風險管理型會計控制信息系統(tǒng)研究

　　【摘要】 本文圍繞會計控制與會計信息化在新形勢下的發(fā)展，從論述風險與風險管理入手，指出了在市場經濟條件下，風險不僅僅是一種可能遇到的給企業(yè)帶來經濟損失的危險，更重要的是獲得經濟利益的一種機會，企業(yè)除了要規(guī)避和防范風險外，更重要的是要有適應風險、駕馭風險的能力，從而由對待風險的消極避讓轉向積極應對，為企業(yè)的發(fā)展謀求最大利益。在此基礎上筆者研究了企業(yè)全面風險管理體系建設問題；探討了內部控制概念的演變、新形勢下的企業(yè)內部控制體系，重點論述了會計控制體系問題；提出了會計信息化的新階段應是建立以會計控制為主體的風險管理型內部控制信息系統(tǒng)的觀點；最后提出了對策建議和進一步研究的方向。
　　【關鍵詞】 風險管理；內部控制；會計控制；信息系統(tǒng)
　　
　　一、緒論
　　
　　(一) 研究背景、目的及意義
　　1.隨著企業(yè)信息化的發(fā)展，信息技術與經濟業(yè)務的不斷融合，所有企業(yè)經濟業(yè)務的發(fā)生都離不開信息技術平臺
　　會計信息化是企業(yè)信息化的重要組成部分，研究會計信息化的定位應當從會計所處的信息化環(huán)境出發(fā)。無論是企業(yè)信息化，還是會計信息化，都是基于Internet、 Intranet和 Extranet 的互聯(lián)網基礎上的，企業(yè)的經營活動則是在網絡經濟的基本形式——電子商務及隨之發(fā)展的網絡財務、網絡會計和網絡審計的運行環(huán)境中進行的。企業(yè)的財會信息是企業(yè)最為重要的管理信息。可以說，沒有財會信息這種價值量的連續(xù)、綜合和系統(tǒng)的信息，一切管理信息都是不完整和不完善的，沒有財會信息的網絡化，也就沒有企業(yè)信息的網絡化。當今世界，會計信息系統(tǒng)（AIS-Accounting Information System）作為企業(yè)資源計劃（ERP-Enterprise Resource Planning）的一個重要的子系統(tǒng)，與各業(yè)務子系統(tǒng)實現(xiàn)了高度的信息集成。以EPR為代表的企業(yè)信息化的重要特征就是供應鏈管理和信息的高度集成，而會計信息化提供的正是供應鏈管理中連續(xù)、綜合和系統(tǒng)的信息，反映與控制的是整個供應鏈中資金的信息流，相對于物質的信息流這是更重要的信息流，它控制著物流，影響著資本的保值與增值，以及企業(yè)內外部信息使用者的需要。（引自金光華“在企業(yè)信息化環(huán)境中的會計信息化定位研究”《中國管理信息化》2005年第2期）因此，會計信息系統(tǒng)所反映和監(jiān)督的資金流動及其信息流，控制著業(yè)務信息系統(tǒng)的物質流動及其信息流。會計信息系統(tǒng)反映、監(jiān)督和控制、參與決策的職能正是企業(yè)內部控制職能的主體部分。
　　當前，企業(yè)內部控制問題已經成為國內外關注的熱點問題。但是，人們卻對基于信息技術的企業(yè)內部控制問題，特別是基于信息技術的風險管理型的企業(yè)內部控制及其解決思路缺乏研究與對策。這與當前經濟發(fā)展形勢不相適應。同樣，研究內部控制問題，也不能不研究它的主要方面——會計控制問題，本文正是從基于信息技術的風險管理型會計控制角度來研究內部控制的。
　　根據美國上市公司的調查資料（見表1），表中列出的內部控制，主要是會計控制的一些主要方面：收入確認、固定資產、財務報告和結賬、采購付款、人力資源（工資和福利費用）、公司層面的控制、信息技術控制等，其中信息技術控制的缺陷占據了內部控制缺陷的最大比例。
　　表1美國上市公司在各業(yè)務流程中存在的控制缺陷、顯著性缺陷和實質性漏洞所占的比例
　　
　　（數(shù)據來源：畢馬威404學會的調查，2005.2）
　　因此，從信息技術角度看，與其說是解決企業(yè)內部控制問題，不如說是解決基于信息技術的企業(yè)內部控制問題，主要是企業(yè)內部控制信息系統(tǒng)的整體框架、體系問題，而企業(yè)內部控制中大量和基本的是屬于會計控制方面的事項。正是基于這樣背景，有必要對基于IT環(huán)境的企業(yè)內部控制信息的體系，重點是會計控制信息體系進行研究。
　　2.國際背景
　　從國際背景看，財務報告舞弊是一個全球性的問題，而會計數(shù)據造假則是不法分子，主要是心懷不軌的公司管理層進行財務欺詐、財務報告舞弊的主要手段，通過所提供的失真的會計數(shù)據，經過信息系統(tǒng)加工處理而發(fā)布的虛假財務會計信息，欺騙投資者和社會公眾，其直接后果就是造成社會財富的非公平轉移和廣大投資者的巨額損失。筆者發(fā)表于《上海立信會計學院學報》2007年第6期上的文章“財會信息系統(tǒng)中原始數(shù)據失真問題研究”中提到：“財務會計領域中，許多財務舞弊案件是由于財會信息系統(tǒng)加工的原始數(shù)據失真所造成的，而且其中多數(shù)是公司管理層蓄意造假的故意行為，而并非是信息系統(tǒng)本身出了什么毛病。”文章根據舞弊理論分析了造成原始數(shù)據失真的原因。面對非故意行為與故意行為，研究了技術與非技術層面的對策措施，特別是針對公司管理層蓄意造假的故意行為提出了相應的對策。”在對策中的一個重要內容就是：“加強公司治理和內部控制，加大公司的財務報告責任和財務披露義務。”
　　國際上，為了應對日益猖獗的會計造假和財務報告中的舞弊，1985年，由美國注冊會計師協(xié)會(AICPA)、美國會計協(xié)會(AAA)、財務經理人協(xié)會(FEI)、內部審計師協(xié)會(IIA)、管理會計師協(xié)會(IMA)等聯(lián)合創(chuàng)建了反虛假財務報告委員會（通常稱Treadway委員會）。該委員會目的在于針對財務報告中的舞弊（會計控制的重要方面），分析其產生的原因及解決辦法。1987年，基于該委員會的建議，成立了COSO（Committee of Sponsoring Organization-發(fā)起組織委員會），專門研究內部控制問題，發(fā)布了《COSO內部控制整合框架》。該框架自發(fā)布以來，得到了廣泛認可，并在多數(shù)國家應用。在應用過程中，理論界和實務界對其提出了一些改進建議，特別是強調內部控制整合框架的建立應與企業(yè)風險管理相結合。（引自http://sanyoh.googlepages.com）
　　2002年美國國會針對安然、世通等財務欺詐事件，出臺了《2002年公眾公司會計改革和投資者保護法案》。該法案由美國眾議院金融服務委員會主席奧克斯利和參議院銀行委員會主席薩班斯聯(lián)合提出，又被稱作《2002年薩班斯—奧克斯利法案》（簡稱薩班斯-SOX法案）。法案對美國《1933年證券法》、《1934年證券交易法》作了不少修訂，在公司治理、證券市場監(jiān)管，特別是會計職業(yè)監(jiān)管和加強審計獨立性等方面作出了許多新的規(guī)定。薩班斯法案更要求上市公司全面關注風險，加強風險管理 ，在客觀上也推動了內部控制整體框架的進一步發(fā)展。與此同時，COSO委員會也意識到《內部控制整合框架》沒有從企業(yè)全局與戰(zhàn)略的高度來關注企業(yè)風險，是不足之處。
　　正是基于這種內、外部的雙重因素，2003年7月，美國COSO委員會根據薩班斯法案的相關要求，頒布了“企業(yè)風險管理整合框架”的討論稿(Draft)， 2004年9月又正式頒布了《企業(yè)風險管理整合框架》（COSO ERM --Enterprise Risk Management），在《內部控制整合框架》的基礎上，從企業(yè)全局與戰(zhàn)略的高度來關注企業(yè)風險，對風險管理型的企業(yè)內部控制問題提出了整合框架，因此它是COSO委員會最新的內部控制研究成果（引自http://baike.baidu.com/view/
　　1050747.htm）。對于我們致力于會計信息系統(tǒng)的理論研究和實際工作者來說，研究風險管理型的企業(yè)內部控制問題，特別是會計控制問題，并體現(xiàn)到會計信息系統(tǒng)的設計和應用上是責無旁貸的。
　　
　　除了上述以美國為首發(fā)布的法案等以外，各國及其他相關組織也相繼出臺了公司治理與內部控制的標準規(guī)范，如加拿大特許會計師協(xié)會（CICA）的《控制指南》，內部審計師協(xié)會（IIA）的內部審計標準委員會（IASB）制定的“內部控制指南”等，林林總總，不一而足。
　　3.國內背景
　　從中國情況來看，同樣，我國的上市公司財務報告舞弊事件也層出不窮，而且有與國外不同的特點。自1996年起，國務院、財政部等陸續(xù)頒布了一系列的內部控制評價準則和規(guī)范（相當一部分屬于會計控制和審計方面）。而2007年3月財政部會計司《企業(yè)內部控制規(guī)范——基本規(guī)范》和17項具體規(guī)范（征求意見稿）作為企業(yè)建立健全內部控制制度的基礎依據和基本參照，是到目前為止有關企業(yè)內部控制規(guī)范的最新文本，該征求意見稿經進一步修訂與完善后，將作為正式文件公布。
　　上述文件雖然從不同側面對內部控制問題作了若干規(guī)定，但總體來說，如何從信息系統(tǒng)的角度來實現(xiàn)這些準則和規(guī)范，則比較欠缺。
　　4.從其現(xiàn)實意義來說
　　（1）是發(fā)展市場經濟，實行公司治理和加強內控的需要。溫家寶同志在十屆全國人大四次會議上作《政府工作報告》時強調，要“完善公司治理，健全內控機制”。所謂公司治理，狹義的角度是指所有者主要是股東對經營者的一種監(jiān)督與制衡機制，即通過一種企業(yè)組織和制度安排，來合理地處理所有者與經營者之間的權利與責任關系。廣義的角度則是指有關企業(yè)控制權和剩余索取權分配，包括法律、文化、組織等手段在內的一整套制度安排。從公司治理與內部控制的關系來說，公司治理是內部控制的組織保證，其職責就是確保內部控制方案的適當性及內部控制的有效實施。而內部控制則是公司治理的核心和關鍵環(huán)節(jié)，它使公司治理落到實處。
　　“完善公司治理，健全內控機制”是構成市場經濟的各個細胞正常地運作，使市場經濟得到健康發(fā)展的必要條件。
　　（2） 是企業(yè)風險防范控制的需要。企業(yè)在市場經濟環(huán)境中，不可避免地會遇到各種風險。企業(yè)的各級管理人員首先要樹立風險意識，同時要針對各個風險控制點，建立有效的風險管理系統(tǒng)，實行流程控制。通過風險識別、風險預警、風險評估、風險報告、風險規(guī)避、風險防范等措施，對財務風險和經營風險等進行全面防范和控制。在企業(yè)風險防范控制方面，公司治理是組織應對風險的戰(zhàn)略反應，公司治理本身就包含一些戰(zhàn)略性的內部控制的因素（引自http://zhidao.baidu.com/question/8616252.html?fr=grl）。而內部控制的首要任務是搞好企業(yè)風險防范控制，其目的就是要保證企業(yè)在充滿風險的市場競爭中立于不敗之地，以盡可能小的代價和犧牲獲得最大的成果和收益。
　　風險防范控制是企業(yè)一項基礎性和經常性的工作，企業(yè)內部控制機構中應當有專門從事風險評估和控制的部門或崗位，負責有關風險的識別、預警、報告、規(guī)避和防范等工作。
　　（3）是我國企業(yè)參與全球競爭、走出國門的需要。胡錦濤同志在黨的十七大上的報告中提到：堅持對外開放的基本國策，把“引進來”和“走出去”更好地結合起來，擴大開放領域，提高開放質量，完善內外聯(lián)動、互利共贏、安全高效的開放型經濟體系，形成經濟全球化條件下參與國際經濟合作和競爭新優(yōu)勢。深化沿海開放，加快內地開放，實現(xiàn)對內對外開放相互促進。創(chuàng)新對外投資和合作方式，支持企業(yè)在研發(fā)、生產、銷售等方面開展國際經營，加快培育我國的跨國公司和國際著名品牌。特別提到要注重防范國際經濟風險。
　　因此，我國企業(yè)要走出國門、參與全球競爭，或者要在海外上市，就必須了解薩班斯法案、 COSO的有關規(guī)定和國際會計準則、上市規(guī)則。對企業(yè)的審計要求，研究國際環(huán)境下風險管理型的企業(yè)對內部控制的要求等。
　　
　　（二）研究要達到的目標
　　1.跟蹤和收集國內外的有關文獻、案例與實證研究資料，比較研究我國及其他國家發(fā)布的有關法案、規(guī)范、制度和規(guī)定；
　　2.立足國情，實行創(chuàng)新，提出既與國際接軌的，又適應我國企業(yè)現(xiàn)實的風險管理型企業(yè)內部控制，特別是會計控制的理論體系；
　　3.重點是基于IT環(huán)境，落實在風險管理型企業(yè)內部控制信息系統(tǒng)的設計與實施，特別是會計控制信息系統(tǒng)的設計與實施上；
　　4.發(fā)表有關學術論文和著作。
　　
　　（三）研究方法
　　1.規(guī)范研究與案例分析、實證分析相結合；
　　2.定性與定量分析相結合；
　　3.尋找戰(zhàn)略伙伴，成立聯(lián)合課題組：（1）與企業(yè)相結合，特別是準備“走出去”和“海外上市”的企業(yè)，協(xié)助它們設計與建立與國際接軌的基于信息技術的風險管理型的企業(yè)內部控制，特別是會計控制體系；（2）與軟件公司相結合，協(xié)助它們設計與完善基于信息技術的風險管理型的企業(yè)內部控制（含會計控制）通用/專用軟件系統(tǒng)。
　　
　　（四）主要內容
　　本文第一章緒論部分，介紹了課題研究背景、意義、目標和研究方法；第二章從論述風險與風險管理入手，分析了風險與風險管理的定義、重點放在企業(yè)可能遇到的風險及其對策上，提出了在市場經濟條件下，風險不僅僅是一種可能遇到的給企業(yè)帶來經濟損失的危險，更重要的是一種獲得經濟利益的一種機會。從某種意義上說，企業(yè)的成長與發(fā)展是不斷適應風險、控制和利用、駕馭風險的結果。提出企業(yè)要由對待風險的消極避讓轉向積極應對，在與風險的搏擊中為企業(yè)的發(fā)展謀求最大利益的觀點，這也是本文討論風險管理型內部控制體系建設的基本出發(fā)點；第三章圍繞會計控制與會計信息化在新形勢下的發(fā)展，提出會計信息化的新階段就是風險管理型會計控制信息系統(tǒng)的建設。其特點首先是與國際接軌，必須符合COSO對風險管理型內部控制的要求，以及COBIT對信息系統(tǒng)評價和治理的要求。其次，作為風險管理型內部控制主體部分的會計控制系統(tǒng)更多的是解決半結構性問題和非結構性問題，需要“量體裁衣”、“看菜吃飯”，根據用戶的不同需求及原來所用的計算機系統(tǒng)不同而有所不同，這將是一種個性化全新的系統(tǒng)設計，也是本文對風險管理型會計控制體系建設的基本觀點，該章還以金蝶公司在這方面所做出的嘗試作為案例展開討論；第四章提出了對策建議與進一步研究的方向。
　　
　　二、風險管理與內部控制
　　
　　（一）風險與企業(yè)風險
　　首先，什么是風險？
　　“風險”一詞，早已有之。古時候，漁民們在出海捕撈打魚的生活中，最大的危險來自大海的風暴，所以，沿海地區(qū)眾多的媽祖廟、觀音殿也都是人們祈求大海風平浪靜，保佑平安的一種精神寄托。在漁民的眼光中，“風”即意味著“險”，因此在遠古時期就有了“風險”的說法。
　　另一種說法是風險（RISK）來自拉丁語，也有的說來自阿拉伯語、西班牙語，但比較權威的說法是來源于意大利語的“RISQUE”一詞。在早期的運用中，也是被理解為客觀存在的危險，體現(xiàn)為對人們生活帶來不利影響的自然現(xiàn)象或者航海遇到礁石、風暴等不測事件（引自http://baike.baidu.com/view/156901.htm）。
　　現(xiàn)代意義上的風險一詞，不僅僅包含上述的一些傳統(tǒng)意義上的理解，而且在概念上得到了極大的發(fā)展，首先它是與客觀事物的不確定性緊密聯(lián)系在一起的一種概念。如《中國大百科全書——經濟學》一書中，對風險的定義是：“由于當事者主觀上不能控制的一些因素的影響，使得實際結果與當事者的事先估計有較大的背離而帶來的經濟損失”（《 中國大百科全書出版社，1988年版，P165-166）。請注意，在這里風險是與損失聯(lián)系在一起的概念。大家知道，客觀事物的不確定性不是當事者的主觀愿望所能避免的，正如有一句名言所說的那樣：“世界上唯一能確定的事物是它的不確定性”，又由于客觀事物的不確定性是無時無刻都始終存在著的。所以，只要存在著客觀上的不確定性，就有可能碰到未能預見的結果，所謂“事與愿違”；而且還可能遭受破壞或損失，甚至對生命和財產構成危險。可以這樣說，客觀世界中，風險是無時不在，無處不在的。
　　
　　其次，企業(yè)風險是企業(yè)在市場經濟激烈競爭的內外環(huán)境中所可能遇到的各種風險，如：市場風險、產品風險、投融資風險、經營決策風險、財務風險、兼并風險、股市風險、借貸風險、擔保風險、政策風險等，稍有不慎，就會遭受損失，甚至遭受破產的威脅。我們在這里研究的不是一般意義上的風險，而是針對企業(yè)的風險，主要是財務風險和經營風險及企業(yè)風險管理問題。
　　進一步講，風險又是與企業(yè)獲利機會密切相關的一個概念。從某種意義上說，風險就是會給企業(yè)帶來收益的機會。要想得到收益，也就必須承擔必要的風險，要想得到較大的收益，也就必須承擔較大的風險。從現(xiàn)代投融資管理理論來說，與上述僅僅將風險與損失聯(lián)系在一起的觀念有很大不同的地方，在于傳統(tǒng)意義上的風險（Risk）指的不確定性，僅僅是一種損失和失敗的可能性，沒有主動成份；而現(xiàn)代意義上的風險所指的不確定性，除損失和失敗的可能性外，更有冒險（Venture）、敢于創(chuàng)新的意思。
　　例如風險投資（Venture Capital），它從廣義上講是指向風險項目的投資。根據國際經濟合作和發(fā)展組織（OECD）的定義為：向以高科技和知識為基礎，生產與經營技術密集的創(chuàng)新產品或服務的投資。從狹義上講是指向高風險、高收益、高增長潛力、高科技項目的投資。根據美國全美風險投資協(xié)會的定義：風險投資是由職業(yè)金融家投入到新興的、迅速發(fā)展的、有巨大競爭力的企業(yè)的一種權益資本。風險投資既不是單純意義上的風險（Risk)，又不是單純意義上的投資（Investment）。它不僅指人們從事經濟活動時所伴隨的不可避免的風險，還指一種主動地承擔風險的行為。在這里，風險與收益聯(lián)系在一起，而且收益與風險成正比。風險程度越高，其可能帶來的收益也就越大，除了無風險收益的因素以外，風險收益的大小往往成為投融資方案取舍的依據。從投資風險價值(Risk Value of Investment) 的涵義來說，它是指投資者由于敢冒風險進行投資而獲得的超過資金時間價值的額外收益。因此，在不考慮通貨膨脹的情況下，投資收益率=無風險投資收益率+風險投資收益率。風險大小的計量，通常是采用數(shù)學中的概率計算和統(tǒng)計方法得出，包括報酬率期望值、標準差的指標等。
　　因此，從現(xiàn)代市場經濟的觀點來看，風險不僅僅是一種可能遇到的危險，更重要的是獲得利益的一種機會，企業(yè)除了要有風險規(guī)避和防范的本領外，更重要的是要有適應風險、駕馭風險的本領，敢于和善于在充滿風險的市場經濟激烈競爭的風浪中搏擊，進行風險目標設定、風險評估和風險對策，從而由對待風險的消極避讓轉向積極應對，為企業(yè)的發(fā)展謀求最大利益。從某種意義上說，企業(yè)是依靠風險而存在并發(fā)展的。 這也是本文對待風險的主要觀點和設計風險管理型的企業(yè)內部控制體系，特別是會計控制體系的重要出發(fā)點。
　　
　　 (二) 企業(yè)風險管理
　　1.企業(yè)風險管理定義
　　風險管理是企業(yè)通過對風險進行識別、分析和評估，設計并實施風險管理解決方案，運用合理的經濟和技術手段對風險予以回避、減緩、分散、轉嫁、接受、利用等風險對策，以最小的成本獲得最大安全保障，并進一步利用風險來獲得利益的一種管理行為（就像戰(zhàn)爭中的一個基本原則“保存自己，消滅敵人，爭取勝利”那樣），也是對風險管理解決方案實施進行監(jiān)測，使企業(yè)達到其戰(zhàn)略目標的一種管理過程。
　　風險管理是現(xiàn)代企業(yè)最本質的核心競爭力；是現(xiàn)代企業(yè)制度建設的重要內容；是現(xiàn)代企業(yè)可持續(xù)性發(fā)展的基本保證（引自http://studa.net/）。
　　2.企業(yè)風險種類
　　按來源分類，我們可將風險歸結為兩大因素：
　　（1）與外部經營環(huán)境有關的風險因素：主要來自宏觀環(huán)境、監(jiān)管機構、競爭對手、新技術新工藝、金融市場、政治法律、社會文化等，如：市場風險、外匯風險、利率風險、購并風險、自然災害風險、政策風險、訴訟風險、國際形勢風險等。
　　（2）與企業(yè)內部環(huán)境有關的風險因素：主要來自戰(zhàn)略及決策、經營及管理、人員誠信、管理信息等，如：產品風險、經營風險、合同風險、債務風險、投融資風險、體制風險、人事風險、擔保風險、資金風險等。
　　3.風險決策
　　風險決策是針對不確定性事件的決策。根據決策論的原理，通過計算機信息系統(tǒng)對未來事件的各種可能發(fā)展的客觀狀態(tài)進行概率估計和計算期望值，在各種不同的方案中加以優(yōu)選。首先將各個方案的期望值計算結果與設定的目標相比較，然后從中優(yōu)選相對風險較小而期望值較大的方案。這里有單一目標決策和多目標決策問題，也有決策者對風險態(tài)度的效用曲線（Utility curve）的應用，或叫做風險偏好問題。
　　因為決策者的社會地位、資歷與經驗和所處決策環(huán)境的各不相同，同樣的風險在抱有不同態(tài)度的管理人員面前，其對風險程度的主觀評價和接受與否的態(tài)度是大不一樣的。有的人敢冒大的風險去獲取大的利益，遭受大的損失也在所不惜，而有的人為避免遭受大的損失，寧可放棄一些風險大的方案，因而可能失去較大利益。就前者而言，他們在心理上對利益敏感，對損失相對不怎么敏感，接受風險的能力較強，失敗時遭受損失的可能性也較大；就后者而言，他們在心理上對損失敏感，所做的決策以少受最好不受損失為前提，接受風險的能力較弱，失敗時遭受損失的可能性相對較小。這時，同樣的風險程度對不同風險偏好的人就有不同的效用系數(shù)，這在有些銀行所做的對其顧客在具有不同風險程度的理財產品間選擇的調查中很明顯。
　　然而，客觀事實也不盡如此，不一定敢冒風險的人，遇到損失的可能性比不愿冒風險的人來得大。在商戰(zhàn)中同樣用得上戰(zhàn)場中的一句話，叫“狹路相逢勇者勝”，例如，為了避免多進貨可能賣不出去，造成庫存積壓的風險，經銷商“該進不進”， 結果喪失了市場銷路火暴時獲得大利的機會，這同樣是一種損失，叫機會損失，比萬一賣不出去造成的庫存積壓帶來的損失要大得多；或者美元持有者做美元理財產品，明明看到美元相對于人民幣在貶值，但為了避免將美元換成人民幣所帶來的結匯損失和放棄美元理財產品的美元利率損失，而采取觀望態(tài)度，繼續(xù)保持美元，“該出不出”，結果美元理財產品到期日，美元對人民幣的匯率大幅下跌，就可能不僅區(qū)區(qū)的美元利息無法彌補，而且跌進了肉里，使得許多美元持有者叫苦不迭。這時，對風險采取保守態(tài)度的人來說，恰恰是也有可能是遭受更大損失的人。所謂“發(fā)展是硬道理”，在企業(yè)發(fā)展過程中，抓住機遇，迎難而上所遇到的風險往往要比不努力發(fā)展、墨守成規(guī)所遇到的風險來得小，容易克服，這在我國曾一度十分輝煌的手表行業(yè)的跌宕起伏的事例中可見一斑。
　　如何進行具體計算與分析效用系數(shù)，是一門牽涉到心理學、社會學、領導學、信息技術和概率論、數(shù)理統(tǒng)計等多種學科和模擬、仿真技術應用的復雜的學問；另外，在決策中還涉及很多方面，如分段決策、后續(xù)決策等方式，預測與決策的各種定性與定量分析的應用等，本文不再贅述。
　　4.風險對策
　　（1） 回避風險。回避一些可能給企業(yè)帶來損失的經營業(yè)務與投資方案。如：拒絕向信用不佳的廠商提供信用業(yè)務；新產品在試制階段遇到很難解決的技術問題，或者發(fā)現(xiàn)市場前景有可能發(fā)生逆轉時果斷停止試制；在投融資過程中，發(fā)現(xiàn)有投資可能收不回來的情況時，要采取果斷措施收回投資，哪怕是受些損失及時收回也比血本無歸為好。對于一些私營業(yè)主來說，因為法律保障人壽保險金不受企業(yè)清算時必須償還債務的影響，為了規(guī)避企業(yè)破產可能帶來的個人與家庭財產的損失，甚至淪落到“一貧如洗”的悲慘景況，為本人及家人投保人壽保險不失為一種規(guī)避經營風險的良方。
　　
　　（2） 減緩風險。當風險無法回避時，可以設法減少或延緩風險的發(fā)生。如：在決策方案中優(yōu)選期望值雖差不多，而風險系數(shù)比較小或方差較小的方案，以及在發(fā)生不可預見的情況下，及時采取替代方案；有些建設工程投資項目在客觀條件不利的情況下，如按原定的投資時間及規(guī)模開工，還不如延緩，待條件具備或市場好轉時再開工為好，那時，就果斷地采取延緩措施，即使因延緩工程會帶來一定經濟損失，也是值得的。
　　（3）分散風險。典型的例子是：在金融、證券投資上進行品種、期限、幣種的多元化組合，即所謂“不要把所有雞蛋都放在一個籃子里”的做法，以及投融資項目中的“利益共享、風險共擔”原則的運用等。
　　（4）轉嫁風險。對有可能轉移或轉嫁出去的風險，采取如：與其是企業(yè)獨自承擔可能的市場與技術風險，不如企業(yè)把工程和產品零部件的生產制造轉包給其他企業(yè)，從而把部分風險轉移出去；利用套期保值交易的手段，通過在期貨市場做套頭買賣交易，規(guī)避企業(yè)因受外匯價格波動或重要原材料的供應價格變化可能帶來的損失；向保險公司投保，購買商業(yè)保險、財產保險、職工人壽保險；保險與再保險等。
　　（5）接受風險。有些風險是與收益共生的，為了達到預期的收益目標，企業(yè)就必須在力所能及的范圍內承擔風險，如風險投資中，投資者對風險項目及風險型企業(yè)及風險企業(yè)家的選擇；企業(yè)每月積存一筆應付事故的基金用于項目進程中發(fā)生事故時抵償損失等。
　　（6）利用風險。在風險投資過程中， 風險投資者往往從眾多項目中篩選出那些高風險、高收益、高增長潛力的項目進行投資，以及上述風險決策中通過計算機信息系統(tǒng)對未來事件的各種可能發(fā)展的客觀狀態(tài)進行概率估計和計算期望值，計算風險效用系數(shù)，在各種不同的方案中加以優(yōu)選都是利用風險獲得預期收益的典型例子。
　　
　　（三）內部控制與企業(yè)風險管理
　　1.內部控制概念的演變
　　大致可劃分為五個歷史階段：
　　第一階段：上世紀40年代前，稱為內部牽制階段。
　　其主要特點是以任何個人或部門不能控制任何一項或一部分業(yè)務權力的方式進行組織上的分工，每項業(yè)務通過正常發(fā)揮其他個人或部門的功能進行交叉檢查或交叉控制。
　　第二階段：40年代末至70年代，稱為內部控制制度階段。
　　1949年，美國會計師協(xié)會的審計程序委員會在《內部控制，一種協(xié)調制度要素及其對管理當局和獨立注冊會計師的重要性》的報告中，對內部控制首次作了定義：
　　“內部控制包括組織機構的設計和企業(yè)內部采取的所有相互協(xié)調的方法和措施。這些方法和措施都用于保護企業(yè)的財產，檢查會計信息的準確性，提高經營效率，推動企業(yè)堅持執(zhí)行既定的管理政策。”
　　1958年10月該委員會發(fā)布的《審計程序公告第29號》對內部控制定義重新進行表述，將內部控制分為內部會計控制和內部管理控制。
　　內部會計控制包括組織規(guī)劃和所有方法和程序，這些方法和程序與財產安全和財物記錄可靠性有直接的聯(lián)系。這些控制包括授權與批準制度、從事財務記錄和審核與從事經營或財物保管職務分離的控制、財產的實物控制和內部審計。
　　內部管理控制包括組織規(guī)劃和所有方法和程序，這些方法和程序主要與經營效率和貫徹管理方針有關，通常只與財務記錄有間接關系。這些控制一般包括統(tǒng)計分析、時動研究即工作節(jié)奏研究、業(yè)績報告、員工培訓計劃和質量控制。
　　第三階段：80年代至90年代，稱為內部控制結構階段。
　　1988年美國注冊會計師協(xié)會發(fā)布《審計準則公告第55號》（SAS55），從1990年1月起取代1972年發(fā)布的《審計準則公告第1號》。該公告首次以“內部控制結構”代替“內部控制”，指出“企業(yè)的內部控制結構包括為提供取得企業(yè)特定目標的合理保證而建立的各種政策和程序”。內部控制結構包括三個要素，它們是控制環(huán)境、會計系統(tǒng)、控制程序。
　　“內部控制包括組織機構的設計和企業(yè)內部采取的所有相互協(xié)調的方法和措施。這些方法和措施都用于保護企業(yè)的財產，檢查會計信息的準確性，提高經營效率，推動企業(yè)堅持執(zhí)行既定的管理政策。”
　　第四階段：進入90年代后，以上述《COSO內部控制整合框架》為代表，稱為內部控制框架階段。（引自朱榮恩：《內部控制評價》 中國時代經濟出版社，2002年版）這是迄今為止對內部控制階段的一般劃分方法，其中很多概念和方法沿用至今。無論是內部控制結構階段或內部控制框架階段，內部會計控制始終是內部控制的基本和主體部分。
　　進入21世紀，由于內部控制的理論與實踐的實質性的重大發(fā)展，筆者把它列為新的第五階段。它以企業(yè)全面風險管理（CERM：Comprehensive Enterprises Risk Management）理論和COSO《企業(yè)風險管理整合框架》為代表，稱為風險管理型內部控制體系階段，是本文下面要重點闡述的內容。
　　這五個階段并非后者否定前者，而是后者包容前者，不斷繼承發(fā)展的過程，無論是上面提到的內部牽制，還是內部控制制度，或者查錯防弊、內部審計以及一系列內部會計控制的方法等，在風險管理型內部控制體系中都占有極為重要的地位。
　　2.風險管理型內部控制體系
　　風險管理型內部控制體系的理論與實踐來自兩個方面：一方面是由斯坦福大學研究院提出的全面風險管理（CERM：Comprehensive Enterprises Risk Management）理論，該理論著重在決策層面上管控戰(zhàn)略方向選擇、重大業(yè)務決策等方面的風險，側重在戰(zhàn)略層面上的風險管理，其表現(xiàn)形式是建立企業(yè)的全面風險管理概念性框架。另一方面，是以內部控制為中心的COSO風險管理框架——COSO《企業(yè)風險管理整合框架》，它強調通過制度、流程和財務等手段，在業(yè)務層面上管控運營、操作過程中的風險，側重在操作層面上的風險管理，其表現(xiàn)形式是建立風險管理型的內部控制整合框架。
　　兩者的有機結合，構成較為完整的企業(yè)全面風險管理體系。
　　COSO《企業(yè)風險管理整合框架》，在原先的《COSO內部控制整合框架》五個要素：（1）控制環(huán)境；（2）風險評估；（3）控制活動；（4）信息與溝通；（5）監(jiān)控的基礎上， 發(fā)展成八個：（1）內部環(huán)境；（2）目標設定；（3）事項識別；（4）風險評估；（5）風險應對；（6）控制活動；（7）信息與溝通；（8）監(jiān)控。從五個要素增加到八個要素，主要是體現(xiàn)了風險管理的要求，如其中：（2）目標設定，主要是戰(zhàn)略風險目標設定；（3）事項識別，主要是風險事項識別；（4）風險評估；（5）風險應對；（6）控制活動，主要是風險事項控制活動。這八個要素相互關聯(lián)，貫穿于企業(yè)風險管理的全過程中。COSO《企業(yè)風險管理整合框架》是一種三維結構。X軸是代表企業(yè)目標，有：戰(zhàn)略目標、經營目標、財務報告目標以及遵循合法性目標；Y軸是代表內部控制各要素；Z軸是代表企業(yè)的各層次，如：企業(yè)整體層次、分支機構、業(yè)務單位和子公司等，表示其全面體現(xiàn)這三個維度的有機聯(lián)系。下面通過風險管理型內部控制體系建設來具體討論。
　　全面風險管理的層次如圖1所示。
　　
　　
　　三、會計控制信息系統(tǒng)
　　
　　（一）會計信息化的新階段
　　會計信息化的早先名稱是會計電算化，它起源于20世紀70年代末期、80年代初期。一般認為是以1979年長春第一汽車制造廠在有關部門支持下，進行電子計算機在會計工作中應用的試點作為開始標志的。隨后，1981年8月，在財政部、機械工業(yè)部和中國會計學會的支持下，在長春第一汽車制造廠召開了財務、會計、成本核算管理中應用電子計算機專題學術討論會，把“電子計算機在會計中的應用”簡稱為“會計電算化”，以后，逐步得到了社會的公認。在當時，主要解決的是以計算機代替手工記賬、算賬、報賬的問題。經過近30年來的發(fā)展，有了長足的進步，從單純的模擬手工的軟件單項應用發(fā)展到系統(tǒng)應用，成為當前企業(yè)信息化的主要構成部分，其名稱也從“會計電算化”轉向“會計信息化”。它經歷了以下幾個階段：
　　
　　1.初期試點階段，20世紀70年代末期至80年代中期
　　其特點是將計算機用來記賬、編制財務報表，計算工資、成本等單項應用，中央和地方的各主管部門組織所屬單位的一些力量進行軟件設計與在部門內的推廣工作，計算機的軟硬件水平相對都比較低，基本上是低水平的重復開發(fā)。
　　2.商品化軟件發(fā)展階段，20世紀80年代中期至90年代中期
　　其標志是1988年由財政部和中國會計學會組織的“會計電算化研究組”在吉林市吉林化學工業(yè)公司召開的全國首屆會計電算化學術討論會，提出了會計軟件要走商品化和通用化的道路，建設商品化會計軟件公司和發(fā)展軟件市場的觀點。20世紀80年代中期開始，一些商品化會計軟件公司紛紛成立，開發(fā)并銷售會計電算化應用軟件，計算機的軟硬件水平有了較大提高。
　　3.向管理軟件發(fā)展階段，20世紀90年代中期至21世紀初
　　其標志是1996年由財政部和中國會計學會組織的“會計電算化研究組”在北京召開的第二次全國會計電算化討論會，提出了發(fā)展管理軟件的觀點，各商品化軟件公司紛紛推出了自己的管理軟件。隨著互聯(lián)網和現(xiàn)代化信息技術的發(fā)展和國際上從MRP、MRPII向ERP的發(fā)展及其進入中國市場，網絡化的會計軟件及作為ERP組成部分的系統(tǒng)得到很大發(fā)展，基本消除了會計信息與其他信息相割裂的“信息孤島”現(xiàn)象，實現(xiàn)了信息的集成化。在此期間，計算機的軟硬件水平有了很大提高，特別是隨著市場經濟的高度發(fā)展以及現(xiàn)代金融、證券、保險、期貨等手段和金融衍生工具的層出不窮，對于廣大企業(yè)來說，已不再是單純的生產經營單位，投融資和資本運作集團的內部財務資金管理居于越來越重要的地位，集團財務管理以及控制決策軟件大量涌現(xiàn)，出現(xiàn)了一批有一定實力的從事會計及企業(yè)信息化軟件生產和銷售的企業(yè)，初步形成了民族信息產業(yè)。
　　在此期間，會計信息化的理論研究及產學研相結合也得到很大發(fā)展。從2002年開始，全國性的會計信息化的年會至今已舉行了六屆，分別在上海、杭州、長沙、太原、合肥、重慶等高校舉行，第七屆全國會計信息化年會年內將在大連召開。
　　4.向風險管理型會計控制信息系統(tǒng)發(fā)展的新階段
　　自21世紀中葉開始，是企業(yè)內部控制與風險管理緊密結合的階段，同樣對會計信息系統(tǒng)也提出了新的要求，使會計信息化向財務風險管理的會計控制方向發(fā)展，風險管理型會計控制信息系統(tǒng)與目前一般的會計信息系統(tǒng)有其不同的特點，表現(xiàn)在：
　　（1）與國際接軌。無論是風險管理及內部控制的理念、信息系統(tǒng)設計思想與方法均須按照全面風險管理的框架和COSO、COBIT的要求進行（注：COBIT是Controlled Objectives for Information and Related Technology的縮寫，即信息及相關技術的控制目標。由ISACA——信息系統(tǒng)審計和控制聯(lián)合會制訂的基于IT治理概念的、面向IT建設過程的信息系統(tǒng)審計和評價的標準。它是西方發(fā)達國家總結了幾十年來信息化建設的經驗，將 “企業(yè)治理”的概念引入到信息化領域而提出的“IT治理”的概念的具體體現(xiàn)。信息化建設過程實質上就是一個對IT進行治理的過程，COBIT是對信息化建設成果的評價。按照系統(tǒng)屬性可以劃分為若干方面，如：對最終成果評價、對建設過程評價、對系統(tǒng)架構評價等，它將信息化建設的管理提升到了一個新的高度。引自“IT治理的重要參考標準-COBIT”http://www.amteam.org/k/ITSP/2004-3/474574.html）；同時，也要符合我國企業(yè)走出國門，到海外上市等的要求。
　　（2）風險管理型會計控制信息系統(tǒng)作為風險管理型內部控制系統(tǒng)的主要組成部分，可以這樣說，價值量的內部控制信息要占到企業(yè)全部內部控制信息量的70%以上，特別是在現(xiàn)代市場經濟和國際金融高度發(fā)展的情況下，其所起的作用和重要性遠非原有的會計控制在企業(yè)中的地位可比，會計的反映、監(jiān)督的職能，特別是控制與參與決策的職能將達到極大程度的發(fā)揮。在新的條件下，會計信息化在企業(yè)信息化中的地位與作用也將發(fā)生巨大的變化，這是一種質的飛躍。
　　（3）由于戰(zhàn)略風險管理雖然其概念框架具有共性，但在不同的企業(yè)，其所處的內外環(huán)境很不相同，可能遇到的風險類型、風險偏好及風險應對上也是“因險而異”和“因企業(yè)而異”的，具有極大的不確定性。在信息系統(tǒng)的設計上就必然體現(xiàn)較強的個性化，這與從解決結構性問題著手，按會計制度嚴格規(guī)定的程序、方法進行記賬、算賬、報賬的會計電算化發(fā)展起來的一般的會計信息化有本質上的不同。風險管理型會計控制信息系統(tǒng)更多的是解決半結構性問題和非結構性問題，需要“量體裁衣”、“看菜吃飯”，根據用戶的不同需求及原來所用的計算機系統(tǒng)不同而不同，將是一種全新的系統(tǒng)設計。由初期的會計電算化個性軟件的開發(fā)，發(fā)展到商品化、通用化會計軟件的開發(fā)，又發(fā)展到新的更高層次的，面對不同企業(yè)需求的風險管理型會計控制信息系統(tǒng)個性化軟件系統(tǒng)的設計與開發(fā)，符合 “否定之否定”的事物螺旋式上升的規(guī)律，是一種質的飛躍與進步。具體在下節(jié)展開討論。
　　
　　（二）風險管理型會計控制信息系統(tǒng)建設
　　風險管理型會計控制信息系統(tǒng)從會計的反映、監(jiān)督、控制和參與決策的職能來說，它既是一個相對獨立的系統(tǒng)，又是企業(yè)風險管理型內部控制信息系統(tǒng)的一個重要和基本的組成部分，同樣具有COSO《企業(yè)風險管理整合框架》中的八個構成要素，分述如下：
　　1.會計控制的內部環(huán)境
　　首先，它包括下列內容：
　　（1）董事會、監(jiān)事會、及審計、預算、薪酬等專業(yè)委員會的組成，獨立董事的構成，及他們在企業(yè)戰(zhàn)略風險管理中發(fā)揮的作用。
　　（2）風險管理理念、風險偏好和應對方式，對會計和內審工作人員來說，就是有關財務風險、資金風險、投融資風險等的管理理念、偏好與應對能力與方式。
　　（3）員工的誠信與道德