对我国企业内部控制的研究2013(五)

销售价格:

2.2库存现金管理

库存现金管理是最普遍的财务管理，风险特点突出，在各企业中普遍存在，现以中国石油库存现金管理为列，部分流程图和控制文档如下：

流程图：

控制文档：

（六）与企业信息化建设相结合，实现内部控制的信息化，对企业最基础的日常业务运行实现最有效的管控。

1.信息化在内部控制中的重要作用

信息化是企业管理的一场革命，从根本上改变了企业管理模式和日常工作方式，企业管理的信息化给内部控制带来了前所未有的机遇和挑战，信息系统的强制性、角色管理、用户管理、流程管理等特性，决定了信息系统本身就是最有力的内部控制措施和手段，内部控制要紧跟信息化建设的步伐，在信息化管理条件下发挥更大的作用。

2.信息系统的内部控制

在内部控制建设中，要认识到信息系统既是控制手段，同时也是控制对象，信息系统设计、使用、维护首先要符合内部控制的要求。

为确保信息系统符合内控要求，企业在设计信息系统时，应参照COBIT标准进行建设，COBIT (Control Objectives for In for mation and related Technology)是国际信息系统审计协会ISACA)在1996 年所公布的业界标准，是以供管理层、用户、IT专家、信息系统审计师与安全管理人员来强化和评价管理控制的规范。

3.信息化条件下内部控制应重点关注的活动。

信息系统的内部控制与一般的业务内部控制有很大不同，在提供了强有力的控制措施的同时，也增加了新的风险因素，企业应重点关注以下活动：

（1）角色管理，根据业务性质和特点设置角色，同一角色内不允许出现不相容权限。以中石油销售业务为例，价格管理角色，不得有销售开单权限。

（2）用户管理，制定新增、删除用户审批制度，同一用户不得赋予不相容角色。

（3）流程管理，信息系统的业务流程应体现分权、多级审批思想，避免出现程序漏洞。

（4）机房和服务器管理，机房是服务器存放点，服务器是信息系统的中枢，是数据存放中心和信息服务提供中心，要重点做好防火、防盗、防潮、防尘、防震、数据备份等工作，服务器除进行规定的操作外，不得进行其他操作。机房应设置门禁设施，实施出入登记制度。

（5）网络管理，现代信息系统都依赖网络进行工作，网络通畅是信息系统正常工作的前提条件，企业应根据重要程度，配备拔号、宽带、光纤、专线等网络资源，服务器等特殊重要部门应实施备份措施，配置双光纤或双专线，一条日常使用，一条备用。

（6）操作系统和防病毒管理，操作系统是信息系统的运行平台，应重点做好系统升级工作。病毒是网络和信息系统的主要威胁，企业应购买安装功能完善、后续服务优良的正版防病毒软件，定期、不定期结合升级病毒库。

（7）网络管理员、专业应用系统管理员等信息技术人员的管理，应与一般人员区别管理，建立专门的管理制度和工作流程，对每次操作行为进行登记。

（七）严格执行内部控制措施，提高内部控制的执行力

执行力不足是中国企业的顽疾，由于内部控制涉及较多控制程序和制度，执行力不足表现的更加突出，再好的内部控制体系，如果不能有效执行，也无法发挥应有的作用，企业应从以下方面着手，提高内部控制的执行落实。

1.合理设计内部控制活动。在确保控制效果的前提下，精简控制程序及制度。

2.加强对员工的培训，重点学习内部控制制度、程序、要求等，使每名员工熟练了解本岗位的内控要求，提高对内部控制的认识。

3.建立复查、审核制度。组织定期和不定期、全面和抽查结合的复核活动，确保样本科学合理。

4.建立考核、奖惩制度。管理很重要的一点就是要有考核，“没有考核的地方，就没有管理”，员工只关注你考核的事项，不那么关注你要求的事项，在考核中例外事项占样本总量百分比是一项重要指标。

（八）以风险管理为目标，提升内部控制建设水平

1.企业风险管理概念

COSO《企业风险管理整体框架》将企业风险管理定义为一个过程，“它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”企业风险管理处理影响价值创造或保持的风险和机会。

2.内部控制与风险管理的关系

企业风险管理是内部控制的延伸，是内部控制发展的必然结果， 2004年10月，在“COSO内控框架”的基础上，COSO发布了《COSO企业风险管理框架》，更广泛地专注于企业全面风险管理，该框架没有取代COSO内控框架，而是与其融为一体，用来评估和改进企业的风险管理。

对比两个框架,存在以下关系。

（1）在风险认识上，COSO企业风险管理框架提出了风险组合观，风险管理整体框架认为，在实现企业目标过程中，除了考虑个别风险因素外，还要从组合风险的角度来考虑企业的综合风险。同时提出了风险偏好和风险容量两个概念，风险偏好是指企业在追求愿景的过程中所原意承受的广泛意义的风险数量。风险容限是指在企业目标实现过程中所能接受的偏离程度。

（2）在目标类别方面：“内部控制整体框架”有三类目标：经营、财务报告和合规性目标。其中经营目标、合规性目标与风险管理框架基本相同，报告目标进行了扩展，包括了企业编制的对内对外的所有报告，财务信息覆盖更广泛，还涵盖了非财务信息。风险管理框架又增加了一个目标类别，即战略目标。

首页上一页 2 3 4 5 6 7 下一页尾页 5/7/7