來源:渤海大學審計處�����,解玉梅(中國內(nèi)部審計協(xié)會網(wǎng)站交流->理論)
一�、內(nèi)部控制缺陷概念
內(nèi)部控制缺陷是內(nèi)部控制制度的建立或者執(zhí)行沒有達到預期標準,內(nèi)部控制制度無法為企業(yè)內(nèi)部控制目標實現(xiàn)提供合理的保證�����。內(nèi)部控制缺陷分為設計缺陷和運行缺陷����。企業(yè)為實現(xiàn)內(nèi)控目標必需的重要控制措施不足,或者設計不合理���,致使內(nèi)部控制目標不能實現(xiàn)屬于設計缺陷;內(nèi)部控制執(zhí)行者沒有依據(jù)內(nèi)部控制制度的要求執(zhí)行�,或者執(zhí)行者不具備有效地實施內(nèi)部控制的能力����,致使內(nèi)部控制目標不能實現(xiàn)屬于運行缺陷��。內(nèi)部控制缺陷依據(jù)影響的程度可分為重大缺陷��、重要缺陷和一般缺陷�����,其中一項或多項控制缺陷致使企業(yè)嚴重偏離控制目標屬于重大缺陷����。企業(yè)被評估認定有重大缺陷存在��,不得出具內(nèi)部控制有效結(jié)論的內(nèi)部控制評價報告��。
二����、內(nèi)部控制缺陷識別的方法
內(nèi)部控制缺陷通常采用定量、定性��,或二者相結(jié)合的方法進行認定�。然而,企業(yè)應保持內(nèi)部控制缺陷的認定標準在不同評價期間一致���,避免管理層通過隨意調(diào)整缺陷認定標準回避重大缺陷披露�,誤導報告使用者導致不良影響。
1�、定量分析法。通過評估內(nèi)部控制缺陷可能導致財務報表錯報的影響程度進行定量判斷�。也就是通過匯總已發(fā)現(xiàn)的錯報����、推斷的錯報以及以前年度發(fā)現(xiàn)應調(diào)整而未調(diào)整的錯報等所有錯報,將匯總錯報對財務報表錯報的影響進行判斷����。匯總錯報超過確定的判斷指標評價標準,應認定為重大缺陷��,予以披露�����。
2����、定性分析法。在企業(yè)實際運營中�����,可能被認定為重大缺陷的情形包括:(1)三重一大的審批權(quán)限和審批程序不規(guī)范,可能導致企業(yè)決策錯誤或違規(guī)行為;(2)安全生產(chǎn)管控措施不到位����、責任不落實,可能發(fā)生安全事故��,導致人身傷亡或者財產(chǎn)損失;(3)招投標程序或者定價機制不規(guī)范�,可能導致物資采購質(zhì)次價高或發(fā)生商業(yè)賄賂等舞弊行為,致使企業(yè)利益受損;(4)產(chǎn)品生產(chǎn)和檢驗程序存在漏洞���,產(chǎn)品質(zhì)量不合格��,損害消費者利益��,可能導致企業(yè)形象受損及賠償;(5)內(nèi)部信息管理不嚴格���,信息系統(tǒng)運行維護和安全措施落實不到位,可能導致泄露商業(yè)秘密等��。
三�、內(nèi)部控制缺陷認定過程
內(nèi)部控制缺陷認定的過程分為四個環(huán)節(jié):建立認定標準、內(nèi)控缺陷識別�����、嚴重程度評估、缺陷最終認定�。
1.建立內(nèi)部控制制度缺陷認定的統(tǒng)一標準。風險偏好和風險的容忍程度是企業(yè)內(nèi)部控制缺陷認定的標準���。企業(yè)目標確定后����,內(nèi)部控制體系的建立初期風險偏好和容忍度已經(jīng)“自上而下”演化成細化的目標體系����,也就是內(nèi)部控制缺陷識別和評估的認定標準�。內(nèi)部控制系統(tǒng)偏離目標的程度是評估缺陷嚴重程度的標準,偏離程度越大�����,缺陷越嚴重���,具體缺陷認定標準由企業(yè)自行確定����,企業(yè)對缺陷認定的標準因具體目標的變化應做出相應的調(diào)整�。
2.內(nèi)控缺陷的識別�����。內(nèi)控缺陷的識別是將敞口風險與對應崗位或?qū)蛹壍娘L險容忍度進行對比�。風險容忍度和內(nèi)部控制的預期目標相對應�����,敞口風險和內(nèi)部控制的實際效果相關(guān)�����。一般核查的敞口風險分為內(nèi)部控制不健全形成的純粹敞口風險和內(nèi)部控制有效性不足形成的剩余風險兩種�����。核查敞口風險應當采取“自下而上”的方式��,會涉及到各個組織層級����。
3、嚴重程度評估���。我國《企業(yè)內(nèi)部控制基本規(guī)范》及其配套指引根據(jù)缺陷導致企業(yè)偏離控制目標的可能性大小將缺陷分為重大缺陷����、重要缺陷與一般缺陷。重大缺陷即實質(zhì)性漏洞�,是指一個或者多個控制缺陷的組合可能導致企業(yè)嚴重偏離控制目標的情形;重要缺陷是指一個或多個控制缺陷的組合其嚴重程度和經(jīng)濟后果低于重大缺陷,但仍然有可能導致企業(yè)偏離控制目標的情形;一般缺陷是指除了重大缺陷����、重要缺陷以外的其他控制缺陷。
4.缺陷最終認定���。不同層級管理部門、管理人員擁有不同的缺陷認定權(quán)限�。他們根據(jù)相應的權(quán)限認定標準對不同影響程度的缺陷進行最終認定。內(nèi)部控制缺陷的認定過程是通過對目標未實現(xiàn)的��、或者可能未實現(xiàn)的敞口風險在不同管理層級范圍內(nèi)給以匯總�,審核敞口風險是否在所屬管理層級的可容忍水平之內(nèi)。假如超出可容忍水平�,則根據(jù)既定的缺陷認定標準判斷缺陷的嚴重程度。管理部門在缺陷認定的基礎上��,應當采取有效的應對措施修正和彌補控制缺陷����,同時按照法規(guī)要求對內(nèi)部控制缺陷予以報告���。
四、內(nèi)部控制缺陷認定的難點
1.難以客觀評價內(nèi)部控制設計缺陷���?��!镀髽I(yè)內(nèi)部控制基本規(guī)范》發(fā)布以來,大多數(shù)企業(yè)依據(jù)《基本規(guī)范》結(jié)合自身情況特點建立了內(nèi)部控制制度�。然而,內(nèi)部控制制度通常是按照管理層的意圖來設計和運行的����,假如制度本身存在設計缺陷,特別是存在不當授權(quán)���、濫用職權(quán)��、個人決策等治理層面的相關(guān)問題����,一般說來�,執(zhí)行者很難發(fā)現(xiàn)和糾正。
2.難以準確認定非財務報告內(nèi)部控制缺陷?!镀髽I(yè)內(nèi)部控制評價指引》將非財務報告內(nèi)部控制有效性納入了內(nèi)部控制評價范疇,企業(yè)在披露內(nèi)部控制評價報告時要如實反映影響企業(yè)戰(zhàn)略目標實現(xiàn)����、制約經(jīng)營效益和效率提升、威脅資金資產(chǎn)安全以及違法違規(guī)行為等一些可能造成企業(yè)偏離控制目標的事項����。然而,非財務報告內(nèi)部控制缺陷的認定涉及面廣�、認定難度大,《評價指引》對于非財務報告內(nèi)部控制缺陷的認定和披露等要求沒有明確界定���,很難通過定量分析給以認定���,給企業(yè)的實際操作帶來難度��,同時也降低了內(nèi)部控制要求的效果和嚴肅性����。
3.難以統(tǒng)一不同企業(yè)內(nèi)部控制缺陷的認定標準。內(nèi)部控制制度的有效性為企業(yè)目標實現(xiàn)提供保證�,從本質(zhì)上服務于企業(yè)目標。企業(yè)規(guī)模、行業(yè)特征��、經(jīng)營規(guī)模��、發(fā)展階段�����、風險偏好的不同��,致使企業(yè)的內(nèi)部控制缺陷的認定標準也必然存在差異����。
五、內(nèi)部控制缺陷合理認定的對策
1.監(jiān)管部門對相關(guān)內(nèi)部控制制度要求應更加細化���、明確�。內(nèi)部控制評價報告的結(jié)論內(nèi)容反映內(nèi)部控制是否有效�����,其核心內(nèi)容是有關(guān)內(nèi)部控制缺陷信息的披露��,對外披露內(nèi)控缺陷信息是企業(yè)必須承擔的義務�����。監(jiān)管部門應依據(jù)《企業(yè)內(nèi)部控制評價指引》中相關(guān)內(nèi)部控制評價和披露部分,進一步完善和出臺有操作性的規(guī)定和引導����,使得企業(yè)信息披露的標準更加具體化,便于強化監(jiān)督���。為避免企業(yè)操縱內(nèi)部控制評價報告�,非財務報告內(nèi)部控制缺陷認定標準一經(jīng)確定��,必須在不同評價期間保持一致����,不得隨意變更。其次�,監(jiān)管部門要進一步完善責任追究制度,對故意行為誤導投資者造成重大損失的�����,加大處罰力度���,為規(guī)范企業(yè)內(nèi)部控制評價報告信息披露創(chuàng)造良好的外部環(huán)境���,切實做到保護廣大投資者的利益。
2.企業(yè)應建立內(nèi)控缺陷分級授權(quán)認定以及責任落實制度����。缺陷識別和嚴重程度屬于技術(shù)層面問題,然而缺陷最終認定屬于管理層面的問題�����。公司的治理是通過理順所有者�、董事會和經(jīng)理層之間的關(guān)系,確保經(jīng)營者的行為符合股東和相關(guān)者的利益���。企業(yè)管理層面應建立內(nèi)部控制缺陷分級授權(quán)最終認定制度和糾偏責任落實機制���。運行環(huán)節(jié)的缺陷應該通過加強監(jiān)督、提高執(zhí)行力度予以解決��,設計環(huán)節(jié)的缺陷應該采取糾正措施進行修訂內(nèi)控設計�。董事會負責內(nèi)部控制的建立健全和有效實施,應該對內(nèi)部控制缺陷是否構(gòu)成了受托于股東的經(jīng)濟責任履行的重大障礙加以關(guān)注���,認定重大缺陷�,對內(nèi)部控制的有效性作出全面評價,同時形成評價結(jié)論�、出具評價報告。
3.企業(yè)應完善公司治理機制充分發(fā)揮內(nèi)審部門監(jiān)督評價作用��。企業(yè)內(nèi)部審計部門應該直接由董事會及審計委員會領導��,重大事項直接向董事會及審計委員會匯報��,強化對管理層的監(jiān)督��。增強內(nèi)部審計部門的獨立性����,由內(nèi)部審計部門實施企業(yè)內(nèi)部控制評價工作,保障信息披露真實�、透明。內(nèi)部審計部門應從全局出發(fā)����,客觀、獨立地評價企業(yè)風險�,評價企業(yè)內(nèi)部控制的有效性。既要關(guān)注企業(yè)執(zhí)行層面的運行缺陷�����,更要從企業(yè)全局和整體上把握存在于部門���、業(yè)務及流程間的制度設計缺陷�����,提出合理可行的審計意見��,改進完善企業(yè)內(nèi)部控制制度��、防范風險���,充分發(fā)揮內(nèi)部審計部門的監(jiān)督評價作用。
