徐倩

摘要：企业健全、合理的内部控制体系的建立是提高企业经营活动运行效率和效果的重要保证，但是，由于企业内部控制活动的不可观测性，如何评价企业内部控制体系的有效性，是理论及实务领域的一个重要课题。从企业内部控制体系建立的构建原则出发，从企业风险角度对我国企业内部控制评价体系的构建进行了探讨。

关键词：内部控制；风险；评价体系

中图分类号：F23

文献标识码：A

doi：10.19311/j.cnki.16723198.2016.27.052

随着美国安然、世通等全世界范围内的大公司，以及我国国内如德隆、中航油等大型企业一系列重大财务欺诈案件的发生，全球资本市场上的投资者及上市公司管理层的信心受到极大挫损。在这样的背景下，COSO于2004年为了控制企业舞弊事件发生的风险，发布了新的COSO报告，要求上市公司在企业风险管理框架的相关规定下，对企业自身的内部控制情况进行自我评价，并在此基础上，定期向外部投资者发布评估报告，这一报告与上市公司定期向外界公布的财务报告一样，需聘请独立审计师发表审计意见。而我国财政部在2006年也针对我国上市公司的特点发布了一系列加强企业内部控制措施的征求意见稿。这些迹象无一不在说明，企业内部控制状况已受到社会经济监管者及社会各界的极大关注。

企业内部控制一般是指为了保证企业各项经营管理活动遵循相关法律、法规的规定，保护企业资产安全、完整，确保企业对外提供的会计报告和相关信息的真实性、可靠性，促进企业经营效率和效果的提高，以为企业发展战略的最终实现提供保障而采取的一系列措施。Rogier和Robert（2008）的文章中认为，作为企业组织内部的一系列活动，内部控制体系的运行情况并不能被外界直接观察。在这种情况下，想要了解一企业企业是否建立内部控制制度，设计是否合理、制度的执行是否有效等一系列问题，需要根据合理的标准进行评价。如果企业建立内部控制的目的是为了合理保证企业目标的实现，那么内部控制体系的评价就是对内部控制体系运行的有效性提供合理保障的系统，是企业保证内部控制活动正常、有序运行的一项不可或缺的制度安排。

1构建我国企业内部控制评价体系需要遵循的原则

内部控制评价体系建立为企业合理评价其内部控制系统提供了制度保证，在构建过程中应重点关注企业整体资源的配合，也不能忽视企业中风险和控制的关系。在企业内部控制评价体系构建过程中，需要遵循以下原则。

1.1企业内部控制评价是企业内部控制活动的一个组成部分

企业内部控制的完整体系包括内部控制的设计、执行、评价和改进。这四个环节环环相扣，形成为一统一的整体，在这四个环节中，分别体现了内部控制系统中的计划、实施、检查和处理等活动的具体展现。而内部控制评价就相当于这四个环节中的检查活动。如果说内部控制系统设计的合理性，以及执行的有效性是内部控制系统能够发挥其作的基本前提，那么，内部控制评价就是对内控制度运行有效性进行判断的标准。

1.2企业内部控制评价要遵循经济性原则

内部控制的评价是一种博弈活动，在活动中要保持纳什均衡。就单个企业而言，如何建立内部控制评价体系，建立什么样的内部控制评价体系，需要根据企业自身的情况权衡内控体系建立的成本和收益，即既要考虑采用预定的控制方法排除或降低风险程度而产生的收益，也要考虑采用预定的控制方法排除或降低风险程度而产生的成本。

1.3企业内部控制评价需要从企业风险导向角度考虑

对于企业而言，其唯一不变的目标是提高企业的业绩，其各种活动都围绕这一目标来进行，内部控制评价体系的建立也不例外，它是企业提高其业绩的一个工具，但并不是企业经营的目的。从这一角度来说，企业内部控制评价主要是考察企业内部控制体系对企业剩余风险控制的程度，即是否将风险控制在可接受的水平；而这一控制程度的评价结果应作为企业相关管理人员业绩评价的组成部分。

2基于风险导向的内部控制评价体系的建立

企业内部控制评价体系的构建，应由企业监管部门从防范企业风险的角度，综合考虑企业内部控制需要达到的目的，关注企业内部控制的每一个构成要素，从需要关注的每一个控制点入手合理确定评价标准。

2.1对企业内部环境的评价

企业内部环境是否良好是内部控制体系运行有效性的前提，它是企业整体经济运行活动的背景，对企业组织内部人员的控制意识具有重要影响。因此，在对企业内部环境的评价方面，应重点关注以下方面蕴含的风险：企业文化的特点、组织结构是否适宜、企业董事会的独立性如何、企业内部人员素质的高低等。

2.2对企业风险评估的评价

企业风险评估是指对企业风险及时识别，对实现内部控制目标相关的风险系统分析并合理确定应对策略的活动。在企业风险评估的评价中，以下方面是关注的重点：（1）企业能否对其所面临的内外风险进行明确识别，是否建立了风险数据库；（2）企业是否对其所面临的风险因素定期采取适当的方式进行分析，并在评估企业整体风险承受能力的基础上，确定具体业务层次上的可接受风险水平，以此确定企业重要风险并确定企业应对风险的相关策略；（3）前述所确定的风险应对策略是否与风险的特征相匹配。

2.3对企业风险控制活动的评价

企业对组织内部各项活动能够采取的控制措施，需要建立在企业自身风险评估的基础之上。因此，为了提高控制措施与政策的有效程度，就要从以下几点入手：（1）选择适当的风险控制节点执行控制，并依据相关风险节点的特点选择适当的控制手段；（2）对于已实施的控制手段需要保持其连续性，企业中所有员工都必须严谨遵守，即使在业务最繁忙或有关键人员离职时也要严格遵循；（3）对于各个风险控制点控制措施的选择符合成本收益一致性；（4）合理保证控制系统对控制目标完成评价的全面性、恰当性。

2.4重视对企业信息沟通流畅程度的评价

企业管理者决策的正确性依赖于其所依据的信息质量，只有当这些信息能够对企业的交易或事项进行真实、准确、完整的反映，与管理者决策密切相关，在企业内部能够及时的在各部门间传递，并能够为信息需求部门容易的获取，才能保证信息最终为企业管理者决策服务。因此，对于企业中信息沟通流畅程度的评价也是重要一环，内容包括：（1）企业是否根据其自身特点建立了恰当的信息系统；（2）企业是否充分利用企业内部的各渠道获得的各种信息；（3）企业各部门在获得信息过程中是否顺畅，是否能够获得及时的获取；（4）企业自身与其他企业之间在沟通方面是否通畅，方式是否合适；（5）企业对内部控制体系运行是否建立了适当的监督措施。为了保证企业内部控制体系的建立与日常运行正常，企业需要建立对内控体系进行监督的相应措施。特别在企业运营发生较大调整或变化，如企业中关键岗位人员调整，企业主要业务流程发生改变，或企业的组织结构、发展战略等变更时更需有效监督。在这一方面，内控评价的标准应着重关注以下方面：（1）企业对其内控体系采取的检查措施是否全面；（2）是否为内控监督活动明确了监督主体；（3）企业是否针对其所建立的内控体系的特点采取相应监督措施，这些监督措施是否有效运行。

3企业内控体系进行评价中指标权重的确定方法

在确定企业内控评价体系过程中，另一较为重要的方面是对评价体系中的各评价指标确定权重。重要性不同的评价指标权重也应不同，而指标在体系中的重要程度取决于企业经营的目标、评价体系设计者的个人认识以及该评价指标的社会价值等因素。在管理理论中，对于评价指标确定的方法较多，常用的有以下几种：

第一种，专家咨询法，指企业聘请若干熟悉企业和评价体系情况的专家，对企业建立的评价体系中各指标应赋予的权重发表独立意见，在此基础上，企业汇总后进行如下处理：

首先，企业聘请若干熟悉企业和评价体系情况的专家，对评价体系中各指标应赋予的权重独立发表意见，得到指标权重的初始估计值；其次，企业针对各专家为指标给出的初始估计值计算平均值；第三，对每一专家给出的初始估计值计算与平均值之间的偏差值；第四，如果存在偏差值较大的专家估计初始值，需要请这一专家对该指标给予重新评估。这一过程持续反复，一直循环到所有专家初始估计值与平均值之间的偏差达到企业的要求为止，最后得到各评价指标修正的平均值。

第二种，层次分析法：也称为多层次权重解析法。这种方法强调在多目标决策分析中定量分析与定性分析的结合，由美国匹兹堡大学的萨蒂教授在上世纪七十年代提出。这一方法认为，权利确定的核心任务是在评价和选择决策行为、方案以及决策对象时，对这些活动根据其优劣程度进行了排序，排序的结果可以为企业管理者决策提供决策的依据。这一方法具体的程序如下：

首先，确定模型的层次结构。在计算企业评价指标权重时先要依据条理化、层次化原则，对分析模型划分层次。层次通常会由以下几个层级组成：第一，目标层，即企业内控评价体系所要达到的目标。第二，准则层，在确定的目标层基础上分解得到，是目标层指标的二级指标。第三，指标层，是问题分析的最基本指标，在二级指标分解的基础上得到。在各层次指标确定的基础上，层次模型构造需要明确各层次间指标之间的联系，对于层次结构中与下一层次各指标均存在联系的指标，称为具有完全层次关系的指标；反之，称为非完全层次的指标。

其次，构造评价指标间相对重要性的赋值。对评价体系中和指标相对重要性的赋值可以由企业聘请的专家给出，赋值的范围通常是1到9之间，如1表示两个指标间具有同有的重性；3、5、7、9表示两个指标间重要性差异逐渐加大，而2、4、6、8则表示两个指标间重要性判断的中值。通过数值的方式将重要性这样定性的评价量化为定量评价。

再次，在确定各指标相关系数的基础上，建立一致性检验矩阵。各指标间的相对重要关系具有传递性，即在已知A和B相对重要关系系数为C，A和D相对重要关系系数为E时，B和D相关系数应为E/C，并在此基础上确定一致性条件，当平均随机一致性指标和一致性指标的比值小于0.1，则认为上述判断矩阵的一致性可以被接受。否则，需要对模型重新赋值进行修正，直到检验通过。

最后，确定评价体系指标权重。在上述矩阵经过修正并检验通过后，计算出矩阵满足满秩的最大特征值，而该特征值所对应的唯一非负特征向量，在经过归一化处理后可以得到评价体系指标的权重值。

参考文献

[1]李明辉，张艳.上市公司内部控制审计若干问题之探讨——兼论我国内部控制鉴证指引的制定[J].审计与经济研究，2010，25（2）.

[2]胡为民.内部控制与企业风险管理—实务操作指南[M].第二版.北京：电子工业出版社，2009.

[3]陈俊，王曙光.企业内部控制体系的建设—基于对COSO和COSO内部控制体系的整合型探析[J].审计与经济研究，2008，23（3）.

[4]陈丽蓉，牛艺琳.试析上市公司内部控制自我评价存在的问题[J].财会月刊，2009.

[5]广西内部审计师协会，广西财经学院，广西电网公司联合课题组.内部审计在企业内部控制评价中的应用研究[J].中国内部审计，2010，（10）.