存在实质性漏洞的内部控制报告示例

张玉   编译

出现控制缺陷（control deficiencies）可能改变管理层关于内部控制有效性的报告。对控制缺陷的描述是：

在控制的设计或执行无法让管理层或员工在正常工作中履行其指派的职能，未能及时防范或发现错报时，就存在某个控制缺陷。

当管理层的评估揭示出截至年末存在控制缺陷时，这些控制缺陷的严重性必须予以评价。

一、实质性漏洞和重要大缺陷

（一）内部控制缺陷的性质

内部控制的缺陷可以由以下两种方式中的一种引起：

1、设计缺陷。当出现下列某种情形时存在设计缺陷：

不存在实现控制目标所需要的某一控制；

存在某一控制政策或程序，但它未按确保能实现控制目标的方式设计，即使该程序按照设计的要求执行。

2、执行缺陷。当某个适当设计的控制出现下列情况时存在执行缺陷：

未按照设计的要求执作；

执行该程序的人不具备有效执行该项控制所需的授权或资格。

内部控制的缺陷反过来影响本单位以下方面的能力：

●  记录；

●  处理；

●  汇总；

●  报告。

而在财务报表中，记录、处理、汇总和报告的数据应和管理层的认定是相一致的。

正如以下示例所指明的那样，内部控制缺陷的范围从无关紧要的到实质性缺点。请注意：在这个连续的统一体中排列着三个层级的缺陷。如果某一缺陷不是无关紧要的，那么，至少它是重要的。

二、确定实质性漏洞的定义

SEC的报告规则要求单位管理层披露内部控制中的实质性缺点。评估内部控制有效性的约定业务应当以某种可以发现实质性误报的方式进行规划和实施。因此，对有关词语进行工作上的界定至关重要。美国上市公司会计监管委员会（PCAOB）的审计准则提供了以下定义：

* 在控制的设计或执行无法使管理层或员工正常实施他们分派的职能，不能及时防范或发现误报时，就存在控制缺陷control deficiency)。

* 重要缺陷(significant deficiency) 是一种控制缺陷，或是控制缺陷的组合，这些缺陷对公司根据一般公认会计原则发起、授权、记录、处理或对外报告可靠财务数据的能力产生不利影响，以致在公司的年度或期中财务报表中发生误报得可能性很可能更多表现为无法防范或发现超过无关紧要的误报。

* 实质性漏洞（material weakness）是一个重要的缺陷，或重要缺陷的组合，以致公司的年度或期中财务报表中很可能出现无法防范或发现实质性误报的可能性。

三、对内部控制缺陷的严重性进行判断

确定某一控制缺陷严重性的步骤如下：

（一）确定该控制缺陷是否被审计标准定义为“重要的缺陷”或实质性漏洞的“强有力指标”。如果是，则要按审计准则的说法对控制缺陷进行分类；

（二）对于所有的其他控制缺陷：

●    评价由该控制缺陷产生的潜在财务报表的可能性和重要性；

●    识别补偿性控制；

●    考虑未被考虑为实质性漏洞的各种控制缺陷的总体效果。 

图：内部控制缺陷的严重性程度

资料来源：《如何遵循SOX404 条款——评估内部控制的效果》

（美）迈克尔·拉莫斯著 李海风主译，张玉审校

中国时代经济出版社 2007年8月