基于成熟度模型的內部控制評價系統構建

［摘 要］ 如何建立科學有效的模型用以對企業內部控制系統的狀況進行評估，是審計理論與實踐中一直探索的重要課題。本文主張在內部控制評價中引入內部控制成熟度模型，通過對成熟度模型的等級設計，從而為企業內部控制管理水平不斷改進的歷程提供一份引導圖，以利于企業內部控制系統趨于完善。

［關鍵詞］ 內部控制；成熟度模型；評價系統；等級

［中圖分類號］F239.0［文獻標識碼］A［文章編號］1673-0194（2009）02-0051-04

一、內部控制評價與成熟度模型的引入

內部控制評價是對企業現有的內部控制系統的設計和執行的有效性，進行調查、測試、分析和評價的活動。它是內部控制中的一個必要的系統性活動，是內部控制設計、實施、評價、反饋、改進等連續的動態過程。

引入內部控制成熟度模型，主旨是在內部控制評價的基礎上，依據內部控制評價標準指標體系，對企業內部控制成熟度進行分析。該模型按內部控制成熟度的不同劃分了5個等級，其中第一級成熟度最低，第五級成熟度最高。從內部控制管理成熟度模型導出的改進策略，將為企業內部控制管理水平不斷改進的歷程提供一份引導圖，指導企業不斷改進其內部控制管理的缺陷，使企業內部控制管理能力持續增長。

二、內部控制成熟度模型的等級設計

要開發一個成熟度的模型，首先需要為各等級制定不同的成熟度標準，然后按照各等級的不同成熟度去制定具體的內容。內部控制是企業的一個長期系統工程，故能借鑒項目管理的許多經驗與特點。內部控制項目管理過程能力的提高主要有兩種途徑，即實現可持續的過程改進和量化管理。內部控制成熟度模型的等級劃分主要是基于以上兩種途徑在二維空間的擴展。

（一）內部控制成熟度模型的等級要求

一個具體的項目過程管理包括3個方面，即過程控制、可持續過程改進與戰略規劃。過程控制是可持續改進的基礎，可持續過程改進的最終目的還是為了更好地對過程進行有效的控制，而戰略規劃則在高于可持續過程改進的高度對企業的所有項目管理過程進行戰略高度的規劃。對內部控制系統這個大項目過程管理來說，我們也應從這3個方面來規劃。

在等級一中，內部控制成熟度模型并沒有過程控制、可持續過程改進以及定性與定量管理方面的要求，它的衡量標準是相對等級二而言的，即所有達不到等級二的組織都處于等級一中。但對一般組織而言，即使達不到等級二，也存在一些基本的過程控制機制，有一些定性管理措施，甚至在極少方面實現了定量管理。

在等級二中，該模型要求建立起基本的內部控制管理制度，以便能夠對內部控制過程進行有效的控制。等級二中對定量管理也提出了一些要求，要求測量與評價工作與活動的狀態，以便讓內部控制管理人員了解內部控制過程的狀態，并確保過程規范、可行。

在等級三中，該模型表現為標準的一致化過程，在此等級中要求進行可持續過程改進。隨著過程控制要求的提高和可持續的過程改進的引入，相應的在定量管理方面較等級二也有更高的要求。

等級四要求的提高主要體現在定量管理方面，表現在要求定量的內部控制過程管理和定量的內部控制執行質量管理。

等級五表現為內部控制項目戰略規劃的過程，表現在企業內部控制項目化管理水平的提高與對企業內部控制系統的戰略規劃能力。正如COSO委員會在2004年新頒布的企業風險管理柜架中提出的目標一樣，企業的4類目標分別是戰略目標、經營目標、報告目標和合法目標，而其他3個目標最終都是要為實現戰略目標而努力。這個等級使企業的內部控制系統與戰略能夠緊密結合起來，能夠有效地實現企業的各種目標，最終實現企業的戰略目標。

（二）內部控制成熟度模型成熟度等級劃分

內部控制成熟度等級是企業或組織的內部控制系統管理水平在走向成熟的過程中的的平臺，體現了多個具有明確定義的特征的內部控制過程能力成熟度。因此把企業內部控制管理水平從混亂到規范再到優化的進化過程，分成有序的5個等級，形成一個逐步升級的平臺。其中每個等級的內部控制管理水平將作為達到下一更高等級的基礎，企業內部控制管理成熟度不斷升級的過程也就是其內部控制管理水平逐步積累的過程。所以，借助內部控制管理成熟度模型，企業可識別出其內部控制管理的薄弱壞節，并通過解決對內部控制管理水平改進至關重要的幾個問題，來形成對其內部控制管理的改進策略，通過關注并認真實施一些關鍵實踐活動，穩步改善企業的內部控制管理水平。內部控制成熟度模型是一個5級模型，見圖1。

等級一：混亂級。這一階段的企業內部控制管理基本上處于一種無序的混亂的狀態。內部控制制度基本沒有，或執行混亂，管理無章，沒有明確的內部控制范圍界定。內部控制系統設計是不適當的、不健全的，同時內部控制的執行也是無效的。內部控制管理總是隨著內部控制系統的設計與實施的推進而處于變更與調整之中，還沒有形成一個穩定的內部控制系統。

等級二：簡單級。處于這一級的企業，已經初步建立了一個比較有效的內部控制管理系統，進行了一些基本的內部控制關鍵控制點的界定，能夠利用一些常用的內部控制管理和評價工具進行內部控制監控，內部控制管理中的常用文檔已電子化，內部控制管理組織能夠基于在類似管理系統上的經驗對新的內部控制系統進行規劃和管理。從內部控制設計的角度看是基本適當的、基本健全的，從內部控制執行的角度看是基本有效的。

等級三：規范級。在該級別上，企業的內部控制管理已經步入規范化的進程，內部控制系統更加有效與成熟，內部控制管理過程得到定義和集成，并形成較完善的制度，內部控制管理過程得到內部控制管理團隊成員很好的理解，并在內部控制系統實施中得到遵循。能夠進行包括內部控制系統論證與評估、內部控制系統規劃、內部控制系統的控制與變更、內部控制系統中的溝通管理、以及內部控制系統中的風險管理等全面的管理。當達到第三級成熟度時，可以表明這個企業的內部控制管理已經基本成熟。從內部控制的設計角度看是基本健全的、適當的，從內部控制執行角度看是有效的。

等級四：精益級。處于這一級別的企業，內部控制管理已經做到能夠進行量化管理，即企業對內部控制評價指標的各項因素，主要是指具體內部控制評價指標都采用相應的量化評價指標，運用打分的方式，加權平均分析企業內部控制管理的成熟度水平。企業可以通過這些量化的數據對內部控制管理過程進行分析并采取相應的預防措施。從內部控制設計角度上看是健全的、適當的，從內部控制執行角度看是有效的。

等級五：戰略級。戰略級是進化的最高級，達到這個級別的企業已經處于企業內部控制管理水平的最高階段，能夠從戰略管理的高度來規劃企業的所有內部控制系統，企業的內部控制項目管理處于一個不斷改進不斷優化的過程之中。從企業內部控制設計的角度看是健全的、合理的、適當的，從內部控制執行的角度看是非常有效的。最終能夠實現企業的戰略目標。

三、內部控制成熟度評價指標系統的建立

內部控制成熟度評價指標主要以COSO委員會新頒布的ERM框架的8個要素為一級指標，即內部環境（M1）、目標制定（M2）、事項識別（M3）、風險評估（M4）、風險應對（M5）、控制活動（M6）、信息與溝通（M7）、監控（M8），然后對一級指標再進一步細分，構建了包括28個二級指標的評價體系。

（一）內部控制成熟度指標系統評分方式

由于評價指標系統中存在許多定性指標，故采用分級打分法將各指標量化，具體評分標準見表1。

（二）內部控制成熟度評分系統解析

在上述內部控制成熟度評價指標體系中針對各項指標分別打分后，最后將各項的得分累加起來，即可成為內部控制成熟度判斷的標準。分級打分法就是根據實際情況將各指標值按優劣順序從低分到高分按照內部控制成熟度等級分為5個等級，每級給定一個分值，實際指標值根據組織劃分標準判定其所屬級別，從而獲得相應的分值，見表2所示。

根據內部控制成熟度評價指標體系中的各項指標打分后，依據匯總后的總分可以將內部控制成熟度分為5個級別：

四、結束語

通過引入的內部控制成熟度模型，使企業能夠識別出其內部控制管理的薄弱環節，并通過對癥下藥的方法解決其關鍵問題，以提升內部控制管理水平。同時，企業的內部控制成熟度模型評價并不是在企業內部控制系統完全健全之后所進行的動作，而是一個使企業內部控制系統不斷實施、執行和同步不斷評價、完善的過程，是一個持續改進的過程。

主要參考文獻

[1] 朱榮恩，賀欣. 內部控制框架的新發展——企業風險管理框架[J]. 審計研究，2003(6).

[2] 牛成喆. COSO框架下的內部控制[M]. 北京:經濟科學出版社，2005.

[3] 李欣. 項目管理成熟度模型及其評估方法研究[D]. 西安:西北工業大學管理科學與工程系，2004.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”