基于能力成熟度模型的财务内控成熟度评价体系构建及信托公司财务内部审计侧重初探

■尤然

基于能力成熟度模型的财务内控成熟度评价体系构建及信托公司财务内部审计侧重初探

■尤然

信托公司是以信任委托为基础，以受托人身份承诺信托和处理信托事务的非银行金融机构，由于信托公司经营业务的特殊性，导致其财务核算也表现为有别于一般企业的特点。本文通过引入能力成熟度模型，对财务内控进行量化和分级，并针对信托公司财务特点，设计有效的内部审计侧重，从而提高审计效率和效果。

信托公司；能力成熟度；财务内部审计侧重

一、能力成熟度模型及在内部控制中的运用

（一）能力成熟度模型的含义

能力成熟度模型（CapabilityMaturityModelfor Software），最早起源于20世纪80年代，是美国卡内基·梅隆大学为美国国防部开发的一种对软件开发过程能力进行管理的评估标准。能力成熟度模型根据软件生产能力使用5个不断进化的层次表达：初始级是混沌的软件过程，简单级是经过训练的软件过程，规范级是标准一致的软件过程，精益级是可预测的软件过程，战略级是能持续改善的软件过程（见图1）。经过不断完善，能力成熟度模型已成为具有广泛影响的软件评估模型，并在全世界推广实施。由于其对管理能力评价和改善的持续关注，逐渐被应用于组织流程评价、安全工程、人力资源管理等领域，出现了系统工程成熟度、项目管理成熟度、供应链管理成熟度、工作能力成熟度等不同的成熟度模型。

图1 能力成熟度模型等级划分

（二）能力成熟度模型在内部控制中运用的可行性

一方面，能力成熟度模型的主要用途是过程评估、过程改进和能力评价，其核心是通过“持续改进”，达到对流程和能力的不断优化和完善，这与COSO委员会对内部控制的定义“由企业的董事会、管理当局以及其他员工实施的，为经营的效率效果、财务报告的可靠性、相关法律的遵循性等目标的达成而提供合理保证的过程”不谋而合；另一方面，对软件的评价需要从多个方面进行测评，进而将软件成熟度从低到高分为五等级，而对内部控制的评价也需要从内部环境、风险评估、控制活动、信息与沟通、内部监控等多个维度进行综合测评，因此能力成熟度模型中以不同等级对软件开发能力进行评价的方法同样可以被应用于对企业内部控制能力进行评价，形成内部控制成熟度模型。

（三）内部控制成熟度模型的等级划分

参照能力成熟度模型，内部控制成熟度也采用5个由低到高，不断进化的等级代表5种具有特定成熟度特征的内控水平：初始级，其特征是管理过程混乱无序、随意性强，成功往往依靠个人的才能和经验；简单级，初步建立了管理体系，对一些关键控制点进行了界定，控制活动的执行基本有效；规范级，形成较完善的管理体系，控制规范得到团队人员很好的理解和遵循；精益级，对管理过程进行量化，通过加权平均分析管理中存在的不足，并予以改善；战略级，管理处于最高水平，形成了不断改进不断优化的良性运行机制。

二、信托公司财务特点、财务内部控制能力成熟度指标系统的建立

（一）信托公司财务特点

一是固有、信托业务之间、不同信托项目之间分开建账、独立核算。根据《中华人民共和国信托法》第十四条、第十六条规定，受托人因承诺信托而取得的财产为信托财产，信托财产与属于受托人所有的财产（即固有财产）相区别，不得归入受托人的固有财产或成为固有财产的一部分。基于此，信托公司须分别设立信托财务部和固有财务部，在进行会计核算时，两个部门分开建账、独立核算，保证信托财产及其收益的独立性。同时，由于不同的信托项目约定的管理运用或处分信托财产的方式各不相同，而且必须向委托人、受益人披露信托财产管理、处分及收支情况，因此，信托公司财务部门必须对每个信托项目建立独立的会计账套，开设专门的信托专户，编制独立的会计报表，再汇总成为信托业务汇总报表。二是信托业务不并表。由于信托财产属于委托人，不属于信托公司固有财产，因此信托公司对信托财产、固有财产分别编制会计报表，并且以反映公司实际资产状及经营情况的固有财务会计报表作为对外披露的唯一会计报表。为了避免与公司实际资产经营情况混淆，基于信托财产管理、运用编制的信托业务报表不合并到信托公司会计报表中。三是根据资产质量计提贷款损失准备。与一般工商企业主要以账龄作为应收账款计提坏账准备的依据不同，信托公司需要定期对期末贷款和其他信用风险资产的净值、债务人的偿还能力、信用评级情况和担保情况进行评估，并将风险资产划分正常、关注、次级、可疑和损失五类，同时按照分类结果的不同分别计提损失准备。四是长期资产少，实物财产丰富。

与传统的制造业企业不同，信托公司属于“轻资产”公司，从资产负债表上表现为应收款项类投资、可供出售金融资产等流动资产较多，而固定资产、投资性房地产等非流动资产较少。同时，由于信托公司固有和信托财务分离，信托财务部门管理着大量财产权证、印鉴、票据和法律文件。

（二）财务内部控制成熟度评价指标及评分方式

首先，以COSO委员会颁布的企业风险管理框架（ERM）的8个要素作为财务内部控制成熟度指标体系的一级指标，即内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控，并通过对一级指标的进一步细分，构建出包含28个二级指标的评价体系；然后，根据8个一级指标、28个二级指标对财务内控的重要性水平采用分级打分的方法进行量化，确定每个指标的权重（见表1）；最后，根据企业财务管理的实际情况，对各项指标进行打分，并根据汇总后的分值将财务内部控制成熟度分为初始级、简单级、规范级、精益级和战略级。

表1 财务成熟度评价指标系统及评分标准表

（三）财务内部控制成熟度不同级别的含义

1.初始级：即总分＜60。企业财务内部控制制度存在严重缺陷，各重要业务环节均缺乏有效的内部控制，存在严重风险隐患。内部控制设计不健全、不合理。同时，内部控制执行无效，在各项二级指标中得分均很低，汇总得分低于60分。

2.简单级：即60≤M＜70。企业已经初步建立了一个比较有效的财务内部控制体系，对一些基本控制点进行了界定，内部控制设计基本健全与合理，内部控制执行基本有效，在各项二级指标中得分参差不齐，但普遍仍处于较低层次，汇总得分低于70分。

3.规范级：即70≤总分＜80。企业财务内部控制管理已步入规范化进程，内部控制系统更加有效与成熟，并形成较完善的制度。从内部控制的设计角度看是基本健全、适当的，从内部控制执行角度看是有效的。企业在内部控制成熟度评价的各项二级指标中得分有高有低，但普遍处于中高层次，汇总得分高于70分，但低于80分。

4.精益级：即80≤总分＜90。企业财务内部控制管理已经能够量化，即企业对财务内部控制评价指标的各项因素均得到量化，通过打分的方式，加权平均分析企业财务内部控制成熟度水平。从内部控制设计角度是健全的、适当的，从内部控制执行角度看是有效的。企业在各项二级指标打分上均处于较高水平，汇总得分超过80分，低于90分。

5.战略级：即90≤总分≤100。企业内部控制管理水平已经处于最高阶段，能够从战略管理的高度来规划企业的财务内部控制体系。从内部控制设计的角度看是健全的、合理的、适当的，从内部控制执行的角度看是非常有效的。企业在各项二级指标的得分上均处于很高水平，汇总得分在90分以上。

三、针对不同内控成熟度级别的财务内部审计侧重

（一）初始级、简单级的财务内部审计侧重

当信托公司财务内控成熟度属于初始级或简单级时，说明财务内部控制尚属于初始阶段，在内控设计和执行中均存在明显缺陷和不足，无法对所有风险控制点进行识别、界定、控制。鉴于此，在对内控设计进行审计时，一方面应从已有规章制度的合规性、合理性、完善性入手，梳理财务管理体系是否覆盖计划财务、信托财务、会计核算、财务报告等各流程，是否对固有与信托财产分离、拨备计提、固有与信托会计岗位设置等关键风险点进行了明确和控制，是否存在明显有悖于国家法令法规、与公司其他制度相冲突等情况，从而杜绝因制度缺失、冲突、不适用等诱发的操作风险、监管风险以及法律风险；另一方面，对尚未覆盖的风险点，要根据潜在风险发生的频率和严重程度高低，建议财务部门及时出台相应的制度规范。在内控执行的审计方面，一要关注会计基础操作，如不相容岗位是否得到实质分离，会计科目使用、金额计算是否准确，现金管理、银行账户的开设和注销是否合规，会计凭证、账簿的复核、装订、保管是否规范等；二要关注会计信息系统建设，即是否通过引进成熟、可靠的财务系统，以系统自动控制替代人为控制，降低人为操作的风险；三要关注财务部门自身控制手段的实施，即是否通过资产盘点、账实核对、账账核对、资产登记等方式，对现金、空白支票和发票、网银秘钥、财务印鉴等资产的安全性和完整性进行有效检查和核实。

（二）规范级的财务内部审计侧重

当企业财务内控成熟度属于规范级时，说明企业财务内部控制已步入规范化进程，内部控制体系较为完善，内部控制的设计和执行均是较为健全和有效的。在这一时期，随着管理的逐步规范，信托公司将进入业务扩张阶段，特点为新设机构（如股权投资或基金子公司、区域业务总部、区域财富管理中心等）和新兴业务（如资产证券化、PPP、消费信托等）的增加。为此，对内控设计的审计重点也应转向对这些新设机构和新兴业务的财务管理规范性上，如对外设机构财务授权明确性及合理性、费用预算编制与任务规模的匹配度，新兴业务的会计核算方式、资金调拨、会计资料流转是否规范等。在内控执行的审计中，应对上述内控设计的执行情况进行检查，并根据重要性水平，灵活采取包括实地查验等方式，对外设机构的会计档案、权证、印鉴及授权管理进行检查。

（三）精益级、战略级的财务内部审计侧重

当企业财务内控成熟度属于精益级或战略级时，说明企业财务内控水平已上升到相当高的层次，可以通过量化管理的方式对财务内部控制全过程进行分析并对风险采取相应的预防措施。从内部控制设计角度上看是健全的、适当的，从内部控制执行角度看是有效的。在这一阶段，内部审计应淡化传统的合规性检查而突出对财务工作的咨询与评价职能。一是通过检查财务战略与公司战略的一致性，审视和评价财务管理工作在为公司降低资金成本、提升资金使用效能、为业务提供流动性支持、税收筹划、财务信息披露等方面是否对公司战略目标的实现提供有效、及时的支持；二是关注财务部门对自身工作的持续监督及评价，即财务部门是否对财务控制各环节进行自检自查、并通过不断完善和细化自查手段和方式，对内控实施情况做出客观评价并针对存在的瑕疵进行改善；三是检查公司是否建立了包含财务管理在内的业务连续性管理体系，对因突发事件导致的流动性危机、财务数据泄露等风险建立包含风险识别、应急报告、损失评估、风险处置、恢复与改进、培训与演练在内的应急机制。

四、结束语

通过运用能力成熟度模型对财务内部控制成熟度进行分级和评价，使审计工作能够更加有效的识别信托公司财务内部控制中存在的薄弱环节，有的放矢的解决关键问题，提升内部控制管理水平。但应注意的是，企业财务内部控制体系的建立健全是一个不断完善的过程，因此在进行信托公司财务内部审计时，应结合公司实际，密切关注业务及财务操作的变化，更有针对性的开展工作。

［1］王兵，刘力云，鲍国明.内部审计未来展望［J］.审计研究，2013，（5）.106-112.

［2］李欣.项目管理成熟度模型及其评估方法研究［D］.西安：西北工业大学管理科学与工程系，2004.

［3］曹良军.信托公司风险导向内部审计研究［D］.重庆：重庆大学经济与工商管理学院，2008.

［4］吴世亮，黄东萍.中国信托业与信托市场［M］.北京：首都经济贸易大学出版社，2010.

（作者单位：华融国际信托有限责任公司）