我国内部控制规范体系（简称内控规范）自2010年建立，2011年起在境内外同时上市的公司首先施行，2012年起在国内主板上市公司分类分批施行。部分上市公司按照内控规范的要求，相继聘请会计师事务所实施了内部控制审计（简称内控审计）。截至2013年年报披露完毕，内控审计报告的披露已经有3个年度，而其中导致内控失效的重大缺陷受到广泛关注。本文选择以内控规范实施以来导致“审计师认定内部控制无效”的否定意见内控审计报告中的重大缺陷为研究对象，对其中列示的内部控制重大缺陷进行分析，并得出几点启示。

    一、否定意见内控审计报告的总体情况

    根据有关部门的统计，2011年至2013年我国上市公司内控审计报告的意见总体情况见表1。

    从表1可以看出，自内控规范实施以来，上市公司的内控审计呈现出两大特点：一是开展内控审计和内控审计被否的公司数量均逐年上升。二是被出具非标准审计意见公司的占比也逐年上升。这在一定程度上说明了内控规范逐渐发挥作用、内控审计质量不断提高。

    2011年至2013年共有11家上市公司被出具了13份否定意见的内控审计报告，其中合计披露的内部控制重大缺陷共28个，每年内部控制重大缺陷数量依次分别为1个、8个和19个。

    一、内部控制重大缺陷的特点及分析

  （一）从业务领域来看，财务报告和销售业务是内部控制重大缺陷发生的主要领域

    笔者按照内控规范等的规定，从企业经营活动的角度将全部28个重大缺陷按照业务领域进行分类，具体体现为：重大缺陷涉及的主要业务领域分别为财务报告（11个重大缺陷）及销售业务（6个），合计占所有重大缺陷数量的61%；其他发生两个及以上重大缺陷的领域还包括资金活动（均为重大投资活动）、关联交易和资产管理。

    财务报告领域的重大缺陷主要体现在两个方面：一是与资产类报表项目错报相关的缺陷，主要是对存货、应收账款、其他金融资产确认和计量缺少控制等；二是与收入确认相关的缺陷，主要是在业务操作中未符合收入确认条件即确认收入。销售业务领域的重大缺陷主要体现为与信用风险管理相关的环节，包括事前授信和事后应收账款的对账等业务活动。

    （二）从控制活动来看，会计系统控制及授权审批控制是重大缺陷的主要类型

    笔者按照《企业内部控制基本规范》分类的控制活动，将内部控制重大缺陷进行分类。其中，不属于任何具体控制活动的重大缺陷（包括公司整体受到证监会立案调查、人员培训不足）归为公司层面的内控环境。具体体现为：重大缺陷主要集中在会计系统控制、授权审批控制和财产保护控制，而内控常见的控制活动如预算控制、不相容职责控制等则未出现重大缺陷。这体现了审计师主要是对财务报告相关内部控制发表意见。

    （三）对重大缺陷特点的进一步分析

首先，对于审计师来说，重大缺陷集中在财务报告领域且控制类型多为会计系统控制，这体现了内控审计主要是对财务报告内部控制进行审计，因此审计师会对财务报告领域和会计系统控制进行重点关注。其次，对于上市公司来说，为了消除自身的重大缺陷，必须从这些否定意见的内控审计报告中吸取教训，围绕财务报告的编制全过程梳理流程，同时加强对信用销售、重大投资、关联交易、资产管理相关流程的内控梳理和完善。最后，上市公司在梳理内控流程的过程中，应特别注意对会计系统控制和授权审批控制加强管控，包括梳理并完善重要账户从交易的发生到入账的全部会计系统控制，梳理上市公司各个业务流程当中的授权权限体系，特别是涉及董事会和股东大会决策的重大事项的权限体系。   

此外，根据内控规范的要求，内部控制缺陷从成因可分为设计缺陷和运行缺陷。笔者根据重大缺陷的描述，发现运行缺陷约为19个，占总数的60%以上。这在一定程度上印证了一个常见的观察结论，即“大多数企业并不缺少制度，问题在于制度未能得到切实有效的执行”。而针对运行缺陷较多的情况，上市公司应当通过内部审计等手段加大自我监督的力度，并对日常监督检查发现的问题加大整改和问责力度。   

三、重大缺陷描述的规范性

    根据内控规范的要求，重大缺陷的描述应当包括重大缺陷的性质以及重大缺陷的影响两项内容。而从开展有效信息披露的角度来看，审计师可分别细化对重大缺陷性质和重大缺陷影响的描述。

    为了完整体现重大缺陷的性质，应当在描述重大缺陷时，指出重大缺陷发生的环节，说明审计发现的重大缺陷的具体表现形式及证据，并深入说明该缺陷发生的具体过程或内在原因，而不能仅停留在重大缺陷的表面现象。

    为了准确说明重大缺陷的影响，应当区分财务报告缺陷和非财务报告缺陷。对于财务报告缺陷，应当说明该缺陷的潜在错报影响了哪些认定，影响的金额和可能性如何；对于非财务报告缺陷，应当说明该缺陷可能导致的风险损失金额及风险发生的可能性。

    通过对上市公司重大缺陷描述规范性情况的分析，笔者认为，重大缺陷描述的规范性总体较差，体现为：一是大多数重大缺陷描述都未能体现重大缺陷的影响程度。二是部分重大缺陷描述未能披露审计发现的缺陷相关事实和证据。三是个别报告甚至未揭示重大缺陷发生的具体业务环节。因此，审计师在开展内控审计时应进一步提升业务水平，提高内控审计报告的质量。

  四、内控审计发现的重大缺陷与上市公司内控自我评价对比与分析

    笔者通过比较审计师认定的重大缺陷和上市公司开展内控自评认定的重大缺陷，发现多数公司内控自评报告中的重大缺陷与审计师认定的重大缺陷保持了高度一致，但也有部分上市公司在其内控自评报告中对相同缺陷提出了不同的认定结论。

    以泰达股份为例，2013年对于“违规担保”这个双方共同确认的事实，审计师和上市公司对其影响进行了分析，给出了不同的认定结论（审计师认为是重大缺陷，上市公司则认为是一般缺陷。具体见表2。

    从泰达股份的情况来看，上市公司与审计师对于内部控制缺陷的判断以及采用的缺陷认定标准均存在不同的理解。从动机上看，上市公司会从维护自身声誉的角度，尽可能地规避重大缺陷的认定结论，而审计师则会从执业谨慎性的角度做出重大缺陷的认定结论。而从认定过程来看，双方对于缺陷的性质并没有争议，争议集中在缺陷的影响方面。

    仅从此例分析，对于上市公司来说，并不能仅以“未造成经济损失”为理由，就将重大缺陷认定为一般缺陷。根据内控规范，缺陷的严重程度并不仅指实际损失，也要考虑潜在的损失，并从影响程度和可能性两个方面进行综合考虑。而对于审计师来说，在重大缺陷的影响方面应明确说明缺陷的影响程度，以便报告的阅读者能够充分获得信息。

    五、思考与启示

    本文仅选择了否定意见的内控审计报告作为样本进行分析，不能完全代表所有上市公司的情况，也不能代表上市公司非财务报告内部控制的情况，但从提升和完善内控审计工作的角度，对于上市公司、会计师事务所和监管部门有以下几点启示：

    对于上市公司来说，应结合被出具否定意见的内控审计报告，做好重要领域的流程梳理和制度执行工作，并在完善各项控制活动的基础上，重点做好会计系统控制和授权审批控制工作，进一步提升风险防范能力和管理水平。

    在审计实务中，个别审计师在承担内控审计工作时，一定程度上存在以下情形：上市公司前期已经涉嫌违法违规被立案调查，或者已经发生重大风险损失并且相关事件已经公开曝光，在此情况下，审计师为规避自身审计风险，从结论出发出具了内部控制重大缺陷的认定结论。而在具体实施内控审计过程中，内控测试实施不到位，审计工作底稿不扎实，反而不能支持重大缺陷的表述和披露，存在违反独立性、客观性的嫌疑。因此，对于会计师事务所来说，应进一步提高内控审计的工作质量。

    对于监管部门来说，应抓住内控非标准审计意见比例上升的趋势，进一步推动内控规范发挥效力，针对重大缺陷的识别和认定出具细化的标准和指南。同时，开展对会计师事务所内控审计的底稿检查，进一步促进和督促会计师事务所提升内控审计的工作水平，促进上市公司改进和完善内部控制。