第七章信息傳遞與信息風(fēng)險控制

1、第第7章章 信息傳遞與信息風(fēng)險控制信息傳遞與信息風(fēng)險控制 第一節(jié)第一節(jié) 信息傳遞與信息風(fēng)險控制概述信息傳遞與信息風(fēng)險控制概述 第二節(jié)第二節(jié) 財務(wù)報告內(nèi)部控制財務(wù)報告內(nèi)部控制 第三節(jié)第三節(jié) 業(yè)務(wù)流程信息控制業(yè)務(wù)流程信息控制 第四節(jié)第四節(jié) 信息傳遞與信息風(fēng)險控制案例信息傳遞與信息風(fēng)險控制案例 l信息風(fēng)險控制信息風(fēng)險控制是為確保信息及時性、相關(guān)性和是為確保信息及時性、相關(guān)性和 可靠性進行的控制可靠性進行的控制，信息風(fēng)險控制分為兩個層，信息風(fēng)險控制分為兩個層 面：面： l一是在一是在公司治理層面公司治理層面，由利益相關(guān)者對經(jīng)營者，由利益相關(guān)者對經(jīng)營者 主導(dǎo)的財務(wù)信息系統(tǒng)進行監(jiān)控，主要是主導(dǎo)的財務(wù)信息系

2、統(tǒng)進行監(jiān)控，主要是財務(wù)報財務(wù)報 告內(nèi)部控制；告內(nèi)部控制； l二是在二是在企業(yè)經(jīng)營管理層面企業(yè)經(jīng)營管理層面，由經(jīng)營者和業(yè)務(wù)人，由經(jīng)營者和業(yè)務(wù)人 員應(yīng)用業(yè)務(wù)流程信息，對經(jīng)營活動進行控制，員應(yīng)用業(yè)務(wù)流程信息，對經(jīng)營活動進行控制， 即即業(yè)務(wù)流程信息控制。業(yè)務(wù)流程信息控制。 第一節(jié)第一節(jié) 信息傳遞與信息風(fēng)險控制概述信息傳遞與信息風(fēng)險控制概述 l信息風(fēng)險控制從降低信息不對稱，到信息溝信息風(fēng)險控制從降低信息不對稱，到信息溝 通、信息技術(shù)應(yīng)用，涉及廣泛的領(lǐng)域。通、信息技術(shù)應(yīng)用，涉及廣泛的領(lǐng)域。 l 內(nèi)部信息傳遞，是指企業(yè)內(nèi)部各管理層級之內(nèi)部信息傳遞，是指企業(yè)內(nèi)部各管理層級之 間間通過內(nèi)部報告形式通過內(nèi)部報告形

3、式傳遞生產(chǎn)經(jīng)營管理信息傳遞生產(chǎn)經(jīng)營管理信息 的過程。的過程。 建立內(nèi)部報告及指標(biāo)體系建立內(nèi)部報告及指標(biāo)體系 形成內(nèi)部報告形成內(nèi)部報告 內(nèi)部報告在規(guī)定的范圍內(nèi)流轉(zhuǎn)內(nèi)部報告在規(guī)定的范圍內(nèi)流轉(zhuǎn) 內(nèi)部報告使用和保管內(nèi)部報告使用和保管 定期全面評估定期全面評估 審核內(nèi)部報告審核內(nèi)部報告 搜集整理內(nèi)外部信息搜集整理內(nèi)外部信息 通過通過 沒通過沒通過 內(nèi)部報告形成階段內(nèi)部報告形成階段 內(nèi)部報告使用階段內(nèi)部報告使用階段 內(nèi)部信息傳遞流程圖內(nèi)部信息傳遞流程圖 企業(yè)內(nèi)部信息傳遞的風(fēng)險企業(yè)內(nèi)部信息傳遞的風(fēng)險 l中國中國“企業(yè)內(nèi)部控制應(yīng)用指引第企業(yè)內(nèi)部控制應(yīng)用指引第1717號號內(nèi)內(nèi) 部信息傳遞部信息傳遞”指出，企業(yè)指

4、出，企業(yè)內(nèi)部信息傳遞至內(nèi)部信息傳遞至 少應(yīng)當(dāng)關(guān)注下列風(fēng)險：少應(yīng)當(dāng)關(guān)注下列風(fēng)險： l一是一是內(nèi)部報告系統(tǒng)內(nèi)部報告系統(tǒng)缺失、功能不健全、內(nèi)缺失、功能不健全、內(nèi) 容不完整，可能影響生產(chǎn)經(jīng)營有序運行；容不完整，可能影響生產(chǎn)經(jīng)營有序運行； l二是內(nèi)部二是內(nèi)部信息傳遞信息傳遞不通暢、不及時，可能不通暢、不及時，可能 導(dǎo)致決策失誤、相關(guān)政策措施難以落實；導(dǎo)致決策失誤、相關(guān)政策措施難以落實； l三是三是內(nèi)部信息傳遞中泄露商業(yè)秘密內(nèi)部信息傳遞中泄露商業(yè)秘密，可能，可能 削弱企業(yè)核心競爭力削弱企業(yè)核心競爭力 信息溝通渠道包括文件、刊物、網(wǎng)絡(luò)、培訓(xùn)、信息溝通渠道包括文件、刊物、網(wǎng)絡(luò)、培訓(xùn)、 交談、考核等。交談、考核

5、等。 中國中國企業(yè)內(nèi)部控制基本規(guī)范企業(yè)內(nèi)部控制基本規(guī)范指出：指出： 企業(yè)企業(yè)應(yīng)當(dāng)建立信息與溝通制度應(yīng)當(dāng)建立信息與溝通制度，明確內(nèi)部控制相關(guān)，明確內(nèi)部控制相關(guān) 信息的收集、處理和傳遞程序，確保信息及時溝通，信息的收集、處理和傳遞程序，確保信息及時溝通， 促進內(nèi)部控制有效運行；促進內(nèi)部控制有效運行； 企業(yè)企業(yè)應(yīng)當(dāng)對收集的各種內(nèi)部信息和外部信息進行合應(yīng)當(dāng)對收集的各種內(nèi)部信息和外部信息進行合 理篩選、核對、整合，提高信息的有用性理篩選、核對、整合，提高信息的有用性。企業(yè)可。企業(yè)可 以通過財務(wù)會計資料、經(jīng)營管理資料、調(diào)研報告、以通過財務(wù)會計資料、經(jīng)營管理資料、調(diào)研報告、 專項信息、內(nèi)部刊物、辦公網(wǎng)絡(luò)等渠

6、道，獲取內(nèi)部專項信息、內(nèi)部刊物、辦公網(wǎng)絡(luò)等渠道，獲取內(nèi)部 信息；信息； 企業(yè)企業(yè)應(yīng)當(dāng)運用信息技術(shù)加強內(nèi)部控制應(yīng)當(dāng)運用信息技術(shù)加強內(nèi)部控制，建立與經(jīng)營，建立與經(jīng)營 管理相適應(yīng)的信息系統(tǒng)，促進內(nèi)部控制流程與信息管理相適應(yīng)的信息系統(tǒng)，促進內(nèi)部控制流程與信息 系統(tǒng)的有機結(jié)合系統(tǒng)的有機結(jié)合 。 控制措施：控制措施： 企業(yè)企業(yè)應(yīng)當(dāng)建立舉報投訴制度和舉報人保護制度應(yīng)當(dāng)建立舉報投訴制度和舉報人保護制度， 設(shè)置舉報專線，明確舉報投訴處理程序、辦理設(shè)置舉報專線，明確舉報投訴處理程序、辦理 時限和辦結(jié)要求，確保舉報、投訴成為企業(yè)有時限和辦結(jié)要求，確保舉報、投訴成為企業(yè)有 效掌握信息的重要途徑。舉報投訴制度和舉報效掌

7、握信息的重要途徑。舉報投訴制度和舉報 人保護制度應(yīng)當(dāng)及時傳達(dá)至全體員工。舞弊的人保護制度應(yīng)當(dāng)及時傳達(dá)至全體員工。舞弊的 舉報、調(diào)查重點：舉報、調(diào)查重點： 未經(jīng)授權(quán)或者采取其他不法方式侵占、挪用企業(yè)資產(chǎn)，未經(jīng)授權(quán)或者采取其他不法方式侵占、挪用企業(yè)資產(chǎn)， 牟取不當(dāng)利益牟取不當(dāng)利益 在財務(wù)會計報告和信息披露等方面存在的虛假記載、在財務(wù)會計報告和信息披露等方面存在的虛假記載、 誤導(dǎo)性陳述或者重大遺漏等誤導(dǎo)性陳述或者重大遺漏等 董事、監(jiān)事、經(jīng)理及其他高級管理人員濫用職權(quán)董事、監(jiān)事、經(jīng)理及其他高級管理人員濫用職權(quán) 相關(guān)機構(gòu)或人員串通舞弊相關(guān)機構(gòu)或人員串通舞弊 企業(yè)企業(yè)應(yīng)當(dāng)關(guān)注市場環(huán)境、政策變化應(yīng)當(dāng)關(guān)注市場

8、環(huán)境、政策變化等外部信等外部信 息對企業(yè)生產(chǎn)經(jīng)營管理的影響，廣泛收集、息對企業(yè)生產(chǎn)經(jīng)營管理的影響，廣泛收集、 分析、整理外部信息，并通過內(nèi)部報告?zhèn)鬟f分析、整理外部信息，并通過內(nèi)部報告?zhèn)鬟f 到企業(yè)內(nèi)部相關(guān)管理層級，以便采取應(yīng)對策到企業(yè)內(nèi)部相關(guān)管理層級，以便采取應(yīng)對策 略。企業(yè)應(yīng)當(dāng)拓寬內(nèi)部報告渠道，通過落實略。企業(yè)應(yīng)當(dāng)拓寬內(nèi)部報告渠道，通過落實 獎勵措施等多種有效方式，廣泛收集合理化獎勵措施等多種有效方式，廣泛收集合理化 建議；建議； 企業(yè)企業(yè)應(yīng)當(dāng)重視和加強反舞弊機制建設(shè)，應(yīng)當(dāng)重視和加強反舞弊機制建設(shè)，通過通過 設(shè)立員工信箱、投訴熱線等方式，鼓勵員工設(shè)立員工信箱、投訴熱線等方式，鼓勵員工 及企業(yè)利

9、益相關(guān)方舉報和投訴企業(yè)內(nèi)部的違及企業(yè)利益相關(guān)方舉報和投訴企業(yè)內(nèi)部的違 法違規(guī)、舞弊和其他有損企業(yè)形象的行為。法違規(guī)、舞弊和其他有損企業(yè)形象的行為。 2.多渠道的信息來源多渠道的信息來源 l為了防止信息傳遞過程中信息真實性下降，防為了防止信息傳遞過程中信息真實性下降，防 止信息壟斷在少數(shù)人手中，或避免某環(huán)節(jié)委托止信息壟斷在少數(shù)人手中，或避免某環(huán)節(jié)委托 人與代理人之間串通，應(yīng)采用多渠道信息控制人與代理人之間串通，應(yīng)采用多渠道信息控制 方式。方式。 l兼聽則明，偏聽則暗兼聽則明，偏聽則暗 lDEJDEJ公司在中國大區(qū)有公司在中國大區(qū)有CEOCEO、CFOCFO和和FMFM（財務(wù)經(jīng)理），（財務(wù)經(jīng)理），

10、 內(nèi)部審計負(fù)責(zé)對中國大區(qū)財務(wù)系統(tǒng)績效評價。對財內(nèi)部審計負(fù)責(zé)對中國大區(qū)財務(wù)系統(tǒng)績效評價。對財 務(wù)系統(tǒng)的績效評價有兩個方面，一是公認(rèn)會計準(zhǔn)則務(wù)系統(tǒng)的績效評價有兩個方面，一是公認(rèn)會計準(zhǔn)則 （GAAPGAAP）的執(zhí)行情況，二是薩班斯（）的執(zhí)行情況，二是薩班斯（SOXSOX）法案和）法案和 內(nèi)部控制（內(nèi)部控制（ICIC）的執(zhí)行情況）的執(zhí)行情況. . l內(nèi)部審計將審計信息傳遞給總部董事會、內(nèi)部審計將審計信息傳遞給總部董事會、CEOCEO，同時，同時 外部審計師將其信息傳遞給董事會和外部審計師將其信息傳遞給董事會和CEOCEO，總部將審，總部將審 計中發(fā)現(xiàn)的問題發(fā)給中國大區(qū)進行處理計中發(fā)現(xiàn)的問題發(fā)給中國大區(qū)

11、進行處理. . l通過幾個渠道獲得信息、上報信息，降低了中國大通過幾個渠道獲得信息、上報信息，降低了中國大 區(qū)業(yè)務(wù)執(zhí)行信息的不對稱性區(qū)業(yè)務(wù)執(zhí)行信息的不對稱性 . . 第二節(jié)第二節(jié)財務(wù)報告內(nèi)部控制財務(wù)報告內(nèi)部控制 l財務(wù)報告內(nèi)部控制財務(wù)報告內(nèi)部控制定義定義： 由企業(yè)高層管理者制定、實施，受到董事會由企業(yè)高層管理者制定、實施，受到董事會 或類似機構(gòu)的監(jiān)督，為確保企業(yè)出具的財務(wù)報告或類似機構(gòu)的監(jiān)督，為確保企業(yè)出具的財務(wù)報告 真實真實反映企業(yè)的財務(wù)與經(jīng)營狀況、符合會計準(zhǔn)則反映企業(yè)的財務(wù)與經(jīng)營狀況、符合會計準(zhǔn)則 編報要求的措施與程序編報要求的措施與程序 l美國證券交易委員會（美國證券交易委員會（SECS

12、EC）20032003年年財務(wù)財務(wù) 報告內(nèi)部控制定義：報告內(nèi)部控制定義： 由公司的首席執(zhí)行官、首席財務(wù)官或者由公司的首席執(zhí)行官、首席財務(wù)官或者 公司行使類似職權(quán)的人員設(shè)計或監(jiān)管的，公司行使類似職權(quán)的人員設(shè)計或監(jiān)管的， 受到公司的董事會、管理層和其他人員影受到公司的董事會、管理層和其他人員影 響的，為財務(wù)報告的可靠性和滿足外部使響的，為財務(wù)報告的可靠性和滿足外部使 用的財務(wù)報表編制符合公認(rèn)會計準(zhǔn)則提供用的財務(wù)報表編制符合公認(rèn)會計準(zhǔn)則提供 合理保證的合理保證的控制程序控制程序。 “財務(wù)報告的可靠性財務(wù)報告的可靠性”是評價企業(yè)財務(wù)報告內(nèi)部是評價企業(yè)財務(wù)報告內(nèi)部 控制是否良好根本依據(jù)?？刂剖欠窳己酶?/p>

13、依據(jù)。 如果管理層在財務(wù)報告中虛報企業(yè)的利潤，違如果管理層在財務(wù)報告中虛報企業(yè)的利潤，違 背了可靠性的原則，就稱為背了可靠性的原則，就稱為財務(wù)報告內(nèi)部控制財務(wù)報告內(nèi)部控制 失效失效。財務(wù)報告內(nèi)部控制屬于內(nèi)部控制的范疇，。財務(wù)報告內(nèi)部控制屬于內(nèi)部控制的范疇， 是內(nèi)部控制的細(xì)化。例如，獨立董事就對外擔(dān)是內(nèi)部控制的細(xì)化。例如，獨立董事就對外擔(dān) 保、關(guān)聯(lián)交易、投資等業(yè)務(wù)要求報告和披露，保、關(guān)聯(lián)交易、投資等業(yè)務(wù)要求報告和披露， 屬于財務(wù)報告內(nèi)部控制范疇。屬于財務(wù)報告內(nèi)部控制范疇。 一、財務(wù)報告內(nèi)部控制環(huán)境一、財務(wù)報告內(nèi)部控制環(huán)境 l在相互制衡的公司治理結(jié)構(gòu)下，股東大會、在相互制衡的公司治理結(jié)構(gòu)下，股東大

14、會、 董事會、監(jiān)事會關(guān)注財務(wù)信息，以此作為評董事會、監(jiān)事會關(guān)注財務(wù)信息，以此作為評 價委托代理責(zé)任履行情況的重要依據(jù)，并通價委托代理責(zé)任履行情況的重要依據(jù)，并通 過法律、準(zhǔn)則等一系列措施來保證財務(wù)報告過法律、準(zhǔn)則等一系列措施來保證財務(wù)報告 質(zhì)量，從而形成內(nèi)在約束力質(zhì)量，從而形成內(nèi)在約束力 l隨著安然事件對美國證券市場帶來的隨著安然事件對美國證券市場帶來的“多米多米 諾骨牌效應(yīng)諾骨牌效應(yīng)”，虛假的財務(wù)信息成為眾矢之，虛假的財務(wù)信息成為眾矢之 的，美國社會各界強力呼吁政府出臺能夠保的，美國社會各界強力呼吁政府出臺能夠保 證財務(wù)報告信息質(zhì)量的政策、措施，嚴(yán)厲打證財務(wù)報告信息質(zhì)量的政策、措施，嚴(yán)厲打

15、擊公司的造假行為擊公司的造假行為 l中國證券市場也屢屢被財務(wù)報告舞弊事件困中國證券市場也屢屢被財務(wù)報告舞弊事件困 擾，無論是擾，無論是2020世紀(jì)世紀(jì)9090年代初的深圳原野案、年代初的深圳原野案、 20002000年的鄭百文、猴王股份案，還是年的鄭百文、猴王股份案，還是20012001年年 的的“銀廣廈銀廣廈”事件，種種的案件都或多或少事件，種種的案件都或多或少 的與企業(yè)的財務(wù)報告相關(guān)的與企業(yè)的財務(wù)報告相關(guān) 二、財務(wù)報告內(nèi)部控制理論與實踐二、財務(wù)報告內(nèi)部控制理論與實踐 （一）理論研究（一）理論研究 n 代理理論：代理理論：委托人和代理人之間的目標(biāo)函數(shù)是不一委托人和代理人之間的目標(biāo)函數(shù)是不一

16、致的。委托人總是希望通過各種方式來監(jiān)督和激勵代致的。委托人總是希望通過各種方式來監(jiān)督和激勵代 理人，使之盡其所能，為委托人謀取最大利益。理人，使之盡其所能，為委托人謀取最大利益。 n 由于由于“道德風(fēng)險道德風(fēng)險”（moral hazardmoral hazard）或）或“逆向選擇逆向選擇” （adverse selectionadverse selection）的存在，經(jīng)理人員可能通過機）的存在，經(jīng)理人員可能通過機 會主義的行為最大化自身而不是股東的利益，股東設(shè)會主義的行為最大化自身而不是股東的利益，股東設(shè) 計了諸多激勵和監(jiān)督機制以引導(dǎo)和制衡經(jīng)理人員的機計了諸多激勵和監(jiān)督機制以引導(dǎo)和制衡經(jīng)理人

17、員的機 會主義行為。會主義行為。 n 財務(wù)報告財務(wù)報告作為反映經(jīng)營成果的最重要的信息，便是作為反映經(jīng)營成果的最重要的信息，便是 委托人對代理人實施監(jiān)督的最有效的手段。委托人對代理人實施監(jiān)督的最有效的手段。 中國中國“企業(yè)內(nèi)部控制應(yīng)用指引第企業(yè)內(nèi)部控制應(yīng)用指引第1414號號- -財務(wù)財務(wù) 報告報告”指出，企業(yè)編制、對外提供和分析利指出，企業(yè)編制、對外提供和分析利 用財務(wù)報告，至少應(yīng)當(dāng)關(guān)注下列風(fēng)險：用財務(wù)報告，至少應(yīng)當(dāng)關(guān)注下列風(fēng)險： u一是編制財務(wù)報告一是編制財務(wù)報告違反會計法律法規(guī)和國家統(tǒng)一的違反會計法律法規(guī)和國家統(tǒng)一的 會計準(zhǔn)則制度，會計準(zhǔn)則制度，可能導(dǎo)致企業(yè)承擔(dān)法律責(zé)任和聲譽可能導(dǎo)致企業(yè)承擔(dān)

18、法律責(zé)任和聲譽 受損；受損； u二是二是提供虛假財務(wù)報告，誤導(dǎo)財務(wù)報告使用者提供虛假財務(wù)報告，誤導(dǎo)財務(wù)報告使用者，造，造 成決策失誤，干擾市場秩序；成決策失誤，干擾市場秩序； u三是三是不有效利用財務(wù)報告，不有效利用財務(wù)報告，難以及時發(fā)現(xiàn)企業(yè)經(jīng)營難以及時發(fā)現(xiàn)企業(yè)經(jīng)營 管理中存在的問題，可能導(dǎo)致企業(yè)財務(wù)和經(jīng)營風(fēng)險管理中存在的問題，可能導(dǎo)致企業(yè)財務(wù)和經(jīng)營風(fēng)險 失控。失控。 企業(yè)，尤其是上市公司，必須密切關(guān)注財務(wù)報告方面企業(yè)，尤其是上市公司，必須密切關(guān)注財務(wù)報告方面 的風(fēng)險，萬萬不可忽視。的風(fēng)險，萬萬不可忽視。 三、編制、提供財務(wù)報告應(yīng)關(guān)注的風(fēng)險三、編制、提供財務(wù)報告應(yīng)關(guān)注的風(fēng)險 “企業(yè)內(nèi)部控制應(yīng)用

19、指引第企業(yè)內(nèi)部控制應(yīng)用指引第 14 14 號號財財 務(wù)報告務(wù)報告”（20102010）明確提出財務(wù)報告內(nèi)）明確提出財務(wù)報告內(nèi) 部控制要求：部控制要求： u 企業(yè)企業(yè)應(yīng)當(dāng)加強對財務(wù)報告編制、對外提供和分析應(yīng)當(dāng)加強對財務(wù)報告編制、對外提供和分析 利用全過程的管理，利用全過程的管理，明確相關(guān)工作流程和要求，落實明確相關(guān)工作流程和要求，落實 責(zé)任制，確保財務(wù)報告合法合規(guī)、真實完整和有效利責(zé)任制，確保財務(wù)報告合法合規(guī)、真實完整和有效利 用；用； u 企業(yè)企業(yè)應(yīng)當(dāng)重視報告分析工作應(yīng)當(dāng)重視報告分析工作，定期召開分析會議，定期召開分析會議， 充分利用報告反映的綜合信息，全面分析企業(yè)的經(jīng)營充分利用報告反映的綜合

20、信息，全面分析企業(yè)的經(jīng)營 管理狀況和存在的問題，不斷提高經(jīng)營管理水平。企管理狀況和存在的問題，不斷提高經(jīng)營管理水平。企 業(yè)分析會議應(yīng)吸收有關(guān)部門負(fù)責(zé)人參加?？倳嫀熁驑I(yè)分析會議應(yīng)吸收有關(guān)部門負(fù)責(zé)人參加?？倳嫀熁?分管會計工作的負(fù)責(zé)人應(yīng)當(dāng)在分析和利用工作中發(fā)揮分管會計工作的負(fù)責(zé)人應(yīng)當(dāng)在分析和利用工作中發(fā)揮 主導(dǎo)作用主導(dǎo)作用 。 財務(wù)報告內(nèi)部控制的要求：財務(wù)報告內(nèi)部控制的要求： 四、財務(wù)報告內(nèi)部控制的特點四、財務(wù)報告內(nèi)部控制的特點 1.1.財務(wù)報告內(nèi)部控制的責(zé)任主體財務(wù)報告內(nèi)部控制的責(zé)任主體管理者管理者 u 經(jīng)理人的追求經(jīng)理人的追求有榮譽、社會威信與權(quán)力、競爭熱有榮譽、社會威信與權(quán)力、競爭熱 情

21、、創(chuàng)造欲望、安全、冒險等目標(biāo)。在經(jīng)理人市場上情、創(chuàng)造欲望、安全、冒險等目標(biāo)。在經(jīng)理人市場上 經(jīng)理人員報酬就是由其自身價值、以前工作表現(xiàn)等決經(jīng)理人員報酬就是由其自身價值、以前工作表現(xiàn)等決 定的。定的。 u 經(jīng)理人市場經(jīng)理人市場的形成能夠激勵、約束經(jīng)理人員，促的形成能夠激勵、約束經(jīng)理人員，促 使經(jīng)理追求長期的成功。但管理者作為代理人，相對使經(jīng)理追求長期的成功。但管理者作為代理人，相對 委托人來講，更了解公司內(nèi)部實際的運作和資金情況，委托人來講，更了解公司內(nèi)部實際的運作和資金情況， 也就更有機會進行也就更有機會進行“暗箱操作暗箱操作” 。 u 我國我國企業(yè)內(nèi)部控制應(yīng)用指引第企業(yè)內(nèi)部控制應(yīng)用指引第14

22、14號號財務(wù)報財務(wù)報 告告指出，總會計師或分管會計工作的負(fù)責(zé)人負(fù)責(zé)組指出，總會計師或分管會計工作的負(fù)責(zé)人負(fù)責(zé)組 織、領(lǐng)導(dǎo)財務(wù)報告的編制、對外提供和分析利用等相織、領(lǐng)導(dǎo)財務(wù)報告的編制、對外提供和分析利用等相 關(guān)工作。關(guān)工作。企業(yè)負(fù)責(zé)人對報告的真實性、完整性負(fù)責(zé)。企業(yè)負(fù)責(zé)人對報告的真實性、完整性負(fù)責(zé)。 【美國世通公司案例美國世通公司案例】 2001 2001年，世通高額負(fù)債的狀況引起美國證券年，世通高額負(fù)債的狀況引起美國證券 監(jiān)管機構(gòu)的關(guān)注，為此所進行的調(diào)查導(dǎo)致首監(jiān)管機構(gòu)的關(guān)注，為此所進行的調(diào)查導(dǎo)致首 席執(zhí)行官埃伯斯辭職。世通公司前管理當(dāng)局席執(zhí)行官埃伯斯辭職。世通公司前管理當(dāng)局 具有提供虛假財務(wù)報

23、告的動機，包括：首席具有提供虛假財務(wù)報告的動機，包括：首席 執(zhí)行官持有公司大量股票，并以此作為個人執(zhí)行官持有公司大量股票，并以此作為個人 貸款的質(zhì)押；需要保持高股價，從而維持以貸款的質(zhì)押；需要保持高股價，從而維持以 換股方式進行收購兼并的吸引力；需要保持換股方式進行收購兼并的吸引力；需要保持 較高的投資和信用等級以發(fā)行股票或舉債來較高的投資和信用等級以發(fā)行股票或舉債來 為其經(jīng)營活動和資本支出籌措資金為其經(jīng)營活動和資本支出籌措資金。 2. 2.財務(wù)報告內(nèi)部控制的內(nèi)部屏障財務(wù)報告內(nèi)部控制的內(nèi)部屏障董事會董事會 l管理者編制財務(wù)報告，董事會負(fù)責(zé)監(jiān)督，是及早發(fā)現(xiàn)管理者編制財務(wù)報告，董事會負(fù)責(zé)監(jiān)督，是及

24、早發(fā)現(xiàn) 財務(wù)報告問題的第一道屏障。財務(wù)報告問題的第一道屏障。無論是董事會的結(jié)構(gòu)，無論是董事會的結(jié)構(gòu)， 獨立董事的規(guī)模，還是審計委員會的設(shè)立，都與財務(wù)獨立董事的規(guī)模，還是審計委員會的設(shè)立，都與財務(wù) 報告內(nèi)部控制相關(guān)。學(xué)者們早期認(rèn)為，董事會應(yīng)該包報告內(nèi)部控制相關(guān)。學(xué)者們早期認(rèn)為，董事會應(yīng)該包 含若干名內(nèi)部董事，因為他們是董事會的重要信息來含若干名內(nèi)部董事，因為他們是董事會的重要信息來 源。源。 l內(nèi)部董事參與公司的日常管理，更了解公司經(jīng)營狀況，內(nèi)部董事參與公司的日常管理，更了解公司經(jīng)營狀況， 能提高董事會的決策效率。內(nèi)部董事可以減少外部董能提高董事會的決策效率。內(nèi)部董事可以減少外部董 事與首席執(zhí)行

25、官之間的信息不對稱，從而有效的監(jiān)管事與首席執(zhí)行官之間的信息不對稱，從而有效的監(jiān)管 和評價和評價CEOCEO的工作。的工作。 l引入外部董事可以保證董事會對公司的控制關(guān)系不因引入外部董事可以保證董事會對公司的控制關(guān)系不因 管理層的介入而受到影響。管理層的介入而受到影響。 【樂山電力公司案例樂山電力公司案例】 20042004年年1 1月，樂山電力公司兩位獨立董事程厚博和劉月，樂山電力公司兩位獨立董事程厚博和劉 文波，因?qū)镜膿?dān)保行為、關(guān)聯(lián)交易行為以及負(fù)債文波，因?qū)镜膿?dān)保行為、關(guān)聯(lián)交易行為以及負(fù)債 情況產(chǎn)生質(zhì)疑，聘請會計師事務(wù)所對上市公司進行專情況產(chǎn)生質(zhì)疑，聘請會計師事務(wù)所對上市公司進行專

26、項審計。獨立董事聘請的深圳鵬城會計師事務(wù)所從樂項審計。獨立董事聘請的深圳鵬城會計師事務(wù)所從樂 山電力管理局得到的資料與中介機構(gòu)取得的外部有關(guān)山電力管理局得到的資料與中介機構(gòu)取得的外部有關(guān) 對外擔(dān)保資料、關(guān)聯(lián)方及其交易資料不一致，因此深對外擔(dān)保資料、關(guān)聯(lián)方及其交易資料不一致，因此深 圳鵬城會計師事務(wù)所未能對樂山電力圳鵬城會計師事務(wù)所未能對樂山電力20032003年度及截至年度及截至 20032003年年1212月月3131日累計的對外擔(dān)保情況、關(guān)聯(lián)方及其交日累計的對外擔(dān)保情況、關(guān)聯(lián)方及其交 易事項的專項內(nèi)容給出整體表示意見。易事項的專項內(nèi)容給出整體表示意見。 但就其取得的資料而言，深圳鵬城會計師

27、事務(wù)所但就其取得的資料而言，深圳鵬城會計師事務(wù)所 審計得出的已終審判決、已執(zhí)行、正在執(zhí)行的對外擔(dān)審計得出的已終審判決、已執(zhí)行、正在執(zhí)行的對外擔(dān) 保金額達(dá)到了保金額達(dá)到了27702770萬元，這些擔(dān)保均未經(jīng)公司董事會萬元，這些擔(dān)保均未經(jīng)公司董事會 及股東大會的決議批準(zhǔn)；已經(jīng)形成訴訟或有可能形成及股東大會的決議批準(zhǔn)；已經(jīng)形成訴訟或有可能形成 訴訟的對外擔(dān)保金額達(dá)到了訴訟的對外擔(dān)保金額達(dá)到了80008000萬元，這些擔(dān)保同樣萬元，這些擔(dān)保同樣 沒有取得公司董事會或股東大會決議批準(zhǔn)；截止沒有取得公司董事會或股東大會決議批準(zhǔn)；截止20032003 年年1212月月3131日，樂山電力存在的其他對外擔(dān)保累

28、計金額日，樂山電力存在的其他對外擔(dān)保累計金額 據(jù)了解至少過億元，其中大部分未獲董事會決議通過，據(jù)了解至少過億元，其中大部分未獲董事會決議通過， 并且未對外公告。并且未對外公告。 由于深圳鵬城會計師事務(wù)所無法實施進一步審計由于深圳鵬城會計師事務(wù)所無法實施進一步審計 程序，只是無法發(fā)表意見的擔(dān)保事項其累計金額同樣程序，只是無法發(fā)表意見的擔(dān)保事項其累計金額同樣 過億元，其中部分仍未能查公司有曾經(jīng)披露的歷史公過億元，其中部分仍未能查公司有曾經(jīng)披露的歷史公 告記錄。告記錄。 l1.1.審計委員會在財務(wù)報告內(nèi)部控制方面發(fā)揮著主審計委員會在財務(wù)報告內(nèi)部控制方面發(fā)揮著主 要的功能，比如：監(jiān)督財務(wù)報告過程和內(nèi)部

29、控制要的功能，比如：監(jiān)督財務(wù)報告過程和內(nèi)部控制 有效性，保證財務(wù)報告的可靠新。有效性，保證財務(wù)報告的可靠新。 l2.2.審計委員會在發(fā)現(xiàn)和防止財務(wù)報告欺詐方面扮審計委員會在發(fā)現(xiàn)和防止財務(wù)報告欺詐方面扮 演著重要的角色，其職責(zé)通常被要求在公司章程演著重要的角色，其職責(zé)通常被要求在公司章程 中予以明確規(guī)定。中予以明確規(guī)定。 審計委員會的作用：審計委員會的作用： 3. 3.股東行為對財務(wù)報告內(nèi)部控制的影響股東行為對財務(wù)報告內(nèi)部控制的影響 v當(dāng)當(dāng)控股股東擔(dān)任公司的管理職務(wù)控股股東擔(dān)任公司的管理職務(wù)時，不存在所有者和時，不存在所有者和 經(jīng)營者之間的利益沖突。經(jīng)營者之間的利益沖突。 v當(dāng)當(dāng)經(jīng)營者不是控股股

30、東本人經(jīng)營者不是控股股東本人時，控股股東就有足夠動時，控股股東就有足夠動 力去監(jiān)管代理人的行為。但控股股東與其他股東的利力去監(jiān)管代理人的行為。但控股股東與其他股東的利 益并不是都一致的，控股股東侵占小股東的問題時有益并不是都一致的，控股股東侵占小股東的問題時有 發(fā)生，例如控股股東向公司委派管理人員，與管理層發(fā)生，例如控股股東向公司委派管理人員，與管理層 合謀損害中小股東的利益，還通過隧道挖掘合謀損害中小股東的利益，還通過隧道挖掘 （TunnelingTunneling）的方式侵占其他股東的利益。）的方式侵占其他股東的利益。 v當(dāng)存在利益侵占效應(yīng)時，控股股東和公司管理層為了當(dāng)存在利益侵占效應(yīng)時，

31、控股股東和公司管理層為了 掩飾其侵占行為會傾向于降低信息透明度。掩飾其侵占行為會傾向于降低信息透明度。 五、財務(wù)報告內(nèi)部控制風(fēng)險和防范五、財務(wù)報告內(nèi)部控制風(fēng)險和防范 l企業(yè)財務(wù)報告欺詐前，通常會表現(xiàn)出一些異常現(xiàn)象，企業(yè)財務(wù)報告欺詐前，通常會表現(xiàn)出一些異常現(xiàn)象， 將其稱為財務(wù)報告內(nèi)部控制失效的將其稱為財務(wù)報告內(nèi)部控制失效的風(fēng)險信號風(fēng)險信號。 l美國美國COSOCOSO委員會委員會19991999年發(fā)布了年發(fā)布了欺詐性財務(wù)報告分欺詐性財務(wù)報告分 析析，發(fā)現(xiàn)實施欺詐的公司，在欺詐前的幾個會計，發(fā)現(xiàn)實施欺詐的公司，在欺詐前的幾個會計 期間發(fā)生虧損，或者正接近損益平衡點的位置，財期間發(fā)生虧損，或者正接近

32、損益平衡點的位置，財 務(wù)困境使得這些公司有動機進行欺詐性活動。務(wù)困境使得這些公司有動機進行欺詐性活動。 財務(wù)報告風(fēng)險信號財務(wù)報告風(fēng)險信號 關(guān)鍵信號財務(wù)報告舞弊風(fēng)險 年末或季末收入激增 收入經(jīng)常在期末被操縱以達(dá)到收益目標(biāo)，包 括：未結(jié)清賬戶和提前確認(rèn)下期收入，虛假 銷售，平滑收益等 銷售增長超過行業(yè)水平 行業(yè)內(nèi)其他企業(yè)銷售下降，本企業(yè)銷售處于 增長狀態(tài)，但不能被合理證明 毛利率異常 沒有記錄全部費用、重復(fù)開出發(fā)票、虛假銷 售、產(chǎn)品質(zhì)量下降等 結(jié)賬后銷售退回增加可能意味著產(chǎn)品或服務(wù)質(zhì)量問題，虛假銷售等 應(yīng)收賬款回收期增加應(yīng)收賬款回收期顯著增加或顯著高于行業(yè)水平 存貨周轉(zhuǎn)期增加存貨周轉(zhuǎn)期增加可能意味

33、著產(chǎn)品積壓、面臨財務(wù) 困境 資產(chǎn)負(fù)債率顯著變化財務(wù)壓力是重要的舞弊風(fēng)險信號 現(xiàn)金流量如果銷售收入和盈利能力表現(xiàn)好，但經(jīng)營現(xiàn)金流 量較低或為負(fù)數(shù) 非財務(wù)業(yè)績指標(biāo)顯著變化各個行業(yè)都有其關(guān)鍵信號，關(guān)鍵信號與財務(wù)結(jié)果 顯著不一致 影響因素 考察內(nèi)容 控制環(huán)境 如何激勵管理層和員工？是否存在收益目標(biāo)的壓力； 員工理解其個人對內(nèi)部控制的責(zé)任；評價領(lǐng)導(dǎo)能力的標(biāo) 準(zhǔn)是什么；如何處理發(fā)生的錯誤？等 道德準(zhǔn)則 建立道德準(zhǔn)則并遵循；不存在違反準(zhǔn)則的情況；公司 資產(chǎn)被恰當(dāng)?shù)厥褂?關(guān)聯(lián)方交易 制定關(guān)聯(lián)方交易政策，該政策是否有效？公司是否定 期進行關(guān)聯(lián)方交易？向?qū)徲嬋藛T和董事會進行充分披露 關(guān)聯(lián)方交易情況；存在關(guān)聯(lián)方交易

34、的重要經(jīng)濟動機是否 能夠證明關(guān)聯(lián)方交易的存在？ 公司治理 董事會保持獨立性，董事會會議經(jīng)常討論潛在的問題， 董事長與管理層關(guān)系適當(dāng)；管理層對下級未施加不正當(dāng) 影響，例如從不向關(guān)鍵人員明示或暗示賬項調(diào)整 公司治理與財務(wù)報告內(nèi)部控制公司治理與財務(wù)報告內(nèi)部控制 公司治理與財務(wù)報告內(nèi)部控制公司治理與財務(wù)報告內(nèi)部控制 審計委員會 審計委員會保持獨立，并具有財會知識，準(zhǔn)確地理 解內(nèi)部控制；審計委員會積極開展活動，跟蹤內(nèi)部 和外部審計發(fā)現(xiàn)的問題，在沒有管理層參與的情況 下與審計人員會面 內(nèi)部審計 設(shè)立內(nèi)部審計部門，內(nèi)部審計章程與“最佳的實踐” 保持一致；內(nèi)部審計部門的預(yù)算由董事會或?qū)徲嬑?員會審批；內(nèi)部審計

35、的范圍涉及所有活動，如控制 評價、財務(wù)審計、經(jīng)營審計、監(jiān)督公司道德準(zhǔn)則的 遵循情況；內(nèi)部審計的建議被采納和貫徹；內(nèi)部審 計人員能夠勝任工作；能及時揭示出控制失敗從而 能采取糾正措施 舉報制度 建立了舉報制度，并與責(zé)任人保持獨立性，有足夠 的權(quán)力的經(jīng)費追究問題，舉報信息提供給管理層、 審計委員會和內(nèi)部審計部門 l有研究機構(gòu)對美國有研究機構(gòu)對美國603603個舞弊事件研究，員工舉報、個舞弊事件研究，員工舉報、 偶爾發(fā)現(xiàn)、內(nèi)部控制、內(nèi)部審計等內(nèi)部方式發(fā)現(xiàn)舞弊偶爾發(fā)現(xiàn)、內(nèi)部控制、內(nèi)部審計等內(nèi)部方式發(fā)現(xiàn)舞弊 的比例達(dá)的比例達(dá)69.8%69.8%；通過客戶舉報、匿名舉報、供應(yīng)商；通過客戶舉報、匿名舉報、供

36、應(yīng)商 舉報等外部關(guān)系人發(fā)現(xiàn)的比例達(dá)舉報等外部關(guān)系人發(fā)現(xiàn)的比例達(dá)17.6%17.6%；通過外部審；通過外部審 計、執(zhí)法檢查發(fā)現(xiàn)財務(wù)舞弊的比例只占計、執(zhí)法檢查發(fā)現(xiàn)財務(wù)舞弊的比例只占12.6%12.6% l具體分布：員工舉報發(fā)現(xiàn)具體分布：員工舉報發(fā)現(xiàn)140140個、偶爾發(fā)現(xiàn)個、偶爾發(fā)現(xiàn)100100個、內(nèi)個、內(nèi) 部控制發(fā)現(xiàn)部控制發(fā)現(xiàn)9999個、內(nèi)部審計發(fā)現(xiàn)個、內(nèi)部審計發(fā)現(xiàn)8282個，內(nèi)部方式共計個，內(nèi)部方式共計 421421；客戶舉報；客戶舉報4646個、匿名舉報個、匿名舉報3333個、供應(yīng)商舉報個、供應(yīng)商舉報2727 個、外部審計個、外部審計6767、執(zhí)法檢查、執(zhí)法檢查9 9個。個。企業(yè)在內(nèi)部控制以

37、企業(yè)在內(nèi)部控制以 之外，還應(yīng)給客戶舉報、供應(yīng)商舉報等外部關(guān)系人舉之外，還應(yīng)給客戶舉報、供應(yīng)商舉報等外部關(guān)系人舉 報創(chuàng)造條件報創(chuàng)造條件 第三節(jié)第三節(jié) 業(yè)務(wù)流程信息風(fēng)險控制業(yè)務(wù)流程信息風(fēng)險控制 l業(yè)務(wù)流程信息對于支持組織的決策與控制具業(yè)務(wù)流程信息對于支持組織的決策與控制具 有重要作用。除了解決組織中有重要作用。除了解決組織中經(jīng)營決策、協(xié)經(jīng)營決策、協(xié) 調(diào)與控制、戰(zhàn)略績效評價調(diào)與控制、戰(zhàn)略績效評價等的問題外，業(yè)務(wù)等的問題外，業(yè)務(wù) 流程信息也具有流程信息也具有分析問題、考察復(fù)雜目標(biāo)與分析問題、考察復(fù)雜目標(biāo)與 開創(chuàng)新產(chǎn)品開創(chuàng)新產(chǎn)品的作用的作用 信息系統(tǒng)信息系統(tǒng)-業(yè)務(wù)目標(biāo)業(yè)務(wù)目標(biāo) 促進企業(yè)有效實施內(nèi)部控制，

38、促進企業(yè)有效實施內(nèi)部控制，提高企業(yè)現(xiàn)代化提高企業(yè)現(xiàn)代化 管理水平，減少人為操縱因素；管理水平，減少人為操縱因素； 增強信息系統(tǒng)的安全性、可靠性和合理性以及增強信息系統(tǒng)的安全性、可靠性和合理性以及 相關(guān)信息的保密性、完整性和可用性相關(guān)信息的保密性、完整性和可用性，為建立有，為建立有 效的信息與溝通機制提供支持保障。效的信息與溝通機制提供支持保障。 信息系統(tǒng)信息系統(tǒng)-基本要求基本要求 u企業(yè)企業(yè)應(yīng)當(dāng)重視信息系統(tǒng)在內(nèi)部控制中的作用應(yīng)當(dāng)重視信息系統(tǒng)在內(nèi)部控制中的作用，根據(jù)內(nèi)部，根據(jù)內(nèi)部 控制要求，結(jié)合組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能控制要求，結(jié)合組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能 力等因素，制定

39、信息系統(tǒng)建設(shè)整力等因素，制定信息系統(tǒng)建設(shè)整體規(guī)劃，加大投入力度體規(guī)劃，加大投入力度 ，有序組織信息系統(tǒng)開發(fā)、運行與維護，優(yōu)化管理流程，有序組織信息系統(tǒng)開發(fā)、運行與維護，優(yōu)化管理流程， 防范經(jīng)營風(fēng)險，全面提升企業(yè)現(xiàn)代化管理水平。防范經(jīng)營風(fēng)險，全面提升企業(yè)現(xiàn)代化管理水平。 u企業(yè)企業(yè)應(yīng)當(dāng)指定專門機構(gòu)對信息系統(tǒng)建設(shè)實施歸口管理應(yīng)當(dāng)指定專門機構(gòu)對信息系統(tǒng)建設(shè)實施歸口管理， 明確相關(guān)單位的職責(zé)權(quán)限，建立有效工作機制。企業(yè)可委明確相關(guān)單位的職責(zé)權(quán)限，建立有效工作機制。企業(yè)可委 托專業(yè)機構(gòu)從事信息系統(tǒng)的開發(fā)、運行和維護工作。托專業(yè)機構(gòu)從事信息系統(tǒng)的開發(fā)、運行和維護工作。 u企業(yè)負(fù)責(zé)人對信息系統(tǒng)建設(shè)工作負(fù)責(zé)企

40、業(yè)負(fù)責(zé)人對信息系統(tǒng)建設(shè)工作負(fù)責(zé)。 信息系統(tǒng)信息系統(tǒng)-控制流程控制流程 制定信息系統(tǒng)制定信息系統(tǒng) 開發(fā)戰(zhàn)略規(guī)劃開發(fā)戰(zhàn)略規(guī)劃 選擇信息系統(tǒng)選擇信息系統(tǒng) 開發(fā)方式開發(fā)方式 信息系統(tǒng)的信息系統(tǒng)的 運行與維護運行與維護 系統(tǒng)終結(jié)系統(tǒng)終結(jié) 項目項目 計劃計劃 需求需求 分析分析 系統(tǒng)系統(tǒng) 上線上線 系統(tǒng)系統(tǒng) 設(shè)計設(shè)計 編程編程 測試測試 日常運行維護日常運行維護 系統(tǒng)變更系統(tǒng)變更安全管理安全管理 自行自行 開發(fā)開發(fā) 軟件產(chǎn)品選型軟件產(chǎn)品選型 和供應(yīng)商選擇和供應(yīng)商選擇 服務(wù)提供服務(wù)提供 商選擇商選擇 外購?fù)赓?調(diào)試調(diào)試 選擇外包選擇外包 服務(wù)商服務(wù)商 簽訂簽訂 外包合同外包合同 持續(xù)跟蹤評價外包持續(xù)跟蹤評價

41、外包 服務(wù)商的服務(wù)過程服務(wù)商的服務(wù)過程 業(yè)務(wù)業(yè)務(wù) 外包外包 中國中國“企業(yè)內(nèi)部控制應(yīng)用指引第企業(yè)內(nèi)部控制應(yīng)用指引第1818號號信息系統(tǒng)信息系統(tǒng)”指指 出，企業(yè)利用信息系統(tǒng)實施內(nèi)部控制至少出，企業(yè)利用信息系統(tǒng)實施內(nèi)部控制至少應(yīng)當(dāng)關(guān)注應(yīng)當(dāng)關(guān)注 下列風(fēng)險下列風(fēng)險： p一是一是信息系統(tǒng)缺乏或規(guī)劃不合理信息系統(tǒng)缺乏或規(guī)劃不合理，可能造成信息孤，可能造成信息孤 島或重復(fù)建設(shè)，導(dǎo)致企業(yè)經(jīng)營管理效率低下；島或重復(fù)建設(shè)，導(dǎo)致企業(yè)經(jīng)營管理效率低下； p二是二是系統(tǒng)開發(fā)不符合內(nèi)部控制要求系統(tǒng)開發(fā)不符合內(nèi)部控制要求，授權(quán)管理不當(dāng)，授權(quán)管理不當(dāng)， 可能導(dǎo)致無法利用信息技術(shù)實施有效控制；可能導(dǎo)致無法利用信息技術(shù)實施有效控

42、制； p三是三是系統(tǒng)運行維護和安全措施不到位系統(tǒng)運行維護和安全措施不到位，可能導(dǎo)致信，可能導(dǎo)致信 息泄漏或損，系統(tǒng)無法正常運行。息泄漏或損，系統(tǒng)無法正常運行。 信息系統(tǒng)信息系統(tǒng)-業(yè)務(wù)風(fēng)險業(yè)務(wù)風(fēng)險 1.1.信息系統(tǒng)的開發(fā)環(huán)節(jié)信息系統(tǒng)的開發(fā)環(huán)節(jié) u 企業(yè)企業(yè)應(yīng)當(dāng)根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出項目建設(shè)方案應(yīng)當(dāng)根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出項目建設(shè)方案 ，明確建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費保障和進度，明確建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費保障和進度 安排等相關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序?qū)徟髮嵤０才诺认嚓P(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序?qū)徟髮嵤?u 企業(yè)信息系統(tǒng)歸口管理部門企業(yè)信息系統(tǒng)歸口管理部門應(yīng)當(dāng)

43、組織內(nèi)部各單位提出開應(yīng)當(dāng)組織內(nèi)部各單位提出開 發(fā)要求和關(guān)鍵控制點，發(fā)要求和關(guān)鍵控制點，規(guī)范開發(fā)流程，明確系統(tǒng)設(shè)計、編規(guī)范開發(fā)流程，明確系統(tǒng)設(shè)計、編 程、安裝調(diào)試、驗收、上線等全過程的管理要求，嚴(yán)格按程、安裝調(diào)試、驗收、上線等全過程的管理要求，嚴(yán)格按 照建設(shè)開發(fā)方案、開發(fā)流程和相關(guān)要求組織開發(fā)工作。照建設(shè)開發(fā)方案、開發(fā)流程和相關(guān)要求組織開發(fā)工作。 u 方式：自行開發(fā)、外購調(diào)試、業(yè)務(wù)外包。方式：自行開發(fā)、外購調(diào)試、業(yè)務(wù)外包。 信息系統(tǒng)信息系統(tǒng)-風(fēng)險控制措施風(fēng)險控制措施 l企業(yè)應(yīng)當(dāng)根據(jù)業(yè)務(wù)性質(zhì)、重要性程度、涉密企業(yè)應(yīng)當(dāng)根據(jù)業(yè)務(wù)性質(zhì)、重要性程度、涉密 情況等確定信息系統(tǒng)的安全等級，情況等確定信息系統(tǒng)的

44、安全等級，建立不同建立不同 等級信息的授權(quán)使用制度，等級信息的授權(quán)使用制度，采用相應(yīng)技術(shù)手采用相應(yīng)技術(shù)手 段保證信息系統(tǒng)運行安全有序段保證信息系統(tǒng)運行安全有序 l企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)安全保密和泄密責(zé)任安全保密和泄密責(zé)任 追究制度追究制度 l委托專業(yè)機構(gòu)進行系統(tǒng)運行與維護管理委托專業(yè)機構(gòu)進行系統(tǒng)運行與維護管理的，的， 應(yīng)當(dāng)審查該機構(gòu)的資質(zhì)，并與其簽訂服務(wù)合應(yīng)當(dāng)審查該機構(gòu)的資質(zhì)，并與其簽訂服務(wù)合 同和保密協(xié)議。企業(yè)應(yīng)當(dāng)采取安裝安全軟件同和保密協(xié)議。企業(yè)應(yīng)當(dāng)采取安裝安全軟件 等措施防范信息系統(tǒng)受到病毒等惡意軟件的等措施防范信息系統(tǒng)受到病毒等惡意軟件的 感染和破壞感染和破壞 2.信

45、息系統(tǒng)的運行與維護環(huán)節(jié)信息系統(tǒng)的運行與維護環(huán)節(jié) l企業(yè)應(yīng)當(dāng)企業(yè)應(yīng)當(dāng)建立用戶管理制度，建立用戶管理制度，加強對重要加強對重要 業(yè)務(wù)系統(tǒng)的訪問權(quán)限管理，定期審閱系統(tǒng)業(yè)務(wù)系統(tǒng)的訪問權(quán)限管理，定期審閱系統(tǒng) 賬號，避免授權(quán)不當(dāng)或存在非授權(quán)賬號，賬號，避免授權(quán)不當(dāng)或存在非授權(quán)賬號， 禁止不相容職務(wù)用戶賬號的交叉操作禁止不相容職務(wù)用戶賬號的交叉操作 l企業(yè)應(yīng)當(dāng)綜合利用防火墻、路由器等網(wǎng)絡(luò)企業(yè)應(yīng)當(dāng)綜合利用防火墻、路由器等網(wǎng)絡(luò) 設(shè)備，漏洞掃描、入侵檢測等軟件技術(shù)以設(shè)備，漏洞掃描、入侵檢測等軟件技術(shù)以 及遠(yuǎn)程訪問安全策略等手段，及遠(yuǎn)程訪問安全策略等手段，加強網(wǎng)絡(luò)安加強網(wǎng)絡(luò)安 全，防范來自網(wǎng)絡(luò)的攻擊和非法侵入全，防

46、范來自網(wǎng)絡(luò)的攻擊和非法侵入 l企業(yè)對于通過企業(yè)對于通過網(wǎng)絡(luò)傳輸?shù)纳婷芑蜿P(guān)鍵數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)纳婷芑蜿P(guān)鍵數(shù)據(jù)， 應(yīng)當(dāng)采取加密措施，確保信息傳遞的保密性、應(yīng)當(dāng)采取加密措施，確保信息傳遞的保密性、 準(zhǔn)確性和完整性準(zhǔn)確性和完整性 l企業(yè)應(yīng)當(dāng)企業(yè)應(yīng)當(dāng)建立系統(tǒng)數(shù)據(jù)定期備份制度建立系統(tǒng)數(shù)據(jù)定期備份制度，明確，明確 備份范圍、頻度、方法、責(zé)任人、存放地點、備份范圍、頻度、方法、責(zé)任人、存放地點、 有效性檢查等內(nèi)容有效性檢查等內(nèi)容 l企業(yè)應(yīng)當(dāng)加強服務(wù)器等關(guān)鍵信息企業(yè)應(yīng)當(dāng)加強服務(wù)器等關(guān)鍵信息設(shè)備的管理設(shè)備的管理， 建立良好的物理環(huán)境，指定專人負(fù)責(zé)檢查，建立良好的物理環(huán)境，指定專人負(fù)責(zé)檢查， 及時處理異常情況及時處理異

47、常情況 l未經(jīng)授權(quán)，任何人不得接觸關(guān)鍵信息設(shè)備未經(jīng)授權(quán)，任何人不得接觸關(guān)鍵信息設(shè)備 案例：海空物流公司信息系統(tǒng)案例：?？瘴锪鞴拘畔⑾到y(tǒng) ?？瘴锪鞴就ㄟ^海空物流公司通過GPSGPS（全球衛(wèi)星系統(tǒng)），實現(xiàn)（全球衛(wèi)星系統(tǒng)），實現(xiàn) 了對所有運輸車輛了對所有運輸車輛2424小時監(jiān)控，所有倉庫安小時監(jiān)控，所有倉庫安 裝了裝了CCTVCCTV監(jiān)視系統(tǒng)，對出入倉庫的人員實行監(jiān)視系統(tǒng)，對出入倉庫的人員實行 指紋身份識別方式，對倉庫中進出和存放的指紋身份識別方式，對倉庫中進出和存放的 貨物實行條形碼管理。貨物實行條形碼管理。 通過全程動態(tài)監(jiān)控對供應(yīng)鏈上每個成員的信息、通過全程動態(tài)監(jiān)控對供應(yīng)鏈上每個成員的信息、

48、 行為和服務(wù)結(jié)果檢查，鑒別出整個供應(yīng)鏈上行為和服務(wù)結(jié)果檢查，鑒別出整個供應(yīng)鏈上 的冗余行為和非增值行為。的冗余行為和非增值行為。 為保證信息系統(tǒng)的安全，對系統(tǒng)的制度嚴(yán)格執(zhí)行，為保證信息系統(tǒng)的安全，對系統(tǒng)的制度嚴(yán)格執(zhí)行， 每月都要進行系統(tǒng)準(zhǔn)入核對（每月都要進行系統(tǒng)準(zhǔn)入核對（system system access reconciliationaccess reconciliation）。）。 l一、財務(wù)報告內(nèi)部控制案例一、財務(wù)報告內(nèi)部控制案例 帕瑪拉特是意大利第八大企業(yè)集團帕瑪拉特是意大利第八大企業(yè)集團, ,以生產(chǎn)和以生產(chǎn)和 銷售牛奶、果汁和奶制品等為主，是意乳品業(yè)的巨銷售牛奶、果汁和奶制品等為

49、主，是意乳品業(yè)的巨 頭。但因無力填補頭。但因無力填補145145億歐元的財務(wù)黑洞，億歐元的財務(wù)黑洞，20032003年年 1212月月2727日，意大利帕爾馬地方破產(chǎn)法院批準(zhǔn)了該公日，意大利帕爾馬地方破產(chǎn)法院批準(zhǔn)了該公 司提出的破產(chǎn)保護申請。帕瑪拉特是典型的家族型司提出的破產(chǎn)保護申請。帕瑪拉特是典型的家族型 企業(yè)，公司創(chuàng)始人卡利斯托企業(yè)，公司創(chuàng)始人卡利斯托. .坦齊（坦齊（Calisto TanziCalisto Tanzi） 的家族公司擁有帕瑪拉特的家族公司擁有帕瑪拉特51%51%的股份。帕瑪拉特的的股份。帕瑪拉特的 1313人董事會中，沒有任何人獨立于坦齊家族。集中人董事會中，沒有任何人獨

50、立于坦齊家族。集中 的權(quán)力減弱了財務(wù)報告內(nèi)部控制，其內(nèi)部審計人員的權(quán)力減弱了財務(wù)報告內(nèi)部控制，其內(nèi)部審計人員 波契向檢察官承認(rèn)偽造了對美洲銀行近波契向檢察官承認(rèn)偽造了對美洲銀行近4040億美元虛億美元虛 假賬目的確認(rèn)函。假賬目的確認(rèn)函。 第四節(jié)第四節(jié) 信息傳遞與信息風(fēng)險控制案例信息傳遞與信息風(fēng)險控制案例 l 由于缺乏健全的財務(wù)制度，帕瑪拉特沒有做到由于缺乏健全的財務(wù)制度，帕瑪拉特沒有做到 財務(wù)統(tǒng)一管理。據(jù)財務(wù)統(tǒng)一管理。據(jù)金融時報金融時報報道，集團擁有報道，集團擁有 170170家分支機構(gòu)，很多分公司以及開曼群島的子家分支機構(gòu)，很多分公司以及開曼群島的子 公司之間都有現(xiàn)金轉(zhuǎn)賬公司之間都有現(xiàn)金轉(zhuǎn)賬

51、 l多年的系統(tǒng)性造假行為導(dǎo)致帕瑪拉特賬面上有幾多年的系統(tǒng)性造假行為導(dǎo)致帕瑪拉特賬面上有幾 十億歐元不知所蹤。如美洲銀行在十億歐元不知所蹤。如美洲銀行在20032003年年1212月月1919 日稱，帕瑪拉特集團在開曼群島的分支機構(gòu)日稱，帕瑪拉特集團在開曼群島的分支機構(gòu) BonlatBonlat金融公司在該銀行賬戶上的款項并不存在，金融公司在該銀行賬戶上的款項并不存在， 而帕瑪拉特提供的一份虛假證明文件稱該公司而帕瑪拉特提供的一份虛假證明文件稱該公司 20022002年年1212月月3131日有一筆日有一筆39.539.5億歐元的流動資金億歐元的流動資金 l財務(wù)制度的欠缺導(dǎo)致帕瑪拉特集團高達(dá)財務(wù)

52、制度的欠缺導(dǎo)致帕瑪拉特集團高達(dá)100100億億 歐元的債務(wù)總額，其中歐元的債務(wù)總額，其中1/31/3為意大利的銀行擁為意大利的銀行擁 有，其余則由債券持有人和國外銀行持有；有，其余則由債券持有人和國外銀行持有； 帕瑪拉特不但沒有利用債務(wù)使公司獲得財務(wù)帕瑪拉特不但沒有利用債務(wù)使公司獲得財務(wù) 杠桿收益，反而因過高的債務(wù)總額被迫宣布杠桿收益，反而因過高的債務(wù)總額被迫宣布 破產(chǎn)破產(chǎn) l普華永道會計師事務(wù)所的審計師在結(jié)束清查普華永道會計師事務(wù)所的審計師在結(jié)束清查 帕瑪拉特賬目的第一階段工作后，分析得出帕瑪拉特賬目的第一階段工作后，分析得出 結(jié)論，公司實際負(fù)債額遠(yuǎn)遠(yuǎn)大于帕瑪拉特管結(jié)論，公司實際負(fù)債額遠(yuǎn)遠(yuǎn)大

53、于帕瑪拉特管 理層此前上報的金額理層此前上報的金額 l普華永道對帕瑪拉特的真實財務(wù)狀況出具的報告普華永道對帕瑪拉特的真實財務(wù)狀況出具的報告 稱，截至稱，截至20032003年年9 9月月3030日，帕瑪拉特凈負(fù)債額為日，帕瑪拉特凈負(fù)債額為 143143億歐元，而不是該公司先前所稱的億歐元，而不是該公司先前所稱的1818億歐元億歐元 l在截至在截至20032003年年9 9月月3030日的日的9 9個月，帕瑪拉特收入為個月，帕瑪拉特收入為 4040億歐元，而不是其公布的億歐元，而不是其公布的5454億歐元。利息、稅億歐元。利息、稅 項、折舊和攤銷前的利潤為項、折舊和攤銷前的利潤為1.211.21

54、億歐元，而不是億歐元，而不是 先前所公布的先前所公布的6.516.51億歐元，公司的流動資產(chǎn)可以億歐元，公司的流動資產(chǎn)可以 “忽略不計忽略不計” 2002 2002年年2 2月月5 5日，第一銀行（日，第一銀行（AllfirstAllfirst）揭露了）揭露了7.57.5 億美元外幣交易虧損。第一銀行最先發(fā)現(xiàn)該行外匯交易億美元外幣交易虧損。第一銀行最先發(fā)現(xiàn)該行外匯交易 員魯斯納克（員魯斯納克（John RusnakJohn Rusnak）經(jīng)手的外幣交易有問題是）經(jīng)手的外幣交易有問題是 在在20022002年年1 1月初。當(dāng)時，該銀行正在對資產(chǎn)部進行例行月初。當(dāng)時，該銀行正在對資產(chǎn)部進行例行 管

55、理審核。恰在此時，魯斯納克要求銀行提供巨額現(xiàn)金管理審核。恰在此時，魯斯納克要求銀行提供巨額現(xiàn)金 支持他的交易戰(zhàn)略，銀行高級經(jīng)理人員認(rèn)為他要求的錢支持他的交易戰(zhàn)略，銀行高級經(jīng)理人員認(rèn)為他要求的錢 款數(shù)額巨大，產(chǎn)生懷疑并開始調(diào)查。在一個多月的調(diào)查款數(shù)額巨大，產(chǎn)生懷疑并開始調(diào)查。在一個多月的調(diào)查 期間，魯斯納克一直給予合作，直到調(diào)查人員發(fā)現(xiàn)大量期間，魯斯納克一直給予合作，直到調(diào)查人員發(fā)現(xiàn)大量 偽造的交易文件后，這起偽造的交易文件后，這起7.57.5億美元資產(chǎn)不翼而飛的欺億美元資產(chǎn)不翼而飛的欺 詐案方才被揭露出來。詐案方才被揭露出來。 二、外幣交易信息控制聯(lián)合愛爾蘭銀行（二、外幣交易信息控制聯(lián)合愛爾蘭

56、銀行（AIB） 的外幣交易欺詐的外幣交易欺詐 早在早在19981998年，年，AIBAIB就安裝了從英國就安裝了從英國MisysMisys進口的軟件，進口的軟件， 它能控制貨幣交易的前后臺（在母公司它能控制貨幣交易的前后臺（在母公司AIBAIB上安裝后端軟上安裝后端軟 件，而其他子公司安裝前臺軟件），以電子化記錄前端柜件，而其他子公司安裝前臺軟件），以電子化記錄前端柜 臺的貨幣交易，后端軟件追蹤所有交易記錄。該軟件能找臺的貨幣交易，后端軟件追蹤所有交易記錄。該軟件能找 出假交易、超過限額交易及未核準(zhǔn)交易。假如有任何犯規(guī)出假交易、超過限額交易及未核準(zhǔn)交易。假如有任何犯規(guī) 者，它都會自動地發(fā)警報給

57、經(jīng)理人員。一位前者，它都會自動地發(fā)警報給經(jīng)理人員。一位前AIBAIB外貨交外貨交 易員在調(diào)查時說，易員在調(diào)查時說，“AIBAIB紐約辦公室對其員工的控制非常紐約辦公室對其員工的控制非常 之嚴(yán)。假如你超過限額一毛錢，之嚴(yán)。假如你超過限額一毛錢，AIBAIB的信用專員都會知道，的信用專員都會知道， 而即使是在限額內(nèi)的交易，只要有不尋常之處，我都會接而即使是在限額內(nèi)的交易，只要有不尋常之處，我都會接 到電話。到電話。” ” AIBAIB還使用了還使用了CrossmarCrossmar匹配服務(wù)系統(tǒng)，該系統(tǒng)匹配服務(wù)系統(tǒng)，該系統(tǒng) 能在兩分鐘以內(nèi)自動核對能在兩分鐘以內(nèi)自動核對 AIB AIB雖然安裝了后端軟

58、件，但在第一銀行沒有安裝雖然安裝了后端軟件，但在第一銀行沒有安裝 前臺軟件，因此無法進行直接處理，前端的交易信息前臺軟件，因此無法進行直接處理，前端的交易信息 是用人工方式送到后端的。而且第一銀行從未用過是用人工方式送到后端的。而且第一銀行從未用過 CrossmarCrossmar系統(tǒng)驗證交易，而是依賴電話來確認(rèn)的。系統(tǒng)驗證交易，而是依賴電話來確認(rèn)的。 但魯斯納克避開了控制系統(tǒng)的防護，他偽裝交易但魯斯納克避開了控制系統(tǒng)的防護，他偽裝交易 驗證，即讓這些交易看起來像真的。后端辦公室依賴驗證，即讓這些交易看起來像真的。后端辦公室依賴 于魯斯納克每次交易時提供的人工信息，魯斯納克在于魯斯納克每次交易

59、時提供的人工信息，魯斯納克在 不使用前臺軟件的情況下，通過其他軟件輸入交易，不使用前臺軟件的情況下，通過其他軟件輸入交易， 這樣由于軟件不匹配，后端人員無法發(fā)現(xiàn)其中的問題。這樣由于軟件不匹配，后端人員無法發(fā)現(xiàn)其中的問題。 經(jīng)常給偽造的期權(quán)交易一天的到期日而不被人發(fā)經(jīng)常給偽造的期權(quán)交易一天的到期日而不被人發(fā) 覺，因為第一銀行的報表不會列出一天之內(nèi)到期的期覺，因為第一銀行的報表不會列出一天之內(nèi)到期的期 權(quán)交易數(shù)據(jù)。同時，他還私下說服后端辦公室不要確權(quán)交易數(shù)據(jù)。同時，他還私下說服后端辦公室不要確 認(rèn)期權(quán)交易雙方，因為并未有凈現(xiàn)金的轉(zhuǎn)移。認(rèn)期權(quán)交易雙方，因為并未有凈現(xiàn)金的轉(zhuǎn)移。 AIB AIB指定一外

60、部高級專家來主持對損失原因的調(diào)指定一外部高級專家來主持對損失原因的調(diào) 查，包括違反內(nèi)部控制及可能的內(nèi)外勾結(jié)。調(diào)查報查，包括違反內(nèi)部控制及可能的內(nèi)外勾結(jié)。調(diào)查報 告將陳述事實，解釋政策及控制效力，提出改進意告將陳述事實，解釋政策及控制效力，提出改進意 見。見。 魯斯納克偽造的期權(quán)與東京、新加坡的主要國際魯斯納克偽造的期權(quán)與東京、新加坡的主要國際 性金融分支機構(gòu)有關(guān)，按規(guī)定要求員工在晚上進行性金融分支機構(gòu)有關(guān)，按規(guī)定要求員工在晚上進行 電話確認(rèn)，他說服員工不必費事進行確認(rèn)，還經(jīng)常電話確認(rèn)，他說服員工不必費事進行確認(rèn)，還經(jīng)常 在當(dāng)天結(jié)賬時將當(dāng)日所有的單筆交易歸整成一筆交在當(dāng)天結(jié)賬時將當(dāng)日所有的單筆交