第四章Z公司基于综合评价法的内部控制
评价基于上述分析,对Z公司进行内部控制评价,运用将层次分析法和模糊评价法相结合的综合评价法是可行的。层次分析法的运用,需要建立具有层次性的内部控制评价指标体系。因此,在运用综合评价法开展内部控制评价工作时,一般分为三个阶段:构建内部控制评价指标体系、确定指标权重和计算评价结果。
本文的指标体系构建以及指标权重确定,主要是在借鉴陈关亭、黄小琳等(2013)关于上市公司内部控制评价指标研究的基础上进行的。本章最后将基于内部控制各评价指标的评价值,对Z公司内部控制进行评价分析并提出建议。
一、内部控制评价指标体系构建
内部控制评价指标,是内部控制评价的一套基本参考标准,评价主体利用评价指标与内部控制具体情况进行对比,并形成评价结果。内部控制评价指标体系的构建,是内部控制评价工作开展的前提条件。因此,Z公司开展内部控制评价的第一步即是构建内部控制评价指标体系。
(一)内部控制指标体系构建原则
内部控制评价指标的构建并不是越多越好,指标的构建需要遵循一定的原则。依据《企业内部控制基本规范》、《内企业部控制评价指引》等规范制度,并结合Z公司内部控制具体情况,本文认为内部控制评价指标的构建,应遵循以下原则:
1、全面性原则
全面性原则,是指内部控制评价指标应涵盖Z公司的各项经营业务或事项,包括内部控制的设计和运行这两方面,能够为评价主体对内部控制体系中各要素环节进行系统、全面地检查提供参考。因此,本文在构建内部控制评价指标体系时,应以内COSO最新提出的风险管理八要素为基础。
2、重要性与成本效益原则
重要性原则,是指Z公司在全面性原则的指导下,应以风险为导向,重点关注重要业务单位或事项。成本效益原则,是指Z公司进行内部控制评价时应注意成本与效益的对比,因为企业的资源是有限的,应保证内部控制评价对资源的使用符合“优化配置”的原则。重要性原则与成本效益原则联系紧密,重要性原则符合成本效益原则的要求,成本效益原则要求公司遵循重要性原则,因此,Z公司构建内部控制评价指标时应共同遵守重要性与成本效益原则。
3、系统性原则
系统性原则,是指内部控制评价指标体系是一个系统,不是各指标之间简单的相加。系统性原则要求,Z公司应该在全面性原则、重要性与成本效益原则的基础上,注重各指标之间的联系,构建具有层次性、结构性的指标系统。
4、定性与定量相结合原则
综合评价法,是一种定性与定量相结合的评价方法,这就要求内部控制评价指标体系构建时,应以定性与定量相结合为原则。定性与定量相结合的指标体系,能够使得评价结果更加具有客观性、有效性。
5、可操作原则
可操作性原则,是指内部控制评价体系构建应以企业的具体情况和要求为基础,保证指标的设计与评价目标的要求一致,具有评价操作的可行性。
(二)内部控制评价指标体系构建
本文搜集了 Z公司内部控制相关的公开资料,并利用HP会计师事务所实习生的身份,借阅了最新的内部控制手册,在此基础上,遵循以上五项原则,结合现有内部控制评价指标的研究,围绕风险管理八要素——内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控,构建Z公司内部控制评价指标体系。其中,以内部控制有效为目标层,内部环境、目标识别等八要素为一级指标,一级指标的子指标为二级指标,整个评价指标体系包涵1项目标层指标,8项一级指标和36项二级指标。
1、内部环境评价指标
内部环境是企业风险管理中其他要素的基础,为它们提供了约束、形成了框架。内部环境指标主要包括:风险管理理念、风险容量、董事会和审计委员会、诚信与道德价值观、胜任能力、组织结构、权责分配、人力资源准则等评价指标。
风险管理理念指标,是反应企业风险价值观的指标,主要包括:进行风险管理是否出于企业经营管理的主动需求;风险管理理念是否被很好的确立、解释和传播等。
风险容量,是企业在经营过程中愿意承担的风险的容量,受风险管理理念的影响。风险容量评价指标,主要包括:企业战略的设定是否与设定的风险容量相 一致;风险容量的衡量是否从质和量的角度进行,其中质的衡量一般用“高、适中、低”等,量的衡量一般用增长比率等。
董事会和审计委员会评价指标,主要包括:企业审计委员会是否保持相对独立性;董事会中是否具有适当比例的独立董事;董事会对管理层能否进行有效的监督等。
诚信与道德价值观,对企业战略和目标建立和施行的偏好、价值判断和风险容量等有着重要影响。诚信与道德价值观评价指标,一般包括:公司治理层和管理层是否认可诚信与道德对企业经营的价值;外界是否认为该企业业务经营活动遵守诚信与道德;企业是否将诚信与道德以行为准则的形式在企业范围内传播;企业是否履行社会责任等。
胜任能力评价指标,主要包括:企业制定的战略与目标是否是可实现的;是否建立完善的岗位说明书,对岗位人员能力的要求作出详细的说明等。组织结构评价指标,主要包括对企业组织结构设计和运行是否有效的评价。组织结构的设计的有效指的是:现有的治理结构能否对权力进行制衡;职责的划分能否对岗位权限和互相关系进行明确;组织结构的设计是否将企业性质、企业文化、发展战略等因素考虑在内;现有岗位之间能否体现职务的不相容性等。组织结构运行的有效指的是:能否保证总公司对子公司的发展战略、财务预算、重大投资或重大业务活动能进行控制;企业能否对组织结构进行定期评估并进行优化调整等。
权责分配评价指标,主要包括:企业对于申请、审批和授权等权限和程序是否具有明确的规定:权限和审批程序是否符合企业风险管理的要求;对于权限的使用和审批程序是否定期或者不定期进行监督、审核等。
人力资源准则评价指标,主要包括:企业是否建立了完善的人才招聘机制;是否具有持续的文化、技能的培训体系;是否建立了公平完善的绩效考核制度等。
2、目标设定评价指标
企业风险与设定的目标相关联,目标的设定是事项识别、风险评估以及风险应对的基础。目标设定评价指标,一般包括:战略目标、相关目标(经营、报告、合规)、选定目标、风险容量和风险容忍度等。
战略目标是高层次的目标,反应了企业为创造价值而做出的战略规划。相关目标,是为保证战略目标的实现而设定的经营目标、报告目标和合规目标。战略目标、相关目标和选定目标的评价指标,主要包括:战略目标的选择和设定是否适合企业愿景和使命;设定战略目标、相关目标的是否考虑了内外部风险;相关目标的设定是否与战略目标相辅相成、保持一致;目标的选择是否符合企业具体情况、是否得到员工的广泛认可等。
目标设定环节中的风险容量,是管理层在治理层的监督指导下,根据战略目标制定的风险指标量。风险容量的评价指标,主要包括:风险是否在企业可承受的范围;风险容量是否与获得的报酬相平衡等。
风险容忍度,是指企业在风险容量的基础上,能接受的目标实现风险的偏离程度。风险容忍度评价指标,主要包括:是否根据不同目标的相对重要性制定了不同的风险容忍度;现有的风险容忍度是否有利于经营活动的开展进行等。
3、事项识别指标
事项识别,是指企业识别对其能产生积极或者消极影响的可能事项,一般包括事项、影响因素、事项识别技术、相互依存性、事项类别、区分风险和机会。
事项评价指标,主要是指:企业是否能对影响事项进行有效识别;对可能事项的风险性、重要程度是否进行分类等。
影响因素,是指影响事项对企业战略实施和目标实现产生影响的内外部因素。一般包括与经济、自然环境、社会等相关的外部因素和企业内部结构、人员等内部因素。影响因素评价指标,主要是指企业能否有效识别内外部影响因素等。
事项识别技术,是指企业识别事项所采用的各种技术、工具及其组合。事项识别技术评价指标,主要包括:是否具备健全的事项识别技术;使用事项识别技术的人员是否具备专业胜任能力等。
相互依存性,是指事项之间并不是孤立的存在,相互影响、相互联系。相互依存性的评价指标,主要包括:不同的事项之间影响程度如何;企业是否能够清晰的识别不同事项之间的相联之处等。
事项类别评价指标,主要是指将事项区分为不同类别相关的评价指标。区分风险和机会的评价指标,是在事项类别区分的基础上进行的评价。事项类别与区分风险和机会的评价指标,主要包括在经营管理中是否将事项区分为不同类别;针对不同类别的事项,根据重要性和影响是否区分为风险和机会等。
4、风险评估评价指标
风险评估,是在前两项评价指标的基础上对风险的发生几率和影响大小进行评估。风险评估评价指标,一般包括风险评估背景、固有风险和剩余风险、估计可能性和影响、评估技术、事项之间关系等指标。
风险评估背景评价指标,是指与风险评估所处的内外部环境相关指标,主要包括:企业对于风险评估是否具有持续性;进行风险评估时,企业能否识别出共同因素之外的对其产生影响的特别因素;是否对风险事项有适当的预期等。
固有风险是指企业未采取任何应对措施之前所面临的风险,剩余风险是指企业采取了应对措施之后剩余的风险。固有风险和剩余风险评价指标,主要是指企业是否能够识别固有风险和剩余风险等。
估计可能性和影响评价指标,一般是指企业是否制定了风险可能性和影响的评价标准;根据评价标准,企业能否准确估计风险可能性和影响程度等。
评估技术评价指标,是指与风险评估运用的技术相关的指标,一般包括:是否运用定性和定量相结合的技术对风险进行评估;是否根据不同的阶段和评价客体选择相应的评估技术等。
事项之间关系评价指标,主要是指企业是否根据事项之间的关系釆用不同方法进行风险评估;根据事项之间的关系所釆用的评估方法是否合适等。
5、风险应对评价指标
风险应对,是指企业在风险的可能性和影响的评估结果基础上,考虑成本效益,采取能够使剩于风险保持在可承受的风险容量内的应对措施,一般应对措施有:回避、降低、分担和承受。风险应对评价指标,主要有:评价可能的应对、选定的应对以及组合审度等指标。
评价可能的应对评价指标,是指对可能的应对措施进行评价,主要包括:是否对不同的应对方案进行剩余风险可能性和影响的评价;评价应对时是否考虑“过去、现在和未来”;评价应对时是否运用了适合的计量单位等。
选定的应对,是在众多的可能应对中选定应对措施。选定的应对评价指标,主要是指:企业选定的应对是否能将风险降低在可承受的范围;选定的应对是否符合成本效益原则;应对的选定是否考虑了附加的风险等。
组合审度,是指企业在应对风险时运用组合的理念。组合审度评价指标,主要包括:是否从企业整体范围对风险进行考虑;釆取的应对措施是否从企业整体范围内进行考虑、组合;采用的应对措施组合是否能有效应对风险等。
6、控制活动评价指标
控制活动是企业为了保证风险应对措施的有效施行而实施的政策和程序,贯穿于企业的各层级,一般包括批准、授权、验证、调节等活动。控制活动评价指标,主要包括:与风险应对相结合、控制活动的类型、政策与程序、信息系统的控制等评价指标。
与风险应对相结合评价指标,主要包括:针对风险应对釆取的控制活动是否相关、恰当;选择控制活动时是否考虑控制活动之间的关联性等。
控制活动的类型评价指标,主要包括:企业是否对控制活动根据一定的标准进行分类;控制活动类型分类是否准确;控制活动不同类型进行组合运用是否合适等。
政策与程序评价指标,主要是指:企业是否存在持续且完善的控制政策;是否建立了与政策相适应的程序;政策与程序是否被广大员工的理解和支持;政策和程序的执行是否一贯有效等。
信息系统的控制,是指对满足报告、合规等目标方面的需求而釆用的信息系统进行控制,分为一般控制和应用控制。一般控制对包括应用系统在内的信息系统进行持续的控制,应用控制主要是对应用软件,如计算化的处理过程进行控制。
信息系统的控制评价指标,主要包括:企业是否关注对信息系统进行控制;一般控制和应用控制是否得到合理区分以及组合使用等。
7、信息与沟通
信息系统为企业提供内部生成的数据等信息和从外部渠道获得的信息,并在各层级进行沟通以保持信息的及时传递。信息与沟通评价指标,主要包括信息、沟通这两个指标。
信息评价指标,主要包括:企业是否建立了完善的信息系统以获得尽可能多的相关内外部信息;信息系统的建设能否与企业战略相结合;获得的信息是否具有及时、准确、易获得等高质量水平等。
沟通评价指标,主要包括:企业是否建立了有效的沟通机制;沟通机制能否保证获得的内外部信息得到及时、准确的传递;沟通方式是否以文件的形式予以确定;董事会或审计委员会对沟通机制的运行是否进行有效监督等。
8、监控
监控,是指对整个风险管理进行监督控制,以保证风险管理适应整个经营环境的变化。监控一般有两种方式:持续监督和个别评估。持续监督和个别评估之间存在此消彼长的关系,一般持续监督越有效,个别评估则越少。持续监督能够应对企业正常的、循环的经营活动,能动态的应对发生的变化;个别评估主要运用于事后,因此,持续监督比个别评估更有效,个别评估则根据需要、定期或者不定期进行风险管理评估。监控评价指标,主要包括:持续监督、个别评估和报告缺陷等评价指标。
持续监督评价指标,主要包括:企业是否根据风险管理过程建立了持续性监督;持续监督活动能否与经营过程中的活动区分开;持续监督活动的执行主体是否由合适的管理人员担当等。
个别评估评价指标,主要包括:由谁决定某项个别评估,是否根据确定的权限规定;个别评估使用的范围和频率是否合适、恰当;个别评估是否遵ft重要性原则、成本效益原则等。
报告缺陷,是指对持续监督和个别评估提供的信息进行分析,确认对企业目标的实现存在风险的缺陷,并予以报告。报告缺陷评价指标,主要包括:缺陷的认定是否根据持续监督或个别评估提供的客观信息;缺陷的层次认定是否有明确、合理的规定;缺陷的报告对象是否明确;是否建立了可行的、有效的缺陷报告程序等。
二、层次分析法确定内部控制评价指标权重
在建立了具有层次性的内部控制评价指标体系之后,运用层次分析法确定指标权重一般可以分为三个步骤。
(一)构建评价指标的比较矩阵
根据上文建立的内部控制评价指标体系,以一级、二级指标层为对象,对每个指标层相对于上一层次中某指标的重要性进行两两指标的比较,并按重要程度进行赋值。构建两两比较矩阵A:
其中,表示同一层次的两指标相对于上一层次某指标重要性程度的比值,
本文重要程度参考Sattyl-9标度的方法,如表4-1所示:
(二)计算各指标的权重向量
在评价指标的比较矩阵构建基础上,计算比较矩阵的特征向量和最大特征根。其中,特征向量是两两评价指标之间重要性的比重。此处将计算原理和公式列出在具体实践过程中一般使用层次分析法软件计算数值。
首先,对比较矩阵的各列进行归一化处理,得:
(三)检验一致性
首先,计算一致性指标。CI为判断比较矩阵一致性的指标,RI为比较矩阵的平均随机一致性指标,CR为CI和RI之间的比值。指标计算公式如下:
其中,RI的值与矩阵阶数相关,关系参见表4-2。当CR<0.1时,表示比较矩阵符合一致性,所对应的特征向量^则为相应评价指标的权重;当CR>0.1时,应该对比较矩阵进行修正,直到当CR<0.1为止。
(四)确定内部控制评价指标权重
Z公司进行内部控制评价指标的权重计算,应遵循以上的三个步骤。陈关亭等人(2013)基于406份调查问卷基础上,利用层次分析法对上市公司内部控制评价指标的权重进行计算,该研究具有可靠性和实践性。由于Z公司是上市公司,因此,本文简化计算过程,借鉴陈关亭等人的研究结果具有可行性和合理性。确定Z公司的内部控制评价指标权重如表4-3所示。
三、模糊评价法确定内部控制评价值
模糊评价法确定Z公司内部控制评价值,在层次分析法确定指标权重的基础上,一般分为三个步骤:建立内部控制评价的因素集、评语集和分值集;确定隶属度;计算内部控制评价值。
(一)建立内部控制评价因素集、评语集和分值集
因素集,是指由影响内部控制评价的因素集合,本文的因素集由内部控制评价指标体系构成,包括一级和二级指标。
所以,因素集0 = {01,02,03,04,05,06,07, Dii}。
评语集,是对内部控制评价用语的集合,主要是定性的评价描述。为了将定性评价定量化,一般可以将评语集与分值进行对应,得出定量的评价结果。评语集与分值的对应关系如表4-4所示,本文采用百分制。
设评语集1; = {1;1,1;2,1;3,1;4,1;5卜{优,良,中,差,很差1,设对应的分值集P = {Pi, P2, P3, P4, Ps} = {95,85,70,50’ 20}
(二)确定隶属度
隶属度,是指在由多人组成的评价组中,对内部控制某评价指标的评价为某一评语的人数占总人数的比值,用R表示,隶属度矩阵如下所示:
本文邀请8位专家组成内部控制评价组,依据评语集,对Z公司内部控制评价36个二级指标进行评价。根据评价结果,确定各评语的隶属度,构建模糊评价矩阵如表4-5所示。
(三)计算内部控制评价值
根据层次分析法确认的指标权重集W和模糊评价矩阵(隶属度),计算内部控制评价各项指标评价值。计算各评价指标评价值的基本公式:Q =首先,计算内部控制评价二级指标评价值,公式为:
其次,计算内部控制评价一级指标评价值,公式为:
按照上述计算步骤,本文首先对内部环境评价指标进行评价值计算,如下:
根据此计算方法,继续计算其他二级指标、一级指标和内部控制评价综合评价值,整合内部控制评价指标的评价结果如表4-6所示:
四、综合评价法下的Z公司内部控制评价指标分析
根据上述分析计算,Z公司内部控制有效性的综合评价值为79.90,若不保留小数,则约为80,按照评语集和分值集的对应关系,Z公司刚好为“良”。总体上,Z公司内部控制设计基本符合我国内部控制相关制度、政策的规定,并且运行比较有效,但对内部控制有效的具体评价指标进行分析可知,内部控制还存在不足。下文将对Z公司内部控制具体评价指标进行分析,并提出改进建议。
(一)内部环境评价指标分析
内部环境评价指标的评价值为83.0125,表明Z公司具备良好的内部控制环境,为开展内部控制提供了好的基础。Z公司治理层和管理层提倡企业风险管理理念,制定符合相关规定的公司章程,建立完善的公司组织结构,选拔具有胜任能力的人才就职,特别关注所录应届大学生的培养,但董事会中独立董事的比例较低,审计委员会的独立性也较低,人力资源准则的规范化仍有进步的空间。因此,Z公司应该加强审计委员会独立性,提供董事会中独立董事的比例以保证决策的客观、民主,并进一步规范人力资源相关准则。
(二)目标设定评价指标分析
目标设定评价指标的评价值为90.355,表明Z公司目标设定相关的内部控制比较优秀。Z公司战略目标和相关目标的制定和选择,是在根据企业愿景与使命并结合内外风险的基础上完成的,目标在公司内部的分解传递,得到了企业各层级员工的支持,风险容量和风险容忍度根据企业战略和不同目标的重要性进行设计,为企业风险管理规定了前提条件。Z公司在目标设定评价指标上,应继续保持优秀,并根据内外部环境的变化而调整目标的设定。
(三)事项识别评价指标分析
事项识别评价指标的评价值为76.67875,处于中等水平。Z公司内部控制在事项识别技术方面表现良好,相关人员具备专业知识并且能使用各项识别技术,但是对识别可能事项、事项产生影响的因素以及相互之间的依存性缺乏敏锐性,这在一定程度上影响了对事项类别的区分。因此,Z公司应加强对相关人员的继续培训,使得其不仅具备专业知识,还能及时识别可能事项、影响的因素和事项之间的关系,进而区分企业面临的是机会还是危险。
(四)风险评估评价指标分析
风险评估评价指标的评价值为74.34125,处于中等水平。Z公司审计委员会和审计部对企业风险未能进行有效的持续性评估,在对固有风险和剩于风险的区分、识别还不是非常准确,采用的评估技术未能将定性与定量相结合。因此,为了进行有效风险评估,Z公司应采用定性和定量相结合的评估技术,如本文的综合评价法,并根据事项以及之间的关系选择不同的评估技术,另外,对内部控制风险评估的持续性应有制度的强制保障,尤其是高风险的房地产产业。
(五)风险应对评价指标分析
风险应对评价指标的评价值为74.92375,处于中等水平。房地产行业是高风险的行业,在对风险进行评估后,Z公司应采取合适、有效的应对措施,将剩于风险控制在可承受的范围。Z公司在及时评价可能的应对措施并选择方面还做的不是很好,略有滞后。因此,Z公司应提高效率,及时对应对风险的可能措施进行及时评价,选择合适的应对措施或应对措施组合。
(六)控制活动评价指标分析
控制活动评价指标的评价值为86.095,表明Z公司对风险应对措施实施了良好的控制活动。Z公司建立了与控制活动相关政策和程序,按照一定的标准对控制活动进行分类,并根据不同的风险应对釆取控制活动类型,同时对信息系统不仅釆用一般控制,还针对部分应用软件进行应用控制,但是在控制活动的持续性上仍存在不足。因此,Z公司在促进控制活动更加有效的同时,应加强控制活动的持续性。
(七)信息与沟通评价指标分析
信息与沟通评价指标的评价值为75.346875,处于中等水平。Z公司对信息系统进行了有效控制,但是在及时、准确地获取高质量的内外部信息方面,由于子公司众多等原因还处于中等水平;对于获得的任何信息尚不能均保证有效、及时地传递,并且审计委员会对信息沟通的监督力度还不够。因此,Z公司对信息系统应进一步完善,以获得及时、准确、高质的内外部信息,同时加强信息的沟通渠道建设,增强审计委员会对沟通的监督,保证获得的信息能够及时、有效的传递到相应机构。
(八)监控评价指标分析
监控评价指标的评价值为72.381875,仍处于中等水平,但在八项指标中评价值最低。Z公司审计委员会及审计部对内部控制进行监督,并将监督的情况尤其是缺陷向董事会报告,注册会计师进行财务报告审计时对内部控制进行简要的审计,在一定程度上对企业经营管理产生有利作用,但内部控制监督还存在一些漏洞和不足,尤其是持续监督欠缺,而个别监督大量存在,增加了监控的成本。
因此,Z公司应关注监控体制的完善,加强持续监督,辅助个别监督,并将监控过程中发现的缺陷按照重要程度进行分类并报告相关部门。
