基于价值链企业内部控制探究.docVIP

基于价值链企业内部控制探究20 世纪90 年代以来, 价值链理论逐渐融入到企业运营中, 并改变了企业原有的组织和业务模式, 使得企业呈现出业务流程化、组织扁平化、信息共享化等特点。同时, 这一理论也影响到企业内部控制模式。 一、价值链理论对企业内部控制要素的影响 (一) 内部环境在价值链理念下, 首先, 随着业务的流程化,企业内部“金字塔”式的控制体制为各种类型的流程小组所取代。流程小组具有相对独立性, 拥有一定的事务管理权、决策权, 是企业实行自我管理、自我控制的基本单元。自我控制使每一个员工把行为目标和行为过程统一起来, 员工在被赋予更多权利的同时, 也承担了更多责任。其次, 员工是价值的创造者。企业价值链的锻造不仅要有信息技术的支持, 更需要员工态度、观念的转变。而改变员工观念的关键在于注重企业人力资源政策的引导以及员工技能的培训,并通过企业文化建设, 统一员工思想, 让价值观深入人心。 (二) 目标制定在COSO(反对虚假财务报告委员会) 所描述的四个目标中, 战略目标是其他四个目标的基础, 是高层次的目标。在价值链理念下, 管理者应根据企业的使命和风险偏好制定战略目标, 选择战略并确定与之相关的经营、报告和合规目标, 并在企业各流程间进行分解和落实, 确定流程目标, 确保各流程小组的行为符合企业的最终战略。 (三) 事项识别COSO 指出企业经营存在不确定性, 管理者应识别影响目标实现的两类事项, 即风险与机遇。价值链的风险来自多个方面, 除了内部人员误操作风险、舞弊风险之外, 还有与合作伙伴的合作风险。依据COSO 在《企业风险管理――整合框架》(ERM) 中提出的四项目标, 可以将战略联盟风险分为战略风险、运营风险、报告风险与合规风险。战略风险包括革新风险、产品/服务失败风险等五项; 运营风险主要与企业资源的有效使用相关, 涉及供应风险、质量风险、协调风险、财务困境风险等八项; 报告风险与企业报告的可靠性相关, 包括确认与评估风险、目标不一致风险; 合规风险主要涉及企业是否遵循相关法律法规。以上风险的识别为风险评估提供了基础。 (四) 风险评估风险评估是通过考虑风险的可能性和影响来分析风险, 并决定如何进行管理, 主要基于固有风险和剩余风险。相关研究发现, 对于不同类型的合作伙伴(上游合作伙伴、下游合作伙伴、营销合作伙伴与研发合作伙伴) , 每一类风险发生的幅度与概率不同。但是对于所有合伙类型, 合规与管制风险都被评估为高度可能, 而且一旦发生就会对企业造成巨大不利影响。同时, 诸如产品/服务失败、输入供应、财务生存力和质量履行这些风险发生可能性较高且影响较大, 说明对有效控制机制需求的增加。超越范围风险, 即从事不包括在最初合伙关系范围内的活动的风险, 是最不可能发生的风险。在所有合伙类型中, 财务承诺风险也被评估为发生概率低且影响低。随着企业外延的不断扩大, 与供应商、顾客尤其是在联盟企业间的价值链环环相扣, 任何一个环节出现问题,都有可能引起整个价值链的崩溃。伙伴企业间的这种紧密联系扩大了内部控制的范围, 使得每个企业的内部控制不能只满足于内部的风险管理需要, 还必须充分意识到外部企业所带来的风险。 (五) 风险反应COSO 提出, 管理当局应选择有效的风险反应, 即规避风险、承受风险、降低风险或共担风险, 采取一系列活动将风险控制在企业的风险容忍度之内。企业各流程和作业的性质以及重要程度不同, 可能采用的风险应对方式也不同。而流程结构与作业的改革也会有效地规避某项流程或作业风险, 或者同时降低合作企业双方的风险。 (六) 控制活动控制活动是指为实现内部控制目标, 对确认的风险所采取的政策与程序。价值链管理要求从顾客价值或企业价值的角度, 辨识每项控制活动是增值、非增值还是浪费, 在信息技术的支持下、风险的可容忍范围内减少一切不必要的控制程序,提高企业流程的效率。此外, 还要建立客户、流程、个人的业绩评价体系, 且业绩评价和报酬不再单纯以利润为标准, 而是根据所创造的价值来衡量。 (七) 信息与沟通信息与沟通是指企业在其经营过程中识别、捕捉内外部信息, 并在组织内进行交流、沟通, 以使员工了解、执行其职责。以现代信息技术为技术平台的价值链理论的应用既给内部控制带来了方式的变革, 也带来了新的问题。在企业内部, 各流程及流程内的各项作业不再单纯以直线顺序方式进行, 而是转向强调相互协调和沟通的并行工作方式, 因此企业内部控制也从顺序式转向并行式, 使得设计、销售、生产等各流程的工作人员共同控制企业的物流、价值流。另一方面, 随着企业的业务外包和战略联盟, 企业的信息系统实行了前后端一体化、客户一体化。系统的开放性、数据的共享性和信息的分散性使得系统的安全性和