【摘要】 本文圍繞會計控制與會計信息化在新形勢下的發展,從論述風險與風險管理入手,指出了在市場經濟條件下,風險不僅僅是一種可能遇到的給企業帶來經濟損失的危險,更重要的是獲得經濟利益的一種機會,企業除了要規避和防范風險外,更重要的是要有適應風險、駕馭風險的能力,從而由對待風險的消極避讓轉向積極應對,為企業的發展謀求最大利益。在此基礎上筆者研究了企業全面風險管理體系建設問題;探討了內部控制概念的演變、新形勢下的企業內部控制體系,重點論述了會計控制體系問題;提出了會計信息化的新階段應是建立以會計控制為主體的風險管理型內部控制信息系統的觀點;最后提出了對策建議和進一步研究的方向。
【關鍵詞】 風險管理;內部控制;會計控制;信息系統
一、緒論
(一) 研究背景、目的及意義
1.隨著企業信息化的發展,信息技術與經濟業務的不斷融合,所有企業經濟業務的發生都離不開信息技術平臺
會計信息化是企業信息化的重要組成部分,研究會計信息化的定位應當從會計所處的信息化環境出發。無論是企業信息化,還是會計信息化,都是基于Internet、 Intranet和 Extranet 的互聯網基礎上的,企業的經營活動則是在網絡經濟的基本形式——電子商務及隨之發展的網絡財務、網絡會計和網絡審計的運行環境中進行的。企業的財會信息是企業最為重要的管理信息。可以說,沒有財會信息這種價值量的連續、綜合和系統的信息,一切管理信息都是不完整和不完善的,沒有財會信息的網絡化,也就沒有企業信息的網絡化。當今世界,會計信息系統(AIS-Accounting Information System)作為企業資源計劃(ERP-Enterprise Resource Planning)的一個重要的子系統,與各業務子系統實現了高度的信息集成。以EPR為代表的企業信息化的重要特征就是供應鏈管理和信息的高度集成,而會計信息化提供的正是供應鏈管理中連續、綜合和系統的信息,反映與控制的是整個供應鏈中資金的信息流,相對于物質的信息流這是更重要的信息流,它控制著物流,影響著資本的保值與增值,以及企業內外部信息使用者的需要。(引自金光華“在企業信息化環境中的會計信息化定位研究”《中國管理信息化》2005年第2期)因此,會計信息系統所反映和監督的資金流動及其信息流,控制著業務信息系統的物質流動及其信息流。會計信息系統反映、監督和控制、參與決策的職能正是企業內部控制職能的主體部分。
當前,企業內部控制問題已經成為國內外關注的熱點問題。但是,人們卻對基于信息技術的企業內部控制問題,特別是基于信息技術的風險管理型的企業內部控制及其解決思路缺乏研究與對策。這與當前經濟發展形勢不相適應。同樣,研究內部控制問題,也不能不研究它的主要方面——會計控制問題,本文正是從基于信息技術的風險管理型會計控制角度來研究內部控制的。
根據美國上市公司的調查資料(見表1),表中列出的內部控制,主要是會計控制的一些主要方面:收入確認、固定資產、財務報告和結賬、采購付款、人力資源(工資和福利費用)、公司層面的控制、信息技術控制等,其中信息技術控制的缺陷占據了內部控制缺陷的最大比例。因此,從信息技術角度看,與其說是解決企業內部控制問題,不如說是解決基于信息技術的企業內部控制問題,主要是企業內部控制信息系統的整體框架、體系問題,而企業內部控制中大量和基本的是屬于會計控制方面的事項。正是基于這樣背景,有必要對基于IT環境的企業內部控制信息的體系,重點是會計控制信息體系進行研究。 www.kuaijilunwen.com 會計論文
2.國際背景
從國際背景看,財務報告舞弊是一個全球性的問題,而會計數據造假則是不法分子,主要是心懷不軌的公司管理層進行財務欺詐、財務報告舞弊的主要手段,通過所提供的失真的會計數據,經過信息系統加工處理而發布的虛假財務會計信息,欺騙投資者和社會公眾,其直接后果就是造成社會財富的非公平轉移和廣大投資者的巨額損失。筆者發表于《上海立信會計學院學報》2007年第6期上的文章“財會信息系統中原始數據失真問題研究”中提到:“財務會計領域中,許多財務舞弊案件是由于財會信息系統加工的原始數據失真所造成的,而且其中多數是公司管理層蓄意造假的故意行為,而并非是信息系統本身出了什么毛病。”文章根據舞弊理論分析了造成原始數據失真的原因。面對非故意行為與故意行為,研究了技術與非技術層面的對策措施,特別是針對公司管理層蓄意造假的故意行為提出了相應的對策。”在對策中的一個重要內容就是:“加強公司治理和內部控制,加大公司的財務報告責任和財務披露義務。”
國際上,為了應對日益猖獗的會計造假和財務報告中的舞弊,1985年,由美國注冊會計師協會(AICPA)、美國會計協會(AAA)、財務經理人協會(FEI)、內部審計師協會(IIA)、管理會計師協會(IMA)等聯合創建了反虛假財務報告委員會(通常稱Treadway委員會)。該委員會目的在于針對財務報告中的舞弊(會計控制的重要方面),分析其產生的原因及解決辦法。1987年,基于該委員會的建議,成立了COSO(Committee of Sponsoring Organization-發起組織委員會),專門研究內部控制問題,發布了《COSO內部控制整合框架》。該框架自發布以來,得到了廣泛認可,并在多數國家應用。在應用過程中,理論界和實務界對其提出了一些改進建議,特別是強調內部控制整合框架的建立應與企業風險管理相結合。(引自http://sanyoh.googlepages.com)
2002年美國國會針對安然、世通等財務欺詐事件,出臺了《2002年公眾公司會計改革和投資者保護法案》。該法案由美國眾議院金融服務委員會主席奧克斯利和參議院銀行委員會主席薩班斯聯合提出,又被稱作《2002年薩班斯—奧克斯利法案》(簡稱薩班斯-SOX法案)。法案對美國《1933年證券法》、《1934年證券交易法》作了不少修訂,在公司治理、證券市場監管,特別是會計職業監管和加強審計獨立性等方面作出了許多新的規定。薩班斯法案更要求上市公司全面關注風險,加強風險管理 ,在客觀上也推動了內部控制整體框架的進一步發展。與此同時,COSO委員會也意識到《內部控制整合框架》沒有從企業全局與戰略的高度來關注企業風險,是不足之處。
正是基于這種內、外部的雙重因素,2003年7月,美國COSO委員會根據薩班斯法案的相關要求,頒布了“企業風險管理整合框架”的討論稿(Draft), 2004年9月又正式頒布了《企業風險管理整合框架》(COSO ERM --Enterprise Risk Management),在《內部控制整合框架》的基礎上,從企業全局與戰略的高度來關注企業風險,對風險管理型的企業內部控制問題提出了整合框架,因此它是COSO委員會最新的內部控制研究成果
1050747.htm)。對于我們致力于會計信息系統的理論研究和實際工作者來說,研究風險管理型的企業內部控制問題,特別是會計控制問題,并體現到會計信息系統的設計和應用上是責無旁貸的。
除了上述以美國為首發布的法案等以外,各國及其他相關組織也相繼出臺了公司治理與內部控制的標準規范,如加拿大特許會計師協會(CICA)的《控制指南》,內部審計師協會(IIA)的內部審計標準委員會(IASB)制定的“內部控制指南”等,林林總總,不一而足。
3.國內背景
從中國情況來看,同樣,我國的上市公司財務報告舞弊事件也層出不窮,而且有與國外不同的特點。自1996年起,國務院、財政部等陸續頒布了一系列的內部控制評價準則和規范(相當一部分屬于會計控制和審計方面)。而2007年3月財政部會計司《企業內部控制規范——基本規范》和17項具體規范(征求意見稿)作為企業建立健全內部控制制度的基礎依據和基本參照,是到目前為止有關企業內部控制規范的最新文本,該征求意見稿經進一步修訂與完善后,將作為正式文件公布。
上述文件雖然從不同側面對內部控制問題作了若干規定,但總體來說,如何從信息系統的角度來實現這些準則和規范,則比較欠缺。
4.從其現實意義來說
(1)是發展市場經濟,實行公司治理和加強內控的需要。溫家寶同志在十屆全國人大四次會議上作《政府工作報告》時強調,要“完善公司治理,健全內控機制”。所謂公司治理,狹義的角度是指所有者主要是股東對經營者的一種監督與制衡機制,即通過一種企業組織和制度安排,來合理地處理所有者與經營者之間的權利與責任關系。廣義的角度則是指有關企業控制權和剩余索取權分配,包括法律、文化、組織等手段在內的一整套制度安排。從公司治理與內部控制的關系來說,公司治理是內部控制的組織保證,其職責就是確保內部控制方案的適當性及內部控制的有效實施。而內部控制則是公司治理的核心和關鍵環節,它使公司治理落到實處。
“完善公司治理,健全內控機制”是構成市場經濟的各個細胞正常地運作,使市場經濟得到健康發展的必要條件。
(2) 是企業風險防范控制的需要。企業在市場經濟環境中,不可避免地會遇到各種風險。企業的各級管理人員首先要樹立風險意識,同時要針對各個風險控制點,建立有效的風險管理系統,實行流程控制。通過風險識別、風險預警、風險評估、風險報告、風險規避、風險防范等措施,對財務風險和經營風險等進行全面防范和控制。在企業風險防范控制方面,公司治理是組織應對風險的戰略反應,公司治理本身就包含一些戰略性的內部控制的因素(引自http://zhidao.baidu.com/question/8616252.html?fr=grl)。而內部控制的首要任務是搞好企業風險防范控制,其目的就是要保證企業在充滿風險的市場競爭中立于不敗之地,以盡可能小的代價和犧牲獲得最大的成果和收益。
風險防范控制是企業一項基礎性和經常性的工作,企業內部控制機構中應當有專門從事風險評估和控制的部門或崗位,負責有關風險的識別、預警、報告、規避和防范等工作。
(3)是我國企業參與全球競爭、走出國門的需要。胡錦濤同志在黨的十七大上的報告中提到:堅持對外開放的基本國策,把“引進來”和“走出去”更好地結合起來,擴大開放領域,提高開放質量,完善內外聯動、互利共贏、安全高效的開放型經濟體系,形成經濟全球化條件下參與國際經濟合作和競爭新優勢。深化沿海開放,加快內地開放,實現對內對外開放相互促進。創新對外投資和合作方式,支持企業在研發、生產、銷售等方面開展國際經營,加快培育我國的跨國公司和國際著名品牌。特別提到要注重防范國際經濟風險。
因此,我國企業要走出國門、參與全球競爭,或者要在海外上市,就必須了解薩班斯法案、 COSO的有關規定和國際會計準則、上市規則。對企業的審計要求,研究國際環境下風險管理型的企業對內部控制的要求等。
(二)研究要達到的目標
1.跟蹤和收集國內外的有關文獻、案例與實證研究資料,比較研究我國及其他國家發布的有關法案、規范、制度和規定;
2.立足國情,實行創新,提出既與國際接軌的,又適應我國企業現實的風險管理型企業內部控制,特別是會計控制的理論體系;
3.重點是基于IT環境,落實在風險管理型企業內部控制信息系統的設計與實施,特別是會計控制信息系統的設計與實施上;
4.發表有關學術論文和著作。
(三)研究方法
1.規范研究與案例分析、實證分析相結合;
2.定性與定量分析相結合;
3.尋找戰略伙伴,成立聯合課題組:(1)與企業相結合,特別是準備“走出去”和“海外上市”的企業,協助它們設計與建立與國際接軌的基于信息技術的風險管理型的企業內部控制,特別是會計控制體系;(2)與軟件公司相結合,協助它們設計與完善基于信息技術的風險管理型的企業內部控制(含會計控制)通用/專用軟件系統。
(四)主要內容
本文第一章緒論部分,介紹了課題研究背景、意義、目標和研究方法;第二章從論述風險與風險管理入手,分析了風險與風險管理的定義、重點放在企業可能遇到的風險及其對策上,提出了在市場經濟條件下,風險不僅僅是一種可能遇到的給企業帶來經濟損失的危險,更重要的是一種獲得經濟利益的一種機會。從某種意義上說,企業的成長與發展是不斷適應風險、控制和利用、駕馭風險的結果。提出企業要由對待風險的消極避讓轉向積極應對,在與風險的搏擊中為企業的發展謀求最大利益的觀點,這也是本文討論風險管理型內部控制體系建設的基本出發點;第三章圍繞會計控制與會計信息化在新形勢下的發展,提出會計信息化的新階段就是風險管理型會計控制信息系統的建設。其特點首先是與國際接軌,必須符合COSO對風險管理型內部控制的要求,以及COBIT對信息系統評價和治理的要求。其次,作為風險管理型內部控制主體部分的會計控制系統更多的是解決半結構性問題和非結構性問題,需要“量體裁衣”、“看菜吃飯”,根據用戶的不同需求及原來所用的計算機系統不同而有所不同,這將是一種個性化全新的系統設計,也是本文對風險管理型會計控制體系建設的基本觀點,該章還以金蝶公司在這方面所做出的嘗試作為案例展開討論;第四章提出了對策建議與進一步研究的方向。
二、風險管理與內部控制
(一)風險與企業風險
首先,什么是風險?
“風險”一詞,早已有之。古時候,漁民們在出海捕撈打魚的生活中,最大的危險來自大海的風暴,所以,沿海地區眾多的媽祖廟、觀音殿也都是人們祈求大海風平浪靜,保佑平安的一種精神寄托。在漁民的眼光中,“風”即意味著“險”,因此在遠古時期就有了“風險”的說法。 另一種說法是風險(RISK)來自拉丁語,也有的說來自阿拉伯語、西班牙語,但比較權威的說法是來源于意大利語的“RISQUE”一詞。在早期的運用中,也是被理解為客觀存在的危險,體現為對人們生活帶來不利影響的自然現象或者航海遇到礁石、風暴等不測事件(引自http://baike.baidu.com/view/156901.htm)。
現代意義上的風險一詞,不僅僅包含上述的一些傳統意義上的理解,而且在概念上得到了極大的發展,首先它是與客觀事物的不確定性緊密聯系在一起的一種概念。如《中國大百科全書——經濟學》一書中,對風險的定義是:“由于當事者主觀上不能控制的一些因素的影響,使得實際結果與當事者的事先估計有較大的背離而帶來的經濟損失”(《 中國大百科全書出版社,1988年版,P165-166)。請注意,在這里風險是與損失聯系在一起的概念。大家知道,客觀事物的不確定性不是當事者的主觀愿望所能避免的,正如有一句名言所說的那樣:“世界上唯一能確定的事物是它的不確定性”,又由于客觀事物的不確定性是無時無刻都始終存在著的。所以,只要存在著客觀上的不確定性,就有可能碰到未能預見的結果,所謂“事與愿違”;而且還可能遭受破壞或損失,甚至對生命和財產構成危險。可以這樣說,客觀世界中,風險是無時不在,無處不在的。
其次,企業風險是企業在市場經濟激烈競爭的內外環境中所可能遇到的各種風險,如:市場風險、產品風險、投融資風險、經營決策風險、財務風險、兼并風險、股市風險、借貸風險、擔保風險、政策風險等,稍有不慎,就會遭受損失,甚至遭受破產的威脅。我們在這里研究的不是一般意義上的風險,而是針對企業的風險,主要是財務風險和經營風險及企業風險管理問題。
進一步講,風險又是與企業獲利機會密切相關的一個概念。從某種意義上說,風險就是會給企業帶來收益的機會。要想得到收益,也就必須承擔必要的風險,要想得到較大的收益,也就必須承擔較大的風險。從現代投融資管理理論來說,與上述僅僅將風險與損失聯系在一起的觀念有很大不同的地方,在于傳統意義上的風險(Risk)指的不確定性,僅僅是一種損失和失敗的可能性,沒有主動成份;而現代意義上的風險所指的不確定性,除損失和失敗的可能性外,更有冒險(Venture)、敢于創新的意思。
例如風險投資(Venture Capital),它從廣義上講是指向風險項目的投資。根據國際經濟合作和發展組織(OECD)的定義為:向以高科技和知識為基礎,生產與經營技術密集的創新產品或服務的投資。從狹義上講是指向高風險、高收益、高增長潛力、高科技項目的投資。根據美國全美風險投資協會的定義:風險投資是由職業金融家投入到新興的、迅速發展的、有巨大競爭力的企業的一種權益資本。風險投資既不是單純意義上的風險(Risk),又不是單純意義上的投資(Investment)。它不僅指人們從事經濟活動時所伴隨的不可避免的風險,還指一種主動地承擔風險的行為。在這里,風險與收益聯系在一起,而且收益與風險成正比。風險程度越高,其可能帶來的收益也就越大,除了無風險收益的因素以外,風險收益的大小往往成為投融資方案取舍的依據。從投資風險價值(Risk Value of Investment) 的涵義來說,它是指投資者由于敢冒風險進行投資而獲得的超過資金時間價值的額外收益。因此,在不考慮通貨膨脹的情況下,投資收益率=無風險投資收益率+風險投資收益率。風險大小的計量,通常是采用數學中的概率計算和統計方法得出,包括報酬率期望值、標準差的指標等。
因此,從現代市場經濟的觀點來看,風險不僅僅是一種可能遇到的危險,更重要的是獲得利益的一種機會,企業除了要有風險規避和防范的本領外,更重要的是要有適應風險、駕馭風險的本領,敢于和善于在充滿風險的市場經濟激烈競爭的風浪中搏擊,進行風險目標設定、風險評估和風險對策,從而由對待風險的消極避讓轉向積極應對,為企業的發展謀求最大利益。從某種意義上說,企業是依靠風險而存在并發展的。 這也是本文對待風險的主要觀點和設計風險管理型的企業內部控制體系,特別是會計控制體系的重要出發點。
(二) 企業風險管理
1.企業風險管理定義
風險管理是企業通過對風險進行識別、分析和評估,設計并實施風險管理解決方案,運用合理的經濟和技術手段對風險予以回避、減緩、分散、轉嫁、接受、利用等風險對策,以最小的成本獲得最大安全保障,并進一步利用風險來獲得利益的一種管理行為(就像戰爭中的一個基本原則“保存自己,消滅敵人,爭取勝利”那樣),也是對風險管理解決方案實施進行監測,使企業達到其戰略目標的一種管理過程。
風險管理是現代企業最本質的核心競爭力;是現代企業制度建設的重要內容;是現代企業可持續性發展的基本保證(引自http://studa.net/)。
2.企業風險種類
按來源分類,我們可將風險歸結為兩大因素:
(1)與外部經營環境有關的風險因素:主要來自宏觀環境、監管機構、競爭對手、新技術新工藝、金融市場、政治法律、社會文化等,如:市場風險、外匯風險、利率風險、購并風險、自然災害風險、政策風險、訴訟風險、國際形勢風險等。(2)與企業內部環境有關的風險因素:主要來自戰略及決策、經營及管理、人員誠信、管理信息等,如:產品風險、經營風險、合同風險、債務風險、投融資風險、體制風險、人事風險、擔保風險、資金風險等。
3.風險決策
風險決策是針對不確定性事件的決策。根據決策論的原理,通過計算機信息系統對未來事件的各種可能發展的客觀狀態進行概率估計和計算期望值,在各種不同的方案中加以優選。首先將各個方案的期望值計算結果與設定的目標相比較,然后從中優選相對風險較小而期望值較大的方案。這里有單一目標決策和多目標決策問題,也有決策者對風險態度的效用曲線(Utility curve)的應用,或叫做風險偏好問題。
因為決策者的社會地位、資歷與經驗和所處決策環境的各不相同,同樣的風險在抱有不同態度的管理人員面前,其對風險程度的主觀評價和接受與否的態度是大不一樣的。有的人敢冒大的風險去獲取大的利益,遭受大的損失也在所不惜,而有的人為避免遭受大的損失,寧可放棄一些風險大的方案,因而可能失去較大利益。就前者而言,他們在心理上對利益敏感,對損失相對不怎么敏感,接受風險的能力較強,失敗時遭受損失的可能性也較大;就后者而言,他們在心理上對損失敏感,所做的決策以少受最好不受損失為前提,接受風險的能力較弱,失敗時遭受損失的可能性相對較小。這時,同樣的風險程度對不同風險偏好的人就有不同的效用系數,這在有些銀行所做的對其顧客在具有不同風險程度的理財產品間選擇的調查中很明顯。
然而,客觀事實也不盡如此,不一定敢冒風險的人,遇到損失的可能性比不愿冒風險的人來得大。在商戰中同樣用得上戰場中的一句話,叫“狹路相逢勇者勝”,例如,為了避免多進貨可能賣不出去,造成庫存積壓的風險,經銷商“該進不進”, 結果喪失了市場銷路火暴時獲得大利的機會,這同樣是一種損失,叫機會損失,比萬一賣不出去造成的庫存積壓帶來的損失要大得多;或者美元持有者做美元理財產品,明明看到美元相對于人民幣在貶值,但為了避免將美元換成人民幣所帶來的結匯損失和放棄美元理財產品的美元利率損失,而采取觀望態度,繼續保持美元,“該出不出”,結果美元理財產品到期日,美元對人民幣的匯率大幅下跌,就可能不僅區區的美元利息無法彌補,而且跌進了肉里,使得許多美元持有者叫苦不迭。這時,對風險采取保守態度的人來說,恰恰是也有可能是遭受更大損失的人。所謂“發展是硬道理”,在企業發展過程中,抓住機遇,迎難而上所遇到的風險往往要比不努力發展、墨守成規所遇到的風險來得小,容易克服,這在我國曾一度十分輝煌的手表行業的跌宕起伏的事例中可見一斑。
