信息与沟通的趋同与创新
财政部等五部委联合发布的《企业内部控制基本规范》(以下简称《基本规范》),科学界定了信息与沟通是企业实施内部控制的重要要素,在信息与沟通上实现了趋同与创新。
国内外对信息与沟通的定义
国内外对信息与沟通定义没有本质差别,但表述多种多样。
美国全国虚假财务报告委员会下属的发起人委员会(COSO)制定的《内部控制报告》认为:相关的信息必须以一种能使人们行使各自职能的形式和在一定的时限内被识别、掌握和沟通。
巴塞尔委员会《银行组织内部控制系统框架》中认为,信息与交流存在于所有经营管理活动中,使员工得以搜集和交换为开展经营、从事管理和进行控制等活动所需要的信息,包括管理者对员工的工作业绩的经常性评价。
《基本规范》认为,信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。
纵观以上国内外内部控制规范关于信息与沟通的定义,有的称“交流与沟通”,有的称“信息沟通”,实际上应是同一概念,只是翻译的不同或提法不同,对其定义也没有本质的差别。
国内外在信息与沟通规范的内容表述上,也是多种多样的。
COSO《内部控制报告》关于信息与沟通有很多新颖独到的论点。比如,信息系统产生的报告包括使企业的运营和控制成为可能的经营性的、财务的以及与合规性相关的信息。信息系统不仅处理内部生成的资料,而且还处理形成企业决策和外部报告所必须的、关于外部事件、行为和条件的信息。为了业务经营和达成企业所有类别的目标———经营的、财务的和合规性的目标,组织的各个层次都需要信息。由内部或外部的来源产生的信息,无论是财务的还是非财务的,都与所有目标相关。
在国内,《内部审计具体准则第5号———内部控制审计》规定,就信息沟通系统的构成而言,它应包括会计系统、信息系统和传导机制等内容。信息与沟通主要包括以下内容:及时、准确、完整地记录所有信息;保证管理信息系统的有序运行;保证管理信息系统的安全可靠。
《中央企业全面风险管理指引》中明确,企业应将信息技术应用于风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。
《基本规范》要求企业应建立内部控制相关信息与沟通制度、建立信息收集加工机制、完善信息沟通机制、加强信息技术的运用、建立反舞弊机制和建立投诉和举报人保护制度,。
值得相互借鉴的几个方面
关于信息与沟通,笔者认为,COSO内部控制报告的以下论述是值得借鉴的:
一是战略和整合系统。COSO内部控制框架中提出,信息系统要有策略性和整合性。信息系统通常是经营行为的一个组成部分。它们不仅通过获取决策所需要的信息来影响控制,而且还更多地被设计来执行战略意图。对于管理层最重要的挑战是将信息系统的规划、设计和应用同组织的整体战略整合在一起。信息系统支持战略创新。对很多机构来说,战略性地运用信息系统就意味着成功。
二是与经营相结合。COSO内部控制框架中规定,信息系统要和经营整合。信息系统的战略性运用表现了这样一种变化:从纯粹的财务系统变为与企业经营结合的系统。这些系统帮助控制商业流程,跟踪和记录实时的交易,通常还包括在整合性的、复杂的系统环境中许多经营行为。在生产过程中,信息系统支持生产的各个阶段。收据、原料接受检测、要素的选择与结合,产成品的质量控制、存货更新、顾客记录、以及产成品的分配都可以运用这些系统。在多数情况下,这些步骤与过程控制系统和机械化操作的联系达到了这样一种程度,使得只要很少的人手就能完成产品订单。多数新的生产系统与企业其它的系统高度地整合为一体。当系统运用时,财务数据和会计记录会自动更新。
必须要考虑跟进信息系统技术革命所带来的成果。如果仅因为这些系统是新的就认为新系统能提供更好的控制,这种认识是错误的。实际上,反过来才可能是对的。旧系统通过使用可能已得到测试和检验,并且已经提供了所需要的东西。通常是这样的,一个企业的系统要不断发展以适应一些需求,因此就变成了多种技术的混合物。技术的采购是公司战略的一个重要方面,而技术的选择对于实现增长的目标则是关键。技术的选择和运用依赖于许多因素。其中包括企业目标、市场需求和竞争要求。
三是信息质量的控制。COSO内部控制框架指出:系统产生信息的质量影响管理层在管理和控制企业行为时作出适当决策的能力。现代的系统通常会提供在线问讯的能力,以便得到最新的信息。报告要包含足够的恰当数据来保证有效的控制,这一点很重要。信息的质量包括确认:内容是否适当———它是所需要的信息吗?信息是否适时———需要时,就有吗?信息是当前的吗?最近的信息有吗?信息是否准确———数据正确吗?信息是否畅通———相应的部门能容易地获得信息吗?
所有这些问题在设计系统时必须提到。如果没有提到,有可能系统就会不能提供管理层和其它人员需要的信息。因为适时适地地获得正确的信息是影响控制和信息系统的关键,因此信息系统自身也是内部控制的组成要素,并且也要被控制。信息的质量依赖于控制活动的职能实施。
《基本规范》要求企业应当建立内部控制相关信息与沟通制度,明确相关信息的收集、处理和传递程序,加强信息的及时沟通,促进内部控制有效运行。企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
文 李三喜 来源 财会信报
PAGE
PAGE 2