时间:2021-01-29 作者:段然 作者简介:段然,暨南大学会计系博士生; 丁友刚 丁友刚,暨南大学会计系教授,全国高端会计人才(学术类二期),全国高端会计人才特殊支持计划学员。
[大]
[中]
[小]
摘要:
一、引言
内控缺陷认定是内控评价和内控审计的核心工作。在内控缺陷认定过程中,企业需要依据相应的内控缺陷认定标准开展内控缺陷认定工作。我国《企业内部控制基本规范》将内控缺陷认定标准的制定权赋予了企业管理层,但是在18个企业内部控制配套指引中并没有内控缺陷认定标准的相关指引,由此导致了企业在制定内控缺陷认定标准过程中存在诸多问题,既包括标准本身的问题(丁友刚和王永超,2013;丁友刚和段然,2020),也包括管理层利用政策赋予的自由裁量权操控或敷衍标准的问题(谭燕等,2016;王俊和吴溪,2017;周静怡和丁友刚,2020)。内控缺陷认定标准的制定本身是一个复杂的专业技术问题,既涉及科学判断的基本逻辑要求,也涉及缺陷损失可能性和重要性水平的设定等问题(丁友刚和段然,2020)。因此,政策层在赋予企业自由裁量权的同时,制定相应的应用指引是非常有必要的。笔者结合科学判断的基本要求和或有事项认定的专业要求,提出以下内控缺陷认定标准指引应遵循的基本原则和主要内容。
二、内控缺陷认定标准的基本目标与原则
内控缺陷是指内控系统的设计或运行中存在预期的、潜在的或实际的控制不足,这些不足的存在使得管理者和员工难...
一、引言
内控缺陷认定是内控评价和内控审计的核心工作。在内控缺陷认定过程中,企业需要依据相应的内控缺陷认定标准开展内控缺陷认定工作。我国《企业内部控制基本规范》将内控缺陷认定标准的制定权赋予了企业管理层,但是在18个企业内部控制配套指引中并没有内控缺陷认定标准的相关指引,由此导致了企业在制定内控缺陷认定标准过程中存在诸多问题,既包括标准本身的问题(丁友刚和王永超,2013;丁友刚和段然,2020),也包括管理层利用政策赋予的自由裁量权操控或敷衍标准的问题(谭燕等,2016;王俊和吴溪,2017;周静怡和丁友刚,2020)。内控缺陷认定标准的制定本身是一个复杂的专业技术问题,既涉及科学判断的基本逻辑要求,也涉及缺陷损失可能性和重要性水平的设定等问题(丁友刚和段然,2020)。因此,政策层在赋予企业自由裁量权的同时,制定相应的应用指引是非常有必要的。笔者结合科学判断的基本要求和或有事项认定的专业要求,提出以下内控缺陷认定标准指引应遵循的基本原则和主要内容。
二、内控缺陷认定标准的基本目标与原则
内控缺陷是指内控系统的设计或运行中存在预期的、潜在的或实际的控制不足,这些不足的存在使得管理者和员工难以在履行职责过程中,及时发现或阻止财务报表错报与损失,影响内控目标的实现。内控缺陷认定标准就是对内控缺陷进行认定的核心依据,依据内控缺陷认定标准进行内控缺陷认定包括两个基本环节:内控缺陷识别与内控缺陷分类。内控缺陷识别就是识别出潜在的内控缺陷,将缺陷事件与非缺陷事件区分开来,判断一个事件是否属于缺陷。内控缺陷分类就是将识别出的缺陷按照其重要性程度划分为重大、重要与一般缺陷三个等级。企业在制定内控缺陷认定标准时应遵循以下原则:
(一)全面性原则
内控缺陷可能发生在企业内部的任何业务流程中,任何内控活动的遗漏或缺失都有可能导致内控缺陷的发生。因此企业制定的内控缺陷认定标准应该涵盖企业的全部业务流程,覆盖企业所有的内部控制活动。
(二)准确性原则
准确性有两方面具体要求:其一是缺陷事件表达的准确性。内控缺陷认定标准在事件描述上,应该完整涵盖缺陷事件相关的内控要素与内控目标,使得内控缺陷认定标准可以与实际发生的缺陷事件相对照。其二是可能性与重要性表达的准确性。应当参照相关会计与审计原则对内控缺陷的可能性与重要性进行量化,从而保证对内控缺陷可能性与重要性判断的准确性。
(三)唯一性原则
内控缺陷认定标准必须保证其认定结果的唯一性。同一个事件只能被认定为非缺陷事件、重大缺陷、重要缺陷与一般缺陷四者之一。若同一事件既可被认定为缺陷事件,也可被认定为非缺陷事件,那么就是自相矛盾的。同时,对任何事件的判断都要限定在该范围内,不可超脱该范围。
(四)客观性原则
内控缺陷认定标准必须具备客观性,限制自由裁量权在内控缺陷认定过程中的使用。自由裁量权的过度使用可能会导致内控缺陷认定过程的随意性,降低内控缺陷认定效果,引起内控风险(谭燕等,2016;王俊和吴溪,2017;周静怡和丁友刚,2020)。
(五)适应性原则
不同的企业在经营规模、业务范围、竞争状况和风险水平等方面都具有显著的差异。不同的业务模式与经营环境意味着不同的风险特征,企业需要采取不同的行为进行应对。因此企业所制定的内控缺陷认定标准应当与企业实际情况相适应,并随着上述因素的变化而及时调整。
三、内控缺陷事件设定
(一)内控要素与流程设定
企业内部控制要素包括控制环境、控制活动、风险评估、信息与沟通、内部监督等。内控缺陷事件由三个基本要素构成:缺陷事件、可能性水平以及重要性水平。其中缺陷事件是内控缺陷存在的基础,可能性与重要性是内控缺陷的附属属性。对内控缺陷进行认定,首先就是要判断一个事件在性质上是否归属于缺陷范畴,其次才是对其发生可能性与重要性进行进定量判断。内控缺陷事件由两个基本元素构成:其一是缺陷事件相关的内控要素或流程;其二是缺陷事件对应的内控目标。其中对于内控要素与流程的表达需要与企业具体的业务活动相结合,将业务流程与环节中的定性因素与定量因素转化为定量的可能性与重要性,形成具体的内控缺陷认定。典型的内控要素与流程包括资金活动、采购业务、资产管理、销售业务、研发业务、工程项目、担保业务、财务报告、预算与合同管理等。
(二)内控目标设定
在对内控缺陷认定标准进行设定时,也应当明确缺陷事件所对应的内控目标。按照所影响内控目标的不同,内控缺陷可以分为两类:财务报表内控缺陷与非财务报表内控缺陷。财务报表内控缺陷是指有可能阻碍财务报表真实可靠这一内控目标实现的缺陷,其经济后果体现为财务报表错报。非财务报表内控缺陷是指有可能阻碍经营效率效果与合法合规两个内控目标实现的缺陷,其经济后果体现为损失。
错报与损失在性质上具有显著的差异。从对财务指标的影响来看,错报更多与利润表项目相关,包括营业收入与利润等;损失则更多与资产相关。从影响程度来看,损失即直接的经济利益流出;错报则意味着潜在的经济利益流出,即使一个公司存在错报,也不一定会导致利益流出。所以财务指标与影响程度的不同,决定了应该采取不同的方式对错报与损失进行量化,而选取合适量化方式的基础,就是在缺陷事件的设定上对错报与损失进行区分。
四、重要性与可能性水平设定
(一)重要性水平设定
重要性取决于在具体环境下对错报或损失金额和性质的判断。如果一项错报或损失单独或连同其他错报可能影响内控报告使用者依据内控缺陷信息做出的经济决策,则该项错报或损失是重大的。在实际操作中,企业应该设定一个可接受的内控缺陷重要性水平临界值,并将该临界值作为对内控缺陷重要性进行判断的标准。对内控缺陷重要性的判断,就是将内控缺陷实际造成的错报或损失与该临界值进行对比,若错报或损失超过了该临界值,就表明该缺陷具有经济后果重要性,否则就不具有重要性。
内控缺陷重要性水平临界值由基准指标与百分比临界值两个基本要素构成。基准指标包括营业收入、利润总额、净利润、资产总额与净资产等基本财务指标。百分比临界值包含三类:重大缺陷临界值、重要缺陷临界值与一般缺陷临界值。若缺陷造成的经济后果大于重大缺陷临界值,该缺陷就是重大缺陷;若缺陷造成的经济后果小于重大缺陷临界值,大于重要缺陷临界值,该缺陷就是重要缺陷;若缺陷造成的经济后果小于重要缺陷临界值,大于一般缺陷临界值,该缺陷就是一般缺陷。若小于一般缺陷临界值,就不是内控缺陷,不对其进行认定。企业在对重要性水平临界值的财务指标与重要性水平百分比临界值进行设定前,必须要对企业的总体风险容量进行评估,确定企业风险的主要来源,以及风险对各财务指标的预期影响。从中选取最易受风险影响的财务指标作为认定指标,并根据风险容量对各级重要性水平百分比进行设定。
(二)可能性水平设定
依据《美国财务会计准则公告第5号:或有事项的会计处理》(SFAS No.5)、《国际会计准则第37号——准备、或有负债与或有资产》(IAS37)以及我国《企业会计准则第13号——或有事项》等的规定,或有事项具有三个特征:第一,或有事项由过去的交易事项形成;第二,或有事项具有重要性,会带来利得或损失;第三,或有事项具有时间和金额上的不确定性。内控缺陷在性质上也符合上述三个特征。首先,内控缺陷产生于内控流程缺失这样一个过去发生的现存事项;其次,内控缺陷造成的经济后果通常是损失或财务报表错报,两者都意味着经济利益流出;最后,内控缺陷的发生与否以及其造成的经济损失都具有较高程度的不确定性。所以对比来看,内控缺陷事件属于广义上的或有事项,那么在对内控缺陷的经济后果进行认定时,就需要对其经济后果发生的可能性水平进行评估。我国《企业会计准则第13号——或有事项》将或有事项发生的可能性划分为极小可能(0%~5%)、可能(5%~50%)、很可能(50%~95%)与基本确定(95%~100%)四个区间,对内控缺陷发生可能性的评估也应该参照该划分方式。
五、内控缺陷认定
(一)重要性判断
重要性与可能性是对内控缺陷进行认定的依据。内控缺陷认定包括重要性判断与可能性判断两个环节。对内控缺陷重要性的判断包括两方面的内容:
其一是对缺陷所造成的错报或损失金额进行定量判断。重要性定量判断就是将缺陷事件造成的错报或损失与重要性水平临界值进行对比,若缺陷造成的错报或损失大于重要性水平临界值,那么该缺陷就是重要的。
其二是对缺陷所处环境的定性判断。定性判断是对定量判断的一种补充。依据量化的重要性水平,可以判定一个缺陷事件具有重要性,但是却无法判定一个事件不具有重要性。在特殊的情形下,某些事项所造成的经济后果虽然无法达到量化的重要性水平临界值,但是从性质上看,仍然是重要的。甚至在极端情况下,仅仅是某些事项的发生就足以对企业造成巨大的负面影响,根本不用考虑其经济后果。
因此出于谨慎性考虑,当内控缺陷造成的潜在错报或损失达不到重要性水平临界值时,就需要对缺陷的性质进行定性分析,从性质上对缺陷是否重要进行判断。国际会计准则理事会(IASB)将针对缺陷事项重要性的定性判断概括为两方面内容:其一是对企业内部环境进行定性分析,包括缺陷有关的参与者、不常见或非标准的事项、变化与趋势等;其二是对公司外部环境进行定性分析,分析要素包括公司的地理位置、行业特征以及宏观经济状况等。
(二)可能性判断
管理者也需要综合考虑各种因素,对缺陷事项发生可能性进行判断。美国公众公司会计监督委员会(PCAOB)认为以下迹象的发生往往预示着内控缺陷发生可能性较高。(1)相关事项在性质上较为特殊,例如未决账户和关联交易往往意味着较大的风险。(2)相关资产与负债容易遭受损失或腐败影响,资产或负债对损失和腐败的敏感度越高,其风险就越高。(3)事项具有较高的主观性与复杂性,或者受自由裁量权影响程度较大。事项主观性越强、越复杂,受自由裁量权影响越大,内控风险越大。(4)较高的内控活动异常频率。异常事项发生频率越高,表明内控缺陷存在的可能性越大。(5)内控活动之间较高的相互依存度。若两个内控活动之间依存度越高,那么一个内控活动失效就会导致另外一个内控活动失效。(6)内控缺陷之间的相互影响。一个内控缺陷的发生有可能会导致多个潜在的内控缺陷。通过对上述因素进行考虑,企业需要将内控缺陷发生可能性量化为极小可能(0%~5%)、可能(5%~50%)、很可能(50%~95%)或基本确定(95%~100%)四个等级之一。
六、内控缺陷认定结果的披露
依据重要性与可能性评估结果的不同,企业应当选择以不同的方式对内控缺陷进行披露。
首先,若经过评估发现内控缺陷造成错报或损失的可能性大于等于很可能(50%),经济后果可计量,重要性等级为重大,那么应将其作为重大缺陷在内部控制评价报告中披露。
其次,当出现以下情形时,应将缺陷作为重要缺陷在内部控制评价报告中进行披露:(1)内控缺陷发生可能性大于很可能(50%),但是重要性等级为重要、一般或经济后果不可计量;(2)内控缺陷发生可能性为可能(5%~50%),经济后果可计量,且重要性等级为重大。
再次,经评估若发现内控缺陷发生的可能性介于微小可能(5%)与很可能(50%)之间,并且缺陷的重要性等级为重要、一般或不可计量,那么应当将其作为一般缺陷在内部控制评价报告中进行披露。若内控缺陷发生可能性小于微小可能(5%),那么无论内控缺陷的重要性等级为重大、重要、一般还是不可计量,都不在内控评价报告中对其进行披露。各等级内控缺陷的认定与披露方式汇总见表1。
最后,企业应当在内控缺陷评价报告中对内控缺陷认定标准的选用情况进行说明,对内控缺陷的认定过程进行清晰的阐述,提高内控缺陷认定过程的透明度,方便外部审计师与投资者对企业的内控缺陷认定情况进行评价。
七、内控缺陷认定标准应用指引
在上述内容中,本文讨论了内控缺陷认定标准制定、披露与应用过程中应遵循的基本原则。然而由于不同企业面临的生产经营环境不一样,企业内部的业务流程也不一样,为了使企业制定的内部控制缺陷认定标准更具有操作性,内部控制缺陷更能揭示企业在内部控制方面存在的问题,监管部门或者行业协会还应该从行业的实际出发,针对具体的业务流程,制定《行业内部控制缺陷认定标准应用指引》,从企业生产运营涵盖的资金活动、采购业务、资产管理、销售业务、研发业务、工程项目、担保业务、财务报告、预算与合同管理等业务流程方面制定所在行业的内部控制缺陷认定标准,将内部控制缺陷的认定与企业的业务流程紧密融合。总体原则导向和具体规则导向相结合的内部控制缺陷认定,将在揭示企业内部控制设计和运行情况、内部控制有效性方面发挥重要作用,保证内部控制信息披露的质量。
责任编辑 刘霁
相关推荐