地方财政内控能力成熟度的测评研究——基于ICM－LF模型

田志刚

（南京财经大学 财政与税务学院，江苏 南京 210046）

一、问题的提出

由于我国地方财政负债的增加、职能扩展以及机会主义行为的推波助澜，使地方财政债务风险加剧、财政资金流失严重与财政腐败案件频发。没有可靠的证据表明财政支出可以促进人均产出的增加［1］，预警与控制地方债务风险、保证财政资金安全、追求财政决策科学性成为地方财政管理改革的重点。在各项改革方案中，构建能发挥对地方财政风险识别、预警与规避的内部控制制度理念得到普遍认可［2］。但在实践中，尽管一些财政部门建立了内部控制制度，却存在一些问题，具体表现为：

其一，构建财政内部控制制度的主线不明确，各地方的财政内部控制制度设计多种多样，以粗线条的财政管理规章、条例充当财政内部控制制度的做法非常普遍，实践价值较低，甚至流于形式；

其二，建立起来的财政内部控制制度只注重对财政部门业务流程的描述，而忽视对财政业务流程关键风险点的识别，对财政业务风险点的预警与控制方案的设计上也停留在依靠“人员”及“条例”约束的传统管理模式上。

这些问题的存在表明：当前我国各级地方财政部门内部控制能力存在着较大的差异与不足，需要给予测评并加以健全。那么，为了能够准确地评价各级地方财政部门内控框架、运行过程及结果的质量，亟须建立完整的地方财政内控能力成熟度等级的测评体系，使各级地方财政部门内控实践能得以不断地修正。基于上述现实，本文将紧密结合内控理念、原理及框架，来构建地方财政内控能力成熟度的测评模型（internal control maturity model for local public finance，简称“ICM－LF”模型），期望能对财政领域内控能力的提升有一定的理论与实践意义。

二、对ICM－LF模型的初步解释

本文构建的ICM－LF模型是借鉴软件生产能力成熟度模型（capability maturity model for software，简称“SW－CMM模型”）的基本框架。SW－CMM模型是由美国卡内基梅隆大学软件工程研究所（CMU SEI）研究出来的一种用于评价软件承包商能力并帮助改进软件质量的方法，其目的帮助软件企业对软件工程过程进行管理和改进，增强其开发和改进能力。SW－CMM模型的理念可以为地方财政内控能力成熟度的测评提供很多启示，以此来构建全新的ICM－LF模型。

地方财政内控能力成熟度是指各层级地方财政部门所运行的内控制度、内控活动及结果的明确且有效的程度，本质上是风险控制能力的综合，以成熟度等级标示。一个成熟度等级代表了内控制度对风险控制目标的满足程度，对其可以从三个主要方面进行考量：内控制度的完善程度、内控制度执行过程的高效性与执行结果的有效性。内控能力成熟度等级越高意味着内控制度的健全程度与执行效果愈好，反之亦然。

本文拟采用分层的方式来安排成熟度测评模型的组成部分。这个分层结构的一个主要特征是：那些与判定成熟度等级有关的组成部分处于模型的顶层。它们是：成熟度等级，关键风险控制域与各个关键风险控制域所属目标，而这个模型中的细节组成部分：关键内控实践，从属内控实践以及相应的方针、规程都由被评价的财政部门对应的控制活动所显示。

在ICM－LF模型的基本框架中，能力成熟度等级、若干关键风险控制域、所属目标、关键内控实践、从属内控实践与补充性说明构成了地方财政内控能力成熟度的测评元素，选择这些测评元素的主要标准有：其一、测评元素要与内控管理的特质具有高度的契合性；其二、能够科学地测评各层级财政部门内控实践的合理性与控制力；其三、通过测评元素能够识别出内控实践的关键缺陷并给出明细方案。

在实践中，ICM－LF模型主要应用在两个方面：一方面，通过对内控能力成熟度测评元素的分层次设定，为地方财政部门提供评价内控实践能力的方法；另一方面，识别出对地方财政内控过程与质量有影响的一些关键问题，帮助财政部门确立精确的改进目标及路径。

ICM－LF模型具有描述性与指示性双重属性，赋予这种双重属性的目的是有意地使它处于一个适当的抽象程度，从而避免不适当地促使或限制一个财政部门去改进它的制度模块，因此，ICM－LF模型着重描述部门要满足的内控目标，指明要做什么，对如何做只给出框架性的建议，从而使财政部门可以选择其认为的最适当的方法去完成所要求做的事情［3］。

三、对ICM－LF模型的具体构建

图1 ICM－LF模型的基本框架

依据ICM－LF模型的基本框架，本文将地方财政内控能力成熟度等级由低到高依次划分为初始级、定义级、控制级与优化级，并就每一等级定义其应该包括的关键风险控制域（KRCA）——由一组风险控制目标构成的集合。一个成熟度等级的关键风险控制域（KRCA）所属目标可以分解为多个方面，这些目标代表着地方财政内控能力符合某一成熟度等级应达到的具体条件，或者是要达到该成熟度等级必须满足的基本标准［3］。ICM－LF模型假定：地方财政部门的关键控制实践、从属控制实践及补充性说明只有实现了某一成熟度等级关键风险控制域所设定的所有目标，才会认同其内控能力达到了这个成熟度等级。

（一）地方财政内控能力成熟度等级特征的描述

对地方财政内控能力成熟度等级特征的描述可以从内控理念、内控环境、内控制度化程度、内控执行效率、内控修正能力五个方面来进行。

1．初始级。地方财政部门对内控制度已经有了一定程度的需求，但还未能建立起科学的内控理念，内控环境不稳定，内控制度流于形式，在内控制度执行过程中还依靠传统的管理方式，对关键风险点的识别、预警与规避不能采取有效地的内控方案，执行效率较低，还谈不上内控修正能力。

2．定义级。地方财政部门对内控制度有了较深程度的认识，对控制基本的目标、控制原则与标准已文档化，并按照这些目标、原则、标准构建了内控环境体系；认真梳理过各部门的业务模块及流程，对模块及流程上的风险点也有了清晰的标示，并据此建立了一套针对业务风险点的内控制度；但部门的各科室对内控制度执行效率不高，各业务科室还不能根据已有的内控规则对经济风险、技术风险与管理风险进行有效地规避与化解，风险发生频率仍然很高；已经初步建立内控修正意识，但修正机制还未形成制度化的规则，实践修正过程随机而零散。

3．控制级。对内控目标、原则与标准的认识理念更加深入，包括部门内控机构设置标准、责任分配与授权原则、技术与管理手段等已完全具体化、文本化，并在内控的实践中被严格贯彻执行；内控制度有适度的外延，在注重对业务风险控制的同时，内控制度融入了公平、效率与成本等元素［3］；在各业务节点上，有明确的内控方案，各业务科室能高效地利用这些内控方案对可能发生的风险进行预警、规避，风险发生频率较低；内控修正机制已经建立，设计了内部控制有效性的评价标准及程序，并周期性地进行修正。

4．优化级。这是地方财政内控能力成熟度的最高等级，达到优化等级的财政部门从内控制度的设计、过程的执行及效果的评价都融入了定量管理元素。在绘制财政部门业务流程与关键风险点复合图的基础上，能采用合理的评估方法来估测各业务节点发生风险的概率与风险发生后导致资源的损失程度；内控方案的选择是基于成本—效益测算下的结果，对内控方案的有效性也进行过严格的数理检验；财政部门对内控体系存在的问题具有“动态性”的修正能力，能综合分析各种数据信息，实现对内控系统增量式的改进、健全与革新。

（二）关键风险控制域及目标的设计

除初始级外，每个内控能力成熟度等级都包含着若干个对该成熟度等级至关重要的关键风险控制域。关键风险控制域作为ICM－LF模型中相互关联的若干控制风险实践活动的集合，指出了达到某一成熟度等级必须解决的具体问题与关键领域，它是构建ICM－LF模型的基础。每个KRCA都明确地列出一个或多个的目标，这些目标说明了关键风险控制域的作用范围、界限与意图，其实现程度可以作为财政部门内控实践是否符合某一成熟度等级的判定依据。

在关键风险控制域的设计过程中，默认高成熟度等级的控制域已经覆盖并达到低成熟度等级控制域及目标的要求，并有新的目标提出。依据这一思想，各成熟度等级的关键风险控制域及目标设定如下：

1．初始级的关键风险控制域及目标。由于成熟度等级中的初始级是无序的，缺乏对风险控制的健全实践活动，所以对其关键风险控制域只设定为：内控制度需求。

2．定义级的关键风险控制域及目标。定义级意味着测评对象已经建立起风险控制的目标、原则及标准以及内控制度体系，所以其关键风险控制域设定为：内控环境构建、人员与设施配备、业务模块及节点标示、关键风险点识别、内控方案制定。应实现的目标为：稳定的内控环境、内控要素文档化、业务节点描述清晰、风险点定位准确及有相应的内控方案。

3．控制级的关键风险控制域及目标。控制级意味着测评对象能对经济风险、技术风险与管理风险能进行有效地识别、预警与化解，并初步建立内控修正意识，所以其关键风险控制域设定为：组织结构设计与责任分工、集成管理方式的形成、业务节点风险的规避、内控修正机制的建立。应实现的目标为：内控责任界定清晰、内控已软件化、内控方案有效、内控修正机制运行良好。

4．优化级的关键风险控制域及目标。优化级意味着测评对象已经实现对风险的定量管理模式，并能正确分析缺陷并予以修正，所以其关键风险控制域设定为：定量管理技术的建立、风险概率及损失测度、内控方案的量化选择、内控系统的增量式改进。应实现的目标为：具备完备的定量技术及条件、风险概率及损失分析已定量化、数理检验是选择内控方案的基础方法、建立了预见性的内控修正机制。

表1中的关键风险控制域与目标的实现程度有赖于财政部门内控实践活动的质量，两者有着指向与支撑的逻辑关系。在现实中，尽管由于内控理念、组织结构、人员配备、业务流程与基础设施等存在差异，导致财政部门间内控实践活动的完整性、合理性及深入度存在较大差距，但基于内控理念、框架、路径及方法上的分析，财政部门具体内控实践活动范围却具有大体上的一致性，一般包括内控意识、执行约定与能力、风险测量与验证、执行活动、内控修正等内容［4］，在运用ICM－LF模型测评财政部门成熟度等级时，主要考察这些内控实践活动与关键风险控制域及目标的契合度，从而得出合理的测评结论。

表1 关键风险控制域及目标

四、基于ICM－LF模型的测评与成熟度改进

ICM－LF模型是一个系统性的框架，用来诊断地方财政部门内控过程与结果的合意性，通过准确、合理与有效识别相关信息，来确定财政部门内控的关键优点与缺陷，并为其达到更优化的成熟度等级给出指引。在实践中，ICM－LF模型可以用于上级对下级内控能力成熟度的测评，也可以用于财政部门对内控成熟度的自我评价，那么，在完成ICM－LF模型构建的基础上，还需要进一步解答如何利用ICM－LF模型进行测评、财政部门如何提升能力成熟度这两个问题。

（一）基于ICM－LF模型的测评过程

利用ICM－LF模型的具体测评过程可以描绘成如下图2所示：

图2 基于ICM－LF模型的测评过程

第一步，建立内控能力成熟度测评小组，成员必须熟知内控理念、框架及要素，对ICM－LF模型有充分的认知并有能力进行扩展及修正，因为测评过程遇到的情况较为复杂，ICM－LF模型并不能完全予以概括与点明。

第二步，对被测评部门的内控制度文本、内控活动记录及风险处理等数据资料进行描述性统计，并以ICM－LF模型的框架与要素为依据设计问卷，随后有目标地选择管理人员完成此问卷。

第三步，测评小组对所获的信息进行分析，并以文档的形式记录分析结论，识别需要进一步探查的关键风险控制域及所属目标。

第四步，测评小组根据信息分析的结论，对管理者进行访谈，通过提问、倾听、比较来确认相关信息，进而判断关键风险控制域及所属目标的实现程度，当认为存在明确差异时，必须给出具体说明［5］（P207—208）。

第五步，制作内控问题清单，并绘制出一个关键风险控制域剖面图，显示部门已满足或未满足的关键风险控制域及目标的领域。

第六步，根据测评过程和关键风险控制域剖面图，评定财政部门内控能力成熟度等级，并向财政部门的管理层提供最终测评结果。

（二）内控能力成熟度等级的提升

当财政部门内控能力被认定为处于较低成熟度等级的情况下，就存在内控能力成熟度等级亟待提升的问题，而提升的执行者应该是财政部门本身。内控能力成熟度等级提升的线路包括：诊断与目标确立、路线与策略拟定、提升与行动、总结与再推进。具体结构见图3：

图3 财政部门内控能力成熟度提升路径

尽管ICM－LF模型不能解决该领域的所有问题，但为地方财政部门内部控制能力成熟度的测评提供了基本思路与框架，具有非常强的实践价值。ICM－LF模型中蕴含有规则、纪律、批判、认同等价值判断元素，核心动力是对人的理念与团队精神的尊重。ICM－LF模型是动态的，它会经历由简单到复杂、由元素缺少到元素丰富的过程，这一切将得益于对该领域的不断深入研究。

［1］王宝顺．财政支出与经济增长：基于VAR模型的跨国研究［J］．贵州财经学院学报，2011，（5）：48—52．

［2］田志刚，郑斌．基于内部控制视角下的地方财政管理［J］．财政研究，2009，（1）：39—41．

［3］王海林．内部控制能力评价的IC－CMM模型的研究［J］．会计研究，2009，（10）：53—59．

［4］田志刚．地方财政内部控制框架及构建研究［J］．中南财经政法大学学报，2009，（2）：47—50．

［5］华小宁，梁文昭，陈昊．整合进行时——企业全面风险管理路线图［M］．上海：复旦大学出版社，2007．