前言：本站為你精心整理了會計控制信息系統范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

【摘要】本文圍繞會計控制與會計信息化在新形勢下的發展，從論述風險與風險管理入手，指出了在市場經濟條件下，風險不僅僅是一種可能遇到的給企業帶來經濟損失的危險，更重要的是獲得經濟利益的一種機會，企業除了要規避和防范風險外，更重要的是要有適應風險、駕馭風險的能力，從而由對待風險的消極避讓轉向積極應對，為企業的發展謀求最大利益。在此基礎上筆者研究了企業全面風險管理體系建設問題；探討了內部控制概念的演變、新形勢下的企業內部控制體系，重點論述了會計控制體系問題；提出了會計信息化的新階段應是建立以會計控制為主體的風險管理型內部控制信息系統的觀點；最后提出了對策建議和進一步研究的方向。

【關鍵詞】風險管理；內部控制；會計控制；信息系統

一、緒論

(一)研究背景、目的及意義

1.隨著企業信息化的發展，信息技術與經濟業務的不斷融合，所有企業經濟業務的發生都離不開信息技術平臺

會計信息化是企業信息化的重要組成部分，研究會計信息化的定位應當從會計所處的信息化環境出發。無論是企業信息化，還是會計信息化，都是基于Internet、Intranet和Extranet的互聯網基礎上的，企業的經營活動則是在網絡經濟的基本形式——電子商務及隨之發展的網絡財務、網絡會計和網絡審計的運行環境中進行的。企業的財會信息是企業最為重要的管理信息?？梢哉f，沒有財會信息這種價值量的連續、綜合和系統的信息，一切管理信息都是不完整和不完善的，沒有財會信息的網絡化，也就沒有企業信息的網絡化。當今世界，會計信息系統（AIS-AccountingInformationSystem）作為企業資源計劃（ERP-EnterpriseResourcePlanning）的一個重要的子系統，與各業務子系統實現了高度的信息集成。以EPR為代表的企業信息化的重要特征就是供應鏈管理和信息的高度集成，而會計信息化提供的正是供應鏈管理中連續、綜合和系統的信息，反映與控制的是整個供應鏈中資金的信息流，相對于物質的信息流這是更重要的信息流，它控制著物流，影響著資本的保值與增值，以及企業內外部信息使用者的需要。（引自金光華“在企業信息化環境中的會計信息化定位研究”《中國管理信息化》2005年第2期）因此，會計信息系統所反映和監督的資金流動及其信息流，控制著業務信息系統的物質流動及其信息流。會計信息系統反映、監督和控制、參與決策的職能正是企業內部控制職能的主體部分。

當前，企業內部控制問題已經成為國內外關注的熱點問題。但是，人們卻對基于信息技術的企業內部控制問題，特別是基于信息技術的風險管理型的企業內部控制及其解決思路缺乏研究與對策。這與當前經濟發展形勢不相適應。同樣，研究內部控制問題，也不能不研究它的主要方面——會計控制問題，本文正是從基于信息技術的風險管理型會計控制角度來研究內部控制的。

根據美國上市公司的調查資料（見表1），表中列出的內部控制，主要是會計控制的一些主要方面：收入確認、固定資產、財務報告和結賬、采購付款、人力資源（工資和福利費用）、公司層面的控制、信息技術控制等，其中信息技術控制的缺陷占據了內部控制缺陷的最大比例。

表1美國上市公司在各業務流程中存在的控制缺陷、顯著性缺陷和實質性漏洞所占的比例

（數據來源：畢馬威404學會的調查，2005.2）

因此，從信息技術角度看，與其說是解決企業內部控制問題，不如說是解決基于信息技術的企業內部控制問題，主要是企業內部控制信息系統的整體框架、體系問題，而企業內部控制中大量和基本的是屬于會計控制方面的事項。正是基于這樣背景，有必要對基于IT環境的企業內部控制信息的體系，重點是會計控制信息體系進行研究。

2.國際背景

從國際背景看，財務報告舞弊是一個全球性的問題，而會計數據造假則是不法分子，主要是心懷不軌的公司管理層進行財務欺詐、財務報告舞弊的主要手段，通過所提供的失真的會計數據，經過信息系統加工處理而的虛假財務會計信息，欺騙投資者和社會公眾，其直接后果就是造成社會財富的非公平轉移和廣大投資者的巨額損失。筆者發表于《上海立信會計學院學報》2007年第6期上的文章“財會信息系統中原始數據失真問題研究”中提到：“財務會計領域中，許多財務舞弊案件是由于財會信息系統加工的原始數據失真所造成的，而且其中多數是公司管理層蓄意造假的故意行為，而并非是信息系統本身出了什么毛病?！蔽恼赂鶕璞桌碚摲治隽嗽斐稍紨祿д娴脑?。面對非故意行為與故意行為，研究了技術與非技術層面的對策措施，特別是針對公司管理層蓄意造假的故意行為提出了相應的對策?！痹趯Σ咧械囊粋€重要內容就是：“加強公司治理和內部控制，加大公司的財務報告責任和財務披露義務?！?/p>

國際上，為了應對日益猖獗的會計造假和財務報告中的舞弊，1985年，由美國注冊會計師協會(AICPA)、美國會計協會(AAA)、財務經理人協會(FEI)、內部審計師協會(IIA)、管理會計師協會(IMA)等聯合創建了反虛假財務報告委員會（通常稱Treadway委員會）。該委員會目的在于針對財務報告中的舞弊（會計控制的重要方面），分析其產生的原因及解決辦法。1987年，基于該委員會的建議，成立了COSO（CommitteeofSponsoringOrganization-發起組織委員會），專門研究內部控制問題，了《COSO內部控制整合框架》。該框架自以來，得到了廣泛認可，并在多數國家應用。在應用過程中，理論界和實務界對其提出了一些改進建議，特別是強調內部控制整合框架的建立應與企業風險管理相結合。（引自）

2002年美國國會針對安然、世通等財務欺詐事件，出臺了《2002年公眾公司會計改革和投資者保護法案》。該法案由美國眾議院金融服務委員會主席奧克斯利和參議院銀行委員會主席薩班斯聯合提出，又被稱作《2002年薩班斯—奧克斯利法案》（簡稱薩班斯-SOX法案）。法案對美國《1933年證券法》、《1934年證券交易法》作了不少修訂，在公司治理、證券市場監管，特別是會計職業監管和加強審計獨立性等方面作出了許多新的規定。薩班斯法案更要求上市公司全面關注風險，加強風險管理，在客觀上也推動了內部控制整體框架的進一步發展。與此同時，COSO委員會也意識到《內部控制整合框架》沒有從企業全局與戰略的高度來關注企業風險，是不足之處。

正是基于這種內、外部的雙重因素，2003年7月，美國COSO委員會根據薩班斯法案的相關要求，頒布了“企業風險管理整合框架”的討論稿(Draft)，2004年9月又正式頒布了《企業風險管理整合框架》（COSOERM--EnterpriseRiskManagement），在《內部控制整合框架》的基礎上，從企業全局與戰略的高度來關注企業風險，對風險管理型的企業內部控制問題提出了整合框架，因此它是COSO委員會最新的內部控制研究成果

1050747.htm）。對于我們致力于會計信息系統的理論研究和實際工作者來說，研究風險管理型的企業內部控制問題，特別是會計控制問題，并體現到會計信息系統的設計和應用上是責無旁貸的。除了上述以美國為首的法案等以外，各國及其他相關組織也相繼出臺了公司治理與內部控制的標準規范，如加拿大特許會計師協會（CICA）的《控制指南》，內部審計師協會（IIA）的內部審計標準委員會（IASB）制定的“內部控制指南”等，林林總總，不一而足。

3.國內背景

從中國情況來看，同樣，我國的上市公司財務報告舞弊事件也層出不窮，而且有與國外不同的特點。自1996年起，國務院、財政部等陸續頒布了一系列的內部控制評價準則和規范（相當一部分屬于會計控制和審計方面）。而2007年3月財政部會計司《企業內部控制規范——基本規范》和17項具體規范（征求意見稿）作為企業建立健全內部控制制度的基礎依據和基本參照，是到目前為止有關企業內部控制規范的最新文本，該征求意見稿經進一步修訂與完善后，將作為正式文件公布。

上述文件雖然從不同側面對內部控制問題作了若干規定，但總體來說，如何從信息系統的角度來實現這些準則和規范，則比較欠缺。

4.從其現實意義來說

（1）是發展市場經濟，實行公司治理和加強內控的需要。同志在十屆全國人大四次會議上作《政府工作報告》時強調，要“完善公司治理，健全內控機制”。所謂公司治理，狹義的角度是指所有者主要是股東對經營者的一種監督與制衡機制，即通過一種企業組織和制度安排，來合理地處理所有者與經營者之間的權利與責任關系。廣義的角度則是指有關企業控制權和剩余索取權分配，包括法律、文化、組織等手段在內的一整套制度安排。從公司治理與內部控制的關系來說，公司治理是內部控制的組織保證，其職責就是確保內部控制方案的適當性及內部控制的有效實施。而內部控制則是公司治理的核心和關鍵環節，它使公司治理落到實處。

“完善公司治理，健全內控機制”是構成市場經濟的各個細胞正常地運作，使市場經濟得到健康發展的必要條件。

（2）是企業風險防范控制的需要。企業在市場經濟環境中，不可避免地會遇到各種風險。企業的各級管理人員首先要樹立風險意識，同時要針對各個風險控制點，建立有效的風險管理系統，實行流程控制。通過風險識別、風險預警、風險評估、風險報告、風險規避、風險防范等措施，對財務風險和經營風險等進行全面防范和控制。在企業風險防范控制方面，公司治理是組織應對風險的戰略反應，公司治理本身就包含一些戰略性的內部控制的因素（引自/question/8616252.html?fr=grl）。而內部控制的首要任務是搞好企業風險防范控制，其目的就是要保證企業在充滿風險的市場競爭中立于不敗之地，以盡可能小的代價和犧牲獲得最大的成果和收益。

風險防范控制是企業一項基礎性和經常性的工作，企業內部控制機構中應當有專門從事風險評估和控制的部門或崗位，負責有關風險的識別、預警、報告、規避和防范等工作。

（3）是我國企業參與全球競爭、走出國門的需要。同志在黨的十七大上的報告中提到：堅持對外開放的基本國策，把“引進來”和“走出去”更好地結合起來，擴大開放領域，提高開放質量，完善內外聯動、互利共贏、安全高效的開放型經濟體系，形成經濟全球化條件下參與國際經濟合作和競爭新優勢。深化沿海開放，加快內地開放，實現對內對外開放相互促進。創新對外投資和合作方式，支持企業在研發、生產、銷售等方面開展國際經營，加快培育我國的跨國公司和國際著名品牌。特別提到要注重防范國際經濟風險。

因此，我國企業要走出國門、參與全球競爭，或者要在海外上市，就必須了解薩班斯法案、COSO的有關規定和國際會計準則、上市規則。對企業的審計要求，研究國際環境下風險管理型的企業對內部控制的要求等。

（二）研究要達到的目標

1.跟蹤和收集國內外的有關文獻、案例與實證研究資料，比較研究我國及其他國家的有關法案、規范、制度和規定；

2.立足國情，實行創新，提出既與國際接軌的，又適應我國企業現實的風險管理型企業內部控制，特別是會計控制的理論體系；

3.重點是基于IT環境，落實在風險管理型企業內部控制信息系統的設計與實施，特別是會計控制信息系統的設計與實施上；

4.發表有關學術論文和著作。

（三）研究方法

1.規范研究與案例分析、實證分析相結合；

2.定性與定量分析相結合；

3.尋找戰略伙伴，成立聯合課題組：（1）與企業相結合，特別是準備“走出去”和“海外上市”的企業，協助它們設計與建立與國際接軌的基于信息技術的風險管理型的企業內部控制，特別是會計控制體系；（2）與軟件公司相結合，協助它們設計與完善基于信息技術的風險管理型的企業內部控制（含會計控制）通用/專用軟件系統。

（四）主要內容

本文第一章緒論部分，介紹了課題研究背景、意義、目標和研究方法；第二章從論述風險與風險管理入手，分析了風險與風險管理的定義、重點放在企業可能遇到的風險及其對策上，提出了在市場經濟條件下，風險不僅僅是一種可能遇到的給企業帶來經濟損失的危險，更重要的是一種獲得經濟利益的一種機會。從某種意義上說，企業的成長與發展是不斷適應風險、控制和利用、駕馭風險的結果。提出企業要由對待風險的消極避讓轉向積極應對，在與風險的搏擊中為企業的發展謀求最大利益的觀點，這也是本文討論風險管理型內部控制體系建設的基本出發點；第三章圍繞會計控制與會計信息化在新形勢下的發展，提出會計信息化的新階段就是風險管理型會計控制信息系統的建設。其特點首先是與國際接軌，必須符合COSO對風險管理型內部控制的要求，以及COBIT對信息系統評價和治理的要求。其次，作為風險管理型內部控制主體部分的會計控制系統更多的是解決半結構性問題和非結構性問題，需要“量體裁衣”、“看菜吃飯”，根據用戶的不同需求及原來所用的計算機系統不同而有所不同，這將是一種個性化全新的系統設計，也是本文對風險管理型會計控制體系建設的基本觀點，該章還以金蝶公司在這方面所做出的嘗試作為案例展開討論；第四章提出了對策建議與進一步研究的方向。

二、風險管理與內部控制

（一）風險與企業風險

首先，什么是風險？

“風險”一詞，早已有之。古時候，漁民們在出海捕撈打魚的生活中，最大的危險來自大海的風暴，所以，沿海地區眾多的媽祖廟、觀音殿也都是人們祈求大海風平浪靜，保佑平安的一種精神寄托。在漁民的眼光中，“風”即意味著“險”，因此在遠古時期就有了“風險”的說法。

另一種說法是風險（RISK）來自拉丁語，也有的說來自阿拉伯語、西班牙語，但比較權威的說法是來源于意大利語的“RISQUE”一詞。在早期的運用中，也是被理解為客觀存在的危險，體現為對人們生活帶來不利影響的自然現象或者航海遇到礁石、風暴等不測事件（引自/view/156901.htm）。

現代意義上的風險一詞，不僅僅包含上述的一些傳統意義上的理解，而且在概念上得到了極大的發展，首先它是與客觀事物的不確定性緊密聯系在一起的一種概念。如《中國大百科全書——經濟學》一書中，對風險的定義是：“由于當事者主觀上不能控制的一些因素的影響，使得實際結果與當事者的事先估計有較大的背離而帶來的經濟損失”（《中國大百科全書出版社，1988年版，P165-166）。請注意，在這里風險是與損失聯系在一起的概念。大家知道，客觀事物的不確定性不是當事者的主觀愿望所能避免的，正如有一句名言所說的那樣：“世界上唯一能確定的事物是它的不確定性”，又由于客觀事物的不確定性是無時無刻都始終存在著的。所以，只要存在著客觀上的不確定性，就有可能碰到未能預見的結果，所謂“事與愿違”；而且還可能遭受破壞或損失，甚至對生命和財產構成危險?？梢赃@樣說，客觀世界中，風險是無時不在，無處不在的。其次，企業風險是企業在市場經濟激烈競爭的內外環境中所可能遇到的各種風險，如：市場風險、產品風險、投融資風險、經營決策風險、財務風險、兼并風險、股市風險、借貸風險、擔保風險、政策風險等，稍有不慎，就會遭受損失，甚至遭受破產的威脅。我們在這里研究的不是一般意義上的風險，而是針對企業的風險，主要是財務風險和經營風險及企業風險管理問題。

進一步講，風險又是與企業獲利機會密切相關的一個概念。從某種意義上說，風險就是會給企業帶來收益的機會。要想得到收益，也就必須承擔必要的風險，要想得到較大的收益，也就必須承擔較大的風險。從現融資管理理論來說，與上述僅僅將風險與損失聯系在一起的觀念有很大不同的地方，在于傳統意義上的風險（Risk）指的不確定性，僅僅是一種損失和失敗的可能性，沒有主動成份；而現代意義上的風險所指的不確定性，除損失和失敗的可能性外，更有冒險（Venture）、敢于創新的意思。

例如風險投資（VentureCapital），它從廣義上講是指向風險項目的投資。根據國際經濟合作和發展組織（OECD）的定義為：向以高科技和知識為基礎，生產與經營技術密集的創新產品或服務的投資。從狹義上講是指向高風險、高收益、高增長潛力、高科技項目的投資。根據美國全美風險投資協會的定義：風險投資是由職業金融家投入到新興的、迅速發展的、有巨大競爭力的企業的一種權益資本。風險投資既不是單純意義上的風險（Risk)，又不是單純意義上的投資（Investment）。它不僅指人們從事經濟活動時所伴隨的不可避免的風險，還指一種主動地承擔風險的行為。在這里，風險與收益聯系在一起，而且收益與風險成正比。風險程度越高，其可能帶來的收益也就越大，除了無風險收益的因素以外，風險收益的大小往往成為投融資方案取舍的依據。從投資風險價值(RiskValueofInvestment)的涵義來說，它是指投資者由于敢冒風險進行投資而獲得的超過資金時間價值的額外收益。因此，在不考慮通貨膨脹的情況下，投資收益率=無風險投資收益率+風險投資收益率。風險大小的計量，通常是采用數學中的概率計算和統計方法得出，包括報酬率期望值、標準差的指標等。

因此，從現代市場經濟的觀點來看，風險不僅僅是一種可能遇到的危險，更重要的是獲得利益的一種機會，企業除了要有風險規避和防范的本領外，更重要的是要有適應風險、駕馭風險的本領，敢于和善于在充滿風險的市場經濟激烈競爭的風浪中搏擊，進行風險目標設定、風險評估和風險對策，從而由對待風險的消極避讓轉向積極應對，為企業的發展謀求最大利益。從某種意義上說，企業是依靠風險而存在并發展的。這也是本文對待風險的主要觀點和設計風險管理型的企業內部控制體系，特別是會計控制體系的重要出發點。

(二)企業風險管理

1.企業風險管理定義

風險管理是企業通過對風險進行識別、分析和評估，設計并實施風險管理解決方案，運用合理的經濟和技術手段對風險予以回避、減緩、分散、轉嫁、接受、利用等風險對策，以最小的成本獲得最大安全保障，并進一步利用風險來獲得利益的一種管理行為（就像戰爭中的一個基本原則“保存自己，消滅敵人，爭取勝利”那樣），也是對風險管理解決方案實施進行監測，使企業達到其戰略目標的一種管理過程。

風險管理是現代企業最本質的核心競爭力；是現代企業制度建設的重要內容；是現代企業可持續性發展的基本保證（引自/）。

2.企業風險種類

按來源分類，我們可將風險歸結為兩大因素：

（1）與外部經營環境有關的風險因素：主要來自宏觀環境、監管機構、競爭對手、新技術新工藝、金融市場、政治法律、社會文化等，如：市場風險、外匯風險、利率風險、購并風險、自然災害風險、政策風險、訴訟風險、國際形勢風險等。

（2）與企業內部環境有關的風險因素：主要來自戰略及決策、經營及管理、人員誠信、管理信息等，如：產品風險、經營風險、合同風險、債務風險、投融資風險、體制風險、人事風險、擔保風險、資金風險等。

3.風險決策

風險決策是針對不確定性事件的決策。根據決策論的原理，通過計算機信息系統對未來事件的各種可能發展的客觀狀態進行概率估計和計算期望值，在各種不同的方案中加以優選。首先將各個方案的期望值計算結果與設定的目標相比較，然后從中優選相對風險較小而期望值較大的方案。這里有單一目標決策和多目標決策問題，也有決策者對風險態度的效用曲線（Utilitycurve）的應用，或叫做風險偏好問題。

因為決策者的社會地位、資歷與經驗和所處決策環境的各不相同，同樣的風險在抱有不同態度的管理人員面前，其對風險程度的主觀評價和接受與否的態度是大不一樣的。有的人敢冒大的風險去獲取大的利益，遭受大的損失也在所不惜，而有的人為避免遭受大的損失，寧可放棄一些風險大的方案，因而可能失去較大利益。就前者而言，他們在心理上對利益敏感，對損失相對不怎么敏感，接受風險的能力較強，失敗時遭受損失的可能性也較大；就后者而言，他們在心理上對損失敏感，所做的決策以少受最好不受損失為前提，接受風險的能力較弱，失敗時遭受損失的可能性相對較小。這時，同樣的風險程度對不同風險偏好的人就有不同的效用系數，這在有些銀行所做的對其顧客在具有不同風險程度的理財產品間選擇的調查中很明顯。

然而，客觀事實也不盡如此，不一定敢冒風險的人，遇到損失的可能性比不愿冒風險的人來得大。在商戰中同樣用得上戰場中的一句話，叫“狹路相逢勇者勝”，例如，為了避免多進貨可能賣不出去，造成庫存積壓的風險，經銷商“該進不進”，結果喪失了市場銷路火暴時獲得大利的機會，這同樣是一種損失，叫機會損失，比萬一賣不出去造成的庫存積壓帶來的損失要大得多；或者美元持有者做美元理財產品，明明看到美元相對于人民幣在貶值，但為了避免將美元換成人民幣所帶來的結匯損失和放棄美元理財產品的美元利率損失，而采取觀望態度，繼續保持美元，“該出不出”，結果美元理財產品到期日，美元對人民幣的匯率大幅下跌，就可能不僅區區的美元利息無法彌補，而且跌進了肉里，使得許多美元持有者叫苦不迭。這時，對風險采取保守態度的人來說，恰恰是也有可能是遭受更大損失的人。所謂“發展是硬道理”，在企業發展過程中，抓住機遇，迎難而上所遇到的風險往往要比不努力發展、墨守成規所遇到的風險來得小，容易克服，這在我國曾一度十分輝煌的手表行業的跌宕起伏的事例中可見一斑。

如何進行具體計算與分析效用系數，是一門牽涉到心理學、社會學、領導學、信息技術和概率論、數理統計等多種學科和模擬、仿真技術應用的復雜的學問；另外，在決策中還涉及很多方面，如分段決策、后續決策等方式，預測與決策的各種定性與定量分析的應用等，本文不再贅述。

4.風險對策

（1）回避風險?；乇芤恍┛赡芙o企業帶來損失的經營業務與投資方案。如：拒絕向信用不佳的廠商提供信用業務；新產品在試制階段遇到很難解決的技術問題，或者發現市場前景有可能發生逆轉時果斷停止試制；在投融資過程中，發現有投資可能收不回來的情況時，要采取果斷措施收回投資，哪怕是受些損失及時收回也比血本無歸為好。對于一些私營業主來說，因為法律保障人壽保險金不受企業清算時必須償還債務的影響，為了規避企業破產可能帶來的個人與家庭財產的損失，甚至淪落到“一貧如洗”的悲慘景況，為本人及家人投保人壽保險不失為一種規避經營風險的良方。（2）減緩風險。當風險無法回避時，可以設法減少或延緩風險的發生。如：在決策方案中優選期望值雖差不多，而風險系數比較小或方差較小的方案，以及在發生不可預見的情況下，及時采取替代方案；有些建設工程投資項目在客觀條件不利的情況下，如按原定的投資時間及規模開工，還不如延緩，待條件具備或市場好轉時再開工為好，那時，就果斷地采取延緩措施，即使因延緩工程會帶來一定經濟損失，也是值得的。

（3）分散風險。典型的例子是：在金融、證券投資上進行品種、期限、幣種的多元化組合，即所謂“不要把所有雞蛋都放在一個籃子里”的做法，以及投融資項目中的“利益共享、風險共擔”原則的運用等。

（4）轉嫁風險。對有可能轉移或轉嫁出去的風險，采取如：與其是企業獨自承擔可能的市場與技術風險，不如企業把工程和產品零部件的生產制造轉包給其他企業，從而把部分風險轉移出去；利用套期保值交易的手段，通過在期貨市場做套頭買賣交易，規避企業因受外匯價格波動或重要原材料的供應價格變化可能帶來的損失；向保險公司投保，購買商業保險、財產保險、職工人壽保險；保險與再保險等。

（5）接受風險。有些風險是與收益共生的，為了達到預期的收益目標，企業就必須在力所能及的范圍內承擔風險，如風險投資中，投資者對風險項目及風險型企業及風險企業家的選擇；企業每月積存一筆應付事故的基金用于項目進程中發生事故時抵償損失等。

（6）利用風險。在風險投資過程中，風險投資者往往從眾多項目中篩選出那些高風險、高收益、高增長潛力的項目進行投資，以及上述風險決策中通過計算機信息系統對未來事件的各種可能發展的客觀狀態進行概率估計和計算期望值，計算風險效用系數，在各種不同的方案中加以優選都是利用風險獲得預期收益的典型例子。

（三）內部控制與企業風險管理

1.內部控制概念的演變

大致可劃分為五個歷史階段：

第一階段：上世紀40年代前，稱為內部牽制階段。

其主要特點是以任何個人或部門不能控制任何一項或一部分業務權力的方式進行組織上的分工，每項業務通過正常發揮其他個人或部門的功能進行交叉檢查或交叉控制。

第二階段：40年代末至70年代，稱為內部控制制度階段。

1949年，美國會計師協會的審計程序委員會在《內部控制，一種協調制度要素及其對管理當局和獨立注冊會計師的重要性》的報告中，對內部控制首次作了定義：

“內部控制包括組織機構的設計和企業內部采取的所有相互協調的方法和措施。這些方法和措施都用于保護企業的財產，檢查會計信息的準確性，提高經營效率，推動企業堅持執行既定的管理政策?！?/p>

1958年10月該委員會的《審計程序公告第29號》對內部控制定義重新進行表述，將內部控制分為內部會計控制和內部管理控制。

內部會計控制包括組織規劃和所有方法和程序，這些方法和程序與財產安全和財物記錄可靠性有直接的聯系。這些控制包括授權與批準制度、從事財務記錄和審核與從事經營或財物保管職務分離的控制、財產的實物控制和內部審計。

內部管理控制包括組織規劃和所有方法和程序，這些方法和程序主要與經營效率和貫徹管理方針有關，通常只與財務記錄有間接關系。這些控制一般包括統計分析、時動研究即工作節奏研究、業績報告、員工培訓計劃和質量控制。

第三階段：80年代至90年代，稱為內部控制結構階段。

1988年美國注冊會計師協會《審計準則公告第55號》（SAS55），從1990年1月起取代1972年的《審計準則公告第1號》。該公告首次以“內部控制結構”代替“內部控制”，指出“企業的內部控制結構包括為提供取得企業特定目標的合理保證而建立的各種政策和程序”。內部控制結構包括三個要素，它們是控制環境、會計系統、控制程序。

“內部控制包括組織機構的設計和企業內部采取的所有相互協調的方法和措施。這些方法和措施都用于保護企業的財產，檢查會計信息的準確性，提高經營效率，推動企業堅持執行既定的管理政策?！?/p>

第四階段：進入90年代后，以上述《COSO內部控制整合框架》為代表，稱為內部控制框架階段。（引自朱榮恩：《內部控制評價》中國時代經濟出版社，2002年版）這是迄今為止對內部控制階段的一般劃分方法，其中很多概念和方法沿用至今。無論是內部控制結構階段或內部控制框架階段，內部會計控制始終是內部控制的基本和主體部分。

進入21世紀，由于內部控制的理論與實踐的實質性的重大發展，筆者把它列為新的第五階段。它以企業全面風險管理（CERM：ComprehensiveEnterprisesRiskManagement）理論和COSO《企業風險管理整合框架》為代表，稱為風險管理型內部控制體系階段，是本文下面要重點闡述的內容。

這五個階段并非后者否定前者，而是后者包容前者，不斷繼承發展的過程，無論是上面提到的內部牽制，還是內部控制制度，或者查錯防弊、內部審計以及一系列內部會計控制的方法等，在風險管理型內部控制體系中都占有極為重要的地位。

2.風險管理型內部控制體系

風險管理型內部控制體系的理論與實踐來自兩個方面：一方面是由斯坦福大學研究院提出的全面風險管理（CERM：ComprehensiveEnterprisesRiskManagement）理論，該理論著重在決策層面上管控戰略方向選擇、重大業務決策等方面的風險，側重在戰略層面上的風險管理，其表現形式是建立企業的全面風險管理概念性框架。另一方面，是以內部控制為中心的COSO風險管理框架——COSO《企業風險管理整合框架》，它強調通過制度、流程和財務等手段，在業務層面上管控運營、操作過程中的風險，側重在操作層面上的風險管理，其表現形式是建立風險管理型的內部控制整合框架。

兩者的有機結合，構成較為完整的企業全面風險管理體系。

COSO《企業風險管理整合框架》，在原先的《COSO內部控制整合框架》五個要素：（1）控制環境；（2）風險評估；（3）控制活動；（4）信息與溝通；（5）監控的基礎上，發展成八個：（1）內部環境；（2）目標設定；（3）事項識別；（4）風險評估；（5）風險應對；（6）控制活動；（7）信息與溝通；（8）監控。從五個要素增加到八個要素，主要是體現了風險管理的要求，如其中：（2）目標設定，主要是戰略風險目標設定；（3）事項識別，主要是風險事項識別；（4）風險評估；（5）風險應對；（6）控制活動，主要是風險事項控制活動。這八個要素相互關聯，貫穿于企業風險管理的全過程中。COSO《企業風險管理整合框架》是一種三維結構。X軸是代表企業目標，有：戰略目標、經營目標、財務報告目標以及遵循合法性目標；Y軸是代表內部控制各要素；Z軸是代表企業的各層次，如：企業整體層次、分支機構、業務單位和子公司等，表示其全面體現這三個維度的有機聯系。下面通過風險管理型內部控制體系建設來具體討論。

全面風險管理的層次如圖1所示。

三、會計控制信息系統

（一）會計信息化的新階段

會計信息化的早先名稱是會計電算化，它起源于20世紀70年代末期、80年代初期。一般認為是以1979年長春第一汽車制造廠在有關部門支持下，進行電子計算機在會計工作中應用的試點作為開始標志的。隨后，1981年8月，在財政部、機械工業部和中國會計學會的支持下，在長春第一汽車制造廠召開了財務、會計、成本核算管理中應用電子計算機專題學術討論會，把“電子計算機在會計中的應用”簡稱為“會計電算化”，以后，逐步得到了社會的公認。在當時，主要解決的是以計算機代替手工記賬、算賬、報賬的問題。經過近30年來的發展，有了長足的進步，從單純的模擬手工的軟件單項應用發展到系統應用，成為當前企業信息化的主要構成部分，其名稱也從“會計電算化”轉向“會計信息化”。它經歷了以下幾個階段：1.初期試點階段，20世紀70年代末期至80年代中期

其特點是將計算機用來記賬、編制財務報表，計算工資、成本等單項應用，中央和地方的各主管部門組織所屬單位的一些力量進行軟件設計與在部門內的推廣工作，計算機的軟硬件水平相對都比較低，基本上是低水平的重復開發。

2.商品化軟件發展階段，20世紀80年代中期至90年代中期

其標志是1988年由財政部和中國會計學會組織的“會計電算化研究組”在吉林市吉林化學工業公司召開的全國首屆會計電算化學術討論會，提出了會計軟件要走商品化和通用化的道路，建設商品化會計軟件公司和發展軟件市場的觀點。20世紀80年代中期開始，一些商品化會計軟件公司紛紛成立，開發并銷售會計電算化應用軟件，計算機的軟硬件水平有了較大提高。

3.向管理軟件發展階段，20世紀90年代中期至21世紀初

其標志是1996年由財政部和中國會計學會組織的“會計電算化研究組”在北京召開的第二次全國會計電算化討論會，提出了發展管理軟件的觀點，各商品化軟件公司紛紛推出了自己的管理軟件。隨著互聯網和現代化信息技術的發展和國際上從MRP、MRPII向ERP的發展及其進入中國市場，網絡化的會計軟件及作為ERP組成部分的系統得到很大發展，基本消除了會計信息與其他信息相割裂的“信息孤島”現象，實現了信息的集成化。在此期間，計算機的軟硬件水平有了很大提高，特別是隨著市場經濟的高度發展以及現代金融、證券、保險、期貨等手段和金融衍生工具的層出不窮，對于廣大企業來說，已不再是單純的生產經營單位，投融資和資本運作集團的內部財務資金管理居于越來越重要的地位，集團財務管理以及控制決策軟件大量涌現，出現了一批有一定實力的從事會計及企業信息化軟件生產和銷售的企業，初步形成了民族信息產業。

在此期間，會計信息化的理論研究及產學研相結合也得到很大發展。從2002年開始，全國性的會計信息化的年會至今已舉行了六屆，分別在上海、杭州、長沙、太原、合肥、重慶等高校舉行，第七屆全國會計信息化年會年內將在大連召開。

4.向風險管理型會計控制信息系統發展的新階段

自21世紀中葉開始，是企業內部控制與風險管理緊密結合的階段，同樣對會計信息系統也提出了新的要求，使會計信息化向財務風險管理的會計控制方向發展，風險管理型會計控制信息系統與目前一般的會計信息系統有其不同的特點，表現在：

（1）與國際接軌。無論是風險管理及內部控制的理念、信息系統設計思想與方法均須按照全面風險管理的框架和COSO、COBIT的要求進行（注：COBIT是ControlledObjectivesforInformationandRelatedTechnology的縮寫，即信息及相關技術的控制目標。由ISACA——信息系統審計和控制聯合會制訂的基于IT治理概念的、面向IT建設過程的信息系統審計和評價的標準。它是西方發達國家總結了幾十年來信息化建設的經驗，將“企業治理”的概念引入到信息化領域而提出的“IT治理”的概念的具體體現。信息化建設過程實質上就是一個對IT進行治理的過程，COBIT是對信息化建設成果的評價。按照系統屬性可以劃分為若干方面，如：對最終成果評價、對建設過程評價、對系統架構評價等，它將信息化建設的管理提升到了一個新的高度。引自“IT治理的重要參考標準-COBIT”/k/ITSP/2004-3/474574.html）；同時，也要符合我國企業走出國門，到海外上市等的要求。

（2）風險管理型會計控制信息系統作為風險管理型內部控制系統的主要組成部分，可以這樣說，價值量的內部控制信息要占到企業全部內部控制信息量的70%以上，特別是在現代市場經濟和國際金融高度發展的情況下，其所起的作用和重要性遠非原有的會計控制在企業中的地位可比，會計的反映、監督的職能，特別是控制與參與決策的職能將達到極大程度的發揮。在新的條件下，會計信息化在企業信息化中的地位與作用也將發生巨大的變化，這是一種質的飛躍。

（3）由于戰略風險管理雖然其概念框架具有共性，但在不同的企業，其所處的內外環境很不相同，可能遇到的風險類型、風險偏好及風險應對上也是“因險而異”和“因企業而異”的，具有極大的不確定性。在信息系統的設計上就必然體現較強的個性化，這與從解決結構性問題著手，按會計制度嚴格規定的程序、方法進行記賬、算賬、報賬的會計電算化發展起來的一般的會計信息化有本質上的不同。風險管理型會計控制信息系統更多的是解決半結構性問題和非結構性問題，需要“量體裁衣”、“看菜吃飯”，根據用戶的不同需求及原來所用的計算機系統不同而不同，將是一種全新的系統設計。由初期的會計電算化個性軟件的開發，發展到商品化、通用化會計軟件的開發，又發展到新的更高層次的，面對不同企業需求的風險管理型會計控制信息系統個性化軟件系統的設計與開發，符合“否定之否定”的事物螺旋式上升的規律，是一種質的飛躍與進步。具體在下節展開討論。

（二）風險管理型會計控制信息系統建設

風險管理型會計控制信息系統從會計的反映、監督、控制和參與決策的職能來說，它既是一個相對獨立的系統，又是企業風險管理型內部控制信息系統的一個重要和基本的組成部分，同樣具有COSO《企業風險管理整合框架》中的八個構成要素，分述如下：

1.會計控制的內部環境

首先，它包括下列內容：

（1）董事會、監事會、及審計、預算、薪酬等專業委員會的組成，獨立董事的構成，及他們在企業戰略風險管理中發揮的作用。

（2）風險管理理念、風險偏好和應對方式，對會計和內審工作人員來說，就是有關財務風險、資金風險、投融資風險等的管理理念、偏好與應對能力與方式。

（3）員工的誠信與道德價值觀,對會計和內審工作人員來說，就是“不做假賬”和遵守會計、審計人員的職業道德。具有相應地從事財務管理、會計審計工作的專業資質及能力，以及掌握會計與審計信息化的能力。

（4）權利與職責的分配，如內部會計控制包括授權與批準制度、從事財務記錄和審核與從事經營或財物保管職務分離的控制等。

其次，明確當前企業面臨的監管環境。

（1）自2006年7月15日起，凡是在美國上市的外國公司都必須執行《薩班斯—奧克斯利法案》，中國在美國上市的公司當然不能例外，事實上，已有不少中國公司為了達到《薩班斯—奧克斯利法案》的要求，不惜花重金聘請外國公司為其設計內部控制體系。然而，有些并不理想，并不適合我國海外企業的需求和實際情況。因

此，對已經或準備到海外的上市公司，如何按照《薩班斯—奧克斯利法案》強化企業管理層評價內部控制體系有效性的責任要求，來為他們設計以會計控制為主的內部控制體系，既有重大的理論意義，更具有現實的應用價值，是一個很廣闊的市場。

（2）2007年1月1日，與國際會計準則趨同的新會計準則在國內上市公司施行，新會計準則在會計事項的確認、記錄和報告上與過去有很大不同，將對會計信息系統產生直接的影響。

（3）2007年3月2日，財政部會計司中國企業內部控制規范的征求意見稿，包括基本規范和17項具體規范，雖然還很不完善，但其中絕大部分的內容是屬于會計控制的內容。

（4）2007年11月20日，國資委自2007年起，選擇重點企業對管理級次在三級以下企業全級次上報財務決算報表試點工作，標志著將首次對中央企業的三級以下子公司實行直接監管。這些監管環境的新變化，是重要的環境因素，必須認真考慮。再次，根據前述的構建企業風險管理體系的要求，構建符合本企業特點的企業風險管理框架，其中包括企業財務與資金風險管理子框架。

2.目標設定

制定明確的戰略和目標，明確風險管理組織結構及風險管理活動從董事會及各級負責人到每一位員工的相關責任。在企業戰略目標及相關目標如利潤目標、預算目標、財務指標目標等設定的基礎上，鑒別可能影響戰略和目標實現在經營管理、財務管理等方面的風險，并深入分析各個風險之間的內部聯系，對風險偏好及風險可接受程度進行分析等。

3.事項識別

系統辨識企業面臨的對經營、財務報告、符合性目標有影響的內部或外部風險事項、事項類別、影響因素及相互依賴性；在事項識別過程中識別技術的應用、風險與機會的區分等。

定義風險事項具體操作的步驟建議如下：首先由企業內有經驗的管理人員組成一個管理團隊。各部門經理向管理團隊提交威脅本部門的所有風險報告，由管理團隊成員從中選出每個人認為的十個最關鍵的風險，運用頭腦風暴法、層次分析法等最終列出企業最關鍵的風險。第二步由管理團隊對每一種風險加以討論和投票。最后，得到最終的討論計劃，并據此派生出更多的管理行動計劃（引自/qiyeyanjiu/070730/15320776-2.html）。

4.風險評估

在財務管理方面，主要有：投資風險評估；籌資風險評估；信用風險評估；合同風險評估等。

將辨識出的風險進行分析，評價風險對企業目標的影響，估計風險的可能性及程度，結合風險預警制度，與設定的控制范圍相比較，以便及時發出不同顏色如黃色、橙色、紅色、黑色等代表不同嚴重程度的風險警報。評估技術的應用：在風險評估過程中，要注意選擇合適的評估技術，評估風險事件發生的可能性和頻繁度，風險事件的潛在影響及其成本的高低，最后繪制一張風險地圖。

評估風險事件的方法有很多，包括基于知識（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析相結合方法，無論何種方法，共同的目標都是找出企業面臨風險的程度及其影響，以及目前安全水平與組織安全需求之間的差距。

5.風險應對

根據風險帶來的影響不同有8種主要對應方法：接受、減輕、增加、避免、降低可能性、減少結果、轉移、利用，其中接受、增加、轉移、利用更是積極地面對和駕馭風險的觀點的體現。

6.控制活動

通過控制活動，調整風險地圖，將風險盡量調整到企業的風險偏好以內。在降低和接受風險的情況下，估算這些控制活動所帶來的成本費用、額外費用、保險費用以及回報。

7.信息與溝通

指系統有高效的信息溝通渠道。信息系統應當有效地追蹤企業當前正在發生的風險事項以及已經避免的風險事項。同時企業還要保證有及時的關于企業各個層面的風險管理報告。

8.監控

風險的數量和可能性會隨內外部環境的變化而變化，需要持續的監控。監控可以使企業明確在下一步的風險管理中應當改進的問題，了解全面風險管理體系將給企業帶來的利益與價值，控制成本費用；了解風險評估的正確性，為下一次的評估提供經驗教訓。

（三）內部會計控制常用的主要方法

1.組織規劃控制

2.授權批準控制

3.全面預算控制，它也是企業風險管理型內部控制的一種主要形式。

4.會計業務控制

5.財產保全控制

6.人員控制

對經濟工作的重要崗位員工(如銷售、采購、出納)建立職業信用保險機制，如簽訂信用承諾書，保薦人推薦或辦理商業信用保險；工作崗位輪換和定期休假制度，通過輪換和安排人員頂替休假職工等手段，以及時發現存在的錯弊情況等。

7.風險防范控制

8.財務報告和信息披露控制

企業對外的財務報表必須及時、正確和符合信息披露規范，單位領導人及總會計師對此負有責任，甚至法律責任。

9.內部報告控制

10.管理信息系統控制

包括兩方面的內容，一方面是要加強對電子信息系統本身的控制；另一方面，利用信息技術和現代通訊手段建立對企業各方面的計算機控制系統，含內部會計控制信息系統。

與上述內部會計控制密切有關并相輔相成的是內部審計控制，它是內部控制的一種特殊形式，是對其他內部控制包括內部會計控制的再控制。從傳統意義上說，企業設置的內部審計部門是對企業內部經濟活動、財務會計和管理制度是否合規、合理和有效的獨立評價機構?，F代內部審計在風險導向內部審計的觀念下，進一步參與到公司治理與風險管理中。如年度審計計劃與公司最高層的風險戰略連接在一起，內部審計人員通過對當前的風險分析確保其審計計劃與經營計劃、全面預算計劃相一致，幫助管理者發現并評價重要的風險因素，促進組織改進風險管理體系；評價并改進公司治理程序，對內部控制和公司治理的有效性作出評價報告；使用風險管理原則改變審核過程，實現以風險導向的審計（例如，在抽樣審計中一般是以金額大小或業務重要性來決定抽取樣本，并投入審計力量的；而在風險導向審計中則是以風險程度來決定抽取樣本，并投入審計力量）。在風險導向的內部審計中，控制仍然重要，但分析、確認、揭示關鍵性的財務和經營風險，才是內部審計的焦點（引自/question/8616252.html?fr=grl）。由于本文的側重點在于內部會計控制，因此對于內部審計控制本文不再展開。

（三）案例研究

金蝶軟件（中國）有限公司軟件作為個性化管理軟件的一個代表，提出了“強化內控與風險管理，升級集團管控平臺”的理念，首先，他們總結了當前集團企業財務管理上的風險體現和企業管控面臨的挑戰。其次，提出了金蝶EAS的主動式風險內控體系和集團企業內部控制模型。

1.風險內控體系

（1）事前控制（預防性控制），包括：完善的標準化操作；嚴格的授權控制；數據實時大集中；資金集中管理；設計標準工作流程；對工作崗位及工作職能授權；通過預算來規范業務流程。

（2）事中控制（過程控制），包括：適當的職責分離；適當的信息記錄和嚴格的審批級次；交易系統的實時集成；可視化工作流監控；自動預警平臺；審批人記錄；交易數據與財務數據實時互聯；針對業務過程的精細化集中管理。

（3）事后控制（審計控制），包括：嚴密有效的業務分析；循環和定時、不定時的檢查和審查；對單據及各種報表進行稽核，監督人員稽查各種制度的執行情況；適時調整；審計與統計分析，自動稽核；管理駕駛艙。

2.集團企業內部控制模型

集團企業內部控制模型如圖2所示。

3.根據企業的不同情況，從不同角度實施管控

（1）基于全面預算的績效管控。

（2）從集團資金集中控制來加強財務和資金管控。

（3）企業運用系統所具有的數據庫及分析工具和有關配置，開展戰略分析和業務主題分析，進行運營評估和動態監控，來實施內部控制。

（4）企業運用信息平臺中實時的管理駕駛倉進行監控。

不論從哪點出發，都盡可能結合企業的實際情況和需求，充分利用原有資源，實現平臺平滑升級，達到風險管理和內部控制的要求。

（引自金蝶國際軟件集團公司與中歐工商學院等舉辦的“2007年中國企業管理高峰論壇”上奉繼承的專題報告，2007年11月30日）

四、對策建議與進一步研究方向

（一）對策建議

鑒于我國與企業信息化有關的商品化軟件公司多數是從會計電算化軟件發展起來的，有與財務會計領域的價值量控制天然聯系的優點，所以，從會計控制（如：全面預算管控、集團資金集中管控、投融資風險管控、財務與資金風險管控、IT商業分析等方面）出發發展到企業整個風險管理型內部控制體系的設計，有它的便捷和獨到之處。如案例中金蝶軟件（中國）有限公司為不同企業進行個性化的軟件設計，都是在原有信息平臺上進行擴展、改良而得到的，不需要“推倒重來”、“另起爐灶”，效果明顯，容易為廣大企業所接受。但是由于我國生產的軟件環境與西方發達國家又有很大不同，長期以來我國的會計核算體系和會計準則、制度，以及會計軟件的設計與評審標準也都與他們有很大不同，這是弱點的一面。所以，要真正作到與國際接軌和進一步趨同是很不容易的。特別是我國的企業要走出去，參與國際競爭更是如此?！叭沃囟肋h”，單是我國的風險管理型內部控制軟件必須符合COSO《企業風險管理整合框架》和COBIT對信息系統質量控制以及信息治理的要求這一點上，就需要理論和實際工作者付出極大的努力，找出差距，迎頭趕上。為此，我們將與有關軟件公司緊密合作，共同努力來提高風險管理型內部控制，特別是會計控制軟件的水平。

正如上文說到，在不同的企業，其所處的內外環境很不相同，可能遇到的風險類型、風險偏好及風險應對上也是“因險而異”和“因企業而異”的，具有極大的不確定性。在信息系統的設計上就必然體現較強的個性化，要根據用戶的不同需求及原來所用的計算機軟硬件系統的不同而有所不同，這將是一種面向用戶需求的非通用化的系統設計。首要的是摸清企業的需求，以及所具備的條件，因勢利導。所以，我們將尋找有這方面需求的企業，與其合作，以企業管理咨詢為切入點，開展面向用戶需求的個性化服務。

發揮會計信息化專業委員會的作用和聯合作戰的團隊精神。建議本屆全國會計信息化年會將本課題列入會議的一個重點討論課題，同時，有條件時列入下屆年會的選題，組織力量展開研究。

（二）開展多方位、多層次的研究

1.多方位的表現在

（1）通過研究，進一步提供有關部門制訂政策、法規、制度的參考建議。

（2）滿足企業：對建立內部控制體系的要求；企業風險管理的要求；企業“走出去”、“海外上市”等對符合SOX法案和COSO框架的要求。

（3）滿足軟件公司：系統設計的要求；IT治理的要求。

2.多層次表現在不同層面的子課題研究

(1)理論層面，如：適合我國國情的企業全面風險管理體系的理論研究；企業內控體系的理論基礎研究；風險管理型的內部控制與會計控制、內部審計關系研究等。

(2)系統設計層面，如：風險管理型的內部控制信息系統設計思想與框架，特別是風險管理型的會計控制信息系統設計思想與框架研究；風險管理型的會計信息流控制，控制點的設置，實行流程化管理的研究等。

(3)系統實施與操作層面，如：會計信息系統如何適合COSO和COBIT的要求研究；內部控制評價報告問題等。