内部控制(J-SOX)(3).pdf
《内部控制(J-SOX)(3).pdf》由会员分享,可在线阅读,更多相关《内部控制(J-SOX)(3).pdf(34页珍藏版)》请在冰点文库上搜索。
675-3您的组织没问题吗?
用内部控制来检查第5章致力于内部控制1首先要了解现状您的公司,还有您,在实际工作中贯彻实行了多大程度的内部控制呢?
请重新审视检查一下吧。
对于内部控制,只用头脑理解是没有意义的。
首先要把握现状,这是一个重要的出发点。
从下列各项中选出与现实相符的事项,核对出的项目越多,组织中存在的风险也就越多。
第5章第5章致力于内部控制68在公司内从未听说过内部控制和遵纪守法等词语。
对公司的经营理念和经营战略不甚了解。
没有仔细阅读过就业规则。
没有看到过在公司内部实行过内部审查。
即使在同一部门,如果小组不同,就不知道对方究竟在做什么。
经常把时间花费在查找必要的文件和数据上。
关于出差费和交际费的申请,没有明确的步骤书和批准规则。
知道上司或同事利用系统时的密码。
负责人不在时,会受人所托做自己权责之外的工作。
自己休假时,没有一个能确保同等技能的环境。
没有可以共同分析工作中问题的对象。
对于来自顾客和客户的投诉,没有其有关处理步骤和报告的规定。
对于顾客资料的使用没有明确的规定。
再不设置密码的情况下,用电子邮件把顾客数据发送给公司外部人员。
设定明显不可能完成的目标。
在明显人手不够的情况下,经常把大范围的工作集中到特定的某个人。
批准各种申请书的人员并非是对申请内容很了解的人员。
工作中经常使用私人电脑。
谁都可以浏览公司内网络中的数据。
公司内经常发生各种系统故障。
使用Winny等P2P文件交换软件。
没有制备系统的使用步骤书和操作说明书。
69出差申请表日時:
出張先:
目的:
申請者:
承認工作报告书日時:
報告者:
承認工作报告书日時:
報告者:
承認工作报告书日時:
報告者:
批准批准者?
使用申请书时间:
目的:
申请者:
批准错误工作报告书日時:
報告者:
批准出差申请表时间:
出差地点:
目的:
申请者:
批准非法5-4通过内部控制改变的业务活动第5章致力于内部控制1核查机能的强化为了降低存在于经营业务内部的风险,确认和批准等核查工作必不可少,在维持正确的企业活动方面起着重要作用。
但是往往有这样的情况,那就是粗看上去核查的程序似乎在有效地发挥着作用,但经过对企业实体重新检验后,会发现实际上进行的都是完全没有意义的核查工作,原本所必需的核查工作却被忽略了。
在业务流程中的什么环节需要什么级别的核查机能?
而且,以什么样的目的,应该由谁来进行核查?
借此机会对这些进行重新审视,从而实现一个使核查机能有效发挥作用的框架,这是很有必要的。
第5章第5章致力于内部控制70例如像这样来改变!
贯彻实行没有错误和非法行为的正确的业务处理确保并证实核查机能的有效性及早发现问题并迅速应对对例外处理进行统一的应对制定与各程序中必要的确认、批准作业有关的明确规定以及关于例外处理的步骤书对批准者设定合理的权限潜在的风险由同一人来进行申请和批准的处理由不了解工作内容的人来进行批准、确认密码公开化未经许可而代替进行申请处理错误和非法行为的失控发现问题的迟缓非法的业务处理现状现状内部控制的实例内部控制的实例业务上的效果业务上的效果OK71目标提高工作热情提高工作热情责任权限权限责任权限权限责任权限权限责任权限权限提高企业价值提高企业价值目标目标目标目标目标目标目标目标2责任范围的明确化大概谁都听到过“拜托!
帮帮忙!
”这样的话吧,在没有明确指示的情况下,这种说法大都带有不负责任的性质,也可以理解为是转嫁责任。
这时会存在被委托的对象不能很好地掌握工作内容,或者在进行被委托的工作时没有必要的技能和权限等情况。
这不仅发生在上司和部下的上下级关系中,而且也是在组织之间可能发生的问题。
如果就这样在职责所在不明确的情况下执行工作,风险就会增大。
“没有拜托你连这些也要做”,或者“你没有拜托我连这些也要做”等这样主观认识上的差别,有可能会阻碍目标的达成,这种不负责任的工作经过积累后有时会酿成重大失误。
通过明确责任范围,组织和个人都可以制定明确的目标,从而激发每个人的工作热情,进而能够提高组织整体的工作质量。
在进行工作时,抱着什么样的目的做什么事才是自己的职责范围?
而且是否被赋予了必要的权限?
这些都要经常确认。
第5章第5章致力于内部控制72例如像这样来改变!
维持完成目标的工作热情提高每个人的工作质量对问题进行合理而迅速的应对业务上的效果业务上的效果明确各负责人的责任范围,并赋予相对应的合理权限使相关内容书面化内部控制的实例内部控制的实例潜在的风险因不明确的指示造成模糊的权限移交因为不承担相应的责任而造成危机意识的欠缺错误和非法行为的失控由于发现和应对的迟缓造成问题的扩大养成没有责任感的企业素质现状现状73原来的原来的差距差距商业环境的变化制度步骤书说明书原来的原来的原来的3确保合理的使用环境在信息泄露已成重大问题的现在,安全性对策对于所有的企业都是首要的课题。
在企业中,除了应对病毒的对策之外,个人信息的处理、数据的带出和带入等,各种安全性课题都必须要慎重地进行应对。
但是往往在我们忙于眼前对策的时候,在一些至今为止理所当然运用的制度以及系统之中,有时存在着一些意想不到的被我们忽视的风险。
例如,已经辞职的职员在辞职后还被允许进入办公室,公司内的网络始终处于可连接的状态等,这些在安全性上不合规定的运用被置之不管的事例是存在的。
如果不符合现状的制度和系统就这样使用下去的话,风险就会不断增大。
特别是对于飞速变化的当今商业环境,“应对变化的能力”已经成为了重大课题。
借助内部控制的实施,给了我们一个通过查明所有的风险来发现平常容易疏漏的问题,并直视这些问题的机会。
第5章第5章致力于内部控制74例如像这样来改变!
强化安全环境执行顺畅的业务处理运用管理业务的最佳化业务上的效果业务上的效果现状现状重新审视设备和其它用品等的使用规则及管理体制通过重新审视使用说明书来强化系统运用管理体制对查出的风险实施合理的安全性对策内部控制的实例内部控制的实例潜在的风险不符合现状的制度和系统被继续使用安全性方面混乱的运用管理体制系统的陈旧机密信息的泄漏信息和设备的非法利用因系统故障造成的数据丢失OK75辞职外出休假4规则和步骤的明文规定在应对日本版SOX法案的过程中,书面化是重要的工作之一。
通过这项工作,可以把关于内部控制的组织和业务上的问题普及给所有员工。
例如,通过制成业务流程图,规则和步骤书等不完备之处就显现出来了。
此外,还可以察觉到:
对于目前为止进行的工作步骤,每个负责人都互不相同,而且其中依靠个人感觉和经验的部分也出乎意料的多。
负责人休假时或离职后,如果不能迅速的交接工作,就会降低工作质量、丧失商业机会。
另一方面,即使是应对意外事情,只要根据应该遵循的步骤书,就能够确保企业的信用。
可以说规则和步骤的明文规定,对于所有企业来说都是维持竞争力的重要课题。
第5章第5章致力于内部控制76例如像这样改变!
工作的高度效率化工作质量的维持应对人才流动(顺畅的工作和技术诀窍的继承)业务上的效果业务上的效果现状现状业务的标准化、规则和步骤的书面化内部控制的实例内部控制的实例潜在的风险习惯于用口头传达指示负责人之间互不相同的工作步骤负责人独断的决策依靠个人的力量执行业务业务上的判断失误顾客投诉的发生应对问题的迟缓及其不合理的应对因人材流失造成工作质量下降77浪费浪费浪费5工作的效率化如果能在最短的时间内处理最多的业务并能最正确地实行,企业就可以产生更多的利益。
无利益的工作越多,带给公司的损失也越多。
工作越繁杂,用在正确把握风险的工作上的时间也就越多。
即使是在不抱有任何疑问的正常运行的业务中,也存在着想象不到的浪费。
但习惯是一个很可怕的东西,对于不合理的、很费事的工作,如果将处理其本身作为目标来进行的话,那就与业务改善的初衷相距甚远了。
因此,从“难道就不能更加有效率吗”这一角度来重新审视工作,无论对于公司还是对于工作现场都是非常有效的。
不知您是否记得,在金融厅发表的基准法案中,就将“经营业务的有效性与效率性”作为内部控制的目的之一进行了记述。
内部控制是一种通过各种业务改善,最终建立一个舒适的业务环境的机会。
把这方面作为积极的因素,积极致力于推进应对日本版SOX法案的一系列工作,进而努力达到业务改革的目标。
第5章第5章致力于内部控制78例如像这样改变!
工作的高度效率化和速度的提升通过自动化来执行正确的业务处理保存各种信息履历业务上的效果业务上的效果现状现状通过引入工作应用程序实现业务流程的自动化和业务间的实时传输、共享针对业务改善而进行的工作针对业务改善而进行的工作依靠纸张进行的业务处理手工输入作业量的增大发生重复输入依靠Excel表管理各种数据文件的丢失和处理的迟缓输入错误和信息的非法操作数据的不匹配数据保存的极限潜在的风险79ITIL书面化支持工具ERP群件BPM5-4有助于业务改善的IT技术第5章致力于内部控制内部控制的实施,如果能考虑到企业活动整体中各自的职责,把其当作谋求工作现场业务改善的好机会,那么对于企业来说也是确立强势经营基础的天赐良机。
反之,业务改善的流程也与实现内部控制所必需的要素密切相关。
从这些观点来看,现在,有助于业务改善的各种IT技术,也被作为支持内部控制的工具而受到广泛关注。
下面我们来介绍其中的一部分。
第5章第5章致力于内部控制80业务流程图业务流程图入金入金接收付款通知书接收付款通知书核对订单核对订单委托支付委托支付支付委托书支付委托书接收支付委托接收支付委托支付支付风险控制矩阵风险控制矩阵1.5.11.5.21.5.3程序风险控制制备状况的评估制度步骤书说明书1书面化支持工具在应对日本版SOX法案时,需要进行许多的书面化工作。
据说花费在这种书面化工作上的作业大约要占所有必要作业的一半。
在业务流程和风险的查明中书面化操作不可缺少。
特别是业务流程图和明确记述了假设风险及其对应的控制活动(control)的风险控制矩阵,完成这两种书面化操作是必不可少的。
当然,作为对象的业务流程越多,书面化的工作量也就越大,全部用手工来完成这些工作的话,需要大量的劳动力。
为了能有效率地进行这种工作,需要书面化支持工具来发挥作用。
81购买生产销售会计人事、工资整合数据库可视化2ERP每个部门中都有各自不同的系统在运转,在这种环境下,假如要把“物品”卖出时候的“资金”信息反映在会计系统上,不仅需要花费一定的时间,还会发生重复输入这样的劳力浪费。
这也是手工作业会引起错误和非法信息操作的原因。
ERP(EnterpriseResourcePlanning)被称为企业资源计划系统,顾名思义,是用来整合销售、库存、生产和会计等基础业务,把跨业务间的“人”、“物”、“资金”等信息进行实时传输、共享的一种系统。
通过整合全公司的信息,力求使组织内的业务实现高度的效率化。
例如,工作现场输入的信息除了能瞬间反映到财务数据上,还能在财务数据中很容易地找到信息的发生源,这不仅对经营者决策,而且对工作现场的决策也有相当的贡献。
此外,通过采用“单点登录”,一次性认证后就可以使用多项的应用程序等,这在安全性方面也存在容易进行管理和应用的优点。
这种特性就是ERP作为内部控制中的有效系统而受到关注的原因。
第5章第5章致力于内部控制82起草人确认者起草起草批准批准批准批准裁决裁决科长OK部长3群件很多企业都利用公司内网络来进行日常的信息共享和交流。
而对于群件,也已经普及到了没有必要在这里进行重新说明的程度了。
群件,顾名思义,是以团体(组织)为对象的软件,通过有效使用邮件、日程管理、设施预约、告示板、电子会议室和工作流等,在全公司或部门之内、部门之间对必要的信息和存在的问题进行共享,进而能够更有效率地推进业务的进行。
可以说这是一种对实现内部控制基本要素之一的“信息和沟通”做出重大贡献的IT技术。
此外,在实现内部控制时,工作流的确立也是研究课题之一。
使复杂的业务步骤自动化,使本来用纸张来申请、批准的业务电子化,这样的工作流系统,在实现工作效率化和无纸化的同时,还是一种提高工作精度、防止错误和非法行为的解决策略。
同时还在保存记录和证迹,以及对证明是否进行了正确的申请和批准方面也起到了重要的作用。
83定义业务程序业务系统的实际装备分析监控在图表中定义业务业务系统确定业务中的问题所在使业务流程的整体可视化CheckActionPlanDo业务进展状况业务进展状况4BPM组织变得越大,其商务流程也就变得越庞大、越复杂。
作为企业来说,商务流程总能保持最佳状况是最理想的。
因为这样就可以实现没有“浪费”、“缺点”、“不合理”的顺畅的企业活动。
生产出相同的成果,如果不能做到用高效的方法,以尽量低的成本和尽量短的时间来生产的话,就不能在竞争中胜出。
同时这也关系到快速运营的问题。
在此,通过把业务流程的现状和应有的形态模式化,使经营业务的整体实现可视化,进而谋求持续性的业务改善,这就是“BPM(BusinessProcessManagement)”。
BPM本身是一种手段而非产品。
以实现BPM为目的的产品和服务分别被称作BPM工具、支持BPM的解决方案等。
这些不但能使企业的监控成为可能,而且在内部控制的实现方面也发挥着效力。
为了使BPM的效果达到最大化,能够统观商务流程整体的综合环境以及能够根据环境的变化来灵活改变商务流程的系统环境都是必要的。
第5章第5章致力于内部控制845ITIL“ITIL(InformationTechnologyInfrastructureLibrary)”可能是一个比较陌生的词语。
是在20世纪80年代后期由英国政府机关制定的,集合了关于系统运用管理的最佳实践的框架规范。
简单来说,就是把在系统运用时应该作为参考的技术诀窍和步骤总括式地归纳而成的框架。
系统运用管理是IT全盘控制中不可缺少的要素,在致力于内部控制的过程中ITIL的应用对重新审视IT运用规则和步骤都是很有效的。
如今,所有的企业活动都靠IT技术在支撑,为了使终端用户实现舒适的系统利用,不被各种原因所左右,持续提供稳定的服务是必要的。
系统上的问题,不仅会给企业活动带来障碍,还会给客户和顾客造成麻烦。
系统运用管理的主要目的是提供持续性的服务和稳定的服务品质,通过有效的运用来削减成本等。
由此也可以明确重新审视系统的运用是业务改革重要的一环。
根据这些需要,各种供应商都提供以ITIL为基础的运营管理解决方案。
85根据以下各句的正误选择1.如果没有法律上的规定,就没有必要构建内部控制。
2.内部控制的构建是一个可以获得更舒适的业务环境的机会。
3.执行工作时应该经常确认自己的责任范围和权限。
4.即使对于人数很少的组织,明文规定业务上的规则和步骤也是很重要的。
答案1.2.3.4.自测练习题第5章致力于内部控制综合练习题87综合练习题问题1阅读以下问题,从括号中选出正确答案。
1.美国SOX法案是以安然和世界通讯的(信息泄漏、经费的非法挪用、粉饰账目)事件为契机而实施的。
2.在金融商品交易法中,规定了内部控制的制定和(内部控制、会计审查、企业活动)报告书的提出等这部分相当于日本版SOX法案的内容。
3.内部控制的6个基本要素是指:
“控制环境”、“风险的评估和应对”、“控制活动”、(“信息与传递”、“信息的识别”、“信息系统的制定”)、“监控”、(“IT化对策”、“书面化”、“安全性保障”)。
4.内部控制必须要靠组织内的(经营者、管理人员、负责人、所有人员)来完成。
5.对组织内的风气起到决定性作用,并能使组织内所有人员对内部控制的意识改变产生影响的是(控制环境、控制活动)。
6.所谓“风险的(回避、评估和应对、管理)”是指,把阻碍完成组织目标的主要原因作为风险进行识别、分析和评估,并对该风险实施恰当的对策等一系列的流程。
7.所谓(控制环境、内部审查、控制活动)是指,以实现一个能够使每个职员都能合理完成经营业务的框架为目的,根据需要在经营业务或组织层面上所确定的各种方针和手续。
综合练习题综合练习题888.作为内部控制的基本要素之一,(控制环境、信息与传递、IT化对策)不仅要传达必要的信息,尤其重要的是还要对信息进行正确的理解,使其被必需此信息的组织内的(经营者、管理人员、负责人、所有人员)所共享。
9.内部控制能否有效发挥作用,除了要在经营业务层面上进行日常的监控,从(全公司的角度、各部门、各人)来定期进行评估也是很有必要的。
10.日本版SOX法案确定了以强化企业的(内部控制、安全性对策、IT化)为目标。
问题2阅读以下问题,从4个选项中选出正确答案。
11.从以下对内部控制的说明中,选出正确的一项。
A:
内部控制和经营业务效率是相反的目的。
B:
内部控制也是一种为了完全防止违法行为的框架。
C:
通过内部控制可以提高财务报告的可靠性。
D:
内部控制和资产的妥善性管理之间没有直接关系。
8912.从以下对内部控制的说明中,选出正确的一项。
A:
内部控制只和金融商品交易法中的对象企业有关系。
B:
内部控制就是为了金融商品交易法而制定的框架。
C:
内部控制的构建需要全公司的共同努力。
D:
内部控制应该是通过经营者和管理者的努力来完成的,并不受员工各位是否努力的影响。
13.从以下对内部控制的说明中,选出正确的一项。
A:
“控制环境”是内部控制的基础。
B:
风险评估是必要的,但是选择对策的流程是不必要的。
C:
如果日常的监控发挥作用,内部审查就不需要了。
D:
即使经营者或管理者的判断与规定不同,也必须服从。
综合练习题综合练习题9014.从以下有关接受订单时控制活动的描述中,选出最恰当的一项。
A:
在没有按照规定中所要求的那样对客户的支付能力进行确认的情况下,优先进行接收订单的工作。
B:
为了维持与客户之间的相互信赖关系,可以允许进行规定中不允许的处理。
C:
通过运用了IT技术的接发订单系统,可以实现控制活动的部分自动化。
D:
在没有得到掌权主管对所接订单内容的批准的情况下,擅自对订单进行处理。
15.从以下关于经营业务步骤的说明中,选出最恰当的一项。
A:
即使每个负责人员的控制活动内容互不相同,但只要结果一致就没有问题。
B:
最好不要对控制活动进行书面规定,而是保存下其中依靠负责人感觉和经验的部分。
C:
因为负责人的能力不同,在控制活动中,即使没有按照必要的标准来进行风险应对,也是不得已的。
D:
关于控制活动的规定和程序应该明文规定。
91答案问题11.粉饰账目2.内部控制3.“信息与传递”、“IT化对策”4.所有人员5.控制环境6.评估和应对7.控制活动8.信息与传递、所有人员9.全公司的角度10.内部控制问题211.C12.C13.A14.C15.D附录希望您了解的关于内部控制的基本用语!
内部控制基本用语93BPM是BusinessProcessManagement的缩写。
不仅仅是谋求商务流程的可视化和自动化,还要根据环境的变化和目的的不同,对商务流程进行重组使其达到最佳,进而获得持续性业务改善的一种管理方法。
BPM的适用在内部控制中很有效,因此与ERP、书面化支持工具等一起受到广泛关注。
CEO是ChiefExecutiveOfficer的缩写。
日语中称为“最高经营责任者(首席执行官)”。
原本是美国企业中对最高领导的称呼。
肩负着进行经营决策、承担所有经营责任的重要职责。
在日本,为了改善企业经营速度,越来越多的公司明确规定会长或社长兼任CEO,同时担负着进行决策的责任。
此外,有些企业也设置“最高执行责任者(COO)(首席运营官)”、“最高财务责任者(CFO)(首席财政官)”等职务。
COBIT是ControlObjectivesforInformationandrelatedTechnology的缩写。
日语中读作“kobito”。
是由美国信息系统审计与控制协会(ISACA)所倡导的,用于测定IT治理成熟度的审计框架。
从系统的建构、运用,到应对各种系统风险的体制,此框架提出了关于测定各种IT管制有效程度的指标。
因为IT技术与企业业务之间存在着不可分割的联系,目前COBIT已经成为企业进行内部管制的重要参考。
COSO框架是由美国注册会计师协会等成立的COSO组织于1992年发表的内部控制的基本框架,其中提出了内部控制的目的及其必要因素。
内容包括“经营业务的有效性与效率性”、“财务报告的可靠性”、“相关法律法规的遵循”这内部控制的3项目的,和“控制环境”、“风险评估”、“控制活动”、“信息与传递”、“监控”这内部控制的5个基本要素。
这个框架已经成为了内部控制框架的世界标准,依据金融商品交易法,在此框架的基础上进行改良的具有日本特色的框架也适应于上市公司的内部控制的制定。
CSR是CorporateSocialResponsibility的缩写。
日语中称为“企业的社会责任”。
顾名思义,就是企业应该对社会承担的责任。
从贯彻实行合法的企业活动、遵守法律制度、提供便利性和安全性等基本的责任,到关心环境、推进社会福利运动、与社区的协作等社会贡献,把这些都作为CSR的企业越来越多。
附录内部控制基本用语附录希望您了解的关于内部控制的基本用语!
内部控制基本用语94ERP是EnterpriseResourcePlanning的缩写。
是用来整合销售、库存、生产和会计等基础业务,把跨业务间的“人”、“物”、“资金”等信息进行实时传输、共享的一种系统。
除了能谋求组织内业务的效率化,还能通过整合全公司范围内的信息来即时掌握企业现状,进而能够实现快速运营。
因为是具备上述功能的系统,所以ERP被很多公司引进。
多数ERP都是根据控制活动所要求的事项而被赋予相应的功能,因此,ERP作为内部控制中有效的解决方案而备受关注。
ITIL是InformationTechnologyInfrastructureLibrary的缩写,在日语发音中叫做“aitiru”或“aitiaieru”。
是在20世纪80年代后期由英国政府机关制定的,集合了关于系统运用管理的最佳实践的框架规范。
其中总结了系统运用时应该作为基准的工作步骤,这些内容在致力于内部控制的过程中,对相关IT技术使用的规则和步骤进行重新审视时,可以有效地发挥作用。
IT治理经济产业省对此的定义是“以确立竞争优势为目的,制定、实行企业一贯的IT战略的行为。
或者说是根据一定的规则来控制IT战略的能力”。
也就是说企业为了完成经营目标,要思考应该怎样做才能兼顾效率和效果地应用IT技术,进而将其实践于工作之中。
IT业务处理控制IT业务处理控制是指,利用IT技术对发生在每个业务流程中的数据全部进行正确地处理、记录保存,并把必要的信息以正确的程序提供给使用者。
主要的控制对象是处理企业相关财务数据的主干业务系统,包括:
销售管理、库存管理、生产管理和财务会计。
因此,对于以上业务系统,如果能事先导入可以排除违规操作,使每项业务流程都能被正确处理的支撑框架的话,是最理想不过的了。
IT全盘控制IT全盘控制是指,确保IT业务处理控制有效发挥作用的环境。
作为具体例子经常被提起的是:
强化系统部门负责人明确的责任分工和核查体制、制定系统运用的相关规定和说明书、实施合理的安全性对策、对硬件和软件进行正确的许可证管理、确保系统出现故障时业务的连续性等。
95PDCA循环由Plan(计划)、Do(实行)、Check(评估)、Action(改善)的头一个字母连缀而成。
通过这4项步骤的反复进行,不仅可以按照计划来贯彻实行业务,而且还可以实现以产出最佳业绩为目的,对业务及流程进行持续性改善的管理循环。
在风险管理中也可以利用PDCA循环来实现持续性的风险对策,由此就可以把风险的发生防患于未然。
SLA是ServiceLevelAgreement的缩写。
日语中叫做“服务水平协议书”。
为了保证所提供服务的品质达到规定的水平之上,而与客户缔结的合约。
是一种事先对品质不达要求时的规则进行明文规定的协议书。
随着服务外包产业的发展,SLA的重要性也在相应提高。
SOA是ServiceOrientedArchitecture的缩写。
日语中叫做“面向服务的体系结构”。
把
升级会员 