摘要:風險同時伴隨著潛在的機遇。公司財務信息系統分析與設計人員需權衡風險和機遇,只控制那些符合成本收益原則的重大風險。概率和損失額越大,風險的危害性就越大。公司財務信息系統風險及其內控措施可以發生在不同級別上:宏觀經濟級別、行業級別、公司整體級別、公司內業務流程級別以及信息處理級別。本文針對不同風險級別,提出相應的措施,重點提出在信息處理級別風險中,對應于COSO提出的5大控制要素展開監控與績效評價環節。
關鍵詞:AIS 風險 內部控制 業務流程 信息處理
一、引言
風險是指發現的任何使公司受到傷害或損失的可能性。目前主流觀點認為,AIS(Accounting Information System,會計信息系統)是公司財務信息系統的一個組成部分,而公司財務信息系統又是公司整體集成管理信息系統中一個基于財務視角的剖面。有鑒于此,公司財務信息系統分析與設計人員需要識別和控制風險,但又要權衡風險和機遇、控制目的和控制成本。公司必須權衡經營效率和經營效果,使公司財務信息系統可以做到同時控制效率和效果。當今經濟環境下,公司財務信息系統中內控功能的重要性越來越凸顯。公司財務信息系統中控制的兩個重要考慮因素是執行時間和成本。通常每種控制都能緩減某一特定風險,但各種控制措施的成本和效率不同。因此很多潛在的風險確實存在,但是要控制所有風險的代價如果超過了控制帶來的收益,就會不符合成本效益原則,故不允許公司控制所有的潛在風險,只應控制那些重大風險。
風險的重大性取決于風險對公司的影響,以及風險實際發生的可能性阻止公司實現其目標風險的代價是巨大的,而且可能對公司的持續經營產生災難性影響。風險的危害性是指:潛在損失的大小及其對實現公司目標的影響,以及損失發生的可能性。概率和損失額越大,風險的危害性就越大,公司管理風險的需求就越大。
二、風險的級別及內控措施
風險可以發生在不同級別或層面上:宏觀經濟級別、行業級別、公司整體級別、公司內業務流程級別以及信息處理級別。
(一)宏觀經濟和行業風險
公司不是在真空中經營,而是在某個行業中開展經營,行業是當地經濟的一個組成部分,同時也是全球經濟的一個組成部分。不考慮當地和全球經濟風險以及行業風險,即使再充分應對其他風險,對公司而言往往也是徒勞無益的。經濟風險包括來自戰爭、瘟疫、金融市場變革、恐怖襲擊和諸如洪水、臺風以及干旱等自然災害。這些因素中很多都能導致全球性的經濟蕭條。有時經濟風險能夠給某些行業帶來致命的打擊,因此演變為行業風險。另一種類型的行業風險是成本的普遍上漲影響了某一特定行業。例如,某一行業普遍使用的原材料成本劇烈上漲,整個行業都會受到負面影響。降低的產品需求就是一種行業風險,它有時獨立于價格增長。產品需求的減少可能只是源于使用趨勢的轉變或其他行業中更高級替代產品。
(二)公司風險
公司風險反映了公司由于自身或外部商務伙伴的行為或狀況這些內、外部因素造成的潛在損失威脅。公司內部風險因素包括諸如員工道德低下,缺乏職業操守,員工不勝任工作。內部因素在很大程度上由公司的管理哲學及經營風格決定。如果管理哲學和經營風格鼓勵高風險環境,那么在業務流程層面和信息處理層面也存在更高的風險。公司財務信息系統分析與設計人員確定公司風險時,可以向管理人員詢問的問題如:公司是否承諾雇傭具備崗位工作所需知識和技能的勝任員工;管理層是否采用保守或理性的方法接受并列報經營成果中的業務風險;如果存在董事會,董事會中是否有公司外部代表;如果會計主體的年度財務報告需要審計,公司是否存在審計委員會來管理審計事務;公司是否存在定義良好的組織架構、合理的職責分離以及明確的報告關系,以確保重要活動得到及時計劃、執行、控制和監督;員工是否理解公司的政策和實務,自己的職責以及向誰匯報;管理層是否營造強調正直和職業操守的公司文化;公司是否具備揭發渠道,以鼓勵員工在工作過程中向管理層或董事會告發舞弊行為;如果公司對以上問題的回答相當肯定,該公司的控制環境可能較好。而那些沒有采取以上或類似措施來鼓勵正直和勝任能力的公司會面臨較高程度的公司內部風險。
公司風險也來源于諸如行業內其他公司競爭加劇、公司聲譽及品牌質量損失、導致業務中斷的意外事項、涉及一家或多家公司外部商務伙伴的危機,以及公司兼并之類的外部因素。公司間競爭的加劇會降低公司的市場份額,導致品牌質量或公司聲譽降低的事項會給公司帶來長期的負面影響;公司會面臨一些由于諸如火災、洪水、龍卷風、斷電或技術失敗等意外事項,導致業務中斷的風險;公司會面臨一家或多家外部商務伙伴公司的業務中斷事故,從而對本公司造成威脅。
(三)業務流程風險
本文將業務流程風險定義為與實際業務流程目標(包括資源、事項、參與者以及這三者之間關系)相關的風險。公司常見的資源包括存貨、產品、營運資產和資金,包括與失竊、過時、浪費、故意或非故意損毀而造成損失的威脅都可稱為業務流程風險。事項可以分為宣傳事項、相互承諾事項和經濟交換事項。與這些類型事項相關的風險包括該發生卻沒發生的事項、事項執行得過早或過晚等。
大多數風險不涉及單獨的資源或事項,但卻涉及資源、事項或參與者的結合體。連接資源和事項的關系可分成提議、預留、資源流關系。與“資源——事項”關系相關的風險包括事項執行了錯誤的資源類型或資源項目、錯誤的資源數量,或資源的成本或售價錯誤。
資源與資源之間的鏈接關系是BOM(Bill Of Materials,物料清單)的一種表達方式。與“資源——資源”關系相關的風險包括一種資源與另一種資源之間的關系確定錯誤。例如,完工產品存貨類型的BOM中描述了原材料種類或數量上的錯誤。
與“事項——事項”關系相關的風險是事項間關系確立的錯誤。例如,業務流程政策要求所有銷售的現金折扣最多可達到售價的50%。一種風險是沒有按折扣政策收款。同樣,在沒有確認存貨實際驗收的情況下支付了貨款。
“事項——參與者”之間的關系表現為連接公司內外部參與者與事項的參與關系。“事項——參與者”關系相關的風險包括未經授權的公司外部參與者(如不存在的客戶)或未經授權的內部參與者執行了事項(如倉管員執行付款)。“資源——參與者”關系反映了諸如內部參與者管理存貨類型職責的托管設置。與“資源——參與者”關系相關的風險包括未經授權的參與者托管了資源。檢查單一關系有助于識別風險,完整的風險分析卻要求同時檢查多種關系。例如,查詢可以被定義為評估相關的采購訂單、采購事項和付款事項是否都連接到同一家供應商。如果沒有連接到同一家供應商,就說明可能存在需要進一步調查的數據錄入錯誤或不規范。
(四)信息處理風險
首先,公司財務信息系統也是一種資源,其接觸應當受到嚴格控制。諸如文件服務器之類的關鍵系統硬件應當鎖放在限制區域。其他網絡信息系統的組成部分需要由經過授權的人員進入并完成業務和信息的處理。未經授權的進入系統對公司而言是重大風險,因此防止未經授權進入系統很重要。進入控制在系統具備聯網、實時交易處理能力時特別重要。任何一臺連接到因特網的計算機都很容易受到攻擊。系統接觸控制涉及密碼和登錄控制矩陣的使用。密碼是一種較弱的保護形式。登錄控制矩陣表明了可以登錄系統的各個用戶,以及每個用戶登錄后可以接觸的數據和程序。一些用戶只允許讀數據,另一些用戶則可讀、可更新數據。
其次,信息處理風險與記錄、維護和報告與資源、事項、參與者以及三者之間關系的信息相關。表面上,這類風險與業務流程風險十分類似,但實際上,業務流程風險必須與事項的實際執行、實際存在的資源和參與者有關。信息處理風險必須與進行記錄、維護和報告以上對象的信息相關。例如,如果向不存在的客戶銷售產品是一個業務流程錯誤,但如果是向公司認可的客戶銷售產品,但數據錄入錯誤導致這筆銷售看起來像是向不存在的客戶銷售了產品,這就是一個信息處理錯誤。
信息處理風險包括記錄、維護或報告的信息不完整、不準確或不合法。不完整的信息反映了對于資源、事項、參與者或關系信息在記錄、維護和報告中存在錯誤。不準確的信息反映了數據的記錄、維護和報告不正確地表達了客觀事實。不合法的信息反映了記錄、維護和報告了不存在的資源、事項、參與者或關系。這些類型的信息處理風險都需要得到控制。
COSO的內部控制集成框架討論了內部控制系統的五大組成要素:控制環境、風險評估、控制活動、信息和溝通、監控。COSO報告中推薦對公司內部控制的評價首先從風險識別開始。接著確定應對風險的控制活動,最終進行內部控制測試,以確保控制是否有效運行。COSO推薦的、薩班斯法案要求的、越來越多的監控和關于內部控制的鑒定通過業務流程和AIS設計來實現。業務流程和支持業務流程的公司財務信息系統同樣關注風險識別、開發符合成本效益原則的緩減控制措施,他們可以設計并實施控制。
財務信息系統的控制活動通常包括記錄、維護和報告會計主體事項,同時維護相關資產、負債和權益問責性的方法和記錄。其信息質量影響著公司管理層在管理和控制會計主體經營活動以及準備財務報告方面進行正確決策的能力。系統必須做到以下每一條,以便在信息系統中提供準確完整的信息來正確報告公司經營成果:1.及時確認和記錄所有的業務事項;2.對每項業務事項的描述足夠詳盡;3.正確計量每筆業務的金額;4.在財務報告中正確描述和披露業務。溝通要素是針對現有崗位分工及對應內控職責的理解。員工應當理解他們的工作如何與其他員工的工作相連接,并且例外情況如何向高層管理人員報告。開放溝通渠道有助于例外情況的報告和采取行動。溝通也包括制度手冊、會計手冊和財務報告守則等。
監控是隨時評價內部控制完成情況的過程。由于多數公司經常改變其經營活動以適應新的市場需求以及投資機遇,于是監控變得尤為重要。監控涉及以時間為基礎的控制機制設計和運行的評價,以及所需的修正行動。管理層一旦發現報告明顯偏離他們對公司經營的了解時,就可采取持續的質詢活動。內部審計人員或系統評價者也可以通過定期的檢查內控活動、評價其效果、匯報結果,以及提供改進建議來完成監控。來自外部會計主體的信息同樣對內部控制的監控很有價值。客戶或供應商關于運輸或付款的投訴,各政府機構的檢查,以及外部審計報告都提供了內部控制充分性及其改進的信息。
績效檢查是對提供某種方式監控的公司績效的任何檢查,比較常見的檢查有:事先計劃數據與實際數據,經營數據和財務數據,甚至包括隸屬關系或公司職能領域間的對比等。績效檢查的實例還可以比較實際發生的生產成本和上一會計期間生產成本,以發現差異。任何明顯偏離去年的成本項目都應追蹤調查,明確原因。另一個績效檢查的例子是比較同一區域內的銷售利潤率及運往該地區的存貨數量,以確定各地區間的銷售利潤率是否大體相等。如果某一地區的銷售利潤率明顯低于其他地區,就必須調查原因,諸如存貨有可能存在偷竊、毀損、過時或其他原因。Z
參考文獻:
1.C.L.Dunn,J.O.Cherrington and A.S.Hollander.Enterprise Information Systems.3rd edition. New York,NY:McGraw-Hill Irwin,2005.
2. 周梅,會計信息系統中銷售流程的應用控制[J].商業會計,2011,(31).
