精华内容
下载资源
问答
  • 企业内部控制体系建设路径及启示 ——基于某公司内控建设案例研究 来源:新浪博客作者:马军生2013-01-25 XY股份有限公司为符合上市公司内控法规要求,提高企业经营管理水平和风险防范能力,促进企业可...
    企业内部控制体系建设路径及启示 ——基于某公司内控建设案例研究
    来源:新浪博客作者:马军生2013-01-25
    XY股份有限公司为符合上市公司内控法规要求,提高企业经营管理水平和风险防范能力,促进企业可持续发展,根据财政部、证监会等五部委印发的企业内部控制基本规范及配套指引的要求,聘请外部咨询公司,2011年3月起着手进行内控体系建设工作。根据《企业内部控制基本规范》及其配套指引要求,结合国外公司经验,企业内部控制体系建设通常分为4个阶段,内部控制梳理、内部控制整改固化、内部控制自我评价和内部控制审计,其中前3个阶段是内控建设核心工作,需由企业主导完成,内控审计由审计师在企业配合下实施。
     
    为做实做好内控规范体系建设工作,公司于2011年3月正式成立内控工作领导小组,由公司董事长牵头,高层领导主管、总部各部门负责人及各分子公司总经理作为组员,负责组织领导公司内部控制规范化建设工作。2011年3月中旬召开内控实施项目启动会,对公司内控建设工作进行了部署和动员,并制定公司内控实施计划及工作方案。
      
      一、建立内控建设组织架构,明确相关人员职责。
     
    内部控制建设作为一项长期系统性地工程,并非一蹴而就,公司决定建立一种长效领导机制持续运作。公司内控体系建设组织架构图如下,并明确董事长为内部控制实施工作的第一责任人;公司总经理、副总经理为内控实施的具体负责人。 
    (一)内控领导小组职责
    经第六届第十次董事会审议通过,公司成立风险管理委员会,成员包括董事长、审核委员会主席、总经理、分管主要业务的公司高管及专业人士,作为内控工作领导小组。
    风险管理委员会对董事会负责,主要履行以下职责:
    (1)负责营造良好的内部控制建设环境;
    (2)负责制定公司内部控制战略规划,提出总体建设方案;
    (3)负责审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;
    (4)部署内部控制建设、执行及监督活动等;
    (5)审议《内控手册》的编制、修改及更新;
    (6)提交《内部控制评价报告》;
    (7)协调公司内部控制建设的重大事项;
    (8)考核内部控制建设的相关人员,保持公司整体利益和方向的一致性。
    (二)内控项目小组职责
    1、公司在风险管理委员会下设立风险管理委员会办公室作为内控项目组,主要履行下列职责:
    (1)全面贯彻执行风险管理委员会关于内部控制建设的精神和方针;
    (2)制定公司内部控制建设阶段性的目标及实施方案,提交风险管理委员会审核;
    (3)负责内部控制建设的有效实施和运行,落实内部控制建设的具体责任;
    (4)研究提出《内部控制评价报告》;
    (5)负责公司《内控手册》的编制、修改及更新;
    (6)审核在内部控制建设过程中存在的问题,督促各部门进行整改。
    2、公司在风险管理委员会办公室细分为4大系统,即风控系统、战略与证券系统、财务系统和运营系统,明确各系统的具体职责。
    3、风险管理委员会办公室成员主要来自于财务管理部、战略与证券管理部、风险管理部、管理创新部、营销中心、质量与客服部、供应链中心、法律事务部、研发中心、制造中心及战略人力资源部,配备33名专职人员。各业务单位、职能部门及子公司(事业部)在风险管理委员会办公室的指导下共同参与、实施内控建设工作。
    4、审核委员会作为公司内部控制体系有效性的监督机构,监督内部控制的有效实施和内部控制自我评价情况,审核及监督外部审计机构是否独立客观及审计程序是否有效,审核公司的财务信息及其披露,协调内部控制审计及其他相关事宜。
    (三)责任部门及工作预算
    与内控工作小组相对应,公司确认了内部控制建设的责任部门,即风险管理部、战略与证券管理部、财务管理部、管理创新部、营销中心、供应链中心、质量与客服部、法律事务部、制造中心、研发中心、战略人力资源部。本次内控项目工作制定了相关预算,包括内控咨询、内控审计及人力成本费用、培训费用等。为保证内控建设工作的专业化、系统化和合理化,公司聘请询公司作为外部咨询机构为公司提供专业支持,协助公司梳理、构建及完善内部控制总体架构,帮助公司识别内部控制存在的薄弱环节和主要风险,有针对性的设计控制的重点流程和内容并协助公司开展内部控制自我评价工作。 风控系统人员将全程参与风险识别及评估、编制风险清单及控制矩阵、内控缺陷整改、开展内控评价等工作,为公司培养内部控制建设及评价人才。

      二、内控体系建设工作具体推进
     
    内部控制建设工作,公司将分为五个阶段,时间从2011年4月1日至2012年1月31日,总体安排如下:
    (一)确定内控实施范围(2011年4月10日前完成)
    根据证监局文件精神,结合公司实际,本次内控实施范围为股份公司、一家上海子公司及一家广州子公司。
    按照《企业内部控制基本规范》及其配套指引要求,结合公司业务性质,公司将重点关注发展战略、组织架构、人力资源等公司层面3大流程,以及信息系统、财务报告、信息披露、关联交易、全面预算、资金活动、采购业务、销售业务、资产管理等业务层面9大流程。
     各流程责任人如下(××代表责任人姓名):
    流程 第一责任人 具体负责人 内控协调人 中介机构责任
    发展战略 × × ×
    组织架构 × × × ×
     ……
     注:上述责任人适用于内控建设中的每个阶段。
    (二)风险识别及评估(2011年5月31日前完成)
    1、流程梳理:公司通过访谈、审阅文档或问卷调查等方式梳理流程,明确上述12大流程的相应子流程,完善组织架构和审批授权指引,根据统一的模板编制业务流程图。在流程梳理过程中,及时发现并记录有遗漏、杂乱、不符合相关法律、不相容职务未分离或权限设置不合理等内控缺失的工作流程,采取相应的措施规范操作流程,避免内部舞弊等重大风险出现,提高工作效率。
    2、风险识别:结合《企业内部控制基本规范》及相关配套指引所列示的风险、公司客户审核要求、内审报告、提案改善、质量事故等初始资料,从风险发生的可能性和影响程度,对子流程中涉及到的每个控制点进行综合分析,识别固有风险,评价风险等级,形成风险清单。
    3、文档记录:根据风险等级,识别流程中的关键控制活动,并在流程图中进行编号;编制流程描述、风险控制矩阵等内控文档对控制活动和控制点进行记录。
    4、查找内控缺陷:将公司现有制度和控制措施流与风险清单进行比对,通过穿行测试、控制测试等手段,获取关于内控设计和运行有效性的证据,查找内控缺陷,形成《风险数据库》和《内控风险诊断和评价报告》。对发现的重大缺陷及时报告董事会及管理层,管理层对发现的内部控制缺陷应及时制定内控缺陷整改方案。
    (三)确定内控缺陷整改方案(2011年6月30日前完成)
    1、编制《内部控制管理建议书》:公司对发现的内控缺陷进行分类分析,确定内控缺陷的重要性程度,区分设计缺陷和运行缺陷,形成《内部控制管理建议书》。
    2、制定内控缺陷整改方案:公司根据《内部控制管理建议书》和具体的控制缺陷,提出整改时间及责任部门、人员,形成内控缺陷整改方案。
    3、提交审议:内控缺陷整改方案应当经过风险管理委员会审议通过。
    (四)内控缺陷整改(2011年9月30日前完成)
    1、落实整改、提交报告:责任部门将按照内控缺陷整改方案对发现的缺陷进行逐一整改,完善公司各项内部控制管理制度和控制措施,提交《内控缺陷整改报告》;内控项目组连同中介机构对缺陷整改情况进行运行有效性测试,形成《内控运行测试报告》。
    2、编制《内部控制手册》:内控项目组根据风险清单和各项内控文档等资料,编制《内部控制手册》,并对手册内容进行实施辅导和推进执行。
    3、编制《内控自我评估工作指引》:内控项目组编制《内控自我评估工作指引》,为下一步内控自我评价工作的开展奠定基础。
    4、提交审议:《内控缺陷整改报告》、《内控运行测试报告》、《内部控制手册》及《内控自我评估工作指引》应报风险管理委员会审议。
    (五)内控持续推进和内控自我评价
    公司在内控体系成果完成后,将予以持续推进,并根据辖区证监局要求,公司将于每季度结束后的10个工作日内,向证监局报送内控进展情况说明,并在定期报告中予以披露。每季度进展情况说明至少包括该季度内控建设工作的开展情况、与工作方案中计划进度的对照情况、差异原因以及拟采取的解决措施等。
    通过以上工作,公司初步建立健全了内部控制体系,有效提高了内控管理水平。 

      三、企业内控体系的“落地”和持续推进
     
    XY公司在完成内控体系初步建设完成后具体推行过程中,一些部门和员工或因对新的内控制度理解不够,或因由于长期工作习惯难以改变,或因内控制度变革触及自身利益而不愿遵循,使得内控制度在一段时期内一直都不能落到实处。如何真正将内控体系有效执行下去,并保持内控体系的持续完善和提高,是管理层迫切需要解决的难题。
    为了切实将内控制度体系真正“落地”,XY公司通过全方位内控培训、加强内控检查与监督、完善考核及激励机制以及借助第三方专业机构的持续辅导等措施,有力地保证了内控建设的持续维护,公司的内控建设取得了卓有成效的进展。
    具体来说,采取的主要措施有:
    (一)完善内控工作组织架构,成立内控部,强化审计部,建立推进内控工作的组织机构和运行机制。
    通过对国际大企业内控建设的现状和过程的全面考察,XY公司发现要实行有效的内部控制,必须建立相配套的组织架构。为此,公司由管理高层成立了内控工作领导小组,各子公司管理层对应的成立内控管理小组;在部门设置上,XY公司新成立了内控部,各下属子公司根据其规模大小设立内控部或内控负责岗,负责内控建设工作;在内控监督上,转变了原有的审计部的职责,增加了内控评价和检查的功能,并由公司董事会的审计委员会直接领导,在规模较大的子公司同时设立内部审计专员,负责子公司的内控自查。
    (二)注重内控环境建设,进行全方位内控培训。
    XY公司通过一系列的培训和辅导,提高各层级管理人员和基础员工对内控理念的认识,营造有利的内控工作开展的文化环境。首先,公司抓好以普及内控基本知识、营造内控实施环境的宣传工作。公司内控部组织编制了《内控宣传册》,在股份公司各职能部门和下属公司主要管理干部范围内发放学习。手册通过生动的案例和形象的语言帮助各级管理人员统一对内控的理解和认识,减少内控推进的思想阻力。
    其次,公司根据内控规范实施的进度,围绕内部控制的各个方面,开展了包括基础理念、管理制度、风险评估、内控评价、内控考核在内的各类集中的专题培训,对内控制度的编制和实施起了极大的推进作用。
    (三)建立内控推进的沟通机制,保证内控建设持续性和问题解决的及时性。
    自内控制度建设正式推进以来,为了保证推进的执行力,公司开展了全方位的信息沟通机制,实现了信息的实时传递,和通畅的上传下达。
    首先,XY公司建立了周例会制度。内控领导小组每周组织内控工作例会,由公司董事或审计委员会主任主持,参与者包括内控领导小组成员、内控部、审计部、财务部、各子公司的内控负责人等。总部各职能部门及各子公司必须在会上以书面形式上报“内控工作一周报告”,汇报内控的进展情况、存在的问题、解决的方案、遇到的困难以及需要股份给予协助的事项,并由内控领导小组组长对相关的具体问题提出意见和工作指导,会后股份公司内控部负责对每家子公司进行回复,保证所有的问题都能得到及时有效的解决。所有会议记录和相关文件在会后抄送股份公司的总经理和董事会,并抄送相关子公司的管理层,保证管理高层对内控进展的时刻了解。
    其次,公司建立了内控体系的月度工作总结。每月末各个子公司的内控负责人就内控开展情况进行工作总结,由内控部在股份公司管理层、子公司管理层以及相关内控负责人之间进行通报,督促各子公司的内控执行力。
    第三,建立了重大项目的单独汇报机制。各子公司的内控负责人对于子公司内控建设中发现的重大问题要求及时向内控领导小组和股份内控部进行汇报,以实时处理可能的重大风险。此外,股份公司的内控部长、审计部长、财务总监的联系方式向子公司的所有内控负责人和内控专员公开,作为信息直接传递的一个重要渠道,帮助股份公司及时了解下属子公司内控风险。 
    (四)完善内控评价检查机制,建立了多层次的内控检查体系。
    为了保证内控制度的落地和真正有效的执行,公司从各子公司到股份公司的内控部和审计部,再到外部独立的第三方中介,建立了全方位的内控评价和检查体系。股份公司内控部对各业务循环定期开展内控检查,通过发放内控调查清单以及内控专员的现场检查,发现子公司在内控建设中的不足,并及时下发风险联系函、风险关注函和风险警示函,以帮助子公司及时进行内控整改和完善。其中联系函主要是对子公司联系函件的回复为主;关注函主要是对子公司发生的业务表示关注,一般要求对方在一定时间内给出书面说明;警示函是在关注函的基础上对于重大风险或执行不到位的情况给予警告。
    股份公司审计部对各子公司每年开展两次的内控评价。为了实现评价的量化和标准化,审计部编制了内控评价底稿通过检查,对子公司形成内控建设的量化评价,并针对检查中发现的问题出具改进建议,并要求各子公司在规定的时间内予以整改,总部内控部对子公司整改措施和整改质量进行全程的监督,整改完成后,审计部及时予以复查,确保审计中发现的问题能及时整改。
    (五)将内控建设纳入绩效考核,通过奖惩机制实现内控的有效性。
    首先,为有效发挥各下属子公司的管理者在内控推进中的作用和积极性,自200×年开始,股份公司将审计部对各子公司的内控评价结果纳入其管理班子的绩效考核的指标中,明确了管理班子对于内部控制建设的责任和关键任务。通过这种绩效考核,激励管理层切实关注和推动内控的执行工作,从而为内控工作的推进建立良好环境。
    其次,对于股份公司向各子公司委派的重要人员也直接与内控建设挂钩。公司出台了《委派内控人员绩效考核管理办法》,对各个子公司的内控负责人实施全面的内控建设考核,明确了委派的内控人员的绩效考核指标、考核方式和奖惩机制,进一步促进了委派内控人员的工作落实力度;其次,对于股份委派的财务负责人,也在其年度考核的总分中(100分制)纳入了相当比重的的内控建设的相关内容,从财务职能加强了对子公司的内控推进。
    (六)充分发挥专业中介机构力量
    XY公司在开始建立内控体系即聘请的专业咨询公司提供咨询服务,在整个体系建立过程中,充分发挥咨询公司专业力量,并聘请专业顾问对公司人员进行培训,提高公司人员内控理念和技能。在内控体系初步建立之后,仍继续与咨询公司保持合作,借助咨询公司在专业及独立性方面优势,共同推进公司内控持续建设工作,在内控持续建设工作中,专业咨询公司提供了大量了专业意见和培训辅导服务,帮助公司完善各项成果,使得公司的内控持续建设取得了令人瞩目的成效。 

      四、企业内控体系建设过程的经验和启示
     
    在公司董事会、各层级管理人员和基础员工不懈努力下,公司内部控制体系的建设取得了一系列的良好效果,全公司各级员工的风险管理意识显著提高,对风险的理解和重视切入到各个业务和管理环;强化了各项经营活动的规范化操作,实现了重大经营活动的集体化决策机制,有效防范了决策风险;提高了公司的财务管理水平,保证了从产业公司到股份公司的各层级财务数据的真实公允以及资金、资产的安全;加强了公司对新经营环境下管理风险的关注;完善了公司的风险预警机制,提高了各职能部门对业务发生之后的潜在风险的持续监控、分析和应对。公司在内控体系建设和推进过程中,主要的经验和启示有:
    1、公司董事会和最高管理层的重视和亲自参与
    在XY公司董事会,无论是大股东委派董事、非执行董事还是独立董事,都非常重视和关心内部控制体系的建设工作。作为公司的大股东,集团对股份公司的内控建设给予了极大的理解和支持,有力的推动了产业公司的内控建设的进程。董事会的定期会议都将内部控制进展情况作为重要议题沟通,对于内部控制推进中出现的任何问题,董事会层面时刻给予相应和支持。
    在公司管理层方面,成立了内控领导小组,投入了大量的人力和财力,带领企业员工共同进行内部控制建设,为内部控制的推进提供了良好的内部环境,同时也激发员工的积极性和主动性,推动企业内部控制朝更顺利、更完善的方向发展。
    2、对内部控制理念以及其与公司其他管理体系关系的认识统一
    XY公司在内控推进的第一阶段大力推行高频率、大幅度的培训,帮助各级管理者以及基层员工了解内部控制的主要原理和价值,减少内控实施中的思想阻力。其次,公司统一了内控体系与其他管理体系的认识,内部控制和风险管理不是一套孤立的新的体系和制度,而是一种基于“目标-风险-控制-监督”框架的管理思路,这种管理思路可以融入到企业的所有其他的管理体系和管理制度中去,是对企业原有的管理制度的整合和提升。
    3、制定了清晰明确的内部控制战略规划
    公司根据自身实际情况,在订并提出了内部控制的五年两步走的规划,并将其纳入到公司的5年战略规划中。第一阶段(3年),通过自上而下的刚性要求,构建全面的统一化的集团内部控制架构,并通过理念灌输形成内控推进的文化范围;第二阶段(2年),通过自下而上的,自觉的内控体系的完善,形成各个产业公司的特色化内部控制。这一从强制到自觉,从理念普及到制度完善再到内控手册的表格化提升的建设步骤,使得公司从管理高层到基层员工的各级人员都明确内部控制不同时期的不同任务及不同发展状态,稳步推进,逐步加深,为内部控制的发展道路勾画了清晰路径。
    4、因企制宜的实施方案
    XY公司意识到对于集团化企业,内部控制不能是一刀切的,公司要实行内部控制,需要根据自身的业务类型、公司规模、公司所处阶段来选择适宜的内部控制方法。
    首先公司在吸收了五部委内部控制基本规范和配套指引的相关精髓的基础上,结合企业经营实践,基于先主后次的重要性原则以及成本收益原则,提出了以若干业务循环作为公司内控建设的主要循环范围。
    其次,考虑公司的人员能力和素质,在内控成果上也没有一步到位册,而是以制度建设为基础,通过制度规范,到流程优化再到风险提炼,逐步实现内部控制的层层递进。
    第三,在内控推进上,公司充分考虑下属各产业公司的业务特点,确定适合各公司的内部控制方式和侧重点。
    5、循序渐进的实施步骤
    (1)自上而下的理念推进向自下而上的流程推进的递进。
    在内控实施的第一阶段,公司强调自上而下的理念推进。公司通过内部培训、各种工作会议达成内控理念的统一,并向各子公司传达,之后各子公司则进行自下而上的内控流程推进,即各产业公司根据自身的内部流程,进行制度的完善,并经由公司内控部审核后实施。
       (2)由总部出台框架性的制度到各个子公司制订针对性的业务流程的递进。
     公司内控部结合外部力量制定框架性的制度,明确各业务循环的关键控制点和操作要求,各产业公司根据自身业务情况,在满足框架制度要求的前提下制定适合企业自身的管理制度,以求更贴近产业公司的经营管理实践。
      (3)普遍性、通用性的风险点向专业性、针对性的风险点的递进。
    公司首先根据对产业公司实际情况的调研,绘制公司的全面风险数据库,梳理出具有普遍性的通用性主要风险点,之后,各产业公司在实际操作中不断发现专业性、针对不同企业业务特色的独特风险,以实现内部控制的完善。
       (4)抓重点公司,抓主要循环和风险、抓典型事件。
    公司的内部控制遵循重要性原则,关注重点公司级重要循环与风险,并关注典型事件,以期通过重点带动全面,推动内部控制的发展。
    6、借助外部专业中介机构推动内控建设
    外部专业机构相对具有更丰富的内控专业力量和实施经验,并且具有客观性和独立性,XY公司在整个体系建立过程中,充分发挥咨询公司专业力量,但也没有完全依赖中介机构甩手不管,而是充分参与和配合,在内控建设过程中,实现知识传递和内控人才培养,取得了较好的实施效果
    展开全文
  • 随着企业价值链深度、广度扩充后经营的复杂性以及经济全球化进程的加快,企业面临的各种风险不断增大,建立内部控制管理体系、加强风险和危机管理机制、巩固企业可持续...或在中国大陆通称内部审计)既是企业内部控制
       随着企业价值链深度、广度扩充后经营的复杂性以及经济全球化进程的加快,企业面临的各种风险不断增大,建立内部控制管理体系、加强风险和危机管理机制、巩固企业可持续发展基石,已经成为企业普遍关注的焦点。内部稽核(Internal Auditor;或在中国大陆通称内部审计)既是企业内部控制管理体系的一部分,又是内部控制管理体系持续有效性运行以及企业实现内部控制目标的确认者,参与企业内部控制体系建设、绩效评估,确保企业内部控制制度(包括各项管理规章)持续有效运行;此既是国家赋予企业内部稽核部门的法定职责,也是企业内部稽核发展的机会与严峻的挑战。因此,本文拟对内部控制与内部稽核的关系进行剖析,并提出了加强内部审计,促进内部控制的措施。

    一、内部控制和内部稽核的内容
    1.内部控制(Internal Control)

         企业的内部控制是指企业管理阶层为了:⑴保证运营管理活动的有效进行;⑵保障资产的安全、完整;⑶防止、发现和纠正错误与舞弊;⑷保证会计资料的真实、合法、完整等目的而制定和实施的政策、措施和程序(坊间对于内部控制理论实务研究、发表可供参考文献不少,本文不予赘述)。遵循美国COSO报告《内部控制整体架构》内控五分法的内容,内部控制是由五大要素组成,即控制环境、风险评估、控制活动、信息与沟通和监控。其中监控(范围虽然包括管理阶层的督导责任,但通常重点就是内部稽核监督)位于组成要素顶端的重要位置,是内控系统的特殊构成要素,它独立于各项生产经营管理控制活动之外,是对其他各项内部管理控制过程与结果的一种再控制。

    一个有效的内部控制管理系统应该满足以下条件:⑴能够保证业务活动按照恰当的授权进行;⑵能够使所有交易和事项在合法合规与适切金额的过程进行;⑶所有交易和事项真实、完整在适当的会计期间及时进行记录;⑷保证财务信息的真实、完整与可靠,并依规定适时公布企业财务与非财务信息;⑸有利于贯彻既定的管理方针,提高经营管理效率;⑹有利于通过检查有关数据的正确性和可靠性、确保内部控制、管理规章的有效实施。通过实践得出的结论是:得控则强、失控则弱、无控则乱。内部控制管理系统是企业管理过程的重要次级系统,更是现代企业持续发展的重要基石。

    2.内部稽核(Internal Auditor)

         企业内部稽核宗旨在于“检查及评估内部控制制度的妥当性与有效性及营运活动的绩效性”;是由参与企业管理的各部门、各单位内部设置的专门机构或人员实施的内部审计活动。也就是在单位内部建立的一种独立的评价监督部门,其目的是协调单位人员有效履行责任,监督各项管理措施的执行并对其作出评价,以促进企业管理效率的提高。它主要是对内部控制的有效性、财务信息的真实性和完整性以及经营活动的效率和效果所开展的一种评价活动,并实施内部监督,为企业内部管理服务。它既是企业内控体系的一个重要组成部分,又是企业内部的经济监督机构。现代企业内部稽核工作主要涵盖以下内容:

    财务收支控制活动稽核
    1. (包括销售收款、采购付款、融资、有价证券与人事薪工付款、税务等过程管理的稽核)。主要是评价和监督企业是否做到资产完整、财务信息真实及经济活动收支的合规性、合理性及合法性,对会计记录和报表分析提供资料真实性和公允性证明。
    2. 经济责任控制活动稽核(包括预算制定与执行、生产管理、专案审查与追踪等过程的稽核)。主要是评价企业内部机构、人员在一定时期内从事的经济活动,以确定其经营业绩、明确经济责任,这里包括领导干部任期经济责任稽核和年度经济责任稽核。
    3. 经济效益控制活动稽核(包括投资、安装建设过程的稽核。稽核重点是在保证社会效益的前提下以实现经济效益的程序和途径为内容,对企业的经营效果、投资效果、资金使用效果作出判断和评价,其中基建工程预决算审计应为重中之重。
    4. 内部控制制度、控制活动有效性评估。主要是对企业组织架构、内部控制管理系统与其他制度规章的完整性、适用性及有效性进行评价。
    5. 开展明晰产权的稽核(包括证照、公章、资产保管过程的稽核)。主要是检查企业资产产权归属与各项资产、公章保管控制的适切性,避免造成资产流失或其他有损企业利益的行为。
    6. 其他专案稽核(包括领导交办、风险评估、异常改善的专案稽核)。结合企业自身行业特点,经过风险评估对企业经营、管理等方面的稽核活动,上级领导交办或各管理阶层请求办理的专案稽核活动。


    二、内部控制与内部稽核的关系

    1. 1.内部稽核是内部控制的重要组成部分,两者相互渗透、相互促进。 
      内部稽核在内部控制中虽属于监控要素范围,是单位自我独立评价的一种活动,活动过程深受控制环境质量优劣与否所制约,而稽核活动质量优劣与否又是影响控制环境的关键性指标,两者唇齿相依;内部稽核本身就是一种控制,它按照内部控制目标要求,通过内部控制制度为其制定的稽核程序和方法及要完成的任务、达到的目标,协助单位最高管理者监督内部控制政策和程序的有效性,藉评估、修订过程及异常事项的持续改善来建立优质的控制环境,是故,内部稽核能为改进内部控制提供建设性意见,对企业建立优质的控制环境起到指导性的作用。内部稽核也在风险管理中发挥不可替代的独特作用,没有内部稽核的评价、监督与回馈,就难以形成良好的企业内部控制制度;通过分析问题产生的原因和影响,协助单位上层管理者完善内部控制,促进内部控制的健全,维护内部控制的建设。反言之,内部控制则是促进内部稽核发展的母体,一个健全的内部控制管理体系,有助于内部稽核工作的开展,有助于提高稽核工作效率、降低稽核风险、提高稽核质量,更有助于扩大稽核领域,加速科技时代稽核方法的演进与变革。
    2. 2.内部稽核是对内部控制的控制。
      内部稽核独立于企业会计控制之外,代表管理阶层对整个企业内部控制制度的健全性、有效性及其遵循情况等进行客观评价,具有其他任何部门和控制所无法代替的重要作用。目前,内部稽核范围已从传统的财务收支稽核扩展到经营管理的各方面。内部稽核促进内部控制,通过分析问题产生的原因和影响,协助单位上层管理者完善内部控制,促进内部控制的健全,维护内部控制的建设。
    3. 3.二者相辅相成,缺一不可。
      内部稽核根据内部控制准则、管理规章进行各项稽核活动,内部控制素质比任何其他因素更能决定稽核的形式。没有健全的内部控制制度作基础,内部稽核活动就无法开展;没有良好的内部控制,会计、财务信息会出现失真,管理人员责任会不明确,企业经营管理会出现混乱现象等,不影响内部稽核工作绩效,同时更加大内部稽核的风险,从而制约了内部稽核的发展。同理,内部控制需要内部稽核,没有内部稽核对内部控制设计的健全程度和运行的有效程度的评审和进一步完善强化内部控制的建议,内部控制也只能原地踏步,造成与现实不符、效果不佳、甚至形同虚设,或因内部控制的局限性,给不法之徒以可乘之机,造成控制活动异常或导致失控。
    4. 4.内部稽核的角色由监督者逐步转变为控制者。
      中国审计署审计长李金华先生曾讲过,要把内部稽核定位为四个字「管理+效益」,将内部稽核作为一个控制系统而不仅是一个检查系统。内部稽核师(CIA)的主要作用是「确认和建议」,而不再是以往的「监督和复核」。内部稽核通过咨询、评估与诊断活动,为管理阶层提供独立、超然、客观的专业服务,为企业风险管理出谋划策,降低企业风险,从而在实质上促进财务报告内容的确定性和质量的提高。

    三、内部稽核在内部控制中的作用
    1.参与内部控制的风险评估
      根据COSO内部控制整体框架,内部控制活动的开始是要进行风险评估。风险评估过程包括确立企业的目标,识别目标相关的风险,评估识别出风险的后果和可能性,针对风险评估的结果,考虑适当的控制活动。从上述过程可以看出,只有评估了风险点,才能设计有针对性的控制程序。大多数人认为全面的风险评估对于一个组织的成功已越来越重要。外部审计人员尽管具有丰富的衡量企业实现财务目标的盈利能力及企业流畅的经验,也有设计企业会计计量系统的经验,但他们对评估未来风险方面的经验不如内部审计人员,美国的研究结果表明了这一点。2001年,IIA将内部稽核定义为一种独立、客观的保证和咨询活动,其目的在于为组织增加价值和提高组织的运作效率,通过系统化和规范化的方法,评价和改进风险管理、控制和治理过程的效果,帮助组织实现目标。

    2.内部稽核促成建立良好的控制环境
      通过对内部控制制度的评审,提供纠正错弊、完善内部控制的建议,来促成良好控制环境的建立,进而有效的促进组织的控制目标的实现。主要体现在以下几个方面:

    • 内部控制的健全、有效是一个动态的过程,因为组织的经营环境在变化,自身在不断的发展,内部控制制度应适应这种变化并相应进行调整。在这种不断的调整过程中,内部稽核的职责是发现管理中是否存在的错弊,因而着重于从内部控制制度的缺陷入手进行审计,这更容易发现其存在的缺陷,进而提出改善的建议。
    • 企业的内部稽核是内部控制管理体系的一个组成要素,诸如内部稽核参与合同的评审、工程预算的审核、年度预算编制与重大投资前的审核等,就是其例证。一旦公司内部稽核成为内部控制制度的一个组成要素,内部稽核本身作用发挥的程度,内部稽核在内部控制制度运行各方面、各环节的参与度,就决定或至少影响了内部控制制度的完善和有效性程度。
    • 在企业执行分权分层管理的情况下,伴随分权,企业的部分财产相对独立地受托于企业内的分公司或部门使用。此时这些财产所有权属于企业,而分公司或部门拥有这部分资产的经营权。为了了解这些分公司或部门履行经济责任或受托责任的情况,独立的内部审计会担当此职,行使监督职能,对其职责履行情况进行鉴证和评价使内部控制的组织保证得到了进一步的加强。


    3.内部稽核有效防止了内部控制失效
      建立和完善现代组织中的监控机制,加强内部稽核的监督力度。能有效防止内部控制失效。

    • (在企业内部建立以内部稽核为主线的监控机制,对组织运行的各个环节实现不同程度与方式的监控措施,将内部稽核监督行为扩展到组织运营的具体业务中。建立以“防”为主的监控防线,结合内部稽核、离任审计、落实举报、专项审计等“查”的方式。在不同层次实施内部监控措施,不仅可以及时发现问题,而且对防范和消解企业经营中的风险,将起到重要的作用。
    • 为了保证内部控制制度能有效地发挥作用,并使之不断地得到完善,企业就必须对内部控制制度的执行情况进行检查和考核,该工作由内部稽核牵头并结合其他相关部门来定期执行对内部控制度执行情况的检查和测评工作。对于能严格按照内部控制制度执行的,给予精神鼓励或物质奖励,对于违规违章的,应给予相应的处罚,并应与今后职务升迁挂钩。进而有效增强内部控制执行的有效性。

    展开全文
  • 作者:罗东升 CIO时代 2010-9-6 13:43:43【我要评论】 ...内部控制是指企业为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵循性,对企业经营管理及其活动过程进行检查、约束和调节
    作者:罗东升  CIO时代
    2010-9-6 13:43:43【我要评论】
    摘要:企业意识到管理信息系统内部控制的重要性,并对其统进行全面地创新,才能趋利避害,借助信息化这趟列车飞速发展。

    内部控制是指企业为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵循性,对企业经营管理及其活动过程进行检查、约束和调节的自律系统。内部控制贯穿于经营活动的全部过程,包括控制环境、风险评估、控制活动、信息与沟通、监督等要素。随着信息技术在企业的广泛应用,企业在管理模式、生产方式、交易方式、作业流程等方面的变革对传统的内部控制观点和控制方法产生很大的冲击,对企业内部控制体系也提出了更新的要求。企业只有对其内部控制系统进行全面地创新,才能趋利避害,借助信息化这趟列车飞速发展。

    企业管理信息系统内部控制的重要性

    信息管理的反馈控制理论认为,管理过程就是从信息输入到输出、经过反馈和修正、再形成新的信息输入的不断循环的过程,内部控制采取闭环控制方式,控制活动贯穿于公司的各个阶层和职能部门,包括审批、授权、验证、调节、业绩检查、保障资产安全及职责分工等,每次循环的延续时间就是管理周期,延续时间的长短则反映了管理工作效率的高低。因此有利于各种管理信息的反馈。通过内部控制中的信息反馈,管理目标的执行、差异的存在、应采取的措施等信息能够及时准确地报告给有关管理者,有助于企业各项计划、政策的贯彻、落实和执行。管理活动做得好,内部控制有效,企业就能够实现它的目标,企业就可以获得丰厚的利润,从而保证了企业的生存和发展能力。如果内部控制无效,企业的目标难以实现,企业将失去竞争能力,甚至危及企业的生存。可见,内部控制是企业管理的重要手段,也是管理信息系统中的重要环节,企业管理者应给予高度重视。

    内部控制对管理信息化的作用

    (一)对控制环境的影响。

    一方面, 信息化将使企业组织结构趋向扁平化, 管理层次减少, 人员精简, 进而降低成本和提高效率。同时, 扁平化组织结构能够使物流和信息流更加顺畅, 有利于工作周期的缩短、工作质量的提高。随着扁平化组织结构的建立和信息系统的运行, 企业的权责分派体系也出现了变化, 主要包括岗位设置和交易授权。①岗位设置。信息化环境下, 工作岗位及其职责需要重新合并和划分。就会计岗位而言, 可以按照会计信息的不同形态划分为会计核算组、会计信息运行组、管理组。与此同时, 会计岗位的重心由传统的总账报表岗位转变为会计信息运行组岗位。这种工作岗位及其职责的变化更加强调员工之间的竞争与合作, 有利于团队的成长和发展。②交易授权。传统的交易授权大都采用签字和盖章等方式, 而在信息化环境下, 交易授权一般采用计算机口令和数字签名等手段。这种交易授权行为可以在人工介入很少的条件下, 通过计算机程序自动完成。它减少了工作量, 提高了工作效率, 但同时也出现了一个新的问题, 即交易轨迹消失, 这给内部控制的实施和评价带来了很多困难。另一方面, 信息化对企业管理者的素质提出了更高的要求。企业所面临的竞争加剧、变化加速, 管理者所能获得的信息量倍增, 信息技术和信息系统在企业中的作用日益凸显。这些都要求管理者不但要有更强的把握信息、利用信息的能力,在运营管理企业中利用好信息资源, 而且要有对信息、信息技术和信息系统重要性和风险的正确认识和理解, 制定正确的信息技术战略和信息技术规划。

    (二)对风险评估的影响。

    在建立信息系统之前,企业的内部控制制度往往是一堆文件和手册,执行过程也只能是定期地检查和评估。这使企业风险评估缓慢,企业不能及时规避风险。信息系统使得动态和实时控制成为可能,内部控制也由以事后的监督检查为主变为事前和事中控制模式,更好地体现出基于预测和预防的风险评估机制。在信息化环境下, 企业经营管理的外部环境与内部因素都发生了变化。伴随着业务流程的重组, 系统的开放性、信息的分散性、数据的共享性, 使信息系统从以往的封闭集中状态走向开放, 给企业带来的风险主要有: ①由于信息的开放性和保密性, 系统程序员、系统操作员、系统维护员等各类人员对其权限内的工作都设置一定的口令或密码, 但是一旦系统操作员不怀好意, 擅自改变他人的口令或密码, 改变他人的权限, 则势必造成系统管理混乱, 从而给企业带来风险。②内部控制计算机程序化, 可能导致同一错误反复发生。③在信息化环境下, 企业业务流程的自动化降低了业务处理过程中源于人员疏忽或舞弊的风险。但由于企业的运营管理越来越依赖于信息系统, 信息在企业中的作用日趋重要, 信息化环境促使信息存储高度集中、单位时间传递的信息量大为增加, 这些都增大了与信息资产和信息系统相关的风险。信息化环境下, 人们的主观判断被忽视, 数据处理过于集中, 存储的数据可以被不留痕迹地改写或删除, 数据的存放方式增加了数据再现的难度, 数据处理过程无法观测, 等等。这些新的风险构成了企业内部控制的新内容。

    (三)对控制活动的影响。

    信息化环境下的控制活动分为两部分: 自动化业务控制和信息系统控制。自动化业务控制的控制对象仍然是企业的生产经营过程, 但其形式和控制手段发生了很大变化。它以计算机程序的形式嵌入企业信息系统之中, 对业务的控制由计算机自动完成。信息系统控制是企业为了保证信息系统的正确性、完整性和安全性而采取的控制措施, 其控制对象是企业信息系统, 包括计算机软硬件资源、应用系统、数据和相关人员等信息系统的所有组成要素。随着网络技术和电子商务的发展, 信息系统控制还必须考虑网络安全和电子商务控制的问题。信息化环境下的交易授权可以由计算机程序自动完成,这使得授权过程不明显, 控制的失效往往在发生损失后才被察觉。因此, 管理者对交易授权的关注应该转移到对相关计算机程序的正确性和完整性的检查上。

    (四)对信息沟通的影响。

    在完善的信息系统的支持下, 企业员工能够较好地取得他们在执行、管理和控制企业经营活动过程中所需的信息, 使其职责能够顺利履行。当然, 也要警惕信息技术可能带来的信息过量的问题, 以及部分员工借助高速信息处理能力造假的。内部控制活动是否畅通直接影响企业对信息的获取和利用程度。成功的内部控制能使员工对称地获取企业内部信息,明确生产、管理目标,使每个员工都清楚地知道其承担的特定职责。同时内部控制为员工开辟了向上级部门沟通重要信息的渠道,避免职工与企业矛盾。同时,为员工对外界顾客、供应商、政府主管机关和股东等做有效的沟通提供了方法。具体表现在:(1)内部控制影响企业管理指令被贯彻执行。管理决策层的计划或指令能否及时、恰当地得到落实,很大程度上依赖于内部控制的监督和激励机制是否完善。内部控制如果建立有效的监督和激励机制,就会把员工的职责和利益有机地联系在一起,从而调动员工工作的积极性和主动性,发挥员工的主人翁精神,使管理层的决策得到顺利落实。(2)内部控制加强了企业和职工的信息沟通。内部控制系统保证信息在企业内部各层次中的畅通,使员工能够知悉其营业,清楚其所担负的特定任务,了解内部控制制度的各项规定、它们如何生效;员工在执行任务时,一旦有非预期的事项发生应采取什么行动,并预防再度发生。同时,员工拥有在组织中向上沟通重要信息的方法。这能使企业和职工之间的矛盾及时得到反映和解决。(3)内部控制把企业各部门整合在一起,使企业信息得到有效共享。企业中各部门之间既相互联系,又有一定的独立性。内部控制能把各部门有机地整合在一起,实现各部门信息共享,从而使管理层能及时掌握企业的产销、库存等情况,并适时调整生产计划。

    (五)对监控的影响。

    内部控制的程序化使得内部控制具有一定的依赖性并增加了差错发生的可能性。网络技术的应用使得内部控制具有人工控制与程序控制相结合的特点。这些程序化的内部控制的有效性取决于应用程序的有效性。如果程序发生差错或不起作用, 人们对计算机系统的依赖性、麻痹大意以及程序运行的重复性会使得失效控制长期难以被发现, 从而使系统在特定方面发生错误或违规行为的可能性加大。

    (六)对信息的可靠性的影响

    内部控制对信息存取安全的控制,影响会计数据的可靠性,对信息存取安全的控制,应注重对应用软件自身安全缺陷和设备自身安全性能低这两个方面实施控制,确保会计数据安全可靠。现有的会计应用软件系统在设计、开发阶段,普遍存在着系统需求中安全需求少、软件设计重功能轻安全的现象,软件设计选用的语言和资料库考虑安全性能少,以至软件投入运行后暴露诸多安全隐患,如信息存取时,不能保证数据完整性;数据易被窃取;数据溢出等安全问题。这类现象和问题目前尚未得到彻底的改变,同时,许多安全设施并未配置齐全,特别是硬件自身安全性能低。这些安全隐患增加了内部控制的难度,也体现了内部控制对信息存取安全的控制的必要性。

    信息化条件下企业内部控制的创新

    (一)实施业务流程重组,使业务流程与信息流程相协调。

    信息技术使企业业务流程与信息流程融合在一起,如果企业的业务流程仍然保持手工环境下的状态,必然造成信息系统与业务流程之间存在许多冲突,从而使企业生产经营管理出现低效率,而且会形成内部控制的弱点,产生许多问题。因此,要提高企业内部控制的效果,首先必须从根本上重新考虑并彻底重建企业的业务流程,使企业能最大限度地适应以顾客、竞争、变化为特征的现代企业经营环境。业务流程控制与信息流程控制成为企业内部控制系统设计的重要内容。在企业流程控制中,企业业务流程必须与信息流程相协调,并针对组织内部控制目标的要求,对业务流程和信息流程的各类风险进行评估,确定风险重要程度。依据风险的重要程度确定业务流程与信息流程的关键控制点,建立控制模型,设定控制参数与控制程序,并将其嵌入到信息系统中,形成人机结合、业务活动与信息处理集合的内部控制系统,这样在企业经营过程中,信息系统就能动态跟踪业务活动的信息,自动监控这些活动所产生的数据是否在控制范围内,预测发展趋势,实时输出预警信号。组织成员也能依据这些作业点的反馈信号及时制定正确决策,有效控制企业的经营活动过程。

    (二)强化风险意识,建立新型的风险控制体系。

    在信息化条件下,任何信息系统失灵导致重要信息的遗失或泄漏,都将给企业造成不可估量的损失。这就要求企业强化风险意识,注意识别新环境下的新风险。同时还要建立相应的风险控制机制,做到有备无患。首先,应建立风险评估的信号和指标体系,针对可能出现的技术风险和管理风险等,建立起一套风险预警指标,这就相当于给信息系统安装了风险警报系统,可以及时发现和评价所出现的风险;其次,应健全风险控制的运行体系。收到预警信号后应及时采取措施,以防风险的发生。这是计算机信息系统运行的“防火墙”;再次,应该建立风险处理的快速反应部门,目的是帮助企业能迅速地对事故及故障做出反应,将事故及故障造成的损害降到最小,并通过对已发事件进行分析来防范此类事件再次发生,达到进一步防范风险的作用。

    (三)监控与操作分离,强化系统内部的相互牵制。

    职责分离是内部控制的一个重要组成部分。为了强化系统的内部控制,可以在系统内分设操作与监控两个岗位,对每一笔业务同时进行多方备份。一旦主管部门或审计人员对某些数据产生怀疑时,可以利用监控人员备份的原始记录进行分析调查、辩明真伪。系统分析、程序设计、计算机操作、数据输入、文件程序管理等职务应予以分离,系统操作人员、管理人员和维护人员这三种不相容职务相互分离,互不兼任。信息系统各岗位要明确职责分工,并对各类人员制定岗位责任制度,各岗位都要得到一定的授权,并用密码控制。对操作密码要严格管理,指定专人定期更换操作员的密码。通过设立一种相互稽核、相互监督和相互制约的机制来保障信息的真实可靠,减少发生错误和舞弊的可能性。

    企业的内部控制是否健全有效,特别是对会计核算有何影响,需要在持续的控制之后,对此做出评价。在实际工作中,由于各种原因,在评价内部控制时,往往注重对业务处理控制的了解、测试和评价,忽视了对信息系统控制是否有效执行、是否健全的审查,从而导致由于信息系统控制的漏洞而有意无意地改变了信息系统中有关数据,这样就无法保障后续会计处理的会计信息的质量。企业不仅要建立信息系统控制,还必须对所建立的各项控制进行测试和评价,特别是要对会计信息系统控制是否健全、有效做出评价,以便及时发现问题,及时纠正。对会计信息系统及相关业务系统的控制测试包括控制设计测试和控制执行测试两个方面。控制设计测试是确定会计信息系统的控制设计是否合理、适当,也就是对会计信息系统控制的健全性进行测试。控制执行测试是确定现行会计信息系统控制是否存在并发挥作用,也就是对会计信息系统控制的有效性进行测试。由于信息系统控制既包括人工控制,又包括计算机程序控制,因此单纯依靠传统的控制测试方法是无法完成该项工作的,还必须采用计算机辅助审计技术,才能对信息系统控制进行全面测试。在实际工作中,应针对不同的控制形式,选择相应的控制测试技术。

    在对会计信息系统控制进行测试之后,要对各项控制是否健全、有效做出评价。针对识别出的控制薄弱环节,进行深入研究与分析,提出完善会计信息系统控制的建议,及时改进。对于信息系统控制制度方面的问题,要从根本上解决。

    (四)加强人力资源管理,保证员工业务素质和道德素养。

    完善的管理控制系统必须和人融合在一起。在企业的管理活动中,人力是最主动、最关键的因素。要搞好一个企业,提高劳动生产率,增加经济效益,最重要的是调动人的积极性,进行人力资源的开发。人的资源潜力是很大的。有调查指出,职工每天只需发挥20%~30%的能力用于工作就能基本完成任务。如果能充分调动职工的积极性,他们的潜力可以发挥到80%~90%。另外,随着科学技术的进步,脑力劳动逐渐成为主要劳动形式,这更需要调动职工的积极性、主动性和创造性。我国企业必须根据企业管理信息化程度的不同,加强对员工的专业培训,以适应信息化管理岗位的新要求,形成良好的人力资源结构。引入竞争机制,根据市场竞争、优胜劣汰的原则,形成任人唯贤的用人机制,为企业的发展和壮大配置合格的人才。其次,管理者的素质在企业经营管理中起着非常重要的作用,管理者的素质不同,对企业发展产生的影响也不相同,进而影响到企业内部控制的效率和效果。企业管理者的素质不仅仅指知识与技能,还包括道德观、价值观、世界观等各方面。企业承受营业风险的种类、整个企业的管理方式、企业管理阶层对法规的反应、对企业财务的重视程度以及对人力资源的政策及看法等,都深深地影响着内部控制的成效。

    在信息化条件下,加强人力资源的管理,是企业完善内部控制的基础。企业实施信息化后,对员工业务素质和道德素养提出了更高的要求。员工不但要熟悉更多的业务流程,而且还要熟悉信息系统的操作方法。因而人力资源管理的目标主要是通过相应的人事政策激励员工和制定良好的培训政策等提高员工的素质。同时,由于信息化条件下与信息资源相关的风险的存在,要求企业制定良好的绩效考评机制和激励约束机制。对员工进行道德素质教育,引导其形成良好、健康的心态,增强其组织归属感,信赖感;加大惩罚力度,如在职员发生偏离内部控制行为时,给予经济上的重罚,同时在内部媒体中进行披露;于严重的偏离行为还可以采取解聘、甚至寻求法律途径进行处罚,以防范内部人员的道德风险。

    (五)建立安全管理控制制度,保证网络和信息系统的安全。

    建章立制,强化企业内部制度,实行系统信息化管理以后,信息系统的正常、安全、有效运行的关键是操作使用。如果单位管理制度不健全或实施不力,都会给各种非法舞弊行为以可乘之机。因此,管理方式和对象的改变,也给内部控制下的制度赋予了新的内涵。应严格机构和人员的管理与控制,对各类人员制订岗位责任制度。应严格系统操作环境管理和控制系统。制订一套完整而严格的操作规定来控制操作程式。操作规程应明确职责、操作程式和注意事项。应建立健全档案管理制度。这就要求在技术上对企业信息系统包括通信平台、网络平台、操作系统平台、应用平台等在内的各个层次建立综合的多层次的安全控制体系。为了防范来自外部的非法访问,企业信息系统应建立访问控制措施,如防火墙技术、邮件系统控制、网上信息查询控制、漏洞扫描技术、入侵检测技术等;为了防止会计数据在通过公共网络传输过程中发生错误、丢失、泄密等事故,企业应采取数字签名技术和数据加密技术等,保证数据安全、完整;修改、删除数据时,随时留存操作日志,留下操作的痕迹以便日后检查;每次操作完成退出系统时,除进行数据备份等方法以外,为防止非法篡改,一些重要的数据库文件,可以定义为专用文件,采用专门技术定义为隐形文件,未经授权,难以动用;采取专门的管理制度,如专机专用,专室专用等措施,以保证数据的安全;高度重视计算机病毒的防范,通过服务器的网络杀毒软件进行实时监控、追踪病毒,同时可以挂接或捆绑防病毒软件,加强自身的防毒能力,对外来的软件和传输的数据必须经过病毒检查,及时升级防病毒软件。

    综上所述,内部控制实质上是企业完善管理的内部问题,是企业运用控制理论,通过管理信息系统实现企业内部管理的合理性、经济性、效率性;加强企业在信息化环境下对会计工作的有效监管,维护资产和资源的安全和完整,提高经济效益的重要管理手段。我国的企业管理必须引入或加强内部控制,完善信息化环境下的内部控制制度,以增强企业的竞争能力和生存能力,保证企业可持续发展。

    展开全文
  • 内部控制十大漏洞

    千次阅读 2011-11-02 21:40:21
    内部控制十大漏洞  内部控制是企业为控制经营风险、实现经营目标而制定的各项政策与程序。内部控制能够帮助企业达到其目标,同时将风险...从我国的现实情况来看,企业内部控制普遍比较薄弱,有关挪用、侵占或诈骗企业

    内部控制十大漏洞

      内部控制是企业为控制经营风险、实现经营目标而制定的各项政策与程序。内部控制能够帮助企业达到其目标,同时将风险降低至合理范围内,保证企业资产安全,有效防范各种舞弊活动。内部控制的权威人士Adrian Cadbury爵士曾经说过“公司的败绩都是由内部控制失败引起的”,这一点从众多的企业失败案例都得到了验证。从我国的现实情况来看,企业内部控制普遍比较薄弱,有关挪用、侵占或诈骗企业财产的新闻亦屡见不鲜,企业资产和股东权利得不到应有保护,甚至给企业造成灾难性损失导致经营陷入困境。2004年,中航油巨亏、四川长虹对APEX公司超过38亿元的坏账、创维黄宏生被香港廉政公署拘捕等诸多案例,给我国很多企业敲响了内部控制的警钟。
    笔者结合众多内控失败案例和内控咨询的经验,归纳了我国企业内部控制常见的十大问题,希望管理人员引以为戒,有则改之,无则加勉。

      一、出纳领取银行对账单、编制银行存款余额调节表。

      之所以把这个问题列在十大问题之首,是因为它非常普遍且后果严重,但遗憾的是,直到今天,仍有很多单位根本没有意识到这一问题,或虽然意识到了却不以为然,低估了其可能造成的严重后果。不相容职务分离是内部控制的一个基本原理,通常需要分离的不相容职务包括授权与执行、执行与审核、执行与记录、保管与记录,所谓“管钱不管账,管账不管钱”就是不相容职务分离原理的一个典型运用。货币资金是最容易出现舞弊的一项资产,如果由出纳来负责领取银行对账单、编制银行存款余额调节表,出纳就有可能挪用或侵占公司货币资金,并通过伪造对账单或在余额调节表上做手脚来掩盖自己的舞弊行为。国家自然科学基金委会计卞中从1995年到2003年的八年期间里,利用掌管国家基础科学研究的专项资金下拨权,采用谎称支票作废、偷盖印鉴、削减拨款金额、伪造银行进账单和信汇凭证、编造银行对账单等手段贪污、挪用公款人民币两亿余元。卞中担负着资金收付的出纳职能,同时所有的银行单据和银行对账单也都由他一手经办,使得他得以作案长达八年都没有引起过怀疑。 2003年春节刚过,基金委财务局经费管理处刚来的一名大学生上班伊始便到定点银行拿对账单,以往这一工作由会计卞中负责。一笔金额为2090万的支出引起了这名大学生注意,在其印象里他没有听说此项开支。这个初入社会的大学生找到卞中刨根问底,这桩涉案金额超过2亿元的大案也因此浮出水面。
    从笔者了解的情况看,80%以上的企业存在出纳领取银行对账单、编制余额调节表的现象,究其原因,主要从工作方便角度出发,由于出纳经常跑银行,办理各种收付款,于是便“顺理成章”地领取银行对账单、编制余额调节表。殊不知这种习惯做法存在巨大风险隐患,其实要防范这种风险并不难,只要改由出纳以外的人来负责银行对账单领取和账面银行存款余额核实工作即可,关键是要从思想意识上重视起来。

      二、领导“一只笔”审批,缺乏完善内控和流程保障。

      领导“一只笔”,表明看起来似乎控制很严格,不容易出问题,但事实上这种“一只笔”控制反映了单位内部控制方式的落后。首先,事无巨细都由领导来审批,囿于时间和精力,领导最后可能疲于应付,分不清主次,审批“一只笔”变成签字“一只笔”而已,控制流于形式。其次,如果缺乏相关支撑信息,领导无法对收支合理性进行判断,“一只笔”就会失去控制作用,例如经办人员申请购买某种设备,而领导没有该设备经济可行性、价格合理性的相关数据,审批就会演变成一种过场。第三,领导“一只笔”会造成高度集权,不利于对领导的制约和监督,可能导致腐败。因此,合理的内部控制应当按照重要性程度大小,适当分层授权,逐级审批。

      三、过于依赖业务人员,企业资源掌握在个人手中,企业对业务开展失去控制。

      企业业务资源完全掌握在业务员个人手中,对企业来说是一件非常危险的事情,现实中经常可以看到,不少企业的业务员一旦跳槽或离职,原有的客户和业务关系也被随之带走,形成企业对业务人员过于依赖的局面。更有甚者,有的企业业务员明地里使用单位各项资源,暗地里为自己或亲友开拓业务、谋取私利,严重损害了企业利益。针对这种现象,企业应通过完善制度设计,例如采取建立统一的客户档案和客户关系管理系统、同一笔业务有两人以上共同参与、适当进行工作轮换和加强财务对业务过程的控制等措施,将业务员手中的客户资源转化为企业资源,让客户认的是企业本身而不是认个人,这样企业的业务就不会依赖于某一两个人,从而保持持续稳定的发展。2003年初,花旗银行台湾区总经理陈圣德率领二十多位主管集体跳槽,但在经历短暂的人事地震以后,花旗银行在短短两三个月内就基本恢复了业务正常开展,当年业绩并未受到大的影响,盈利反而创下历史新高,靠的就是花旗银行内部已经形成完整的制度和流程,用制度来保障业务开展,而不是依赖于某个业务人员或主管。

      四、内部控制制度文字描述性东西较多,清晰的流程图和配套表单较少。

      很多单位有这样一种现象,员工在某个岗位工作久了后变得驾轻就熟,经验老到,工作起来游刃有余,而一旦这个员工因有事调离或辞职,后面接替的人员则需要花很长时间来熟悉情况,重新摸索工作方法。造成这种现象的原因是企业制度主要是文字性东西,缺乏清晰的岗位说明和工作流程图,执行的人往往凭自己的经验和别人“言传身教” 来做事,岗位新手在开始阶段工作不知从何入手,通常需要很长一段学习和熟悉过程。因此,一套完整的企业制度应包括三部分:(1)文字描述的支撑制度文件;(2)工作流程图或流程的文字描述;(3)相关凭证、表单、文件的样式汇总。通过绘制清晰的工作流程图,可以让每个人都能一目了然地知道办事程序、涉及的部门、人员和规章制度,而且能够将工作形成的好经验固化下来,并且通过流程图能比较容易发现内部控制中的不足之处和风险点,从而有助于企业内部控制的持续改进。

      五、内部控制制度“救火式”的较多,制度体系缺乏系统性和完整性,甚至政出多门,相互打架。

      很多企业的内部控制制度都是在发展中逐步建立起来,经常是发现管理中出现了某种问题,于是相应地出台一个制度来规范。例如今天发现电话费高了,就制定一个通讯费管理办法,明天发现办公用品浪费严重,就拟定出办公用品采购与使用办法。这种“救火式”的制度往往只能防范已发生过的风险,而对未发生的风险则考虑不足。此外,这样的制度体系无论在内容上还是形式上,都缺乏系统性和完整性,没有科学合理的分类,甚至不同制度之间存在矛盾或重叠的现象。有的单位还有不同部门根据自身需要制定制度现象,政出多门,相互打架。笔者曾经接触过一个单位,仅是购买电脑一项,既可以通过信息科购买,因为信息科负责整个单位的计算机软硬件系统;也可以通过行政办公室,因为电脑属于办公用品,而办公用品归口办公室管理;还可以通过负责管理固定资产的设备科购买,因为电脑是一种固定资产。为此,企业应有一套规范的制度制定程序和形式规范,包括制度的编号、格式、分类、内容、审批程序、执行及其他应注意事项进行统一的规范化管理,并以书面形式予以约束。

      六、员工临时休假或出差时,缺乏明确的工作交接制度。

      任何一个岗位,总会出现员工因急事、生病或出差等原因不能正常上班的情形,很多单位在制度设计时都没有考虑到员工暂时离岗时工作由谁接替的问题。实际操作中,在遇到员工临时休假或出差时,便临时指派一位相关人员来兼任,但事实上,这种急时抱佛脚的做法,稍有不当,可能会给企业带来风险。企业正常的工作安排中通常会将不相容职务由两个以上的人来担任,以便相互牵制,而临时指派某人兼任做法,可能会导致不相容职务由同一人担任。例如支票印鉴平常一般都由两人分别保管,如果因其中一人临时有事而指派另一人暂时兼任,由一人掌握所有空白支票和印鉴的话,盗用支票的风险就会大大增加。因此,企业有必要明确规定一些重要岗位的工作交接制度,防止员工临时休假或出差时留下内部控制“真空”的现象。

      七、人员招聘时注重笔试和面试的考察,忽视背景调查。

      如果雇佣了不诚实的人,那么即使是最良好的控制也无法防范舞弊。如果企业不仔细地筛选应聘者,并因此而雇佣了不诚实的员工,则很有可能遭受损害。很多企业在招聘过程中也非常强调应聘者的诚信,但较多注重于笔试或面试的考察。“然而,谁能知道在一份漂亮的简历背后又隐藏着什么?”,背景调查则能有效发现应聘者有无虚构个人信息、是否存在不诚信记录、在以前雇主处工作情况,从而能帮助企业甄别应聘者,防止将不合格人员招进来。而且背景调查本身并不需要复杂的技术,只需要向应聘者以前工作过单位打几个电话或发封函件就能够了解一些非常有用的信息,实施成本也比较低。曾经被称为北京市医疗系统头号女贪、案发前为北京肿瘤医院住院部主任的石巧玲,四年时间贪污挪用1000多万元,检察官办案时发现她自己在不同表格上填写的出生日期就有三个版本,而在填写工作简历时她又玩上了花样:在1979年 5月石巧玲亲自填写的《工作人员履历表》中,前页写“售货员”,后页则写在“二商局工作”;1995年12月25日填写的肿瘤医院《干部任免呈报表》中,石巧玲的工作简历又变成了“1967——1978年,北京商业局会计”。对石巧玲来讲,严肃的履历表成了可随意填写的“草纸”。其实,这些问题通过对应聘者简历的认真审核和相应背景调查是不难发现的。

      八、关键岗位无强制轮换或带薪休假制度。

      企业员工在某一岗位工作时间长了,会比较熟悉内部控制漏洞所在,实施舞弊的可能性更大。现实中,有不少挪用或贪污等舞弊现象都是在工作交接时被发现的。2005年4月,仪征化纤公司在工作交接过程中发现营销部一会计挪用资金5000多万元,该会计1989年毕业后被分配至仪征化纤从事财务工作,十六年来他的岗位和职务一直都没有变化,由于在这个岗位上的时间很长,规律摸得非常透,他知道什么时候将款项交给单位,也清楚什么时候要进行财务检查或审计,总能找到新的款项填补以前的漏洞,自1999年开始挪用资金,作案时间长达六年,期间一直未露蛛丝马迹,直到2005年因单位内部人事改革他被迫交接工作时才败露。过去我们比较强调“螺丝钉”精神,殊不知,“螺丝钉”在一个地方时间拧长了也会容易生锈的。
    通过强制轮换,或者带薪休假,在休假期间工作由别人暂时接替,由于员工离岗时的工作交接会受到他人监督,那么他实施并掩盖舞弊的机会将大大减少。美国货币管理局要求全美的银行雇员每年休假一周,在雇员休假期间,安排其他接替人员做他的工作,就是为了防止员工长期在同一岗位工作可能产生舞弊。对我国企业来说,对一些关键岗位,例如财务、采购中的部分岗位,通过建立强制轮换和带薪休假制度,既可以提升员工的工作能力,同时是防范和发现舞弊的一项有效措施。

      九、过分强调控制成本,经常将效率作为弱化或逾越内部控制的理由。

      实施内部控制无疑需要成本,并且在一定程度上会影响到运行效率。于是,一些单位管理人员便常常以影响效率为由,反对内部控制措施的推行。事实上,如果将各项职能都较给某一个部门或某一个人去执行,没有必要的授权批准和审核,在效率上可能会很高,但由此产生的风险也急剧上升。因此,为了防止一些重大风险给企业带来灾难性损失,牺牲一定程度的效率是控制风险所必须付出的成本。现实中经常碰到的情形是,在企业推行新的内部控制制度,往往会涉及到原有利益格局的打破和调整,这时一些管理人员便表明上以影响效率为由来反对内部控制新举措推行,实际是由于个人或部门利益受到影响。因为内部控制制度不完善带来的损失可能是关系到企业存亡问题,而效率则是影响企业发展的快慢,作为企业的领导者,不能过分强调成本因素而忽视内部控制制度的建设,应当合理权衡内部控制的成本和效率的关系。

      十、说一套,做一套,制度放空炮。

      内部控制制度是否得到有效执行是个老生常谈的问题,却又不得不谈,很多出问题的案例往往都不是因为制度缺乏规定,而恰恰是制度有明文规定却未能遵照执行。以中航油(新加坡)为例,尽管公司有完整的风险管理规章制度,是由国际“四大”之一的安永会计师事务所制定的,在风险管理委员会设置、风险控制流程等各方面制度都比较完备按照规定,公司的风险管理基本结构是从交易员,到风险管理委员会,到内审部,到首席执行官,再到董事会层层上报;每名交易员亏损20万美元时,要向风险管理委员会报告,亏损达37.5 万美元时向首席执行官汇报,亏损50万美元时,必须斩仓。但遗憾的公司这些制度并未得到有效执行,公司内部风险管理内控系统形同虚设,最终给公司造成了超过5亿美元的灾难性损失。

      内部控制制度不能有效执行原因主要有二:一是制度本身制定得不合理,或过于理想化,或随着新情况出现,原有制度已不能适应却没有及时修改,从而使得制度不具可操作性,自然也就不会被执行;二是缺乏保证制度执行的机制,一些单位对内部控制执行情况既没有检查监督,又没有相应的奖惩措施,内部控制制度成为墙上摆设和一纸空文也就不奇怪了。为此,企业一方面需要提高制度可操作性,另一方面要加强制度执行力,不能为制度而制度。

      简单归纳如下:

      1、出纳领取对账单,调节余额她来编; 

      2、领导同志一支笔,事无巨细啥都批; 

      3、销售业务控制好,没他企业很苦恼; 

      4、文本制度不可少,流程图表更重要; 

      5、救火制度频颁布,各自为政把令出; 

      6、临时休假或出差,无规无律乱安排; 

      7、笔试面试乃基础,背景调查易疏忽; 

      8、关键岗位强轮换,带薪休假执行难; 

      9、成本压缩太过分,内部控制无人问; 

      10 说一套来做一套,制度如同放空炮。 

    分公司内部控制风险

      内部控制制度是现代企业制度的重要内容,也是降低财务风险的重要举措。没有内部控制系统的企业财务报告不一定无可靠性,但是财务报告一旦不可靠,则企业的内部控制系统必定无效。有效的内部控制系统只能合理保障企业财务报表的可靠性,内部控制制度不是万能的,也存在着局限性和风险性。分公司内控风险点有可能是存在于分公司内部的隐患,也有可能是在外部环境影响下隐藏的痼疾。

      一、公司集体舞弊带来的内部控制风险

      当分公司高管集体进行财务舞弊时,由于内部利益的纽带作用,易形成攻守同盟,其财务丑闻很难被总公司监管发现或被发现成本很高。内部控制对于这类事件不可能控制,只有靠外部的监督机制了。即使被发现,也是受益者、授意者不受罚,执行人却“代人受过”的现象,或者出现法不责众现象,只惩罚一两个替罪羊。内部控制的一条重要原则就是将不相容职务进行分离,在实际工作中,如果处于不相容职务上的有关人员相互串通、相互勾结,失去了不同职务相互制约的基本前提,再好的控制措施也无能为力。

      二、控制成本超过控制收益带来的内部控制风险

      成本效益原则要求一个内部控制制度的实施不得超过预期的效益。任何单位制定内部控制制度都要花费一定的人力、物力、财力,而这些的付出未必能带来预期的结果。中小企业如果设计的控制环节过多,控制措施越复杂,相应的内部控制成本也就越高,最终会影响企业生产经营活动的效率。大企业虽然有能力设计较为完善的内部控制制度但是实践中内部控制制度所发生总成本的主观判断与控制效益难以准确计量,这就使得各分公司很难找到内部控制成本与效益的最适宜点。由于信息的不可靠性、财务人员工作效率低下和对内部控制制度所花费成本上限的忽视,理应保障的内部控制成本等于并略小于内部控制效果的基本拓扑原则可能无法如愿以偿。因此,在设计和实施内部控制时,企业必须要考虑控制成本与控制效果之比。一般来说,控制程序的成本不能超过风险或错误可能造成的损失,否则,再好的控制措施和方法也将失去意义。

      三、大概率事件造成的内部控制风险

      内部控制的对象仅是大概率事件,不可能预见所有财务风险,有可能存在控制死角或真空。即使公司有足够的财力去进行内部控制,也可能因为没有足够的理由(比如八小时之外的活动和隐私)、时间和精力去监控。因为再完善的内部控制制度也只能是提供一种合理保证,而不是提供一种绝对保证。它不能绝对保证预防或察觉错误和不正常现象。

      四、人为错误带来的内部控制风险

      如果单位内部行使控制职能的人员在知识、经验、能力、责任心、独立性、心理上、技能上和行为方式上未能达到实施内部控制的基本要求,如执行人员的粗心大意、精力分散、身体不适、理解错误、判断失误、曲解指令、趋迎奉承等,致使有些财务问题没有能够及时察觉,或已经察觉但被疏忽,没有采取相应补救措施,或补救措施欠妥当而酿成大祸,那么再好的内部控制也很难发挥作用。执行人员的错误会给企业内部控制造成影响,但是设计人员在设计方面没考虑周密而造成了后来在执行中的困难。任何“完美的”内部控制系统,都会因设计人员经验和知识水平的限制而带有缺陷。因此,企业在制定控制制度时也不能苛求百分之百的完美。

      五、管理越权带来的内部控制风险

      如果单位内部行使控制职能的管理人员滥用职权、喜欢越俎代庖,或为某种私利越权行事,加上知情人的官本位思想、洋奴哲学和事不关己高高挂起的痼疾,往往使越权发号施令畅通无阻。很多领导表面上大谈特谈内部控制制度的必要性和紧迫性,骨子里始终认为自己可以凌驾于内部控制制度之上,内部控制制度是给一般职工制订的和遵守的,给上级部门检查看的和同行学习的,作为公司领导永远都是例外。即使设计再良好的内部控制制度,由于特权阶层故意避开或指示其下属避开某些预定的控制程序,也不会发挥其应有的效能。

      六、内外部环境变化带来的内部控制风险

      内部控制一般都是针对经常而重复发生的业务而设置的,而且一旦设置就具有相对稳定性,因此如果出现不经常发生或未预计到的经济业务,原有控制就可能不适应,而临时控制又可能招架不住或仓促迎战而给分公司带来损失。另外,国家政策法律法规也经常进行调整和修订,原有的内部控制制度的程序和细则可能会赶不上法规的变化,或者新内部控制规范缺乏可操作性,从而造成内部控制失效。

      七、社会大环境使然带来的内部控制风险

      外部市场规范和整个社会诚信体系的建立是增强内部控制制度执行效果的有力保障和外在压力。再加上总公司其他分公司以前管理的惯性使然,某一个分公司严格执行内部控制制度的做法难唱独角戏。另外主管有不法前科记录、管理当局逃避责任、管理层频繁变动、内部控制薄弱、决策高度集权化、经常更换外部注册会计师、人力资源短缺、存在巨额法律诉讼、夕阳工业或濒临倒闭的产业、有关法律、法规、政策的变化等都可能对内部控制制度的有效运行造成重大不利影响。为了提高内部控制制度执行的效率,可以采取由独立于企业的设计人员制订分公司高管人员风险准备金,建立了内部控制匿名举报系统,不定期的进行秘密调研,加强舆论监督和惩罚力度等举措.

    展开全文
  • 下简称企业内部控制规范体系),结合用友软件股份有限公司(以下简称公司)内部控  制制度和评价办法,在内部控制日常监督和专项监督的基础上,我们对公司2013年12月  31日(内部控制评价报告基准日)的内部控制...
  • 企业内部控制基本规范》内部环境中,要求企业编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,以正确行使职权(14条)。 《企业内部控制基本规范》控制活动中,被传说为...
  • – 实战派内部控制与内部审计专家 – 中国注册会计师(CPA) – 国际注册内部审计师(CIA) – 国际注册内部控制评估师(CCSA) – 美国注册舞弊审查师(CFE) – 国家财务总监资格认证获得者(OSTA) – 青岛...
  • 随着我国企业在国外上市,以及我国证卷市场的逐步成熟,对于上市企业完善企业的内部控制管理将是以后企业信息化的主要方向,对于企业迫切建立内部控制管理的表现有如下:一、在美国上市的公司必须建立内部控制体系 ...
  • 控制环境是内部控制体系整体框架的基础,是有效实施内部控制的保障,直接影响着企业内部控制的贯彻执行、企业经营目标及整体战略目标的实现。控制环境确定了公司的总体态度,是内部控制所有其他组成要素的基础。控制...
  • 访问控制,通过特定,网段,服务建立的访问控制体系企业将绝大多数攻击阻止在到达攻击目标之前 检查安全漏洞,企业通过对安全漏洞的中期检查即使攻击可以到达攻击目标也可以使绝大多数攻击无效 攻击监控,企业...
  • 《2015中国大数据应用前沿调研报告》指出,在对于“贵公司认为打造生态系统的重要性在何处”调查时,接近一半的受访企业选择了“打通企业内部部门数据,更好的服务业务增长”。对于“贵公司为全面实现
  • 2006年6月5日,上海证券交易所(下文简称上证所)率先发布了《上海证券交易所上市公司内部控制指引》(下文简称《指引》),对上市公司建立健全和有效实施内部控制制度提供了原则性指导,明确了公司董事会对公司...
  • 大数据时代,数据已经成为战略资源。掌握前沿科技的大型IT企业在数据的分析和利用上走在了时代的前列。...主要针对内部服务,不对外开发。III.数据分析:此处的数据分析师广义的,包括一切基于数据得出的insights的...
  • 一、你的保护机制有哪些? 第一道防线–业务现场 ...三、内部信息安全管理体系审核步骤 内部信息安全管理体系审核管理流程 审核计划 年度审核计划分类 审核实施计划--内容 审核实施计划--范例 熟悉必...
  • 浅析企业ERP系统运维体系的建立

    千次阅读 2016-05-24 20:36:44
    浅析企业ERP系统运维体系的建立 1 ERP系统的运维简介 ERP系统的运维是指ERP系统上线后的运行和维护保障。ERP系统上线既是系统建设的结束,同时又是一个新的起点,需要付出更多的时间和精力来开展系统维护工作,...
  • 每年国家统计局发布的国民生产总值数字和各省市自治区发布的数字总和之间总是有差异,为此国家统计局建立“不再经过中间环节,企业将其调查数据直接上报给国家统计局,这种被称为‘联网直报’的统计模式”,将在2012...
  • 在公司比较小的时候可以选择内部信任模式,不去过于纠结开源平台本身的安全,但在公司规模比较大,数据RD和BI分析师成千上万的时候,内部信任模式就需要被抛弃了,这时候需要的是一站式的授权&审计平台,需要看到...
  • 上一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(一) 下一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(三) 引子 在2019年,我有幸主导了公司的隐私合规体系建设。几乎是从零开始,完成了ISO ...
  • 上一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(三) 下一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(五) 引子 在2019年,我有幸主导了公司的隐私合规体系建设。几乎是从零开始,完成了ISO ...
  • 上一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(二) 下一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(四) 引子 在2019年,我有幸主导了公司的隐私合规体系建设。几乎是从零开始,完成了ISO ...
  • 2.1工业控制系统和传统IT系统差异化分析 5 2.2工业控制系统所面临威胁分析 7 2.3工业控制系统安全需求分析 8 三、 工控系统信息安全防护体系设计 8 3.1工控系统信息安全防护体系设计目标 8 3.2工控系统信息安全...
  • 下一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(二) 引子 在2019年,我有幸主导了公司的隐私合规体系建设。几乎是从零开始,完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等级保护三级、CCPA等安全...
  • 互联网企业:如何建设数据安全体系? 原创: 赵彦 美团点评技术团队 总第248篇 2018年 第40篇 一、背景 Facebook数据泄露事件一度成为互联网行业的焦点,几百亿美元市值瞬间蒸发,这个代价足以在地球上养活一...
  • 上一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(四) 引子 在2019年,我有幸主导了公司的隐私合规体系建设。几乎是从零开始,完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等级保护三级、CCPA等安全...
  • 企业为什么要做ISO14001环境管理体系认证?这是很多客户初步接触ISO14001认证时的疑问,下面给大家简单的介绍一下,企业要做ISO14001的原因,以及会给企业带来的好处。 总体上说,推行 ISO14001的意义有两大方面: ...
  • 建立企业体系结构的更佳途径

    千次阅读 2006-11-13 22:34:00
    show toc 欢迎来到 MSDN > 体系结构 建立企业体系结构的更佳途径 发布日期: 2006-6-13 | 更新日期: 2006-6-13
  • 外资对我国企业兼并控制 上个月看到下面这篇资料,一是这资料很乱,所以不知道这里面有多少是真多少是假。二是觉得资本运作很厉害,国家需要培养一个部分属于自己的健康有活力的资本市场,以后这个领域也大有可为。...
  • 在行业中使用Python进行web开发,同样也是非常受欢迎的,例如:FaceBook,豆瓣,知乎,饿了么等等,本文主要是介绍是利用Python进行web开发企业统一用户认证和权限控制平台,提供用户管理、认证和权限接入的能力,...
  • 总第414篇2020年 第38篇【Top Talk/大咖说】是美团技术学院面向公司内部组织的系列讲座,定期邀请美团技术团队负责人、业界大咖、高校学者及畅销书作者,为大家分享最佳实践、互联...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 74,252
精华内容 29,700
关键字:

企业内部控制体系