基于能力成熟度模型的財務內控成熟度評價體系構建及信托公司財務內部審計側重初探

■尤然

基于能力成熟度模型的財務內控成熟度評價體系構建及信托公司財務內部審計側重初探

■尤然

信托公司是以信任委托為基礎，以受托人身份承諾信托和處理信托事務的非銀行金融機構，由于信托公司經營業務的特殊性，導致其財務核算也表現為有別于一般企業的特點。本文通過引入能力成熟度模型，對財務內控進行量化和分級，并針對信托公司財務特點，設計有效的內部審計側重，從而提高審計效率和效果。

信托公司；能力成熟度；財務內部審計側重

一、能力成熟度模型及在內部控制中的運用

（一）能力成熟度模型的含義

能力成熟度模型（CapabilityMaturityModelfor Software），最早起源于20世紀80年代，是美國卡內基·梅隆大學為美國國防部開發的一種對軟件開發過程能力進行管理的評估標準。能力成熟度模型根據軟件生產能力使用5個不斷進化的層次表達：初始級是混沌的軟件過程，簡單級是經過訓練的軟件過程，規范級是標準一致的軟件過程，精益級是可預測的軟件過程，戰略級是能持續改善的軟件過程（見圖1）。經過不斷完善，能力成熟度模型已成為具有廣泛影響的軟件評估模型，并在全世界推廣實施。由于其對管理能力評價和改善的持續關注，逐漸被應用于組織流程評價、安全工程、人力資源管理等領域，出現了系統工程成熟度、項目管理成熟度、供應鏈管理成熟度、工作能力成熟度等不同的成熟度模型。

圖1 能力成熟度模型等級劃分

（二）能力成熟度模型在內部控制中運用的可行性

一方面，能力成熟度模型的主要用途是過程評估、過程改進和能力評價，其核心是通過“持續改進”，達到對流程和能力的不斷優化和完善，這與COSO委員會對內部控制的定義“由企業的董事會、管理當局以及其他員工實施的，為經營的效率效果、財務報告的可靠性、相關法律的遵循性等目標的達成而提供合理保證的過程”不謀而合；另一方面，對軟件的評價需要從多個方面進行測評，進而將軟件成熟度從低到高分為五等級，而對內部控制的評價也需要從內部環境、風險評估、控制活動、信息與溝通、內部監控等多個維度進行綜合測評，因此能力成熟度模型中以不同等級對軟件開發能力進行評價的方法同樣可以被應用于對企業內部控制能力進行評價，形成內部控制成熟度模型。

（三）內部控制成熟度模型的等級劃分

參照能力成熟度模型，內部控制成熟度也采用5個由低到高，不斷進化的等級代表5種具有特定成熟度特征的內控水平：初始級，其特征是管理過程混亂無序、隨意性強，成功往往依靠個人的才能和經驗；簡單級，初步建立了管理體系，對一些關鍵控制點進行了界定，控制活動的執行基本有效；規范級，形成較完善的管理體系，控制規范得到團隊人員很好的理解和遵循；精益級，對管理過程進行量化，通過加權平均分析管理中存在的不足，并予以改善；戰略級，管理處于最高水平，形成了不斷改進不斷優化的良性運行機制。

二、信托公司財務特點、財務內部控制能力成熟度指標系統的建立

（一）信托公司財務特點

一是固有、信托業務之間、不同信托項目之間分開建賬、獨立核算。根據《中華人民共和國信托法》第十四條、第十六條規定，受托人因承諾信托而取得的財產為信托財產，信托財產與屬于受托人所有的財產（即固有財產）相區別，不得歸入受托人的固有財產或成為固有財產的一部分?；诖?，信托公司須分別設立信托財務部和固有財務部，在進行會計核算時，兩個部門分開建賬、獨立核算，保證信托財產及其收益的獨立性。同時，由于不同的信托項目約定的管理運用或處分信托財產的方式各不相同，而且必須向委托人、受益人披露信托財產管理、處分及收支情況，因此，信托公司財務部門必須對每個信托項目建立獨立的會計賬套，開設專門的信托專戶，編制獨立的會計報表，再匯總成為信托業務匯總報表。二是信托業務不并表。由于信托財產屬于委托人，不屬于信托公司固有財產，因此信托公司對信托財產、固有財產分別編制會計報表，并且以反映公司實際資產狀及經營情況的固有財務會計報表作為對外披露的唯一會計報表。為了避免與公司實際資產經營情況混淆，基于信托財產管理、運用編制的信托業務報表不合并到信托公司會計報表中。三是根據資產質量計提貸款損失準備。與一般工商企業主要以賬齡作為應收賬款計提壞賬準備的依據不同，信托公司需要定期對期末貸款和其他信用風險資產的凈值、債務人的償還能力、信用評級情況和擔保情況進行評估，并將風險資產劃分正常、關注、次級、可疑和損失五類，同時按照分類結果的不同分別計提損失準備。四是長期資產少，實物財產豐富。

與傳統的制造業企業不同，信托公司屬于“輕資產”公司，從資產負債表上表現為應收款項類投資、可供出售金融資產等流動資產較多，而固定資產、投資性房地產等非流動資產較少。同時，由于信托公司固有和信托財務分離，信托財務部門管理著大量財產權證、印鑒、票據和法律文件。

（二）財務內部控制成熟度評價指標及評分方式

首先，以COSO委員會頒布的企業風險管理框架（ERM）的8個要素作為財務內部控制成熟度指標體系的一級指標，即內部環境、目標制定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控，并通過對一級指標的進一步細分，構建出包含28個二級指標的評價體系；然后，根據8個一級指標、28個二級指標對財務內控的重要性水平采用分級打分的方法進行量化，確定每個指標的權重（見表1）；最后，根據企業財務管理的實際情況，對各項指標進行打分，并根據匯總后的分值將財務內部控制成熟度分為初始級、簡單級、規范級、精益級和戰略級。

表1 財務成熟度評價指標系統及評分標準表

（三）財務內部控制成熟度不同級別的含義

1.初始級：即總分＜60。企業財務內部控制制度存在嚴重缺陷，各重要業務環節均缺乏有效的內部控制，存在嚴重風險隱患。內部控制設計不健全、不合理。同時，內部控制執行無效，在各項二級指標中得分均很低，匯總得分低于60分。

2.簡單級：即60≤M＜70。企業已經初步建立了一個比較有效的財務內部控制體系，對一些基本控制點進行了界定，內部控制設計基本健全與合理，內部控制執行基本有效，在各項二級指標中得分參差不齊，但普遍仍處于較低層次，匯總得分低于70分。

3.規范級：即70≤總分＜80。企業財務內部控制管理已步入規范化進程，內部控制系統更加有效與成熟，并形成較完善的制度。從內部控制的設計角度看是基本健全、適當的，從內部控制執行角度看是有效的。企業在內部控制成熟度評價的各項二級指標中得分有高有低，但普遍處于中高層次，匯總得分高于70分，但低于80分。

4.精益級：即80≤總分＜90。企業財務內部控制管理已經能夠量化，即企業對財務內部控制評價指標的各項因素均得到量化，通過打分的方式，加權平均分析企業財務內部控制成熟度水平。從內部控制設計角度是健全的、適當的，從內部控制執行角度看是有效的。企業在各項二級指標打分上均處于較高水平，匯總得分超過80分，低于90分。

5.戰略級：即90≤總分≤100。企業內部控制管理水平已經處于最高階段，能夠從戰略管理的高度來規劃企業的財務內部控制體系。從內部控制設計的角度看是健全的、合理的、適當的，從內部控制執行的角度看是非常有效的。企業在各項二級指標的得分上均處于很高水平，匯總得分在90分以上。

三、針對不同內控成熟度級別的財務內部審計側重

（一）初始級、簡單級的財務內部審計側重

當信托公司財務內控成熟度屬于初始級或簡單級時，說明財務內部控制尚屬于初始階段，在內控設計和執行中均存在明顯缺陷和不足，無法對所有風險控制點進行識別、界定、控制。鑒于此，在對內控設計進行審計時，一方面應從已有規章制度的合規性、合理性、完善性入手，梳理財務管理體系是否覆蓋計劃財務、信托財務、會計核算、財務報告等各流程，是否對固有與信托財產分離、撥備計提、固有與信托會計崗位設置等關鍵風險點進行了明確和控制，是否存在明顯有悖于國家法令法規、與公司其他制度相沖突等情況，從而杜絕因制度缺失、沖突、不適用等誘發的操作風險、監管風險以及法律風險；另一方面，對尚未覆蓋的風險點，要根據潛在風險發生的頻率和嚴重程度高低，建議財務部門及時出臺相應的制度規范。在內控執行的審計方面，一要關注會計基礎操作，如不相容崗位是否得到實質分離，會計科目使用、金額計算是否準確，現金管理、銀行賬戶的開設和注銷是否合規，會計憑證、賬簿的復核、裝訂、保管是否規范等；二要關注會計信息系統建設，即是否通過引進成熟、可靠的財務系統，以系統自動控制替代人為控制，降低人為操作的風險；三要關注財務部門自身控制手段的實施，即是否通過資產盤點、賬實核對、賬賬核對、資產登記等方式，對現金、空白支票和發票、網銀秘鑰、財務印鑒等資產的安全性和完整性進行有效檢查和核實。

（二）規范級的財務內部審計側重

當企業財務內控成熟度屬于規范級時，說明企業財務內部控制已步入規范化進程，內部控制體系較為完善，內部控制的設計和執行均是較為健全和有效的。在這一時期，隨著管理的逐步規范，信托公司將進入業務擴張階段，特點為新設機構（如股權投資或基金子公司、區域業務總部、區域財富管理中心等）和新興業務（如資產證券化、PPP、消費信托等）的增加。為此，對內控設計的審計重點也應轉向對這些新設機構和新興業務的財務管理規范性上，如對外設機構財務授權明確性及合理性、費用預算編制與任務規模的匹配度，新興業務的會計核算方式、資金調撥、會計資料流轉是否規范等。在內控執行的審計中，應對上述內控設計的執行情況進行檢查，并根據重要性水平，靈活采取包括實地查驗等方式，對外設機構的會計檔案、權證、印鑒及授權管理進行檢查。

（三）精益級、戰略級的財務內部審計側重

當企業財務內控成熟度屬于精益級或戰略級時，說明企業財務內控水平已上升到相當高的層次，可以通過量化管理的方式對財務內部控制全過程進行分析并對風險采取相應的預防措施。從內部控制設計角度上看是健全的、適當的，從內部控制執行角度看是有效的。在這一階段，內部審計應淡化傳統的合規性檢查而突出對財務工作的咨詢與評價職能。一是通過檢查財務戰略與公司戰略的一致性，審視和評價財務管理工作在為公司降低資金成本、提升資金使用效能、為業務提供流動性支持、稅收籌劃、財務信息披露等方面是否對公司戰略目標的實現提供有效、及時的支持；二是關注財務部門對自身工作的持續監督及評價，即財務部門是否對財務控制各環節進行自檢自查、并通過不斷完善和細化自查手段和方式，對內控實施情況做出客觀評價并針對存在的瑕疵進行改善；三是檢查公司是否建立了包含財務管理在內的業務連續性管理體系，對因突發事件導致的流動性危機、財務數據泄露等風險建立包含風險識別、應急報告、損失評估、風險處置、恢復與改進、培訓與演練在內的應急機制。

四、結束語

通過運用能力成熟度模型對財務內部控制成熟度進行分級和評價，使審計工作能夠更加有效的識別信托公司財務內部控制中存在的薄弱環節，有的放矢的解決關鍵問題，提升內部控制管理水平。但應注意的是，企業財務內部控制體系的建立健全是一個不斷完善的過程，因此在進行信托公司財務內部審計時，應結合公司實際，密切關注業務及財務操作的變化，更有針對性的開展工作。

［1］王兵，劉力云，鮑國明.內部審計未來展望［J］.審計研究，2013，（5）.106-112.

［2］李欣.項目管理成熟度模型及其評估方法研究［D］.西安：西北工業大學管理科學與工程系，2004.

［3］曹良軍.信托公司風險導向內部審計研究［D］.重慶：重慶大學經濟與工商管理學院，2008.

［4］吳世亮，黃東萍.中國信托業與信托市場［M］.北京：首都經濟貿易大學出版社，2010.

（作者單位：華融國際信托有限責任公司）