缺陷是内控的宿命，整改缺陷实现改进，也是内控的使命。

内部控制本身的固有局限包括：

一是目标设定不恰当，内部控制可能无效。内部控制并不能为公司所有的目标提供合理保障，特别是战略目标。

二是内部控制替代不了人为判断，也不能对人为判断中的傲慢和偏见实施控制。

三是内部控制不能保证人绝对不犯错。再加上控制成本的约束，内部控制不可能实现全面覆盖。

四是管理层的特殊地位，治理层面的内部控制并不延伸到日常管理，管理层面的内部控制经理层是最高权力拥有者，并不能通过内部控制进行有效约束。

五是再好的设计也有瑕疵，合谋、串通都可以无限放大内部控制一般缺陷。

六是内部控制是基于既定的环境和目标而设计，外部环境超过组织能力，内部控制也无能为力。

除内部控制本身这些缺陷外，内部控制措施的设计和执行及不断改进过程中也还会存在这样那样的缺陷。

内部控制缺陷，是指内部控制制度的建立或者执行由于没有达到预期标准，导致内部控制制度无法为企业目标实现提供合理保证。包括局部缺陷和整体缺陷两个层面。

认定内部控制缺陷的操作逻辑，遵循控制的逻辑，包括四个步骤：

第一步，建立认定标准。一般以内部控制体系要素和内部控制手册中控制点的控制矩阵为标准。

第二步，识别内控缺陷。梳理具体认定标准的实际新情况，识别事实与标准之间的差异。

第三步，评估缺陷程度。一是要评估识别出的缺陷是否实质性缺陷，避免将形式偏差认定为缺陷；二是评估缺陷对目标可能产生影响的程度，影响程度越高，缺陷等级越高。

第四步，认定最终缺陷。以评估结果为依据，作出整改哪些缺陷的决定，并确定需要整改的目标、责任人及时限。

前三个步骤，是技术层面上的问题，以事实和数据说话，结果相对客观。最后一步，是管理层面上的问题，需要综合权衡，考验相关责任人的智慧和担当。

内部控制缺陷按照阶段不同可以分为设计缺陷和执行缺陷两类：设计缺陷是指应该实施控制的业务流程或环节，没有明确的控制措施，或者控制措施不完整、不合理。执行缺陷，是指没有按照既定的控制措施执行，或者执行不规范、不到位导致内部控制低效或无效。

造成无设计、无效设计的主要有三个方面的原因：

一是公司发展现状，如企业规模、行业特征、经营规模、发展阶段、风险偏好等不同，对内部控制的需求也不同，内部控制标准不合理、修改不及时，都可能导致内控设计缺陷。

二是管理层意图，如在授权管理、职权行使、个人决策等方面有独特的看法，可能由于内控设计不能有效满足个性化要求，而体现为缺陷。

三是业务复杂度，如业涉及范围广、流程覆盖全、操作标准多、定量指标少等条件比较复杂，可能内部控制设计满意事项控制目标，而体现为缺陷。

导致执行缺陷的主要原因有：

一是执行人员对内控设计的方式或意图运行理解不到位，可能导致不执行或基于个人习惯的执行。

二是执行人员未按照在恰当的时间或按照规定的运行频率执行内部控制措施，导致没有效果或效果不佳。

三是内部控制体系没有得到一贯有效运行，比如部分流程节点执行，部分流程节点不执行，导致内控失效。

四是执行人员没有得到充分的授权，或者专业能力不能胜任复杂的内控措施，导致内控措施不能落地。

按照影响程度可以分为一般缺陷、重要缺陷、重大缺陷三类：重大缺陷，是指一个或多个控制缺陷的组合，可能严重影响内部控制的有效性，进而导致公司无法及时防范或发现严重偏离控制目标的情形。重要缺陷，是指一个或多个控制缺陷的组合，其严重程度虽低于重大缺陷，但仍有较大可能导致公司无法及时防范或发现偏离控制目标的情形。一般缺陷是指重大缺陷、重要缺陷之外的缺陷。

内部控制缺陷，还可以按照指标性质分为财务缺陷和非财务缺陷两类，都可以依据定量和定性的标准进行识别和评估。

财务缺陷。是指财务错报、信息失真导致误导投资人的内部控制缺陷。

从定量的角度，一般以财务错报对资产状况和经营成果的影响程度为认定指标。影响营业收入总额或资产总额达到5%以上，作为认定重大缺陷的标准，规模较大的公司应以更低的比例保障缺陷认定标准的合理性。

从定性的角度，重大缺陷的认定标准：一是公司内部控制环境无效；二是董监高等高级人员存在舞弊并给公司造成重大损失和不利影响；三是外部审计机构发现当期财报存在重大错报，公司内部未能发现；四是已经报告给管理层的重大缺陷未在合理的时间内完成整改。

重要缺陷的认定标准：一是未依照企业会计准则选择和应用会计政策；二是未建立反舞弊程序和控制措施；三是非常规或特殊交易记账无相应的控制机制及补偿性控制；四是存在一项或多项缺陷且不能合理保证财报编制的真实、准确；五是已经报告给管理层重要缺陷未得到有效整改。

税收优惠政策信息披露、关联方信息披露、合并报表范围信息披露存在不完整或遗漏，也应认定为财务缺陷。

非财务缺陷。是指导致公司承受损失的缺陷。

从定量的角度，以实际财产损失占资产总额的比重作为认定标准。一般应以公司规模参考，设定合理的区间，规模越大，区间就应该越小。也应该考虑行业缺陷暴露情况予以适当修正。

从定性的角度，重大缺陷的认定标准：一是决策程序不科学，导致重大决策失误，造成重大财产损失；二是发生违规投资经营行为，且对公司定期报告披露造成重大负面影响；三是出现重大安全生产、环保事故；是内部控制重大缺陷未得到有效整改。

重要缺陷的认定标准：一是公司决策程序不科学，导致出现一般失误；二是违反公司规程或标准操作程序，形成较大损失；三是出现较大安全生产、环保事故；四是重要业务制度或系统存在缺陷；五是内部控制重要缺陷未得到整改。

按照三道防线的分工：在标准制定上，治理层要从全局的角度，决定以哪些标准作为衡量公司内部控制的依据。在缺陷整改上，第一道防线是具体缺陷整改的责任主体，第二道防线是体系缺陷整改的责任主体，由管理层统筹整改责任落实。在缺陷识别和评估上，全员都有责任，都应该全力协同找准缺陷。

按照整改力度有不同的分类：按照沟通结果可分为需要整改和不需要整改两类缺陷。按照整改责任不同可以分为若干类。按照整改时限要求可分为立行立改、限期整改、阶段性整改三类缺陷。