现代企业内部控制的概念(67页PPT).pptx

《现代企业内部控制的概念(67页PPT).pptx》由会员分享，可在线阅读，更多相关《现代企业内部控制的概念(67页PPT).pptx（67页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息技术环境下企业内部控制信息技术环境下企业内部控制 任何企业在其经营活动中都会面临各种任何企业在其经营活动中都会面临各种各样的风险，企业的发展过程就是不断与各样的风险，企业的发展过程就是不断与各种风险打交道并降低和避免各种风险的各种风险打交道并降低和避免各种风险的过程。而信息技术的广泛应用，使企业的过程。而信息技术的广泛应用，使企业的生产、经营与管理模式产生了巨大的变化，生产、经营与管理模式产生了巨大的变化，一方面信息技术应用为企业增强了竞争力一方面信息技术应用为企业增强了竞争力的同时带来了新的风险，另一方面信息技的同时带来了新的风险，另一方面信息技术也能为控制风险提供新的手段。作为企术也能

2、为控制风险提供新的手段。作为企业管理重要组成部分的内部控制必须进行业管理重要组成部分的内部控制必须进行改革，以适应新的情况，本章就来讨论这改革，以适应新的情况，本章就来讨论这些问题。些问题。第一节第一节 现代企业面临的风险现代企业面临的风险 与内部控制的重要性与内部控制的重要性 控制是针对风险而设立的，风险是导致控制是针对风险而设立的，风险是导致一个组织或机构发生损失的可能性，而控一个组织或机构发生损失的可能性，而控制则是降低或减少风险的活动。风险损失制则是降低或减少风险的活动。风险损失的大小是该风险事件发生的概率与该事件的大小是该风险事件发生的概率与该事件可能造成的损失的乘积。风险不仅仅是由

3、可能造成的损失的乘积。风险不仅仅是由于缺少控制而产生的，它是任何组织的经于缺少控制而产生的，它是任何组织的经营活动中固有的，其原因多种多样。控制营活动中固有的，其原因多种多样。控制可以减少风险，但不能消除其起因。可以减少风险，但不能消除其起因。一、企业在运营过程中面临的传统风险一、企业在运营过程中面临的传统风险 过高的成本；不足的收入；资产的流失；过高的成本；不足的收入；资产的流失；会计的失误；经营的中断；违规的处罚；会计的失误；经营的中断；违规的处罚；竞争的弱势；舞弊与盗用；白领犯罪；法竞争的弱势；舞弊与盗用；白领犯罪；法人犯罪。见图人犯罪。见图9-1 不足的收入过高的成本资产流失经营的中断

4、舞弊与窃取会计的失误竞争的弱势违规被处罚常见的风险常见的风险图图9-1 企业面临的传统风险企业面临的传统风险常见的常见的传统风险传统风险法人犯罪白领犯罪白领犯罪白领犯罪 是指管理层犯罪，这类犯罪有别于其他非法活动，是指管理层犯罪，这类犯罪有别于其他非法活动，它发生在犯罪人的工作中，当管理人员通过某些欺它发生在犯罪人的工作中，当管理人员通过某些欺骗手段将资产转移用途或隐瞒时，白领犯罪就发生骗手段将资产转移用途或隐瞒时，白领犯罪就发生了。如会计作假账就是白领犯罪行为。了。如会计作假账就是白领犯罪行为。法人犯罪。法人犯罪。是指表面上看只是对企业或组织有利，不是对犯罪者个是指表面上看只是对企业或组织有

5、利，不是对犯罪者个人有利的白领犯罪，而实际上犯罪者个人是间接受益的。人有利的白领犯罪，而实际上犯罪者个人是间接受益的。法人犯罪给组织带来的风险可能更大。法人犯罪给组织带来的风险可能更大。二、信息化后企业面临的新风险二、信息化后企业面临的新风险1.计算机系统消除了手工的大部分交易处理痕迹计算机系统消除了手工的大部分交易处理痕迹2.计算机系统中交易的授权和执行与手工系统有很计算机系统中交易的授权和执行与手工系统有很大不同大不同3.重新安排职责分离重新安排职责分离 4.对信息系统内控的依赖性，增加了差错多次发生对信息系统内控的依赖性，增加了差错多次发生的可能性的可能性5.更严峻的风险更严峻的风险 数

6、据集中存储和管理，一但出现硬件故障，比如主机系统损坏，可能导数据集中存储和管理，一但出现硬件故障，比如主机系统损坏，可能导致数据丢失甚至造成毁灭性的灾难。致数据丢失甚至造成毁灭性的灾难。业务数据和财务数据集成以后，内部管业务数据和财务数据集成以后，内部管理上权限控制是重新分配的，新的控制措施跟不上，就有可能造成控制的漏洞。理上权限控制是重新分配的，新的控制措施跟不上，就有可能造成控制的漏洞。在信息技术环境下，对技术人员尤其是系统管理人员的控制问题变得异常突在信息技术环境下，对技术人员尤其是系统管理人员的控制问题变得异常突出。这些人员在极端情况下，可能会造成机器毁坏或整个系统瘫痪。出。这些人员在

7、极端情况下，可能会造成机器毁坏或整个系统瘫痪。信息在信息在互联网上传输，产生了易泄露的风险，还有各级权限密码保存、改动不当甚或互联网上传输，产生了易泄露的风险，还有各级权限密码保存、改动不当甚或丢失都可能造成重大损失。丢失都可能造成重大损失。信息技术是双刃剑，有正面的价值，也有负面的影信息技术是双刃剑，有正面的价值，也有负面的影响。我们的任务就是千方百计发挥和利用信息技术的响。我们的任务就是千方百计发挥和利用信息技术的正面效用而减少或避免其负面影响，这就为内部控制正面效用而减少或避免其负面影响，这就为内部控制提出了新的挑战，我们必须认识这一点。好在信息技提出了新的挑战，我们必须认识这一点。好在

8、信息技术在内部控制工作中也可以大有作为，甚至可以帮助术在内部控制工作中也可以大有作为，甚至可以帮助完成人工不可能实现的控制任务，这完全取决于我们完成人工不可能实现的控制任务，这完全取决于我们的研究与探索。企业信息化完全改变了原来业务处理的研究与探索。企业信息化完全改变了原来业务处理的模式、秩序、稳定性和安全性，需要我们建立一个的模式、秩序、稳定性和安全性，需要我们建立一个全新的信息技术环境下的以信息技术为工具的内部控全新的信息技术环境下的以信息技术为工具的内部控制体系，也就是要建立一个基于信息技术的具有稳定制体系，也就是要建立一个基于信息技术的具有稳定性、安全性的新的业务处理模式。性、安全性的

9、新的业务处理模式。第二节第二节 信息技术环境下信息技术环境下 企业内部控制的一般概念企业内部控制的一般概念一、内部控制的基本概念一、内部控制的基本概念 美国美国COSO委员会在内部控制委员会在内部控制整整体框架中将内部控制定义为：内部控制体框架中将内部控制定义为：内部控制是由企业董事会、经理层和其他员工实施是由企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提性、相关法令的遵循性等目标的达成而提供合理保证的过程。对此定义我们可作如供合理保证的过程。对此定义我们可作如下理解：下理解：1.内部控制是一个流程，

10、受公司董事会、管内部控制是一个流程，受公司董事会、管理层和员工行为的影响。内部控制流程中理层和员工行为的影响。内部控制流程中一切活动的设计，都必须始终围绕实现下一切活动的设计，都必须始终围绕实现下列三个目标提供合理的保证：列三个目标提供合理的保证：经营的效果与效率；经营的效果与效率；财务报告的真实与可靠；财务报告的真实与可靠；经营活动的合法与合规。经营活动的合法与合规。2.内部控制的实施基于两个前提：内部控制的实施基于两个前提：第一个前提是第一个前提是责任责任，管理层和董事会有责任建立并维持管理层和董事会有责任建立并维持一个有效的内部控制流程。虽然具体的控制活动的责任由一个有效的内部控制流程。

11、虽然具体的控制活动的责任由某些下属承担，但最终的责任仍属于最高管理层和董事会。某些下属承担，但最终的责任仍属于最高管理层和董事会。尽管内部审计师最熟系内部控制的知识，但内部控制并不尽管内部审计师最熟系内部控制的知识，但内部控制并不是由审计师负责，而是由管理层负责。审计师负责为管理是由审计师负责，而是由管理层负责。审计师负责为管理层提供有关内部控制如何运行的信息。层提供有关内部控制如何运行的信息。第二个前提是第二个前提是合理合的保证合理合的保证，这与控制的成本和收益，这与控制的成本和收益有关，精明的管理层不会让花在控制上的钱超过从有关，精明的管理层不会让花在控制上的钱超过从控制上所能得到的收益。

12、即控制的合算性。控制上所能得到的收益。即控制的合算性。3.内部控制还要受到外部法制环境和企业经内部控制还要受到外部法制环境和企业经济环境的影响济环境的影响任何企业都受制于国家发布的相关而具体的法律法任何企业都受制于国家发布的相关而具体的法律法规。一个企业必须保证它的所有生产经营活动符合规。一个企业必须保证它的所有生产经营活动符合国家颁布并已生效了的相关法律法规。否则，违规国家颁布并已生效了的相关法律法规。否则，违规违法都会遭受处罚，形成经济损失。内部控制就是违法都会遭受处罚，形成经济损失。内部控制就是保证企业活动符合相关的法律法规的活动。保证企业活动符合相关的法律法规的活动。企业的内部控制流程

13、将会随着某些情况的不同而改企业的内部控制流程将会随着某些情况的不同而改变，这些情况包括企业的规模，组织结构，所有者变，这些情况包括企业的规模，组织结构，所有者特征，传送、处理、保存和评价信息的方法、法律特征，传送、处理、保存和评价信息的方法、法律法规的要求，经营的多样性和复杂程度等。比如，法规的要求，经营的多样性和复杂程度等。比如，小型企业中就可能没有足够的雇员来做到和大企业小型企业中就可能没有足够的雇员来做到和大企业同样程度的职责分离。同样程度的职责分离。二、信息技术环境下的企业内部控制的目标二、信息技术环境下的企业内部控制的目标二、信息技术环境下的企业内部控制的目标二、信息技术环境下的企业

14、内部控制的目标 确定内部控制的目标是管理过程的一个重要组成部分，确定内部控制的目标是管理过程的一个重要组成部分，是搞好内部控制的先决条件。内部控制的目标决定了内是搞好内部控制的先决条件。内部控制的目标决定了内部控制的要素、手段和具体实施办法。控制是为了减少部控制的要素、手段和具体实施办法。控制是为了减少风险，在对企业的风险分析中，常常结合经营活动的四风险，在对企业的风险分析中，常常结合经营活动的四个一般循环来进行，每个交易循环都可能存在风险，那个一般循环来进行，每个交易循环都可能存在风险，那么管理层就应该明确每个交易循环的具体控制目标，这么管理层就应该明确每个交易循环的具体控制目标，这些控制目

15、标为分析风险提供了一个基础，便于找到风险些控制目标为分析风险提供了一个基础，便于找到风险并评估其大小，从而有针对性地设计控制措施。图并评估其大小，从而有针对性地设计控制措施。图9-2 列出了每个交易循环的典型控制目标。列出了每个交易循环的典型控制目标。典型的控制目标典型的控制目标收入循环收入循环顾客应该是按管理层的标准认可的所提供的货物和服务是按管理层的标准认可的所提供的货物的装运应以给顾客的账单为结束给顾客的通知单应被准确分类、总结和报告支出循环支出循环供货商应该是按管理层的标准认可的雇员应该是按管理层的标准录取的员工工资、费用记录应该是按管理层的标准批准的报酬率和工资扣减应该是按管理层的标

16、准认可的付供应商的货款应该被批准、适当的分类、总结并报告生产循环生产循环生产计划应该是按管理层的标准认可的产品的生产成本应该被批准、适当的分类、总结并报告财务循环财务循环债务记录的金额及时间应该是按管理层的标准认可的接近现金及证券的行为应该是按管理层的标准批准的图图9-2 交易交易循环中典型的控制目标三、内部控制的五大要素三、内部控制的五大要素 一个企业的内部控制过程包括五个要素：控一个企业的内部控制过程包括五个要素：控制环境，风险评估，控制活动，信息与沟通，制环境，风险评估，控制活动，信息与沟通，监督。监督。COSOCOSO将内部控制要素以一个金字塔结将内部控制要素以一个金字塔结构提出，其中

17、控制环境作为金字塔的最底部，构提出，其中控制环境作为金字塔的最底部，风险评估和控制活动位于上一层次，信息和风险评估和控制活动位于上一层次，信息和沟通接近顶部，监督处于最顶端。如图沟通接近顶部，监督处于最顶端。如图9-39-3所所示。示。控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督内内 部部 控控 制制图图9-3 9-3 内部控制五要素内部控制五要素（一）（一）控制环境控制环境 一个组织的控制环境是控制系统中其他要素的一个组织的控制环境是控制系统中其他要素的基础基础。控制环境是控制环境是各种因素各种因素共同作用的结果，这些因素可以共同作用的结果，这些因素可以增强或

18、弱化内控措施的实施效果。因此，增强或弱化内控措施的实施效果。因此，控制环境决控制环境决定着组织的整体风格，左右着员工的控制意识，直接定着组织的整体风格，左右着员工的控制意识，直接影响控制效果。控制环境包括企业文化；包括企业的影响控制效果。控制环境包括企业文化；包括企业的经营重点和经营目标；包括管理层的管理哲学和经营经营重点和经营目标；包括管理层的管理哲学和经营风格；包括企业实施的权责分配方法和执行的人事政风格；包括企业实施的权责分配方法和执行的人事政策；还包括员工的职业道德、敬业精神和个人才能等。策；还包括员工的职业道德、敬业精神和个人才能等。构成控制环境的主要因素：构成控制环境的主要因素：道

19、德准则道德准则企业文化企业文化敬业精神敬业精神管理哲学管理哲学组织结构组织结构董事会及下属委员会的职能董事会及下属委员会的职能权责分配方式权责分配方式人力资源政策与实施人力资源政策与实施l 道德准则道德准则 潜在的道德违规对企业意味着重大的损失潜在的道德违规对企业意味着重大的损失风险。这些风险可能是缴纳巨额罚金，也风险。这些风险可能是缴纳巨额罚金，也可能是企业行政官员被起诉。比如，美国可能是企业行政官员被起诉。比如，美国一家利用氰化物从胶卷中提取银的公司，一家利用氰化物从胶卷中提取银的公司，曾导致一名员工死亡。该公司被指控蓄意曾导致一名员工死亡。该公司被指控蓄意营造危险工作环境，三位行政官员被

20、判谋营造危险工作环境，三位行政官员被判谋杀罪定刑杀罪定刑25年监禁。年监禁。l 企业文化企业文化 每个企业都有自己的企业文化，企业文化与全体员工每个企业都有自己的企业文化，企业文化与全体员工的一般信念、追求、价值取向、行为和态度有关。企业的一般信念、追求、价值取向、行为和态度有关。企业文化可能促进也可能阻碍企业的道德行为，进而影响内文化可能促进也可能阻碍企业的道德行为，进而影响内控的效果。如果企业文化存在严重问题，内控效果就会控的效果。如果企业文化存在严重问题，内控效果就会大打折扣，一个健康的企业文化会使内控事半功倍。大打折扣，一个健康的企业文化会使内控事半功倍。塑造一种具有高尚道德行为的企业

21、文化十分困难，它塑造一种具有高尚道德行为的企业文化十分困难，它需要员工有较高的受教育程度，有较高的觉悟和组织纪需要员工有较高的受教育程度，有较高的觉悟和组织纪律性；需要管理者具有莫大的人文关怀和公平、公正而律性；需要管理者具有莫大的人文关怀和公平、公正而又艺术的执政风格。又艺术的执政风格。l 敬业精神敬业精神 任何内部控制过程要想发挥作用，员工任何内部控制过程要想发挥作用，员工的能力都是必不可少的。员工的品质、能的能力都是必不可少的。员工的品质、能力和敬业精神保证了控制过程的执行。若力和敬业精神保证了控制过程的执行。若没有具有足够能力和起码觉悟的员工，任没有具有足够能力和起码觉悟的员工，任何控

22、制过程都不能发挥作用。何控制过程都不能发挥作用。l管理哲学管理哲学 一个组织中的有效控制基于并且依赖于一个组织中的有效控制基于并且依赖于组织的管理风格。如果管理层相信控制是组织的管理风格。如果管理层相信控制是重要的，那么他就应该实行监督使得控制重要的，那么他就应该实行监督使得控制措施得到有效执行。如果管理层只把控制措施得到有效执行。如果管理层只把控制的重要性停留在口头上，久而久之其下属的重要性停留在口头上，久而久之其下属会觉察到管理层的真实态度会觉察到管理层的真实态度说说而已，说说而已，从而使控制的目标得不到实现。从而使控制的目标得不到实现。ffffl 组织结构组织结构一个组织的结构是由这个组

23、织中的授权和责任类型决定的。如下图。一个组织的结构是由这个组织中的授权和责任类型决定的。如下图。总总 裁裁生产副总裁内部审计长主计长销售副总裁财务主管管理副总裁生产控制采购装运收获存储生产成品存货控制预算纳税筹划会计经理计时开单应收账款应付帐款成本会计薪酬费用分类账总分类账促销顾客服务销售订单人事效益经营办公室收发室信贷出纳保险 图图9-4 组织结构图组织结构图 图中开单人对会计经理负责，会计经理对图中开单人对会计经理负责，会计经理对会计主管负责，会计主管则对总裁负责。会计主管负责，会计主管则对总裁负责。一个企业需要建立科学而有效的组织结构，一个企业需要建立科学而有效的组织结构，使得权责分明，

24、沟通渠道规范。如图中所使得权责分明，沟通渠道规范。如图中所示，开账单的人不应该把行动的结果向生示，开账单的人不应该把行动的结果向生产副总裁报告，否则就是非正常的组织结产副总裁报告，否则就是非正常的组织结构。构。l董事会及委员会的职能董事会及委员会的职能 一个组织的董事会是连接组织的所有者一个组织的董事会是连接组织的所有者股东股东和组织和组织的经营的经营管理层管理层的纽带。股东们通过董事会及其下设的委的纽带。股东们通过董事会及其下设的委员会对管理层进行控制。董事会通常将专有的职能售给各员会对管理层进行控制。董事会通常将专有的职能售给各种各样的委员会，其中最为重要的就是种各样的委员会，其中最为重要

25、的就是审计委员会审计委员会。审。审计委员会应独立于组织的管理层，主要由董事会以计委员会应独立于组织的管理层，主要由董事会以外的人员组成，其职能是对组织的财务报告负责，外的人员组成，其职能是对组织的财务报告负责，包括遵守现行的法律法规。审计委员会任命执业会包括遵守现行的法律法规。审计委员会任命执业会计师，与他们讨论审计的范围和性质，并评价该组计师，与他们讨论审计的范围和性质，并评价该组织的编制的财务报告。为保持内部审计的独立性，织的编制的财务报告。为保持内部审计的独立性，内部审计应直接向董事会下属的审计委员会报告。内部审计应直接向董事会下属的审计委员会报告。见图见图9-5 董事会董事会下属的审计

26、委员会总裁内部审计其他人员主计长图图9-5 审计委员会审计委员会l l 权责分配方式权责分配方式 一个组织的权责分配方式取决于组织内一个组织的权责分配方式取决于组织内部的管理风格和经营模式。如果只有口头部的管理风格和经营模式。如果只有口头上的或非正式的权责分配形式，控制可能上的或非正式的权责分配形式，控制可能会弱化或形同虚设。一张正式的组织结构会弱化或形同虚设。一张正式的组织结构图或一份书面文件经常用来表明组织总体图或一份书面文件经常用来表明组织总体的权责分配情况，组织结构图往往与正式的权责分配情况，组织结构图往往与正式的的职责描述职责描述和职责分配的陈述联合使用。和职责分配的陈述联合使用。书

27、面备忘录、政策手册和程序手册也是一书面备忘录、政策手册和程序手册也是一些组织常用的权责分配手段。些组织常用的权责分配手段。l l 人力资源政策和实施人力资源政策和实施 公司的正式职员应该是称职的，并且进行公司的正式职员应该是称职的，并且进行过大量有关职责方面的培训。大量实践和过大量有关职责方面的培训。大量实践和分析表明，职员在任何一个控制系统中都分析表明，职员在任何一个控制系统中都是最为关键的因素。公司为每一个工作职是最为关键的因素。公司为每一个工作职位建立的用人条款都应该反映与这个职位位建立的用人条款都应该反映与这个职位相关的责任和具体要求，如：经验、才能相关的责任和具体要求，如：经验、才能

28、品质、奉献精神和领导能力。在用人政策品质、奉献精神和领导能力。在用人政策的实施中常采用以下控制措施：的实施中常采用以下控制措施：忠诚保险忠诚保险 为职员的忠诚买保险，以便得到可靠的雇员。为职员的忠诚买保险，以便得到可靠的雇员。职责分配职责分配 明确每一个员工职务和责任，界定职责范围。明确每一个员工职务和责任，界定职责范围。监督监督 被授权的人对员工直接督察，确保职责按分配执行。被授权的人对员工直接督察，确保职责按分配执行。轮流工作和强制休假轮流工作和强制休假 令员工在某段时间内执行其他员工的任务，以检查和令员工在某段时间内执行其他员工的任务，以检查和校验其他人的业务。校验其他人的业务。双重控制

29、双重控制两个执行同一任务的员工必须经常相互检查同伴的工两个执行同一任务的员工必须经常相互检查同伴的工作，建立责任共同体。作，建立责任共同体。（二）（二）风险评估风险评估 风险评估是提高内部控制效率和效果的风险评估是提高内部控制效率和效果的关键。任何组织都会面临来自其内部和外关键。任何组织都会面临来自其内部和外部的风险，各个组织都必须进行风险评估，部的风险，各个组织都必须进行风险评估，以识别、分析、管理风险。一般而言，风以识别、分析、管理风险。一般而言，风险会随以下因素而产生或变化：经营环境险会随以下因素而产生或变化：经营环境变化、改造和更换新的信息系统、新的员变化、改造和更换新的信息系统、新的

30、员工、新技术应用等。不健全或无效的内部工、新技术应用等。不健全或无效的内部控制措施就是风险存在的信号。控制措施就是风险存在的信号。（三）（三）控制活动控制活动 控制活动是指管理者为了确保管理指令能够得以有控制活动是指管理者为了确保管理指令能够得以有效实施而制定并实行的各种政策和步骤。旨在为组织效实施而制定并实行的各种政策和步骤。旨在为组织中每个特定的控制目标的实现提供合理的保证，这些中每个特定的控制目标的实现提供合理的保证，这些特定的控制目标包括：特定的控制目标包括：必须有任务分割以防止员工在其正常职责范围内作弊必须有任务分割以防止员工在其正常职责范围内作弊并隐瞒并隐瞒。（职责分离）。（职责分

31、离）设计和使用适当的文档和记录以保证交易和事件的适设计和使用适当的文档和记录以保证交易和事件的适当记录当记录。（留迹）。（留迹）只有得到管理层的授权才能接近资产只有得到管理层的授权才能接近资产。（物理隔离）。（物理隔离）对资产和工作情况的相关责任进行独立的检查。对资产和工作情况的相关责任进行独立的检查。对数据处理进行控制以保证交易的合理授权、业务数对数据处理进行控制以保证交易的合理授权、业务数据处理的准确性与完整性。据处理的准确性与完整性。（四）信息与沟通（四）信息与沟通 围绕在控制活动周围的是信息与沟通系统。该系统使企围绕在控制活动周围的是信息与沟通系统。该系统使企业内部的员工能够取得他们在

32、执行、管理和控制企业经营业内部的员工能够取得他们在执行、管理和控制企业经营过程中所需要的信息，并交换这些信息，使企业内部的每过程中所需要的信息，并交换这些信息，使企业内部的每一个员工都能够履行其职责。有效沟通的含义包括：必须一个员工都能够履行其职责。有效沟通的含义包括：必须了解自己在内部控制制度中扮演的角色，以及每个人的活了解自己在内部控制制度中扮演的角色，以及每个人的活动如何影响他人的工作；必须具有相上沟通重要信息的渠动如何影响他人的工作；必须具有相上沟通重要信息的渠道和方法；还应向顾客、供应商、政府主管机关和股东等道和方法；还应向顾客、供应商、政府主管机关和股东等进行有效沟通。健全的进行有

33、效沟通。健全的信息系统必须以标准化的文件、报信息系统必须以标准化的文件、报表、政策手册、备忘录等形式，有效地传输或沟通各种信表、政策手册、备忘录等形式，有效地传输或沟通各种信息。息。（五）（五）监督监督 监督是指长期评价内部控制质量、必要时还要采取监督是指长期评价内部控制质量、必要时还要采取必要行动的一个不间断的过程。必要行动的一个不间断的过程。监督是对内部控制的整体框架及其运行情况的跟踪、监督是对内部控制的整体框架及其运行情况的跟踪、监测和调节，以自始自终确保其有效性。监督可以通监测和调节，以自始自终确保其有效性。监督可以通过日常的监控活动来完成，也可通过执行独立监督过日常的监控活动来完成，

34、也可通过执行独立监督（内部审计和外部审计）或二者结合起来实现。如内（内部审计和外部审计）或二者结合起来实现。如内部审计的目标就是通过向管理层提供对以下活动或系部审计的目标就是通过向管理层提供对以下活动或系统的分析与评估的结果，来为管理层服务：统的分析与评估的结果，来为管理层服务：组织的信息系统组织的信息系统组织的内部控制结构组织的内部控制结构对经营政策、程序和计划的遵守程度对经营政策、程序和计划的遵守程度公司员工的业绩质量公司员工的业绩质量 内部控制的三个目标之间具有直接联系，内部控制的三个目标之间具有直接联系，他们代表了企业努力的目标；而五项要素他们代表了企业努力的目标；而五项要素代表了实现

35、这些目标的所需元素。所有五代表了实现这些目标的所需元素。所有五项要素都与每一类目标相联系。为实现每项要素都与每一类目标相联系。为实现每一类目标一类目标如经营的效率和效果如经营的效率和效果需需要五项要素共同发挥作用，以说明经营的要五项要素共同发挥作用，以说明经营的内部控制是有效的。内部控制是有效的。这五项要素既相互独立又相互联系，这五项要素既相互独立又相互联系，形成一个有机统一体，对不断变化的环境形成一个有机统一体，对不断变化的环境自动作出反应。自动作出反应。（一）业务控制与信息系统控制的分离（一）业务控制与信息系统控制的分离 信息技术的应用对内部控制五要素的影响信息技术的应用对内部控制五要素的

36、影响程度是不同的。其中，由于程度是不同的。其中，由于控制活动控制活动是实是实现控制目标的规章制度、岗位设置和流程现控制目标的规章制度、岗位设置和流程定义等具体措施，而且依赖于企业的业务定义等具体措施，而且依赖于企业的业务流程，所以业务流程的自动化必然对控制流程，所以业务流程的自动化必然对控制活动产生的影响最大。信息技术环境下的活动产生的影响最大。信息技术环境下的控制活动分离出两个分支：自动化业务控控制活动分离出两个分支：自动化业务控制和信息系统控制。制和信息系统控制。四、信息技术环境下内部控制的变化四、信息技术环境下内部控制的变化1.自动化业务控制自动化业务控制 自动化业务控制就是以信息技术实

37、现的传统控制活动，自动化业务控制就是以信息技术实现的传统控制活动，如机上授权，机上审批等。他的控制目标与传统控制活如机上授权，机上审批等。他的控制目标与传统控制活动的控制目标一致，都是为了达到营运的效率效果、财动的控制目标一致，都是为了达到营运的效率效果、财务报告的可靠性和相关法令的遵循性等目标。自动化业务报告的可靠性和相关法令的遵循性等目标。自动化业务控制的控制对象与传统业务控制的控制对象是一致的，务控制的控制对象与传统业务控制的控制对象是一致的，都是企业的生产经营过程。不过，自动化业务控制的存都是企业的生产经营过程。不过，自动化业务控制的存在形式和控制手段发生了很大变化。它在形式和控制手段

38、发生了很大变化。它以计算机程序的以计算机程序的形式嵌入企业的信息系统中形式嵌入企业的信息系统中，对业务的控制由计算机，对业务的控制由计算机自动执行。自动执行。2.信息系统控制信息系统控制 信息系统控制是为了保证信息系统效率、安全性和完整一致性而采信息系统控制是为了保证信息系统效率、安全性和完整一致性而采取的控制措施。信息系统控制的控制目标服从于业务控制目标，包括取的控制措施。信息系统控制的控制目标服从于业务控制目标，包括以下三点：以下三点：效率效率 信息系统的全部资源应该被充分开发利用。信息系统的全部资源应该被充分开发利用。安全性安全性 信息系统的软、硬件和数据资源应得到最高水平的保护，敏感部

39、位信息系统的软、硬件和数据资源应得到最高水平的保护，敏感部位应防止未经授权的人员接触。应防止未经授权的人员接触。完整一致性完整一致性 信息系统的完整性一致性指信息系统的处理逻辑应该符合企业的商信息系统的完整性一致性指信息系统的处理逻辑应该符合企业的商业规则，所输出的信息精确而有效。业规则，所输出的信息精确而有效。信息技术环境下控制活动的结构：信息技术环境下控制活动的结构：（二）控制活动的变化（二）控制活动的变化 在信息化程度较高的企业中，传统的手工业务在信息化程度较高的企业中，传统的手工业务控制活动完全由自动化业务控制活动所取代。自控制活动完全由自动化业务控制活动所取代。自动化业务控制与信息系

40、统控制其控制活动有许多动化业务控制与信息系统控制其控制活动有许多不同的特点，具体变化如下：不同的特点，具体变化如下：1.交易授权交易授权 交易授权是将交易的执行限定给经过选择的人。信息交易授权是将交易的执行限定给经过选择的人。信息技术环境下的交易授权有以下几点变化：（技术环境下的交易授权有以下几点变化：（1）交易授）交易授权自动化。（权自动化。（2）授权过程不明显。）授权过程不明显。2.职责分离职责分离 职责分离通过将职责分离通过将交易授权交易授权、交易记录交易记录和和资产监管资产监管等职责分配给不同的人得以实现。即：交易（业务）等职责分配给不同的人得以实现。即：交易（业务）活动要得到授权；活

41、动情况（结果）由另外的人记活动要得到授权；活动情况（结果）由另外的人记载（记账）；负责交易的人不能监管资产；监管资载（记账）；负责交易的人不能监管资产；监管资产的人不能单独记录（记账）资产增减。产的人不能单独记录（记账）资产增减。在信息技术环境下，能用计算机进行自动处理的在信息技术环境下，能用计算机进行自动处理的业务流程中的职责没有必要进行划分。因为计算机业务流程中的职责没有必要进行划分。因为计算机没有私心，也不会倦怠，在其运行过程中不会像人没有私心，也不会倦怠，在其运行过程中不会像人那样会犯错误或故意作弊，原来手工环境下本不相那样会犯错误或故意作弊，原来手工环境下本不相容的职责，现在由一个程

42、序模块来执行也不会出问容的职责，现在由一个程序模块来执行也不会出问题。题。3.监管监管 监管是指管理者对员工的监视和管理。监管是针对职责分监管是指管理者对员工的监视和管理。监管是针对职责分离不充分的一个补救措施。充分的职责分离需要企业有大量离不充分的一个补救措施。充分的职责分离需要企业有大量的员工，这对中小型企业和一些缺少人手的部门来说有一定的员工，这对中小型企业和一些缺少人手的部门来说有一定困难，所以不充分的职责分离在所难免。为了避免不充分的困难，所以不充分的职责分离在所难免。为了避免不充分的职责分离可能带来的损失，企业采用监管作为补救的措施。职责分离可能带来的损失，企业采用监管作为补救的措

43、施。在信息技术环境下，自动业务流程中的职责分离大部分被计在信息技术环境下，自动业务流程中的职责分离大部分被计算机程序所取代，不存在职责分离是否充分的问题，所以没算机程序所取代，不存在职责分离是否充分的问题，所以没必要针对自动业务流程进行监管。但是，信息系统的开发、必要针对自动业务流程进行监管。但是，信息系统的开发、维护和处理操作等活动仍然存在着职责分离，而且管理这些维护和处理操作等活动仍然存在着职责分离，而且管理这些活动中的员工有一些新的难点，所以对信息系统的监管十分活动中的员工有一些新的难点，所以对信息系统的监管十分重要，传统的监管手段也发生了一定的变化。重要，传统的监管手段也发生了一定的变

44、化。4.4.业务记录业务记录业务记录业务记录 业务记录是指企业为了反应和控制各项生产经营业务以文字形式对业务记录是指企业为了反应和控制各项生产经营业务以文字形式对业务活动的发生、进展和结束等的全过程进行记载，主要包括业务活业务活动的发生、进展和结束等的全过程进行记载，主要包括业务活动的授权记录、接受记录和会计记录等。这些记录反映了经济业务的动的授权记录、接受记录和会计记录等。这些记录反映了经济业务的实质，并为内部控制和审计提供了交易轨迹。实质，并为内部控制和审计提供了交易轨迹。在信息技术环境下，业务记录的载体由纸质变成了磁质。同时，在信息技术环境下，业务记录的载体由纸质变成了磁质。同时，纸质的

45、交易轨迹不复存在，取而代之的是数据库记录和操作日志纸质的交易轨迹不复存在，取而代之的是数据库记录和操作日志等磁记录。信息技术在改变交易轨迹形式的同时也对交易轨迹的等磁记录。信息技术在改变交易轨迹形式的同时也对交易轨迹的法律效力产生了影响。员工在纸质凭证上的签字可以证明确实是法律效力产生了影响。员工在纸质凭证上的签字可以证明确实是他对交易进行了授权或确认，但在磁质交易记录上的操作员字段他对交易进行了授权或确认，但在磁质交易记录上的操作员字段信息的法律效力却受信息系统的完整性、正确性和安全性的影响。信息的法律效力却受信息系统的完整性、正确性和安全性的影响。5.接触控制接触控制 接触控制是保证只有经

46、过授权的人才能接触控制是保证只有经过授权的人才能接触企业资产的控制行为，接触企业资产的控制行为，限制非授权者限制非授权者接近资产，常用方法如下：接近资产，常用方法如下：现金登记簿和保险柜现金登记簿和保险柜锁、保险库和禁区锁、保险库和禁区人力保卫人力保卫监视器监视器报警系统报警系统 当然，上述措施要配套：比如锁要有钥匙，当然，上述措施要配套：比如锁要有钥匙，监视器要有人监视才行。监视器要有人监视才行。6.6.独立稽核独立稽核独立稽核独立稽核 独立稽核是指验证另一个人或另一个部门执行的工作。通过独立稽独立稽核是指验证另一个人或另一个部门执行的工作。通过独立稽核，管理层可以评估员工的业绩、信息系统完

47、整性和交易记录的正确核，管理层可以评估员工的业绩、信息系统完整性和交易记录的正确性。独立稽核是一种事后措施，不同于监管。在手工环境下独立稽核性。独立稽核是一种事后措施，不同于监管。在手工环境下独立稽核是非常必要的，因为员工处理业务时可能会失误，而失误可能没有被是非常必要的，因为员工处理业务时可能会失误，而失误可能没有被监管等措施所发现，此时独立稽核便成为最后的防范措施。在信息技监管等措施所发现，此时独立稽核便成为最后的防范措施。在信息技术环境中，正常情况下计算机会始终如一地根据程序运行，如果程序术环境中，正常情况下计算机会始终如一地根据程序运行，如果程序精确而完整，那就没有必要对程序运行的结果

48、进行日常性的检查，这精确而完整，那就没有必要对程序运行的结果进行日常性的检查，这也正是信息技术的应用会降低企业运行成本的一个重要方面。但是这也正是信息技术的应用会降低企业运行成本的一个重要方面。但是这并不意味着企业没有必要进行独立稽核。在信息系统维护或业务发生并不意味着企业没有必要进行独立稽核。在信息系统维护或业务发生变化时，独立稽核仍然是确保计算机系统运行正确性的重要控制措施。变化时，独立稽核仍然是确保计算机系统运行正确性的重要控制措施。由于上述种种变化，企业在制定内部控由于上述种种变化，企业在制定内部控制制度设计内部控制措施时，应该对五个制制度设计内部控制措施时，应该对五个要素特别是控制活

49、动要素充分考虑信息技要素特别是控制活动要素充分考虑信息技术应用带来的影响。因为原来合理的、有术应用带来的影响。因为原来合理的、有效的控制措施，现在可能变得没有意义；效的控制措施，现在可能变得没有意义；原来不存在问题的业务环节，现在由于处原来不存在问题的业务环节，现在由于处理方式的改变可能风险陡增。这就需要认理方式的改变可能风险陡增。这就需要认真研究和识别控制对象与控制活动的变化，真研究和识别控制对象与控制活动的变化，设计相应的有针对性的控制措施。设计相应的有针对性的控制措施。第三节第三节 信息技术环境下的交易处理控制信息技术环境下的交易处理控制 设计交易处理控制的目的是确保一个组设计交易处理控

50、制的目的是确保一个组织的内部控制的元素被用于实施某些应用织的内部控制的元素被用于实施某些应用系统，这些应用系统包含于组织的每个交系统，这些应用系统包含于组织的每个交易循环中。交易处理控制由易循环中。交易处理控制由一般控制一般控制和和应应用控制用控制组成。一般控制影响全部的交易处组成。一般控制影响全部的交易处理；应用控制则被用于某些具体方面。理；应用控制则被用于某些具体方面。5.3.1 一般控制一般控制 一般控制也即整体控制。实施一般控制的一般控制也即整体控制。实施一般控制的目的是为了确保信息系统的开发、实施、目的是为了确保信息系统的开发、实施、运行能在有序地、被控制的状态下运行。运行能在有序地