第4章XY公司关键业务内部控制设计
4.1 XY公司内部控制改进设计总体情况
第3章笔者已对XY公司各关键业务内部控制情况现状进行了描述,并对存在问题的进行了分析,笔者认为,XY公司需要从自身需要和行业特点出发,结合公司员工和管理层的需求,在规范运营,合理运用授权和内部审计的基础上,根据内部控制框架理论进行制度和流程设计,并提供保障其执行的环境。在尽可能考虑给予员工和中层管理层授权的基础上,达到规范内控措施、防范舞弊和操作风险、控制公司成本和支出、提高收入、提高运营效率的目的。
由于XY公司的快速发展,公司原有内控体系已无法满足企业继续扩张的需求。同时,企业希望通过在创业板上市融资扩大公司经营范围、强化其行业竞争力,通过改善业务流程、提高管理能力、加强内部控制建设,提升企业管理水平和竞争力,达到上市公司的要求。因此,笔者认为,首先建立了新的法人治理结构、完善了组织结构和机构设置是企业内控改进的当务之急。根据券商建议,结合实际,n公司建立了三会,设立了北京分公司,改组了内部部门设置,增设了产品部、人力资源部、采购部、投资部,明确了总裁对经营的决策地位,并设立了独立的审计部,审计部由董事长牵头,负贵公司内部经营的审计监督工作和风险评估,逐步建立起了以内审为主体的内部监督体系(如图4-1),负责对公司的常规内部控制和n业务内部控制进行监督和评价,形成评价报告供管理层使用。改组后的组织结构,各业务部门术业有专攻,董事长放权,缓和了董事长和总裁之间的关系,业务和财务人事工作能有效统一,改变了以往的双头领导,加快了经营决策的效率。
笔者认为,人力资源政策和企业文化在XY这类小型互联网公司所起的作用非常重要,因此在笔者进行内控设计和优化时,组织建立了一系列必要的人力资源政策,包括绩效考核、培训、人才引进、企业文化建设等相关制度政策,并依托新的人力资源部进行相关政策的执行,基本达到了对优秀员工进行了充分肯定、提高优秀员工积极性,提升XY公司和产品的知名度和企业形象,降低了人才流失率,提高员工学习积极性,规范劳资关系的目的。在重要业务板块,梳理了流程和内控漏洞,逐步建立起了岗位分离责任制,对重大对外投资、担保、重大合同等均建立了风险评估制度和以总裁为首的总裁办公会议的问责制,较为高效地解决了 n公司在风险评估和控制活动上存在的漏洞,建立了以财务审批为主体的分级授权制度,提高了中基层经理的工作积极性。在XY公司的内部控制改进中,笔者认为,应抓住关键环节和控制点,以较少的精力和代价换取较好的效果,以下为XY公司关键业务板块的内部控制设计和改进要点。
4.2 XY公司关键业务内部控制设计思路和措施
4.2.1采购管理改进
结合XY公司的实际情况,笔者认为XY公司的采购内控改进的控制点及目标如表4-1所示:
结合第3章的有关分析,笔者认为,公司采购作为公司的第一大支出,控制环节薄弱,要达到控制釆购价格和采购物资质量、节省公司成本,避免员工操作风险的目的,需要规范采购程序,分离采购、入库、领用、验收等环节的人员,规范盘点程序,兼顾审批和采购效率,提高资产利用率和减少损耗率,具体措施如下:
1、制度建设
因公司前期无规范的采购和资产管理制度,笔者设计撰写了《采购制度》、《供应商管理制度》,明确了采购流程、供应商选择和管理标准等。
2、关键控制环节设计
鉴于公司规模扩大、采购量日益增大,且前期采购极不规范,笔者建议公司领导层建立了采购部,明确了采购部职责,专门负责公司的各类采购。采购与资产管理职能分离,形成采购问责制。设立了《采购管理制度》,明确了采购流程和询价、供应商管理制度。
1)机构设置:建议设立了采购部,负责公司日常单笔超过2000元以上的采购,从而分离了资产管理与采购的职能,初步建立起不相容岗位分离的采购和资产管理的问责制。采购岗位责任制如表4-2所示。
2)信息沟通:根据业务需求,公司自行研发了可用于掌上移动办公的OA,通过移动QQ和短信短消息提示办公,提高了采购审批的时效性和规范性。
3)采购预算:预算执行首年由财务部向采购部提供上一年度采购总量(以后年度由采购部自行统计),采购部根据下一年公司各部门和业务发展情况统计釆购需求,进行市场询价后提出采购初步整体预算,财务部审核修改通过后由预算委员会决定最终采购总量和金额,每年中期进行一次预算修正。
4)采购前置审批:计划利用公司自行研发的OA系统,高层管理者可通过手机办公缩短审批时间。如图4-2、4-3所示,将原不太规范的采购流程分为两步:物资申请、采购及支付审核,有采购合同的还需合同流程。需要说明的是,为了尽量简化流程,提高效率,对于一次性付款的项目,合并了采购及支付流程,对于合同约定需分期付款的,再补充后几次的支付流程。釆购前置审批解决了采购无法控制的问题,规范了采购人员的责任,同时缓解了集中在财务部和总裁处的矛盾。同时,公司对采购和支付金额均进行了分级授权,提高了中层经理的工作积极性。
5)比质议价:《采购管理办法》规定了比质议价的相关标准和事项,采购员在提交釆购申请时也需提交比质议价的书面材料。采购部门需货比三家,选取性价比最高的供货商,同时,釆取集中釆购和大额赊购,控制釆购成本。
6)支付审核:新的内控体系下,明确了各岗位的权责,支付审核按照签署合同和釆购业务实质进行,并且由于釆用了 0A,规定所有采购均需走OA流程,避免了纸质审批以各种理由推脱相关责任人未签字的情况。
7)呆购与验收:公司设立釆购部后,釆购人员与验收人员分离,资产管理员负责资产管理和验收。
8)采购付款控制:釆购管理制度里对釆购付款有明文规定,有合同的按照采购合同、验收单、发票等严格执行,无合同的财务根据验收单和发票进行付款,存在预付款的采购部在OA上均需注明,且提供相应的网络釆购截图等证明资料。
4.2.2资产管理改进
结合XY公司的实际情况,笔者认为XY公司的资产管理内控改进的风险控制点及目标如表4-3所示:
鉴于公司前期资产管理混乱,资产管理岗位与采购岗位不分离的情况,笔者设计明确了行政部、信息中心、北京分公司行政部肩负公司的资产管理职责。公司的电子信息产品均由信息中心管理,其余资产、礼品、存货均由行政部门管理。
为了达到企业资产完整、资产管理有序的目的,笔者设计制定了《资产管理制度》,规范了资产管理的责任人和流程以及关键控制点。提出了资产管理系统的开发需求,该系统目前已由技术部门研发测试完毕并开始测试使用。由资产管理员负责固定资产的录入,包括采购价格、采购时间、资产位置、资产使用人、资产型号及其附件等信息;财务人员和采购人员能对该系统进行查询和监督。大大方便了公司的资产管理,公司的资产情况清晰明了。具体措施如下:
1、制度建设
笔者带头设计拟定了《资产管理制度》、《带宽使用管理制度》,明确了入库、验收、管理、维修各职能所对应的人员或部门,明确了带宽使用的监测和双重审批。
2、关键控制环节设计
1)存货管理
存货釆购由资产管理人员根据公司日常需求情况提交物资申请后由采购部门釆购,由资产管理人员验收入库。每月初由资产管理人员统计存货领用信息,提交财务人员结转存货入费用。由于XY公司存货多为低值易耗品,故未考虑存货跌价损失等因素。
2)固定资产管理
a)会计处理:改进后,会计在对资产进行确认时,需按照资产管理员提供的验收单、采购部提供的发票、合同核对无误后入帐。入帐编号根据资产系统自动生成的编号作为唯一对应依据,以便盘点和查找。
b)盘点:要求每半年进行一次盘点,盘点由财务部发起,审计部与资产管理人员参与,根据资产管理系统和财务记录,并参考采购部台账,按资产编号对资产进行一一核对;对异地服务器资产的盘点,提出开发需求,由研发部门开发远程盘点系统,在线盘点远程服务器。
C)验收与入库:设计完善了岗位职责和流程,由资产管理员从采购部验收后入库登记,签署验收单。
d)领用:在OA填写物资申请流程;由使用人在资产管理员处领用物资,并签字留痕。
e)转移:固定资产转移需在OA上提交调配流程,落实后由资产管理员在资产管理系统中进行使用人更新,数据库记录资产管理员修改记录。
f)维修:由资产管理员负责资产的维修或售后。
g)报废与处置:由资产保管人提出报废申请,资产管理员检查确认无法使用后资讯处置价格,分管领导同意后报财务部门实施处置并进行帐务处理。
h)改造:由资产管理员根据公司需求,对废旧设备进行升级,采购相关配件,并将配件信息录入资产管理系统对应的设备原值中,由系统自动计算折旧并对配件进行编号。这样提高了公司资产计算的精确性,减少了财务人员的工作,更重要的是能够明确每一样配件在哪台机器上,做到了精细化管理。
3)无形资产
专利、着作权、商标等仍由法务人员管理;外购的软件及信息系统等由信息中心登记管理,财务部门在记账时明确使用人及部门、产品名称,以便盘点。能够解决在专利技术和无形资产上职能部门和业务部门的信息脱节,避免被侵权的可能。
4.2.3市场业务控制改进
公司的市场业务所涉及的几个部门是公司的核心部门,关系公司收入来源,因此格外重要。XY公司B2C业务环节的内控要点主要在于价格制定、研发环节和代码、系统管理环节,B2B业务环节内控要点主要在于价格制定、联运模式、回款。B2C业务的研发和代码、系统管理在研宄开发和系统管理里讨论,本节不再赘述。为了达到提高营业收入、降低市场费用、稳定市场人员的目的,笔者认为需要从规范产品谈判价格、规范市场投入监督、提高市场人员收入等方面入手进行制度和流程的设计,风险控制点和控制目标如表4-4所示。
1、制度建设
设计制定了《厂商评级与联运分成比例规定》、《广告投放与监测管理规定》、《代理商管理制度》《应收账款管理办法》,以规范市场人员价格谈判权限,避免私吞回扣影响企业利益,提高回款速度。
2、关键控制环节设计
1)岗位职责与不相容岗位分离
根据公司组织结构图可看出,改组后的市场部分为了三个职能组,具体如表4-5所示:
市场总监分管三个业务小组,并直接向总裁汇报。通过公司内部信息系统将三个业务小组创造的收益进行统计,定期与绩效挂钩,市场投入与销售效果挂钩考核。
如表4-3,官网销售职能从技术运营部分离出来,成为独立的产品部。产品部负责公司官方产品的销售、用户可视界面的改良、官方网站与各类合作技术接口的开发、数据的分析、网站促销以及提供产品改进意见至研发部门进行产品改良等。产品部由总裁分管。官方网站销售职能从技术部门划分出来,让技术部门有更好的空间潜心技术研发,同时产品部的数据分析职能让公司管理更为精细化,用户付费转化率通过数据统计和技术改良得到很大提高。同时,公司对产品部门充分授权,产品部基层员工对于产品的改进意见和意见实施均可在测试产品上实践,并根据产品改进效果进行考核奖励,改变了以往至上而下的要求式开发。表4-6为产品部内部分工详情。
2)销售审批与定价
基于以往公司产品价格变动过分随意的情况,考虑尽量减少个人原因对公司产品价格的影响,规范价格管理,笔者设计公司产品基础价格制定及变动需由需求部门提出申请,并附市场调研资料报分管领导及公司战略委员会审批通过后方可执行。产品B2C业务临时促销价格变化由产品部与年初编制活动预算及方案,预算委员会审批通过后执行。并于每次促销活动举办前提交活动及费用申请,相关部门在预算总额度内审核无问题后实施。产品B2B业务分成比例确定根据《厂商分成价格管理制度》,按照合作厂商级别,由销售人员按规定选择对应的分成比例。有效控制了人为因素造成的公司收益流失,提高了公司销售收入。如图4-4所示的新市场合同流程规范了合同的订立及抄送,降低了市场与技术部门人员信息不对称的情况,提高了管理效率。
新的审批与定价策略,明确了各业务条线的责任权利,明确了以往含糊不清的价格体系,使管理更加精细化、有据可依,也梳理清了工作流程,提高了管理效率。
3)发货与收款
公司产品收款与发货流程基本未变,但是基于前期曾经有黑客盗取大额产品的情况,笔者重新设计了改了代理商发货流程。由以往的电邮卡密给代理商变为了代理商在公司后台注册账号,从银行打款公司系统确认收入后,代理商自动提货(类似支付宝的虚拟自动购物)。减少了人为操作因素,同时也提高了代理商的卡密安全程度。
应收账款管理方面,公司制定了《应收账款管理办法》,明确了市场人员在收款中需承担的责任,并与绩效考核挂钩。未收到款项的业务不计入销售业绩。
4.2.4研究开发管理改进
结合XY公司的实际情况,笔者认为XY公司的研宄开发内控改进的风险控制点及目标如表4-7所示:
在第3章,笔者对公司的研究开发现状进行了描述分析,认为公司的研究开发内部控制在整体上还是有效的,但是以部门经理和总工程师为控制节点的创业式企业的管理特点,不利于公司的扩张发展和管理。随着产品知名度的提高,用户增加,开发需求增力口,为了达到提高研发效率,保障客户需求,保障研发节点的代码安全,保护企业知识产权,明确研发人员的开发工作量等目的,笔者在对公司研宄开发工作进行深入了解后,设计完善了部分内部控制措施。
1、研究开发的岗位责任制
新的内控体系下,XY公司的研宄开发职能由原技术运营部门分离出来,成立了独立的研发部和测试部,由总工程师分管。这两个部门作为公司的核心生产力,与市场部、产品部共同承担着创造公司收入的责任。因此,也参与了公司的SABC考核和年终奖金绩效挂钩。品牌维护职能并入市场部,网站开发职能放到产品部。
2、研发项目立项管理
XY公司研发项目立项均为口头及电子邮件传达,无书面规范文件,无会议纪要,且研发安排较为松散,只有大致的分工,靠部门经理口头约束,无明确的岗位分工和考核机制。无立项报告和项目进度、时间控制的相关制度。
改进后的研发项目立项,均通过OA进行清晰的立项留痕处理,并明确责任人、时间进度、开发要求等,通过月度绩效指标考核约束项目质量,通过OA系统的留痕开发,人事部门也能清楚员工的工作情况,方便公司公正考核员工工作量和工作效果;同时也为财务核算提供了依据。
3、研究开发的过程管理
通过OA系统流程管理,研发过程中涉及的各节点人均能清晰了解项目进展程度,如下图所示,各流程节点所涉及的人员和部门均通过公司自行研发的OA和协同办公平台(营运收入后台系统)进行信息传递和进度展示,工作人员能在第一时间了解各节点进展和情况,总工程师也能通过信息化工具了解员工工作情况,并通过实地检查,了解工作量和工作效果。表4-5为公司改进后的研发过程管理图。
4、核心人员管理制度
股改后,公司核心人技术人员均有一定比例的持股,同时与公司签署了《竞业禁止协议》,核心技术人员作为股东能够享受到公司成长带来的分红。同时,由于人力资源职能的加强,公司每年与专业人力资源调查公司合作,对行业内关键岗位进行薪酬调研,并根据行业水平和员工绩效情况定期调整技术人员工资,保证团队稳定性。
5、研发成果验收制度
改进后,公司制定了《研发成果验收规定及流程》,对测试结果、上线效果、后续开发、财务核算、知识产权申请等都作出了成文规定,并责成相关部门人员定期申报知识产权,检查是否有侵权现象,避免侵权事件发生。
4.2.5财务管理改进
基于公司在前期财务管理上的不规范和存在的问题,笔者认为,应从遵守国家法律法规、规避人员舞弊、保障股东平等权益出发,利用信息化工具和互联网企业员工对电子办公的认同,提高信息系统在财务管理中的作用,避免对人的过分依赖。表4-8为笔者总结的XY公司应注意的财务管理控制要点及目标。
鉴于以上认知,笔者认为XY公司在日常财务管理内部控制设计中应采取以下措施:
1、制度建设
笔者根据公司实际情况,以企业会计准则为蓝本,草拟了《会计核算制度》、《财务部人员工作手册》、《报销管理规定》、《财务分级授权规定》、《关联交易管理规定》、《投资管理办法》、《对外担保制度》,以期解决公司财务核算不规范、审批节点权责不分明、关联股东占用资金和投资随意性等问题。
2、关键控制环节设计
1)财务人员组织结构及管理关系
如图4-6所示,重新分配的财务管理权限,董事长不再直接分管财务,并从大型集团引入财务总监,财务总监分管财务和投资,向总裁汇报。以往的财务部只有基本的会计核算职能,考虑到公司原有老员工的工作能力和情绪,原财务部人员和结构不动,工作内容不变,负责日常会计核算、纳税申报、编制财务报表、银行及现金管理等工作,配合预算工作。新增财务分析岗,向财务总监汇报,负责公司年度预算的编制、预算进度监控等。公司闲置资金保值增值方面的工作由财务总监直接负责,并由银行出纳配合相关手续的完成。
2)资金管理
a)筹资业务的内部控制
股份制公司制定了《筹资管理制度》,规定了筹资业务管理流程、授权审批、决策管理、方案审批、合同订立、业务偿付、股利发放等相关事项细则。明确了财务部、总裁办、董事会在各环节所起的作用和权利。
b)投资业务旳内部控制
公司前期无投资职能,新的组织架构下,设立了投资部,由财务总监分管。投资部主要负责两项业务,一类常规业务即为公司闲置资金的保值增位;一类为发现投资并购机会并进行可行性论证、提出投资建议,以及投资后的整合工作等。闲置资金的保值增值由财务总监根据公司的风险承受能力,选择稳健型理财产品,与金融机构签订合同,超过总裁权限的部分报董事会审批后执行;战略并购型投资按公司《投资管理办法》具体执行,流程如图4-7所示:
C)担保业务的内部控制
公司制定了《对外担保管理制度》,明确了对外担保的情况及审批、授权流程,并执行上市公司对对外担保的相关要求。
d)资金营运控制
资金支付:制定了《资金及账户管理办法》,规范了支付流程,并特别规范了采购支付流程,明确了各审批节点人员的相关责任和义务,与绩效考核挂钩,至此,公司资金支付再无推脱或审核不力的情况,且效率大幅提高,关联方占用资金的情况也不再允许,财务人员进行非经营性资金调配需获得董事会相关决议才能执行。资金授权审批:结合公司扁平化的管理体系,公司分别在分管领导、总裁、董事长(董事会)三个节点设置了资金审批金额权限,且所有资金支付均需财务总监审批方可流出公司,有效控制了资金支付风险。也缩短了审批流程。银行账户管理:新的《资金及账户管理规定》明确了财务岗位员工职责和权利,统一银行账户的U盾均设立三个以上,分别设置相应权限。三个U盾之间互相监督,并有所分工。前期以个人名义开立的公司使用的账户被勒令注销,并规定禁止再行设立。收款账户与支出账户分离,方便核算和查询,银行间资金调度执行OA审批流程。票据、法人印鉴、财务印章分别保管在三个人手中。
现金管理:由出纳办理一张仅能用于公司支付的银行卡(因纸币现金保管不安全,均采用网银),会计知晓查询密码,每天可登录查询余额及收付情况以便对账。出纳在申请备用金时,填写“借款申请单”,这样也能保证公司现金用款一定的灵活性。
银行存款管理:责成出纳编制银行存款余额调节表,工作完成情况严格执行绩效考核。
票据领用管理:XY公司有《票据领用管理规定》,且执行较好。空白票据均由专人保管,财务印鉴也由专人保管,使用过程中需要多人审批。保证了公司资金的安全性。
用章审批登记:制定了《印章管理办法》,规定了公章、法人章、财务印章等的使用和借用规定,并分别由财务经理、行政经理负责财务印鉴和公章的用印登记,防范舞弊。
3)预算管理
根据公司的实际情况和规模,笔者前头制定了简要的《制定了预算组织制度》和《预算编制制度》,每年10月份由财务部牵头,将当年预算执行情况及建议预算发至各部门,由部门经理负责编制本部门次年预算,再汇总至财务部,由财务部门根据情况对预算进行调整,并反馈至各部门,再将由财务部确认后的预算提交至预算委员会确认商讨,确定方案报总裁及董事会。并在次年执行。每年年中进行预算分析及调整。预算执行情况与各个部门及公司年终考核挂钩。预算控制体系实施后,财务部门对公司整体经营情况能够及时进行预测并提出建议,很好地规避了公司经营风险,并且改变了以往老板拍脑袋决策无法控制公司整体费用花销的情况。公司经营步入良性循环。避免了突发性费用及无必要的花费。
具体流程为:财务部组织预算编制,下发当年实际花销及建议预算额一各部门编制预算一财务部审核、分摊,并与各部门确定初稿——总裁办审核——预算委员会通过——报董事会——预算执行、财务监控及分析——次年半年度预算调整。
4)财务规范性
a)坏账及费用计提:按《会计核算制度》每月计提应收账款坏账准备。
b)审批程序执行:采用了OA工具,所有流程均有实时而快速的审批。
C)收款与收入确认:笔者牵头提出开发需求,由技术部门开发消耗收入计算和管理系统,根据第三方传递来的收款收据,计算公司每月配比的实际收入,月末与业务人员确认后,确认收入,由此,公司收入数据更为准确,每月的报税收入金额减少,延迟了税收缴纳的时间,同时由于收入与费用配比,能够更好的分析各项业务的毛利率和经营情况。制定了《应收账款管理制度》,明确了业务人员的收款责任。公司汇款速度加快,资金利用率提高。
d)资产核算:根据采购部、资产管理员提供的发票、验收单,配合支付情况,按会计规范入账。(如前述)e)财务报告:由财务分析员每月生成财务报告以及内部管理报告。
f)期末结账:《费用报销规定》明确费用不得跨期报销,当期费用当期报销,特殊情况无法提供票据的需将OA流程提交后由会计人员按时计提。
4.2.6信息系统管理改进
结合XY公司的实际情况,笔者认为XY公司的信息系统管理内控改进的控制点及目标表4-9所示:
根据公司开发流程,由笔者参与提出设计需求,公司自主幵发出了智能化OA系统,结合信息系统控制的相关要求,达到了异地办公、移动手机办公、手机信息及时推送、提高办公效率的目的。以自主研发的OA系统为载体,连接公司运营收入系统、财务系统,达到协同办公和规范流程运作的目的。同时,笔者认为在信息系统管理内控中,应注意执行以下措施:
1、信息系统开发控制
根据前期信息系统幵发过程中存在审批、签发、立项、测试、用户操作手册及环境分离的相关问题,公司根据存在问题,修订并重新签发了以下制度:《网络安全管理》、《系统开发管理》、《系统变更及紧急变更管理》及《需求管理》、《产品测试管理》、《系统权限管理》、《运维管理》、《数据中心(机房)管理》、《外包服务管理》、《电子邮件使用管理办法》、《用户账号口令管理办法》、《数据备份管理》和《电子设备管理》等相关制度。并且在组织结构和人员岗位职责上明确了相关控制点的责任义务。
2、信息系统运行与维护控制
1)硬件设备更新修复:新的股份公司成立了信息中心,独立的信息中心除负责公司硬件维修复、网络管理、信息安全管理、IT资产管理。硬件设备运行状况分段24小时监控,以防止出现意外情况。
2)信息化会计档案管理:新的OA系统上线后,合同档案在系统中保管并有系统备份文件,财务人员不用再专门保管。
3)会计信息管理及营运数据管理:强化了财务人员和营运数据接触人员关于数据保密性的相关要求。
4)操作系统和数据库的审计策略和密码策略:根据前期在公司财务系统中发现的审计和密码策略漏洞,经与技术人员沟通,确定公司操作系统和数据库的审计策略和密码策略如表4-10所示:
5)用户账号(包括系统管理员)管理:用户账号管理问题:建立正式的用户账号管理制度和流程,建立正式的申请表,并对表格进行编号,定期核对系统内创建的用户账号是否与申请表相符;系统管理员做到一人一个账号,如果有借用情况,将借用账号的情况在日志中记录完整,并由借用人签字确认,归还后应及时修改口令;公司将应用系统管理员、服务器操作系统管理员、数据库管理员三员分离,避免了以往一人多岗的情况,确保符合职位不相容原则。
6)权限管理:建立了《用户账号权限管理制度》,制定权限审批流程并在OA上执行留痕;公司对各应用系统的用户授权严格按照制度要求进行操作,并对用户权限申请表进行严格的审批流程,做到权限与岗位相匹配,遵守权限最小化原则;各应用系统管理员在开通或撤销用户权限时进行操作授权的记录,以便于未来对授权情况的追溯;应用系统管理员定期将用户权限导出,交由相关业务部门负责人确定用户账号的权限与实际使用者相符,并在用户权限清单上签署审阅意见,交由系统管理员保留。
7)密码管理:建立《用户账号密码管理制度》,增加用户的安全意识,并要求定期更换密码;对密码复杂度进行设置,强调密码的复杂度。
8)机房(数据中心)管理:建立了《机房管理规定》,包括但设备管理、网络安全、系统管理、巡检制度、出入登记制度等内容;建立《机房出入记录》,内容应包括:申请人姓名、出入原因及出入时间,机房管理员签字确认等信息,当发生设备维修人员进入机房的情况时,应填写《机房出入记录》;数据中心的巡检人员应在《数据中心日常巡检表》中记录故障或问题描述,并应将处理方法、处理时间等内容填写在《数据中心日常巡检表》中;对于机房的物理环境,要做到防火、防盗和防震措施。
9)数据备份与恢复策略、应急演练:公司完善《灾难恢复计划》中的内容,包含灾难恢复的执行人名单、具体联系方式、系统恢复的责任人等内容,并将每年更新之后的《灾难恢复计划》提交至公司相关领导进行审阅并签字确认;每年进行灾难演练后应将该演练结果提交至公司相关领导进行审阅并签字确认;管理员定期对数据备份执行情况进行检査并记录检查情况,由分管技术相关负责人审阅此类记录并签署意见;统管理员定期对备份数据实施恢复性测试,测试过程及结果应详细记录,测试过程中应实施适当的职责分离,如备份执行人不能单独进行恢复性测试,以防止个人舞弊行为的发生。
10)设备报废处理.公司应在每次电子设备进行报废前对数据进行清除,并详细记录数据清除的情况,由报废操作人及核查人进行签字确认,最终妥善保存数据销毁记录。
11)员工机器病毒软件安装、更新及检查记录:系统管理员定期对PC机的杀毒软件情况进行检查,并记录检查结果。
12)应用控制:针对个人充值:完善了对账系统,获取对方支付明细以尽可能保证充值金额和对付数据一致;建设差异分析报表,让财务人员能够查询差异原因,作为入账凭证。针对厂商合作:每月取得对方的收款明细,按订单号建立对账系统;生成差异分析报表,作为财务坏账处理凭证。
13)数据加密:由研发部门每月定期修改产品加密文件,减少外部破解产品的使用周期;对于经销商自提卡密数据,进行了系统改造,密码数据库存储为加密字符串。点卡除了后台保存密文外,除经销商自已外,在任何地方都不存在副本,任何人在后台系统中也不能看到密码。活动卡在导出时强制要求存为8位密码的加密文件。
4.3 XY公司内部控制改进后运行评价
如3.4所述六方面的内控措施,在XY公司试运行了或长或短的时间。已落实的部分措施和制度总体而言较为有效,提升了公司管理水平,达到了控制成本、增加收入、防范舞弊、保障股东和w工权益的目标,但是,部分措施也显得较为繁琐,效率较低。
4.3.1采购管理
1、成立采购部,明确岗位职责后,釆购工作得以有效监督,公司采购成本下降。以带宽采购为例,采购单价平均下降5%,带宽采购占收入比例由成立采购部以前的28%下降到26.69%。
2、不相容岗位的分离和流程的规范分离,降低了员工舞弊可能的发生。
3、前置审批环节避免了员工先斩后奏的情形发生,把审批矛盾从财务和总裁处分散到了部门、分管领导,明确了各节点审批人的权责。
4、绩效考核制度的出台,对釆购人员节省成本的表现予以肯定,提高了员工工作的积极性。
5、移动办公OA系统的应用,提高了采购审批速度。
4.3.2资产管理
1、资产管理系统的使用大大方便了公司的资产管理,公司的资产情况清晰明了,避免了电子设备的过度釆购,监督了采购价格,降低了采购成本和员工舞弊成本。
2、规范了物资的领用、验收、调配、维修、报废等相关流程,保证了公司资产的完整性,延长了资产使用寿命,减少了釆购支出。
3、公司未再出现资产盘亏或盘盈的情况,也未出现资产与账务无法对应的情况。大大方便了公司的资产管理,公司的资产情况清晰明了。
4.3.3市场业务
1、官方网站销售职能从技术部门划分出来,让技术部门有更好的空间潜心技术研发,同时产品部的数据分析职能让公司管理更为精细化,用户付费转化率通过数据统计和技术改良得到很大提高,大幅提高了公司业绩。
2、有了制度和流程的保障,市场工作人员的分级授权得以明确,市场人员在合作谈判中有了价格约束,保障了公司的基本利益不受损失,通过规范的厂商级别评定给予统一的分成价格,保障了 XY产品的市场价格平衡,得到了合作伙伴的认可。明确了以往含糊不清的价格体系,使管理更加精细化、有据可依,也梳理清了工作流程,提高了管理效率。
3、配合考核政策的实施,优秀的市场和销售人员收入得以大幅提高,减少了市场和销售人员徇私舞弊的几率。
4、规范了市场合同审批签署流程,降低了市场与技术部门人员信息不对称的情况,提高了管理效率。
5、销售业绩和市场投入的效果监督,控制了市场投入,减少了公司开支,使市场投入更为有效。
6、明确了市场销售人员的催款任务,应收账款周转率大幅提高,账龄明显缩短,坏账减少。
4.3.4研究开发
1、完善后的研宄开发内控体系,分工、授权更为明确。基层员工有较大的自主开发权限,员工积极性较高。同时配合考核体系,研发人员的工作量和工作效果能有较好的量化标准,提高了收入分配的公平性。
2、立项、结项等流程更为完善,做到了有据可依。但是也一定程度上增加了工作人员的工作量,减缓了工作速度。
3、依赖信息系统的建设,研发工作和权责利更加清晰,沟通更加顺畅,改善了以往信息不对称的情况。
4.3.5财务管理
1、新的财务部人员和管理结构和岗位职责的运用,使企业财务工作从以往的简单的财务核算转变为核算、分析、指导运营和投资,为管理层提供管理依据和数据的综合财务管理工作,使管理层在进行经营决策时更有据可依。
2、规范了资金管理,减少了财务舞弊现象的发生,避免了资金占用的情况,维护了股东和债权债务人的权益。
3、建立了预算制度,使公司能有有计划地进行经营,改变了以往成本控制的无序状况。
4、规范了财务核算和财务报告制度,使财务报表能够清晰地反映经营状况。
5、建立了分级授权审批制度,改善了各审批节点承担的责任,也使中层经理有一定的审批权限,提高了管理积极性。
6、内部审计起到了较好的监督作用,规范了财务操作,避免了经营风险的发生。
4.3.6信息系统管理
1、新开发的XY公司OA集成办公系统,根据XY公司的具体需求,开发了 QQ消息和手机短信即时推送,并开发了手机端APP,整合了收入运营系统和财务系统,达到了协同办公的目的,极大提高了办公速度。
2、规范了使用人员授权和权限,通过锁定物理地址、记录IP地址等手段,避免了公司商业机密泄露的可能。
3、完善了数据加密、数据备份等事项的漏洞,确保公司数据库和产品信息的安全性。
4、IT审计提高了公司信息系统管理的规范性,防范了员工舞弊,保证了企业经营效益与经营安全。