MOTOROLA内部控制标准 1.0一般控制要求 2.0收人周期 3.0采购周期 4.0工资周期 5.0制造周期 6.0融资周期 8.0计算机系统控制 一、序言 自1979年,摩托罗拉就已正式阐明一项公司完善经营和财务控制制度的政策。内部控制标准的产生,以文件的形式证明哈托罗拉始终不渝地遵守适用的法律和规定,实行可靠的经营和财务报告制度,以及保证本公司业务活动和记录的完整。“摩托罗拉内部控制制度”及与之相关的外部环境的概述如下。
此版标准的颁布,旨在保证控制标准符合自上一版以来由于不断变化的全球商业环境,新制定的法律规定以及计算机技术和应用的进步使之成为必需的控制要求。此版亦加强了手册向使用者传达内部控制标准和准则的有效性。对风险和标准信息进行了修正,以保证在全公司内得以适当地解释和应用。对上一版未包括的业务活动增设了标准。对1989版的重大更改的概要见附录C。
二、目标 正如总裁和财务总监在引言中所述,良好的内部控制是实现我们的主要创意和目标之根本。例如,要达到和超过六个西格玛质量和不断地缩短循环作业周期,不仅在我们的工厂,而且在维修中心,销售中心,行政管理部门以及整个组织,都需要良好的程序管理。运用本文件所述的控制标准可以有助于消除瓶颈,冗余和不必要的步骤。内部可以防止资源损失,其中包括固定资产,库存,专有资讯及现金。内部控制可以有助于确保遵守适用的法律和内部规定。按照内部控制准则定期进行审计,可以确保一个控制过程始终是受到控制的。
此文件的目标旨在确保全公司具备基本的和一致的内部控制。摩托罗拉内部控制标准第三版是全公司各职能部门众多摩托罗拉同事不懈努力的成果。其中的控制标准,是以达到我们内部控制制度的基本目标的方式撰写的。这一制度认识到,必需符合我们的客户、股东的期望,遵循我们的法律规定,例如1977年国外反腐败法案(见附录B)和证券交易委员会条例。遵循这些控制是义不容辞的。摩托罗拉董事会审计委员会,公司审计部,以及我们各事业总部,集团和分部的财务部门将监察我们对这些标准的遵守。
三、范围 这些标准适用于摩托罗拉在全世界各地的事业总部,集团,分部,单位,子公司及各职能部门;
适用于所有业务,无论是设备或部件制造厂家,维修中心,抑或,如适当的话,合资企业经营,均为适用。此标准一般性地反映控制目标,并不试图描述各组织所需的专门控制技术。这些内部控制标准旨在就有关资源保护、经营和财务信息的可靠性以及遵守法律和规定等事项,提供合理的、而非绝对的保证。合理保证的概念认为,控制的成本不应超出可产生的效益。这一概念还认识到,忠诚不渝,良好的业务判断以及一种良好的控制文化是必不可少的。
就管理人员选择控制程序和技术而言,实施控制的程度是一个合理业务判断问题。如果其中任何控制标准都不切实际或不可行,如在小规模或偏远地区的业务经营或合资企业经营,管理人员必须从下列备择方案中作出选择:
·通过加强监察和审计改善现行管理;
·制定替代或补偿性控制措施;
和/或 ·接受薄弱控制所固有的风险。
四.过程 此文件中的控制标准,正如内部控制盘所表明,不应被视为“孤立的”。内部控制标准,工作程序准则,财务和人力资源政策以及摩托罗拉行为准则均应被视为建立、维护和改进摩托罗拉内部控制制度过程的组成部分。
内部控制的过程,如下文所述,必须以我们的六个西格玛质量和缩短循环作业周期的创意为推动力,发布反映我们授权于员工和不断进取的宗旨。所有各级组织必须全力支持。过程本身应包括经营分析,制定控制程序和技术,交流及监测。经营分析要求对风险作出评估和确定适当的控制目标。还必须对经营环境(例如自动化水平,就地授权和资源)予以考虑并进行成本一效益分析,以确保控制成本不超过其效益。
根据经营分析,可以选择专门的控制技术或程序。这些技术或程序可以包括批准,授权,调整帐目,职责分工,审查以及文件记录。在整个过程中,必须通过培训,意识和反馈的形式达到广泛的交流。内部控制一俟就绪,应受到监测和评价。这一点可以通行自行审计,内部审计及外部审计在一定程度上的结合来完成。得到的反馈可以用来进一步改进内部控制制度。
五、责任 所有摩托罗拉员工都有责任遵循内部控制标准。每一事业总部,集团,分部单位,子公司以及设施的总经理、财务经理或财务总监都要“身先士卒”,为遵守内部控制创造合适的环境。他们必须保证本手册所提出的控制准则在其组织内得以确立,适当地形成文件和贯彻执行。这些标准的执行情况,将由公司审计部的定期审查以及,如果可能的话,以自行审计来监督,并将纳入各事业总部和集团呈交公司财务管理部门的报告书。
六、舞弊 舞弊是有意的盗窃、挪用、侵吞摩托罗拉公司的财产。摩托罗拉公司的财产包括,但不限于;
现金、产品、原料、设备、用具、废品、残品、维修服务、软件和知识财产。公司员工,客户,供应商等其他人员均可能有舞弊行为。调查表明,因舞弊给公司造成的损失已占年收入的0.05%到2%,其中大多数事件或举报的舞弊行为是业务关联单位所为。舞弊行为已发展到被认为是一种可乘之机或可以接受的合理行为。
在登记和报告公司帐目中也会发生舞弊。财务报告全国监察委员会对报告舞弊有如下定义:
财务报告舞弊属于有意或疏忽行为,无论是否有意或者疏忽:结果都是产生有重大误导的财务报表。财务报告舞弊涉及许多因素,以许多形式表现出来,可以是蓄意、严重地歪曲公司记录,例如盘存标签,或者是虚假的业务事项,例如虚假的销售和订单数字,可以是滥用会计原则。公司任何一级的员工,上至最高级管理人员,到中层管理人员,下至最低层员工均有可能牵涉到舞弊事件中。” 对舞弊的威摄和预防 摩托罗拉的每一位经理都有职责创造一个控制体制和环境,它能够防止员工、供应商、客户等其他人员所处的地位不同时具备舞弊的方法和机会。摩托罗拉的管理当局已经建立了一种结构,通过推行内部控制,将其作为良好的商业行为,防止公司存在舞弊的机会。这一结构包括:摩托罗拉行为准则,内部控制标准的培训、工作程序准则,财务准则,电子资讯安全标准和公司的其它标准和政策。
舞弊的检查和报告 摩托罗拉每一位员工都有职责协助预防舞弊的发生。如果员工发现可能发生舞弊的情形,应向其管理部门报告。如果员工怀疑已经发生舞弊行为,必须向当地财务总监和保安经理报告。所有实际发生的舞弊行为,必须向总公司保安部部长报告。
对于怀疑的舞弊行为,员工不应试图进行个人调查。调查工作将由保安部、法律部和审计部进行 舞弊报告热线电话 如果员工怀疑有舞弊行为,应使用美国电话800-5-ETHICS报告。
七、修订 根据需要,将对内部控制标准加以修订。修改建议通过摩托罗拉内部控制委员会提出。所有有关标准的修订,均将由公司总监办公室审查和认可。
八、控制标准的例外 在极少数情况下,从成本的观点出发,或对规模较小的机构和偏远场所,内部控制标准的某些部分可能不切实际,在这类情况下,该组织应请求准许遵循不同的控制程序。
要求采用替代控制程序,应按照各事业总部/集团的政策予以审查和批准。
内部控制标准 导论 本文件中的基本控制目标是按业务周期的模型分别阐述的,以便于实施,参考和后续评估。业务周期的定义是一系列相关的事件或过程。通常,一个周期包含一项业务从开始到完成的全过程。例如,一项业务的收入周期包括;
接受客户定单,装运材料,为客户开具票据,保持应收帐款记录,以及记录客户的支付。
每一周期内部的控制准则,旨在符合我们内部控制制度的基本目标和外部要求,其中包括公认会计原则以及适用的法律和规定。然而控制标准之根本是:
(i)按照管理部门一般或特定的授权处理业务事项;
(ii)业务事项要予以正当的说明和准确及时的记录;
(iii)公司的资产和记录要予以妥善的保护。
下面的控制矩阵是按照上述标准处理所有业务事项的一般准则:
控制矩阵 控制矩阵 目标 输入 处理 输出 授权 来源是否经过授权? 程序是否被批准? 是否与所批准的相符? 记录 是否准确和完整?是否及时?是否有文件证明? 由谁处理?何时处理?是否遵循程序?是否可恢复?管理人员的审查是否充分? 是否准确和完整?是否有审计线索?管理人员的审查是否充分?是否平衡? 保护/安全 应由谁控制?责是否划分? 谁可进入?职职责是否划分?遵循的程序是否完善? 是否有保密性?谁应持有?差异是否得以妥善的解决? 验证 来源是否正当? 关于差异的调查和审查是否充分? 管理人员的审查是否充分? 1.0一般控制要求 下列一般控制目标适用于所有业务周期,摩托罗拉的所有经营均应予以采纳。
内部控制标准 1.1所有雇员必须遵守摩托罗拉行为准则(见本文附录A)。高级雇员需定期确认对行为准则的遵守。
1.2所有有关组织必须奉行摩托罗拉有关政策和程序指南。摩托罗拉各经营单位内部制定的政策和程序最低限度必须符合公司政策所规定的控制要求,不得与其冲突。政策和程序必须予以定期审查和更新。
1.3必须在公司所有的职能领域建立和维护充分的职责和管理责任划分。一般而言,保管、处理/经营和会计等责任应予以划分,以便独立地审查和评估公司的运作。如果充分的责任划分无法实现,必须建立其他补偿性控制,并形成文件。
1.4任何人不得直接或间接伪造或促使伪造公司的任何帐册,记录和帐目。
1.5所有组织必须制定一项内部控制制度,确保公司的资产和记录得以妥善的保护,以防丢失、破坏。被盗,更改或未经授权的接触。
1.6公司的记录必须按照既定和认可的记录保管政策予以维护。
1.7所有经营单位的成本和费用必须保持在预算控制以下。必须定期对实际费用与预算进行比较,所有重大出入均须予以调查。
1.8必须就公司信息的敏感性/保密性对雇员进行教育,未经授权雇员不得向公司以外的个人或“无需知道”的公司雇员泄露此类信息。处理保密/专有信息亦需具备充分的安全措施。
1.9所有经营单位和设施必须制定向经营管理部门证明和报告舞弊,贪污及违反法律和商业道德行为的程序。任何重大事件的报告必须送交公司的法律,审计和保安部门。
1.10公司业务循环中的重要业务事项,必须是可追查的,经授权的,经鉴定的,完整的,并必须按照既定和批准的记录保管政策加以保存。
2.0收人周期 收入周期包括如下职能:收取客户订单;
给客户确定资信;
装运或交付货物、设备或劳务;
开具销售和租赁业务帐单井予以记录;
维护和监督应收帐款;
建立有效的收帐程序;
记录和控制现金收入;
以及恰当地估价应收款余额。
管理人员选择控制程序和技术过程中,实施控制的程度是一个合理的业务判断。决定内部控制实施程度的一般准则是,控制成本不应超出所产生的效益。
收入循环包括的具体职能或部门是:
2.l订单入帐/审核 2.5应收帐款 2.2资信 2.6收帐 2.3装运 2.7现金收入 2.4开具帐单 2.1·1订单必须予以记录,记录的依据只能是客户的订货订单或其他证明客户正式订货的证据。
参照风险:A-1,A-2,A.3 2.1.2在接受或装运新客户订货之前必须对其资信加以审查。
参照风险:A-4 2.1·3客户要求的货物或劳务,如未作专门规定或与客户购货承诺不符,须经财务管理部门批准之后才可处理。
参照风险:A-5 2.1.4接受订单的正式确认书必须及时送至客户,除非合理的业务惯例另有其他规定。
参照风险:A-6 2.1.5订单在送交生产及或装运之前,必须有适当的证明并全面审核。需经审查的项目包括:有关的合同格式,购货订单条件,装运和支付条件,资信批准,适用税赋单据及计算,价格总金额,产品的适当性以及是否遵守联邦,州及地方政府的法律和规定及出口管制要求。
参照风险:A-l,A-2,A-4,A-7,A-8 2.1.6折扣和折让如超出事业总部/集团管理人员所规定的数额,需经市场营销部和财务管理部门批准。
参照风险:A-8 2.1.7客户订单信息必须严加保护,未经授权不得接触。
参照风险:A-9 2.1.8未结清订单必须定期予以审查,以查明有无拖欠订单。拖欠订单应予以研究和解决。
参照风险:A-10 2.1.9在接受销售和租赁合同之前,必须制定审查和批准政策和程序,并编制成文件。
参照风险A-11 A-1可能在没有有效的客户承诺的情况下制造和装运产品,或履行劳务。
A-2制造订单上的产品、数量、售价、付款条件、销售或运送地址可能有误。
A-3可能根据无效订单支付销售佣金。
A-4产品或劳务可能售给一未经核准或资信不足的客户,结果导致帐款无法收回。
A-5装运的产品可能与客户订单不符,并可能由客户转为个人使用。
A-6在制造和装运之前可能无法查明和更正订单L的错误(如产品、数量、价格) A-7不遵守政府规定可能导致巨额罚款、处罚及或出口优先权的丧失。
A-8可能接受、处理了管理部门不能接受的价格及或条件的订单。
A-9销货订单可能丢失、销毁或更改。保密资讯可能被利用,给公司造成损失。
A-10可能无法表明拖欠订单,结果导致客户不满及或撤销订单。
A-11销售和租赁合同在定价、条件、处罚条款或资信风险方面可能为管理部门所不能接受。
2.2资信 2.2.l摩托罗拉的每个单位内部均须制定正式的书面资信政策和程序,并已必须由事业总部/集团财务管理部门审查和批准。
参照风险:B-1,B.2 2.2.2必须对每一客户确立资信限额。在适当的情况下,“无限”资信额度是可接受的。必须在客户的资信记录上记入资信限额,资信限额必须以对于客户支付能力的审查为依据。应使用可靠的外部信息来确定这种限度。
参照风险:B-2 2.2.3在接受及或装运客户追加订货之前,必须审查经批准的资信限额和现有应收帐款余额。超出资信限额,需先经财务管理部门认可。
参照风险:B-2 2.2.4既定的客户资信限额必须至少按年度审查,以查明是否充分。在适当情况下,资信限额的调整必须由财务管理部门作出和批准。
参照风险:B-2 B一1资信审查方法不一致及或不充分。B-2产品或劳务可能售给未经核准的客户,或售给不能接受的资信风险对象,结果导致坏帐。
2.3装运 2.3.1所有从摩托罗拉设施装运的产品或设备均需正当的授权。
参照风险:C一1,C-2,C-3,C-4 2.3.2销售订单或装运授权应定期予以登记(至少每月一次)。
参照风险:C-3,C-5,C.9 2.3.3所有发货必须准备适当准确的单据。
参照风险:C-1,C-2 2。3.4所有装运的货物单据必须有编号控制。货运证明必须送交会计或开帐单部门。如果序号的完整性不是由计算机控制的,货运单据必须预先编号。
参照风险:C-3,C-7,C-8 2.3.5必须从承运人那里获取货运证明,例如签字的提单,以确定产品或设备的实际和合法转让。这类单据必须始终反映实际装货日期。
参照风险:C-3,C-6,C.7 2.3.6待装运的产品的类型和数量必须至少以抽查的方式予以核实。
参照风险:C-2,C-4 2.3.7如良好的业务惯例所规定的。装运部门地点应与生产和验收设施划分开。
参照风险:C-4 2.3.8进入装运地区必须仅限于被授权的人员。
参照风险:C-4 2.3.9每一装运场所必须建立同销售截止程序,该程序必须经经营管理部门和有关财务管理部门批准。
参照风险:C.7 2.3.10空白装运核准单,数控装运票据以及提单必须加以保护,防止未经授权的接触和使用。
参照风险:C-8 2.3.11装运职能部门必须独立于开票和应收帐款职能部门。
参照风险:C-3,C-10 C-1货物可能发往错误的或未经核准的客户,或发往错误的客户地点。
C-2装运的产品或数量可能出现误差;
或者产品的装运可能提前、拖后、或违反出口管制及或海关要求。
C-3产品或货物可能已经装运,但未予开票据或未予记录。
C-4客户的货物可能被丢失,误放或盗用。
C-1货物可能发往错误的或未经核准的客户,或发往错误的客户地点。
C-2装运的产品或数量可能出现误差;
或者产品的装运可能提前、拖后、或违反出口管制及或海关要求。
C-3产品或货物可能已经装运,但未予开票据或未予记录。
C-4客户的货物可能被丢失,误放或盗用。
C-5经核准装运的产品可能未装运。
C-6摩托罗拉可能无法向承运人追偿其丢失的产品。
C-7由于完整的和准确的信息可能来送到会计或开票部门,收入和与之相关销售成本可能记入错误的会计期间。
C-8关于已装运的产品无法进行会计处理。未开票及或被盗用的发货可能无法查明。
C-9可能无法及时查明和解决拖欠或丢失的销货订单。
C-10可能发生有意制造差错或资产私吞问题。
2.4开票据 2.4.1销售业务的会计责任属于财务部门的职责,不得授于任何其他职能部门。如果发票是由计算机制作的,财务部门必须确保发票制作的全面控制。
参照风险:D-1,D-2,D-3 2.4.2开票职能部门必须独立于装运和应收帐款职能部门。
参照风险:D-3 2.4.3开票业务必须依据发货和订单/审核单据及时处理。如果序号的完整性不是由计算机控制的,所有发票必须预先编号。
参照风险:D-l,D-2,D-4,D-5 2.4.4必须建立程序以确保所有装运的货物均已开出帐单,例外事项得以及时解决。
参照风险:D-2,D-3,D-4 2.4.5必须具备充分的审查或计算机审核,以确保发票记录准确,收入记入有关会计期间。
参照风险:D-1,D-2,D-4 2.4.6帐单中的项目可绝对不允许错列。
参照风险:D-4,D-6,D.9 2.4.7必须按照地方法律在帐单中列明销售税或增值税。如果不开税票,需有客户免税资格证明。必须取得该证明并予以存档。
参照风险:D-7 2.4.8所有“免费”发票,或为非摩托罗拉单位提供货运或劳务的其他“兔费”票据,必须具有财务管理部门以及,如果适当的话,市场营销管理部门的书面批准。
参照风险:D-8 2.4.9所有为非摩托罗拉单位提供货运或劳务开出的“备忘帐单”等文件必须有财务部门的书面批准。
参照风险:D-I,D.3 2.4.10发票开具完毕必须直接送交客户,不得返回资信/收帐部门修改。
参照风险:D-10 2.4.11必须建立合适的截止程序,以确保收入入帐的正确。
参照风险:D-4 2.4.12所有向客户发送的贷记凭单,必须在发出之前附有单据证明,并经财务部门批准。
参照风险:D-3,D-11 2。4,13贷记凭单必须按序号控制并定期予以登记。如果序号的完整性不是由计算机控制的,贷记凭单必须预先编号。
参照风险:D-4,D-12 2.4.14空白发票和贷记凭单必须予以安全保护。
参照风险:D-13 2.4.15所有租赁,工时和材料,劳务以及进度收款帐单必须按照有关的合同或协议及时予以处理。必须按照公认会计原则对取得的收入予以确认。
参照风险:D-4,D-5 2.4.16“收帐通知单”或“见下”发票(没有直接从工厂给客户开票,而是分别开具发票)必须按照事业总部/集团的政策予以处理。这类发票需有财务管理部门的事先书面批准。
参照风险:D-9,D-14,D-16 2.4.17“收帐通知单”或“见下”发票必须及时与购货合同或协议以及有关工厂的发票核对。
参照风险:D-9,D-15,D-16 D-1销售业务的处理可能出现错误,帐单和其他条款可能有误。
D-2销售业务可能已经发生,但是未予开出帐单及或未作记录。
D-3可能发生有意差错或资产盗用。其中包括:
产品可能装运,但未开帐单。
b发运货物可能开出帐单,但未做会计记录。
产品可能开出帐单并予以记录,但未装运。
D-4收人和销售成本记录可能出现错误及或记录于错误的会计期间。
D-5由于帐单开出不及时,现金流动可能无法达到最大限度,可能形成无法收回的帐款。
D-6可能违反出口条例要求。公司亦可能由于发票有误而受到外界起诉。
D-7如果档案中没有充足的证据证明免税资格,摩托罗拉将负担帐单中未列的销售税或增值税。
D-8“免费”业务可能无法如实地记入会计帐册。公司内部往来交易可能无法查明。
D-9摩托罗拉可能帮助客户绕开客户的内部控制制度。
D-3可能发生有意差错或资产盗用。其中包括:
a产品可能装运,但未开帐单。
b发运货物可能开出帐单,但未做会计记录。
C产品可能开出帐单并予以记录,但未装运。
D-4收入和销售成本记录可能出现错误及或记录于错误的会计期间。
D-5由于帐单开出不及时,现金流动可能无法达到最大限度,可能形成无法收回的帐款。
D-9摩托罗拉可能帮助客户绕开客户的内部控制制度。
D-10可能发生有意更改发票及或应收帐款问题。
D-11贷方业务事项可能反映不恰当的业务处理或有悻于良好的业务惯例。
D-12未能将所有贷方业务事项记入会记帐册。
D-14可能发生未经批准使用单据问题,结果造成收入损失或给摩托罗拉的声誉造成不利影响。
D-15帐单错误可能无法立即查明和解决,导致收入损失。
D-16帐单错误可能导致客户不满。
2.5应收帐款 2.5.1负责应收款帐目的人员不得兼负帐单处理或汇款责任。
参照风险:E-l 2.5.2应收帐款明细帐必须根据经核对的给客户的帐单和汇款为依据予以记录。必须制定程序以保证准确和及时地记录发出帐单和客户付款。
参照风险:E-2,E-3,E-6 2.5.3应收帐款明细帐必须按月与总分类帐调节。应妥善处理任何差额。该项调节应经上一级会计主管人员批准。
参照风险:E-4,E-6 2.5.4应收款帐龄分析必须由财务部门审查,以查清有无异常或严重的拖欠帐款项目。帐龄分析必须准确无误,不得歪曲客户债务种类(例如,订金,预付款,或未分配的现金或资信额度)。
参照风险:E-3,E-5 2.5.5必须采用应收款帐内部管理报告制度。内部报告或档案包括,应收款收帐周期,帐龄分析,拖欠帐款清单,潜在核销帐项,以及收帐工作是否健全等等。
参照风险:E-3 2.5.6所有对应收帐款余额的调整(例如:贷记通知,销售退回,折让,应收款帐的核销,借记通知)必须根据有关事业总部/集团的政策经批准后予以调整,并于确定调整时记入当期帐目。已确认的帐款调查不得耽搁或推延。
参照风险:E-6,E-7,E-8 2.5.7各事业总部/集团财务总监必须制定一套应收款(如果适当的话,应包括长期租赁应收帐款)估价准备政策,以便反映应收款可变现净值。该政策必须包括坏帐准备,以及,如果适当的话,帐单调整准备的计提规定。
参照风险:E-5 2.5.8必须至少按季度审查估价准备,以查明是否充分合理,并按照要求作出调整。参照风险:E-5 2.5.9应收帐款明细帐必须妥善保护,以防丢失,毁损或未经授权擅自接触。
参照风险:E-9,E-10 2.5.10应收雇员及其帐龄分析,包括差旅费借款,必须与客户应收帐款明细帐分开保管,并且必须按月审查和核对。
参照风险:E-3,E-4,E-6,E-11 E-1可能发生有意制造差错或资产私吞问题,例如:
销售发票开出,但未记录。现金一经收讫,即被私吞。
b现金收入入错客户帐户及或被私吞或挪用。
E-2由于发票及或现金收入可能未予记录,记录错误或记录于错误的会计期间,明细分类帐可能不准确。
E-3收帐工作效率低下,及或因帐龄分析有误造成怠误客户汇款或核销拖欠帐款。
E-4总分类帐或明细分类帐的差错可能无法及时查明并更正。
E-5应收帐款和长期租赁的估价准备计算可能有误。应收款净额和有关的财务报表可能误报。
E-6财务记录和财务报表可能误报。E-7所进行的调整可能不符合良好的业务惯例,或可能无法发现调整中出现的差错。
E-8能够收回的应收帐款可能被核销,及或现金收入可能被私吞。
E-3收帐工作效率低下,及或因帐龄分析有误造成怠误客户汇款或核销拖欠帐款。
E-4总分类帐或明细分类帐的差错可能无法及时查明并更正。
E-5应收帐款和长期租赁的估价准备计算可能有误。应收款净额和有关的财务报表可能误报。
E-6财务记录和财务报表可能误报。E-9应收款帐目记录的丢失,毁损或涂改可能导致无法收回应收帐款。
E-10未经授权使用客户应收帐款资料可以给摩托罗拉的竞争地位和声誉产生不良影响。
E-11可能无法向被解雇雇员收回其欠款。
2.6收帐 2.6.l各摩托罗拉单位必须制定正式的书面收帐程序并付诸实施。这些程序必须由事业总部/集团财务管理部门审查和批准。
参照风险:F-1 2.6.2收帐部门必须定期审查应收帐款(借方及贷方)余额,并对所有超过销售条款规定期限的帐款开展收帐工作。收帐工作应形成文件记录,妥善地存入客户资信档案。
参照风险:F-2,F-3 2.6.3对客户来信(对帐单/装运货物的投诉,劳务问题等等)必须予以及时的调查和解决。参照风险:F-3,F4 2.6.4冲销客户应收帐款应按照各事业总部/集团和融资部门的政策备有充分的文件证明并经过批准。
参照风险:F-3,F-4 F-l实施的收帐政策和程序可能不健全或不一致,结果可能导致收帐工作不恰当、无效率。
F-2由于不健全的收帐工作,拖欠帐款可能不得不核销。
F-3可能无法及时查明和纠正现金收入的挪用或盗用。
F-3可能无法及时查明和纠正现金收入的挪用或盗用。
F-4客户的不满可能导致丧失客户。
2.7现金收人 2.7.1所有现金收入,一经收讫,必须立刻严格背书(划线)和妥善保管。
参照风险:G.l 2.7.2现金收入必须每日登记日记帐并存入银行,或按良好业务惯例规定办理。现金收入日记帐必须与银行报表核对,并按月记入总帐。
参照风险:G-2,G-3 2.7.3如良好业务惯例允许,控制和负责支票/现金的收取和存入银行的人员,不得兼任以下责任:
a.记录应收款明细帐;
b记录总分类帐;
C.收回拖欠应收款;
d.批准核销坏帐;
e.批准贷记通知,折扣,折让或客户退货;
f.准备帐单文件 参照风险:G-1,G-2 2.7.4应鼓励客户将付款直接汇至上锁信箱(如果可行的话)或摩托罗拉在银行开立的存款帐户。
参照风险:G-l,G-3 2.7.5所有客户汇款必须立即记入应收款明细帐和具体的客户帐目。未确认的汇款必须立即调查和解决。
参照风险:G-2,G-4,G-5,G-6 2.7.6必须制定客户汇款月截止程序。
参照风险:G-5,G-6 2.7.7必须对客户的杂项汇款收入制定健全的控制程序。这些程序必须由有关财务管理部门批准。
参照风险:G-l,G-2 G-1现金收入可能丢失及或被盗用。
G-2丢失的,错记的及或被盗用的现金收入可能无法及时查明和纠正。
G-3现金流动可能达不到最大限度。
G-2丢失的,错记的及或被盗用的现金收入可能无法及时查明和纠正。
G-3现金流动可能达不到最大限度。
G-4由于客户应收帐款不准确,收帐工作的效率可能不佳。
G-5应收帐款内部管理报告所列入的应收帐款余额及或应收款帐龄分析可能不准确。
G-6财务记录和财务报表可能错报。
3.0采购周期 采购周期包括如下职能:保证供应来源并确定供应商资格;
提出材料、设备、货物、用品或劳务请购单;
从经批准的供应商处索取货源和价格资料;
发出订单;
检查验收材料或商品;
计算应付供应商的款额;
以有控和有效的方式办理支付。
管理人员选择控制程序和技术的过程中,实施控制的程度是一个合理业务判断。决定内部控制实施程度应使用一般准则是,控制成本不应超出所产生的收益。
“采购周期”包括的具体职能或部门是:
3.l选择和保留供应商 3.2购货 3.3验收 3.4应付帐款 3.5付款 3.l选择和保留供应商 内部控制标准 未达到标准在在的风险 3.1.1 必须按照事业总部/集团政策制定供应商选择和资格确认的程序,并经过批准。事业总部/集团政策必须明确,选择供应商过程涉及采购、工程设计和制造,质量保障,财务与销售等方面。选择供应商不得只由采购部门或采购人员负责。选择和确认供应商资格的责任必须与付款和会计业务划分。
参照风险:A-l,A-2,A-3 A-l 购货可能:
a.未经授权或授权不当。b.购自未经批准的供应商。
c.由未经授权的人员订货和收货。
A-2 可能发生敏感性付款,违反出口管制,公开。司内部往来或利益冲突问题。差错和违反法规的可能性急剧增大 A-3 所购货物可能不符合质量标准。可能接受了未经核准的价格或条款。
3.1.2 选择和确认供应商资格过程中所使用的所有标准必须形成文件并妥善保管。选择/证明资格确认标准应包括:
a.到供应商现场进行观察;
b.供应商的技术能力;
c.为企业提供恰当服务的能力,其中包括对需求和变化的反应能力;
d.评价供应商现行的质量管理规划,其中包括残次品自动检查的过程控制,质量管理报告及记录保管是否完善;
e.按时交货记录;
f.供应商潜在的人力及或能力局限性;
g.评价供应商的成本结构和未来成本预测/降低的合理性,其中包括单位数量假设;
h.供应商对工程协助的接受能力;
i.供应商设施地点与摩托罗拉的距离;
j.供应商在类似情况下与其它客户进行交易的历史;
k.供应商的财务稳定性。
参照风险:A-l,A-2,A-3,A-4,A-5,A-6 A-4 记录可能丢失或毁损。
3.1.3 必须按照事业总部/集团的政策制定供应商名录/数据库并经过批准。至少每年要对供应商名录/数据库进行审查、更新并删除不常用的供应商。供应商选择过程和财务验证一经完成,应将供应商补入供应商名录/数据库。
参照风险:A-l,A-2,A3 A-5 未经授权的人员可能滥用或更改记录,从而有损于摩托罗拉及其供应商。
3.1.4 如果根据取得货源政策决定使用独家或单一供应渠道提供一种产品或商品,必须按照事业总部/集团的政策编制书面文件,说明其原因,该文件需经批准并妥善保存。如果某供应渠道的中断可能对一项业务或摩托罗拉产生重大的消极影响,必须制定业务中断准备计划,编制成文并经过批准,以保证在紧急情况时有充足的材料供应。业务中断准备计划应包括材料和安装。独家供应指某种材料/产品只能从唯一的一家供应商那里购进。当有几家供应商能够提供产品或材料但仅使用其中一家时,则属于单一供应渠道。
参照风险:A-2,A-3,A.6 A-6 可能提前或拖后收到材料,结果导致业务中断或库存积压。
3.1.5 必须按照事业总部/集团的政策定期监测供应商以保证实际绩效与预期相符。绩效报告可包括:
a.按时交货的百分比;
b货物的准确性;
C.产品质量;
d.与前一年或公式/目标成本相比的实际成本。
参照风险:A-1,A-2,A-3,A-6 3.2购货 内部控制标准 未达到标准在在的风险 3.2.1 所有购货责任必须与付款和会计业务划分开。
参照风险:B-1,B-Z B-l 购货可能:
a.未经授权或授权不当。
b.购自未经批准的供应商。
C.由未经授权的人员订货和 收货 3.2.2 购货代理人或采购人员与供应商之间必须保持相互独立。这种独立性可通过定期轮换采购人员,公司合同参与或商品采购小组来实现。如果商业环境使上述措施不切实际,必须具备其它补偿性控制措施。
参照风险:B-1,B-2 B-2 可能发生敏感性付款;
违反出口管制,公司内部往来或利益冲突问题。差错和违反法规的可能性急剧增大。
3.2.3 购买货物或劳务应按照事业总部/集团政策的规定填写进货订单/请购单。对于一次性支出,例如培训研讨会,业务公费等,进货订单/请购单有时不合适或不必要。在无纸业务处理情况下,进货订单/请购单井不一定是书面文本,但必须要求有完整的文件,控制授权和记录保管。
参照风险:B-1,B-3,B-4,B-10 B-3 接受了应该退货或拒收的项目并支付了款项,包括:
a.未订购的货物或劳务;
b.数量超出或合同错误;
C.撤销订单或订单复本。
3.2.4 采购申请单必须在作出购货承诺之前由申请部门正式发出并经过恰当批准。
参照风险:b-1,b-2 B-4 记录可能丢失或毁损。
3.2.5 所有购货订单/业务事项必须能够单独确认和查 询,并且必须定期进行会计处理。如果序号的完整性不是由计算机控制的,购货订单必须预先编号。
参照风险:B-5,B6 B-5 未经授权的人员可能滥用或更改记录,从而损害摩托罗拉及其供应商的利益。
3.2.6 所有购货订单或输入屏幕的地点均必须予以保护,业务处理和批准过程中的内部控制程序必须完善,以防上未经授权的使用。
参照风险:B-l,B-2,B-4,B-5 B-6 货物和劳务可能已接受,但未予报告或报告不准确。负债可能未予记录,库存与销售成本可能错报。
3.2.7 购货订单/业务事项必须包括所有正式承诺资料,其中包括数量,交货方法和要求支付条款以及帐户分配等等。
参照风险:B-2,B-3,B-7,B-8 B-7 所购货物可能不符合质量标准。价格或条件未经批准便予以接受。
3.2.8 购货订单/业务事项必须指示供应商将其帐单直接送交应付帐款部门。
参照风险:B一卫,B-2,B-3,B-5,B-6,B-9 B-8 可能提前或拖后收到材料,结果导致业务中断或库存积压。
3.2.9 所有超过事业总部/集团财务和经营管理部门规定和预先确定金额的购货,必须公开投标。不进行公开招标或接受非最低标价和合同中未列货物品目,必须在作出承诺之前,充分说明理由并由管理部门批准。
参照风险:B-2,B7 B-9 可能发生重复付款,支付金额可能有误,或货款支付给未经批准或不存在的供应商。
3.2.10 购货订单或类似文件必须送至收货部门以便与进货核对,还应送至应付帐款部门,以便与供应商帐单核对;
参照风险:B-1,B-3,B-6,B-9,B-12 B-10 可能无法向外部的法律,税务或审计部门提供记录。
3.2.11 由于价格或数量的提高,购货订单超过采购人员批准权限,对购货订单进行的修改必须符合事业总部/集团的政策并经过批准。
参照风险:B-1,B.7 B-11 购货及或付款金额可能入错,还可能入错帐户或入错会计期间。
3.2.12 修改或撤销的购货订单必须及时通知应付帐款部门。
参照风险:B-3,B-6,B-11,B-12 B-12 可能对无法收到的货物或劳务支付了款项。
3.2.13 必须建立程序确保所有因质量低劣,规格原因要退回供应商的生产材料,资本或费经过恰当的批准并妥善入帐。
参照风险:B-13 B-13 对次品的处理可能不严格,误送回仓库及或出现记录错误。被盗的可能性急剧增加。
3.2.14 摩托罗拉负有财务责任的合同,谅解备忘录以及意向书,必须按照事业总部/集团政策,经管理部门认可。此类文件还应经过法律部门批准,曾经被批准使用的,常用格式和文字的文件除外。
参照风险:B-1,B-6 3.2.15 应根据供应管理目标对购货代理人,采购人员和商品采购小组进行评价,即降低库存,提高质量,降低成本以及持续可靠的提交货物(即公司总成本)。
参照风险:B-7,B.8 3.3验收 内部控制标准 未达到标准在在的风险 3.3.1 验收部门地点应与生产设施和装运部门分开,除非良好的业务惯例另有规定。
参照风险:C一1,C-2 C-l 购货可能:
a.未经授权或授权不当;
b.购自未经批准的供应商;
C.由未经授权的人员订货和 收货 C-2 可能发生敏感性付款,违反出口管制,公司内部往来或利益冲突问题。差错和违反法规的可能性急剧增大。
C-3 应该退回或拒收的货物被接受下来,并支付了款项,包括:
a.未订购的货物或劳务;
b.数量超出或合同错误;
C.撤销订单或订单复本。
3.3.2 未经授权任何人不得进入验收部门。
参照风险:C-l,C-2 C-4 记录可能丢失或毁损。
3.3.3 所有购进的材料、货物和用品必须在每一设施的指定验收站验收,除非按照事业总部/集团政策另有安排和批准。
参照风险:C-l,C-2,C-4,C-5 C-5 未经授权的人员可能滥用或更改记录,从而损害摩托罗拉及其供应商利益。
3.3.4 验收站应只验收那些有经批准的购货订单或类似文件的货物。所有其他进货应及时退还供应商或调查其是否正当。
参照风险:C-3,C-4,C-5 C-6 货物和劳务可能已被接受,但未予报告或报告不准确。负债可能未予记录,库存与销售成本可能错报。
3.3.5 每一指定的验收站必须对验收所有的材料,货物或用品进行会计处理并提供验收凭证。
参照风险:C-2,C-6,C7 C-7 所购货物可能不符合质量标准,价格或条件可能未经批准便予以接受。
3.3.6 如果没有实际收到货物或劳务和恰当的提货证明。不得办理验收业务。参照风险:C-6 C-8 可能提前或拖后收到材料,结果导致业务中断或库存积压。
3.3.7 如果没有行之有效的供应商资格审查和绩效监督程序,必须采用抽样检验方法,对购进的货物加以清点,称重或测量,以确定供应商发货的准确性。所有数量偏差必须在验收业务中记录,并与供应商妥善解决。
参照风险:C-2,C-3,C-4,C-7 C-9 采购或付款业务可能记错金额,入错帐户和记错会计期间 3.3.8 验收业务资料必须保存于验收部门,并及时送达购货和应付帐款部门,以便向供应商付款。
参照风险:C-2,C-6,C-7 3.3.9 如果没有行之有效的供应商资格审查和绩效监督程序,必须立即检验进货以查明质量特性,产品规格及毁损情况。
参照风险:C-4,C-7 3.3.10 验收业务资料必须要妥善保护,以防被盗,毁损或未经授权任意使用。验收业务文件必须能够单独确认和查询,并且必须定期进行会计处理。
参照风险:C-l,C.8,C-9 3.3.11 购进货物一经收到必须予以安全保管。昂贵商品,例如贵重金属,必须在验收过程中予以保护。
参照风险:C一1 3.3.12 纠正验收业务原始文件中的差错须经事业总部/集团政策指定人员的授权。参照风险:C-1,C-2,C.4,C-7 3.4应付帐款 内部控制标准 未达到标准在在的风险 3.4.1 应付帐款职能必须:
a.与购货和验收业务分开;
b.与应付帐款部门内的总帐入帐业务划分开。
参照风险:D-l,D.2 D-l 购货可能被盗,丢失,毁损或暂时挪用。差错和违反规定的可能性急剧增加。
3.4.2 在支付之前,必须按照事业总部/集团的政策,对供应商发票或相当于发票的单据,材料或劳务收入凭证、价格准确性,数量以及帐户分配等项目是否完善进行审查。缺少任何上述信息或信息之间有任何偏差,均须在付款前予以解决。
参照风险:D-2,D-4,D-5,D-6,D-7,D-8 D-2 购货可能已被收到,但没有报告或报告不准确。可能未记负债,库存和应付帐款可能错报。
3.4.3 如果采用其它处理方法,例如,货到付款,使用供应商仓库方案,或电子数据交换,必须具备完善的控制,以确保价格和收货数量正确。
参照风险:D-1,D-3,D-4,D-5,D-7,D-8 D-3 货物或劳务可能由未经授权的人员订购和收货。
3.4.4 没有购货订单或验收报告的发票(如,非生产性劳务,支票申请单,一次性购货等等),必须在付款之前由管理人员按照事业总部/集团的审批权限予以批准。
参照风险:D-2,D-3,D-5,D-7,D.8 D-4 应退回或拒收的货物被接受下来,并支付了款项。包括:
a.未订购的货物;
b.不符合质量标准;
C。数量超出或品目错误。
3.4.5 超过事业总部/集团政策规定限度的运费发票,必须在支付之前与装运证明或验收单据进行核对。参照风险:D-4,D-7,D-8 D-5 生产用材料可能提前或推迟到货,可能发生业务中断或库存积压。
3.4.6 所有准备付款的发票包括经批准的费用报表和支票申请单,必须附上充分的证明单据或者与证明单据核对。必须对发票,支票申请单或费用报表予以审查,然后才能批准付款。
参照风险:D-5,D-6,D-7,D-8 D-6 货物或劳务可能没有收到或尚未收到,但货款已付。
3.4.7 凡使用电子计算机系统管理应付帐款的,系统本身的控制,必须有效,以发现和防止重复付款。
参照风险:D-7 D-7 对供应商重复付款,付款中有错误,或有舞弊行为。
3.4.8 应该使用原始发票作为付款凭证。如没有原始发票,应按照事业总部/集团政策规定得到恰当批准之后,才可使用发票副本。
参照风险:D-5,D-6,D-7 D-8 记录可能丢失或毁损。
3.4.9过期的,不相符的购货订单,验收单据和发票,必须定期予以审查,调查和解决。
参照风险:D-2,D-4 3.4.10供应商报表必须至少以抽查的方式予以审查,以查明有无逾期项目,并及时予以解决。
参照风险:D-2,D-4,D-7,D-9 3.4.11应付帐款余额表必须按月累计,并与总分类帐核对。任何差额均须及时解决。
参照风险:D-4,D-6 3.4.12应付帐款部门应至少按季度检查借方余额帐目,并要求对超过90大的未付金额汇款。此种汇款应直接交付出纳职能部门。
参照风险:D-6 3.4.13向供应商发出的借记和贷记凭单必须有文件证明并按照管理人员审批权限经过批准。
参照风险:D-2,D-5,D-6,D-7 3.4.14借记和贷记凭单必须能够单独确认和查询。如果序号的完整性不是由计算机控制的,书面文件必须预先编号。
参照风险:D-6,D-7 3.4.15在付款之前,应付帐款部门必须确定供应商已列入经批准的供应商名录/数据库中。对于未列入数据库的供应商必须按照事业总部/集团政策予以确认。
参照风险:D-4,D-5,D-7 3.4.16零用金业务应限于小额支出并能够接受对其合理性的审查。应定期对冬用金进行独立确认。
参照风险:D-6,D-10 D-2购货可能已收到,但没有报告或报告不准确。可能未记负债,库存和应付帐款可能错报。
D-4应退回或拒收的货物被接受下来,并支付了款项。包括:
A。未订购的货物;
b.不符合质量标准;
c.数量超出或品目错误 D-5生产用材料可能提前或推迟到货,可能发生业务中断或库存积压。
D-6货物或劳务可能没有收到或尚未收到,但货款已付。
D-7对供应商重复付款,付款中有错误,或有舞弊行为。
D-9记录可能被滥用或更改,从而损害摩托罗拉及其供应商利益。
D-10购货可能:
A。未经授权或授权不当;
b.购自未经授权的供应商;
c.由未经授权的人员订购和验收。
3.5支付 3.5.1支付职能部门必须对各种职责作如下划分:
a.填写付款凭单与支票签字和已签字支票的邮寄分开;
b.应付帐款业务与购货和验收业务分开;
C.支票填写,印制,签字和发送业务5供应商确认启用分开,与发票输入业务分开;
d.确认和启用供应商与发票输入业务和支付准备及付款分开。
参照风险:E-1,E-Z,E-3 3.5.2所有付款必须有据可查,能够单独确认并且应该定期进行会计处理。
参照风险:E-l,E-2,ES 3.53支票,电子计算机转帐,银行转帐申请单必须附有购货订单,验收单据,原始发票,或者按照事业总部/集团政策规定,能够证明为正当支出的凭证。这些文件应发给支票签字人,由其进行审查,然后再签发支票。
参照风险;
E-3,E-4,E-5,ES 3.5.4必须在摩托罗拉与供应商的议定的条款范围内支付已批准的款项。
参照风险:E-9 3.5.5如果按照购货订单或发票条款予以付款,应计算供应商给予的所有折扣。
参照风险:E-6,E-10 3.5.6所有大付必须在负债发生或付款期间恰当准确地记入会计帐册。绝不能延误或推迟费用的恰当确认。
参照风险:E-4,E-6,F-7,E.10 3.5.7支票付款不得使用现金支票或不记名支票。参照风险:EI,E4,E-5 3.5.8带有摩托罗拉或其财务机构标志的全部空白支票,必须予以保护,以防止毁损,或未经核准的使用。必须定期说明空白支票的填发,作废或未用情况。凡有使用签字印鉴和数控等宇仪的,均须妥善保管。
参照风险:E-1,E-4,E5,E-8 3.5.9各务业总部/集团财务总监,必须确定支票,本票和银行转帐的有权鉴字人并由公司融资部经理批准。
参照风险:E一互,E-2,E-4,F-5,E-8 3.5.10超出事业总部/集团财务总监提出,公司融资部经理批准的各业务单位支付限额时,凡属于手工签字的支票和本票,必须要求双签字。签字人中至少有一人是独立于发票审批责任者,除非良好的业务惯例另有规定。
参照风险:E-l,E-5,E-8 3.5.11如果没有检查和防止重复支付的系统控制,必须在付款之后有效地注销证明单据,以防止偶然的或有意的重复使用。
参照风险:E-l,E-2,E-5 3.5.12已签字的支票和本票,必须交给不负责发票处理和应付帐款的人员邮寄。参照风险:E-l,E-8 3.5.13破损、作废和注销支票必须立即去掉签字部分。这类支票必须予以记录并妥善保存。这些支票可以销毁。但是销毁时需要有证人,并且由其作书面说明。
参照风险:E-1,E-8 3.5.14支出的单据或电子数据附件必须予以保护,以防毁损或遗失,保存方式必须有助于查询。
参照风险:E-6 E-1可能采用了绕开现行内部控制技术的方法。偷盗和差错的可能性急剧增加。
E-2可能发生敏感性支付和公司内部往来事项。
E-3货物或劳务可能由未经授权的人员订购和收货。
E-4项目或劳务可能已被收到,但没有报告或报告不准确。可能未记负债,库存可能错报,可能多付或少付供应商款额。
E-5可能发生重复支付,支付金额可能出现误差,或支付给未经核准或不存在的供应商。
E-6可能错报财务报表记录和经营报告。关键决策所依据的可能是错误信息。
E-7购货或劳务可能未经授权,入帐金额可能出错,可能人错会对期间,及或支付给错误的人员。
E-8货物或劳务可能已入帐,款已支付,但未收到货物或劳务。
E-9供应商可能停止与摩托罗拉开展业务,经营可能受到不利影响。
E-10现金可能达不到最佳利用或者可能被盗用。
E-1可能采用了绕开现行内部控制技术的方法。偷盗和差错的可能性急剧增加。
E-2可能发生敏感性支付和公司内部往来事项。
E-4项目或劳务可能已被收到,但没有报告或报告不准确。可能未记负债,库存可能错报,可能多付或少付供应商款额。
E-5可能发生重复支付,支付金额可能出现误差,或支付给未经核准或不存在的供应商。
E-6可能错报财务报表记录和经营报告。关键决策所依据的可能是错误信息。
E-8货物或劳务可能已入帐,款已支付,但未收到货物或劳务。
4.0工资周期 工资周期包括如下职能:聘用雇员和确定合适的级别和报酬;
工时报告,出勤和有薪缺勤;
严格控制和准确地填写工资支票;
准确核算工资成本,扣除,雇员福利及其它调整,向雇员发放支票;
以及确保工资和人事资料的保密和实物安全。
管理人员选择控制程序和技巧过程中,实施控制的程度是合理业务判断。决定内部控制实施程度应使用的一般准则是:控制成本不应超出所产生的效益。
本节中的“支票”指向雇员发放工资时采用的各种方式(包括电子转帐,银行转帐)。
工资周期中的具体程序是:
4.1人事,报酬和福利 4·2工资编制与安全 4·3工资支付控制 4,4工资发放 4.1人事,报酬和福利 4.1.1人力资源管理部门必须制定并坚持有关雇员的聘用,晋级,调职和解雇的政策和准则。人力资源管理部门必须以具体标准和程序的形式对政策和准则作出明确的界定。
参照风险:A-1 4.1.2雇员的主要福利,如利润分成,退休金,假期及保险政策必须经摩托罗拉人力资源福利委贝会审查和批准。所有有关福利的规定,标准及程序必须由管理部门编写成文并经过批准。
参照风险:A-2,A-3,A-4 4.1.3劳动报酬应按照正当授权的比率和有关工资级别支付。报酬的增减必须经过批准。报酬形式还包括佣金、奖金和使用公司财产(其中包括公司车辆),此类额外报酬必须经过正当授权。
参照风险:A-2,A.4 4.1.4所有报酬和福利文件必须由人力资源管理部门妥善和准确保管。人力资源部门的文件最底限度应包括正式签署的聘用表,经核准的级别和支付比率。
参照风险:A4 4.1.5正式程序规定、严格控制并经过批准的文件必须妥善保管。凡是对雇员资料进行增加,删减或改动必须经过授权。必须对水久性工资帐目进行定期抽查,保证工资资料与人力资源部的档案相符。
参照风险:A-2,A-4,A-5,A-6,A-8 4.1.6人力资源部门指定管理人员必须负责管理雇员福利计划。必须按照公司政策和规定的计划程序进行管理。雇员的福利必须按照计划的条款支付,必须有充分的书面文件和恰当的批准。
参照风险:A-2,A-3,A-4,A-6 4.1.7向离职雇员支付最后一次工资支票之前,人力资源部门和雇员所在部门主管必须保证:
a.所有预借款和费用报表均已结清;
b.所有公司信用卡(例如、美国运通卡,电话卡,航空旅行卡)均已归还;
C.所有计算机帐户均已注销或者已经更换密码;
d.所有公司财产,专有资讯,雇员工牌及安全通行证或钥匙均已退还。
参照风险:A-7,A-10,A-11 4.1.8人力资源部门的职责,其中包括工资核准,必须与工资发放和入帐职责分开参照风险:A-9 A-1可能雇用了不符合摩托罗拉雇用标准的人员,结果导致员工队伍的数量及或质量不佳。
A-2可能因此向雇员支付的金额有误。
A-3利润分成,退休金,假期和保险等福利的计提可能出现错误,以罕错报负债。
A-4可能违反法律和政府规定,结果导致罚款,处罚,起诉或者或有负债。
A—5可能错报工资和工资税帐目。
A-6业务事项未经核准便予以处理,结果导致支付不当,或给空头雇员支付工资。
A-7预借款可能无法收回。
A一8可能无法发现和纠正支付差错。
A-9可能外理了未经核准的业务事项,但未能发现,结果导致资金盗用或暂时挪用。
A一10在雇员解雇之后仍有未经核准的费用需要由摩托罗拉承担。
A-11可能发生不必要的计算机费用,可能无法完全限制前摩托罗拉员工取得公司信息。
4.2工资编制与安全 4,2.1必须保存一份全部员工主文件。该档案必须包括所有现行的工资支付比率,预提扣除及税率等的全部信息。
参照风险:B一1 4.2.2必须制定保护主文件资料实物安全的程序。对主文件进行增加,删除和修改,必须附有记入雇员人事档案的,经过恰当授权的文件。
参照风险:B-2 4.2.3进入工资部门和接触工资文件应仅限于经授权人员。
参照风险:B-2 4.2.4任何雇员离职或调职以及工资变动均须立即通知工资部门,以便调整工资记录。
参照风险:B-3,B-5,B-6 4.2.5不享受免税的雇员,应根据当地法律和习惯,及时提交考勤卡,考勤表,或其他经核准的记录之后再进行工资处理。
参照风险:B-4,B6,B-7 4.2.6工资必须根据工资主文件和经批准的工时报告编制。如可行的话,应同时编制工资支票,工资登记簿和雇员所得记录。如果由于系统限制无法同时处理记录,则必须将工资所得记录与工资(支票)登记簿调节核对。
参照风险:B-4,B-5,B-6,B-7 4.2.7必须通过充分的审核控制工资资料处理,确保工资源文件属实和输入正确。同时必须建立良好的控制程序避免重复输入或输入未经批准的工资资料。
参照风险:B-5,B-6,B-7,B-8 4.2.8有关部门经理必须对实际工资成本与预算成本进行比较,以查明是否合理。
参照风险:B-9 4.2.9必须对工资代扣项目加以控制,以确保金额适当,符合政府规定,及时向有关机构汇缴以及及时与总分类帐核对。
参照风险:B-7,B-10,B-12 4.2.10所有主要的工资职能以及月底结帐过程中各部门的作业程序必须形成详细的书面文件。
参照风险:B-5,B-7,B-11 4.2.11必须按照政策规定编制雇员工资和代扣项目的年度汇总表并直接寄给每个雇员。
参照风险;
B-12 4·2·12工资部门处理的特殊给付(例如,搬迁安置费,教育费,奖金,专利奖等等)必须在取得正常核准,审批和文件证明之后才可支付,并必须符合适用的税法规定。
参照风险:B-6 4·2·13在可行的情况下,工资编制职责必须与工资核准,支票签字及支票发放等职责分开.如分工无法实现,必须建立弥补性控制措施。
参照风险;
B-]3 B-1工资主文件中的错误数据可能导致工资支付错误,工资中的预扣税金可能有误。
B-2工资部门及其记录保管不当可能导致:
a.工资记录,其中包括工资主文件被破坏或丢失;
b.未经授权查阅及或泄露工资保密信息, C.对工资主文件的变更未经核准便进行处理。这又可能导致:
1.盗用公司资产;
2.错报退休金等项目的计提数, B-3雇员工资的支付可能出现差错,或者没有工作但支付了工资,收回向离职人员支付的工资可能需要诉讼。雇员的代扣项目可能有差错。
B-4对雇员未工作的时间支付了工资或对已工作的时间未予支付工资,入错部门的费用可能未被发现。
B-5管理报告和雇员所得记录可能不正确。B-6可能发生未经核准支付工资,或盗用奖金的问题。
B-7总分类帐可能输入错误数据,可能错报财务报表。
B-5管理报告和雇员所得记录可能不正确。
B-6可能发生未经核准支付工资,或盗用奖金的问题。
B-7总分类帐可能输入错误数据,可能错报财务报表。
B-8工资处理可能不完整及或不准确。工资处理中有意或无意的差错无法查出。
B-9日常审核中无法发现的差错(例如,不具备资格或未经核准的雇员)仍旧没能查出并纠正。
B-10详细的代扣和支付项目可能与记录的代扣和大付项目不符。
B-11未能遵循统一的程序,导致工资信息错误、不完整或未及时处理以及支付给雇员的工资所得可能出现差错。
B-12不符合政策要求及或计算错误导致被政府课以罚款和处罚。
B-13可能处理了未经核准的业务,而且未被发现,导致资产盗用或暂时挪用。
4.3工资支付控制 4·3·1工资必须从定额或零余额银行帐户中支付。向该帐户拔入的款额必须与编制的工资支付净额一致。
参照风险:C-1 4·3·2所有工资帐户必须按月调节, 参照风险:C-l 4.3.3所有工资给付必须有据可查,能够单独确认。参照风险:C-2,C-3,C-7 4.3.4载有摩托罗拉或其金融机构名称的空白支票必须有事先编号并妥善保管。所有发出、作废或未使用的工资支票必须定期清点。
参照风险:C-3 4.3.5破损、作废或注销支票必须予以记录并在有其他人员在场并作记录的条件下,立即对这类支票销毁。支票必须有记录,并妥善保存,在有其他人员在场并作记录的条件下,可以进行支票销毁工作。
参照风险:C-3 4.3.6已签字的工资支票和工资转帐存款通知单必须在发放工资前妥善保管。
参照风险:C-4,C-5 4.3.7负责工资支票签字的人员不得同时兼任工资核准,工资编制,接触未使用的工资支票或工资支票发放等责任。
参照风险:C-3,C.4 4.3.8工资发放之前,已完成的工资登记帐,记帐报告和工资帐户转帐申请(或者类似的工资支付证明文件)必须经适当的财务管理人员审查批准。
参照风险:C-6 4.3.9必须建立并坚持工资支票签字的程序.手工签字的支票,凡是超过各事业总部,集团财务总监确定的限度的.必须要有双签字。
参照风险;
C-3 4.3.10如果使用支票签字机,印鉴图章或者数控签字仪器签署支票,签字机和印鉴图章必须安全保管。支票签字机和印鉴图章,数控签字仪器必须分别保管,此外在支票上填写的数字与授权使用签字机签字支票数字应该进行核对。
参照风险:C-2,C-3 C-1支票保管,核准和处理过程中的差错和疏漏未能查出并纠正。财务报表可能误报。
C-2尚未记录入帐的工资支票可能已经发出,使财务报表误报。
C-3可能发生未经核准便使用或发出工资支票的问题,无法查出盗用现金的情况。
C-4支票可能被未经授权的人员挪用或兑现现金。
C-5机密的工资资料可能被未经授权的人员查阅及或泄漏,损害摩托罗拉或其员工的利益。
C-6工资发放之前可能无法查出工资中的重大差错或未经核准的业务事项。
C-7支票可能重复编号或漏编号码。
C-2尚未记录入帐的工资支票可能已经发出,使财务报表误报。
C-3可能发生未经核准便使用或发出工资支票的问题,无法查出盗用现金的情况。
4.4工资发放 4.4.1负责发放工资支票的人员不得兼负其他人事或工资责计,不能批准工时或考勤卡;
如果达不到明确的职责分工,必须有其他弥补性控制措施。
参照风险;
D-1 4.4.各部门发放工资支票、通知单时,应要求员工办理签收手续。
参照风险:D-2 4·4.3必须由财务总监指派的人员定期对工资表中雇员是否属实进行审查。
参照风险:D-3 4.4.4未领取或未发放的工资应退回人事部。只有在确认员工身份之后方可发放未领取工资。未领取的工资在较长时间内仍未发出,应退回财务部,并在总帐中单独列示未领取工资。如果法律有规定,必须将未领取工资汇交有关政府机构。
参照风险:D-4 4.4.5应避免以现金形式发放工资。如果当地法律或习惯要求必须以现金支付,必须有完善的程序保证现金发放中有适当的控制。工资发放时,必须取得雇员的签收证据。
参照风险:D-5 4·4·6必须坚持保守工资资料的机密。
参照风险:D-6 D-1由于对一工资主文件可能做了不当的增改,一时能出现侵吞资金的问题,用于发放工资的工时数可能有误。
D-2确认支票遗失或挪用的责任时,没有审查线索。
D-3工资支票可能发给未经核准的雇员而未能查出。
D-4可能发生挪用未领取工资支票,遗失支票,与银行对帐单核对不符,或者违反政府法规的问题。
D-5可能将现金工资发给未经核准的雇员。此外,如果雇员声称其未领工资,可能无据可查。
D-6机密的工资资料可能被查阅或泄露,损害摩托罗拉及其雇员的利益。
5.0制造周期 制造过程中的职能包括制造计划,存货控制,成本会计。该周期以确定可行性销售预测和生产计划为始,到恰当记录转入出货区的产成品成本为止。
制造过程是企业活动中最复杂的周期。本文所述的控制指南旨在确立这一复杂周期中的基本控制要求,而不是实施控制措施所需的大量详细的作业程序。
管理部门选择控制程序和技术的过程中,实施控制的程度是一个合理的业务判断。决定内部控制实施程度的一般准则是,控制成本不应超出所产生的效益。
制造周期中的控制指南分为四个部分:
5·1成本会计 5·2存货控制 5.3一般的制造计划和控制 5·4存货盘存程序 5.1成本会计 5.1.1必须保持成本会计系统,恰当准确地积累,区分制造成本(如按成本中心或者按产品),为分析实际制造成本,标准成本和其他保持存货和存货计价所需信息提供充分的资料。
参照风险:A-1,A-2,A.3 5.1.2必须制定存货成本标准,制造、采购和会计部门的人员至少每年要共同对存货成本标准进行一次修改。
参照风险:A-1,A-2 5.1.3必须定期对标准成本和实际制造成本进行对比,及时解决出现的差异。对存货有重大影响的问题也必须及时进行调查。
参照风险:A-1,A-2,A-3,A.4 51.4制造过程中的每件产品,配件、部件都必须有可识别的用料单。
参照风险:A-1,A-2,A-3,A-4,AS 5·1·5必须每年至少检查一次存货制造费用的计算方法,保证采用的方法符合事业总部/集团的政策。
参照风险:A-1,A-2,A-3,A-4,A.5 5.1.6仓库发料必须以经恰当授权的业务文件为依据,并据此记录存货帐目。
参照风险:A-1,A-2,A-3,A-4,A-5 5.1.7因工程或经济原因对标准成本进行修改,必须经过适当级别的生产和财务管理人员的批准,应妥善予以记录,并且立即记入会计和存货系统。
参照风险:A-1,A-2,A-3 5.1.8必须根据事业总部/集团的政策和一般公认的会计原则设立存货准备(例如:损耗、价格、陈旧等)每季度应对存货准备的恰当合理性进行审查并做必要的修改。参照风险:A-1 参照风险:A一1,A-2,A-3 A-1财务报表,记录及或生产报告可能有误。重大决策所依据的可能是错误信息,造成以下结果:
a.存货成本标准可以没有恰当反映产品的标准成本。
b.材料、人工成本和制造费用可能未记入存货,而记入营业费用。
C.计算存货价值的制造费用分配比率可能有误。记入制造费用的支出项目可能不正确,固定成本分配的基础可能不妥。
d.如果明细记录无法反映持有的产品,存货数量可能误报。
e.如果没有记录,生产用料和用工,生产阶段可能已完成,但是没有报告。
A-2差错和违法问题发生的可能性急剧上升。存货可能遗失、被盗、被毁或者短时间内被挪用。
A-3可能无法查出实物保管,授权和业务事项处理中的差错和疏漏。
A-4如果审查程序不完善,无法及时对生产计划和战略进行纠正。
A-5生产可能受到影响。生产发料的数量可能有误,产品数量未经核准便开始生产。
5.2存货控制 存货控制职能旨在建立一套控制存货诸方面的正规计划,该计划至少应包括以下几方面:
5.2.1存货控制必须有如下分工:
a.制造和保管责任与会计工作分开。
b.负责存货记录的人员与存货盘点的人员分开。
参照风险:B-1,B-2,B-3 5.2.2货物的所有权一经转移,应及时记录存货帐以及相应的负债或付款帐,其中包括入库前帐目(货已收到,但尚未入库)和零部件帐。年末时对在途存货(FOB条款)进行测算,与帐面数对比,进行必要的调整。
参照风险:B-2,B-3,B-4 5.2.3必须建立存货在厂内转移和出入厂区控制程序,其中包括单据填写记录责任。应该建立月结帐程序并与工厂财务部门合作,确保存货的收发均有恰当记录。
参照风险;
B-1,B-2,B-3,B-4,B-6 5.2.4仓库应采用永续盘存方法,保管存货,提供当前的存货数据。永续盘存记录应定期(至少每年)与总帐调节一次。
参照风险;
B-1,B-2,B-3,B-4,B-5 5.2.5应建立实物或其他辅助性控制措施,保证存货的安全,未经授权不得使用。
参照风险:B-1,B-2,B-3,B-4 5.2.6各事业总部/集团必须制定政策,按季度确定存货的超储和陈旧数量。
参照风险:B-4,B-7 5.2.7超储或陈旧的存货应及时查出并予以恰当处理,如报废、退货或其他方式。
参照风险:B-4,B-6,B-7 5.2.8必须建立恰当的控制程序,记录摩托罗拉代存,或者供应商、客户或公司员工代存的存货。
参照风险:B-1,B-2,B-3,B-4 5.2.9从摩托罗拉其他公司收到的货物必须正确记录,以便定期进行公司内部往来利润的冲销。
参照风险:B-4 5.2.10应采用机械化控制,授权核准控制或其它适当方式,确保仓库发料记录正确。
参照风险:B-1,B-2,B-3,B-4,B-5 5.2.11存货必须妥善保管,避免变质,存货价值应有适当的损失保险。
参照风险:B-1,BS B-1存货可能遗失、被盗、被毁或者短时间内被挪用。
B-2差错和违法问题发生的可能性急剧上升。存货可能被盗且未能查出。
B-3可能无法查出实物保管,授权和业务事项处理过程中的差错和疏漏。
B-4财务报表,记录或生产报告可能有误。重大决策所依据的可能是错误信息,造成以下结果:
a.存货记录与实际存货不符,使存货数错报。
b.如果出库没有记录,可能造成存货多报。
c。如果采购或存货耗用没有准确记录,存货可能误报。
d.如果材料和人工没有全部记入帐目,生产已经完成,但可能没有报告。
e.存货准备可能误报。
B-5如果生产用料,用工数字错误或者产品数量未经核准便开始生产,可能对生产产生不良影响。
B-6报废物品或退货可能被盗。报废品售价可能不恰当或者售给信用风险差的单位。
B-1存货可能遗失、被盗、被毁或者短时间内被挪用 B-2差错和违法问题发生的可能性急剧上升。存货可能被盗且未能查出。
B-3可能无法查出实物保管,授权和业务事项处理过程中的差错和疏漏。
B-4财务报表,记录或生产报告可能有误。重大决策所依据的可能是错误信息,造成以下结果:
a.存货记录与实际存货不符,使存货数错报。
b.如果出库没有记录,可能造成存货多报。
c如果采购或存货耗用没有准确记录,存货可能误报。
d如果材料和人工没有全部记入帐目,生产已经完成,但可能没有报告。
e.存货准备可能误报。
B-5如果生产用料,用工数字错误或者产品数量未经核准便开始生产,可能对生产产生不良影响。
B-6报废物品或退货可能被盗。报废品售价可能不恰当或者售给信用风险差的单位。
B-7如果审查程序不健全,无法及时对存货管理和报告进行纠正。
B-8摩托罗拉可能因未办理保险,遭受不必要的经济损失。
5.3一般制造计划和控制 以下指南为生产计划和控制的最佳程序。然而,生产需求的确定和控制,可能还有其他方法。如果这些方法能够达到以下指南的目的,可以予以接受。
5.3.1必须编制详细的销售预测并由管理部门批准。生产和存货控制计划,生产进度计划,存货预算,详细的材料和人员需求必须依据销售预测制定。需要改动时,必须经过恰当一级的管理部门批准。
参照风险:C一1,C.2 5.3.2必须由管理部门根据已批准的生产计划正式授权,方可开始进行产品的生产。
参照风险:C-2 5.3.3应设置产品用料帐并随时更新,以反映材料使用和生产状况。
参照风险:C-1,C-2,C.3,C.4 5.3.4对进出生产帐的材料和人工成本,应正确地进行会计业务处理。应与财务部门协调月末结帐程序。
参照风险:C-1,C-2,C-3,C4 5.3.5残次产品必须予以记录,保管,检查并及时向财务部门报告。在可行的情况下,处理残次品或材料应由不负责保管的人员以招标方式进行。
参照风险:C一卫,C-3,C-5,C-6 5.3.6出售报废材料必须经过材料管理人员的书面批准,如超出事业总部/集团确定的数量,还应取得财务部门的批准。
参照风险:C-5 53.7生产过程(包括最后的检验)完成后,必须妥善保管产成品,避免被盗或者变质。
参照风险:C-3,C.6 5.3.8产品运出摩托罗拉之前,必须经过充分的质量检查。
参照风险:C-7 C-1生产报告可能有误,掩盖了产品短缺和失窃。发生差错和违法事项的可能性急剧上升。
C-2生产可能因以下问题受到影响:
a.生产的产品未经授权,产量过高,超过了可接受的程度。
b.库存零部件不足,可能造成生产中断。
C.工厂生产能力未能充分发挥,无法满足客户的具体要求或者服务水准。
d.人工使用效率不高。可能发生人工成本过高,或者达不到客户提出的质量标准的问题。
C-1生产报告可能有误,掩盖了产品短缺和失窃。发生差错和违法事项的可能性急剧上升。
C-2生产可能因以下问题受到影响:
a,生产的产品未经授权,产量过高,超过了可接受的程度。
b.库存零部件不足,可能造成生产中断。
C.工厂生产能力未能充分发挥,无法满足客户的具体要求或者服务水准。
d.人工使用效率不高。可能发生人工成本过高,或者达不到客户提出的质量标准的问题。
C-3存货保管,授权和业务处理中的差错和疏漏可能无法查出。
C-4财务报告,记录和生产报告可能误报。重大决策所依据的可能是错误信息,从而导致以下结果:
a.存货标准成本无法体现生产标准成本;
b.如果生产耗用的材料和人工没有全部记录入帐,已生产产品可能未予报告。
C.标准成本和实际成本可能无法进行有效比较。
C-1生产报告可能有误,掩盖了产品短缺和失窃。发生差错和违法事项的可能性急剧上升。
C-3存货保管,授权和业务处理中的差错和疏漏可能无法查出。
C-5报废品的销售可能未记帐或记帐有误,销售价格不当,销售风险过大。
C-6存货,包括报废品,可能遗失、被盗、被毁或暂时挪用。
C-7销售产品质量差,造成大量退货,返工成本,损坏摩托罗拉的声誉和竞争能力。
5.4存货盘存程序 一般公认的会计原则要求,除非采用永续盘存方式控制存货并定期核时,每年应进行一次实物盘存。实施实物盘存、计价和调节时应采用以下程序:
5.4.1实物盘存前必须提出详尽的书面要求,应对盘存人员进行盘存程序的培训。
参照风险:D-1,D-2 5.4.2应该查明要盘存的项目并进行事先安排,以便有助于盘点的准确性。采用循环清点或其它方式保管并且定期核对的永续盘存记录,可不纳入实物盘存。
参照风险:D-1,D-2,D-3 5.4.3毁损、陈旧、报废或寄存存货必须清楚认定并分别存放,以便恰当地确认存货。
参照风险:D-1,D-2,D3 5.4.4应使用事先编号的标签清点库存。盘存完毕后必须按全部标签进行登记。
参照风险:D-1,D-2,D-3,D6 5,4·5盘存标签上登记的数字应该由不负责实际清点货物的人员加以验证。
参照风险:D-1,D-2,D-3,D-6 5.4.6必须确定生产、发货、验收入库、客户退货和应付款帐的截止时间。
参照风险:D-1,D-2,D3,D4 5.4.7在供应商、销售、工程或其他人员处寄存的存货必须每年从客户,供应商或摩托罗拉人员处取得书 面确认。这类存货必须正确计价并且与明细帐和总帐调节。
参照风险:D-3,D-6 5.4.8采用永续盘存的,每年应对贵重存货项目进行两次定期的制度性的循环清点(可以按单价或按绝对值总额),对其他存货每年进行一次循环清点,也可以按照事业总部/集团政策和经批准的存货审查计划进行。检查中发现的重大差异应报告管理部门。
参照风险:D-1,D-5,D-6 5·4·9年未结帐之前,必须将年度实物盘存结果与总帐进行调节,并做必要的帐目调整。
参照风险:D-1,D-4,D6 5.4.10对实物盘存与总帐调节中的重大差异,必须进行调查并向生产经营和财务管理部门报告。
参照风险:D-1,D-4,D-5 D-1发生差错和不合规的可能性急剧增加。
D-2由于截止时间不当,汇总数字不准确或指导不力,存货价值可能有误。
D-3存货清点可能不准确。点货记录可能有差错或疏漏。
D-1发生差错和不合规的可能性急剧增加。
D-2由于截止时间不当,汇总数字不准确或指导不力,存货价值可能有误。
D-3存货清点可能不准确。点货记录可能有差错或疏漏。
D-4由于帐实调整差错,存货记录可能有误。所做的调整可能使存货价值和经营收入不正确。
D-5如果审核程序不够完善,可能无法及时提出存货管理和记录方面的有效的改进措施。
D-6由于帐面记录与实际库存不符,存货帐可能误报。
6.0融资周期 融资周期的职能包括:确定公司对现金的需求和控制,投资管理,调查和选择恰当的筹资方式,监测筹资契约的履行,发行和回收股票,支付股息。
管理部门选择控制程序和技术的过程中,实施控制的程序是一个合理的业务判断。决定内部控制实施程度的一般准则是:控制成本不应超出所产生的效益。
融资周期中的“财务投资”和“权益投资”的定义如下:
财务投资是以取得财务回报为唯一目的的投资,包括以下项目:
现金或相当于现金的资金和上市证券 国库券 公司债券 中长期投资 股票投资 派生投资手段 权益投资指摩托罗拉以市场战略为目的,对独资子公司、合资公司和少数股权公司的投资 融资周期中的具体职能如下: 6.1一般控制 6.2融资业务 6.3投资 6.4对销贸易 6.5外汇 6.1一般控制 6.1.1融资作业中的所有职能,必须有以下的职责分工:
a.财务投资决策和实际投资活动与会计工作和保管责任的分工;
b.上市证券的保管与会计记录的分工;
C.利息和股息的支付与登记债务和权益证券的责任分工;
d.现金收入与登记现金收入帐目的责任分工;
e.每月贷款和财务投资业务的审查和处理责任的分丁;
f.外汇买卖、外汇确认和外汇业务的会计工作的分工。
参照风险:A-1,A-2,A-4,A-6 6.1.2所有银行帐户,必须以摩托罗拉或其法人子公司的名义开立,必须经过总公司融资部的批准,并且要记入公司总帐。
参照风险:A-1,A-2,A-5 6·1·3现金财务投资,贷款和资本帐户的所有帐面余额必须定期调节(例如:银行帐调节表,循环信贷限额,投资分类帐,资本金等等),以保证所有的业务都已正确入帐。这类帐户的调节,应由不负责现金或现金保管的人员完成。
参照风险:A-1,A-3,A-4,A-5 6.1.4对接触贷款、权益、财务投资和股本帐目和现金及投资证券的人员应加以限制。
参照风险:A-1,A.2,A-4 6.1.5筹资、财务投资、外汇和资本金的业务事项必须正确分类,及时登记入帐,以便财务报告的编制和按要求对外提供财务资讯。
参照风险:A-3,A-5 6.1.6应该利用银行、经纪人、独立的股票发行登记所,股票过户代理人或其他第三方记录公司财务或权益投资及贷款的变动,股本帐户的变动和公司已发行股票的持有人的变动情况。
参照风险:A-2,A-3,A-4,A-5 6.1.7所有外汇交易都应按照总公司融资部的政策,经过事先批准,有适当的书面记录,并且及时正确地登记入帐。
参照风险:A-5,A-6 A-1现金和证券可能遗失、被盗、被毁或被暂时挪用。
A-2帐目记录可能被未经授权的人员滥用或改动,损害摩托罗拉及其股东或贷款人的利益。
A-3报告可能有误,重大决策所依据的可能是错误信息。
A-4可能无法查出并纠正实物保管、授权和业务处理中差错和疏漏。
A-5由于期末截止方法或估值不恰当,某些财务数据遗漏或者登记分类差错,可能使财务报表和帐目错报。
A-6业务事项可能与总公司的要求不符。
A-2帐目记录可能被未经授权的人员滥用或改动,损害摩托罗拉及其股东或贷款人的利益。
A-3报告可能有误,重大决策所依据的可能是错误信息。
A-4可能无法查出并纠正实物保管、授权和业务处理中差错和疏漏。
A-5由于期末截止方法或估值不恰当,某些财务数据遗漏或者登记、分类差错,可能使财务报表和帐目错报。
A-6业务事项可能与总公司的要求不符。
6.2融资业务 6.2.1借款决定必须经过摩托罗拉董事会批准,必须定期或者在变动时与有关的金融机构沟通、审查。
参照风险:B-1,B-2,B-3,B-4 6.2.2签字和批准权限必须经过最高财务主管批准。
参照风险:B-1,B-2,B-4 6.2.3摩托罗拉及其子公司的所有重大借款融资协定和融资租赁必须经过摩托罗拉董事会的批准,在董事会会议纪要中必须有文字记录。非重大业务的批准权限,由董事会指定的管理人员负责。
参照风险:B-1,B-2,B3 6·2·4所有客户融资协定,借款融资协定,摩托罗拉为第三方担保和融资租赁,在实施之前,必须经过法律部和融资部的审查。
参照风险:B-1,B-2,B3 6.2.5所有应收款让售或贴现计划在实施前必须经过总公司融资部的批准。
参照风险:B-1,BZ 6.2.6所有资本金业务,例如发行股票,股票分割,股票股利和现金股利,员工认股等必须经摩托罗拉董事会及或经授权的最高财务主管的批准。
参照风险:B-1,B-2,B-3,B-5 6·2·7必须监测融资安排是否符合贷款条文。
参照风险:B-3 6.2.8所有融资票据必须在偿还完毕之后妥善注销。
参照风险:B-5 6·2·9必须审查。有贷款和权益业务事项,看其是否合理,是否经过恰当批准,必须与业务通知单或其它文件核对,并及时登记入帐。
参照风险:B-5,B-6,B.7 6·2.10所有关于股东的资料均属机密资讯。这类资讯必须妥善保管并分类记录核定股本,已发行股票,流通在外股票,已发行股票的过户、股息、员工认股和库藏股票。
参照风险:B-3,BS,B6,B.7 B-1融资资金的成本或条款可能未经授权。融资成本过高,或者限制性条款过多。
B-2可能发生违法或不符合摩托罗拉政策的融资,造成罚款、处罚、诉讼或者丧失在金融市场的信誉。
B-3可能违反法律或贷款中的约束性条款。
B-4可能无法满足融资需求。
B-1融资资金的成本或条款可能未经授权。融资成本过高,或者限制性条款过多。
B-2可能发生违法或不符合摩托罗拉政策的融资,造成罚款、处罚、诉讼或者丧失在金融市场的信誉。
B-3可能违反法律或贷款中的约束性条款。
B-4可能无法满足融资需求。
B-5现金或股利的支付可能重复,不妥或有舞弊问题。
B-6由于期未截止方法或估值不恰当,某些财务数据遗漏或者登记、分类差错,可能使财务报表和帐目错报。
B-7报告可能不准确,重大决策所依据的可能是错误信息。
6.3投资 6.3.1所有财务投资的政策和决策必须经过总公司融资部的事光批准。
参照风险:C-1,C-2 6.3.2购入证券必须尽可能地以摩托罗拉或其法人子公司的名义购入。购买不记名证券时,必须取得适当的确认书。
参照风险:C-3 6.3.3所有证券必须由适当的金融机构保存在其内部保险柜中,或由摩托罗拉指定的保管人员保管。
参照风险:C-3 6.3.4必须妥善保持财务、权益投资明细帐,以便提供预期收入等重要资料。这类帐目的负责人必须与证券保管人分开。
参照风险:C-3,C-4,C-5 6.3.5所有财务和权益投资业务必须经过事先批准,有适当的文件记录,并且要及时正确地登记入帐。
参照风险:C-2,C-3,C-5,C-6,C-7 6.3.6必须根据一般公认的会计原则和政府报告机构的要求制定财务、权益投资的估值政策,包括养老金和利润分享计划的政策。核销、调整投资帐户必须经过恰当的审查,按实际价值进行评估并经过批准。
参照风险:C-3,C-5,C-6 6.3.7一个以上的摩托罗拉法人单位之间的现金统筹在实施之前,必须经过总公司税务和融资部门的批准。
参照风险:C3,C7 C-1可能违反法律或贷款中的约束性条款。
C-2可能发生违法或不符合摩托罗拉政策的投资,造成罚款,处罚及或投资损失。
C-3现金和证券可能遗失、被盗、被毁或暂时被挪用。
C-4帐目记录可能遗失或被毁。
C-5由于期末截上方法和估值不当,某些财务数据遗漏或者登记、分类差错,可能使财务报表和帐目错报。
C-6报告可能不准确、重大决策所依据的可能是错误信息。
C-7业务事项可能带来不良的法律或税务影响。
6.4对销贸易 6.4.卫包括销售合同在内的所有文件,凡是涉及摩托罗拉及或其在世界各地的公司采取对销贸易从事业务的,在实施前,需要经过总公司法律部的审查,并经过总公司融资部的批准。
参照风险:D-1,D-2 6.4.2对销贸易的安排必须完全符合摩托罗拉关于对销贸易的政策。
参照风险:D-1,D-2 D-1对销贸易的安排可能是违法的,或者违反了摩托罗拉的政策和行为准则。
D-2未能达到或满足对销贸易的要求可能导致罚款、违约赔偿,国外的诉讼和外国政府的其他处罚。
6.5外汇管理 6.5.互各事业总部/集团必须制定正式的外汇交易政策和程序,包括事业总部/集团的审批授权。这类政策和程序必须经总公司融资部的批准。
参照风险:E-1,E-2,E-3 6.52从事外汇交易人员的业务授权,必须经过总公司融资部的批准。
参照风险:E-1,E-2,E-3 6.5.3外汇交易银行的选择应由总公司融资部批准。
参照风险:E一回,E-4 6.5.4期货外汇合同,有选择权的合同或者选择权派生合同在执行前,必须按照总公司融资部和事业总部/集团的政策得到批准。经过批准的业务必须按照文件保管要求记入外汇风险管理系统。
参照风险:E-1,E-2,E-3 6.5.5除了正常经营过程中的某些现汇交易之外,所有外汇业务事项,必须记入摩托罗拉外汇风险管理系统,这些记录和系统中的银行确认记录构成外汇业务的文件。
参照风险:E-3,E-4,ES,E-6,E.7 6.56套汇业务的会计分录应在摩托罗拉外汇风险管理系统中记录。各业务单位应负责准确及时登记外汇兑换损益和其他按系统要求应记入该单位的外汇业务。
参照风险:E-4,E-6,E.7 6.5.7摩托罗拉内部法人公司之间的外汇兑换合同应按照第三方外汇合同(正常交易)的作法进行计价登记和核算。这类业务也必须记入外汇风险管理系统中的内部法人单位合同中。
参照风险:F-2,E-3,E6,E-7 6.5.8一般来说,外汇交易结算的时间必须与系统清算时间一致,保证外汇交易结算及时。
参照风险:E-1,E-4,E6 E-1摩托罗拉面临的风险可能增加,费用可能提高,可能发生经济损失。
E-2业务事项可能与总公司的各种要求和风险参数不相符。
E-3可能发生与政策和程序不符的问题,没有减少,而是增加了摩托罗拉承担的外汇风险。
E-4实物安全保管、授权和业务处理中的差错和疏漏未能查出并予以纠止。
E-1摩托罗拉面临的风险可能增加,费用可能提高,可能发生经济损失。
E-2业务事项可能与总公司的各种要求和风险参数不相符。
E-3可能发生与政策和程序不符的问题,没有减少,而是增加了摩托罗拉承担的外汇风险。
E-4实物安全保管、授权和业务处理中的差错和疏漏未能查出并予以纠正。
E-5报告可能不准确,重大决策所依据的可能是错误信息。
E-6由于截止时间不当,或计值不妥,某些财务数据遗漏或者记录分类差错,导致财务报表和帐目的错误。
E-7分类差错可能影响税赋和对外报告。
8.0计算机系统控制 计算机系统控制是摩托罗拉内部控制整体结构的一个重要部分。它包括两种控制:一般计算机系统控制及应用系统控制。应用系统由为用户或由用户编写的支持用户业务职能的程序组成。实施及加强数据处理控制的责任应由系统拥有人、用户,数据处理保管人承担。这些标准适用于摩托罗拉计算机处理,包括个人计算机,工作站,计算机中心以及局域网,厂内网,广域网。
在管理人员选择内部控制的方法和技术上,实施控制的程度取决于合理的业务判断。决定内部控制执行程度的一般准则是,内部控制的成本不应超过所获得的效益。
计算机系统控制包含以下一些作业程序:
8.1系统拥有人及设备保管人 8.2实物安全及环境控制 8.3计算机存取安全 8.4网络安全 8.5系统开发方法 8.6配置管理 8.7计算机操作及备份 8.8故障恢复计划 8.9输入控制 8.10处理控制 8.11输出控制 8.12无纸处理程序及电子数据交换 8.1系统拥有人及设备保管人 资料处理使用人为应用系统、资料档案、程序的拥有人。他们有权批准系统变更及使用申请。对计算机中心而言,管理信息系统人员是资料处理设施的保管人。对个人计算机,工作站,计算机集合制造系统或局域网而言,保管人可能是经营、工程用户或是部门管理人员。保管人负责数据处理设施的操作及维护。
8.1.1事业总部/集团财务负责人应为每一应用系统,包括制造及工程系统,指定一系统拥有人。系统拥有人为主要的系统使用人。对干由多个部门共用的系统,系统拥有人为具有更新应用档案主要责任的用户或用户团体。
参照风险:A-1 A-1没有系统拥有人的支持,系统可能不能很好地得到维护及控制。
8,1.2事业总部/集团总经理或部门经理应与管理信息系统部门经理相协调,以保持系统拥有人的最新名单。
参照风险:A-3,A-4 8.1.3系统拥有人必须批准系统的规格/设计或变更,确定安全分类等级,核准使用系统资料档案,同意接受新系统或系统变更。
参照风险:A-2 8.1.4事业总部/集团总经理或部门经理有责任保证为所有的数据处理设备指派一保管人,这些设备包括计算机中心,远程处理地点,局域网,工程工作站,部门及个人计算机,资料存储地点。
参照风险:A-5 8.1.5资料处理设施及应用资料的保管人必须:
a.提供一个安全的实物环境,防止未经许可移走或毁坏资料处理设备;
b.安排重要的应用资料档案和程序的备份及保存,即放在资料中心所处的工厂之外的安全地点;
C.提供设备或备用的计算机设备,以保证确定的故障恢复计划;
d.提供足够的计算机资源以满足用户进行数据处理的要求。用户包括厂内、部门内或局域网;
e.建立标准程序,以保证遵守合法使用软件的协议。
参照风险;
A-6,A-7,A-8,A-9,A-10 8.1.6事业总部/集团中负责软件开发或维护的组织应编制及维护详细的数据处理政策及程序。此政策和程序包括:
a.管理人员批准系统变更由测试转为正式运转的标准;
b.系统构造,逻辑设计,物理设计文件的存档标准;
C.软件编码标准,规定程序结构,逻辑过程标准及数据元素命名标准。
参照风险A-11 A-2系统变更及使用可能未经适当批准。
A-3管理信息系统人员可能寻求系统拥有人以外的人员批准系统变更。
A-4管理人员的职责可能已改变却未转移系统的拥有权。
A-5与操作及或维护资料处理设施相关的责任未被明确地加以区分。
A-6计算机设备可能被火灾或其它自然原因损坏,或是被未经认可的人员故意损坏。
A-7在故障发生时,可能无备份档案供处理之用。
A-8在电脑或网络地点发生故障时,摩托罗拉的营业能力可能会受到很大影响。
A-9计算机资源可能不能满足经营及发展的要求。
A-10摩托罗拉可能要对错误使用或未经授权拷贝的专利软件负责。
A-11系统软件操作和应用文件的使用和保管责任未能明确。
一般资料处理控制 一般资料处理控制主要是关系到计算机资源的操作和保护,以及应用系统及数据的开发及完整性。一般资料处理控制是用户及资料处理设备保管人的共同责任。一个组织内一般资料处理控制的充分性是应用控制的可靠性的基础。同样,也是经营及财务信息的正确及完整性控制的基础。
8.2实物安全及环境控制 8.2.1管理人员可以指定某些计算机区域为限制进人区域。进入此区域必须获得许可。限制进入的区域有,产品设计部门,计算机中心,网络文件服务器地点。对以下区域须实行控制:
a.对计算机及网络硬件,软件,资料及文件的使用必须由管理人员批准,只允许完成职责必需这些职能的人才可使用;
参照风险:B-1,11-2 b·所有的计算机入口/出口都应有实物的安全措施;
参照风险:B-1,B-2,B-3 C.所有用以限制进出计算机中心的钥匙卡、钥匙、识别证等,在员工离职或调职时,必须由管理人员收回。计算机中心及其支持地区的进出暗码及指令必须定期变更,在员工离职或调职时亦应变更;
参照风险:B-1,B-2,B3 d.供应商及访客对计算机硬件,软件,数据及文件的使用必须经管理人员的批准。所有的供应商及访客必须由经认可的人员批准;
参照风险:B-1,B.2 e.对所有包含专有资讯的计算机设备及资料档案的移动,必须经主管人员的特定许可,并加以记录核对。所有资料档案必须按安全分类等级进行处理。
参照风险:B-1,B.2 8.2.2计算机安装地点必须按设备供应商所指定的环境要求进行及维护。
参照风险:B-4,B-5,H-6,B.7 8·2·3必须定期对计算机硬件,软件,资料存储媒介及物料进行盘点并加以核对。
参照风险:B-1,B-2,B.5 8.2.4计算机主控制站,网络/系统管理终端仅可由经过授权的人员操作使用,主控制站的运作状况必须予以记录。
参照风险:B-2,B-3 8.2.5计算机及网络硬件不可以放置在未得到保护,往来频繁的地区。
参照风险:B-1,B.2。
8.2.6火灾侦测、预防和灭火系统及设备必须安置在计算机硬件区,可供操作人员使用并定期测试。
参照风险:B-1,B-4,B-5,B-7 82.7所有计算机硬件必须予以保护,避免电流剧变,水灾及其它可能干扰操作的自然灾害。
参照风险:B-1,B-4,B-5,B-7 8.2.8计算机硬件地点不得建筑在任何靠近易燃或危险物品的地区。
参照风险:B丑,B-4,B-5,B-7 8.2.9计算机硬件地点必须保持清洁,不得靠近易燃物质。
参照风险:B-1,B-4,B-5,B-7 8.2.10所有计算机硬件和软件的问题必须予以记录、监控和分析,以便及时地确认和改正错误/问题。
参照风险:B-6。
B-1计算机硬件,软件,数据,及文件可能未得到适当保护而损坏或被窃。
B-2可能发生未经许可的对系统及资料的使用、揭示、更改及损坏。
B-1计算机硬件,软件,数据,及文件可能未得到适当保护而损坏或被窃。
B-2可能发生未经许可的对系统及资料的使用、揭示、更改及损坏。
B-3计算机硬件可能被未经授权的人员使用,逃避了正常的安全及操作控制,进入保密性的系统及数据资料。
B-4若环境控制不当,人员可能遭受不必要的人身风险。
B-5由于安置、维护及硬件存储、存储媒介的不当,可能发生重要资料的遗失。
B-6操作效率及信赖度可能受到影响,严重破坏资料的处理。
B-7由于不充分的环境监控及控制系统,可能会对计算机硬件,软件,资料产生很大的损害。
B-1计算机硬件,软件,数据及文件可能未得到适当保护而损坏或被窃。
B-4若环境控制不当,人员可能遭受不必要的人身风险。
B-5由于安置、维护及硬件存储、存储媒介的不当,可能发生重要资料的遗失。
B-6操作效率及信赖度可能受到影响,严重破坏资料的处理。
B-7由于不充分的环境监控及控制系统,可能会对计算机硬件,软件,资料产生很大的损害。
8.3计算机存取安全 计算机存取安全控制的目标在于保护资料/程序的完整和正确,以及提供机密性/专有性或敏感性资料/程序的安全及保密。
83.1计算机设备的保管人应保证在设备上安装存取安全软件,当此设备用于经营,工程应用,产品测试及或制造处理时。使用安全软件可以成为计算机操作系统的一部分。使用安全软件至少应执行以下功能:
a.防止资料档案及程序被未经许可而使用及或变更,被窃或毁坏;
参照风险;
C-1,C-2,C-3,C-4,C-8。
b.要包括存取控制设施,该设施给使用者提供将电脑系统所执行的不相容的业务功能加以区分的能力;
参照风险:C-1,C-2,C-3,C-4,C-5,C-10。
C.在总公司/事业总部/集团管理人员所制定的期间内,自动要求建立及变更密码。密码在存储的过程中必须加密,只在实际的密码校验中才可解密;
参照风险:C-1,C-2,C-3,C-4,C-8,C-g,C-11 d.具有自动产生审计线索记录的功能,显示未经批准使用应用资料档案/程序的情况,及未经认可尝试使用专有及易于有欺诈行为的应用文件及记录。
参照风险:C-1,C-2,C-3,C-4,C-8,C-9。
8.3.2计算机设备保管人应同总经理及部门经理协调,确定安全管理员。安全管理员的职责应在可行的情况下与计算机操作及系统开发分开。
_参照风险:C-6,C-7 8.3.3安全管理员在与总经理及部门经理协调后,必须编制及执行安全管理程序。这些程序包括:
a.为新用户建立帐户,将管理人员的批准文件存档;
b.允许使用生产资料档案和程序;
C.控制那些忽视正常软件资料安全控制的使用过程(特权);
d.按照公司/事业总部/集团的政策,确定。报告并调查未经认可的存取尝试。
参照风险:C-7,C-8,C-9,C.12。
8.3.4当用户调职或离职时。安全管理员应与公司/事业总部/集团人事部门协调,建立程序以及时更新或取消用户帐户。同样,应有程序可检验出用户已离职但仍未取消的帐户。
参照风险:C-13,C-14 8·3·5应用系统拥有人必须:
a.批准用户使用应用系统及其资料。此项批准应以“需要知道”为标准;
参照风险:C-10,C.15 b.将数据挡案及程序按摩托罗拉保护专有资讯政策分类。分类的最终决定权在于总经理及部门经理;
参照风险:C-1,C-11,C-15,C-16 C.将有保密或敏感性资料的计算机打印报表,或联机屏幕进行适当的分类标示(如摩托罗拉机密文件,摩托罗拉注册机密文件);
参照风险:C-1,C-11,C-16 d.每年要和使用人所属部门之管理人员确认使用人使用应用系统的持续要求,这一确认过程应有计算机设备保管人及安全管理员的协助。
参照风险:C.17 8.3.6部门经理必须保证所允许的多重系统的处理不会危害到职能的划分。
参照风险:C-10C.17 8.3.7总公司/事业部/集团财务负责人或总经理及信息系统负责人必须批准使用电子资料交换系统,例如公司和供应商、顾客,或合同服务之间的发票,订单或付款事项。
参照风险:C-1,C.18 8.3.8计算机系统和程序如被管理人员用在指导、记录或报告经营,工程或制造方面时,即称其在正式运转。正式运转系统的软件可能是由信息系统部门或用户开发,或从供应商处购得。正式运转的系统可能在主机,部门,个人微机或广域网、局域网上作业。必须做到下列控制,以保护正式运转的计算机软件及数据档案:
a.不能授予应用程序设计员永久可使用软件或资料档案的权力,程序设计员须经管理人员批准才可修改软件或档案资料,以更正系统错误;
b.负责维护或执行计算机操作系统,系统管理软件的人员或程序员对分类为摩托罗拉机密或注册机密正式运转的软件或数据档案的用户更新必须加以记录.管理人员必须指定人员维护记录,以证明及时检查此记录卡. 参照风险:C-1,C-11,C-15,C-16 8.3.9供货商,合同程序员以及其它非摩托罗拉人员必须在他们使用摩托罗拉计算机系统前签署不泄露资讯协议书。非摩托罗拉人员必须有单独的计算机帐户或用户号码。
参照风险:C-1,C-11,C-15,C-16 8.3.10计算机设备保管人必须保证在所有应用于经营。工程应用、产品测试和/或制造过程上的计算机安装防病毒软件。
参照风险;
C-19 C-1摩托罗拉的信息可能被揭示或遗失,这可能对公司竞争地位产生不利的影响。
C-2处理经营,制造及工程系统业务的计算机及做产品测试的计算机可能设有合适的存取安全软件。
C-3计算机存取安全软件或操作系统可能未能提供最低的保护及检验性安全控制。
C-4用户计算机帐户的密码可能被揭示,产生未经认可对资料及程序的处理。
C-5由于系统使用方法及人员职责的合并,会造成职责不清。C-6计算机使用安全控制可能得不到实施。
C-7安全管理员可能具有相冲突的责任,因而允许他们同时改变使用安全性及系统处理。
C-8可能无适当的认可而允许处理正式档案和程序。
C-9可能有经常性的未经认可的处理尝试而无法得知。
C-10同一用户接近多重系统可能造成职责不清。
C-11敏感性的资料可能被未经授权的人使用或被揭示给这些人。
C-1摩托罗拉的信息可能被揭示或遗失,这可能对公司竞争地位产生不利的影响。C-7安全管理员可能具有相冲突的责任,因而允许他们同时改变使用安全性及系统处理。
C-8可能无适当的认可而允许处理正式档案和程序。
C-9可能有经常性的未经认可的处理尝试而无法得知。
C-10同一用户接近多重系统可能造成职责不清。
C-]1敏感性的资料可能被未经授权的人使用或被揭示给这些人。
C-12可能允许某些使用特权的存在。导致未经许可的对运行数据档案的存取。
C-13D离职/调职的员工可能使用或毁坏敏感性的公司资料,扰乱正常的经营过程,或将敏感性的资料揭示给公司外的人员。
C-14可能无法查出离职/调职员工对系统的使用,无法查出和离职、调职人员的计算机帐户。
C-15系统用户可能给予权力使用并非其工作所需要的数据档案及程序。
C-16计算机系统内储存的专有资讯可能未能得到保护。
C-1摩托罗拉的信息可能被揭示或遗失,这可能对公司竞争地位产生不利的影响。
C-10同一用户接近多重系统可能造成职责不清。
C-11敏感性的资料可能被未经授权的人使用或被揭示给这些人。
C-15系统用户可能给予权力使用并非其工作所需要的数据档案及程序。
C-16计算机系统内储存的专有资讯叮能未能得到保护。
C-17用户可能已改变工作职责,但系统使用功能仍未改变。
C-18业务资料可能在无适当的资料处理或会计控制下进行,产生错误的订单,付款或采购。
C-1摩托罗拉的信息可能被揭示或遗失,这可能对公司竞争地位产生不利的影响。
C-11敏感性的资料可能被未经授权的人使用或被揭示给这些人。
C-15系统用户可能给予权力使用并非其工作所需要的数据档案及程序。
C-16计算机系统内储存的专有资讯可能未能得到保护。
C-19经营,制造或工程系统可能会功能不正常,导致产量及收入的损失,或是关键性的资料被损坏。
8.4网络控制 网络控制的目标包括保护网络,防止未经许可的进入,错误使用或是对资料的更改及网络拒绝工作的状态。摩托罗拉网络有三个层次。第一层次,摩托罗拉公司组织网络,包括广域网(WAN)。第二层次,事业部组织网络,即厂内主干网,提供基于标准的对第三层次局域网与第一层次广域网的联结,第三层次,即部门组织网络,局域网(LAN)。
8.4.1操作通讯网络的数据处理保管人必须将网络拓扑结构的维护描述文件存档。
参照风险:D-1 8.4.2如果可行尽量使用网络协议。只有经过测试及批准的协议才可在摩托罗拉网络内使用。
参照风险:D-2,D-3 8.4.3网络管理人员必须使用配置、运行情况、误差、会计核算及安全管理工具来监控网络。
参照风险:D-1,D-2,D-3,D-4,D-6,D7 8.4.4网络地址及名称必须按摩托罗拉数据网络结构标准进行维护。
参照风险:D-2,D-3,D-7 8.4.5计算机设备保管人必须保证在传送专有资讯时,加密功能可供使用,在网络传送中密码必须实行加密。
参照风险:D-1,D-4,D-5 8.4.6内部人员使用摩托罗拉网络必须由单一IN素鉴定加以控制,如单一用户帐户,密码或令牌鉴定。
参照风险:D-1,D-4,D-5 D-1摩托罗拉的专有资讯可能被揭示或丢失,对公司的竞争地位不利。
D-2资料可能未正确、完全地转移。D-3数据转移可能无适当的查错功能。
D-1摩托罗拉的专有资讯可能被揭示或丢失,对公司的竞争地位不利。
D-2资料可能未正确、完全地转移。
D-3数据转移可能无适当的查错功能。
D-4敏感性信息储存在计算机系统内,可能未能得到保护。
D-5存储在计算机内的专有资讯可能未能得到保护。
D-6在资料传送过程中专有资讯可能揭示给未经许可的人员。
D-7在系统发生故障之后,数据库可能包含不正确,不完整的资料。
8.5系统开发方法 8.5.1公司/事业总部/集团负责软件开发及维护的部门必须定义开发及维护应用系统的标准方法并存档保留。参照风险:E-1,E-2,E-3,E-4 8.5.2公司/事业总部/集团系统开发方法必须包括以下内容:
a.系统开发项目必须分割成可衡量的部分或预先定义的可移交的阶段;
参照风险:E-1,E-3 b.项目小组的职责必须明确加以定义并存档保留;
参照风险:E-2,E-4 C.系统开发项目小组包括用户、信息系统人员及系统拥有人,该小组必须先核准每一主要开发阶段的完成,然后才能转向下一阶段。
参照风险:E-3,E-4,E-5,E.6 d.系统开发小组必须编制一份正式计划。这一计划必须符合摩托罗拉软件开发质量政策,至少包括以下方面:
----对所提议系统的业务目的及要求的清晰正确描述;
参照风险:E-2,E-5,E.6------确认可能的软件方法及成本/收益分类的可行性研究;
参照风险:E-5 ------详细的逻辑及物理系统设计;
参照风险:E6 ------系统及用户可接受性测试,即按所定义的详细逻辑及物理设计测试系统功能及运行条件;
参照风险:E-7,E.8 ------对所提议系统的转换作规格说明,以保证处理程序及数据的完整;
参照风险:E-9 -------编写用户程序,以说明用户如何与系统交谈及如何控制此种交谈。此程序应能合理地解答系统操作,更正错误及控制方面的问题, 参照风险:E-10,E.11 -------编制如何操作应用系统的详细操作手册。此手册应包括在硬件或软件出现故障时如何重新启动该应用系统;
参照风险:E-12,E-13 -------培训以保证用户独立地操作及控制系统处理。
参照风险:E-14 E-1所应用的系统可能未能满足用户要求;
或不符合摩托罗拉软件质量标准 E-2人员角色及职责可能不明晰,造成增加系统开发时间或系统开发不适当。
E-3所应用的系统可能并未经过对系统设计的批准,未经适当测试,产生错误的处理。
E-4用户可能井未主动参与系统开发过程,这可能会导致在设计及测试阶段做出错误的决定。
E-2人员角色及职责可能不明晰,造成增加系统开发时间或系统开发不适当。
E-3所应用的系统可能并未经过对系统设计的批准,未经适当测试,产生错误的处理。
E-4用户可能并未主动参与系统开发过程,这可能会导致在设计及测试阶段做出错误的决定。
E-5由于对可选方法的不完整评估,造成为解决经营问题而采用的数据处理方法不当。
E-6系统设计可能未很好地存档,未加控制或错误处理进行讨论。
E-7由于错误的处理,单个的程序或整个的系统可能未很好地测试或不能很好地操作,满足用户的要求。
E-8用户可能未参与系统可接受性测试。系统可能不能很好地工作,不能满足用户要求。
E-9资料档案可能未能很好地转换到新系统。
E-10用户可能无法使错误的处理恢复原状。
E-11用户可能无法独立于系统开发的信息系统人员,对系统进行操作。
E.12操作人员可能无法操作系统。
E.13操作人员及或用户可能无法使错误恢复原状以便继续业务处理。
E-14未能得到很好培训的用户可能不能很好地操作及控制系统。
8.6配置管理 对正式运转环境的变更,包括软件,硬件及操作程序,必须经过批准,留档及测试 8.6.1对立式运转环境变更的申请包括业务目的,或对业务影响的分析,必须获得系统拥有人的批准。
参照风险:F-1,F.2 8.6.2对正式运转的硬件及或软件的变更必须加以测试。测试必须包括所有的情况以保证新系统可发挥所期望的功能。测试也应包括,证明所有的要求已通过测试,可满足系统最终用户的要求。
参照风险:F-3,F-4,F-5 8.63如果系统变更会引起会计分录帐户的变化,或是产生新的会计分录,这一变更应获得财务管理人员的批准。
参照风险:F-5,卜6 8.6.4负责硬件或软件的部门或组织应留存并执行软件配置管理的计划及程序。软件配置管理包括程序变更控制,版本及发行管理,情况汇报,及对操作系统软件的变更。
参照风险:F-2,F4 8.6.5对所运转的环境作维护方面的变臾时,负责软件或硬件的部门或组织必须遵循所批准的正式的系统开发方法。
参照风险:F-4,F-7 8.66如果分布式系统将同一程序及数据资料的拷贝件用于多个计算机时,系统范围内的控制必须得以实行,以保证整个系统内使用合适版本的程序及数据资料。
参照风险:F-1,F-3 F-1错误的变更,或产生于对系统的不正确的处理的变更可能会引起未经许可的对系统的变更。
F-2处理系统变更的程序员或其它人员可能未能很好地评估变更对业务处理的影响。
F-3变更可能未很好地进行测试,系统的实行可能导致错误的处理。
F-4用户及操作人员可能对会产生错误的系统处理的系统变更并无认识。
F-5财务或经营记录可能表述不正确。
F-6不正确的会计分录或帐户记录可能由于系统变更而产生。
F-1错误的变更,或产生于对系统的不正确的处理的变更可能会引起未经许可的对系统的变更。
F-3变更可能未很好地进行测试,系统的实行可能导致错误的处理。
F-4用户及操作人员可能对会产生错误的系统处理的系统变更并无认识。
F7用户及操作人员可能无法从系统故障中恢复原状。
8.7系统操作及备份 操作计算机设备的部门及组织有责任保证计算机操作符合摩托罗拉的政策及程序 8.7.1计算机数据档案,程序及系统软件必须定期备份以保证在硬件或软件出现故障时仍能继续进行业务处理。
参照风险:G-1,G-2 8.7.2公司/事业总部/集团财务负责人有责任确认应该按法律或税法,如税务机构或政府合同机构的要求,加以保存的数据档案。
参照风险:G-3,G-4 8.7.3计算机系统的拥有人/保管员必须维护能够记录追踪备份数据资料的系统,此系统也应包括其它脱机储存媒介以利十恢复及保存目标的实现。
参照风险:G-5 8.7.4程序,数据档案及附属文件的备份必须保存在厂外区域,不受厂内计算机处理设备所面临的相同风险。
参照风险:G-6,G-7 8.7.5负责计算机操作的人员应编制及维护说明计算机及系统软件操作方法的政策及程序。
参照风险:G-8 G-1由于硬件或软件故障;
人为错误造成程序或信息的丢失。
G-2磁带文件可能丢失或误销。
G-3经营数据档案可能未很好地保存,摩托罗拉可能需为此支付罚金。
G-4为法律方面的要求而保存的数据档案可能包括不正确或不完整的资料。
G-5未有备份可供使用或程序未能按管理人员所希望的发挥作用。
G-6在出现故障时,关键性的文件可能被损坏,无法帮助业务处理的恢复。
G-7在出现危急情况时,继续进行业务操作的能力会受到影响。
G-8说明计算机操作及控制的程序可能未能很好地得以宣传或执行。
8·8故障恢复计划 故障恢复计划的目标在于保证摩托罗拉在出现未能预测的计算机处理中断时,仍能继续进行经营,工程及制造方面的业务。这些中断包括由于操作故障或厂内出现灾难因而不能接触或损坏计算机设备,资料及软件的情况。
8·8.1计算机应用程序,设备及设施的管理人应协同应用系统拥有人安排备用设备及或计算机设施。这些备用设备或设施必须能适度地恢复重要的联机、批次处理,及网络系统的处理。故障恢复计划必须包括以下内容;
a.为关键及非关键性的应用程序选择最有效的替代性处理方法。
这些处理方法包括:——在其它摩托罗拉厂内处理;
——在与有互惠协议的另一家公司 替代性计算机地点处理,或在供应商的恢复现场的附有条件地处理;
——不处理应用系统,直到计算机设备或地点得到修复;
参照风险:H-1,H-2,H-3,H-4 b.在出现未预料到的处理中断时,需要详细列明信息系统及用户人员的要求,及其特殊技巧的计划;
C.最好将关键性替代表格,物料及文件的场外存储地,选在供应商的仓库。
参照风险:H-1,H-2,H-3,H.4 8.8.2应用系统拥有人必须决定其应用程序恢复的顺序。这一顺序应由计算机设备保管人作为在出现未预料到的处理中断时,确定恢复关键性应用系统的标准。这一顺序的确定应考虑以下因素:
a.由于全部或部分处理应用系统的丢失,造成的用金额,产量或其它可衡量的尺度来表述的损失定量化;
b.评价丢失系统处理所需的恢复周期及可接受的关机时间对摩托罗拉的不利影响;
C.对于关键及非关键性的分类应取得各事业总部/集团经理人员的共同意见。
参照风险:H-1,H-2,H.3 8.8.3详细的故障恢复计划必须制成正式文件并定期测试以保证确实可以实现恢复。若由于经营条件或测试成本的原因全部测试并不可行,必须编制测试计划并执行部分测试。
参照风险:H-1,H-4 8.8.4保管人应协同系统拥有人每年一次检查并更新故障恢复计划。这一更新应反映应用程序硬件及或软件方面的变化。
参照风险:H4 H-1如果摩托罗拉的计算机设备保管人不能在出现未预测到的处理中断时恢复正常,公司可能会蒙受严重的经营,工程或制造方面的严重损失。
H-2关键性的系统可能不能首先恢复。
H-3如果关键性的计算机系统或设备遭到严重的损害,摩托罗拉可能会遭受严重的财务方面的损失。
H-4故障恢复计划可能无法有效运作。
H-1如果摩托罗拉的计算机设备保管人不能 在出现未预测到的处理中断时恢复正常,公司可能会蒙受严重的经营,工程或制造方面的严重损失。
H-2关键性的系统可能不能首先恢复。
H-3如果关键性的计算机系统或设备遭到严重的损害,摩托罗拉可能会遭受严重的财务方面的损失。
H-4故障恢复计划可能无法有效运作。
应用系统控制 应用系统控制在于保证资料输入、处理、存储和输出的完整性、正确性和统一性 8.9输人控制 8.9.1所有手工输人或自动转入的业务活动必须正确进行,并经核准,且应包括在处理前已经核准的证据。
参照风险:I-1,I-2 8.9.2手工输入或自动转入的资料必须经过充分的检查和确认,包括重复及完整性方面的核查以防止或找出数据输入错误。
参照风险:I-1,I-2 8.9.3被应用系统的检查和确认程序拒绝的手工输入或自动转人的资料,必须加以控制以确保查出错误,并加以更正,及时地重新输入系统。
参照风险:I-3,I-6 8.9.4应用系统必须提供审计线索,包括由系统所记录的输入业务,原始文件到输入人员或系统。
参照风险:I-4,I-5 I-1可能存在未经认可的业务交易活动。
I-2可能处理无效或错误的资料,从而影响经营及或财务方面的决策。
I-3被拒绝的输入可能未经更改再次输入系统,造成不完整的处理。
I-4可能没有适当的审计线索,用来证实输入业务。
I-5财务及或业务人员可能无法解释业务活动或帐户余额。
I-6未及时更正被系统拒绝的项目,可能会导致不正确的记录及财务报表。
8.10处理控制 8·10·1应用系统及或于工处理程序必须包括以下控制程序以保证:
a.所有的业务都已输入并被系统接受巴已经正确、完整、及时地处理;
参照风险:J-1,J-2,J-4 b.对不同会计期间的业务事业合适当的截止点;
参照风险;
J-4,J-5 C.由一个应用系统传递到另一系统并经由这一系统处理的交易都能适当地从其来源系统所传递,并被接收系统所接受和处理。
参照风险:J-2,J-4,J-6 8.10.2应用系统的开发人必须准备特别的作业程序,以说明在出现暂时性的硬件或系统故障时如何重新启动。这些复原程序必须提供给负责操作系统的人员。应用系统重新启动/恢复规定,包括人工及自动实现的恢复,均应保证从系统错误或故障中恢复原状时,所有应用程序,数据及档案实现同步化。
参照风险:J-3,J-4 8.10.3计算机资源必须充足以保证及时的联机反映及信息处理。
参照风险:J-1,J-5 J-1用户可能无法确认所有的业务事项都已被适当的处理。
J-2交易未能适当地从个系统传递至另一个系统。
J-3操作应用系统的人员可能无法在硬件或软件出故障时,重新启动/恢复处理。
J-4摩托罗拉财务报表可能表述不正确。
J-5财务或经营报告可能并不完整,未包括所有的业务交易。
J-6业务事项并未用来适当更新档案文件。
8·11输出控制 8。11-1应用系统必须提供活动台帐以证明:
a.所有输入的资料,包括从其他系统接收的资料;
b.主档资料的变更、增加或参照表资料;
C.内部产生的交易。
参照风险:K-1,K-2,K-3 8.11.2应用系统必须提供审计线索以保证在整个系统内可单独确认所处理的业务并加以追踪。
参照风险:K-1,K-2,K-3 8·11·3所有联机显示屏幕或报告应包括充足的信息以确认其来源,所涉及期间,完整性以及他们的“专有信息”分类等级。
参照风险:K-1,K-2,K3,K-4 8·11·4数据处理保管人及应用系统用户必须建立并执行程序,以保证含有专有资讯的报告可立即由已经许可的人员取走,且远程打印机或报告分发地点必须加以保护。
参照风险:K-4 8·11·5含有专有资讯的资料档案,资料储存媒介、计算机报表(包括复写副本及缩微胶片)在使用年限结束后必须适当地予以销毁。
参照风险:K.4 K-1应用系统可能无法印制控制处理的审计线索、输入及处理方面的报告。
K-2对系统资料的错误或未经许可的变更可能未能得知。
K-3系统审计线索可能未能很好提供及维护。
K-1应用系统可能无法印制控制处理的审计线索、输入及处理方面的报告。
K-2对系统资料的错误或未经许可的变更可能未能得知。
K-3系统审计线索可能未能很好提供及维护。
K-4专有资讯可能被无意泄露,损害公司的利益。
8.12无纸业务处理及电子数据传递 无纸业务处理指业务经营通过电子处理或存储信息,取消了传统的书面审计线索证明。无纸处理控制方面的规定,同手工操作环境类似,在于保证业务经过许可,记录上确完整。因此,所有相关的经营周期及应用控制均适用于此。
8.12.1无纸处理必须包括经过适当许可的证明。有效的逻辑使用及安全管理控制必须实行,以保证电子许可过程的可靠性。
参照风险:L-1 8.12.2必须建立控制以保证业务交易来源的真实。最低鉴定及安全要求的定义由业务部门及他们的客户决定。
参照风险:L-2 8.12.3在数据转移过程中,无纸业务的内容不能有变化。这一过程包括从开始传送到收到数据的全过程。无纸处理的每一部分,从手工输入到计算机处理,应用文件的编辑及系统安全,必须包括保证交易完整真实的各项控制。此外,在传送过程的关键点上必须有适当的审计线索。
参照风险:L-2 812.4对无纸业务的保存必须保证所有的电子记录可供使用,真实,可靠并可打印出来。必须按公司/事业总部/集团的留档保存政策及程序保存无纸业务。
参照风险:L-3 8.12.5对电子数据转移处理,在使用之前必须由公司/事业总部/集团法律部门批准所准备的贸易伙伴协议(TPA’S)。此协议应确认业务处理的规格,贸易伙伴的职责,条件及相应的义务。
参照风险:L-4 8.12.6当使用增值网络时,保证摩托罗拉信息的完整真实性,操作,安全及法律方面的责任应以合同的形式加以确定。
参照风险:L-4 L-1交易可能是不合法的,可能会产生欺骗性的处理及法律方面的责任。
L-2交易的真实性或完整性可能未能保证,从而减少了数据的可靠性,产生欺骗性或错误处理风险。
L-3无纸记录可能未加保留或安全保存,产生丢失数据或法律罚款的风险。
L-4职责可能不清楚,导致摩托罗拉承受不必要的系统故障或交易损失。
内部控制标准责任矩阵(略)