基于風險基礎法的內部控制有效性評價指標體系研究

路利平：基于風險基礎法的內部控制有效性評價指標體系研究

[摘要]2008年5月發布的《企業內部控制基本規范》和2010年4發布的《企業內部控制配套指引》共同構建了中國企業內部控制規范體系，本文通過對內部控制自我評價報告中的內部控制有效性結論進行分析評價，并建立基于風險基礎法的內部控制評價指標體系，對內部控制有效性進行等級劃分，以便投資者能更加清楚地評判被投資企業的真實狀況，以此提出相關政策性建議。

[關鍵詞]內部控制；風險基礎法；有效性；評價指標體系

[中圖分類號]F274[文獻標識碼]A[文章編號]1005-6432（2013）42-0036-03

1研究動機，制度背景與行為界定

2008年5月22日，財政部、證監會、審計署、銀監會、保監會五部委聯合制定了《企業內部控制基本規范》，隨后在2010年4月26日五部委再次聯合發布《企業內部控制配套指引》，規定自2011年1月1日起首先在境內外同時上市的公司施行，自2012年1月1日起擴大到在上海證券交易所和深圳證券交易所主板上市的公司施行。執行企業內部控制規范的企業，必須對本企業內部控制的有效性進行自我評價，披露年度自我評價報告，同時聘請會計師事務所對其財務報告內部控制的有效性進行審計，出具審計報告，政府監管部門將對相關企業執行內部控制規范體系進行監督檢查。管理層對內部控制的評價能夠釋放企業內部控制有效性的信息，有助于企業外部相關利益者的決策，但是通過對2012年上市公司披露出來的內部控制評價報告分析來看，雖然經過了會計師事務所的審計，但是由于沒有相關的法律法規對內控有效性進行一個嚴格的定義和明確的等級劃分，以至于有相當一部分的企業存在故意隱匿其不利信息或對其不利信息輕描淡寫，并采用含糊的詞語如“較為有效”、“較為真實”、“較為準確”等對其內部控制做出評價，這樣將極度不利于信息使用者分辨出企業實施內部控制的好壞程度，所以本文站在內控信息使用者的角度，通過建立基于風險控制原理的內部控制指標體系，提出量化標準對企業的內部控制有效性劃分等級，最后提出相關政策建議。研究這一問題，對于探究我國上市公司內部控制信息披露行為及其動因，豐富相關理論，探求監管對策，都有十分突出的積極意義。

2研究依據

內部控制自我評價是由企業董事會和管理層實施的，對企業內部控制有效性進行評價，形成評價結論，出具評價報告的過程。內部控制有效性是指企業建立與實施內部控制能夠為控制目標的實現提供合理保證的程度。所以本文將《內部控制基本規范》和《內部控制配套指引》作為研究的核心依據，同時將上海證券交易所發布的《上海證券交易所上市公司內部控制指引》和深圳證券交易所發布的《深圳證券交易所上市公司內部控制指引》作為輔助依據，結合起來探討內部控制有效性評價的缺陷和對策。

3制度標準以及存在的問題

《企業內部控制配套指引》中的內部控制評價指引第二十一條和第二十二條。

存在的問題：國家層面的法規只是從宏觀層面上對企業內部控制評價的有效性做了籠統的規定，沒有細分有效性的具體標準，所以就存在上市公司鉆法律的漏洞，例如深市主板上市企業*ST國恒，公司董事會于2012年12月3日收到深圳證券交易所下發的《關于對天津國恒鐵路控股股份有限公司的關注函》（公司部關注函〔2012〕第 314 號），要求公司就相關問題核查并做出說明。同時2011年11月30日，天津市第二中級人民法院依法受理了平陽縣南麂島開發有限公司訴天津國恒鐵路控股股份有限公司票據付款糾紛案。這一系列的證據表明國恒企業內部控制必然不能做到有效實施，但是根據企業內部控制評價報告當中企業對內部控制的總體評價核心語句為：基本建立起較為健全、合理、有效的內部控制管理體系。評價報告中的“較為健全，合理，有效”等詞匯將該企業內部控制中的弊端較多的掩蓋，以至于誤導信息使用者。所以基于這種狀況，本文希望對內部控制的有效性運用風險基礎法做出嚴格的等級劃分，而且要求上市公司在評價內部控制有效性時必須針對自身企業內控狀況做出準確的結論性評述，這將大大易于信息使用者正確判斷企業內控狀況。

4企業內部控制有效性的評價方法的選擇

從內部控制評價本身以及目前的發展情況來看，主要存在詳細評價法和風險基礎評價法兩種方法。①詳細評價法的基本思路是：以內部控制框架或標準為參照物，根據內部控制框架的構成要素是否存在評價內部控制的設計有效性，然后測試內部控制的設計有效性，最后綜合設計和運行的評價對內部控制的有效性做出總體評價，評估內部控制目標實現的風險，判斷是否存在實質性漏洞，確定內部控制是否有效。②風險基礎評價法的基本思路是：首先，要評估相關目標實現的風險；其次，識別和確定企業充分應對這些風險的內部控制是否存在，即評價內部控制的設計應對相關目標實現風險的有效性；再次，識別和確定內部控制有效性的證據，評價現有的控制是否得到了有效的運行；最后，對控制缺陷進行評估，判定是否構成實質性漏洞，確定內部控制是否有效。在現有的評價內部控制有效性的研究文獻中大部分學者選擇詳細評價法，即通過統計觀察或建立模型對企業內部控制對企業目標的實現程度，例如《企業內部控制評價指標體系研究》（王素蓮2005）；《企業內部控制有效性綜合評價模型研究》（李莎，2013）；但是這種方法存在明顯的弊端，一個是成本高，效率低；另一個是評價結論的不可靠性。所以本文決定采用風險基礎法來對企業的內部控制有效性進行評價以期能解決詳細評價法存在的問題。

5內部控制指標體系構架

本文以內部控制構成要素的評價為主要研究對象，設計如下表所示的具體指標體系。

內部控制指標體系

要素

要素指標關鍵性風險指標量化標準

完全能夠有效控制關鍵性風險基本能夠有效控制關鍵性風險或有一條稍有不足但不構成實質性缺陷多于一條控制失效或構成實質性缺陷

U1控制環境30分1管理者素質結構差或者雖有一定操守但執行不好；2董事會及審計委員會不獨立，或所擁有的知識和技能不符合企業的需求；3組織結構與企業規模、戰略不符；4企業文化不能體現全體成員的基本信念，行為和價值觀不一致；5責權劃分與企業規模、作業復雜性不匹配；6任人唯親，沒有培訓計劃或者雖有計劃但不執行28～30175～2653～16

U2風險評估機制25分1各層級的目標不一致或目標只是一個定性指標，沒有實現目標的手段；2不能謹慎注意風險，對風險的辨識與企業規劃脫節，無法辨識風險的大小；3對風險嚴重性估計不足，對其發生的頻率難以掌握，風險發生后對意料到的風險沒有相應的措施235～2515～2252～12

U3控制活動20分1沒有形成可行的業績評估系統，計量指標不全；2無信息中心，信息處理不能正常運行，無適當的業務處理和授權程序；3無實物、資料的授權制度，有定期盤點制度，但不能很好執行135～14

U4信息與溝通15分1不能辨別和獲取所需的信息，無適當的咨詢傳送路徑，管理者只是口頭上支持系統的建立，在人財物的投入上沒有足夠的保障；2所取得信息質量不高，提供的資訊大多數是事后事實，對所取得的信心難以接受和理解；3上下溝通不暢，部門間為自身利益缺少相互溝通，不能很好地了解外部信息已作出及時的反應；4不能通過有效溝通使外界了解企業文化14～1595～142～75

U5監督活動10分1監督主體不明，或雖有明確的規定，但只屬于經營管理層或內部審計人員，沒有相互間的監督機制；2監督活動無規律可循，只依賴于外部監督，對已確認的內控缺失不能迅速傳遞給有關人員，不能保證其持續有效；3不設立審計委員會或雖有但不符合要求，不能保證其獨立性，無定期的討論制度95～1065～953～6

為便于分析，我們將評價結果分為三個等級：①有效。即企業的內部控制完全能夠控制企業的關鍵性風險，指標值5n=1Un≥90分，內部控制的各項指標符合要求，各項內部控制制度得到認真貫徹執行，所有業務領域和操作環節能有效地發現、管理、控制各種關鍵性風險。②基本有效。指標值為60分≤5n=1Un≤89分即基本能有效控制各項關鍵性風險，各項內部控制制度基本得到貫徹執行，重要業務領域和操作環節所承受的風險得到控制，但有局部違規操作現象。③無效，即無法控制關鍵性風險或企業內部控制制度存在實質性缺陷，所設計的內部控制制度沒有得到有效執行，不能有效防止和控制重大風險，很可能導致管理失控或者業務損失，并危及企業的經營。

通過對以上內部控制評價指標體系建立和結論的分析，從基于信息使用者的角度考慮，建議國家和證交所的相關部門在相關規定中明確要求企業在披露內部控制評價報告的時候，做出結論性的陳述，該企業的內部控制處于何種狀態，并提供相關證據和考評表格。同時注冊會計在審計的時候也應該將該結論性陳述的真實性和適當性做出保證，這將極大地方便信息使用者獲悉企業的內控信息。

參考文獻：

[1]陳漢文，張宜霞企業內部控制的有效性及其評價方法[J].審計研究，2008（3）.

[2]張宜霞企業內部控制評價方法的比較[J].會計之友（上旬刊），2009（1）.

[3]王素蓮企業內部控制評價指標體系研究[J].山西大學學報，2005（11）.

[4]李莎企業內部控制有效性綜合評價模型研究[J].中國注冊會計師，2013（3）.

[5]楊有紅，陳凌云2007年滬市公司內部控制自我評價研究[J].會計研究，2009（6）.

[6]劉玉廷全面提升企業經營管理水平的重要舉措[J].會計研究，2010（5）.

[作者簡介]路利平（1991—），女，河南濟源人，陜西師范大學國際商學院2010級財務管理專業，研究方向：會計及審計理論研究。