内部控制_信息技术环境下企业内部控制（PPT 66页）

信息技术环境下企业内部控制任何企业在其经营活动中都会面临各种各样的风险，企业的发展过程就是不断与各种风险打交道并降低和避免各种风险的过程。而信息技术的广泛应用，使企业的生产、经营与管理模式产生了巨大的变化，一方面信息技术应用为企业增强了竞争力的同时带来了新的风险，另一方面信息技术也能为控制风险提供新的手段。作为企业管理重要组成部分的内部控制必须进行改革，以适应新的情况，本章就来讨论这些问题。第一节现代企业面临的风险与内部控制的重要性控制是针对风险而设立的，风险是导致一个组织或机构发生损失的可能性，而控制则是降低或减少风险的活动。风险损失的大小是该风险事件发生的概率与该事件可能造成的损失的乘积。风险不仅仅是由于缺少控制而产生的，它是任何组织的经营活动中固有的，其原因多种多样。控制可以减少风险，但不能消除其起因。一、企业在运营过程中面临的传统风险过高的成本；不足的收入；资产的流失；会计的失误；经营的中断；违规的处罚；竞争的弱势；舞弊与盗用；白领犯罪；法人犯罪。见图9-1不足的收入过高的成本资产流失经营的中断舞弊与窃取会计的失误竞争的弱势违规被处罚常见的风险图9-1企业面临的传统风险常见的传统风险法人犯罪白领犯罪•白领犯罪是指管理层犯罪，这类犯罪有别于其他非法活动，它发生在犯罪人的工作中，当管理人员通过某些欺骗手段将资产转移用途或隐瞒时，白领犯罪就发生了。如会计作假账就是白领犯罪行为。•法人犯罪。是指表面上看只是对企业或组织有利，不是对犯罪者个人有利的白领犯罪，而实际上犯罪者个人是间接受益的。法人犯罪给组织带来的风险可能更大。二、信息化后企业面临的新风险1.计算机系统消除了手工的大部分交易处理痕迹2.计算机系统中交易的授权和执行与手工系统有很大不同3.重新安排职责分离4.对信息系统内控的依赖性，增加了差错多次发生的可能性5.更严峻的风险①数据集中存储和管理，一但出现硬件故障，比如主机系统损坏，可能导致数据丢失甚至造成毁灭性的灾难。②业务数据和财务数据集成以后，内部管理上权限控制是重新分配的，新的控制措施跟不上，就有可能造成控制的漏洞。③在信息技术环境下，对技术人员尤其是系统管理人员的控制问题变得异常突出。这些人员在极端情况下，可能会造成机器毁坏或整个系统瘫痪。④信息在互联网上传输，产生了易泄露的风险，还有各级权限密码保存、改动不当甚或丢失都可能造成重大损失。信息技术是双刃剑，有正面的价值，也有负面的影响。我们的任务就是千方百计发挥和利用信息技术的正面效用而减少或避免其负面影响，这就为内部控制提出了新的挑战，我们必须认识这一点。好在信息技术在内部控制工作中也可以大有作为，甚至可以帮助完成人工不可能实现的控制任务，这完全取决于我们的研究与探索。企业信息化完全改变了原来业务处理的模式、秩序、稳定性和安全性，需要我们建立一个全新的信息技术环境下的以信息技术为工具的内部控制体系，也就是要建立一个基于信息技术的具有稳定性、安全性的新的业务处理模式。第二节信息技术环境下企业内部控制的一般概念一、内部控制的基本概念美国COSO委员会在《内部控制——整体框架》中将内部控制定义为：内部控制是由企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。对此定义我们可作如下理解：1.内部控制是一个流程，受公司董事会、管理层和员工行为的影响。内部控制流程中一切活动的设计，都必须始终围绕实现下列三个目标提供合理的保证：•经营的效果与效率；•财务报告的真实与可靠；•经营活动的合法与合规。2.内部控制的实施基于两个前提：•第一个前提是责任，管理层和董事会有责任建立并维持一个有效的内部控制流程。虽然具体的控制活动的责任由某些下属承担，但最终的责任仍属于最高管理层和董事会。尽管内部审计师最熟系内部控制的知识，但内部控制并不是由审计师负责，而是由管理层负责。审计师负责为管理层提供有关内部控制如何运行的信息。•第二个前提是合理合的保证，这与控制的成本和收益有关，精明的管理层不会让花在控制上的钱超过从控制上所能得到的收益。即控制的合算性。3.内部控制还要受到外部法制环境和企业经济环境的影响•任何企业都受制于国家发布的相关而具体的法律法规。一个企业必须保证它的所有生产经营活动符合国家颁布并已生效了的相关法律法规。否则，违规违法都会遭受处罚，形成经济损失。内部控制就是保证企业活动符合相关的法律法规的活动。•企业的内部控制流程将会随着某些情况的不同而改变，这些情况包括企业的规模，组织结构，所有者特征，传送、处理、保存和评价信息的方法、法律法规的要求，经营的多样性和复杂程度等。比如，小型企业中就可能没有足够的雇员来做到和大企业同样程度的职责分离。二、信息技术环境下的企业内部控制的目标确定内部控制的目标是管理过程的一个重要组成部分，是搞好内部控制的先决条件。内部控制的目标决定了内部控制的要素、手段和具体实施办法。控制是为了减少风险，在对企业的风险分析中，常常结合经营活动的四个一般循环来进行，每个交易循环都可能存在风险，那么管理层就应该明确每个交易循环的具体控制目标，这些控制目标为分析风险提供了一个基础，便于找到风险并评估其大小，从而有针对性地设计控制措施。图9-2列出了每个交易循环的典型控制目标。典型的控制目标收入循环顾客应该是按管理层的标准认可的所提供的货物和服务是按管理层的标准认可的所提供的货物的装运应以给顾客的账单为结束给顾客的通知单应被准确分类、总结和报告支出循环供货商应该是按管理层的标准认可的雇员应该是按管理层的标准录取的员工工资、费用记录应该是按管理层的标准批准的报酬率和工资扣减应该是按管理层的标准认可的付供应商的货款应该被批准、适当的分类、总结并报告生产循环生产计划应该是按管理层的标准认可的产品的生产成本应该被批准、适当的分类、总结并报告财务循环债务记录的金额及时间应该是按管理层的标准认可的接近现金及证券的行为应该是按管理层的标准批准的图9-2交易循环中典型的控制目标三、内部控制的五大要素一个企业的内部控制过程包括五个要素：控制环境，风险评估，控制活动，信息与沟通，监督。COSO将内部控制要素以一个金字塔结构提出，其中控制环境作为金字塔的最底部，风险评估和控制活动位于上一层次，信息和沟通接近顶部，监督处于最顶端。如图9-3所示。控制环境风险评估控制活动信息与沟通监督内部控制图9-3内部控制五要素（一）控制环境一个组织的控制环境是控制系统中其他要素的基础。控制环境是各种因素共同作用的结果，这些因素可以增强或弱化内控措施的实施效果。因此，控制环境决定着组织的整体风格，左右着员工的控制意识，直接影响控制效果。控制环境包括企业文化；包括企业的经营重点和经营目标；包括管理层的管理哲学和经营风格；包括企业实施的权责分配方法和执行的人事政策；还包括员工的职业道德、敬业精神和个人才能等。构成控制环境的主要因素：•道德准则•企业文化•敬业精神•管理哲学•组织结构•董事会及下属委员会的职能•权责分配方式•人力资源政策与实施道德准则潜在的道德违规对企业意味着重大的损失风险。这些风险可能是缴纳巨额罚金，也可能是企业行政官员被起诉。比如，美国一家利用氰化物从胶卷中提取银的公司，曾导致一名员工死亡。该公司被指控蓄意营造危险工作环境，三位行政官员被判谋杀罪定刑25年监禁。企业文化每个企业都有自己的企业文化，企业文化与全体员工的一般信念、追求、价值取向、行为和态度有关。企业文化可能促进也可能阻碍企业的道德行为，进而影响内控的效果。如果企业文化存在严重问题，内控效果就会大打折扣，一个健康的企业文化会使内控事半功倍。塑造一种具有高尚道德行为的企业文化十分困难，它需要员工有较高的受教育程度，有较高的觉悟和组织纪律性；需要管理者具有莫大的人文关怀和公平、公正而又艺术的执政风格。敬业精神任何内部控制过程要想发挥作用，员工的能力都是必不可少的。员工的品质、能力和敬业精神保证了控制过程的执行。若没有具有足够能力和起码觉悟的员工，任何控制过程都不能发挥作用。管理哲学一个组织中的有效控制基于并且依赖于组织的管理风格。如果管理层相信控制是重要的，那么他就应该实行监督使得控制措施得到有效执行。如果管理层只把控制的重要性停留在口头上，久而久之其下属会觉察到管理层的真实态度—说说而已，从而使控制的目标得不到实现。ffff组织结构一个组织的结构是由这个组织中的授权和责任类型决定的。如下图。总裁生产副总裁内部审计长主计长销售副总裁财务主管管理副总裁生产控制采购装运收获存储生产成品存货控制预算纳税筹划会计经理计时开单应收账款应付帐款成本会计薪酬费用分类账总分类账促销顾客服务销售订单人事效益经营办公室收发室信贷出纳保险图9-4组织结构图图中开单人对会计经理负责，会计经理对会计主管负责，会计主管则对总裁负责。一个企业需要建立科学而有效的组织结构，使得权责分明，沟通渠道规范。如图中所示，开账单的人不应该把行动的结果向生产副总裁报告，否则就是非正常的组织结构。董事会及委员会的职能一个组织的董事会是连接组织的所有者—股东和组织的经营管理层的纽带。股东们通过董事会及其下设的委员会对管理层进行控制。董事会通常将专有的职能售给各种各样的委员会，其中最为重要的就是审计委员会。审计委员会应独立于组织的管理层，主要由董事会以外的人员组成，其职能是对组织的财务报告负责，包括遵守现行的法律法规。审计委员会任命执业会计师，与他们讨论审计的范围和性质，并评价该组织的编制的财务报告。为保持内部审计的独立性，内部审计应直接向董事会下属的审计委员会报告。见图9-5董事会董事会下属的审计委员会总裁内部审计其他人员主计长图9-5审计委员会权责分配方式一个组织的权责分配方式取决于组织内部的管理风格和经营模式。如果只有口头上的或非正式的权责分配形式，控制可能会弱化或形同虚设。一张正式的组织结构图或一份书面文件经常用来表明组织总体的权责分配情况，组织结构图往往与正式的职责描述和职责分配的陈述联合使用。书面备忘录、政策手册和程序手册也是一些组织常用的权责分配手段。人力资源政策和实施公司的正式职员应该是称职的，并且进行过大量有关职责方面的培训。大量实践和分析表明，职员在任何一个控制系统中都是最为关键的因素。公司为每一个工作职位建立的用人条款都应该反映与这个职位相关的责任和具体要求，如：经验、才能品质、奉献精神和领导能力。在用人政策的实施中常采用以下控制措施：•忠诚保险为职员的忠诚买保险，以便得到可靠的雇员。•职责分配明确每一个员工职务和责任，界定职责范围。•监督被授权的人对员工直接督察，确保职责按分配执行。•轮流工作和强制休假令员工在某段时间内执行其他员工的任务，以检查和校验其他人的业务。•双重控制两个执行同一任务的员工必须经常相互检查同伴的工作，建立责任共同体。（二）风险评估风险评估是提高内部控制效率和效果的关键。任何组织都会面临来自其内部和外部的风险，各个组织都必须进行风险评估，以识别、分析、管理风险。一般而言，风险会随以下因素而产生或变化：经营环境变化、改造和更换新的信息系统、新的员工、新技术应用等。不健全或无效的内部控制措施就是风险存在的信号。（三）控制活动控制活动是指管理者为了确保管理指令能够得以有效实施而制定并实行的各种政策和步骤。旨在为组织中每个特定的控制目标的实现提供合理的保证，这些特定的控制目标包括：必须有任务分割以防止员工在其正常职责范围内作弊并隐瞒。（职责分离）设计和使用适当的文档和记录以保证交易和事件的适当记录。（留迹）只有得到管理层的授权才能接近资产。（物理隔离）对资产和工作情况的相关责任进行独立的检查。对数据处理进行控制以保证交易的合理授权、业务数据处理的准确性与完整性。（四）信息与沟通围绕在控制活动周围的是信息与沟通系统。该系统使企业内部的员工能够取得他们在执行、管理和控制企业经营过程中所需要的信息，并交换这些信息，使企业内部的每一个员工都能够履行其职责。有效沟通的含义包括：必须了解自己在内部控制制度中扮演的角色，以及每个人的活动如何影响他人的工