输入控制输入控制是为保证输入系统的数据正确、完整和可靠而设计的控制。具体包括:原始单据审核控制输入数据正确性控制数据输
入完整性控制数据逻辑控制错误纠正控制处理控制处理控制是为了保证数据处理的正确性和完整性而实施的控制,这种控制
是通过预先编好的计算机程序实现的。具体包括:处理权限控制参照检查控制数据合理性检验控制业务时序控制审计踪迹控制备份与恢
复控制输出控制输出控制的主要目的是保证输出信息的正确性,并确保只将其提供给经授权的使用者。具体包括:输出
数据的正确性控制输出数据审核控制输出权限控制由控制组进行控制输出资料的分发控制差错更正控制第四节内部控制的深层思考
一、人的因素第一人是所有内部控制中最为重要的因素,首先,人无完人,他们会疏忽、会犯错误;人有私心,为谋取个人利益
,可能会犯罪。如果人都是完美的,那么内部控制就完全没有必要,只能是资源的浪费。内部控制归根结底是对人的控制,它的最基本的功能就是影
响商业机构内人的行为。其次,内部控制措施靠人来制定,靠人来实施。内部控制过程许多情况下是一些人对另一些人工作的检查过程,因此,制定
和实施控制措施的人必须具有较高的业务素质,才能使控制措施科学有效、合规合算、好理解易操作。二、控制的适度性一个信息系统有多个目
标,首要的目标是运行效率,信息的可靠性和安全性也是重要目标,这些目标之间往往会发生冲突,信息系统的运行效率常会受到对信息可靠性顾虑
的限制。控制其实是一种重复劳动,它们影响了运行效率,但增加了输出结果的可靠性。过度考虑可靠性和安全性可能会降低效率,但忽略可靠性与
安全性只强调效率也会牺牲可靠性与安全性,两者必须权衡与兼顾。三、内部控制过程分析搞好内部控制,不仅要关注内部控
制系统是如何设计的,还要充分了解这个控制系统是如何运作的。实际的运行过程可能与预期的过程不一致。比如文档记录可能已经过期了,组织可
能已经启用了新的程序,还可能为了适应一些最初设计时没有预料到的环境变化对程序作了非正式的修改。这就需要定期调查了解收集信息,以检查
责任或权限是否转移,批准与核实是否得到执行。有关内部控制责任的文档必须予以检查,以评价系统运行的可靠性。设计一个内部控制过程只是问
题的一个方面,内部控制责任真正按照规定运行才是问题的关键。严格的机房守则上机日志账号审批制度权限控制信息分级控制防病毒
控制网络安全控制备份制度人力资源政策和实施公司的正式职员应该是称职的,并且进行过大量有关职责方面的培训。大量实
践和分析表明,职员在任何一个控制系统中都是最为关键的因素。公司为每一个工作职位建立的用人条款都应该反映与这个职位相关的责任和具体要
求,如:经验、才能品质、奉献精神和领导能力。在用人政策的实施中常采用以下控制措施:忠诚保险雇员忠诚保险,又称职业责
任保险,是指承保各种专业技术人员由于工作上的疏忽或过失所造成合同一方或他人的人身伤害或财产损失的经济赔偿责任的保险。为职
员的忠诚买保险,以便得到可靠的雇员。职责分配明确每一个员工职务和责任,界定职责范围。监督被授权的人对员工直接督
察,确保职责按分配执行。轮流工作和强制休假令员工在某段时间内执行其他员工的任务,以检查和校验其他人的业务。双重控制两
个执行同一任务的员工必须经常相互检查同伴的工作,建立责任共同体。2、风险评估风险评估是提高内部控制效率和效果的关
键。任何组织都会面临来自其内部和外部的风险,各个组织都必须进行风险评估,以识别、分析、管理风险。一般而言,风险会随以下因素而产生或
变化:经营环境变化、改造和更换新的信息系统、新的员工、新技术应用等。不健全或无效的内部控制措施就是风险存在的信号。3、控制活动
控制活动是指管理者为了确保管理指令能够得以有效实施而制定并实行的各种政策和步骤。旨在为组织中每个特定的控制目标的实现提
供合理的保证,这些特定的控制目标包括:必须有任务分割以防止员工在其正常职责范围内作弊并隐瞒。(职责分离)设计和使用适当的文档和
记录以保证交易和事件的适当记录。(留迹)只有得到管理层的授权才能接近资产。(物理隔离)对资产和工作情况的相关责任进行独立的检查
。对数据处理进行控制以保证交易的合理授权、业务数据处理的准确性与完整性。4、信息与沟通围绕在控制活动周围的是
信息与沟通系统。该系统使企业内部的员工能够取得他们在执行、管理和控制企业经营过程中所需要的信息,并交换这些信息,使企业内部的每一个
员工都能够履行其职责。有效沟通的含义包括:必须了解自己在内部控制制度中扮演的角色,以及每个人的活动如何影响他人的工作;必须具有相上
沟通重要信息的渠道和方法;还应向顾客、供应商、政府主管机关和股东等进行有效沟通。健全的信息系统必须以标准化的文件、报表、政策手册、
备忘录等形式,有效地传输或沟通各种信息。5、监督监督是指长期评价内部控制质量、必要时还要采取必要行动的一个不间
断的过程。监督是对内部控制的整体框架及其运行情况的跟踪、监测和调节,以自始自终确保其有效性。监督可以通过日常的监控
活动来完成,也可通过执行独立监督(内部审计和外部审计)或二者结合起来实现。如内部审计的目标就是通过向管理层提供对以下活动或系统的分
析与评估的结果,来为管理层服务:组织的信息系统组织的内部控制结构对经营政策、程序和计划的遵守程度公司员工的业绩质量
内部控制的三个目标之间具有直接联系,他们代表了企业努力的目标;而五项要素代表了实现这些目标的所需元素。所有五项要素都
与每一类目标相联系。为实现每一类目标——如经营的效率和效果——需要五项要素共同发挥作用,以说明经营的内部控制是有效的。这
五项要素既相互独立又相互联系,形成一个有机统一体,对不断变化的环境自动作出反应。(一)业务控制与信息系统控制的分离
信息技术的应用对内部控制五要素的影响程度是不同的。其中,由于控制活动是实现控制目标的规章制度、岗位设置和流程定义等具体措施,而且
依赖于企业的业务流程,所以业务流程的自动化必然对控制活动产生的影响最大。信息技术环境下的控制活动分离出两个分支:自动化业务控制和信
息系统控制。三、信息技术环境下内部控制的变化1.自动化业务控制自动化业务控制就是以信息技术实现的传统控制活
动,如机上授权,机上审批等。他的控制目标与传统控制活动的控制目标一致,都是为了达到营运的效率效果、财务报告的可靠性和相关法令的遵循
性等目标。自动化业务控制的控制对象与传统业务控制的控制对象是一致的,都是企业的生产经营过程。不过,自动化业务控制的存在形式和控制手
段发生了很大变化。它以计算机程序的形式嵌入企业的信息系统中,对业务的控制由计算机自动执行。2.信息系统控制信息
系统控制是为了保证信息系统效率、安全性和完整一致性而采取的控制措施。信息系统控制的控制目标服从于业务控制目标,包括以下三点:效率
信息系统的全部资源应该被充分开发利用。安全性信息系统的软、硬件和数据资源应得到最高水平的保护,敏感部位应防止
未经授权的人员接触。完整一致性信息系统的完整性一致性指信息系统的处理逻辑应该符合企业的商业规则,所输出的信息精确而有效
。信息技术环境下控制活动的结构:图9-5(二)控制活动的变化在信息化程度较高的企业中,传统的手工
业务控制活动完全由自动化业务控制活动所取代。自动化业务控制与信息系统控制其控制活动有许多不同的特点,具体变化如下:交易授权
交易授权是将交易的执行限定给经过选择的人。信息技术环境下的交易授权有以下几点变化:(1)交易授权自动化。(2)授权
过程不明显。2.职责分离职责分离通过将交易授权、交易记录和资产监管等职责分配给不同的人得以
实现。即:交易(业务)活动要得到授权;活动情况(结果)由另外的人记载(记账);负责交易的人不能监管资产;监管资产的人不能单独记录(
记账)资产增减。在信息技术环境下,能用计算机进行自动处理的业务流程中的职责没有必要进行划分。因为计算机没有
私心,也不会倦怠,在其运行过程中不会像人那样会犯错误或故意作弊,原来手工环境下本不相容的职责,现在由一个程序模块来执行也不会出问题
。3.监管监管是指管理者对员工的监视和管理。监管是针对职责分离不充分的一个补救措施。充分的职责分离需要企业
有大量的员工,这对中小型企业和一些缺少人手的部门来说有一定困难,所以不充分的职责分离在所难免。为了避免不充分的职责分离可能带来的损
失,企业采用监管作为补救的措施。在信息技术环境下,自动业务流程中的职责分离大部分被计算机程序所取代,不存在职责分离是否充分的问题,
所以没必要针对自动业务流程进行监管。但是,信息系统的开发、维护和处理操作等活动仍然存在着职责分离,而且管理这些活动中的员工有一些新
的难点,所以对信息系统的监管十分重要,传统的监管手段也发生了一定的变化。4.业务记录业务记录是指企业为了反应
和控制各项生产经营业务以文字形式对业务活动的发生、进展和结束等的全过程进行记载,主要包括业务活动的授权记录、接受记录和会计记录等。
这些记录反映了经济业务的实质,并为内部控制和审计提供了交易轨迹。在信息技术环境下,业务记录的载体由纸质变成了磁质。同时
,纸质的交易轨迹不复存在,取而代之的是数据库记录和操作日志等磁记录。信息技术在改变交易轨迹形式的同时也对交易轨迹的法律效力产生了影
响。员工在纸质凭证上的签字可以证明确实是他对交易进行了授权或确认,但在磁质交易记录上的操作员字段信息的法律效力却受信息系统的完整性
、正确性和安全性的影响。5.接触控制接触控制是保证只有经过授权的人才能接触企业资产的控制行为,限制非授
权者接近资产,常用方法如下:现金登记簿和保险柜锁、保险库和禁区人力保卫监视器报警系统当然,上述措施要配套:
比如锁要有钥匙,监视器要有人监视才行。6.独立稽核独立稽核是指验证另一个人或另一个部门执行的工作。通过独立稽
核,管理层可以评估员工的业绩、信息系统完整性和交易记录的正确性。独立稽核是一种事后措施,不同于监管。在手工环境下独立稽核是非常必要
的,因为员工处理业务时可能会失误,而失误可能没有被监管等措施所发现,此时独立稽核便成为最后的防范措施。在信息技术环境中,正常情况下
计算机会始终如一地根据程序运行,如果程序精确而完整,那就没有必要对程序运行的结果进行日常性的检查,这也正是信息技术的应用会降低企业
运行成本的一个重要方面。但是这并不意味着企业没有必要进行独立稽核。在信息系统维护或业务发生变化时,独立稽核仍然是确保计算机系统运行
正确性的重要控制措施。由于上述种种变化,企业在制定内部控制制度设计内部控制措施时,应该对五个要素特别是控制活
动要素充分考虑信息技术应用带来的影响。因为原来合理的、有效的控制措施,现在可能变得没有意义;原来不存在问题的业务环节,现在由于处理
方式的改变可能风险陡增。这就需要认真研究和识别控制对象与控制活动的变化,设计相应的有针对性的控制措施。第三节信息技术环境下的
交易处理控制设计交易处理控制的目的是确保一个组织的内部控制的元素被用于实施某些应用系统,这些应用系统包含于组织的每
个交易循环中。交易处理控制由一般控制和应用控制组成。一般控制影响全部的交易处理;应用控制则被用于某些具体方面。一、一般控制
一般控制也即整体控制。实施一般控制的目的是为了确保信息系统的开发、实施、运行能在有序地、被控制的状态下运行。一般控制作用于所有的
应用系统,成为围绕应用系统的保护层。见图3-1。高层管理控制应用控制信息系统的管理控制系统开发与维护控制数据资源
管理控制质量管理控制安全管理控制信息系统外包管理控制运行管理控制图9-6信息系统一般控制框架高层管理控制
随着企业信息化不断深入,信息系统已经成为企业提供有竞争力的产品和服务的一项基础设施。因此,为保证信息系统的有效运行,必须全
力做好信息系统的管理控制工作。CIO应通过下列手段对信息系统进行管理控制:规划规划工作建立一个组织的信息系统的目标。组织筹
集、分配实现目标所需的人、财、物资源。控制对信息系统实施总体控制:确定系统所需费用;分析系统可创造价值
;控制系统人员的业务活动。系统开发与维护控制系统开发与维护控制是对新系统的分析、设计
、实施以及现有系统的改进与维护实施的控制。具体包括三个方面:系统开发控制如有可能,内部审计人员应参与系统开发,除对开发
过程进行监督,更重要的是促使技术人员完善系统中应当嵌入的内部控制措施和审计功能。系统维护控制系统维护往往会“牵一发而动
全身”,程序、文件、代码的任何修改都是非同小可的事情。所以必须严格控制,一切维护活动,都必须得到授权与批准。系统档案控制
系统档案是系统开发留下的痕迹,是系统维护的指南,是开发人员与用户交流的工具。必须妥善保管并制定措施确保文档的一致性或分版本存档。
数据资源管理控制数据库中的数据是企业的重要资源,数据库的正确使用及数据的完整性、安全性是整个信息系统运行和为企业提
供决策的重要环节。因此对其应实施下列控制:访问控制首先,通过密码和身份鉴别对访问数据库的人进行限制,其次,通过权限设置对
数据库数据的访问范围进行限制。建立数据备份和恢复制度软、硬件故障、操作失误、人为攻击都会影响数据库中数据的正确性甚至全部
丢失。因此,必须设定和实施适当的后援和恢复策略,一旦发生故障,可在最短时间内恢复数据库的正常状态。质量管理控制为了
确保信息系统达到特定的质量目标,信息系统的开发、实施和维护应遵守一系列的质量标准。因此,国外的一些组织中出现了信息系统质量保证角色
,其职能包括:制定信息系统的质量目标;制定、发布和维护信息系统标准;监控质量标准的执行情况;识别应当改进的方面;向管理者定期报告各
项标准的执行情况。安全管理控制安全管理控制的目的是为了确保信息系统的硬件、软件、数据资源受到妥善保护,不因自然
和人为因素而遭到破坏,使信息系统能够持续正常地运行。安全管理控制包括:实体安全控制软件安全控制数据安全控制系统入侵防范控制
通信安全控制病毒防范控制信息系统外包管理控制由于信息系统更新换代的周期短,信息系统工作人员的流动性高,人工费用与设备
维修费用十分昂贵,因此,近年来在先进的发达国家出现了利用外包信息系统资源的方法,简称“外包”。外包指组织只专注于自己的特定业务,而
将相关的信息系统业务承包给外部的信息服务机构。通过外包,企业可以提高对信息技术、信息人才的利用效率,显著降低信息系统的运营成本,使
企业可以将自己的力量集中于其核心竞争优势方面,更加集中于实现企业的战略目标。续:外包必须有特定的人员来负
责监督控制,主要有:不断评价外包商的财务能力;监督外包合同条款的执行;通过要求外包供应商定期提供一个第三方的审计报告或由客户的内部
审计人员和外部审计人员定期审计其控制,对外包商控制的可靠性进行监督,确保外包商提供安全可靠的信息系统资源;建立外包灾难恢复控制,并
定期评价这些控制,如果外包商发生灾难事项,客户也应设计自己的在难恢复程序。运行管理控制运行管理控制是针对信息系统中硬
件和软件设施的日常运行而实施的控制。主要包括:访问计算中心的控制计算机操作控制文件服务器控制硬件设备维护控制文档资料与存
储媒体的控制技术支持活动的控制监控硬软件的性能思考题可以通过那些访问控制措施保护信息系统数据的完整性、安全性和保密性?二
、应用控制应用控制是具体控制或微观控制,它与具体的应用系统有关,是为了确保数据处理完整正确而实施的控制。应用控制可
以由人工实施控制,也可以由计算机程序实施自动化控制。我们将应用控制分为输入控制、处理控制和输出控制,三者之间的关系如图5-8所示
。使用者显示输出打印输出交易原始凭证转换为机器可读媒体编辑程序数据处理磁盘输出输入终端操作员使用
者使用者输入控制处理控制输出控制图9-7输入、处理和输出控制示意图第8章会计信息系统的内部控制第一节现代
企业面临的风险与内部控制的重要性第二节信息系统内部控制概念及其发展第三节信息技术环境下的交易处理控制第四节内部控制的深
层思考任何企业在其经营活动中都会面临各种各样的风险,企业的发展过程就是不断与各种风险打交道并降低和避免各种风
险的过程。而信息技术的广泛应用,使企业的生产、经营与管理模式产生了巨大的变化,一方面信息技术应用为企业增强了竞争力的同时带来了新的
风险,另一方面信息技术也能为控制风险提供新的手段。作为企业管理重要组成部分的内部控制必须进行改革,以适应新的情况,本章就来讨论这些
问题。第一节现代企业面临的风险与内部控制的重要性控制是针对风险而设立的,风险是导
致一个组织或机构发生损失的可能性,而控制则是降低或减少风险的活动。风险损失的大小是该风险事件发生的概率与该事件可能造成的损失的乘积
。风险不仅仅是由于缺少控制而产生的,它是任何组织的经营活动中固有的,其原因多种多样。控制可以减少风险,但不能消除其起因。一
、企业在运营过程中面临的传统风险过高的成本;不足的收入;资产的流失;会计的失误;经营的中断;违规的处罚;竞争的弱势;
舞弊与盗用;白领犯罪;法人犯罪。见图9-1不足的收入过高的成本资产流失经营的中断舞弊与窃取会计的失误竞
争的弱势违规被处罚常见的风险图9-1企业面临的传统风险常见的传统风险法人犯罪白领犯罪白领犯罪是
指管理层犯罪,这类犯罪有别于其他非法活动,它发生在犯罪人的工作中,当管理人员通过某些欺骗手段将资产转移用途或隐瞒时,白领犯罪就发生
了。如会计作假账就是白领犯罪行为。法人犯罪。是指表面上看只是对企业或组织有利,不是对犯罪者个人有利的白领犯罪,而
实际上犯罪者个人是间接受益的。法人犯罪给组织带来的风险可能更大。二、信息化后企业面临的新风险计算机系统消除了手工的大
部分交易处理痕迹计算机系统中交易的授权和执行与手工系统有很大不同重新安排职责分离对信息系统内控的依赖性,增加了差错多次发生
的可能性更严峻的风险①数据集中存储和管理,一但出现硬件故障,比如主机系统损坏,可能导致数据丢失甚至造
成毁灭性的灾难。②业务数据和财务数据集成以后,内部管理上权限控制是重新分配的,新的控制措施跟不上,就有可能造成控制的漏洞。③在
信息技术环境下,对技术人员尤其是系统管理人员的控制问题变得异常突出。这些人员在极端情况下,可能会造成机器毁坏或整个系统瘫痪。④信
息在互联网上传输,产生了易泄露的风险,还有各级权限密码保存、改动不当甚或丢失都可能造成重大损失。信息技术是
双刃剑,有正面的价值,也有负面的影响。我们的任务就是千方百计发挥和利用信息技术的正面效用而减少或避免其负面影响,这就为内部控制提
出了新的挑战,我们必须认识这一点。好在信息技术在内部控制工作中也可以大有作为,甚至可以帮助完成人工不可能实现的控制任务,这完全取决
于我们的研究与探索。企业信息化完全改变了原来业务处理的模式、秩序、稳定性和安全性,需要我们建立一个全新的信息技术环境下的以信息技
术为工具的内部控制体系,也就是要建立一个基于信息技术的具有稳定性、安全性的新的业务处理模式。第二节信息系统内部控制概念及其发
展控制:是企业实现其经营目标的重要手段,她可以保护企业资产的完整性,保证会计记录和信息的真实可靠,检查企业经营政策和规章制度的制
定、落实,发现实际工作与既定目标的差距,调整企业的行为。控制分为:内部控制和外部控制外部控制:通过企业所在地区和国家的法律、法
规及规章制度,与历史文化和社会意思形态诸因素相结合,影响着企业经营目标的确定,约束企业的经营行为。内部控制:由企业自己建立的,嵌
入企业经营各环节的一个具有自我组织、自我调节功能的体系。它有多个子系统组成,具有自己的目标,并不断与企业目标保持一致。一、内部
控制概述(一)内部控制的概念发展:内部牵制、内部控制制度、内部控制结构、内部控制整合框架美国COSO委员会在《内部控制——
整体框架》中将内部控制定义为:内部控制是由企业董事会、经理层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性
等目标的达成而提供合理保证的过程(二)内部控制的目标管理当局设计和实施内部控制:1.确保资源的有效使用,保证经营的效果与效率
2.确保财务报告的真实与可靠性3.保证经营活动的合法与合规。(三)内部控制分类1.按控制的性质和实施的目的(1)内部会计
控制(2)外部管理控制2.按风险防范性能分类(1)预防性控制。即着重于事先防止不利于事项的发生,属于被动性控制。如制定员
工岗位职责手册。(2)差错性控制。即着重于及时发现不利事项的发生,属于主动性控制。如验证键入磁盘的交易资料。(3)更正性控制。
即通过反馈信息纠正不利事项所产生的影响。如库存不足提醒补充。3.按控制的实施环境分类一般控制和应用控制会计信息系统内部控
制一般控制应用控制组织控制系统开发与维护控制计算机操作控制硬件与软件资源控制系统安全控制输入控制处理控制输出控
制图9-2内部控制分类(四)内部控制的方式1.授权控制方式2.顺序控制方式3.总计控制方式4.档案系统控制方式5.
进程控制方式6.限制接近控制方式7.平行运作控制方式8.职责分工控制方式(五)内部控制的局限性1.内部控制制度的制定和实
施要考虑成本效益原则2.因经营环境、业务性质的改变使内部控制消弱或失效。3.设计人原因引起的局限性4.执行人引起的局限性二
、内部控制整体框架内部控制整体框架20世纪30年代以前,内部牵制20世纪30-80年代,内部管理控制制度和内部会计控制制度
20世纪80-90年代,内部控制结构化,控制环境、会计系统、控制程序20世90-年代,引入要素,研究内部控制从五要素研究:控
制环境风险评估控制活动信息与沟通监督内部控制图9-2内部控制五要素1、控制环境一个组织的控制
环境是控制系统中其他要素的基础。控制环境是各种因素共同作用的结果,这些因素可以增强或弱化内控措施的实施效果。因此,控制环境决定着
组织的整体风格,左右着员工的控制意识,直接影响控制效果。控制环境包括企业文化;包括企业的经营重点和经营目标;包括管理层的管理哲学和
经营风格;包括企业实施的权责分配方法和执行的人事政策;还包括员工的职业道德、敬业精神和个人才能等。构成控制环境的主要因素:
道德准则企业文化敬业精神管理哲学组织结构董事会及下属委员会的职能权责分配方式人力资源政策与实施道德准则潜
在的道德违规对企业意味着重大的损失风险。这些风险可能是缴纳巨额罚金,也可能是企业行政官员被起诉。比如,美国一家利用氰化物从胶卷中提
取银的公司,曾导致一名员工死亡。该公司被指控蓄意营造危险工作环境,三位行政官员被判谋杀罪定刑25年监禁。企业文化
每个企业都有自己的企业文化,企业文化与全体员工的一般信念、追求、价值取向、行为和态度有关。企业文化可能促进也可能阻碍企业的道德行
为,进而影响内控的效果。如果企业文化存在严重问题,内控效果就会大打折扣,一个健康的企业文化会使内控事半功倍。塑造一
种具有高尚道德行为的企业文化十分困难,它需要员工有较高的受教育程度,有较高的觉悟和组织纪律性;需要管理者具有莫大的人文关怀和公平、
公正而又艺术的执政风格。敬业精神任何内部控制过程要想发挥作用,员工的能力都是必不可少的。员工的品质、能力和敬业
精神保证了控制过程的执行。若没有具有足够能力和起码觉悟的员工,任何控制过程都不能发挥作用。管理哲学一个组织中的有
效控制基于并且依赖于组织的管理风格。如果管理层相信控制是重要的,那么他就应该实行监督使得控制措施得到有效执行。如果管理层只把控制的
重要性停留在口头上,久而久之其下属会觉察到管理层的真实态度—说说而已,从而使控制的目标得不到实现。ffff组织结构一个组织
的结构是由这个组织中的授权和责任类型决定的。如下图。总裁生产副总裁内部审计长主计长销售副总裁财务主管管理副总裁
生产控制采购装运收获存储生产成品存货控制预算纳税筹划会计经理计时开单应收账款应付帐款成本会计薪酬费用分类账总分类账促销顾客服务销售订单人事效益经营办公室收发室信贷出纳保险图9-3组织结构图图中开单人对会计经理负责,会计经理对会计主管负责,会计主管则对总裁负责。一个企业需要建立科学而有效的组织结构,使得权责分明,沟通渠道规范。如图中所示,开账单的人不应该把行动的结果向生产副总裁报告,否则就是非正常的组织结构。董事会及委员会的职能一个组织的董事会是连接组织的所有者—股东和组织的经营管理层的纽带。股东们通过董事会及其下设的委员会对管理层进行控制。董事会通常将专有的职能授给各种各样的委员会,其中最为重要的就是审计委员会。审计委员会应独立于组织的管理层,主要由董事会以外的人员组成,其职能是对组织的财务报告负责,包括遵守现行的法律法规。审计委员会任命执业会计师,与他们讨论审计的范围和性质,并评价该组织的编制的财务报告。为保持内部审计的独立性,内部审计应直接向董事会下属的审计委员会报告。见图9-4董事会董事会下属的审计委员会总裁内部审计其他人员主计长图9-4审计委员会权责分配方式一个组织的权责分配方式取决于组织内部的管理风格和经营模式。如果只有口头上的或非正式的权责分配形式,控制可能会弱化或形同虚设。一张正式的组织结构图或一份书面文件经常用来表明组织总体的权责分配情况,组织结构图往往与正式的职责描述和职责分配的陈述联合使用。书面备忘录、政策手册和程序手册也是一些组织常用的权责分配手段。严格的机房守则上机日志账号审批制度权限控制信息分级控制防病毒控制网络安全控制备份制度 |
|
