【摘要】 本文围绕会计控制与会计信息化在新形势下的发展,从论述风险与风险管理入手,指出了在市场经济条件下,风险不仅仅是一种可能遇到的给企业带来经济损失的危险,更重要的是获得经济利益的一种机会,企业除了要规避和防范风险外,更重要的是要有适应风险、驾驭风险的能力,从而由对待风险的消极避让转向积极应对,为企业的发展谋求最大利益。在此基础上笔者研究了企业全面风险管理体系建设问题;探讨了内部控制概念的演变、新形势下的企业内部控制体系,重点论述了会计控制体系问题;提出了会计信息化的新阶段应是建立以会计控制为主体的风险管理型内部控制信息系统的观点;最后提出了对策建议和进一步研究的方向。
【关键词】 风险管理;内部控制;会计控制;信息系统
一、绪论
(一) 研究背景、目的及意义
1.随着企业信息化的发展,信息技术与经济业务的不断融合,所有企业经济业务的发生都离不开信息技术平台
会计信息化是企业信息化的重要组成部分,研究会计信息化的定位应当从会计所处的信息化环境出发。无论是企业信息化,还是会计信息化,都是基于Internet、 Intranet和 Extranet 的互联网基础上的,企业的经营活动则是在网络经济的基本形式——电子商务及随之发展的网络财务、网络会计和网络审计的运行环境中进行的。企业的财会信息是企业最为重要的管理信息。可以说,没有财会信息这种价值量的连续、综合和系统的信息,一切管理信息都是不完整和不完善的,没有财会信息的网络化,也就没有企业信息的网络化。当今世界,会计信息系统(AIS-Accounting Information System)作为企业资源计划(ERP-Enterprise Resource Planning)的一个重要的子系统,与各业务子系统实现了高度的信息集成。以EPR为代表的企业信息化的重要特征就是供应链管理和信息的高度集成,而会计信息化提供的正是供应链管理中连续、综合和系统的信息,反映与控制的是整个供应链中资金的信息流,相对于物质的信息流这是更重要的信息流,它控制着物流,影响着资本的保值与增值,以及企业内外部信息使用者的需要。(引自金光华“在企业信息化环境中的会计信息化定位研究”《中国管理信息化》2005年第2期)因此,会计信息系统所反映和监督的资金流动及其信息流,控制着业务信息系统的物质流动及其信息流。会计信息系统反映、监督和控制、参与决策的职能正是企业内部控制职能的主体部分。
当前,企业内部控制问题已经成为国内外关注的热点问题。但是,人们却对基于信息技术的企业内部控制问题,特别是基于信息技术的风险管理型的企业内部控制及其解决思路缺乏研究与对策。这与当前经济发展形势不相适应。同样,研究内部控制问题,也不能不研究它的主要方面——会计控制问题,本文正是从基于信息技术的风险管理型会计控制角度来研究内部控制的。
根据美国上市公司的调查资料(见表1),表中列出的内部控制,主要是会计控制的一些主要方面:收入确认、固定资产、财务报告和结账、采购付款、人力资源(工资和福利费用)、公司层面的控制、信息技术控制等,其中信息技术控制的缺陷占据了内部控制缺陷的最大比例。
表1美国上市公司在各业务流程中存在的控制缺陷、显著性缺陷和实质性漏洞所占的比例
(数据来源:毕马威404学会的调查,2005.2)
因此,从信息技术角度看,与其说是解决企业内部控制问题,不如说是解决基于信息技术的企业内部控制问题,主要是企业内部控制信息系统的整体框架、体系问题,而企业内部控制中大量和基本的是属于会计控制方面的事项。正是基于这样背景,有必要对基于IT环境的企业内部控制信息的体系,重点是会计控制信息体系进行研究。
2.国际背景
从国际背景看,财务报告舞弊是一个全球性的问题,而会计数据造假则是不法分子,主要是心怀不轨的公司管理层进行财务欺诈、财务报告舞弊的主要手段,通过所提供的失真的会计数据,经过信息系统加工处理而发布的虚假财务会计信息,欺骗投资者和社会公众,其直接后果就是造成社会财富的非公平转移和广大投资者的巨额损失。笔者发表于《上海立信会计学院学报》2007年第6期上的文章“财会信息系统中原始数据失真问题研究”中提到:“财务会计领域中,许多财务舞弊案件是由于财会信息系统加工的原始数据失真所造成的,而且其中多数是公司管理层蓄意造假的故意行为,而并非是信息系统本身出了什么毛病。”文章根据舞弊理论分析了造成原始数据失真的原因。面对非故意行为与故意行为,研究了技术与非技术层面的对策措施,特别是针对公司管理层蓄意造假的故意行为提出了相应的对策。”在对策中的一个重要内容就是:“加强公司治理和内部控制,加大公司的财务报告责任和财务披露义务。”
国际上,为了应对日益猖獗的会计造假和财务报告中的舞弊,1985年,由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)等联合创建了反虚假财务报告委员会(通常称Treadway委员会)。该委员会目的在于针对财务报告中的舞弊(会计控制的重要方面),分析其产生的原因及解决办法。1987年,基于该委员会的建议,成立了COSO(Committee of Sponsoring Organization-发起组织委员会),专门研究内部控制问题,发布了《COSO内部控制整合框架》。该框架自发布以来,得到了广泛认可,并在多数国家应用。在应用过程中,理论界和实务界对其提出了一些改进建议,特别是强调内部控制整合框架的建立应与企业风险管理相结合。(引自http://sanyoh.googlepages.com)
2002年美国国会针对安然、世通等财务欺诈事件,出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作《2002年萨班斯—奥克斯利法案》(简称萨班斯-SOX法案)。法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订,在公司治理、证券市场监管,特别是会计职业监管和加强审计独立性等方面作出了许多新的规定。萨班斯法案更要求上市公司全面关注风险,加强风险管理 ,在客观上也推动了内部控制整体框架的进一步发展。与此同时,COSO委员会也意识到《内部控制整合框架》没有从企业全局与战略的高度来关注企业风险,是不足之处。
正是基于这种内、外部的双重因素,2003年7月,美国COSO委员会根据萨班斯法案的相关要求,颁布了“企业风险管理整合框架”的讨论稿(Draft), 2004年9月又正式颁布了《企业风险管理整合框架》(COSO ERM --Enterprise Risk Management),在《内部控制整合框架》的基础上,从企业全局与战略的高度来关注企业风险,对风险管理型的企业内部控制问题提出了整合框架,因此它是COSO委员会最新的内部控制研究成果
1050747.htm)。对于我们致力于会计信息系统的理论研究和实际工作者来说,研究风险管理型的企业内部控制问题,特别是会计控制问题,并体现到会计信息系统的设计和应用上是责无旁贷的。
除了上述以美国为首发布的法案等以外,各国及其他相关组织也相继出台了公司治理与内部控制的标准规范,如加拿大特许会计师协会(CICA)的《控制指南》,内部审计师协会(IIA)的内部审计标准委员会(IASB)制定的“内部控制指南”等,林林总总,不一而足。
3.国内背景
从中国情况来看,同样,我国的上市公司财务报告舞弊事件也层出不穷,而且有与国外不同的特点。自1996年起,国务院、财政部等陆续颁布了一系列的内部控制评价准则和规范(相当一部分属于会计控制和审计方面)。而2007年3月财政部会计司《企业内部控制规范——基本规范》和17项具体规范(征求意见稿)作为企业建立健全内部控制制度的基础依据和基本参照,是到目前为止有关企业内部控制规范的最新文本,该征求意见稿经进一步修订与完善后,将作为正式文件公布。
上述文件虽然从不同侧面对内部控制问题作了若干规定,但总体来说,如何从信息系统的角度来实现这些准则和规范,则比较欠缺。
4.从其现实意义来说
(1)是发展市场经济,实行公司治理和加强内控的需要。温家宝同志在十届全国人大四次会议上作《政府工作报告》时强调,要“完善公司治理,健全内控机制”。所谓公司治理,狭义的角度是指所有者主要是股东对经营者的一种监督与制衡机制,即通过一种企业组织和制度安排,来合理地处理所有者与经营者之 间的权利与责任关系。广义的角度则是指有关企业控制权和剩余索取权分配,包括法律、文化、组织等手段在内的一整套制度安排。从公司治理与内部控制的关系来说,公司治理是内部控制的组织保证,其职责就是确保内部控制方案的适当性及内部控制的有效实施。而内部控制则是公司治理的核心和关键环节,它使公司治理落到实处。
“完善公司治理,健全内控机制”是构成市场经济的各个细胞正常地运作,使市场经济得到健康发展的必要条件。
(2) 是企业风险防范控制的需要。企业在市场经济环境中,不可避免地会遇到各种风险。企业的各级管理人员首先要树立风险意识,同时要针对各个风险控制点,建立有效的风险管理系统,实行流程控制。通过风险识别、风险预警、风险评估、风险报告、风险规避、风险防范等措施,对财务风险和经营风险等进行全面防范和控制。在企业风险防范控制方面,公司治理是组织应对风险的战略反应,公司治理本身就包含一些战略性的内部控制的因素(引自http://zhidao.baidu.com/question/8616252.html?fr=grl)。而内部控制的首要任务是搞好企业风险防范控制,其目的就是要保证企业在充满风险的市场竞争中立于不败之地,以尽可能小的代价和牺牲获得最大的成果和收益。
风险防范控制是企业一项基础性和经常性的工作,企业内部控制机构中应当有专门从事风险评估和控制的部门或岗位,负责有关风险的识别、预警、报告、规避和防范等工作。
(3)是我国企业参与全球竞争、走出国门的需要。胡锦涛同志在党的十七大上的报告中提到:坚持对外开放的基本⒉撸把“引进来”和“走出去”更好地结合起来,扩大开放领域,提高开放质量,完善内外联动、互利共赢、安全高效的开放型经济体系,形成经济全球化条件下参与国际经济合作和竞争新优势。深化沿海开放,加快内地开放,实现对内对外开放相互促进。创新对外投资和合作方式,支持企业在研发、生产、销售等方面开展国际经营,加快培育我国的跨国公司和国际著名品牌。特别提到要注重防范国际经济风险。
因此,我国企业要走出国门、参与全球竞争,或者要在海外上市,就必须了解萨班斯法案、 COSO的有关规定和国际会计准则、上市规则。对企业的审计要求,研究国际环境下风险管理型的企业对内部控制的要求等。
(二)研究要达到的目标
1.跟踪和收集国内外的有关文献、案例与实证研究资料,比较研究我国及其他国家发布的有关法案、规范、制度和规定;
2.立足国情,实行创新,提出既与国际接轨的,又适应我国企业现实的风险管理型企业内部控制,特别是会计控制的理论体系;
3.重点是基于IT环境,落实在风险管理型企业内部控制信息系统的设计与实施,特别是会计控制信息系统的设计与实施上;
4.发表有关学术论文和著作。
(三)研究方法
1.规范研究与案例分析、实证分析相结合;
2.定性与定量分析相结合;
3.寻找战略伙伴,成立联合课题组:(1)与企业相结合,特别是准备“走出去”和“海外上市”的企业,协助它们设计与建立与国际接轨的基于信息技术的风险管理型的企业内部控制,特别是会计控制体系;(2)与软件公司相结合,协助它们设计与完善基于信息技术的风险管理型的企业内部控制(含会计控制)通用/专用软件系统。
(四)主要内容
本文第一章绪论部分,介绍了课题研究背景、意义、目标和研究方法;第二章从论述风险与风险管理入手,分析了风险与风险管理的定义、重点放在企业可能遇到的风险及其对策上,提出了在市场经济条件下,风险不仅仅是一种可能遇到的给企业带来经济损失的危险,更重要的是一种获得经济利益的一种机会。从某种意义上说,企业的成长与发展是不断适应风险、控制和利用、驾驭风险的结果。提出企业要由对待风险的消极避让转向积极应对,在与风险的搏击中为企业的发展谋求最大利益的观点,这也是本文讨论风险管理型内部控制体系建设的基本出发点;第三章围绕会计控制与会计信息化在新形势下的发展,提出会计信息化的新阶段就是风险管理型会计控制信息系统的建设。其特点首先是与国际接轨,必须符合COSO对风险管理型内部控制的要求,以及COBIT对信息系统评价和治理的要求。其次,作为风险管理型内部控制主体部分的会计控制系统更多的是解决半结构性问题和非结构性问题,需要“量体裁衣”、“看菜吃饭”,根据用户的不同需求及原来所用的计算机系统不同而有所不同,这将是一种个性化全新的系统设计,也是本文对风险管理型会计控制体系建设的基本观点,该章还以金蝶公司在这方面所做出的尝试作为案例展开讨论;第四章提出了对策建议与进一步研究的方向。
二、风险管理与内部控制
(一)风险与企业风险
首先,什么是风险?
“风险”一词,早已有之。古时候,渔民们在出海捕捞打鱼的生活中,最大的危险来自大海的风暴,所以,沿海地区众多的妈祖庙、观音殿也都是人们祈求大海风平浪静,保佑平安的一种精神寄托。在渔民的眼光中,“风”即意味着“险”,因此在远古时期就有了“风险”的说法。
另一种说法是风险(RISK)来自拉丁语,也有的说来自阿拉伯语、西班牙语,但比较权威的说法是来源于意大利语的“RISQUE”一词。在早期的运用中,也是被理解为客观存在的危险,体现为对人们生活带来不利影响的自然现象或者航海遇到礁石、风暴等不测事件(引自http://baike.baidu.com/view/156901.htm)。
现代意义上的风险一词,不仅仅包含上述的一些传统意义上的理解,而且在概念上得到了极大的发展,首先它是与客观事物的不确定性紧密联系在一起的一种概念。如《中国大百科全书——经济学》一书中,对风险的定义是:“由于当事者主观上不能控制的一些因素的影响,使得实际结果与当事者的事先估计有较大的背离而带来的经济损失”(《 中国大百科全书出版社,1988年版,P165-166)。请注意,在这里风险是与损失联系在一起的概念。大家知道,客观事物的不确定性不是当事者的主观愿望所能避免的,正如有一句名言所说的那样:“世界上唯一能确定的事物是它的不确定性”,又由于客观事物的不确定性是无时无刻都始终存在着的。所以,只要存在着客观上的不确定性,就有可能碰到未能预见的结果,所谓“事与愿违”;而且还可能遭受破坏或损失,甚至对生命和财产构成危险。可以这样说,客观世界中,风险是无时不在,无处不在的。
其次,企业风险是企业在市场经济激烈竞争的内外环境中所可能遇到的各种风险,如:市场风险、产品风险、投融资风险、经营决策风险、财务风险、兼并风险、股市风险、借贷风险、担保风险、政策风险等,稍有不慎,就会遭受损失,甚至遭受破产的威胁。我们在这里研究的不是一般意义上的风险,而是针对企业的风险,主要是财务风险和经营风险及企业风险管理问题。
进一步讲,风险又是与企业获利机会密切相关的一个概念。从某种意义上说,风险就是会给企业带来收益的机会。要想得到收益,也就必须承担必要的风险,要想得到较大的收益,也就必须承担较大的风险。从现代投融资管理理论来说,与上述仅仅将风险与损失联系在一起的观念有很大不同的地方,在于传统意义上的风险(Risk)指的不确定性,仅仅是一种损失和失败的可能性,没有主动成份;而现代意义上的风险所指的不确定性,除损失和失败的可能性外,更有冒险(Venture)、敢于创新的意思。
例如风险投资(Venture Capital),它从广义上讲是指向风险项目的投资。根据国际经济合作和发展组织(OECD)的定义为:向以高科技和知识为基础,生产与经营技术密集的创新产品或服务的投资。从狭义上讲是指向高风险、高收益、高增长潜力、高科技项目的投资。根据美国全美风险投资协会的定义:风险投资是由职业金融家投入到新兴的、迅速发展的、有巨大竞争力的企业的一种权益资本。风险投资既不是单纯意义上的风险(Risk),又不是单纯意义上的投资(Investment)。它不仅指人们从事经济活动时所伴随的不可避免的风险,还指一种主动地承担风险的行为。在这里,风险与收益联系在一起,而且收益与风险成正比。风险程度越高,其可能带来的收益也就越大,除了无风险收益的因素以外,风险收益的大小往往成为投融资方案取舍的依据。从投资风险价值(Risk Value of Investment) 的涵义来说,它是指投资者由于敢冒风险进行投资而获得的超过资金时间价值的额外收益。因此,在不考虑通货膨胀的情况下,投资收益率=无风险投资收益率+风险投资收益率。风险大小的计量,通常是采用数学中的概率计算和统计方法得出,包括报酬率期望值、标准差的指标等。
因此,从现代市场经济的观点来看,风险不仅仅是一种可能遇到的危险,更重要的是获得利益的一种机会,企业除了要有风险规避和防范的本领外,更重要的是要有适应风险、驾驭风险的本领,敢于和善于在充满风险的市场经济激烈竞争的风浪中搏击,进行风险目标设定、风险评估和风险对策,从而由对待风险的消极避让转向积极应对,为企业的发展谋求最大利益。从某种意义上说,企业是依靠风险而存在并发展的。 这也是本文对待风险的主要观点和设计风险管理型的企业内部控制体系,特别是会计控制体系的重要出发点。
(二) 企业风险管理
1.企业风险管理定义
风险管理是企业通过对风险进行识别、分析和评估,设计并实施风险管理解决方案,运用合理的经济和技术手段对风险予以回避、减缓、分散、转嫁、接受、利用等风险对策,以最小的成本获得最大安全保障,并进一步利用风险来获得利益的一种管理行为(就像战争中的一个基本原则“保存自己,消灭敌人,争取胜利”那样),也是对风险管理解决方案实施进行监测,使企业达到其战略目标的一种管理过程。
风险管理是现代企业最本质的核心竞争力;是现代企业制度建设的重要内容;是现代企业可持续性发展的基本保证(引自http://studa.net/)。
2.企业风险种类
按来源分类,我们可将风险归结为两大因素:
(1)与外部经营环境有关的风险因素:主要来自宏观环境、监管机构、竞争对手、新技术新工艺、金融市场、政治法律、社会文化等,如:市场风险、外汇风险、利率风险、购并风险、自然灾害风险、政策风险、诉讼风险、国际形势风险等。
(2)与企业内部环境有关的风险因素:主要来自战略及决策、经营及管理、人员诚信、管理信息等,如:产品风险、经营风险、合同风险、债务风险、投融资风险、体制风险、人事风险、担保风险、资金风险等。
3.风险决策
风险决策是针对不确定性事件的决策。根据决策论的原理,通过计算机信息系统对未来事件的各种可能发展的客观状态进行概率估计和计算期望值,在各种不同的方案中加以优选。首先将各个方案的期望值计算结果与设定的目标相比较,然后从中优选相对风险较小而期望值较大的方案。这里有单一目标决策和多目标决策问题,也有决策者对风险态度的效用曲线(Utility curve)的应用,或叫做风险偏好问题。
因为决策者的社会地位、资历与经验和所处决策环境的各不相同,同样的风险在抱有不同态度的管理人员面前,其对风险程度的主观评价和接受与否的态度是大不一样的。有的人敢冒大的风险去获取大的利益,遭受大的损失也在所不惜,而有的人为避免遭受大的损失,宁可放弃一些风险大的方案,因而可能失去较大利益。就前者而言,他们在心理上对利益敏感,对损失相对不怎么敏感,接受风险的能力较强,失败时遭受损失的可能性也较大;就后者而言,他们在心理上对损失敏感,所做的决策以少受最好不受损失为前提,接受风险的能力较弱,失败时遭受损失的可能性相对较小。这时,同样的风险程度对不同风险偏好的人就有不同的效用系数,这在有些银行所做的对其顾客在具有不同风险程度的理财产品间选择的调查中很明显。
然而,客观事实也不尽如此,不一定敢冒风险的人,遇到损失的可能性比不愿冒风险的人来得大。在商战中同样用得上战场中的一句话,叫“狭路相逢勇者胜”,例如,为了避免多进货可能卖不出去,造成库存积压的风险,经销商“该进不进”, 结果丧失了市场销路火暴时获得大利的机会,这同样是一种损失,叫机会损失,比万一卖不出去造成的库存积压带来的损失要大得多;或者美元持有者做美元理财产品,明明看到美元相对于人民币在贬值,但为了避免将美元换成人民币所带来的结汇损失和放弃美元理财产品的美元利率损失,而采取观望态度,继续保持美元,“该出不出”,结果美元理财产品到期日,美元对人民币的汇率大幅下跌,就可能不仅区区的美元利息无法弥补,而且跌进了肉里,使得许多美元持有者叫苦不迭。这时,对风险采取保守态度的人来说,恰恰是也有可能是遭受更大损失的人。所谓“发展是硬道理”,在企业发展过程中,抓住机遇,迎难而上所遇到的风险往往要比不努力发展、墨守成规所遇到的风险来得小,容易克服,这在我国曾一度十分辉煌的手表行业的跌宕起伏的事例中可见一斑。
如何进行具体计算与分析效用系数,是一门牵涉到心理学、社会学、领导学、信息技术和概率论、数理统计等多种学科和模拟、仿真技术应用的复杂的学问;另外,在决策中还涉及很多方面,如分段决策、后续决策等方式,预测与决策的各种定性与定量分析的应用等,本文不再赘述。
4.风险对策
(1) 回避风险。回避一些可能给企业带来损失的经营业务与投资方案。如:拒绝向信用不佳的厂商提供信用业务;新产品在试制阶段遇到很难解决的技术问题,或者发现市场前景有可能发生逆转时果断停止试制;在投融资过程中,发现有投资可能收不回来的情况时,要采取果断措施收回投资,哪怕是受些损失及时收回也比血本无归为好。对于一些私营业主来说,因为法律保障人寿保险金不受企业清算时必须偿还债务的影响,为了规避企业破产可能带来的个人与家庭财产的损失,甚至沦落到“一贫如洗”的悲惨景况,为本人及家人投保人寿保险不失为一种规避经营风险的良方。
(2) 减缓风险。当风险无法回避时,可以设法减少或延缓风险的发生。如:在决策方案中优选期望值虽差不多,而风险系数比较小或方差较小的方案,以及在发生不可预见的情况下,及时采取替代方案;有些建设工程投资项目在客观条件不利的情况下,如按原定的投资时间及规模开工,还不如延缓,待条件具备或市场好转时再开工为好,那时,就果断地采取延缓措施,即使因延缓工程会带来一定经济损失,也是值得的。
(3)分散风险。典型的例子是:在金融、证券投资上进行品种、期限、币种的多元化组合,即所谓“不要把所有鸡蛋都放在一个篮子里”的做法,以及投融资项目中的“利益共享、风险共担”原则的运用等。
(4)转嫁风险。对有可能转移或转嫁出去的风险,采取如:与其是企业独自承担可能的市场与技术风险,不如企业把工程和产品零部件的生产制造转包给其他企业,从而把部分风险转移出去;利用套期保值交易的手段,通过在期货市场做套头买卖交易,规避企业因受外汇价格波动或重要原材料的供应价格变化可能带来的损失;向保险公司投保,购买商业保险、财产保险、职工人寿保险;保险与再保险等。
(5)接受风险。有些风险是与收益共生的,为了达到预期的收益目标,企业就必须在力所能及的范围内承担风险,如风险投资中,投资者对风险项目及风险型企业及风险企业家的选择;企业每月积存一笔应付事故的基金用于项目进程中发生事故时抵偿损失等。
(6)利用风险。在风险投资过程中, 风险投资者往往从众多项目中筛选出那些高风险、高收益、高增长潜力的项目进行投资,以及上述风险决策中通过计算机信息系统对未来事件的各种可能发展的客观状态进行概率估计和计算期望值,计算风险效用系数,在各种不同的方案中加以优选都是利用风险获得预期收益的典型例子。
(三)内部控制与企业风险管理
1.内部控制概念的演变
大致可划分为五个历史阶段:
第一阶段:上世纪40年代前,称为内部牵制阶段。
其主要特点是以任何个人或部门不能控制任何一项或一部分业务权力的方式进行组织上的分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。
第二阶段:40年代末至70年代,称为内部控制制度阶段。
1949年,美国会计师协会的审计程序委员会在《内部控制,一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中,对内部控制首次作了定义:
“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。”
1958年10月该委员会发布的《审计程序公告第29号》对内部控制定义重新进行表述,将内部控制分为内部会计控制和内部理控制。
内部会计控制包括组织规划和所有方法和程序,这些方法和程序与财产安全和财物记录可靠性有直接的联系。这些控制包括授权与批准制度、从事财务记录和审核与从事经营或财物保管职务分离的控制、财产的实物控制和内部审计。
内部管理控制包括组织规划和所有方法和程序,这些方法和程序主要与经营效率和贯彻管理方针有关,通常只与财务记录有间接关系。这些控制一般包括统计分析、时动研究即工作节奏研究、业绩报告、员工培训计划和质量控制。
第三阶段:80年代至90年代,称为内部控制结构阶段。
1988年美国注册会计师协会发布《审计准则公告第55号》(SAS55),从1990年1月起取代1972年发布的《审计准则公告第1号》。该公告首次以“内部控制结构”代替“内部控制”,指出“企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”。内部控制结构包括三个要素,它们是控制环境、会计系统、控制程序。
“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。”
第四阶段:进入90年代后,以上述《COSO内部控制整合框架》为代表,称为内部控制框架阶段。(引自朱荣恩:《内部控制评价》 中国时代经济出版社,2002年版)这是迄今为止对内部控制阶段的一般划分方法,其中很多概念和方法沿用至今。无论是内部控制结构阶段或内部控制框架阶段,内部会计控制始终是内部控制的基本和主体部分。
进入21世纪,由于内部控制的理论与实践的实质性的重大发展,笔者把它列为新的第五阶段。它以企业全面风险管理(CERM:Comprehensive Enterprises Risk Management)理论和COSO《企业风险管理整合框架》为代表,称为风险管理型内部控制体系阶段,是本文下面要重点阐述的内容。
这五个阶段并非后者否定前者,而是后者包容前者,不断继承发展的过程,无论是上面提到的内部牵制,还是内部控制制度,或者查错防弊、内部审计以及一系列内部会计控制的方法等,在风险管理型内部控制体系中都占有极为重要的地位。
2.风险管理型内部控制体系
风险管理型内部控制体系的理论与实践来自两个方面:一方面是由斯坦福大学研究院提出的全面风险管理(CERM:Comprehensive Enterprises Risk Management)理论,该理论着重在决策层面上管控战略方向选择、重大业务决策等方面的风险,侧重在战略层面上的风险管理,其表现形式是建立企业的全面风险管理概念性框架。另一方面,是以内部控制为中心的COSO风险管理框架——COSO《企业风险管理整合框架》,它强调通过制度、流程和财务等手段,在业务层面上管控运营、操作过程中的风险,侧重在操作层面上的风险管理,其表现形式是建立风险管理型的内部控制整合框架。
两者的有机结合,构成较为完整的企业全面风险管理体系。
COSO《企业风险管理整合框架》,在原先的《COSO内部控制整合框架》五个要素:(1)控制环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)监控的基础上, 发展成八个:(1)内部环境;(2)目标设定;(3)事项识别;(4)风险评估;(5)风险应对;(6)控制活动;(7)信息与沟通;(8)监控。从五个要素增加到八个要素,主要是体现了风险管理的要求,如其中:(2)目标设定,主要是战略风险目标设定;(3)事项识别,主要是风险事项识别;(4)风险评估;(5)风险应对;(6)控制活动,主要是风险事项控制活动。这八个要素相互关联,贯穿于企业风险管理的全过程中。COSO《企业风险管理整合框架》是一种三维结构。X轴是代表企业目标,有:战略目标、经营目标、财务报告目标以及遵循合法性目标;Y轴是代表内部控制各要素;Z轴是代表企业的各层次,如:企业整体层次、分支机构、业务单位和子公司等,表示其全面体现这三个维度的有机联系。下面通过风险管理型内部控制体系建设来具体讨论。
全面风险管理的层次如图1所示。
三、会计控制信息系统
(一)会计信息化的新阶段
会计信息化的早先名称是会计电算化,它起源于20世纪70年代末期、80年代初期。一般认为是以1979年长春第一汽车制造厂在有关部门支持下,进行电子计算机在会计工作中应用的试点作为开始标志的。随后,1981年8月,在财政部、机械工业部和中国会计学会的支持下,在长春第一汽车制造厂召开了财务、会计、成本核算管理中应用电子计算机专题学术讨论会,把“电子计算机在会计中的应用”简称为“会计电算化”,以后,逐步得到了社会的公认。在当时,主要解决的是以计算机代替手工记账、算账、报账的问题。经过近30年来的发展,有了长足的进步,从单纯的模拟手工的软件单项应用发展到系统应用,成为当前企业信息化的主要构成部分,其名称也从“会计电算化”转向“会计信息化”。它经历以下几个阶段:
1.初期试点阶段,20世纪70年代末期至80年代中期
其特点是将计算机用来记账、编制财务报表,计算工资、成本等单项应用,中央和地方的各主管部门组织所属单位的一些力量进行软件设计与在部门内的推广工作,计算机的软硬件水平相对都比较低,基本上是低水平的重复开发。
2.商品化软件发展阶段,20世纪80年代中期至90年代中期
其标志是1988年由财政部和中国会计学会组织的“会计电算化研究组”在吉林市吉林化学工业公司召开的全国首届会计电算化学术讨论会,提出了会计软件要走商品化和通用化的道路,建设商品化会计软件公司和发展软件市场的观点。20世纪80年代中期开始,一些商品化会计软件公司纷纷成立,开发并销售会计电算化应用软件,计算机的软硬件水平有了较大提高。
3.向管理软件发展阶段,20世纪90年代中期至21世纪初
其标志是1996年由财政部和中国会计学会组织的“会计电算化研究组”在北京召开的第二次全国会计电算化讨论会,提出了发展管理软件的观点,各商品化软件公司纷纷推出了自己的管理软件。随着互联网和现代化信息技术的发展和国际上从MRP、MRPII向ERP的发展及其进入中国市场,网络化的会计软件及作为ERP组成部分的系统得到很大发展,基本消除了会计信息与其他信息相割裂的“信息孤岛”现象,实现了信息的集成化。在此期间,计算机的软硬件水平有了很大提高,特别是随着市场经济的高度发展以及现代金融、证券、保险、期货等手段和金融衍生工具的层出不穷,对于广大企业来说,已不再是单纯的生产经营单位,投融资和资本运作集团的内部财务资金管理居于越来越重要的地位,集团财务管理以及控制决策软件大量涌现,出现了一批有一定实力的从事会计及企业信息化软件生产和销售的企业,初步形成了民族信息产业。
在此期间,会计信息化的理论研究及产学研相结合也得到很大发展。从2002年开始,全国性的会计信息化的年会至今已举行了六届,分别在上海、杭州、长沙、太原、合肥、重庆等高校举行,第七届全国会计信息化年会年内将在大连召开。
4.向风险管理型会计控制信息系统发展的新阶段
自21世纪中叶开始,是企业内部控制与风险管理紧密结合的阶段,同样对会计信息系统也提出了新的要求,使会计信息化向财务风险管理的会计控制方向发展,风险管理型会计控制信息系统与目前一般的会计信息系统有其不同的特点,表现在:
(1)与国际接轨。无论是风险管理及内部控制的理念、信息系统设计思想与方法均须按照全面风险管理的框架和COSO、COBIT的要求进行(注:COBIT是Controlled Objectives for Information and Related Technology的缩写,即信息及相关技术的控制目标。由ISACA——信息系统审计和控制联合会制订的基于IT治理概念的、面向IT建设过程的信息系统审计和评价的标准。它是西方发达国家总结了几十年来信息化建设的经验,将 “企业治理”的概念引入到信息化领域而提出的“IT治理”的概念的具体体现。信息化建设过程实质上就是一个对IT进行治理的过程,COBIT是对信息化建设成果的评价。按照系统属性可以划分为若干方面,如:对最终成果评价、对建设过程评价、对系统架构评价等,它将信息化建设的管理提升到了一个新的高度。引自“IT治理的重要参考标准-COBIT”http://www.amteam.org/k/ITSP/2004-3/474574.html);同时,也要符合我国企业走出国门,到海外上市等的要求。
(2)风险管理型会计控制信息系统作为风险管理型内部控制系统的主要组成部分,可以这样说,价值量的内部控制信息要占到企业全部内部控制信息量的70%以上,特别是在现代市场经济和国际金融高度发展的情况下,其所起的作用和重要性远非原有的会计控制在企业中的地位可比,会计的反映、监督的职能,特别是控制与参与决策的职能将达到极大程度的发挥。在新的条件下,会计信息化在企业信息化中的地位与作用也将发生巨大的变化,这是一种质的飞跃。
(3)由于战略风险管 理虽然其概念框架具有共性,但在不同的企业,其所处的内外环境很不相同,可能遇到的风险类型、风险偏好及风险应对上也是“因险而异”和“因企业而异”的,具有极大的不确定性。在信息系统的设计上就必然体现较强的个性化,这与从解决结构性问题着手,按会计制度严格规定的程序、方法进行记账、算账、报账的会计电算化发展起来的一般的会计信息化有本质上的不同。风险管理型会计控制信息系统更多的是解决半结构性问题和非结构性问题,需要“量体裁衣”、“看菜吃饭”,根据用户的不同需求及原来所用的计算机系统不同而不同,将是一种全新的系统设计。由初期的会计电算化个性软件的开发,发展到商品化、通用化会计软件的开发,又发展到新的更高层次的,面对不同企业需求的风险管理型会计控制信息系统个性化软件系统的设计与开发,符合 “否定之否定”的事物螺旋式上升的规律,是一种质的飞跃与进步。具体在下节展开讨论。
(二)风险管理型会计控制信息系统建设
风险管理型会计控制信息系统从会计的反映、监督、控制和参决策的职能来说,它既是一个相对独立的系统,又是企业风险管理型内部控制信息系统的一个重要和基本的组成部分,同样具有COSO《企业风险管理整合框架》中的八个构成要素,分述如下:
1.会计控制的内部环境
首先,它包括下列内容:
(1)董事会、监事会、及审计、预算、薪酬等专业委员会的组成,独立董事的构成,及他们在企业战略风险管理中发挥的作用。
(2)风险管理理念、风险偏好和应对方式,对会计和内审工作人员来说,就是有关财务风险、资金风险、投融资风险等的管理理念、偏好与应对能力与方式。
(3)员工的诚信与道德价值观,对会计和内审工作人员来说,就是“不做假账”和遵守会计、审计人员的职业道德。具有相应地从事财务管理、会计审计工作的专业资质及能力,以及掌握会计与审计信息化的能力。
(4)权利与职责的分配,如内部会计控制包括授权与批准制度、从事财务记录和审核与从事经营或财物保管职务分离的控制等。
其次,明确当前企业面临的监管环境。
(1)自2006年7月15日起,凡是在美国上市的外国公司都必须执行《萨班斯—奥克斯利法案》,中国在美国上市的公司当然不能例外,事实上,已有不少中国公司为了达到《萨班斯—奥克斯利法案》的要求,不惜花重金聘请外国公司为其设计内部控制体系。然而,有些并不理想,并不适合我国海外企业的需求和实际情况。因
此,对已经或准备到海外的上市公司,如何按照《萨班斯—奥克斯利法案》强化企业管理层评价内部控制体系有效性的责任要求,来为他们设计以会计控制为主的内部控制体系,既有重大的理论意义,更具有现实的应用价值,是一个很广阔的市场。
(2)2007年1月1日,与国际会计准则趋同的新会计准则在国内上市公司施行,新会计准则在会计事项的确认、记录和报告上与过去有很大不同,将对会计信息系统产生直接的影响。
(3)2007年3月2日,财政部会计司发布中国企业内部控制规范的征求意见稿,包括基本规范和17项具体规范,虽然还很不完善,但其中绝大部分的内容是属于会计控制的内容。
(4)2007年11月20日,国资委自2007年起,选择重点企业对管理级次在三级以下企业全级次上报财务决算报表试点工作,标志着将首次对中央企业的三级以下子公司实行直接监管。 这些监管环境的新变化,是重要的环境因素,必须认真考虑。
再次,根据前述的构建企业风险管理体系的要求,构建符合本企业特点的企业风险管理框架,其中包括企业财务与资金风险管理子框架。
2.目标设定
制定明确的战略和目标,明确风险管理组织结构及风险管理活动从董事会及各级负责人到每一位员工的相关责任。在企业战略目标及相关目标如利润目标、预算目标、财务指标目标等设定的基础上,鉴别可能影响战略和目标实现在经营管理、财务管理等方面的风险,并深入分析各个风险之间的内部联系,对风险偏好及风险可接受程度进行分析等。
3.事项识别
系统辨识企业面临的对经营、财务报告、符合性目标有影响的内部或外部风险事项、事项类别、影响因素及相互依赖性;在事项识别过程中识别技术的应用、风险与机会的区分等。
定义风险事项具体操作的步骤建议如下:首先由企业内有经验的管理人员组成一个管理团队。各部门经理向管理团队提交威胁本部门的所有风险报告,由管理团队成员从中选出每个人认为的十个最关键的风险,运用头脑风暴法、层次分析法等最终列出企业最关键的风险。第二步由管理团队对每一种风险加以讨论和投票。最后,得到最终的讨论计划,并据此派生出更多的管理行动计划(引自http://studa.net/qiyeyanjiu/070730/15320776-2.html)。
4.风险评估
在财务管理方面,主要有:投资风险评估;筹资风险评估;信用风险评估;合同风险评估等。
将辨识出的风险进行分析,评价风险对企业目标的影响,估计风险的可能性及程度,结合风险预警制度,与设定的控制范围相比较,以便及时发出不同颜色如黄色、橙色、红色、黑色等代表不同严重程度的风险警报。评估技术的应用:在风险评估过程中,要注意选择合适的评估技术,评估风险事件发生的可能性和频繁度,风险事件的潜在影响及其成本的高低,最后绘制一张风险地图。
评估风险事件的方法有很多,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析相结合方法,无论何种方法,共同的目标都是找出企业面临风险的程度及其影响,以及目前安全水平与组织安全需求之间的差距。
5.风险应对
根据风险带来的影响不同有8种主要对应方法:接受、减轻、增加、避免、降低可能性、减少结果、转移、利用,其中接受、增加、转移、利用更是积极地面对和驾驭风险的观点的体现。
6.控制活动
通过控制活动,调整风险地图,将风险尽量调整到企业的风险偏好以内。在降低和接受风险的情况下,估算这些控制活动所带来的成本费用、额外费用、保险费用以及回报
7.信息与沟通
指系统有高效的信息沟通渠道。信息系统应当有效地追踪企业当前正在发生的风险事项以及已经避免的风险事项。同时企业还要保证有及时的关于企业各个层面的风险管理报告。
8.监控
风险的数量和可能性会随内外部环境的变化而变化,需要持续的监控。监控可以使企业明确在下一步的风险管理中应当改进的问题,了解全面风险管理体系将给企业带来的利益与价值,控制成本费用;了解风险评估的正确性,为下一次的评估提供经验教训。
(三)内部会计控制常用的主要方法
1.组织规划控制
2.授权批准控制
3.全面预算控制,它也是企业风险管理型内部控制的一种主要形式。
4.会计业务控制
5.财产保全控制
6.人员控制
对经济工作的重要岗位员工(如销售、采购、出纳)建立职业信用保险机制,如签订信用承诺书,保荐人推荐或办理商业信用保险;工作岗位轮换和定期休假制度,通过轮换和安排人员顶替休假职工等手段,以及时发现存在的错弊情况等。
7.风险防范控制
8.财务报告和信息披露控制
企业对外的财务报表必须及时、正确和符合信息披露规范,单位领导人及总会计师对此负有责任,甚至法律责任。
9.内部报告控制
10.管理信息系统控制
包括两方面的内容,一方面是要加强对电子信息系统本身的控制;另一方面,利用信息技术和现代通讯手段建立对企业各方面的计算机控制系统,含内部会计控制信息系统。
与上述内部会计控制密切有关并相辅相成的是内部审计控制,它是内部控制的一种特殊形式,是对其他内部控制包括内部会计控制的再控制。从传统意义上说,企业设置的内部审计部门是对企业内部经济活动、财务会计和管理制度是否合规、合理和有效的独立评价机构。现代内部审计在风险导向内部审计的观念下,进一步参与到公司治理与风险管理中。如年度审计计划与公司最高层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划、全面预算计划相一致,帮助管理者发现并评价重要的风险因素,促进组织改进风险管理体系;评价并改进公司治理程序,对内部控制和公司治理的有效性作出评价报告;使用风险管理原则改变审核过程,实现以风险导向的审计(例如,在抽样审计中一般是以金额大小或业务重要性来决定抽取样本,并投入审计力量的;而在风险导向审计中则是以风险程度来决定抽取样本,并投入审计力量)。在风险导向的内部审计中,控制仍然重要,但分析、确认、揭示关键性的财务和经营风险,才是内部审计的焦点(引自http://zhidao.baidu.com/question/8616252.html?fr=grl) 。由于本文的侧重点在于内部会计控制,因此对于内部审计控制本文不再展开。
(三)案例研究
金蝶软件(中国)有限公司软件作为个性化管理软件的一个代表,提出了“强化内控与风险管理,升级集团管控平台”的理念,首先,他们总结了当前集团企业财务管理上的风险体现和企业管控面临的挑战。其次,提出了金蝶EAS的主动式风险内控体系和集团企业内部控制模型。
1.风险内控体系
(1)事前控制(预防性控制),包括:完善的标准化操作;严格的授权控制;数据实时大集中;资金集中管理;设计标准工作流程;对工作岗位及工作职能授权;通过预算来规范业务流程。
(2)事中控制(过程控制),包括:适当的职责分离;适当的信息记录和严格的审批级次;交易系统的实时集成;可视化工作流监控;自动预警平台;审批人记录;交易数据与财务数据实时互联;针对业务过程的精细化集中管理。
(3)事后控制(审计控制),包括:严密有效的业务分析;循环和定时、不定时的检查和审查;对单据及各种报表进行稽核,监督人员稽查各种制度的执行情况;适时调整;审计与统计分析,自动稽核;管理驾驶舱。
2.集团企业内部控制模型
集团企业内部控制模型如图2所示。
3.根据企业的不同情况,从不同角度实施管控
(1)基于全面预算的绩效管控。
(2)从集团资金集中控制来加强财务和资金管控。
(3)企业运用系统所具有的数据库及分析工具和有关配置,开展战略分析和业务主题分析,进行运营评估和动态监控,来实施内部控制。
(4)企业运用信息平台中实时的管理驾驶仓进行监控。
不论从哪点出发,都尽可能结合企业的实际情况和需求,充分利用原有资源,实现平台平滑升级,达到风险管理和内部控制的要求。
(引自金蝶国际软件集团公司与中欧工商学院等举办的“2007年中国企业管理高峰论坛”上奉继承的专题报告,2007年11月30日)
四、对策建议与进一步研究方向
(一)对策建议
鉴于我国与企业信息化有关的商品化软件公司多数是从会计电算化软件发展起来的,有与财务会计领域的价值量控制天然联系的优点,所以,从会计控制(如:全面预算管控、集团资金集中管控、投融资风险管控、财务与资金风险管控、IT商业分析等方面)出发发展到企业整个风险管理型内部控制体系的设计,有它的便捷和独到之处。如案例中金蝶软件(中国)有限公司为不同企业进行个性化的软件设计,都是在原有信息平台上进行扩展、改良而得到的,不需要“推倒重来”、“另起炉灶”,效果明显,容易为广大企业所接受。但是由于我国生产的软件环境与西方发达国家又有很大不同,长期以来我国的会计核算体系和会计准则、制度,以及会计软件的设计与评审标准也都与他们有很大不同,这是弱点的一面。所以,要真正作到与国际接轨和进一步趋同是很不容易的。特别是我国的企业要走出去,参与国际竞争更是如此。“任重而道远”,单是我国的风险管理型内部控制软件必须符合COSO《企业风险管理整合框架》和COBIT对信息系统质量控制以及信息治理的要求这一点上,就需要理论和实际工作者付出极大的努力,找出差距,迎头赶上。为此,我们将与有关软件公司紧密合作,共同努力来提高风险管理型内部控制,特别是会计控制软件的水平。
正如上文说到,在不同的企业,其所处的内外环境很不相同,可能遇到的风险类型、风险偏好及风险应对上也是“因险而异”和“因企业而异”的,具有极大的不确定性。在信息系统的设计上就必然体现较强的个性化,要根据用户的不同需求及原来所用的计算机软硬件系统的不同而有所不同,这将是一种面向用户需求的非通用化的系统设计。首要的是摸清企业的需求,以及所具备的条件,因势利导。所以,我们将寻找有这方面需求的企业,与其合作,以企业管理咨询为切入点,开展面向用户需求的个性化服务。
发挥会计信息化专业委员会的作用和联合作战的团队精神。建议本届全国会计信息化年会将本课题列入会议的一个重点讨论课题,同时,有条件时列入下届年会的选题,组织力量展开研究。
(二)开展多方位、多层次的研究
1.多方位的表现在
(1)通过研究,进一步提供有关部门制订政策、法规、制度的参考建议。
(2)满足企业:对建立内部控制体系的要求;企业风险管理的要求;企业“走出去”、“海外上市”等对符合SOX法案和COSO框架的要求。
(3)满足软件公司:系统设计的要求;IT治理的要求。
2.多层次表现在不同层面的子课题研究
(1)理论层面,如:适合我国国情的企业全面风险管理体系的理论研究;企业内控体系的理论基础研究;风险管理型的内部控制与会计控制、内部审计关系研究等。
(2)系统设计层面,如:风险管理型的内部控制信息系统设计思想与框架,特别是风险管理型的会计控制信息系统设计思想与框架研究;风险管理型的会计信息流控制,控制点的设置,实行流程化管理的研究等。
(3)系统实施与操作层面,如:会计信息系统如何适合COSO和COBIT的要求研究;内部控制评价报告问题等。