基于企业风险管理框架的内部控制评价模型及应用,本文主要内容关键词为:内部控制论文,风险管理论文,框架论文,模型论文,评价论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、引言
2012年我国主板上市公司全面施行了企业内部控制评价指引及相关内部控制规范。此前,国务院国资委、审计署、中注协及深沪交易所等相继颁发了一系列内部控制评价与审计规范。这些规范主要提出了内部控制评价的原则、内容、程序、报告、缺陷认定及定性评价,但却未涉及内部控制评价的要素权重和评价模型,致使无法定量测评企业内部控制的总体水平和各因素的影响程度,难以在纵向、横向上比较不同时期或不同企业的内部控制水平以及我国企业内部控制的总体运行质量,并直接影响了内部控制评审质量和内部控制规范的实施效果。
上述规则缺陷,在一定程度上源于内部控制评价理论的不成熟。虽然国内外理论界对内部控制评价模型、指数、指标和权数有所研究,但无论观点还是结果都不尽一致,甚至存在较大差异。如2012年发布的厦大内控指数和迪博内控指数(陈汉文,2012;胡为民,2012)即对我国内部控制百强企业的内控水平给予了迥然不同的回答——在百分制下内控指数均值分别为65.67和87.55(差异值21.88),排序差异率100%,指数值差异率100%,入围差异率77%。与此同时,我国99%以上的上市公司管理层自评报告和外部审计师的内控审计报告却认为其内部控制体系是有效的。
综上表明,目前我国尚未形成公认的内部控制评价体系,其中尚未解决的关键问题为内部控制评价指标、指标权数和评价模型。为此,本文拟基于企业风险管理框架(Enterprise Risk Management-Integrated Framework,简称ERM框架)(COSO 2004)并结合我国相关规范设计内部控制评价指标体系,采用层次分析法(Analytic Hierarchy Process,简称AHP)研究指标权重,联合采用模糊综合评价法(Fuzzy Comprehensive Evaluation,简称FCE)构建模糊评价数学模型,并在北京某高科技公司(简称TH公司)进行应用研究和检验其可行性。
二、文献回顾
内部控制评价模型的组成因素,主要为评价指标和指标权数,其相关研究主要如下:
关于内部控制评价指标,主要存在四类设计方式:(1)基于内部控制要素:Stringer & Carey(1995)基于《内部控制——整合框架》(COSO,1992,简称IC框架)的要素提出了由19个环境要素、15个控制活动要素及7级量度的内控综合评价体系;EI Paso(2002)以IC框架为基础,提出了93个指标、5级量度的内部控制评估体系;王素莲(2005)主要基于IC框架五要素,构建了中国企业内部控制评价指标体系;王煜宇等(2005)基于内部控制环境、风险评估、内部会计控制、内部管理控制、监督控制,构建了由35个具体指标组成的内部控制评价指标体系;骆良彬等(2008)依据IC框架五要素建立了由39个项目组成的指标体系;厦大指数(2010)主要基于《企业内部控制基本规范》(财政部等五部委,2008,简称五部委内控规范)的内控要素构建了由5个一级指标、24个二级指标、43个三级指标和144个四级指标组成的四级指标体系。(2)基于内部控制目标:Moerland(2007)基于内部控制目标,构建了内部控制披露指数;Chil-Yang Tseng(2007)基于ERM框架(COSO,2004)的风险管理目标,构建了企业风险管理指数;张先治等(2011)主要基于五部委内控规范的控制目标,提出了由4项目标层指标、10项准则层指标和61项具体评价指标组成的综合评价体系。(3)基于内部控制缺陷:Doyle et al.(2007)、Leone(2007)设计了内部控制缺陷指标并实证研究了其影响。(4)组合方式:戴传模等(2009)主要借鉴ERM框架建立了由目标维、要素维和组织维组成的内控体系;王宏等(2011)、胡为民(2012)基于战略、经营、报告、合规和资产安全目标设计了内部控制基本指数,同时将内控缺陷作为修正变量,提出了内控目标和缺陷相结合的内部控制指数。
关于评价指标的权数及赋权方法,国内外存在不赋权和赋权两类方式。不赋权方式实质上是默认各指标的权重相同,等于采用简单算术平均法赋权;赋权方式分为两类:(1)主观赋权法,主要包括层次分析法(AHP)、模糊综合评价法(FCE)和德尔菲法(DT)等;(2)客观赋权法,主要包括如熵值法(EM)、变异系数法(CAM)和主成分分析法(PCA)等。我国学者骆良彬等(2008)及戴传模等(2009)研究了运用AHP进行内部控制模糊综合评判的构想和理论框架,张先治等(2011)提出了AHP和模糊评价法相结合的多层模糊综合评价方式,但上述研究没有确定具体指标权重及应用模型;韩传模等(2011)利用平衡计分卡(BSC)和AHP构造了带有权重指数的内控评价体系;厦大指数(2009)采用AHP和变异系数法确定了指标权重。我们认为,各种赋权方法各有优缺点,其中主观赋权法考虑了专家的知识经验但存在主观随意性,客观赋权法具有较强的数学理论依据但却不能反映专家判断,具体选择何种赋权方法需要根据内控评价指标的性质、特征及数据可获得性加以确定。
三、企业内部控制评价指标体系
(一)内部控制评价指标体系的设计方式
基于内控要素、目标、缺陷或者组合方式设计内部控制评价指标,各有优缺点。其中,内控要素能够充分反映内部控制的健全性和有效性,却不能反映内部控制过度;内控目标与内部控制健全性和有效性相关,但内部控制只是实现目标的必要条件而不是充分条件,因为内控目标尚受内部控制之外的若干因素及不可控因素的影响;内控缺陷能够反映内部控制的无效性,却不能充分反映内部控制的健全性和有效性;组合方式,兼具相关方式的优点,但同时兼具相关方式的缺点,关键在于合理组合以尽可能实现相关方式的缺陷抵消。鉴于目前我国内部控制的主要问题是健全性不足和有效性不足,而不是内部控制过度,因此本文主要基于内控要素方式设计内控指标体系,同时由于内控重大缺陷可导致内部控制完全失效,因此增设重大缺陷指标以反映其实质性影响。
(二)基于ERM框架的内控评价指标体系及其合理性
ERM框架代表了内部控制理论的最高成就和发展趋势,并能够在最大程度上实现同我国现行内部控制及风险管理规范的衔接。因此,我们认为应该基于ERM框架阐述的八项风险管理要素设计内控评价指标体系,其合理性与可行性主要如下:
首先,我们认为在本质上内部控制等于风险管理。关于内部控制与风险管理的关系,目前主要存在四种观点:第一,内部控制从属于风险管理,即认为内部控制是风险管理的子系统、组成部分或实施手段,如COSO(2004)认为企业风险管理涵盖内部控制,内部控制是企业风险管理不可分割的一部分,国资委(2006)则称全面风险管理包括内部控制系统;第二,内部控制包含风险管理,即认为风险管理是内部控制的组成要素,如中国内审协会(2003)认为内部控制包括控制环境、风险管理、控制活动、信息与沟通、监督等五个要素;第三,内部控制和风险管理彼此交叉(白华,2012);第四,内部控制等同于风险管理(Blackburn,1999;陈关亭,2009)。我们认同第四种观点,即内部控制和风险管理都是对企业风险进行识别、评估、应对和控制以合理保证企业目标实现的管理过程,其主体相同,对象相同,功能相同,属性相同,在本质上内部控制等于风险管理,在动态上企业风险管理是内部控制的高级形态。ERM框架和IC框架是人们在不同阶段对内部控制所形成的不同认知,这种主观认识的不同并不表明内部控制和风险管理在客观上以及本质属性上存在相应的差别。
其次,ERM框架代表了内部控制理论研究的最高成就和发展趋势。内部控制经历了“一元化”(内部牵制)、“二分法”(内部会计控制和内部管理控制)、“三结构”(控制环境、会计系统和控制程序)阶段,目前发展为“五要素”IC框架(控制环境、风险评估、控制活动、信息与沟通、监督)和“八要素”ERM框架并存阶段。ERM框架在整体上融合了IC框架并吸收了后者约60%的内容,并重点将IC框架的“3目标+5要素”扩展为“4目标+8要素”——即战略、经营、报告和遵循目标,以及内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监督要素。ERM框架同IC框架及此前阶段相比,目标、要素和范围更加准确全面,框架结构和逻辑关系更加科学合理,在理论上全方位“拓展和细化了内部控制”(COSO,2004)并超越了IC框架,在实践中可使公司借以满足内部控制的需要并转向更加全面有效的风险管理过程,因而可以合理推测ERM框架应该并且必将取代IC框架。此外,其同英国Cadbury报告(Cadbury,1994)与Turnbull报告(ICAEW,1999)、加拿大CoCo控制指南(CICA,1995)以及澳大利亚与新西兰风险管理标准(AS&NZ,2004)、欧盟风险管理与内部控制报告(FEE,2005)相比,内容要素更加全面合理并具有层次性,逻辑结构更加科学严谨并具有系统性。综上可认为ERM框架代表了内部控制理论的最高成就及高级发展形态。
再次,基于ERM框架设计内控评价指标,能够在最大程度上实现同我国现行内部控制及风险管理规范的衔接。一是直接对接上市公司内部控制指引:深交所(2007)内控指引将内控要素确定为内部环境、目标设定、事项识别、风险评估、风险对策、控制活动、信息与沟通、检查监督,该八项要素同ERM框架完全相同;上交所(2006)内控指引将内控要素规定为目标设定、内部环境、风险确认、风险评估、风险管理策略选择、控制活动、信息沟通、检查监督,该八项要素同ERM框架基本相同。二是可在转换基础上衔接企业内部控制规范:我国五部委内控规范在要素形式上借鉴了IC框架五要素,但在要素内容上融合了ERM框架八要素,其中主要是在风险评估要素中合并了ERM框架的目标设定、事项识别、风险评估、风险应对要素,因此基于ERM框架设计的内控评价指标通过合并相关指标可以对接五部委内控规范的五项要素。三是在较大程度上衔接中央企业全面风险管理指引:国资委(2006)全面风险管理指引主要借鉴ERM框架构建了主要由风险管理目标、环境、要素和流程等构成的全面风险管理体系,其内容要点多数可以合并或分解为ERM框架的八要素。
综上分析,本文选择基于ERM框架设计内部控制评价指标。需要说明的是,基于ERM框架设计内控评价指标体系,尚需融合国内外内部控制及风险管理文献和实践的合理内容。为此,我们主要比较了我国五部委内控规范及其应用指引、沪深交易所内部控制指引及国资委中央企业全面风险管理指引等文献,以及中石油、中石化、国家电网、国华电力及兖州煤业等22家企业内部控制手册及案例,并将其可取要点整合在了本指标体系的第三级指标之中。由此建立的内控评价指标体系包括:8项一级指标,即为ERM框架的一级要素,36项二级指标及180项三级指标,详见表2(三级指标从略)。
四、基于AHP的指标权重及评价模型
(一)AHP及其可行性
AHP,即层次分析法,是由美国T.L.Saaty(1971)基于网络系统理论和多目标综合评估方法提出的系统化、层次化、定性和定量分析相结合的决策方法,它将由多因素构成的复杂系统分解为若干层次,通过定性指标模糊量化方法计算出各层次指标权数。AHP通过将复杂系统层次结构化、层次内两两比较和层次间赋权方式解决了多因素、主观判断的不可公度问题,通过一致性检验在一定程度上解决了主观判断的不可靠性问题,提高了主观决策过程的科学性,是分析多目标、多因素、多准则复杂系统的有力工具,并且通过将评价者的经验予以量化而特别适用于目标结构复杂且缺乏数据的情况。企业内部控制系统评价符合上述复杂系统的特征,AHP能保证模型具有良好的合理性、适用性、有效性和系统性(骆良彬等,2008)。因此,本文选用AHP确定内部控制评价指标的权重。
(二)基于AHP的指标权重及评价模型
1.指标体系层次结构
根据内控评价指标体系的关联关系和隶属关系,可解析出如下层次结构,即最高层(目标层)为企业内部控制水平,中间层(准则层、指标层、分指标层等)为内控评价体系的一级指标、二级指标与三级指标,最底层(对象层)为被评价企业。
2.内部控制判断矩阵
采用层次间要素两两比较的方式,分别建立各级指标的判断矩阵,并采用T.L.Saaty(1971)提出的1~9标度法,设定重要性比例的判断标度。
3.内部控制调查问卷
根据上述判断矩阵和比例标度,设计矩阵式调查问卷。为增强对内控指标的一致理解,我们在问卷的说明部分具体解释了各项一级指标、二级指标、三级指标及各级标度的含义、填表方法及其示例;问卷的主体部分,按照9级标度法(T.L.Saaty,1971)分别设计了一级指标、二级指标、三级指标的判断矩阵式调查表(问卷从略)。
4.样本数据描述
先后发放调查问卷1500份,收回有效问卷466份,有效回收比例为31.07%。有效问卷按调查对象分为三类:注册会计师128份,企业中高层管理者208份,专家学者130份。
为提升样本质量和稳定性,首先采取群组判断方式弱化调查者的主观影响,并将调查范围限于符合条件的实务工作者和专家群体,具体条件为注册会计师须具有内控审计或咨询经验,企业中高层管理者须具有内控设计、执行或评价经验,专家学者须至少发表2篇内控论著。其次对每份有效问卷进行一致性检验,即计算一致性指标CI(Consistency Index)和一致性比例CR(Consistency Ratio),如果CR<0.1则说明调查个体的判断一致性良好,通过一致性检验,反之则认为调查个体的判断存在严重不一致性,从群组样本中剔除该个体。由于“信息与沟通”判断矩阵为2×2判断矩阵,不能通过上述方法进行一致性检验,所以本文采用了替代法,即如果某问卷中其他要素的通过率较低,则认为该问卷的“信息与沟通”要素不满足一致性判断。最终检验合格样本为406份,占有效样本比例的87.12%,样本统计及一致性检验结果见表1。
5.指标权重测量
本文收集数据采用了多样本的问卷形式,对同一指标均会获得多个判断矩阵,因此需要在计算群体判断权重之前对个体判断结果进行集结。群偏好集结方法主要为特征根法和拟合方法,其中特征根法比较适合本研究。特征根法又分为平均综合判断矩阵法(AIJ)和平均综合排序向量法(AIP),根据计算机仿真方法的比较,当样本增大时使用AIP比AIJ有明显优势(王莲芬等,1990),因此我们采用平均综合排序向量法(AIP)来对个体偏好进行集结。具体处理步骤如下:(1)根据调查问卷,逐一建立比较判断矩阵;(2)采用特征根法,解得各矩阵的特征向量;(3)问卷一致性检验,即计算一致性指标CI和一致性比例CR,如CR<0.1,说明调查问卷的判断一致性良好,通过一致性检验;(4)采用AIP分组集结个体权重向量,并采用加权算术平均值作为综合排序向量;(5)采用算术平均法综合三个群组的权重结果,得出综合权重测量结果;(6)层次单排序及总排序一致性检验,即对经归一化的各级指标权向量W,进行层次单排序及层次总排序一致性检验,结果均为CR<0.1,说明权重W一致性良好或不一致程度在容许范围之内,通过一致性检验。其中第一、二级指标权重研究结果见表2。
6.内部控制综合评价模型
上述内控评价指标彼此基本独立,因此可以采取加法合成方式。同时,鉴于内部控制重大缺陷可导致企业内部控制完全失效,因此设立重大缺陷指标,即一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标,并且不存在补偿性控制,如高层管理人员舞弊、财务报表存在重大错报而内部控制未能发现等。内控重大缺陷同内部控制水平高度相关,因此可采取乘法合成本指标与上述内控评价指标。综上,建立如下内部控制综合评价模型,其中ICQ为内部控制综合评价值,W为指标权重,U为指标评价值,MD为重大缺陷(哑变量,如存在重大缺陷则为0,否则为1)。
五、基于FCE的模糊评判模型及其应用
(一)FCE及其可行性
FCE,即模糊综合评价法,是美国L.A.Sade(1965)基于模糊数学和模糊关系合成原理提出的针对边界不清、不易定量的因素进行定量化综合评价的决策方法。其最大特点是可以比较自然地处理人类思维的模糊性和不确定性问题,通常是在模糊环境下综合评判多因素、多层级、不易定量、不宜精确描述的复杂系统的有效途径。基本步骤为:首先确定被评价对象的因素集和评语集;其次分别确定各个因素的权重及其隶属度向量,建立模糊评判矩阵;最后把模糊评判矩阵与因素的权向量进行模糊运算并进行归一化,模糊合成评判结果,必要时通过对评语集赋值构造列向量并模糊运算模型Q=B×F,获得最终评价结果。FCE模型为Q=B×F,B=W×R,其中Q为评价分值,B为评价结果向量,F为评语集的赋值列向量,W为评价因素的权重向量,R为评价结果的隶属度矩阵,表示模糊算子。
张先治等(2011)认为,将AHP与FCE相结合实施多层模糊综合评价兼具两种方法的优点:(1)定性评价与定量评价相结合;(2)模糊现象适度精确化,定性分析定量化;(3)指数合成运算科学合理。我们认同上述观点,进而认为企业内控评价体系作为多因素、多层级、不易定量、不宜精确描述的复杂系统,高度符合FCE的适用范围,而FCE能够应用模糊关系合成原理将内控体系中边界不清、不易定量的因素定量化,利用模糊隶属度把定性指标合理地定量化,可以很好地解决人类判断的模糊性和不精确性问题以及现有评价方法中存在的非量化、机械量化及不合理量化等缺陷,并且更加接近东方人的思维习惯和描述方法,因此下文将AHP、FCE结合起来构建内部控制模糊评判模型并应用于实际案例。
(二)基于FCE的模糊评判模型及其应用
TH公司是北京市的一家高科技A股上市公司,主营信息产业,公司参照我国五部委企业内部控制基本规范及其应用指引建立了内部控制手册,并委托某会计师事务所执行内部控制审计。企业高级管理层和注册会计师基于本公司内部控制设计健全性和执行有效性的实际情况,依据上文提出的内部控制评价指标体系,各自独立地评定了各项、各级内部控制指标的分值。本文数据来源于TH公司实施内控评价的5位高层管理人员,以及对本公司执行内部控制审计的3位注册会计师。
1.确定因素集、权重集和评语集
因素集U,是由影响评价对象的因素组成的集合,在此即为上述内控评价指标体系U={u1,u2,…u8}={内部环境,目标设定,事项识别,风险评估,风险应对,控制活动,信息与沟通,监控},其子集
见表2。
权重集W,是由因素集中各因素权重所组成的集合,在此采用前文研究结果W={w1,w2,…w8}={0.216,0.132,0.088,0.113,0.119,0.122,0.092,0.118},子要素权重
见表2。
评语集V,是对因素集中各因素所作评价结果的集合,在本案例中即为8位评价人员对TH公司内部控制的评价结果,评价值为五级,即V={v1,v2,v3,v4,v5}={强,较强,中等,较弱,弱},对应百分制区间见表3。
2.实施单因素评价
首先由上述8位评价人员基于内控评价指标体系、评分标准和实际测评证据,按照百分制各自对TH公司第三级内部控制指标的健全性和有效性综合评定分值;然后采用算数平均法分别计算各二级指标所属的三级指标均值,据以形成对应二级指标的模糊评语,其中“内部环境”所属二级指标的评价分值见表4。
3.建立评价矩阵
4.模糊合成评判向量
根据W=(0.216,0.132,0.088,0.113,0.119,0.122,0.092,0.118),采用普通矩阵乘法模糊运算B=W×R,则可合成模糊综合评判向量B=(0.269,0.257,0.343,0.097,0.034),归一化满足∑Bj=1。此即关于该公司内部控制的模糊综合评价,根据最大隶属度法则,Bmax=0.343,则可模糊评价其内部控制等级为“中等”。这实质上是在推演后实施某种截割,强使模糊信息清晰化,在通常情况下其效果优于常规方法的截割,但其仍不够准确并且仅适用于评级而不能据以测定分值。
5.确定最终评价分值
为了更细化和直观地推定评价结果,可实施模糊向量单值化,即对各等级评语赋值。首先对于评语V={强,较强,中等,弱,较弱},根据百分制区间的中位数相应赋值,构造为列向量F=(95,84.5,74.5,64.5,29.5)T;然后计算Q=B×F,最终得出本公司内部控制体系的模糊综合评价分值为:Q=80.09。
同理,计算出本公司内部控制各项一级指标的模糊综合评价分值为:内部环境Q1=81.99,目标设定Q2=75.17,事项识别Q3=75.96,风险评估Q4=76.58,风险应对Q5=74.85,控制活动Q6=86.02,信息与沟通Q7=87.89,监控Q8=81.40。
综上,可将本公司内部控制综合评价为80分,属于“较强”等级。分析一级指标评价结果发现,其信息与沟通、控制活动、内部环境和监控要素为“较强”水平,而风险应对、目标设定、事项识别和风险评估要素为“中等”水平,后四项要素便构成了内部控制的改进重点。就审计意见而言,由于在内部控制审计中未发现重大缺陷并且审计范围未受到限制,因此注册审计师应当出具无保留意见的内部控制审计报告。
六、结论与局限
研究结论和贡献为:第一,构建了内部控制评价指标体系,其主要基于ERM框架并吸收了我国内控规范及企业案例的合理内容,包括8项一级指标、36项二级指标项和180项三级指标;第二,确定了内控评价指标的权重,其基于AHP和406份问卷数据,并采取专家群体判断方法及一致性检验提升了权重结果的稳定性和科学性,其中一级指标权重为W=(0.216,0.132,0.088,0.113,0.119,0.122,0.092,0.118);第三,联用FCE、AHP构建了内部控制模糊评价数学模型,并据以综合评价了TH公司的内部控制水平,从而实现了内部控制评价从定性分析到定量研究的转变,合理解决了在模糊环境下综合评判多因素、多层级内控系统的不易定量、不宜精确判断问题以及单独使用AHP所致的主观因素影响。
本文研究局限为:一是内控评价指标体系主要基于内控要素和缺陷维度,而未纳入其他维度;二是基于AHP及调查问卷确定的指标权重,在一定程度上受到被调查者主观因素的影响。
标签:内部控制论文; 风险管理论文; 中央企业全面风险管理指引论文; 企业内部控制评价指引论文; 企业内部控制与风险管理论文; 内控体系论文; 内部控制缺陷论文; 内控管理论文; 模糊层次分析法论文; 客观赋权法论文; 模糊理论论文; 矩阵管理论文; 缺陷管理论文; 风险内控论文; 矩阵分解论文;