内部控制缺陷认定的过程、方法、难点及对策 发布时间:2017年03月06日
来源:中国内审审计协会网站
一、内部控制缺陷概念
内部控制缺陷是内部控制制度的建立或者执行没有达到预期标准,内部控制制度无法为企业内部控制目标实现提供合理的保证。内部控制缺陷分为设计缺陷和运行缺陷。企业为实现内控目标必需的重要控制措施不足,或者设计不合理,致使内部控制目标不能实现属于设计缺陷;内部控制执行者没有依据内部控制制度的要求执行,或者执行者不具备有效地实施内部控制的能力,致使内部控制目标不能实现属于运行缺陷。内部控制缺陷依据影响的程度可分为重大缺陷、重要缺陷和一般缺陷,其中一项或多项控制缺陷致使企业严重偏离控制目标属于重大缺陷。企业被评估认定有重大缺陷存在,不得出具内部控制有效结论的内部控制评价报告。
二、内部控制缺陷识别的方法
内部控制缺陷通常采用定量、定性,或二者相结合的方法进行认定。然而,企业应保持内部控制缺陷的认定标准在不同评价期间一致,避免管理层通过随意调整缺陷认定标准回避重大缺陷披露,误导报告使用者导致不良影响。
1、定量分析法。通过评估内部控制缺陷可能导致财务报表错报的影响程度进行定量判断。也就是通过汇总已发现的错报、推断的错报以及以前年度发现应调整而未调整的错报等所有错报,将汇总错报对财务报表错报的影响进行判断。汇总错报超过确定的判断指标评价标准,应认定为重大缺陷,予以披露。
2、定性分析法。在企业实际运营中,可能被认定为重大缺陷的情形包括:(1)三重一大的审批权限和审批程序不规范,可能导致企业决策错误或违规行为;(2)安全生产管控措施不到位、责任不落实,可能发生安全事故,导致人身伤亡或者财产损失;(3)招投标程序或者定价机制不规范,可能导致物资采购质次价高或发生商业贿赂等舞弊行为,致使企业利益受损;(4)产品生产和检验程序存在漏洞,产品质量不合格,损害消费者利益,可能导致企业形象受损及赔偿;(5)内部信息管理不严格,信息系统运行维护和安全措施落实不到位,可能导致泄露商业秘密等。
三、内部控制缺陷认定过程
内部控制缺陷认定的过程分为四个环节:建立认定标准、内控缺陷识别、严重程度评估、缺陷最终认定。
1.建立内部控制制度缺陷认定的统一标准。风险偏好和风险的容忍程度是企业内部控制缺陷认定的标准。企业目标确定后,内部控制体系的建立初期风险偏好和容忍度已经“自上而下”演化成细化的目标体系,也就是内部控制缺陷识别和评估的认定标准。内部控制系统偏离目标的程度是评估缺陷严重程度的标准,偏离程度越大,缺陷越严重,具体缺陷认定标准由企业自行确定,企业对缺陷认定的标准因具体目标的变化应做出相应的调整。
2.内控缺陷的识别。内控缺陷的识别是将敞口风险与对应岗位或层级的风险容忍度进行对比。风险容忍度和内部控制的预期目标相对应,敞口风险和内部控制的实际效果相关。一般核查的敞口风险分为内部控制不健全形成的纯粹敞口风险和内部控制有效性不足形成的剩余风险两种。核查敞口风险应当采取“自下而上”的方式,会涉及到各个组织层级。
3、严重程度评估。我国《企业内部控制基本规范》及其配套指引根据缺陷导致企业偏离控制目标的可能性大小将缺陷分为重大缺陷、重要缺陷与一般缺陷。重大缺陷即实质性漏洞,是指一个或者多个控制缺陷的组合可能导致企业严重偏离控制目标的情形;重要缺陷是指一个或多个控制缺陷的组合其严重程度和经济后果低于重大缺陷,但仍然有可能导致企业偏离控制目标的情形;一般缺陷是指除了重大缺陷、重要缺陷以外的其他控制缺陷。
4.缺陷最终认定。不同层级管理部门、管理人员拥有不同的缺陷认定权限。他们根据相应的权限认定标准对不同影响程度的缺陷进行最终认定。内部控制缺陷的认定过程是通过对目标未实现的、或者可能未实现的敞口风险在不同管理层级范围内给以汇总,审核敞口风险是否在所属管理层级的可容忍水平之内。假如超出可容忍水平,则根据既定的缺陷认定标准判断缺陷的严重程度。管理部门在缺陷认定的基础上,应当采取有效的应对措施修正和弥补控制缺陷,同时按照法规要求对内部控制缺陷予以报告。
四、内部控制缺陷认定的难点
1.难以客观评价内部控制设计缺陷。《企业内部控制基本规范》发布以来,大多数企业依据《基本规范》结合自身情况特点建立了内部控制制度。然而,内部控制制度通常是按照管理层的意图来设计和运行的,假如制度本身存在设计缺陷,特别是存在不当授权、滥用职权、个人决策等治理层面的相关问题,一般说来,执行者很难发现和纠正。
2.难以准确认定非财务报告内部控制缺陷。《企业内部控制评价指引》将非财务报告内部控制有效性纳入了内部控制评价范畴,企业在披露内部控制评价报告时要如实反映影响企业战略目标实现、制约经营效益和效率提升、威胁资金资产安全以及违法违规行为等一些可能造成企业偏离控制目标的事项。然而,非财务报告内部控制缺陷的认定涉及面广、认定难度大,《评价指引》对于非财务报告内部控制缺陷的认定和披露等要求没有明确界定,很难通过定量分析给以认定,给企业的实际操作带来难度,同时也降低了内部控制要求的效果和严肃性。
3.难以统一不同企业内部控制缺陷的认定标准。内部控制制度的有效性为企业目标实现提供保证,从本质上服务于企业目标。企业规模、行业特征、经营规模、发展阶段、风险偏好的不同,致使企业的内部控制缺陷的认定标准也必然存在差异。
五、内部控制缺陷合理认定的对策
1.监管部门对相关内部控制制度要求应更加细化、明确。内部控制评价报告的结论内容反映内部控制是否有效,其核心内容是有关内部控制缺陷信息的披露,对外披露内控缺陷信息是企业必须承担的义务。监管部门应依据《企业内部控制评价指引》中相关内部控制评价和披露部分,进一步完善和出台有操作性的规定和引导,使得企业信息披露的标准更加具体化,便于强化监督。为避免企业操纵内部控制评价报告,非财务报告内部控制缺陷认定标准一经确定,必须在不同评价期间保持一致,不得随意变更。其次,监管部门要进一步完善责任追究制度,对故意行为误导投资者造成重大损失的,加大处罚力度,为规范企业内部控制评价报告信息披露创造良好的外部环境,切实做到保护广大投资者的利益。
2.企业应建立内控缺陷分级授权认定以及责任落实制度。缺陷识别和严重程度属于技术层面问题,然而缺陷最终认定属于管理层面的问题。公司的治理是通过理顺所有者、董事会和经理层之间的关系,确保经营者的行为符合股东和相关者的利益。企业管理层面应建立内部控制缺陷分级授权最终认定制度和纠偏责任落实机制。运行环节的缺陷应该通过加强监督、提高执行力度予以解决,设计环节的缺陷应该采取纠正措施进行修订内控设计。董事会负责内部控制的建立健全和有效实施,应该对内部控制缺陷是否构成了受托于股东的经济责任履行的重大障碍加以关注,认定重大缺陷,对内部控制的有效性作出全面评价,同时形成评价结论、出具评价报告。
3.企业应完善公司治理机制充分发挥内审部门监督评价作用。企业内部审计部门应该直接由董事会及审计委员会领导,重大事项直接向董事会及审计委员会汇报,强化对管理层的监督。增强内部审计部门的独立性,由内部审计部门实施企业内部控制评价工作,保障信息披露真实、透明。内部审计部门应从全局出发,客观、独立地评价企业风险,评价企业内部控制的有效性。既要关注企业执行层面的运行缺陷,更要从企业全局和整体上把握存在于部门、业务及流程间的制度设计缺陷,提出合理可行的审计意见,改进完善企业内部控制制度、防范风险,充分发挥内部审计部门的监督评价作用。(渤海大学审计处,解玉梅)