美国《萨班斯—奥克斯利法案》(SOX法案)的404条款规定:在美上市企业必须保证公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任体系,同时提供管理层最近财务年度对内部控制体系及控制程序有效性的证明及内控机制评价的报告。如此苛刻和严厉的404条款几乎成了所有在美上市公司的一个“坎”,中国联通作为在美国、中国大陆和香港同时上市的公司也不例外。为此,自2005年年末开始,中国联通着手进行内控建设,财务报告的真实性及完整性更是重中之重。经过一年多的摸索、实践,中国联通结合公司特点和控制重点,逐步建立健全了内部控制体系,并于2007年顺利通过了外部审计师对中国联通的内控审计。
完善制度建设 推进内部控制有效实施
一、梳理业务流程,制定《中国联通内控制度规范》
在诸多繁杂的工作中,流程梳理无疑是第一步。联通公司将各项业务进行了认真研究和梳理,制定了《中国联通内控制度规范》,内容涵盖公司的经营管理、IT系统控制、投融资管理、财务监控、法律法规监督等,涉及资本性支出、收入、成本费用、资金及资产、财务及信息披露、其他共性等6个方面共351个业务流程,并用文字、流程图、风险控制文档等多种形式,将各业务和事项的风险类型、控制目标、关键控制点、控制措施、控制频率加以规定和说明,形成与经营管理制度有机结合的内部控制。《中国联通内控制度规范》使企业员工了解和掌握了内部机构设置及权责分配情况,同时也促进企业各层级员工明确职责分工,正确行使职权,并加强对权责履行的监督。
二、制定《中国联通基本会计制度》,提高会计核算的准确性
为了满足公司内、外部对会计信息的需求,实现各级次会计报表自动统一生成,保证会计核算的准确性,中国联通根据《企业会计准则》以及《企业会计准则—应用指南》制定了《中国联通基本会计制度》。制度明确了中国联通的会计科目及其使用说明,使用范围涉及境内外的联通集团及各分、子公司,并作为中国联通公司会计核算的强制性标准贯彻执行。
制度中对所有科目设置了专业辅助核算,对损益类项目及资产负债项目进行了专业核算的界定,设定了统一的会计科目编码、会计科目名称、会计科目明细级次、辅助核算项目等。对于有明确规定及能够涵盖的经济业务必须使用制度中的会计科目进行核算。制度还规定,核算单位个性化的核算项目可在各科目最后一级明细科目下增设下一级明细科目或增加辅助核算项目,也可增加与现有明细科目同级的明细科目(增加的同级明细科目金额合计不得超过本级科目核算总金额的3%)。核算单位增加明细科目时必须符合制度中增设会计科目说明中的规范,任何核算单位不得增加一级科目,没有核算内容的会计科目,可以停用但不能擅自删除。如由于会计准则、公司经营业务以及公司内、外部对会计信息需求的变化,需对规定的会计科目或会计科目使用说明进行调整时,由中国联通总部财务部统一修订并发布实施。
三、制定《中国联通财务与信息披露关键控制》,防范与控制财务报告风险
为规范和统一各分、子公司财务及信息披露的流程,满足公司内部管理、会计核算和对外信息披露的需求,防范与控制财务报告风险, 中国联通制定了《中国联通财务与信息披露关键控制》,详细列示了财务与信息披露环节必不可少的一些关键控制。对风险的控制频率分为随时、日、周、月度、季度、年度。风险的控制类型分为预防性及发现性。从凭证的录入、往来账的核对、共同费用的分摊、一次性调整和非正常会计事项的调整、业务的计算、财务关账的控制等环节进行关键控制,并采取相应的控制措施。
1、录入凭证的控制。主管会计作为具体流程执行人对录入系统的凭证进行复核,对具体会计凭证的各要素及附件的正确性负责,对红字冲销凭证确定具体流程执行人为主管会计、财务经理。
2、内部往来、关联公司的往来对账的控制。每月月末,省级及地市级公司的内部往来会计根据上级下发的电子对账文件进行核对,确保金额与科目的一致性,内部往来会计将审核无误的对账文件签字后提交计财部经理复核签字盖章。对账文件一式两份,一份签字盖章后发至总部,一份存档保留,完成月度末的对账业务。季度末与关联公司进行往来与交易的对账,核对无误后应由相关主管人员签名或盖章确认。
3、专业间费用分摊的控制。主管会计审核所有共同费用是否已按照专业核算办法在各专业间分摊,分摊依据及分摊金额是否计算正确如正确,在共同费用分摊计算表及共同费用分摊凭证上签字。
4、一次性调整和非正常调整的会计凭证的控制。检查本月所做的一次性调整和非正常调整的会计凭证的审批手续是否符合总部制定的凭证分类标准中的规定,并由财务经理在一次性调整和非正常调整的凭证上审核签字。
5、有价卡综合折扣率计算的控制。每月月末,会计根据有价卡预收账款面值余额和折扣余额计算综合折扣率,根据本期出账收入计算本期应摊销的有价卡折扣,并记录收入减少。主管会计对有价卡折扣摊销的计算进行复核,并对期末剩余折扣和剩余面值的合理性进行分析,审核无误后在折扣摊销凭证上签字确认。
6、营业税计算的控制。财务经理根据收入类会计科目账户信息及适用税率复核营业税计算表的金额和会计科目使用是否正确,是否符合会计准则要求,对复核无误的记账凭证在复核栏签字确认;对不正确的记账凭证要求税务会计进行修正。财务经理根据营业税计算表、适用税率表对营业税纳税申报表进行审核,并在经审核无误的纳税申报表上签字或盖章。对审核错误的报表要求税务会计重新计算并提交。
7、所得税计算的控制。地市级公司税务会计、核算会计依据所得税年度汇算数据检查清单进行审核,财务经理依据清单复核所得税计算表,确认无误后,在所得税计算表(纸质)签字,通知税务会计将检查清单及所得税计算表上报省分公司。省分公司税务会计、核算会计依据所得税年度汇算数据检查清单进行审核,财务经理依据清单复核所得税计算表,确认无误后,在所得税计算表(纸质)签字,通知税务会计将检查清单及所得税计算表上报总部。
8、财务关账的控制。根据总部制定的地市层次的财务报告披露检查清单中的资产负债表、损益表及总账关账部分,对关账前应检查事项逐一检查并由相关责任人在清单上签字确认。如月末结账后发现错误,需经财务经理授权后取消结账增加或修改凭证,从而保证已关闭会计期间的会计信息与财务报告一致。
9、财务报表及财务分析报告的控制。省分公司财务经理或经其授权的报表审核人全面审核汇总的会计报表,包括报表数据的正确性、合理性以及是否存在异常波动。如审核通过,则在汇总的会计报表上签字;否则,通知省分公司报表会计查明原因并进行更正。财务分析岗对最终报表进行分析性复核,根据总部下发的财务分析模板及指标体系分别与以前年度和月份的报表,月度及年度预算进行比较,对异常变动予以关注,形成财务分析报告,并将其作为公司经营分析报告的一部分。
10、财务报告中各项需披露的或有事项、承诺事项、日后事项的控制。省分公司财务经理根据总部下发的或有事项及承诺事项披露检查表,审查有关承诺事项披露的合理性,包括资本性承诺是否与总部批复的资本性支出预算相匹配,经营租赁承诺是否与租赁合同相一致,手机采购合同是否与采购计划相匹配,在资产负债表日至总部财务报告发布日发生的重要会计事项是否及时上报总部等。
四、制定《财务报告编制规范实施细则》,强化财务报表分析
1、按月报送财务分析报告。
月度财务分析报告以集团口径合并损益表项目分析为主。为规范月度财务分析,联通总部制定了月度财务分析报告模板,对损益表项目分别设置了重要性水平,对波动超过重要性水平的项目,按其程度自动提示为“需重点说明”、“必须说明”和“需要关注”的项目。各级分、子公司完成月报编制后,将月报损益表数据导入月度财务分析模板,对上述三类超过重要性水平的项目进行合理性分析,并说明变动原因。合理性分析从会计处理的完整性、准确性和生产经营对财务数据产生的影响等角度进行,目的在于防范由于会计处理的不正确、不及时而导致的财务报告错报和漏报风险。月度财务分析报告与当期的会计报表一同报送上级公司。
2、定期报送公司发生的重大财务事项,或非常规、复杂交易及特殊重大事项。
(1)重大财务事项包括:重大对外投资和资产处置情况;经营业务和营销政策发生重大变化对财务报告产生的影响;重大的会计政策和会计估计变更;重大会计差错;接受各项审计、检查和稽查出现的问题;发生自然灾害、意外事故、质量事故、责任事故等重大的自然或人为事故;因经济纠纷涉及的仲裁或诉讼;其他对经营成果产生重大影响的事项。
(2)非常规交易包括:固定资产盘盈;处置固定资产净收益;非货币性交易收益;出售无形资产收益;罚款违约赔偿收入;教育费附加返还。
(3)非常规支出包括:固定资产盘亏;固定资产报废损失;处置固定资产净损失;出售无形资产净损失;计提固定资产减值准备;计提无形资产减值准备;计提在建工程减值准备;债务重组损失;出售公有住房净损失;工商税务等行政罚款支出;罚款违约赔偿支出;公益救济性捐赠;非公益性捐赠支出;非常损失。
(4)非常规调整事项包括:会计核对调整;非按照计费中心报告出具的收入调整;赠送话费冲减收入;非按照系统调整的CDMA手机摊销(如CDMA一次性摊销调整及CDMA盈利性分析导致的减值调整);特殊工资及奖金的预提;非按照总部要求调整的资本性事项;因固定资产的竣工决算以及相关折旧费用计提带来的调整;积分预提的重大调整及冲销;代理费预提的重大调整;其他重大非常规调整。
重大财务事项或非常规、复杂交易、特殊重大事项,如果金额超过呈报单位营业收入的万分之2.5的,应上报总部财务部批准。
3、报表编制完成后,对报表数据的准确性、数据之间逻辑关系的合理性、报表的完整性等内容进行审查。
(1)利用财务软件、ERP和企业绩效管理系统软件的功能,设置了会计报表逻辑性、合理性校验公式。总部根据不同时期需审核的重点,不定期地修订会计报表校验公式。各级分、子公司对校验公式审核出现问题的报表项目,记录分析并查找原因,通过更正会计处理错误、查找和解释报表数据异常原因等方式,解决会计报表审核中出现的问题。在季度会计报表审核完成后,上报《会计报表审核说明书》。
(2)季度、中期和年度财务报告初稿完成后,组织相关财务人员对财务报告进行会审,并形成相应的会审记录。
(3)年度财务报告是公司一年经营活动成果的综合反映,涉及到公司生产经营的各个环节,各级公司应在年度财务报告初稿完成后,组织市场、信息化、人力资源、运行维护、网络建设等部门,对年度决算进行会审,并形成相应的会审记录。
(4)上报季度财务报表时,同时报送其他相关的说明材料,包括《会计报表审核说明书》、《业绩分析报告》、《试算平衡表》、《会计报表审核清单》、《中国/香港/美国准则差异核查表》、《重大会计政策/会计估计核查表》、《关联交易核查清单》、公司负责人签署的《声明函》、公司财务负责人签署的《声明函》等。
多方面入手 完善内部控制系统
一、强化职责分工,不相容职务相互分离
中国联通在确定职责分工过程中,充分考虑不相容职务相互分离的制衡要求,参照财政部颁发的《内部会计控制规范》制定了适合本企业的《不相容职务相互分离暂行规定》,涉及的内容有货币资金、营业与收款、成本费用、采购与付款、存货、固定资产、工程项目、筹资、对外投资、担保、信息系统业务处理等11个方面。不相容职务包括:授权、批准、业务经办、会计记录、财产保管、稽核检查等。根据《不相容职务相互分离暂行规定》,一人不得办理某项业务的全过程。办理各项业务应当配备合格的人员,并结合岗位特点和重要程度,明确财会等关键岗位员工轮岗的期限和有关要求,建立规范的岗位轮换制度。对关键岗位的员工,可以实行强制休假制度,并确保在最长不超过5年的时间内进行岗位轮换,防范并及时发现岗位职责履行过程中可能存在的重要风险,以强化职责分工控制的有效性。
二、建立反舞弊控制及监督机制,确保财务信息真实
反舞弊工作是公司内控建设的一项重要内容,也是确保财务信息真实准确的一项重要举措。中国联通制定了《反舞弊暂行规定》,建立反舞弊举报机制和控制程序。中国联通总部监察室为公司反舞弊举报受理中心,负责受理公司范围内舞弊行为的举报投诉和来访接待,并组织相关的舞弊调查。各省分公司同时要建立反舞弊机制,明确省公司的举报渠道和受理程序,并报总部监察室备案。
1、明确舞弊的定义和主要表现形式。
舞弊是指采用欺骗、欺诈等违法违规手段,损害公司利益,可能为个人带来不正当利益的行为。其主要表现形式有:
(1)虚假财务报告,即导致财务报告不实的故意行为。主要包括:故意改变计费出账原则、修改计费数据,多计、少计收入;故意少计或多计成本,多计或少计存货、在建工程、固定资产等;虚构、隐瞒、删除交易或事项,编造虚假业务合同、虚开发票等;蓄意使用不当的会计政策及会计估计或利用关联方交易调节利润;伪造、变造会计凭证、会计账簿,隐匿或者故意销毁依法应当保存的会计凭证、会计账簿、财务报告;违反国家税法及相关法规的规定,故意偷逃税款;违反国家统一的会计制度和公司相关规定,严重影响公司会计报表公允表达的其他会计舞弊行为。
(2)收受贿赂、回扣,挪用、侵占资产等行为。主要包括:收受贿赂、回扣,贪污、挪用、侵占、盗窃公司资金资产等;以虚假交易,套取资金;私设“小金库”、设置“账外资产”;开办“三产企业”,侵占公司利益。
(3)违反规定或未正确履行职责,给公司造成重大经济损失,且故意隐瞒损失事实的行为。
2、明确反舞弊的职责。
(1)公司各级人员对防范、控制和监督舞弊行为负有责任。各级主要领导是反舞弊工作第一“责任人”,应严格履行职责,以建立有效的反舞弊责任体系。
(2)按照“统一领导、归口管理、分级负责”的原则,公司成立风险评估委员会,负责组织识别、评估风险(包括舞弊风险评估)及有效地监控公司的各种风险,以最大限度地降低风险。
3、实行责任追究制。
公司对发生舞弊事件的责任人员进行责任追究,包括领导责任和直接责任。领导责任是指负有相应领导职权的管理人员在其主管或分管工作范围内因失职、失察导致发生舞弊事件,造成会计信息失真、隐瞒损失等应承担的责任。直接责任是指公司管理人员及其相关人员在其职责范围内,因直接 *** 作或参与相关决策,或授意、指使、强令、纵容、包庇他人等舞弊以及未履行、未正确履行职责等过失行为,造成会计信息失真、隐瞒损失等应承担的责任。对发生的舞弊行为,将依据国家有关法律法规及公司的处罚规定,对相关责任人进行处理,包括行政处分、免职、解聘、解除劳动合同等纪律处理,触犯法律的,将移送司法机关。
三、加强风险评估,预防财务报告失真
中国联通公司的风险主要有财务报告失真风险、资产安全受到威胁风险、营私舞弊风险、经营决策风险、违反法律法规风险等。为此公司制定了《中国联通风险评估管理办法》。办法规定了评估风险管理的工作内容、风险控制责任。
1、评估和防范的主要风险。
(1)经营效益和效率性风险。既由于投资决策或经营决策失误以及运营效率不高可能导致公司运营效益及效率低下的风险。
(2)财务报告失真风险。既由于各项经营管理不到位,可能造成经营数据不准确,导致会计核算的依据不真实;或未完全按会计准则、会计制度等规定进行会计核算和信息披露,反映的财务状况和经营成果不符合实际情况而造成财务报告失真的风险。
(3)法律法规遵循性风险。既公司经营管理活动没有全面执行国家法律、法规和政策规定;或国家法律法规及政策的改变可能对公司业务发展和经济利益产生较大影响的风险。
2、定期组织风险评估,落实风险控制责任。
(1)通过公司或部门办公例会的形式及组织专项调查和抽查有关合同、协议、控制流程等方式组织风险评估。围绕确定的公司发展目标,揭示风险和控制缺陷,并分析判断其对公司经营发展以及财务报告的影响程度。对存在的主要风险,明确风险控制目标,明确具体的风险控制措施,包括业务流程控制及有关管理制度规定等,将风险控制在可接受范围内。
(2)落实风险控制的责任,提出控制措施实施及整改的责任部门,将风险控制的责任和控制目标落实到具体的处室、工作岗位和人员。同时加大监督检查的力度,确保各项经营活动能够严格按照内控措施规范执行。
利用信息技术 辅助内部控制的有效实施
目前越来越多的业务运作依靠信息系统的支撑,特别是中国联通这样一家经营综合电信服务的运营商,其各项业务收入报告,各项资费套餐的计费及分析,代理佣金的计提、稽核和支付,有价卡、手机终端等资产的进销存管理,这些复杂的数据都必须依靠IT系统的支撑才能完成。因此,IT系统的控制在建立与保持有效的内部控制方面也发挥着重要的作用,事实上,信息化本身的目的之一,就是促使企业将好的管理做法固化为信息化中的规则与流程,并进而形成公司的管理习惯,以提升公司的管理水平。
中国联通依靠IT系统将公司经营活动过程中形成的有关收入、成本、资产负债等交易事项的记录进行了统一和规范, 明确了信息生成、传递、使用、维护等规则, 明确了收入、成本、资产负债的指标口径、核算内容和文档格式, 根据详细交易记录和业务核算结果进行汇总加工,保留业务核算详细记录,形成了收入类、成本类、资产负债类的经济业务核算信息表单,经济业务核算信息表单作为会计核算的原始凭证,确保了经营活动过程中产生的业务核算信息能够满足公司内部管理、会计核算和对外信息披露的需求。
由于中国联通采用了统一的会计核算方法,规范的会计核算行为,从而保证了会计基础信息表从账务系统中自动取数的便捷和准确,实现了各级次会计报表自动统一生成。同时压缩会计报表加工周期,使各级分、子公司在会计报表编制完成后有足够的时间进行财务分析。为提高财务部门对经济业务核算表单的处理效率和质量,公司统一组织开发了中国联通财务系统业务数据集成转换工具,经济信息文档通过该转换工具自动转换生成财务核算系统的记账凭证,从而避免手工录入凭证可能出现的错误,确保会计核算的准确性。对通过转换工具自动生成记账凭证的经济业务核算表单,纳入公司电子表格的管理范围,确保经济业务核算电子表单的数据真实、准确、完整,以及业务数据转换为财务数据的准确性。
二、原因分析(一)控制环境失效
企业内部控制环境决定其他控制要素能否发挥作用,是内部控制其他因素作用的基础,直接影响企业内控的贯彻执行,是企业内控的核心。中航油事件正是由于内部治理结构存在严重缺陷、外部治理对公司干涉极弱导致的。“事实先于规则”,成为中国航油(新加坡)在期货交易上的客观写照。中国证监会的监管人士向媒体透露了这样一个经过:中国航油(新加坡)在2001年上市后并没有向证监会申请海外期货交易执照,后来证监会看到其招股书有期货交易一项,才主动为其补报材料。中航油用新加坡上市公司的身份为掩护同国内监管部门展开博弈,倚仗节节上升的市场业绩换取控股方航油集团的沉默,从而进入期货和期权业务;而监管方对此不仅没有追究到底,还放任其“先斩后奏”的行为,直至投机和亏损的真实发生。而中航油的董事会更是形同虚设,普华永道对公司董事会成员、管理层、经手交易员进行详细问询,出具了详细的调查报告。透过当事人之口,中航油(新加坡)这家一度被认为是“样板”的海外国企,内控混乱不堪、主事人不堪其任、治理结构阙如纸上谈兵。
(二)风险意识薄弱
中航油内部的《风险管理手册》设计完善,规定了相应的审批程序和各级管理人员的权限,通过联签的方式降低资金使用风险;采用世界上最先进的风险管理软件系统将现货、纸货和期货三者融合在一起,全盘监控。但是自2003年开始,中国航油的澳大利亚籍贸易员Gerard Rigby开始进行投机性的期权交易;陈久霖声称,自己并不知情。而在3月28日获悉580万美元的亏损后,陈久霖本人同意了风险管理委员会主任Cindy Chong和交易员Gerard Rigby提出的展期方案。这样,陈久霖亲自否定了由他本人所提议拟定的“当任何一笔交易的亏损额达到50万美元,立即平仓止损”的风险管理条例,也无异于对手下“先斩后奏”的做法给予了事实上的认可。
(三)信息系统失真
中航油(新加坡)通过做假账欺骗上级。在新加坡公司上报的2004年6月份的财务统计报表上,新加坡公司当月的总资产为42.6亿元人民币,净资产为11亿元人民币,资产负债率为73%。长期应收账款为11.7亿元人民币,应付款也是这么多。从账面上看,不但没有问题,而且经营状况很好。但实际上,2004年6月,中航油就已经在石油期货交易上面临3580万美元的潜在亏损,仍追加了错误方向“做空”的资金,但在财务账面上没有任何显示。由于陈久霖在场外进行交易,集团通过正常的财务报表没有发现陈久霖的秘密。新加坡当地的监督机构也没有发现,中航油新加坡公司还被评为2004年新加坡最具透明度的上市公司。这么大的一个漏洞就被陈久霖以做假账的方式瞒天过海般的掩盖了这么久,以至于事情的发生毫无征兆。
(四)管理失控,监督虚无
中航油(新加坡)董事兼中航油集团资产与财务管理部负责人李永吉身,没有审阅过公司年报。其次,即使李永吉想审阅年报,也有困难。因为身为海外上市公司董事,他英语不好,所以不能从财务报表中发现公司已经开始从事期权交易。荚长斌兼任中航油(新加坡)董事长及中航油集团总裁。他强调,由于中航油集团并没有其他子公司在中国以外上市,所以董事的职责对他而言是不熟悉的。他指出,直到2004年11月30日,董事会一直都没有对陈久霖有“真正的”管辖权。与李永吉一样,荚长斌声称,语言障碍使得他对中航油(新加坡)缺乏了解和监管,而且,尽管身为中航油(新加坡)董事长,他的财务信息却来自位于北京的中航油集团财务部。同时,由于监事会成员绝大多数缺乏法律、财务、技术等方面的知识和素养,监事会的监督功能只能是一句空话。而内部审计平时形同虚设,这种监管等于没有。在经营过程中内部控制失效、董事会和监事会监督功能虚化、缺乏必要的内部审计,中航油的悲剧就这样产生了。
三、思考
中航油事件给大型国有企业敲响了警钟。目前,我国国有企业内部控制虽然存在一定的问题,但内部控制的重要性已经引起企业的重视。中航油内部控制的失败,更是引发了对国有企业内部控制的新思考:
(一)必须健全管理机构,理清管理职责。
现代企业制度中所有权和经营权的分离,导致经营管理者实质上拥有了企业控制权,由此管理者自己管理自己,自己监督评价自己,势必产生滥用职权、牟取私利、独断专行等后果。对内部控制而言,一个积极、主动参与的董事会是相当重要的。如何实现董事会对经理人员的监督,是企业日常监督中最为重要的环节。只有发挥董事会的作用和潜能,股东及其他利益团体的利益才能真正受到保护。
(二)应从细节控制转向风险管理。
企业内部控制制度不可能脱离其赖以生存的环境及企业内外部的各种风险因素。制定风险管理目标是控制过程的一个重要环节,因此,企业要在整个组织内部制定协调一致的目标,找出企业关键性的风险因素,进行风险评估,设置关键控制点。由于有限的管理资源和可观的控制成本,使得企业的精力不能放在所有的细枝末节上,所以,就要求董事会和管理层特别重视可能发生重大风险的环节,且将风险管理作为内控的最主要内容,从而提高决策者判断、控制和驾驭风险的能力。
(三)应从关注内控建立转向内控运行和评价。
中航油(新加坡)公司在设计内控时,也是花了相当大精力的,但在如何保证实施制度方面,却缺乏应有的措施。因此,内控必须要有一个监督机制来促使它的执行。内部审计是企业自我独立评价的一种活动,具有得天独厚的优势。它本身在企业中不直接参与相关的经济活动,处于相对独立的位置,但同时又处在各项管理活动中,对企业内部的各项业务比较熟悉,对发生的事件比较了解。公司的内部审计直接对董事会负责,任何重要的审计决策都经董事会批准。这既保证了公司内部审计的相对独立性,又保证了其权威性。在这样的前提下,内审部门通过对内控的审查和评价,可以从中找出控制薄弱点,发现内部控制不尽完善和执行无力之处,进而提出改进意见和措施,以监督其他控制政策和程序的有效执行。
(四)内控的对象应从基层转向高管。
中航油事件的致命原因从根本上说是个人权力过大,缺乏对个人权力的有效制约和监管,使得个人凌驾于制度之上,制度得不到执行。一个表面看起来制度规章明确、组织健全、人员齐备、技术先进的内控或风险管理体系,其在实际运行中能否有效管理风险和防止重大损失的发生,关键在于高层领导在这个体系中所发挥的作用。这不仅因为他们是内控的首要责任主体和最基础的推动力,更重要的是他们本身所拥有的绝对权力,所以高层领导必须纳入到以相互检查和权力制衡为基本原则的整个内控体系中,成为控制和约束的重要对象。否则,高层领导将具有超越内控约束的特殊权力,从而导致整个内控或风险管理机制形同虚设,从根本上丧失有效性。
内部控制包括内部管理控制和内部会计控制。电算化会计信息系统环境下的内部控制则是内部会计控制的特殊形式。随着IT技术特别是以Interent为代表的网络技术的发展和应用,电算化会计信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。一、电算化会计信息系统的产生和发展对内部控制的影响
(一)电算化会计信息系统交易授权、执行与手工会计系统存在差异。授权、批准控制是一种常见的、基础的内部控制,在手工会计系统中,对于一项经济业务的每个环节都要经过某些具有相应权限人员的签章。但在电算化会计信息系统中,业务人员可利用特殊的授权文件或口令,获得某种权利或运行特定程序进行业务处理,由此引起失控而造成损失的案例数不胜数。例如:业务人员被客户收买,非法取得他人口令绕过批准程序开出销售提单;非法核销客户应收款及相关资料;掌握公司顾客订单密码,开出假订单,骗走公司产品等。
(二)内部控制的程序化使得内部控制具有一不定期的依赖性并增加了差错反复发生的可能性。电算化系统中内部控制具有人工控制与程序控制相结合的特点。电算化系统许多应用程序中包含了内部控制功能,这些程序化的内部控制的有效性取决于应用程序,如程序发生差错或不起作用,由于人们依赖性以及程序运行的重复性,使得失效控制长期不被发现,从而使系统“在特定方面发生错误或违规行为的可能性较大”。
(三)电算化会计信息系统缺乏交易处理痕迹。手工会计系统中严格的凭证制度,在电算化会计系统中逐渐减少或消失,凭证所起到的较强的控制功能弱化,部分交易几乎没有“痕迹”,给控制带来一定的难度。
(四)控制的范围扩大。传统的内部控制主要针对交易处理,而电算化系统下,由于系统建立和运行的复杂性,内部控制的范围相应扩大,包含了传统手工系统所没有的控制,如网络系统安全的控制、系统权限的控制、修改程序的控制等。
(五)电算化会计信息系统中会计信息存储电磁化。电算化系统下会计信息以电磁信号的形式存储在磁性介质中,是肉眼不可见的,很容易被删除或篡改而不会留下痕迹;另外,电磁介质易受损坏,所以会计信息也存在丢失或毁坏的危险。
(六)网络的迅猛发展及其在财务中的进一步应用带来了层出不穷的新问题。网络技术无疑是目前IT发展的方向,电算化会计信息系统也不可避免受到其深远的影响,特别是Internet在财务软件中的应用对电算化会计信息系统的影响将是革命性的。目前财务软件的网络功能主要包括:远程报帐、远程报表、远程审计、网上支付、网上催帐、网上报税、网上采购、网上销售、网上银行等,实现这些功能就必须有相应的控制,从而形成电算化会计信息系统内部控制的新问题。
二、电算化会计信息系统环境下内部控制的主要内容
(一)电算化会计信息系统的一般控制。一般控制是指任何电算化会计信息系统普遍适用、为系统的安全可靠而对系统构成要素(人、硬件、软件)及环境实施的控制。
1.组织与管理控制。组织与管理控制是指通过部门的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制,其基本目标是建立恰当的组织机构和职责分工制度,以达到相互牵制、相互制约、防止或减少错弊发生的目的。其中较重要的岗位有系统管理和审核岗位。
系统管理主要负责系统的硬软件管理工作,从技术上保证系统的正常运行。包括掌握网络服务器及数据库的超级口令,负责网络资源分配,监控网络运行;按照主管人员的要求,对各岗位分配权限,对数据的安全保密负责;负责对硬件、软件、数据的管理与维护工作。系统管理岗位应保持相对稳定,若有变动应办理严格的交接手续。
审核岗位主要负责监督计算机及电算化系统的运行,防止利用计算机进行舞弊。具体包括:审查机内数据与书面资料的一致性;监督数据保存方式的安全性、合法性,防止发生非法修改历史数据的现象;对系统运行各环节进行审查,防止存在漏洞等。
2.应用系统开发、建立和维护控制。
(1)应用系统开发控制是针对系统开发阶段而言的,具体包括:系统开发前应进行可行性研究和需求分析;开发过程应进行适当的人员分工;按规范收集和保管有关系统的资料并加以保密等。
(2)系统建立控制则是针对系统建立阶段而言的,具体包括:资源的适当配置;系统的调试应有各岗位人员的参与;新的系统应与传统系统并行一段时间并经有关部门审批后才能替代传统系统使用;严格的验收程序等。
(3)系统的维护是指日常为保障系统正常运行而对系统硬软件进行的安装、修正、更新、扩展、备份等方面的工作。系统维护控制就是针对这些工作而实施的控制。
电算化会计信息系统环境下内部控制的研究 来自: 免费论文网
3.系统 *** 作控制。系统 *** 作控制主要表现为 *** 作权限控制和 *** 作规程控制两个方面。
(1) *** 作权限控制是指每个岗位的人员只能按照所授予的权限对系统进行作业,不得超越权限接触系统。系统应制定适当的权限标准体系,使系统不被越权 *** 作,从而保证系统的安全。 *** 作权限控制常采用设置口令来实行。
(2) *** 作规程控制是指系统 *** 作必须遵循一定的标准 *** 作规程进行。标准 *** 作规程包括:软硬件 *** 作规程,作业运行规程,用机时间记录规程等。
4.系统软件控制。系统软件控制是指为保证系统软件运行正常而预先在系统软件内部设计的各种处理故障、纠正错误、保证系统安全的控制。
5.数据和程序控制。数据和程序控制主要是指对数据、程序的安全控制。程序的安全与否直接影响着系统的运行,而数据的安全与否关系到财务信息的完整性和保密性。
数据控制的目标是要做到任何情况下数据都不丢失、为损毁、不泄露、不被非法侵入。通常采用的控制包括接触控制、丢失数据的恢复与重建等,而数据的备份则是数据恢复与重建的基础,是一种常见的数据控制手段,网络中利用两个服务器进行双机镜像映射备份是备份的先进形式。
程序的安全控制是要保证程序不被修改、不损毁、不被病毒感染。常用的控制包括接触控制、程序备份等。接触控制是指非系统维护人员不得接触到程序的技术资料、源程序和加密文件,从而减少程序被修改的可能性;程序备份则是指有关人员要注明程序功能后备份存档,以备系统损坏后重建安装之需。程序的安全控制还要求系统使用单位制定具体的防病毒措施,包括对所有来历不明的介质在使用前进行病毒检测,定期对系统进行病毒检测,使用网络病毒防火墙以防止日益猖獗的网络病毒侵入等。
6.网络的安全控制。网络安全性指标包括数据保密、访问控制、身份识别、不可否认和完整性。针对这些方面,可采用一些安全技术,主要包括:数据加密技术(数据的加解密、认证信息的加解密、数字签字、完整性),访问控制技术,认证技术,隧道技术(VPN)等。数据加密技术的代表是秘密密钥系统技术和公开密钥系统技术;访问控制技术的代表是防火墙技术,特别是已溶和了VPN(虚拟专用网及隧道技术)的防火墙技术;认证技术的代表是Kerberos网络用户认证系统技术。其中VPN解决了财务信息在Internet传输的安全问题。
网络传输介质、接入口的安全性也是应该引起注意的问题,尽量使用光纤传输,接入口应保密。
通过上述技术可确保财务信息在内部网络及外部网络传输中的安全性。
(二)会计电算化系统的应用控制。应用控制是对会计电算化系统中具体的数据处理活动所进行的控制。应用控制可划分为输入控制、计算机处理与数据文件控制和输出控制。
1.输入控制。常用的控制方法包括:建立科目名称与代码对照文件,以防止会计科目输错;设计科目代码校验,以保证会计科目代码输入的正确性;设立对应关系参照文件,用来判断对应帐户是否发生错误;试算平衡控制,对每笔分录和借贷方进行平衡校验,防止输入金额出错;顺序检查法,防止凭证编号重复;二次输入法,将数据先后两次输入或同时由两人分别输入,经对比后确定输入是否正确等。
2.计算机处理与数据文件控制。常用的控制措施包括:登帐条件检验,即系统要有确认数据经复核后才能登帐的控制能力;防错、纠错控制,即系统要有防止或及时发现在处理过程中数据丢失、重复或出错的控制措施;修改权限与修改痕迹控制,即对已入帐的凭证,系统只能提供留有痕迹控制,即对已入帐的凭证,系统只能提供留有痕迹的更改功能,对已结帐的凭证与帐簿以及计算机内帐簿生成的报表数据,系统不提供更改功能等。
3.输出控制。控制措施包括:控制只有具有相应权限的人才能执行输出 *** 作,并要登记 *** 作记录,从而达到限制接触输出信息的目的;打印输出的资料要进行登记,并按会计档案要求保管。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)