东北财经大学会计信息系统课件 第九章.pptVIP

第九章 信息技术环境下企业内部控制 任何企业在其经营活动中都会面临各种各样的风险，企业的发展过程就是不断与各种风险打交道并降低和避免各种风险的过程。而信息技术的广泛应用，使企业的生产、经营与管理模式产生了巨大的变化，一方面信息技术应用为企业增强了竞争力的同时带来了新的风险，另一方面信息技术也能为控制风险提供新的手段。作为企业管理重要组成部分的内部控制必须进行改革，以适应新的情况，本章就来讨论这些问题。 第一节 现代企业面临的风险 与内部控制的重要性 控制是针对风险而设立的，风险是导致一个组织或机构发生损失的可能性，而控制则是降低或减少风险的活动。风险损失的大小是该风险事件发生的概率与该事件可能造成的损失的乘积。风险不仅仅是由于缺少控制而产生的，它是任何组织的经营活动中固有的，其原因多种多样。控制可以减少风险，但不能消除其起因。 一、企业在运营过程中面临的传统风险 过高的成本；不足的收入；资产的流失；会计的失误；经营的中断；违规的处罚；竞争的弱势；舞弊与盗用；白领犯罪；法人犯罪。见图9-1 白领犯罪 是指管理层犯罪，这类犯罪有别于其他非法活动，它发生在犯罪人的工作中，当管理人员通过某些欺骗手段将资产转移用途或隐瞒时，白领犯罪就发生了。如会计作假账就是白领犯罪行为。 法人犯罪。 是指表面上看只是对企业或组织有利，不是对犯罪者个人有利的白领犯罪，而实际上犯罪者个人是间接受益的。法人犯罪给组织带来的风险可能更大。 二、信息化后企业面临的新风险 计算机系统消除了手工的大部分交易处理痕迹 计算机系统中交易的授权和执行与手工系统有很大不同 重新安排职责分离 对信息系统内控的依赖性，增加了差错多次发生的可能性 更严峻的风险 ①数据集中存储和管理，一但出现硬件故障，比如主机系统损坏，可能导致数据丢失甚至造成毁灭性的灾难。②业务数据和财务数据集成以后，内部管理上权限控制是重新分配的，新的控制措施跟不上，就有可能造成控制的漏洞。③在信息技术环境下，对技术人员尤其是系统管理人员的控制问题变得异常突出。这些人员在极端情况下，可能会造成机器毁坏或整个系统瘫痪。④信息在互联网上传输，产生了易泄露的风险，还有各级权限密码保存、改动不当甚或丢失都可能造成重大损失。 信息技术是双刃剑，有正面的价值，也有负面的影响。我们的任务就是千方百计发挥和利用信息技术的正面效用而减少或避免其负面影响，这就为内部控制提出了新的挑战，我们必须认识这一点。好在信息技术在内部控制工作中也可以大有作为，甚至可以帮助完成人工不可能实现的控制任务，这完全取决于我们的研究与探索。企业信息化完全改变了原来业务处理的模式、秩序、稳定性和安全性，需要我们建立一个全新的信息技术环境下的以信息技术为工具的内部控制体系，也就是要建立一个基于信息技术的具有稳定性、安全性的新的业务处理模式。 第二节 信息技术环境下 企业内部控制的一般概念 一、内部控制的基本概念 美国COSO委员会在《内部控制——整体框架》中将内部控制定义为：内部控制是由企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。对此定义我们可作如下理解： 内部控制是一个流程，受公司董事会、管理层和员工行为的影响。内部控制流程中一切活动的设计，都必须始终围绕实现下列三个目标提供合理的保证： 经营的效果与效率； 财务报告的真实与可靠； 经营活动的合法与合规。 2. 内部控制的实施基于两个前提： 第一个前提是责任， 管理层和董事会有责任建立并维持一个有效的内部控制流程。虽然具体的控制活动的责任由某些下属承担，但最终的责任仍属于最高管理层和董事会。尽管内部审计师最熟系内部控制的知识，但内部控制并不是由审计师负责，而是由管理层负责。审计师负责为管理层提供有关内部控制如何运行的信息。 第二个前提是合理合的保证，这与控制的成本和收益有关，精明的管理层不会让花在控制上的钱超过从控制上所能得到的收益。即控制的合算性。 3. 内部控制还要受到外部法制环境和企业经济环境的影响 任何企业都受制于国家发布的相关而具体的法律法规。一个企业必须保证它的所有生产经营活动符合国家颁布并已生效了的相关法律法规。否则，违规违法都会遭受处罚，形成经济损失。内部控制就是保证企业活动符合相关的法律法规的活动。 企业的内部控制流程将会随着某些情况的不同而改变，这些情况包括企业的规模，组织结构，所有者特征，传送、处理、保存和评价信息的方法、法律法规的要求，经营的多样性和复杂