阐释单独评价非财务报告内控的必要性, 针对评价中难以量化细化的问题, 探讨运用模糊数学中的多层次综合评判模型完善企业的内控评价体系。

关键词

非财务报告内部控制;模糊评价;多层次综合评判模型;

作者简介

    江婷婷 (1984—) , 女, 漳州龙海人, 讲师;研究方向:企业内部控制与风险管理。

　　随着内部控制相关规范及配套指引文件的连续颁发, 我国企业内部控制 (以下简称内控) 体系的顶层设计已基本完成。企业依据规范要求进行内控整改, 近几年的内部治理状况普遍向好。但是根据深圳迪博风险管理技术公司发布的2015年A股上市公司的内控指数, 内控评级为A以上 (含A) 的公司仅有33家, 占比1.28%。可见我国上市公司整体的内控水平与政策预期仍有差距。

　　内部控制评价是衡量企业内控水平的环节, 不仅能够反映政策的执行效应, 评价结果还能反馈给政策制定者, 作为相关政策调整的依据。企业内部控制执行情况的评价是个由内而外的过程, 即由企业管理层依据评价指引的要求成立内控评价小组, 定期对本企业内控制度的整体有效性展开自我评价, 形成内控自评报告, 而报告的公允性还需独立第三方的鉴证。而第三方根据审计指引要求, 侧重财务报告内部控制, 对于非财务报告内控, 无需专门实施审计程序, 相应地不对非财务报告内控缺陷负责, 只需提醒利益相关者关注。由此可见外部评价范围仅是局部内控。然而, 治理层面内部控制的有效是财务报告内部控制有效的前提 (李万福等, 2014) , 企业为提高防范风险的能力, 及时发现管理中潜在的漏洞, 恰当评价自身治理层面的内控制度有效性就显得尤为重要了。在此基础上, 基于非财务报告内控评价多因素、模糊性以及主观判断等问题, 文章建议企业管理层运用模糊数学的方法开展内控自我评估工作。

　　纵观目前国内学者关于内控评价的研究成果, 主要关注点在依据行业及企业规模探讨内控评价体系的建立 (池国华, 2011;韩传模, 2012;林斌, 2014) , 基于评价体系研究企业的内控指数 (李清, 2013;林斌, 2016;陈汉文, 2016) , 以及评价结果——内控缺陷的相关问题探讨 (杨有红, 2011;李万福, 2014) 。且研究对象多为财务报告内部控制或是针对内部控制的整体性研究, 少见专门探讨非财务报告内控评价问题的文献。

一、单独评价非财务报告内部控制的必要性分析

　　企业内部控制是一个内嵌在企业组织机构之间, 协调日常程序性与非程序性业务顺利开展的复杂系统, 不仅包括会计核算、资产管理、不相容岗位分离、信息系统建设等与财务报告相关的内部“硬控制”;还包括治理层面的制度安排、高层经营风格、职业道德、企业文化建设等非财务报告内部“软控制”。传统的风险导向审计主要针对“硬控制”实施符合性测试程序, 而“软控制”的无结构、复杂化的特征易使其处于监管的“真空”地带。

（一）外部审计范围未涵盖非财务报告内控

　　根据深圳迪博公司2016年7月发布的《中国上市公司2016年度内部控制白皮书》, 以沪深两市2823家A股上市公司为样本, 统计分析发现, 披露了2015年内部控制评价报告的上市公司有2670家, 披露比例为94.58%;有2248家上市公司出具了内部控制审计报告, 占比79.63%。可见, 上市公司虑及利好消息的传导所带来的效益, 只有对自身的内控质量有把握的, 才聘请了会计师事务所实施审计。而近30%的上市公司基于审计成本的考虑, 以及高层对内控的重视程度, 其披露的内控自评报告均未得到第三方注册会计师的鉴证, 这部分公司所披露的内控信息质量不稳定。

　　另外, 同时披露自评报告和审计报告的上市公司中, 有部分出现评价结论不一致的现象, 如自评结论为整体有效, 而审计结论却是否定意见;或是自评为无效, 审计结果却是带有强调事项段的无保留意见。针对同一主体的内控制度, 管理层的评价结果却与注册会计师的审计结果不一致, 这意味着什么呢?

　　管理层所评价的范围是企业的整体内部控制, 而注册会计师仅针对财务报告内部控制实施审计程序, 除非是由于重大非财务报告内控缺陷导致财务报表错报, 或是明显的非财务报告内控缺陷, 注册会计师将不对企业的非财务报告内控发表意见。可见, 评价范围是导致两种报告结论不一致的原因之一。

（二）内部控制信息披露质量不高

　　在2670家披露了内部控制评价报告的上市公司中, 有2638家上市公司的内部控制评价结论为整体有效, 占比93.45%;仅有32家上市公司的内部控制评价结论为非整体有效, 占比1.13%。且在缺陷的认定上, 存在将与财务报告相关的内控缺陷认定为非财务报告内控缺陷;或是缺陷标准的表述前后不一致、标准虚设等现象, 导致所披露的内控信息可用程度较低。

　　在披露了内部控制审计报告的2248家上市公司中, 有2214家上市公司采用内部控制整合审计, 仅有34家单独请第三方专门审计企业内控制度。所谓整合审计, 即注册会计师在实施财务报表审计程序时, 应该要考虑报表编制环境——与财务报告相关的内控制度有效性问题, 两者相辅相成, 着重结合财务报告内部控制判断企业财务报表是否真实公允地反映了企业的财务状况, 而对于公司治理层面的内部控制设计则关注得较少。

　　由此可以推定, 上市公司所披露的针对自身企业整体内控的评价报告中, 企业非财务报告内控的有效性与否, 本质上由管理层的自我评价决定。基于信息传递理论, 企业管理层出于对利益的追求, 避开不利消息的披露, 趋向于做出本企业非财务报告内控有效的结论。而本应起到鉴证作用的外部审计缺位, 终将降低企业所披露的内控自评报告的信息价值。

二、企业非财务报告内部控制评价的内容

　　企业所设计的内控是否有效, 很大程度上取决于是否存在内控缺陷以及缺陷对企业造成的影响程度。而非财务报告内部控制缺陷的认定和影响程度的量化, 是内部控制评价工作中的一大难点。因此, 企业内控执行部门应将重点放在非财务报告内控的评价问题上。企业明确了工作重心后, 如何界定非财务报告的内控范围, 进而如何据此构建评价系统是解决评价问题的关键所在。

　　内部控制评价本质上属于一个系统工程。该系统需要解决多个内在联系的问题。首先要解决的是由谁来评价, 即评价主体问题;对谁进行评价, 即评价客体及评价指标的设计问题;其次是方法选择和评价标准的设置问题, 最后是评价结果的认定及披露问题。

（一）评价主体

　　由于非财务报告内控以定性描述为主, 相关的制度建设以程序手册、文档记录和相关流程设计为主。评价工作是一个覆盖面广, 且工作量较大的过程。会计师事务所进驻企业内部的时间有限, 结合企业配合审计的程度, 注册会计师出于规避审计责任, 终将使这部分内控的有效性监督不到位。但企业管理层的自评若缺乏外部监管, 就容易使内部评价流于形式, 结果不具相关性。

　　因此, 笔者认为非财务报告内控的评价主体不应是单方的, 而需采用自评结合外部审计的模式。内部评价的主体应为企业专设的内控评价小组, 定期或不定期的组织协调部门之间开展互评活动。而外部评价主体可以是证监会等政府监管部门, 基于对利益相关者的保护, 对企业自评小组进行不定期的监督检查, 督促企业加强自身的评价工作, 落实整改措施, 以期不断完善自身的内控制度。这种自评结合外部监管的模式, 更多需依赖于企业管理层对内控建设的高度重视, 进而支持和推进相关工作的开展。

（二）评价客体——非财务报告内部控制的划分

　　评价主体应根据企业管理制度的设置情况, 重点关注非财务报告内控区域的控制点。企业整体内控一般包括非财务报告内部控制和财务报告内部控制, 两者在范围上虽是互补关系, 但是制度设计环节上各有侧重。非财务报告内控通常是指为了合理保证公司治理目标 (如战略目标和合规目标) 的实现, 依据内部实际管理的需求而设计和运行的内部控制。其制度设计的目标主要在于为企业营造良好的运营环境。

　　根据该定义, 文章认为企业应根据行业特征, 业务情况及自身的风险承受度划分财务报告内控与非财务报告内控。通常企业根据自身的业务特点和常规性活动类别, 可划分财务报告内控和非财务报告内控如下表1所示。

表1 财务报告内部控制与非财务报告内部控制的划分

资料来源:财政部会计司《企业内部控制规范讲解2010》, 经济科学出版社

（三）评价指标和评价标准

　　根据以上财务报告内控与非财务报告内控的划分, 可见, 指标具有行业特征。为了同行业企业间指标的统一及方法的适用性, 建议参照财政部会计司《企业内部控制规范讲解2010》中“内部控制评价核心指标”, 再依据行业及企业业务的具体特点, 制定符合企业情况的评价指标体系。

三、非财务报告内部控制评价的方法

　　由于财务报告内部控制审计与财务报表审计的目标均是为了提高对外公布的财务报表信息质量, 且两者的审计业务属于互相嵌入型。审计人员既可以在实施财务报表审计程序过程中, 检查作为企业管理基调的内部控制是否有效, 又可以通过内部控制审计获得的信息和发现的问题相应调整财务报表审计计划, 两者整合审计具有现实意义 (徐亚辉, 2011) 。而非财务报告内控缺陷具有涉及面广, 认定难度大的特点, 与财务报表审计的关注点又不同, 因此无法与年报整合审计, 注册会计师也难以实施审计程序进行鉴证。

（一）现行的评价方法——原则与规则互补法

　　现行企业评价非财务报告内控的方法是原则与规则互补, 即通过列举某些情形, 企业结合自身情况对号入座进行评估;或是通过注册会计师在年报审计过程中注意到的非财务报告内控缺陷, 直接造成损失的, 根据损失金额占据资产或是利润的百分比区间确定其影响程度。然而, 相关政策部门未界定“合理水平”的区间度, 造成每个企业随意规定区间, 从而导致企业之间不具可比性。

　　企业会因趋利避害而相应地调宽区间值, 不利企业如实披露自身的内控情况。因此, 亟需企业统一评价方法和评价标准, 披露更具可比性的内控信息, 加强企业之间和相关利益者的监督, 进而不断完善内控制度建设。

（二）改进的方法——多层次综合评判法

　　一般而言, 考虑评价结果的准确性, 企业应本着全面性原则评价自身内控的设计与运行情况, 评价范围应涵盖企业总部及其所有附属单位已开展和即将开展的业务和事项。企业业务的多元性决定了内控评价客体的多因素特征。因素间有主次之分, 对诸因素的权重分配将会出现困难。这时, 我们试图用多层次综合评判模型来解决。

　　多层次综合评判模型是运用了模糊数学中的模糊变换原理, 通过对因素集进行子集的划分, 设定评判指标, 建立模糊矩阵, 进行单层次综合评判, 层层递进, 最终求出目标层的评判结果。所以在介绍多层次综合评判前, 先介绍单层次综合评判的原理和步骤。

1. 单层次综合评判模型

　　综合评判的数学模型:

　　设有两个有限论域X={x1, x2, , xn}, Y={y1, y2, , ym}, 其中X代表由多个细分因素组成的评价客体集合, 而Y代表评语所组成的集合。把模糊变换A○R=B称为综合评判的数学模型。我们把评价内部控制的核心指标分解为目标层 (即内部控制的有效性) 、准则层 (内部控制要素) 和指标层 (评价各要素的指标) , 其中, 指标层含有二级指标和三级指标。准则层和指标层中的因素即为这里的X子集合。

　　以内部环境X为例, X={组织架构X1, 发展战略X2, 人力资源政策X3, 社会责任X4, 企业文化X5}, 针对企业的内部环境设计是否有效, 单纯从组织架构去评判, 是显然不妥的。全面的评判应是综合考虑了五个要素, 因此, 这时需要分层次单因素的进行评判。

　　而评价各因素的评语集即为这里的Y。所谓的评语集, 即企业内部制定的评价标准, 根据评价标准对内控的相应控制点进行评价, 可以是调查问卷形式, 作出{好, 较好, 一般, 不好}等评价, 也可以是以评分形式存在的底稿类文档。这一评语集最终都需量化为集合Y。

　　以组织架构X1为例, 组织架构X1={管理层的相互制衡X11, 管理层内控建设的重视度X12, 组织机构设置X13, 组织架构的适应性X14, 组织架构对子公司的控制力X15}, 企业可根据自身的情况设计评语集, 如“机构设置”上{合理, 较合理, 一般, 不合理}等形式的评语集, 然后采用问卷调查或个别访谈的形式, 对组织架构中的五要素进行逐一评判。

　　具体求解程序为:对因素集合X中的诸因素, 用问卷调查形式分别作出对评语集合Y中诸评语的单因素评判, 如100份问卷中, 有多少人认为管理层的相互制衡体系是合理的?有多少人认为是不合理的?将各种情况列示出来。集合X中的每个要素均有相对应的集合Y的结果, 进而得到一个实际上表示X和Y之间模糊关系的模糊矩阵R。

　　第二, 对因素集X中的诸因素, 采用专家会议法确定它们在被评判事物中的权重A。各因素的权重数之和应等于1。

　　第三, 作模糊变换B=A○R, 过程可用框图示意如下:

A——各评判因素的权重

B——评判结果

R——模糊矩阵

2. 多层次综合评判模型

　　以上通过运算所得的B1即为组织架构 (X1) 这一级指标的结果, 同样的方法可以得到发展战略 (X2) , 人力资源政策 (X3) , 社会责任 (X4) , 企业文化 (X5) 等二级指标的评判结果, 再以内部环境X={X1, X2, X3, X4, X5}, 构建评语集, 再通过模糊矩阵的建立, 进一步评判出准则层。以此类推, 直至评判出目标层的结果。

　　多层次综合评判模型的过程可用下图表示:

A——各评判因素的权重

B——评判结果

R——模糊矩阵

四、结束语

　　一直以来, 政策制定者和信息使用者都把企业的财务报告内部控制作为关注点。这与财务报告内部控制容易量化, 审计部门可通过实施相关审计程序确定其有效性等优势有关。但关注企业内部控制的有效性, 应是整体有效的, 即涵盖财务报告与非财务报告两方面。因此, 针对非财务报告内控信息不易量化的特征, 采用模糊评价成为最可行的方法之一。但在进行模糊评价过程中, 对于评价指标的构建、评语集的设置及权重的设定等问题, 尚需相关部门依据行业细分制定相应的规则, 以进一步明晰企业的内部治理情况。

说明：文章最早发布于2015年，请自行斟酌。

参考文献

[1] 财政部会计司.企业内部控制规范讲解2010[M].北京:经济科学出版社, 2010.

[2] 李万福, 林斌, 等.内部控制缺陷异质性如何影响财务报告[J].财经研究, 2014, 40 (6) :71-82.

[3] 中国上市公司2016年内部控制白皮书[EB/OL].http://finance.sina.com.cn/roll/2016-07-14/docifxuapvw1911471.shtml.新浪财经, 2016-07-14.

[4] 刘玉廷.全面提升企业经营管理水平的重要举措——《企业内部控制配套指引》解读[J].会计研究, 2010 (5) :3-16.

[5] 薛凯麟.内部控制视闸下的高校审计风险探析[J].福建师大福清分校学报, 2017 (3) :36-38.

[6] 王惠芳.上市公司内部控制缺陷认定:困境破解及框架构建[J].审计研究, 2011 (2) :71-76.

[7] 池国华, 关建朋, 等.企业内部控制评价系统的构建[J].财经问题研究, 2011 (5) :87-92.

[8] 陈汉文, 林勇峰.中国上市公司内部控制指数分析与评价[J].工业审计