1、第第7章章 信息传递与信息风险控制信息传递与信息风险控制 第一节第一节 信息传递与信息风险控制概述信息传递与信息风险控制概述 第二节第二节 财务报告内部控制财务报告内部控制 第三节第三节 业务流程信息控制业务流程信息控制 第四节第四节 信息传递与信息风险控制案例信息传递与信息风险控制案例l信息风险控制信息风险控制是为确保信息及时性、相关性和是为确保信息及时性、相关性和可靠性进行的控制可靠性进行的控制,信息风险控制分为两个层,信息风险控制分为两个层面:面:l一是在一是在公司治理层面公司治理层面,由利益相关者对经营者,由利益相关者对经营者主导的财务信息系统进行监控,主要是主导的财务信息系统进行监控
2、,主要是财务报财务报告内部控制;告内部控制;l二是在二是在企业经营管理层面企业经营管理层面,由经营者和业务人,由经营者和业务人员应用业务流程信息,对经营活动进行控制,员应用业务流程信息,对经营活动进行控制,即即业务流程信息控制。业务流程信息控制。 第一节第一节 信息传递与信息风险控制概述信息传递与信息风险控制概述l信息风险控制从降低信息不对称,到信息沟信息风险控制从降低信息不对称,到信息沟通、信息技术应用,涉及广泛的领域。通、信息技术应用,涉及广泛的领域。l 内部信息传递,是指企业内部各管理层级之内部信息传递,是指企业内部各管理层级之间间通过内部报告形式通过内部报告形式传递生产经营管理信息传递
3、生产经营管理信息的过程。的过程。建立内部报告及指标体系建立内部报告及指标体系形成内部报告形成内部报告内部报告在规定的范围内流转内部报告在规定的范围内流转内部报告使用和保管内部报告使用和保管定期全面评估定期全面评估审核内部报告审核内部报告搜集整理内外部信息搜集整理内外部信息通过通过没通过没通过内部报告形成阶段内部报告形成阶段内部报告使用阶段内部报告使用阶段内部信息传递流程图内部信息传递流程图 企业内部信息传递的风险企业内部信息传递的风险l中国中国“企业内部控制应用指引第企业内部控制应用指引第1717号号内内部信息传递部信息传递”指出,企业指出,企业内部信息传递至内部信息传递至少应当关注下列风险:
4、少应当关注下列风险:l一是一是内部报告系统内部报告系统缺失、功能不健全、内缺失、功能不健全、内容不完整,可能影响生产经营有序运行;容不完整,可能影响生产经营有序运行;l二是内部二是内部信息传递信息传递不通畅、不及时,可能不通畅、不及时,可能导致决策失误、相关政策措施难以落实;导致决策失误、相关政策措施难以落实;l三是三是内部信息传递中泄露商业秘密内部信息传递中泄露商业秘密,可能,可能削弱企业核心竞争力削弱企业核心竞争力 信息沟通渠道包括文件、刊物、网络、培训、信息沟通渠道包括文件、刊物、网络、培训、交谈、考核等。交谈、考核等。中国中国企业内部控制基本规范企业内部控制基本规范指出:指出:企业企业
5、应当建立信息与沟通制度应当建立信息与沟通制度,明确内部控制相关,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行;促进内部控制有效运行;企业企业应当对收集的各种内部信息和外部信息进行合应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性理筛选、核对、整合,提高信息的有用性。企业可。企业可以通过财务会计资料、经营管理资料、调研报告、以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部专项信息、内部刊物、办公网络等渠道,获取内部信息;信息;企业企业应当运用信息
6、技术加强内部控制应当运用信息技术加强内部控制,建立与经营,建立与经营管理相适应的信息系统,促进内部控制流程与信息管理相适应的信息系统,促进内部控制流程与信息系统的有机结合系统的有机结合 。控制措施:控制措施:企业企业应当建立举报投诉制度和举报人保护制度应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。舞弊的人保护制度应当及时传达至全体员
7、工。舞弊的举报、调查重点:举报、调查重点:未经授权或者采取其他不法方式侵占、挪用企业资产,未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益牟取不当利益在财务会计报告和信息披露等方面存在的虚假记载、在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等误导性陈述或者重大遗漏等董事、监事、经理及其他高级管理人员滥用职权董事、监事、经理及其他高级管理人员滥用职权相关机构或人员串通舞弊相关机构或人员串通舞弊企业企业应当关注市场环境、政策变化应当关注市场环境、政策变化等外部信等外部信息对企业生产经营管理的影响,广泛收集、息对企业生产经营管理的影响,广泛收集、分析、整理外部信息
8、,并通过内部报告传递分析、整理外部信息,并通过内部报告传递到企业内部相关管理层级,以便采取应对策到企业内部相关管理层级,以便采取应对策略。企业应当拓宽内部报告渠道,通过落实略。企业应当拓宽内部报告渠道,通过落实奖励措施等多种有效方式,广泛收集合理化奖励措施等多种有效方式,广泛收集合理化建议;建议;企业企业应当重视和加强反舞弊机制建设,应当重视和加强反舞弊机制建设,通过通过设立员工信箱、投诉热线等方式,鼓励员工设立员工信箱、投诉热线等方式,鼓励员工及企业利益相关方举报和投诉企业内部的违及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。法违规、舞弊和其他有损企业形象的行为
9、。 2.多渠道的信息来源多渠道的信息来源 l为了防止信息传递过程中信息真实性下降,防为了防止信息传递过程中信息真实性下降,防止信息垄断在少数人手中,或避免某环节委托止信息垄断在少数人手中,或避免某环节委托人与代理人之间串通,应采用多渠道信息控制人与代理人之间串通,应采用多渠道信息控制方式。方式。l兼听则明,偏听则暗兼听则明,偏听则暗lDEJDEJ公司在中国大区有公司在中国大区有CEOCEO、CFOCFO和和FMFM(财务经理),(财务经理),内部审计负责对中国大区财务系统绩效评价。对财内部审计负责对中国大区财务系统绩效评价。对财务系统的绩效评价有两个方面,一是公认会计准则务系统的绩效评价有两个
10、方面,一是公认会计准则(GAAPGAAP)的执行情况,二是萨班斯()的执行情况,二是萨班斯(SOXSOX)法案和)法案和内部控制(内部控制(ICIC)的执行情况)的执行情况. .l内部审计将审计信息传递给总部董事会、内部审计将审计信息传递给总部董事会、CEOCEO,同时,同时外部审计师将其信息传递给董事会和外部审计师将其信息传递给董事会和CEOCEO,总部将审,总部将审计中发现的问题发给中国大区进行处理计中发现的问题发给中国大区进行处理. .l通过几个渠道获得信息、上报信息,降低了中国大通过几个渠道获得信息、上报信息,降低了中国大区业务执行信息的不对称性区业务执行信息的不对称性 . .第二节第
11、二节财务报告内部控制财务报告内部控制l财务报告内部控制财务报告内部控制定义定义: 由企业高层管理者制定、实施,受到董事会由企业高层管理者制定、实施,受到董事会或类似机构的监督,为确保企业出具的财务报告或类似机构的监督,为确保企业出具的财务报告真实真实反映企业的财务与经营状况、符合会计准则反映企业的财务与经营状况、符合会计准则编报要求的措施与程序编报要求的措施与程序l美国证券交易委员会(美国证券交易委员会(SECSEC)20032003年年财务财务报告内部控制定义:报告内部控制定义: 由公司的首席执行官、首席财务官或者由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的,公司行使
12、类似职权的人员设计或监管的,受到公司的董事会、管理层和其他人员影受到公司的董事会、管理层和其他人员影响的,为财务报告的可靠性和满足外部使响的,为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计准则提供用的财务报表编制符合公认会计准则提供合理保证的合理保证的控制程序控制程序。“财务报告的可靠性财务报告的可靠性”是评价企业财务报告内部是评价企业财务报告内部控制是否良好根本依据。控制是否良好根本依据。 如果管理层在财务报告中虚报企业的利润,违如果管理层在财务报告中虚报企业的利润,违背了可靠性的原则,就称为背了可靠性的原则,就称为财务报告内部控制财务报告内部控制失效失效。财务报告内部控制属于内
13、部控制的范畴,。财务报告内部控制属于内部控制的范畴,是内部控制的细化。例如,独立董事就对外担是内部控制的细化。例如,独立董事就对外担保、关联交易、投资等业务要求报告和披露,保、关联交易、投资等业务要求报告和披露,属于财务报告内部控制范畴。属于财务报告内部控制范畴。一、财务报告内部控制环境一、财务报告内部控制环境 l在相互制衡的公司治理结构下,股东大会、在相互制衡的公司治理结构下,股东大会、董事会、监事会关注财务信息,以此作为评董事会、监事会关注财务信息,以此作为评价委托代理责任履行情况的重要依据,并通价委托代理责任履行情况的重要依据,并通过法律、准则等一系列措施来保证财务报告过法律、准则等一系
14、列措施来保证财务报告质量,从而形成内在约束力质量,从而形成内在约束力l随着安然事件对美国证券市场带来的随着安然事件对美国证券市场带来的“多米多米诺骨牌效应诺骨牌效应”,虚假的财务信息成为众矢之,虚假的财务信息成为众矢之的,美国社会各界强力呼吁政府出台能够保的,美国社会各界强力呼吁政府出台能够保证财务报告信息质量的政策、措施,严厉打证财务报告信息质量的政策、措施,严厉打击公司的造假行为击公司的造假行为l中国证券市场也屡屡被财务报告舞弊事件困中国证券市场也屡屡被财务报告舞弊事件困扰,无论是扰,无论是2020世纪世纪9090年代初的深圳原野案、年代初的深圳原野案、20002000年的郑百文、猴王股份
15、案,还是年的郑百文、猴王股份案,还是20012001年年的的“银广厦银广厦”事件,种种的案件都或多或少事件,种种的案件都或多或少的与企业的财务报告相关的与企业的财务报告相关 二、财务报告内部控制理论与实践二、财务报告内部控制理论与实践(一)理论研究(一)理论研究n 代理理论:代理理论:委托人和代理人之间的目标函数是不一委托人和代理人之间的目标函数是不一致的。委托人总是希望通过各种方式来监督和激励代致的。委托人总是希望通过各种方式来监督和激励代理人,使之尽其所能,为委托人谋取最大利益。理人,使之尽其所能,为委托人谋取最大利益。n 由于由于“道德风险道德风险”(moral hazardmoral
16、hazard)或)或“逆向选择逆向选择”(adverse selectionadverse selection)的存在,经理人员可能通过机)的存在,经理人员可能通过机会主义的行为最大化自身而不是股东的利益,股东设会主义的行为最大化自身而不是股东的利益,股东设计了诸多激励和监督机制以引导和制衡经理人员的机计了诸多激励和监督机制以引导和制衡经理人员的机会主义行为。会主义行为。n 财务报告财务报告作为反映经营成果的最重要的信息,便是作为反映经营成果的最重要的信息,便是委托人对代理人实施监督的最有效的手段。委托人对代理人实施监督的最有效的手段。 中国中国“企业内部控制应用指引第企业内部控制应用指引第1
17、414号号- -财务财务报告报告”指出,企业编制、对外提供和分析利指出,企业编制、对外提供和分析利用财务报告,至少应当关注下列风险:用财务报告,至少应当关注下列风险:u一是编制财务报告一是编制财务报告违反会计法律法规和国家统一的违反会计法律法规和国家统一的会计准则制度,会计准则制度,可能导致企业承担法律责任和声誉可能导致企业承担法律责任和声誉受损;受损;u二是二是提供虚假财务报告,误导财务报告使用者提供虚假财务报告,误导财务报告使用者,造,造成决策失误,干扰市场秩序;成决策失误,干扰市场秩序;u三是三是不有效利用财务报告,不有效利用财务报告,难以及时发现企业经营难以及时发现企业经营管理中存在的
18、问题,可能导致企业财务和经营风险管理中存在的问题,可能导致企业财务和经营风险失控。失控。 企业,尤其是上市公司,必须密切关注财务报告方面企业,尤其是上市公司,必须密切关注财务报告方面的风险,万万不可忽视。的风险,万万不可忽视。 三、编制、提供财务报告应关注的风险三、编制、提供财务报告应关注的风险 “企业内部控制应用指引第企业内部控制应用指引第 14 14 号号财财务报告务报告”(20102010)明确提出财务报告内)明确提出财务报告内部控制要求:部控制要求:u 企业企业应当加强对财务报告编制、对外提供和分析应当加强对财务报告编制、对外提供和分析利用全过程的管理,利用全过程的管理,明确相关工作流
19、程和要求,落实明确相关工作流程和要求,落实责任制,确保财务报告合法合规、真实完整和有效利责任制,确保财务报告合法合规、真实完整和有效利用;用; u 企业企业应当重视报告分析工作应当重视报告分析工作,定期召开分析会议,定期召开分析会议,充分利用报告反映的综合信息,全面分析企业的经营充分利用报告反映的综合信息,全面分析企业的经营管理状况和存在的问题,不断提高经营管理水平。企管理状况和存在的问题,不断提高经营管理水平。企业分析会议应吸收有关部门负责人参加。总会计师或业分析会议应吸收有关部门负责人参加。总会计师或分管会计工作的负责人应当在分析和利用工作中发挥分管会计工作的负责人应当在分析和利用工作中发
20、挥主导作用主导作用 。财务报告内部控制的要求:财务报告内部控制的要求:四、财务报告内部控制的特点四、财务报告内部控制的特点 1.1.财务报告内部控制的责任主体财务报告内部控制的责任主体管理者管理者u 经理人的追求经理人的追求有荣誉、社会威信与权力、竞争热有荣誉、社会威信与权力、竞争热情、创造欲望、安全、冒险等目标。在经理人市场上情、创造欲望、安全、冒险等目标。在经理人市场上经理人员报酬就是由其自身价值、以前工作表现等决经理人员报酬就是由其自身价值、以前工作表现等决定的。定的。u 经理人市场经理人市场的形成能够激励、约束经理人员,促的形成能够激励、约束经理人员,促使经理追求长期的成功。但管理者作
21、为代理人,相对使经理追求长期的成功。但管理者作为代理人,相对委托人来讲,更了解公司内部实际的运作和资金情况,委托人来讲,更了解公司内部实际的运作和资金情况,也就更有机会进行也就更有机会进行“暗箱操作暗箱操作” 。u 我国我国企业内部控制应用指引第企业内部控制应用指引第1414号号财务报财务报告告指出,总会计师或分管会计工作的负责人负责组指出,总会计师或分管会计工作的负责人负责组织、领导财务报告的编制、对外提供和分析利用等相织、领导财务报告的编制、对外提供和分析利用等相关工作。关工作。企业负责人对报告的真实性、完整性负责。企业负责人对报告的真实性、完整性负责。【美国世通公司案例美国世通公司案例】
22、 2001 2001年,世通高额负债的状况引起美国证券年,世通高额负债的状况引起美国证券监管机构的关注,为此所进行的调查导致首监管机构的关注,为此所进行的调查导致首席执行官埃伯斯辞职。世通公司前管理当局席执行官埃伯斯辞职。世通公司前管理当局具有提供虚假财务报告的动机,包括:首席具有提供虚假财务报告的动机,包括:首席执行官持有公司大量股票,并以此作为个人执行官持有公司大量股票,并以此作为个人贷款的质押;需要保持高股价,从而维持以贷款的质押;需要保持高股价,从而维持以换股方式进行收购兼并的吸引力;需要保持换股方式进行收购兼并的吸引力;需要保持较高的投资和信用等级以发行股票或举债来较高的投资和信用等
23、级以发行股票或举债来为其经营活动和资本支出筹措资金为其经营活动和资本支出筹措资金。 2. 2.财务报告内部控制的内部屏障财务报告内部控制的内部屏障董事会董事会l管理者编制财务报告,董事会负责监督,是及早发现管理者编制财务报告,董事会负责监督,是及早发现财务报告问题的第一道屏障。财务报告问题的第一道屏障。无论是董事会的结构,无论是董事会的结构,独立董事的规模,还是审计委员会的设立,都与财务独立董事的规模,还是审计委员会的设立,都与财务报告内部控制相关。学者们早期认为,董事会应该包报告内部控制相关。学者们早期认为,董事会应该包含若干名内部董事,因为他们是董事会的重要信息来含若干名内部董事,因为他们
24、是董事会的重要信息来源。源。l内部董事参与公司的日常管理,更了解公司经营状况,内部董事参与公司的日常管理,更了解公司经营状况,能提高董事会的决策效率。内部董事可以减少外部董能提高董事会的决策效率。内部董事可以减少外部董事与首席执行官之间的信息不对称,从而有效的监管事与首席执行官之间的信息不对称,从而有效的监管和评价和评价CEOCEO的工作。的工作。l引入外部董事可以保证董事会对公司的控制关系不因引入外部董事可以保证董事会对公司的控制关系不因管理层的介入而受到影响。管理层的介入而受到影响。 【乐山电力公司案例乐山电力公司案例】20042004年年1 1月,乐山电力公司两位独立董事程厚博和刘月,乐
25、山电力公司两位独立董事程厚博和刘文波,因对公司的担保行为、关联交易行为以及负债文波,因对公司的担保行为、关联交易行为以及负债情况产生质疑,聘请会计师事务所对上市公司进行专情况产生质疑,聘请会计师事务所对上市公司进行专项审计。独立董事聘请的深圳鹏城会计师事务所从乐项审计。独立董事聘请的深圳鹏城会计师事务所从乐山电力管理局得到的资料与中介机构取得的外部有关山电力管理局得到的资料与中介机构取得的外部有关对外担保资料、关联方及其交易资料不一致,因此深对外担保资料、关联方及其交易资料不一致,因此深圳鹏城会计师事务所未能对乐山电力圳鹏城会计师事务所未能对乐山电力20032003年度及截至年度及截至2003
26、2003年年1212月月3131日累计的对外担保情况、关联方及其交日累计的对外担保情况、关联方及其交易事项的专项内容给出整体表示意见。易事项的专项内容给出整体表示意见。 但就其取得的资料而言,深圳鹏城会计师事务所但就其取得的资料而言,深圳鹏城会计师事务所审计得出的已终审判决、已执行、正在执行的对外担审计得出的已终审判决、已执行、正在执行的对外担保金额达到了保金额达到了27702770万元,这些担保均未经公司董事会万元,这些担保均未经公司董事会及股东大会的决议批准;已经形成诉讼或有可能形成及股东大会的决议批准;已经形成诉讼或有可能形成诉讼的对外担保金额达到了诉讼的对外担保金额达到了8000800
27、0万元,这些担保同样万元,这些担保同样没有取得公司董事会或股东大会决议批准;截止没有取得公司董事会或股东大会决议批准;截止20032003年年1212月月3131日,乐山电力存在的其他对外担保累计金额日,乐山电力存在的其他对外担保累计金额据了解至少过亿元,其中大部分未获董事会决议通过,据了解至少过亿元,其中大部分未获董事会决议通过,并且未对外公告。并且未对外公告。 由于深圳鹏城会计师事务所无法实施进一步审计由于深圳鹏城会计师事务所无法实施进一步审计程序,只是无法发表意见的担保事项其累计金额同样程序,只是无法发表意见的担保事项其累计金额同样过亿元,其中部分仍未能查公司有曾经披露的历史公过亿元,其
28、中部分仍未能查公司有曾经披露的历史公告记录。告记录。l1.1.审计委员会在财务报告内部控制方面发挥着主审计委员会在财务报告内部控制方面发挥着主要的功能,比如:监督财务报告过程和内部控制要的功能,比如:监督财务报告过程和内部控制有效性,保证财务报告的可靠新。有效性,保证财务报告的可靠新。l2.2.审计委员会在发现和防止财务报告欺诈方面扮审计委员会在发现和防止财务报告欺诈方面扮演着重要的角色,其职责通常被要求在公司章程演着重要的角色,其职责通常被要求在公司章程中予以明确规定。中予以明确规定。 审计委员会的作用:审计委员会的作用: 3. 3.股东行为对财务报告内部控制的影响股东行为对财务报告内部控制
29、的影响v当当控股股东担任公司的管理职务控股股东担任公司的管理职务时,不存在所有者和时,不存在所有者和经营者之间的利益冲突。经营者之间的利益冲突。v当当经营者不是控股股东本人经营者不是控股股东本人时,控股股东就有足够动时,控股股东就有足够动力去监管代理人的行为。但控股股东与其他股东的利力去监管代理人的行为。但控股股东与其他股东的利益并不是都一致的,控股股东侵占小股东的问题时有益并不是都一致的,控股股东侵占小股东的问题时有发生,例如控股股东向公司委派管理人员,与管理层发生,例如控股股东向公司委派管理人员,与管理层合谋损害中小股东的利益,还通过隧道挖掘合谋损害中小股东的利益,还通过隧道挖掘(Tunn
30、elingTunneling)的方式侵占其他股东的利益。)的方式侵占其他股东的利益。v当存在利益侵占效应时,控股股东和公司管理层为了当存在利益侵占效应时,控股股东和公司管理层为了掩饰其侵占行为会倾向于降低信息透明度。掩饰其侵占行为会倾向于降低信息透明度。五、财务报告内部控制风险和防范五、财务报告内部控制风险和防范l企业财务报告欺诈前,通常会表现出一些异常现象,企业财务报告欺诈前,通常会表现出一些异常现象,将其称为财务报告内部控制失效的将其称为财务报告内部控制失效的风险信号风险信号。 l美国美国COSOCOSO委员会委员会19991999年发布了年发布了欺诈性财务报告分欺诈性财务报告分析析,发现
31、实施欺诈的公司,在欺诈前的几个会计,发现实施欺诈的公司,在欺诈前的几个会计期间发生亏损,或者正接近损益平衡点的位置,财期间发生亏损,或者正接近损益平衡点的位置,财务困境使得这些公司有动机进行欺诈性活动。务困境使得这些公司有动机进行欺诈性活动。财务报告风险信号财务报告风险信号 关键信号财务报告舞弊风险年末或季末收入激增 收入经常在期末被操纵以达到收益目标,包括:未结清账户和提前确认下期收入,虚假销售,平滑收益等销售增长超过行业水平 行业内其他企业销售下降,本企业销售处于增长状态,但不能被合理证明毛利率异常 没有记录全部费用、重复开出发票、虚假销售、产品质量下降等结账后销售退回增加可能意味着产品或
32、服务质量问题,虚假销售等应收账款回收期增加应收账款回收期显著增加或显著高于行业水平存货周转期增加存货周转期增加可能意味着产品积压、面临财务困境资产负债率显著变化财务压力是重要的舞弊风险信号现金流量如果销售收入和盈利能力表现好,但经营现金流量较低或为负数非财务业绩指标显著变化各个行业都有其关键信号,关键信号与财务结果显著不一致影响因素 考察内容控制环境 如何激励管理层和员工?是否存在收益目标的压力;员工理解其个人对内部控制的责任;评价领导能力的标准是什么;如何处理发生的错误?等道德准则 建立道德准则并遵循;不存在违反准则的情况;公司资产被恰当地使用关联方交易 制定关联方交易政策,该政策是否有效?
33、公司是否定期进行关联方交易?向审计人员和董事会进行充分披露关联方交易情况;存在关联方交易的重要经济动机是否能够证明关联方交易的存在?公司治理 董事会保持独立性,董事会会议经常讨论潜在的问题,董事长与管理层关系适当;管理层对下级未施加不正当影响,例如从不向关键人员明示或暗示账项调整公司治理与财务报告内部控制公司治理与财务报告内部控制公司治理与财务报告内部控制公司治理与财务报告内部控制审计委员会 审计委员会保持独立,并具有财会知识,准确地理解内部控制;审计委员会积极开展活动,跟踪内部和外部审计发现的问题,在没有管理层参与的情况下与审计人员会面内部审计 设立内部审计部门,内部审计章程与“最佳的实践”
34、保持一致;内部审计部门的预算由董事会或审计委员会审批;内部审计的范围涉及所有活动,如控制评价、财务审计、经营审计、监督公司道德准则的遵循情况;内部审计的建议被采纳和贯彻;内部审计人员能够胜任工作;能及时揭示出控制失败从而能采取纠正措施举报制度 建立了举报制度,并与责任人保持独立性,有足够的权力的经费追究问题,举报信息提供给管理层、审计委员会和内部审计部门l有研究机构对美国有研究机构对美国603603个舞弊事件研究,员工举报、个舞弊事件研究,员工举报、偶尔发现、内部控制、内部审计等内部方式发现舞弊偶尔发现、内部控制、内部审计等内部方式发现舞弊的比例达的比例达69.8%69.8%;通过客户举报、匿
35、名举报、供应商;通过客户举报、匿名举报、供应商举报等外部关系人发现的比例达举报等外部关系人发现的比例达17.6%17.6%;通过外部审;通过外部审计、执法检查发现财务舞弊的比例只占计、执法检查发现财务舞弊的比例只占12.6%12.6%l具体分布:员工举报发现具体分布:员工举报发现140140个、偶尔发现个、偶尔发现100100个、内个、内部控制发现部控制发现9999个、内部审计发现个、内部审计发现8282个,内部方式共计个,内部方式共计421421;客户举报;客户举报4646个、匿名举报个、匿名举报3333个、供应商举报个、供应商举报2727个、外部审计个、外部审计6767、执法检查、执法检查
36、9 9个。个。企业在内部控制以企业在内部控制以之外,还应给客户举报、供应商举报等外部关系人举之外,还应给客户举报、供应商举报等外部关系人举报创造条件报创造条件 第三节第三节 业务流程信息风险控制业务流程信息风险控制 l业务流程信息对于支持组织的决策与控制具业务流程信息对于支持组织的决策与控制具有重要作用。除了解决组织中有重要作用。除了解决组织中经营决策、协经营决策、协调与控制、战略绩效评价调与控制、战略绩效评价等的问题外,业务等的问题外,业务流程信息也具有流程信息也具有分析问题、考察复杂目标与分析问题、考察复杂目标与开创新产品开创新产品的作用的作用 信息系统信息系统-业务目标业务目标促进企业有
37、效实施内部控制,促进企业有效实施内部控制,提高企业现代化提高企业现代化管理水平,减少人为操纵因素;管理水平,减少人为操纵因素;增强信息系统的安全性、可靠性和合理性以及增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性相关信息的保密性、完整性和可用性,为建立有,为建立有效的信息与沟通机制提供支持保障。效的信息与沟通机制提供支持保障。 信息系统信息系统-基本要求基本要求u企业企业应当重视信息系统在内部控制中的作用应当重视信息系统在内部控制中的作用,根据内部,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制
38、定信息系统建设整力等因素,制定信息系统建设整体规划,加大投入力度体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。防范经营风险,全面提升企业现代化管理水平。u企业企业应当指定专门机构对信息系统建设实施归口管理应当指定专门机构对信息系统建设实施归口管理,明确相关单位的职责权限,建立有效工作机制。企业可委明确相关单位的职责权限,建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。托专业机构从事信息系统的开发、运行和维护工作。u企业负责人对信息系统建设工作负责企业负责人对
39、信息系统建设工作负责。信息系统信息系统-控制流程控制流程制定信息系统制定信息系统开发战略规划开发战略规划选择信息系统选择信息系统开发方式开发方式信息系统的信息系统的运行与维护运行与维护系统终结系统终结项目项目计划计划需求需求分析分析系统系统上线上线系统系统设计设计编程编程测试测试日常运行维护日常运行维护系统变更系统变更安全管理安全管理自行自行开发开发软件产品选型软件产品选型和供应商选择和供应商选择服务提供服务提供商选择商选择 外购外购调试调试选择外包选择外包服务商服务商签订签订外包合同外包合同持续跟踪评价外包持续跟踪评价外包服务商的服务过程服务商的服务过程业务业务外包外包 中国中国“企业内部控
40、制应用指引第企业内部控制应用指引第1818号号信息系统信息系统”指指出,企业利用信息系统实施内部控制至少出,企业利用信息系统实施内部控制至少应当关注应当关注下列风险下列风险:p一是一是信息系统缺乏或规划不合理信息系统缺乏或规划不合理,可能造成信息孤,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;岛或重复建设,导致企业经营管理效率低下;p二是二是系统开发不符合内部控制要求系统开发不符合内部控制要求,授权管理不当,授权管理不当,可能导致无法利用信息技术实施有效控制;可能导致无法利用信息技术实施有效控制;p三是三是系统运行维护和安全措施不到位系统运行维护和安全措施不到位,可能导致信,可能导致
41、信息泄漏或损,系统无法正常运行。息泄漏或损,系统无法正常运行。 信息系统信息系统-业务风险业务风险1.1.信息系统的开发环节信息系统的开发环节u 企业企业应当根据信息系统建设整体规划提出项目建设方案应当根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。安排等相关内容,按照规定的权限和程序审批后实施。u 企业信息系统归口管理部门企业信息系统归口管理部门应当组织内部各单位提出开应当组织内部各单位提出开发要求和关键控制点,发要求和关键控制点,规范开发流程,明确系统
42、设计、编规范开发流程,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求,严格按程、安装调试、验收、上线等全过程的管理要求,严格按照建设开发方案、开发流程和相关要求组织开发工作。照建设开发方案、开发流程和相关要求组织开发工作。u 方式:自行开发、外购调试、业务外包。方式:自行开发、外购调试、业务外包。信息系统信息系统-风险控制措施风险控制措施企业应当根据业务性质、重要性程度、涉密企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级,情况等确定信息系统的安全等级,建立不同建立不同等级信息的授权使用制度,等级信息的授权使用制度,采用相应技术手采用相应技术手段保证信息系统运行安
43、全有序段保证信息系统运行安全有序企业应当建立信息系统企业应当建立信息系统安全保密和泄密责任安全保密和泄密责任追究制度追究制度委托专业机构进行系统运行与维护管理委托专业机构进行系统运行与维护管理的,的,应当审查该机构的资质,并与其签订服务合应当审查该机构的资质,并与其签订服务合同和保密协议。企业应当采取安装安全软件同和保密协议。企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的等措施防范信息系统受到病毒等恶意软件的感染和破坏感染和破坏 2.信息系统的运行与维护环节信息系统的运行与维护环节企业应当企业应当建立用户管理制度,建立用户管理制度,加强对重要加强对重要业务系统的访问权限管理,定
44、期审阅系统业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作禁止不相容职务用户账号的交叉操作企业应当综合利用防火墙、路由器等网络企业应当综合利用防火墙、路由器等网络设备,漏洞扫描、入侵检测等软件技术以设备,漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段,及远程访问安全策略等手段,加强网络安加强网络安全,防范来自网络的攻击和非法侵入全,防范来自网络的攻击和非法侵入 企业对于通过企业对于通过网络传输的涉密或关键数据网络传输的涉密或关键数据,应当采取加密措施,确保信息传递的保密性、应当采取加密措施,确保
45、信息传递的保密性、准确性和完整性准确性和完整性企业应当企业应当建立系统数据定期备份制度建立系统数据定期备份制度,明确,明确备份范围、频度、方法、责任人、存放地点、备份范围、频度、方法、责任人、存放地点、有效性检查等内容有效性检查等内容企业应当加强服务器等关键信息企业应当加强服务器等关键信息设备的管理设备的管理,建立良好的物理环境,指定专人负责检查,建立良好的物理环境,指定专人负责检查,及时处理异常情况及时处理异常情况未经授权,任何人不得接触关键信息设备未经授权,任何人不得接触关键信息设备 案例:海空物流公司信息系统案例:海空物流公司信息系统海空物流公司通过海空物流公司通过GPSGPS(全球卫星
46、系统),(全球卫星系统),实现了对所有运输车辆实现了对所有运输车辆2424小时监控,所有仓库安小时监控,所有仓库安装了装了CCTVCCTV监视系统,对出入仓库的人员实行指纹监视系统,对出入仓库的人员实行指纹身份识别方式,对仓库中进出和存放的货物实行身份识别方式,对仓库中进出和存放的货物实行条形码管理。条形码管理。通过全程动态监控对供应链上每个成员的信通过全程动态监控对供应链上每个成员的信息、行为和服务结果检查,鉴别出整个供应链上息、行为和服务结果检查,鉴别出整个供应链上的冗余行为和非增值行为。的冗余行为和非增值行为。为保证信息系统的安全,对系统的制度严格为保证信息系统的安全,对系统的制度严格执
47、行,每月都要进行系统准入核对(执行,每月都要进行系统准入核对(system system access reconciliationaccess reconciliation)。)。 l一、财务报告内部控制案例一、财务报告内部控制案例 帕玛拉特是意大利第八大企业集团帕玛拉特是意大利第八大企业集团, ,以生产和以生产和销售牛奶、果汁和奶制品等为主,是意乳品业的巨销售牛奶、果汁和奶制品等为主,是意乳品业的巨头。但因无力填补头。但因无力填补145145亿欧元的财务黑洞,亿欧元的财务黑洞,20032003年年1212月月2727日,意大利帕尔马地方破产法院批准了该公日,意大利帕尔马地方破产法院批准了该
48、公司提出的破产保护申请。帕玛拉特是典型的家族型司提出的破产保护申请。帕玛拉特是典型的家族型企业,公司创始人卡利斯托企业,公司创始人卡利斯托. .坦齐(坦齐(CalistoCalisto TanziTanzi)的家族公司拥有帕玛拉特的家族公司拥有帕玛拉特51%51%的股份。帕玛拉特的的股份。帕玛拉特的1313人董事会中,没有任何人独立于坦齐家族。集中人董事会中,没有任何人独立于坦齐家族。集中的权力减弱了财务报告内部控制,其内部审计人员的权力减弱了财务报告内部控制,其内部审计人员波契向检察官承认伪造了对美洲银行近波契向检察官承认伪造了对美洲银行近4040亿美元虚亿美元虚假账目的确认函。假账目的确认
49、函。第四节第四节 信息传递与信息风险控制案例信息传递与信息风险控制案例l 由于缺乏健全的财务制度,帕玛拉特没有做到由于缺乏健全的财务制度,帕玛拉特没有做到财务统一管理。据财务统一管理。据金融时报金融时报报道,集团拥有报道,集团拥有170170家分支机构,很多分公司以及开曼群岛的子家分支机构,很多分公司以及开曼群岛的子公司之间都有现金转账公司之间都有现金转账l多年的系统性造假行为导致帕玛拉特账面上有几多年的系统性造假行为导致帕玛拉特账面上有几十亿欧元不知所踪。如美洲银行在十亿欧元不知所踪。如美洲银行在20032003年年1212月月1919日称,帕玛拉特集团在开曼群岛的分支机构日称,帕玛拉特集团
50、在开曼群岛的分支机构BonlatBonlat金融公司在该银行账户上的款项并不存在,金融公司在该银行账户上的款项并不存在,而帕玛拉特提供的一份虚假证明文件称该公司而帕玛拉特提供的一份虚假证明文件称该公司20022002年年1212月月3131日有一笔日有一笔39.539.5亿欧元的流动资金亿欧元的流动资金l财务制度的欠缺导致帕玛拉特集团高达财务制度的欠缺导致帕玛拉特集团高达100100亿亿欧元的债务总额,其中欧元的债务总额,其中1/31/3为意大利的银行拥为意大利的银行拥有,其余则由债券持有人和国外银行持有;有,其余则由债券持有人和国外银行持有;帕玛拉特不但没有利用债务使公司获得财务帕玛拉特不但
