第七章信息传递及信息风险控制课件.ppt

第7章 信息传递与信息风险控制,第一节 信息传递与信息风险控制概述 第二节 财务报告内部控制 第三节 业务流程信息控制 第四节 信息传递与信息风险控制案例,信息风险控制是为确保信息及时性、相关性和可靠性进行的控制，信息风险控制分为两个层面：一是在公司治理层面，由利益相关者对经营者主导的财务信息系统进行监控，主要是财务报告内部控制；二是在企业经营管理层面，由经营者和业务人员应用业务流程信息，对经营活动进行控制，即业务流程信息控制。,第一节 信息传递与信息风险控制概述,信息风险控制从降低信息不对称，到信息沟通、信息技术应用，涉及广泛的领域。 内部信息传递，是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。,建立内部报告及指标体系,形成内部报告,内部报告在规定的范围内流转,内部报告使用和保管,定期全面评估,审核内部报告,搜集整理内外部信息,通过,没通过,内部报告形成阶段,内部报告使用阶段,内部信息传递流程图,企业内部信息传递的风险,中国“企业内部控制应用指引第17号内部信息传递”指出，企业内部信息传递至少应当关注下列风险：一是内部报告系统缺失、功能不健全、内容不完整，可能影响生产经营有序运行；二是内部信息传递不通畅、不及时，可能导致决策失误、相关政策措施难以落实；三是内部信息传递中泄露商业秘密，可能削弱企业核心竞争力,信息沟通渠道包括文件、刊物、网络、培训、交谈、考核等。中国企业内部控制基本规范指出：企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行；企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息；企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合 。,控制措施：,企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。舞弊的举报、调查重点：未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等董事、监事、经理及其他高级管理人员滥用职权相关机构或人员串通舞弊,企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级，以便采取应对策略。企业应当拓宽内部报告渠道，通过落实奖励措施等多种有效方式，广泛收集合理化建议；企业应当重视和加强反舞弊机制建设，通过设立员工信箱、投诉热线等方式，鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。,2.多渠道的信息来源,为了防止信息传递过程中信息真实性下降，防止信息垄断在少数人手中，或避免某环节委托人与代理人之间串通，应采用多渠道信息控制方式。兼听则明，偏听则暗,DEJ公司在中国大区有CEO、CFO和FM（财务经理），内部审计负责对中国大区财务系统绩效评价。对财务系统的绩效评价有两个方面，一是公认会计准则（GAAP）的执行情况，二是萨班斯（SOX）法案和内部控制（IC）的执行情况.内部审计将审计信息传递给总部董事会、CEO，同时外部审计师将其信息传递给董事会和CEO，总部将审计中发现的问题发给中国大区进行处理.通过几个渠道获得信息、上报信息，降低了中国大区业务执行信息的不对称性 .,第二节财务报告内部控制,财务报告内部控制定义： 由企业高层管理者制定、实施，受到董事会或类似机构的监督，为确保企业出具的财务报告真实反映企业的财务与经营状况、符合会计准则编报要求的措施与程序,美国证券交易委员会（SEC）2003年财务报告内部控制定义： 由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的，受到公司的董事会、管理层和其他人员影响的，为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计准则提供合理保证的控制程序。,“财务报告的可靠性”是评价企业财务报告内部控制是否良好根本依据。 如果管理层在财务报告中虚报企业的利润，违背了可靠性的原则，就称为财务报告内部控制失效。财务报告内部控制属于内部控制的范畴，是内部控制的细化。例如，独立董事就对外担保、关联交易、投资等业务要求报告和披露，属于财务报告内部控制范畴。,一、财务报告内部控制环境 在相互制衡的公司治理结构下，股东大会、董事会、监事会关注财务信息，以此作为评价委托代理责任履行情况的重要依据，并通过法律、准则等一系列措施来保证财务报告质量，从而形成内在约束力,随着安然事件对美国证券市场带来的“多米诺骨牌效应”，虚假的财务信息成为众矢之的，美国社会各界强力呼吁政府出台能够保证财务报告信息质量的政策、措施，严厉打击公司的造假行为中国证券市场也屡屡被财务报告舞弊事件困扰，无论是20世纪90年代初的深圳原野案、2000年的郑百文、猴王股份案，还是2001年的“银广厦”事件，种种的案件都或多或少的与企业的财务报告相关,二、财务报告内部控制理论与实践（一）理论研究 代理理论：委托人和代理人之间的目标函数是不一致的。委托人总是希望通过各种方式来监督和激励代理人，使之尽其所能，为委托人谋取最大利益。 由于“道德风险”（moral hazard）或“逆向选择”（adverse selection）的存在，经理人员可能通过机会主义的行为最大化自身而不是股东的利益，股东设计了诸多激励和监督机制以引导和制衡经理人员的机会主义行为。 财务报告作为反映经营成果的最重要的信息，便是委托人对代理人实施监督的最有效的手段。,中国“企业内部控制应用指引第14号-财务报告”指出，企业编制、对外提供和分析利用财务报告，至少应当关注下列风险：一是编制财务报告违反会计法律法规和国家统一的会计准则制度，可能导致企业承担法律责任和声誉受损；二是提供虚假财务报告，误导财务报告使用者，造成决策失误，干扰市场秩序；三是不有效利用财务报告，难以及时发现企业经营管理中存在的问题，可能导致企业财务和经营风险失控。 企业，尤其是上市公司，必须密切关注财务报告方面的风险，万万不可忽视。,三、编制、提供财务报告应关注的风险,“企业内部控制应用指引第 14 号财务报告”（2010）明确提出财务报告内部控制要求： 企业应当加强对财务报告编制、对外提供和分析利用全过程的管理，明确相关工作流程和要求，落实责任制，确保财务报告合法合规、真实完整和有效利用； 企业应当重视报告分析工作，定期召开分析会议，充分利用报告反映的综合信息，全面分析企业的经营管理状况和存在的问题，不断提高经营管理水平。企业分析会议应吸收有关部门负责人参加。总会计师或分管会计工作的负责人应当在分析和利用工作中发挥主导作用 。,财务报告内部控制的要求：,四、财务报告内部控制的特点,1.财务报告内部控制的责任主体管理者 经理人的追求有荣誉、社会威信与权力、竞争热情、创造欲望、安全、冒险等目标。在经理人市场上经理人员报酬就是由其自身价值、以前工作表现等决定的。 经理人市场的形成能够激励、约束经理人员，促使经理追求长期的成功。但管理者作为代理人，相对委托人来讲，更了解公司内部实际的运作和资金情况，也就更有机会进行“暗箱操作” 。 我国企业内部控制应用指引第14号财务报告指出，总会计师或分管会计工作的负责人负责组织、领导财务报告的编制、对外提供和分析利用等相关工作。企业负责人对报告的真实性、完整性负责。,【美国世通公司案例】 2001年，世通高额负债的状况引起美国证券监管机构的关注，为此所进行的调查导致首席执行官埃伯斯辞职。世通公司前管理当局具有提供虚假财务报告的动机，包括：首席执行官持有公司大量股票，并以此作为个人贷款的质押；需要保持高股价，从而维持以换股方式进行收购兼并的吸引力；需要保持较高的投资和信用等级以发行股票或举债来为其经营活动和资本支出筹措资金。,2.财务报告内部控制的内部屏障董事会,管理者编制财务报告，董事会负责监督，是及早发现财务报告问题的第一道屏障。无论是董事会的结构，独立董事的规模，还是审计委员会的设立，都与财务报告内部控制相关。学者们早期认为，董事会应该包含若干名内部董事，因为他们是董事会的重要信息来源。内部董事参与公司的日常管理，更了解公司经营状况，能提高董事会的决策效率。内部董事可以减少外部董事与首席执行官之间的信息不对称，从而有效的监管和评价CEO的工作。引入外部董事可以保证董事会对公司的控制关系不因管理层的介入而受到影响。,【乐山电力公司案例】2004年1月，乐山电力公司两位独立董事程厚博和刘文波，因对公司的担保行为、关联交易行为以及负债情况产生质疑，聘请会计师事务所对上市公司进行专项审计。独立董事聘请的深圳鹏城会计师事务所从乐山电力管理局得到的资料与中介机构取得的外部有关对外担保资料、关联方及其交易资料不一致，因此深圳鹏城会计师事务所未能对乐山电力2003年度及截至2003年12月31日累计的对外担保情况、关联方及其交易事项的专项内容给出整体表示意见。,但就其取得的资料而言，深圳鹏城会计师事务所审计得出的已终审判决、已执行、正在执行的对外担保金额达到了2770万元，这些担保均未经公司董事会及股东大会的决议批准；已经形成诉讼或有可能形成诉讼的对外担保金额达到了8000万元，这些担保同样没有取得公司董事会或股东大会决议批准；截止2003年12月31日，乐山电力存在的其他对外担保累计金额据了解至少过亿元，其中大部分未获董事会决议通过，并且未对外公告。 由于深圳鹏城会计师事务所无法实施进一步审计程序，只是无法发表意见的担保事项其累计金额同样过亿元，其中部分仍未能查公司有曾经披露的历史公告记录。,1.审计委员会在财务报告内部控制方面发挥着主要的功能，比如：监督财务报告过程和内部控制有效性，保证财务报告的可靠新。2.审计委员会在发现和防止财务报告欺诈方面扮演着重要的角色，其职责通常被要求在公司章程中予以明确规定。,审计委员会的作用：,3.股东行为对财务报告内部控制的影响,当控股股东担任公司的管理职务时，不存在所有者和经营者之间的利益冲突。当经营者不是控股股东本人时，控股股东就有足够动力去监管代理人的行为。但控股股东与其他股东的利益并不是都一致的，控股股东侵占小股东的问题时有发生，例如控股股东向公司委派管理人员，与管理层合谋损害中小股东的利益，还通过隧道挖掘（Tunneling）的方式侵占其他股东的利益。当存在利益侵占效应时，控股股东和公司管理层为了掩饰其侵占行为会倾向于降低信息透明度。,五、财务报告内部控制风险和防范,企业财务报告欺诈前，通常会表现出一些异常现象，将其称为财务报告内部控制失效的风险信号。 美国COSO委员会1999年发布了欺诈性财务报告分析，发现实施欺诈的公司，在欺诈前的几个会计期间发生亏损，或者正接近损益平衡点的位置，财务困境使得这些公司有动机进行欺诈性活动。,财务报告风险信号,公司治理与财务报告内部控制,公司治理与财务报告内部控制,有研究机构对美国603个舞弊事件研究，员工举报、偶尔发现、内部控制、内部审计等内部方式发现舞弊的比例达69.8%；通过客户举报、匿名举报、供应商举报等外部关系人发现的比例达17.6%；通过外部审计、执法检查发现财务舞弊的比例只占12.6%具体分布：员工举报发现140个、偶尔发现100个、内部控制发现99个、内部审计发现82个，内部方式共计421；客户举报46个、匿名举报33个、供应商举报27个、外部审计67、执法检查9个。企业在内部控制以之外，还应给客户举报、供应商举报等外部关系人举报创造条件,第三节 业务流程信息风险控制,业务流程信息对于支持组织的决策与控制具有重要作用。除了解决组织中经营决策、协调与控制、战略绩效评价等的问题外，业务流程信息也具有分析问题、考察复杂目标与开创新产品的作用,信息系统-业务目标,促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。,信息系统-基本要求,企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。企业应当指定专门机构对信息系统建设实施归口管理，明确相关单位的职责权限，建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。企业负责人对信息系统建设工作负责。,信息系统-控制流程,制定信息系统开发战略规划,选择信息系统开发方式,信息系统的运行与维护,系统终结,项目计划,需求分析,系统上线,系统设计,编程测试,日常运行维护,系统变更,安全管理,自行开发,软件产品选型和供应商选择,服务提供商选择,外购调试,选择外包服务商,签订外包合同,持续跟踪评价外包服务商的服务过程,业务外包,中国“企业内部控制应用指引第18号信息系统”指出，企业利用信息系统实施内部控制至少应当关注下列风险：一是信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；二是系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；三是系统运行维护和安全措施不到位，可能导致信息泄漏或损，系统无法正常运行。,信息系统-业务风险,1.信息系统的开发环节 企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。 企业信息系统归口管理部门应当组织内部各单位提出开发要求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，严格按照建设开发方案、开发流程和相关要求组织开发工作。 方式：自行开发、外购调试、业务外包。,信息系统-风险控制措施,企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序企业应当建立信息系统安全保密和泄密责任追究制度委托专业机构进行系统运行与维护管理的，应当审查该机构的资质，并与其签订服务合同和保密协议。企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏,2.信息系统的运行与维护环节,企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作企业应当综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入,企业对于通过网络传输的涉密或关键数据，应当采取加密措施，确保信息传递的保密性、准确性和完整性企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容企业应当加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查，及时处理异常情况未经授权，任何人不得接触关键信息设备,案例：海空物流公司信息系统海空物流公司通过GPS（全球卫星系统），实现了对所有运输车辆24小时监控，所有仓库安装了CCTV监视系统，对出入仓库的人员实行指纹身份识别方式，对仓库中进出和存放的货物实行条形码管理。通过全程动态监控对供应链上每个成员的信息、行为和服务结果检查，鉴别出整个供应链上的冗余行为和非增值行为。为保证信息系统的安全，对系统的制度严格执行，每月都要进行系统准入核对（system access reconciliation）。,一、财务报告内部控制案例 帕玛拉特是意大利第八大企业集团,以生产和销售牛奶、果汁和奶制品等为主，是意乳品业的巨头。但因无力填补145亿欧元的财务黑洞，2003年12月27日，意大利帕尔马地方破产法院批准了该公司提出的破产保护申请。帕玛拉特是典型的家族型企业，公司创始人卡利斯托.坦齐（Calisto Tanzi）的家族公司拥有帕玛拉特51%的股份。帕玛拉特的13人董事会中，没有任何人独立于坦齐家族。集中的权力减弱了财务报告内部控制，其内部审计人员波契向检察官承认伪造了对美洲银行近40亿美元虚假账目的确认函。,第四节 信息传递与信息风险控制案例,由于缺乏健全的财务制度，帕玛拉特没有做到财务统一管理。据金融时报报道，集团拥有170家分支机构，很多分公司以及开曼群岛的子公司之间都有现金转账多年的系统性造假行为导致帕玛拉特账面上有几十亿欧元不知所踪。如美洲银行在2003年12月19日称，帕玛拉特集团在开曼群岛的分支机构Bonlat金融公司在该银行账户上的款项并不存在，而帕玛拉特提供的一份虚假证明文件称该公司2002年12月31日有一笔39.5亿欧元的流动资金,财务制度的欠缺导致帕玛拉特集团高达100亿欧元的债务总额，其中1/3为意大利的银行拥有，其余则由债券持有人和国外银行持有；帕玛拉特不但没有利用债务使公司获得财务杠杆收益，反而因过高的债务总额被迫宣布破产普华永道会计师事务所的审计师在结束清查帕玛拉特账目的第一阶段工作后，分析得出结论，公司实际负债额远远大于帕玛拉特管理层此前上报的金额,普华永道对帕玛拉特的真实财务状况出具的报告称，截至2003年9月30日，帕玛拉特净负债额为143亿欧元，而不是该公司先前所称的18亿欧元在截至2003年9月30日的9个月，帕玛拉特收入为40亿欧元，而不是其公布的54亿欧元。利息、税项、折旧和摊销前的利润为1.21亿欧元，而不是先前所公布的6.51亿欧元，公司的流动资产可以“忽略不计”,2002年2月5日，第一银行（Allfirst）揭露了7.5亿美元外币交易亏损。第一银行最先发现该行外汇交易员鲁斯纳克（John Rusnak）经手的外币交易有问题是在2002年1月初。当时，该银行正在对资产部进行例行管理审核。恰在此时，鲁斯纳克要求银行提供巨额现金支持他的交易战略，银行高级经理人员认为他要求的钱款数额巨大，产生怀疑并开始调查。在一个多月的调查期间，鲁斯纳克一直给予合作，直到调查人员发现大量伪造的交易文件后，这起7.5亿美元资产不翼而飞的欺诈案方才被揭露出来。,二、外币交易信息控制联合爱尔兰银行（AIB）的外币交易欺诈,早在1998年，AIB就安装了从英国Misys进口的软件，它能控制货币交易的前后台（在母公司AIB上安装后端软件，而其他子公司安装前台软件），以电子化记录前端柜台的货币交易，后端软件追踪所有交易记录。该软件能找出假交易、超过限额交易及未核准交易。假如有任何犯规者，它都会自动地发警报给经理人员。一位前AIB外货交易员在调查时说，“AIB纽约办公室对其员工的控制非常之严。假如你超过限额一毛钱，AIB的信用专员都会知道，而即使是在限额内的交易，只要有不寻常之处，我都会接到电话。” AIB还使用了Crossmar匹配服务系统，该系统能在两分钟以内自动核对,AIB虽然安装了后端软件，但在第一银行没有安装前台软件，因此无法进行直接处理，前端的交易信息是用人工方式送到后端的。而且第一银行从未用过Crossmar系统验证交易，而是依赖电话来确认的。 但鲁斯纳克避开了控制系统的防护，他伪装交易验证，即让这些交易看起来像真的。后端办公室依赖于鲁斯纳克每次交易时提供的人工信息，鲁斯纳克在不使用前台软件的情况下，通过其他软件输入交易，这样由于软件不匹配，后端人员无法发现其中的问题。 经常给伪造的期权交易一天的到期日而不被人发觉，因为第一银行的报表不会列出一天之内到期的期权交易数据。同时，他还私下说服后端办公室不要确认期权交易双方，因为并未有净现金的转移。,AIB指定一外部高级专家来主持对损失原因的调查，包括违反内部控制及可能的内外勾结。调查报告将陈述事实，解释政策及控制效力，提出改进意见。 鲁斯纳克伪造的期权与东京、新加坡的主要国际性金融分支机构有关，按规定要求员工在晚上进行电话确认，他说服员工不必费事进行确认，还经常在当天结账时将当日所有的单笔交易归整成一笔交易，这样可以使他的交易看起来似乎是在规避风险。综上分析，虽然AIB有完善的软件系统，但软件系统不等于信息系统，同时即使有完善的信息系统，也需要良好的控制。,本章小结 信息控制包括财务报告内部控制和业务流程信息控制，企业财务报告内部控制表现为由高层管理者制定、实施，受到董事会或类似机构的监督，为确保企业财务报告如实地反映了企业的财务与经营状况、符合会计准则的编报要求的措施与程序。业务流程信息控制是用人工和自动化方法保障信息系统的安全，同时确保实施过程符合管理标准，为业务流程的实施、经营管理提供所需的信息,练习题参考答案：1 A2 ABC3 ABC4 ABCD5 ABC,1在董事决策及信息支持系统中，在一些国家的法律和公司治理准则中明确做出规定，例如董事须获得充分信息，以履行其职责；董事不得完全依赖经营者提供的信息，如果履行职责确有必要，可进一步收集信息；董事会休会期间，公司也要向董事提供信息，这些信息应是充分的、相关的、高质量的，能够帮助董事履行其职责。信息是董事们履行职责，发挥董事会监督控制作用的重要保证。,原书案例讨论题的分析思路,在一家大型企业使用了管理信息系统，并建立起了一套完整的控制制度。下面是该企业内部不同职位员工最近的对话：公司总经理：“最近汇总出各分公司的销售业绩很好，应该进行奖励。但东北地区分公司的销售业绩有同比下降，让他们写一份报告。”公司财务部分管M分公司的人员：“最近M公司的现金波动这么频繁，而且每次都没有超过使用权限，我的系统分析助手已经提出警告，要及时报告M分公司的异常情况。”,公司信息部经理：“一次性更新管理信息系统的工作量实在是太大了，以后一定要随时更新。在更新过程中好像给财务部的授权太高了，要进行严格的控制，系统更新一结束就要把授权降下来。”分公司部门经理：“总公司下达的本年销售计划数我们已经完成一大半了，也不知道其他分公司完成的情况怎么样？总公司正在更新管理信息系统，下半年又要忙了。”,分公司一位销售人员：“经过半年的努力，我的销售业绩提高了，也不知道分公司其他人员的销售业绩怎么样？我现在的销售业绩比我去年同期提高了多少？”分公司人力资源管理部门一位员工：“我想查一下公司人员薪资的变动情况、在职人员的具体数字和健康状况，总公司那边需要这些数据，可是人力资源管理部门部经理不在岗，有些资料我无权访问啊。”请分析一下：企业的管理信息系统由哪些用处？如何进行有效的控制？,2信息系统的使用人员包括销售人员、人力资源管理部门人员、分部经理、财会人员、总经理、信息官等，这些人员从不同的角度应用信息。这一系统总体上提供的信息帮助实施管理控制，如财务部人员对现金波动的判断，总经理对地区销售业绩的比较。在信息使用权方面进行了较好的授权，如员工的重要信息由人力资源部经理掌握，对财务部授权太大的事项准备加以限制。但这个系统的信息不完整，例如销售人员不能掌握过去的销售业绩，部门经理不能与其他分公司比较。,