企業內部控制能力成熟度評價模型的構建研究

【摘 要】 現階段企業內部控制評價存在一定的主觀性和滯后性，難以及時客觀地反映企業的內控狀況。為客觀動態評價企業內控水平，文章從體系要素、業務流程、指標結果和管理手段四個維度出發，通過層次分析法構建內部控制能力成熟度評價模型，具體量化內控指標，評價企業內控所處等級，有效解決了內部控制評價主觀性強、結果滯后的問題，有助于企業客觀動態評價內部控制水平和所處階段，并進一步優化改進企業內部控制。

【關鍵詞】 內部控制； 能力成熟度評價； IC-CMM模型； 層次分析法

【中圖分類號】 F234.3" 【文獻標識碼】 A" 【文章編號】 1004-5937（2023）22-0105-08

一、引言

內部控制評價是指企業董事會或類似權力機構對內部控制的有效性進行全面評價，出具評價報告的過程[ 1 ]，是企業優化內控的重要手段，也是實務界和學術界關注的熱點話題。2019年財政部發布《上市公司2019年執行企業內部控制規范體系情況藍皮書》[ 2 ]，提出要加強內部控制評價力度，通過“以評促建”完善企業的內部控制體系。上海證券交易所前副總周勤業教授在2019年上市公司內部控制論壇上指出內部控制不只在于設計和運行，更重要的是評價。財政部在2022年印發的《會計改革與發展“十四五”規劃綱要》[ 3 ]中也強調各單位應當建立健全內部控制的監督檢查和自我評價制度，以此來進一步改進和加強單位內部控制。學術界對內控評價體系建設進行了大量研究，提出了基于企業風險管理框架的內部控制評價模型[ 4 ]、模糊綜合評價模型[ 5-6 ]、因子分析評價模型[ 7 ]、內部控制WSR三維評價模型[ 8 ]等。一些學者認為目前的內部控制評價仍存在不足：王海林[ 9 ]指出內部控制評價注重內控實施的結果，容易忽略內部控制實施的過程，導致內部控制評價缺乏動態持續性，此外內部控制評價的滯后性也不利于企業及時主動改善內部控制；徐飛和薛金霞[ 10 ]認為內部控制評價中存在的披露不充分問題限制了內部控制評價到內部控制管理能力的轉化。

能力成熟度模型（Capability Maturity Model，簡稱CMM）最初是軟件領域動態管理評估、持續優化改進軟件開發能力的工具，近年來成為企業管理的熱門手段，被用來動態評估認定某一管理體系所處的發展階段和水平。2009年王海林[ 9 ]首次將能力成熟度模型引入我國企業內部控制能力評價，提出了內部控制能力成熟度模型（IC-CMM）的思路和框架，但該文僅在理論上提出了動態評價企業內控能力水平的依據，缺乏內部控制能力成熟度評價指標體系設計以及模型運用的具體指導。陳力生[ 11 ]將內部控制能力成熟度模型與企業實踐相結合，設計了內部控制能力成熟度評價指標體系，但仍存在具體指標不夠細化的問題。因此，為科學合理評估企業內控水平，本文借鑒能力成熟度模型思想，完善內部控制能力成熟度評價指標體系，評價企業內部控制能力成熟度水平，以期實現企業內部控制從靜態分析到動態評價的轉變。

二、內部控制能力成熟度評價的核心內容

（一）能力成熟度評價

1979年質量大師菲利浦·克勞斯比[ 12 ]在其著作《質量免費——確定質量的藝術》一書中提出了著名的質量成熟度方格理論，該理論將企業的質量管理水平階段化，分為不確定期、覺醒期、啟蒙期、智慧期、確定期5個階段，用來描述企業質量管理從不成熟走向成熟的一個過程。此后，1986年美國空軍資助軟件工程研究所（SEI）等單位聯合開發用于評估軟件開發能力的方法，并給出軟件組織改進過程的框架。1987年瓦茨·漢弗萊在菲利浦·克勞斯比質量成熟度的基礎上開發了能力成熟度框架并將其帶到了卡內基·梅隆大學軟件工程研究所，增加和豐富了成熟度等級的概念。1991年能力成熟度框架正式發展成為能力成熟度模型（簡稱CMM）。CMM不僅適用于軟件領域的評估，而且其持續改進和動態評估的思想在其他領域也廣泛應用，大量學者在CMM的基礎上提出了項目管理成熟度模型、知識管理能力成熟度模型、人力資源能力成熟度模型等來動態評估對應領域的管理能力水平和所處的階段。此外，相關部門也成功將能力成熟度模型引入實踐中，工信部2016年發布《智能制造能力成熟度模型白皮書1.0》，旨在幫助企業依據成熟度模型進行自我評估和診斷，提升改進企業智能制造能力成熟度；中國航天科工集團2017年召開風險管理與內部控制能力成熟度評價工作部署會時，強調內部控制能力成熟度評價要重點關注體系建設、合規管理、關鍵業務、重要指標等，并根據標準評分的多少來評定成熟度等級。

與質量成熟度方格理論類似，能力成熟度評價依據CMM對軟件開發組織的能力成熟度評價分為五個等級：初始級（Initial）、可重復級（Repeatable）、已定義級（Defined）、已管理級（Managed）、優化級（Optimizing）。五個階梯式漸進的能力成熟度評價等級，代表能力成熟度從低到高、從不成熟走向成熟的演進過程，每個成熟度等級都有各自的管理工具和特點（詳見表1）。能力成熟度評價不僅關注管理的階段性，而且注重過程的動態優化：在分析方式上，相比質量成熟度方格理論對定性分析的重視，能力成熟度評價注重定性與定量分析相結合，使評價結果有“質”和“量”的雙重保證；在等級發展上，能力成熟度評價等級也更強調循序漸進、層層遞進發展。因此，通過能力成熟度評價企業可以判斷某一領域的發展水平，并根據劃分好的成熟度等級系統認定這一領域的能力水平，明確下一步的發展方向。

（二）內部控制能力成熟度評價

內部控制能力成熟度評價評定企業內部控制所處的發展階段，通過發展階段了解企業內控的整體水平，它伴隨企業內部控制的整個發展過程，是促使企業內部控制持續改進、不斷優化的有力工具。與其他能力成熟度評價模型相類似，內部控制能力成熟度評價模型也分為五個等級，各等級及特點分別如下：

內部控制能力成熟度等級1：準備級，內控隨意化。這一階段企業內控管理基本處于無序狀態，企業沒有內控意識和機制，制度缺失環節較多，業務流程的執行依靠人的理解，環節中的風險控制存在很多執行問題。

內部控制能力成熟度等級2：初始級，內控人控化。企業管理者意識到風險管理的重要性，開始關注重點環節的業務風險，但主要靠管理者的主觀理解和要求進行重點風險防控，這一階段的內控工作可能會改變其他人員的工作重點和方向。

內部控制能力成熟度等級3：提升級，內控標準化。企業開始推進內控的體系化建設，這一等級基本實現了各業務環節重點風險防控措施的制度化、流程化和表單化，內控團隊間能有效溝通，各部門或業務板塊間的風控協同較好，建立了跟蹤和檢查制度執行情況的監督部門，內控體系逐漸成熟完備。

內部控制能力成熟度等級4：管控級，內控信息化。內控信息化系統已經全面覆蓋企業各業務流程的關鍵控制環節，通過內控信息化實現了在內控上的互聯互通以及數據共享。通過內控信息化，企業建立相應的監控指標，量化管理企業的風險點，進而通過量化數據來監督內控的執行和判斷內控執行的有效性。

內部控制能力成熟度等級5：發展創新級，內控數智化。企業將所有控制措施進行數字化改造，所有業務重點環節的控制措施都能夠實現系統自動控制，做到機防機控，流程和業務的聯動控制很強，并能夠對內控管理的目標進行持續的量化監控和改進優化。此時，企業的內部控制水平已達最高，內控制度設計的健全性和合理性較高，內控制度的執行非常有效，在此狀態下，企業能夠實現自己的內控目標和長遠的戰略目標。內部控制能力成熟度評價模型的成熟度等級見圖1。

三、推行內部控制能力成熟度評價的必要性

內部控制能力成熟度評價能有效評估企業內部控制能力和所處的階段，有助于企業高層管理者在更高的維度全面深入了解企業內部控制所處的階段和水平。

（一）有助于企業了解自身內部控制成熟程度

內部控制能力成熟度評價是通過構建內部控制能力成熟度模型來量化內控環節、體系框架、運行結果、技術手段和管理工具等指標進行的等級判定，內部控制能力成熟度評價的五個等級是內控基于過程改進的階梯式框架，它指明了企業內控管理的主要工作及先后順序，有利于企業了解其當前內控的成熟程度，通過比較內部控制能力成熟度等級之間的差距，為企業進入下一等級內部控制成熟度水平提供改進方向，有助于找到實現下一等級內部控制成熟度水平的路徑和方法。

（二）解決內部控制評價主觀性較強的問題

內部控制評價是企業內部對內部控制設計和運行的有效性做出評價的活動，由于企業管理層的評價自由度較大，其在評價企業的內控時難免會摻雜主觀因素，造成評價結果的偏差。而內部控制能力成熟度評價是企業根據COSO發布的《內部控制——整合框架》（以下簡稱COSO框架）和我國《企業內部控制基本規范》，綜合內控手段、過程、結果等多個方面做出的科學客觀評價，結合企業內控定性信息，并具體量化了相關內控指標，定性定量相結合有效解決了內部控制評價主觀性較強的問題。相比之下，內部控制能力成熟度評價更具客觀性和權威性，更能客觀地反映企業真實的內部控制水平。

四、內部控制能力成熟度評價與內部控制評價的差異

內部控制能力成熟度評價是以內部控制能力成熟度模型為依據，評價企業的內控水平和內控所處的發展階段，與現階段企業內控評價在目標、出發點、參考依據等方面存在明顯差異。

首先，在目標及出發點方面，內部控制能力成熟度評價是以成長為導向，出發點是幫助企業更好地了解目前所處的階段，以推動公司內控走向成熟；而內部控制評價是以問題為導向，評價企業內控制度和流程執行過程的不足。

其次，在參照依據方面，內部控制能力成熟度評價是參照COSO框架和我國《企業內部控制基本規范》對企業內控所處階段進行判定，而內部控制評價主要是以企業的《內部控制管理手冊》和《內部控制評價手冊》為依據，對每個控制環節進行的評價。

最后，兩者的成果應用不同，內部控制能力成熟度評價通過管理層對公司內控能力水平和所處階段的認定，可以明確企業內控進一步建設的方向；而內部控制評價的成果是企業內控缺陷清單，旨在為各部門內控整改工作的開展提供參考。

因此，一定程度上可以說內部控制評價是內部控制能力成熟度評價的組成部分，好的內部控制評價工作體系是內部控制能力成熟度高的充分條件。但是內部控制評價中發現的內控缺陷越少，并不意味著內控工作執行得越好，更不能代表內部控制成熟度越高。相反，內部控制評價發現的缺陷越少，可能是公司無法自我發現問題、內部控制能力成熟度不高的表現。內部控制評價與內部控制能力成熟度評價兩者具體的差異見圖2。

五、內部控制能力成熟度評價模型的構建

總結相關文獻可以發現，迄今為止能力成熟度評價的研究主要圍繞項目管理，內部控制能力成熟度評價的研究相對較少，考慮到同為CMM思想在企業管理中的應用，本文參考其他相關能力成熟度評價方法，從維度設計、指標選取和模型構建三個維度介紹內部控制能力成熟度評價模型。

（一）維度設計

維度設計上，參考企業智能制造能力成熟度評價、財務共享服務中心能力成熟度評價以及創新管理能力成熟度評價等從資源投入（要素組成）、流程、輸出的結果以及管理工具和技術等視角來設計評價維度的做法，從體系要素、業務流程、指標結果、管理手段四個方面來設計內部控制能力成熟度評價維度，詳見圖3。

第一，體系要素維度。本維度主要關注資源投入和內控體系框架，考慮企業內控所處的環境、企業對存在或潛在風險進行的識別和應對、企業為達到內控目標所進行的控制活動及信息在內控活動中的傳遞與監督，從而判斷企業內控工作在整體資源配置方面以及體系框架方面的有效性和成熟度。

第二，業務流程維度。本維度關注企業內控執行過程，以企業具體的業務流程為對象，主要通過對每個業務流程的設計與管理來評價企業制度流程建設的水平，從而判斷企業內控工作在具體業務流程維度的有效性和成熟度。

第三，指標結果維度。本維度關注企業內控運行的結果，主要從企業經營是否合法合規、資金使用是否安全以及企業的盈利能力和成長能力方面的指標結果來判斷公司內控工作在具體成效上的有效性和成熟度。

第四，管理手段維度。本維度關注和強調先進技術與工具在內控工作中的應用，主要以內控的電子化、結構化、自動化、系統化、協同化為關鍵節點對企業內控工具的先進性和使用程度進行判斷，從而判斷管理手段維度在整體內控水平發展上的有效性和成熟度。

（二）各維度指標的選取

為具象化企業內部控制能力成熟度評價模型，將以上各維度研究內容劃分為一級指標和二級指標。

1.體系要素維度

體系要素維度的指標選取以COSO框架和我國《企業內部控制基本規范》歸納的內控五大要素為一級控制點，即選取內控環境、風險評估、控制活動等相關指標。其中企業內控環境中組織結構設置和發展戰略的制定越合理，人力資源激勵約束機制越健全有效，環保和資源節約意識越強，員工對企業文化的認同度越高以及員工的歸屬感越強烈；經營效果越好，財務報告可靠性、遵紀守法的意識和信息系統的信息化程度越高；風險管理委員會識別風險越及時，溝通的渠道和方式越多，越有利于內部控制能力成熟度的發展。為此，在體系要素維度方面選取5個一級指標和20個二級指標，詳見表2。

2.業務流程維度

業務流程維度下的指標包含流程的設計、執行和管理等指標。其中流程設計主要關注企業是否兼顧主流程、子流程以及操作層的流程設計，流程執行關注企業是否注重流程負責人“職位、職責、職權”分明，而流程管理主要強調流程的監督檢查與改進優化。業務流程維度方面共選取3個一級指標和6個二級指標，詳見表2。

3.指標結果維度

指標結果維度包含合規性指標、資產安全性指標、成長性指標和盈利能力指標，其中資產安全性指標越好、合規性指標如違規次數和訴訟次數越少、盈利能力越高，代表企業的內控水平越好，內部控制能力成熟度等級也越高。因此，指標結果維度方面共選取4個一級指標和12個二級指標，詳見表2。

4.管理手段維度

管理手段維度主要考慮電子化、結構化、自動化等指標，具體包含流程電子化、信息結構化、處理自動化等。其中內控管理手段越多、手段越先進，內控工作的效率也就越高，有助于提高內部控制能力成熟度等級。因此，管理手段維度方面共選取5個一級指標和5個二級指標，詳見表2。

（三）模型構建

構建能力成熟度模型的方法有很多種，主要有分級打分法、層次分析法、模糊綜合評價法、灰色聚類評價法等。每種方法都有其各自的特點和適用情況。其中，層次分析法因在構建上操作執行較簡便，應用性較強，本文采用層次分析法構建內部控制能力成熟度評價模型。建模過程中，層次分析法首先根據問題的性質和要達到的總目標，將問題或總目標分解為不同的因素；其次按照因素間的相互關聯影響以及隸屬關系將因素按不同層次進行分組，形成一個多層次的分析結構模型；最后將問題最終歸結為最低層（分目標）相對于最高層（總目標）相對權重的確定或相對優劣次序的排定，具體步驟如下：

1.內部控制能力成熟度模型權重的計算

（1）建立層次結構模型

首先運用層次分析法將內部控制能力成熟度的要素按照各自的屬性分為維度、一級指標和二級指標三個層次。層級關系上，上一層元素對下一層元素起著支配作用，即維度支配一級指標，一級指標支配二級指標。維度、各級指標的分層結構見表2。

（2）構造判斷矩陣

根據薩迪標度表中的重要性標度，將企業內控的維度、同一維度下的一級指標以及同一層次下的二級指標分別進行兩兩對比，得出維度及指標的權重，薩迪標度具體見表3。

以構造維度上的判斷矩陣為例，將體系要素維度、業務流程維度、指標結果維度和管理手段維度進行兩兩對比，根據薩迪標度的含義，對比各個維度的重要性來構造判斷矩陣A，企業內部控制能力成熟度評價維度上的判斷矩陣具體見表4。

判斷矩陣：A=X11 X12 X13 X14X21 X22 X23 X24X31 X32 X33 X34X41 X42 X43 X44

Xij是判斷尺度，此處代表的是維度Xi與Xj相比的重要性程度，若Xij=3，則表示維度Xi比維度Xj稍微重要。

（3）計算特征向量值（有方根法和和積法，此處用的是方根法）

首先計算判斷矩陣A每行元素的乘積Ti。

其中i代表判斷矩陣的行，而j代表判斷矩陣的列。

其次計算Ti的n次方根Mi，Mi=（n為判斷矩陣階數，如維度判斷矩陣階數為4）。

最后做歸一化處理Mi=Mi / （∑n i=1Mi），Mi就是第i個元素的權重。

（4）計算判斷矩陣A的最大特征值

A是判斷矩陣，Mi是第i個元素的權重，M是元素的權重向量。

（5）進行一致性檢驗

CI=（λmax-n）/（n-1）

CR=CI/RI

一致性指標RI的值隨著矩陣的階數變化而變化，可通過查表來確定RI值，如表5所示。

將CR值和0.1進行比較，當CR＜0.1時，說明維度上的判斷矩陣構建比較合理，通過了一致性檢驗；如果CRgt;0.1，則需要調整維度上的判斷矩陣，直至CRlt;0.1，通過一致性檢驗為止。同一維度下的一級指標和同一層級下的二級指標權重的計算可參考維度權重的計算過程，下文不再詳細列示。

2.內控能力成熟度評價等級的確定

確定維度和指標權重之后，從二級指標設置的控制點開始打分（百分制），將二級指標評分與對應權重的乘積匯總，便可得到對應一級指標的評分；同理將一級指標的評分與對應權重的乘積匯總后，便可得到對應維度上的評分。最后將四個維度的評分分別與對應權重相乘后再進行加總，便可得到企業內部控制能力成熟度評價的最終得分。將企業內部控制能力成熟度評價的最終得分劃分為五個等級，每個等級的分數區間包含下限值，不包含上限值。表6描述了內部控制能力成熟度等級與分數之間的對應關系。

六、有效開展企業內部控制能力成熟度評價的關鍵措施

企業在開展和推進內部控制能力成熟度評價工作時，應注意以下關鍵問題：

（一）結合企業實際情況細化評價內容

COSO框架和《企業內部控制基本規范》是通用的標準，在推行內部控制能力成熟度評價工作時，企業可以在COSO框架和《企業內部控制基本規范》的基礎上結合自身內控管理和業務活動的特點，科學設計評價指標體系，細化二級評價指標，并制定相關的實施細則。

（二）加強內部控制能力成熟度評價過程的控制

引導和監督評價人員遵守COSO框架和《企業內部控制基本規范》標準的要求，落實定性和定量評價的要求與方法，嚴格區分內部控制評價和內部控制能力成熟度評價的差異，避免將內部控制能力成熟度評價做成內部控制評價，導致企業無法及時客觀發現內控存在的問題。

（三）關注評價后的改進活動

內部控制能力成熟度評價后的改進活動是進一步提升企業內控管理的關鍵環節，包括對成熟度評價過程中發現問題的原因分析和改進措施的制定與落實，全面梳理內部控制體系建設及關鍵控制點等方面的缺陷，做到整改歸零，強化內控管理。

七、研究結論

本文從四個維度、五個等級構建了內部控制能力成熟度評價模型，該模型能夠客觀動態評估和判斷企業當前內控的水平及所處階段，有助于企業及時發現內控存在的問題。企業應科學設計與構建內部控制能力成熟度評價指標體系和評價模型，結合實踐細化評價指標，制定實施細則，落實評價要求，關注內部控制能力成熟度評價后企業的整改情況，持續優化，循序漸進地推動企業內控走向成熟。

【參考文獻】

［1］ 丁妥，張艷輝，姚增輝.行政事業單位內部控制評價指標體系構建研究：以×大學為例［J］.會計之友，2018（4）：102-106.

［2］ 會計司.《上市公司2019年執行企業內部控制規范體系情況藍皮書》正式發布［EB/OL］.中國財政部網，2021.

［3］ 會計司.扎實推進企業和行政事業單位內部控制建設 為推進國家治理體系和治理能力現代化提供重要支撐——《會計改革與發展“十四五”規劃綱要》系列解讀之八［EB/OL］.中國財政部網，2022.

［4］ 陳關亭，黃小琳，章甜.基于企業風險管理框架的內部控制評價模型及應用［J］.審計研究，2013（6）：93-101.

［5］ 楊穎.民營企業內部控制模型構建及模糊綜合評價［J］.統計與決策，2018，34（5）：180-183.

［6］ 吳穎，張永紅.基于AHP-fuzzy法的煤層氣企業內部控制評價研究［J］.煤炭工程，2020，52（6）：191-196.

［7］ 徐天舒，馬珺.上市企業內部控制有效性評價實證檢驗［J］.統計與決策，2019，35（21）：174-177.

［8］ 黃溶冰.基于WSR的人本和諧與內部控制有效性［J］.管理評論，2021，33（5）：76-86.

［9］ 王海林.內部控制能力評價的IC-CMM模型研究［J］.會計研究，2009（10）：53-59.

［10］ 徐飛，薛金霞.內部控制評價、審計師監督與股價崩盤風險：“治理觀”抑或“機會觀”［J］.審計與經濟研究，2021，36（4）：33-45.

［11］ 陳力生.基于成熟度模型的內部控制評價系統構建［J］.中國管理信息化，2009，12（2）：51-54.

［12］ 克勞斯比.質量免費：確定質量的藝術（第1版）［M］.楊鋼，林海，譯.北京：中國人民大學出版社，2006：34-35.