莊明來　劉　杰

[收稿日期] 2009-06-04

[基金項目]教育部人文社會科學研究項目(02JD90019)。

[作者簡介] 莊明來(1949-),男,福建南安人,廈門大學會計發(fā)展研究中心教授、博士生導師,主要研究方向:會計信息系統(tǒng)、計算機審計。

[摘 要] 我國會計學者對會計業(yè)務流程再造的研究由來已久,但對會計業(yè)務流程控制研究卻少有涉及,面對IT環(huán)境的復雜性與ERP系統(tǒng)數(shù)據(jù)多元化,標準化會計系統(tǒng)流程之固化固然重要,但缺乏流程控制的嵌入,則可能使再造后會計流程隱患四起,險象環(huán)生。本文在回顧國外會計系統(tǒng)流程控制的相關理論的基礎上,根據(jù)目前我國會計系統(tǒng)流程所存在的諸多缺陷提出改進意見與建議。

[關鍵詞] 會計系統(tǒng)流程;控制;SOX法案

doi:10.3969/j.issn.1673-0194.2009.18.001

[中圖分類號] F232

[文獻標識碼] A

[文章編號] 1673-0194(2009)18-0004-04

20世紀90年代,在以互聯(lián)網(wǎng)為代表的信息技術革命和經濟全球化的帶動下,企業(yè)經營環(huán)境和運作模式發(fā)生了巨大的變化,企業(yè)業(yè)務流程再造這種管理變革思想應運而生。企業(yè)業(yè)務流程再造的誕生引發(fā)了會計實務界和學術界對會計業(yè)務流程再造的探討,但從目前研究成果來看,較少涉及會計系統(tǒng)流程控制。會計業(yè)務流程再造與流程控制共生互動的特性,決定著在會計業(yè)務流程再造的同時必須考慮會計業(yè)務流程的控制問題。

一、會計系統(tǒng)流程控制相關理論綜述

會計系統(tǒng)流程分類對流程實施控制具有重要意義。Ramos(2006)在將一個單位的財務報告流程劃分為常規(guī)的、系統(tǒng)的交易處理流程和高層的財務報告流程兩大類之后指出,兩種活動類型控制的性質和它們相對的重要性是不同的。Kang(2008)等認為傳統(tǒng)流程監(jiān)控方法僅僅只是在語法層次上進行監(jiān)控,這造成了溝通障礙,如歧義的理解和分歧的解釋。為了解釋這些難題,流程監(jiān)控應當從語法和語義兩個層次同時獲得。明確會計系統(tǒng)的邊界旨在確立系統(tǒng)控制范圍,拉莫斯(Ramos,2006)認為,活動層面會計系統(tǒng)的邊界可定義為交易信息得到批準和授權的那個點,并且其形式應是對會計目的而言有用的形式(即能明確應記錄的借貸方)。他同時指出,系統(tǒng)邊界必須包括控制政策和程序以確保:(1)只允許正當?shù)?、已授權的交易進入處理流程;(2)獲取所有正當?shù)摹⒁咽跈嗟慕灰走M行處理;(3)獲取到的會計信息準確反映出了交易的條款。

會計系統(tǒng)要生產可靠信息,決定該系統(tǒng)流程控制首先要面對信息流的控制,而要實現(xiàn)信息流的控制,其相應的組織流程與業(yè)務流程的控制又缺一不可,三者控制相輔相成。O餋onnor(2006)等從會計的視角重新認識了業(yè)務流程再造問題,進一步強調會計必須在授權、績效評估和激勵機制之間進行平衡,并指出如何使3個組成要素互相作用以支持交易過程亟待加以深入探索。而要使交易和事項能夠客觀表達,以事件控制作為業(yè)務流程控制的基點無疑是一種理想的選擇。Jones和Rama(2003)認為業(yè)務流程控制本質上是控制從一個事件到另一個事件的過程。由于業(yè)務流程控制運用事項的聯(lián)系,將重點放在各事件的責任、事件的次序及商務活動中的信息流程,因此流程控制就可細分為職責分工、運用前一事件的信息來控制活動、后續(xù)事件、文件等預先編號、記錄某一過程中內部負責人的名稱、限制對資產和信息的接觸,以及將記錄與資產實盤數(shù)相核對等7個方面的控制。

Wells(2006)等認為,會計行業(yè)通過整合先進技術和實施業(yè)務流程再造積極回應網(wǎng)絡和一系列技術操作和管理的復雜控制系統(tǒng)經常出現(xiàn)的無用或功能混亂的挑戰(zhàn)。內部審計在識別新業(yè)務流程的益處和支持技術對內部控制的共同影響上必須扮演不可或缺的角色。因而,隨著BPR和其他管理變革的實施,內部審計應是被予以考慮的組織因素。

國際會計師聯(lián)合會(IFAC,2002)將信息技術風險分為電子商務信息技術風險的一套組合,該組合包括信息技術基礎設施、信息技術應用和信息技術業(yè)務流程等3類風險。

我國學者也對會計系統(tǒng)流程控制作了深入的研究。閻達五、張瑞君(2003)指出,會計流程遠離業(yè)務流程,導致為管理者提供的信息滯后、無法滿足實時控制的需求。對IT環(huán)境下實時控制方法的研究非常匱乏,使得會計只能注重核算職能,控制職能弱化,兩位教授進而提出,利用信息對經營活動全過程進行實時控制。金文和張金城(2005)在COBIT的基礎上,提出從信息系統(tǒng)生命周期出發(fā),構建符合COBIT定義的信息技術過程和管理、控制與評價模型,并在此基礎上,構建信息系統(tǒng)管理、控制與審計的模型。陳志斌(2005)則認為,我國的內部控制規(guī)范基本上僅對應用層面的控制進行了部分的規(guī)范,沒有涉及公司層面的內部控制以及IT基礎層面的內部控制。而且應用層面的控制還未健全。楊周南 等(2007)提出從工程模型、工程方法、工程工具和管理過程等4個方面去完善內部控制工程物理模型的建設過程,以解決內部控制系統(tǒng)建設時所面臨的部分問題。章鐵生(2007)認為,我國IT內部控制對于部分信息集成度已經很高的企業(yè)和有關業(yè)界(如審計)實務工作的需要,應充分借鑒COBIT等IT內部控制模型,在具體規(guī)范內及時發(fā)布相關應用指南或專門研究報告,并在它們的基礎上發(fā)展出我國實用的IT條件下的內部控制模型。王海林(2008)則提出IT環(huán)境下內部控制系統(tǒng)的四大子系統(tǒng),即標準系統(tǒng)、風險分析系統(tǒng)、診斷系統(tǒng)和交互控制系統(tǒng)等。

總體上說,將內部控制定位于會計系統(tǒng)流程的動態(tài)過程之中,有利于隨時監(jiān)測風險與舞弊的發(fā)生。

二、會計流程控制實踐的成功與缺失透視

會計系統(tǒng)擔負著會計信息生產與流程控制的功能。從流程上把握會計控制,即將控制方法與手段嵌入會計系統(tǒng)的設計與應用之中,是保證會計控制的常規(guī)化與規(guī)范化的重要方面,同時也是產生可靠信息的有力保障。對此,SOX法案為COBIT成為管理與控制的關鍵框架提供了機會。同時,SOX法案也使企業(yè)會計流程控制再造成為必然。

1.SAP軟件對會計系統(tǒng)流程控制之借鑒

SOX法案盡管沒有直接規(guī)定信息技術控制,但該條款中關于上市公司應當有足夠的證據(jù)表明內部控制有效性等要求,無疑使企業(yè)使用的ERP軟件難以回避。SOX法案有3部分與IT緊密聯(lián)系:其一,302條款要求CEO和CFO每年驗證財務報表的完整性和準確性;其二,404條款要求外部審計人員鑒證管理層對財務報告內部控制有效性的評價;其三,409條款要求公司“迅速和及時地”報告其財務狀況的重要變化。該法案這些條款的明顯特征就是分別要求有透明的系統(tǒng)和企業(yè)流程,對內部流程和系統(tǒng)控制有一個清楚的了解,以及(近似)實時的報告,以改善公司治理和受托責任,期望防止未來出現(xiàn)公司治理失敗和樹立市場信心。

不可否認,SAP R/3軟件產品在SOX法案的符合性上領先于其他軟件產品和解決方案,它將該法案的諸多要求通過應用程序設計與運行得以實施。表1列示該軟件依照薩班斯法案要求的對應設置。

在表1中,SAP軟件將SOX 404條款中的財務報表內控有效性評估分別置于內控管理模塊(MIC)、審計信息系統(tǒng)(AIS)和合并會計報表(BCS)之中,將SOX 409條款中的重要變更的快速披露置于各功能模塊之中。在普華永道(Price Waterhouse Coopers)的最近一份調查報告中顯示,正因為SAP軟件對會計流程嵌入了有效的控制程序,在SOX法案的符合性要求方面領先于其他軟件產品,才能保證諸多企業(yè)在美國的成功上市。

2.我國部分上市公司會計系統(tǒng)流程控制的成功經驗

薩班斯法案要求在美國上市的公司必須嚴格按照其規(guī)范的控制流程加以運作,這對原有僅注重財務信息生產流程而不重視內部會計控制流程的我國企業(yè)來說,無疑是一個巨大的挑戰(zhàn),由此使我國某些擬在美國上市的公司望而卻步。但我國的中海油、中國人壽等諸多企業(yè)卻能根據(jù)薩班斯法案的要求,按照COSO模型和COBIT框架嚴格地進行整改,最終得以在美國成功上市。這些企業(yè)借助COBIT對IT流程的基本要求,根據(jù)薩班斯法案的條款逐一設置控制點,并將所需測試的控制點及其測試時間、測試結果置于ERP的系統(tǒng)之中。實踐證明,遵循薩班斯法案并非一定要采購IT新設備才能實現(xiàn),多數(shù)情況下它在原有系統(tǒng)流程再造過程中,添加人工手段完成控制點的文檔收集和整理,或采用某些基本的協(xié)同工具以減少人工干預流程,抑或購買404條款法規(guī)遵從跟蹤工具并將其嵌入系統(tǒng)流程之中等。這種通過IT系統(tǒng)驅動的方式,既可以成功地實現(xiàn)企業(yè)財務報告流程的內部控制,也進一步實現(xiàn)財務信息生產流程與控制流程一體化。

值得注意的是,盡管多數(shù)文檔資料都以電子方式生成,許多計算機應用程序替代了手工操作,但添加必要的人工干預流程卻可能使SOX法案得以有效施行。中國企業(yè)在美上市的實踐表明,SOX法案所帶來的重大變化之一,就是改變了以前那種以工作內容為中心的工作流程,而將其變?yōu)橐?guī)范而一致的辦公流程。同時,它一改過去那種上級管理者通過口頭或E-mail通知形式安排工作任務的做法,將其轉換為按照相關的流程,說明下達各該項工作任務的理由,并令受理該工作的員工簽字接受執(zhí)行,進而明確分工的責任關系。

會計流程控制的一個重要方面還在于,從流程上對系統(tǒng)數(shù)據(jù)加以集中管理,以直接保證控制的有效性。企業(yè)的信息技術部門不僅要立足于服務,還應當按照薩班斯法案的要求,加大對分公司信息系統(tǒng)、系統(tǒng)建設、運行維護、數(shù)據(jù)等集中管理的力度,降低分散管理隱含的風險,如此,才能使公司總部從數(shù)據(jù)層面掌控所有資源,把管理風險從分散各處完全集中到總部可控范圍之中。

3.我國企業(yè)會計系統(tǒng)流程控制的缺失分析

我國目前會計系統(tǒng)控制流程缺失表現(xiàn)在許多方面,主要有:面向核算而非面向管理致使流程控制偏向價值控制,業(yè)務流程沿用傳統(tǒng)方法而使賬簿記錄與實物核對難度增加。因此,如何協(xié)調IT環(huán)境下采購、生產、銷售等各循環(huán)與總賬系統(tǒng)下的業(yè)務流程與信息流程的聯(lián)系與控制,盡可能通過自動化的方式確保數(shù)據(jù)的可靠與相關,是我國會計系統(tǒng)流程控制的努力方向。而在當前,研究如何在會計系統(tǒng)流程再造的過程中做到信息生產與流程控制緊密結合,借助嚴密的控制保證財務數(shù)據(jù)采集、處理和輸出信息的可靠,是我國會計系統(tǒng)流程控制所面臨的首要問題。

在網(wǎng)絡化和無紙化的條件下,數(shù)據(jù)真實性和可靠性的確認至關重要,由于原始憑證的電子化,致使會計人員難以憑借自己的經驗對其真?zhèn)渭右耘卸?。因?在會計業(yè)務流程實施跟蹤監(jiān)控,將虛假憑證拒絕于會計系統(tǒng)之外,也就成為會計業(yè)務流程控制的重中之重。

大中型企業(yè)通過管理軟件所固化了的流程實現(xiàn)財務與業(yè)務一體化,另一方面,諸多小型企業(yè)仍然使用會計軟件而非管理軟件,致使會計流程遠離企業(yè)業(yè)務流程,進而影響信息采集的實時性;眾多企業(yè)的上述兩種迥然不同的信息流程,使我們不能采取不同的控制流程和節(jié)點與之相適應。

同時我們也應該清醒地看到,無論是上市公司還是一般企業(yè),公司的內部控制總體情況不容樂觀。與國際信息系統(tǒng)審計與控制協(xié)會(ISACA)發(fā)布的信息和相關技術控制目標(COBIT)要求仍有較大的差距,在我國,COBIT目前只在電信、金融行業(yè)等信息化程度非常高的企業(yè)得以實施,這些行業(yè)依據(jù)COBIT設置的控制體系,無疑為其他行業(yè)的流程控制樹立了榜樣。

三、信息化條件下我國會計系統(tǒng)流程控制的構想

財政部等部委聯(lián)合發(fā)布的《企業(yè)內部控制基本規(guī)范》文件中指出,企業(yè)應當運用信息技術加強內部控制,建立與經營管理相適應的信息系統(tǒng),促進內部控制流程與信息系統(tǒng)的有機結合,實現(xiàn)對業(yè)務和事項的自動控制,減少或消除人為操縱因素。而在企業(yè)識別各項內部風險過程中,要求關注業(yè)務流程的管理和信息技術運用的自主創(chuàng)新因素?？梢?運用信息技術,將流程控制嵌入信息系統(tǒng)之中已經成為企業(yè)內部控制的重要組成部分。而制定符合我國國情的會計系統(tǒng)標準流程控制體系并使其得以實施刻不容緩。

1.制定符合我國國情的會計系統(tǒng)標準流程控制體系

COBIT在技術上看并不是“風險導向”或“以風險為中心”的評估框架,但它是能夠用于IT風險管理與控制的極好的參考指南。從國外成功的案例來看,盡管COSO與COBIT均是保證完全達到SOX 404的要求的框架與工具,但對大型企業(yè)而言,則多使用COBIT作為其流程控制設計的主要標準與規(guī)范,而對于中小型企業(yè)來說,使用COSO框架作為其制定流程控標準與規(guī)范的則比COBIT更多一些。鑒于COBIT框架的實施比COSO難度更大,并結合我國企業(yè)流程控制存在的問題,筆者認為,可根據(jù)企業(yè)規(guī)模大小與不同行業(yè)制定符合我國國情的會計系統(tǒng)標準流程控制體系,以期收到事半功倍的效果。

在制定符合我國國情的會計系統(tǒng)標準流程控制體系之際,應當留給企業(yè)一定的靈活空間,COBIT作為一個國際標準,比較強調其通用性,因而難以顧及企業(yè)的具體情況。故應當讓企業(yè)結合自身特點和實際情況有一定的選擇空間。使企業(yè)在具體運用過程中,結合信息系統(tǒng)生命周期各個階段的不同特點,有選擇、分階段地來實施COBIT中所要求的內容。同時,基于企業(yè)業(yè)務與財務一體化的發(fā)展趨勢,在制定符合我國國情的會計系統(tǒng)標準流程控制體系之際,還應當充分考慮會計系統(tǒng)流程控制與企業(yè)業(yè)務流程控制間的聯(lián)系。

2.開發(fā)符合會計系統(tǒng)標準流程控制體系的樣板軟件鑒于本文所探討的對象是會計系統(tǒng),故在文中所指的會計軟件,也泛指ERP軟件中的會計信息子系統(tǒng)。

歷經30年開發(fā)與應用的我國會計軟件,其信息生產流程已臻成熟,但卻因基本沿襲手工會計流程而未能高效地實行流程控制,與COBIT的要求相去甚遠。為此,在建立符合我國國情的會計系統(tǒng)標準流程控制體系之后,必須立足于該體系的具體實施,開發(fā)相應的融信息生產與流程控制于一體的會計軟件。

具體的設想是,可以采用分步走的策略:第一步,可先由用友、金蝶等軟件公司開發(fā)出符合會計系統(tǒng)標準流程控制體系的會計軟件,并將其在部分企業(yè)用戶中試行,在取得經驗之后再對所有的用戶全面應用。由于這些軟件公司在國內市場上占有較大的份額,采用以點帶面的方式估計能夠收到較好的效果。第二步,要求各軟件開發(fā)公司根據(jù)國家制定的會計系統(tǒng)標準流程控制體系,參考用友、金蝶等公司已經開發(fā)應用的樣板軟件,對各自的軟件進行修改更新,并及時推廣應用至各個用戶。第三步,在全國范圍內廣泛宣傳上述優(yōu)秀軟件的控制功能,使廣大的開發(fā)商和會計人員認識開發(fā)使用標準流程控制軟件的重要性,推動企業(yè)用戶購買符

合標準流程控制的會計軟件。

3.對會計系統(tǒng)流程的運行實施實時監(jiān)控

COBIT作為一個IT治理的通用標準和信息系統(tǒng)審計的框架體系,其適用用戶中也包括審計師, COBIT就如何進行信息系統(tǒng)審計,提供了較為詳盡的指導性建議。為此,我們可根據(jù)這些指導性建議,在開發(fā)會計標準流程控制軟件之際,采用嵌入式審計模塊法(Embedded Audit Module,EAM),將審計模塊嵌入該軟件的應用程序之中,借以對各控制點以實施動態(tài)跟蹤審計。一般地說,這些跟蹤控制可分為兩類:一類是在重要的控制點上對系統(tǒng)的處理進行實時監(jiān)控的程序,只要該會計系統(tǒng)一啟動,這類審計程序就在特定的處理環(huán)節(jié)對系統(tǒng)進行連續(xù)監(jiān)控,即凡是出現(xiàn)滿足指定條件的情況將被寫進特定的審計文件之中,以便審計人員進行分析;另一類是審計人員在需要審計時調用的程序,調用時,令該程序執(zhí)行即可獲取該執(zhí)行結果。

4.注重流程控制與數(shù)據(jù)治理的互動,保證信息輸出的可靠與相關

流程控制與數(shù)據(jù)治理密不可分,它們都是企業(yè)內部控制的重要組成部分。流程控制與數(shù)據(jù)治理休戚相關,前者旨在使數(shù)據(jù)處理的結果可靠與相關,而后者則必須依賴于前者才能保證其治理的有效性與生成信息的高質量。在信息系統(tǒng)之中,無論是對流程的控制,還是對數(shù)據(jù)的治理,其目標都是對系統(tǒng)進行動態(tài)監(jiān)控。數(shù)據(jù)治理本身也面臨著由業(yè)務流程改變、業(yè)務規(guī)則修改和業(yè)務實體不斷豐富所產生的實踐挑戰(zhàn)。為了保證財務與業(yè)務一體化,首先應當在ERP系統(tǒng)中對各業(yè)務子系統(tǒng)的業(yè)務數(shù)據(jù)的準入實施篩選控制;其次是對進入會計系統(tǒng)的電子數(shù)據(jù)源,即來自于由經濟業(yè)務組成的業(yè)務事件庫的數(shù)據(jù),必須在會計系統(tǒng)輸入流程中嚴加控制。

主要參考文獻

[1] [美] 邁克爾?拉莫斯.如何遵循SOX 404條款——評估內部控制的效果[M].第2版.李海風,譯.北京:中國時代出版社,2007.

[2] Dongwoo Kang,Sunjae Lee,Kwangsoo Kim,Jae Yeol Lee.An OWL-based Semantic Business Process Monitoring Framework[J].Expert Systems with Applications,2009,36(4):7576-7580.

[3] Neale G OConnor,Maris G Martinsons.Management of Information Systems: Insights from Accounting Research[J].Information & ㎝anagement,2006,43(8):1014-1024.

[4] [美] 弗雷德里克?L?瓊斯,達薩拉撒?V?拉瑪.會計信息系統(tǒng):商務過程方法[M].甄阜銘,譯.北京:經濟科學出版社,2006.

[5] Jean T Wells,Hubert D Glover.Technology and The Loss of Internal Controls[J].Internal Auditing,2006,22(1).

[6] [英] Emie Jordan,Luke Silcock.IT風險:基于IT治理的風險管理之道[M].湯大馬,譯.北京:清華大學出版社,2006.

[7] 閻達五,張瑞君.會計控制新論——會計實時控制研究[J].會計研究,2003(4).

[8] 金文,張金城.基于COBIT的信息系統(tǒng)管理、控制與審計的模型構建研究[J].審計研究,2005(4).

[9] 陳志斌.內控規(guī)范的嵌入與超越[J].會計研究,2005(11).

[10] 楊周南,吳鑫.內部控制工程學研究[J].會計研究,2007(3).

[11] 章鐵生.信息技術條件下的內部控制規(guī)范: 國際實踐與啟示[J].會計研究,2007(7).

[12] 王海林.IT環(huán)境下企業(yè)內部控制模式探討[J].會計研究,2008(11).

[13] 王紋,孫健.SAP財務管理大全[M].北京:清華大學出版社,2005.

[14] 陳淑娟,凡曉芝.薩班斯法:IT難以承受之重[J].計算機世界報,2007(28).