第二章 内部控制要素及其应用

第二章 内部控制要素及其应用

本章对有关内部控制各要素及其应用情况的研究做一简要概述,包括四部分内容,一是控制、评估及报告方法,二是信息技术对内部控制的影响,三是FCPA后美国企业的内部控制的状况,四是宗教组织的内部控制状况。具体来说,本章分为以下三节:

★内部控制方法;

★信息技术与内部控制;

FCPA内部控制的影响及宗教组织内部控制。

 

第一节 内部控制方法

本节对内部控制的方法相关研究做一简要概述,包括以下内容:控制方法;评估方法;内部控制信息披露。

 

一、控制方法

内部控制的基本功能是影响人的行为,所以,对人的行为的不同观点将影响内部控制的性质和方式。Carmichael1970)认为,内部控制是信息加工系统一个组成部分,信息加工系统是实现企业总目标的手段,其本身具有三类目标,一是加工效率性目标,即及时、快速和低成本地加工信息,二是信息加工可靠性,三是资产安全。

在此基础上,Carmichael首先就正式组织下的内部控制中的人类行为提出如下8项设定:设定1:人类具有固有的精神、道德和身体缺陷,所以,为了实现信息加工目标,内部控制是必要的。设定2:有效的内部控制能阻止个人舞弊。设定3:当个人处于独立状态,即他没有行使不相容职责,当不合规行为引起他的注意时,他应该能够确认和报告。设定4:对于不合规行的拒绝一般被认为是对这种行为的阻止,所以,在这种情况下,合谋的可能性很低。设定5:组织设计是信息加工系统中唯一的权力决定因素。设定6:组织设计中没有规定的行为会给信息加工系统带来紊乱因素。设定7:记录系统能为行为提供恰当的证据。设定8:信息加工系统的三个目标(效率性、可靠性和资产安全性)之间没有固有的矛盾。

Carmichael认为,上述设定都是以正式组织为前提,如果考虑组织中的人的特点及非正式组织,则上述假设可能要修正。例如,一个人对另外一个人的影响力或某人受他人影响的难易程度可能会制约设定3和设定的有效性,组织对高业绩的要求可能会制约房室6和设定8的有效性,非正式团体的存在可能影响设定3、设定4和设定5的有效性,组织对员工的态度可能影响设定1的有效性。

AICPA1994)明确提出五种控制方法:1)交易和活动的授权(Authorization of transactions and activities),(2 )不相容职责分离(Segregation of duties ),(3)文件和记录( Documents and records ),(4 )对财产和记录的恰当保护(Adequate safeguards over access to and use of assets and records),(5 )独立检查(Independent checks on performance)。

Stringer Carey1995)认为,随着组织环境的变化,各项控制要素的重要性也会发生变化,其中最重要的变化有二点,一是控制环境的重要性应该得到加强,而控制活动的重要性可能得到降低;二是融于业务流程中的控制活动(building control into the system)的重要性得到加强,而附加于业务流程之上的控制活动(building control on the system)特别是传统的会计控制手段的重要性得到降低。为了检验这个观点,Stringer Carey对澳大利亚8个内部控制优秀的组织进行现场调查,共与这8个组织的15人面谈,并要求这15个填写调查问卷。Stringer Carey在文献综述的基础上,提出了一个19个控制环境要素和15个控制活动要素的清单,面谈和问卷都是围绕这34个项目来进行的,主要关心三个问题,一是这些要素现在的重要性如何,按7级量度确定;二是与四年前相比,这些要素的重要性是否得到加强,按7级量度确定,4表示没有变化,越大越是表示得到加强;三是各项内部控制目标的实现程度,要求从两个方面考虑,一个方面是这些控制目标现在的实现程度,另一个方面是与四年前相比,这些控制目标的实现程度是否得到加强,7级量度,1表示程度最高,7表示最低。

这八个单位都采用分权和授权管理模式,分布于盈利组织和非盈利组织,有上市公司,也有非上市公司。从24个控制要素的重要性及变化情况显示,大多数控制环境要素的重要性高于控制活动,并且与四年前相比,重要性得到加强。这些结果基本上支持Stringer Carey的观点。各项控制目标的实现程度显示,经营效果和效率目标实现程度得到显著加强,防止错弊目标和管理报告可靠性目标实现程度得到轻微加强,而财务报告可靠性目标、符合性目标、资产保护目标实现程度得到降低,Stringer Carey认为,内部控制目标的上述结果难以解释。

 

二、控制评估方法

Fredericl1991)研究内部控制知识在人脑中的存储方式对审计人员回忆起这些知识的效率之间的关系。知识在人脑中的存储结构有两种方式,一是分类结构(taxonomic organization),二是示意结构(schematic organization)。内部控制知识在人脑中的存储也不例外。对于内部控制知识来说,分类结构就是按控制目标(control objective)存储知识,示意结构就是按交易流程(transaction flow)存储知识。Fredericl以购买和支付循环的内部控制为例,列示两种方式下的内部控制知识存储方式如图2-1和图2-2所示。从图中可以看出,在分类结构下,控制手段按控制目标分类,在示意结构下,控制手段按交易分类。根据这两种存储方式的特点及审计人员对内部控制知识的运用,Fredericl认为,就内部控制知识存储来说,示意结构可能更有效。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

在此基础上,Fredericl结合文献综述,提出如下两个相关假设:假设1:从示意结构下的内部控制知识找回(expert retrieve)数量在大于分类结构。假设2:对于新手来说,两种结构下的内部控制知识找回数量是一样的。假设3:在分类结构下,当采用部分-类别提示(part-category cuing)时会发生内部控制输出冲突(output interference)。假设4:在示意结构下,当采用部分-类别提示不会发生内部控制输出冲突。假设5:在分类结构下,当采用类别提示(category cuing)时会发生内部控制输出冲突。假设6:在示意结构下,当采用类别提示不会发生内部控制输出冲突。

Fredericl采用实验方法检验上述假设,实验人员分为专家和新两类。专家来自于六个大型会计师事务所的审计人员(三年以上工作经验),共113人,新手是97个会计专业的本科生。实验人员随机地分成六组,每种知识存储结构下各三组,三个组之间的区别是需要内部控制知识找回的要求不同,一组只要求随意地列出内部控制程序,另一组要求采用类别提示(先有控制程序的类别,然后再确定每类下的控制程序),还有一组要求采用部分-类别提示(先有控制程序,再将控制程序分类)。实验的内部控制是购买与支付循环,根据文献综述,选择31个控制程序,按两种方式(一是分类结构,一是示意结构)将这些控制程序进行编排,各种编排方式提供给三个组。实验人员首先阅读这些材料,然后交回材料,并按不同的要求写出内部控制程序。

根据这个实验取得的数据,Fredericl进行统计分析的结果是,除了假设4外,其他假设均得到支持。所以,他的结论是,审计人员对内部控制知识的取回(回忆起来),不仅决定于审计人员的经验,还决定于内部控制知识的存储方式,示意结构下的效果好于分类结构。

KoppO’Donnell (2005)研究内部控制知识的不同组织方式对内部控制评估效果的影响。内部控制知识的组织方式有两种,一是按业务流程来组织,二是按控制目标来组织。以不同的方式对新来人员进行内部控制知识培训,然后由这些人员进行内部控制评估。他们发现,采用流程方式组织内部控制知识的人员,对内部控制评估的业绩要好。所以,他们认为,对于内部控制评估来说,按流程来组织内部控制知识可能是更有效的方式。

内部控制初步评价(preliminary evaluation of internal control)包括三个主要步骤,一是信息收集(collection of information),二是将信息记录于审计工作底稿(documentation of that information in audit working papers),三是内部控制评估(evaluation of internal control)。信息收集和信息记录是相关的两个步骤,一般是同步完成,主要的方式有三种,一是问卷式internal control questionnaire

二是流程图式(flowchart),三是文字叙述式(narrative memorandum)。Purvis1989用实验方法研究上述三种方式的效果是否有区别,由于现实审计中一般是由低层级的审计人员完成内部控制信息收集和记录工作,所以,Purvis还研究审计人员的经验是否影响信息收集和信息记录的效果。Purvis总结上三种方式的优缺点,并结合文献综述的基础上,提出如下假设:假设1:问卷使用者收集到的信息多于文字叙述方法使用者,而文字叙述方法使用者收集的信息又多于流程图方法使用者。假设2:不同记录格式的使用者将只收集该种记录方式倡导的数据。假设3:审计人员经验越多,收集的数据越多。假设4:与经验较少的审计人员相比,经验较多的审计人员将收集到较多的不同类型的数据。

根据这些假设,依存变量有两个,一是收集的信息数量,二是收集的信息种类;解释变量也是两个,一是记录格式,二是审计人员经验。对于审计人员经验,Purvis采用的方法是根据教育背景及工作阅历,计算经验指数(experience index),根据经验指数,将审计人员分为三类,一是低级,二是准高级,三是高级。

Purvis的实验设计如下:实验人员是具有三年以上工作经验的55个审计人员,实验任务是某制造企业收入循环内部控制初步评估,案例资料是根据实际审计业务编写的,所以,与现实审计业务应该是基本一致的。要求审计人员做以下四项工作:(1)阅读审计业务合约和审计方案;(2)阅读客户永久性资料摘要。(3)收集收入循环内部控制相关的信息,收集方式是写数据需求卡片(data request card),每项数据写一个卡片,卡片数量的多少表示收集信息的数量,数据需求卡片交给实验管理人员,由实验管理人员提供所需求的数据。同时,记录每个数据需求卡片的提出时间,以确定审计人员工作效率。同时,将收入循环分成15个领域,审计人员要求的数据所涉及的领域数表示审计人员收集数据和类型多少。(4)完成收入循环内部控制记录,不同的审计人员采用的方法不同(问卷式、文字叙述式和流程图式),随机分布。

根据上述实验收入到的数据,Purvis进行统计分析的结果是,除假设4外,其他三个假设均得到支持。

  Melville (1999)对英国大公司的内部控制自我评估(control self assessment, CSA)情况进行调查。调查内容包括两个方面,一是CSA意识,二是CSA效果。Melville选择的调查对象是FTSE 100的前50个企业,这都英国的大公司。根据要调查的内容,Melville设计了20个调查项目,调查问卷如表2-1所示。使用这个问卷,MelvilleFTSE 100的前50个企业进行问卷调查,调查结果显示,68%的企业在过去三年中做过CSA100%的企业表示CSA相当有用或非常有用。

 

2-1 CSA态度调查问卷

第一部分:背景资料

1.你公司的行业是什么?

金融( ),零售( ),制造( ),咨询( ),其他( )。

2.内部审计部门规模是多大(多少人)

1-10( ),11-20( ),21-40( ),41-50( ),50以上( )。

3.过去三年中,你公司做过CSA没有?

是( ),否( )。

4.过去三年中,CSA使用的频度如何?

 

很高

偶然

从不

 

5.如果使用过CSA,最近一次是在什么时候?

 

12个月

24个月

36个月

 

6.如果使用过CSA,它有用吗?

 

非常有用

很有用

无用

 

当首次使用CSA后,后来又做过吗?

是( ), 否(  )。

 

7.你公司使用什么类型的CSA

 

问卷

会议

自我评价

其他

 

8.你使用下列方法吗?

 

Option finder

Gdss

BSC

其他

 

9.高层领导对CSA的态度是什么?

 

非常支持

支持

负面

 

10.内部审计部门参加过培训课程吗?

是( ), 否(  )。

 

11.如果你公司没有使用过CSA,你认为CSA在你公司会有用吗?

是( ), 否(  )。

 

第二部分:对CSA的态度

 

确定以下各项的同意程度。

1.与传统的审计方法相比,CSA是对内部控制进行监视的更有效方法。

 

1

2

4

5

 

2. 与传统的审计方法相比,CSA更能帮助管理者履行内部控制的责任。

 

1

2

4

5

 

3. CSA是一个暂时现象。

 

1

2

4

5

 

4. CSA是对传统审计的补充,不是替代。

 

1

2

4

5

 

5. CSA能提高内部审计的地位。

 

1

2

4

5

 

6. CSA能扩大内部审计的范围。

 

1

2

4

5

 

7. 进行CSA时,高层的支持和同僚的合作是最重要的。

 

1

2

4

5

 

8.当进行CSA时, 你公司使用咨询顾客吗?

是( ), 否( )。

9. 如果使用了,他们有帮助吗?

是( ), 否( )。

 

三、内部控制信息披露

Solomon(2000)研究机构投资者对风险信息披露(内部控制是其中的一部分)的态度。首先,Solomon等分析了Turnbull Report(1999)报告的基本架构(图2-3),Solomon等指出,Turnbull Report对于风险信息披露提供的指引很少,没有什么信息要披露、何处披露以及用什么披露这些问题都没有提供指引。所以,Solomon等提出一个风险披露的基本架构,这个架构包括披露环境(自愿还是强制)、风险披露形式、风险披露程度、风险披露地点、披露偏好及机构投资者态度这几个方面,具体情况如图2-4所示。

 

 

 

 

 

 

 

 

 

 

       
   
 
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

在此基础上,结合文献综述,Solomon等就机构投资者对风险披露的态度提出如下假设:假设1:机构投资者对公司治理定义的同意程度将反映:实践经验;管理的基金类型;投资视野的长度。实践经验多和投资视野的长的机构投资者对公司治理的同意程度会强些。假设2:机构投资者在基金管理方面的经验越是丰富,他们的观点将会越多地反映在公司治理构架中。假设3:机构投资者对任何方式增加风险披露的需求将反映他们认为这些信息对投资决策的重要性。但是,由于不同机构和个人特点的影响,风险相关信息的需求程度将反映机构的特点,例如,经验丰富的管理者和机构将这种信息的重要性将会有较强的观点。假设4:机构投资者对公司治理架构的感想将会影响他们关于使用这个架构所能带来的好处。假设5:对公司治理定义同意程度较强的机构投资者将对风险信息披露的需求也较强。假设6:机构投资者对风险信息披露的态度将决定于已经披露的风险信息的种类和披露的地点及财务报告中的一般方式。

检验上述假设的两个主要变量是“对公司治理定义的同意程度”及投资者对风险信息披露态度的各个指标,这些变量都采用多项目7级量度方法。根据上述设计,Solomon等对552个机构投资者进行问卷调查,获得97份有效问卷,根据这些问卷数据进行统计分析的结果后得出如下结论:机构者认为,增加风险信息披露将有助于他们决定投资组合,但是,总的来说是不主张对公司风险信息进行强制性披露的管制或统一风险报告,对于风险披露的其他方面,他们持中性态度;机构投资者对风险披露的不同态度与他们所管理基金类型及投资视野相关。

 

第二节 信息技术与内部控制

信息技术是人类最伟大的发明之一,已经深入人们生活的各个方面,并且将继续发挥更大的作用。本节对信息技术在内部控制的应用做一简要概述,包括以下内容:信息技术对组织的影响;EDP控制;EDI控制;CPM(计算机行为监视)。

 

一、信息技术对组织的影响

Swanson (1987)就信息技术对组织的影响提出若干假设。他界定的组织变量包括13个:部门化(Departmentalization),科层( Hierarchy),管理幅度(Span of control),职能差异(Functional differentiation),授权(Delegation of decision-making authority),评估(Evaluation),正规化(Formalization),权力( Power),横向关系( Lateral relations),稳定性和刚性(Stability and rigidity),工作常规化(Job routinization),制度化(Institutionalization),竞争优势( Competitive advantage)

在此基础上,Swanson就信息技术对上述各个变量的影响提出如下假设:1)部门化。信息技术对部门化将有重大影响,主要的影响将是将原来分获的信息加工活动集中到计算机中心。(2)科层。当取代人的信息技术被采用时,如果这种取代足够快速并且足够满意组织增长的需求,则组织的科层数量会减少。(3)管理幅度。计算机的使用后,平均管理幅度会下降。(4职能差异。信息技术与组织纵向及横向差异正相关。(5)授权。在信息技术环境下,更多地使用结果控制,对于过程关注减少,所以,更多的决策会授权给下级。(6)评估。在信息技术环境下,更多地使用结果来评价业绩,更多的书面报告和详细的统计,较少的口头业绩评价。(7)正规化。在信息技术环境下,正规化程度将降低。

8)权力。在信息技术环境下,权力将更集中(注意,集中与集权不同)。(9)横向关系。计算机将广泛地用于协调横向活动。(10)稳定性和刚性。在信息技术环境下,组织的稳定性和刚性将增加。(11)工作常规化。在信息技术环境下,工作常规化程度将增加。(12)制度化。在信息技术环境下,制度化程度将增加。(13)竞争优势。信息技术能为组织带来竞争优势。

Swanson本身没有检验这些假设,WijnhovenWassenaar1990)用11个案例来检验这些假设,除了工作常规化与信息技术之关系这个假设没有得到支持外,其他12个假设均得到支持。

TorkzadehDoll (1999)研究信息技术对工作的影响的量度问题。他们将信息技术对工作的影响分为四个方面,一是工作效率,二是工作创新,三是顾客满意度,四是管理者控制。在文献综述的基础上,TorkzadehDoll提出量度上述四个方面的39个项目。在这39个项目为基础,他们进行问卷调查,获得有效问卷89份,根据这些问卷数据进行统计分析,提炼出12个因素,这12个因素是:1)工作效率:信息技术的应用节约我的时间;信息技术的应用增加我的效率;信息技术的应用使我能完成更多的工作,如果没有它的应用,这是不可能的。(2)工作创新:信息技术的应用帮助我产生新主意;信息技术的应用帮助我赶上新主意;信息技术的应用帮助我试用新主意。(3)顾客满意度:信息技术的应用改善顾客服务;信息技术的应用改善顾客满意度;信息技术的应用帮助我满足顾客需要。(4)管理者控制:信息技术的应用管理者控制工作流程;信息技术的应用改善管理者的控制;信息技术的应用帮助管理者控制业绩。那么,是否这12个项目就能量度信息技术对工作的影响呢?TorkzadehDoll以这12个项目为基础,进行更大样本的问卷调查,获得有效问卷409份,根据这些问卷数据,他们进行统计分析的结果是,这12个项目对信息技术对工作的影响的量度是有效和可靠的。

根据加拿大Joint Committee on Corporate Governance(2001)的规定,董事会有以下三方面职责,一是在战略规划方面,批准战略规划并监视实施情况;二是在政策和流程方面确保内部控制和管理信息的完整性;三是在政策和流程方面确保识别经营风险、将经营风险控制在可接受水平并监视经营风险。Trites (2004)认为,虽然这些规定没有单独提出IT方面的责任,但是,上述三个方面中都包括IT方面的问题,如果不考虑IT问题,董事会可能难以较好地履行上述职责。他以上述三个方面为架构,分析董事会在履行这些出现时要考虑的IT问题。

与传统统计工具(例如判别分析和回归分析)相比,神经网络(neural networks, NNs)是一个具有优越性的技术,它没有线性要求和分布特点要求。所以,这种统计工具可以用于审计和风险估计。CalderonCheh (2002)对这个领域的研究文献进行了综述,他们发现,这些研究文献可以分为六类,一是研究NNs初步信息风险评估中的应用,二是研究NNs控制风险评估的应用,三是研究NNs错弊觉察中的应用,四是研究NNs持续经营审计观点的应用,五是研究NNs财务困境预测中的应用,二是研究NNs破产预计中的应用。他们认为,尽管这些研究存在一些问题,但是,这些研究说明,NNs在审计和风险估计是有广泛用途的,并且可靠性较高。

 

  二EDP控制

EDP中需要设计一些内部控制措施,这些措施组成一个内部控制结构。HardyReeve (2000)用层次分析法研究MIS管理人员与审计对EPD内部控制措施的重要性认为之间的关系,也就是说,MIS管理人员认为哪些因素重要,而审计人员又认为哪些因素重要,他们的认识之间是否存在差异。在文献综述的基础上,HardyReeveEDP内部控制分为组织控制、应用控制、鉴证控制、安全控制和第三方控制五种类型,每种类型下再提出了一些具体措施,形成一个分层结构如表2-2所示。

 

2-2 分层结构的EDP内部控制

层级

内部控制措施

层级1

内部控制的可靠性

层级2

组织控制

应用控制

鉴证控制

安全控制

第三方控制

层级3

管理气氛

输入/出控制

交易对方及交易内容鉴证

逻辑安全控制

逻辑和营运安全

审计委员会

记录标准

交易起源鉴证

物理安全控制

第三方协议

内部审计

文件保留

权变控制

营运安全

审计踪迹

外部监管

应用改变控制

 

报告日志和审计踪迹

第三方审计

执行管理

交易对方文件

 

支持和恢复程序

 

 

职责分离

 

编密码技术

 

 

以这个内部控制结构为基础,HardyReeve设计问卷进行问卷调查,要求回答人员分层确定每种控制措施的重要性程度,每个层级都按100%计算,确定这个层级中各组成项目的重要性%HardyReeve将重要性分为三个层级,重要性程度超过20%的为高重要性,低于10%的为低重要性,处于10%20%的为中等重要性。

根据上述设计,HardyReeve对审计人员和MIS管理人员进行问卷调查,发出问卷159份,获得有效问卷48份,其中审计人员25份,同MIS管理人员23份。根据这些问卷数据进行统计分析的结果如下:(1)各类及各种控制措施的重要性如表2所示。从表中可以看出,在各类控制中,应用控制最重要,第三方控制的重要性最低;在组织控制中,执行管理最重要,而外部监管的重要性最低;在应用控制中,输入/出控制最重要,文件保留的重要性最低;在鉴证控制中,交易对方及交易内容鉴证的重要性最高;在安全控制中,支持和恢复程序的重要性最高;在第三控制中,逻辑和营运安全的重要性最高。(2)审计人员和MIS管理人员的评价之间是否一致。表2-3中的数据是将审计人员的评定和MIS管理人员的评定合并计算的。为了检验这两类人员的评定是否具有差异,HardyReeve将表中的各类及各项目权重分别审计人员和MIS管理人员来计算,然后检验这两类人员对这些控制类别和控制措施的重要性评定是差异显著性。结果是,除对第三方控制的重要性评定具有显著性差异外,其他类型和项目的评定都没有显著性差异,这说明他们之间的评定具有较高的一致性。

 

2-3 各类及各种控制措施的重要性程度

项目

本层级

内权重

重要性分布%

高(权重大于20%

中等(权重处于10-20%

低(权重小于10%

控制类型

组织控制

0.16

39.6

20.8

39.6

应用控制

0.29

83.3

12.5

4.2

鉴证控制

0.22

54.2

35.4

10.4

安全控制

0.21

62.5

29.2

8.3

第三方控制

0.12

20.8

29.2

50.0

组织控制

管理气氛

0.26

66.7

27.0

6.3

审计委员会

0.15

33.3

29.2

37.5

内部审计

0.17

52.1

14.6

33.3

外部监管

0.12

18.7

29.2

52.1

执行管理

0.30

72.9

22.9

4.2

应用控制

输入/出控制

0.25

62.5

35.4

2.1

记录标准

0.20

35.4

39.6

25.0

文件保留

0.11

2.1

56.2

41.7

应用改变控制

0.17

33.3

47.9

18.8

交易对方文件

0.14

18.7

37.5

43.8

职责分离

0.13

6.2

56.3

37.5

鉴证控制

交易对方及交易内容鉴证

0.37

85.4

14.6

0.0

交易起源鉴证

0.32

79.2

16.6

4.2

权变控制

0.30

54.2

16.6

29.2

安全控制

逻辑安全控制

0.18

31.2

41.7

27.1

物理安全控制

0.15

14.6

45.8

39.6

营运安全

0.13

12.5

39.6

47.9

报告日志和审计踪迹

0.19

27.1

50.0

22.9

支持和恢复程序

0.20

52.1

35.4

12.5

编密码技术

0.15

20.8

43.8

35.4

第三方控制

逻辑和营运安全

0.31

81.2

4.2

14.6

第三方协议

0.22

62.5

12.5

25.0

审计踪迹

0.25

68.7

20.9

10.4

第三方审计

0.23

66.7

25.0

8.3

 

审计人员在计划审计项目时要考虑内部控制,而EDP是内部控制的重要组成部分,所以,是审计考虑内部控制时的重要项目。Bedard, GrahamJackson (2005)

研究审计人员在考虑EDP安全性(EDP security)和管理信息质量(management information quality)时,将哪些企业特点因素与这两个方面相联系。他们以COSO为基础,提出一个企业特点的具体项目清单,根据这些清单设计问卷对审计人员进行问卷调查,获得46份有效问卷。根据问卷数据进行统计分析的结果是,与EDP安全性相关的风险因素是:系统安全控制,过时的系统,管理层态度;与管理信息质量相关的风险因素是:信息的性质,管理层态度,管理层能力。

 

  三、EDI控制

EDI能够提高效率并降低成本,但是,如果EDI出现问题,则所有的好处都会被抵消。所以,EDI控制是一个非常重要的问题。LeeHan (2000a)研究两个问题,一是EDI控制的分类,二是影响EDI控制的组织因素。他们提出的研究思路如图2-5所示。

 
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

LeeHan从三个维度对EDI控制进行分类,一是正式与非正式控制,二是内部控制与外部控制,三是自动控制。正式控制是以程序、规则、制度、法规和科层为手段的控制,它是EDI控制的基本要素。非正式控制是以组织成员共享的理念和价值观(belief and value)为基础的控。自动控制(automated control)是至少使用一定的计算机化的系统为手段的控制,例如,电子审计跟踪和自动错误更正等。内部控制是以EDI的内部要素为基础的控制,例如,应用系统界面,而外部控制与外部的EDI系统相关,如VAN(增值网络服务者)或交易合伙的EDI。在此基础上,LeeHan界定了六类EDI控制。

在界定EDI控制类型的基础上,LeeHan在文献综述的基础上,就组织环境与EDI控制的关系提出假设。(1)组织规模与EDI控制相关假设。假设11:组织规模越大,正式控制使用越多。假设12:组织规模越大,外部控制使用越多。假设13:组织规模越大,内部自动控制使用越多。假设14:组织规模越大,外部自动控制使用越多。(2)职业化程度(professionalism)或专家化程度与EDI控制相关假设。假设21:职业化程度越高,内部非正式控制使用越多。假设22:职业化程度越高,外部非正式控制使用越多。假设23:职业化程度越高,内部自动控制使用越多。假设24:职业化程度越高,外部自动控制使用越多。(3)分权程度与EDI控制相关假设。假设31:分权程度越高,内部非正式控制使用越多。假设32:分权程度越高,外部非正式控制使用越多。(4IS的复杂性(sophistication)与EDI控制相关假设。假设41IS复杂程度越高,内部正式控制使用越多。假设42IS复杂程度越高,外部正式控制使用越多。假设43IS复杂程度越高,内部自动控制使用越多。假设44IS复杂程度越高,外部自动控制使用越多。(5IS的角色与EDI控制相关假设。假设51IS角色越重要,内部正式控制使用越多。假设52IS角色越重要,外部正式控制使用越多。假设53IS角色越重要,内部自动控制使用越多。假设54IS角色越重要,外部自动控制使用越多。(6)工作相互依赖性与EDI控制相关假设。假设61:工作相互依赖程度越高,内部非正式控制使用越多。假设62:工作相互依赖程度越高,外部非正式控制使用越多。(7)工作常规化程度(routineness)与EDI控制相关假设。假设71:工作常规化程度越高,内部正式控制使用越多。假设72:工作常规化程度越高,外部正式控制使用越多。假设73:工作常规化程度越高,内部自动控制使用越多。假设74:工作常规化程度越高,外部自动控制使用越多。(8合作合伙的信用与EDI控制相关假设。假设81:合作合伙的信用程度越高,内部非正式控制使用越多。假设82:合作合伙的信用程度越高,外部非正式控制使用越多。

在基础上,LeeHan设计问卷进行问卷调查,获得110个已经作用EDI的公司的数据,根据这些数据进行统计分析的结果是,假设11、假设22、假设23、假设24、假设51、假设52、假设61、假设62没有得到支持,其他假设均得到支持。

有些组织实施EDI的效果并不令人满意,主要原因之一是EDI的安全问题,由EDI所带来的速度及效率可能会由于事故的发生而全部抵消。LeetHan (2000b)用模糊感知地图(Fuzzy Cognitive Map, FCM) 方法研究电子数据交换 (Electronic Data Interchange)控制评价问题。对于EDI控制的类型可以从不同的角度进行分类,例如,一种方法是分为正式控制、非正式控制和自动控制,另外一种方法是分为外部控制和内部控制的。LeeHan将上述两种方法结合起来,将EDI控制分为六种类型,一是内部正式控制(Internal formal control),是一些程序,这些程序主要用于保护用户免于错误和非授权接触及沟通和正确和可靠。二是外部正式控制(external formal control),是一些程序,主要用于由VAN[1]服务提供者使用,用于保证EDI信息和沟通过程的安全及交易伙伴之间沟通的安全和完整。三是内部非正式控制(Internal informal control)包括IS成员及使用者确认风险的程度、责任感、经验和同事之间的相互关联。四是外部非正式控制(external informal control),指VAN提供者及交易伙伴之间的跨界攻击(cross-vulnerability)。五是内部自动控制(Internal automated control)当数据输入、加工和输出时,用于检查和更正错误并保护系统免于非正式接触和滥用的程序。六是外部自动控制(External automated control)外部是指用于VAN提供者及交易伙伴之间数据交易的一些类似程序。各种控制要素及它们与控制业绩之间的可能关系如图2-6所示。

 

文本框: 业绩
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

上述关系结构是否存在及各种关系的重要性程序如何呢?这可能是EDI控制评价中的重要问题,LeeHan认为,只有加入各要素的数据,FCM 可以解决这个问题。FCM是一种刻画多因素之间多重因果关系(causal sequence)的方法,并且给不同因果关系以不同的值。所以,比较适合用于有多种控制并且各种控制之间相互有因素关系的EDI控制设计。为了检验这个方法,LeeHan对于EDI管理人员进行问卷调查,获得110份有效问卷,根据问卷数据进行计算的结果是支持LeeHan的观点。

 

  四、CPM计算机行为监视

计算机行为监视(Computerized performance monitoring, CPM)就是用计算机来计量、记录、存贮、分类和编辑员工行为数据。例如,对于司机的行为,用计算机来处理来行使时间、里程、消耗等数据,并编辑成行为数据。对于CPM的利弊有许多研究文献,BatesHolton III1995)对CPM如何影响员工的文献做一个综述。(1CPM与员工态度和感受:CPM对一系列的员工态度和感受有潜在影响,这些维度主要包括:行为维度的相对重要性感受(是数量重要,还是质量重要,还是二者都重要),工作满意度,组织忠诚度,工作关系,工作要求(demand),程序公平性。例如,有的文献发现,在CPM系统下,员工认为数量比质量更重要;有的研究文献发现,在CPM系统下,员工认为数量重要,但是并没有降低对质量的重视程度。(2CPM与员工压力感受:有的研究研究文献表明,CPM系统对员工压力感受有直接影响,增加员工压力感受;有的研究文献表明,CPM会影响工作现场的员工相互间的社会关系,从而间接增加员工压力。(3CPM与工作行为:有的研究文献从社会促进的角度研究CPM对员工行为的影响,结果是CPM能增加员工行为;有的文献从行为反馈速度的角度研究CPM对员工行为的影响,认为CPM增加行为反馈速度,从而增加员工行为。(4CPM与行为评价过程:有的研究文献表明,CPM能增加行为评价的准确性和可靠性。

Alder (2001)研究不同组织文化下员工对行为监视的反应。对于组织文化,根据Wallach1983)的方法,将其为三类, Bureaucratic cultures are characterized by clear lines of authority and responsibility and by highly organized, compartmentalized, and systematic work. Bureaucratic organizations are hierarchical, structured, regulated, and procedural. Innovative cultures are results-oriented environments where challenge, risk-taking, and creativity are valued. Innovative organizations provide workers with challenge and stimulation. These environments, however, also tend to be associated with high levels of worker stress and burnout. In supportive cultures, workers are friendly, fair, and helpful to each other and to the organization. Supportive cultures promote ‘‘family values’’ such as harmony, openness, friendship, collaboration, and trust. The company is supportive of its employees expressing that support through attitudes that establish the firm as trusting, equitable, safe, social, encouraging, relationships oriented, collaborative, and as a giver of personal freedom.It attempts to base its style on humanistic principles.

对于行为监视,Alder考虑四个维度,一是行为监视系统的设计和运行中员工的参与程度,二是行为监视对象是个人还是小组,三是行为监视的频度,是连续还是定期,如果定期,则时间间隔的是什么,四是行为监视指标的相关性,即用来反映员工业绩的指标与员工本身的业绩是否相关。

对于员工对行为监视的反应,员工界定为员工感知的公平性,即员工认为运行的行为监视是否公平。

根据上述界定,Alder提出组织文化、行为监视及员工反应三者之间的有关系如图2-7所示。

 
 

 

 

 

 

 

 

 

 

从图中可以看出,组织文化不仅独立对员工感知的公平性发挥作用,还会调和行为监视维度对员工感知公平性的影响。具体来说,Alder在文献综述的基础上,提出如下9个假设:

假设1Controlling for monitoring system dimensions, perceptions of the fairness of electronic monitoring will be highest in bureaucratic organizational cultures and lowest in supportive organizational cultures. Electronic monitoring will be associated with medium levels of fairness perceptions in innovative organizational cultures.

假设2In supportive cultures, electronic monitoring will be associated with higher perceptions of fairness when employees participate in the design and implementation of the system than when they are designed without employee input.

假设3In bureaucratic cultures, electronic monitoring will be associated with lower perceptions of fairness when employees participate in the design and implementation of the system than when they are designed without employee input.

假设4In supportive organizational cultures, higher perceptions of fairness will result when group performance is monitored than when individual performance is monitored.

假设5In bureaucratic organizational cultures, higher perceptions of fairness will result when individual performance is monitored than when group performance is monitored.

假设6In supportive organizational cultures, the amount of monitoring the organization conducts will have a curvilinear relationship with fairness perceptions.

Fairness perceptions will be highest when the organization strikes a balance between too little and too much monitoring.

假设7In bureaucratic organizational cultures, the amount of monitoring the organization conducts will have a positive relationship with fairness perceptions.

假设8Monitoring that is not directly relevant to task performance will diminish fairness in supportive organizational cultures.

假设9In bureaucratic organizational cultures, computer monitoring of activities that are less directly relevant to task performance will have an additive affect enhancing fairness above the positive impact of performance-related monitoring.

但是,Alder对上述假设都没有检验。

 

第三节 FCPA内部控制的影响及宗教组织内部控制

本节包括两部分内容,一是Foreign Corrupt Practices Act (FCPA)对内部控制的影响,二是宗教组织的内部控制。

 

一、FCPA对内部控制的影响

1977年,美国通过Foreign Corrupt Practices Act (FCPA),对上市公司的内部控制提出了明确要求。在这种背景下,Financial Executives Institute(FEI)组织对美国公司的内部控制状况进行调查。Mautz et al1980)等负责这项调查工作。对893个《Fortune1000企业及1107FEI成员发出调查问卷,有效回复率为33%。根据这些问卷,进行统计分析后得出的结论是:(1)大多数经理人员对FCPA暗示美国公司经理人员没有建立恰当的内部控制表示不满。(2)许多经理人员认为FCPA中的会计条款没有理性。(3FCPA鼓励不同的公司采取不同的行动。(4FCPA中的定义有问题。(5)由于没有一个典型的内部控制体系,所以,确定衡量一个恰当的内部控制是否存在的标准是困难的。(6)许多经理人员相信,他们公司现行的内部控制是符合成本效益原则的。(7)对于多数来说,存在着改善内部控制的机会。(8)内部控制中的最大困难与数据加工相关。(9)经理人员对内部控制的概念有不同的看法。(10)许多经理人员不知道其他公司是如何建立内部控制的。

Watergate事件之后,美国于1977年颁布Foreign Corrupt Practices Act,简称FCPA,在这个法案中,提出了一些内部控制的具体要求。Maher1981)研究企业对这些要求的反映及对策。Maher认为,企业并不是一味地按FCPA的要求建立完好(perfect)的内部控制,而会考虑内部控制相关的成本效益,根据总成本最低来选择行为方案。Maher将与FCPA相关的内部控制成本分为二类,一是符合成本(compliance cost),也就是按FCPA的要求建立内部控制所需要花费的投资,二是不符合成本(Cost of not complying),也就是不符合FCPA的要求可能招致的成本,如可能的罚款和被处理时的企业名声损失。企业的决策规则是总成本最低,如图2-8所示。

 
 

 

 

 

 

 

 

 

 

  

 

 

 

 

 

 

 

从这个模型出发,Maher在文献综述的基础上,提出如下假设:假设1:如果企业的经营活动不受反贿赂条款的影响,FCPA的内部会计控制条款不会直接影响投资于这些活动的会计控制所需资源。假设2FCPA的内部会计控制条款将会增加企业证明自己符合这些条款的支出,这些支出并不是能增加内部会计控制的支出。

根据90个《Fortune1000企业的数据,Maher进行统计分析的结果是两个假设均得到支持。所以,Maher的结论是,FCPA并没有引致企业投资于会计内部控制控制,二是引致企业投资于证明企业已经符合FCPA的要求。

1977年以来,美国颁布了一系列的与内部控制相关的法令和公告,在这一背景下,一些政府部门开始披露其内部控制情况,一般称为内部控制报告。Wallace1981)对政府部门的内部控制披露进行了分析,Wallace指出,这些内部控制披露并没有回答风险披露和成本效益问题,无意义的报告形式很多。

 

  二、宗教组织内部控制

Duncan, FlesherStocks1999研究教堂规模和教堂制度对教堂内部控制的影响。他们将教堂制度分为三种,一是公理教堂制度(Congregational polity),圣会是最高权力机构,决策体现大多数成员的意愿;二主教教堂制度(episcopal polity),主教有较大的权威;三是长老教堂制度(presbyterian form of polity),少数几个长老具有较大的权威。在文献综述的基础上,他们提出假设:假设1:在教教堂与小教堂的内部控制评估得分无显著差异。假设2:三种教堂制度下的内部控制评估得分无显著差异。

他们的变量设计如下:(1)解释变量:包括二个,一是教堂规模,用教堂职员人数表示,以整个样本为基础,大于平均数的为大教堂,小于平均数的为小教堂;二是教堂制度,分为公理教堂制度、主教教堂制度和长老教堂制度,按哑变量处理。(2)依存变量:内部控制评估得分:将教堂内部控制控制分为四个方面共40个项目,一是一般控制(general controls),包括7个项目;二是收款控制(cash receipts),包括12个项目;三是付款控制(cash disbursements),包括13个项目;四是核对(reconciliation practices),包括8个项目。根据这40个项目设计调查问卷,按“是”与“否”确定答案,根据回答“是”的数量确定得分。

根据上述设计,他们对1200个教堂进行问卷调查,获得有效问卷317份。根据这些问卷数据进行统计分析的结果是,教堂规模及教堂制度对内部控制评估得分有显著影响,大教堂的内部控制得分高于小教堂,不同教会制度的得分因为不同规模则不同,但是,基本的情况是长老制度得分高于主教教堂制度,而后者的得分又高于公理教堂制度的得分。

Bowrin2004研究加勒比海地区宗教组织的内部控制情况。在COSO的架构为基础,他对宗教组织的内部控制环境和控制活动进行文献综述,得出60个项目,他将这60个项目分为四类,一是控制环境,共有20项,二是接收捐赠过程中的内部控制,共有16项,三是支出过程中的内部控制,共有19项,四是其他财产内部控制,共有5项。Bowrin采用的方法是根据这60个项目,对六个宗教组织进行6个宗教组织的FO进行访谈,每个项目按提问的方式提出,由CFO给出“是”与“否”的回答,根据肯定性回答的项目多少,也就是这60个项目中有多少得到应用,来确定比宗教组织的内部控制状况。访谈结果如表2-4所示。从表中可以看出,不同的宗教组织的在内部控制状况有显著差异,同时,不同的内部控制要素的应用也有显著差异。Bowrin根据文献综述得出的结论是,宗教组织的内部控制主要受到三个方面的影响,一是宗教教义(religious doctrine),在不同的教义下,对内部控制的态度不同,二是集权程度,二是管理风格。

 

2-4 60个内部控制项目有不同宗教组织的应用情况

内部控制项目

不同宗教组织的应用程度(%)

类型

项目数量

A

B

C

D

E

F

平均

控制环境

20

95

75

80

75

70

75

78.33

接收捐赠的内部控制

16

88

69

63

63

63

69

69.17

支出的内部控制

19

95

95

89

89

74

58

83.33

其他财产内部控制

5

80

80

100

80

80

80

83.33

合计

60

92

80

77

77

70

68

68.92

☆ 这些字母表示不同的宗教组织

 

本章参考文献

American Institute of Certified Public Accountants, Codification of Statements on Auditing Standards, AICPA, 1994.

Alder,G.S. Employee reactions to electronic performance monitoring: A consequence of organizational culture, Journal of High Technology Management Research 12 (2001) 323–342.

Bates,R.A., Holton III, E.F. Computerized performance monitoring: a review of human resource issues. Human Resource Management Review, Volume 5, Number 4, 1995, pages 267-288.

Bedard,J.C., Graham ,L., Jackson,C. Information Systems Risk and Audit Planning, International Journal of Auditing, 9: 147–163 (2005).

Bowrin,A.R. Internal control in Trinidad and Tobago religious organizations,

Accounting, Auditing & Accountability Journal Vol. 17 No. 1, 2004 pp. 121-152

Calderon, T.G., Cheh,J..J. A roadmap for future neural networks research

in auditing and risk assessment, International Journal of Accounting

Information Systems 3 (2002) 203–236.

Carmichael, D.R., Behavioral hypotheses of internal control. The Accounting Review, Vol. 45, No. 2 (Apr., 1970), 235-245.

Duncan,J.B., Flesher,D.L., and Stocks,M.H. Internal control systems in US Churches: An examination of the effects of church size and denomination on systems of internal control. Accounting, Auditing & Accountability Journal, Vol. 12 No. 2, 1999, pp. 142-163.

Fredericl, D.M., Auditor representation and retrieval of internal control knowledge. The Accounting Review, Vol. 66, No. 2 (Apr., 1991), 240-258.

Hardy,C., Reeve, R. A study of the internal control structure for electronic data interchange system using the analytic hierarchy process. Accounting and Finance 40 (2000) 191-210.

Joint Committee on Corporate Governance , ‘‘Beyond Compliance: Building a Governance Culture’’. Final Report, jointly released by the Canadian Institute of Chartered Accountants (CICA). The Canadian Venture Exchange (CDNX) and the Toronto Stock Exchange (TSE); 2001 (December).

Kopp,L.S., O’Donnell, E. The influence of a business-process focus on category knowledge and internal control evaluation. Accounting, Organization, and Society 30 (2005) 423-434.

Lee,S., Han,I. The impact of organizational contexts on EDI controls, International Journal of Accounting Information Systems, 1 (2000a) 153-177.

Lee, S., Han,I. Fuzzy cognitive map for the design of EDI controls, Information & Management 37 (2000b) 37-50.

Mautz, R.K., et al. Internal control in U.S corporations: the state of the art. New York: Financial Executives Research Foundation, 1980.

Maher, M.W. The impact of regulation on controls: firm response to the Foreign Corrupt Practices Act. The Accounting Review, Vol. 56, No.4 (Oct., 1981), 751-770.

Melville, R. Control self assessment in 1990s: the UK perspective. International Journal of Auditing, 3: 191-206 (1999).

Purvis, S.E.C.  The effect of audit documentation format on data collection. Accounting Organizations and Society, Vol. 14, No. 5/6, pp. 551-563, 1989.

Solomon, J.F., Solomon, A., Norton, S., Joseph, N.L. A conceptual framework for corporate risk disclosure emerging from the agenda for corporate governance reform. British Accounting Review (2000) 32, 447–478

Stringer,D., Carey, P. Internal Control Re-design: An Exploratory Study of Australian Organizations, working paper, Department of Accounting and Finance

Monash University Australia, 1995.

Swanson, L. (1987). Information systems in organization theory: A review. Critical issues in information systems research (K. J.BOLAND AND R. A. HIRSCHHEIM EDS), pp.216-205. Chichester: Wiley.

Torkzadeh,G., Doll,W.J. The development of a tool for measuring the perceived

impact of information technology on work, Omega, Int. J. Mgmt. Sci. 27 (1999) , 327-339.

Trites,G. Director responsibility for IT governance, International Journal of Accounting Information Systems 5 (2004) 89– 99.

Turnbull Report, The (1999). ‘Internal control: Guidance for directors on the combined code’, The Institute of Chartered Accountants in England & Wales, September.

Wallace,W.A. Internal control reporting practices in the municipal sector. The Accounting Review, Vol. 56, No. 3 (Jul., 1981), 666-689.

Wallach, E. J. (1983). Individuals and organizations: the cultural match. Training and development Journal (OTACIT-33). Washington, DC: Office of Technology Assessment. (February) 29-36.

Wijnhoven,A.B.J.M., and Wassenaar,D.A. Impact of Information Technology

on Organizations: The State of the Art, International Journal of Information Management (1990) 10 (35-53).

 

 



[1]VAN指增值网络(Value Added Network),是一种数据交易网络。