内部控制案例分析论文

下面小编整理了一些《内部控制案例分析论文(精选3篇)》，希望对大家有所帮助。【案例介绍】根据《领导干部经济责任审计实施办法》和《领导干部经济责任审计评价实施细则》，审计组对A单位主要领导经济责任审计，主要对被审计对象履行经济责任情况及财务收支、内部控制、后勤管理等相关经济活动进行审查，并从经济决策、经济管理、法规制度落实、事业建设成效、廉洁自律方面对其履行职责情况做出客观公正的审计评价。

第一篇：内部控制案例分析论文

企业内部控制评价体系案例分析及其启示

一、W市A公司内部控制评价体系的案例分析

W市A公司是一所中外合作经营企业。该公司的直接母公司是A(中国)投资有限公司，最终母公司是A能源有限公司。该公司主要从事能源、环保及相关领域的技术商务咨询和服务等。

(一)公司内部控制评价体系的构建为了实现对内部控制本身及其执行状况的动态优化和实时监督，A能源有限公司于2004年根据《内部控制——整体框架》(Internal Control-Integrated Frame-

work，简称“COSO报告”)和《萨班斯——奥克斯利法案》(Sarbanes-

Oxley Act，简称“SOA”)第404条款的要求开始着手建设本公司及其各子公司的内部控制，由其审计委员会编写了《内部控制手册》及一系列公司指导性文件，通过局域网向各子公司传达，要求各子公司按照最终母公司的要求按期完成自身内部控制的设计和执行。实际上，A能源有限公司已经设计出了一套全面且具有普遍性的内部控制体系，各子公司只需要根据这个内部控制体系来对照出自身适用的控制活动进行自我评价，然后各子公司的直接母公司会定期派出内部控制经理(隶属于直接母公司的财务部)到直接下属的子公司进行第二次评价，内部控制经理会根据两次评价的结果写出评价报告，提交给子公司管理层，供子公司修正。此外，A能源有限公司还开发设计了一个供各子公司向母公司反映其内部控制自我评价情况的局域网系统(以下简称为“自我评价网络”)，直接母公司和最终母公司都可以通过这个系统来监督子公司内部控制自我评价的情况及进度。

(1)内部控制体系的构建。A能源有限公司将内部控制活动划分为十二个环节(根据经营环境及其它因素的变化，还可以适时增加或减少某些适用或不适用的环节)：总体控制环境、收入、与业务相关联的采购类支出、人事类支出、固定资产类支出、存货、生产制造、资金、财务报告、信息系统和信息技术、税务和法律事务，针对每一个环节作了风险评估，针对评估出的风险制定出对应的控制目标，然后再根据控制目标制定出详细具体的控制活动，控制活动下又划分出关键(Key)控制活动和一般控制活动。A能源有限公司的内部控制设计过程如图1所示：

由于控制活动多达两百多项，A能源有限公司下属的各子公司的经营规模、管理复杂程度又不尽相同，因此A能源有限公司按一定标准将各子公司分为A、B、C三类，A类子公司必须对所有的控制活动进行自我评价，B类子公司至少要对关键控制活动进行自我评价(至于还需针对哪些一般控制活动，则看相关的具体要求)，C类子公司则只需对关键控制活动进行自我评价。W市A公司属于C类子公司。A能源有限公司的内部控制体系(由于控制活动数量较多，笔者只选取了小部分进行列示)如表1所示：

(2)内部控制评价体系的构建。主要包括：

一是评价主体。在各子公司，总经理和财务总监对内部控制评价工作负责，每一项控制活动都应有相应的负责人，而负责人由公司管理层开会协商决定，并非由一个或两个人决定。如果由于受到自身经营规模和业务繁简程度的限制，公司管理层经过开会协商仍无法确定某项控制活动的负责人，可以向直接母公司的内部控制经理求助，以确保控制活动的负责人都是能够胜任的。公司负责内部控制的工作人员都必须熟读《内部控制手册》，以了解内部控制的概念和重要性、如何设计、执行及自我评价内部控制，以及如何将内部控制的精神传达到每个公司员工。由于内部控制自身的局限性，在评价过程中只要发现《内部控制手册》中有未提及或不适用的内容都可以向最终母公司的内部控制负责人反映，甚至与之讨论。

二是评价方法。相应负责人首先进行第一次自我评价，将评价情况及时反映到自我评价网络中，然后各子公司的直接母公司会按照最终母公司的时间部署定期派出内部控制经理(隶属于直接母公司的财务部)到直接下属的子公司进行第二次评价，内部控制经理会根据两次评价的结果写出评价报告，提交给子公司管理层，供子公司修正，以进行第二次、第三次自我评价。无论是相应负责人的自我评价，还是直接母公司内部控制经理的评价，他们都会根据一个统一的评价标准来确定其评价等级。评价等级分为五个等级，分别用1、2、3、4、5表示，从1到5，从低到高。A能源有限公司的内部控制评价等级说明见表2。需要说明的是，该评价等级仅针对适用于本公司的控制活动，不适用于本公司的控制活动则单独列为“不适用”。

表2中所提到的“支持文件”是指能够证明控制活动存在并且有效的文件，文件形式可以多样化，可以是纸质文件(如合同)、电子版文件(如通知全体员工的电子邮件)或者其它形式的文件，只要是能够证明控制活动存在并且有效的可见资料都可以作为支持文件。

(二)公司内部控制评价体系的实施 相应负责人在对某项控制活动进行自我评价时，首先应判断此项控制活动是否适用于本公司，如果不适用则先列为“不适用”;如果适用则再判断是否存在此项控制活动，若不存在则直接评定为1，同时应拟定详细的行动计划以改进现状的不足;若存在则继续下一步判断是否有足够的支持文件，如果没有支持文件或支持文件不足以支持，则评定为2，同时也应拟定具体的行动计划以使此项控制活动能及时有文件作为支持。如公司在“现金保管”上有严格的控制，但是没有形成正式的规章制度，那么就是没有足够的支持文件，这时相应负责人应及时敦促有关人员起草相关的规章制度，再送交具有相关修改、批准权限的管理人员进行修改、批准，最后向相关部门(或人员)公布;如果有足够的支持文件，则评定为3。3也是目前A能源有限公司要求各子公司无论A、B、C类，都必须达到的等级。至于4和5，由于A能源有限公司目前在这两个评价等级上的建设还不尽成熟，因此未做要求，加上W市A公司目前自身经营规模和业务繁杂程度的限制，现在如果要达到4甚至5在经济上也是不适用的。

子公司直属母公司的内部控制经理定期来对相应负责人的自我评价进行再评价时，首先会依次询问每位相应负责人负责的控制活动的情况，主要是通过询问、观察、查看相关支持文件和讨论来判断相应负责人所作的自我评价是否真实，如果觉得不甚真实则会做出自己的再评价并提出改进建议，最后会向子公司内部控制工作的最终负责人(总经理和财务总监)提交评价报告，上面会列出子公司相应负责人原先的自我评价、内部控制经理本人的再评价及改进建议等。相应负责人只需查看评价报告中自己负责的控制活动，一方面按照评价报告及时更新自我评价网络，一方面更新自己负责的控制工作。比如，自我评价时列为“不适用”或者评为3的控制活动，经过内部控制经理的考证判断被评定为1或2，那么相应负责人就必须尽快拟订详细的行动计划来改进此项控制活动。

综上所述，A能源有限公司建设的内部控制评价体系就是对CSA的运用。但是这种运用并没有局限于某一时点或某几个时点，而是从时点有效性和时期有效性入手，坚持定期自我评价，从而保持自我评价的一贯性。实际上，通过这种自我评价，W市A公司从一年前一开始进行自我评价时的几乎90%的控制活动(不包括“不适用”的控制活动)的评价等级都在3以下，到现在的几乎99%的控制活动(不包括“不适用”的控制活动)的评价等级都达到了3;从开始不甚规范的文件管理链到一系列正式文件及较为规范的文件管理链的出台;从开始只能通过电子邮件向公司员工传达内部控制思想和共享文件到现在可以通过公司自己开发的网上公共文件图书馆供公司各部门自由共享非保密文件，公司员工的内部控制意识得到了提高，公司的控制环境得到了有效地改善，W市A公司的内部控制评价取得了预期的效果。

二、案例对构建我国企业内部控制评价体系的启示

上述案例是立足于全面提升企业内部控制和管理水平，以风险为导向但又突破了传统审计范畴的内部控制评价实践的有益尝试。从完整性来看，其控制目标直接着眼于企业经营管理的需要，以风险为导向，这从源头上超越了传统的内部会计控制，保证了内部控制评价的完整性;从合理性来看，如案例所述，最终母公司根据经营规模和业务繁杂程度将各子公司分为A、B、C三类，每一类子公司所需进行的内部控制评价的内容都是与其经营规模和业务繁杂程度相一致的。此外，各子公司还有充分的自主判断权，由于W市A公司的经营规模较小、业务繁杂程度较低，因此适用于它的控制活动实际上只有六十多项。这样也保证了内部控制评价的合理性;从有效性来看，基于控制环节分析和风险评估过程设计的控制活动奠定了详细指导、评价和改进的基础，而其中的关键控制活动则保证了评价能够重点突出、抓住要害。

(一)全员参与内部控制评价 全员参与是近些年各类管理实践都普遍强调的要点之一，它对于增强员工主动性、塑造优秀的企业文化、提高经营管理效益等都有着积极的意义。在评价内部控制时强调全员参与同样具有丰富的内涵。作为评价对象的内部控制体系包含多重风险评估和控制目标，涉及企业多个层面和各项业务，仅仅依靠个别部门实施评价工作显然是不可能的。通过员工的广泛参与，一方面可以对企业和业务层面的各类风险进行更透彻的分析和评价，并进一步对控制活动的完善实施有效评价;另一方面可以增强员工的风险管理和内部控制意识，此种意识在原先仅处于被控制地位时是很难自觉形成的。在案例中，确保公司所有员工了解内部控制的重要性也作为一项控制活动;相应负责人在评价过程中只要发现《内部控制手册》中有未提及或不适用的内容都可以向最终母公司的内部控制负责人反映;W市A公司管理层通过开发的网上公共文件图书馆供公司员工交流，都充分反映了“全员参与”的思想，该公司员工对内部控制的认识和积极性确实也得到了显著的提高。

(二)以风险为导向企业内部控制评价体系是一个复杂的系统，涉及到生产经营的方方面面，以什么为导向对于这一系统非常关键。超越审计范畴的内部控制评价必然强调对管理控制功能的全面评价，以保证经营效率和效益的目标既涉及各类生产流程和管理流程对人、财、物等资源的有效利用，又涉及物资、资金和信息的匹配与协调，使管理者既能谨慎地承接风险，又能将风险维持在一个合理的水平之内，其复杂性远远超过了仅针对内部会计控制的评价体系。有学者提出，“有目标才有风险，没有目标也就无所谓有风险。因此，目标的设定是风险评估的先决条件。管理阶层必须先制定目标，然后才能够辨识达不成该目标的风险，并采取必要的管理风险的行动”。上述案例则提供了与这个观点相反的观点：评估控制环节中的各种风险，再根据风险制定出控制目标，进行内部控制评价的最终目的就是看是否将风险维持在了一个合理的水平之内，以保证企业的可持续发展。实际上这个最终目的也是其进行内部控制评价的最终控制目标。

(三)强化对行为的规范与引导合理的组织行为是组织目标实现的基础，内部控制本身提供了对组织行为的规范和引导，但其对组织行为的引导作用存在以下局限性：内部控制体系内容复杂、边界相对模糊，使得一个完善制度的制定较其它制度困难得多，而企业内外环境的变化又会不断提出新的要求;企业在发展过程中会形成各种类型的规章制度，其中必然包含相关的控制制度，出于制定成本和操作便利的考虑，或许并不需要独立的内部控制制度，这样就会使组织行为失去明确的指导;从纸张上的规定到公司员工的有效行动无法实现自动转换而需要通过机制设定来加以保证时，内部控制评价就成为应对该局限的有限途径，通过对组织行为设定具体的标准、选择适当的评价方法并严格执行可以实现对行为的有效规范和引导。在案例中，W市A公司从开始不甚规范的文件管理链到一系列正式文件及较为规范的文件管理链的出台，通过内部控制自我评价直接为组织行为的改进提供了指导。

(四)重视对管理信息系统安全性的保护随着互联网和电子商务的兴起，对信息系统内部控制的评价已经超出了以为财务报表审计为主的外部审计提供服务的范围，与信息安全相关的防火墙检测、安全诊断、信息技术认证以及会计电算化账务系统的控制要求不断涌现。机房的隔离保护、软件的版权问题、核心数据的丢失被窃都可能会给企业带来巨大的负面冲击，内部控制自我评价对管理信息系统的重视能为企业提供多重保障。上述案例提供了对“灾难恢复计划管理”这一控制活动的评价，所谓的“灾难”指的是像洪水或9·11事件那样破坏性极大的天灾人祸，虽然这类事件发生的频率很小，但如果平常就能通过内部控制自我评价做到防患于未然，对企业乃至国家来说都有极大的好处。

参考文献：

[1]〔美〕史蒂文·J·鲁特：《超越COSO——强化公司治理的内部控制》，中信出版社2004年版。

[2]戴彦：《企业内部控制评价体系的构建——基于A省电网公司的案例研究》，《会计研究》2006年第1期。

[3]李凤鸣：《内部控制学》，北京大学出版社2002年版。

(编辑 杜 昌)

作者：潘乐

第二篇：货币资金风险内部控制案例分析

【案例介绍】根据《领导干部经济责任审计实施办法》和《领导干部经济责任审计评价实施细则》，审计组对A单位主要领导经济责任审计，主要对被审计对象履行经济责任情况及财务收支、内部控制、后勤管理等相关经济活动进行审查，并从经济决策、经济管理、法规制度落实、事业建设成效、廉洁自律方面对其履行职责情况做出客观公正的审计评价。审计人员在对货币资金监盘时发现：该单位内部控制监督机制失灵，出纳人员利用单位资金、账户管理方面制度不健全和内控制度不落实，利用收款不入账、支票提现以少报多、伪造财务主管法人章和盗取支付密令密钥转移资金，伪造、变造银行对账单挪用公款3 000余万元用于赌博、炒股等，这是一起典型的财务舞弊违法违纪案件。

从近年来部队各级发生的违法违纪案件来看，绝大多数案件与经济问题有关，很多人出问题就是从违反财经规章制度开始的，财务人员造假、贪污、挪用公款等违法违纪行为大都与货币资金有密切联系。主要表现在：有的单位党委理财责任不落实，单位和后勤部门领导对资金安全重视不够，对所属单位资金安全形势认识不清、情况不明;有的后勤部门负责人和财务负责人没有按规定定期检查资金安全;有的会计、出纳没有每月逐笔核对银行对账单或者没有核实银行对账单真伪;有的财务专用章、名章、资金支付电子令牌没有按照要求分管;有的出纳日记账没有做到日清月结;有的大额现金提取没有落实双人专车制度和银行回访制度等。随着各项财政财务改革不断深入，对财经信息化水平、专业需求度、工作精细度要求更高，业务量呈几何倍增长，造成财经人员经验不足和水平难以适应，监督制约容易失效。

一、货币资金管理存在的主要风险点

(一)财务内控制度落实情况

有无会计、出纳由一人兼任情况;有无支票和预留印鉴(财务专用章和名章)由一人兼管情况：如财务人员可私下签发转账、现金支票，用于提现或购买物品，不留银行票据存根，不记账，将所提现金或所购物品或据为己有;有无电子银行操作令牌与授权令牌由一人兼管情况;有无票据发放与使用一人兼管情况。业务纠治处理：实地检查，有以上行为的，立即落实分管制度。

(二)资金管理制度落实情况

1.银行账户开立情况。有无未按照规定报批私自开立银行账户情况;有无在规定账户以外开立基本账户情况;有无未经上级批准在中国工商银行、中国农业银行、中国建设银行、中国银行以外开设银行账户情况：如财务人员利用商业银行间相互拉储户的机会，私自将收入款项存入新设账户，待期末转入单位账户，期间的账户利息据为己有。业务纠治处理：对本单位银行账户逐一进行核查，有以上行为的，直接开具撤户核准通知书撤销违规银行账户。

2.银行账户管理情况。有无出租、出借银行账户情况;有无在个人名义存储单位资金情况。业务纠治处理：对本单位银行账户逐一进行核查，有以上行为的，逐级上缴违规所得，并直接开具撤户核准通知书撤销违规银行账户。

3.定期存储管理情况。有无在开户银行以外办理定期存储情况;有无定期存款期限超过一年的情况;有无单人办理、委托他人办理或由银行人员上门办理定期存款的情况。业务纠治处理：对定期存单逐笔核查，违规办理定期存储的，存款到期后一律收回，不得续存;有单人办理、委托他人办理或由银行人员上门办理定期存款情况的，向单位首长书面说明原因，杜绝再犯。

4.库存现金管理情况。有无用“白条”或实物顶替库存现金情况;有无库存现金超限额情况;有无未按规定权限经批准提取现金情况;一次提取现金2万元以上是否落实双人专车制度和银行回访制度情况。业务纠治处理：会计、出纳盘存本单位库存现金，对用“白条”或实物顶替库存现金的，立即退还“白条”和实物，补齐库存现金;对库存现金超限额的，将超额部分存入银行;对提取现金业务逐笔进行核查，有未按规定权限经批准提取现金情况和一次提取现金2万元以上未落实双人专车制度的，向单位首长书面说明原因，杜绝再犯;未与开户银行签订《大额现金提取银行回访确认协议》或大额现金界定高于2万元的，立即与开户银行重新签订回访确认协议。

5.票据管理使用情况。有无到期票据未及时注销或使用过期票据情况;有无开出票据收不入账或记账联与存根联金额不一致，形成账外账、“小金库”情况。业务纠治处理：全面核查本单位2013年以来申领的所有票据。有到期票据未及时注销的，及时报请批准后注销销毁;有使用过期票据的，向单位首长书面说明原因，杜绝再犯;逐张核对开出票据，有收不入账或记账联与存根联金额不一致形成账外账、“小金库”的，一律没收违规资金上缴上级。

6.公务卡强制结算目录落实情况。列入公务卡强制结算目录的公务支出，有无未使用公务卡或银行转账方式结算的情况。业务纠治处理：对照公务卡强制结算目录，逐笔核查2015年6月以来现金支出，未严格落实公务卡强制结算目录的，立即在本单位再次动员部署，强制推行。

(三)银行账户运行监管情况

会计是否与银行核实银行对账单真伪，每月逐笔核对银行对账单、编制银行存款余额调节表：如财务人员伪造银行对账单上的发生额和盖印公章，使其与银行存款日记账上的余额相符，以掩盖银行存款减少的事实。业务纠治处理：会计或财务负责人要与银行确认银行对账单真伪，逐笔核对银行对账单、编制银行存款余额调节表，发现问题线索的，逐月向前延伸检查。

二、货币资金管理审计风险的防范方法

(一)检查不相容岗位制度落实与否。如果会计职务与出纳职务不分离，银行存款的固有风险就大。一是检查银行存款支出的授权、支付、稽核是否相互分离。二是检查单位法人私章、财务负责人私章、单位财务专用章是否分工管理。三是检查支票出具、保管职务与印章保管职务是否分离。检查这些内部控制管理，是为了更好地确定实质性测试的关键点和程序。

(二)审核被审计单位开设银行账户的情况。审计人员要查清各个账户的用途、收支底细，清理“呆死”账户。一是一个独立核算的单位原则上只能开立一个基本存款账户。如果存在多个账户，要检查相应的审批文件、印章、印鉴和管理审批人员是否健全，是否存在随意多头开户等问题，对有明确规定的专项资金是否实行专户管理、专款专用，其背后是否隐藏商业银行给与揽存回扣等问题。二是检查是否存在将单位资金公款私存等行为，注意发现有无重大投资损失、个人贪污、利息不入账等问题。三是对已销户的开户行，应查明其账户用途、性质、销户的原因，是否有未入账的款项。四是银行账户权限是否受到限制，如抵押、质押、冻结、担保等事项。

(三)核对银行对账单流水。首先，鉴别银行对账单的真伪。要对各商业银行的对账单格式有所了解，将有疑点的对账单到银行进行鉴定或要求银行重新提供对账单。如在某单位财务收支审计中，发现出纳提供的银行对账单上印章过于模糊，纸质过于薄软，审计组带着疑点到银行现场打印对账单，揭露了出纳伪造银行业务公章，自己制作对账单挪用公款的犯罪事实。其次，核对银行对账单资金流水和银行存款日记账。为控制资金挪用等风险，需要查看银行存款日记账是否逐笔序时登记;核对银行资金流水，寻找没有入账的资金收付。一是如果银行对账单记载了增加或者减少相同的金额，或者若干笔支出累积等于某一增加的银行存款，且日记账中并未记账，可能是将银行存款收入，通过其他应付款转出，一进一出余额还是相符的。原因可能是被审计单位出借银行账户、收入不入账等。二是多见于资金存量和流量比较大的单位，银行对账单上先出现一笔资金支付，然后分一次或多次转回，日记账中不记账，原因可能是被审计单位挪用资金、转移资金进行投资等。

(四)抽查银行存款的收款方往来账户。应选择一些金额大、时间长、频率高的收款往来账户，进行重点审查，分析银行存款未达账项是否属于正常现象。一是通过付款转账结算，注意结算凭证上填写的收付款单位名称、开户银行、银行账号，以便发现疑点去开户行核查。二是注意转账支票存根上的收款方与实际到账人是否一致。转账支票存根是附在记账凭证后面最小的原始凭证，收款方名称一般是手写的，隐藏一定的风险。为避免审计风险，审计人员不能机械地、常规地核对银行存款期末余额，还要详查银行收付款凭据、获取银行对账单，取得证明业务真实性的相关依据，做好“审核”“核对”“对账”等细节，控制相关审计风险，提高货币资金审计的质量。

三、审计启示

货币资金管理虽不复杂，却是高风险环节。这个案例是内部控制监督机制缺失的典型。账账、账实核对是防范和发现货币资金舞弊的重要控制手段，单位应由负责银行存款收支和记录以外的人员进行定期或不定期的检查、核对。对现金、定期存单、有价证券等有形的资产，应通过定期或不定期盘点流程来核实银行存款的存在性和完整性;对银行存款、应收账款等不具实物形态的资产和负债应定期通过实地对账、函证、询问等方式来查实验证。如该单位做到这一点，即使出纳贪污挪用公款，审计或监察人员也能通过实地对账、函证和询问等方式及早发现问题。

(作者单位：上海消防总队政治部审计处)

作者：钱洪羽

第三篇：内部控制缺陷识别标准：理论框架和案例分析

【摘 要】 内部控制缺陷识别标准是判断特定事项是否属于内部控制缺陷的依据，包括内部控制偏差识别标准、内部控制缺陷与内部控制局限性划分标准、风险承受度标准。内部控制偏差识别标准包括内部控制设计偏差识别标准和执行偏差识别标准。前者有四种情形：相关法律法规或强制性规范——强制标准；行业内部控制规范——相对标准；通用内部控制规范——参考标准；控制与风险的匹配性——绝对标准。内部控制缺陷与内部控制局限性划分标准主要基于成本效益原则。风险承受度标准需要按控制主体和各个控制目标联合考虑，形成一个体系。

【关键词】 内部控制缺陷； 识别标准； 内部控制偏差； 内部控制瑕疵； 内部控制局限性

一、引言

内部控制鉴证主要是寻找缺陷并对缺陷进行等级划分，前者称为缺陷识别，后者称为缺陷认定。无论是缺陷识别还是缺陷认定，都需要标准，并需要用不同的标准，本文关注前者。缺陷识别标准是判断特定事项是否有缺陷的标准，同样的事项，选择不同的评价标准会得出不同的评价结论，所以，适宜的缺陷识别标准是内部控制鉴证的要素之一。没有适宜的评价标准，就没有实质意义上的内部控制鉴证，有时甚至比没有内部控制鉴证更糟糕[ 1 ]。

关于内部控制缺陷识别标准有一些研究，但总体上还不够深入，不过有一点共识，认为内部控制缺陷识别标准具有多样性，并不存在放之四海而皆准的识别标准。然而，如何在多样的标准中选择适用的识别标准并未得到研究。

本文从过程视角来认识内部控制缺陷识别标准，以内部控制缺陷识别标准多样性为前提，研究内部控制缺陷识别标准之选择。随后的内容安排如下：首先是一个简要的文献综述，梳理内部控制缺陷识别标准相关文献；在此基础上提出一个关于内部控制缺陷识别标准选择的理论框架；然后用这个理论框架来分析经典例证，以一定程度上验证本文提出的理论框架；最后是结论和启示。

二、文献综述

根据本文的主题，相关文献包括两部分，一是管理审计标准相关研究，二是内部控制鉴证标准相关研究①。

管理审计标准的研究主要涉及管理审计标准的重要性及如何确定管理审计标准。关于管理审计标准的重要性，Santocki[ 2 ]分别于1974年和1982年对管理审计做了两次调查，结果显示在制约管理审计发展的八个因素中，缺乏审计标准是第一位因素。Vinten[ 3 ]曾专门对英美两国的管理审计做了比较研究，他的结论为“英国的管理审计落后于美国管理审计的主要原因是英国的管理审计不像美国那样采用正式且固定的程序，从而不像美国那样更多地强调标准控制”。王光远[ 1 ]指出“审计准则和评价标准是管理审计走向科学与规范的标志，没有合理的评价标准就等于没有实质意义的管理审计，有时甚至比没有管理审计还要糟糕；审计准则和评价标准是建设管理审计科学的关键”。

关于如何确定管理审计标准，Emmanuel和Otlty[ 4 ]指出“实践中没有一种不变的、普遍适用的管理原则可供所有组织的管理者遵循，各个组织必须因地制宜，及时有效地对环境做出反映。只有这样，才能实现有效管理”。根据这种思路，评价标准必须能反映出组织在管理过程中因地制宜的能力和效果。Reenbaum[ 5 ]指出管理过程评价标准由以下方面组成：“得到认可的管理惯例，由职业组织所颁发的法规和准则，遵守法律的情况，同行业公司间的比较。”郑石桥[ 6-7 ]提出管理过程评价模式分为定性评价模式和定量评价模式。定性评价模式主要有质量认证模式、内部控制模式、企业升级模式和标准化模式，定量评价模式主要有工作流技术模式、平衡计分卡模式。

关于内部控制鉴证标准相关研究，一些文献主张从内部控制结果来建立内部控制评价标准，不同的文献提出了不同的评价指标体系[ 8-9 ]。另外一些文献主张采用《COSO内部控制整体框架》《企业风险管理框架》《企业内部控制规范》等权威规范作为内部控制标准[ 10-11 ]。还有一些文献认为“由于各经济组织的具体情况不同，内部控制的管理模式及控制系统也不尽一致。因此，如果用一把尺子和審计标准来评价一个单位、一个行业的内部控制是否健全和有效，是比较困难的”[ 12 ]。

上述文献显示，管理审计标准和内部控制鉴证标准的研究还未深入，但有一点共识，就是管理审计和内部控制鉴证标准具有多样性，并不存在放之四海而皆准的审计标准。既然如此，如何选择审计标准就成为非常重要的问题。而恰恰这个问题缺乏相关研究。另外，从内部控制结果来评价内部控制的一个重要问题是潜在的内部控制缺陷可能还没有形成负面结果，如果只是从结果来评价内部控制，事实上是不考虑内部控制潜在缺陷的。基于此，本文主张从过程视角来建立瑕疵行为审计标准，以瑕疵行为审计标准多样性为前提，研究审计标准之选择。

三、内部控制缺陷识别标准体系及其选择：理论框架

（一）内部控制缺陷识别的鉴证标准和鉴证准则体系

内部控制缺陷识别标准是判断特定事项是否是缺陷的标准，而缺陷判断是一个过程，在这个过程中，每个步骤都需要做出判断。审计师在做出相应的判断时，需要信赖一定的标准，同时，其本身的判断行为也需要有一定的规范，所以，整个过程中需要建立两种规范。一是审计师做出判断的依据，这就是审计标准，在内部控制鉴证中也就是鉴证标准；二是审计师行为规范，也就是审计程序和方法的规范，也称为审计准则，在内部控制鉴证中也就是鉴证准则。所以，对于内部控制缺陷识别来说，鉴证标准和鉴证准则是一个体系，在主要的判断阶段都有相应的标准。一般来说，内部控制缺陷识别的逻辑过程大致如图1所示。

首先是识别内部控制偏差，特定事项是否属于内部控制偏差，如果是，属于何种偏差，这需要判断标准，而如何判断，需要有行为规范，前者是鉴证标准，后者是鉴证准则；其次，对于系统性的内部控制偏差，需要再判断，区分为内部控制缺陷和内部控制局限性，这需要鉴证标准，也需要鉴证准则；再次，对于确认的内部控制缺陷，需要评估其风险暴露，这需要风险暴露的评估准则；最后，需要将评估的风险暴露结果与风险承受度相比较，这需要风险承受度标准，也需要规范审计师对比行为的鉴证准则。

总体来说，内部控制缺陷识别过程中，既有鉴证标准，也有鉴证准则，这些标准作为一个体系，贯穿于内部控制缺陷识别的各主要阶段，其基本情况如表1所示。根据本文的主题，下面主要讨论相应的鉴证标准，不涉及鉴证准则。

（二）内部控制偏差识别标准及其选择

内部控制偏差是对内部控制应然状况的偏差，既然如此，内部控制的应然状态就是内部控制偏差的识别标准，凡是与应然状态不一致的，就是偏差。那么，内部控制的应然状态应该是什么样呢？这需要区分两种偏差，一是内部控制设计偏差，二是内部控制执行偏差。相应地，也有不同的识别标准。

1.内部控制设计偏差识别标准

就内部控制设计偏差来说，其偏差识别标准是指设计的内部控制应该达到的应然状态。一般来说，内部控制的应然状态之标准具有四种情形：

第一，相关的法律法规或强制性规范——强制性标准。一些法律法规或强制性规范对内部控制的某些方面作出了明文规定，对于这些明文规定的偏差就是违规违法，所以，内部控制设计凡是违背了相关的法律法规或强制性规范，则肯定要判断为内部控制偏差，并在后续的判断中确定为内部控制缺陷。例如，《中华人民共和国公司法》《中华人民共和国会计法》对相关内部控制的规定属于法律性规定，《上海证券交易所上市公司内部控制指引》《深圳证券交易所中小板上市公司规范运作指引》都属于强制性规范，对于这些权威规范的违背，可以直接判断为内部控制偏差。

第二，行业内部控制规范——相对标准。一些行业组织制定了适用于本行业的内部控制规范，这些内部控制规范是根据本行业的业务经营及其风险特点来制定的，具有较强的行业针对性，并且，对于本行业的内部控制惯例也会包括在这种行业规范之中。例如，巴塞尔银行监管委员会颁布的《银行系统的内部控制框架》及中国银监会颁布的《商业银行市场风险管理指引》《固定资产贷款管理暂行办法》《流动资金贷款管理暂行办法》和《个人贷款管理暂行办法》《项目融资业务指引》《商业银行流动性风险管理指引》《商业银行操作风险管理指引》《商业银行合规风险管理指引》《商业银行内部控制指引》都是银行业内部控制行业规范，证监会颁布的《证券公司内部控制指引》是证券业内部控制行业规范，保监会颁布的《保险公司内部控制基本准则》是保险业内部控制行业规范，财政部颁布的《电力行业内部控制操作指南》是电力行业内部控制行业规范，财政部颁布的《石油石化行业内部控制操作指南》是石油石化行业内部控制规范。

行业规范体现了行业特征，所以，一般来说，特定组织的内部控制设计如果与行业内部控制规范不同，有很大可能是内部控制偏差。但是，即使是同一行业的组织，由于其特定的环境条件不同，在内部控制方面也可能具有一定的差异性，从而也可能需要偏差行业内部控制规范，在这些情形下对行业内部控制规范的偏差，就不宜确定为偏差。总体来说，用行业内部控制规范作为标准来判断内部控制偏差具有较强但非绝对的适用性，是相对标准。此外，行业内部控制规范的行业范围要适宜，不能是过于广泛，而应该是具有相同或类似业务经营及风险特征的组织之集合。例如制造业各企业具有不同的业务，也有不同的风险特征，所以，不宜作为一个行业，而其中的石油石化企业则可以作为一个行业。

第三，通用内部控制规范——参考标准。这是对于所有的组织都适用的内部控制应然标准。就国际来说， COSO-IC[ 13 ]、COSO-RM[ 14 ]、COSO-IC[ 15 ]是各种组织通用的内部控制偏差识别标准；INTOSAI[ 16 ]颁布的《公共部门内部控制指引》是公共部门通用的内部控制偏差识别标准。就国内来说，财政部等[ 17-18 ]颁布的《企业内部控制规范》及相应的《应用指引》是企业内部控制偏差识别的通用标准，国有资产监督管理委员会[ 19 ]颁布的《中央企业全面风险管理指引》是中央企业内部控制偏差识别的通用标准，财政部[ 20 ]颁布的《行政事业单位内部控制规范（试行）》是行政事业单位内部控制偏差识别的通用标准[ 10-11 ]。

用通用内部控制规范来识别内部控制偏差需要谨慎地进行，理性地判别。从本质上来说，内部控制是风险评估和风险应对的体系，对于特定的组织来说，必须因地制宜。然而，由于通用标准具有广泛的适用性，所以，其針对性相对较弱。对于特定的组织而言，与通用内部控制规范不一致并不一定就是偏差，需要从风险与控制的对应关系来判断其是否属于偏差。所以，通用内部控制规范只是判断内部控制偏差的参考标准或逻辑起点，不应该作为绝对标准[ 4，12 ]。

第四，控制与风险的匹配性——绝对标准。内部控制是为其目标提供保障的系统，如果没有提供其拟提供的保障程度，则是内部控制失败，也就是内部控制缺陷。那么，内部控制是如何提供保障的呢？基本逻辑是寻找风险和应对风险。所以，从本质上来说，内部控制缺陷就是风险暴露超过可容忍的程度，识别内部控制缺陷首先要识别风险暴露。虽然风险暴露不一定是内部控制缺陷，但是内部控制缺陷肯定存在风险暴露。正是从这个意义出发，内部控制偏差识别的基本逻辑是判断控制与风险之间的匹配性，凡是二者不匹配的，就是内部控制偏差。从逻辑上来说，控制与风险之间不匹配有三种情形：一是风险未能识别，所以针对该风险也就没有必要控制；二是风险已经识别，但即使在考虑其他措施的弥补之后，设计的控制仍然不足以应对该风险；三是设计的控制措施超出了其所应对的风险。前两种情形属于控制不足，后一种情形是控制过度，它们都属于内部控制偏差。

从本质来说，任何情形下的内部控制偏差判断都是指控制与风险不匹配。所以，从这个意义上来说，这种内部控制偏差认定标准具有普通适用性，具有绝对标准的性质。但是，由于这种标准具有很强的主观性，一般来说，只有其他标准不存在的情形下才采用这种标准。从另外一个角度来说，通用内部控制规范、行业内部控制规范、法律法规是对一定范围内的风险与控制之间的匹配关系的经验总结，遵守了这些规范，也就做到了风险与控制的匹配，也就不属于偏差；违背了这些规范，也就没有做到风险与控制的匹配，也就发生了内部控制偏差。正是由于不同的偏差识别标准具有不同的适用性，所以，内部控制偏差识别标准的使用有如下顺序：法律法规和强制性规范——行业内部控制规范——通用内部控制规范——控制与风险的匹配性。通过上述步骤之后所确定的内部控制偏差，表示该组织的内部控制设计与应然状态之间存在差距，这种差距也就是内部控制设计瑕疵。

2.内部控制偏差执行识别标准

内部控制执行偏差识别有两个问题，一是判断是否发生偏差，二是分析偏差发生的原因，在此基础上将偏差分为系统性偏差和偶然性偏差。

判断偏差是否发生，其识别标准是特定组织的内部控制制度，凡是没有得到正确执行的内部控制，对于该组织来说，都属于内部控制执行偏差。

然而，内部控制鉴证的目的是发现缺陷并通过整改来优化内部控制，对于不能优化的内部控制偏差需要排除。一般来说，内部控制执行偏差有两种情形：一是由于偶然性因素的作用而产生的，称为偶然性偏差；二是由于系统性因素的作用而产生的，称为系统性偏差。偶然性偏差纯粹是偶然原因造成的，并不表示内部控制执行有瑕疵，当然也无法通过整改来优化。系统性偏差表示内部控制执行有瑕疵，可以通过整改来优化，当然，是否要整改，还要考虑成本效益原则。

那么，区分内部控制执行瑕疵（也就是系统性偏差）和偶然性内部控制偏差的标准是什么呢？一般来说，是否具有合理的重发性是判断偶然偏差与执行瑕疵的分水岭。如果具有合理的重发性，则表明这种执行偏差可能会经常性，这是内部控制执行瑕疵；相反，如果不具有合理的重发性，则该执行偏差再发生的可能性很小，完全是由于一些偶然因素所引发的，不是执行瑕疵。一般来说，在下列情形下内部控制执行偏差具有重发性：一是专业胜任能力不够，对所执行的内部控制不理解或不具备执行该控制的专业能力；二是责任心不够，即使专业胜任能力足够，但是对于所执行的内部控制不认真负责，粗枝大叶，甚至玩忽职守。上述情形都会以合理的可能性导致内部控制执行偏差重复发生。

（三）内部控制缺陷与局限性划分标准

经过内部控制偏差识别，识别出了内部控制偏差，在这些偏差中剔除了偶然性偏差，剩下的偏差就是需要关注内部控制瑕疵，包括内部控制设计瑕疵和内部控制執行瑕疵。

然而，内部控制瑕疵并不一定就是内部控制缺陷，还需要将内部控制设计瑕疵划分为内部控制缺陷和内部控制局限性，从而也就需要一个划分标准。本文前面已经指出，内部控制偏差识别标准有四种情形，不同情形下内部控制缺陷与内部控制局限性的划分标准不同。

当采用法律法规或强制性规范作为内部控制偏差识别标准时，一般来说，法律法规或强制性规范本身应该已经考虑了内部控制局限性，所以，这类标准提出的内部控制要求是宽容了内部控制局限性之后的要求，在种情形下的内部控制瑕疵都应该界定为内部控制缺陷。

当采用行业内部控制规范作为内部控制偏差识别标准时，一般来说，行业内部控制规范是对行业内部控制成功经验的总结，应该考虑了内部控制局限性，所以，这种情形下的内部控制瑕疵都是内部控制缺陷。

当采用通用内部控制规范作为内部控制偏差识别标准时，并没有清晰的判断标准，还需要有大量的主观判断。同样，当采用控制与风险的匹配性作为内部控制偏差识别标准时，根本就没有显性的判断标准，只是根据风险与控制之间是否匹配来判断。所以，在上述两种情形下，需要将内部控制瑕疵再区分为内部控制缺陷和内部控制局限性。

内部控制是为其目标实现而建立的一个系统，但是，这个系统并不为内部控制目标的实现提供绝对保证，这主要有两方面的原因。一是有些外部因素对目标的影响是无法有效应对的；二是对于能有效应对的因素，由于成本效益的考虑，也不能通过设计和执行控制措施来应对。这两方面共同表现为内部控制局限性。所以，判断内部控制局限性有两个标准。第一，对于未能应对的风险，该组织是否有能力来有效应对？如果没有这种能力，则判断为内部控制局限性。第二，对于该组织有能力应对的风险，如果采取更有力的应对措施，是否符合成本效益原则？如果不符合成本效益原则，则判断为内部控制局限性，如果符合成本效益原则，而该组织在内部控制设计中没有设计有效的应对措施，则属于内部控制缺陷。

（四）风险承受度标准

根据一定的标准，将内部控制瑕疵划分为内部控制局限性和内部控制缺陷之后，对于内部控制缺陷要进行风险暴露评估，这种过程并不需要信赖什么判断标准，但需要对评估程序和方法进行规范，这表现为内部控制鉴证准则，而不是内部控制鉴证标准。然而，风险暴露评估之后，需要将评估的风险暴露值与可容忍的风险承受度进行比较，这里的可容忍的风险承受度就是内部控制缺陷鉴证的标准之一。

风险承受度标准应该是一个标准体系。首先，不同的控制目标会有不同的风险承受度，其原因是不同的目标外部因素对其影响程度不同，有些目标主要受到组织内部因素的影响，而有些因素则受到组织外部因素的影响较大，很显然，内部控制系统对不同情形的目标所能提供的保障程度不同，从而需要不同的风险容忍度。其次，内部控制是一个分层级的体系，组织作为一个整体是内部控制主体，组织内部的某一业务模块、组织内部的某一部门、组织内部的每个岗位都是内部控制主体，每个层级的内部控制主体都有内部控制目标，不同层级的内部控制目标体系都应该有风险容忍度。所以，目标体系和控制主体组合起来形成了风险承受度标准体系，如表2所示。

四、内部控制缺陷识别标准及其选择：例证分析

本文从理论上分析了内部控制缺陷识别标准体系及其选择，理论的生命在于其解释现实世界的能力，下面用本文提出的理论框架来分析相关的经典例证，以一定程度上验证该理论框架。

（一）中国石油天然气股份有限公司内部控制缺陷识别

1.相关文本规定

中国石油天然气股份有限公司（简称中石油）制定了《中石油内部控制测试规范》，在该规范中将发现的内部控制例外事项区分为三种类型：设计层面文本规范性、设计层面非文本规范性、执行层面。

设计层面文本规范性例外事项包括：已有的控制没有在流程图、风险控制文档中进行描述，风险控制文档描述不符合四要素要求，其他。

设计层面非文本规范性例外事项包括：应有的控制不存在或不完善，不相容岗位未进行分离，已有的控制没有要求必要的实施证据，已有的控制缺乏必要的制度或程序文件以及制度或程序文件不完善。

执行层面的例外事项包括：已有的控制在实际中没有执行，其他。

对于执行层面的例外事项的识别要经历以下程序：确定描述的控制在实际工作中是否得到执行以及执行中的控制在风险控制分析文档中是否得到描述，是否留下事实证据，确定例外事项能否代表总体以及追加测试是否仍存在。

2.分析

很显然，设计层面文本规范性、设计层面非文本规范性都属于内部控制设计缺陷。设计层面文本规范性关注的是制度文本形式方面的缺陷，而设计层面非文本规范性关注的是制度文本实质方面的缺陷，前者根据中石油自己的文本形式方面的规定进行判断，后者则主要根据控制与风险的匹配性进行判断。“应有的控制不存在或不完善，不相容岗位未进行分离”都是控制不足以应对风险，这属于本文理论框架中提出的“绝对标准”。

执行层面例外事项的判断，首先，要“确定描述的控制在实际工作中是否得到执行以及执行中的控制在风险控制分析文档中是否得到描述、是否留下事实证据”，关注的是执行的内部控制和制度文本规定的内部控制是否一致，这里的判断标准是制度文本规定的内部控制。其次，对于识别的例外事项，要“确定例外事项能否代表总体以及追加测试是否仍存在”，这里的实质是要区分能代表总体的例外事项和不能代表总体的例外事项。能代表总体的例外事项作为内部控制缺陷，不能代表总体的例外事项不作为内部控制缺陷。这是的例外事项类似于本文理论框架中的“内部控制偏差”，这里的能代表总体的例外事项类似于本文理论框架中的“系统性偏差”，而不能代表总体的例外事项类似于本文的“偶然性偏差”。

所以，总体来说，用本文提出的理论框架能解释中石油内部控制缺陷识别的相关规定。

（二）我国相关的权威规范对内部控制缺陷识别标准的规定

财政部等[ 17 ]颁布的《企业内部控制基本规范》第十条规定“接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告”。财政部等[ 18 ]颁布的《企业内部控制审计指引》、中国注册会计师协会颁布的《企业内部控制审计指引实施意见》都有类似精神。

这些权威规范对内部控制审计的缺陷判断标准作出了规定，采用的是通用标准，所以，只能是参考标准。

财政部等[ 18 ]颁布的《企业内部控制评价指引》第五条规定“企业应当根据《企业内部控制基本规范》《应用指引》以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价”。中国内部审计协会[ 22 ]颁布的《第2201号内部审计具体准则——内部控制审计》第九条也有类似规定。

这些权威规范對内部控制评价的缺陷判断标准作出了规定，内部控制设计缺陷的判断标准是《企业内部控制基本规范》及《应用指引》，采用的是通用标准，只能是参考标准，而内部控制执行缺陷的判断标准是本企业的内部控制制度。

总体来说，我国的内部控制鉴证相关权威规范对内部控制缺陷识别基本上都采用了通用标准，一些规范还区分了内部控制设计缺陷识别标准和执行缺陷识别标准。本文的理论框架可以解释这些规定。

五、结论和启示

内部控制缺陷识别标准是判断特定事项是否是缺陷的标准，同样的事项，选择不同的评价标准，会得出不同的评价结论。本文从过程视角来认识内部控制缺陷识别标准，以内部控制缺陷识别标准多样性为前提，研究内部控制缺陷识别标准及其选择。

由于内部控制缺陷判断有多个逻辑步骤，所以，内部控制缺陷识别标准也存在多个步骤，包括内部控制偏差识别标准、内部控制缺陷与内部控制局限性划分标准、风险承受度标准。内部控制偏差识别标准包括内部控制设计偏差识别标准和执行偏差识别标准。内部控制设计偏差识别标准有四种情形：相关的法律法规或强制性规范——强制标准；行业内部控制规范——相对标准；通用内部控制规范——参考标准；控制与风险的匹配性——绝对标准。内部控制执行偏差识别标准，一是该组织的内部控制制度，二是判断内部控制偶然偏差的合理可重复性原则。内部控制缺陷与内部控制局限性划分标准主要基于成本效益原则，符合成本效益原则的内部控制瑕疵是内部控制局限性，不是缺陷。风险承受度标准需要结合控制主体和控制目标综合考虑，形成一个体系。

本文的研究启示我们，内部控制鉴证决不是一个单纯的程序性工作，在这个工作中充满职业判断，而判断控制与风险是否匹配是这个过程的实质，脱离这个实质，形式主义的内部控制鉴证可能没有多少实际性意义，内部控制缺陷识别要“实质重于形式”。

【参考文献】

[1] 王光远.管理审计理论[M].北京：中国人民大学出版社，1996：126.

[2] SANTOCKI J. Management audit：a job for the accountant？[M].Management Accounting （London），1983：35-37.

[3] VINTEN G.Internal audit in persrectivea US/UK comparison[M].Internal Audit（Spring），1991：3-9.

[4] EMMANUEL C，OTLTY D. Accounting for management control[M].Van Norstrand Reinhold Co Ltd，1985：27-28.

[5] REENBAUM H G. Management auditing as a regulatory tool [M].Praeger Publisher，1987：31.

[6] 郑石桥.管理审计评价标准研究[D].上海财经大学博士学位论文，2001.

[7] 郑石桥.管理审计评价标准建立模式探讨[J].中国内部审计，2011（1）：32-35.

[8] 周春喜.内部会计控制评价指标体系及其评价[J].审计研究，2002（1）：56-59.

[9] 张先治，戴文涛.中国企业内部控制评价系统研究[J].审计研究，2011（1）：69-78.

[10] 张龙平，陈作习.财务报告内部控制评价标准研究[J].审计月刊，2009（2）：35-37.

[11] 谢晓燕，程富.内部控制评价标准：比较与改进——基于外部审计的视角[J].财会通讯，2010（3）：62-65.

[12] 王文娣.内部控制审计的评价标准[J].中国审计，1997（11）：28.

[13] COSO（Committee of Sponsoring Organizations of the Treadway Commission）.Internal control- Integrated Framework[R].1994.

[14] COSO（Committee of Sponsoring Organizations of the Treadway Commission）.Enterprise Risk Management -Integrated Framework[R].2004.

[15] COSO（Committee of Sponsoring Organizations of the Treadway Commission）.Internal control- Integrated Framework[R].2013.

[16] INTOSAI（The International Organisation of Supreme Attestation Institutions）.Guidelines for Internal Control Standards for Public Sector[R].2004.

[17] 财政部，证监会，审计署，银监会，保监会.关于印发《企业内部控制基本規范》的通知[A].2008.

[18] 财政部，证监会，审计署，银监会，保监会.关于印发《企业内部控制配套指引》的通知[A].2010.

[19] 国有资产监督管理委员会.关于印发《中央企业全面风险管理指引》的通知[A].2006.

[20] 财政部.关于印发《行政事业单位内部控制规范（试行）》的通知[A].2012.

[21] 中国注册会计师协会.关于印发《企业内部控制审计指引实施意见》的通知[A].2011.

[22] 中国内部审计协会.第2201号内部审计具体准则——内部控制审计[A].2013.

作者：郑石桥