作為內部控制基本要素之一的信息與溝通,在內部控制中發揮著不可替代的作用,為內部控制的其他要素有效發揮作用提供了信息支撐,也為企業整個內部控制的有效運行提供了信息支持。
一、《內部控制框架》中的信息與溝通
美國COSO委員會的《內部控制框架》要求企業以一定的形式、在一定的時間范圍內識別、獲取和溝通相關信息,以使企業內部各層次員工能夠順利履行其職責。內部控制中的信息與溝通包括信息方面與溝通方面兩個內容。信息和溝通相互聯系,信息是溝通的對象和內容;而溝通是信息傳遞的手段。通過信息與溝通的結合,發揮其在內部控制中的作用。
(一)信息
從信息來說,《內部控制框架》要求通過信息系統識別、獲取、處理和報告信息,為管理和控制經營活動提供信息支持。信息系統可以是手工信息系統,也可以是利用現代信息技術的信息系統,還可以是手工和信息技術相合的信息系統;可以是正式的信息系統,也可以是非正式的信息系統。信息系統處理的對象既包括企業經營活動等內部生成的信息,也包括與經營活動相關的外部事項、活動和環境等的外部信息。作為內部信息,信息系統通常以監控的模式常規性地獲取信息。作為外部信息,具體包括表明企業產品或勞務需要發生變化的特定市場或行業數據、客戶偏好或需求方面的市場信息、企業經營活動所需要產品或勞務方面的信息、競爭對手的產品開發活動、政府立法及監管方面的信息等。信息系統一方面需要定期獲取和報告經營活動各方面的信息,包括產品的生產和銷售方面的信息;另一方面需要采取措施獲取市場變化對產品和勞務等需求方面的信息。信息系統不僅要識別和獲取所需的財務信息和非財務信息,而且還必須在一定的時間內,以有助于企業控制其經營活動的方式處理和報告信息。
《內部控制框架》要求信息系統根據所面臨的市場變化、競爭對手的創新以及客戶需求的重大變化進行調整,以支持企業實現其經營和戰略目標;并要求企業將信息系統的規劃、設計和執行與企業的整體戰略進行整合。信息系統作為經營活動不可分割的組成部分,通過獲取決策所需要的信息來實施控制。對信息系統與經營目標進行整合,跟蹤和記錄交易,將企業的各項經營活動包含于整合的系統之中,有助于對經營活動實施控制。企業信息系統中信息技術的使用應當有助于企業經營目標的實現,而不在于使用的是否為最先進的信息技術。
對于信息的質量,《內部控制框架》要求信息系統所提供的信息內容適當、及時、準確,并且要求信息必須是當前最新和可以獲取的。由于信息的質量直接影響企業管理當局在管理和控制中的決策,信息系統本身成為內部控制體系的一個組成部分,必須對其進行控制。 (二)溝通
從溝通來說,溝通是信息系統所固有的功能,信息系統必須將其信息提供給相關人員,以使其能夠合理地履行相關的職責。《內部控制框架》要求信息在更為廣泛的范圍內,自上而下、自下而上地在整個企業內外進行溝通。溝通包括內部溝通和外部溝通兩個方面。
從內部溝通來講,《內部控制框架》 要求建立必須的溝通渠道和機制,一方面使企業的所有人員從企業管理當局獲取明確的信息,明確其職責,了解自身在內部控制體系中所應發揮的作用,理解自身活動與其他員工活動之間的關系,使其在經營活動中及時發現問題、確定原因并采取糾正措施;另一方面使員工能夠及時向上傳遞其在企業經營活動中所了解的重要信息。其中,必須建立相應的舉報人保護機制,以保護員工報告的積極性;還必須確保管理當局與企業董事會及其委員會之間的溝通,以使董事會有效地行使監督職責,充分發揮董事會的作用。
從外部溝通來講,《內部控制框架》要求企業加強與客戶、審計師等中介機構、監管者、股東以及其他外部相關者之間的信息溝通。通過外部溝通,可以了解和掌握有關內部控制體系運行的重要信息,如通過與客戶之間的信息溝通,能夠及時了解和應對不斷變化的客戶需求和偏好;通過與審計師等中介機構之間的溝通,可以獲取重要的控制信息;通過與股東、監管者等的溝通,可以了解企業所面臨的風險。
溝通的方式可以采取手冊、備忘錄等文字傳遞方式,也可以采用召開會議、談話等口頭傳遞方式;另外一種強有力的溝通手段就是管理當局與下屬相處所采取的行為。
二、《企業風險管理框架》中的信息與溝通
根據美國COSO委員會發布的《企業風險管理框架》,要求企業識別和獲取與企業相關的涉及外部和內部事項和活動的廣泛的信息,并以保證員工能履行其企業風險管理和其他職責的形式和時機向員工傳遞。與《內部控制框架》相比,二者的基本內容和要求大致相當,但《企業風險管理框架》的信息與溝通側重于從風險角度來描述。對于信息,《企業風險管理框架》要求企業建立信息系統,對來自企業內部和外部的數據進行處理,以形成可資利用的信息并予以報告。《企業風險管理框架》特別強調信息的深度和及時性,要求企業信息系統與信息需求的時機和深度相適應,獲取信息,識別、評估和應對風險;要求信息的及時性與企業內部和外部環境的變化保持一致。
關于溝通,《企業風險管理框架》 要求溝通在更為廣泛的范圍內進行,以使員工能夠履行各自的職責;要求企業提供著眼于行為規范、員工職責方面的具體的和指導性的溝通,包括企業風險管理理念的表述以及明確的授權;要求溝通有效地傳達風險管理的重要性和相關性、企業的目標、企業的風險容量與容限以及員工在企業風險管理中的職責等內容。《企業風險管理框架》強調企業應當建立暢通的溝通渠道和清晰的傾聽意愿,使員工將需要報告的信息向有關方面予以報告。關于外部溝通的內容,《企業風險管理框架》的內容與《內部控制框架》的內容基本相同。
三、《企業內部控制基本規范》中的信息與溝通
信息與溝通是及時、準確、完整地采集與企業經營管理密切相關的各種信息,并使這些信息以適當的方式在企業有關層級之間、企業與外部之間進行及時傳遞、有效溝通和正確使用的過程,是實施內部控制的重要條件。《企業內部控制基本規范》要求企業建立內部控制相關信息與溝通制度,明確相關信息的收集、處理和傳遞程序,加強信息的及時溝通,促進內部控制有效運行。信息與溝通的具體要求如下:
(一)建立信息收集、加工機制
企業應當對收集的各種內部信息和外部信息進行合理篩選、核對、整合,提高信息的有用性。從內部信息來講,要求企業根據經營目標等建立與其經營活動相適應的信息系統,持續性地收集經營活動所生成的各種信息。企業應當通過財務會計資料、經營管理資料、調研報告、專項信息、內部刊物、辦公網絡等渠道獲取內部信息。從外部信息來講,要求企業通過行業協會組織、社會中介機構、業務往來單位、市場調查、來信來訪、網絡媒體以及有關監管部門等渠道獲取外部信息。由于所收集的各種信息來自于不同的渠道和信息源,屬于零散的、非系統的,必須對所收集信息進行必要的篩選、整理和加工,以提供給有關方面。
(二)完善信息傳遞機制
信息的最終目標在于使用,為企業經營目標的實現服務,處于內部控制之中的信息則必須服務于內部控制,服務于內部控制的有效性。為了提高內部控制的有效性,1.企業應當將相關信息在企業內部各管理級次、責任單位、業務環節之間進行內部傳遞。內部信息傳遞一方面要完善信息向下傳遞機制,使企業內部參與經營活動各個方面和全體人員了解企業實現經營目標方面的信息,明確各自職責,了解自身在內部控制體系中的地位和作用;另一方面要完善信息向上傳遞機制,使企業員工能夠及時將其在企業經營活動中所了解的重要信息向管理層及董事會等方面傳遞。此外,還須建立信息橫向傳遞機制,特別是要使信息在管理層與企業董事會及其委員會之間進行溝通。2.企業應當建立良好的外部溝通渠道,加強與外部投資者、客戶、供應商、中介機構和監管部門等有關方面之間的溝通和反饋。外部溝通應重點關注以下方面:(1)加強與投資者之間的溝通,根據有關法律、行政法規和企業章程,建立本企業的信息披露政策與程序,及時、公平地向投資者披露企業的戰略規劃、經營成果、投融資計劃、年度預算、重大財務擔保、合并分立、資產重組、財務狀況、經營成果、利潤分配方案等方面的信息。(2)加強與客戶的溝通,通過座談會、走訪等形式,采集客戶對消費偏好、銷售政策、產品質量、售后服務、貨款結算等方面的意見和建議,及時發現并處理存在的問題。(3)加強與供應商的溝通,通過供需見面會、訂貨會、業務洽談會等與供應商就供貨渠道、產品質量、技術性能、交易價格、信用政策、結算方式等問題進行溝通,及時發現并處理存在的問題。(4)加強與監管機構的溝通和協調,及時了解監管要求,積極反映訴求和建議。(5)加強與注冊會計師的溝通和協調,聽取注冊會計師對內部控制等方面的建議,保證內部控制的有效運行。(6)企業應當根據有關法律、行政法規要求和管理需要,與律師保持有效溝通。
