企业内部控制审计评价体系构建与应用
——基于模糊综合评判模型的研究

湖南商学院审计处 邱高松

企业内部控制审计评价体系构建与应用
——基于模糊综合评判模型的研究

湖南商学院审计处 邱高松

2010年4月，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》，连同此前（2008年6月）发布的《企业内部控制基本规范》，标志着以防范风险和控制舞弊为中心，适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本形成。《企业内部控制配套指引》中的《企业内部控制审计指引》，对如何实施企业内部控制审计，提供了指导性意见和宏观性规定，但在内部控制审计如何进行评价等问题上，目前尚未作出具体规定，即缺失企业内部控制审计评价体系。显然，要实施企业内部控制审计，并对企业内部控制作出审计评价，构建一套与之相适应的审计评价体系及其评价模型，无疑是非常必要而迫切。为此，本文对如何构建企业内部控制审计评价体系及其评价模型进行思考，为企业内部控制审计实务提供借鉴。

一、企业内部控制审计评价体系构建原则

企业内部控制内涵丰富，是一个具有多层次、结构复杂和诸多影响因素的动态系统。因此，对企业内部控制进行审计评价，应该从多个层面和角度设计评价体系，才能准确反映企业内部控制设计及其有效性状况。为此，构建企业内部控制审计评价体系需遵循以下原则：

（一）科学性原则 企业内部控制审计评价体系的构建及指标选择，应当按照我国企业的实际情况与要求，结合我国企业的制度背景特点，做到客观可信、符合实际和科学合理。

（二）系统性原则 企业内部控制审计评价体系的构建及指标选择，应当全面考虑企业内部控制影响因素，系统地反映企业内部控制的本质特征和目标要求，使审计评价结论客观公正地反映企业内部控制的质量和水平。

（三）层次性原则 企业内部控制审计评价体系的构建及指标选择，应当按既定标准划分若干个层次，每个层次设置若干个具体评价指标，使评价体系层次清晰、简明易懂，能够从不同的层面反映企业内部控制状况。

（四）制衡性原则 构建企业内部控制审计评价体系，应当在治理结构、机构设置及权责分配、营运范围及业务流程等方面，形成既相互联系和相互补充，又相互制约和相互监督，同时兼顾内控运作效率。

（五）可操作性原则 构建企业内部控制审计评价体系，应当考虑实践操作性，评价指标数量力求少而精和简易可行，在人力、财力、物力和信息运用方面，易为人们所接受和掌握，采用的评价方法亦当具有可操作性。

二、企业内部控制审计评价体系的结构设计

企业内部控制审计评价体系，应从企业内部控制的构成要素着手，多层次、多角度地对企业内部控制审计评价指标进行设计。

（一）评价体系设计思路 构建企业内部控制审计评价体系，其设计思路主要有两种：一种是按内部控制的要素，另一种是按内部控制的目标。两种思路的根本性区别在于评价主体（或评价角度）和评价指标的选取不同。根据《企业内部控制审计指引》中所称“企业内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计”的规定，明确了企业内部控制审计必须是对企业内部控制的设计与运行有效性情况进行审查和评价。基于此，本文以企业内部控制的构成要素为基本思路，即参照《企业内部控制基本规范》中规定的企业内部控制构成要素（内部环境、风险评估、控制活动、信息与沟通、内部监督），构建企业内部控制审计评价体系。

（二）评价体系结构设计 根据上述构建原则和设计思路，本文以企业内部控制为评价目标，分内部环境、风险评估、控制活动、信息与沟通、内部监督5个主评价要素，构建一套由16个次评价要素、41个具体评价指标组成的企业内部控制审计评价体系。其评价体系结构如图1所示。

不难发现，该评价体系主要具有以下显著特点：第一，评价体系针对企业内部控制各构成要素，并充分考虑各构成要素的影响因素，具有全面系统性；第二，各具体评价指标的选取，切合我国企业实际情况，简洁明了、通俗易懂，体现较强的现实可操作性；第三，评价体系是针对一般企业设计的，在我国企业领域可以普遍适用，具有通用性。但由于该评价体系中大量定性指标的存在，要求在企业内部控制审计实践中配备与之相适应的专家参与，这对审计评价结论的客观性难免产生一定程度的负面效应。

三、企业内部控制审计评价模型建立

鉴于企业内部控制审计评价体系的非定量性和多层次性，以及评价主体对评价对象（客体）认识的主观模糊性，本文根据模糊数学原理，建立企业内部控制模糊综合评判模型。

（一）建立因素集 因素集即评价指标的集合。根据企业内部控制审计评价体系多层性的特点，将其指标层设为：

X：目标层，即内部控制，其中，X=（X1，X2，…Xi…Xm）；

Xi：一级指标层，其中，Xi=（Xi1，Xi2… Xij… Xin）；

Xij：二级指标层，其中，Xij=（Xij1，Xij2，… Xijk… Xijp）；

Xijk：三级指标层，即具体评价指标。

（二）建立评语集 评语是对评价对象优劣的定性描述。评语集对各层次指标都是一致的，通常分为5个层次，Y=（强，较强，一般，较弱，弱）= （Y1，Y2，Y3，Y4，Y5）。式中：Y1∈［90，100］，Y2∈［80，90］，Y3∈［70，80］，Y4∈［60，70］，Y5∈［0，59］。

（三）建立权重集 权重用以描述各指标对于评价目的的相对重要程度，权重值可用客观赋权法（如层次分析法、主成分分析法等），也可采用主观赋权法（如德尔菲法等）求得。设X1，X2，…Xm对目标层X影响的权重分别为A1，A2，…Ai…Am，权重集A=（A1，A2，…。同样，可以建立其他各指标层的权重集如下：

图1

（四）确立模糊评价矩阵 建立从因素集X到评语集Y的模糊评价矩阵：

它表示专家对各评价指标所属等级综合考察的结果（根据评价分值来确定）。可通过层次分析法或专家评估得出。R式中，rij=Kij/N，表示对于第i个评价指标，专家认为其属于第j个等级判断的可能性程度；N为参加评估的专家总数；Kij表示有K个专家认为第i个底层评价指标属于第j个等级。

（五）进行多级模糊综合评判 由于企业内部控制审计评价体系设置的是多级指标（评价目标、一级指标、二级指标和三级指标），因此，最终评价结果需由多级模糊矩阵运算进行综合评判，从最底层指标开始，逐步上移而得出。模糊评价矩阵运算一般采用加权平均算法，得出综合评价集B，即：B=A·R=（b1，b2，…，bi，…bs），其中，“s”为评语集中元素的个数，即评价等级数，在本文中“s=5”。

其具体步骤是：首先，从最底层指标开始，按照上述公式计算，得出二级指标模糊评价矩阵；其次，按照上述公式计算，得出一级指标模糊评价矩阵；再次，按照上述公式计算，得出评价目标模糊评价矩阵；最后，根据Y=A·B计算，得出最终评价集。

四、企业内部控制审计评价案例应用

运用上述评价模型，对某企业内部控制的设计及其有效性进行实证分析。首先，按照上述评价指标体系设计调查问卷，然后，通过调查问卷方式获取内部控制基本情况资料。为了在选择调查样本和进行抽样时具有代表性，调查问卷对象为企业各层次各类管理人员，如财务总监、财务主管及会计人员，购产销业务经理及业务员等。

（一）确定指标权重 指标权重是表示各评价指标在评价目标中所起不同作用程度的系数。首先，采用层次分析法（AHP法），邀请有关专家对企业内部控制各指标进行评估，构造出判断比较矩阵，然后，用方根法求出矩阵的特征值及其特征向量，并进行一致性检验，通过检验判断矩阵对应的特征向量各分量，即为各指标对上层的权重。得出的具体结果如下：

一级指标对目标层权重（1个）：A=（0.3，0.1，0.3，0.1，0.2）。

二级指标对一级指标权重（5个）：A1=（0.3，0.2，0.3，0.2）；A2=（0.4，0.3，0.3，）；A3=（0.3，0.4，0.3）；A4=（0.3，0.4，0.3，）；A5=（0.3，0.3，0.4，）。

三级指标对二级指标权重（16个）：A11=（0.3，0.4，0.3）；A12=（0.5，0.5）；……A52=（0.4，0.6）；A53=（0.6，0.4）。

（二）确定评价矩阵 用德尔菲法确定评价矩阵，得到专家对企业内部控制各指标的评价结果，并根据这一结果，求出每一结论所占的比例，此即为评价矩阵，建立底层（三级指标）各指标模糊评价矩阵Rij（共16个）：

（三）进行多级模糊综合评判 利用各评价指标层相应权重，按照模糊矩阵运算规则，从最底层逐级往上一层进行模糊综合评判。根据前述计算公式：B=A·R，进行第一次模糊矩阵运算，得出二级指标的模糊矩阵Bi（共5个）；再经第二次模糊矩阵运算，得出一级指标的模糊矩阵B(1个)；最后，再作一次模糊矩阵运算，得出所需要的最终评价集。计算过程简述如下：

第一次模糊矩阵运算后，得出二级指标的模糊矩阵Bi：

第二次模糊矩阵运算后，得出一级指标的模糊矩阵B：

作最后一次模糊矩阵运算，得到最终的综合评价集Y=（0.0596，0.2108，0.3035，0.3204，0.1057）。

由于0.0596+0.2108+0.3035+0.3204+0.1057=1，无需作归一化处理，即得综合评价集Y=（0.0596，0.2108，0.3035，0.3204，0.1057）。因此，审计可以认为分别有：5.96%的把握说该企业内部控制“强”，21.08%的把握说该企业内部控制“较强”，30.35%的把握说该企业内部控制“一般”，32.04%的把握说该企业内部控制“较弱”，10.57%的把握说该企业内部控制“弱”。

根据最大隶属度原则，对该企业内部控制的设计及其有效性，审计可以作出“较弱”的评价结论。

五、企业内部控制审计评价案例启示

（一）实施内部控制审计，既为企业“把脉”，又为企业“治病”在上述案例中，企业通过实施内部控制审计，既能发现企业内控制度层面上的一些问题，又能诊断式地挖掘出由于制度缺陷而引发较深层次的诸多问题，这种“把脉”，是为该企业内部控制状况做了一次“全身体检”。该企业在制度层面上存在的一些问题，如业务控制、人事控制和组织控制等方面均很薄弱，甚至存在制度缺失（评价值相当低甚至为零）；员工素质低下（如审计发现存在监守自盗现象及员工业务技能低等）；岗位设置不科学、权利与责任分配不合理等问题显而易见。该企业经审计被诊断出诸多较深层次问题，如销售与收款业务循环不畅通、筹资与投资业务停滞不前，生产成本核算与控制力弱化，以及在组织结构、公司治理、信息沟通、管理协调与制度执行力等诸多方面不同程度存在的问题也得以揭示。内部控制审计是一种建设性审计，为企业“把脉”（发现问题）是审计手段，给企业“治病”（解决问题）是审计目的。在上述案例中，审计通过对所发现的有关问题提出纠正措施和改进意见，实现企业完善内部控制和增强制度执行力这一审计目的。

（二）实施内部控制审计，是企业提升制度化管理水平的重要路径 内控制度对于单位而言其重要性不言而喻，而且制度化管理本身具有客观性、公平性、规范性和高效性等优点。因此，建立健全内控制度，强化制度管理，对任何企业都显得至关重要。企业内部控制审计，是以内部控制为审计对象，专门针对企业内部控制状况实施并作出审计评价，无疑是企业健全内控制度、改善和加强制度化管理的重要路径。在上述案例中，通过实施内部控制审计，能及时发现和揭示企业在内控制度方面存在的制度缺失、制度管理弱化以及制度执行不力等诸多问题，并针对问题，提出审计整改意见，改进企业内控制度建设，强化制度管理，加大制度执行力度，切实提升企业制度化管理水平。

（三）实施内部控制审计，应注意做好“四个结合”在内部控制审计实施过程中，审计人员须加强与被审计单位和有关领导及人员的沟通，赢得支持，创建良好、顺畅的审计环境。同时，应注意做好“四个结合”，即：一是内部控制审计与内控制度评审相结合。审计以评审企业内部控制作为切入点，全面了解企业内控制度建立、执行情况。二是内部控制审计与其他有关项目审计相结合。审计要充分运用其他有关项目审计成果，分析审计中所发现的问题是否与某内控制度有关，如是，则直接实施内控制度审计程序和取证，以利于提高审计效率。三是内部控制审计与帮助企业整改相结合。审计在找出问题以后，不是摆出问题，而是要针对问题，提出纠正意见和改进措施，帮助企业整改，增强企业发展后劲。四是内部控制审计与提高企业利润相结合。内部控制审计应服务于企业提高盈利能力，因此，审计要着力找准并结合与企业盈利密切相关的关键环节或盈利增长点，有效实施内部控制审计，促进企业提高盈利能力。

［1］秦荣生：《内部控制与审计》，中信出版社2008年版。

［2］张先治、戴文涛：《中国企业内部控制评价系统研究》，《审计研究》2011年第1期。

［3］卿文洁、邱高松：《企业内部控制审计评价指标体系研究》，《衡阳师范学院学报》2010年第1期。

［4］辛金国、赖丽娜、郑明娜：《浙江省家族企业内部控制模糊综合评价探索》，《杭州电子科技大学学报》2006年第6期。

［5］方敏：《基于COSO框架下的内部控制评价模型及应用研究》，《山西财政税务专科学校学报》2007年第2期。

（编辑 熊年春）