会计信息系统与内部控制相关理论(4)

　　2.3 相关理论

　　2.3.1 会计信息不对称理论

　　“信息不对称”是乔治·阿克尔洛夫等人提出的，它是指在经济活动中，经济主体掌握了不相同的信息。简单地说，不对称信息是指某些参与者拥有但另一些参与者不拥有的信息。这样的信息不对称从而导致市场失灵、会计信息失真、资源配置效率下降。在经济市场是有效的阶段，会计信息的提供者和使用者对信息的掌握程度相同，所以会计信息应该是对称的。但实际上市场并不完全有效，会计信息不对称是始终存在的。

　　从企业的内部因素展开对企业经济业务问题的分析，经济理性定了人们需要一种技术在某种产权制度对发生的经济交易或事项，计算经济利润，评价经济效用，提供相关的会计信息，会计可以把企业生产经营活动的手段和目的充分联系起来，使得从数字上考量经济理性目标成为可能。它包括以下内容：

　　1.从参与的主体来看。内部信息不对称性指企业管理者、财务人员、业务经办人员之间的会计信息不对称，管理者根据公司整体财务计划安排财务工作，他们不亲自参与会计的确认、计量、记录和报告过程，而会计人员按照他的指示控制财务经济指标，业务经办人员只对自己经办的业务熟悉，而对企业整个经济话动并不了解，这样形成参与人员相互信息不对称。

　　2.从不对称的表现形式来看，会计信息不对称包括时间上和内容上两方面的不对称。从时间上看，会计信息的提供者了解信息要早于会计信息的需求者（管理人员和外部使用者），而管理人员又要早于外部使用者；从内容上看，会计人员、管理人员、外部使用者三者之间的信息量递减分布。有时会计人员会隐瞒会计信息，公司管理层也会因为一些相关利益而向外部披露虚假和不全面的会计信息，这样造成三者之间会计信息也呈不对称分布。

　　正是由于信息的不对称，所以会计信息系统风险管理的目的是尽量减少这种不对称的程度，利用所有可以利用的技术，资源以获取和分析信息，使相关管理者、投资者能够掌握的信息，以接近信息对称的状态，将信息不对称转换为信息对称，进而进行风险行为选择。

　　2.3.2 COSO 风险框架理论

　　COSO的在内部控制和风险管理的演进过程之中做出的突出贡献是举世公认的。它在1992年所发布的、并于1994年作出局部修正的《内部控制--整合框架》，已经成为世界通行的内部控制权威文献，被国际和各国审计准则制定机构、银行监管机构和其他方面所采纳。2003年7月，COSO又发布了《企业风险管理--整合框架》的征求意见稿，引起了广泛的关注，我国也有一些学者撰文介绍了相关的情况。

　　1.COSO《企业风险管理一总体框架》的内涵

　　COSO发布的《企业风险管理一总体框架》（以下简称“新框架”）是在原有的COSO内部控制五要素框架体系基础上，结合了Sarbanes一 OxleyAct的相关要求，通过引入风险管理的相关理论，最终发展延伸而来的。判断企业的风险管理过程是否有效就是看其设计和实施是否有效，如果风险管理过程的设计是合理的，并且企业进行了贯彻和实施，那么这个风险管理过程就是有效率的。

　　2.构成要素-COSO《企业风险管理一总体框架》

　　构成要素包括八个方面：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通监控。它们来源于管理当局经营企业的方式，并与管理过程整合在一起。

　　这些构成要素具体包括：  框架中的首要因素内部环境，它的优劣会直接影响到新框架中其他构成要素的实施效果。它是组织的基调，它为主体内的工作人员如何认识和对待风险设定了基础，它新增加了风险管理理论的相关内容（包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境）。

　　目标设定是企业需要对战略目标进行设定--必须先完成目标制定，企业管理者才能根据设定的目标分析存在的潜在风险事项。来确保战略目标的顺利实现。

　　事项识别就是对企业战略目标存在影响的各种不确定事项进行识别--必须识别影响主体目标实现的内部和外部事项，区分风险和机会，才能使企业趋利避害，更好地把握机会，规避风险。

　　风险评估是又一重要的风险管理步骤，企业在准确的识别了与企业战略目标相关的各种风险以后，还需要通过考虑这些风险的可能性及影响来对其加以分析，并以此为依据决定如何进行管理。

　　风险应对是企业在对风险做出准确地分析后，需要根据风险评估后的结果做出不同的风险应对，其包括风险的回避、承受、降低或者分担风险一系列的行动以便把风险控制在主体对风险容忍程度以内。

　　控制活动是企业根据风险应对方案所进行的具体的控制活动，它是企业风险管理过程得以实现的方式和手段。企业在经营过程中的各个方面，涉及企业所有层次的活动和机构，它通常表现为一系列详细、完整和系统的控制制度和相关程序。

　　信息与沟通可以帮助企业的各级管理人员和全体员工及时了解企业内部控制的执行效果，从而帮助企业及时发现内部控制实施过程中的存在的漏洞和缺陷，以便及时的采取补救和完善的措施。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。

　　监控可以为企业风险管理全过程设计和执行效果提供重要保证。主体在对风险管理进行监控过程中，还需要根据主体的经济业务的特征对相关内容进行记录，清晰而明确地一记录可以提高风险管理的水平，并为企业未来对外披露风险管理有效性的自我评价报告提供基础。

　　目前在我国，一些大企业都有一套相对严密、完整的内部控制制度，但企业的管理人员对企业的控制成本、经营利润投入过多精力，繁忙的工作忽视了企业潜在的一些内控风险，结果导致了许多企业面临经营风险。本文以COSO的风险管理理论及我国内控规范对企业财务信息系统内部控制的理论为指导，认为企业应将风险管理作为对企业信息系统内部控制的目标和重要构成内容。我国企业首先要在完善COSO框架的基础上，建立有效的风险管理体系，提升内部控制的效果。其次树立风险组合的观念。

　　从战略发展的角度，识别公司层面面临的所有重大的不利因素和有利因素，从而识别风险，发现机遇。不仅要将企业每个部门的风险控制在其各自风险容忍度的范围内，而且汇总后的总风险也要控制在股东、其他利益相关者认可的风险偏好范围之内。