《公司治理风险管理和内部控制》第六章-信息与沟通课件.ppt

1、第六章 信息与沟通第一节 内部信息传递 第二节 信息系统第三节 沟通案例引入：信息混乱，车毁人亡信息混乱，车毁人亡2008年4月28日凌晨4时48分，山东胶济铁路王家段，限速80公里/时处，时速达131公里的北京青岛T195次列车，第917号车厢突然脱轨，侵入了并行的另一条铁轨。和正常运行的对开5034次列车相撞，造成71人死亡，416人受伤。现已证实，事故线路是一条呈“S”型临时线路，而超速被认为是这起事故的直接原因。但超速背后是信息的传递混乱。行经此段的列车限速一月内竟数次更改，而且指令传达不畅通，规章制度形同虚设。事发前几天济南铁路局曾发文限速，但又迅速取消限速。潜伏巨大危险的临时铁路，

2、儿戏般的调度管理，层层的疏忽与失职，最终导致了中国铁路史上最重大的惨祸之一。事后相关部门总结信息滞漏不畅是造成事故的主要原因。4.28事件表明：有效的信息与沟通对于企业的成功是至关重要的。每个企业都要识别和获取与管理该主体相关的广泛的信息。这些信息以保证员工能履行内部控制和风险管理职责的形式和时机传递给员工。第一节 内部信息传递内部信息传递一、内部信息传递的定义l按照企业内部控制应用指引第17号内部信息传递的规定，内部信息传递是企业内部管理层级之间以报告为载体和形式传递生产经营管理信息的过程。l信息在企业内部进行有目的的、及时的、准确的、安全的传递，对贯彻企业发展战略、正确识别生产经营中的风险

3、、及时纠正操作错误、提高决策质量具有重要作用。内部信息传递二、信息的内涵l信息是对人有用的、能够影响人们行为的数据。l信息是数据的含义，是人们对数据的理解，是数据加工后的结果。数据是信息的载体，没有数据便没有信息，因此信息不能单独存在。要想获得信息就要先获得载荷信息的数据，对其加工才能获得信息。内部信息传递战略性策略性操作性交易数据信息加工与筛选高层管理中层管理基层管理内部信息传递p信息还有下列特征：p1 共享性p2 可传递性p3 可编码性p4 具有价值内部信息传递三、内部信息传递基本流程 l内部信息传递流程是根据企业生产经营管理的特点来确定，其形式千差万别，没有一个最优的方案。l对企业最为重

4、要的、最普遍的信息传递形式就是内部报告，亦称内部管理报告。内部报告时指企业在管理控制系统中为企业内部各级管理层以定期或非定期的形式记录和反映企业内部管理信息的各种图表和文字资料的总称。l一般来说，内部信息传递至少包括两个阶段，一是信息形成阶段，二是信息使用阶段。内部信息传递建立内部报告及指标体系搜集整理内外部信息形成内部报告审核内部报告通过内部报告在规定的范围内流转内部报告使用和保管定期全面评估 内部报告形成阶段 内部报告使用阶段未通过内部信息传递四、内部信息传递的总体要求（了解）l（一）及时有效性原则l及时有效性原则是指在信息传递过程中，必须做到在经济业务发生时及时进行数据搜集，尽快进行信息

5、加工，形成有效形式并尽快传输到指定地点和信息使用者。内部信息传递四、内部信息传递的总体要求 l（二）反馈性原则l反馈性原则是指在信息传递过程中，相同口径的信息能够频繁地往返于信息使用者和信息提供者之间，把决策执行情况的信息及时反馈给信息使用者，帮助信息使用者证实或者修正先前的期望，以便其进一步决策的活动。沃尔玛超市：啤酒加尿布的故事沃尔玛超市：啤酒加尿布的故事一般看来，啤酒和尿布是顾客群完全不同的商品。但是沃尔玛一年内数据挖掘显示，在居民区中尿布卖得好的店面，啤酒也卖得好。原因很简单，一般太太让先生下楼买尿布的时候，先生们一般都会犒劳自己两听啤酒。因此啤酒和尿布一起购买的机会是最多的。这是一个

6、现代商场智能化信息分析系统发现的秘密，这个故事标志着数据挖掘开始进入商业领域。内部信息传递四、内部信息传递的总体要求 l（三）预测性原则l预测性原则是指企业传递和使用的经营决策信息需要具备预测性的功能。信息预测性的功能在于提供提高决策水平所需的那种发现差别、分析和解释差别，从而在差别中减少不确定的信息。麦当劳和肯德基之争麦当劳和肯德基在中国的发展可谓是一日千里，这两家店在中国发展得如此迅猛，就是顺应了中国发展的潮流和社会的变革。这两家公司有着不同的发展模式，麦当劳是全球快餐业的老大，但是在中国的业务却没有肯德基做得好。麦当劳最先在中国进行快餐市场的调研考察，但是它依据信息做出了两个错误的判断：

7、第一，中国人民的餐饮习惯。中华民族是吃贯穿于所有政治经济文化活动之中的一个民族，做工作要吃饭，体现亲情也要吃饭，大众的消遣娱乐还是归结到吃上，所以中国人民对吃非常讲究，也非常重视。所以麦当劳认为快餐在中国难以做大。第二，快餐的口味问题。中华民族保留着很多有关吃的传统，食物种类丰富多彩，口味南北迥异，广东人喜欢煲汤，湖北人湖南人喜欢吃辣，上海人喜欢吃甜，山西人喜欢吃酸，北京人喜欢吃咸，东北人喜欢吃乱炖。而快餐的口味十分单一，做不到口味丰富多彩。而人们的口味一旦形成就会是非常顽固的一种习惯，这种习惯会导致人们对快餐的抵制和排斥。因此，麦当劳对中国市场没有信心，认为中国是没有希望的市场，于是放弃在中

8、国的投资。几年之后，肯德基进入中国市场调研，他们得出一个相反的结论：第一，中国的社会在发展，中国人的观念在改变，饮食结构也在悄然地发生变化，生活的快节奏，求新求异将成为中国人民的生活主流，在这样的大前提下进入中国快餐市场，肯定会迎合时代的发展，是非常好的一个时机。第二，中国人民传统的饮食习惯也在改变，传统口味吃了很多年，人们乐于追求新颖的口味，这也是迎合中国人饮食结构多样性的一种改革。所以肯德基做出的决策就是可以进入中国市场。当然这两家公司都没有想到在美国称之为垃圾食品的快餐，在中国迅速成为时尚，成为大众消费的食品，出现举家吃快餐的热闹场面。因此肯德基先在中国红火发展起来。麦当劳看到后业不甘示

9、弱，于是人们看到非常有趣的现象，只要有肯德基的地方，斜对面就一定有麦当劳。内部信息传递四、内部信息传递的总体要求 l（四）真实准确性原则l真实准确性原则是指企业内部传递的信息符合事件或事物的客观实际，包括范围的真实准确性、内容的真实准确性和标准的真实准确性。内部信息传递四、内部信息传递的总体要求 l（五）安全保密性原则l安全保密性原则，又称“内部性原则”，是指内部信息传递的服务对象仅限于内部利益相关者，即企业管理当局，因而具有一定的商业机密特征。相关链接：普华永道发布2010年度全球信息安全调查报告。报告显示，中国企业信息安全事故发生率远远高于世界平均水平。据调查报告中的数据显示，网络事故、数

10、据事故及系统事故是三大中国企业常见的信息安全事故，发生率分别为51%、45%、和40%。而相同事故在全球范围内的发生率则为25%、27%与23%。也就是说，中国企业发生信息安全事故的概率是世界平均水平的2倍左右。而这个数据与2009年相比仍呈现一定程度的上升趋势。傅毓敏（普华永道风险管理和内部控制部门合伙人）表示，从全球范围来看，中国企业在信息安全硬件的投入水平并不低，在有些领域甚至处于世界领先水平。但中国企业对信息安全管理人员及流程方面重视远远不足。与大多数跨国公司相比，中国企业对于在公司内使用聊天软件、社交网络等领域管理松散，监察监测系统缺位，这些都是导致中国企业泄密等信息安全事故高发的重

11、要原因。内部信息传递四、内部信息传递的总体要求 l（六）成本效益原则l成本效益原则是经济管理活动中广泛适应性的要求。因为任何一项活动，只有当收益大于成本时才是可行的，某项信息是否值得传递，首先就必须满足这个约束条件。内部信息传递五、内部信息传递各环节的主要风险点及控制措施（掌握）l（一）建立内部报告和指标体系l（二）搜集整理内外部信息l（三）编制及审核内部报告l（四）内部报告传递l（五）内部报告使用和保管l（六）内部报告的评估（一）建立内部报告和指标体系主要风险是：指标体系的设计未能结合企业的发展战略；内部报告或指标体不完整或过于复杂；指标体系缺乏调整机制；指标信息难以获得或获取的成本过高主要

12、管控措施：第一，企业应认真研究企业的发展战略、风险控制要求和业绩考核标准，根据各管理层级对信息的需求和详略程度，建立一套级次分明的内部报告指标体系。企业明确的战略目标和具体的战略规划为内部报告控制目标的确定提供了依据。第二，企业内部报告指标确定后，应进行细化，层层分解，使企业中各责任中心及其各相关职能部门都有自己明确的目标，以利于控制风险并进行业绩考核。第三，当内部控制指标体系不适应企业决策要求时，需进行调整第四，根据成本效应原则，考察获取信息的难度和设置相应内部报告指标的必要性内部报告分类1.根据部门的性质内部报告可分为：（1）工作总结和工作计划报告：每周、每月、每季、半年和年度由下级部门或

13、下级员工向上级部门或员工上报。（2）销售报表：这些报表每天上报销售部负责人，每周或每月上报财务总监或企业负责人。（3）费用报表：各部门或有关个人要建立费用控制台账管理费用，不能盲目开支。（4）成本报表：生产部门应当建立成本控制台账，生产部门有关领导应当天天看、天天分析，并于每周或每月上报财务总监或企业负责人。（5）采购报表：这些报表每天上报采购部负责人，每周或每月上报财务总监或企业负责人。（6）资金报表：资金收支结构日报、借款明细表、贷款担保抵押表、贷款情况表、银行账户及印鉴管理表、银行对账单、资金盘点表、银行存款余额调节表、资金需求状况表。财务总监应该重点关注这些信息，并不定期检查。企业负责

14、人应该关注资金需求状况等。（7）资产报表：行政部应当建立资产管理台账对企业资产进行全面跟踪管理，每月进行盘点核实。财务部应当定期与行政部核对资产。（8）人事报表：包括人事变动分析表和薪资变动分析表。（9）投资报表：每月对企业投资情况向企业负责人进行分析报告。（10）分析报表：在以上报表的基础上通过文字进行说明，详细分析前因后果，包括财务分析报告。2.根据内部报告的内容可分下面两类报告：（1）完成计划情况的报告。包括综合类和单项经济指标报告。综合类报告的内容有：获利能力、收入、费用、应收账款、存货、现金流量等；单项经济指标报告的内容较多，如银行存款、产量、日销量等。（2）调查分析报告。一般是指专

15、业人员根据管理层的要求，对管理政策执行过程中出现的异常进行调查、分析，给出的描述异常情况及原因等内容的报告。（二）搜集整理内外部信息企业应当广泛收集、分析、整理内外部信息，并通过内部报告传递到企业内部相关管理层级，以便及时采取应对策略。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息；通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。该环节的主要风险是：收集的内外部信息不足或过多；内容准确性差；获取内外部信息的成本过高。主要管控措施：第一，根据特定服务对象的需求，选择信息收集过程中重

16、点关注的信息类型和内容。第二，对信息进行审核和鉴别，对已经筛选的资料作进一步的检查，确定其真实性和合理性。企业应当检查信息在事实与时间上有无差错，是否合乎逻辑，其来源单位、资料份数、指标等是否完整。第三，企业应当在收集信息的过程中考虑获取信息的便利性及其获取成本高低。（三）编制及审核内部报告企业内部报告因报告类型不同、反映的信息特点不同，内部报告的格式不尽一致。一般情况下，企业内部报告应当包括报告名、文件号、执行范围、内容、起草或制定部门、报送和抄送部门及时效要求等。该环节的主要风险是：内部报告未能根据各内部使用单位的需求进行编制，内容不完整或难以理解，编制不及时，未经审核即向有关部门传递。主

17、要管控措施：第一，企业内部报告的编制单位应紧紧围绕内部报告使用者的信息需求，以内部报告指标体系为基础，内容全面、简洁明了、通俗易懂，便于企业各管理层级和全体员工掌握相关信息，正确履行职责。第二，企业应合理设计内部报告编制程序，提高编制效率，保证内部报告能在第一时间提供给相关管理部门。对于重大突发事件应以速度优先，尽可能快的编制出内部报告，向董事会报告。第三，企业应当建立内部报告审核制度，设定审核权限，确保内部报告信息质量。企业必须对岗位与职责分工进行控制，内部报告的起草与审核岗位分离，内部报告在传递前必须经签发部门负责人审核。对于重要信息，企业应当委派专门人员对其传递过程进行复核，确保信息正确

18、的传递给使用者。（四）内部报告传递该环节的主要风险是：缺乏内部报告传递流程，内部报告误传递或丢失，内部报告传递系统中断。主要管控措施：第一，企业应当制定内部报告传递制度。企业可根据信息的重要性、内容等特征，确定不同的流转环节。第二，企业应严格按设定的传递流程进行流转。企业各管理层对内部报告的流转应做好记录，对于未按照流转制度进行操作的事件，应当调查原因，并做相应处理。第三，企业应及时更新信息系统，确保内部报告有效安全的传递。（五）内部报告使用和保管该环节的主要风险是：第一，企业管理层在决策时并没有使用内部报告提供的信息，内部报告未能用于风险识别和控制，商业秘密通过企业内部报告被泄露。第二，企业

19、缺少内部报告的保管制度，内部报告的保管存放杂乱无序，对重要资料的保管期限过短，保密措施不严。主要管控措施：第一，企业应当建立内部报告保管制度。指定专人按类别保管，规定其保管年限。对影响重大的内部报告，应当永久保管。有条件的企业应当建立电子内部报告保管库，分性质，按照类别、时间、保管年限、影响程序及保密要求等分门别类地储存电子内部报告。第二，企业应当制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。有关公司商业秘密的重要文件要由企业较高级别的管理人员负责，具体至少由两人共同管理，放置在专用保险箱内。查阅保密文件，必须经该高层管理人员同意，由两人分别开启相应

20、的锁具方可打开。（六）内部报告的评估 该环节主要风险点：企业缺乏完善的内部报告评价体系，对各信息传递环节和传递方式控制不严，针对传递不及时、信息不准确的内部报告缺乏相应的惩戒机制。主要管控措施：第一，企业应建立并完善企业对内部报告的评估制度，严格按照评估制度对内部报告进行合理评估，至少每年度对内部报告进行一次评估，重点关注内部报告的及时性，内部信息传递的有效性和安全性。第二，为保证信息传递的及时准确，企业必须执行奖惩机制。对经常不能及时或准确传递信息的相关人员应当进行批评和教育，并与绩效考核体系挂钩。第二节 信息系统（不做要求）信息系统一、信息系统的定义l按照企业内部控制应用指引第18号信息系

21、统的规定，信息系统是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。l现代企业的运营越来越依赖于信息系统。比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等，没有信息系统的支撑，业务开展就举步维艰、难以为继，企业经营就很可能陷入瘫痪状态。还有一些新兴产业和新兴企业，其商业模式完全依赖信息系统，各种网络公司（新浪、网易、百度）、各种电子商务公司（比如阿里巴巴、卓越公司），没有信息系统，这些企业可能失去生存之基。信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代

22、化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。通机制提供支持保障。信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。信息流和运行规程等要素组成。制造企业可以将信息系统划分为财务管理系统、人力资源管理系统、制造企业可以将信息系统划分为财务管理系统、人力资源管理系统

23、、MRPMRP系统（销售、采购、库存、生产）、计算机辅助设计和制造系统、客户关系统（销售、采购、库存、生产）、计算机辅助设计和制造系统、客户关系系统、电子商务系统等若干子系统。系系统、电子商务系统等若干子系统。企业内部控制应当指引第企业内部控制应当指引第1818号号信息系统信息系统规定，企业负责人对信规定，企业负责人对信息系统建设工作负责。换言之，信息系统建设是息系统建设工作负责。换言之，信息系统建设是“一把手一把手”工程。工程。2010-3- 东财池国华东财池国华案例链接案例链接 日本瑞穗证券公司因错误操作损失日本瑞穗证券公司因错误操作损失300亿日元亿日元 20052005年年1212月月

24、8 8日东京股票市场上，日本四大金融集团之一日东京股票市场上，日本四大金融集团之一的瑞穗金融集团下属瑞穗证券公司因错误操作嘉克姆公司的瑞穗金融集团下属瑞穗证券公司因错误操作嘉克姆公司股票造成公司损失约股票造成公司损失约300300亿日元亿日元(120(120日元约合日元约合1 1美元美元)。瑞穗证券公司操盘手当天将瑞穗证券公司操盘手当天将“以以6161万日元的价格出售万日元的价格出售1 1股股股票股票”操作为操作为“以以1 1日元的价格出售日元的价格出售6161万股股票万股股票”，这时，这时操作屏上市场价格栏中出现了输入有误的警告，但由于这操作屏上市场价格栏中出现了输入有误的警告，但由于这一警

25、告经常出现，一警告经常出现，操盘手忽视警告继续操作操盘手忽视警告继续操作。2010-3- 东财池国华东财池国华受错误操作影响，嘉克姆股票马上从开盘价每股受错误操作影响，嘉克姆股票马上从开盘价每股67.267.2万日元万日元暴跌至当日停盘价暴跌至当日停盘价57.257.2万日元。由于抛售万日元。由于抛售6161万股的预约已被万股的预约已被认可，嘉克姆股票实际上以接近停盘价被成交，而非认可，嘉克姆股票实际上以接近停盘价被成交，而非1 1日元。日元。另外，嘉克姆公司实际发行股票数量只有另外，嘉克姆公司实际发行股票数量只有1.451.45万股，瑞穗证万股，瑞穗证券公司预约售出的股票数量是其发行量的券公

26、司预约售出的股票数量是其发行量的4242倍，属于卖空行倍，属于卖空行为。瑞穗证券公司必须大量买入嘉克姆公司股票，以使交易为。瑞穗证券公司必须大量买入嘉克姆公司股票，以使交易成立。因此，嘉克姆股票又马上急涨至每股成立。因此，嘉克姆股票又马上急涨至每股77.277.2万日元结束万日元结束当天交易。当天交易。瑞穗证券公司总裁福田真瑞穗证券公司总裁福田真8 8日表示，公司已经损失日表示，公司已经损失270270亿日元，亿日元，预计最终经济损失将超过预计最终经济损失将超过300300亿日元。这一因操作错误带来的亿日元。这一因操作错误带来的损失规模是史无前例的。损失规模是史无前例的。2010-3- 东财池

27、国华东财池国华日本首相小泉纯一郎日本首相小泉纯一郎9 9日对瑞穗证券公司操作过失一事发表讲日对瑞穗证券公司操作过失一事发表讲话时说，希望采取万全之策防止此类事件重演。同一天，日话时说，希望采取万全之策防止此类事件重演。同一天，日本经济财政金融大臣与谢野馨在记者会上表示，必须彻底查本经济财政金融大臣与谢野馨在记者会上表示，必须彻底查明为什么没能防止这种人为错误出现的原因，必须最大限度明为什么没能防止这种人为错误出现的原因，必须最大限度地维持证券市场的稳定。日本金融厅表示要考虑对瑞穗证券地维持证券市场的稳定。日本金融厅表示要考虑对瑞穗证券公司进行处分，同时也要求有关方面查明证券交易系统是否公司进行

28、处分，同时也要求有关方面查明证券交易系统是否存在问题。存在问题。信息系统二、信息系统的生命周期l（一）系统规划期l（二）系统开发期l（三）系统运行与维护期信息系统系统规划系统分析系统设计系统实施系统运行维护系统规划报告可行性项目建议书系统分析报告系统设计报告系统说明书和使用说明书规划人员分析员设计员程序员系统管理员信息系统规划期信息系统开发期信息系统运行与维护期信息系统三、信息系统的开发方式l（一）自行开发l自行开发是企业依托自身力量完成整个开发过程。l优点：开发人员熟悉企业情况；培养锻炼自己的开发队伍。l缺点：开发周期较长；技术水平和规范程度较难保证；成功率相对较低。l适用条件：企业自身技术

29、力量雄厚，而且市场上没有能够满足企业需求的成熟的商品化软件和解决方案。l百度的搜索引擎系统就偏重于自行开发。百度的搜索引擎系统就偏重于自行开发。信息系统三、信息系统的开发方式l（二）外购调试l外购调式的基本做法是企业购买成熟的商品化软件，通过参数配置和二次开发满足企业需求。l优点：开发建设周期短；成功率较高；成熟的商品化软件质量稳定，可靠性高；专业的软件提供商实施经验丰富。l缺点：系统的后期升级进度受制于商品化软件供应商产品更新换代的速度，企业自主权不强，较为被动。l适用条件：企业的特殊需求较少，市场上已有成熟的商品化软件和系统实施方案。大部分企业的财务管理系统、ERP系统、人力资源管理系统、

30、教学管理系统等多采用外购调试方式。信息系统三、信息系统的开发方式l（三）业务外包l信息系统的业务外包是指委托其他单位开发信息系统。l优点：充分利用专业公司的专业优势；节约了人力资源成本。l缺点：沟通成本高；要求企业必须加大对外包项目的监督力度。l适用条件：市场上没有能够满足企业需求的成熟的商品化软件和解决方案，企业自身技术力量薄弱或出于成本效益原则考虑不愿意维持庞大的开发队伍。江苏电力江苏电力:将财务信息化进行到底将财务信息化进行到底“江苏省电力公司的信息化历程和实践，是以会计信息化为江苏省电力公司的信息化历程和实践，是以会计信息化为基础，财务信息化为核心，实现公司全面管理的信息化。基础，财务

31、信息化为核心，实现公司全面管理的信息化。”江苏电力总经理江苏电力总经理费圣英费圣英在接受在接受中国会计报中国会计报记者采访时，记者采访时，用精炼的一句话道出了该企业财务信息化的实践论和方法论用精炼的一句话道出了该企业财务信息化的实践论和方法论。江苏电力作为一家拥有上千亿资产的省级电网公司，在全面江苏电力作为一家拥有上千亿资产的省级电网公司，在全面推进财务信息化、以及财务信息化与企业信息化的全面融合推进财务信息化、以及财务信息化与企业信息化的全面融合方面已远远地走在了前面。方面已远远地走在了前面。1.从会计信息化到财务信息化“要实现财务对企业管理的统筹作用，就必须要有一套高效要实现财务对企业管理

32、的统筹作用，就必须要有一套高效的财务管理系统的财务管理系统。”费圣英一直认为，财务管理在整个企业费圣英一直认为，财务管理在整个企业管理中处于核心地位，要以信息系统建设为手段强化财务控管理中处于核心地位，要以信息系统建设为手段强化财务控制，提高经营管理水平。由江苏电力自主研发的制，提高经营管理水平。由江苏电力自主研发的FMISFMIS（财务（财务管理信息化系统）就在这样的背景下诞生了。管理信息化系统）就在这样的背景下诞生了。江苏电力的会计信息化早在江苏电力的会计信息化早在19921992年就已开始，最初使用的是年就已开始，最初使用的是较为成熟的电算化软件。较为成熟的电算化软件。19951995年

33、起，公司系统开始自主研发年起，公司系统开始自主研发可在全系统运行的财务软件。可在全系统运行的财务软件。在不断实践中，江苏电力又探索出了在不断实践中，江苏电力又探索出了“预算管理、内部控制预算管理、内部控制、会计核算三位一体的信息化管理模式、会计核算三位一体的信息化管理模式”。公司在核算型信公司在核算型信息系统的基础上，纳入基于预算管理、流程控制的全面管理息系统的基础上，纳入基于预算管理、流程控制的全面管理，形成全面的财务管理信息系统，形成全面的财务管理信息系统。2.基于FMIS（财务管理信息系统）的财务内部控制江苏电力有着严格的预算管理，对资金的管理要求非常细化江苏电力有着严格的预算管理，对资

34、金的管理要求非常细化。根据规定，其下辖的市县级公司，。根据规定，其下辖的市县级公司，2020万元以上的资金需求万元以上的资金需求需要提前一个月上报，需要提前一个月上报，2020万元以内的需要一周以内上报。江万元以内的需要一周以内上报。江苏电力的苏电力的1313个市（地级）供电公司、个市（地级）供电公司、5858个县（区）供电公司个县（区）供电公司等分公司的资金预算管理全部都是通过等分公司的资金预算管理全部都是通过FMISFMIS实现。基于实现。基于FMISFMIS平台，公司预算控制、资金管理、财务分析等各方面的财务平台，公司预算控制、资金管理、财务分析等各方面的财务管理职能都得以在系统中运转实

35、现。管理职能都得以在系统中运转实现。在从核算型系统向管理型系统逐步延伸的过程中，在从核算型系统向管理型系统逐步延伸的过程中，FMISFMIS将内将内部控制管理规定中的部门职责、标准流程、政策法规、权限部控制管理规定中的部门职责、标准流程、政策法规、权限金额等一系列内容全部金额等一系列内容全部“固化固化”在系统程序在系统程序中，从而达到内中，从而达到内部控制标准对各项经济业务约束的部控制标准对各项经济业务约束的“自动自动”实现。实现。3.各系统和谐相融 江苏电力整个信息系统包括了公司财务会计、生产、物流江苏电力整个信息系统包括了公司财务会计、生产、物流、营销、人力资源等、营销、人力资源等2121

36、个子系统，各部门可以即时、方便地个子系统，各部门可以即时、方便地调取各个系统的资料。这得益于江苏电力自主探索实践的调取各个系统的资料。这得益于江苏电力自主探索实践的“集中集成集中集成”的信息化之路。的信息化之路。“企业信息化必须将财务管理系统与企业其他管理系统整企业信息化必须将财务管理系统与企业其他管理系统整合在一个平台上，实现信息互通，资源共享，江苏电力是通合在一个平台上，实现信息互通，资源共享，江苏电力是通过过集中集成集中集成实现这一目标的。实现这一目标的。”费圣英告诉费圣英告诉中国会计中国会计报报。“我们的目标是，在不久的将来借助信息化的手段让企业我们的目标是，在不久的将来借助信息化的手

37、段让企业的全部信息都实现阳光化透明化，最终的全部信息都实现阳光化透明化，最终接受整个社会的监督接受整个社会的监督。”信息系统四、信息技术过程控制体系（COBIT）国际信息系统审计与控制协会（ISACA）提出信息和相关技术的控制目标（COBIT）。lCOBIT是一个基于IT治理概念的、面向IT建设过程中的IT治理实现指南和审计标准，被认为是COSO框架的补充框架。lCOBIT的目标是为信息系统设计提供具有高度可靠性和可操作性的、公认的信息安全和控制评价标准。l案例案例6-1 6-1 中化集团运用中化集团运用COBITCOBIT的的ITIT治理之道治理之道 信息系统信息IT资源取得与实施应用系统、

38、信息、基础设施、人员交付与支持监督与评价规划与组织有效性/时效性/保密性/完整性/可得性/符合性/可靠性COBIT商业目标IT治理目标PO1 确定战略IT规划PO2 确定信息体系PO3 确定技术方向PO4 确定IT流程、组织及关系PO5 IT投资管理PO6 沟通管理目标与方向PO7 IT人力资源管理PO8 质量管理PO9 IT风险评价与管理PO10 项目管理ME1 监督与评价IT绩效ME2 监督与评价内部控制ME3 保证监管性一致ME4 提供IT治理AI1 确认自动化方案AI2 取得并维护应用软件AI3 取得并维护技术基础设施AI4 推动运行与使用AI5 取得IT资源AI6 变更管理AI7 安

39、装与认定方案和变更DS1 确定与管理服务水平DS2 第三方服务管理DS3 绩效与容量管理DS4 保证不间断服务DS5 保证系统安全DS6 识别并分配成本DS7 教育并培训用户DS8 服务平台与突发事件管理DS9 配置管理DS10 问题管理DS11 数据管理DS12 物理环境管理DS13 操作管理信息系统五、信息系统开发的主要风险点及其控制措施（自阅）l（一）信息系统开发的主要风险点l1信息系统规划时期的主要风险点l案例案例6-2 6-2 国内电力企业的国内电力企业的“信息孤岛信息孤岛”和国家电网公司的和国家电网公司的“SG186SG186工工程程”l2信息系统自行开发方式的主要风险点l成本过高

40、、产品不能满足企业需要。l3其他开发方式的主要风险点l业务外包：外包商选择不当，导致信息泄密、成本增加等l外购：产品不适合企业，供应商的服务能力有限。信息系统五、信息系统开发的主要风险点及其控制措施 l（二）信息系统开发的关键控制措施 l1系统规划l2自行开发l加强信息系统的管控工作 l3其他开发方式的主要控制措施 l选择信誉好的外包商或供应商信息系统六、信息系统运营与维护的主要风险点及其控制措施（一）日常运行维护的关键控制点和主要控制措施这一环节的主要风险是：第一，没有建立规范的信息系统日常运行管理规范，计算机软硬件的内在隐患易于爆发，可能导致企业信息系统出错。第二，没有执行例行检查，导致一

41、些人为恶意攻击会长期隐藏在系统中，可能造成严重损失。第三，企业信息系统数据未能定期备份，可能导致损坏后无法恢复，从而造成重大损失。主要控制措施：第一，企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。第二，切实做好系统运行记录，尤其是对于系统运行不正常或无法运行的情况，应将异常现象、发生时间和可能的原因作出详细记录。第三，企业要重视系统运行的日常维护，在硬件方面，日常维护主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等，这些工作应由专人负责。（二）

42、系统变更的关键控制点和主要控制措施系统变更主要包括硬件的升级扩容、软件的修改与升级等。这一环节的主要风险是：第一，企业没有建立严格的变更申请、审批、执行、测试流程，导致系统随意变更。第二，系统变更后的效果达不到预期目标。主要控制措施：保证变更过程得到适当的授权与管理层的批准，并对变更进行测试。信息系统操作人员不得擅自进行软件的删除、修改、升级、改变软件版本、改变软件系统的环境配置。（三）安全管理的关键控制点和主要控制措施这一环节的主要风险是：第一，硬件设备分布物理范围广，设备种类繁多，安全管理难度大，可能导致设备生命周期短。第二，业务部门信息安全意识薄弱，对系统和信息安全缺乏有效的监管手段，可

43、能导致舞弊和利用计算机犯罪。第三，对系统程序的缺陷或漏洞安全防护不够，导致遭受黑客攻击，造成信息泄露。第四，对各种计算机病毒防范清理不力，导致系统运行不稳定甚至瘫痪。主要控制措施：第一，建立信息系统相关资产的管理制度，保证电子设备的安全。第二，企业应成立专门的信息系统安全管理机构。企业应当按照国家相关法律法规以及信息安全技术标准，制定信息系统安全实施细则。第四，企业应当有效利用IT技术手段，对硬件配置调整、软件参数修改严加控制。数据加密、授权控制第五，企业委托专业机构进行系统运行与维护管理的，应当严格审查其资质条件、市场声誉和信用状况等，并与其签订正式的服务合同和保密协议。第六，企业应当采取安

44、装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。防火墙、病毒防护第七，企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。第八，企业应当建立信息系统开发、运行与维护等环节的岗位责任制度和不相容职务分离制度。系统开发和变更过程中不相容岗位（或职责）一般应包括：开发（或变更）立项、审批、编程、测试。系统访问过程中不相容岗位（或职责）一般应包括：申请、审批、操作、监控。第九，企业应积极开展信息系统风险评估工作，定期对信息系统进行安全评估，及时发现系统安全问题并加以整改。CSDN泄密案CSDN创立于1999年，是中国最大的中文IT知识服务集团。目

45、前，网站拥有2000万注册用户、50万注册企业及合作伙伴，日访问量约2000万次。国内程序员社区CSDN的安全系统2011年12月遭到黑客攻击，CSDN数据库中的600万用户的登录名及密码遭到泄露。随后，天涯社区、世纪佳缘、开心网等十余家国内知名网站近5000万用户的信息在网上被黑客公布。CSDN回应称，经过初步分析，该库系2009年CSDN作为备份所用。北京警方对CSDN网站开展了调查，发现其未落实国家信息安全等级保护制度，安全管理制度和技术保护措施落实不到位是造成用户信息泄露的主要原因。安恒信息技术公司给CSDN提供的审计报告显示，由于CSDN网站开源系统等第三方系统存在第三方系统漏洞、已

46、停用的老系统、应用程序漏洞、系统后台认证等四大问题，使其网站存在安全风险，泄露了大量信息。（四）系统终结的关键控制点和主要控制措施系统终结是信息系统生命周期的最后一个阶段，在该阶段信息系统将停止运行。停止运行的原因通常有：企业破产或被兼并、原有信息系统被新的信息系统代替。这一环节的主要风险是，第一，因经营条件发生剧变，数据可能泄密。第二，信息档案的保管期限不够长。主要控制措施：第一，要做好善后工作，不管因何种情况导致系统停止运行，都应将废弃系统中有价值或者涉密的信息进行销毁、转移。第二，严格按照国家有关法规制度和对电子档案的管理规定（比如审计准则对审计证据保管年限的要求），妥善保管相关信息档案

47、。第三节 沟通沟通一、沟通的内涵 l沟通是把信息提供给适当的人员，以便他们能够履行与经营、财务报告和合规相关的职责。l沟通是技术性的，已经在管理工作中得到广泛的应用，但比技术更有意义的是企业组织内外部的有效交流。l沟通可分为正式沟通和非正式沟通（按渠道划分）、内部沟通和外部沟通（按对象划分）沟通二、内部沟通方式 u电子沟通（互联网、电子邮件、电话传真/方便快捷、但不太安全)u书面沟通（内部报告、员工手册、内部刊物、教育培训资料/规范、准确、但成本高)u口头沟通（会议、讲座/迅速、灵活，但易失真）u企业员工应当采取电子沟通、书面沟通、口头沟通等多种方式，实现所需的内部信息、外部信息在企业内部准确

48、、及时地传递和分享，确保董事会、管理层和企业员工之间有效沟通。l案例案例6-7 6-7 中国五矿的战略质询会制度中国五矿的战略质询会制度 中国五矿的战略质询会制度 任何战略方案任何战略方案,如果没有督促和考核如果没有督促和考核,就很难实施和完就很难实施和完成。五矿在实施阶段采取两个办法成。五矿在实施阶段采取两个办法:一个是季度考核督促一个是季度考核督促,一个是年度考核督促。前者是一个是年度考核督促。前者是战略质询会战略质询会,主要在板块和职主要在板块和职能部门层面。后者为能部门层面。后者为平衡计分卡平衡计分卡,最终细化到职工层面。最终细化到职工层面。所谓战略质询会所谓战略质询会,是每季度举行的

49、一次跟踪、检查、研是每季度举行的一次跟踪、检查、研讨五矿集团战略实施工作的重要会议讨五矿集团战略实施工作的重要会议,由集团公司总裁办公由集团公司总裁办公会成员和战略委员会委员全体参加。会成员和战略委员会委员全体参加。战略质询会最初针对的是各个板块。其程序一般是战略质询会最初针对的是各个板块。其程序一般是:首先由首先由经营单位领导人经营单位领导人对上一个季度的情况对上一个季度的情况经营完成经营完成的情况、战略推进的情况、存在的问题、下一步的工作措施的情况、战略推进的情况、存在的问题、下一步的工作措施、有哪些需要集团公司支持的方面、有哪些需要集团公司支持的方面进行汇报进行汇报;汇报完以后汇报完以后

50、,由由企划部门、财务、人事和投资等部门企划部门、财务、人事和投资等部门进行质进行质询询,对经营单位提出来的问题和要求给予回答对经营单位提出来的问题和要求给予回答;最后由最后由集团公司领导集团公司领导对他们进行质询对他们进行质询,总裁进行总结。质询总裁进行总结。质询会结束以后会结束以后,要写出战略质询会的纪要要写出战略质询会的纪要,进一步推动落实。进一步推动落实。内部沟通向上沟通一般员工部门主管管理层董事会特殊渠道：一般员工高管 企业应在实际工作中尝试精简信息系统的处理程序，使信息在企业内部更快地传递。对于重要紧急的信息，可以越级向董事会、监事会或经理层直接报告，便于相关负责人迅速做出决策。向下