，資產(chǎn)目標相關(guān)缺陷認定標準，信息目標相關(guān)缺陷認定標準，經(jīng)營目標相關(guān)缺陷認定標準，戰(zhàn)略目標相關(guān)缺陷認定標準。

【關(guān)鍵詞】 內(nèi)部控制目標； 內(nèi)部控制缺陷； 內(nèi)部控制缺陷風(fēng)險暴露； 內(nèi)部控制缺陷認定定性標準； 內(nèi)部控制缺陷認定定量標準

【中圖分類號】 F239.44 【文獻標識碼】 A 【文章編號】 1004-5937（2017）20-0116-06

一、引言

內(nèi)部控制鑒證的核心內(nèi)容是內(nèi)部控制缺陷尋找和缺陷分級，前者稱為缺陷識別，后者稱為缺陷認定。無論是缺陷識別，還是缺陷認定，都需要依據(jù)或標準，本文關(guān)注內(nèi)部控制缺陷認定標準。內(nèi)部控制缺陷認定是將缺陷分為不同的等級，如果有重大缺陷，則內(nèi)部控制整體無效，所以，內(nèi)部控制缺陷認定是內(nèi)部控制鑒證的最關(guān)鍵步驟之一。然而，“內(nèi)部控制缺陷認定，特別是非財務(wù)報告內(nèi)部控制缺陷的認定，是企業(yè)內(nèi)部控制評價工作中面臨的重大挑戰(zhàn)之一”[1]。這個挑戰(zhàn)的關(guān)鍵問題，是缺陷具有可操作性的內(nèi)部控制缺陷認定標準。所以，可以說，內(nèi)部控制缺陷認定標準是重大挑戰(zhàn)中的關(guān)健問題[2]。

從國內(nèi)外頒布的相關(guān)權(quán)威規(guī)范來看，對內(nèi)部控制缺陷認定標準并沒有明確的規(guī)范，只是規(guī)定由企業(yè)自行制定認定標準。從學(xué)術(shù)研究來說，雖然有些文獻涉及到內(nèi)部控制缺陷認定標準，但是，總體來說，數(shù)量很少，研究不深入，更沒有系統(tǒng)的理論框架。

本文認為，內(nèi)部控制缺陷認定就是根據(jù)缺陷風(fēng)險暴露造成的內(nèi)部控制目標偏離程度的分級，以這個認識為出發(fā)點，提出不同內(nèi)部控制目標的缺陷認定定性標準和定量標準體系。隨后的內(nèi)容安排如下：首先是一個簡要的文獻綜述，梳理相關(guān)文獻；然后，基于內(nèi)部控制缺陷認定的本質(zhì)是控制缺陷的目標偏離程度分級，從理論上分析不同內(nèi)部控制目標的缺陷認定定性標準和定量標準體系；在此基礎(chǔ)上，用上述理論框架來分析內(nèi)部控制缺陷認定標準的經(jīng)典例證，以一定程度上驗證上述理論框架；最后是結(jié)論和啟示。

二、文獻綜述

無論是國內(nèi)，還是國外，內(nèi)部控制缺陷認定標準的相關(guān)研究較少，這少量的研究文獻涉及的主題也較多。一致認可，缺陷認定標準對于內(nèi)部控制鑒證的重要，是缺陷認定的重大挑戰(zhàn)[1]；一致認可，目標的偏離程度反映了缺陷的嚴重程度[3，7]。一些文獻認為，內(nèi)部控制缺陷認定標準應(yīng)該包括：內(nèi)部控制缺陷的分類標準，內(nèi)部控制缺陷分類方法，內(nèi)部控制缺陷認定標準變更理由，內(nèi)部控制整體有效性判斷標準，內(nèi)部缺陷認定權(quán)及認定標準制定權(quán)[4-5]。

關(guān)于內(nèi)部控制缺陷的分類，多數(shù)文獻認可重大缺陷、重要缺陷和一般缺陷的分類方法[4，8，13]。但是，也有一些文獻認為，對于外部審計師來說，區(qū)分重要缺陷和一般缺陷，沒有實質(zhì)意義，反而會增加企業(yè)成本[6-7]。此外，還有一些實證研究文獻，根據(jù)其研究主題的需要，對內(nèi)部控制缺陷做出了不同的分類[9-11]。

關(guān)于如何制定缺陷認定標準，一致認可內(nèi)部控制缺陷認定標準區(qū)分為定性標準和定量標準兩類。大部分文獻主張一個缺陷只使用一個標準[7]，而有些文獻主張對于特定的缺陷可以同時使用定性標準和定量標準[4，6，8]。對于定量標準，多數(shù)文獻主張從“可能性”和“導(dǎo)致后果”兩個維度進行量化，并主張借鑒財務(wù)報表審計中的重要性水平[4，6，12-13]。此外，還有一些文獻根據(jù)我國上市公司內(nèi)部控制評價報告，研究了上市公司內(nèi)部控制缺陷認定標準的現(xiàn)狀[13]。

上述這些文獻對于研究內(nèi)部控制缺陷認定標準有一定的啟發(fā)作用，然而，尚未涉及到內(nèi)部控制缺陷認定需要按不同的目標分別制定，也未將內(nèi)部控制缺陷風(fēng)險暴露與缺陷認定有機地聯(lián)系起來。本文認為，內(nèi)部控制缺陷認定就是根據(jù)缺陷風(fēng)險暴露造成的內(nèi)部控制目標偏離程度來對缺陷的分級，以這個認識為出發(fā)點，提出不同內(nèi)部控制目標的缺陷認定定性標準和定量標準體系。

三、內(nèi)部控制缺陷認定標準：理論框架

內(nèi)部控制缺陷認定標準就是確定內(nèi)部控制缺陷等級的標準，涉及兩個基本問題，一是如何對既定的內(nèi)部控制缺陷進行等級劃分，二是內(nèi)部控制缺陷究竟分為哪些等級。從理論上對上述兩個基本問題的闡述，就是本文的理論框架。

（一）內(nèi)部控制缺陷等級劃分和認定標準體系

內(nèi)部控制缺陷等級的劃分涉及兩個基本問題，一是按什么樣的對象來劃分缺陷等級，二是缺陷分為多少等級。

關(guān)于按什么樣的對象來劃分缺陷等級，從本質(zhì)上來說，內(nèi)部控制是為實現(xiàn)特定目標而建立的一個保障系統(tǒng)，這個系統(tǒng)是否有缺陷，需要從其提供的保障程度來判斷，如果不能提供其擬提供的保障程度，則就是內(nèi)部控制缺陷。從這個意義出發(fā)，內(nèi)部控制缺陷是與內(nèi)部控制目標相關(guān)系的，不能脫離特定的內(nèi)部控制目標來討論內(nèi)部控制缺陷。對于內(nèi)部控制目標，現(xiàn)有的權(quán)威規(guī)范有不同的規(guī)定，1994年版COSO-IC[14]確立了行為合規(guī)合法、財務(wù)信息真實完整、經(jīng)營效率效果三大目標，2013年版COSO-IC[15]確定了行為合規(guī)合法、財務(wù)信息及非財務(wù)信息真實完整、經(jīng)營效率效果三大目標，財政部等[16]頒布的《企業(yè)內(nèi)部控制基本規(guī)范》確定了行為合規(guī)合法、財產(chǎn)安全、財務(wù)信息及相關(guān)信息真實完整、經(jīng)營效率效果、發(fā)展戰(zhàn)略五大目標。很顯然，《企業(yè)內(nèi)部控制基本規(guī)范》界定的目標最為廣泛。無論內(nèi)部控制目標是寬還是窄，不同的目標，都會有不同的可容忍偏離，從而有不同的風(fēng)險承受度，從而也會在不同的可容忍偏離程度上識別和認定內(nèi)部控制缺陷。所以，需要分別從不同目標來劃分內(nèi)部控制缺陷等級。對于發(fā)現(xiàn)的每一個缺陷，需要就其所影響的內(nèi)部控制目標認定其缺陷等級。

關(guān)于缺陷分為多少等級，一般來說，缺陷等級信賴于缺陷嚴重程度，而缺陷嚴重程度應(yīng)該根據(jù)缺陷所導(dǎo)致的內(nèi)部控制目標偏離程度來確定[3]?，F(xiàn)有的內(nèi)部控制鑒證相關(guān)權(quán)威規(guī)范基本上都將內(nèi)部控制缺陷分為三個等級，PCAOB[17]發(fā)布AS2時，將內(nèi)部控制缺陷劃分為控制缺陷（Control Deficiency）、顯著缺陷（Significant Deficiency）和實質(zhì)性缺陷（Material Weakness），PCAOB[18]發(fā)布AS5時，將內(nèi)部控制缺陷劃分為非重要缺陷（Inconsequential Deficiency）、顯著缺陷（Significant Deficiency）和實質(zhì)性缺陷（Material Weakness），財政部等[19]頒布的《企業(yè)內(nèi)部控制評價指引》基本借鑒了AS5的分類，將內(nèi)部控制缺陷分為一般缺陷、重要缺陷和重大缺陷。我國雖然和美國采用了不同的措詞，但是，基本采用了相同的定義，表達了相同的實質(zhì)，并且便于在中國話語體系中理解。

當然，實務(wù)中也有不同的做法，例如，日本目前將內(nèi)部控制缺陷劃分為重大缺陷和一般缺陷兩類[9，20]。也有一些學(xué)術(shù)文獻主張不要區(qū)分重要缺陷和一般缺陷。例如，王惠芳[6]認為，對于公司內(nèi)部控制缺陷，考慮到定量化難的問題，應(yīng)該取消一般缺陷和重要缺陷之分，只分為一般內(nèi)部控制缺陷和重大內(nèi)部控制缺陷。田娟等[7]認為，對于重要缺陷和一般缺陷并不要求企業(yè)進行披露，注冊會計師也并不對企業(yè)內(nèi)部控制存在的重要缺陷和一般缺陷發(fā)表審計意見，同時，區(qū)分重要缺陷和一般缺陷不僅會增加企業(yè)操作的難度，還會增加企業(yè)的成本。

筆者認為，內(nèi)部控制缺陷認定的等級劃分需要根據(jù)其認定目標，等級劃分要服務(wù)于缺陷認定目標?；诖耍J為注冊會計師實施內(nèi)部控制審計時，可能只區(qū)分重大缺陷和非重大缺陷，而組織內(nèi)部進行內(nèi)部控制評價時，需要區(qū)分重大缺陷、重要缺陷和一般缺陷。其原因如下：第一，注冊會計師對內(nèi)部控制進行審計的目的是確定內(nèi)部控制有效性，對于許多內(nèi)部控制目標來說，內(nèi)部控制有效性難以確定，而是通過內(nèi)部控制有效性與內(nèi)部控制缺陷性的互補關(guān)系來確定，內(nèi)部控制有效性=100%-內(nèi)部控制缺陷性，根據(jù)現(xiàn)有的權(quán)威規(guī)范，這里的缺陷性主要關(guān)注重大缺陷。至于重要缺陷和一般缺陷，并沒有納入內(nèi)部有效性的考量之中。所以，對于注冊會計師的缺陷認定目標來說，是否要區(qū)分重要缺陷和一般缺陷，并不影響其缺陷認定目標之達成。第二，組織內(nèi)部進行內(nèi)部控制評價，其主要目的是要查找內(nèi)部控制缺陷并進行整改，而內(nèi)部控制整改是需要有整改能力的主體來實施，組織內(nèi)部不同層級的管理層，由于其權(quán)力不同，能推動的內(nèi)部控制缺陷整改也不同，所以，需要將根據(jù)內(nèi)部控制缺陷的嚴重程度，將內(nèi)部控制缺陷報告給不同的管理層級，由不同層級分別實施內(nèi)部控制缺陷整改?；诖?，重大缺陷由組織最有權(quán)力的機構(gòu)——董事會來實施整改，重要缺陷由經(jīng)理層負責(zé)整改，而一般缺陷則由缺陷所在部門負責(zé)整改。區(qū)分了重要缺陷和一般缺陷，也就便于經(jīng)理層和部門領(lǐng)導(dǎo)在內(nèi)部控制整改方面的分工。

以上分析了內(nèi)部控制缺陷認定的對象和缺陷等級，上述兩方面綜合起來，就形成了內(nèi)部控制缺陷體系，由于不同目標、不同等級的缺陷都需要分別確定認定標準，這也就形成了內(nèi)部控制缺陷認定標準體系，如表1所示。

（二）既定缺陷等級認定的邏輯步驟

內(nèi)部控制缺陷認定標準涉及兩個基本問題，一是內(nèi)部控制缺陷等級，二是既定的內(nèi)部控制缺陷進行等級劃分。本文前面已經(jīng)闡述了第一個問題。現(xiàn)在，討論第二個問題。

將既定的內(nèi)部控制缺陷劃分為某一缺陷等級，首先涉及的是缺陷等級認定的邏輯步驟。一般來說，內(nèi)部控制缺陷是風(fēng)險暴露超過了可容忍風(fēng)險的內(nèi)部控制瑕疵，所以，缺陷認定是以風(fēng)險暴露評估值為基礎(chǔ)的①，而內(nèi)部控制缺陷風(fēng)險暴露評估需要分別定性和定量兩種情形來進行，凡是能定量評估的，要考慮定量評估；難以定量的，則可以考慮定性評估。這里的定性或定量不是指評估方法，因為定性方法要轉(zhuǎn)為定量方法并不困難，而是指能否將內(nèi)部控制缺陷形成的影響真正地用量化指標刻畫，并且這種刻畫與內(nèi)部控制目標具有一致性。

現(xiàn)實世界是復(fù)雜的，許多內(nèi)部控制缺陷可能難以進行定量評估，只能使用定性評估，所以，缺陷等級認定首先要判斷是適用定量認定，還是定性認定。一般來說，內(nèi)部控制缺陷風(fēng)險暴露評估方法已經(jīng)決定了其適用的認定標準，凡是采用定性方法進行風(fēng)險暴露評估的，就要采用定性認定標準；凡是采用定量性方法進行風(fēng)險暴露評估的，就要采用定量認定標準。

選擇好缺陷認定適用標準之后，第二步就是將內(nèi)部控制缺陷風(fēng)險暴露評估值與缺陷認定標準進行對照，以確定缺陷等級。一般來說，組織內(nèi)部進行內(nèi)部控制評估時，無論是定性認定，還是定量認定，都需要劃分為重大缺陷、重要缺陷和一般缺陷；而外部審計師則可以不區(qū)分重要缺陷和一般缺陷。當然，這里的前提是缺陷風(fēng)險暴露評估與內(nèi)部控制缺陷認定標準使用同樣的方法體系來計量缺陷風(fēng)險暴露，所以，從某種意義上來說，內(nèi)部控制缺陷認定標準也就是內(nèi)部控制缺陷風(fēng)險暴露等級劃分標準。

以上所述內(nèi)部控制缺陷認定邏輯步驟歸納起來，如圖1所示。

（三）缺陷認定的定性標準

內(nèi)部控制缺陷認定信賴于缺陷認定標準，先來討論定性標準。定性標準是根據(jù)缺陷性質(zhì)來量度其風(fēng)險暴露并劃分內(nèi)部控制缺陷等級，這里的缺陷性質(zhì)一般應(yīng)考慮以下因素：是否違法，是否違規(guī)，是否涉嫌犯罪，是否對本組織造成負面影響，是否對本組織造成廣泛的影響。根據(jù)上述各方面的性質(zhì)，將內(nèi)部控制缺陷劃分為不同等級。一般來說，凡是涉嫌犯罪或受到政府監(jiān)管機構(gòu)處罰的，對本組織造成重大負面影響的，對本組織造成廣泛的影響，這些情形都應(yīng)該確定為重大缺陷。

定性標準當然要按不同的內(nèi)部控制目標分別制定，同樣的內(nèi)部控制缺陷，對不同的目標會形成不同的影響，所以，需要分別制定認定標準。在既定的內(nèi)部控制目標下，由于定性標準難以量化，所以，主要適用于難以量化的內(nèi)部控制缺陷，對于這類缺陷，一般采用清單列示的方法，也就是說，對于特定內(nèi)部控制目標下，哪些缺陷屬于何種等級的缺陷，可以采用清單列示的方法。

不少的權(quán)威機構(gòu)制定的內(nèi)部控制鑒證相關(guān)規(guī)范對財務(wù)報告內(nèi)部控制重大缺陷都采用了清單列示的方法，PCAOB[17-18]制定內(nèi)部控制審計準則時列示了重要缺陷和重大缺陷的“明顯征兆”[2]，財政部等[19]頒布的《企業(yè)內(nèi)部控制審計指引》第二十二條列示了表明財務(wù)報告內(nèi)部控制可能存在重大缺陷的跡象，主要包括：“注冊會計師發(fā)現(xiàn)董事、監(jiān)事和高級管理人員舞弊；企業(yè)更正已經(jīng)公布的財務(wù)報表；注冊會計師發(fā)現(xiàn)當期財務(wù)報表存在重大錯報，而內(nèi)部控制在運行過程中未能發(fā)現(xiàn)該錯報；企業(yè)審計委員會和內(nèi)部審計機構(gòu)對內(nèi)部控制的監(jiān)督無效”。

外部機構(gòu)對缺陷認定主要關(guān)注重大缺陷，而組織內(nèi)部的缺陷認定標準還要區(qū)分重要缺陷和一般缺陷，在清單列示時，也要分別列出。例如，萬科企業(yè)股份有限公司就采用清單列示的方法建立的財務(wù)報告內(nèi)部控制缺陷認定的定性標準如下②：（1）重大缺陷：“公司會計報表、財務(wù)報告及信息披露等方面發(fā)生重大違規(guī)事件；公司審計委員會和內(nèi)部審計機構(gòu)未能有效發(fā)揮監(jiān)督職能；注冊會計師對公司財務(wù)報表出具無保留意見之外的其他三種意見審計報告”。（2）重要缺陷：“公司會計報表、財務(wù)報告編制不完全符合企業(yè)會計準則和披露要求，導(dǎo)致財務(wù)報表出現(xiàn)重要錯報；公司以前年度公告的財務(wù)報告出現(xiàn)重要錯報需要進行追溯調(diào)整”。（3）一般缺陷：“未構(gòu)成重大缺陷、重要缺陷標準的其他內(nèi)部控制缺陷”。

（四）缺陷認定的定量標準

在剔除了納入定性認定的缺陷之后，對于其影響能量化的內(nèi)部控制缺陷，要按定量標準來進行缺陷認定。很顯然，不同的內(nèi)部控制目標有不同的影響因素，同時，不同的目標也會有不同的偏離容忍度，所以，需要分別制定缺陷認定標準。當然，這里的前提是該缺陷的風(fēng)險暴露也是量化評估的。

缺陷認定標準定量的方法有兩種，一是相對數(shù)，二是絕對數(shù)。一般來說，缺陷等級刻畫的是缺陷對內(nèi)部控制目標的影響程度，所以，用相對數(shù)來表示可能較為合適。同時，不同組織的規(guī)模不同，用相對數(shù)來表示，也便于不同組織之間的相互比較。但是，在一定特殊情形下，例如，該目標的數(shù)額特別巨大，某缺陷即使形成的偏離數(shù)量的絕對數(shù)已經(jīng)很大，但是，由于目標的數(shù)額巨大，缺陷形成的偏離數(shù)量并不形成較大的份額，在這種情形下，如果再不將該缺陷作為重大缺陷，就不符合常理，此時，就可以考慮以絕對數(shù)作為定量標準。還有一種情形也可能使用絕對數(shù)標準，例如，外部法律法規(guī)對某些事項有明確的數(shù)額規(guī)定，達到這些規(guī)定數(shù)額時，就可以認定為重大缺陷。例如，行為目標中，排污指標有明文規(guī)定，如果超過這個規(guī)定，可能招致違規(guī)違法，此時，該排污指標就可能采用絕對數(shù)額。除了上述特殊情形，一般都要采用相對數(shù)來制定缺陷定量標準。

雖然不同的權(quán)威規(guī)范對內(nèi)部控制目標界定不同，但是，財政部等[16]頒布的《企業(yè)內(nèi)部控制基本規(guī)范》所界定的目標最為廣泛，包括行為目標、資產(chǎn)目標、信息目標、經(jīng)營目標和戰(zhàn)略目標，這些不同的目標，缺陷認定標準，需要分別這些目標來制定。

行為目標關(guān)注業(yè)務(wù)經(jīng)營管理活動是否符合相關(guān)法律法規(guī)，一般要求提供合理保證。一般來說，任何一個組織，要確保其業(yè)務(wù)經(jīng)營管理活動完全合規(guī)合法可能難以做到，也就必須容忍一定的偏離。但是，超過這個容忍度的偏離就形成了缺陷，超過的程度不同，缺陷嚴重程度也不同。表2是根據(jù)審計署審計結(jié)果公告計算的部分中央部門預(yù)算執(zhí)行審計發(fā)現(xiàn)的違規(guī)率，該表顯示，不同部門的預(yù)算執(zhí)行違規(guī)率不同，最高的達到85.88%，最低的是0.29%，很顯然，其相關(guān)的內(nèi)部控制缺陷的嚴重程度不同，例如，是否可以考慮，違規(guī)率不高于10%，為一般缺陷；不低于10%，但不高于20%，為重要缺陷；高于20%為重大缺陷。當然，行為目標也可以考慮絕對量標準，違規(guī)行為的數(shù)量超過一定規(guī)模的，確定為重大缺陷。

資產(chǎn)目標關(guān)注資產(chǎn)安全，主要涉及資產(chǎn)被非法占有、非法使用，或者是損失浪費，特定的內(nèi)部控制缺陷對上述方面形成的影響金額可以按相對數(shù)來劃分成不同的等級，也可能考慮采用絕對數(shù)標準，例如，將造成資產(chǎn)非法占有、非法使用超過一定金額的缺陷作為重大缺陷；將造成資產(chǎn)損失超過一定金額的缺陷作為重大缺陷；將資產(chǎn)揮霍浪費超過一定金額的缺陷作為重大缺陷。

信息目標關(guān)注信息的真實完整，既有財務(wù)信息真實完整，也有非財務(wù)信息真實完整。就財務(wù)信息來說，目前主要以財務(wù)報表審計的重要性水平為基礎(chǔ)，采用相對數(shù)方法確定財務(wù)報告內(nèi)部控制缺陷認定標準，一般來說，缺陷影響金額達到重要性水平一定比例的，確定為重大缺陷；低于這個比例，但是高于一定比例的確定為重要缺陷；低于重要缺陷比例的為一般缺陷。例如，北京銀行股份公司確定的財務(wù)報告內(nèi)部控制缺陷認定定量標準如下：重大缺陷：缺陷導(dǎo)致的誤報金額已經(jīng)接近甚至超過重要性水平；重要缺陷：缺陷導(dǎo)致的誤報金額已接近或達到重要性水平的5%～50%；一般缺陷：缺陷導(dǎo)致的誤報金額低于重要性水平的5%③。許多上市公司都制定了類似的財務(wù)報告內(nèi)部控制缺陷定量認定標準。

至于非財務(wù)信息內(nèi)部控制缺陷的定量認定標準，也應(yīng)該確定每類非財務(wù)信息的重要性水平，也就是可容忍最大錯報，在此基礎(chǔ)上，按這個重要性水平的不同比例，分別確定一般缺陷、重要缺陷和重大缺陷。當然，對于一些非財務(wù)信息，可能確定絕對數(shù)額作為認定標準。

經(jīng)營目標和戰(zhàn)略通?？梢员硎緸橐恍┝炕笜耍?jīng)營目標和戰(zhàn)略目標相關(guān)的內(nèi)部控制為這些目標提供的保障程度較低，對于能夠量化的相關(guān)內(nèi)部控制缺陷，不能按目標偏離度來確定，可以按缺陷影響數(shù)額占已經(jīng)達成目標的比例來確定，無論目標達成程度如何，目標已經(jīng)達成數(shù)額是可能確定的，從而確定內(nèi)部控制缺陷影響數(shù)額占目標達成數(shù)額的比例，根據(jù)這個比例，可以將缺陷劃分為不同的等級。當然，由于經(jīng)營目標和戰(zhàn)略目標通常會是一個指標體系，內(nèi)部控制缺陷定量認定標準只能在這個指標體系中選擇關(guān)鍵的若干指標，根據(jù)這些指標的影響程度，綜合考慮確定。

（五）內(nèi)部控制缺陷認定權(quán)配置

內(nèi)部控制缺陷認定并不是根據(jù)認定標準來機械應(yīng)用的過程，在這個過程中充滿職業(yè)判斷。同時，內(nèi)部控制缺陷認定具有重大意義，一方面內(nèi)部控制缺陷如果確定為重大缺陷，則該組織的內(nèi)部控制就認定為整體無效，這個信息一旦披露，無疑對該組織有重要的負面影響；另一方面，內(nèi)部控制缺陷認定之后，要按不同層級來進行缺陷整改，缺陷嚴格程度決定負責(zé)整改的管理層級。所以，無論是組織內(nèi)部實施的內(nèi)部控制評價，還是外部審計師實施的內(nèi)部控制審計，對內(nèi)部控制缺陷認定都極為重視，對缺陷認定的權(quán)力都有慎重的配置。所以，從這個意義來說，內(nèi)部控制缺陷認定標準中，也應(yīng)該包括缺陷認定權(quán)的配置之規(guī)定。

對于組織內(nèi)部實施的內(nèi)部控制評價來說，重大缺陷要組織的最高管理層級負責(zé)整改，并且，這種缺陷如果出現(xiàn)，組織最高管理層應(yīng)該承擔(dān)直接責(zé)任，所以，這種缺陷的最終認定權(quán)應(yīng)該屬于組織最高管理層。但是，為了避免組織最高管理層自我寬容，一般可以由最高管理層中不負責(zé)內(nèi)部控制建設(shè)的機構(gòu)負責(zé)，例如，審計委員會或監(jiān)事會等。至于重要缺陷和一般缺陷，一般可以由內(nèi)部控制評價部門負責(zé)認定。

對于外部審計師來說，如果將客戶的內(nèi)部控制缺陷認定為重大缺陷，則該客戶的內(nèi)部控制整體無效，這種結(jié)果披露出來，對于該客戶無疑是重大的負面消息。所以，外部審計師要慎重對待這種認定。雖然根據(jù)相關(guān)的內(nèi)部控制審計準則獲取審計證據(jù)之后，要客觀地形成審計意見，但是，由于內(nèi)部控制審計取證中有職業(yè)判斷，根據(jù)審計證據(jù)做出審計判斷也具有較大的主觀成分，不同的審計人員可能做出不同的判斷，為此，為了避免判斷出現(xiàn)較大的偏頗，一方面需要強調(diào)審計組內(nèi)部的討論，另一方面，也需要通過審計質(zhì)量保障體系，對審計組的工作進行審慎復(fù)核，對于審計組初步認定的重大缺陷，至少要經(jīng)過負責(zé)該審計業(yè)務(wù)的合伙人或負責(zé)人審核，對于一些重要的客戶，還需要經(jīng)過審計機構(gòu)的高層業(yè)務(wù)會議來審定。

四、內(nèi)部控制缺陷認定標準：中國上市公司缺陷認定標準基本情況

本文以上從理論上提出了以多目標為基礎(chǔ)的內(nèi)部控制缺陷定量和定性認定標準體系，理論的生命力在于其解釋現(xiàn)實世界的能力。

由于我國上市公司內(nèi)部控制鑒證處于不斷的進步之中，其內(nèi)部控制缺陷認定標準也在變化之中，截取兩個橫斷面，一是2011年，二是2014年。

2010年是內(nèi)部控制報告報告強制披露的第一年，63家境內(nèi)外同時上市的公司實行強制披露，2011年是第二年，滬深A(yù)股主板上市國有企業(yè)實行強制披露，該年度，滬深A(yù)股主板上市公司，共有896家公司披露了2011年內(nèi)部控制評價報告，其中披露了缺陷認定標準的151個家，占896家公司的16.9%。盡管各個公司的內(nèi)部控制缺陷認定標準在形式和內(nèi)容上存在較大不同，但是，總體上可以分為定性標準和定量標準，不同內(nèi)部控制目標及不同標準的基本情況如表3所示。

151家樣本公司中，有126家公司采用了定量標準，基本上都是針對財務(wù)報告內(nèi)部控制，除去1家公司用評分法進行定量分析外，其他125家公司都是借用財務(wù)報表審計中的重要性水平，將內(nèi)部控制缺陷劃分為重大缺陷、重要缺陷和一般缺陷，具體方法有基準指標百分比法、絕對金額法、百分比法和絕對金額法相結(jié)合的方法。151家樣本公司中，有142家公司披露了內(nèi)部控制缺陷認定的定性標準，基本上都采用清單列示法，列出了重大缺陷的跡象[5，13]。

2014年度，2 141家上市公司披露了內(nèi)部控制缺陷認定標準，445家上市公司未披露內(nèi)部控制缺陷認定標準。在披露了內(nèi)部控制缺陷認定標準的上市公司中，1 963家上市公司披露了完整的報務(wù)報告內(nèi)部控制和非報務(wù)報告內(nèi)部控制缺陷定性及定量認定標準，占披露缺陷認定公司的91.68%，178家上市公司未披露完整的內(nèi)部控制缺陷認定標準④。

上述兩個時點截面顯示，第一，上市公司區(qū)分財務(wù)報告內(nèi)部控制和非財務(wù)報告內(nèi)部控制制定缺陷認定標準，這表明，按不同內(nèi)部控制目標制定缺陷認定標準，已經(jīng)成為上市公司的現(xiàn)實行為；第二，盡管不同公司的具體標準不同，但是，總體來說，大多數(shù)上市公司的缺陷認定標準包括定量標準和定性標準。這些現(xiàn)實行為與本文理論框架完全一致。

五、結(jié)論和啟示

內(nèi)部控制鑒證的核心內(nèi)容是內(nèi)部控制缺陷尋找和缺陷分級，前者稱為缺陷識別，后者稱為缺陷認定，本文關(guān)注后者的認定標準。內(nèi)部控制缺陷認定就缺陷等級分級，其本質(zhì)是對缺陷風(fēng)險暴露造成的內(nèi)部控制目標偏離程度的等級劃分，內(nèi)部控制缺陷認定標準是缺陷等級分類標準，它涉及兩個基本問題，一是如何分級，二是缺陷分為多少級。

關(guān)于如何分級，內(nèi)部控制缺陷認定標準有定性標準和定量標準，前者主要考慮缺陷的性質(zhì)所形成的風(fēng)險暴露，一般難以量化，后者主要考慮缺陷影響內(nèi)部控制目標的可能性和后果所形成的風(fēng)險暴露，可以量化，二者都根據(jù)風(fēng)險暴露影響目標的程度來認定缺陷等級。

關(guān)于缺陷分為多少級，由于不同因素對不同內(nèi)部控制目標的影響程度不同，不同內(nèi)部控制目標具有不同的可容忍偏離，所以，缺陷認定標準是一個體系，主要包括：行為目標相關(guān)缺陷認定標準，資產(chǎn)目標相關(guān)缺陷認定標準，信息目標相關(guān)缺陷認定標準，經(jīng)營目標相關(guān)缺陷認定標準，戰(zhàn)略目標相關(guān)缺陷認定標準。每個目標下，根據(jù)缺陷所導(dǎo)致的內(nèi)部控制目標偏離程度，將缺陷分為一般缺陷、重要缺陷和重大缺陷。

本文的研究顯示，內(nèi)部控制缺陷認定是一個充滿職業(yè)判斷的過程，企圖建立一個統(tǒng)一的內(nèi)部控制缺陷認定標準是很困難的，有時甚至?xí)m得其反。但是，如果內(nèi)部控制鑒證結(jié)果需要對外披露時，應(yīng)該同時披露缺陷認定標準，減少鑒證結(jié)果使用者的信息不對稱。同時，這種披露，也能一定程度上抑制管理層和審計師的機會主義行為。目前，上市公司內(nèi)部控制報告報告中對缺陷認定標準相關(guān)信息披露不夠，外部審計師基本上不披露其缺陷認定標準，這種狀況，需要引起監(jiān)管部門的注意。

【參考文獻】

[1] 劉玉廷.全面提升企業(yè)經(jīng)營管理水平的重要舉措——《企業(yè)內(nèi)部控制配套指引》解讀[J].會計研究，2010（5）：3-16.

[2] BEDARD J C，et al.Detection and severity classification of sarbanes-oxley section 404 internal control deficiencies[J].The Accounting Review，2011，86（3）：825-855.

[3] 李宇立.內(nèi)部控制缺陷識別與認定的技術(shù)路線：基于管理層視角的分析[J].中南財經(jīng)政法大學(xué)學(xué)報，2012（3）：113-119.

[4] 楊有紅，李宇立.內(nèi)部控制缺陷的識別、認定與報告[J].會計研究，2011（3）：76-80.

[5] 丁友剛，王永超.內(nèi)部控制缺陷認定標準及其制定和披露研究[J].財務(wù)與會計，2015（6）：70-72.

[6] 王惠芳.內(nèi)部控制缺陷認定：現(xiàn)狀、困境及基本框架重構(gòu)[J].會計研究，2011（8）：61-67.

[7] 田娟，余玉苗.內(nèi)部控制缺陷識別與認定中存在的問題與對策[J].管理世界，2012（6）：180-181.

[8] 彭凡.內(nèi)部控制缺陷認定的難點及對策[J].審計與理財，2015（7）：55-56.

[9] GE，et al. The disclosure of material weaknesses in internal control after the Arbanes-Oxley act[J].Accounting Horizons，2005，19（3）：137-158.

[10] JEFFREY D，et al. Determinants of weaknesses in internal control over financial reporting[J].Journal Accounting and Economics，2007，44（1/2）：193-223.

[11] JACQUELINE S H，et al. Market reactions to the disclosure of internal control weaknesses and to the characteristics of those weaknesses under section 302 of the sarbanes Oxley act of 2002[J].Review of Accounting Stadies，2008，13（1）：141-165.

[12] 賴一鋒.企業(yè)內(nèi)部控制缺陷認定標準及實踐方法探析[N].中國會計報，2012-03-09.

[13] 丁友剛，王永超.上市公司內(nèi)部控制缺陷認定標準研究[J].會計研究，2013（12）：79-85.

[14] COSO（Committee of Sponsoring Organizations of the Treadway Commission）.Internal control-integrated framework[A].1994.

[15] COSO（Committee of Sponsoring Organizations of the Treadway Commission）.Internal control-Integrated framework[A].2013.

[16] 財政部，證監(jiān)會，審計署，等.關(guān)于印發(fā)《企業(yè)內(nèi)部控制基本規(guī)范》的通知[A].2008.

[17] PCAOB.第2號審計準則——對與財務(wù)報表審計相關(guān)聯(lián)的財務(wù)報告內(nèi)部控制制度的審計[A].2004.

[18] PCAOB.第5號審計準則——與財務(wù)報告審計相結(jié)合的財務(wù)報告內(nèi)部審計[A].2007.

[19] 財政部，證監(jiān)會，審計署，等.關(guān)于印發(fā)企業(yè)內(nèi)部控制配套指引的通知[A].2010.

[20] 日本企業(yè)會計審議會.關(guān)于財務(wù)報告內(nèi)部控制評價與審計準則以及財務(wù)報告內(nèi)部控制評價與審計實施準則的制定（意見書）[A].2007.