虚拟企业审计风险评估与控制研究,本文主要内容关键词为:风险评估论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
文章编号:1001-148X(2012)06-0159-07
一、引言
在资源有限、竞争激烈的当今社会,以信息网络技术为支撑,集合了众多具有优势资源,且为了共同利益而组成的动态联盟——虚拟企业,将逐渐成为21世纪的主流企业形式。虚拟企业是以信息技术为支撑,以电子商务为平台组织起来的企业形式,它实现了网上采购、订购、销售、电子货币收付款等,虽然减少了纸张处理的工作,使企业管理效率更高,但对审计人员来说,其产生的会计凭证、财务报表等是以电子介质存储的,不利于审计线索的追踪、审计证据的搜集;同时,虚拟企业主要是通过网络进行业务活动,其安全性问题日益突出,信息网络技术自身的安全隐患提升了虚拟企业的经营风险,从而也增加了审计风险。
刘光友(2003)[1]在探讨电子商务企业审计的时候构建了新的审计程序,即利用系统克隆技术、嵌入式审计模块与并行审计技术来实现电子商务环境下的审计,这种方法也可以在虚拟企业中实施。张萍、王莹(2010)[2]利用模糊综合评判法筛选虚拟企业的审计风险评估,结果表明虚拟企业的审计风险处于高水平。如何有效评估和控制虚拟企业的审计风险关系到会计师事务所的声誉和企业本身的生存,无论在理论上还是在实践中都具有重要意义。由于审计风险中,重大错报风险的不可控性,审计人员只能进行评估并向被审计单位提出改善措施,检查风险可以通过提高审计人员的业务素质与道德水平得到有效降低,所以本研究从重大错报风险与检查风险入手。
二、虚拟企业审计风险的评估流程与成因分析
虚拟企业的概念最早是由Preiss K,Goldman S和Nagel R于1991年提出的,之后Malone M和Davidow W,Byrne J,Weiler R,Chesbrough H和Teece D,Markus L、Manville B和Agres C等国外学者以及我国的陈菊红、汪应洛、冯蔚东、包国宪、解树江等学者分别从企业技术、企业产品、企业组织形式等方面对虚拟企业进行了定义。本研究采用的虚拟企业定义为:虚拟企业是指那些相互独立经营并有不同优势资源或核心技术的企业或厂商,为了使各自的收益最大化、成本最小化而组成的以信息网络技术为支撑的共担风险、共享收益的动态联盟经济组织。另外,从审计流程角度,根据保险理论,本文将审计风险概括为审计市场竞争风险、审计项目风险、审计期望差风险共同作用的结果。在分析虚拟企业审计风险时,考虑到我国审计准则的普遍适用性,仅从狭义审计风险角度出发,即审计项目重大错报风险和检查风险[3]。
(一)建立虚拟企业审计风险指标体系
详见《基于模糊综合评判的虚拟企业审计风险评估》(张萍,王莹)。
(二)虚拟企业审计风险评估的方法
1.利用层次分析法确定权重。层次分析法(AHP)[4]是美国数学家萨蒂(T.L.Saaty)1980年首倡的一种简易、实用的系统分析与决策方法,主要适用于决策结构较为复杂、决策准则较多而且不易量化的决策问题。本文对因素集U中同一层次的指标采用Saaty提出的1-9标度法来构造判断矩阵A=。为了提高决策的准确性和可靠程度,判断矩阵的建立通常是多位评估专家群体决策的结果,即在确定虚拟企业审计风险评估指标的基础上,由各位专家根据多年的工作和实践经验对各个指标的重要程度进行两两比较,然后所有专家共同讨论并最终确定各指标的权值。
3.评估结果。由上述评估结果可以判断出,重大错报风险是产生审计风险的重要因素,其权重值占到了0.8333,降低审计风险关键是降低重大错报风险。在引起重大错报风险的所有因素中,首先是重要信息或核心技术的外泄和道德风险的权重值最大(0.2677,0.2526),其次是合作伙伴选择风险和管理协作风险(0.1683,0.1407),这四个风险也是虚拟企业在产生和发展过程中所面临的高风险因素,因此,要降低虚拟企业的重大错报风险必需预防和控制这四个风险的发生和蔓延。在影响检查风险的因素中,审计人员的业务素质权重最大(0.5396),所以,要控制检查风险最重要的是控制审计人员业务素质风险点的发生。
(三)虚拟企业审计风险的成因分析
分析虚拟企业审计风险的成因,有利于从风险源头降低风险。表6列出了虚拟企业各项审计风险的来源。
三、虚拟企业审计风险控制的主要措施
综合虚拟企业的审计风险评估结果以及审计风险的来源,对虚拟企业的审计风险控制应当从两个方面着手:第一,由会计师事务所的审计人员针对风险的来源告知企业的管理当局采取必要的措施降低重大错报风险。第二,从审计人员自身的角度出发对检查风险进行管理,以提高道德素质和业务素质水平,力求把审计风险降到最低程度。
(一)重大错报风险
1.防止核心技术外泄。虚拟企业强调的是成员企业必须具备自身的核心优势以及能与其他成员达到优势互补。当虚拟企业形成以后,在为了达到共同目的的过程中必须进行信息共享,这就有可能导致核心技术的外泄,随着核心技术的外泄,企业的竞争优势也将逐渐消失,这对每个企业来说都是致命的。防止核心技术不外泄可以从三个方面考虑:
(1)合作伙伴泄密。成员企业通常要将关键的技术和资源暴露在其他企业面前,在这种情况下,有的企业会为了谋取私利盗用核心技术或担心核心技术外泄不履行协议中规定的责任。针对这种情况,就要求合作伙伴之间必须相互忠诚,建立良好的沟通渠道,以增进彼此之间的了解,提高行为与决策的透明度。可以通过建立公平、合理的信息技术共享协议和内部管理制度来规范各成员企业的行为,明确其责任、义务、权利。
(2)员工跳槽。掌握企业核心技术的人员同样是同行竞争的对象,一旦人员流失,可能会导致业务技术优势不复存在,给企业经营造成不利后果。因此,对于成员企业来说,要让所有员工都了解风险,培养员工的主人翁意识和风险意识。要让员工意识到虚拟企业不仅是有友好合作关系的动态联盟,还要让他们了解企业创造利润的真正源泉是核心竞争力,不能随便泄露核心技术。不仅如此,还要防止员工离职之后将核心技术外泄到其他企业。对企业的管理者来说,可以通过让员工签订保密协议,以及采用各种激励方式留住员工,如制定合理的薪酬制度或利用股票期权方案。
(3)网络不安全。虚拟企业在运营过程中必须要信息共享,但是如果不加强信息安全的管理,会存在对会计数据非法访问、篡改、泄密和破坏的可能性。因此,信息安全对从事虚拟经营的企业来说非常重要,虚拟企业可以利用防火墙技术、入侵检测技术、信息加密技术、病毒检测与消除技术来加强对核心信息和技术的保护。
2.规避道德风险。信息不对称仍是虚拟企业中现实存在的一个关键属性,从而使得虚拟企业中的道德风险难以避免,并直接导致虚拟企业中诸如虚报信息、欺骗等各种败德行为的出现。为了有效规避合作伙伴的道德风险,在与潜在合作伙伴签订合同时要合理设计利润分配机制,以此来影响伙伴成员的努力程度。假设虚拟企业是由核心企业与其他合作伙伴构成,核心企业本身不存在道德风险,努力水平已达最优。此时,整个虚拟企业的利润L取决于合作伙伴的努力程度n与随机因素s。但合作伙伴是否努力工作核心企业无法得知,只能通过观测G,在此基础上确定合作伙伴所得利润为:
L1=L1(G(n,s)),
此时,盟主所得利润为:
L2=L(n,s)-L1(G(n,s)).
委托代理理论认为代理人利用自己的信息优势,通过减少自己的要素投入,或者采取机会主义的行为来达到自我效用最大化。对于虚拟企业而言,核心企业为委托人,合作伙伴成员为代理人。代理人所选取的行动依赖于委托人所提供的报酬合同,因而如果报酬合同设置了激励,代理人的决策就将受到报酬合同的诱导[5]。设L2对核心企业的期望效用可表示为E[u(L2)],则核心企业的目标为:
除此之外,注册会计师应让伙伴企业认识到与核心伙伴合作可以提高自身的知名度。如果单方面违约,弄虚作假,泄露机密,会给自身带来严重的后果,可能导致没有企业愿意继续跟自己合作,从而业务量锐减,直至退出市场。
3.审慎选择合作伙伴。虚拟企业是当市场出现机遇时,具有不同核心优势和资源的企业为了共同开拓市场,集中优势资源,共同盈利而组织成立的临时性动态实体。盟主企业是虚拟企业的核心,通过分析自身的优势和劣势,公开招标合作企业。盟主企业通过筛选,最后选择与其能够优势互补的企业,能否选择出最优的合作伙伴是虚拟企业能否盈利的关键。比如,核心企业如果已经投入了大量的资源和精力,而合作伙伴突然要求退出联盟,就会使自己陷入困境。因此,盟主企业在选择合作伙伴时,要尽可能全面而详细地了解合作伙伴的真实情况,对每个潜在合作者要进行严格的评估,包括预测对方退出联盟的难易程度,联盟解散的可能性大小以及合作伙伴退出对自己造成的损失程度等。
另外,在选择合作伙伴时,要考虑两个方面的因素:(1)声誉。如果双方之前没有合作经历,那么最安全的做法就是依赖对方的声誉。企业声誉是市场对其的综合评价。选择声誉高的合作伙伴,更容易建立彼此之间的相互信任关系,达到共同盈利的目的也相对容易一些。如果对成员企业的声誉估计错误,会导致成员企业窃取核心技术、挖走具有核心技术的人员、单方面违约等严重后果。对企业声誉的测量是一个复杂的过程,美国的Reputation Institute与Harris Interactive在2000年开发了一种在线调查方法,采用定性和定量相结合的方法,在产品与服务,社会责任、愿景与领导、财务绩效、工作环境和情感吸引六个方面共20个指标上综合各利益相关者对公司的评价,得到一种总分值为100的指数,该指数不仅可以在同行业内比较公司的声誉,还可以在不同行业比较公司的声誉,这种方法后来在美国迅速得到使用。(2)成员能力。虚拟企业在挑选合适的合作伙伴时,要避免选择与自己核心技术相似的企业,这样才有合作的可能,也不会导致彼此之间相互不信任,盟主应按照优势互补原则挑选出具有独特竞争优势的企业。在评估成员的能力时,不仅要考虑到企业的设计开发能力、加工制造能力、销售水平,还要考虑其抵御风险的能力。如果虚拟企业在运作的过程当中遇到危机,而成员企业风险抵御能力不强的话,就可能会做出损害联盟的行为,影响整个联盟的正常运作。此外,对潜在合作伙伴的行业影响力、资源整合能力、市场开拓能力都要做全面而详细地分析。这样才能使虚拟企业实现其战略目标,走上互利多赢的发展之路。
4.降低管理协作风险。
(1)组织与管理风险。虚拟企业突破了传统企业的有界形式,虽然有着设计、生产、营销等一般企业具有的功能,但是企业内部并没有办公中心,没有组织图,不存在严密的组织机构,而且成员企业地域分布广泛,成员之间的交流主要靠计算机网络和电话传真,这些沟通方式可能会使得信息不能及时反馈,进而影响决策和项目的进行。虚拟企业的成员来自不同的地方,具有不同的文化,这可能导致价值观不同、对信息的认知不同,这些都会造成信息传递的失真,并引起摩擦和冲突,那么就有可能产生项目延期、质量下降甚至合作关系破裂的风险。因此,虚拟企业中的成员之间应该设法了解彼此,相互尊重、相互信任,培养目标一致的团队文化,营造良好的合作环境,建立积极的协作氛围。
(2)激励风险。如果合作伙伴承担的风险和获得的收益不匹配时,会降低合作伙伴的积极性,从而不使虚拟企业的价值发挥最高水平。因此,建立合理的收益-分配机制是虚拟企业能否成功的必要条件。虚拟企业的收益分配应遵循三条基本原则,即多赢、激励和风险补偿。
三是风险补偿原则。风险补偿原则指对在虚拟企业承担了较多的风险的成员予以补偿,并且对于承担风险越大的成员,给予的补偿也应该大大地超过对低风险的补偿。一般来说,风险和收益是成正比例关系的,风险的构成和盟员企业的投资额、技术风险和创新能力等因素有关,是在收益中应该得到补偿的部分。否则,盟员的劳动没有激励,将造成各自的风险规避,最终影响企业的收益。“利益共享,风险共担”是虚拟企业建立的前提,将风险因素加入影响利益分配的因素中符合风险补偿的分配原则。记为成员i的风险系数,则应该有:
(二)检查风险
影响虚拟企业审计检查风险的因素主要是审计人员的业务素质水平,包括对审计程序设计的合理性和执行的有效性。会计师事务所应选择业务熟练的审计人员从事虚拟企业的审计工作。传统的审计手段对虚拟企业来说是远远不够的,因为虚拟企业的大部分业务数据都是以电子数据存储于计算机中,所以,在收集审计数据时,不仅要考虑审计证据的相关性、有效性、可用性、充分性,还要考虑电子数据的易破坏性。审计人员应将虚拟企业的风险审计建立在对其风险管理的基础上,审计重点应放在内部管理和控制上。通过审计,发现虚拟企业由于内部控制造成的缺陷和弱点,从而预防重大错报风险的产生[6]。
1.审计重点和范围应实时化。由于虚拟企业不仅涉及一个企业,还要涉及与该企业构成虚拟模块的关联方,而且虚拟企业的规模较大、地域分布广泛、内部控制基础不牢固、潜在操作风险较高,所以审计人员面对的不仅仅是企业的财务报表数据,还包括对企业会计信息系统的审计。陈丹萍(2005)[7]认为,在信息环境下的审计应运用实时在线审计技术。在此过程中,审计人员应获得被审计单位的授权,直接在企业内网调阅相关的经济业务信息,这些经济业务信息也包括非财务信息和非货币形态的信息,形成在线审计的基本资料和数据库信息。这都需要审计师在审计时扩大审计范围并将审计重点放在对内部控制制度的健全性和有效性以及风险管理的评审上来,以揭露问题,查找产生风险的原因,筛选出重点问题业务和重点问题合作伙伴,为审计人员直接提供了审计延伸线索。
2.选择恰当的审计技术方法。虚拟企业电子化、网络化发展迅速,数据较为分散,审计所需的线索和证据是由审计人员从网络中取得的,这就要求审计人员拥有足够的专业胜任能力,除了掌握传统的审计方法,了解计算机电子数据处理和网络方面的知识,还要更加重视自身的道德水平以保证执业独立性。因此,虚拟企业审计应考虑在所有合作伙伴的业务处理系统和管理信息系统中设置审计接口,并建立包括行业发展状况和市场信息的数据资料库,使审计人员在评估风险时可以及时获得必要的审计线索。同时,还要审查和评价信息系统的内部控制制度。在虚拟企业中,内部控制系统仍由控制环境、风险评估、控制活动、信息与沟通及监督五个相互关联的要素构成,但每项基本要素都有新的变化,出现新的内容,呈现新的特点,并带来内部控制的新问题[8]。如虚拟企业组织结构上的松散性、组合上的动态性及分布上的开放性使得监督活动缺乏稳定的框架,受到时间和空间的限制,从而使得一些日常的、持续的监督活动难以开展,而虚拟企业领导上的相对性,也使得监督的约束力下降,从而造成监督效率的下降。对虚拟企业来说,数据处理都是由计算机来完成的,传统的一张凭证经过多次审核和记录,会计工作按职能分工的模式消失了,因此,审计人员应针对其控制重点从传统的财务部门转移到电子数据处理部门的特点,全面检查其计算机网络系统内部控制的合规性、可靠性和有效性,找出信息系统内部控制的薄弱环节,若认为其有严重的脆弱性,则审计人员必须签发保留意见。
3.根据风险导向审计理论获得充分适当的审计证据。根据风险导向审计理论,审计应从分析风险入手[9],虚拟企业重大错报风险的影响因素主要包括核心技术外泄,合作伙伴选择,道德风险以及管理协作。针对这种特殊性,审计人员应首先充分了解被审计单位所处的经营环境、行业状况、经营目标、业务流程及相关经营风险,必要时还应询问管理当局及其知情者或通过实地观察被审计单位的经营场所及设施,从而获得有力的审计证据。其次,对数据库中的信息应通过穿行测试发现风险控制点,并就与合作伙伴的项目和相关数据发出电子询证函,经对方确认后获取在线审计证据。获得的审计证据还要进行客观的评价,如是否发生未经授权修改会计记录的情况。而最终形成的工作底稿应建立在审计软件自动形成的审计报告上。因此,审查计算机网络的安全性也是必不可少的。
四、结论与展望
虚拟企业审计风险的控制是一个新问题,本文从狭义的审计风险为出发点,利用简单的层次分析法评估了影响虚拟企业审计风险的几个重要因素,即影响虚拟企业审计重大错报风险的重要因素包括核心技术外泄、道德风险、合作伙伴选择风险与管理协作风险;影响检查风险的重要因素为审计人员的业务素质。得出了以下结论:
第一,降低重大错报风险的关键在于针对各风险因子的来源采取适当的控制措施,其中核心技术外泄风险可以从加强与合作伙伴的合作、防止员工跳槽和加强网络安全这三个方面着手;道德风险的主要来源是信息不对称,本文基于委托代理理论,通过设计另双方都满意的利润分配合同来降低成员企业的道德风险,同时,注册会计师可以通过使合作伙伴认识到企业道德对自身的重要性的方式防止道德风险的发生;合作伙伴通过成员企业声誉和能力来选择,可以有效规避由于合作伙伴的原因造成的风险;管理协作风险可以通过两个方面来降低,即首先通过成员之间相互尊重并相互信任,建立一致的团队文化来控制组织与管理风险,其次建立以承担风险为依据的公平有效的合作伙伴收益分配方案降低激励风险。
第二,检查风险控制的重点应放在审计人员的道德素质与技术水平上。审计人员既要有良好的道德素质,还要熟练掌握审计方法,尤其是对计算机技术的应用方面。对虚拟企业的审计应遵循风险导向审计原则,审计的范围应实时化,通过网络技术获得正确的审计线索和审计证据,详细了解企业的内部控制制度是否健全。
国内外现关于虚拟企业审计风险的研究还很少,本文主要对虚拟企业的审计风险评估与控制进行了初步研究,提出的方法具有一定的可操作性,但在实际的风险控制过程当中,还需要具有丰富经验的审计专家进行实践。未来还可以对审计风险的控制效果做进一步的研究。
标签:虚拟企业论文; 审计风险论文; 重大错报风险论文; 风险评估程序论文; 审计软件论文; 声誉风险论文; 审计质量论文; 审计方法论文; 审计流程论文; 会计与审计论文; 审计准则论文; 审计目标论文; 信息安全论文; 管理审计论文;