继硅谷银行破产风波后，瑞士第二大银行瑞士信贷（以下简称瑞信）又爆出财务危机。今年3月14日，瑞信在披露的年报中称其2021年和2022年的财务报告内部控制存在“重大缺陷”：

“管理层没有设计和维持有效的风险评估流程以识别和分析财务报表重大错报风险，并且没有设计和维持关于下列事项的有效的监督活动：

（1）对内部控制评价过程提供充足的监督以支持公司内部控制目标；

（2）提供适当和充足的管理资源以支持风险评估和监控目标；

（3）评估并及时将缺陷的严重程度传达给负责采取纠正措施的各方。

同时这些重大缺陷导致了另一个重大缺陷，即管理层在合并现金流量表的分类和列示方面没有设计和维持有效的控制……

此外，这些重大缺陷中的每一个都可能导致账户余额或披露的进一步错报，这将导致年度合并财务报表出现无法预防或发现的重大错报。”

同时瑞信的审计机构普华永道（PwC）对瑞信的内部控制有效性出具了“否定意见”。瑞信股价因此一度跌近60%，最终被瑞银宣布低价收购。

而在3月17日，我国财政部通报了对德勤华永会计师事务所（以下简称德勤）和中国华融资产管理股份有限公司（以下简称华融）依法作出行政处罚的有关情况。经过财政部调查，华融2014至2019年度不同程度存在内部控制和风险控制失效、会计信息严重失真等问题，而德勤作为华融的审计机构也存在严重的审计缺陷。对此，财政部不仅顶格处罚了华融，也对德勤开出了人民币2.11亿元的重磅罚单，其北京分所也被暂停经营三个月。

在不同国家的监管体系中，对于企业年报中内部控制报告的披露要求有所不同。

例如，在美国的内控体系中，依据《萨班斯法案》404条款，美国证券交易所（SEC）要求美国上市公司（小规模公司除外）的管理层在年度报告中提供内部控制报告，内容包括声明管理层对建立和维持有效的财务报告内部控制体系和程序的责任，以及截至最近一个财务年度结束时，管理层对财务报告内部控制体系和程序有效性的评价。

该内部控制报告需由担任公司年报审计的注册会计师事务所对其进行测试并出具评价意见。如果注册会计师发现企业的财务报告内部控制存在一个或多个重大缺陷（material weakness），那么将无法做出内部控制有效的结论，同时需在年报中对企业财务报告内部控制存在的所有重大缺陷的定义、性质及对财务报告内部控制的影响程度进行披露。

而在中国，根据《企业内部控制基本规范》（财政部、证监会、审计署、银监会及保监会2008年联合印发）及配套指引，企业的内部控制报告应当围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。

同时根据《企业内部控制审计指引》规定，注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

可见，中国企业年报中内部控制报告披露的内部控制缺陷范围要更宽泛。

那么什么是内部控制缺陷呢？

当企业的内部控制无法实现其目标时，即表明存在内部控制缺陷，具体到财务报告内部控制缺陷来说，其定义如下：

“财务报告内部控制存在缺陷，当一项控制的设计或运行不能允许管理层或员工在正常履行职能的过程中，及时防止或发现错报。”（美国PCAOB审计准则AS2201）

“内部控制缺陷，是指在下列任一情况下内部控制存在的缺陷：（一）某项控制的设计、执行或运行不能及时防止或发现并纠正财务报表错报；（二）缺少用以及时防止或发现并纠正财务报表错报的必要控制。”（中国注册会计师审计准则第1152号）

内部控制缺陷可以从不同的角度进行分类。

例如从不能实现控制目标的原因上来说，内部控制缺陷可以分为设计缺陷和运行缺陷。

而从缺陷存在的控制层面来说，内部控制缺陷可分为公司层面控制缺陷、业务层面控制缺陷和IT系统层面的控制缺陷。

又例如，从影响控制目标实现的严重程度上来说，内部控制缺陷可分为重大缺陷（material weakness）、重要缺陷(significant deficiency)和一般缺陷(deficiency)，如下表所示：

注册会计师应当评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。对于财务报告内部控制缺陷来说，其严重程度取决于两个方面（美国审计准则AS2201）：

（1） 是否有合理的可能性，公司的控制在预防和发现账户余额或披露的错报上失效；（注意是可能性，而不取决于是否实际发生了错报）

（2） 因一个或多个控制缺陷的组合导致潜在错报的金额大小。

同时，企业财务报告内部控制的重大缺陷往往存在一些迹象或指征，例如：

（1）公司董事、监事和高级管理人员存在舞弊行为，无论金额重大与否；

（2）企业更正已经公布的财务报表的重大错报；

（3）注册会计师发现当期财务报告中存在重大错报，而财务报告内部控制未能发现；

（4）公司审计委员会和内部审计机构对内部控制的监督缺失或监督无效。

当注册会计师认为财务报告内部控制存在一项或者多项重大缺陷时，除非审计范围受到限制，否则会对财务报告内部控制有效性发表否定意见，并需在年报中对所有重大缺陷进行披露。企业也会因此承担严重的后果。

比如曾经引起轰动的乐视网财务造假案。2021年4月，证监会公布了对乐视网及包括贾跃亭在内的14名责任人的行政处罚决定书，对乐视网及贾跃亭分别给予人民币2.4亿余元的巨额处罚。

证监会经调查认定，乐视网2007年至2016年存在虚构收入、虚增业绩的造假行为，时任董事长贾跃亭在推动乐视网财务造假事项中发挥了组织、策划、领导、实施作用，而时任董事、监事、高管的一干人等，未勤勉尽责，发挥应有的监督作用，同样被视为直接责任人员。

在公司层面，乐视网的董事、监事及高管存在舞弊行为，是其内部控制的重大缺陷。

而在业务层面，乐视网的内部控制同样存在重大缺陷，例如广告收入确认的一个关键控制“广告实际投放后，应收账款主管复核与客户的对账报告,检查向客户寄发的对账单是否均已收回、客户回复金额是否与明细账记录金额一致”实际并未有效执行，乐视网每月根据广告的实际投放进度与客户进行对账，但未留下纸质对账单，对方收到对账邮件后未反馈就视同认可；乐视网签订的广告合同约定有第三方检测报告，但实际业务执行过程中大部分为内部数据信息，该信息财务未留存。

以上内部控制缺陷被当时乐视网的审计师认定为一般缺陷，而证监会认为，上述缺陷应属内部控制的重大缺陷，增加了广告业务的舞弊风险。

同时证监会认为当时负责乐视网审计的信永中和会计师事务所在审计过程中未勤勉尽责，出具不恰当的审计报告，也对其进行了人民币452万元的经济处罚。

企业的内部控制存在重大缺陷，根源往往在于薄弱的内部环境。那么如何构建一个良好的内部环境呢？

首先企业应当建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。同时应加强文化建设，强化风险意识，特别是企业的董事、监事和高级管理人员应发挥主导作用，倡导诚信正直的企业文化。

另一方面，在众多案例中，企业的内部控制重大缺陷能持续存在多年，一个重要的原因是企业缺少有效的内部监督。

例如在美国上市公司中，董事会下设立审计委员会，负责审查企业的内部控制。在审计委员会的指导下，内部审计部门定期对内部控制的有效性开展检查和自我评价，对监督检查中发现的内部控制缺陷提出整改方案并采取适当的形式及时向董事会及其审计委员会报告。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。

而对于普通员工来说，在日常工作中，我们每个人都应忠于职守，严格按照公司制度和业务流程完成自己的工作，避免因自己的疏忽懈怠而导致相关内部控制的运行缺陷，从而影响整体内部控制的有效性。