基于成熟度模型的内部控制评价系统构建.pdf

1、/ CHINA MANAGEMENT INFORMATIONIZATION CHINA MANAGEMENT INFORMATIONIZATION /收稿日期 2008-07-03基金项目 上海市教委重点学科建设项目 （J）。作者简介 陈力生 ，男 ，上海立信会计学院审计学系教授 ,主要研究方向 ：审计学与财务管理 。基于成熟度模型的内部控制评价系统构建陈力生（上海立信会计学院 审计学系 ，上海 201620）摘 要 如何建立科学有效的模型用以对企业内部控制系统的状况进行评估 ，是审计理论与实践中一直探索的重要课题 。 本文主张在内部控制评价中引入内部控制成熟度模型 ，通过对成熟度模型的等级设

2、计 ，从而为企业内部控制管理水平不断改进的历程提供一份引导图 ，以利于企业内部控制系统趋于完善 。关键词 内部控制 ；成熟度模型 ；评价系统 ；等级中图分类号 F239.0 文献标识码 A 文章编号 1673-0194（2009）02-0051-04中国管理信息化China Management Informationization2009 年 1 月第 12 卷第 2 期Jan.，2009Vol12，No2!的价值 。 二是财务人员必须参与工程施工的现场管理 ，明确每项工程的实施过程及费用构成要素 。 从油田企业的管理模式来看 ，投资核算一般由财务资产科代理 ，仅参与工程的最后结算过程 ，一

3、般很难了解工程施工过程 ，因而对施工过程中各单项资产的划分没有全面掌握 ，因而对单项资产的价值总是难以确定 ， 大多是根据工作经验来确定 ，掺杂过多的人为因素 ， 从而影响单项资产价值的准确性 。三是要从人员上确保投资核算顺利 、有效开展 。 根据油田企业的管理特点 ，建议基本建设会计核算人员由项目组管理 ，直接参与工程的过程管理 ，熟悉工程的构成项目 ，在核算业务上隶属财务资产中心管理 ，确保油气资产价值的准确性 。主要参考文献 吴杰 ，廖洪 国际采掘行业会计研究综述 J 财会通讯 ，（）：- 李竹梅 ， 耿东照 成本概念重新界定下收益性支出与资本性支出的解释 J 生产力研究 ，（）： 罗东

4、坤 ，丁治国 石油工程项目管理机制 J 石油勘探与开发 ，（）： 吴杰 ， 张自伟 中美石油天然气会计准则比较 对完善我国石油天然气开采会计准则的建议 J 国际石油经济 ，（）：- 新企业会计准则重点难点解析编写组 新企业会计准则重点难点解析 M 北京 ：企业管理出版社 ，一 、内部控制评价与成熟度模型的引入内部控制评价是对企业现有的内部控制系统的设计和执行的有效性 ，进行调查 、测试 、分析和评价的活动 。 它是内部控制中的一个必要的系统性活动 ， 是内部控制设计 、实施 、评价 、反馈 、改进等连续的动态过程 。引入内部控制成熟度模型 ，主旨是在内部控制评价的基础上 ，依据内部控制评价标准

5、指标体系 ，对企业内部控制成熟度进行分析 。 该模型按内部控制成熟度的不同划分了 5 个等级 ，其中第一级成熟度最低 ，第五级成熟度最高 。从内部控制管理成熟度模型导出的改进策略 ，将为企业内部控制管理水平不断改进的历程提供一份引导图 ，指导企业不断改进其内部控制管理的缺陷 ，使企业内部控制管理能力持续增长 。二 、内部控制成熟度模型的等级设计要开发一个成熟度的模型 ，首先需要为各等级制定不同的成熟度标准 ，然后按照各等级的不同成熟度去制定具体的内容 。 内部控制是企业的一个长期系统工程 ，故能借鉴项目管理的许多经验与特点 。 内部控制项目管理过程能力的提高主要有两种途径 ，即实现可持续的过程

6、改进和量化管理 。 内部控制成熟度模型的等级划分主要是基于以上两种途径在二维空间的扩展 。（一 ）内部控制成熟度模型的等级要求一个具体的项目过程管理包括 3 个方面 ， 即过程控制 、可持续过程改进与战略规划 。 过程控制是可持续改进的基础 ，可持续过程改进的最终目的还是为了更好地对过程进行有效的控制 ，而战略规划则在高于可持续过程改进的高度对企业的所有项目管理过程进行战略高度的规划 。对内部控制系统这个大项目过程管理来说 ，我们也应从这3 个方面来规划 。在等级一中 ， 内部控制成熟度模型并没有过程控制 、可持续过程改进以及定性与定量管理方面的要求 ，它的衡量标准是相对等级二而言的 ，即所有

7、达不到等级二的组织都处于等级一中 。 但对一般组织而言 ，即使达不到等级二 ，也存在一些基本的过程控制机制 ， 有一些定性管理措施 ，甚至在极少方面实现了定量管理 。在等级二中 ，该模型要求建立起基本的内部控制管理制度 ，以便能够对内部控制过程进行有效的控制 。 等级二中对定量管理也提出了一些要求 ，要求测量与评价工作与活动的状态 ，以便让内部控制管理人员了解内部控制过程的状态 ，并确保过程规范 、可行 。51/ CHINA MANAGEMENT INFORMATIONIZATION CHINA MANAGEMENT INFORMATIONIZATION /审计研究在等级三中 ，该模型表现为标

8、准的一致化过程 ，在此等级中要求进行可持续过程改进 。 随着过程控制要求的提高和可持续的过程改进的引入 ，相应的在定量管理方面较等级二也有更高的要求 。等级四要求的提高主要体现在定量管理方面 ，表现在要求定量的内部控制过程管理和定量的内部控制执行质量管理 。等级五表现为内部控制项目战略规划的过程 ，表现在企业内部控制项目化管理水平的提高与对企业内部控制系统的战略规划能力 。 正如 COSO 委员会在 2004 年新颁布的企业风险管理柜架中提出的目标一样 ，企业的 4 类目标分别是战略目标 、经营目标 、报告目标和合法目标 ，而其他 3 个目标最终都是要为实现战略目标而努力 。 这个等级使企业的

9、内部控制系统与战略能够紧密结合起来 ，能够有效地实现企业的各种目标 ，最终实现企业的战略目标 。（二 ）内部控制成熟度模型成熟度等级划分内部控制成熟度等级是企业或组织的内部控制系统管理水平在走向成熟的过程中的的平台 ，体现了多个具有明确定义的特征的内部控制过程能力成熟度 。 因此把企业内部控制管理水平从混乱到规范再到优化的进化过程 ，分成有序的 5 个等级 ，形成一个逐步升级的平台 。 其中每个等级的内部控制管理水平将作为达到下一更高等级的基础 ，企业内部控制管理成熟度不断升级的过程也就是其内部控制管理水平逐步积累的过程 。 所以 ，借助内部控制管理成熟度模型 ， 企业可识别出其内部控制管理的

10、薄弱坏节 ，并通过解决对内部控制管理水平改进至关重要的几个问题 ，来形成对其内部控制管理的改进策略 ，通过关注并认真实施一些关键实践活动 ，稳步改善企业的内部控制管理水平 。 内部控制成熟度模型是一个 5 级模型 ，见图 1。等级一 ：混乱级 。 这一阶段的企业内部控制管理基本上处于一种无序的混乱的状态 。 内部控制制度基本没有 ，或执行混乱 ，管理无章 ，没有明确的内部控制范围界定 。 内部控制系统设计是不适当的 、不健全的 ，同时内部控制的执行也是无效的 。 内部控制管理总是随着内部控制系统的设计与实施的推进而处于变更与调整之中 ，还没有形成一个稳定的内部控制系统 。等级二 ：简单级 。

11、处于这一级的企业 ，已经初步建立了一个比较有效的内部控制管理系统 ，进行了一些基本的内部控制关键控制点的界定 ，能够利用一些常用的内部控制管理和评价工具进行内部控制监控 ，内部控制管理中的常用文档已电子化 ，内部控制管理组织能够基于在类似管理系统上的经验对新的内部控制系统进行规划和管理 。 从内部控制设计的角度看是基本适当的 、基本健全的 ，从内部控制执行的角度看是基本有效的 。等级三 ：规范级 。 在该级别上 ，企业的内部控制管理已经步入规范化的进程 ， 内部控制系统更加有效与成熟 ，内部控制管理过程得到定义和集成 ， 并形成较完善的制度 ，内部控制管理过程得到内部控制管理团队成员很好的理解

12、 ，并在内部控制系统实施中得到遵循 。 能够进行包括内部控制系统论证与评估 、内部控制系统规划 、内部控制系统的控制与变更 、内部控制系统中的沟通管理 、以及内部控制系统中的风险管理等全面的管理 。 当达到第三级成熟度时 ， 可以表明这个企业的内部控制管理已经基本成熟 。从内部控制的设计角度看是基本健全的 、适当的 ，从内部控制执行角度看是有效的 。等级四 ：精益级 。 处于这一级别的企业 ，内部控制管理已经做到能够进行量化管理 ，即企业对内部控制评价指标的各项因素 ，主要是指具体内部控制评价指标都采用相应的量化评价指标 ，运用打分的方式 ，加权平均分析企业内部控制管理的成熟度水平 。 企业可

13、以通过这些量化的数据对内部控制管理过程进行分析并采取相应的预防措施 。 从内部控制设计角度上看是健全的 、适当的 ，从内部控制执行角度看是有效的 。等级五 ：战略级 。 战略级是进化的最高级 ，达到这个级别的企业已经处于企业内部控制管理水平的最高阶段 ，能够从战略管理的高度来规划企业的所有内部控制系统 ，企业的内部控制项目管理处于一个不断改进不断优化的过程之中 。 从企业内部控制设计的角度看是健全的 、合理的 、适当的 ，从内部控制执行的角度看是非常有效的 。 最终能够实现企业的战略目标 。三 、内部控制成熟度评价指标系统的建立内部控制成熟度评价指标主要以 COSO 委员会新颁布的 ERM 框

14、架的 8 个要素为一级指标 ，即内部环境 （M1）、目标制定 （M2）、事项识别 （M3）、风险评估 （M4）、风险应对（M5）、控制活动 （M6）、信息与沟通 （M7）、监控 （M8），然后对一级指标再进一步细分 ， 构建了包括 28 个二级指标的评价体系 。（一 ）内部控制成熟度指标系统评分方式由于评价指标系统中存在许多定性指标 ，故采用分级打分法将各指标量化 ，具体评分标准见表 1。（二 ）内部控制成熟度评分系统解析在上述内部控制成熟度评价指标体系中针对各项指标分别打分后 ，最后将各项的得分累加起来 ，即可成为内部控制成熟度判断的标准 。 分级打分法就是根据实际情况将各指标值按优劣顺序从

15、低分到高分按照内部控制成熟度等级分为 5 个等级 ，每级给定一个分值 ，实际指标值根图 1 内部控制成熟度模型的成熟度等级52/ CHINA MANAGEMENT INFORMATIONIZATION CHINA MANAGEMENT INFORMATIONIZATION /内部控制成熟度评价指标混乱级 简单级 规范级 精益级 战略级内部环境 M125 分 差 一般 较好 好 很好目标制定 M28 分 差 一般 较好 好 很好事项识别 M39 分 差 一般 较好 好 很好风险评估 M49 分 差 一般 较好 好 很好风险应对 M59 分 差 一般 较好 好 很好控制活动 M618 分 差 一般

16、 较好 好 很好信息与沟通 M712 分 差 一般 较好 好 很好监控 M810 分 差 一般 较好 好 很好内部控制成熟度 M共 100 分小于60 分6070分7080分8090分90100分一级指标 二级指标二级指标量化标准符合 基本符合 不符合内部环境 M1共 25 分管理者素质 、操守与价值观 M11（5 分 ） 5 分 24 分 02 分管理理念和经营风格 M12（4 分 ） 4 分 23 分 02 分董事会及审计委员会 M13（4 分 ） 4 分 23 分 02 分组织结构 M14（3 分 ） 3 分 12 分 01 分企业文化 M15（4 分 ） 4 分 23 分 01 分权利

17、与责任分配 M16（3 分 ） 3 分 12 分 01 分人力资源政策和实施 M17（2 分 ） 2 分 1 分 0 分目标制定 M2共 8 分目标制定的层次性 M21（3 分 ） 3 分 12 分 01 分目标传达的有效程度 M22（2 分 ） 2 分 1 分 0 分资源分配的适当性 M23（2 分 ） 2 分 1 分 0 分管理层参与目标制定的程度 M24（1 分 ） 1 分 0.5 分 0 分事项识别 M3共 9 分风险与机遇 M31（3 分 ） 3 分 12 分 01 分影响因素分析适当性 M32（3 分 ） 3 分 12 分 01 分事项识别技术使用恰当性 M33（3 分 ） 3 分

18、 12 分 01 分风险评估 M4共 9 分风险评估程序恰当性 M41（3 分 ） 3 分 12 分 01 分评估技术 M42（3 分 ） 3 分 12 分 01 分风险分类 M43（3 分 ） 3 分 12 分 01 分例行事件应对机制 M51（4 分 ） 4 分 23 分 02 分重大事件应对机制 M52（5 分 ） 5 分 24 分 02 分控制活动 M6共 18 分业绩评价 M61（5 分 ） 5 分 24 分 02 分控制作业 M62（8 分 ） 8 分 37 分 03 分实物控制 M63（5 分 ） 5 分 24 分 02 分信息与沟通 M7共 12 分信息系统 M71（5 分 ）

19、 5 分 24 分 02 分信息质量 M72（4 分 ） 4 分 23 分 01 分沟通与沟通渠道与方式 M73（3 分 ） 3 分 12 分 01 分监控 M8共 10 分持续的监督 M81（4 分 ） 4 分 23 分 01 分单独评价 M82（3 分 ） 3 分 12 分 01 分报告缺陷 M83（3 分 ） 3 分 12 分 01 分风险应对 M5共 9 分审计研究据组织划分标准判定其所属级别 ， 从而获得相应的分值 ，见表 2 所示 。根据内部控制成熟度评价指标体系中的各项指标打分后 ，依据汇总后的总分可以将内部控制成熟度分为 5 个级别 ：（1）混乱级 ：即8n = 1Mn60，即

20、企业内部控制制度存在严重缺陷 ，各重要业务领域或环节缺乏内部控制 ，存在严重风险 。 内部控制在设计上既不健全 ，也不合理 ，同时内部控制执行上也无效 ，其在各项二级指标中得分均很低 ，在最后的汇总得分上也低于 60 分 。（2）简单级 ：即 608n = 1Mn 70，企业已经初步建立了一个比较有效的内部控制管理系统 ，进行了一些基本的内部控制关键控制点的界定 ，从内部控制设计的角度看是基本适当的 、基本健全的 ，从内部控制执行的角度看是基本有效的 。 在各项二级指标中得分有高有低 ，但普遍处于低层次水平 ，最后汇总得分也低于 70 分 。（3）规范级 ：即 708n = 1Mn 80，企业

21、的内部控制管理已经步入规范化的进程 ， 内部控制系统更加有效与成熟 ，并形成较完善的制度 。 从内部控制的设计角度看是基本健全的 、适当的 ，从内部控制执行角度看是有效的 。 企业在内部控制成熟度评价的各项二级指标中得分有高也有低 ，但表 1 内部控制成熟度评价指标系统评分标准表表 2 内部控制成熟度分级打分法53/ CHINA MANAGEMENT INFORMATIONIZATION CHINA MANAGEMENT INFORMATIONIZATION /收稿日期 2008-07-23作者简介 雷晓艳 ，兰州工业高等专科学校经济贸易系副教授 。论审计委员会与会计信息质量雷晓艳（兰州工业高

22、等专科学校 经济贸易系 ，兰州 730030）摘 要 本文通过剖析审计委员会的产生 、角色定位 ，进而阐述了审计委员会通过履行检查公司会计政策 、对内部审计人员及其工作进行考核 、与公司外部审计机构进行交流等主要职责 ，可有效地发挥防止会计差错 ，提高财务报表质量的作用 。关键词 审计委员会 ；会计信息质量 ；委托代理关系中图分类号 F239.2 文献标识码 A 文章编号 1673-0194（2009）02-0054-03中国管理信息化China Management Informationization2009 年 1 月第 12 卷第 2 期Jan.，2009Vol12，No2普遍处于中高

23、层次水平 ，最后汇总得分高于 70 分 ，但低于80 分 。（4）精益级 ：即 808n = 1Mn 90，企业的内部控制管理已经做到能够进行量化管理 ，即企业对内部控制评价指标的各项因素 ，主要是指具体内部控制评价指标都采用相应的量化评价指标 ，运用打分的方式 ，加权平均分析企业内部控制管理的成熟度水平 。 从内部控制设计角度上看是健全的 、适当的 ，从内部控制执行角度看是有效的 。 企业在各项二级指标打分上均处于高层次水平 ，最后汇总得分也超过 80 分 ，但低于 90 分 。（5）战略级 ：即8n = 1Mn90，企业在内部控制管理水平方面已经处于企业内部控制管理水平的最高阶段 ，能够从

24、战略管理的高度来规划企业的所有内部控制系统 。 从企业内部控制设计的角度看是健全的 、合理的 、适当的 ，从内部控制执行的角度看是非常有效的 。 企业在各项二级指标的得分上均处于很高层次水平 ，最后汇总得分超过 90 分 。四 、结束语通过引入的内部控制成熟度模型 ，使企业能够识别出其内部控制管理的薄弱环节 ，并通过对症下药的方法解决其关键问题 ，以提升内部控制管理水平 。 同时 ，企业的内部控制成熟度模型评价并不是在企业内部控制系统完全健全之后所进行的动作 ，而是一个使企业内部控制系统不断实施 、执行和同步不断评价 、完善的过程 ，是一个持续改进的过程 。主要参考文献 朱荣恩 ， 贺欣 内部

25、控制框架的新发展 企业风险管理框架J 审计研究 ，（）. 牛成喆 COSO 框架下的内部控制 M 北京 ：经济科学出版社 ，. 李欣 项目管理成熟度模型及其评估方法研究 D 西安 ：西北工业大学管理科学与工程系 ，.一 、审计委员会的产生审计委员会产生于 1940 年 ， 至今已有近 70 年的历史 。 其产生的诱因是美国麦克森 罗宾斯药材公司倒闭案 。该药材公司由于虚构资产 、虚构收入 、虚列存货等舞弊行为暴露无遗后于 1938 年宣布破产 ， 致使其最大的债权人 汤普森公司深受其害 。 而享有较高声誉的普华会计师事务所 ， 在对其 10 余年财务报告的审计中却一直发表无保留意见的审计报告

26、，致使公众注意到审计师未尽到审计责任 ，并质疑其独立性和专业胜任能力 。 美国证券交易会和纽约证券交易会开始建议 “由公司的非执行董事组成一个特别的委员会来选择公司的审计人员 ”。 这个特别的委员会于 1940 年被正式命名为审计委员会 。二 、审计委员会的角色定位由于现代公司所有权与经营权的分离 ，所有者与经营者之间形成委托代理关系 。 作为委托人的所有者 ，委托经营者经营管理资产 ，使其保值增值 。 但是委托代理关系自身存在的问题是委托方与受托方的目标是有差异的 ，委托人往往追求股东权益最大化或资产保值增值 ；而代理人则追求自己的收益最大化 ，这两种目标并不总是一致的 。 当两者发生冲突时

27、 ，实际经营管理的代理人更有可能选择利于实现自身目标的行为 。代理人的这种选择不仅是可能的 ，也是可行的 。 因为在公司经营管理活动中 ，经营者掌握的信息自然比所有者更多更详细 ，代理人与委托人之间信息的不对称 ，使得代理人选择利于实现自身目标而损害委托人利益的行为时 ，委托人还全然不知 。为了使委托人与代理人的利益一致 ，可以采取激励和约束的机制 ，但信息不对称带来的道德风险仍然是客观存在的 。 公司财务报告成为公司一系列契约的基础和纽带 ，会计信息随之成为委托人观察代理人的窗口 ，通过它可以判断代理人执行契约的过程和结果 。 但经营者为了提职或提薪 ，或以权谋私 ，就会提供虚假信息 。 为保证会计信息的54