基于COSO结构的企业内部控制评价

20世纪80年代以来，学者们对内部控制的研究重点逐步从一般含义转向具体内容，内部控制理论与实务研究不断取得新的进展，COSO委员会于1992年9月的指导内部控制的纲领性文件《内部控制——整合框架》，并于1994年进行了增补，即COSO内部控制框架，这份文件可以称为内部控制发展史上的里程碑。该文件内部控制分为五个构成要素，分别为控制环境、风险评估、控制活动、信息与沟通以及监督，这五要素在整合实现独立而又有重叠的经营、财务报告和法规遵守的目标时，也可作为评价内部控制有效性的指标。

鉴于目前我国国内对于企业内部控制有效性的研究大多停留于定性部分，从定量角度开展的研究尚属不多。因此，本文拟从COSO报告中结构要素的角度讨论企业内部控制中的评价体系，并在测评方法中引入定量分析的方法，以实现加强企业内部控制评价的数量化检验，提高内部控制评价的理论水平。

一、企业内部控制结构要素与关键指标确立

（一）控制环境定义与关键指标确立 控制环境是其他内部控制要素的根基，COSO将内部控制环境分为七个方面：第一，诚信和道德观。企业领导者必须创造一种除了利润之外还重视声誉的价值氛围；第二，用人唯才的承诺。公司的员工整体水平以及领导者对人才的态度；第三，董事会和审计委员会。该机构能否独立的行使自己的权利，不受其他利益相关者的影响以及自身的管理和专业水平；第四，管理哲学和经营哲学。企业管理层的风险观念和管理者的专业胜任能力；第五，组织结构。能够有效为规划、执行、控制和监督活动提供框架，以实现企业整体目标；第六，权利和责任的分配。是否有明确的职责划分，员工能否详细地明确自己的任务；第七，人力资源政策与实务。人力资源部门应制定并公布充分的政策，是否有效地执行。根据上述情况，本文将控制环境用E（Enviroment）表示，各个关键指标分别定义为E1、E2、E3、E4、E5、E6、E7等。如表1所示。

（二）风险评估定义与关键指标确立 企业实现其战略目标的能力可能会受到来自多个方面的外部因素的不利影响，所以企业应该实施一个程序，来评估可能影响其各种目标实现的潜在风险。风险评估主要包括目标设定、风险识别、风险分析和风险应对。本文将四个主要部分进行内涵式解释，以利于测量：第一，目标设定。确立目标的可行性与明确性；第二，风险识别。能不能将企业遇到的重大问题有效发现，可以设立相应的人员对其负责并根据事后影响予以评估；第三，风险分析。对发现的问题企业能否快速找出原因，分析其关键影响因素；第四，风险应对。根据上一环节的工作将制定出应对措施的有效性。

该环节的计量大部分是根据事后影响对以前的工作予以评价的基础上做出经验上的打分。将风险评估用R（Risk Assessment）表示，各个关键指标用R1、R2、R3、R4表示，如表2所示：

（三）控制活动定义与关键指标确立 COSO将控制活动分为八个方面：组织控制。企业组织设置是否合理，责任区分是否明确；职责划分。是否可以职责相互制约，不相容岗位的划分；调节与复核。说明企业雇员能够将不同数据连接在一起，识别并找出差异，并且采取相应的措施；实物控制。保护企业实物资产不被偷盗或未经允许而获得及被使用的措施和程序；授权与批准。某些活动是否经过相应领导的批准与签字，不会产生业务发生的不合规，降低企业经营风险；计算与会计。企业报表的准确性，从年报审计过程中可以做出绩效考核；人员控制。是否确保每个职位都有相应的专业胜任能力的员工担任；监督和管理控制。企业关于该项工作是否得到有效持续，领导者是否重视。根据上述，本文用C（Control activities）表示控制活动，相应的关键指标用C1、C2、C3、C4、C5、C6、C7、C8等表示，如表3所示：

（四）信息与沟通定义与关键指标确认 信息沟通是指在人员能够履行责任的方式及时间范围内，识别、取得和报告经营、财务及法律遵守的相关资讯的有效性程序和系统，可以将其关键指标确立为两个方面：一是信息的收集。信息能否能够有效地收集，并达到使用者的预期；二是信息的有效传递与沟通。企业人员之间的沟通状况如何，上级与下级，同等级之间的相互信息交流的顺畅程度。根据上述，将信息与沟通用I（Information and communication）表示，各关键指标分别为I1、I2等，如表4。

（五）监督定义与关键指标确认 监督是不断对内部控制系统的表现进行评估的过程，可以确保内部控制保持有效性的运作，管理层可以对内部控制有效性的取得合理地保证。本文将其分为三个方面：第一，评估。根据企业的评价指标体系是否清晰，管理层的主观因素侵入程度来测算该工作的有效性；第二，记录。可以检查相应的书面文件可以直观地了解该项工作的情况；第三，报告。报告的内容是否关键，是否流于形式。根据上述资料，将监督用S（supervision）表示，主要关键指标分别为：S1、S2、S3，如表5所示。

二、企业内部控制指标权重模型及回归分析

（一）内部控制关键指标权重模型确立 具体如下：

（1）关键指标权数。关键指标权重的设计是系统中较为复杂的问题，在本文中拟根据专家打分法来确定每一个关键指标在结构要素指标中的权重，根据上述的关键指标的确认制定相应的专家问卷（主要为管理与会计专家、企业高管、会计研究生等），对具有相应内部控制的专业知识人员200人发放问卷进行调查，并根据收集上来的160份有效问卷（有效回收80%）对各项指标权重进行打分（满分1）进行简单算术平均打分得出各要素结构关键指标相应的权重W。

（2）模型理论。根据上述模型计算出结构要素分数后，建立回归方程：IC（internal control）=aE+bR+cC+dI+eS+ε（E表示为控制环境、R表示为风险评估、C表示为控制活动、I表示为信息与沟通、S表示为监督的权重）。

（二）线性回归模型分析 通过样本问卷的收集分析，计算出各个关键指标的权数（采用百分制打分），通过各关键指标的加权计算出5个主要因素的分数，得出的数据利用线性回归分析并进行相应的检验，如果不合理，则扩大样本量和重新填制问卷形式，直至给出的分数通过检验为止，由于本文的调查对象大量是管理与会计专家、企业高管、会计研究生等，得出的数据相对合理，从而减少了大量反复的工作。由于在第三步已经将各个变量作了详细的说明，在此不再重复，运用SPSS软件进行相关分析汇报如下：

首先，对因变量与自变量的相关关系进行分析，只有相关关系强的数据之间进行线性回归分析才有意义。 由表6的相关系数表可以看到内部控制与其影响因素的相关性是较强的， 相关系数都大于0.9。 这说明在内部控制与其影响因素之间进行线性回归是可行的。

其次，对模型的拟合程度进行分析，只有拟合度很高的模型进行的数据之间的分析才能更精确。表7给出了模型的拟合程度，R2是大于0.9的，说明模型的拟合程度非常好。运用此模型进行数据分析精确度应该是很高的。

再次，对回归方程的方差进行分析，方差越小，说明回归方程进行的数据的误差越小，表8给出了回归方程方差的检验结果，检验结果t分布的双尾数显著性概率值为0.000，小于0.005，可见显著性较高，进行数据分析准确性较高。

最后，根据数据解出拟合的回归方程的系数，并对其进行结果检验。在此完成对整个模型的分析。表9给出了拟合的回归方程的系数及其检验结果，得出了各个自变量的系数，检验结果t分布的双尾显著性概率Sig.均明显小于0.005，结果很显著，线性回归方程是有意义的。现把标准化系数代入得出线性回归方程为：

Y=0.36E+0.129R+0.209C+0.175I+0.165S

至此，完成了对整个回归方程的分析，模型的精确度具有一定的准确性，并通过了相应的检测，说明此回归模型具有一定理论意义。因此对企业内部控制进行评价时，可以根据此回归方程计算，通过对企业的内部控制的五个影响因素进行打分，根据本文数据检验的权重，求解出企业内部控制的分值，从而实现了对企业内部控制的定量评价。

三、结论

企业内部控制实施的效果将会长期影响企业的经营效率，但内控实施的效果评价经常停留在定性分析的基础上，本文在从美国COSO报告的内控因素结构角度初步设计了内部控制定量分析的基本框架，而后采取了定量分析的测试对本模型的基本变量的权重进行了SPSS回归分析。通过本文的定量分析，对企业评价内部控制的横向比较有一定的借鉴意义，并为企业对自身内控的评价也有了很好的指引，通过内控效果评价还可进一步促进企业有针对性完善自身的内部控制体系。但由于文本数据的采集地点主要在杭州完成，并且具有一定的地域性，为了更好地对内控进行评价，建立更加全面完整的定量检验模型，仍需学者结合我国的企业内部控制实际情况制定完全基于我国理论与实际情况的内部控制评价模型，进一步多区域采集数据以对内控评价模型通用性进行有更全面的检验。

参考文献：

[1]宋建波：《企业内部控制》，中国人民大学出版社2004年版。