內部控制缺陷是評價內部控制有效性的負向維度,如果內部控制的設計或運行無法合理保證內部控制目標的實現,即意味著存在內部控制缺陷。內部控制缺陷按不同的分類方式分為:設計缺陷與運行缺陷;財務報告內部控制缺陷與非財務報告內部控制缺陷;重大缺陷、重要缺陷與一般缺陷。
(1)設計缺陷和運行缺陷
內部控制缺陷按其成因分為設計缺陷和運行缺陷。設計缺陷是指內部控制設計不科學、不適當,即使正常運行也難以實現控制目標。運行缺陷是指內部控制設計比較科學、適當,但在實際運行過程中沒有嚴格按照設計意圖執行,導致內部控制運行與設計相脫節,未能有效實施控制、實現控制目標。
(2)財務報告內部控制缺陷和非財務報告內部控制缺陷內部控制缺陷按其表現形式分為財務報告內部控制缺陷和非財務報告內部控制缺陷。財務報告內部控制缺陷,是指在會計確認、計量、記錄和報告過程中出現的,對財務報告的真實性和完整性產生直接影響的控制缺陷,一般可分為財務(會計)報表缺陷、會計基礎工作缺陷和與財務報告密切關聯的信息系統控制缺陷等。非財務報告內部控制缺陷,是指雖不直接影響財務報告的真實性和完整性,但對企業經營管理的合法合規、資產安全、營運的效率和效果等控制目標的實現存在不利影響的其他控制缺陷。
(3)重大缺陷、重要缺陷和一般缺陷
內部控制缺陷按其嚴重程度分為重大缺陷、重要缺陷和一般缺陷。重大缺陷,是指一個或多個控制缺陷的組合,可能嚴重影響企業內部控制的有效性,進而導致企業無法及時防范或發現嚴重偏離控制目標的情形。重要缺陷,是指一個或多個控制缺陷的組合,其嚴重程度雖低于重大缺陷,但仍有較大可能導致企業無法及時防范或發現偏離控制目標的情形,須引起企業重視和關注。一般缺陷,是指除重大缺陷、重要缺陷之外的其他控制缺陷。
2.內部控制缺陷的認定標準
企業對內部控制評價過程中發現的內部控制缺陷,應當綜合分析缺陷的成因、表現形式及重要程度,并按照一定的標準將各項內部控制缺陷分別認定為重大缺陷、重要缺陷和一般缺陷。內部控制缺陷的認定標準和認定結果將直接影響內部控制有效性的結論。一般而言,如果一個企業存在的內部控制缺陷達到了重大程度,就不能認定該企業的內部控制是有效的。由于財務報告內部控制缺陷與非財務報告內部控制缺陷分別影響不同控制目標的實現,其表現形式各異,為此,財務報告內部控制缺陷的認定標準與非財務報告內部控制缺陷的認定標準也有所區別。
(1)財務報告內部控制缺陷的認定標準
財務報告內部控制缺陷的認定標準由該缺陷可能導致財務報表錯報的重要程度來確定,這種重要程度主要取決于兩方面因素:第一,該缺陷是否具備合理可能性導致內部控制不能及時防止、發現并糾正財務報表錯報;第二,該缺陷單獨或連同其他缺陷可能導致的潛在錯報金額的大小。
①重大缺陷。如果一項內部控制缺陷單獨或連同其他缺陷具備合理可能性導致不能及時防止、發現并糾正財務報表中的重大錯報,就應將該缺陷認定為重大缺陷。合理可能性是指大于微小可能性(幾乎不可能發生)的可能性,對合理可能性的理解涉及評價人員的職業判斷,且這種判斷在不同評價期間應保持一致。重大錯報中的“重大”,涉及企業確定的財務報表的重要性水平。一般而言,企業可以采用絕對金額法(如規定金額超過10 000元的錯報應當認定為重大錯報)或相對比例法(例如,規定超過凈利潤5%的錯報應當認定為重大錯報)來確定重要性水平。如果企業的財務報告內部控制存在一項或多項重大缺陷,就不能得出該企業的財務報告內部控制有效的結論。
②重要缺陷。如果一項內部控制缺陷單獨或連同其他缺陷具備合理可能性導致不能及時防止、發現并糾正財務報表中雖然未達到和超過重要性水平、但仍應引起董事會和經理層重視的錯報,就應將該缺陷認定為重要缺陷。重要缺陷并不影響企業財務報告內部控制的整體有效性,但是應當引起董事會和經理層的重視。對于這類缺陷,應當及時向董事會和經理層報告,因此也稱為“應報告情形”。
③一般缺陷。不構成重大缺陷和重要缺陷的財務報告內部控制缺陷,應認定為一般缺陷。
(2)非財務報告內部控制缺陷的認定標準
企業可以根據自身的實際情況,參照財務報告內部控制缺陷的認定標準,合理確定非財務報告內部控制缺陷的定量和定性認定標準。其中:定量標準,既可以根據缺陷造成直接財產損失的絕對金額制定,也可以根據缺陷的直接損失占本企業資產、銷售收入或利潤等的比率確定;定性標準,可以根據缺陷潛在負面影響的性質、范圍等因素確定。非財務報告內部控制缺陷認定標準一經確定,必須在不同評價期間保持一致,不得隨意變更。
(3)常見的內部控制重大缺陷情形
當有確鑿證據表明企業在評價期末存在下列情形之一時,通常應認定為內部控制重大缺陷:
①企業財務報表已經或者很可能被注冊會計師出具否定意見或者拒絕表示意見。
②企業審計委員會和內部審計機構未能有效發揮監督職能。
③企業董事、監事和高級管理人員已經或者涉嫌舞弊,或者企業員工存在串謀舞弊情形并給企業造成重要損失和不利影響。
④企業在財務會計、資產管理、資本運營、信息披露、產品質量、安全生產、環境保護等方面發生重大違法違規事件和責任事故,給企業造成重要損失和不利影響,或者遭受重大行政監管處罰。
上述控制缺陷如果對企業財務報表的真實可靠性產生影響,則為財務報告內部控制重大缺陷;如果不影響財務報表的真實可靠,則為非財務報告內部控制重大缺陷。
3.內部控制缺陷的報告和整改
企業內部控制評價部門應當編制內部控制缺陷認定匯總表,結合日常監督和專項監督過程中發現的內部控制缺陷及其持續改進情況,對內部控制缺陷及其成因、表現形式和影響程度進行綜合分析和全面復核,提出認定意見,按照規定的權限和程序進行審核后予以最終認定。
(1)內部控制缺陷報告
內部控制缺陷報告應當采取書面形式。對于一般缺陷和重要缺陷,通常向企業經理層報告,并視情況考慮是否需要向董事會及其審計委員會、監事會報告;對于重大缺陷,應當及時向董事會及其審計委員會、監事會和經理層報告。如果出現不適合向經理層報告的情形,如存在與經理層舞弊相關的內部控制缺陷,或存在經理層凌駕于內部控制之上的情形等,應當直接向董事會及其審計委員會、監事會報告。企業應根據內部控制缺陷的影響程度合理確定內部控制缺陷報告的時限,一般缺陷、重要缺陷應定期報告,重大缺陷即時報告。
(2)內部控制缺陷整改
企業對于認定的內部控制缺陷,應當制定內部控制缺陷整改方案,按規定權限和程序審批后執行;對于認定的重大缺陷,還應及時采取應對策略,切實將風險控制在可承受度之內,并追究有關機構或相關人員的責任。內部控制缺陷整改方案一般包括整改目標、內容、步驟、措施、方法和期限等,整改期限超過一年的,還應在整改方案中明確近期目標和遠期目標以及對應的整改工作任務等。
(責任編輯:vstara)