7信息风险控制

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,三、内部风险控制篇,第,7,章 信息传递与信息风险控制,信息不对称问题,7,1,控制案例,7,2,信息传递与信息风险控制程序,7,3,财务报告内部控制,（,Internal Control Over Financial Reporting,）,7,4,业务流程信息控制,1,一、财务报告内部控制案例,帕玛拉特是意大利第八大企业集团,以生产和销售牛奶、果汁和奶制品等为主，是意乳品业的巨头。但因无力填补,145,亿欧元的财务黑洞，,2003,年,12,月,27,日，意大利帕尔马地方破产法院批准了该公司提出的破产保护申请。帕玛拉特是典型的家族型企业，公司创始人卡利斯托,.,坦齐（,Calisto,Tanzi,）的家族公司拥有帕玛拉特,51%,的股份。帕玛拉特的,13,人董事会中，没有任何人独立于坦齐家族。集中的权力减弱了财务报告内部控制，其内部审计人员波契向检察官承认伪造了对美洲银行近,40,亿美元虚假账目的确认函,7.1,控制案例,2,由于缺乏健全的财务制度，帕玛拉特没有做到财务统一管理。据,金融时报,报道，集团拥有,170,家分支机构，很多分公司以及开曼群岛的子公司之间都有现金转账,多年的系统性造假行为导致帕玛拉特账面上有几十亿欧元不知所踪。如美洲银行在,2003,年,12,月,19,日称，帕玛拉特集团在开曼群岛的分支机构,Bonlat,金融公司在该银行账户上的款项并不存在，而帕玛拉特提供的一份虚假证明文件称该公司,2002,年,12,月,31,日有一笔,39.5,亿欧元的流动资金,3,财务制度的欠缺导致帕玛拉特集团高达,100,亿欧元的债务总额，其中,1/3,为意大利的银行拥有，其余则由债券持有人和国外银行持有；帕玛拉特不但没有利用债务使公司获得财务杠杆收益，反而因过高的债务总额被迫宣布破产,普华永道会计师事务所的审计师在结束清查帕玛拉特账目的第一阶段工作后，分析得出结论，公司实际负债额远远大于帕玛拉特管理层此前上报的金额,4,普华永道对帕玛拉特的真实财务状况出具的报告称，截至,2003,年,9,月,30,日，帕玛拉特净负债额为,143,亿欧元，而不是该公司先前所称的,18,亿欧元,在截至,2003,年,9,月,30,日的,9,个月，帕玛拉特收入为,40,亿欧元，而不是其公布的,54,亿欧元。利息、税项、折旧和摊销前的利润为,1.21,亿欧元，而不是先前所公布的,6.51,亿欧元，公司的流动资产可以,“,忽略不计,”,5,2002,年,2,月,5,日，第一银行（,Allfirst,）揭露了,7.5,亿美元外币交易亏损。第一银行最先发现该行外汇交易员鲁斯纳克（,John,Rusnak,）经手的外币交易有问题是在,2002,年,1,月初。当时，该银行正在对资产部进行例行管理审核。恰在此时，鲁斯纳克要求银行提供巨额现金支持他的交易战略，银行高级经理人员认为他要求的钱款数额巨大，产生怀疑并开始调查。在一个多月的调查期间，鲁斯纳克一直给予合作，直到调查人员发现大量伪造的交易文件后，这起,7.5,亿美元资产不翼而飞的欺诈案方才被揭露出来,二、外币交易信息控制联合爱尔兰银行（,AIB,）,的外币交易欺诈,6,早在,1998,年，,AIB,就安装了从英国,Misys,进口的软件，它能控制货币交易的前后台（在母公司,AIB,上安装后端软件，而其他子公司安装前台软件），以电子化记录前端柜台的货币交易，后端软件追踪所有交易记录。该软件能找出假交易、超过限额交易及未核准交易。假如有任何犯规者，它都会自动地发警报给经理人员。一位前,AIB,外货交易员在调查时说，“,AIB,纽约办公室对其员工的控制非常之严。假如你超过限额一毛钱，,AIB,的信用专员都会知道，而即使是在限额内的交易，只要有不寻常之处，我都会接到电话。”,AIB,还使用了,Crossmar,匹配服务系统，该系统能在两分钟以内自动核对,7,AIB,虽然安装了后端软件，但在第一银行没有安装前台软件，因此无法进行直接处理，前端的交易信息是用人工方式送到后端的。而且第一银行从未用过,Crossmar,系统验证交易，而是依赖电话来确认的,但鲁斯纳克避开了控制系统的防护，他伪装交易验证，即让这些交易看起来像真的。后端办公室依赖于鲁斯纳克每次交易时提供的人工信息，鲁斯纳克在不使用前台软件的情况下，通过其他软件输入交易，这样由于软件不匹配，后端人员无法发现其中的问题,经常给伪造的期权交易一天的到期日而不被人发觉，因为第一银行的报表不会列出一天之内到期的期权交易数据。同时，他还私下说服后端办公室不要确认期权交易双方，因为并未有净现金的转移,8,AIB,指定一外部高级专家来主持对损失原因的调查，包括违反内部控制及可能的内外勾结。调查报告将陈述事实，解释政策及控制效力，提出改进意见,鲁斯纳克伪造的期权与东京、新加坡的主要国际性金融分支机构有关，按规定要求员工在晚上进行电话确认，他说服员工不必费事进行确认，还经常在当天结账时将当日所有的单笔交易归整成一笔交易，这样可以使他的交易看起来似乎是在规避风险。综上分析，虽然,AIB,有完善的软件系统，但软件系统不等于信息系统，同时即使有完善的信息系统，也需要良好的控制,9,7.2,信息传递与信息风险控制程序,信息风险控制从降低信息不对称，到信息沟通、信息技术应用，涉及广泛的领域。中国,“,企业内部控制应用指引第,17,号,内部信息传递,”,指出，企业内部信息传递至少应当关注下列风险：,一是内部报告系统缺失、功能不健全、内容不完整，可能影响生产经营有序运行,二是内部信息传递不通畅、不及时，可能导致决策失误、相关政策措施难以落实,三是内部信息传递中泄露商业秘密，可能削弱企业核心竞争力,10,Simon,（,1973,）指出，组织内,“,稀缺的资源不是信息而是对信息的加工能力,”,。另一方面，对信息处理的安排就涉及到控制权的分配,管理上面临四个主要的问题：一是监管力度和实效性不足；二是资金管理松散；第三，预算管理很困难；第四，企业中存在大量的信息孤岛,信息,也许你从未留意,沟通,一定要知道的内容,11,E,RP,信息控制成为内控载体？,为什么会存在信息孤岛？,沉默,-,知者不言,建言,-,合理化建议,/,风险自我评估,举报,-,主动性最强的建议,12,信息控制包括保证信息完整性、不同信息资源的协调、利用信息进行监控等，信息控制分为两个层面：,一是在公司治理层面，由利益相关者对经营者主导的财务信息系统进行监控，主要是财务报告内部控制,二是在企业经营管理层面，由经营者和业务人员应用业务流程信息，对经营活动进行控制，即业务流程信息控制,13,信息沟通渠道包括文件、刊物、网络、培训、交谈、考核等，中国,企业内部控制基本规范,指出：,企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行,企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息,企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合,14,企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。舞弊的举报、调查重点：,（一）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益,（二）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等,（三）董事、监事、经理及其他高级管理人员滥用职权,（四）相关机构或人员串通舞弊,15,企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级，以便采取应对策略。企业应当拓宽内部报告渠道，通过落实奖励措施等多种有效方式，广泛收集合理化建议,企业应当重视和加强反舞弊机制建设，通过设立员工信箱、投诉热线等方式，鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为,16,多渠道的信息来源,兼听则明，偏听则暗,-,侦探,DEJ,公司在中国大区有,CEO,、,CFO,和,FM,（财务经理），内部审计负责对中国大区财务系统绩效评价。对财务系统的绩效评价有两个方面，一是公认会计准则（,GAAP,）的执行情况，二是萨班斯（,SOX,）法案和内部控制（,IC,）的执行情况,内部审计将审计信息传递给总部董事会、,CEO,，同时外部审计师将其信息传递给董事会和,CEO,，总部将审计中发现的问题发给中国大区进行处理,通过几个渠道获得信息、上报信息，降低了中国大区业务执行信息的不对称性,17,如何理解企业规模扩大，需要加强信息化建设？,18,7,3,财务报告内部控制,财务报告内部控制定义,-,由企业高层管理者制定、实施，受到董事会或类似机构的监督，为确保企业出具的财务报告真实反映企业的财务与经营状况、符合会计准则编报要求的措施与程序,美国证券交易委员会（,SEC,）,2003,年财务报告内部控制定义为,“,由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的，受到公司的董事会、管理层和其他人员影响的，为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计准则提供合理保证的控制程序，具体包括以下控制政策和程序：,19,财务报告内部控制定义,“,财务报告的可靠性,”,是评价企业财务报告内部控制是否良好根本依据。如果管理层在财务报告中虚报企业的利润，违背了可靠性的原则，就称为财务报告内部控制失效。财务报告内部控制属于内部控制的范畴，是内部控制的细化。例如，独立董事就对外担保、关联交易、投资等业务要求报告和披露，属于财务报告内部控制范畴,20,一、财务报告内部控制环境,在相互制衡的公司治理结构下，股东大会、董事会、监事会关注财务信息，以此作为评价委托代理责任履行情况的重要依据，并通过法律、准则等一系列措施来保证财务报告质量，从而形成内在约束力,21,随着安然事件对美国证券市场带来的,“,多米诺骨牌效应,”,，虚假的财务信息成为众矢之的，美国社会各界强力呼吁政府出台能够保证财务报告信息质量的政策、措施，严厉打击公司的造假行为,中国证券市场也屡屡被财务报告舞弊事件困扰，无论是,20,世纪,90,年代初的深圳原野案、,2000,年的郑百文、猴王股份案，还是,2001,年的,“,银广厦,”,事件，种种的案件都或多或少的与企业的财务报告相关,22,二、财务报告内部控制理论与实践,（一）理论研究,代理理论,：,委托人和代理人之间的目标函数是不一致的。委托人总是希望通过各种方式来监督和激励代理人，使之尽其所能，为委托人谋取最大利益,由于“道德风险”（,moral hazard,）或“逆向选择”（,adverse selection,）的存在，经理人员可能通过机会主义的行为最大化自身而不是股东的利益，股东设计了诸多激励和监督机制以引导和制衡经理人员的机会主义行为,23,信息供给不足的原因一是经理人员不愿意披露信息，因为信息一旦披露将会变为利益相关者的公共物品，投资者可以自由享用，经理人员将失去拥有私人信息而可能得到的,“,租金,”,。,委托人面临著多种代理风险：在签约时代理人利用私人信息进行,“,逆向选择,”,；合同执行过程中代理人拥有自然状态的私人信息所引起的,“,隐藏信息,”,；与代理人事后行动的不可观察性相关的,“,道德风险,”,。如果公司能够构建有效的激励机制，则可以有助于解决因信息不对称产生的代理问题。,24,（二）有关法律对财务报告内部控制要求,会计法,：一些条款中规定了财务报告内部控制要求 ，例如关于财务信息质量的责任规定，要由本单位主要负责人承担,萨班斯,奥克斯法案,：第一次对财务报告内部控制的有效性提出了明确的要求,公司首席执行官和财务官应当对所提交的年度报告签署书面保证,25,（三）公司治理准则,公司治理准则是对公司治理结构与治理行为的规范，大多数公司治理准则涉及财务报告内部控制。公司治理准则在指导公司治理和财务报告编制方面发挥着来越重要的作用,英格兰和威尔士特许会计师协会,内部监控综合准则：董事会指南,（,The Turnbull Report,，,1999,）要求，,“,董事会负责公司内部监控，每年至少审查一次内部监控体系的有效性并向股东报告,26,萨班斯,奥克斯法案,涉及内部控制的主要有：需要评价公司的内部控制政策和程序是否包括详细程度合理的纪录,以准确公允地反映公司的资产交易和处置情况,内部控制是否合理保证公司对发生的交易活动进行了必要的纪录,以满足财务报告编制符合公认会计原则的要求；是否合理保证公司管理层和董会对公司的收支活动进行了合理授权,27,中国公司治理准则,（,2002,）指出，董事会是公司的最高决策机关，在工作事务中必须履行相应的职能，确保对公司的战略性指导和对管理人员的有效监督,为了更加明确董事的具体责任，建议董事会实行分工负责制，下设若干专业委员会，提名、报酬、审计和战略规划委员会中的独立董事应当占有一定的比例。其他有代表性的公司治理准则或法律，均强调董事会对公司的指导和对经营者的监督,28,中国,“,企业内部控制应用指引第,14,号,-,财务报告,”,指出，企业编制、对外提供和分析利用财务报告，至少应当关注下列风险：,一是编制财务报告违反会计法律法规和国家统一的会计准则制度，可能导致企业承担法律责任和声誉受损,二是提供虚假财务报告，误导财务报告使用者，造成决策失误，干扰市场秩序,三是不有效利用财务报告，难以及时发现企业经营管理中存在的问题，可能导致企业财务和经营风险失控,29,“,企业内部控制应用指引第,14,号,财务报告,”,（,2010,）明确提出财务报告内部控制要求，企业应当加强对财务报告编制、对外提供和分析利用全过程的管理，明确相关工作流程和要求，落实责任制，确保财务报告合法合规、真实完整和有效利用,企业应当重视报告分析工作，定期召开分析会议，充分利用报告反映的综合信息，全面分析企业的经营管理状况和存在的问题，不断提高经营管理水平。企业分析会议应吸收有关部门负责人参加。总会计师或分管会计工作的负责人应当在分析和利用工作中发挥主导作用,30,（四）财务报告内部控制实践,在以董事会为核心的控制体系中，可供选择的监控途径有：聘任或解聘经营者、直接领导内部审计、由董事会委派财务总监、设立专职财务董事、授权财务总监领导内部审计、建立审计委员会、聘请独立审计师等对经营者主导的财务组织（,Finance Organization,，以财务负责人为首的财务系统）实施监控等,31,1,董事会领导内部审计对财务系统监控由董事直接领导企业内部审计，赋予审计部门较大的权力，提高了审计的独立性，有利于审计职能的发挥、改善监控效果由董事会直接领导内部审计可以对整个企业财务决策、会计行为进行审计，在治理结构规范的企业，董事长与总经理分设，内部审计由董事会领导或向董事会报告工作是较为可行的模式,32,2,董事会委派财务总监对财务系统监控由董事会决定财务总监人选，委派的财务总监对董事会负责。财务总监尽管作为一个独立监控体系，但仍然是内部委派制下的监控体系。这与股东委派的财务总监有所不同，股东委派财务总监是由外部进入企业，独立性更强,33,3,董事会所属并由独立董事组成的审计委员会监控模式审计委员会是董事会下设的监督机构，向董事会负责并报告工作，代表董事会监督财务报告过程和内部控制的有效性，保证财务报告的可靠性和企业经营活动的合法性,34,三、财务报告内部控制的特点,财务报告内部控制的责任主体,管理者,经理人的追求有荣誉、社会威信与权力、竞争热情、创造欲望、安全、冒险等目标。在经理人市场上经理人员报酬就是由其自身价值、以前工作表现等决定的,经理人市场的形成能够激励、约束经理人员，促使经理追求长期的成功。但管理者作为代理人相对委托人来讲，更了解公司内部实际的运作和资金情况，也就更有机会进行,“,暗箱操作,”,35,【,美国世通公司案例,】,2001,年，世通高额负债的状况引起美国证券监管机构的关注，为此所进行的调查导致首席执行官埃伯斯辞职。世通公司前管理当局具有提供虚假财务报告的动机，包括：首席执行官持有公司大量股票，并以此作为个人贷款的质押；需要保持高股价，从而维持以换股方式进行收购兼并的吸引力；需要保持较高的投资和信用等级以发行股票或举债来为其经营活动和资本支出筹措资金,36,财务报告内部控制的内部屏障,董事会,管理者编制财务报告，董事会负责监督，是及早发现财务报告问题的第一道屏障。无论是董事会的结构，独立董事的规模，还是审计委员会的设立，都与财务报告内部控制相关。学者们早期认为，董事会应该包含若干名内部董事，因为他们是董事会的重要信息来源,内部董事参与公司的日常管理，更了解公司经营状况，能提高董事会的决策效率。内部董事可以减少外部董事与首席执行官之间的信息不对称，从而有效的监管和评价,CEO,的工作,37,【,乐山电力公司案例,】2004,年,1,月，乐山电力公司两位独立董事程厚博和刘文波，因对公司的担保行为、关联交易行为以及负债情况产生质疑，聘请会计师事务所对上市公司进行专项审计。独立董事聘请的深圳鹏城会计师事务所从乐山电力管理局得到的资料与中介机构取得的外部有关对外担保资料、关联方及其交易资料不一致，因此深圳鹏城会计师事务所未能对乐山电力,2003,年度及截至,2003,年,12,月,31,日累计的对外担保情况、关联方及其交易事项的专项内容给出整体表示意见,38,但就其取得的资料而言，深圳鹏城会计师事务所审计得出的已终审判决、已执行、正在执行的对外担保金额达到了,2770,万元，这些担保均未经公司董事会及股东大会的决议批准；已经形成诉讼或有可能形成诉讼的对外担保金额达到了,8000,万元，这些担保同样没有取得公司董事会或股东大会决议批准；截止,2003,年,12,月,31,日，乐山电力存在的其他对外担保累计金额据了解至少过亿元，其中大部分未获董事会决议通过，并且未对外公告由于深圳鹏城会计师事务所无法实施进一步审计程序，只是无法发表意见的担保事项其累计金额同样过亿元，其中部分仍未能查公司有曾经披露的历史公告记录,39,股东行为对财务报告内部控制的影响,当控股股东担任公司的管理职务时，不存在所有者和经营者之间的利益冲突,当经营者不是控股股东本人时，控股股东就有足够动力去监管代理人的行为。但控股股东与其他股东的利益并不是都一致的，控股股东侵占小股东的问题时有发生，例如控股股东向公司委派管理人员，与管理层合谋损害中小股东的利益，还通过隧道挖掘（,Tunneling,）的方式侵占其他股东的利益,当存在利益侵占效应时，控股股东和公司管理层为了掩饰其侵占行为会倾向于降低信息透明度,40,美国等国家已经将由管理层聘请注册会计师，改为由董事会所属的审计委员会执行该项职能，保证财务报告审计的独立性,在财务报告程序方面，审计人员是公众的利益代表，依靠审计人员对投资者获取的信息提供一定的保证，就像仓库保管员接受某一产品后，对该产品加盖密封条一样,财务报告内部控制的外部屏障,外部审计师,41,四、财务报告内部控制风险和防范,企业财务报告欺诈前，通常会表现出一些异常现象，将其称为财务报告内部控制失效的风险信号,美国,COSO,委员会,1999,年发布了,欺诈性财务报告分析,，发现实施欺诈的公司，在欺诈前的几个会计期间发生亏损，或者正接近损益平衡点的位置，财务困境使得这些公司有动机进行欺诈性活动,42,公司管理人员的素质、公司内部控制环境和公司结构的复杂程度等因素对于公司会计舞弊都有预警作用,Cottrell,和,Albrecht,（,1994,）将财务舞弊的征兆分为六类：发生会计违规行为，内部控制不力，财务分析异常，高管人员生活方式转变，高管人员行为转变，财务信息泄露或抱怨,Cottrell D.M,，,Albrecht W.S,Recognizing the symptoms of employee fraudJ,Healthcare Financial Management,，,1994,，,48,（,5,）：,1825,43,Albrecht,，,Wernz,和,Williams,（,1995,）研究证实，通过分析财务报告，能够发现财务报告舞弊的征兆，例如，财务报表中某些指标的异常变化、公司存在危机的情况下继续经营、部分异常的大额交易、收益质量的持续降低、高额负债或其他利益负担、因迫切需要而报告有利收益以及应收账款不能及时收回等问题。除此之外，费用增长速度大于收入增长速度、外部审计师和管理层更换频繁、关联交易、与客户或供应商之间不同寻常的关系等也是财务舞弊的征兆,Albrecht W.S,，,Wernz G.W,，,Williams T.L,Fraud: bring the light to the dark side of businessM,New York,：,Irwin Inc,，,1995,44,Beneish,（,1997,）在对舞弊公司和未舞弊公司进行比较研究后发现，通过公司的股价表现、历史业绩、财务杠杆程度以及业绩增长速度等因素可以判定公司是否有发生财务舞弊的可能。另外，,Beneish,（,1999,）通过建立模型检验盈余操纵，发现财务舞弊与某些财务变量存在一个系统的关系：公司应收款项大幅度增加、产品毛利率异常变动、资产质量下降、主营业务收入异常增加和应急利润率上升等都是财务舞弊的征兆。,Beneish M.D,Detecting GAAP violation,：,Implications for assessing earnings management among firms with extreme financial performanceJ,Journal of Accounting and Public Policy,，,1997,，,16,：,271-309,Beneish M.D,Incentives and penalties related to earnings overstatements that violate GAAPJ,The Accounting Review,，,1999,，,74,（,4,）：,425-457,45,Summers,和,Sweeney,（,1998,）研究分析了公司内幕交易和财务报告舞弊的关系，指出内幕交易是发生财务报告舞弊的预警信号,Summers S.L,，,Sweeney J.T,Fraudulently misstated financial statements and insider trading: an empirical analysisJ,The Accounting Review,，,1998,，,73,（,1,）：,131-146,Bell,和,Carcello,（,2000,）研究发现，虚弱的内部控制环境、公司的急剧增长、盈利能力相对不足、过分强调盈利预期、回避审计师的管理当局、实体所有权（公有还是私有）状态以及虚弱的控制环境和管理财务报告的积极态度的相互作用等都是财务舞弊中具有显著性风险的因素,Bell T.B,，,Carcello J.V,A decision aid for assessing the likelihood of fraudulent financial reportingJ,Auditing: A Journal of Practice & Theory,，,2000,，,19,（,1,）：,169-184,46,郑朝晖（,2001,）遴选出上市公司十大管理舞弊案件，列举出上市公司的财务报告舞弊征兆：资本运作和关联交易频繁、,IPO,及没有三分开、业绩和股价波动剧烈、全行业亏损或行业过度竞争等。郑朝晖上市公司十大管理舞弊案分析及侦查研究审计研究，,2001,，,6,：,45-53,阎达五、王建英（,2001,）对可能存在利润操纵行为的上市公司进行总体财务指标特征分析，结果显示，公司非营业活动频繁、投资收益过高、关联单位交易、人为扩大赊销范围或采用提前确认销售甚至虚假销售等因素都是上市公司财务不稳定、发生财务舞弊的征兆,.,阎达五，王建英上市公司利润操纵行为的财务指标特征研究财务与会计，,2001,，,10,：,21-25,47,李若山（,2002,）对,100,位公司管理人员进行问卷调查，结果显示公司在缺少内部控制或内部控制较弱、高层管理当局缺乏正直的品质和道德水准等情况下容易发生舞弊。同时发现，从行业的角度看，建筑业的舞弊现象最严重，远远高于其他行业。李若山，金彧昉，祁新娥对当前我国企业舞弊问题的实证调查,J,审计研究，,2002,，,2,：,17-22,秦荣生（,2005,）指出，如果出现资不抵债、营运资金出现负数、无法偿还到期债务等财务现象以及关键管理人员的离职且无人代替、未达到预期经营目标等经营现象，公司有可能发生财务舞弊。秦荣生虚假会计报表的成因分析及其识别策略,J,会计师，,2005,，,1,：,22-27,48,宋传联（,2005,）将上市公司财务报告舞弊的预警信号分为公司经营环境预警信号、报表项目预警信号、差错财务比率预警信号和附注预警信号四类，并对每一类进行了详细说明,.,宋传联对我国上市公司财务报告舞弊信号的审计识别财会研究，,2005,（,11,）,王泽霞、梅伟林（,2006,）向会计师事务开展开问卷调查，调查结果显示：可能被,ST,、退市或急于摆脱,ST,、面临筹资压力（借款、偿债、增发、配股等的压力）和大股东操纵董事会等红旗标志（,Red Flag,）最为显著，能较好的识别舞弊,.,王泽霞，梅伟林中国上市公司管理舞弊重要红旗标志之实证研究,J,杭州电子科技大学学报（社会科学版），,2006,，,2,（,3,）：,57-64,49,财务报告风险信号,关键信号,财务报告舞弊风险,年末或季末收入激增,收入经常在期末被操纵以达到收益目标，包括：未结清账户和提前确认下期收入，虚假销售，平滑收益等,销售增长超过行业水平,行业内其他企业销售下降，本企业销售处于增长状态，但不能被合理证明,毛利率异常,没有记录全部费用、重复开出发票、虚假销售、产品质量下降等,结账后销售退回增加,可能意味着产品或服务质量问题，虚假销售等,应收账款回收期增加,应收账款回收期显著增加或显著高于行业水平,存货周转期增加,存货周转期增加可能意味着产品积压、面临财务困境,资产负债率显著变化,财务压力是重要的舞弊风险信号,现金流量,如果销售收入和盈利能力表现好，但经营现金流量较低或为负数,非财务业绩指标显著变化,各个行业都有其关键信号，关键信号与财务结果显著不一致,50,公司治理与财务报告内部控制,控制环境,如何激励管理层和员工？是否存在收益目标的压力；员工理解其个人对内部控制的责任；评价领导能力的标准是什么；如何处理发生的错误？等,道德准则,建立道德准则并遵循；不存在违反准则的情况；公司资产被恰当地使用,关联方交易,制定关联方交易政策，该政策是否有效？公司是否定期进行关联方交易？向审计人员和董事会进行充分披露关联方交易情况；存在关联方交易的重要经济动机是否能够证明关联方交易的存在？,公司治理,董事会保持独立性，董事会会议经常讨论潜在的问题，董事长与管理层关系适当；管理层对下级未施加不正当影响，例如从不向关键人员明示或暗示账项调整,审计委员会,审计委员会保持独立，并具有财会知识，准确地理解内部控制；审计委员会积极开展活动，跟踪内部和外部审计发现的问题，在没有管理层参与的情况下与审计人员会面,内部审计,设立内部审计部门，内部审计章程与“最佳的实践”保持一致；内部审计部门的预算由董事会或审计委员会审批；内部审计的范围涉及所有活动，如控制评价、财务审计、经营审计、监督公司道德准则的遵循情况；内部审计的建议被采纳和贯彻；内部审计人员能够胜任工作；能及时揭示出控制失败从而能采取纠正措施,举报制度,建立了举报制度，并与责任人保持独立性，有足够的权力的经费追究问题，举报信息提供给管理层、审计委员会和内部审计部门,51,有研究机构对美国,603,个舞弊事件研究，员工举报、偶尔发现、内部控制、内部审计等内部方式发现舞弊的比例达,69.8%,；通过客户举报、匿名举报、供应商举报等外部关系人发现的比例达,17.6%,；通过外部审计、执法检查发现财务舞弊的比例只占,12.6%,具体分布：员工举报发现,140,个、偶尔发现,100,个、内部控制发现,99,个、内部审计发现,82,个，内部方式共计,421,；客户举报,46,个、匿名举报,33,个、供应商举报,27,个、外部审计,67,、执法检查,9,个。企业在内部控制以之外，还应给客户举报、供应商举报等外部关系人举报创造条件,52,7.4,业务流程信息风险控制,财务报告内部控制控制主要针对财务信息控制，业务流程信息控制对业务流程信息控制，业务流程信息对于支持组织的决策与控制具有重要作用。除了解决组织中经营决策、协调与控制、战略绩效评价等的问题外，业务流程信息也具有分析问题、考察复杂目标与开创新产品的作用,53,一、业务信息控制,企业的营运规划、控制和决策需要多种多样的信息，虽然大部分为财务信息，但是还有一部分并非来自会计系统,这些信息有的可以进入管理信息系统（如商品信息、客户信息），有些信息无法进入管理信息系统或进入成本高（如员工满意度信息）。需要对业务信息控制，以保证流程的效率和效果,54,凌志（,Lexus,）是丰田汽车公司顶级轿车，车主应该得到最好的服务。公司依赖顾客信息系统提供服务，通过系统数据识别轮胎有问题的车辆，一旦发现问题，公司会邮寄,400,美元或更高金额的支票给车主去更换轮胎,这时出现了问题，有些支票寄给了非,Lexus,车的车主；有一些寄给了曾拥有，但现在已经更换汽车的车主，这些数据都来源于丰田公司的顾客信息系统，这个信息系统此时已经失效了。企业不仅要建立信息系统，同时还要进行后控制,/,信息维护,55,MP,公司,CRM,系统构架,项目信息,提醒,上级,跟踪,总结,成功,失败,分析,对策,逐级,了解,严格,及时,完整,准确,合理,及时,结果,审批,申请,日志,添加,删除,修改,确定,客户,所有,相关,信息,按时,添补,查询,跟进,客户信息,录入,查询,日志,信息分析,图表分析,数据分析,方便准确全面安全,直观灵活具体实用,客户关系管理信息,56,二、管理信息系统控制,（一）管理信息系统的演变过程,决策支持系统（,1970,1980,年），包括决策支持系统（,DSS,）和管理支持系统（,MSS,）,战略和终端用户支持系统（,1980,至今），包括主管信息系统（,EIS,），战略信息系统（,SIS,），供应链管理（,SCM,）客户关系管理（,CRM,）和,ERP,系统（,ERP,）,57,（二）,ERP,信息系统,ERP,的核心管理思想就是实现对整个供应链的有效管理，主要体现在以下方面： 对整个供应链资源进行管理，体现精益生产、同步工程和敏捷制造的思想，体现事前计划和事中控制的思想,ERP,系统集成了全员质量管理（,TQM,）、准时制生产（,JIT,）、约束理论、精益生产、敏捷制造、实验室管理、,EDI,（电子数据交换）、项目管理等在线实时分析监控销售、生产、采购、财务等作业，及时提供决策信息,58,企业应当建立信息系统变更管理流程，信息系统变更应当严格遵照管理流程进行操作信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变软件系统环境配置,59,中国,“,企业内部控制应用指引第,18,号,信息系统,”,指出，企业利用信息系统实施内部控制至少应当关注下列风险：,一是信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下,二是系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制,三是系统运行维护和安全措施不到位，可能导致信息泄漏或损，系统无法正常运行,60,企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序,企业应当建立信息系统安全保密和泄密责任追究制度,委托专业机构进行系统运行与维护管理的，应当审查该机构的资质，并与其签订服务合同和保密协议。企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏,61,企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作,企业应当综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入,62,企业对于通过网络传输的涉密或关键数据，应当采取加密措施，确保信息传递的保密性、准确性和完整性,企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容,企业应当加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查，及时处理异常情况,未经授权，任何人不得接触关键信息设备,63,海空物流公司通过,GPS,（全球卫星系统），实现了对所有运输车辆,24,小时监控，所有仓库安装了,CCTV,监视系统，对出入仓库的人员实行指纹身份识别方式，对仓库中进出和存放的货物实行条形码管理,通过全程动态监控对供应链上每个成员的信息、行为和服务结果检查，鉴别出整个供应链上的冗余行为和非增值行为,为保证信息系统的安全，对系统的制度严格执行，每月都要进行系统准入核对（,system access reconciliation,）,64,霍国庆（,2004,）指出，战略信息集成是企业战略执行的基础，战略执行和决策的质量在很大程度取决于信息资源集成的质量，围绕低成本、差异化和特定目标市场等形成的战略信息资源的集成,韦华宁（,2005,）对中国企业战略执行现状的调查分析基础上，发现我国企业战略执行进程和效果未能得到有效的监控，信息系统成为战略执行的,“,短板,”,。在操作层面，过去更多地通过人员、岗位和组织设计来实施，导致成本高、效率低,65,中国,“,企业内部控制应用指引第,18,号,信息系统,”,指出，企业利用信息系统实施内部控制至少应当关注下列风险：,一是信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下,二是系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制,三是系统运行维护和安全措施不到位，可能导致信息泄漏或损失，系统无法正常运行,66,企业各级管理人员应当充分利用内部报告管理和指导企业的生产经营活动，及时反映全面预算执行情况，协调企业内部相关部门和各单位的运营进度，严格绩效考核和责任追究，确保企业实现发展目标,企业应当有效利用内部报告进行风险评估，准确识别和系统分析企业生产经营活动中的内外部风险，确定风险应对策略，实现对风险的有效控制。企业对于内部报告反映出的问题应当及时解决；涉及突出问题和重大风险的，应当启动应急预案,67,本章小结 信息控制包括财务报告内部控制和业务流程信息控制，企业财务报告内部控制表现为由高层管理者制定、实施，受到董事会或类似机构的监督，为确保企业财务报告如实地反映了企业的财务与经营状况、符合会计准则的编报要求的措施与程序。业务流程信息控制是用人工和自动化方法保障信息系统的安全，同时确保实施过程符合管理标准，为业务流程的实施、经营管理提供所需的信息,68,练习题参考答案：,1 A,2 ABC,3 ABC,4 ABCD,5 ABC,69,1,在董事决策及信息支持系统中，在一些国家的法律和公司治理准则中明确做出规定，例如董事须获得充分信息，以履行其职责；董事不得完全依赖经营者提供的信息，如果履行职责确有必要，可进一步收集信息；董事会休会期间，公司也要向董事提供信息，这些信息应是充分的、相关的、高质量的，能够帮助董事履行其职责。信息是董事们履行职责，发挥董事会监督控制作用的重要保证。,原书案例讨论题的分析思路,70,在一家大型企业使用了管理信息系统，并建立起了一套完整的控制制度。下面是该企业内部不同职位员工最近的对话：,公司总经理：“最近汇总出各分公司的销售业绩很好，应该进行奖励。但东北地区分公司的销售业绩有同比下降，让他们写一份报告。”,公司财务部分管,M,分公司的人员：“最近,M,公司的现金波动这么频繁，而且每次都没有超过使用权限，我的系统分析助手已经提出警告，要及时报告,M,分公司的异常情况。”,71,公司信息部经理：“一次性更新管理信息系统的工作量实在是太大了，以后一定要随时更新。在更新过程中好像给财务部的授权太高了，要进行严格的控制，系统更新一结束就要把授权降下来。”,分公司部门经理：“总公司下达的本年销售计划数我们已经完成一大半了，也不知道其他分公司完成的情况怎么样？总公司正在更新管理信息系统，下半年又要忙了。”,72,分公司一位销售人员：“经过半年的努力，我的销售业绩提高了，也不知道分公司其他人员的销售业绩怎么样？我现在的销售业绩比我去年同期提高了多少？”,分公司人力资源管理部门一位员工：“我想查一下公司人员薪资的变动情况、在职人员的具体数字和健康状况，总公司那边需要这些数据，可是人力资源管理部门部经理不在岗，有些资料我无权访问啊。”,请分析一下：企业的管理信息系统由哪些用处？如何进行有效的控制？,73,2,信息系统的使用,人员包括销售人员、人力资源管理部门人员、分部经理、财会人员、总经理、信息官等，这些人员从不同的角度应用信息。这一系统总体上提供的信息帮助实施管理控制，如财务部人员对现金波动的判断，总经理对地区销售业绩的比较。在信息使用权方面进行了较好的授权，如员工的重要信息由人力资源部经理掌握，对财务部授权太大的事项准备加以限制。但这个系统的信息不完整，例如销售人员不能掌握过去的销售业绩，部门经理不能与其他分公司比较。,74,主要参考文献,程新生,.,对企业会计组织监控的若干模式解析,.,会计研究，,2002,（,6,）：,5259,霍国庆,.,企业信息资源集成管理战略理论与案例,.,清华大学出版社，,2004,刘立国，杜莹公司治理与财务信息质量关系的实证研究会计研究，,2003,（,2,）：,7681,王立彦，徐浩萍，赵熙,.,会计控制与信息系统,.,大连：东北财经出版社，,2005,杨周南 等,.,会计信息系统,.,北京：电子工业出版社，,2006,April Klein. Audit committee, board of director characteristics, and earnings management. Journal of Accounting and Economics, 2002, 33,：,375400,75,