基于ERM框架的企业内部控制评价体系构建

浙江万里学院商学院 方 旻

基于ERM框架的企业内部控制评价体系构建

浙江万里学院商学院 方 旻

企业内部控制评价体系的建立和完善对于强化企业内部控制评价的有效性，促进企业内部控制工作的提高具有重要意义。ERM框架的提出为我国内部控制评价指标体系的构建提供了理论依据，本文借鉴ERM框架的八个管理要素构建本文的评价指标，并在此基础上构建了评价模型，以促进我国企业内部控制评价工作的开展。

ERM框架 内部控制评价指标 内部控制评价模型

一、基于ERM框架的企业内部控制评价指标体系的构建原则

第一，全面性原则。全面性原则是指建立的内部控制评价指标应包含内部控制体系的主要内容，本文按照最新的ERM框架构建的八个一级指标对内部控制的主要要素进行了计量，从而使企业内部控制评价做到全面、系统。

第二，可操作性原则。可操作性是指内部控制评价指标体系的选取应具有可计量、可观测的原则，本文在ERM框架八个一级指标的下面设置了若干二级指标来观测、计量一级指标。

第三，可预测性原则。内部控制评价指标体系必须对企业内部控制的预防性进行评价，从而发挥风险预警的作用。

第四，定性定量结合的原则。内部控制评价指标体系需要对影响企业内部控制的各个方面进行评价，而这些指标的确定在很多时候是没有具体数据的，这就需要评价人员依靠自己的经验做出判断。在具体实施过程中，本文尽量采用财务指标，对于一些定性指标也通过赋值进行了量化，当然，这种量化仍是以相关评价作为基础的。

二、基于ERM框架的企业内部控制评价指标体系的构建

（一）ERM框架下企业内部控制指标体系的构建思路。美国COSO委员会将ERM定义为一个过程，即董事会、管理层和其他人员在制定企业战略、进行经营决策等工作时，对那些影响企业的潜在事件进行的风险管理活动，以保证企业目标的实现。按照ERM框架，企业全面风险管理包括八个要素，分别是内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息和沟通、监控，这八个要素相互关联、密切统一于企业风险管理目标。企业内部控制评价模型的建立是以企业风险管理框架的管理要素为基础的，并以各要素的评价值的乘积作为总体评价值，能更好地体现出内部控制评价的某一要素出现问题会影响到其他方面效果这一情况。

（二）基于风险框架的管理要素的内部控制评价指标。按照ERM框架的管理要素划分，本文共设置八个一级变量，然后在每个一级变量下设置若干二级变量对一级变量进行解释，二级变量在选择上力求做到两点：一是要很好地解释一级变量，即具有很好的代表性；二是要具有可计量性，选择财务数据或者能够进行合理量化的变量。按照上述原则和分析，本文选择的内部控制评价指标如下：

1.内部环境X1。内部环境是内部控制运行的基础，本文选取了企业文化X11、治理结构X12和企业激励措施X13作为衡量内部环境优劣的二级指标。

2.目标设定X2。公司目标设定的过程是否合理、规范，以及目标对于企业战略以及风险管理的支持和调整力度如何，具体包括：各层级目标的一致性X21；目标的先进性和合理性X22；目标的可衡量性X23和企业目标的执行性X24。

3、在基础保障上联合。在人口健康文化建设、社会宣传活动、媒体开办专栏、宣传品进村入户等方面为常规宣传工作提供强有力的支持。

3.事项识别X3。企业对影响企业目标的内外部风险事件的识别情况，主要包括：企业能否及时发现经营目标的执行偏差X31；企业对于各种风险的识别能力X32；企业对风险重要性进行判断和排序X33。

4.风险评估X4。企业对存在的风险进行分析以确定风险对企业的影响程度，包括：判断各类风险的影响程度大小X41；判断风险发生的可能性X42；判定风险信息来源的可靠性X43。

5.风险应对X5。企业将风险控制在可接受水平上的能力，主要包括：企业是否建立完善的风险管理机制X51和企业风险承受能力的强弱X52。

6.控制活动X6。企业确保各项经营活动按照计划进行并对执行过程中存在的风险进行控制的能力，主要包括：经营业绩X61，包括财务业绩和非财务业绩，财务业绩包括利润、销售额等，非财务业绩包括客户数量、市场占有率、品牌等方面。实物控制X62，包括存货、固定资产、货币资金以及与之密切相关的采购、销售等的内部控制活动是否规范、有效。不相容职务分离的执行情况X63。业务审核、高层复核的执行情况X64。

7.信息与沟通X7。信息是否能够在企业内部顺畅地进行传递和处理，包括：企业会计信息系统、管理系统的有效性X71；企业内部纵向、横向的沟通渠道X72；企业与外界的沟通渠道X73。

8.监督X8。包括内部审计X81，内部审计的独立性强弱，以及其职能的履行情况；监督的制度、程序是否能够持续、有效地实施监督X82；独立董事的设置及人员构成X83；全面预算的执行情况X84；企业内部控制的自我评估X85。

（三）内部控制评价指标评价值的计算。本文采用模糊评价法来计算企业内部控制评价指标的评价值，具体步骤包括：

其次，确定内部控制评价指标的隶属度。按照内部控制评价人员对指标集中某要素的评价等级确定隶属度：di,j=Vi,j/Vn。其中Vi,j表示对指标评价为Vj的个数，Vn表示所有评价数。

按照这一计算方法，我们可以得到相应的模糊评价矩阵。

本文主要借鉴了贾顺（2006）年的研究结论，各管理要素的内控评价指标的比例分别为：内部环境30.21%、目标设定5.12%、事件识别8.42%、风险评估12.72%、风险应对12.84%、控制活动12.14%、信息和沟通10.81%、监控7.74%，各二级指标数值按照算术平均值来计算相对权重。

其中，各指标的综合评价值：

三、基于ERM框架的企业内部控制评价模型

（一）评价模型。本文结合ERM框架内部控制要素特征，构建如下风险管理综合评价模型：

其中，a=30.21%、b=5.12%、c=8.42%、d=12.72%、e=12.84%、f=12.14%、g=10.81%、k=7.74%，0<λ<1。

上述模型表示ERM框架下企业内部控制各要素之间存在着密切联系，内部控制效果的好坏与其中任何一个要素有着密切联系，当其中一个要素存在薄弱环节时，整个内部控制的效果就会明显减弱，如果其中一项完全失效，则会导致舞弊行为的发生，此时我们认为整个内部控制是无效的，即此时整个内部控制的评价值为0，当然，这只是一种极端情况，运用此模型可以避免对单个要素评价然后求和导致对内部控制评价盲目乐观和割裂各要素之间的联系，从而放大存在薄弱环节的要素对企业内部控制风险的影响。

Q值是上述管理要素的评价值，a,b,c,d,e,f,g,k表示各管理要素的比重。Qij用来衡量第i个管理要素的风险管理评价值，该值越低表明企业在这一环节的内部控制风险越高，需要企业进行重点控制。

λ是本模型引入的行业调整指数，用来体现一定时期内，某一行业受到外部影响因素带来的风险平均程度，当整个行业受到利好外部环境影响时，该值趋向于1，相反，该值趋向于0，加入该指数后可以使企业内部控制风险管理状况体现行业差别，因而，有利于实现不同行业企业，尤其是企业与上下游相关联企业的对比。

上述模型同样可以用于计算单因素的综合评价，即按照相同的原理计算第一个要素内各个影响要素（即二级指标）的评价情况，从而分析内部控制存在的薄弱环节，找出关键控制点来实施重点控制，达到规避风险或者有效控制风险的目的。

（二）内部控制评价模型的优点

1.行业调整系数的引入有利于实现不同行业企业之间的比较。在实际工作中，对比相关企业（处于同一价值链上的上游企业、下游企业、同类企业）之间的内部风险管理状况有时会显得比较重要，但一个客观的问题是，相关企业所处的行业环境是有差异的，而且处于不断变动之中，因而，通过加入行业调整指数可以有效地减小行业背景不同对企业内部控制评价的影响。该调整系数可以利用行业风险指数（证券投资部门）或者行业指数（股票市场）来确定。

2.多维度有机结合有利于体现内部风险管理要素的系统性。目前，应用较为普遍的研究模型是按照COSO内部控制框架的五要素来构建的，并且以单个要素评价之和作为企业内部控制评价值，这种模型不利于体现企业内部控制工作的整体性，而本文的研究模型在一定程度上解决了这一问题。从维度选择上，本文的评价内容更为全面。

（三）内部控制评价模型的不足

1.主观性较强。内部控制指标的计算是基于模糊综合评价法，这需要组织相关专家、企业管理层、一般员工等对行业、企业内外部相关情况进行判断、评价，这一过程更多地依赖于个人经验，尽管将其进行了量化，但从本质上看其主观性还是很强的，当然，其中的财务指标等量化指标不存在这种问题。

2.评价过程比较复杂。模型所用的评价结果、各项系数、指数需要通过调查问卷、专家评价、数据搜集等途径来获取，这一过程需要在有限的时间内完成，否则就会失去内部控制评价的及时性，具体计算过程中用到的层次分析法也有一定的难度，因此，需要企业制定一套有效的内部控制评价系统来协助完成。

1.Jack Shaw.2009.Managing All of Your Enterprise's Risks.Risk Management,9.

2.金彧防、李若山、徐明磊.2005.COSO报告下的内部控制新发展——从中航油事件看企业风险管理.会计研究，2。