1、2022年8月1日星期一内部控制内部控制_信息技术环境信息技术环境下企业内部控制下企业内部控制 任何企业在其经营活动中都会面临各任何企业在其经营活动中都会面临各种各样的风险,企业的发展过程就是不断种各样的风险,企业的发展过程就是不断与各种风险打交道并降低和避免各种风险与各种风险打交道并降低和避免各种风险的过程。而信息技术的广泛应用,使企业的过程。而信息技术的广泛应用,使企业的生产、经营与管理模式产生了巨大的变的生产、经营与管理模式产生了巨大的变化,一方面信息技术应用为企业增强了竞化,一方面信息技术应用为企业增强了竞争力的同时带来了新的风险,另一方面信争力的同时带来了新的风险,另一方面信息技术也
2、能为控制风险提供新的手段。作息技术也能为控制风险提供新的手段。作为企业管理重要组成部分的内部控制必须为企业管理重要组成部分的内部控制必须进行改革,以适应新的情况,本章就来讨进行改革,以适应新的情况,本章就来讨论这些问题。论这些问题。第一节第一节 现代企业面临的风险现代企业面临的风险 与内部控制的重要性与内部控制的重要性 控制是针对风险而设立的,风险是导控制是针对风险而设立的,风险是导致一个组织或机构发生损失的可能性,而致一个组织或机构发生损失的可能性,而控制则是降低或减少风险的活动。风险损控制则是降低或减少风险的活动。风险损失的大小是该风险事件发生的概率与该事失的大小是该风险事件发生的概率与该
3、事件可能造成的损失的乘积。风险不仅仅是件可能造成的损失的乘积。风险不仅仅是由于缺少控制而产生的,它是任何组织的由于缺少控制而产生的,它是任何组织的经营活动中固有的,其原因多种多样。控经营活动中固有的,其原因多种多样。控制可以减少风险,但不能消除其起因。制可以减少风险,但不能消除其起因。一、企业在运营过程中面临的传统风险一、企业在运营过程中面临的传统风险 过高的成本;不足的收入;资产的流过高的成本;不足的收入;资产的流失;会计的失误;经营的中断;违规的处失;会计的失误;经营的中断;违规的处罚;竞争的弱势;舞弊与盗用;白领犯罪;罚;竞争的弱势;舞弊与盗用;白领犯罪;法人犯罪。见图法人犯罪。见图9-
4、1 不足的收入过高的成本资产流失经营的中断舞弊与窃取会计的失误竞争的弱势违规被处罚常见的风险常见的风险图图9-1 企业面临的传统风险企业面临的传统风险常见的常见的传统风险传统风险法人犯罪白领犯罪 白领犯罪白领犯罪 是指管理层犯罪,这类犯罪有别于其他非法是指管理层犯罪,这类犯罪有别于其他非法活动,它发生在犯罪人的工作中,当管理人员活动,它发生在犯罪人的工作中,当管理人员通过某些欺骗手段将资产转移用途或隐瞒时,通过某些欺骗手段将资产转移用途或隐瞒时,白领犯罪就发生了。如会计作假账就是白领犯白领犯罪就发生了。如会计作假账就是白领犯罪行为。罪行为。法人犯罪。法人犯罪。是指表面上看只是对企业或组织有利,
5、不是是指表面上看只是对企业或组织有利,不是对犯罪者个人有利的白领犯罪,而实际上犯罪对犯罪者个人有利的白领犯罪,而实际上犯罪者个人是间接受益的。法人犯罪给组织带来的者个人是间接受益的。法人犯罪给组织带来的风险可能更大。风险可能更大。二、信息化后企业面临的新风险二、信息化后企业面临的新风险1.计算机系统消除了手工的大部分交易处理痕计算机系统消除了手工的大部分交易处理痕迹迹2.计算机系统中交易的授权和执行与手工系统计算机系统中交易的授权和执行与手工系统有很大不同有很大不同3.重新安排职责分离重新安排职责分离 4.对信息系统内控的依赖性,增加了差错多次对信息系统内控的依赖性,增加了差错多次发生的可能性
6、发生的可能性5.更严峻的风险更严峻的风险 数据集中存储和管理,一但出现硬件故障,比如主机数据集中存储和管理,一但出现硬件故障,比如主机系统损坏,可能导致数据丢失甚至造成毁灭性的灾难。业务系统损坏,可能导致数据丢失甚至造成毁灭性的灾难。业务数据和财务数据集成以后,内部管理上权限控制是重新分配的,数据和财务数据集成以后,内部管理上权限控制是重新分配的,新的控制措施跟不上,就有可能造成控制的漏洞。在信息技新的控制措施跟不上,就有可能造成控制的漏洞。在信息技术环境下,对技术人员尤其是系统管理人员的控制问题变得异术环境下,对技术人员尤其是系统管理人员的控制问题变得异常突出。这些人员在极端情况下,可能会造
7、成机器毁坏或整个常突出。这些人员在极端情况下,可能会造成机器毁坏或整个系统瘫痪。信息在互联网上传输,产生了易泄露的风险,还系统瘫痪。信息在互联网上传输,产生了易泄露的风险,还有各级权限密码保存、改动不当甚或丢失都可能造成重大损失。有各级权限密码保存、改动不当甚或丢失都可能造成重大损失。信息技术是双刃剑,有正面的价值,也有负信息技术是双刃剑,有正面的价值,也有负面的影响。我们的任务就是千方百计发挥和利面的影响。我们的任务就是千方百计发挥和利用信息技术的正面效用而减少或避免其负面影用信息技术的正面效用而减少或避免其负面影响,这就为内部控制提出了新的挑战,我们必响,这就为内部控制提出了新的挑战,我们
8、必须认识这一点。好在信息技术在内部控制工作须认识这一点。好在信息技术在内部控制工作中也可以大有作为,甚至可以帮助完成人工不中也可以大有作为,甚至可以帮助完成人工不可能实现的控制任务,这完全取决于我们的研可能实现的控制任务,这完全取决于我们的研究与探索。企业信息化完全改变了原来业务处究与探索。企业信息化完全改变了原来业务处理的模式、秩序、稳定性和安全性,需要我们理的模式、秩序、稳定性和安全性,需要我们建立一个全新的信息技术环境下的以信息技术建立一个全新的信息技术环境下的以信息技术为工具的内部控制体系,也就是要建立一个基为工具的内部控制体系,也就是要建立一个基于信息技术的具有稳定性、安全性的新的业
9、务于信息技术的具有稳定性、安全性的新的业务处理模式。处理模式。第二节第二节 信息技术环境下信息技术环境下 企业内部控制的一般概念企业内部控制的一般概念一、内部控制的基本概念一、内部控制的基本概念 美国美国COSO委员会在内部控制委员会在内部控制整体框架中将内部控制定义为:内部控整体框架中将内部控制定义为:内部控制是由企业董事会、经理层和其他员工实制是由企业董事会、经理层和其他员工实施的,为营运的效率效果、财务报告的可施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。对此定义我们可作提供合理保证的过程。对此定义我们可作
10、如下理解:如下理解:1.内部控制是一个流程,受公司董事会、内部控制是一个流程,受公司董事会、管理层和员工行为的影响。内部控制流管理层和员工行为的影响。内部控制流程中一切活动的设计,都必须始终围绕程中一切活动的设计,都必须始终围绕实现下列三个目标提供合理的保证:实现下列三个目标提供合理的保证:经营的效果与效率;经营的效果与效率;财务报告的真实与可靠;财务报告的真实与可靠;经营活动的合法与合规。经营活动的合法与合规。2.内部控制的实施基于两个前提:内部控制的实施基于两个前提:第一个前提是第一个前提是责任责任,管理层和董事会有责任建管理层和董事会有责任建立并维持一个有效的内部控制流程。虽然具体立并维
11、持一个有效的内部控制流程。虽然具体的控制活动的责任由某些下属承担,但最终的的控制活动的责任由某些下属承担,但最终的责任仍属于最高管理层和董事会。尽管内部审责任仍属于最高管理层和董事会。尽管内部审计师最熟系内部控制的知识,但内部控制并不计师最熟系内部控制的知识,但内部控制并不是由审计师负责,而是由管理层负责。审计师是由审计师负责,而是由管理层负责。审计师负责为管理层提供有关内部控制如何运行的信负责为管理层提供有关内部控制如何运行的信息。息。第二个前提是第二个前提是合理合的保证合理合的保证,这与控制的成本,这与控制的成本和收益有关,精明的管理层不会让花在控制上和收益有关,精明的管理层不会让花在控制
12、上的钱超过从控制上所能得到的收益。即控制的的钱超过从控制上所能得到的收益。即控制的合算性。合算性。3.内部控制还要受到外部法制环境和企业内部控制还要受到外部法制环境和企业经济环境的影响经济环境的影响 任何企业都受制于国家发布的相关而具体的法律任何企业都受制于国家发布的相关而具体的法律法规。一个企业必须保证它的所有生产经营活动法规。一个企业必须保证它的所有生产经营活动符合国家颁布并已生效了的相关法律法规。否则,符合国家颁布并已生效了的相关法律法规。否则,违规违法都会遭受处罚,形成经济损失。内部控违规违法都会遭受处罚,形成经济损失。内部控制就是保证企业活动符合相关的法律法规的活动。制就是保证企业活
13、动符合相关的法律法规的活动。企业的内部控制流程将会随着某些情况的不同而企业的内部控制流程将会随着某些情况的不同而改变,这些情况包括企业的规模,组织结构,所改变,这些情况包括企业的规模,组织结构,所有者特征,传送、处理、保存和评价信息的方法、有者特征,传送、处理、保存和评价信息的方法、法律法规的要求,经营的多样性和复杂程度等。法律法规的要求,经营的多样性和复杂程度等。比如,小型企业中就可能没有足够的雇员来做到比如,小型企业中就可能没有足够的雇员来做到和大企业同样程度的职责分离。和大企业同样程度的职责分离。二、信息技术环境下的企业内部控制的目二、信息技术环境下的企业内部控制的目标标 确定内部控制的
14、目标是管理过程的一个重要确定内部控制的目标是管理过程的一个重要组成部分,是搞好内部控制的先决条件。内部组成部分,是搞好内部控制的先决条件。内部控制的目标决定了内部控制的要素、手段和具控制的目标决定了内部控制的要素、手段和具体实施办法。控制是为了减少风险,在对企业体实施办法。控制是为了减少风险,在对企业的风险分析中,常常结合经营活动的四个一般的风险分析中,常常结合经营活动的四个一般循环来进行,每个交易循环都可能存在风险,循环来进行,每个交易循环都可能存在风险,那么管理层就应该明确每个交易循环的具体控那么管理层就应该明确每个交易循环的具体控制目标,这些控制目标为分析风险提供了一个制目标,这些控制目
15、标为分析风险提供了一个基础,便于找到风险并评估其大小,从而有针基础,便于找到风险并评估其大小,从而有针对性地设计控制措施。图对性地设计控制措施。图9-2 列出了每个交易列出了每个交易循环的典型控制目标。循环的典型控制目标。典型的控制目标典型的控制目标收入循环收入循环顾客应该是按管理层的标准认可的所提供的货物和服务是按管理层的标准认可的所提供的货物的装运应以给顾客的账单为结束给顾客的通知单应被准确分类、总结和报告支出循环支出循环供货商应该是按管理层的标准认可的雇员应该是按管理层的标准录取的员工工资、费用记录应该是按管理层的标准批准的报酬率和工资扣减应该是按管理层的标准认可的付供应商的货款应该被批
16、准、适当的分类、总结并报告生产循环生产循环生产计划应该是按管理层的标准认可的产品的生产成本应该被批准、适当的分类、总结并报告财务循环财务循环债务记录的金额及时间应该是按管理层的标准认可的接近现金及证券的行为应该是按管理层的标准批准的图图9-2 交易交易循环中典型的控制目标三、内部控制的五大要素三、内部控制的五大要素 一个企业的内部控制过程包括五个要素:一个企业的内部控制过程包括五个要素:控制环境,风险评估,控制活动,信息与控制环境,风险评估,控制活动,信息与沟通,监督。沟通,监督。COSOCOSO将内部控制要素以一个将内部控制要素以一个金字塔结构提出,其中控制环境作为金字金字塔结构提出,其中控
17、制环境作为金字塔的最底部,风险评估和控制活动位于上塔的最底部,风险评估和控制活动位于上一层次,信息和沟通接近顶部,监督处于一层次,信息和沟通接近顶部,监督处于最顶端。如图最顶端。如图9-39-3所示。所示。控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督内内 部部 控控 制制图图9-3 9-3 内部控制五要素内部控制五要素(一)(一)控制环境控制环境 一个组织的控制环境是控制系统中其他要素一个组织的控制环境是控制系统中其他要素的的基础基础。控制环境是。控制环境是各种因素各种因素共同作用的结果,共同作用的结果,这些因素可以增强或弱化内控措施的实施效果。这些因素可以增强
18、或弱化内控措施的实施效果。因此,因此,控制环境决定着组织的整体风格,左右控制环境决定着组织的整体风格,左右着员工的控制意识,直接影响控制效果。控制着员工的控制意识,直接影响控制效果。控制环境包括企业文化;包括企业的经营重点和经环境包括企业文化;包括企业的经营重点和经营目标;包括管理层的管理哲学和经营风格;营目标;包括管理层的管理哲学和经营风格;包括企业实施的权责分配方法和执行的人事政包括企业实施的权责分配方法和执行的人事政策;还包括员工的职业道德、敬业精神和个人策;还包括员工的职业道德、敬业精神和个人才能等。才能等。构成控制环境的主要因素:构成控制环境的主要因素:道德准则道德准则 企业文化企业
19、文化 敬业精神敬业精神 管理哲学管理哲学 组织结构组织结构 董事会及下属委员会的职能董事会及下属委员会的职能 权责分配方式权责分配方式 人力资源政策与实施人力资源政策与实施l 道德准则道德准则 潜在的道德违规对企业意味着重大的损潜在的道德违规对企业意味着重大的损失风险。这些风险可能是缴纳巨额罚金,失风险。这些风险可能是缴纳巨额罚金,也可能是企业行政官员被起诉。比如,美也可能是企业行政官员被起诉。比如,美国一家利用氰化物从胶卷中提取银的公司,国一家利用氰化物从胶卷中提取银的公司,曾导致一名员工死亡。该公司被指控蓄意曾导致一名员工死亡。该公司被指控蓄意营造危险工作环境,三位行政官员被判谋营造危险工
20、作环境,三位行政官员被判谋杀罪定刑杀罪定刑25年监禁。年监禁。l 企业文化企业文化 每个企业都有自己的企业文化,企业文化与每个企业都有自己的企业文化,企业文化与全体员工的一般信念、追求、价值取向、行为全体员工的一般信念、追求、价值取向、行为和态度有关。企业文化可能促进也可能阻碍企和态度有关。企业文化可能促进也可能阻碍企业的道德行为,进而影响内控的效果。如果企业的道德行为,进而影响内控的效果。如果企业文化存在严重问题,内控效果就会大打折扣,业文化存在严重问题,内控效果就会大打折扣,一个健康的企业文化会使内控事半功倍。一个健康的企业文化会使内控事半功倍。塑造一种具有高尚道德行为的企业文化十分塑造一
21、种具有高尚道德行为的企业文化十分困难,它需要员工有较高的受教育程度,有较困难,它需要员工有较高的受教育程度,有较高的觉悟和组织纪律性;需要管理者具有莫大高的觉悟和组织纪律性;需要管理者具有莫大的人文关怀和公平、公正而又艺术的执政风格。的人文关怀和公平、公正而又艺术的执政风格。l 敬业精神敬业精神 任何内部控制过程要想发挥作用,员任何内部控制过程要想发挥作用,员工的能力都是必不可少的。员工的品质、工的能力都是必不可少的。员工的品质、能力和敬业精神保证了控制过程的执行。能力和敬业精神保证了控制过程的执行。若没有具有足够能力和起码觉悟的员工,若没有具有足够能力和起码觉悟的员工,任何控制过程都不能发挥
22、作用。任何控制过程都不能发挥作用。l管理哲学管理哲学 一个组织中的有效控制基于并且依赖一个组织中的有效控制基于并且依赖于组织的管理风格。如果管理层相信控制于组织的管理风格。如果管理层相信控制是重要的,那么他就应该实行监督使得控是重要的,那么他就应该实行监督使得控制措施得到有效执行。如果管理层只把控制措施得到有效执行。如果管理层只把控制的重要性停留在口头上,久而久之其下制的重要性停留在口头上,久而久之其下属会觉察到管理层的真实态度属会觉察到管理层的真实态度说说而已,说说而已,从而使控制的目标得不到实现。从而使控制的目标得不到实现。ffffl 组织结构组织结构一个组织的结构是由这个组织中的授权和责
23、任类型决定的。如下图。一个组织的结构是由这个组织中的授权和责任类型决定的。如下图。总总 裁裁生产副总裁内部审计长主计长销售副总裁财务主管管理副总裁生产控制采购装运收获存储生产成品存货控制预算纳税筹划会计经理计时开单应收账款应付帐款成本会计薪酬费用分类账总分类账促销顾客服务销售订单人事效益经营办公室收发室信贷出纳保险 图图9-4 组织结构图组织结构图 图中开单人对会计经理负责,会计经理图中开单人对会计经理负责,会计经理对会计主管负责,会计主管则对总裁负责。对会计主管负责,会计主管则对总裁负责。一个企业需要建立科学而有效的组织结构,一个企业需要建立科学而有效的组织结构,使得权责分明,沟通渠道规范。
24、如图中所使得权责分明,沟通渠道规范。如图中所示,开账单的人不应该把行动的结果向生示,开账单的人不应该把行动的结果向生产副总裁报告,否则就是非正常的组织结产副总裁报告,否则就是非正常的组织结构。构。l董事会及委员会的职能董事会及委员会的职能 一个组织的董事会是连接组织的所有者一个组织的董事会是连接组织的所有者股股东东和组织的经营和组织的经营管理层管理层的纽带。股东们通过董的纽带。股东们通过董事会及其下设的委员会对管理层进行控制。董事会及其下设的委员会对管理层进行控制。董事会通常将专有的职能售给各种各样的委员会,事会通常将专有的职能售给各种各样的委员会,其中最为重要的就是其中最为重要的就是审计委员
25、会审计委员会。审计委员会。审计委员会应独立于组织的管理层,主要由董事会以外的应独立于组织的管理层,主要由董事会以外的人员组成,其职能是对组织的财务报告负责,人员组成,其职能是对组织的财务报告负责,包括遵守现行的法律法规。审计委员会任命执包括遵守现行的法律法规。审计委员会任命执业会计师,与他们讨论审计的范围和性质,并业会计师,与他们讨论审计的范围和性质,并评价该组织的编制的财务报告。为保持内部审评价该组织的编制的财务报告。为保持内部审计的独立性,内部审计应直接向董事会下属的计的独立性,内部审计应直接向董事会下属的审计委员会报告。见图审计委员会报告。见图9-5 董事会董事会下属的审计委员会总裁内部
26、审计其他人员主计长图图9-5 审计委员会审计委员会l 权责分配方式权责分配方式 一个组织的权责分配方式取决于组织一个组织的权责分配方式取决于组织内部的管理风格和经营模式。如果只有口内部的管理风格和经营模式。如果只有口头上的或非正式的权责分配形式,控制可头上的或非正式的权责分配形式,控制可能会弱化或形同虚设。一张正式的组织结能会弱化或形同虚设。一张正式的组织结构图或一份书面文件经常用来表明组织总构图或一份书面文件经常用来表明组织总体的权责分配情况,组织结构图往往与正体的权责分配情况,组织结构图往往与正式的式的职责描述职责描述和职责分配的陈述联合使用。和职责分配的陈述联合使用。书面备忘录、政策手册
27、和程序手册也是一书面备忘录、政策手册和程序手册也是一些组织常用的权责分配手段。些组织常用的权责分配手段。l 人力资源政策和实施人力资源政策和实施 公司的正式职员应该是称职的,并且进公司的正式职员应该是称职的,并且进行过大量有关职责方面的培训。大量实践行过大量有关职责方面的培训。大量实践和分析表明,职员在任何一个控制系统中和分析表明,职员在任何一个控制系统中都是最为关键的因素。公司为每一个工作都是最为关键的因素。公司为每一个工作职位建立的用人条款都应该反映与这个职职位建立的用人条款都应该反映与这个职位相关的责任和具体要求,如:经验、才位相关的责任和具体要求,如:经验、才能品质、奉献精神和领导能力
28、。在用人政能品质、奉献精神和领导能力。在用人政策的实施中常采用以下控制措施:策的实施中常采用以下控制措施:忠诚保险忠诚保险 为职员的忠诚买保险,以便得到可靠的雇员。为职员的忠诚买保险,以便得到可靠的雇员。职责分配职责分配 明确每一个员工职务和责任,界定职责范围。明确每一个员工职务和责任,界定职责范围。监督监督 被授权的人对员工直接督察,确保职责按分配执被授权的人对员工直接督察,确保职责按分配执行。行。轮流工作和强制休假轮流工作和强制休假 令员工在某段时间内执行其他员工的任务,以检令员工在某段时间内执行其他员工的任务,以检查和校验其他人的业务。查和校验其他人的业务。双重控制双重控制两个执行同一任
29、务的员工必须经常相互检查同伴的两个执行同一任务的员工必须经常相互检查同伴的工作,建立责任共同体。工作,建立责任共同体。(二)(二)风险评估风险评估 风险评估是提高内部控制效率和效果风险评估是提高内部控制效率和效果的关键。任何组织都会面临来自其内部和的关键。任何组织都会面临来自其内部和外部的风险,各个组织都必须进行风险评外部的风险,各个组织都必须进行风险评估,以识别、分析、管理风险。一般而言,估,以识别、分析、管理风险。一般而言,风险会随以下因素而产生或变化:经营环风险会随以下因素而产生或变化:经营环境变化、改造和更换新的信息系统、新的境变化、改造和更换新的信息系统、新的员工、新技术应用等。不健
30、全或无效的内员工、新技术应用等。不健全或无效的内部控制措施就是风险存在的信号。部控制措施就是风险存在的信号。(三)(三)控制活动控制活动 控制活动是指管理者为了确保管理指令能够控制活动是指管理者为了确保管理指令能够得以有效实施而制定并实行的各种政策和步骤。得以有效实施而制定并实行的各种政策和步骤。旨在为组织中每个特定的控制目标的实现提供旨在为组织中每个特定的控制目标的实现提供合理的保证,这些特定的控制目标包括:合理的保证,这些特定的控制目标包括:必须有任务分割以防止员工在其正常职责范围内必须有任务分割以防止员工在其正常职责范围内作弊并隐瞒作弊并隐瞒。(职责分离)。(职责分离)设计和使用适当的文
31、档和记录以保证交易和事件设计和使用适当的文档和记录以保证交易和事件的适当记录的适当记录。(留迹)。(留迹)只有得到管理层的授权才能接近资产只有得到管理层的授权才能接近资产。(物理隔离)。(物理隔离)对资产和工作情况的相关责任进行独立的检查。对资产和工作情况的相关责任进行独立的检查。对数据处理进行控制以保证交易的合理授权、业对数据处理进行控制以保证交易的合理授权、业务数据处理的准确性与完整性。务数据处理的准确性与完整性。(四)信息与沟通(四)信息与沟通 围绕在控制活动周围的是信息与沟通系统。该围绕在控制活动周围的是信息与沟通系统。该系统使企业内部的员工能够取得他们在执行、管系统使企业内部的员工能
32、够取得他们在执行、管理和控制企业经营过程中所需要的信息,并交换理和控制企业经营过程中所需要的信息,并交换这些信息,使企业内部的每一个员工都能够履行这些信息,使企业内部的每一个员工都能够履行其职责。有效沟通的含义包括:必须了解自己在其职责。有效沟通的含义包括:必须了解自己在内部控制制度中扮演的角色,以及每个人的活动内部控制制度中扮演的角色,以及每个人的活动如何影响他人的工作;必须具有相上沟通重要信如何影响他人的工作;必须具有相上沟通重要信息的渠道和方法;还应向顾客、供应商、政府主息的渠道和方法;还应向顾客、供应商、政府主管机关和股东等进行有效沟通。健全的管机关和股东等进行有效沟通。健全的信息系统
33、信息系统必须以标准化的文件、报表、政策手册、备忘录必须以标准化的文件、报表、政策手册、备忘录等形式,有效地传输或沟通各种信息。等形式,有效地传输或沟通各种信息。(五)(五)监督监督 监督是指长期评价内部控制质量、必要时还要监督是指长期评价内部控制质量、必要时还要采取必要行动的一个不间断的过程。采取必要行动的一个不间断的过程。监督是对内部控制的整体框架及其运行情况的监督是对内部控制的整体框架及其运行情况的跟踪、监测和调节,以自始自终确保其有效性。跟踪、监测和调节,以自始自终确保其有效性。监督可以通过日常的监控活动来完成,也可通过监督可以通过日常的监控活动来完成,也可通过执行独立监督(内部审计和外
34、部审计)或二者结执行独立监督(内部审计和外部审计)或二者结合起来实现。如内部审计的目标就是通过向管理合起来实现。如内部审计的目标就是通过向管理层提供对以下活动或系统的分析与评估的结果,层提供对以下活动或系统的分析与评估的结果,来为管理层服务:来为管理层服务:组织的信息系统组织的信息系统 组织的内部控制结构组织的内部控制结构 对经营政策、程序和计划的遵守程度对经营政策、程序和计划的遵守程度 公司员工的业绩质量公司员工的业绩质量 内部控制的三个目标之间具有直接联系,内部控制的三个目标之间具有直接联系,他们代表了企业努力的目标;而五项要素他们代表了企业努力的目标;而五项要素代表了实现这些目标的所需元
35、素。所有五代表了实现这些目标的所需元素。所有五项要素都与每一类目标相联系。为实现每项要素都与每一类目标相联系。为实现每一类目标一类目标如经营的效率和效果如经营的效率和效果需需要五项要素共同发挥作用,以说明经营的要五项要素共同发挥作用,以说明经营的内部控制是有效的。内部控制是有效的。这五项要素既相互独立又相互联系,这五项要素既相互独立又相互联系,形成一个有机统一体,对不断变化的环形成一个有机统一体,对不断变化的环境自动作出反应。境自动作出反应。(一)业务控制与信息系统控制的分离(一)业务控制与信息系统控制的分离 信息技术的应用对内部控制五要素的信息技术的应用对内部控制五要素的影响程度是不同的。其
36、中,由于影响程度是不同的。其中,由于控制活动控制活动是实现控制目标的规章制度、岗位设置和是实现控制目标的规章制度、岗位设置和流程定义等具体措施,而且依赖于企业的流程定义等具体措施,而且依赖于企业的业务流程,所以业务流程的自动化必然对业务流程,所以业务流程的自动化必然对控制活动产生的影响最大。信息技术环境控制活动产生的影响最大。信息技术环境下的控制活动分离出两个分支:自动化业下的控制活动分离出两个分支:自动化业务控制和信息系统控制。务控制和信息系统控制。四、信息技术环境下内部控制的变化四、信息技术环境下内部控制的变化1.自动化业务控制自动化业务控制 自动化业务控制就是以信息技术实现的传统自动化业
37、务控制就是以信息技术实现的传统控制活动,如机上授权,机上审批等。他的控控制活动,如机上授权,机上审批等。他的控制目标与传统控制活动的控制目标一致,都是制目标与传统控制活动的控制目标一致,都是为了达到营运的效率效果、财务报告的可靠性为了达到营运的效率效果、财务报告的可靠性和相关法令的遵循性等目标。自动化业务控制和相关法令的遵循性等目标。自动化业务控制的控制对象与传统业务控制的控制对象是一致的控制对象与传统业务控制的控制对象是一致的,都是企业的生产经营过程。不过,自动化的,都是企业的生产经营过程。不过,自动化业务控制的存在形式和控制手段发生了很大变业务控制的存在形式和控制手段发生了很大变化。它化。
38、它以计算机程序的形式嵌入企业的信息系以计算机程序的形式嵌入企业的信息系统中统中,对业务的控制由计算机自动执行。,对业务的控制由计算机自动执行。2.信息系统控制信息系统控制 信息系统控制是为了保证信息系统效率、安全性和信息系统控制是为了保证信息系统效率、安全性和完整一致性而采取的控制措施。信息系统控制的控制完整一致性而采取的控制措施。信息系统控制的控制目标服从于业务控制目标,包括以下三点:目标服从于业务控制目标,包括以下三点:效率效率 信息系统的全部资源应该被充分开发利用。信息系统的全部资源应该被充分开发利用。安全性安全性 信息系统的软、硬件和数据资源应得到最高水平的保信息系统的软、硬件和数据资
39、源应得到最高水平的保护,敏感部位应防止未经授权的人员接触。护,敏感部位应防止未经授权的人员接触。完整一致性完整一致性 信息系统的完整性一致性指信息系统的处理逻辑应该信息系统的完整性一致性指信息系统的处理逻辑应该符合企业的商业规则,所输出的信息精确而有效。符合企业的商业规则,所输出的信息精确而有效。信息技术环境下控制活动的结构:信息技术环境下控制活动的结构:(二)控制活动的变化(二)控制活动的变化 在信息化程度较高的企业中,传统的手工在信息化程度较高的企业中,传统的手工业务控制活动完全由自动化业务控制活动所业务控制活动完全由自动化业务控制活动所取代。自动化业务控制与信息系统控制其控取代。自动化业
40、务控制与信息系统控制其控制活动有许多不同的特点,具体变化如下:制活动有许多不同的特点,具体变化如下:1.交易授权交易授权 交易授权是将交易的执行限定给经过选择交易授权是将交易的执行限定给经过选择的人。信息技术环境下的交易授权有以下几的人。信息技术环境下的交易授权有以下几点变化:(点变化:(1)交易授权自动化。()交易授权自动化。(2)授权)授权过程不明显。过程不明显。2.职责分离职责分离 职责分离通过将职责分离通过将交易授权交易授权、交易记录交易记录和和资产监管资产监管等职责分配给不同的人得以实现。等职责分配给不同的人得以实现。即:交易(业务)活动要得到授权;活动情即:交易(业务)活动要得到授
41、权;活动情况(结果)由另外的人记载(记账);负责况(结果)由另外的人记载(记账);负责交易的人不能监管资产;监管资产的人不能交易的人不能监管资产;监管资产的人不能单独记录(记账)资产增减。单独记录(记账)资产增减。在信息技术环境下,能用计算机进行自在信息技术环境下,能用计算机进行自动处理的业务流程中的职责没有必要进行划动处理的业务流程中的职责没有必要进行划分。因为计算机没有私心,也不会倦怠,在分。因为计算机没有私心,也不会倦怠,在其运行过程中不会像人那样会犯错误或故意其运行过程中不会像人那样会犯错误或故意作弊,原来手工环境下本不相容的职责,现作弊,原来手工环境下本不相容的职责,现在由一个程序模
42、块来执行也不会出问题。在由一个程序模块来执行也不会出问题。3.监管监管 监管是指管理者对员工的监视和管理。监管是针对监管是指管理者对员工的监视和管理。监管是针对职责分离不充分的一个补救措施。充分的职责分离需职责分离不充分的一个补救措施。充分的职责分离需要企业有大量的员工,这对中小型企业和一些缺少人要企业有大量的员工,这对中小型企业和一些缺少人手的部门来说有一定困难,所以不充分的职责分离在手的部门来说有一定困难,所以不充分的职责分离在所难免。为了避免不充分的职责分离可能带来的损失,所难免。为了避免不充分的职责分离可能带来的损失,企业采用监管作为补救的措施。在信息技术环境下,企业采用监管作为补救的
43、措施。在信息技术环境下,自动业务流程中的职责分离大部分被计算机程序所取自动业务流程中的职责分离大部分被计算机程序所取代,不存在职责分离是否充分的问题,所以没必要针代,不存在职责分离是否充分的问题,所以没必要针对自动业务流程进行监管。但是,信息系统的开发、对自动业务流程进行监管。但是,信息系统的开发、维护和处理操作等活动仍然存在着职责分离,而且管维护和处理操作等活动仍然存在着职责分离,而且管理这些活动中的员工有一些新的难点,所以对信息系理这些活动中的员工有一些新的难点,所以对信息系统的监管十分重要,传统的监管手段也发生了一定的统的监管十分重要,传统的监管手段也发生了一定的变化。变化。4.业务记录
44、业务记录 业务记录是指企业为了反应和控制各项生产经营业业务记录是指企业为了反应和控制各项生产经营业务以文字形式对业务活动的发生、进展和结束等的全务以文字形式对业务活动的发生、进展和结束等的全过程进行记载,主要包括业务活动的授权记录、接受过程进行记载,主要包括业务活动的授权记录、接受记录和会计记录等。这些记录反映了经济业务的实质,记录和会计记录等。这些记录反映了经济业务的实质,并为内部控制和审计提供了交易轨迹。并为内部控制和审计提供了交易轨迹。在信息技术环境下,业务记录的载体由纸质变成了磁在信息技术环境下,业务记录的载体由纸质变成了磁质。同时,纸质的交易轨迹不复存在,取而代之的是质。同时,纸质的
45、交易轨迹不复存在,取而代之的是数据库记录和操作日志等磁记录。信息技术在改变交数据库记录和操作日志等磁记录。信息技术在改变交易轨迹形式的同时也对交易轨迹的法律效力产生了影易轨迹形式的同时也对交易轨迹的法律效力产生了影响。员工在纸质凭证上的签字可以证明确实是他对交响。员工在纸质凭证上的签字可以证明确实是他对交易进行了授权或确认,但在磁质交易记录上的操作员易进行了授权或确认,但在磁质交易记录上的操作员字段信息的法律效力却受信息系统的完整性、正确性字段信息的法律效力却受信息系统的完整性、正确性和安全性的影响。和安全性的影响。5.接触控制接触控制 接触控制是保证只有经过授权的人才接触控制是保证只有经过授
46、权的人才能接触企业资产的控制行为,能接触企业资产的控制行为,限制非授限制非授权者接近资产,常用方法如下:权者接近资产,常用方法如下:现金登记簿和保险柜现金登记簿和保险柜锁、保险库和禁区锁、保险库和禁区人力保卫人力保卫监视器监视器报警系统报警系统 当然,上述措施要配套:比如锁要有当然,上述措施要配套:比如锁要有钥匙,监视器要有人监视才行。钥匙,监视器要有人监视才行。6.独立稽核独立稽核 独立稽核是指验证另一个人或另一个部门执行的工独立稽核是指验证另一个人或另一个部门执行的工作。通过独立稽核,管理层可以评估员工的业绩、信作。通过独立稽核,管理层可以评估员工的业绩、信息系统完整性和交易记录的正确性。
47、独立稽核是一种息系统完整性和交易记录的正确性。独立稽核是一种事后措施,不同于监管。在手工环境下独立稽核是非事后措施,不同于监管。在手工环境下独立稽核是非常必要的,因为员工处理业务时可能会失误,而失误常必要的,因为员工处理业务时可能会失误,而失误可能没有被监管等措施所发现,此时独立稽核便成为可能没有被监管等措施所发现,此时独立稽核便成为最后的防范措施。在信息技术环境中,正常情况下计最后的防范措施。在信息技术环境中,正常情况下计算机会始终如一地根据程序运行,如果程序精确而完算机会始终如一地根据程序运行,如果程序精确而完整,那就没有必要对程序运行的结果进行日常性的检整,那就没有必要对程序运行的结果进
48、行日常性的检查,这也正是信息技术的应用会降低企业运行成本的查,这也正是信息技术的应用会降低企业运行成本的一个重要方面。但是这并不意味着企业没有必要进行一个重要方面。但是这并不意味着企业没有必要进行独立稽核。在信息系统维护或业务发生变化时,独立独立稽核。在信息系统维护或业务发生变化时,独立稽核仍然是确保计算机系统运行正确性的重要控制措稽核仍然是确保计算机系统运行正确性的重要控制措施。施。由于上述种种变化,企业在制定内部由于上述种种变化,企业在制定内部控制制度设计内部控制措施时,应该对五控制制度设计内部控制措施时,应该对五个要素特别是控制活动要素充分考虑信息个要素特别是控制活动要素充分考虑信息技术
49、应用带来的影响。因为原来合理的、技术应用带来的影响。因为原来合理的、有效的控制措施,现在可能变得没有意义;有效的控制措施,现在可能变得没有意义;原来不存在问题的业务环节,现在由于处原来不存在问题的业务环节,现在由于处理方式的改变可能风险陡增。这就需要认理方式的改变可能风险陡增。这就需要认真研究和识别控制对象与控制活动的变化,真研究和识别控制对象与控制活动的变化,设计相应的有针对性的控制措施。设计相应的有针对性的控制措施。第三节第三节 信息技术环境下的交易处理控制信息技术环境下的交易处理控制 设计交易处理控制的目的是确保一个设计交易处理控制的目的是确保一个组织的内部控制的元素被用于实施某些应组织
50、的内部控制的元素被用于实施某些应用系统,这些应用系统包含于组织的每个用系统,这些应用系统包含于组织的每个交易循环中。交易处理控制由交易循环中。交易处理控制由一般控制一般控制和和应用控制应用控制组成。一般控制影响全部的交易组成。一般控制影响全部的交易处理;应用控制则被用于某些具体方面。处理;应用控制则被用于某些具体方面。5.3.1 一般控制一般控制 一般控制也即整体控制。实施一般控制一般控制也即整体控制。实施一般控制的目的是为了确保信息系统的开发、实施、的目的是为了确保信息系统的开发、实施、运行能在有序地、被控制的状态下运行。运行能在有序地、被控制的状态下运行。一般控制作用于所有的应用系统,成为