【作 者】
张玉兰(教授),张路瑶,王园园
【作者单位】
燕山大学经济管理学院,河北秦皇岛066004
【摘 要】
【摘要】以风险管理框架为导向,利用Topsis改进因子分析法对2013 ~ 2015年“互联网+”上市公司内部控制有效性水平进行评价。结果表明:“互联网+”上市公司整体内部控制有效性处于中等偏下水平,其内部控制薄弱环节主要表现在目标设定、控制活动和风险应对方面,而内部控制设计完善且运行有效的部分主要体现在事项识别方面。
【关键词】内部控制有效性;风险管理框架;改进的因子分析法;互联网+
【中图分类号】F272 【文献标识码】A 【文章编号】1004-0994(2017)15-0062-8
0世纪90年代以来,频频暴出的内部控制失效丑闻引起了政府部门和学术界对内部控制的高度重视,促进了内部控制规范体系的建立与不断完善,也成就了内部控制有效性评价在实证研究领域的重要地位。2015年,十八届五中全会提出了实施网络强国战略,经营互联网相关业务企业的内部控制随即进入财政部研究视野,这将对“互联网+”企业内部控制有效性的研究意义重大。
一、国内外研究文献回顾
(一)国外研究成果
国外学者主要从缺陷观视角、五要素视角及公司治理视角对内部控制有效性水平进行了研究。Chuleeporn Changchit等(2001)和Krishnan(2005)均认为,内部控制缺陷越少,表明企业内部控制有效性水平越高;Adebayo Agbejule等(2009)、Angella Amudo等(2009)、Onumah(2012)和Al-Thuneibat(2015)均认为内部控制五要素是进行内部控制有效性评价的理论依据;Gerrit Sarens(2010)和Dumitrascu Mihaela(2013)均认为公司治理与内部控制是相辅相成而不是独立存在的,若公司治理失效,则内部控制无法发挥预期的作用。
(二)国内研究成果
国内学者对内部控制有效性的研究起步较晚,但研究视角和研究方法更为丰富。陈关亭等(2013)基于企业风险管理框架模型,采用模糊综合评价法对内部控制有效性进行了研究,实现了内部控制评价从定性分析到定量研究的转变。袁建华(2013)基于内部控制五要素,采用因子分析法对2010年我国沪深两市交通运输业和仓储业75家上市公司内部控制有效性进行了评价。
孙光国等(2014)基于投资者保护视角,构建了内部控制有效性评价理论框架,提出了以过程导向和结果导向相结合的评价标准和以模糊综合评价法为主的评价方法。胡华夏等(2015)则基于价值创造视角,采用模糊综合评价法构建了科技型企业内部控制的评价模型。
(三)国内外研究评述
国内外学者从不同视角出发构建了内部控制有效性的评价指标体系,并采用不同方法对内部控制有效性进行了研究。已有成果尽管研究视角颇为丰富,但所选研究视角与研究范围的契合度不高,因而缺乏一定的理论基础。
现有文献在构建内部控制有效性评价模型上已经基本实现了由定性分析向定量分析的转变,但仍存在缺陷,主要问题表现在模型主观性强或者因评价方法缺陷无法对数据进行准确分析两方面。本文结合“互联网+”企业具有高风险的经营管理特点,选取与其高度契合的风险管理框架作为研究导向,科学合理地构建评价指标体系,并最大限度地保证评价指标的相关性和可测量性;运用基于Topsis改进的因子分析模型对相关数据进行处理,可以客观确定指标权重,并消除传统因子分析不能对面板数据进行分析的弊端,提高研究结果的准确性。
二、风险管理框架下评价指标体系的构建
(一)整体构建思路
内部控制经历了“一元化”——“二分法”——“三结构”阶段,目前发展为“五要素”内部控制框架和“八要素”风险管理框架并存阶段,其中风险管理框架是内部控制理论研究的最高成就。
内部控制整合框架和风险管理整合框架均为成熟的体系,可以作为度量内部控制有效性的现成基础。从形式上看,《企业风险管理——整合框架》相对于《内部控制——整合框架》而言,将五要素扩展为八要素,将三目标扩展为四目标,风险管理整合框架把内部控制整合框架作为重要组成部分纳入其中。从本质上看,内部控制和风险管理都是风险控制目的、方式与手段的统一,内部控制等价于风险管理,部分学者如谢志华、李维安等也认为风险管理与内部控制是完全等价的。在本质等价的基础上,风险管理框架将一项“风险评估”扩展为“目标设定、事项识别、风险评估和风险应对”四项内容,更加强调风险管理本身。鉴于“互联网+”企业具有高风险的特点,其内部控制应突出对风险要素的管理,因此,本文基于风险管理框架构建“互联网+”上市公司内部控制有效性评价指标体系。
(二)具体指标选取
本文以风险管理框架八要素为一级指标,在兼顾相关性与可测量性的基础上,遵循系统性原则、重要性原则、定量与定性相结合原则和可操作性原则等设计二级指标。具体评价指标体系见表1。
1. 内部环境。内部环境主要由组织架构、人力资源、企业文化、发展战略和社会责任五部分构成。内部控制的本质之一是制衡,权力过度集中会削弱内部控制的制衡作用,因此二职合一情况可以作为衡量公司组织结构设计是否合理的指标,借鉴池国华等(2015)的研究对指标进行赋值;薪酬与绩效考核委员会负责按照相关工作细则对公司相关人员的薪酬、考核事项进行审议,并通过一系列控制与激励措施规范公司相关人员行为、挖掘其工作潜能,充分体现内部控制对人力资源政策的要求,薪酬与绩效考核委员会的设立情况可以作为人力资源政策方面的指标;相对较高的受教育程度可以培养员工较高的综合素质,使得员工对公司价值观及管理理念的理解更为深入,无形中帮助公司营造更为积极健康的内部环境,因此员工受教育程度可以作为企业文化方面的指标;市场占有率直接表明公司的市场地位,可以横向度量公司发展战略的实现程度,可持续增长率能够体现公司的长期发展能力,可以纵向度量公司发展战略的实现程度,因市场占有率数据不易获得,所以选取可持续增长率作为发展战略方面的指标;借鉴李伟等(2015)的研究,选取社会贡献值作为衡量企业社会责任的指标。
2. 目标设定。董事会下设的战略管理委员会通过深入研究相关法律政策、宏观经济环境及企业自身能力,对公司的长期发展战略、经营方针及具体目标进行可行性研究,站在战略的高度设定企业发展目标并促进相关子目标在企业内部的层层分解与落实,因此战略管理委员会的设立情况可以作为目标设定要素下的二级指标,综合反映公司对目标设定的重视程度及执行情况。
3. 事项识别。事项识别是风险评估的基础,可以从内部控制设计及内部控制运行两个阶段进行事项识别。本文选取内部控制缺陷类型来反映企业在内部控制设计中的事项识别能力,选取违法违规次数来反映企业在内部控制运行中的事项识别能力。
4. 风险评估。“互联网+”上市公司分布于不同行业,其经营特点与资本结构不尽相同,选取综合杠杆而非经营杠杆和财务杠杆作为风险评估衡量指标,可以通过将两种风险结合在一起的内在调整作用缩小不同行业间的风险差异。
5. 风险应对。企业在风险管理过程中不仅需要将整体风险降低到风险容忍度之下,更要着重应对自身的特殊风险。通过阅读“互联网+”上市公司的年报,可以发现监事会负责监控及应对公司运行过程中的各项风险,因此选取监事会规模来衡量公司的整体风险应对能力。不同于传统企业,“互联网+”上市公司在经营管理过程中存在较大的互联网运营风险及操作风险,IT服务及技术实施人员具备相关知识体系,可以及时解决互联网相关运营风险及操作风险,在很大程度上提升公司在特殊业务中的风险应对能力,因此本文选取IT服务及技术实施人员占比情况作为衡量公司互联网相关风险应对能力的指标。
6. 控制活动。控制活动包括事前控制、事中控制和事后控制。“互联网+”作为一种新的经济形态,相关企业在经营管理过程中难免会存在一些不确定性因素,预算管理能够使企业提前对未来的经营管理事项进行深入分析,进而提高自身的主观能动性,可以作为事前控制的衡量指标;现金流是企业的血液,现金适合比率表示经营活动产生的现金流量净满足主要现金需求的程度,能够在一定程度上反映企业营运风险控制措施的运行结果,因此可以作为事中控制的衡量指标;绩效评价通过一系列的考核及激励约束措施检查并促进其他控制措施的有效运行,可以作为事后控制的衡量指标。
7. 信息与沟通。信息与沟通是双向的,本文从沟通过程中的信息流向出发选取信息与沟通要素的二级指标。选取经重大会计差错修正的审计意见类型来衡量公司对外界所传递信息的质量;董事会会议内容综合了企业内外部信息,董事会会议决策作为公司内部最为重要的信息进行传递,董事会会议次数可以作为从外界获取信息以及在公司内部间进行信息沟通的衡量指标。
8. 内部监督。公司的内部审计部门负责对内部控制运行情况进行日常检查与监督,董事会下设的审计委员会出具内部控制自我评价报告并签署评价意见类型,因此选取内部审计部门独立性以及内控相关报告情况作为内部监督的二级指标。
三、基于Topsis改进因子分析法的有效性实证分析
通过深入分析国务院关于积极推进“互联网+”行动的指导意见,可以得出“互联网+”企业从形式上至少有三种结合方式:第一种是传统企业引进并利用互联网平台;第二种是互联网公司进入传统业务领域;第三种是互联网公司和传统企业合作。通过研究财政部发布的互联网内部控制问卷调查中的相关问题可以发现,调查对象属于上述第一种或第三种结合方式。由于实际中“互联网+”企业多以传统企业为主,其一般采取引进并利用互联网平台或者与互联网企业合作的形式开展相关经营管理活动,又由于传统企业与互联网企业的内部控制要点与程序存在较大不同,为保证样本的数量以及同质性,本文选取的研究对象(“互联网+”上市公司)与财政部调查问卷中所涵盖的调查对象范围相同。
(一)样本选择与数据来源
本文选取2013 ~ 2015年“互联网+”上市公司为初始样本,并进行以下筛选程序:①剔除因数据异常而不具有代表性的∗ST企业1家;②剔除上市未满三年的企业4家;③剔除金融企业1家;④剔除互联网和相关服务企业6家。经过筛选,最终得到有效样本为125家“互联网+”上市公司,共375个样本数据。指标数据来源于国泰安数据库和新浪财经网,使用Excel和SPSS 19.0完成数据搜集整理和各项处理过程。
(二)因子分析
1. 数据标准化处理。本文使用SPSS 19.0软件对原始数据进行标准化处理。另外,通过查询上市公司年报发现,“互联网+”上市公司都制定了预算管理制度、建立了绩效评价与激励约束机制,所以在因子分析过程中不包括对这两个指标的分析。
2. KMO和Bartlett检验。运用SPSS 19.0软件对标准化后的375组数据进行KMO和Bartlett检验,检验结果见表2。
由表2可知,KMO值为0.530,大于0.5;Bartlett球度检验Sig.值为0.000,表示相关系数矩阵和单位矩阵之间有显著性差异。以上结果说明本文所选取的样本及指标数据通过了KMO和Bartlett检验,可以进行因子分析。
3. 因子提取。本文采用主成分分析法提取了8个公共因子,结果见表3。提取的8个主成分的特征根均大于1,表示其解释力度强于原始变量;提取的8个主成分的累计贡献率为75.180%,大于75%,能够包含原始变量的大部分信息。因此选择8个主成分作为综合评价的公共因子。
4. 因子旋转。为了易于对指标进行归类,对公共因子进行解释和命名,本文运用最大方差法对因子进行正交旋转,使每个指标在特定因子上有较大负载,以便于准确识别各指标应归属到第几个公共因子下,旋转后的结果见表4。
表4中,提取方法为主成分分析法;旋转法为具有 Kaiser 标准化的正交旋转法;旋转在 6 次迭代后收敛。
5. 因子命名。数据处理结果与理论分析存在一定差异,但使用主成分分析法提取的8个公共因子同样可以较好地解释风险管理框架的八个要素。
战略管理委员会的设立及会议次数体现了上市公司对自身长期发展及目标设定的重视程度,而薪酬与绩效考核委员会的设立及会议次数能够反映上市公司对所设标准及目标的考核与反馈,两者共同作用才能形成目标设定的完整流程,可以作为目标设定要素的衡量指标,命名为目标设定因子。
可持续增长率、营运风险控制、社会贡献值分别从发展能力、营运能力及价值创造能力方面体现了上市公司经营管理的最终结果,同样也是控制活动运行结果的综合体现,所以可持续增长率、营运风险控制、社会贡献值可以作为控制活动要素的衡量指标,命名为控制活动因子。
对于“互联网+”上市公司,员工受教育程度越高,代表员工的综合素质及风险意识越高;IT服务及技术实施人员占比越大,代表企业处理互联网相关运营风险与操作风险的能力越强。因此,员工受教育程度、IT服务及技术实施人员占比情况可以作为风险应对要素的衡量指标,命名为风险应对因子。
内部控制缺陷尤其是重大缺陷的存在反映出上市公司识别风险及内部控制制度设计漏洞的能力有待加强。如果上市公司被出具非标准审计意见或者上市公司报告期内存在重大会计差错,说明上市公司未能及时发现财务中存在的重大问题。因此,内控缺陷类型、经重大会计差错修正的审计意见类型可以作为事项识别要素的衡量指标,命名为事项识别因子。
内部审计部门和监事会都是上市公司经营管理的监督主体,内部审计部门负责检查和监督内部控制的日常运行,监事会负责监督公司运行过程中存在的风险。因此,内部审计部门独立性和监事会规模可以作为内部监督要素的衡量指标,命名为内部监督指标。
二职合一情况能够反映上市公司组织结构的设置是否充分发挥了内部控制的制衡作用,并在很大程度上影响着上市公司内部环境。良好的内部环境对规范企业的经营管理行为起着决定性作用,而违法违规次数能够从反面综合反映内部环境的总体质量。因此,二职合一和违法违规次数可以作为内部环境要素的衡量指标,命名为内部环境因子。
内控相关报告指标可以运用上市公司是否对外披露内部控制自我评价报告和内部控制审计报告以及报告的意见类型,来反映上市公司对外界传递信息并接受外界监督的举措;董事会会议次数能够反映上市公司内部的信息与沟通以及上市公司对外界信息的获取情况。因此,内控相关报告和董事会会议次数可以作为信息与沟通要素的衡量指标,命名为信息与沟通因子。
综合杠杆能够综合计算出上市公司的风险水平,可以作为风险评估要素的衡量指标。
根据旋转成分矩阵进行因子命名,具体见表5。
6. 因子得分。将SPSS 19.0软件处理得到的成分得分系数矩阵与标准化处理后数据的乘积求和,可得到各因子的得分函数,如式(1) ~ 式(8),各因子得分系数矩阵见表6。
由于各因子的方差贡献率相对表示各因子对综合因子影响程度的大小,因此,以各因子的方差贡献率比重作为权重,对提取的公共因子进行加权平均可以得到综合因子得分函数,如式(9)。F1=0.006X1+0.452X2-0.019X3-0.034X4+
0.041X5+0.386X6-0.053X7+0.039X8+0.018X9-
0.032X10+0.018X11-0.006X12+0.004X13+0.003X14-
0.016X15+0.035X16 (1)
F2=0.040X1-0.037X2-0.009X3+0.465X4+
0.339X5-0.038X6+0.037X7+0.079X8-0.013X9+
0.093X10+0.014X11+0.450X12-0.102X13-0.060X14-
0.030X15+0.054X16 (2)
F3=-0.020X1+0.028X2+0.528X3+0.020X4+
0.075X5+0.023X6+0.038X7-0.011X8-0.033X9-
0.015X10+0.529X11-0.065X12-0.100X13+0.030X14+
0.034X15-0.064X16 (3)
F4=0.021X1+0.013X2-0.036X3-0.066X4+
0.252X5+0.047X6+0.496X7+0.272X8+0.057X9-
0.246X10-0.033X11-0.097X12+0.466X13+0.145X14-
0.034X15-0.129X16 (4)
F5=-0.102X1-0.075X2+0.043X3+0.091X4+
0.201X5-0.019X7-0.151X8+0.542X10-0.008X11-
0.216X12-0.019X13+0.025X14+0.085X15+0.403X16
(5)
F6=0.791X1-0.043X2+0.009X3+0.064X4+
0.196X5+0.184X6+0.006X7-0.349X8+0.031X9-
0.147X10-0.018X11-0.155X12+0.023X13+0.032X14+
0.139X15-0.168X16 (6)
F7=0.153X1-0.070X2+0.031X3-0.070X4-180X5-0.018X6-0.058X7+0.342X8-0.006X9+
0.059X10+0.012X11+0.168X12+0.005X13+0.620X14+
0.846X15+0.090X16 (7)
F8=0.016X1+0.022X2+0.028X3+0.003X4-
0.107X5-0.071X6+0.132X7-0.092X8+0.948X9+
0.136X10-0.090X11+0.039X12-0.020X13-0.104X14+
0.006X15+0.096X16 (8)
F=(0.1196F1+0.1097F2+0.1083F3+0.0983F4+0.0872F5+0.0784F6+0.0766F7+0.0738F8)/0.7518
(9)
(三)基于Topsis法的因子平均得分
由于不同截面因子分析所得到的因子得分不具备可加性,而本文的研究对象为“互联网+”上市公司2013 ~ 2015年三年期间的内部控制有效性水平,因此,采用Topsis法对因子分析模型进行改进,使之能够对面板数据进行准确评价。
1. 确定最优向量与最劣向量。对因子分析所得的因子得分进行一致化处理,然后在一致化处理后的数值中找出各公共因子以及综合因子的最大值和最小值,分别构成各因子的最优向量与最劣向量。用Z+表示最优向量,用Z-表示最劣向量,具体如式(10) ~ 式(27)所示。
=(0.2169,0.2168,0.2604) (10)
=(-0.1995,-0.1839,-0.2115) (11)
=(0.7280,0.5709,0.3166) (12)
=(-0.2985,-0.2996,-0.3119) (13)
=(0.2418,0.2343,0.2516) (14)
=(-0.1598,-0.1449,-0.1578) (15)
=(0.1226,0.0836,0.1164) (16)
=(-0.6313,-0.7492,-0.5029) (17)
=(0.2116,0.3657,0.5165) (18)
=(-0.2663,-0.2265,-0.2157) (19)
=(0.2020,0.1834,0.1678) (20)
=(-0.2735,-0.1931,-0.3299) (21)
=(0.1842,0.1739,0.2005) (22)
=(-0.2201,-0.2131,-0.1724) (23)
=(0.2010,0.3877,0.9670) (24)
=(-0.4442,-0.8841,-0.1730) (25)
=(0.2205,0.2606,0.4281) (26)
=(-0.3433,-0.3400,-0.1996) (27)
2. 计算因子平均得分。用各样本三年因子得分与最优因子的接近程度Di来表示其因子平均得分,根据Topsis法原理可以得出,因子平均得分位于0 ~ 1之间,越接近于1,代表内部控制有效性水平越高。计算公式如式(28)。
(四)因子排名及结论评价
将上述基于Topsis改进的因子平均得分进行因子排名,具体见表7。
由表7可知,综合因子平均得分约为0.49,小于0.5,比较接近于最劣因子,说明“互联网+”上市公司整体内部控制有效性水平处于中等偏下水平。“互联网+”上市公司内部控制设计完善且运行有效的部分主要在于事项识别,其因子平均得分约为0.85,与最优因子比较接近。“互联网+”上市公司内部控制的薄弱环节表现在目标设定、控制活动和风险应对方面,其中,目标设定因子平均得分约为0.37,控制活动因子平均得分约为0.35,风险应对因子平均得分约为0.39,均与最劣因子比较接近。通过比较在这三个因子上排名前五位与后五位公司的得分情况发现,各公司表现参差不齐且差距较大,其中目标设定是影响各公司内部控制有效性的最主要要素,接下来依次是控制活动要素和风险应对要素。
另外,八要素中的四个风险要素,除事项识别要素得分较高外,其他三个要素得分均低于0.5,且目标设定要素与风险应对要素得分不足0.4,说明“互联网+”上市公司现行内部控制在管理风险过程中,虽能对风险因素进行及时识别与合理评估,但忽略了控制目标,风险应对能力也明显不足。分析原始数据后发现,25%的“互联网+”上市公司不设立战略管理委员会;49.6%的“互联网+”上市公司虽设立了战略管理委员会,但该委员会在报告期内并未以召开会议或者其他方式履行相关职责,“互联网+”上市公司在目标设定环节的投入不足导致其整体目标设定因子平均得分较低。63.2%的“互联网+”上市公司IT服务及技术实施人员配备比例低于样本总体平均值,一定程度上影响了企业的风险应对能力。56.5%的“互联网+”上市公司员工受教育程度低于样本总体平均值,不利于企业风险意识的形成,“互联网+”上市公司人力资源综合素质提升速度落后于经济形态转变速度,从而导致其整体风险应对因子平均得分较低。
四、提升“互联网+”上市公司内部控制有效性水平的建议
“互联网+”时代使相关企业的运营环境及内部控制环境均发生了变化。变化意味着机遇与风险,而内部控制适应性调整最直接的体现必然是人力资源素质的整体提升。
首先,应真正落实董事会下设委员会、监事会及内部审计部门的相关职责,战略管理委员会、薪酬与绩效考核委员会在报告期内必须以召开会议及公布工作纪要的形式履行职责,帮助企业在“互联网+”时代制定切实可行的发展目标,规范员工行为并激发员工潜能;审计委员会在签署内部控制自我评价报告意见类型时必须客观公正;监事会作为监督企业经营管理风险的主体,应保证其规模及工作频率;内部审计部门作为检查企业内部控制日常运行情况的主体,应保证其独立性及工作胜任能力。
其次,应提高员工整体受教育水平,较高的综合素质有助于员工对企业经营理念的深入理解以及企业风险意识的形成。
再次,应配备适当数量的IT服务及技术实施人员,以增强企业在操作风险等方面的风险应对能力。
最后,随着互联网相关内部控制的逐渐形成与完善,“互联网+”企业应及时增加互联网相关控制活动,合理保证内部控制的有效运行。
主要参考文献:
Chuleeporn Changchit,Clyde W. Holsapple,Donald L. Madden. Supporting managers" internal control evaluations:An expert system and experimental results[J].Decision Support Systems,2001(30).
Adebayo Agbejule,Annukka Jokipii. Strategy, control activities,monitoring and effectiveness[J].Managerial Auditing Journal,2009(6).
Angella Amudo,Eno L. Inanga. Evaluation of internal control systems:A case study from uganda[J].International Research Journal of Finance and Economics,2009(27).
Joseph M. Onumah,Ransome Kuipo,Victoria A. Obeng. Effectiveness of internal control systems of listed firms in Ghana[J].Research in Accounting in Emerging Economies,2012(12).
陈关亭,黄小琳,章甜.基于企业风险管理框架的内部控制评价模型及应用[J].审计研究,2013(6).
孙光国,李冰慧.内部控制有效性评价理论框架研究——基于投资者保护的视角[J].财经问题研究,2014(2).
胡华夏,杨雪琳,刘梦蝶.科技型企业内部控制评价体系构建——基于价值创造视角[J].财会通讯,2015(7).
谢志华.内部控制、公司治理、风险管理:关系与整合[J].会计研究,2007(10).
李维安,戴文涛.公司治理、内部控制、风险管理的关系框架——基于战略管理视角[J].审计与经济研究,2013(4).
池国华,郭菁晶.基于“整合观”视角的上市公司内部控制指数研究[J].财经问题研究,2015(8).
李伟,腾云.企业社会责任与内部控制有效性关系研究[J].财经问题研究,2015(8).
