基于风险基础法的内部控制有效性评价指标体系研究

路利平：基于风险基础法的内部控制有效性评价指标体系研究

[摘要]2008年5月发布的《企业内部控制基本规范》和2010年4发布的《企业内部控制配套指引》共同构建了中国企业内部控制规范体系，本文通过对内部控制自我评价报告中的内部控制有效性结论进行分析评价，并建立基于风险基础法的内部控制评价指标体系，对内部控制有效性进行等级划分，以便投资者能更加清楚地评判被投资企业的真实状况，以此提出相关政策性建议。

[关键词]内部控制；风险基础法；有效性；评价指标体系

[中图分类号]F274[文献标识码]A[文章编号]1005-6432（2013）42-0036-03

1研究动机，制度背景与行为界定

2008年5月22日，财政部、证监会、审计署、银监会、保监会五部委联合制定了《企业内部控制基本规范》，随后在2010年4月26日五部委再次联合发布《企业内部控制配套指引》，规定自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所和深圳证券交易所主板上市的公司施行。执行企业内部控制规范的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告，政府监管部门将对相关企业执行内部控制规范体系进行监督检查。管理层对内部控制的评价能够释放企业内部控制有效性的信息，有助于企业外部相关利益者的决策，但是通过对2012年上市公司披露出来的内部控制评价报告分析来看，虽然经过了会计师事务所的审计，但是由于没有相关的法律法规对内控有效性进行一个严格的定义和明确的等级划分，以至于有相当一部分的企业存在故意隐匿其不利信息或对其不利信息轻描淡写，并采用含糊的词语如“较为有效”、“较为真实”、“较为准确”等对其内部控制做出评价，这样将极度不利于信息使用者分辨出企业实施内部控制的好坏程度，所以本文站在内控信息使用者的角度，通过建立基于风险控制原理的内部控制指标体系，提出量化标准对企业的内部控制有效性划分等级，最后提出相关政策建议。研究这一问题，对于探究我国上市公司内部控制信息披露行为及其动因，丰富相关理论，探求监管对策，都有十分突出的积极意义。

2研究依据

内部控制自我评价是由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理保证的程度。所以本文将《内部控制基本规范》和《内部控制配套指引》作为研究的核心依据，同时将上海证券交易所发布的《上海证券交易所上市公司内部控制指引》和深圳证券交易所发布的《深圳证券交易所上市公司内部控制指引》作为辅助依据，结合起来探讨内部控制有效性评价的缺陷和对策。

3制度标准以及存在的问题

《企业内部控制配套指引》中的内部控制评价指引第二十一条和第二十二条。

存在的问题：国家层面的法规只是从宏观层面上对企业内部控制评价的有效性做了笼统的规定，没有细分有效性的具体标准，所以就存在上市公司钻法律的漏洞，例如深市主板上市企业*ST国恒，公司董事会于2012年12月3日收到深圳证券交易所下发的《关于对天津国恒铁路控股股份有限公司的关注函》（公司部关注函〔2012〕第 314 号），要求公司就相关问题核查并做出说明。同时2011年11月30日，天津市第二中级人民法院依法受理了平阳县南麂岛开发有限公司诉天津国恒铁路控股股份有限公司票据付款纠纷案。这一系列的证据表明国恒企业内部控制必然不能做到有效实施，但是根据企业内部控制评价报告当中企业对内部控制的总体评价核心语句为：基本建立起较为健全、合理、有效的内部控制管理体系。评价报告中的“较为健全，合理，有效”等词汇将该企业内部控制中的弊端较多的掩盖，以至于误导信息使用者。所以基于这种状况，本文希望对内部控制的有效性运用风险基础法做出严格的等级划分，而且要求上市公司在评价内部控制有效性时必须针对自身企业内控状况做出准确的结论性评述，这将大大易于信息使用者正确判断企业内控状况。

4企业内部控制有效性的评价方法的选择

从内部控制评价本身以及目前的发展情况来看，主要存在详细评价法和风险基础评价法两种方法。①详细评价法的基本思路是：以内部控制框架或标准为参照物，根据内部控制框架的构成要素是否存在评价内部控制的设计有效性，然后测试内部控制的设计有效性，最后综合设计和运行的评价对内部控制的有效性做出总体评价，评估内部控制目标实现的风险，判断是否存在实质性漏洞，确定内部控制是否有效。②风险基础评价法的基本思路是：首先，要评估相关目标实现的风险；其次，识别和确定企业充分应对这些风险的内部控制是否存在，即评价内部控制的设计应对相关目标实现风险的有效性；再次，识别和确定内部控制有效性的证据，评价现有的控制是否得到了有效的运行；最后，对控制缺陷进行评估，判定是否构成实质性漏洞，确定内部控制是否有效。在现有的评价内部控制有效性的研究文献中大部分学者选择详细评价法，即通过统计观察或建立模型对企业内部控制对企业目标的实现程度，例如《企业内部控制评价指标体系研究》（王素莲2005）；《企业内部控制有效性综合评价模型研究》（李莎，2013）；但是这种方法存在明显的弊端，一个是成本高，效率低；另一个是评价结论的不可靠性。所以本文决定采用风险基础法来对企业的内部控制有效性进行评价以期能解决详细评价法存在的问题。

5内部控制指标体系构架

本文以内部控制构成要素的评价为主要研究对象，设计如下表所示的具体指标体系。

内部控制指标体系

要素

要素指标关键性风险指标量化标准

完全能够有效控制关键性风险基本能够有效控制关键性风险或有一条稍有不足但不构成实质性缺陷多于一条控制失效或构成实质性缺陷

U1控制环境30分1管理者素质结构差或者虽有一定操守但执行不好；2董事会及审计委员会不独立，或所拥有的知识和技能不符合企业的需求；3组织结构与企业规模、战略不符；4企业文化不能体现全体成员的基本信念，行为和价值观不一致；5责权划分与企业规模、作业复杂性不匹配；6任人唯亲，没有培训计划或者虽有计划但不执行28～30175～2653～16

U2风险评估机制25分1各层级的目标不一致或目标只是一个定性指标，没有实现目标的手段；2不能谨慎注意风险，对风险的辨识与企业规划脱节，无法辨识风险的大小；3对风险严重性估计不足，对其发生的频率难以掌握，风险发生后对意料到的风险没有相应的措施235～2515～2252～12

U3控制活动20分1没有形成可行的业绩评估系统，计量指标不全；2无信息中心，信息处理不能正常运行，无适当的业务处理和授权程序；3无实物、资料的授权制度，有定期盘点制度，但不能很好执行135～14

U4信息与沟通15分1不能辨别和获取所需的信息，无适当的咨询传送路径，管理者只是口头上支持系统的建立，在人财物的投入上没有足够的保障；2所取得信息质量不高，提供的资讯大多数是事后事实，对所取得的信心难以接受和理解；3上下沟通不畅，部门间为自身利益缺少相互沟通，不能很好地了解外部信息已作出及时的反应；4不能通过有效沟通使外界了解企业文化14～1595～142～75

U5监督活动10分1监督主体不明，或虽有明确的规定，但只属于经营管理层或内部审计人员，没有相互间的监督机制；2监督活动无规律可循，只依赖于外部监督，对已确认的内控缺失不能迅速传递给有关人员，不能保证其持续有效；3不设立审计委员会或虽有但不符合要求，不能保证其独立性，无定期的讨论制度95～1065～953～6

为便于分析，我们将评价结果分为三个等级：①有效。即企业的内部控制完全能够控制企业的关键性风险，指标值5n=1Un≥90分，内部控制的各项指标符合要求，各项内部控制制度得到认真贯彻执行，所有业务领域和操作环节能有效地发现、管理、控制各种关键性风险。②基本有效。指标值为60分≤5n=1Un≤89分即基本能有效控制各项关键性风险，各项内部控制制度基本得到贯彻执行，重要业务领域和操作环节所承受的风险得到控制，但有局部违规操作现象。③无效，即无法控制关键性风险或企业内部控制制度存在实质性缺陷，所设计的内部控制制度没有得到有效执行，不能有效防止和控制重大风险，很可能导致管理失控或者业务损失，并危及企业的经营。

通过对以上内部控制评价指标体系建立和结论的分析，从基于信息使用者的角度考虑，建议国家和证交所的相关部门在相关规定中明确要求企业在披露内部控制评价报告的时候，做出结论性的陈述，该企业的内部控制处于何种状态，并提供相关证据和考评表格。同时注册会计在审计的时候也应该将该结论性陈述的真实性和适当性做出保证，这将极大地方便信息使用者获悉企业的内控信息。

参考文献：

[1]陈汉文，张宜霞企业内部控制的有效性及其评价方法[J].审计研究，2008（3）.

[2]张宜霞企业内部控制评价方法的比较[J].会计之友（上旬刊），2009（1）.

[3]王素莲企业内部控制评价指标体系研究[J].山西大学学报，2005（11）.

[4]李莎企业内部控制有效性综合评价模型研究[J].中国注册会计师，2013（3）.

[5]杨有红，陈凌云2007年沪市公司内部控制自我评价研究[J].会计研究，2009（6）.

[6]刘玉廷全面提升企业经营管理水平的重要举措[J].会计研究，2010（5）.

[作者简介]路利平（1991—），女，河南济源人，陕西师范大学国际商学院2010级财务管理专业，研究方向：会计及审计理论研究。