5．1財務報告內部控制5．2業務流程信息控制5．3信息控制案例第五章信息控制1信息控制包括保證信息完整性、不同信息資源的協調、利用信息進行監控等，信息控制分為兩個層面，一是在公司治理層面，由利益相關者對經營者主導的財務信息系統進行監控，主要是財務報告內部控制；二是在企業經營管理層面，由經營者和業務人員應用業務流程信息，對經營活動進行控制，即業務流程信息控制。2南開大學程新生等5．1財務報告內部控制財務報告內部控制定義由企業高層管理者制定、實施，受到董事會或類似機構的監督，為確保企業出具的財務報告真實反映企業的財務與經營狀況、符合會計準則編報要求的措施與程序美國證券交易委員會（SEC）在2003年6月上市規則中以“財務報告內部控制”代替傳統的內部會計控制，將“財務報告內部控制”定義為，“由公司的首席執行官、首席財務管或者公司行使類似職權的人員設計或監管的，受到公司的董事會、管理層和其他人員影響的，為財務報告的可靠性和滿足外部使用的財務報表編制符合公認會計準則提供合理保證的控制程序，具體包括以下控制政策和程序：3南開大學程新生等財務報告內部控制定義（續）“財務報告的可靠性”是評價企業財務報告內部控制是否良好根本依據。如果管理層在財務報告中虛報企業的利潤，違背了可靠性的原則，就稱為財務報告內部控制失效。財務報告內部控制屬于內部控制的范疇，是內部控制的細化。例如，獨立董事就對外擔保、關聯交易、投資等業務要求報告和披露，屬于財務報告內部控制范疇。

5南開大學程新生等一、財務報告內部控制環境

在相互制衡的公司治理結構下，股東大會、董事會、監事會關注財務信息，以此作為評價委托代理責任履行情況的重要依據，并通過法律、準則等一系列措施來保證財務報告質量，從而形成內在約束力。6南開大學程新生等隨著安然事件對美國證券市場帶來的“多米諾骨牌效應”，虛假的財務信息成為眾矢之的，美國社會各界強力呼吁政府出臺能夠保證財務報告信息質量的政策、措施，嚴厲打擊公司的造假行為。中國證券市場也屢屢被財務報告舞弊事件困擾，無論是20世紀90年代初的深圳原野案、2000年的鄭百文、猴王股份案，還是2001年的“銀廣廈”事件，種種的案件都或多或少的與企業的財務報告相關。

7南開大學程新生等信息供給不足的原因一是經理人員不愿意披露信息，因為信息一旦披露將會變為利益相關者的公共物品，投資者可以自由享用，經理人員將失去擁有私人信息而可能得到的“租金”。委托人面臨著多種代理風險：在簽約時代理人利用私人信息進行“逆向選擇”；合同執行過程中代理人擁有自然狀態的私人信息所引起的“隱藏信息”；與代理人事后行動的不可觀察性相關的“道德風險”。如果公司能夠構建有效的激勵機制，則可以有助于解決因信息不對稱產生的代理問題。9南開大學程新生等（二）有關法律對財務報告內部控制要求《會計法》：一些條款中規定了財務報告內部控制要求，例如關于財務信息質量的責任規定，要由本單位主要負責人承擔。《薩班斯—奧克斯法案》：第一次對財務報告內部控制的有效性提出了明確的要求。

公司首席執行官和財務官應當對所提交的年度報告簽署書面保證。10南開大學程新生等（三）公司治理準則公司治理準則是對公司治理結構與治理行為的規范，大多數公司治理準則涉及財務報告內部控制。公司治理準則在指導公司治理和財務報告編制方面發揮著來越重要的作用。英格蘭和威爾士特許會計師協會《內部監控綜合準則：董事會指南》（TheTurnbullReport，1999）要求，“董事會負責公司內部監控，每年至少審查一次內部監控體系的有效性并向股東報告。11南開大學程新生等《中國公司治理準則》（2002）指出，董事會是公司的最高決策機關，在工作事務中必須履行相應的職能，確保對公司的戰略性指導和對管理人員的有效監督。為了保證董事會的獨立性，董事會成員中應吸收適當數量的獨立董事，并明確獨立董事在董事會中的地位和作用。為了更加明確董事的具體責任，建議董事會實行分工負責制，下設若干專業委員會，提名、報酬、審計和戰略規劃委員會中的獨立董事應當占有一定的比例。其他有代表性的公司治理準則或法律，均強調董事會對公司的指導和對經營者的監督。13南開大學程新生等治理準則對董事會職責的界定1992年英國《公司治理財務方面的報告》(theCadburyReport)確定戰略目標并領導實施；監督經營者并向股東報告；確定財務政策并監督實施；監督財務報告過程；預防和調查欺詐或其他非法行為等。1993年愛爾蘭投資經理協會《指南》任免經營者；審批經營戰略；監督、評估經營者績效等。1997年澳大利亞投資經理協會《指南》確定經營戰略；任命、培訓、監督經營者；確保內部控制和信息系統的完整性；確定與經營績效關聯的報酬政策等。1997年美國商業圓桌會議《公司治理聲明》任免經營者，確定經營者報酬；審核批準經營戰略、財務目標和預算；審核評估內部控制、風險管理、財務報告程序的適當性；評估董事會結構、治理原則，確保其運行等。1998年英國《漢普爾報告》有效的董事會控制和領導公司；確定公司經營戰略，并確保其實施等。2004年經合組織（OECD）《公司治理原則》任免、激勵經營者；確定經營戰略、預算、風險政策和績效目標，并監督實施；監管資本性支出和關聯交易等；審核經營者和董事報酬；通過外部審計、風險監控、財務控制保證財務報告的完整、可信；監督治理機制運行；監督信息披露，保證獨立審計誠信可靠等。1999年法國《維也納特報告》（theVienotReport）監控經營者；確定經營戰略；確保年度報告和重大交易的披露質量。1999年《韓國公司治理最佳實務準則》設定、審批經營計劃；任免、監督管理層；監督資本性支出；保證會計信息真實性；監督風險管理和財務控制；監督管理實務的有效性等。2002年中國《上市公司治理準則》按照股東大會決議設立戰略、審計、提名、考核等專門委員會；審計委員會職責是提議聘請或更換外部審計機構、監督內部審計、負責內部審計與外部審計之間的溝通、審核公司財務信息及其披露、審查公司內控制度。14南開大學程新生等（四）財務報告內部控制實踐

在以董事會為核心的控制體系中，可供選擇的監控途徑有：聘任或解聘經營者、直接領導內部審計、由董事會委派財務總監、設立專職財務董事、授權財務總監領導內部審計、建立審計委員會、聘請獨立審計師等對經營者主導的財務組織（FinanceOrganization，以財務負責人為首的財務系統）實施監控等。15南開大學程新生等2．董事會委派財務總監對財務組織監控

由董事會決定財務總監人選，委派的財務總監對董事會負責。財務總監盡管作為一個獨立監控體系，但仍然是內部委派制下的監控體系。這與股東委派的財務總監有所不同，股東委派財務總監是由外部進入企業，獨立性更強。

3．董事會設立專職財務董事對財務組織監控

在董事會設立財務董事，以財務董事為主，組織專門人員對經營者主導的財務組織實施監控，利用績效評價指標體系對經營者績效進行考核與評價，在較高層次上實施監督控制。17南開大學程新生等4．董事會授權財務總監領導內部審計對財務組織監控

董事會可以授權財務總監領導企業內部審計，以加強對財務組織的監督控制。財務總監領導的內部審計必須與經營者主導的財務組織獨立，這是董事會實施監督控制的基本前提。

5．董事會所屬并由獨立董事組成的審計委員會監控模式

審計委員會是董事會下設的監督機構，向董事會負責并報告工作，代表董事會監督財務報告過程和內部控制的有效性，保證財務報告的可靠性和企業經營活動的合法性。18南開大學程新生等三、財務報告內部控制的特點財務報告內部控制的責任主體—管理者 管理者是理性的經濟人，高額報酬可能迫使其必須保持公司的利潤，但職業經理追求的還有榮譽、社會威信與權力、競爭熱情、創造欲望、安全、冒險等目標。在經理人市場上經理人員報酬就是由其自身價值、以前工作表現等決定的。因而經理人市場的形成能夠激勵、約束經理人員，促使經理追求長期的成功，不愿貪圖眼前的最大利益，以免風險大而招致終身失敗。但管理者作為代理人相對委托人來講，更了解公司內部實際的運作和資金情況，也就更有機會進行“暗箱操作”。19南開大學程新生等

財務報告內部控制的內部屏障—董事會管理者編制財務報告，董事會負責監督，是及早發現財務報告問題的第一道屏障。無論是董事會的結構，獨立董事的規模，還是審計委員會的設立，都與財務報告內部控制相關。學者們早期認為，董事會應該包含若干名內部董事，因為他們是董事會的重要信息來源。內部董事參與公司的日常管理，更了解公司經營狀況，能提高董事會的決策效率。此外，內部董事可以減少外部董事與首席執行官（CEO）之間的信息不對稱，從而有效的監管和評價CEO的工作。法瑪（Fama）指出，一個股東占多數的董事會并不是最佳董事會結構，其解決的辦法就是引入外部董事

21南開大學程新生等【樂山電力公司案例】

2004年1月，樂山電力公司兩位獨立董事程厚博和劉文波，因對公司的擔保行為、關聯交易行為以及負債情況產生質疑，聘請會計師事務所對上市公司進行專項審計。獨立董事聘請的深圳鵬城會計師事務所從樂山電力管理局得到的資料與中介機構取得的外部有關對外擔保資料、關聯方及其交易資料不一致，因此深圳鵬城會計師事務所未能對樂山電力2003年度及截至2003年12月31日累計的對外擔保情況、關聯方及其交易事項的專項內容給出整體表示意見。22南開大學程新生等但就其取得的資料而言，深圳鵬城會計師事務所審計得出的已終審判決、已執行、正在執行的對外擔保金額達到了2770萬元，這些擔保均未經公司董事會及股東大會的決議批準；目前已經形成訴訟或有可能形成訴訟的對外擔保金額達到了8000萬元，這些擔保同樣沒有取得公司董事會或股東大會決議批準；截止2003年12月31日，樂山電力存在的其他對外擔保累計金額據了解至少過億元，其中大部分未獲董事會決議通過，并且未對外公告；此外，由于深圳鵬城會計師事務所無法實施進一步審計程序，只是無法發表意見的擔保事項其累計金額同樣過億元，其中部分仍未能查公司有曾經披露的歷史公告記錄。23南開大學程新生等美國等國家已經將由管理層聘請注冊會計師，改為由董事會所屬的審計委員會執行該項職能，保證財務報告審計的獨立性在財務報告程序方面，審計人員是公眾的利益代表，依靠審計人員對投資者獲取的信息提供一定的保證，就像倉庫保管員接受某一產品后，對該產品加蓋密封條一樣

財務報告內部控制的外部屏障—外部審計師25南開大學程新生等四、財務報告內部控制風險和防范企業財務報告欺詐前，通常會表現出一些異常現象，將其稱為財務報告內部控制失效的風險信號。美國COSO委員會1999年發布了《欺詐性財務報告分析》，發現實施欺詐的公司，在欺詐前的幾個會計期間發生虧損，或者正接近損益平衡點的位置，財務困境使得這些公司有力進行欺詐性活動。

26南開大學程新生等5．2業務流程信息控制

財務報告內部控制控制主要針對財務信息控制，業務流程信息控制對業務流程信息控制，業務流程信息對于支持組織的決策與控制具有重要作用。除了解決組織中經營決策、協調與控制、戰略績效評價等的問題外，業務流程信息也具有分析問題、考察復雜目標與開創新產品的作用

29南開大學程新生等一、業務信息控制企業的營運規劃、控制和決策需要多種多樣的信息，雖然大部分為財務信息，但是還有一部分并非來自會計系統。這些信息有的可以進入管理信息系統（如商品信息、客戶信息），有些信息無法進入管理信息系統或進入成本高（如員工滿意度信息）。需要對業務信息控制，以保證流程的效率和效果。

30南開大學程新生等MP公司CRM系統構架項目信息提醒上級跟蹤總結成功失敗分析對策逐級了解嚴格及時完整準確合理及時結果審批申請日志添加刪除修改確定客戶所有相關信息按時添補查詢跟進客戶信息錄入查詢日志信息分析圖表分析數據分析方便準確全面安全直觀靈活具體實用圖5－1客戶關系管理信息31南開大學程新生等凌志（Lexus）是豐田汽車公司的頂級豪華轎車，車主應該得到最好的服務。公司依賴顧客信息系統提供服務，通過系統數據識別輪胎有問題的車輛，一旦發現問題，公司會郵寄400美元或更高金額的支票給車主去更換輪胎但這時就出問題，有些支票寄給了非Lexus車的車主；有一些寄給了曾擁有，但現在已經更換汽車的車主，這些數據都來源于豐田公司的顧客信息系統，這個信息系統此時已經失效了。企業不僅要建立信息系統，同時還要進行后控制。32南開大學程新生等二、管理信息系統控制（一）管理信息系統的演變過程管理信息系統經過的演變過程：數據處理系統（1950－1960年），包括電子數據處理（EDP）、業務處理（TP）和記錄保存；管理報告系統（1960－1970年），包括管理信息系統、管理報告系統和信息管理系統；決策支持系統（1970－1980年），包括決策支持系統（DSS）和管理支持系統（MSS）；戰略和終端用戶支持系統（1980－至今），包括主管信息系統（EIS）、戰略信息系統（SIS）、供應鏈管理（SCM）、客戶關系管理（CRM）和ERP系統（ERP）。33南開大學程新生等（二）ERP信息系統

信息系統經歷了從MRP、MRPⅡ到ERP系統，ERP系統已被公認為現代管理信息系統的主流。

ERP的核心管理思想就是實現對整個供應鏈的有效管理，主要體現在以下方面：

對整個供應鏈資源進行管理，體現精益生產、同步工程和敏捷制造的思想，體現事前計劃和事中控制的思想。

ERP系統集成了質量管理、全員質量管理（TQM）、準時制生產（JIT）、約束理論、精益生產、敏捷制造、實驗室管理、EDI（電子數據交換）、C/S計算機技術、項目管理，同時也能夠適應混合生產模式，在線實時分析監控銷售、生產、采購、財務等作業，及時提供決策信息。34南開大學程新生等（三）信息管理制度

1.獲得正確的信息

2.在正確的時間獲取信息

3.以正確的形式獲取信息

4.信息反饋制度

沃爾瑪公司將每日銷售的信息傳遞給牛仔服制造商—阮格爾公司。沃爾瑪公司開發的信息模型為某些商店提供顧客所需要牛仔服的數量、尺寸和顏色信息。“循環交流”的結果是由于能夠及時反饋阮格爾牛仔服的銷售情況，從而使沃爾瑪公司的庫存最小，庫存成本降低，同時能為顧客提供其真正需要的產品。35南開大學程新生等三、信息系統一般控制和應用控制

（一）信息系統中的一般控制一般控制涉及信息系統設計、安全和使用的控制，以及對整個企業信息基礎建設中的數據文件總體的安全的控制，包括軟件控制、硬件控制、計算機操作控制、數據安全控制、系統實施的流程控制和信息系統管理控制（administrativecontrol）。36南開大學程新生等（二）信息系統中的應用控制

應用控制是針對具體的計算機化程序，例如薪資、應收賬款和訂單系統的特別使用的控制。應用控制應根據每個信息系統的特點，分別設計。應用控制包含自動控制和人工的流程控制，以確保只有經過授權的數據才能完全地、準確誤地通過應用程序來處理。37南開大學程新生等海空物流公司通過GPS（全球衛星系統），實現了對所有運輸車輛24小時監控，所有倉庫安裝了CCTV監視系統，對出入倉庫的人員實行指紋身份識別方式，對倉庫中進出和存放的貨物實行條形碼管理。通過全程動態監控對供應鏈上每個成員的信息、行為和服務結果檢查，鑒別出整個供應鏈上的冗余行為和非增值行為。為保證信息系統的安全，對系統的制度嚴格執行，每月都要進行系統準入核對（systemaccessreconciliation）。

38南開大學程新生等一、財務報告內部控制案例帕瑪拉特是意大利第八大企業集團,以生產和銷售牛奶、果汁和奶制品等為主，是意乳品業的巨頭。但因無力填補145億歐元的財務黑洞，2003年12月27日，意大利帕爾馬地方破產法院批準了該公司提出的破產保護申請。帕瑪拉特是典型的家族型企業，公司創始人卡利斯托.坦齊（CalistoTanzi）的家族公司擁有帕瑪拉特51%的股份。帕瑪拉特的13人董事會中，沒有任何人獨立于坦齊家族。集中的權力減弱了財務報告內部控制，其內部審計人員波契向檢察官承認偽造了對美洲銀行近40億美元虛假賬目的確認函。5．3信息控制案例39南開大學程新生等由于缺乏健全的財務制度，帕瑪拉特沒有做到財務統一管理。據《金融時報》報道，集團擁有170家分支機構，很多分公司以及開曼群島的子公司之間都有現金轉賬。多年的系統性造假行為導致帕瑪拉特賬面上有幾十億歐元不知所蹤。如美洲銀行在2003年12月19日稱，帕瑪拉特集團在開曼群島的分支機構Bonlat金融公司在該銀行賬戶上的款項并不存在，而帕瑪拉特提供的一份虛假證明文件稱該公司2002年12月31日有一筆39.5億歐元的流動資金。40南開大學程新生等財務制度的欠缺導致帕瑪拉特集團高達100億歐元的債務總額，其中1/3為意大利的銀行擁有，其余則由債券持有人和國外銀行持有；帕瑪拉特不但沒有利用債務使公司獲得財務杠桿收益，反而因過高的債務總額被迫宣布破產。普華永道會計師事務所的審計師在結束清查帕瑪拉特賬目的第一階段工作后，分析得出結論，公司實際負債額遠遠大于帕瑪拉特管理層此前上報的金額。普華永道對帕瑪拉特的真實財務狀況出具的報告稱，截至2003年9月30日，帕瑪拉特凈負債額為143億歐元，而不是該公司先前所稱的18億歐元。在截至2003年9月30日的9個月，帕瑪拉特收入為40億歐元，而不是其公布的54億歐元。利息、稅項、折舊和攤銷前的利潤為1.21億歐元，而不是先前所公布的6.51億歐元，公司的流動資產可以“忽略不計”。41南開大學程新生等二、外幣交易信息控制－聯合愛爾蘭銀行（AIB）的外幣交易欺詐

2002年2月5日，第一銀行（Allfirst）揭露了7.5億美元外幣交易虧損。

第一銀行最先發現該行外匯交易員魯斯納克（JohnRusnak）經手的外幣交易有問題是在2002年1月初。當時，該銀行正在對資產部進行例行管理審核。恰在此時，魯斯納克要求銀行提供巨額現金支持他的交易戰略，銀行高級經理人員認為他要求的錢款數額巨大，產生懷疑并開始調查。在一個多月的調查期間，魯斯納克一直給予合作，直到調查人員發現大量偽造的交易文件后，這起7.5億美元資產不翼而飛的欺詐案方才被揭露出來42南開大學程新生等早在1998年，AIB就安裝了從英國Misys進口的軟件，它能控制貨幣交易的前后臺（在母公司AIB上安裝后端軟件，而其他子公司安裝前臺軟件），以電子化記錄前端柜臺的貨幣交易，后端軟件追蹤所有交易記錄。該軟件能找出假交易、超過限額交易及未核準交易。假如有任何犯規者，它都會自動地發警報給經理人員。一位前AIB外貨交易員在調查時說，“AIB紐約辦公室對其員工的控制非常之嚴。假如你超過限額一毛錢，AIB的信用專員都會知道，而即使是在限額內的交易，只要有不尋常之處，我都會接到電話。”AIB還使用了Crossmar匹配服務系統，該系統能在兩分鐘以內自動核對

43南開大學程新生等AIB雖然安裝了后端軟件，但在第一銀行沒有安裝前臺軟件，因此無法進行直接處理，前端的交易信息是用人工方式送到后端的。而且第一銀行從未用過Crossmar系統驗證交易，而是依賴電話來確認的。但魯斯納克避開了控制系統的防護，他偽裝交易驗證，即讓這些交易看起來像真的，盡管這些交易早該被發現。后端辦公室依賴于魯斯納克每次交易時提供的人工信息，魯斯納克在不使用前臺軟件的情況下，通過其他軟件輸入交易，這樣由于軟件不匹配，后端人員無法發現其中的問題；經常給偽造的期權交易一天的到期日而不被人發覺，因為第一銀行的報表不會列出一天之內到期的期權交易數據。同時，他還私下說服后端辦公室不要確認期權交易雙方，因為并未有凈現金的轉移

44南開大學程新生等AIB指定一外部高級專家來主持對損失原因的調查，包括違反內部控制及可能的內外勾結。調查報告將陳述事實，解釋政策及控制效力，提出改進意見魯斯納克偽造的期權與東京、新加坡的主要國際性金融分支機構有關，按規定要求員工在晚上進行電話確認，他說服員工不必費事進行確認，還經常在當天結賬時將當日所有的單筆交易歸整成一筆交易，這樣可以使他的交易看起來似乎是在規避風險。綜上分析，雖然AIB有完善的軟件系統，但軟件系統不等于信息系統，同時即使有完善的信息系統，也需要很好的控制。45南開大學程新生等本章小結

信息控制包括財務報告內部控制和業務流程信息控制，企業財務報告內部控制表現為由高層管理者制定、實施，受到董事會或類似機構的監督，為確保企業財務報告如實地反映了企業的財務與經營狀況、符合會計準則的編報要求的措施與程序。業務流程信息控制是用人工和自動化方法保障信息系統的安全，同時確保實施過程符合管理標準，為業務流程的實施、經營管理提供所需的信息。46南開大學