基于成熟度模型的内部控制系统应用研究

曾静

摘 要：本文基于内部控制是一个管理过程的观点，内部控制系统就可以通过一定途径进行完善。本文将以内部控制理论为主，结合COSO报告、内部控制系统变革，探索提升内部控制系统水平应该完成的关键域的关键活动点，根据内部控制系统的构成结构，建立内部控制系统成熟度模型，探索内部控制系统成熟度提升路径。本文将用于软件管理的成熟度模型引入内部控制的管理中，为企业改进内部控制系统质量提供一份引导图，使企业的内部控制系统逐渐走向完善。

关键词：成熟度模型；COSO报告；内部控制系统质量提升

一、内部控制系统引入成熟度模型的可行性

COSO报告认为，在本质上内部控制就是一个过程，是为了完成经营目标，使财务报告真实反映企业的经济业务、并能遵循相关会计法律法规等，由企业管理层、治理层以及其他管理人员设计并实施的，合理保证这些目标完成的过程。而能力成熟度模型最早是一种软件承包能力的评价工具，并且也可以用于改善软件质量。能力成熟度模型的中心思想是通过测试、评价软件开发的过程，通过识别软件的成熟度，从而间接保证软件的质量。这就从上述内容可以看出，内部控制系统和软件能力有很多共同之处，软件的过程的改善和内部控制系统质量的提高都不可能一夜之间就能完成，都可以通过一些小的改变，来逐步提高其质量。成熟度模型就是以增量方式逐步引入变化的。成熟度模型明确定义了不同的“成熟度”等级，企业可按一系列小的改良性步骤向更高的成熟度等级前进。鉴于内部控制系统与软件开发管理存在诸多的共同特征，将软件过程能力成熟度模型引入内部控制系统成熟度模型是可行的。

二、构建内部控制系统成熟度模型

首先将内部控制系统定义若干个成熟度级别、以及关键流程、二级关键流程以及关键活动，然后每个关键流程和关键活动可以根据企业当前的发展战略和管理重点而被赋予一定的分值和权重系数，最后提出对于各项关键活动的具体过程评价标准。

（一）内部控制系统成熟度模型的五个等级

内部控制系统成熟度模型按照成熟度由低到高，划分为五个等级，这五个等级从低到高也是内部控制系统质量提升和完善的路径。

级别 1——混乱级，此时的内部控制能系统是不可依赖的。企业的内部控制管理是混乱无序的，在此过程中形成的文件没有系统的归档，活动的实施随意调整和变更，这种不健全、不适当的内部控制系统的执行效果非常差。活动是否成功主要依赖个别人的能力和行为，经常不能按计划完成活动，这是一个非常不稳定的内部控制系统。

级别 2——简单级，此时的内部控制系统是非正式的。企业在这一阶段已经开始意识到内部控制的重要性，开始着手建立内部控制系统，这时候的内部控制系统基本有效，已经简单的界定一些内部控制关键域的关键活动点，开始尝试用内部控制管理方法来支持和监督企业的日常运营。企业的日常经营活动已经不完全依赖核心领导的个人的能力和行为，已经制定了简单的内部控制制度，企业的管理过程开始逐渐标准化，管理过程中形成的文件开始归档。这一阶段内部控制系统基本健全、适当。

级别 3——规范级，这一阶段已经具有了标准的内部控制系统。企业具有更为成熟和有效的内部控制系统，内部控制各个关键域的关键活动已经完全得到界定，形成了完善的内部控制制度，组织内成员能够很好的了解并遵循这些管理制度。在这个层级已经形成固化的管理模式，此时的内部控制系统能够支持企业的全面管理。

级别 4——精益级，这一阶段的内部控制系统已经实现了量化管理，各个关键域的关键活动，能够量化的已经量化，企业最大可能性的量化管理，对企业经营管理的各个环节如成本控制、风险评估与应对、经营计划的进度、绩效考核等都形成了完善的量化指标体系。企业利用这些指标监督、评价企业的内部控制管理过程，并对过程中出现的问题采取相应的应对措施。

级别 5——优化级，这一阶段内部控制系统达到了最高级。这一阶段的企业除了已经建立了完善的量化指标体系，还建立了对各个关键域关键活动点的优化和改进的方法，使每个关键域和关键活动都有改进路径，这样企业的内部控制系统就可以不断改进、不断优化，内部控制系统处于不断完善的过程中，增强企业对内外部变化和机会的反应能力，增强企业的竞争力。该级别的内部控制系统设计恰当，执行非常有效。

（二）建立内部控制系统成熟度评价指标

将COSO报告定义的内部控制五要素界定为内部控制系统的一级指标，即内部环境（M1 ）、风险评估（M2）、控制活动（M3）、信息与沟通（M4）、内部监督（M5）。再将这五个一级指标细分为21个二级指标，如下表：

根据每个企业的经营目标已经经营战略，每个关键域的权重比值不同，每个关键域的关键活动的权重比值也不同，识别一个企业的成熟度，首先要给各个关键域以及各个关键活动赋予权重分值，根据企业的实际情况，给企业的内部控制系统打分，根据下表的分数所属的成熟度等级，确定本企业内部控制系统的成熟度，使企业明白自己的内部控制系统的实施现状。

三、总结

本文试图通过引入成熟度模型，帮助企业认识到内部控制系统的实施现状，识别出其内部控制系统各个关键域中的不足之处，解决企业想提升内部控制系统质量水平而毫无头绪的烦恼。让企业根据自身发展的水平选择适合本企业的成熟度，并找到达到目标成熟度所需要完成的关键活动。因为内部控制系统的完善不是短时间就可以完成的，企业可以通过一系列小的改进，逐步提高和完善内部控制系统。（作者单位：南京审计大学）

参考文献：

[1] 陈力生. 基于成熟度模型的内部控制评价系统构建[J]. 中国管理信息化，2009，02：51-54.

[2] 池国华. 基于管理视角的企业内部控制评价系统模式[J]. 会计研究，2010，10：55-61+96.

[3] 周守华，胡为民，林斌，刘春丽. 2012年中国上市公司内部控制研究[J]. 会计研究，2013，07：3-12+96.

[4] 王海林. 内部控制能力评价的IC-CMM模型研究[J]. 会计研究，2009，10：53-59+95.

[5] 樊行健，肖光红. 关于企业内部控制本质与概念的理论反思[J]. 会计研究，2014，02：4-11+94.