《公司治理風(fēng)險管理和內(nèi)部控制》第六章-信息與溝通課件

第六章信息與溝通第一節(jié)內(nèi)部信息傳遞 第二節(jié)

信息系統(tǒng) 第三節(jié)溝通 目錄案例引入：信息混亂，車毀人亡2008年4月28日凌晨4時48分，山東膠濟(jì)鐵路王家段，限速80公里/時處，時速達(dá)131公里的北京—青島T195次列車，第9—17號車廂突然脫軌，侵入了并行的另一條鐵軌。和正常運行的對開5034次列車相撞，造成71人死亡，416人受傷?，F(xiàn)已證實，事故線路是一條呈“S”型臨時線路，而超速被認(rèn)為是這起事故的直接原因。但超速背后是信息的傳遞混亂。行經(jīng)此段的列車限速一月內(nèi)竟數(shù)次更改，而且指令傳達(dá)不暢通，規(guī)章制度形同虛設(shè)。事發(fā)前幾天濟(jì)南鐵路局曾發(fā)文限速，但又迅速取消限速。潛伏巨大危險的臨時鐵路，兒戲般的調(diào)度管理，層層的疏忽與失職，最終導(dǎo)致了中國鐵路史上最重大的慘禍之一。事后相關(guān)部門總結(jié)信息滯漏不暢是造成事故的主要原因。4.28事件表明：有效的信息與溝通對于企業(yè)的成功是至關(guān)重要的。每個企業(yè)都要識別和獲取與管理該主體相關(guān)的廣泛的信息。這些信息以保證員工能履行內(nèi)部控制和風(fēng)險管理職責(zé)的形式和時機(jī)傳遞給員工。第一節(jié)

內(nèi)部信息傳遞內(nèi)部信息傳遞一、內(nèi)部信息傳遞的定義按照《企業(yè)內(nèi)部控制應(yīng)用指引第17號——內(nèi)部信息傳遞》的規(guī)定，內(nèi)部信息傳遞是企業(yè)內(nèi)部管理層級之間以報告為載體和形式傳遞生產(chǎn)經(jīng)營管理信息的過程。信息在企業(yè)內(nèi)部進(jìn)行有目的的、及時的、準(zhǔn)確的、安全的傳遞，對貫徹企業(yè)發(fā)展戰(zhàn)略、正確識別生產(chǎn)經(jīng)營中的風(fēng)險、及時糾正操作錯誤、提高決策質(zhì)量具有重要作用。內(nèi)部信息傳遞二、信息的內(nèi)涵信息是對人有用的、能夠影響人們行為的數(shù)據(jù)。信息是數(shù)據(jù)的含義，是人們對數(shù)據(jù)的理解，是數(shù)據(jù)加工后的結(jié)果。數(shù)據(jù)是信息的載體，沒有數(shù)據(jù)便沒有信息，因此信息不能單獨存在。要想獲得信息就要先獲得載荷信息的數(shù)據(jù)，對其加工才能獲得信息。內(nèi)部信息傳遞戰(zhàn)略性策略性操作性交易數(shù)據(jù)信息加工與篩選高層管理中層管理基層管理內(nèi)部信息傳遞信息還有下列特征：

1共享性2可傳遞性3可編碼性4具有價值內(nèi)部信息傳遞三、內(nèi)部信息傳遞基本流程內(nèi)部信息傳遞流程是根據(jù)企業(yè)生產(chǎn)經(jīng)營管理的特點來確定，其形式千差萬別，沒有一個最優(yōu)的方案。對企業(yè)最為重要的、最普遍的信息傳遞形式就是內(nèi)部報告，亦稱內(nèi)部管理報告。內(nèi)部報告時指企業(yè)在管理控制系統(tǒng)中為企業(yè)內(nèi)部各級管理層以定期或非定期的形式記錄和反映企業(yè)內(nèi)部管理信息的各種圖表和文字資料的總稱。一般來說，內(nèi)部信息傳遞至少包括兩個階段，一是信息形成階段，二是信息使用階段。

內(nèi)部信息傳遞建立內(nèi)部報告及指標(biāo)體系搜集整理內(nèi)外部信息形成內(nèi)部報告審核內(nèi)部報告通過內(nèi)部報告在規(guī)定的范圍內(nèi)流轉(zhuǎn)內(nèi)部報告使用和保管定期全面評估內(nèi)部報告形成階段內(nèi)部報告使用階段未通過內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求（了解）（一）及時有效性原則及時有效性原則是指在信息傳遞過程中，必須做到在經(jīng)濟(jì)業(yè)務(wù)發(fā)生時及時進(jìn)行數(shù)據(jù)搜集，盡快進(jìn)行信息加工，形成有效形式并盡快傳輸?shù)街付ǖ攸c和信息使用者。內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求（二）反饋性原則反饋性原則是指在信息傳遞過程中，相同口徑的信息能夠頻繁地往返于信息使用者和信息提供者之間，把決策執(zhí)行情況的信息及時反饋給信息使用者，幫助信息使用者證實或者修正先前的期望，以便其進(jìn)一步?jīng)Q策的活動。沃爾瑪超市：啤酒加尿布的故事一般看來，啤酒和尿布是顧客群完全不同的商品。但是沃爾瑪一年內(nèi)數(shù)據(jù)挖掘顯示，在居民區(qū)中尿布賣得好的店面，啤酒也賣得好。原因很簡單，一般太太讓先生下樓買尿布的時候，先生們一般都會犒勞自己兩聽啤酒。因此啤酒和尿布一起購買的機(jī)會是最多的。這是一個現(xiàn)代商場智能化信息分析系統(tǒng)發(fā)現(xiàn)的秘密，這個故事標(biāo)志著數(shù)據(jù)挖掘開始進(jìn)入商業(yè)領(lǐng)域。內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求（三）預(yù)測性原則預(yù)測性原則是指企業(yè)傳遞和使用的經(jīng)營決策信息需要具備預(yù)測性的功能。信息預(yù)測性的功能在于提供提高決策水平所需的那種發(fā)現(xiàn)差別、分析和解釋差別，從而在差別中減少不確定的信息。

麥當(dāng)勞和肯德基之爭麥當(dāng)勞和肯德基在中國的發(fā)展可謂是一日千里，這兩家店在中國發(fā)展得如此迅猛，就是順應(yīng)了中國發(fā)展的潮流和社會的變革。這兩家公司有著不同的發(fā)展模式，麥當(dāng)勞是全球快餐業(yè)的老大，但是在中國的業(yè)務(wù)卻沒有肯德基做得好。麥當(dāng)勞最先在中國進(jìn)行快餐市場的調(diào)研考察，但是它依據(jù)信息做出了兩個錯誤的判斷：第一，中國人民的餐飲習(xí)慣。中華民族是吃貫穿于所有政治經(jīng)濟(jì)文化活動之中的一個民族，做工作要吃飯，體現(xiàn)親情也要吃飯，大眾的消遣娛樂還是歸結(jié)到吃上，所以中國人民對吃非常講究，也非常重視。所以麥當(dāng)勞認(rèn)為快餐在中國難以做大。第二，快餐的口味問題。中華民族保留著很多有關(guān)吃的傳統(tǒng)，食物種類豐富多彩，口味南北迥異，廣東人喜歡煲湯，湖北人湖南人喜歡吃辣，上海人喜歡吃甜，山西人喜歡吃酸，北京人喜歡吃咸，東北人喜歡吃亂燉。而快餐的口味十分單一，做不到口味豐富多彩。而人們的口味一旦形成就會是非常頑固的一種習(xí)慣，這種習(xí)慣會導(dǎo)致人們對快餐的抵制和排斥。因此，麥當(dāng)勞對中國市場沒有信心，認(rèn)為中國是沒有希望的市場，于是放棄在中國的投資。幾年之后，肯德基進(jìn)入中國市場調(diào)研，他們得出一個相反的結(jié)論：第一，中國的社會在發(fā)展，中國人的觀念在改變，飲食結(jié)構(gòu)也在悄然地發(fā)生變化，生活的快節(jié)奏，求新求異將成為中國人民的生活主流，在這樣的大前提下進(jìn)入中國快餐市場，肯定會迎合時代的發(fā)展，是非常好的一個時機(jī)。第二，中國人民傳統(tǒng)的飲食習(xí)慣也在改變，傳統(tǒng)口味吃了很多年，人們樂于追求新穎的口味，這也是迎合中國人飲食結(jié)構(gòu)多樣性的一種改革。所以肯德基做出的決策就是可以進(jìn)入中國市場。當(dāng)然這兩家公司都沒有想到在美國稱之為垃圾食品的快餐，在中國迅速成為時尚，成為大眾消費的食品，出現(xiàn)舉家吃快餐的熱鬧場面。因此肯德基先在中國紅火發(fā)展起來。麥當(dāng)勞看到后業(yè)不甘示弱，于是人們看到非常有趣的現(xiàn)象，只要有肯德基的地方，斜對面就一定有麥當(dāng)勞。內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求（四）真實準(zhǔn)確性原則真實準(zhǔn)確性原則是指企業(yè)內(nèi)部傳遞的信息符合事件或事物的客觀實際，包括范圍的真實準(zhǔn)確性、內(nèi)容的真實準(zhǔn)確性和標(biāo)準(zhǔn)的真實準(zhǔn)確性。內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求（五）安全保密性原則安全保密性原則，又稱“內(nèi)部性原則”，是指內(nèi)部信息傳遞的服務(wù)對象僅限于內(nèi)部利益相關(guān)者，即企業(yè)管理當(dāng)局，因而具有一定的商業(yè)機(jī)密特征。相關(guān)鏈接：普華永道發(fā)布2010年度全球信息安全調(diào)查報告。報告顯示，中國企業(yè)信息安全事故發(fā)生率遠(yuǎn)遠(yuǎn)高于世界平均水平。據(jù)調(diào)查報告中的數(shù)據(jù)顯示，網(wǎng)絡(luò)事故、數(shù)據(jù)事故及系統(tǒng)事故是三大中國企業(yè)常見的信息安全事故，發(fā)生率分別為51%、45%、和40%。而相同事故在全球范圍內(nèi)的發(fā)生率則為25%、27%與23%。也就是說，中國企業(yè)發(fā)生信息安全事故的概率是世界平均水平的2倍左右。而這個數(shù)據(jù)與2009年相比仍呈現(xiàn)一定程度的上升趨勢。傅毓敏（普華永道風(fēng)險管理和內(nèi)部控制部門合伙人）表示，從全球范圍來看，中國企業(yè)在信息安全硬件的投入水平并不低，在有些領(lǐng)域甚至處于世界領(lǐng)先水平。但中國企業(yè)對信息安全管理人員及流程方面重視遠(yuǎn)遠(yuǎn)不足。與大多數(shù)跨國公司相比，中國企業(yè)對于在公司內(nèi)使用聊天軟件、社交網(wǎng)絡(luò)等領(lǐng)域管理松散，監(jiān)察監(jiān)測系統(tǒng)缺位，這些都是導(dǎo)致中國企業(yè)泄密等信息安全事故高發(fā)的重要原因。

內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求（六）成本效益原則成本效益原則是經(jīng)濟(jì)管理活動中廣泛適應(yīng)性的要求。因為任何一項活動，只有當(dāng)收益大于成本時才是可行的，某項信息是否值得傳遞，首先就必須滿足這個約束條件。內(nèi)部信息傳遞五、內(nèi)部信息傳遞各環(huán)節(jié)的主要風(fēng)險點及控制措施（掌握）（一）建立內(nèi)部報告和指標(biāo)體系（二）搜集整理內(nèi)外部信息（三）編制及審核內(nèi)部報告（四）內(nèi)部報告?zhèn)鬟f（五）內(nèi)部報告使用和保管（六）內(nèi)部報告的評估（一）建立內(nèi)部報告和指標(biāo)體系主要風(fēng)險是：指標(biāo)體系的設(shè)計未能結(jié)合企業(yè)的發(fā)展戰(zhàn)略；內(nèi)部報告或指標(biāo)體不完整或過于復(fù)雜；指標(biāo)體系缺乏調(diào)整機(jī)制；指標(biāo)信息難以獲得或獲取的成本過高主要管控措施：第一，企業(yè)應(yīng)認(rèn)真研究企業(yè)的發(fā)展戰(zhàn)略、風(fēng)險控制要求和業(yè)績考核標(biāo)準(zhǔn)，根據(jù)各管理層級對信息的需求和詳略程度，建立一套級次分明的內(nèi)部報告指標(biāo)體系。企業(yè)明確的戰(zhàn)略目標(biāo)和具體的戰(zhàn)略規(guī)劃為內(nèi)部報告控制目標(biāo)的確定提供了依據(jù)。第二，企業(yè)內(nèi)部報告指標(biāo)確定后，應(yīng)進(jìn)行細(xì)化，層層分解，使企業(yè)中各責(zé)任中心及其各相關(guān)職能部門都有自己明確的目標(biāo)，以利于控制風(fēng)險并進(jìn)行業(yè)績考核。第三，當(dāng)內(nèi)部控制指標(biāo)體系不適應(yīng)企業(yè)決策要求時，需進(jìn)行調(diào)整第四，根據(jù)成本效應(yīng)原則，考察獲取信息的難度和設(shè)置相應(yīng)內(nèi)部報告指標(biāo)的必要性內(nèi)部報告分類1.根據(jù)部門的性質(zhì)內(nèi)部報告可分為：（1）工作總結(jié)和工作計劃報告：每周、每月、每季、半年和年度由下級部門或下級員工向上級部門或員工上報。（2）銷售報表：這些報表每天上報銷售部負(fù)責(zé)人，每周或每月上報財務(wù)總監(jiān)或企業(yè)負(fù)責(zé)人。（3）費用報表：各部門或有關(guān)個人要建立費用控制臺賬管理費用，不能盲目開支。（4）成本報表：生產(chǎn)部門應(yīng)當(dāng)建立成本控制臺賬，生產(chǎn)部門有關(guān)領(lǐng)導(dǎo)應(yīng)當(dāng)天天看、天天分析，并于每周或每月上報財務(wù)總監(jiān)或企業(yè)負(fù)責(zé)人。（5）采購報表：這些報表每天上報采購部負(fù)責(zé)人，每周或每月上報財務(wù)總監(jiān)或企業(yè)負(fù)責(zé)人。

（6）資金報表：資金收支結(jié)構(gòu)日報、借款明細(xì)表、貸款擔(dān)保抵押表、貸款情況表、銀行賬戶及印鑒管理表、銀行對賬單、資金盤點表、銀行存款余額調(diào)節(jié)表、資金需求狀況表。財務(wù)總監(jiān)應(yīng)該重點關(guān)注這些信息，并不定期檢查。企業(yè)負(fù)責(zé)人應(yīng)該關(guān)注資金需求狀況等。（7）資產(chǎn)報表：行政部應(yīng)當(dāng)建立資產(chǎn)管理臺賬對企業(yè)資產(chǎn)進(jìn)行全面跟蹤管理，每月進(jìn)行盤點核實。財務(wù)部應(yīng)當(dāng)定期與行政部核對資產(chǎn)。（8）人事報表：包括人事變動分析表和薪資變動分析表。（9）投資報表：每月對企業(yè)投資情況向企業(yè)負(fù)責(zé)人進(jìn)行分析報告。（10）分析報表：在以上報表的基礎(chǔ)上通過文字進(jìn)行說明，詳細(xì)分析前因后果，包括財務(wù)分析報告。

2.根據(jù)內(nèi)部報告的內(nèi)容可分下面兩類報告：（1）完成計劃情況的報告。包括綜合類和單項經(jīng)濟(jì)指標(biāo)報告。綜合類報告的內(nèi)容有：獲利能力、收入、費用、應(yīng)收賬款、存貨、現(xiàn)金流量等；單項經(jīng)濟(jì)指標(biāo)報告的內(nèi)容較多，如銀行存款、產(chǎn)量、日銷量等。（2）調(diào)查分析報告。一般是指專業(yè)人員根據(jù)管理層的要求，對管理政策執(zhí)行過程中出現(xiàn)的異常進(jìn)行調(diào)查、分析，給出的描述異常情況及原因等內(nèi)容的報告。

（二）搜集整理內(nèi)外部信息企業(yè)應(yīng)當(dāng)廣泛收集、分析、整理內(nèi)外部信息，并通過內(nèi)部報告?zhèn)鬟f到企業(yè)內(nèi)部相關(guān)管理層級，以便及時采取應(yīng)對策略。企業(yè)可以通過行業(yè)協(xié)會組織、社會中介機(jī)構(gòu)、業(yè)務(wù)往來單位、市場調(diào)查、來信來訪、網(wǎng)絡(luò)媒體以及有關(guān)監(jiān)管部門等渠道，獲取外部信息；通過財務(wù)會計資料、經(jīng)營管理資料、調(diào)研報告、專項信息、內(nèi)部刊物、辦公網(wǎng)絡(luò)等渠道，獲取內(nèi)部信息。該環(huán)節(jié)的主要風(fēng)險是：收集的內(nèi)外部信息不足或過多；內(nèi)容準(zhǔn)確性差；獲取內(nèi)外部信息的成本過高。主要管控措施：第一，根據(jù)特定服務(wù)對象的需求，選擇信息收集過程中重點關(guān)注的信息類型和內(nèi)容。第二，對信息進(jìn)行審核和鑒別，對已經(jīng)篩選的資料作進(jìn)一步的檢查，確定其真實性和合理性。企業(yè)應(yīng)當(dāng)檢查信息在事實與時間上有無差錯，是否合乎邏輯，其來源單位、資料份數(shù)、指標(biāo)等是否完整。第三，企業(yè)應(yīng)當(dāng)在收集信息的過程中考慮獲取信息的便利性及其獲取成本高低。（三）編制及審核內(nèi)部報告企業(yè)內(nèi)部報告因報告類型不同、反映的信息特點不同，內(nèi)部報告的格式不盡一致。一般情況下，企業(yè)內(nèi)部報告應(yīng)當(dāng)包括報告名、文件號、執(zhí)行范圍、內(nèi)容、起草或制定部門、報送和抄送部門及時效要求等。該環(huán)節(jié)的主要風(fēng)險是：內(nèi)部報告未能根據(jù)各內(nèi)部使用單位的需求進(jìn)行編制，內(nèi)容不完整或難以理解，編制不及時，未經(jīng)審核即向有關(guān)部門傳遞。主要管控措施：第一，企業(yè)內(nèi)部報告的編制單位應(yīng)緊緊圍繞內(nèi)部報告使用者的信息需求，以內(nèi)部報告指標(biāo)體系為基礎(chǔ)，內(nèi)容全面、簡潔明了、通俗易懂，便于企業(yè)各管理層級和全體員工掌握相關(guān)信息，正確履行職責(zé)。第二，企業(yè)應(yīng)合理設(shè)計內(nèi)部報告編制程序，提高編制效率，保證內(nèi)部報告能在第一時間提供給相關(guān)管理部門。對于重大突發(fā)事件應(yīng)以速度優(yōu)先，盡可能快的編制出內(nèi)部報告，向董事會報告。第三，企業(yè)應(yīng)當(dāng)建立內(nèi)部報告審核制度，設(shè)定審核權(quán)限，確保內(nèi)部報告信息質(zhì)量。企業(yè)必須對崗位與職責(zé)分工進(jìn)行控制，內(nèi)部報告的起草與審核崗位分離，內(nèi)部報告在傳遞前必須經(jīng)簽發(fā)部門負(fù)責(zé)人審核。對于重要信息，企業(yè)應(yīng)當(dāng)委派專門人員對其傳遞過程進(jìn)行復(fù)核，確保信息正確的傳遞給使用者。（四）內(nèi)部報告?zhèn)鬟f該環(huán)節(jié)的主要風(fēng)險是：缺乏內(nèi)部報告?zhèn)鬟f流程，內(nèi)部報告誤傳遞或丟失，內(nèi)部報告?zhèn)鬟f系統(tǒng)中斷。主要管控措施：第一，企業(yè)應(yīng)當(dāng)制定內(nèi)部報告?zhèn)鬟f制度。企業(yè)可根據(jù)信息的重要性、內(nèi)容等特征，確定不同的流轉(zhuǎn)環(huán)節(jié)。第二，企業(yè)應(yīng)嚴(yán)格按設(shè)定的傳遞流程進(jìn)行流轉(zhuǎn)。企業(yè)各管理層對內(nèi)部報告的流轉(zhuǎn)應(yīng)做好記錄，對于未按照流轉(zhuǎn)制度進(jìn)行操作的事件，應(yīng)當(dāng)調(diào)查原因，并做相應(yīng)處理。第三，企業(yè)應(yīng)及時更新信息系統(tǒng)，確保內(nèi)部報告有效安全的傳遞。（五）內(nèi)部報告使用和保管該環(huán)節(jié)的主要風(fēng)險是：第一，企業(yè)管理層在決策時并沒有使用內(nèi)部報告提供的信息，內(nèi)部報告未能用于風(fēng)險識別和控制，商業(yè)秘密通過企業(yè)內(nèi)部報告被泄露。第二，企業(yè)缺少內(nèi)部報告的保管制度，內(nèi)部報告的保管存放雜亂無序，對重要資料的保管期限過短，保密措施不嚴(yán)。主要管控措施：第一，企業(yè)應(yīng)當(dāng)建立內(nèi)部報告保管制度。指定專人按類別保管，規(guī)定其保管年限。對影響重大的內(nèi)部報告，應(yīng)當(dāng)永久保管。有條件的企業(yè)應(yīng)當(dāng)建立電子內(nèi)部報告保管庫，分性質(zhì)，按照類別、時間、保管年限、影響程序及保密要求等分門別類地儲存電子內(nèi)部報告。第二，企業(yè)應(yīng)當(dāng)制定嚴(yán)格的內(nèi)部報告保密制度，明確保密內(nèi)容、保密措施、密級程度和傳遞范圍，防止泄露商業(yè)秘密。有關(guān)公司商業(yè)秘密的重要文件要由企業(yè)較高級別的管理人員負(fù)責(zé)，具體至少由兩人共同管理，放置在專用保險箱內(nèi)。查閱保密文件，必須經(jīng)該高層管理人員同意，由兩人分別開啟相應(yīng)的鎖具方可打開。（六）內(nèi)部報告的評估該環(huán)節(jié)主要風(fēng)險點：企業(yè)缺乏完善的內(nèi)部報告評價體系，對各信息傳遞環(huán)節(jié)和傳遞方式控制不嚴(yán)，針對傳遞不及時、信息不準(zhǔn)確的內(nèi)部報告缺乏相應(yīng)的懲戒機(jī)制。主要管控措施：第一，企業(yè)應(yīng)建立并完善企業(yè)對內(nèi)部報告的評估制度，嚴(yán)格按照評估制度對內(nèi)部報告進(jìn)行合理評估，至少每年度對內(nèi)部報告進(jìn)行一次評估，重點關(guān)注內(nèi)部報告的及時性，內(nèi)部信息傳遞的有效性和安全性。第二，為保證信息傳遞的及時準(zhǔn)確，企業(yè)必須執(zhí)行獎懲機(jī)制。對經(jīng)常不能及時或準(zhǔn)確傳遞信息的相關(guān)人員應(yīng)當(dāng)進(jìn)行批評和教育，并與績效考核體系掛鉤。第二節(jié)

信息系統(tǒng)（不做要求）信息系統(tǒng)一、信息系統(tǒng)的定義按照《企業(yè)內(nèi)部控制應(yīng)用指引第18號——信息系統(tǒng)》的規(guī)定，信息系統(tǒng)是指企業(yè)利用計算機(jī)和通信技術(shù)，對內(nèi)部控制進(jìn)行集成、轉(zhuǎn)化和提升所形成的信息化管理平臺。現(xiàn)代企業(yè)的運營越來越依賴于信息系統(tǒng)。比如航空公司的網(wǎng)上訂票系統(tǒng)、銀行的資金實時結(jié)算系統(tǒng)、攜程旅行網(wǎng)的客戶服務(wù)系統(tǒng)等，沒有信息系統(tǒng)的支撐，業(yè)務(wù)開展就舉步維艱、難以為繼，企業(yè)經(jīng)營就很可能陷入癱瘓狀態(tài)。還有一些新興產(chǎn)業(yè)和新興企業(yè)，其商業(yè)模式完全依賴信息系統(tǒng)，各種網(wǎng)絡(luò)公司（新浪、網(wǎng)易、百度）、各種電子商務(wù)公司（比如阿里巴巴、卓越公司），沒有信息系統(tǒng)，這些企業(yè)可能失去生存之基。信息系統(tǒng)內(nèi)部控制的目標(biāo)是促進(jìn)企業(yè)有效實施內(nèi)部控制，提高企業(yè)現(xiàn)代化管理水平，減少人為操縱因素；同時，增強(qiáng)信息系統(tǒng)的安全性、可靠性和合理性以及相關(guān)信息的保密性、完整性和可用性，為建立有效的信息與溝通機(jī)制提供支持保障。信息系統(tǒng)內(nèi)部控制的主要對象是信息系統(tǒng)，由計算機(jī)硬件、軟件、人員、信息流和運行規(guī)程等要素組成。制造企業(yè)可以將信息系統(tǒng)劃分為財務(wù)管理系統(tǒng)、人力資源管理系統(tǒng)、MRP系統(tǒng)（銷售、采購、庫存、生產(chǎn)）、計算機(jī)輔助設(shè)計和制造系統(tǒng)、客戶關(guān)系系統(tǒng)、電子商務(wù)系統(tǒng)等若干子系統(tǒng)。

《企業(yè)內(nèi)部控制應(yīng)當(dāng)指引第18號——信息系統(tǒng)》規(guī)定，企業(yè)負(fù)責(zé)人對信息系統(tǒng)建設(shè)工作負(fù)責(zé)。換言之，信息系統(tǒng)建設(shè)是“一把手”工程。2010-3-28chiguohua0913@東財池國華案例鏈接

日本瑞穗證券公司因錯誤操作損失300億日元2005年12月8日東京股票市場上，日本四大金融集團(tuán)之一的瑞穗金融集團(tuán)下屬瑞穗證券公司因錯誤操作嘉克姆公司股票造成公司損失約300億日元(120日元約合1美元)。瑞穗證券公司操盤手當(dāng)天將“以61萬日元的價格出售1股股票”操作為“以1日元的價格出售61萬股股票”，這時操作屏上市場價格欄中出現(xiàn)了輸入有誤的警告，但由于這一警告經(jīng)常出現(xiàn)，操盤手忽視警告繼續(xù)操作。

2010-3-28chiguohua0913@東財池國華受錯誤操作影響，嘉克姆股票馬上從開盤價每股67.2萬日元暴跌至當(dāng)日停盤價57.2萬日元。由于拋售61萬股的預(yù)約已被認(rèn)可，嘉克姆股票實際上以接近停盤價被成交，而非1日元。另外，嘉克姆公司實際發(fā)行股票數(shù)量只有1.45萬股，瑞穗證券公司預(yù)約售出的股票數(shù)量是其發(fā)行量的42倍，屬于賣空行為。瑞穗證券公司必須大量買入嘉克姆公司股票，以使交易成立。因此，嘉克姆股票又馬上急漲至每股77.2萬日元結(jié)束當(dāng)天交易。瑞穗證券公司總裁福田真8日表示，公司已經(jīng)損失270億日元，預(yù)計最終經(jīng)濟(jì)損失將超過300億日元。這一因操作錯誤帶來的損失規(guī)模是史無前例的。2010-3-28chiguohua0913@東財池國華日本首相小泉純一郎9日對瑞穗證券公司操作過失一事發(fā)表講話時說，希望采取萬全之策防止此類事件重演。同一天，日本經(jīng)濟(jì)財政金融大臣與謝野馨在記者會上表示，必須徹底查明為什么沒能防止這種人為錯誤出現(xiàn)的原因，必須最大限度地維持證券市場的穩(wěn)定。日本金融廳表示要考慮對瑞穗證券公司進(jìn)行處分，同時也要求有關(guān)方面查明證券交易系統(tǒng)是否存在問題。信息系統(tǒng)二、信息系統(tǒng)的生命周期（一）系統(tǒng)規(guī)劃期（二）系統(tǒng)開發(fā)期（三）系統(tǒng)運行與維護(hù)期信息系統(tǒng)信息系統(tǒng)三、信息系統(tǒng)的開發(fā)方式（一）自行開發(fā)自行開發(fā)是企業(yè)依托自身力量完成整個開發(fā)過程。優(yōu)點：開發(fā)人員熟悉企業(yè)情況；培養(yǎng)鍛煉自己的開發(fā)隊伍。缺點：開發(fā)周期較長；技術(shù)水平和規(guī)范程度較難保證；成功率相對較低。適用條件：企業(yè)自身技術(shù)力量雄厚，而且市場上沒有能夠滿足企業(yè)需求的成熟的商品化軟件和解決方案。百度的搜索引擎系統(tǒng)就偏重于自行開發(fā)。信息系統(tǒng)三、信息系統(tǒng)的開發(fā)方式（二）外購調(diào)試外購調(diào)式的基本做法是企業(yè)購買成熟的商品化軟件，通過參數(shù)配置和二次開發(fā)滿足企業(yè)需求。優(yōu)點：開發(fā)建設(shè)周期短；成功率較高；成熟的商品化軟件質(zhì)量穩(wěn)定，可靠性高；專業(yè)的軟件提供商實施經(jīng)驗豐富。缺點：系統(tǒng)的后期升級進(jìn)度受制于商品化軟件供應(yīng)商產(chǎn)品更新?lián)Q代的速度，企業(yè)自主權(quán)不強(qiáng)，較為被動。適用條件：企業(yè)的特殊需求較少，市場上已有成熟的商品化軟件和系統(tǒng)實施方案。大部分企業(yè)的財務(wù)管理系統(tǒng)、ERP系統(tǒng)、人力資源管理系統(tǒng)、教學(xué)管理系統(tǒng)等多采用外購調(diào)試方式。信息系統(tǒng)三、信息系統(tǒng)的開發(fā)方式（三）業(yè)務(wù)外包信息系統(tǒng)的業(yè)務(wù)外包是指委托其他單位開發(fā)信息系統(tǒng)。優(yōu)點：充分利用專業(yè)公司的專業(yè)優(yōu)勢；節(jié)約了人力資源成本。缺點：溝通成本高；要求企業(yè)必須加大對外包項目的監(jiān)督力度。適用條件：市場上沒有能夠滿足企業(yè)需求的成熟的商品化軟件和解決方案，企業(yè)自身技術(shù)力量薄弱或出于成本效益原則考慮不愿意維持龐大的開發(fā)隊伍。江蘇電力:將財務(wù)信息化進(jìn)行到底“江蘇省電力公司的信息化歷程和實踐，是以會計信息化為基礎(chǔ)，財務(wù)信息化為核心，實現(xiàn)公司全面管理的信息化?！苯K電力總經(jīng)理費圣英在接受《中國會計報》記者采訪時，用精煉的一句話道出了該企業(yè)財務(wù)信息化的實踐論和方法論。江蘇電力作為一家擁有上千億資產(chǎn)的省級電網(wǎng)公司，在全面推進(jìn)財務(wù)信息化、以及財務(wù)信息化與企業(yè)信息化的全面融合方面已遠(yuǎn)遠(yuǎn)地走在了前面。1.從會計信息化到財務(wù)信息化“要實現(xiàn)財務(wù)對企業(yè)管理的統(tǒng)籌作用，就必須要有一套高效的財務(wù)管理系統(tǒng)?！辟M圣英一直認(rèn)為，財務(wù)管理在整個企業(yè)管理中處于核心地位，要以信息系統(tǒng)建設(shè)為手段強(qiáng)化財務(wù)控制，提高經(jīng)營管理水平。由江蘇電力自主研發(fā)的FMIS（財務(wù)管理信息化系統(tǒng)）就在這樣的背景下誕生了。江蘇電力的會計信息化早在1992年就已開始，最初使用的是較為成熟的電算化軟件。1995年起，公司系統(tǒng)開始自主研發(fā)可在全系統(tǒng)運行的財務(wù)軟件。在不斷實踐中，江蘇電力又探索出了“預(yù)算管理、內(nèi)部控制、會計核算三位一體的信息化管理模式”。公司在核算型信息系統(tǒng)的基礎(chǔ)上，納入基于預(yù)算管理、流程控制的全面管理，形成全面的財務(wù)管理信息系統(tǒng)。

2.基于FMIS（財務(wù)管理信息系統(tǒng)）的財務(wù)內(nèi)部控制江蘇電力有著嚴(yán)格的預(yù)算管理，對資金的管理要求非常細(xì)化。根據(jù)規(guī)定，其下轄的市縣級公司，20萬元以上的資金需求需要提前一個月上報，20萬元以內(nèi)的需要一周以內(nèi)上報。江蘇電力的13個市（地級）供電公司、58個縣（區(qū)）供電公司等分公司的資金預(yù)算管理全部都是通過FMIS實現(xiàn)。基于FMIS平臺，公司預(yù)算控制、資金管理、財務(wù)分析等各方面的財務(wù)管理職能都得以在系統(tǒng)中運轉(zhuǎn)實現(xiàn)。在從核算型系統(tǒng)向管理型系統(tǒng)逐步延伸的過程中，F(xiàn)MIS將內(nèi)部控制管理規(guī)定中的部門職責(zé)、標(biāo)準(zhǔn)流程、政策法規(guī)、權(quán)限金額等一系列內(nèi)容全部“固化”在系統(tǒng)程序中，從而達(dá)到內(nèi)部控制標(biāo)準(zhǔn)對各項經(jīng)濟(jì)業(yè)務(wù)約束的“自動”實現(xiàn)。

3.各系統(tǒng)和諧相融

江蘇電力整個信息系統(tǒng)包括了公司財務(wù)會計、生產(chǎn)、物流、營銷、人力資源等21個子系統(tǒng)，各部門可以即時、方便地調(diào)取各個系統(tǒng)的資料。這得益于江蘇電力自主探索實踐的“集中集成”的信息化之路。

“企業(yè)信息化必須將財務(wù)管理系統(tǒng)與企業(yè)其他管理系統(tǒng)整合在一個平臺上，實現(xiàn)信息互通，資源共享，江蘇電力是通過‘集中集成’實現(xiàn)這一目標(biāo)的。”費圣英告訴《中國會計報》。

“我們的目標(biāo)是，在不久的將來借助信息化的手段讓企業(yè)的全部信息都實現(xiàn)陽光化透明化，最終接受整個社會的監(jiān)督?！毙畔⑾到y(tǒng)四、信息技術(shù)過程控制體系（COBIT）國際信息系統(tǒng)審計與控制協(xié)會（ISACA）提出《信息和相關(guān)技術(shù)的控制目標(biāo)》（COBIT）。COBIT是一個基于IT治理概念的、面向IT建設(shè)過程中的IT治理實現(xiàn)指南和審計標(biāo)準(zhǔn)，被認(rèn)為是COSO框架的補(bǔ)充框架。COBIT的目標(biāo)是為信息系統(tǒng)設(shè)計提供具有高度可靠性和可操作性的、公認(rèn)的信息安全和控制評價標(biāo)準(zhǔn)。案例6-1中化集團(tuán)運用COBIT的IT治理之道信息系統(tǒng)信息系統(tǒng)五、信息系統(tǒng)開發(fā)的主要風(fēng)險點及其控制措施（自閱）（一）信息系統(tǒng)開發(fā)的主要風(fēng)險點1．信息系統(tǒng)規(guī)劃時期的主要風(fēng)險點案例6-2國內(nèi)電力企業(yè)的“信息孤島”和國家電網(wǎng)公司的“SG186工程”2．信息系統(tǒng)自行開發(fā)方式的主要風(fēng)險點成本過高、產(chǎn)品不能滿足企業(yè)需要。3．其他開發(fā)方式的主要風(fēng)險點業(yè)務(wù)外包：外包商選擇不當(dāng)，導(dǎo)致信息泄密、成本增加等外購：產(chǎn)品不適合企業(yè)，供應(yīng)商的服務(wù)能力有限。信息系統(tǒng)五、信息系統(tǒng)開發(fā)的主要風(fēng)險點及其控制措施（二）信息系統(tǒng)開發(fā)的關(guān)鍵控制措施1．系統(tǒng)規(guī)劃2．自行開發(fā)加強(qiáng)信息系統(tǒng)的管控工作3．其他開發(fā)方式的主要控制措施

選擇信譽好的外包商或供應(yīng)商信息系統(tǒng)六、信息系統(tǒng)運營與維護(hù)的主要風(fēng)險點及其控制措施（一）日常運行維護(hù)的關(guān)鍵控制點和主要控制措施這一環(huán)節(jié)的主要風(fēng)險是：第一，沒有建立規(guī)范的信息系統(tǒng)日常運行管理規(guī)范，計算機(jī)軟硬件的內(nèi)在隱患易于爆發(fā)，可能導(dǎo)致企業(yè)信息系統(tǒng)出錯。第二，沒有執(zhí)行例行檢查，導(dǎo)致一些人為惡意攻擊會長期隱藏在系統(tǒng)中，可能造成嚴(yán)重?fù)p失。第三，企業(yè)信息系統(tǒng)數(shù)據(jù)未能定期備份，可能導(dǎo)致?lián)p壞后無法恢復(fù)，從而造成重大損失。主要控制措施：第一，企業(yè)應(yīng)制定信息系統(tǒng)使用操作程序、信息管理制度以及各模塊子系統(tǒng)的具體操作規(guī)范，及時跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運行中存在的問題，確保信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范持續(xù)穩(wěn)定運行。第二，切實做好系統(tǒng)運行記錄，尤其是對于系統(tǒng)運行不正?；驘o法運行的情況，應(yīng)將異常現(xiàn)象、發(fā)生時間和可能的原因作出詳細(xì)記錄。第三，企業(yè)要重視系統(tǒng)運行的日常維護(hù)，在硬件方面，日常維護(hù)主要包括各種設(shè)備的保養(yǎng)與安全管理、故障的診斷與排除、易耗品的更換與安裝等，這些工作應(yīng)由專人負(fù)責(zé)。（二）系統(tǒng)變更的關(guān)鍵控制點和主要控制措施系統(tǒng)變更主要包括硬件的升級擴(kuò)容、軟件的修改與升級等。這一環(huán)節(jié)的主要風(fēng)險是：第一，企業(yè)沒有建立嚴(yán)格的變更申請、審批、執(zhí)行、測試流程，導(dǎo)致系統(tǒng)隨意變更。第二，系統(tǒng)變更后的效果達(dá)不到預(yù)期目標(biāo)。主要控制措施：保證變更過程得到適當(dāng)?shù)氖跈?quán)與管理層的批準(zhǔn)，并對變更進(jìn)行測試。信息系統(tǒng)操作人員不得擅自進(jìn)行軟件的刪除、修改、升級、改變軟件版本、改變軟件系統(tǒng)的環(huán)境配置。（三）安全管理的關(guān)鍵控制點和主要控制措施這一環(huán)節(jié)的主要風(fēng)險是：第一，硬件設(shè)備分布物理范圍廣，設(shè)備種類繁多，安全管理難度大，可能導(dǎo)致設(shè)備生命周期短。第二，業(yè)務(wù)部門信息安全意識薄弱，對系統(tǒng)和信息安全缺乏有效的監(jiān)管手段，可能導(dǎo)致舞弊和利用計算機(jī)犯罪。第三，對系統(tǒng)程序的缺陷或漏洞安全防護(hù)不夠，導(dǎo)致遭受黑客攻擊，造成信息泄露。第四，對各種計算機(jī)病毒防范清理不力，導(dǎo)致系統(tǒng)運行不穩(wěn)定甚至癱瘓。主要控制措施：第一，建立信息系統(tǒng)相關(guān)資產(chǎn)的管理制度，保證電子設(shè)備的安全。第二，企業(yè)應(yīng)成立專門的信息系統(tǒng)安全管理機(jī)構(gòu)。企業(yè)應(yīng)當(dāng)按照國家相關(guān)法律法規(guī)以及信息安全技術(shù)標(biāo)準(zhǔn)，制定信息系統(tǒng)安全實施細(xì)則。第四，企業(yè)應(yīng)當(dāng)有效利用IT技術(shù)手段，對硬件配置調(diào)整、軟件參數(shù)修改嚴(yán)加控制?！獢?shù)據(jù)加密、授權(quán)控制第五，企業(yè)委托專業(yè)機(jī)構(gòu)進(jìn)行系統(tǒng)運行與維護(hù)管理的，應(yīng)當(dāng)嚴(yán)格審查其資質(zhì)條件、市場聲譽和信用狀況等，并與其簽訂正式的服務(wù)合同和保密協(xié)議。第六，企業(yè)應(yīng)當(dāng)采取安裝安全軟件等措施防范信息系統(tǒng)受到病毒等惡意軟件的感染和破壞?！阑饓?、病毒防護(hù)第七，企業(yè)應(yīng)當(dāng)建立系統(tǒng)數(shù)據(jù)定期備份制度，明確備份范圍、頻度、方法、責(zé)任人、存放地點、有效性檢查等內(nèi)容。第八，企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)開發(fā)、運行與維護(hù)等環(huán)節(jié)的崗位責(zé)任制度和不相容職務(wù)分離制度。系統(tǒng)開發(fā)和變更過程中不相容崗位（或職責(zé)）一般應(yīng)包括：開發(fā)（或變更）立項、審批、編程、測試。系統(tǒng)訪問過程中不相容崗位（或職責(zé)）一般應(yīng)包括：申請、審批、操作、監(jiān)控。第九，企業(yè)應(yīng)積極開展信息系統(tǒng)風(fēng)險評估工作，定期對信息系統(tǒng)進(jìn)行安全評估，及時發(fā)現(xiàn)系統(tǒng)安全問題并加以整改。CSDN泄密案CSDN創(chuàng)立于1999年，是中國最大的中文IT知識服務(wù)集團(tuán)。目前，網(wǎng)站擁有2000萬注冊用戶、50萬注冊企業(yè)及合作伙伴，日訪問量約2000萬次。國內(nèi)程序員社區(qū)CSDN的安全系統(tǒng)2011年12月遭到黑客攻擊，CSDN數(shù)據(jù)庫中的600萬用戶的登錄名及密碼遭到泄露。隨后，天涯社區(qū)、世紀(jì)佳緣、開心網(wǎng)等十余家國內(nèi)知名網(wǎng)站近5000萬用戶的信息在網(wǎng)上被黑客公布。CSDN回應(yīng)稱，經(jīng)過初步分析，該庫系2009年CSDN作為備份所用。北京警方對CSDN網(wǎng)站開展了調(diào)查，發(fā)現(xiàn)其未落實國家信息安全等級保護(hù)制度，安全管理制度和技術(shù)保護(hù)措施落實不到位是造成用戶信息泄露的主要原因。安恒信息技術(shù)公司給CSDN提供的審計報告顯示，由于CSDN網(wǎng)站開源系統(tǒng)等第三方系統(tǒng)存在第三方系統(tǒng)漏洞、已停用的老系統(tǒng)、應(yīng)用程序漏洞、系統(tǒng)后臺認(rèn)證等四大問題，使其網(wǎng)站存在安全風(fēng)險，泄露了大量信息。（四）系統(tǒng)終結(jié)的關(guān)鍵控制點和主要控制措施系統(tǒng)終結(jié)是信息系統(tǒng)生命周期的最后一個階段，在該階段信息系統(tǒng)將停止運行。停止運行的原因通常有：企業(yè)破產(chǎn)或被兼并、原有信息系統(tǒng)被新的信息系統(tǒng)代替。這一環(huán)節(jié)的主要風(fēng)險是，第一，因經(jīng)營條件發(fā)生劇變，數(shù)據(jù)可能泄密。第二，信息檔案的保管期限不夠長。主要控制措施：第一，要做好善后工作，不管因何種情況導(dǎo)致系統(tǒng)停止運行，都應(yīng)將廢棄系統(tǒng)中有價值或者涉密的信息進(jìn)行銷毀、轉(zhuǎn)移。第二，嚴(yán)格按照國家有關(guān)法規(guī)制度和對電子檔案的管理規(guī)定（比如審計準(zhǔn)則對審計證據(jù)保管年限的要求），妥善保管相關(guān)信息檔案。第三節(jié)

溝通溝通一、溝通的內(nèi)涵溝通是把信息提供給適當(dāng)?shù)娜藛T，以便他們能夠履行與經(jīng)營、財務(wù)報告和合規(guī)相關(guān)的職責(zé)。溝通是技術(shù)性的，已經(jīng)在管理工作中得到廣泛的應(yīng)用，但比技術(shù)更有意義的是企業(yè)組織內(nèi)外部的有效交流。溝通可分為正式溝通和非正式溝通（按渠道劃分）、內(nèi)部溝通和外部溝通（按對象劃分）溝通二、內(nèi)部溝通方式電子溝通（互聯(lián)網(wǎng)、電子郵件、電話傳真/方便快捷、但不太安全)書面溝通（內(nèi)部報告、員工手冊、內(nèi)部刊物、教育培訓(xùn)資料/規(guī)范、準(zhǔn)確、但成本高)口頭溝通（會議、講座/迅速、靈活，但易失真）企業(yè)員工應(yīng)當(dāng)采取電子溝通、書面溝通、口頭溝通等多種方式，實現(xiàn)所需的內(nèi)部信息、外部信息在企業(yè)內(nèi)部準(zhǔn)確、及時地傳遞和分享，確保董事會、管理層和企業(yè)員工之間有效溝通。案例6-7中國五礦的戰(zhàn)略質(zhì)詢會制度

中國五礦的戰(zhàn)略質(zhì)詢會制度

任何戰(zhàn)略方案,如果沒有督促和考核,就很難實施和完成。五礦在實施階段采取兩個辦法:一個是季度考核督促,一個是年度考核督促。前者是戰(zhàn)略質(zhì)詢會,主要在板塊和職能部門層面。后者為平衡計分卡,最終細(xì)化到職工層面。所謂戰(zhàn)略質(zhì)詢會,是每季度舉行的一次跟蹤、檢查、研討五礦集團(tuán)戰(zhàn)略實施工作的重要會議,由集團(tuán)公司總裁辦公會成員和戰(zhàn)略委員會委員全體參加。

戰(zhàn)略質(zhì)詢會最初針對的是各個板塊。其程序一般是:首先由經(jīng)營單位領(lǐng)導(dǎo)人對上一個季度的情況———經(jīng)營完成的情況、戰(zhàn)略推進(jìn)的情況、存在的問題、下一步的工作措施、有哪些需要集團(tuán)公司支持的方面———進(jìn)行匯報;匯報完以后,由企劃部門、財務(wù)、人事和投資等部門進(jìn)行質(zhì)詢,對經(jīng)營單位提出來的問題和要求給予回答;最后由集團(tuán)公司領(lǐng)導(dǎo)對他們進(jìn)行質(zhì)詢,總裁進(jìn)行總結(jié)。質(zhì)詢會結(jié)束以后,要寫出戰(zhàn)略質(zhì)詢會的紀(jì)要,進(jìn)一步推動落實。內(nèi)部溝通向上溝通一般員工——部門主管管理層——董事會特殊渠道：一般員工——高管企業(yè)應(yīng)在實際工作中嘗試精簡信息系統(tǒng)的處理程序，使信息在企業(yè)內(nèi)部更快地傳遞。對于重要緊急的信息，可以越級向董事會、監(jiān)事會或經(jīng)理層直接報告，便于相關(guān)負(fù)責(zé)人迅速做出決策。向下溝通董事會——管理層——部門主管——一般員工平行溝通采購部門——生產(chǎn)部門——銷售部門——財務(wù)部門相關(guān)鏈接：波音公司在1994年以前遇到一些困難，總裁康迪上任后，經(jīng)常邀請高級經(jīng)理們到自己的家中共進(jìn)晚餐，然后在屋外圍著個大火坑講述有關(guān)波音的故事?？档险堖@些經(jīng)理們把不好的故事寫下來扔到火里燒掉，以此埋葬波音歷史上的“陰暗”面。只保留那些振奮人心的故事，以此鼓舞士氣。

愛立信是一個“百年老店”，每年公司的員工都會有一次與人力資源經(jīng)理或主管經(jīng)理的個人面談時間，在上級的幫助下制定個人發(fā)展計劃，以跟上公司業(yè)務(wù)發(fā)展，甚至超越公司發(fā)展步伐。該公司認(rèn)為，一個企業(yè)要保持領(lǐng)先的地位，最重要的一點是員工的整體素質(zhì)能夠保持領(lǐng)先。

在惠普公司，總裁的辦公室從來沒有門，員工受到頂頭上司的不公正待遇或看到公司發(fā)生問題時，可以直接提出，還可越級反映。這種企業(yè)文