【摘要】 本文围绕会计控制与会计信息化在新形势下的发展,从论述风险与风险管理入手,指出了在市场经济条件下,风险不仅仅是一种可能遇到的给企业带来经济损失的危险,更重要的是获得经济利益的一种机会,企业除了要规避和防范风险外,更重要的是要有适应风险、驾驭风险的能力,从而由对待风险的消极避让转向积极应对,为企业的发展谋求最大利益。在此基础上笔者研究了企业全面风险管理体系建设问题;探讨了内部控制概念的演变、新形势下的企业内部控制体系,重点论述了会计控制体系问题;提出了会计信息化的新阶段应是建立以会计控制为主体的风险管理型内部控制信息系统的观点;最后提出了对策建议和进一步研究的方向。
一、绪论
(一) 研究背景、目的及意义
1.随着企业信息化的发展,信息技术与经济业务的不断融合,所有企业经济业务的发生都离不开信息技术平台
会计信息化是企业信息化的重要组成部分,研究会计信息化的定位应当从会计所处的信息化环境出发。无论是企业信息化,还是会计信息化,都是基于Internet、 Intranet和 Extranet 的互联网基础上的,企业的经营活动则是在网络经济的基本形式——电子商务及随之发展的网络财务、网络会计和网络审计的运行环境中进行的。企业的财会信息是企业最为重要的管理信息。可以说,没有财会信息这种价值量的连续、综合和系统的信息,一切管理信息都是不完整和不完善的,没有财会信息的网络化,也就没有企业信息的网络化。当今世界,会计信息系统(AIS-Accounting Information System)作为企业资源计划(ERP-Enterprise Resource Planning)的一个重要的子系统,与各业务子系统实现了高度的信息集成。以EPR为代表的企业信息化的重要特征就是供应链管理和信息的高度集成,而会计信息化提供的正是供应链管理中连续、综合和系统的信息,反映与控制的是整个供应链中资金的信息流,相对于物质的信息流这是更重要的信息流,它控制着物流,影响着资本的保值与增值,以及企业内外部信息使用者的需要。(引自金光华“在企业信息化环境中的会计信息化定位研究”《中国管理信息化》2005年第2期)因此,会计信息系统所反映和监督的资金流动及其信息流,控制着业务信息系统的物质流动及其信息流。会计信息系统反映、监督和控制、参与决策的职能正是企业内部控制职能的主体部分。
当前,企业内部控制问题已经成为国内外关注的热点问题。但是,人们却对基于信息技术的企业内部控制问题,特别是基于信息技术的风险管理型的企业内部控制及其解决思路缺乏研究与对策。这与当前经济发展形势不相适应。同样,研究内部控制问题,也不能不研究它的主要方面——会计控制问题,本文正是从基于信息技术的风险管理型会计控制角度来研究内部控制的。
根据美国上市公司的调查资料(见表1),表中列出的内部控制,主要是会计控制的一些主要方面:收入确认、固定资产、财务报告和结账、采购付款、人力资源(工资和福利费用)、公司层面的控制、信息技术控制等,其中信息技术控制的缺陷占据了内部控制缺陷的最大比例。
表1美国上市公司在各业务流程中存在的控制缺陷、显著性缺陷和实质性漏洞所占的比例
(数据来源:毕马威404学会的调查,2005.2)
因此,从信息技术角度看,与其说是解决企业内部控制问题,不如说是解决基于信息技术的企业内部控制问题,主要是企业内部控制信息系统的整体框架、体系问题,而企业内部控制中大量和基本的是属于会计控制方面的事项。正是基于这样背景,有必要对基于IT环境的企业内部控制信息的体系,重点是会计控制信息体系进行研究。
2.国际背景
从国际背景看,财务报告舞弊是一个全球性的问题,而会计数据造假则是不法分子,主要是心怀不轨的公司管理层进行财务欺诈、财务报告舞弊的主要手段,通过所提供的失真的会计数据,经过信息系统加工处理而发布的虚假财务会计信息,欺骗投资者和社会公众,其直接后果就是造成社会财富的非公平转移和广大投资者的巨额损失。笔者发表于《上海立信会计学院学报》2007年第6期上的文章“财会信息系统中原始数据失真问题研究”中提到:“财务会计领域中,许多财务舞弊案件是由于财会信息系统加工的原始数据失真所造成的,而且其中多数是公司管理层蓄意造假的故意行为,而并非是信息系统本身出了什么毛病。”文章根据舞弊理论分析了造成原始数据失真的原因。面对非故意行为与故意行为,研究了技术与非技术层面的对策措施,特别是针对公司管理层蓄意造假的故意行为提出了相应的对策。”在对策中的一个重要内容就是:“加强公司治理和内部控制,加大公司的财务报告责任和财务披露义务。”
国际上,为了应对日益猖獗的会计造假和财务报告中的舞弊,1985年,由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)等联合创建了反虚假财务报告委员会(通常称Treadway委员会)。该委员会目的在于针对财务报告中的舞弊(会计控制的重要方面),分析其产生的原因及解决办法。1987年,基于该委员会的建议,成立了COSO(Committee of Sponsoring Organization-发起组织委员会),专门研究内部控制问题,发布了《COSO内部控制整合框架》。该框架自发布以来,得到了广泛认可,并在多数国家应用。在应用过程中,理论界和实务界对其提出了一些改进建议,特别是强调内部控制整合框架的建立应与企业风险管理相结合。(引自http://sanyoh.googlepages.com)
2002年美国国会针对安然、世通等财务欺诈事件,出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作《2002年萨班斯—奥克斯利法案》(简称萨班斯-SOX法案)。法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订,在公司治理、证券市场监管,特别是会计职业监管和加强审计独立性等方面作出了许多新的规定。萨班斯法案更要求上市公司全面关注风险,加强风险管理 ,在客观上也推动了内部控制整体框架的进一步发展。与此同时,COSO委员会也意识到《内部控制整合框架》没有从企业全局与战略的高度来关注企业风险,是不足之处。
正是基于这种内、外部的双重因素,2003年7月,美国COSO委员会根据萨班斯法案的相关要求,颁布了“企业风险管理整合框架”的讨论稿(Draft), 2004年9月又正式颁布了《企业风险管理整合框架》(COSO ERM --Enterprise Risk Management),在《内部控制整合框架》的基础上,从企业全局与战略的高度来关注企业风险,对风险管理型的企业内部控制问题提出了整合框架,因此它是COSO委员会最新的内部控制研究成果
1050747.htm)。对于我们致力于会计信息系统的理论研究和实际工作者来说,研究风险管理型的企业内部控制问题,特别是会计控制问题,并体现到会计信息系统的设计和应用上是责无旁贷的。除了上述以美国为首发布的法案等以外,各国及其他相关组织也相继出台了公司治理与内部控制的标准规范,如加拿大特许会计师协会(CICA)的《控制指南》,内部审计师协会(IIA)的内部审计标准委员会(IASB)制定的“内部控制指南”等,林林总总,不一而足。
3.国内背景
从中国情况来看,同样,我国的上市公司财务报告舞弊事件也层出不穷,而且有与国外不同的特点。自1996年起,国务院、财政部等陆续颁布了一系列的内部控制评价准则和规范(相当一部分属于会计控制和审计方面)。而2007年3月财政部会计司《企业内部控制规范——基本规范》和17项具体规范(征求意见稿)作为企业建立健全内部控制制度的基础依据和基本参照,是到目前为止有关企业内部控制规范的最新文本,该征求意见稿经进一步修订与完善后,将作为正式文件公布。
上述文件虽然从不同侧面对内部控制问题作了若干规定,但总体来说,如何从信息系统的角度来实现这些准则和规范,则比较欠缺。
4.从其现实意义来说
(1)是发展市场经济,实行公司治理和加强内控的需要。温家宝同志在十届全国人大四次会议上作《政府工作报告》时强调,要“完善公司治理,健全内控机制”。所谓公司治理,狭义的角度是指所有者主要是股东对经营者的一种监督与制衡机制,即通过一种企业组织和制度安排,来合理地处理所有者与经营者之间的权利与责任关系。广义的角度则是指有关企业控制权和剩余索取权分配,包括法律、文化、组织等手段在内的一整套制度安排。从公司治理与内部控制的关系来说,公司治理是内部控制的组织保证,其职责就是确保内部控制方案的适当性及内部控制的有效实施。而内部控制则是公司治理的核心和关键环节,它使公司治理落到实处。
“完善公司治理,健全内控机制”是构成市场经济的各个细胞正常地运作,使市场经济得到健康发展的必要条件。
(2) 是企业风险防范控制的需要。企业在市场经济环境中,不可避免地会遇到各种风险。企业的各级管理人员首先要树立风险意识,同时要针对各个风险控制点,建立有效的风险管理系统,实行流程控制。通过风险识别、风险预警、风险评估、风险报告、风险规避、风险防范等措施,对财务风险和经营风险等进行全面防范和控制。在企业风险防范控制方面,公司治理是组织应对风险的战略反应,公司治理本身就包含一些战略性的内部控制的因素(引自http://zhidao.baidu.com/question/8616252.html?fr=grl)。而内部控制的首要任务是搞好企业风险防范控制,其目的就是要保证
