2012年是我国上市公司全面推进企业内部控制规范体系建设的一年，众多上市公司根据相关要求开展了内部控制规范体系的建设，进行自我评价并出具评价报告。在评价的过程中，内部控制缺陷的认定和披露是监管部门和企业共同关注的重点。根据《企业内部控制评价指引》的要求，企业应编制内部控制评价报告，并披露“内部控制缺陷及其认定情况”。但在实际工作中，内部控制缺陷认定标准模糊、缺陷披露不充分等问题，给上市公司开展内部控制规范体系的建设、进行自我评价带来一定的困难。那么，如何解决这一问题？笔者在此提出几点看法。

一、评价内部控制缺陷的意义与目的

一般认为，评价并认定内部控制缺陷的目的和意义有两个方面：一是认定内控有效性，即通过内部控制缺陷的严重程度来判断企业内部控制设计和运行的有效性（即实现内部控制的目标），如出现重大缺陷，则企业内部控制被判定为无效；二是提供相关信息，即通过内部控制缺陷的披露，向投资者、债权人等利益相关者提供信息，满足他们对财务报告以外的企业信息的需求。

而在实践中，一些内控较弱的上市公司管理层及其内部控制评价机构往往人为调降内部控制缺陷的严重程度；缺陷汇总清单不上报董事会和监事会，以回避监督；内部控制自我评价报告不披露或少披露内部控制缺陷；将自评报告包装为内控建设的“表扬报告”。这些做法极大地影响了内部控制规范体系发挥其应有的作用。笔者认为，这些现象的发生，一方面是监管部门和企业自身宣导和督促不足，或者是公司治理执行不到位；另一方面，内部控制缺陷自身清晰标准的缺位也是一个重要因素。

二、我国企业内部控制缺陷标准的认定难点

我国内部控制规范体系与美国萨班斯法案的核心差异在于：前者通过十八项应用指引搭建了一个超越了财务报告而涵盖全业务的内部控制框架，而后者则仅关注基于财务报告的内部控制。这样一个差异给我国内部控制缺陷的认定带来了以下一些难点：

第一，非财务报告的内部控制缺陷成因复杂，性质各异，在实务中往往难以分析认定。我国的内部控制规范涵盖了对战略、管理、决策等方面的考量，如《企业内部控制应用指引》中的多个指引属于非财务报告领域（如发展战略、组织架构等）。那么，如果一个企业战略实施的失败算不算缺陷呢？答案是不一定的，需要企业从战略失败的成因和性质进行深入分析，而这在实务中有一定难度。所以，这些方面缺陷的认定需根据缺陷引起的错报金额大小来判定，不像财务报告缺陷认定那样相对简单和容易。

第二，内部控制缺陷的严重程度难以客观评估。对于财务报告内部控制的控制缺陷，可直接通过该缺陷可能引起的错报水平来判定，其操作过程和结果相对客观。而对于非财务报告的控制缺陷，其后果或潜在损失往往很难判定，因而对其严重程度的判定过程和结果也相对主观，如战略制定中的缺陷，可能导致战略失效，而战略失效的潜在损失显然无法客观认定。

第三，内部控制缺陷与风险事件区分界限模糊。从含义来看，内部控制缺陷是指控制措施的缺失或不足，因此，无论一个缺陷是否实际导致了风险损失的出现（是否造成了既定的损失或舞弊），都应被认定为缺陷。而在实际过程中，一些缺陷是否被认定，往往取决于风险事件：哪怕实际评价和审计中发现了非常严重的缺陷，只要没有造成实际风险损失，都常常不被认定为重大缺陷。

以上问题的分析和解决，有赖于从内部控制缺陷的本质进行深入梳理，明确内部控制缺陷的性质、分类以及严重程度的判断依据。

三、内部控制缺陷的本质与认定标准

内部控制缺陷的本质究竟是什么？根据相关规定，缺陷的严重程度取决于“可能导致企业偏离控制目标”的程度。那么，笔者认为，内部控制缺陷的本质或可被定义为“企业偏离控制目标的情况”。而根据《企业内部控制基本规范》的规定，内部控制的目标包括“合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果、促进企业实现发展战略”。只要企业存在某些情况，可能导致偏离内部控制的目标，就应当被认定为内部控制缺陷。

进一步地，根据内部控制目标的不同，笔者认为，企业的内部控制缺陷可分为以下两种情况做深入讨论，具体见表1。

由表1可以看出，内部控制缺陷的性质和认定有如下几个方面值得注意：

第一，从内部控制缺陷影响的控制目标来看，所有缺陷可分为“硬伤”与“软肋”两大类。

所谓“硬伤”，或称“绝对缺陷”（见表1的类别一），是指该内部控制缺陷可能导致企业无法满足合法合规、财务报告真实和资产安全的目标，这一类缺陷往往会导致直接的负面影响，也是可以从制度层面明确进行规范和约束、对缺陷的相关责任人进行严肃问责的。所谓“软肋”，或称“管理缺口”（见表1中的类别二），是指该内部控制缺陷可能导致企业无法满足经营效率效果和战略发展的目标，这一类缺陷可能导致的负面影响不是直接的，往往无法通过简单的制度约定进行解决，也不是一两个岗位和部门能够全面解决的，这些缺陷需要通过更加综合和系统的控制活动来克服，并且需要人力资源素质和企业资源的配合。

第二，对于上述两类缺陷，监管部门和企业的关注视角有所不同。

内部控制自我评价主要是满足监管部门对外披露的要求和企业治理层对企业日常运行的风险管理的需要。从这个角度来看，监管部门往往更关注绝对缺陷：一方面，绝对缺陷的识别和披露有利于促进企业遵纪守法、透明经营，直接体现了监管部门建设更加健康的资本市场的要求；另一方面，监管部门（包括外部的审计师）对管理缺口没有足够的能力进行识别和认定。而企业的治理层则更加关注管理缺口。公司的董事会、监事会和管理层对于日常的绝对缺陷一般都是采取零容忍和强制整改的态度和措施，而且随着内控评价的持续推进，这一类的绝对缺陷也将逐步消除和整改；董事会、监事会和管理层对管理缺口的关注度更高，因为其会更加深入地影响企业产品的竞争能力。

第三，对于上述两类缺陷，评价的方法、依据和等级的认定均有一定区别。

对于绝对缺陷，其主要与制度设计及执行、会计基础工作、报表生成流程、资产保全等方面相关，因此，其评价方法主要依靠个别访谈、穿行测试、实地查验、抽样等方式，更多偏重于对数据和流程操作的确认。其评价的依据要求绝对客观；从评价依据的可靠性出发，一般要求每个评价结论都需要实际业务资料及凭证的支持证明。在等级认定方面，可从其对企业可能影响的程度出发，制定客观及定量的评价标准，如财务报告相关缺陷可以导致错报金额的大小进行划分，资产安全相关缺陷可以造成资产损失的金额进行划分。

对于管理缺口，其涉及范围较广，情况较为复杂，因此，其评价方法主要依靠调查问卷、专题讨论（如头脑风暴、专家研讨会）、比较分析（如和同行业企业的“最佳实践”进行对标）等方式，更多偏重于对经营管理的全面和深入的分析。其评价的依据很难做到绝对客观，往往只能依靠人员访谈和相关资料进行分析。在等级认定方面，财政部会计司在《企业内部控制评价指引》的解读中曾描述到：战略和经营目标的实现往往受到企业不可控的诸多外部因素的影响，企业的内部控制只能合理保证董事会和管理层了解这些目标的实现程度。因而，在认定针对这些控制目标的内部控制缺陷时，我们不能只考虑最终的结果，而主要应该考虑企业制定战略、开展经营活动的机制和程序是否符合内部控制要求，以及不适当的机制和程序对企业战略及经营目标实现可能造成的影响。这也从一个侧面体现出对于管理缺口的认定难度。而从实际操作的角度出发，笔者建议，对于管理缺口类缺陷的等级认定，可以采取专家与评价机构讨论确定的方式来进行。

四、基于内部控制缺陷标准的报告及后续措施

基于对上述内部控制缺陷本质的分析，上市公司应当进一步强化内部控制缺陷评定标准的明晰性：对于绝对缺陷，必须建立相关的客观及定量标准，并充分与审计师沟通，保证标准的严肃性。对于管理缺口，由于其评价标准难以做到绝对客观，可根据企业所在行业及企业自身情况确定定性标准，并明确管理缺口类缺陷的评定机制，保证董事会、监事会等相关机构在此评定机制中的参与度，以保证相关缺陷等级认定能够做到公允，并对管理层形成约束力量。

对于不同类型的缺陷，企业应当采取不同的处理方式。对于绝对缺陷这种企业管理中的“硬伤”，企业必须加强力度问责和整改，所有的绝对缺陷必须全部形成缺陷汇总表，并由评价机构下达强制的整改通知，并根据绝对缺陷的成因对相关责任人进行问责和处罚。对于管理缺口，其成因往往综合了内外部原因，也有企业现实的管理水平的问题，可不采取“整改”的硬性要求。评价机构可针对评价中识别的“管理缺口”形成可操作的管理优化建议，并征求被评价单位的上级管理层意见后，发送给被评价单位，由被评价单位及其管理层决定是否采纳管理优化建议，后续如何落实相关建议。■

责任编辑 刘黎静