第 1 章 绪论
1.1 选题的背景及意义
1.1.1 选题的背景
自 2000 年国务院颁布《鼓励软件产业和集成电路产业发展的若干政策》(国发[2000]18 号)以来,国家及各级政府部门出台了一系列推动软件产业发展的法规及政策,从投融资体制、税收、产业技术、人才吸引及培养等方面为软件行业的发展提供了政策保障及扶持。特别是在十八大提出了“坚持走中国特色新型工业化、信息化、城镇化、农业现代化道路,推动信息化和工业化深度融合”???后,软件产业作为信息技术产业的核心组成部分,呈现出了快速增长势头。此外,互联网和信息技术的快速发展也推动了我国软件行业的高速发展。
根据工信部历年公布的《全国软件和信息技术服务业主要指标快报表》可以发现,2016 年软件业务收入为 48 511 亿元,较 2010 年的 13 589 亿元增长了 34 922 亿元,年复合增长率为 19.94%,此增长率远远高于我国国内生产总值的增长率,这说明软件行业整体呈现出好的运行态势,在中国经济中的地位也在不断提高。
正是因为软件行业的蓬勃发展,云计算、移动互联网、大数据等技术不断的推陈出新,大量新的软件企业也寻机出现。我国软件行业 2016 年企业数为 42 112 家,较 2010年的 20 719 家增长了一倍多,行业竞争愈发激烈。面对软件市场竞争越发激烈的情况,
企业要想提高市场竞争力、实现可持续发展,就需要提高企业领导及员工的内部控制意识,建立适合公司自身发展的内部控制制度,并根据环境的不断变化以及运行中发现的内部控制缺陷对公司的内部控制进行调整和完善。
我国软件行业兴起的时间较短,软件企业规模较小,这些企业大多没有认识到内部控制对企业长久发展的重要意义,为了节省成本而不建立内部控制制度,或者是虽然建立了内部控制制度,但是不执行。有的软件企业虽然制定且执行了内部控制制度,但是由于我国关于内部控制的理论研究还是以大型企业和上市公司为主,且更加偏向于从COSO 五要素的角度研究企业整体层面的内部控制,研究企业业务层面内部控制的较少,这就使得企业在建设内部控制制度时,往往忽略掉企业经营规模和风格、在行业中所处的位置等等具有自身特点的问题,而直接照搬其他企业的内部控制制度。这样的内部控制制度往往针对性差、难以执行、对风险的控制效果不显著。因此,结合我国软件企业的特点,探索业务层面的内部控制建设具有现实意义。
.......................
1.2 文献综述
1.2.1 国外文献综述
最早的内部牵制理论是由 George E.Bennett 在 1930 年提出。他根据同一件事情一个人做出错的概率比多个人做同时出错的概率高以及一个人或者一个部门发生舞弊的概率比多个人或者是多个部门同时发生舞弊的概率高的数学理论,提出了员工在工作中应该能够有一定的联系性,起到互相检查的作用。1958 年,在企业所有权和经营权分离越来越多的背景下,美国注册会计师协会(以下简称 AICPA)提出了将内部控制划分为内部会计控制和内部管理控制两个部分。自此,内部控制不再仅仅只关注企业的资产和会计信息的控制,还要关注企业经营效率方面的控制状况。到了 1992 年,AICPA 发布了《审计准则公告第 55 号》,将内部控制分成了控制环境、会计制度和控制程序三个要素。
1992 年全国虚假财务报告委员会下属的发起人委员会(以下简称 COSO)发布了《内部控制——整体框架》该框架首次提出了内部控制五要素,即控制环境、风险评估、控制活动、信息与沟通和监控,以及内部控制的三大目标。随后在 2004 年发布的《企业风险管理——整合框架》中,COSO 将原有的内控要素和目标进行了新的分类,提出了内控八要素和四目标。通过研究环境变化导致企业面临的新问题。COSO 于 2013 年又更新了其内部控制框架,提出了 17 条内部控制原则,通过这种方式来提供内部控制的可操作性。COSO 又于 2017 年发布的《企业风险管理——协调风险、战略以及业绩》,将内部控制划分为五要素,细分出 23 条原则,且重新修订了风险和 ERM 的定义,强调了风险与价值的关系。
1.2.2 国内文献综述
我国经济发展的过程中,很多企业都是通过借国家政策发展起来的,其中有一部分企业由于存在着内部控制问题,企业管理不善,开始走下坡路。在这种情况下,我国开始重视企业内部控制的建设。虽然我国的内部控制研究起步较晚,但是在政府的推动下得到了快速发展,许多人对内部控制理论和我国内部控制存在的问题做了大量的研究。
阎达五、杨有红(2001)认为内部控制的目标趋于多元化,但是其发展都是为了保证资产安全以及信息的真实,而会计控制是其核心。此外,他们还提出了内控构建中的关键因素,包括完善组织机构、科学分工、注重权责分离;保证审计机构的独立性;加强预算管理等等。杨雄胜(2005)分别从管理学、经济学和会计审计三个方面分析我国内部控制定位中存在的问题。他指出管理学上的内部控制几乎与管理控制同义,其包含的内容广、职能多;经济学对于内部控制的关注较少,但是内部控制的研究是有有利于公司治理的研究的;会计审计对于内部控制的更多的关注与“纠错防弊”上,这样就人为地缩小了内部控制的口径。
........................
第 2 章 内部控制理论基础
2.1 内部控制概述
2.1.1 内部控制定义
内部控制是一个抽象概念,不同的人从不同的角度思考内部控制的定义,就会有不同的答案。经营管理者、财务执行官、董事、内部审计师、立法者和监管者、投资者和债权人通常对内部控制有着不同的认识。内部控制的定义一直都没有统一的说法。国外最权威的内部控制是 1992 年 COSO 制定的《内部控制——整合框架》中的定义,即:内部控制是由企业董事会、经理阶层以及其他员工实施的,旨在为营运的效率和效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现提供合理保证的过程。而国内最权威的内部控制定义是由财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》中所定义的“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”。
2.1.2 COSO内部控制框架
COSO 内控框架在内部控制中起到了指导性的作用,它在为企业掲示存在的内部管理方面风险的同时,还为企业提出解决问题的方法提供了重要参考。单纯就企业管理而言,COSO 内控框架的参与范围涵盖了企业的普通员工、管理层、实际控制人如董监高等,使用范围贯穿企业各部门以及战略规划的制定等各环节。它的作用是对企业可能存在的风险进行判断甄别,并能够面对这些风险来对企业的运营进行全方面理论和实践的优化,始终保证企业目标的顺利进行。
COSO 内控框架涵盖了五个方面的内容:
(1)控制环境。控制环境处于内部控制五要素的最高层级,是决定组织机构内部控制活动能否取得成效的基础。控制环境最先应用于董监高等高级管理者层面,后来慢慢扩展到组织机构内各个管理层级。控制环境包含了较广泛的内容,主要有伦理价值、管理层对责任和权限的分配方式、管理层的运营模式、组织人员的诚信、人才培养机制等方面,可对内部控制的有效性发挥全方位作用。
(2)控制活动。控制活动是 COSO 内控框架的核心,本质上是为了降低管理者在进行管理、经营等日常活动风险而进行的一系列保障行为,对管理指令进行引导和实施。它既出现于全部的组织过程,也出现于各种层次之中,主要包含了证实、资产保护、批准、经营业绩评判、职贵分离等方面的内容。
(3)风险评估。风险评估本质上是识别并评估企业在实现目标时发生不利影响的可能性。风险不是一成不变的,而是随着外部条件例如监管、经济、行业和经营状况等变化而发生改变,所以风险评估用来分析并确定执行过程中可能产生的风险时,也需要构建起一套专门的机制和制度来对各种风险进行辨别和确认。
(4)信息与沟通。信息与沟通对内是为了实现信息在不同部门、不同层级间的交互,对外是为了保证企业充分了解外部环境、客户需求、投资人预期等信息。顺畅的沟通渠道和机制使组织的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。具体来说,企业财务、经营等各方面的报告就是由信息系统产生的,报告的发布有利于对经营的控制。除了企业内部产生的数据需要处理之外,外部的运营状况、活动、事项等信息也要进行处理。同时,所有的人员都要明确控制系统中自己的位置,还有个体之间存在的关联,并同股东、供应商、客户以及监管机构等外部的机构进行积极有效地交流。
(5)监控活动。监控活动主要是对己经建立的内部控制运行情况进行监控,为了保证每个环节正常运行而采取的相应控制措施,可以通过持续性监督、独立评估或两者的结合来实现。正常的经营活动需要监控,员工在履行职责的过程中也需要监控。企业通过对这些事项的掌控可以对系统运行的质量做出合理的评价,确定风险评估是否有效。
.........................
2.2 内部控制相关背景理论
2.2.1 委托代理理论
委托代理理论是由经济学家伯利和米恩斯随着企业的所有权和经营权分离而提出的。因为在企业中投资者或股东主要负责筹集资金,而经营者受所有者委托负责经营企业,这样就形成了委托代理关系。但是经营者的精力也是有限的,其在经营企业时会将权利层层下放,产生多层代理关系。委托代理关系存在信息不对称的现象,这种情况极有可能导致受托者突破道德约束,利用比委托人更多的信息进行“逆向选择”。为了保护委托者的利益不受到威胁,维系委托方与受托方间的稳定关系,内部控制作为系统的制约机制起着至关重要的作用。内部控制可以强化激励和监督机制。一方面,内部控制能够协调委托代理关系间的利益冲突,使经营者切实以企业价值最大化为目标,而不是以经营者自身经营喜好作为经营目标;同时内部控制可以帮助经营者更好的管理下级职员,防止其逆向选择。另一方面,内部控制不仅仅是为了规避不好的行为,同时也鼓励好的行为,以此来提高经营效率。
在研究案例企业时,本文关注委托代理关系对案例企业可能产生的风险,并对风险通过内部控制的方式加以控制。
2.2.2 系统论
系统论是由生物学家贝塔朗菲提出,基本观点是:系统可以看做是能分割成多个有自己位置和作用的要素的有机整体。这些要素并不是完全独立的,而是相互作用、相互依存的关系。任何一个要素的改变或是失效都会影响整个系统,而且所有要素共同作用的效果往往比各个要素单独作用效果之和要大。后来,这个理论被广泛运用于各行各业。
企业在建设内部控制的研究也应该考虑此理论。企业在构建和实施内部控制制度时不能仅仅依靠财务部和质量管理部门,而应该将公司看成不可分割的整体,发挥全公司的各个部门及各层级的员工的主观能动性。这样不仅可以避免财务部和质量管理部门权利过大,还可以节省人力物力财力,提高内部控制的有效性。
在研究案例企业时,本文将业务活动流程化,并将流程中存在的风险控制责任分配给各相关部门,通过这种方式来使内部控制更有效。
............................
第 3 章 X 软件企业整体层面内部控制现状 ......... 16
3.2 风险评估 ................... 21
3.3 控制活动 ................... 21
第 4 章 X 软件企业业务层面内部控制中存在的问题 .......................... 24
4.1 合作伙伴采购业务内部控制中存在的问题........................... 24
4.1.1 采购需求描述不清晰 ...................... 25
4.1.2 审批流程出现缺失 .......................... 26
第 5 章 X 软件企业业务层面内部控制的改进措施 ............................ 32
5.1 合作伙伴采购业务内部控制的改进 ................................ 32
5.1.1 合作伙伴采购业务控制目标 ................................ 32
5.1.2 关键控制环节改进建议 .................................... 32
第 5 章 X 软件企业业务层面内部控制的改进措施
5.1 合作伙伴采购业务内部控制的改进
5.1.1 合作伙伴采购业务控制目标
结合上文中 X 企业合作伙伴采购业务内部控制现状,控制目标如表 5.1 所示。
5.1.2 关键控制环节改进建议
(1)规范采购需求描述
对于提供常规技术服务的合作伙伴采购,X 软件企业可以参照物资采购的方式,尝试总结经验,建立合作伙伴服务标准化数据库,对双方的权利义务、合作方式、费用条款等内容进行明确的描述,较好的规范服务标准和消费限额,解决服务需求难描述、服务过度或不足的问题。
对于提供创新性服务的合作伙伴采购,X 软件企业应该在订立合同前与客户、合作伙伴充分沟通,了解双方需求后再拟定合同。
(2)优化审批流程,建议采用线上审批的方式
X 软件企业应加强对采购请购和付款流程中审批人的权利和责任,明文规定必须进行签字审批流程,为了有效避免相关责任人不签字、或找他人代签的情况,X 软件企业应该尽量减少线下审批的行为,要求员工走线上审批,这样还能提高工作效率。且公司应该对审批人员的审批顺序进行规定,而不应只是简单的规定需要审批的人员。
.......................
结论与不足
X 企业作为典型的软件企业,其在内部控制体系建设及完善过程中所遇到的问题和困惑具有一定的共性。笔者通过对 X 软件企业从 COSO 五要素的角度进行了整体的内部控制概述,发现该企业的内部控制的五个要素上都存在很大的问题,整个内部控制体系都要改善。本文根据 X 软件企业的业务特点,对合作伙伴采购业务、投标销售业务、研究与开发、信息系统这四个业务流程的内部控制中存在的问题进行详细分析并提出了改进意见。
合作伙伴采购业务内部控制的难点在于采购需求描述、对于合作伙伴的管理以及客户信息的安全性。投标方式销售业务内部控制的难点在于招标相关信息的获取与分析处理、标书的制作、投标价格的制定。研究与开发业务内部控制的难点在于客户需求的获取。信息系统内部控制的需要控制的风险多,很细。比如缺乏对信息系统的规划、缺少上线测试流程、安全性措施不到位等问题。
对于这些内部控制的风险点,本文均给出了改进的建议。比如,对于合作伙伴类的采购需求难以描述的问题,可以考虑建立标准化数据库,但是创新性较强的就应该与合作伙伴充分沟通以后再采购;对于招标相关信息获取不充分的风险,因为该企业的主要销售方式就是投标,所以可以考虑聘请专人从事招标信息的收集与整理等等。
这些建议可能不仅仅适用于软件行业,比如投标方式销售业务,只要是企业的主要客户群体是政府、事业单位等,都会大量涉及投标销售,也可以参考相关的建议。
但是由于获取的资料还不够全面,再加之没能深入到企业内部观察其具体执行情况,因此对该公司内部控制中存在的问题分析的不全面,给出的建议不够深入,还有待改进。此外,仅以 X 软件企业一家案例企业作为研究对象,想要为软件行业内部控制提供参照或许存在片面之处。
参考文献(略)