内部控制_信息技术环境下企业内部控制（PPT 66页）.ppt

（二） 风险评估 风险评估是提高内部控制效率和效果的关键。任何组织都会面临来自其内部和外部的风险，各个组织都必须进行风险评估，以识别、分析、管理风险。一般而言，风险会随以下因素而产生或变化：经营环境变化、改造和更换新的信息系统、新的员工、新技术应用等。不健全或无效的内部控制措施就是风险存在的信号。 （三） 控制活动 控制活动是指管理者为了确保管理指令能够得以有效实施而制定并实行的各种政策和步骤。旨在为组织中每个特定的控制目标的实现提供合理的保证，这些特定的控制目标包括： 必须有任务分割以防止员工在其正常职责范围内作弊并隐瞒。（职责分离） 设计和使用适当的文档和记录以保证交易和事件的适当记录。（留迹） 只有得到管理层的授权才能接近资产。（物理隔离） 对资产和工作情况的相关责任进行独立的检查。 对数据处理进行控制以保证交易的合理授权、业务数据处理的准确性与完整性。 （四）信息与沟通 围绕在控制活动周围的是信息与沟通系统。该系统使企业内部的员工能够取得他们在执行、管理和控制企业经营过程中所需要的信息，并交换这些信息，使企业内部的每一个员工都能够履行其职责。有效沟通的含义包括：必须了解自己在内部控制制度中扮演的角色，以及每个人的活动如何影响他人的工作；必须具有相上沟通重要信息的渠道和方法；还应向顾客、供应商、政府主管机关和股东等进行有效沟通。健全的信息系统必须以标准化的文件、报表、政策手册、备忘录等形式，有效地传输或沟通各种信息。 （五） 监督 监督是指长期评价内部控制质量、必要时还要采取必要行动的一个不间断的过程。 监督是对内部控制的整体框架及其运行情况的跟踪、监测和调节，以自始自终确保其有效性。监督可以通过日常的监控活动来完成，也可通过执行独立监督（内部审计和外部审计）或二者结合起来实现。如内部审计的目标就是通过向管理层提供对以下活动或系统的分析与评估的结果，来为管理层服务： 组织的信息系统 组织的内部控制结构 对经营政策、程序和计划的遵守程度 公司员工的业绩质量 内部控制的三个目标之间具有直接联系，他们代表了企业努力的目标；而五项要素代表了实现这些目标的所需元素。所有五项要素都与每一类目标相联系。为实现每一类目标——如经营的效率和效果——需要五项要素共同发挥作用，以说明经营的内部控制是有效的。 这五项要素既相互独立又相互联系，形成一个有机统一体，对不断变化的环境自动作出反应。 （一）业务控制与信息系统控制的分离 信息技术的应用对内部控制五要素的影响程度是不同的。其中，由于控制活动是实现控制目标的规章制度、岗位设置和流程定义等具体措施，而且依赖于企业的业务流程，所以业务流程的自动化必然对控制活动产生的影响最大。信息技术环境下的控制活动分离出两个分支：自动化业务控制和信息系统控制。 四、信息技术环境下内部控制的变化 1. 自动化业务控制 自动化业务控制就是以信息技术实现的传统控制活动，如机上授权，机上审批等。他的控制目标与传统控制活动的控制目标一致，都是为了达到营运的效率效果、财务报告的可靠性和相关法令的遵循性等目标。自动化业务控制的控制对象与传统业务控制的控制对象是一致的，都是企业的生产经营过程。不过，自动化业务控制的存在形式和控制手段发生了很大变化。它以计算机程序的形式嵌入企业的信息系统中，对业务的控制由计算机自动执行。 2. 信息系统控制 信息系统控制是为了保证信息系统效率、安全性和完整一致性而采取的控制措施。信息系统控制的控制目标服从于业务控制目标，包括以下三点： 效率 信息系统的全部资源应该被充分开发利用。 安全性 信息系统的软、硬件和数据资源应得到最高水平的保护，敏感部位应防止未经授权的人员接触。 完整一致性 信息系统的完整性一致性指信息系统的处理逻辑应该符合企业的商业规则，所输出的信息精确而有效。 信息技术环境下控制活动的结构： （二）控制活动的变化 在信息化程度较高的企业中，传统的手工业务控制活动完全由自动化业务控制活动所取代。自动化业务控制与信息系统控制其控制活动有许多不同的特点，具体变化如下： 交易授权 交易授权是将交易的执行限定给经过选择的人。信息技术环境下的交易授权有以下几点变化：（1）交易授权自动化。（2）授权过程不明显。 2. 职责分离 职责分离通过将交易授权、交易记录和资产监管等职责分配给不同的人得以实现。即：交易（业务）活动要得到授权；活动情况（结果）由另外的人记载（记账）；负责交易的人不能监管资产；监管资产的人不能单独记录（记账）资产增减。