第七章 信息传递与信息风险控制
信息风险控制是指为确保信息及时性,相
关性和可靠性的控制。
两层含义:
u信息不对称
u如何建立信息系统
两个层面:
u治理层面
u经营管理层面
1南开大学 程新生 等
(一)、信息过多引起的信息风险
这些信息一方面给企业的资源配置决策、商业发展规划决
策带来了更多的决策信息依据;另一方面也增加了决策时
筛选冗长信息的困难。企业面临信息过多的情况时,比过
去做出决策又添了一个新的环节,即信息的处理,这就会
引起企业的信息风险。
(二)提供虚假信息引起的信息风险
提供虚假信息也有来自企业内部和外部两个方面。企 业外
部获得的信息中,信息的真实性是需要使用者进行信 息选
择与信息真实性辨别的。企业内部也存在着提供虚假信息
的情况,最常见的就是会计虚假信息,会计人员由于自身
或者迫于管理者的压力而提供虚假的会计信息。这些虚假
信息会引起信息风险。
2南开大学 程新生 等
(三)信息遭受攻击引起的信息风险
当今黑客们越来越多的采用直接攻击企业的
应用系统以达到窃取企业数据,破坏企业
信息的目的。黑客可以通过万维网公共信
息网采用木马、蠕虫和病毒等攻击手段,
破坏企业办公系统、窃取企业核心系统机
密数据、篡改公司网站信息、截获公司邮
件等。这些攻击行为都会引起信息风险,
对企业运行造成巨额的损失。
3南开大学 程新生 等
(四)企业内部人员引起的信息风险
企业信息的接触传播者主要是内部员工。信息在
不同人员之间交互传播,参与信息传播的人员有
意过滤或者加工信息的不道德行为将会产生信息
风险在企业信息的传递过程中,信息往往要通过
很多的节点,也就是有很多的成员会参与到信息
的传播中去,如果所有的信息传播成员都依据自
身需求考虑或者凭个人主观判断将加工信息(带
有传播者个人色彩)向外传播信息风险将会被放
大,甚至会给企业造成重大的损失。
4南开大学 程新生 等
信息控制包括保证信息完整性、不同信息
资源的协调、利用信息进行监控等,信息
控制分为两个层面:
一是在公司治理层面,由利益相关者对
经营者主导的财务信息系统进行监控,主
要是财务报告内部控制.
二是在企业经营管理层面,由经营者和
业务人员应用业务流程信息,对经营活动
进行控制,即业务流程信息控制 。
5南开大学 程新生 等
财务报告内部控制定义
美国证券交易委员会(SEC)在2003年
6月上市规则中以“财务报告内部控制”
代替传统的内部会计控制,将“财务报告
内部控制”定义为,“由公司的首席执行
官、首席财务官或者公司行使类似职权的
人员设计或监管的,受到公司的董事会、
管理层和其他人员影响的,为财务报告的
可靠性和满足外部使用的财务报表编制符
合公认会计准则提供合理保证的控制程序,
具体包括以下控制政策和程序:
6南开大学 程新生 等
(1)保证详细程度合理的会计记录,对资产
的交易和处置情况准确公允的反映;
(2)为以下事项提供合理的保证:公司对发
生的交易进行必要的记录,从而使财务报表的
编制满足会计准则的要求,公司所有的收支活
动经过公司管理层和董事的合理授权;
(3)为防止或及时发现可能对财务报表产生
重要影响的未经授权的取得、使用和处置资产
的行为提供合理保证
7南开大学 程新生 等
财务报告内部控制定义(续)
“财务报告的可靠性”是评价企业财
务报告内部控制是否良好根本依据。如果
管理层在财务报告中虚报企业的利润,违
背了可靠性的原则,就称为财务报告内部
控制失效。财务报告内部控制属于内部控
制的范畴,是内部控制的细化。例如,独
立董事就对外担保、关联交易、投资等业
务要求报告和披露,属于财务报告内部控
制范畴。
8南开大学 程新生 等
在相互制衡的公司治理结构下,股东
大会、董事会、监事会关注财务信息,以
此作为评价委托代理责任履行情况的重要
依据,并通过法律、准则等一系列措施来
保证财务报告质量,从而形成内在约束力。
一、财务报告内部控制环境
9南开大学 程新生 等
随着安然事件对美国证券市场带来的“多米诺骨
牌效应”,虚假的财务信息成为众矢之的,美国社会
各界强力呼吁政府出台能够保证财务报告信息质量的
政策、措施,严厉打击公司的造假行为。
中国证券市场也屡屡被财务报告舞弊事件困扰,
无论是20世纪90年代初的深圳原野案、2000年的郑百
文、猴王股份案,还是2001年的“银广厦”事件,种
种的案件都或多或少的与企业的财务报告相关。
10南开大学 程新生 等
(一)理论研究
委托代理理论:委托人和代理人之间的目标
函数是不一致的。委托人总是希望通过各种
方式来监督和激励代理人,使之尽其所能,
为委托人谋取最大利益。
由于“道德风险”(moral hazard)或“逆向选择
”(adverse selection)的存在,经理人员可能
通过机会主义的行为最大化自身而不是股东
的利益,股东设计了诸多激励和监督机制以
引导和制衡经理人员的机会主义行为。
二、财务报告内部控制理论与实践
11南开大学 程新生 等
所谓“逆向选择”应该定义
为信息不对称所造成市场资源配
置扭曲的现象。经常存在于二手
市场、保险市场。虽然“逆向选
择”的含义与信息不对称和机会
主义行为有关,却超出了这两者
所能够涵盖的范围之外,“逆向
选择”是制度安排不合理所造成
市场资源配置效率扭曲的现象,
而不是任何一个市场参与方的事
前选择。
12南开大学 程新生 等
信息供给不足的原因一是经理人员不愿意
披露信息,因为信息一旦披露将会变为利益相
关者的公共物品,投资者可以自由享用,经理
人员将失去拥有私人信息而可能得到的“租金
”。
委托人面临著多种代理风险:在签约时代理
人利用私人信息进行“逆向选择”;合同执行
过程中代理人拥有自然状态的私人信息所引起
的“隐藏信息”;与代理人事后行动的不可观
察性相关的“道德风险”。如果公司能够构建
有效的激励机制,则可以有助于解决因信息不
对称产生的代理问题。
13南开大学 程新生 等
(二)有关法律对财务报告内部控制要求
《会计法》:一些条款中规定了财务报告内
部控制要求 ,例如关于财务信息质量的责任
规定,要由本单位主要负责人承担。
《萨班斯—奥克斯法案》:第一次对财务报
告内部控制的有效性提出了明确的要求: 公
司首席执行官和财务官应当对所提交的年度
报告签署书面保证。
14南开大学 程新生 等
(三)公司治理准则
公司治理准则是对公司治理结构与治理行
为的规范,大多数公司治理准则涉及财务报告
内部控制。公司治理准则在指导公司治理和财
务报告编制方面发挥着来越重要的作用。
英格兰和威尔士特许会计师协会《内部监控
综合准则:董事会指南》(The Turnbull Report
,1999)要求,“ 董事会负责公司内部监控,
每年至少审查一次内部监控体系的有效性并向
股东报告。”
15南开大学 程新生 等
公司治理是指诸多利益相关者的关系,主要包括
股东、董事会、经理层的关系,这些利益关系决
定企业的发展方向和业绩。公司治理讨论的基本
问题,就是如何使企业的管理者在利用资本供给
者提供的资产发挥资产用途的同时,承担起对资
本供给者的责任,利用公司治理的结构和机制,
明确不同公司利益相关者的权力、责任和影响,
建立委托代理人之间激励兼容的制度安排,是提
高企业战略决策能力,为投资者创造价值管理大
前提
16南开大学 程新生 等
《中国公司治理准则》(2002)指出,董事
会是公司的最高决策机关,在工作事务中必须
履行相应的职能,确保对公司的战略性指导和
对管理人员的有效监督。 为了保证董事会的独
立性,董事会成员中应吸收适当数量的独立董
事,并明确独立董事在董事会中的地位和作用。
为了更加明确董事的具体责任,建议董事
会实行分工负责制,下设若干专业委员会,提
名、报酬、审计和战略规划委员会中的独立董
事应当占有一定的比例。其他有代表性的公司
治理准则或法律,均强调董事会对公司的指导
和对经营者的监督。
17南开大学 程新生 等
治理准则对董事会职责的界定
1992年英国《公司治理财务方
面的报告》(the Cadbury Report)
确定战略目标并领导实施;监督经营者并向股东报告;确定财务政策并
监督实施;监督财务报告过程;预防和调查欺诈或其他非法行为等。
1993年爱尔兰投资经理协会
《指南》
任免经营者;审批经营战略;监督、评估经营者绩效等。
1997年澳大利亚投资经理协会
《指南》
确定经营战略;任命、培训、监督经营者;确保内部控制和信息系统的
完整性;确定与经营绩效关联的报酬政策等。
1997年美国商业圆桌会议
《公司治理声明》
任免经营者,确定经营者报酬;审核批准经营战略、财务目标和预算;审
核评估内部控制、风险管理、财务报告程序的适当性;评估董事会结构、
治理原则,确保其运行等。
1998年英国《汉普尔报告》 有效的董事会控制和领导公司;确定公司经营战略,并确保其实施等。
2004年经合组织(OECD)
《公司治理原则》
任免、激励经营者;确定经营战略、预算、风险政策和绩效目标,并监督
实施;监管资本性支出和关联交易等;审核经营者和董事报酬;通过外部
审计、风险监控、财务控制保证财务报告的完整、可信;监督治理机制运
行;监督信息披露,保证独立审计诚信可靠等。
1999年法国《维也纳特报告》
(the Vienot Report)
监控经营者;确定经营战略;确保年度报告和重大交易的披露质量。
1999年《韩国公司治理最佳实
务准则》
设定、审批经营计划;任免、监督管理层;监督资本性支出;保证会计
信息真实性;监督风险管理和财务控制;监督管理实务的有效性等。
2002年中国《上市公司治理
准则》
按照股东大会决议设立战略、审计、提名、考核等专门委员会;审计委员
会职责是提议聘请或更换外部审计机构、监督内部审计、负责内部审计与
外部审计之间的沟通、审核公司财务信息及其披露、审查公司内控制度。
18南开大学 程新生 等
(四)财务报告内部控制实践
在以董事会为核心的控制体系中,可供选
择的监控途径有:
聘任或解聘经营者
直接领导内部审计
由董事会委派财务总监
设立专职财务董事
授权财务总监领导内部审计
建立审计委员会
聘请独立审计师等对经营者主导的财务组织
(Finance Organization,以财务负责人为首的
财务系统)实施监控等
19南开大学 程新生 等
1.董事会领导内部审计对财务组织监控
由董事直接领导企业内部审计,赋予审计部
门较大的权力,提高了审计的独立性,有利于审
计职能的发挥、改善监控效果。由董事会直接领
导内部审计可以对整个企业财务决策、会计行为
进行审计,在治理结构规范的企业,董事长与总
经理分设,内部审计由董事会领导或向董事会报
告工作是较为可行的模式。
20南开大学 程新生 等
2.董事会委派财务总监对财务组织监控
由董事会决定财务总监人选,委派的财务总
监对董事会负责。财务总监尽管作为一个独立监
控体系,但仍然是内部委派制下的监控体系。这
与股东委派的财务总监有所不同,股东委派财务
总监是由外部进入企业,独立性更强。
21南开大学 程新生 等
3.董事会设立专职财务董事对财务组织监
控
在董事会设立财务董事,以财务董事为主,组
织专门人员对经营者主导的财务组织实施监控,
利用绩效评价指标体系对经营者绩效进行考核与
评价,在较高层次上实施监督控制。
22南开大学 程新生 等
4.董事会授权财务总监领导内部审计对财务
组织监控
董事会可以授权财务总监领导企业内部审计,
以加强对财务组织的监督控制。财务总监领导的
内部审计必须与经营者主导的财务组织独立,这
是董事会实施监督控制的基本前提。
23南开大学 程新生 等
5.董事会所属并由独立董事组成的审计委员
会监控模式
审计委员会是董事会下设的监督机构,向董事会
负责并报告工作,代表董事会监督财务报告过程和
内部控制的有效性,保证财务报告的可靠性和企业
经营活动的合法性。
24南开大学 程新生 等
三、财务报告内部控制的特点
财务报告内部控制的责任主体—管理者
管理者是理性的经济人,高额报酬可能迫使其必须保
持公司的利润,但职业经理追求的还有荣誉、社会威信
与权力、竞争热情、创造欲望、安全、冒险等目标。在
经理人市场上经理人员报酬就是由其自身价值、以前工
作表现等决定的。因而经理人市场的形成能够激励、约
束经理人员,促使经理追求长期的成功,不愿贪图眼前
的最大利益,以免风险大而招致终身失败。但管理者作
为代理人相对委托人来讲,更了解公司内部实际的运作
和资金情况,也就更有机会进行“暗箱操作” 。
25南开大学 程新生 等
【美国世通公司案例】
2001年,世通高额负债的状况引起美国证券
监管机构的关注,为此所进行的调查导致首席执
行官埃伯斯辞职。世通公司前管理当局具有提供
虚假财务报告的动机,包括:首席执行官持有公
司大量股票,并以此作为个人贷款的质押;需要
保持高股价,从而维持以换股方式进行收购兼并
的吸引力;需要保持较高的投资和信用等级以发
行股票或举债来为其经营活动和资本支出筹措资
金 。
26南开大学 程新生 等
财务报告内部控制的内部屏障—董事会
管理者编制财务报告,董事会负责监督,是及
早发现财务报告问题的第一道屏障。无论是董事会
的结构,独立董事的规模,还是审计委员会的设立,
都与财务报告内部控制相关。学者们早期认为,董
事会应该包含若干名内部董事,因为他们是董事会
的重要信息来源。内部董事参与公司的日常管理,
更了解公司经营状况,能提高董事会的决策效率。
此外,内部董事可以减少外部董事与首席执行官
(CEO)之间的信息不对称,从而有效的监管和评
价CEO的工作。
法玛(Fama)指出,一个股东占多数的董事会并不
是最佳董事会结构,其解决的办法就是引入外部董
事
27南开大学 程新生 等
【乐山电力公司案例】
2004年1月,乐山电力公司两位独立董事程厚博和
刘文波,因对公司的担保行为、关联交易行为以
及负债情况产生质疑,聘请会计师事务所对上市
公司进行专项审计。独立董事聘请的深圳鹏城会
计师事务所从乐山电力管理局得到的资料与中介
机构取得的外部有关对外担保资料、关联方及其
交易资料不一致,因此深圳鹏城会计师事务所未
能对乐山电力2003年度及截至2003年12月31日累
计的对外担保情况、关联方及其交易事项的专项
内容给出整体表示意见。
28南开大学 程新生 等
但就其取得的资料而言,深圳鹏城会计师事务所
审计得出的已终审判决、已执行、正在执行的对
外担保金额达到了2770万元,这些担保均未经公
司董事会及股东大会的决议批准;目前已经形成
诉讼或有可能形成诉讼的对外担保金额达到了
8000万元,这些担保同样没有取得公司董事会或
股东大会决议批准;截止2003年12月31日,乐山
电力存在的其他对外担保累计金额据了解至少过
亿元,其中大部分未获董事会决议通过,并且未
对外公告;此外,由于深圳鹏城会计师事务所无
法实施进一步审计程序,只是无法发表意见的担
保事项其累计金额同样过亿元,其中部分仍未能
查公司有曾经披露的历史公告记录。
29南开大学 程新生 等
股东行为对财务报告内部控制的影响
当存在绝对控股股东的情况下,股权结构对
财务报告内部控制产生相反的效应。当控股股东担
任公司的管理职务时,经营权和管理权实质上是合
二为一的,不存在所有者和经营者之间的利益冲突。
当经营者不是控股股东本人时,控股股东就有足够
动力去监管代理人的行为。但控股股东与其他股东
的利益并不是都一致的,控股股东侵占小股东的问
题时有发生,例如控股股东向公司委派管理人员,
与管理层合谋损害中小股东的利益,还通过隧道挖
掘(Tunneling)的方式侵占其他股东的利益。当
存在利益侵占效应时,控股股东和公司管理层为了
掩饰其侵占行为会倾向于降低信息透明度。
30南开大学 程新生 等
美国等国家已经将由管理层聘请注册会
计师,改为由董事会所属的审计委员会执行该
项职能,保证财务报告审计的独立性。
在财务报告程序方面,审计人员是公众的
利益代表,依靠审计人员对投资者获取的信息
提供一定的保证,就像仓库保管员接受某一产
品后,对该产品加盖密封条一样。
财务报告内部控制的外部屏障—外部审计师
31南开大学 程新生 等
四、财务报告内部控制风险和防范
企业财务报告欺诈前,通常会表现出一些
异常现象,将其称为财务报告内部控制失效的
风险信号。美国COSO委员会1999年发布了
《欺诈性财务报告分析》,发现实施欺诈的公
司,在欺诈前的几个会计期间发生亏损,或者
正接近损益平衡点的位置,财务困境使得这些
公司有力进行欺诈性活动。
32南开大学 程新生 等
财务报告风险信号
关键信号 财务报告舞弊风险
年末或季末收入激增 收入经常在期末被操纵以达到收益目标,包括:未结清账户和
提前确认下期收入,虚假销售,平滑收益等
销售增长超过行业水
平
行业内其他企业销售下降,本企业销售处于增长状态,但不能
被合理证明
毛利率异常 没有记录全部费用、重复开出发票、虚假销售、产品质量下降
等
结账后销售退回增加 可能意味着产品或服务质量问题,虚假销售等
应收账款回收期增加 应收账款回收期显著增加或显著高于行业水平
存货周转期增加 存货周转期增加可能意味着产品积压、面临财务困境
资产负债率显著变化 财务压力是重要的舞弊风险信号
现金流量 如果销售收入和盈利能力表现好,但经营现金流量较低或为负
数
非财务业绩指标显著
变化
各个行业都有其关键信号,关键信号与财务结果显著不一致
33南开大学 程新生 等
为了指导管理当局和审计人员,美国会计监管
公共委员会(PCAOB,2003)对内部控制缺陷作出
说明,认为重大缺陷是指这种缺陷是指可影响公
司按GAAP可靠地建立,记录,处理,报告外部财
务数据的能力。可以由单个缺陷或多个缺陷结合
构成,这些缺陷不能防止或发现重大财务报告问
题,但可从控制环境,道德准则,关联方交易,
公司治理,审计委员会,内部审计,举报制度等
方面关注公司财务报告内部控制的执行效果,如
下表所示。
34南开大学 程新生 等
公司治理与财务报告内部控制
控制环境 如何激励管理层和员工?是否存在收益目标的压力;员工理解其个人对内部控制
的责任;评价领导能力的标准是什么;如何处理发生的错误?等
道德准则 建立道德准则并遵循;不存在违反准则的情况;公司资产被恰当地使用
关联方交
易
制定关联方交易政策,该政策是否有效?公司是否定期进行关联方交易?
向审计人员和董事会进行充分披露关联方交易情况;存在关联方交易的重要经济动
机是否能够证明关联方交易的存在?
公司治理 董事会保持独立性,董事会会议经常讨论潜在的问题,董事长与管理层关
系适当;管理层对下级未施加不正当影响,例如从不向关键人员明示或暗示账项调
整
审计委员
会
审计委员会保持独立,并具有财会知识,准确地理解内部控制;审计委员
会积极开展活动,跟踪内部和外部审计发现的问题,在没有管理层参与的情况下与
审计人员会面
内部审计 设立内部审计部门,内部审计章程与“最佳的实践”保持一致;内部审计
部门的预算由董事会或审计委员会审批;内部审计的范围涉及所有活动,如控制评
价、财务审计、经营审计、监督公司道德准则的遵循情况;内部审计的建议被采纳
和贯彻;内部审计人员能够胜任工作;能及时揭示出控制失败从而能采取纠正措施
举报制度 建立了举报制度,并与责任人保持独立性,有足够的权力的经费追究问题,
举报信息提供给管理层、审计委员会和内部审计部门
35南开大学 程新生 等
业务流程信息控制
财务报告内部控制主要针对财务信息
控制,业务流程信息控制主要针对业务
流程信息控制,业务流程信息对于支持
组织的决策与控制具有重要作用。除了
解决组织中经营决策、协调与控制、战
略绩效评价等的问题外,业务流程信息
也具有分析问题、考察复杂目标与开创
新产品的作用
36南开大学 程新生 等
一、业务信息控制
企业的营运规划、控制和决策需要多种多
样的信息,虽然大部分为财务信息,但是还有
一部分并非来自会计系统。
这些信息有的可以进入管理信息系统(如
商品信息、客户信息),有些信息无法进入管
理信息系统或进入成本高(如员工满意度信息)
。需要对业务信息控制,以保证流程的效率和
效果。
37南开大学 程新生 等
MP公司CRM系统构架
项目信息
提醒
上级
跟踪
总结
成功
失败
分析
对策
逐级
了解
严格
及时
完整
准确
合理
及时
结果审批申请 日志
添加
删除
修改
确定
客户
所有
相关
信息
按时
添补
查询
跟进
客户信息
录入 查询 日志
信息分析
图表分析数据分析
方便准确全面安全 直观灵活具体实用
图5-1 客户关系管理信息
38南开大学 程新生 等
案例
凌志(Lexus)是丰田汽车公司的顶级豪华
轿车,车主应该得到最好的服务。公司依赖顾
客信息系统提供服务,通过系统数据识别轮胎
有问题的车辆,一旦发现问题,公司会邮寄
400美元或更高金额的支票给车主去更换轮胎,
但这时就出问题,有些支票寄给了非Lexus车
的车主;有一些寄给了曾拥有,但现在已经更
换汽车的车主,这些数据都来源于丰田公司的
顾客信息系统,这个信息系统此时已经失效了。
企业不仅要建立信息系统,同时还要进行事后
控制。
39南开大学 程新生 等
二、管理信息系统控制
(一)管理信息系统的演变过程
管理信息系统经过的演变过程:
数据处理系统(1950-1960年),包括电子数据处理
(EDP)、业务处理(TP)和记录保存;
管理报告系统(1960-1970年),包括管理信息系统、
管理报告系统和信息管理系统;
决策支持系统(1970-1980年),包括决策支持系统
(DSS)和管理支持系统(MSS);
战略和终端用户支持系统(1980-至今),包括主管
信息系统(EIS)、战略信息系统(SIS)、供应链管理
(SCM)、客户关系管理(CRM)和ERP系统(ERP)。
40南开大学 程新生 等
(二)ERP信息系统
信息系统经历了从MRP、MRPⅡ到ERP系统,ERP系统已
被公认为现代管理信息系统的主流。
ERP的核心管理思想就是实现对整个供应链的有效管理,
主要体现在以下方面:对整个供应链资源进行管理,体
现精益生产、同步工程和敏捷制造的思想,体现事前计
划和事中控制的思想。
ERP系统集成了质量管理、全员质量管理(TQM)、
准时制生产(JIT)、约束理论、精益生产、敏捷制造、
实验室管理、EDI(电子数据交换)、C/S计算机技术、
项目管理,同时也能够适应混合生产模式,在线实时分
析监控销售、生产、采购、财务等作业,及时提供决策
信息。
41南开大学 程新生 等
(三)信息管理制度
1. 获得正确的信息
2. 在正确的时间获取信息
3. 以正确的形式获取信息
4. 信息反馈制度
沃尔玛公司将每日销售的信息传递给牛仔服制造商—阮
格尔公司。沃尔玛公司开发的信息模型为某些商店提供顾
客所需要牛仔服的数量、尺寸和颜色信息。“循环交流”的
结果是由于能够及时反馈阮格尔牛仔服的销售情况,从而
使沃尔玛公司的库存最小,库存成本降低,同时能为顾客
提供其真正需要的产品。
42南开大学 程新生 等
三、信息系统一般控制和应用控制
(一)信息系统中的一般控制
一般控制涉及信息系统设计、安全和使用
的控制,以及对整个企业信息基础建设中的数
据文件总体的安全的控制,包括软件控制、硬
件控制、计算机操作控制、数据安全控制、系
统实施的流程控制和信息系统管理控制
(administrative control)。
43南开大学 程新生 等
(二)信息系统中的应用控制
应用控制是针对具体的计算机化程序,例
如薪资、应收账款和订单系统的特别使用的控
制。
应用控制应根据每个信息系统的特点,分别设
计。应用控制包含自动控制和人工的流程控制,
以确保只有经过授权的数据才能完全地、准确
误地通过应用程序来处理。
44南开大学 程新生 等
案例
海空物流公司通过GPS(全球卫星系统),
实现了对所有运输车辆24小时监控,所有仓库
安装了CCTV监视系统,对出入仓库的人员实
行指纹身份识别方式,对仓库中进出和存放的
货物实行条形码管理。通过全程动态监控对供
应链上每个成员的信息、行为和服务结果检查,
鉴别出整个供应链上的冗余行为和非增值行为。
为保证信息系统的安全,对系统的制度严格执
行,每月都要进行系统准入核对(system
access reconciliation)。
45南开大学 程新生 等
帕玛拉特是意大利第八大企业集团,以生产和
销售牛奶、果汁和奶制品等为主,是意乳品业的
巨头。但因无力填补145亿欧元的财务黑洞,
2003年12月27日,意大利帕尔马地方破产法院批
准了该公司提出的破产保护申请。帕玛拉特是典
型的家族型企业,公司创始人卡利斯托.坦齐
(Calisto Tanzi)的家族公司拥有帕玛拉特
51%的股份。帕玛拉特的13人董事会中,没有任
何人独立于坦齐家族。集中的权力减弱了财务报
告内部控制,其内部审计人员波契向检察官承认
伪造了对美洲银行近40亿美元虚假账目的确认函。
财务报告内部控制案例
46南开大学 程新生 等
由于缺乏健全的财务制度,帕玛拉特没有
做到财务统一管理。据《金融时报》报道,集
团拥有170家分支机构,很多分公司以及开曼
群岛的子公司之间都有现金转账。
多年的系统性造假行为导致帕玛拉特账面
上有几十亿欧元不知所踪。如美洲银行在2003
年12月19日称,帕玛拉特集团在开曼群岛的分
支机构Bonlat金融公司在该银行账户上的款项
并不存在,而帕玛拉特提供的一份虚假证明文
件称该公司2002年12月31日有一笔亿欧元
的流动资金。
47南开大学 程新生 等
财务制度的欠缺导致帕玛拉特集团高达100亿欧
元的债务总额,其中1/3为意大利的银行拥有,其余则
由债券持有人和国外银行持有;帕玛拉特不但没有利
用债务使公司获得财务杠杆收益,反而因过高的债务
总额被迫宣布破产。
普华永道会计师事务所的审计师在结束清查帕玛
拉特账目的第一阶段工作后,分析得出结论,公司实
际负债额远远大于帕玛拉特管理层此前上报的金额。
普华永道对帕玛拉特的真实财务 状况出具的报告称,
截至2003年9月30日,帕玛拉特净负债额为143亿欧元,
而不是该公司先前所称的18亿欧元。
在截至2003年9月30日的9个月,帕玛拉特收入为
40亿欧元,而不是其公布的54亿欧元。利息、税项、
折旧和摊销前的利润为亿欧元,而不是先前所公
布的亿欧元,公司的流动资产可以“忽略不计”。
48南开大学 程新生 等
外币交易信息控制案例
-联合爱尔兰银行(AIB)的
外币交易欺诈
2002年2月5日,第一银行(Allfirst)揭露了亿美元
外币交易亏损。
第一银行最先发现该行外汇交易员鲁斯纳克(John
Rusnak)经手的外币交易有问题是在2002年1月初。当时,
该银行正在对资产部进行例行管理审核。恰在此时,鲁斯
纳克要求银行提供巨额现金支持他的交易战略,银行高级
经理人员认为他要求的钱款数额巨大,产生怀疑并开始调
查。在一个多月的调查期间,鲁斯纳克一直给予合作,直
到调查人员发现大量伪造的交易文件后,这起亿美元资
产不翼而飞的欺诈案方才被揭露出来
49南开大学 程新生 等
早在1998年,AIB就安装了从英国Misys进口的
软件,它能控制货币交易的前后台(在母公司
AIB上安装后端软件,而其他子公司安装前台
软件),以电子化记录前端柜台的货币交易,
后端软件追踪所有交易记录。该软件能找出假
交易、超过限额交易及未核准交易。假如有任
何犯规者,它都会自动地发警报给经理人员。
一位前AIB外货交易员在调查时说,“AIB纽约
办公室对其员工的控制非常之严。假如你超过
限额一毛钱,AIB的信用专员都会知道,而即
使是在限额内的交易,只要有不寻常之处,我
都会接到电话。” AIB还使用了Crossmar匹配
服务系统,该系统能在两分钟以内自动核对
50南开大学 程新生 等
AIB虽然安装了后端软件,但在第一银行没有安装
前台软件,因此无法进行直接处理,前端的交易信
息是用人工方式送到后端的。而且第一银行从未用
过Crossmar系统验证交易,而是依赖电话来确认的。
但鲁斯纳克避开了控制系统的防护,他伪装交易验
证,即让这些交易看起来像真的,尽管这些交易早
该被发现。后端办公室依赖于鲁斯纳克每次交易时
提供的人工信息,鲁斯纳克在不使用前台软件的情
况下,通过其他软件输入交易,这样由于软件不匹
配,后端人员无法发现其中的问题;经常给伪造的
期权交易一天的到期日而不被人发觉,因为第一银
行的报表不会列出一天之内到期的期权交易数据。
同时,他还私下说服后端办公室不要确认期权交易,
因为并未有净现金的转移
51南开大学 程新生 等
AIB指定一外部高级专家来主持对损失原因的
调查,包括违反内部控制及可能的内外勾结。
调查报告将陈述事实,解释政策及控制效力,
提出改进意见
鲁斯纳克伪造的期权与东京、新加坡的主要国
际性金融分支机构有关,按规定要求员工在晚
上进行电话确认,他说服员工不必费事进行确
认,还经常在当天结账时将当日所有的单笔交
易归整成一笔交易,这样可以使他的交易看起
来似乎是在规避风险。综上分析,虽然AIB有
完善的软件系统,但软件系统不等于信息系统,
同时即使有完善的信息系统,也需要很好的控
制。
52南开大学 程新生 等
本章小结
信息控制包括财务报告内部控制和业务流程信
息控制,企业财务报告内部控制表现为由高层管
理者制定、实施,受到董事会或类似机构的监督,
为确保企业财务报告如实地反映了企业的财务与
经营状况、符合会计准则的编报要求的措施与程
序。业务流程信息控制是用人工和自动化方法保
障信息系统的安全,同时确保实施过程符合管理
标准,为业务流程的实施、经营管理提供所需的
信息。
53南开大学 程新生 等