來源:渤海大學審計處,解玉梅(中國內部審計協(xié)會網站交流->理論)
一、內部控制缺陷概念
內部控制缺陷是內部控制制度的建立或者執(zhí)行沒有達到預期標準,內部控制制度無法為企業(yè)內部控制目標實現提供合理的保證。內部控制缺陷分為設計缺陷和運行缺陷。企業(yè)為實現內控目標必需的重要控制措施不足,或者設計不合理,致使內部控制目標不能實現屬于設計缺陷;內部控制執(zhí)行者沒有依據內部控制制度的要求執(zhí)行,或者執(zhí)行者不具備有效地實施內部控制的能力,致使內部控制目標不能實現屬于運行缺陷。內部控制缺陷依據影響的程度可分為重大缺陷、重要缺陷和一般缺陷,其中一項或多項控制缺陷致使企業(yè)嚴重偏離控制目標屬于重大缺陷。企業(yè)被評估認定有重大缺陷存在,不得出具內部控制有效結論的內部控制評價報告。
二、內部控制缺陷識別的方法
內部控制缺陷通常采用定量、定性,或二者相結合的方法進行認定。然而,企業(yè)應保持內部控制缺陷的認定標準在不同評價期間一致,避免管理層通過隨意調整缺陷認定標準回避重大缺陷披露,誤導報告使用者導致不良影響。
1、定量分析法。通過評估內部控制缺陷可能導致財務報表錯報的影響程度進行定量判斷。也就是通過匯總已發(fā)現的錯報、推斷的錯報以及以前年度發(fā)現應調整而未調整的錯報等所有錯報,將匯總錯報對財務報表錯報的影響進行判斷。匯總錯報超過確定的判斷指標評價標準,應認定為重大缺陷,予以披露。
2、定性分析法。在企業(yè)實際運營中,可能被認定為重大缺陷的情形包括:(1)三重一大的審批權限和審批程序不規(guī)范,可能導致企業(yè)決策錯誤或違規(guī)行為;(2)安全生產管控措施不到位、責任不落實,可能發(fā)生安全事故,導致人身傷亡或者財產損失;(3)招投標程序或者定價機制不規(guī)范,可能導致物資采購質次價高或發(fā)生商業(yè)賄賂等舞弊行為,致使企業(yè)利益受損;(4)產品生產和檢驗程序存在漏洞,產品質量不合格,損害消費者利益,可能導致企業(yè)形象受損及賠償;(5)內部信息管理不嚴格,信息系統(tǒng)運行維護和安全措施落實不到位,可能導致泄露商業(yè)秘密等。
三、內部控制缺陷認定過程
內部控制缺陷認定的過程分為四個環(huán)節(jié):建立認定標準、內控缺陷識別、嚴重程度評估、缺陷最終認定。
1.建立內部控制制度缺陷認定的統(tǒng)一標準。風險偏好和風險的容忍程度是企業(yè)內部控制缺陷認定的標準。企業(yè)目標確定后,內部控制體系的建立初期風險偏好和容忍度已經“自上而下”演化成細化的目標體系,也就是內部控制缺陷識別和評估的認定標準。內部控制系統(tǒng)偏離目標的程度是評估缺陷嚴重程度的標準,偏離程度越大,缺陷越嚴重,具體缺陷認定標準由企業(yè)自行確定,企業(yè)對缺陷認定的標準因具體目標的變化應做出相應的調整。
2.內控缺陷的識別。內控缺陷的識別是將敞口風險與對應崗位或層級的風險容忍度進行對比。風險容忍度和內部控制的預期目標相對應,敞口風險和內部控制的實際效果相關。一般核查的敞口風險分為內部控制不健全形成的純粹敞口風險和內部控制有效性不足形成的剩余風險兩種。核查敞口風險應當采取“自下而上”的方式,會涉及到各個組織層級。
3、嚴重程度評估。我國《企業(yè)內部控制基本規(guī)范》及其配套指引根據缺陷導致企業(yè)偏離控制目標的可能性大小將缺陷分為重大缺陷、重要缺陷與一般缺陷。重大缺陷即實質性漏洞,是指一個或者多個控制缺陷的組合可能導致企業(yè)嚴重偏離控制目標的情形;重要缺陷是指一個或多個控制缺陷的組合其嚴重程度和經濟后果低于重大缺陷,但仍然有可能導致企業(yè)偏離控制目標的情形;一般缺陷是指除了重大缺陷、重要缺陷以外的其他控制缺陷。
4.缺陷最終認定。不同層級管理部門、管理人員擁有不同的缺陷認定權限。他們根據相應的權限認定標準對不同影響程度的缺陷進行最終認定。內部控制缺陷的認定過程是通過對目標未實現的、或者可能未實現的敞口風險在不同管理層級范圍內給以匯總,審核敞口風險是否在所屬管理層級的可容忍水平之內。假如超出可容忍水平,則根據既定的缺陷認定標準判斷缺陷的嚴重程度。管理部門在缺陷認定的基礎上,應當采取有效的應對措施修正和彌補控制缺陷,同時按照法規(guī)要求對內部控制缺陷予以報告。
四、內部控制缺陷認定的難點
1.難以客觀評價內部控制設計缺陷。《企業(yè)內部控制基本規(guī)范》發(fā)布以來,大多數企業(yè)依據《基本規(guī)范》結合自身情況特點建立了內部控制制度。然而,內部控制制度通常是按照管理層的意圖來設計和運行的,假如制度本身存在設計缺陷,特別是存在不當授權、濫用職權、個人決策等治理層面的相關問題,一般說來,執(zhí)行者很難發(fā)現和糾正。
2.難以準確認定非財務報告內部控制缺陷?!镀髽I(yè)內部控制評價指引》將非財務報告內部控制有效性納入了內部控制評價范疇,企業(yè)在披露內部控制評價報告時要如實反映影響企業(yè)戰(zhàn)略目標實現、制約經營效益和效率提升、威脅資金資產安全以及違法違規(guī)行為等一些可能造成企業(yè)偏離控制目標的事項。然而,非財務報告內部控制缺陷的認定涉及面廣、認定難度大,《評價指引》對于非財務報告內部控制缺陷的認定和披露等要求沒有明確界定,很難通過定量分析給以認定,給企業(yè)的實際操作帶來難度,同時也降低了內部控制要求的效果和嚴肅性。
3.難以統(tǒng)一不同企業(yè)內部控制缺陷的認定標準。內部控制制度的有效性為企業(yè)目標實現提供保證,從本質上服務于企業(yè)目標。企業(yè)規(guī)模、行業(yè)特征、經營規(guī)模、發(fā)展階段、風險偏好的不同,致使企業(yè)的內部控制缺陷的認定標準也必然存在差異。
五、內部控制缺陷合理認定的對策
1.監(jiān)管部門對相關內部控制制度要求應更加細化、明確。內部控制評價報告的結論內容反映內部控制是否有效,其核心內容是有關內部控制缺陷信息的披露,對外披露內控缺陷信息是企業(yè)必須承擔的義務。監(jiān)管部門應依據《企業(yè)內部控制評價指引》中相關內部控制評價和披露部分,進一步完善和出臺有操作性的規(guī)定和引導,使得企業(yè)信息披露的標準更加具體化,便于強化監(jiān)督。為避免企業(yè)操縱內部控制評價報告,非財務報告內部控制缺陷認定標準一經確定,必須在不同評價期間保持一致,不得隨意變更。其次,監(jiān)管部門要進一步完善責任追究制度,對故意行為誤導投資者造成重大損失的,加大處罰力度,為規(guī)范企業(yè)內部控制評價報告信息披露創(chuàng)造良好的外部環(huán)境,切實做到保護廣大投資者的利益。
2.企業(yè)應建立內控缺陷分級授權認定以及責任落實制度。缺陷識別和嚴重程度屬于技術層面問題,然而缺陷最終認定屬于管理層面的問題。公司的治理是通過理順所有者、董事會和經理層之間的關系,確保經營者的行為符合股東和相關者的利益。企業(yè)管理層面應建立內部控制缺陷分級授權最終認定制度和糾偏責任落實機制。運行環(huán)節(jié)的缺陷應該通過加強監(jiān)督、提高執(zhí)行力度予以解決,設計環(huán)節(jié)的缺陷應該采取糾正措施進行修訂內控設計。董事會負責內部控制的建立健全和有效實施,應該對內部控制缺陷是否構成了受托于股東的經濟責任履行的重大障礙加以關注,認定重大缺陷,對內部控制的有效性作出全面評價,同時形成評價結論、出具評價報告。
3.企業(yè)應完善公司治理機制充分發(fā)揮內審部門監(jiān)督評價作用。企業(yè)內部審計部門應該直接由董事會及審計委員會領導,重大事項直接向董事會及審計委員會匯報,強化對管理層的監(jiān)督。增強內部審計部門的獨立性,由內部審計部門實施企業(yè)內部控制評價工作,保障信息披露真實、透明。內部審計部門應從全局出發(fā),客觀、獨立地評價企業(yè)風險,評價企業(yè)內部控制的有效性。既要關注企業(yè)執(zhí)行層面的運行缺陷,更要從企業(yè)全局和整體上把握存在于部門、業(yè)務及流程間的制度設計缺陷,提出合理可行的審計意見,改進完善企業(yè)內部控制制度、防范風險,充分發(fā)揮內部審計部門的監(jiān)督評價作用。