内部控制5信息控制课件

5．1财务报告内部控制5．2业务流程信息控制5．3信息控制案例第五章信息控制1信息控制包括保证信息完整性、不同信息资源的协调、利用信息进行监控等，信息控制分为两个层面，一是在公司治理层面，由利益相关者对经营者主导的财务信息系统进行监控，主要是财务报告内部控制；二是在企业经营管理层面，由经营者和业务人员应用业务流程信息，对经营活动进行控制，即业务流程信息控制。2南开大学程新生等5．1财务报告内部控制财务报告内部控制定义由企业高层管理者制定、实施，受到董事会或类似机构的监督，为确保企业出具的财务报告真实反映企业的财务与经营状况、符合会计准则编报要求的措施与程序美国证券交易委员会（SEC）在2003年6月上市规则中以“财务报告内部控制”代替传统的内部会计控制，将“财务报告内部控制”定义为，“由公司的首席执行官、首席财务管或者公司行使类似职权的人员设计或监管的，受到公司的董事会、管理层和其他人员影响的，为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计准则提供合理保证的控制程序，具体包括以下控制政策和程序：3南开大学程新生等财务报告内部控制定义（续）“财务报告的可靠性”是评价企业财务报告内部控制是否良好根本依据。如果管理层在财务报告中虚报企业的利润，违背了可靠性的原则，就称为财务报告内部控制失效。财务报告内部控制属于内部控制的范畴，是内部控制的细化。例如，独立董事就对外担保、关联交易、投资等业务要求报告和披露，属于财务报告内部控制范畴。

5南开大学程新生等一、财务报告内部控制环境

在相互制衡的公司治理结构下，股东大会、董事会、监事会关注财务信息，以此作为评价委托代理责任履行情况的重要依据，并通过法律、准则等一系列措施来保证财务报告质量，从而形成内在约束力。6南开大学程新生等随着安然事件对美国证券市场带来的“多米诺骨牌效应”，虚假的财务信息成为众矢之的，美国社会各界强力呼吁政府出台能够保证财务报告信息质量的政策、措施，严厉打击公司的造假行为。中国证券市场也屡屡被财务报告舞弊事件困扰，无论是20世纪90年代初的深圳原野案、2000年的郑百文、猴王股份案，还是2001年的“银广厦”事件，种种的案件都或多或少的与企业的财务报告相关。

7南开大学程新生等信息供给不足的原因一是经理人员不愿意披露信息，因为信息一旦披露将会变为利益相关者的公共物品，投资者可以自由享用，经理人员将失去拥有私人信息而可能得到的“租金”。委托人面临著多种代理风险：在签约时代理人利用私人信息进行“逆向选择”；合同执行过程中代理人拥有自然状态的私人信息所引起的“隐藏信息”；与代理人事后行动的不可观察性相关的“道德风险”。如果公司能够构建有效的激励机制，则可以有助于解决因信息不对称产生的代理问题。9南开大学程新生等（二）有关法律对财务报告内部控制要求《会计法》：一些条款中规定了财务报告内部控制要求，例如关于财务信息质量的责任规定，要由本单位主要负责人承担。《萨班斯—奥克斯法案》：第一次对财务报告内部控制的有效性提出了明确的要求。

公司首席执行官和财务官应当对所提交的年度报告签署书面保证。10南开大学程新生等（三）公司治理准则公司治理准则是对公司治理结构与治理行为的规范，大多数公司治理准则涉及财务报告内部控制。公司治理准则在指导公司治理和财务报告编制方面发挥着来越重要的作用。英格兰和威尔士特许会计师协会《内部监控综合准则：董事会指南》（TheTurnbullReport，1999）要求，“董事会负责公司内部监控，每年至少审查一次内部监控体系的有效性并向股东报告。11南开大学程新生等《中国公司治理准则》（2002）指出，董事会是公司的最高决策机关，在工作事务中必须履行相应的职能，确保对公司的战略性指导和对管理人员的有效监督。为了保证董事会的独立性，董事会成员中应吸收适当数量的独立董事，并明确独立董事在董事会中的地位和作用。为了更加明确董事的具体责任，建议董事会实行分工负责制，下设若干专业委员会，提名、报酬、审计和战略规划委员会中的独立董事应当占有一定的比例。其他有代表性的公司治理准则或法律，均强调董事会对公司的指导和对经营者的监督。13南开大学程新生等治理准则对董事会职责的界定1992年英国《公司治理财务方面的报告》(theCadburyReport)确定战略目标并领导实施；监督经营者并向股东报告；确定财务政策并监督实施；监督财务报告过程；预防和调查欺诈或其他非法行为等。1993年爱尔兰投资经理协会《指南》任免经营者；审批经营战略；监督、评估经营者绩效等。1997年澳大利亚投资经理协会《指南》确定经营战略；任命、培训、监督经营者；确保内部控制和信息系统的完整性；确定与经营绩效关联的报酬政策等。1997年美国商业圆桌会议《公司治理声明》任免经营者，确定经营者报酬；审核批准经营战略、财务目标和预算；审核评估内部控制、风险管理、财务报告程序的适当性；评估董事会结构、治理原则，确保其运行等。1998年英国《汉普尔报告》有效的董事会控制和领导公司；确定公司经营战略，并确保其实施等。2004年经合组织（OECD）《公司治理原则》任免、激励经营者；确定经营战略、预算、风险政策和绩效目标，并监督实施；监管资本性支出和关联交易等；审核经营者和董事报酬；通过外部审计、风险监控、财务控制保证财务报告的完整、可信；监督治理机制运行；监督信息披露，保证独立审计诚信可靠等。1999年法国《维也纳特报告》（theVienotReport）监控经营者；确定经营战略；确保年度报告和重大交易的披露质量。1999年《韩国公司治理最佳实务准则》设定、审批经营计划；任免、监督管理层；监督资本性支出；保证会计信息真实性；监督风险管理和财务控制；监督管理实务的有效性等。2002年中国《上市公司治理准则》按照股东大会决议设立战略、审计、提名、考核等专门委员会；审计委员会职责是提议聘请或更换外部审计机构、监督内部审计、负责内部审计与外部审计之间的沟通、审核公司财务信息及其披露、审查公司内控制度。14南开大学程新生等（四）财务报告内部控制实践

在以董事会为核心的控制体系中，可供选择的监控途径有：聘任或解聘经营者、直接领导内部审计、由董事会委派财务总监、设立专职财务董事、授权财务总监领导内部审计、建立审计委员会、聘请独立审计师等对经营者主导的财务组织（FinanceOrganization，以财务负责人为首的财务系统）实施监控等。15南开大学程新生等2．董事会委派财务总监对财务组织监控

由董事会决定财务总监人选，委派的财务总监对董事会负责。财务总监尽管作为一个独立监控体系，但仍然是内部委派制下的监控体系。这与股东委派的财务总监有所不同，股东委派财务总监是由外部进入企业，独立性更强。

3．董事会设立专职财务董事对财务组织监控

在董事会设立财务董事，以财务董事为主，组织专门人员对经营者主导的财务组织实施监控，利用绩效评价指标体系对经营者绩效进行考核与评价，在较高层次上实施监督控制。17南开大学程新生等4．董事会授权财务总监领导内部审计对财务组织监控

董事会可以授权财务总监领导企业内部审计，以加强对财务组织的监督控制。财务总监领导的内部审计必须与经营者主导的财务组织独立，这是董事会实施监督控制的基本前提。

5．董事会所属并由独立董事组成的审计委员会监控模式

审计委员会是董事会下设的监督机构，向董事会负责并报告工作，代表董事会监督财务报告过程和内部控制的有效性，保证财务报告的可靠性和企业经营活动的合法性。18南开大学程新生等三、财务报告内部控制的特点财务报告内部控制的责任主体—管理者 管理者是理性的经济人，高额报酬可能迫使其必须保持公司的利润，但职业经理追求的还有荣誉、社会威信与权力、竞争热情、创造欲望、安全、冒险等目标。在经理人市场上经理人员报酬就是由其自身价值、以前工作表现等决定的。因而经理人市场的形成能够激励、约束经理人员，促使经理追求长期的成功，不愿贪图眼前的最大利益，以免风险大而招致终身失败。但管理者作为代理人相对委托人来讲，更了解公司内部实际的运作和资金情况，也就更有机会进行“暗箱操作”。19南开大学程新生等

财务报告内部控制的内部屏障—董事会管理者编制财务报告，董事会负责监督，是及早发现财务报告问题的第一道屏障。无论是董事会的结构，独立董事的规模，还是审计委员会的设立，都与财务报告内部控制相关。学者们早期认为，董事会应该包含若干名内部董事，因为他们是董事会的重要信息来源。内部董事参与公司的日常管理，更了解公司经营状况，能提高董事会的决策效率。此外，内部董事可以减少外部董事与首席执行官（CEO）之间的信息不对称，从而有效的监管和评价CEO的工作。法玛（Fama）指出，一个股东占多数的董事会并不是最佳董事会结构，其解决的办法就是引入外部董事

21南开大学程新生等【乐山电力公司案例】

2004年1月，乐山电力公司两位独立董事程厚博和刘文波，因对公司的担保行为、关联交易行为以及负债情况产生质疑，聘请会计师事务所对上市公司进行专项审计。独立董事聘请的深圳鹏城会计师事务所从乐山电力管理局得到的资料与中介机构取得的外部有关对外担保资料、关联方及其交易资料不一致，因此深圳鹏城会计师事务所未能对乐山电力2003年度及截至2003年12月31日累计的对外担保情况、关联方及其交易事项的专项内容给出整体表示意见。22南开大学程新生等但就其取得的资料而言，深圳鹏城会计师事务所审计得出的已终审判决、已执行、正在执行的对外担保金额达到了2770万元，这些担保均未经公司董事会及股东大会的决议批准；目前已经形成诉讼或有可能形成诉讼的对外担保金额达到了8000万元，这些担保同样没有取得公司董事会或股东大会决议批准；截止2003年12月31日，乐山电力存在的其他对外担保累计金额据了解至少过亿元，其中大部分未获董事会决议通过，并且未对外公告；此外，由于深圳鹏城会计师事务所无法实施进一步审计程序，只是无法发表意见的担保事项其累计金额同样过亿元，其中部分仍未能查公司有曾经披露的历史公告记录。23南开大学程新生等美国等国家已经将由管理层聘请注册会计师，改为由董事会所属的审计委员会执行该项职能，保证财务报告审计的独立性在财务报告程序方面，审计人员是公众的利益代表，依靠审计人员对投资者获取的信息提供一定的保证，就像仓库保管员接受某一产品后，对该产品加盖密封条一样

财务报告内部控制的外部屏障—外部审计师25南开大学程新生等四、财务报告内部控制风险和防范企业财务报告欺诈前，通常会表现出一些异常现象，将其称为财务报告内部控制失效的风险信号。美国COSO委员会1999年发布了《欺诈性财务报告分析》，发现实施欺诈的公司，在欺诈前的几个会计期间发生亏损，或者正接近损益平衡点的位置，财务困境使得这些公司有力进行欺诈性活动。

26南开大学程新生等5．2业务流程信息控制

财务报告内部控制控制主要针对财务信息控制，业务流程信息控制对业务流程信息控制，业务流程信息对于支持组织的决策与控制具有重要作用。除了解决组织中经营决策、协调与控制、战略绩效评价等的问题外，业务流程信息也具有分析问题、考察复杂目标与开创新产品的作用

29南开大学程新生等一、业务信息控制企业的营运规划、控制和决策需要多种多样的信息，虽然大部分为财务信息，但是还有一部分并非来自会计系统。这些信息有的可以进入管理信息系统（如商品信息、客户信息），有些信息无法进入管理信息系统或进入成本高（如员工满意度信息）。需要对业务信息控制，以保证流程的效率和效果。

30南开大学程新生等MP公司CRM系统构架项目信息提醒上级跟踪总结成功失败分析对策逐级了解严格及时完整准确合理及时结果审批申请日志添加删除修改确定客户所有相关信息按时添补查询跟进客户信息录入查询日志信息分析图表分析数据分析方便准确全面安全直观灵活具体实用图5－1客户关系管理信息31南开大学程新生等凌志（Lexus）是丰田汽车公司的顶级豪华轿车，车主应该得到最好的服务。公司依赖顾客信息系统提供服务，通过系统数据识别轮胎有问题的车辆，一旦发现问题，公司会邮寄400美元或更高金额的支票给车主去更换轮胎但这时就出问题，有些支票寄给了非Lexus车的车主；有一些寄给了曾拥有，但现在已经更换汽车的车主，这些数据都来源于丰田公司的顾客信息系统，这个信息系统此时已经失效了。企业不仅要建立信息系统，同时还要进行后控制。32南开大学程新生等二、管理信息系统控制（一）管理信息系统的演变过程管理信息系统经过的演变过程：数据处理系统（1950－1960年），包括电子数据处理（EDP）、业务处理（TP）和记录保存；管理报告系统（1960－1970年），包括管理信息系统、管理报告系统和信息管理系统；决策支持系统（1970－1980年），包括决策支持系统（DSS）和管理支持系统（MSS）；战略和终端用户支持系统（1980－至今），包括主管信息系统（EIS）、战略信息系统（SIS）、供应链管理（SCM）、客户关系管理（CRM）和ERP系统（ERP）。33南开大学程新生等（二）ERP信息系统

信息系统经历了从MRP、MRPⅡ到ERP系统，ERP系统已被公认为现代管理信息系统的主流。

ERP的核心管理思想就是实现对整个供应链的有效管理，主要体现在以下方面：

对整个供应链资源进行管理，体现精益生产、同步工程和敏捷制造的思想，体现事前计划和事中控制的思想。

ERP系统集成了质量管理、全员质量管理（TQM）、准时制生产（JIT）、约束理论、精益生产、敏捷制造、实验室管理、EDI（电子数据交换）、C/S计算机技术、项目管理，同时也能够适应混合生产模式，在线实时分析监控销售、生产、采购、财务等作业，及时提供决策信息。34南开大学程新生等（三）信息管理制度

1.获得正确的信息

2.在正确的时间获取信息

3.以正确的形式获取信息

4.信息反馈制度

沃尔玛公司将每日销售的信息传递给牛仔服制造商—阮格尔公司。沃尔玛公司开发的信息模型为某些商店提供顾客所需要牛仔服的数量、尺寸和颜色信息。“循环交流”的结果是由于能够及时反馈阮格尔牛仔服的销售情况，从而使沃尔玛公司的库存最小，库存成本降低，同时能为顾客提供其真正需要的产品。35南开大学程新生等三、信息系统一般控制和应用控制

（一）信息系统中的一般控制一般控制涉及信息系统设计、安全和使用的控制，以及对整个企业信息基础建设中的数据文件总体的安全的控制，包括软件控制、硬件控制、计算机操作控制、数据安全控制、系统实施的流程控制和信息系统管理控制（administrativecontrol）。36南开大学程新生等（二）信息系统中的应用控制

应用控制是针对具体的计算机化程序，例如薪资、应收账款和订单系统的特别使用的控制。应用控制应根据每个信息系统的特点，分别设计。应用控制包含自动控制和人工的流程控制，以确保只有经过授权的数据才能完全地、准确误地通过应用程序来处理。37南开大学程新生等海空物流公司通过GPS（全球卫星系统），实现了对所有运输车辆24小时监控，所有仓库安装了CCTV监视系统，对出入仓库的人员实行指纹身份识别方式，对仓库中进出和存放的货物实行条形码管理。通过全程动态监控对供应链上每个成员的信息、行为和服务结果检查，鉴别出整个供应链上的冗余行为和非增值行为。为保证信息系统的安全，对系统的制度严格执行，每月都要进行系统准入核对（systemaccessreconciliation）。

38南开大学程新生等一、财务报告内部控制案例帕玛拉特是意大利第八大企业集团,以生产和销售牛奶、果汁和奶制品等为主，是意乳品业的巨头。但因无力填补145亿欧元的财务黑洞，2003年12月27日，意大利帕尔马地方破产法院批准了该公司提出的破产保护申请。帕玛拉特是典型的家族型企业，公司创始人卡利斯托.坦齐（CalistoTanzi）的家族公司拥有帕玛拉特51%的股份。帕玛拉特的13人董事会中，没有任何人独立于坦齐家族。集中的权力减弱了财务报告内部控制，其内部审计人员波契向检察官承认伪造了对美洲银行近40亿美元虚假账目的确认函。5．3信息控制案例39南开大学程新生等由于缺乏健全的财务制度，帕玛拉特没有做到财务统一管理。据《金融时报》报道，集团拥有170家分支机构，很多分公司以及开曼群岛的子公司之间都有现金转账。多年的系统性造假行为导致帕玛拉特账面上有几十亿欧元不知所踪。如美洲银行在2003年12月19日称，帕玛拉特集团在开曼群岛的分支机构Bonlat金融公司在该银行账户上的款项并不存在，而帕玛拉特提供的一份虚假证明文件称该公司2002年12月31日有一笔39.5亿欧元的流动资金。40南开大学程新生等财务制度的欠缺导致帕玛拉特集团高达100亿欧元的债务总额，其中1/3为意大利的银行拥有，其余则由债券持有人和国外银行持有；帕玛拉特不但没有利用债务使公司获得财务杠杆收益，反而因过高的债务总额被迫宣布破产。普华永道会计师事务所的审计师在结束清查帕玛拉特账目的第一阶段工作后，分析得出结论，公司实际负债额远远大于帕玛拉特管理层此前上报的金额。普华永道对帕玛拉特的真实财务状况出具的报告称，截至2003年9月30日，帕玛拉特净负债额为143亿欧元，而不是该公司先前所称的18亿欧元。在截至2003年9月30日的9个月，帕玛拉特收入为40亿欧元，而不是其公布的54亿欧元。利息、税项、折旧和摊销前的利润为1.21亿欧元，而不是先前所公布的6.51亿欧元，公司的流动资产可以“忽略不计”。41南开大学程新生等二、外币交易信息控制－联合爱尔兰银行（AIB）的外币交易欺诈

2002年2月5日，第一银行（Allfirst）揭露了7.5亿美元外币交易亏损。

第一银行最先发现该行外汇交易员鲁斯纳克（JohnRusnak）经手的外币交易有问题是在2002年1月初。当时，该银行正在对资产部进行例行管理审核。恰在此时，鲁斯纳克要求银行提供巨额现金支持他的交易战略，银行高级经理人员认为他要求的钱款数额巨大，产生怀疑并开始调查。在一个多月的调查期间，鲁斯纳克一直给予合作，直到调查人员发现大量伪造的交易文件后，这起7.5亿美元资产不翼而飞的欺诈案方才被揭露出来42南开大学程新生等早在1998年，AIB就安装了从英国Misys进口的软件，它能控制货币交易的前后台（在母公司AIB上安装后端软件，而其他子公司安装前台软件），以电子化记录前端柜台的货币交易，后端软件追踪所有交易记录。该软件能找出假交易、超过限额交易及未核准交易。假如有任何犯规者，它都会自动地发警报给经理人员。一位前AIB外货交易员在调查时说，“AIB纽约办公室对其员工的控制非常之严。假如你超过限额一毛钱，AIB的信用专员都会知道，而即使是在限额内的交易，只要有不寻常之处，我都会接到电话。”AIB还使用了Crossmar匹配服务系统，该系统能在两分钟以内自动核对

43南开大学程新生等AIB虽然安装了后端软件，但在第一银行没有安装前台软件，因此无法进行直接处理，前端的交易信息是用人工方式送到后端的。而且第一银行从未用过Crossmar系统验证交易，而是依赖电话来确认的。但鲁斯纳克避开了控制系统的防护，他伪装交易验证，即让这些交易看起来像真的，尽管这些交易早该被发现。后端办公室依赖于鲁斯纳克每次交易时提供的人工信息，鲁斯纳克在不使用前台软件的情况下，通过其他软件输入交易，这样由于软件不匹配，后端人员无法发现其中的问题；经常给伪造的期权交易一天的到期日而不被人发觉，因为第一银行的报表不会列出一天之内到期的期权交易数据。同时，他还私下说服后端办公室不要确认期权交易双方，因为并未有净现金的转移

44南开大学程新生等AIB指定一外部高级专家来主持对损失原因的调查，包括违反内部控制及可能的内外勾结。调查报告将陈述事实，解释政策及控制效力，提出改进意见鲁斯纳克伪造的期权与东京、新加坡的主要国际性金融分支机构有关，按规定要求员工在晚上进行电话确认，他说服员工不必费事进行确认，还经常在当天结账时将当日所有的单笔交易归整成一笔交易，这样可以使他的交易看起来似乎是在规避风险。综上分析，虽然AIB有完善的软件系统，但软件系统不等于信息系统，同时即使有完善的信息系统，也需要很好的控制。45南开大学程新生等本章小结

信息控制包括财务报告内部控制和业务流程信息控制，企业财务报告内部控制表现为由高层管理者制定、实施，受到董事会或类似机构的监督，为确保企业财务报告如实地反映了企业的财务与经营状况、符合会计准则的编报要求的措施与程序。业务流程信息控制是用人工和自动化方法保障信息系统的安全，同时确保实施过程符合管理标准，为业务流程的实施、经营管理提供所需的信息。46南开大学