厦门大学　颜　艳　　福州大学　杨　琦


20世纪90年代以来，价值链理论逐渐融入到企业运营中，并改变了企业原有的组织和业务模式，使得企业呈现出业务流程化、组织扁平化、信息共享化等特点。同时，这一理论也影响到企业内部控制模式。
一、价值链理论对内部控制要素的影响
（一）内部环境　在价值链理念下，首先，随着业务的流程化，企业内部“金字塔”式的控制体制为各种类型的流程小组所取代。流程小组具有相对独立性，拥有一定的事务管理权、决策权，是企业实行自我管理、自我控制的基本单元。自我控制使每一个员工把行为目标和行为过程统一起来，员工在被赋予更多权利的同时，也承担了更多责任。其次，员工是价值的创造者。企业价值链的锻造不仅要有信息技术的支持，更重要的是员工态度、观念的转变。而改变员工观念的关键在于企业人力资源政策的引导以及注重员工技能的培训，并通过企业文化的建设，统一员工的思想、让价值观念深入人心。
（二）目标制定　在COSO（反对虚假财务报告委员会）所描述的四个目标中，战略目标是其他四个目标的基础，是高层次的目标。在价值链理念下，管理者应根据企业的使命和风险偏好制定战略目标，选择战略并确定与之相关的经营、报告和合规目标，并在企业内各流程间进行分解和落实，确定流程目标，确保各流程小组的行为符合企业的最终战略。
（三）事项识别　COSO指出企业经营存在不确定性，管理者应识别影响目标实现的两类事项，即风险与机遇。价值链的风险来自多个方面，除了内部人员误操作风险、舞弊风险之外，还有与合作伙伴的合作风险。依据COSO的《企业风险管理——整合框架》（ERM）所提出的四项目标将战略联盟风险可以分为战略风险、运营风险、报告风险与合规风险。战略风险包括革新风险、产品/服务失败风险等五项；运营风险主要是与企业资源的有效使用相关，涉及供应风险、质量风险、协调风险、财务困境风险等八项；报告风险与企业的报告的可靠性相关，包括确认与评估风险、目标不一致风险；合规风险主要涉及企业是否遵循相关法律法规；这些风险的识别为风险评估提供了基础。
（四）风险评估　风险评估是通过考虑风险的可能性和影响来分析风险，并决定如何进行管理，主要基于固有风险和剩余风险。相关研究发现，对于不同类型的合作伙伴（上游合作伙伴、下游合作伙伴、营销合作伙伴与研发合作伙伴）、每一类风险发生的幅度与概率不同。但是对于所有合伙类型，合规与管制风险都被评估为高度可能，而且一旦发生就会对企业造成巨大不利影响。而且，诸如产品/服务失败、输入供应、财务生存力和质量履行这些风险发生可能性较高且影响较大，说明对有效控制机制需求的增加。超越范围风险，即从事不包括在最初合伙关系范围内的活动的风险，是最不可能发生的风险。在所有合伙类型中，财务承诺风险也被评估为发生概率低且影响低。随着企业外延的不断扩大，与供应商、顾客尤其是在联盟企业间的价值链环环相扣，任何一个环节出现问题，都有可能引起整个价值链的崩溃。伙伴企业间的这种紧密联系扩大了内部控制的范围，使得每个企业的内部控制不能只满足于内部的风险管理，还必须充分意识到外部企业所带来的风险。
（五）风险反应　COSO提出管理当局应选择有效的风险反应，即规避风险、承受风险、降低风险或共担风险，采取一系列活动将风险控制在企业的风险容忍度之内。各流程和作业的性质以及重要程度不同，可能采用的风险应对方式也不同。而流程结构与作业的改革也会有效地规避某项流程或作业风险，或者同时降低合作企业双方的风险。
（六）控制活动　控制活动是指为实现内部控制目标、对确认的风险所采取的政策与程序。价值链管理要求从顾客价值或企业价值的角度，辨识每项控制活动是增值、非增值或是浪费，在信息技术的支持下、风险的可容忍范围内减少一切不必要的控制程序，提高企业流程的效率。此外，还要建立客户、流程、个人的业绩评价体系，且业绩评价和报酬不再单纯地以利润为标准，而是根据所创造的价值来衡量。
（七）信息与沟通　信息与沟通是指企业在其经营过程中识别、捕捉内外部的信息，并在组织内进行交流、沟通，以使员工了解、执行其职责。以现代信息技术为技术平台的价值链理论的应用既给内部控制带来了方式的变革，也带来了新的问题。在企业内部，各流程及流程内的各项作业不再是单纯的以直线顺序方式进行，而是转向强调相互协调、强调沟通的并行工作方式，因此企业内部控制也从顺序式转向并行式，使得设计、销售、生产等各流程的工作人员共同控制企业的物流、价值流。另一方面，随着企业的业务外包和战略联盟，企业的信息系统实行了前后端一体化、客户一体化。系统的开放性、数据的共享性和信息的分散性使得系统的安全性和信息的可靠性成为加强企业间沟通所要面对的问题。
（八）监控　监控的方式主要有持续监控和个别评估。内部审计是监控的主要手段。 “内部审计活动应通过评估控制的效果和效率、促进持续改进来帮助组织维持有效的控制”。Gupta对内部审计最佳实务进行了描述，他认为内部审计和供应商审计应有助于管理层在问题变得严重前了解潜在问题、识别流程中失败点以便相关股东能及时采取修正措施、确定流程中控制的有效性。他提出最佳的供应商审计或内部审计包括五个步骤：制定进度表、计划、管理、报告和验证。在制定进度表时，应包括审计时间、主审人员、被审流程及流程经理应提供的各种资源与文件；在计划阶段，应详细列明审计范围、目标与日程安排；在管理阶段，主审人员管理与沟通审计计划的变动，并与所有股东沟通审计进展；股东收到书面的审计结果，报告所发现的违规情况；验证阶段，流程经理在同意的日期前对审计的违规情况作为反应，包括探究其根本原因、提出改正建议和完成日期，主审人员则评价这些反应以决定探究与建议是否充分，在改正措施已执行后，审计人员验证这些执行情况及违规的根本原因是否消除。
二、构建基于价值链理论企业内部控制模式
内部控制应当是组织控制、制度控制和信息技术控制的综合，这三者相辅相成，密不可分。另一方面，内部控制又应当以价值运动为主线、以业务流程为中心，面向具体的作业环节。
（一）组织维度　组织是为了实现一定的共同目标，企业中人与人之间的责、权、利的安排。其一，确定为实现企业目标而需要设置的各流程小组，明确其中的关键性流程小组。其二，明确每个流程小组处于工作流程的环节，或者在价值链中的地位；分析小组在执行任务过程中会遇到的风险类型及大小，初步评估流程小组面临的风险，并进而确定关键控制点。其三，确定流程小组的工作目标，明确小组的投入与产出；从是否有利于顾客价值创造的角度，合理安排具体作业以及相应的任务，减少作业链中不必要的检查、监督活动；确定并分配与作业相关联的各岗位的职权与职责，定义好岗位间的关系；在人事安排上按照作业的性质、特点安排具有相关知识技能的员工，建立岗位责任制。其四，在进行业务流程分工的时候应在尽量减少流程间接口的同时，注重组与组之间衔接性作业的权责安排，对衔接性作业安排一定的职能交叉与重叠。其五，分析并确定职能服务部门在价值链中的地位、作用，明确职能服务部门的职责、职权及其与各流程小组间的关系。其六，构造企业文化，提高员工的素质，培养员工的忠诚度。
（二）制度维度　制度是通过制定一系列的规则规章来规范人员的行为，是约束机制与激励机制的集合体。（1）建立操作制度，主要涉及硬件和软件操作两项内容，具体规定每一流程、每一作业、每一任务下员工对系统的操作步骤，明确员工的操作权限；同时考虑正常与非正常或突发情况下不同的操作要求。（2）会计档案管理制度是为了保证会计软件、源程序、文档资料安全所采取的各项措施的规定，如借阅登记、档案的防火、防潮、防磁等。（3）建立作业预算制度，首先确定企业目标并将其分解到各个流程和流程小组上；然后根据目标确定每一流程小组需要完成的作业量；再根据每一单位作业的资源消耗情况生成流程小组预算、流程预算、企业预算。建立业绩评价制度，确定每个流程要达到的工作成果，保证要达到的成果对企业价值有直接的贡献；通过职位分析，制定岗位说明书，明确各个岗位的工作成果；站在是否有利于提高顾客价值的角度确定各个岗位绩效衡量的定性或定量方法和标准；根据实际流程情况、作业情况做出评价；制定相应的奖惩办法，采用货币或非货币性的补偿方案，将员工的报酬与流程业绩、作业绩效相联系，以激励员工把个人目标和企业目标统一起来。（4）建立供应链绩效评价体系，采用能恰当反映上下节点企业之间运营关系的指标，如交货时间、产品质量、成本、循环周期等对供应链绩效进行评估；并据以对企业与企业间的合作关系做出评价；与企业战略相配合，制定供应链激励机制，采用价格、信息、订单、淘汰等多种激励手段，增进与优秀企业的合作，剔除不良企业，管理与防范合作风险。
（三）信息技术维度　其一，对员工作业权限程序化。通过程序中授权表明确规定每个用户的安全级别和身份标识，并分别定义具体的访问对象，对系统资源进行分类管理，限制内部员工与外部用户如联盟企业对系统和数据、应用程序等的非法访问，以避免企业商业机密的泄露，保证系统的安全。其二，将业务处理规则内嵌于程序逻辑中，系统能对作业实现过程控制。一方面设置容错处理程序，对作业信息输入实行自动控制。例如单据输入时，系统能自动对输入数据的代码、金额、数量等的正确性、合理性、完整性进行检验。另一方面，根据所收集的作业信息，辅助员工对作业绩效、流程绩效进行评价，改进企业经营活动。此外，根据所定义的作业与作业间关系，程序还会根据已发生的作业驱动另一项作业的发生。其三，在信息系统环境下，能够运用计算机处理的业务流程中，原来手工环境下一些不相容的职责（或者说作业）为计算机程序所代替，削除了一个人同时执行两项不相容职责的风险，减少了不必要的职责分离与员工互查等控制活动，提高了业务流程效率。而且通过数据库技术实现信息共享，消除了会计数据的重复记录和大量的核对调整工作，保证了信息的一致性和完整性。但是职责分离仍是管理型会计信息系统内部控制的重要原则，在信息系统的设计、维护等活动中或不能用计算机处理的业务流程中依然是重要的控制措施。其四，传统基于纸张形式的凭证、账簿和报表间的勾稽关系被视为内部控制的一项控制措施，并形成了物理上可见的审计线索。在信息系统环境下，定期打印账表来形成审计线索已显得没有必要，以电子审计线索测试系统数据的完整性、数据处理和输出的真实性和正确性将是审计线索的新形式。且由于系统记录以作业为基础，收集每个作业的作业对象、作业人员、作业资源等数据，充分描述了整个作业过程，使得审计线索比以前更为明显。



参考文献：
[1] Anderson, S.W. and K.L. Sedatole. Management accounting for the extended enterprise:Performance management for strategic alliances and networked partners. In A.Bhimani(Ed.),Management accounting in the digital economy:36-73. London:Oxford Press.2003.
[2]COSO. Enterprise Risk Management—Integrated Framework，2004.
[3]Jackson, R.A..There is no shortcut to good controls. The Internal Auditor, Aug 2005:62-67.
[4]Mak, Y．T． and Roush, M. L． Managing Activity Costs with Flexible Budgeting and Variance Analysis Accounting Horizon Vol.10 No.3，1996.
[5]The Institute of Internal Auditor (IIA). Managing Strategic Alliance Risk:Survey Evidence of Control Practices in Collaborative Inter　–organizational Settings. http://www.theiia.org, 2006.
[6]Gupta, A. Best Practice in Auditing Quality Progress, May 2006.
[7]（美）迈克尔·波特著，陈小悦主译：《竞争优势》，华夏出版社1998年版。
[8]大卫·波维特等著，仲伟俊等译：《价值网：打破供应链 挖掘隐利润》，人民邮电出版社2001年版。
[9]于增彪、王竞达、刘桂英等：《现代企业内控制度：概念界定与设计思路》，《会计研究》2001年第11期。
[10]迟晓英、宣国良：《价值链研究发展综述》，《外国经济与管理》2000年第1期。
[本文为福建省教育厅科研基金资助项目“基于价值管理的会计信息系统研究”（JA06024S）阶段性成果]