风险管理型会计控制信息系统研究
【摘要】 本文围绕会计控制与会计信息化在新形势下的发展,从论述风险与风险管理入手,指出了在市场经济条件下,风险不仅仅是一种可能遇到的给企业带来经济损失的危险,更重要的是获得经济利益的一种机会,企业除了要规避和防范风险外,更重要的是要有适应风险、驾驭风险的能力,从而由对待风险的消极避让转向积极应对,为企业的发展谋求最大利益。在此基础上笔者研究了企业全面风险管理体系建设问题;探讨了内部控制概念的演变、新形势下的企业内部控制体系,重点论述了会计控制体系问题;提出了会计信息化的新阶段应是建立以会计控制为主体的风险管理型内部控制信息系统的观点;最后提出了对策建议和进一步研究的方向。
【关键词】 风险管理;内部控制;会计控制;信息系统
一、绪论
(一) 研究背景、目的及意义
1.随着企业信息化的发展,信息技术与经济业务的不断融合,所有企业经济业务的发生都离不开信息技术平台
会计信息化是企业信息化的重要组成部分,研究会计信息化的定位应当从会计所处的信息化环境出发。无论是企业信息化,还是会计信息化,都是基于Internet、 Intranet和 Extranet 的互联网基础上的,企业的经营活动则是在网络经济的基本形式——电子商务及随之发展的网络财务、网络会计和网络审计的运行环境中进行的。企业的财会信息是企业最为重要的管理信息。可以说,没有财会信息这种价值量的连续、综合和系统的信息,一切管理信息都是不完整和不完善的,没有财会信息的网络化,也就没有企业信息的网络化。当今世界,会计信息系统(AIS-Accounting Information System)作为企业资源计划(ERP-Enterprise Resource Planning)的一个重要的子系统,与各业务子系统实现了高度的信息集成。以EPR为代表的企业信息化的重要特征就是供应链管理和信息的高度集成,而会计信息化提供的正是供应链管理中连续、综合和系统的信息,反映与控制的是整个供应链中资金的信息流,相对于物质的信息流这是更重要的信息流,它控制着物流,影响着资本的保值与增值,以及企业内外部信息使用者的需要。(引自金光华“在企业信息化环境中的会计信息化定位研究”《中国管理信息化》2005年第2期)因此,会计信息系统所反映和监督的资金流动及其信息流,控制着业务信息系统的物质流动及其信息流。会计信息系统反映、监督和控制、参与决策的职能正是企业内部控制职能的主体部分。
当前,企业内部控制问题已经成为国内外关注的热点问题。但是,人们却对基于信息技术的企业内部控制问题,特别是基于信息技术的风险管理型的企业内部控制及其解决思路缺乏研究与对策。这与当前经济发展形势不相适应。同样,研究内部控制问题,也不能不研究它的主要方面——会计控制问题,本文正是从基于信息技术的风险管理型会计控制角度来研究内部控制的。
根据美国上市公司的调查资料(见表1),表中列出的内部控制,主要是会计控制的一些主要方面:收入确认、固定资产、财务报告和结账、采购付款、人力资源(工资和福利费用)、公司层面的控制、信息技术控制等,其中信息技术控制的缺陷占据了内部控制缺陷的最大比例。因此,从信息技术角度看,与其说是解决企业内部控制问题,不如说是解决基于信息技术的企业内部控制问题,主要是企业内部控制信息系统的整体框架、体系问题,而企业内部控制中大量和基本的是属于会计控制方面的事项。正是基于这样背景,有必要对基于IT环境的企业内部控制信息的体系,重点是会计控制信息体系进行研究。 www.kuaijilunwen.com 会计论文
2.国际背景
从国际背景看,财务报告舞弊是一个全球性的问题,而会计数据造假则是不法分子,主要是心怀不轨的公司管理层进行财务欺诈、财务报告舞弊的主要手段,通过所提供的失真的会计数据,经过信息系统加工处理而发布的虚假财务会计信息,欺骗投资者和社会公众,其直接后果就是造成社会财富的非公平转移和广大投资者的巨额损失。笔者发表于《上海立信会计学院学报》2007年第6期上的文章“财会信息系统中原始数据失真问题研究”中提到:“财务会计领域中,许多财务舞弊案件是由于财会信息系统加工的原始数据失真所造成的,而且其中多数是公司管理层蓄意造假的故意行为,而并非是信息系统本身出了什么毛病。”文章根据舞弊理论分析了造成原始数据失真的原因。面对非故意行为与故意行为,研究了技术与非技术层面的对策措施,特别是针对公司管理层蓄意造假的故意行为提出了相应的对策。”在对策中的一个重要内容就是:“加强公司治理和内部控制,加大公司的财务报告责任和财务披露义务。”
国际上,为了应对日益猖獗的会计造假和财务报告中的舞弊,1985年,由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)等联合创建了反虚假财务报告委员会(通常称Treadway委员会)。该委员会目的在于针对财务报告中的舞弊(会计控制的重要方面),分析其产生的原因及解决办法。1987年,基于该委员会的建议,成立了COSO(Committee of Sponsoring Organization-发起组织委员会),专门研究内部控制问题,发布了《COSO内部控制整合框架》。该框架自发布以来,得到了广泛认可,并在多数国家应用。在应用过程中,理论界和实务界对其提出了一些改进建议,特别是强调内部控制整合框架的建立应与企业风险管理相结合。(引自http://sanyoh.googlepages.com)
2002年美国国会针对安然、世通等财务欺诈事件,出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作《2002年萨班斯—奥克斯利法案》(简称萨班斯-SOX法案)。法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订,在公司治理、证券市场监管,特别是会计职业监管和加强审计独立性等方面作出了许多新的规定。萨班斯法案更要求上市公司全面关注风险,加强风险管理 ,在客观上也推动了内部控制整体框架的进一步发展。与此同时,COSO委员会也意识到《内部控制整合框架》没有从企业全局与战略的高度来关注企业风险,是不足之处。
正是基于这种内、外部的双重因素,2003年7月,美国COSO委员会根据萨班斯法案的相关要求,颁布了“企业风险管理整合框架”的讨论稿(Draft), 2004年9月又正式颁布了《企业风险管理整合框架》(COSO ERM --Enterprise Risk Management),在《内部控制整合框架》的基础上,从企业全局与战略的高度来关注企业风险,对风险管理型的企业内部控制问题提出了整合框架,因此它是COSO委员会最新的内部控制研究成果
1050747.htm)。对于我们致力于会计信息系统的理论研究和实际工作者来说,研究风险管理型的企业内部控制问题,特别是会计控制问题,并体现到会计信息系统的设计和应用上是责无旁贷的。
除了上述以美国为首发布的法案等以外,各国及其他相关组织也相继出台了公司治理与内部控制的标准规范,如加拿大特许会计师协会(CICA)的《控制指南》,内部审计师协会(IIA)的内部审计标准委员会(IASB)制定的“内部控制指南”等,林林总总,不一而足。
3.国内背景
从中国情况来看,同样,我国的上市公司财务报告舞弊事件也层出不穷,而且有与国外不同的特点。自1996年起,国务院、财政部等陆续颁布了一系列的内部控制评价准则和规范(相当一部分属于会计控制和审计方面)。而2007年3月财政部会计司《企业内部控制规范——基本规范》和17项具体规范(征求意见稿)作为企业建立健全内部控制制度的基础依据和基本参照,是到目前为止有关企业内部控制规范的最新文本,该征求意见稿经进一步修订与完善后,将作为正式文件公布。
上述文件虽然从不同侧面对内部控制问题作了若干规定,但总体来说,如何从信息系统的角度来实现这些准则和规范,则比较欠缺。
4.从其现实意义来说
(1)是发展市场经济,实行公司治理和加强内控的需要。温家宝同志在十届全国人大四次会议上作《政府工作报告》时强调,要“完善公司治理,健全内控机制”。所谓公司治理,狭义的角度是指所有者主要是股东对经营者的一种监督与制衡机制,即通过一种企业组织和制度安排,来合理地处理所有者与经营者之间的权利与责任关系。广义的角度则是指有关企业控制权和剩余索取权分配,包括法律、文化、组织等手段在内的一整套制度安排。从公司治理与内部控制的关系来说,公司治理是内部控制的组织保证,其职责就是确保内部控制方案的适当性及内部控制的有效实施。而内部控制则是公司治理的核心和关键环节,它使公司治理落到实处。
“完善公司治理,健全内控机制”是构成市场经济的各个细胞正常地运作,使市场经济得到健康发展的必要条件。
(2) 是企业风险防范控制的需要。企业在市场经济环境中,不可避免地会遇到各种风险。企业的各级管理人员首先要树立风险意识,同时要针对各个风险控制点,建立有效的风险管理系统,实行流程控制。通过风险识别、风险预警、风险评估、风险报告、风险规避、风险防范等措施,对财务风险和经营风险等进行全面防范和控制。在企业风险防范控制方面,公司治理是组织应对风险的战略反应,公司治理本身就包含一些战略性的内部控制的因素(引自http://zhidao.baidu.com/question/8616252.html?fr=grl)。而内部控制的首要任务是搞好企业风险防范控制,其目的就是要保证企业在充满风险的市场竞争中立于不败之地,以尽可能小的代价和牺牲获得最大的成果和收益。
风险防范控制是企业一项基础性和经常性的工作,企业内部控制机构中应当有专门从事风险评估和控制的部门或岗位,负责有关风险的识别、预警、报告、规避和防范等工作。
(3)是我国企业参与全球竞争、走出国门的需要。胡锦涛同志在党的十七大上的报告中提到:坚持对外开放的基本国策,把“引进来”和“走出去”更好地结合起来,扩大开放领域,提高开放质量,完善内外联动、互利共赢、安全高效的开放型经济体系,形成经济全球化条件下参与国际经济合作和竞争新优势。深化沿海开放,加快内地开放,实现对内对外开放相互促进。创新对外投资和合作方式,支持企业在研发、生产、销售等方面开展国际经营,加快培育我国的跨国公司和国际著名品牌。特别提到要注重防范国际经济风险。
因此,我国企业要走出国门、参与全球竞争,或者要在海外上市,就必须了解萨班斯法案、 COSO的有关规定和国际会计准则、上市规则。对企业的审计要求,研究国际环境下风险管理型的企业对内部控制的要求等。
(二)研究要达到的目标
1.跟踪和收集国内外的有关文献、案例与实证研究资料,比较研究我国及其他国家发布的有关法案、规范、制度和规定;
2.立足国情,实行创新,提出既与国际接轨的,又适应我国企业现实的风险管理型企业内部控制,特别是会计控制的理论体系;
3.重点是基于IT环境,落实在风险管理型企业内部控制信息系统的设计与实施,特别是会计控制信息系统的设计与实施上;
4.发表有关学术论文和著作。
(三)研究方法
1.规范研究与案例分析、实证分析相结合;
2.定性与定量分析相结合;
3.寻找战略伙伴,成立联合课题组:(1)与企业相结合,特别是准备“走出去”和“海外上市”的企业,协助它们设计与建立与国际接轨的基于信息技术的风险管理型的企业内部控制,特别是会计控制体系;(2)与软件公司相结合,协助它们设计与完善基于信息技术的风险管理型的企业内部控制(含会计控制)通用/专用软件系统。
(四)主要内容
本文第一章绪论部分,介绍了课题研究背景、意义、目标和研究方法;第二章从论述风险与风险管理入手,分析了风险与风险管理的定义、重点放在企业可能遇到的风险及其对策上,提出了在市场经济条件下,风险不仅仅是一种可能遇到的给企业带来经济损失的危险,更重要的是一种获得经济利益的一种机会。从某种意义上说,企业的成长与发展是不断适应风险、控制和利用、驾驭风险的结果。提出企业要由对待风险的消极避让转向积极应对,在与风险的搏击中为企业的发展谋求最大利益的观点,这也是本文讨论风险管理型内部控制体系建设的基本出发点;第三章围绕会计控制与会计信息化在新形势下的发展,提出会计信息化的新阶段就是风险管理型会计控制信息系统的建设。其特点首先是与国际接轨,必须符合COSO对风险管理型内部控制的要求,以及COBIT对信息系统评价和治理的要求。其次,作为风险管理型内部控制主体部分的会计控制系统更多的是解决半结构性问题和非结构性问题,需要“量体裁衣”、“看菜吃饭”,根据用户的不同需求及原来所用的计算机系统不同而有所不同,这将是一种个性化全新的系统设计,也是本文对风险管理型会计控制体系建设的基本观点,该章还以金蝶公司在这方面所做出的尝试作为案例展开讨论;第四章提出了对策建议与进一步研究的方向。
二、风险管理与内部控制
(一)风险与企业风险
首先,什么是风险?
“风险”一词,早已有之。古时候,渔民们在出海捕捞打鱼的生活中,最大的危险来自大海的风暴,所以,沿海地区众多的妈祖庙、观音殿也都是人们祈求大海风平浪静,保佑平安的一种精神寄托。在渔民的眼光中,“风”即意味着“险”,因此在远古时期就有了“风险”的说法。 另一种说法是风险(RISK)来自拉丁语,也有的说来自阿拉伯语、西班牙语,但比较权威的说法是来源于意大利语的“RISQUE”一词。在早期的运用中,也是被理解为客观存在的危险,体现为对人们生活带来不利影响的自然现象或者航海遇到礁石、风暴等不测事件(引自http://baike.baidu.com/view/156901.htm)。
现代意义上的风险一词,不仅仅包含上述的一些传统意义上的理解,而且在概念上得到了极大的发展,首先它是与客观事物的不确定性紧密联系在一起的一种概念。如《中国大百科全书——经济学》一书中,对风险的定义是:“由于当事者主观上不能控制的一些因素的影响,使得实际结果与当事者的事先估计有较大的背离而带来的经济损失”(《 中国大百科全书出版社,1988年版,P165-166)。请注意,在这里风险是与损失联系在一起的概念。大家知道,客观事物的不确定性不是当事者的主观愿望所能避免的,正如有一句名言所说的那样:“世界上唯一能确定的事物是它的不确定性”,又由于客观事物的不确定性是无时无刻都始终存在着的。所以,只要存在着客观上的不确定性,就有可能碰到未能预见的结果,所谓“事与愿违”;而且还可能遭受破坏或损失,甚至对生命和财产构成危险。可以这样说,客观世界中,风险是无时不在,无处不在的。
其次,企业风险是企业在市场经济激烈竞争的内外环境中所可能遇到的各种风险,如:市场风险、产品风险、投融资风险、经营决策风险、财务风险、兼并风险、股市风险、借贷风险、担保风险、政策风险等,稍有不慎,就会遭受损失,甚至遭受破产的威胁。我们在这里研究的不是一般意义上的风险,而是针对企业的风险,主要是财务风险和经营风险及企业风险管理问题。
进一步讲,风险又是与企业获利机会密切相关的一个概念。从某种意义上说,风险就是会给企业带来收益的机会。要想得到收益,也就必须承担必要的风险,要想得到较大的收益,也就必须承担较大的风险。从现代投融资管理理论来说,与上述仅仅将风险与损失联系在一起的观念有很大不同的地方,在于传统意义上的风险(Risk)指的不确定性,仅仅是一种损失和失败的可能性,没有主动成份;而现代意义上的风险所指的不确定性,除损失和失败的可能性外,更有冒险(Venture)、敢于创新的意思。
例如风险投资(Venture Capital),它从广义上讲是指向风险项目的投资。根据国际经济合作和发展组织(OECD)的定义为:向以高科技和知识为基础,生产与经营技术密集的创新产品或服务的投资。从狭义上讲是指向高风险、高收益、高增长潜力、高科技项目的投资。根据美国全美风险投资协会的定义:风险投资是由职业金融家投入到新兴的、迅速发展的、有巨大竞争力的企业的一种权益资本。风险投资既不是单纯意义上的风险(Risk),又不是单纯意义上的投资(Investment)。它不仅指人们从事经济活动时所伴随的不可避免的风险,还指一种主动地承担风险的行为。在这里,风险与收益联系在一起,而且收益与风险成正比。风险程度越高,其可能带来的收益也就越大,除了无风险收益的因素以外,风险收益的大小往往成为投融资方案取舍的依据。从投资风险价值(Risk Value of Investment) 的涵义来说,它是指投资者由于敢冒风险进行投资而获得的超过资金时间价值的额外收益。因此,在不考虑通货膨胀的情况下,投资收益率=无风险投资收益率+风险投资收益率。风险大小的计量,通常是采用数学中的概率计算和统计方法得出,包括报酬率期望值、标准差的指标等。
因此,从现代市场经济的观点来看,风险不仅仅是一种可能遇到的危险,更重要的是获得利益的一种机会,企业除了要有风险规避和防范的本领外,更重要的是要有适应风险、驾驭风险的本领,敢于和善于在充满风险的市场经济激烈竞争的风浪中搏击,进行风险目标设定、风险评估和风险对策,从而由对待风险的消极避让转向积极应对,为企业的发展谋求最大利益。从某种意义上说,企业是依靠风险而存在并发展的。 这也是本文对待风险的主要观点和设计风险管理型的企业内部控制体系,特别是会计控制体系的重要出发点。
(二) 企业风险管理
1.企业风险管理定义
风险管理是企业通过对风险进行识别、分析和评估,设计并实施风险管理解决方案,运用合理的经济和技术手段对风险予以回避、减缓、分散、转嫁、接受、利用等风险对策,以最小的成本获得最大安全保障,并进一步利用风险来获得利益的一种管理行为(就像战争中的一个基本原则“保存自己,消灭敌人,争取胜利”那样),也是对风险管理解决方案实施进行监测,使企业达到其战略目标的一种管理过程。
风险管理是现代企业最本质的核心竞争力;是现代企业制度建设的重要内容;是现代企业可持续性发展的基本保证(引自http://studa.net/)。
2.企业风险种类
按来源分类,我们可将风险归结为两大因素:
(1)与外部经营环境有关的风险因素:主要来自宏观环境、监管机构、竞争对手、新技术新工艺、金融市场、政治法律、社会文化等,如:市场风险、外汇风险、利率风险、购并风险、自然灾害风险、政策风险、诉讼风险、国际形势风险等。(2)与企业内部环境有关的风险因素:主要来自战略及决策、经营及管理、人员诚信、管理信息等,如:产品风险、经营风险、合同风险、债务风险、投融资风险、体制风险、人事风险、担保风险、资金风险等。
3.风险决策
风险决策是针对不确定性事件的决策。根据决策论的原理,通过计算机信息系统对未来事件的各种可能发展的客观状态进行概率估计和计算期望值,在各种不同的方案中加以优选。首先将各个方案的期望值计算结果与设定的目标相比较,然后从中优选相对风险较小而期望值较大的方案。这里有单一目标决策和多目标决策问题,也有决策者对风险态度的效用曲线(Utility curve)的应用,或叫做风险偏好问题。
因为决策者的社会地位、资历与经验和所处决策环境的各不相同,同样的风险在抱有不同态度的管理人员面前,其对风险程度的主观评价和接受与否的态度是大不一样的。有的人敢冒大的风险去获取大的利益,遭受大的损失也在所不惜,而有的人为避免遭受大的损失,宁可放弃一些风险大的方案,因而可能失去较大利益。就前者而言,他们在心理上对利益敏感,对损失相对不怎么敏感,接受风险的能力较强,失败时遭受损失的可能性也较大;就后者而言,他们在心理上对损失敏感,所做的决策以少受最好不受损失为前提,接受风险的能力较弱,失败时遭受损失的可能性相对较小。这时,同样的风险程度对不同风险偏好的人就有不同的效用系数,这在有些银行所做的对其顾客在具有不同风险程度的理财产品间选择的调查中很明显。
然而,客观事实也不尽如此,不一定敢冒风险的人,遇到损失的可能性比不愿冒风险的人来得大。在商战中同样用得上战场中的一句话,叫“狭路相逢勇者胜”,例如,为了避免多进货可能卖不出去,造成库存积压的风险,经销商“该进不进”, 结果丧失了市场销路火暴时获得大利的机会,这同样是一种损失,叫机会损失,比万一卖不出去造成的库存积压带来的损失要大得多;或者美元持有者做美元理财产品,明明看到美元相对于人民币在贬值,但为了避免将美元换成人民币所带来的结汇损失和放弃美元理财产品的美元利率损失,而采取观望态度,继续保持美元,“该出不出”,结果美元理财产品到期日,美元对人民币的汇率大幅下跌,就可能不仅区区的美元利息无法弥补,而且跌进了肉里,使得许多美元持有者叫苦不迭。这时,对风险采取保守态度的人来说,恰恰是也有可能是遭受更大损失的人。所谓“发展是硬道理”,在企业发展过程中,抓住机遇,迎难而上所遇到的风险往往要比不努力发展、墨守成规所遇到的风险来得小,容易克服,这在我国曾一度十分辉煌的手表行业的跌宕起伏的事例中可见一斑。
