基于AHP的企業內部控制評價整合模式

【摘 要】 文章利用AHP系統工程方法，從現代風險導向型審計模式入手，將企業風險分解為總體風險、業務循環風險和業務流程風險三個層面，并根據不同層面風險的特點，指出內部控制詳細評價模式和風險基礎評價模式所適用的不同內部控制評價階段。同時，嘗試運用二維和三維表格作為工具，將兩種評價模式在內部控制評價實務工作中進行整合。

【關鍵詞】 內部控制評價； 層次分析法； 風險結構分解

對企業內部控制的設計和運行進行評價是內部控制總體有效性的保證，但目前對內部控制評價的模式仍有爭議。目前存在兩種比較主流的評價模式：詳細評價模式與風險基礎評價模式。這兩種模式各有利弊，在實務中也均被廣泛運用。

一、兩種評價模式的對比

詳細評價模式和風險基礎評價模式分別在評價標準、評價程序方面存在顯著差異。本文認為這些差異導致了不同模式在實務中運用的優勢與缺陷，并最終導致這兩種模式在實務中適用于內部控制評價不同的階段。

（一）評價標準方面

1.兩種評價模式與其對應的評價標準

規則導向標準是指國家的政策制定機構對企業內部控制的設計和運行建立詳細而明確的框架和條文。在進行內部控制評價時，評價主體（一般是受董事會或監事會委托的內部審計部門）以這些詳細的條文為準繩，評價本單位內部控制的設計和運行是否符合每一條標準的具體規定。我國的《企業內部控制評價指引》比較偏向規則導向。

原則導向標準是指國家的政策制定機構并不針對企業內部控制的設計和運行制定詳細而明確的條文和框架，而只是規定寬泛的原則（如：要求企業的內部控制系統足以將企業的整體剩余風險降至可接受的水平，但并不具體規定企業應當采取哪些控制措施以及如何實施）。在這種情況下評價主體及其工作人員需要運用大量的職業判斷，在職業判斷的基礎上評價企業的內部控制是否在整體上與作為評價準繩的原則相一致。美國的COSO報告偏向原則導向。

本文認為，上述兩種不同的評價標準分別促進了本文所述兩種評價模式在實務中的運用。

規則導向的評價標準促進了詳細評價模式（或控制優先評價模式）在實務中的運用。在這種評價模式下，由于存在詳細而明確的評價標準，審計人員在評價對內部控制的設計時，將優先考慮企業內部控制與具體條文的符合程度。

而原則導向的評價標準促進了風險基礎評價模式（或風險優先評價模式）在實務中的運用。由于內部控制的主要目標是幫助企業應對各類風險，并通過控制活動幫助企業達成經營目標。因此，原則導向的評價標準往往是對企業內部控制應對風險的能力進行定義。在這種情況下，評價主體往往從分析企業的風險結構入手，確認企業在實施內部控制活動后的剩余風險是否與原則性的標準相一致，借此評價企業內部控制設計的適當性和運行的有效性。

2.兩種評價模式下評價標準的對比

內部控制評價的目標包括兩個方面：第一，評價主體應當確認企業內部控制設計是否有效，能否有效應對企業所面臨的各種風險，以將剩余風險降至可接受的水平；第二，如果認為其設計是適當的，那么這些內部控制活動是否正在按照預期運行。

根據上文論述，本文認為：不同的評價模式對內部控制評價的第一個目標（設計是否合理）的評價標準具有重大影響。不同的評價模式將直接決定審計人員對內部控制設計適當性進行評價時所采用的標準。

相反，內部控制評價的第二個目標（是否按照設計有效運行）的評價標準不會受到不同評價模式的影響。因為一旦確定企業設計了合理的內部控制，審計人員就很容易在操作層面上確定控制活動的執行情況，而不需要過多涉及風險評估活動。無論運用哪一種評價模式，內部控制活動運行的有效性基本都可以使用規則導向標準對內部控制進行評價，并使用“執行”、“不執行”、“不完全執行”這類指標來進行評價（或更加詳細，以及定量的指標劃分方法）。表1表示了不同評價模式對評價標準的影響。

（二）評價程序方面

在詳細評價模式下，由于將具體條文作為評價的準繩，評價的主要工作是對條文的詳細研究，并將企業內部控制設計與由政策制定機構制定的詳細框架與條文進行仔細對照。

而在風險基礎評價模式下，由于評價的準繩對是企業的剩余風險水平進行規定的指導原則，評價的主要工作是對企業的風險結構，以及企業采用的控制活動應對特定風險的能力進行評價。

同樣，在評價內部控制設計的適當性時，不同的內部控制評價模式將會對評價主體及其工作人員的工作內容產生影響。而在評價內部控制“是否按計劃有效執行”時，不同的內部控制評價模式不會對評價程序產生顯著影響。表2表示了不同評價模式對評價程序的影響。

（三）兩種評價模式的優缺點

表3表示了不同評價模式的在實務中的優缺對比。

值得注意的是，實務界對詳細評價模式的缺陷進行了一些修正。即針對不同的行業制定專門的內部控制制度或指引，企業或其他單位在進行內部控制評價時可以使用這些與本行業風險更加接近的行業內部控制制度或指引作為評價標準，例如江蘇省教育廳在2006年頒布了《江蘇省省屬院校內部會計控制暫行辦法》。

但這種實務上的修正只能使內部控制評價標準向單個具體評價客體的風險結構不斷接近。如果希望這種修正行為發揮其最大功效，政策制定機構將不得不為每一個具體的評價客體制定一套內部控制制度或指引，以使得評價主體即使只依靠詳細評價模式也能夠取得與在使用風險基礎評價模式下相同的效果。但事實上，這種修正方法在實務中無法達到其最大效果，原因如下：

1.為每個評價客體制定專門的內部控制制度或指引不符合成本效益原則，即使是專門的監管或政策制定機構也沒有足夠的資源來完成這項工作。

2.評價風險結構是被評價客體及其管理層的責任，而不是監管或政策制定機構的責任。由國家政策制定機構針對單個組織的風險結構制定內部控制評價制度的做法導致了責任劃分上的不明確。

3.即使內部控制制度或指引非常詳細并完全適合評價客體的風險結構，但詳細評價模式仍然會讓審計人員和企業管理層認為這是一種逃避盡職責任的方法。組織的風險結構是會隨著時間的變化而不斷變化的，但評價主體和企業管理層仍可能將現有的內部控制評價標準或指引當作一成不變的最高原則。如果只要按照已有的制度或指引對內部控制的設計進行確認，內部審計人員和管理層就不會受到有關盡職責任方面的指責（即使他們完全沒有考慮風險結構的改變），那么他們很可能就不會關注組織風險結構的真實情況。

通過上述三個方面的對比，本文認為：風險基礎評價模式的最終效果要優于詳細評價模式（僅限于對內部控制設計適當性的評價方面），但其缺點主要體現在對評價主體及其人員素質的要求相對較高，這也是在我國的實踐中這種模式難以得到廣泛運用的原因。而我國企業的具體情況限制了我國的內部控制評價實務只能局限在詳細評價模式這種效果十分有限但成本較低的層次上。因此，對這兩種模式嘗試進行整合，成為了一種可能且必要的嘗試。

二、內部控制風險評價的整合模式

（一）基于AHP對企業風險結構的分解

層次分析法（Analytical Hierarchy Process，簡稱AHP）是美國運籌學家A.L.Saaty于20世紀70年代針對解決大型的復雜問題而提出的一種能綜合進行定性與定量分析的一種系統分析方法。國內已有學者運用這種方法對企業內部控制目標進行分解，并最終指導內部控制評價實務（韓傳模、汪士果，2009）。但在現代風險導向型審計模式下，對控制目標是否實現的評價仍然要被最終追溯到對風險和剩余風險的評價。因此本文認為：運用AHP對企業風險進行分解能夠更加有效地幫助評價主體完成對內部控制設計合理性的評價。

1.企業總體層面風險

本文根據COSO報告，將企業的總體風險分為經營風險、財務風險和法律風險。表4表示不同總體層面風險及其可能包含的具體風險。但實際環境中的具體風險并不僅限于此。

由于不同行業的商業環境存在巨大區別，所以不同行業間企業總體層面的風險結構也必然存在巨大差別。但即使是同一行業內的企業，也會因為管理層對待風險的態度、企業治理結構和企業文化等其他一些控制環境因素的不同而面對完全不同的風險結構。

2.業務循環層面風險

業務循環層面風險指企業在每一個業務循環中所面對的總體風險，例如：銷售與收款循環的總體風險。表4中各總體層面風險中每一個具體風險都可能源自多個業務循環風險，而不同業務循環中的多個風險也會共同導致一個企業總體層面的具體風險。因此，不同企業不僅在總體層面風險的結構上存在巨大差異，即使是面對某個相同的總體層面具體風險，組成這一總體層面具體風險的業務循環層面的風險也幾乎不會完全相同。

因此，在規模稍大的企業中，審計人員幾乎不可能找出兩家業務循環層面風險完全一樣的企業。如果在這種情況下仍然使用詳細評價模式對內部控制設計的適當性進行評價是無法取得良好效果的。

3.業務流程層面風險

業務循環層面風險也可以被進一步分解為不同業務流程層面的風險。例如：采購與付款流程的風險包括但不僅限于：采購前未進行招標或詢價、采購合同的簽訂未進行職責分離等。同樣，業務循環層面與具體業務流程層面的風險之間也存在著復雜的對應關系（類似于上文中企業總體層面風險與業務循環層面風險的對應關系）。

（二）風險基礎評價模式與詳細評價模式的整合

在運用AHP對企業風險結構進行分解后，評價主體就可以根據不同層級風險的特征分別運用適當的評價模式和標準對企業內部控制的設計和執行分別進行評價。

1.不同層面風險的風險特征

（1）基礎風險層面：具體業務流程風險層面

在這一層面，不同企業在所表現出的風險點往往非常類似，例如：與供應商簽訂原料采購合同的風險點往往包括但不限于：合同定義不規范而導致采購了不符合標準的原材料，由于缺乏良好的現金收支計劃而導致無法在合同規定的時間內支付貨款，以及由于缺乏必要的職責分離和監督而導致員工與供應商密謀使公司接受不公平的交易等。

（2）中級風險層面：業務循環風險層面

不同的具體業務流程層面風險按照上文所述的對應關系組合為每一業務流程層面的風險。由于不同企業之間的業務流程組合以及涉及的重要業務循環均不相同，而不同企業具體業務流程層面風險和業務循環層面風險之間的對應關系也并不一致，因此不同企業的風險往往在這一層級上開始產生差異。

（3）高級風險層面：企業總體風險層面

不同企業會有完全不同的業務循環層面風險的組合（及其與總體層面風險之間的對應關系），而企業所在行業環境與內部控制環境因素的不同會也導致不同的總體層面風險結構。這兩個因素都決定了不同企業在這一層面上的風險會有顯著的不同。

因此，上文所述企業在總體層面風險結構和業務循環層面風險組合方面的巨大差異的原因并非是來自于某業務流程在不同企業中存在不同的風險（相反，不同企業中這些層面的風險是十分類似的），而是來自于企業由于不同的行業環境、內部控制環境因素，以及不同的業務循環組合而導致的總體層面風險的不同組合。

2.不同層面風險與評價目標之間的對應

結合內部控制評價的兩個目標，本文認為：內部控制的“設計適當性”目標主要用于應對總體層面風險，對這一目標的評價適合使用風險基礎評價模式；而內部控制的“運行有效性”目標主要用于應對業務循環層面的風險（或更低一級的具體業務流程層面的風險。

需要注意的是：這種不同企業之間不存在顯著差異的風險層面究竟存在于哪個層級上，本文同時使用了業務循環和具體業務流程兩個層面。本文認為：從理論上來說，將總體風險盡可能細致地分解到具體業務流程層面是一種更好的方式，因為不同企業在這一層面的風險之間的差異更小。但在實務中，審計人員可以依據具體情況決定這種“無風險差異的層面”（即在這一層面上，不同企業所面臨的風險結構不存在顯著差異）是存在于單個業務循環層面還是具體業務流程層面。在某些情況下，為了符合內部控制評價的成本效益原則，即使本企業在業務循環層面的風險具有特殊性，內部審計人員仍會將這一層面作為無風險差異的層面來進行內部控制運行有效性的評價。

3.整合的評價模式

結合上文根據關于風險層面的敘述，具體的整合方式可以分為兩步。

第一步：評估內部控制設計是否與風險結構相適應（運用風險基礎評價模式）

審計人員在對企業的內部控制進行評價時，可以首先運用風險基礎評價模式對企業總體層級的風險結構、業務循環風險的組合，或者某一業務循環的風險結構進行評價。依據企業在這些層級上的風險結構決定企業在總體層面上應當采用哪些內部控制措施才足以有效應對風險并將剩余風險降至可接受的水平。

第二步：評價被認為適當的內部控制活動是否按預定計劃執行（運用詳細評價模式）

在根據企業所面臨的具體風險確定了企業應當實施的內部控制活動后，審計人員就可以運用詳細評價模式對每一內部控制活動的具體執行情況進行評價。

在這一階段，內部審計部門人員的工作不再是關注內部控制的設計是否合理（已經在上一階段得到了確認），而是單純地檢查具體內部控制活動是否按照設計運行。如果審計人員在這一層面上使用詳細評價模式，需要有詳細的框架和條文進行對照。根據本文的分析，在這種無風險差異的層面上使用詳細評價模式并不存在缺陷（或這種缺陷在實務上是可容忍的）。

圖1表示企業中不同的風險層面劃分及其對應的內部控制評價模式和評價目標。

（三）企業總體層級風險與業務循環風險的對應關系

由于不同風險層面之間的對應關系非常復雜，評價主體往往難以確定業務流程或循環層面的風險是如何最終影響企業總體層面風險并構造企業整體風險結構的。本文認為，將不同層級的風險分別列于不同行列的矩陣工具將有助于內部審計人員在實務中完成這項工作。

這種對應關系可能并不存在于企業總體風險與業務循環風險兩個層面之間，也可能存在于單個業務循環風險和具體業務流程風險兩個層面之間。這取決于審計人員將“無風險差異層面”建立在哪個風險層面上。

1.雙層對應關系

如果內部審計人員認為“無風險差異層面”存在于企業單個業務循環層面，那么審計人員可以在企業總體層面與業務循環層面之間利用一個二維的矩陣建立風險的對應關系。

表5展示了將企業總體層面風險與業務循環層面風險進行對應的一個簡單矩陣。但這只是一個簡單的描述，實際工作中的矩陣將比表5復雜許多。

為方便表示，本文將常見的企業總體層面風險以及業務循環風險進行了如下編號：

企業總體層面分類編號：

（1）經營風險：J

1）產品不符合市場需求：J-1；

2）無法擴展新的市場：J-2；

3）錯誤地進入新行業而導致經營失敗：J-3。

（2）財務風險：C

1）財務報表無法反應企業真實的財務狀況：C-1；

2）應收賬款無法收回：C-2；

3）投資出現非預期的損失：C-3。

（3）法律風險：F

1）產品安全事故訴訟：F-1；

2）人力資源政策訴訟：F-2；

3）客戶信息保密訴訟：F-3；

4）環保訴訟：F-4。

業務循環層面風險編號：

（1）銷售與收款循環風險：XS

1）行業分析活df4abd5f74b6b5e671031ca6319eba90動無法達到預期效果：XS-1；

2）不（完全）執行客戶信用評價：XS-2；

3）未建立應收賬款賬齡分析制度：XS-3；

4）為追求銷售量而向經銷商提供了過多的折扣：XS-4。

（2）采購與付款循環風險：CF

1）為降低成本而采購了不符合生產要求的原材料：CF-1；

2）未建立采購合同簽訂的職責分離機制：CF-2；

3）缺乏現金計劃，無法及時支付貨款：CF-3。

（3）生產與存貨循環風險：SC

1）員工的生產技能無法滿足生產需要：SC-1；

2）倉儲條件不足以保持產品應有的性能：SC-2；

3）未建立存貨的職責分離機制：SC-3。

（4）人力資源與工薪循環風險：RG

1）員工對收入水平不滿：RG-1；

2）缺乏對員工的必要培訓：RG-2；

3）員工對企業忠誠度較低：RG-3。

（5）投資與籌資循環風險：TC

1）未建立投資業務的職責分離：TC-1；

2）投資業務未經過充分論證：TC-2；

3）有價證券的保管措施不充分：TC-3。

在使用二維矩陣時，審計人員可以從企業總體層面的風險結構出發，確認對這些總體層面風險產生影響的業務循環風險。也可以從業務循環風險出發，記錄不同業務循環風險分別對哪些總體層面風險產生影響，并進行累加或分配權重，以此對不同的同業務循環風險進行風險水平的評級。在分配權重時，審計人員可以完全依靠職業判斷，也可以將通過分解得出的次級風險進行兩兩比較，得到每一個次級風險的重要性（韓傳模、汪士果，2009）。

在此之后，內部審計人員可根據二維表中顯示的“風險地圖”評價企業的內部控制設計是否覆蓋了所有的風險點，且是否存在過度控制的情況。審計人員下一步的工作將是按照詳細評價基礎，選擇適用的框架和條文，對每一個已經確定具有適當性的、針對業務循環風險的控制活動進行運行有效性的評價。

2.三層對應關系

如果審計人員認為企業在單個業務循環層級的風險具有特殊性，而將“無風險差異層面”建立在具體業務流程風險層面上。這種雙層的對應關系將比上文中使用維矩陣的單層對應關系更加復雜。圖2是對這種雙層對應關系的一個簡單描述，但這并不是對某個企業風險狀況的真實描述，只是一個幫助讀者理解這種雙層對應關系的工具。

此時審計人員可以使用多個在結構上類似于表5的矩陣來建立這種雙層的對應關系，也可以使用一個簡化的三維矩陣來表示對應關系。

圖3表示內部審計人員在企業總體層面風險、單個業務循環層面風險，以及和具體業務流程層面風險之間建立對應關系的三維矩陣的一個簡單模型。在實務中，每條軸上的具體內容是由評價主體根據企業的具體情況自行填充的。

如果使用圖2所示的三維矩陣，審計人員可以首先從企業總體層面風險出發，確定其與不同業務循環層面風險的對應關系，以此在矩陣底面形成一個概括的企業風險分布圖。之后審計人員根據矩陣底面顯示的風險點在縱軸上尋找每個業務循環風險所對應的業務流程風險，而這些風險將被標記在這個三維矩陣的內部（可以被看作是一個立體的風險地圖）。在完成這一工作后，審計人員可以依據矩陣內部（不包括底面）所顯示的風險點來確認企業的內部控制設計是否合理（即是否完全覆蓋了這些風險點，但又不存在過度控制的情況）。

在三維矩陣中，不同企業在具體業務流程層面的風險被認為不再具有顯著差異。在利用三維矩陣對內部控制設計適當性進行評價后，審計人員下一步的工作與雙層對應關系下相同，仍然是通過詳細評價模式來確認這些針對每一個具體業務流程層面風險的內部控制活動是否正按照設計有效運行。

最后，本文所提出的在無風險差異層面使用的具體框架和條文不應當由政策制定機構頒布，也不應當是一成不變的。相反，本文認為這些框架和條文應當是評價主體和審計人員在實際的內部控制評價過程中自主開發和擴充的，其具體內容應當來自于實務經驗，并隨著實務經驗的發展而不斷改進。政策制定機構的責任應該是通過制定原則在企業繪制“風險地圖”的過程中給予指引。如果政策制定機構承擔了對框架和條文進行詳細規定的職責，這種整合的方法本質上就仍然是內部控制詳細評價模式的修正和變形。

【參考文獻】

[1] 韓傳模，汪士果.基于APH的企業內部控制模糊綜合評價[C].首屆內部控制專題學術研討會論文集，2009：334-346.

[2] 韓傳模，林野萌.基于BSC與AHP的企業內部控制評價體系構建[C].中國會計學會2011學術年會論文集，2011：1250-1262.

[3] 吳秋生，楊瑞平.內部控制評價整合研究[J]. 會計研究，2011（9）：55-60.

[4] 池國華，關建朋，喬躍峰.企業內部控制評價系統的構建[J]. 財經問題研究，2011（5）：87-92.

[5] 張兆國，張旺峰，楊清香.目標導向下的內部控制評價體系構建及實證檢驗[J].南開管理評論，2011，14（1）：148-156.