《信息传递与信息风险控制.pptx》由会员分享,可在线阅读,更多相关《信息传递与信息风险控制.pptx(53页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第七章信息传递与信息风险控制 信息风险控制是指为确保信息及时性,相关性和可靠性的控制。两层含义:u信息不对称u如何建立信息系统两个层面:u治理层面u经营管理层面1南开大学程新生等n (一)、信息过多引起的信息风险n 这些信息一方面给企业的资源配置决策、商业发展规划决策带来了更多的决策信息依据;另一方面也增加了决策时筛选冗长信息的困难。企业面临信息过多的情况时,比过去做出决策又添了一个新的环节,即信息的处理,这就会引起企业的信息风险。n (二)提供虚假信息引起的信息风险n 提供虚假信息也有来自企业内部和外部两个方面。企业外部获得的信息中,信息的真实性是需要使用者进行信息选择与信息真实性辨别的。企
2、业内部也存在着提供虚假信息的情况,最常见的就是会计虚假信息,会计人员由于自身或者迫于管理者的压力而提供虚假的会计信息。这些虚假信息会引起信息风险。2南开大学程新生等n(三)信息遭受攻击引起的信息风险n当今黑客们越来越多的采用直接攻击企业的应用系统以达到窃取企业数据,破坏企业信息的目的。黑客可以通过万维网公共信息网采用木马、蠕虫和病毒等攻击手段,破坏企业办公系统、窃取企业核心系统机密数据、篡改公司网站信息、截获公司邮件等。这些攻击行为都会引起信息风险,对企业运行造成巨额的损失。3南开大学程新生等n (四)企业内部人员引起的信息风险n 企业信息的接触传播者主要是内部员工。信息在不同人员之间交互传播
3、,参与信息传播的人员有意过滤或者加工信息的不道德行为将会产生信息风险在企业信息的传递过程中,信息往往要通过很多的节点,也就是有很多的成员会参与到信息的传播中去,如果所有的信息传播成员都依据自身需求考虑或者凭个人主观判断将加工信息(带有传播者个人色彩)向外传播信息风险将会被放大,甚至会给企业造成重大的损失。4南开大学程新生等 信息控制包括保证信息完整性、不同信息资源的协调、利用信息进行监控等,信息控制分为两个层面:n 一是在公司治理层面,由利益相关者对经营者主导的财务信息系统进行监控,主要是财务报告内部控制.n 二是在企业经营管理层面,由经营者和业务人员应用业务流程信息,对经营活动进行控制,即业
4、务流程信息控制。5南开大学程新生等财务报告内部控制定义 美国证券交易委员会(SEC)在2003年6月上市规则中以“财务报告内部控制”代替传统的内部会计控制,将“财务报告内部控制”定义为,“由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的,受到公司的董事会、管理层和其他人员影响的,为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计准则提供合理保证的控制程序,具体包括以下控制政策和程序: 6南开大学程新生等n (1)保证详细程度合理的会计记录,对资产的交易和处置情况准确公允的反映;n (2)为以下事项提供合理的保证:公司对发生的交易进行必要的记录,从而使财务报表的编制满
5、足会计准则的要求,公司所有的收支活动经过公司管理层和董事的合理授权;n (3)为防止或及时发现可能对财务报表产生重要影响的未经授权的取得、使用和处置资产的行为提供合理保证7南开大学程新生等 财务报告内部控制定义(续)财务报告内部控制定义(续) “财务报告的可靠性”是评价企业财务报告内部控制是否良好根本依据。如果管理层在财务报告中虚报企业的利润,违背了可靠性的原则,就称为财务报告内部控制失效。财务报告内部控制属于内部控制的范畴,是内部控制的细化。例如,独立董事就对外担保、关联交易、投资等业务要求报告和披露,属于财务报告内部控制范畴。 8南开大学程新生等在相互制衡的公司治理结构下,股东大会、董事会
6、、监事会关注财务信息,以此作为评价委托代理责任履行情况的重要依据,并通过法律、准则等一系列措施来保证财务报告质量,从而形成内在约束力。9南开大学程新生等 随着安然事件对美国证券市场带来的“多米诺骨牌效应”,虚假的财务信息成为众矢之的,美国社会各界强力呼吁政府出台能够保证财务报告信息质量的政策、措施,严厉打击公司的造假行为。 中国证券市场也屡屡被财务报告舞弊事件困扰,无论是20世纪90年代初的深圳原野案、2000年的郑百文、猴王股份案,还是2001年的“银广厦”事件,种种的案件都或多或少的与企业的财务报告相关。10南开大学程新生等(一)一)理论研究理论研究 委委托托代理理论代理理论:委托人和代理
7、人之间的目标函数是不一致的。委托人总是希望通过各种方式来监督和激励代理人,使之尽其所能,为委托人谋取最大利益。由于“道德风险”(moralhazard)或“逆向选择”(adverseselection)的存在,经理人员可能通过机会主义的行为最大化自身而不是股东的利益,股东设计了诸多激励和监督机制以引导和制衡经理人员的机会主义行为。11南开大学程新生等 所谓所谓“逆向选择逆向选择”应该定义应该定义为信息不对称所造成市场资源为信息不对称所造成市场资源配置扭曲的现象。经常存在于配置扭曲的现象。经常存在于二手市场、保险市场。虽然二手市场、保险市场。虽然“逆向选择逆向选择”的含义与信息不的含义与信息不对
8、称和对称和机会主义行机会主义行为有关,却为有关,却超出了这两者所能够涵盖的范超出了这两者所能够涵盖的范围之外,围之外,“逆向选择逆向选择”是制度是制度安排不合理所造成市场资源配安排不合理所造成市场资源配置效率扭曲的现象,而不是任置效率扭曲的现象,而不是任何一个市场参与方的事前选择。何一个市场参与方的事前选择。12南开大学程新生等信息供给不足的原因一是经理人员不愿意披露信息,因为信息一旦披露将会变为利益相关者的公共物品,投资者可以自由享用,经理人员将失去拥有私人信息而可能得到的“租金”。委托人面临著多种代理风险:在签约时代理人利用私人信息进行“逆向选择”;合同执行过程中代理人拥有自然状态的私人信
9、息所引起的“隐藏信息”;与代理人事后行动的不可观察性相关的“道德风险”。如果公司能够构建有效的激励机制,则可以有助于解决因信息不对称产生的代理问题。13南开大学程新生等(二)有关法律对财务报告内部控制要求(二)有关法律对财务报告内部控制要求n会计法:一些条款中规定了财务报告内部控制要求 ,例如关于财务信息质量的责任规定,要由本单位主要负责人承担。n萨班斯奥克斯法案:第一次对财务报告内部控制的有效性提出了明确的要求: 公司首席执行官和财务官应当对所提交的年度报告签署书面保证。14南开大学程新生等(三)公司治理准则(三)公司治理准则公司治理准则是对公司治理结构与治理行为的规范,大多数公司治理准则涉
10、及财务报告内部控制。公司治理准则在指导公司治理和财务报告编制方面发挥着来越重要的作用。英格兰和威尔士特许会计师协会内部监控综合准则:董事会指南(TheTurnbullReport,1999)要求,“董事会负责公司内部监控,每年至少审查一次内部监控体系的有效性并向股东报告。”15南开大学程新生等n 公司治理是指诸多利益相关者的关系,主要包括股东、董事会、经理层的关系,这些利益关系决定企业的发展方向和业绩。公司治理讨论的基本问题,就是如何使企业的管理者在利用资本供给者提供的资产发挥资产用途的同时,承担起对资本供给者的责任,利用公司治理的结构和机制,明确不同公司利益相关者的权力、责任和影响,建立委托
11、代理人之间激励兼容的制度安排,是提高企业战略决策能力,为投资者创造价值管理大前提16南开大学程新生等中国公司治理准则(2002)指出,董事会是公司的最高决策机关,在工作事务中必须履行相应的职能,确保对公司的战略性指导和对管理人员的有效监督。为了保证董事会的独立性,董事会成员中应吸收适当数量的独立董事,并明确独立董事在董事会中的地位和作用。为了更加明确董事的具体责任,建议董事会实行分工负责制,下设若干专业委员会,提名、报酬、审计和战略规划委员会中的独立董事应当占有一定的比例。其他有代表性的公司治理准则或法律,均强调董事会对公司的指导和对经营者的监督。17南开大学程新生等治理准则对董事会职责的界定
12、 1992年英国公司治理财务方面的报告(theCadburyReport)确定战略目标并领导实施;监督经营者并向股东报告;确定财务政策并监督实施;监督财务报告过程;预防和调查欺诈或其他非法行为等。1993年爱尔兰投资经理协会指南任免经营者;审批经营战略;监督、评估经营者绩效等。1997年澳大利亚投资经理协会指南确定经营战略;任命、培训、监督经营者;确保内部控制和信息系统的完整性;确定与经营绩效关联的报酬政策等。1997年美国商业圆桌会议公司治理声明任免经营者,确定经营者报酬;审核批准经营战略、财务目标和预算;审核评估内部控制、风险管理、财务报告程序的适当性;评估董事会结构、治理原则,确保其运行
13、等。1998年英国汉普尔报告有效的董事会控制和领导公司;确定公司经营战略,并确保其实施等。2004年经合组织(OECD)公司治理原则任免、激励经营者;确定经营战略、预算、风险政策和绩效目标,并监督实施;监管资本性支出和关联交易等;审核经营者和董事报酬;通过外部审计、风险监控、财务控制保证财务报告的完整、可信;监督治理机制运行;监督信息披露,保证独立审计诚信可靠等。1999年法国维也纳特报告(theVienotReport)监控经营者;确定经营战略;确保年度报告和重大交易的披露质量。1999年韩国公司治理最佳实务准则设定、审批经营计划;任免、监督管理层;监督资本性支出;保证会计信息真实性;监督风
14、险管理和财务控制;监督管理实务的有效性等。2002年中国上市公司治理准则按照股东大会决议设立战略、审计、提名、考核等专门委员会;审计委员会职责是提议聘请或更换外部审计机构、监督内部审计、负责内部审计与外部审计之间的沟通、审核公司财务信息及其披露、审查公司内控制度。18南开大学程新生等(四)财务报告内部控制实践(四)财务报告内部控制实践在以董事会为核心的控制体系中,可供选择的监控途径有:n 聘任或解聘经营者n 直接领导内部审计n 由董事会委派财务总监n 设立专职财务董事n 授权财务总监领导内部审计n 建立审计委员会n 聘请独立审计师等对经营者主导的财务组织(FinanceOrganization
15、,以财务负责人为首的财务系统)实施监控等19南开大学程新生等1 1董事会领导内部审计对财务组织监控 由董事直接领导企业内部审计,赋予审计部门较大的权力,提高了审计的独立性,有利于审计职能的发挥、改善监控效果。由董事会直接领导内部审计可以对整个企业财务决策、会计行为进行审计,在治理结构规范的企业,董事长与总经理分设,内部审计由董事会领导或向董事会报告工作是较为可行的模式。20南开大学程新生等2 2董事会委派财务总监对财务组织监控董事会委派财务总监对财务组织监控由董事会决定财务总监人选,委派的财务总监对董事会负责。财务总监尽管作为一个独立监控体系,但仍然是内部委派制下的监控体系。这与股东委派的财务
16、总监有所不同,股东委派财务总监是由外部进入企业,独立性更强。21南开大学程新生等3 3董事会设立专职财务董事对财务组织监控 在董事会设立财务董事,以财务董事为主,组织专门人员对经营者主导的财务组织实施监控,利用绩效评价指标体系对经营者绩效进行考核与评价,在较高层次上实施监督控制。22南开大学程新生等 4.4.董事会授权财务总监领导内部审计对财董事会授权财务总监领导内部审计对财务组织监控务组织监控董事会可以授权财务总监领导企业内部审计,以加强对财务组织的监督控制。财务总监领导的内部审计必须与经营者主导的财务组织独立,这是董事会实施监督控制的基本前提。23南开大学程新生等5.5.董事会所属并由独立
17、董事组成的审计委员会监控模式 审计委员会是董事会下设的监督机构,向董事会负责并报告工作,代表董事会监督财务报告过程和内部控制的有效性,保证财务报告的可靠性和企业经营活动的合法性。24南开大学程新生等三、财务报告内部控制的特点 财务报告内部控制的责任主体财务报告内部控制的责任主体管理者管理者 管理者是理性的经济人,高额报酬可能迫使其必须保管理者是理性的经济人,高额报酬可能迫使其必须保持公司的利润,但职业经理追求的还有荣誉、社会威信持公司的利润,但职业经理追求的还有荣誉、社会威信与权力、竞争热情、创造欲望、安全、冒险等目标。在与权力、竞争热情、创造欲望、安全、冒险等目标。在经理人市场上经理人员报酬
18、就是由其自身价值、以前工经理人市场上经理人员报酬就是由其自身价值、以前工作表现等决定的。因而经理人市场的形成能够激励、约作表现等决定的。因而经理人市场的形成能够激励、约束经理人员,促使经理追求长期的成功,不愿贪图眼前束经理人员,促使经理追求长期的成功,不愿贪图眼前的最大利益,以免风险大而招致终身失败。但的最大利益,以免风险大而招致终身失败。但管管理者作理者作为代理人相对委托人来讲,更了解公司内部实际的运作为代理人相对委托人来讲,更了解公司内部实际的运作和资金情况,也就更有机会进行和资金情况,也就更有机会进行“暗箱操作暗箱操作” 。25南开大学程新生等 【美国世通公司案例】 2001年,世通高额
19、负债的状况引起美国证券监管机构的关注,为此所进行的调查导致首席执行官埃伯斯辞职。世通公司前管理当局具有提供虚假财务报告的动机,包括:首席执行官持有公司大量股票,并以此作为个人贷款的质押;需要保持高股价,从而维持以换股方式进行收购兼并的吸引力;需要保持较高的投资和信用等级以发行股票或举债来为其经营活动和资本支出筹措资金 。26南开大学程新生等财务报告内部控制的内部屏障财务报告内部控制的内部屏障董事会董事会 管理者编制财务报告,董事会负责监督,是及早发现财务报告问题的第一道屏障。无论是董事会的结构,独立董事的规模,还是审计委员会的设立,都与财务报告内部控制相关。学者们早期认为,董事会应该包含若干名
20、内部董事,因为他们是董事会的重要信息来源。内部董事参与公司的日常管理,更了解公司经营状况,能提高董事会的决策效率。此外,内部董事可以减少外部董事与首席执行官(CEO)之间的信息不对称,从而有效的监管和评价CEO的工作。n法玛(Fama)指出,一个股东占多数的董事会并不是最佳董事会结构,其解决的办法就是引入外部董事 27南开大学程新生等 【乐山电力公司案例】 20042004年1 1月,乐山电力公司两位独立董事程厚博和刘文波,因对公司的担保行为、关联交易行为以及负债情况产生质疑,聘请会计师事务所对上市公司进行专项审计。独立董事聘请的深圳鹏城会计师事务所从乐山电力管理局得到的资料与中介机构取得的外
21、部有关对外担保资料、关联方及其交易资料不一致,因此深圳鹏城会计师事务所未能对乐山电力20032003年度及截至20032003年1212月3131日累计的对外担保情况、关联方及其交易事项的专项内容给出整体表示意见。28南开大学程新生等n 但就其取得的资料而言,深圳鹏城会计师事务所审计得出的已终审判决、已执行、正在执行的对外担保金额达到了2770万元,这些担保均未经公司董事会及股东大会的决议批准;目前已经形成诉讼或有可能形成诉讼的对外担保金额达到了8000万元,这些担保同样没有取得公司董事会或股东大会决议批准;截止2003年12月31日,乐山电力存在的其他对外担保累计金额据了解至少过亿元,其中大
22、部分未获董事会决议通过,并且未对外公告;此外,由于深圳鹏城会计师事务所无法实施进一步审计程序,只是无法发表意见的担保事项其累计金额同样过亿元,其中部分仍未能查公司有曾经披露的历史公告记录。29南开大学程新生等 股东行为对财务报告内部控制的影响股东行为对财务报告内部控制的影响 当存在绝对控股股东的情况下,股权结构对财务报告内部控制产生相反的效应。当控股股东担任公司的管理职务时,经营权和管理权实质上是合二为一的,不存在所有者和经营者之间的利益冲突。当经营者不是控股股东本人时,控股股东就有足够动力去监管代理人的行为。但控股股东与其他股东的利益并不是都一致的,控股股东侵占小股东的问题时有发生,例如控股
23、股东向公司委派管理人员,与管理层合谋损害中小股东的利益,还通过隧道挖掘(Tunneling)的方式侵占其他股东的利益。当存在利益侵占效应时,控股股东和公司管理层为了掩饰其侵占行为会倾向于降低信息透明度。30南开大学程新生等 美国等国家已经将由管理层聘请注册会计师,改为由董事会所属的审计委员会执行该项职能,保证财务报告审计的独立性。 在财务报告程序方面,审计人员是公众的利益代表,依靠审计人员对投资者获取的信息提供一定的保证,就像仓库保管员接受某一产品后,对该产品加盖密封条一样。 财务报告内部控制的外部屏障财务报告内部控制的外部屏障外部审计师外部审计师31南开大学程新生等四、财务报告内部控制风险和
24、防范企业财务报告欺诈前,通常会表现出一些异常现象,将其称为财务报告内部控制失效的风险信号。美国COSO委员会1999年发布了欺诈性财务报告分析,发现实施欺诈的公司,在欺诈前的几个会计期间发生亏损,或者正接近损益平衡点的位置,财务困境使得这些公司有力进行欺诈性活动。32南开大学程新生等财务报告风险信号 关键信号关键信号财务报告舞弊风险财务报告舞弊风险年末或季末收入激增年末或季末收入激增收入经常在期末被操纵以达到收益目标,包括:未结清账户收入经常在期末被操纵以达到收益目标,包括:未结清账户和提前确认下期收入,虚假销售,平滑收益等和提前确认下期收入,虚假销售,平滑收益等销售增长超过行业水销售增长超过
25、行业水平平行业内其他企业销售下降,本企业销售处于增长状态,但不行业内其他企业销售下降,本企业销售处于增长状态,但不能被合理证明能被合理证明毛利率异常毛利率异常没有记录全部费用、重复开出发票、虚假销售、产品质量下没有记录全部费用、重复开出发票、虚假销售、产品质量下降等降等结账后销售退回增加结账后销售退回增加可能意味着产品或服务质量问题,虚假销售等可能意味着产品或服务质量问题,虚假销售等应收账款回收期增加应收账款回收期增加应收账款回收期显著增加或显著高于行业水平应收账款回收期显著增加或显著高于行业水平存货周转期增加存货周转期增加存货周转期增加可能意味着产品积压、面临财务困境存货周转期增加可能意味着
26、产品积压、面临财务困境资产负债率显著变化资产负债率显著变化财务压力是重要的舞弊风险信号财务压力是重要的舞弊风险信号现金流量现金流量如果销售收入和盈利能力表现好,但经营现金流量较低或为如果销售收入和盈利能力表现好,但经营现金流量较低或为负数负数非财务业绩指标显著非财务业绩指标显著变化变化各个行业都有其关键信号,关键信号与财务结果显著不一致各个行业都有其关键信号,关键信号与财务结果显著不一致33南开大学程新生等为了指导管理当局和审计人员,美国会计监管公共委员会(PCAOB,2003)对内部控制缺陷作出说明,认为重大缺陷是指这种缺陷是指可影响公司按GAAP可靠地建立,记录,处理,报告外部财务数据的能
27、力。可以由单个缺陷或多个缺陷结合构成,这些缺陷不能防止或发现重大财务报告问题,但可从控制环境,道德准则,关联方交易,公司治理,审计委员会,内部审计,举报制度等方面关注公司财务报告内部控制的执行效果,如下表所示。34南开大学程新生等公司治理与财务报告内部控制控制环境控制环境如何激励管理层和员工?是否存在收益目标的压力;员工理解其个人对内部控如何激励管理层和员工?是否存在收益目标的压力;员工理解其个人对内部控制的责任;评价领导能力的标准是什么;如何处理发生的错误?等制的责任;评价领导能力的标准是什么;如何处理发生的错误?等道德准则道德准则建立道德准则并遵循;不存在违反准则的情况;公司资产被恰当地使
28、用建立道德准则并遵循;不存在违反准则的情况;公司资产被恰当地使用关联方交关联方交易易 制定关联方交易政策,该政策是否有效?公司是否定期进行关联方交易?制定关联方交易政策,该政策是否有效?公司是否定期进行关联方交易?向审计人员和董事会进行充分披露关联方交易情况;存在关联方交易的重要经济向审计人员和董事会进行充分披露关联方交易情况;存在关联方交易的重要经济动机是否能够证明关联方交易的存在?动机是否能够证明关联方交易的存在?公司治理公司治理 董事会保持独立性,董事会会议经常讨论潜在的问题,董事长与管理层关董事会保持独立性,董事会会议经常讨论潜在的问题,董事长与管理层关系适当;管理层对下级未施加不正当
29、影响,例如从不向关键人员明示或暗示账项系适当;管理层对下级未施加不正当影响,例如从不向关键人员明示或暗示账项调整调整审计委员审计委员会会 审计委员会保持独立,并具有财会知识,准确地理解内部控制;审计委员审计委员会保持独立,并具有财会知识,准确地理解内部控制;审计委员会积极开展活动,跟踪内部和外部审计发现的问题,在没有管理层参与的情况下会积极开展活动,跟踪内部和外部审计发现的问题,在没有管理层参与的情况下与审计人员会面与审计人员会面内部审计内部审计 设立内部审计部门,内部审计章程与设立内部审计部门,内部审计章程与“最佳的实践最佳的实践”保持一致;内部审计保持一致;内部审计部门的预算由董事会或审计
30、委员会审批;内部审计的范围涉及所有活动,如控制部门的预算由董事会或审计委员会审批;内部审计的范围涉及所有活动,如控制评价、财务审计、经营审计、监督公司道德准则的遵循情况;内部审计的建议被评价、财务审计、经营审计、监督公司道德准则的遵循情况;内部审计的建议被采纳和贯彻;内部审计人员能够胜任工作;能及时揭示出控制失败从而能采取纠采纳和贯彻;内部审计人员能够胜任工作;能及时揭示出控制失败从而能采取纠正措施正措施举报制度举报制度 建立了举报制度,并与责任人保持独立性,有足够的权力的经费追究问题,建立了举报制度,并与责任人保持独立性,有足够的权力的经费追究问题,举报信息提供给管理层、审计委员会和内部审计
31、部门举报信息提供给管理层、审计委员会和内部审计部门35南开大学程新生等业务流程信息控制 财务报告内部控制主要针对财务信息控制,业务流程信息控制主要针对业务流程信息控制,业务流程信息对于支持组织的决策与控制具有重要作用。除了解决组织中经营决策、协调与控制、战略绩效评价等的问题外,业务流程信息也具有分析问题、考察复杂目标与开创新产品的作用36南开大学程新生等一、业务信息控制一、业务信息控制 企业的营运规划、控制和决策需要多种多样的信息,虽然大部分为财务信息,但是还有一部分并非来自会计系统。 这些信息有的可以进入管理信息系统(如商品信息、客户信息),有些信息无法进入管理信息系统或进入成本高(如员工满
32、意度信息)。需要对业务信息控制,以保证流程的效率和效果。37南开大学程新生等MP公司公司CRM系统构架系统构架项目信息项目信息提醒提醒上级上级跟踪跟踪总结总结成功成功失败失败分析分析对策对策逐级逐级了解了解严格严格及时及时完整完整准确准确合理合理及时及时结果结果审批审批申请申请日志日志添加添加删除删除修改修改确定确定客户客户所有所有相关相关信息信息按时按时添补添补查询查询跟进跟进客户信息客户信息录入录入查询查询日志日志信息分析信息分析图表分析图表分析数据分析数据分析方便准确全面安全方便准确全面安全直观灵活具体实用直观灵活具体实用图图51 客户关系管理信息客户关系管理信息38南开大学程新生等 案
33、例 凌志(Lexus)是丰田汽车公司的顶级豪华轿车,车主应该得到最好的服务。公司依赖顾客信息系统提供服务,通过系统数据识别轮胎有问题的车辆,一旦发现问题,公司会邮寄400美元或更高金额的支票给车主去更换轮胎,但这时就出问题,有些支票寄给了非Lexus车的车主;有一些寄给了曾拥有,但现在已经更换汽车的车主,这些数据都来源于丰田公司的顾客信息系统,这个信息系统此时已经失效了。企业不仅要建立信息系统,同时还要进行事后控制。39南开大学程新生等二、管理信息系统控制二、管理信息系统控制(一)管理信息系统的演变过程(一)管理信息系统的演变过程管理信息系统经过的演变过程:数据处理系统(19501960年),
34、包括电子数据处理(EDP)、业务处理(TP)和记录保存;管理报告系统(19601970年),包括管理信息系统、管理报告系统和信息管理系统;决策支持系统(19701980年),包括决策支持系统(DSS)和管理支持系统(MSS);战略和终端用户支持系统(1980至今),包括主管信息系统(EIS)、战略信息系统(SIS)、供应链管理(SCM)、客户关系管理(CRM)和ERP系统(ERP)。40南开大学程新生等(二)ERPERP信息系统 信息系统经历了从MRPMRP、MRPMRP到ERPERP系统,ERPERP系统已被公认为现代管理信息系统的主流。 ERPERP的核心管理思想就是实现对整个供应链的有效
35、管理,主要体现在以下方面:对整个供应链资源进行管理,体现精益生产、同步工程和敏捷制造的思想,体现事前计划和事中控制的思想。 ERP ERP系统集成了质量管理、全员质量管理(TQMTQM)、准时制生产(JITJIT)、约束理论、精益生产、敏捷制造、实验室管理、EDIEDI(电子数据交换)、C/SC/S计算机技术、项目管理,同时也能够适应混合生产模式,在线实时分析监控销售、生产、采购、财务等作业,及时提供决策信息。41南开大学程新生等(三)信息管理制度 1. 1. 获得正确的信息 2. 2. 在正确的时间获取信息 3. 3. 以正确的形式获取信息 4. 4. 信息反馈制度 沃尔玛公司将每日销售的信
36、息传递给牛仔服制造商阮格尔公司。沃尔玛公司开发的信息模型为某些商店提供顾客所需要牛仔服的数量、尺寸和颜色信息。“ “循环交流” ”的结果是由于能够及时反馈阮格尔牛仔服的销售情况,从而使沃尔玛公司的库存最小,库存成本降低,同时能为顾客提供其真正需要的产品。42南开大学程新生等三、信息系统一般控制和应用控制三、信息系统一般控制和应用控制(一)信息系统中的一般控制 一般控制涉及信息系统设计、安全和使用的控制,以及对整个企业信息基础建设中的数据文件总体的安全的控制,包括软件控制、硬件控制、计算机操作控制、数据安全控制、系统实施的流程控制和信息系统管理控制(administrative control)
37、。43南开大学程新生等(二)信息系统中的应用控制(二)信息系统中的应用控制应用控制是针对具体的计算机化程序,例如薪资、应收账款和订单系统的特别使用的控制。应用控制应根据每个信息系统的特点,分别设计。应用控制包含自动控制和人工的流程控制,以确保只有经过授权的数据才能完全地、准确误地通过应用程序来处理。44南开大学程新生等案例 海空物流公司通过GPS(全球卫星系统),实现了对所有运输车辆24小时监控,所有仓库安装了CCTV监视系统,对出入仓库的人员实行指纹身份识别方式,对仓库中进出和存放的货物实行条形码管理。通过全程动态监控对供应链上每个成员的信息、行为和服务结果检查,鉴别出整个供应链上的冗余行为
38、和非增值行为。为保证信息系统的安全,对系统的制度严格执行,每月都要进行系统准入核对(systemaccessreconciliation)。45南开大学程新生等帕玛拉特是意大利第八大企业集团,以生产和销售牛奶、果汁和奶制品等为主,是意乳品业的巨头。但因无力填补145亿欧元的财务黑洞,2003年12月27日,意大利帕尔马地方破产法院批准了该公司提出的破产保护申请。帕玛拉特是典型的家族型企业,公司创始人卡利斯托.坦齐(Calisto Tanzi)的家族公司拥有帕玛拉特51%的股份。帕玛拉特的13人董事会中,没有任何人独立于坦齐家族。集中的权力减弱了财务报告内部控制,其内部审计人员波契向检察官承认伪
39、造了对美洲银行近40亿美元虚假账目的确认函。财务报告内部控制案例46南开大学程新生等 由于缺乏健全的财务制度,帕玛拉特没有做到财务统一管理。据金融时报报道,集团拥有170家分支机构,很多分公司以及开曼群岛的子公司之间都有现金转账。 多年的系统性造假行为导致帕玛拉特账面上有几十亿欧元不知所踪。如美洲银行在2003年12月19日称,帕玛拉特集团在开曼群岛的分支机构Bonlat金融公司在该银行账户上的款项并不存在,而帕玛拉特提供的一份虚假证明文件称该公司2002年12月31日有一笔39.5亿欧元的流动资金。47南开大学程新生等 财务制度的欠缺导致帕玛拉特集团高达100亿欧元的债务总额,其中1/3为意
40、大利的银行拥有,其余则由债券持有人和国外银行持有;帕玛拉特不但没有利用债务使公司获得财务杠杆收益,反而因过高的债务总额被迫宣布破产。 普华永道会计师事务所的审计师在结束清查帕玛拉特账目的第一阶段工作后,分析得出结论,公司实际负债额远远大于帕玛拉特管理层此前上报的金额。普华永道对帕玛拉特的真实财务 状况出具的报告称,截至2003年9月30日,帕玛拉特净负债额为143亿欧元,而不是该公司先前所称的18亿欧元。 在截至2003年9月30日的9个月,帕玛拉特收入为40亿欧元,而不是其公布的54亿欧元。利息、税项、折旧和摊销前的利润为1.21亿欧元,而不是先前所公布的6.51亿欧元,公司的流动资产可以“
41、忽略不计”。48南开大学程新生等 外币交易信息控制案例 联合爱尔兰银行(AIBAIB)的外币交易欺诈 20022002年2 2月5 5日,第一银行(AllfirstAllfirst)揭露了7.57.5亿美元外币交易亏损。 第一银行最先发现该行外汇交易员鲁斯纳克(John John RusnakRusnak)经手的外币交易有问题是在20022002年1 1月初。当时,该银行正在对资产部进行例行管理审核。恰在此时,鲁斯纳克要求银行提供巨额现金支持他的交易战略,银行高级经理人员认为他要求的钱款数额巨大,产生怀疑并开始调查。在一个多月的调查期间,鲁斯纳克一直给予合作,直到调查人员发现大量伪造的交易文件
42、后,这起7.57.5亿美元资产不翼而飞的欺诈案方才被揭露出来49南开大学程新生等n 早在1998年,AIB就安装了从英国Misys进口的软件,它能控制货币交易的前后台(在母公司AIB上安装后端软件,而其他子公司安装前台软件),以电子化记录前端柜台的货币交易,后端软件追踪所有交易记录。该软件能找出假交易、超过限额交易及未核准交易。假如有任何犯规者,它都会自动地发警报给经理人员。一位前AIB外货交易员在调查时说,“AIB纽约办公室对其员工的控制非常之严。假如你超过限额一毛钱,AIB的信用专员都会知道,而即使是在限额内的交易,只要有不寻常之处,我都会接到电话。”AIB还使用了Crossmar匹配服务
43、系统,该系统能在两分钟以内自动核对50南开大学程新生等n AIB虽然安装了后端软件,但在第一银行没有安装前台软件,因此无法进行直接处理,前端的交易信息是用人工方式送到后端的。而且第一银行从未用过Crossmar系统验证交易,而是依赖电话来确认的。但鲁斯纳克避开了控制系统的防护,他伪装交易验证,即让这些交易看起来像真的,尽管这些交易早该被发现。后端办公室依赖于鲁斯纳克每次交易时提供的人工信息,鲁斯纳克在不使用前台软件的情况下,通过其他软件输入交易,这样由于软件不匹配,后端人员无法发现其中的问题;经常给伪造的期权交易一天的到期日而不被人发觉,因为第一银行的报表不会列出一天之内到期的期权交易数据。同
44、时,他还私下说服后端办公室不要确认期权交易,因为并未有净现金的转移51南开大学程新生等n AIB指定一外部高级专家来主持对损失原因的调查,包括违反内部控制及可能的内外勾结。调查报告将陈述事实,解释政策及控制效力,提出改进意见n 鲁斯纳克伪造的期权与东京、新加坡的主要国际性金融分支机构有关,按规定要求员工在晚上进行电话确认,他说服员工不必费事进行确认,还经常在当天结账时将当日所有的单笔交易归整成一笔交易,这样可以使他的交易看起来似乎是在规避风险。综上分析,虽然AIB有完善的软件系统,但软件系统不等于信息系统,同时即使有完善的信息系统,也需要很好的控制。52南开大学程新生等 本章小结 信息控制包括财务报告内部控制和业务流程信息控制,企业财务报告内部控制表现为由高层管理者制定、实施,受到董事会或类似机构的监督,为确保企业财务报告如实地反映了企业的财务与经营状况、符合会计准则的编报要求的措施与程序。业务流程信息控制是用人工和自动化方法保障信息系统的安全,同时确保实施过程符合管理标准,为业务流程的实施、经营管理提供所需的信息。53南开大学程新生等