关于信息与沟通,COSO内部控制报告的以下论述是值得借鉴的:
一是战略和整合系统。COSO内部控制框架:策略性的和整合性的信息系统。信息系统通常是经营行为的一个组成部分。它们不仅获取决策所需要的信息来影响控制,而且还更多地被设计来执行战略意图。对于管理层最重要的挑战是将信息系统的规划、设计和应用同组织的整体战略整合在一起。信息系统支持战略创新。对于很多机构来说,战略性地运用信息系统就意味着成功。
二是与经营相结合。COSO内部控制框架:信息系统和经营的整合。信息系统的战略性运用表现了这样一种变化:从纯粹的财务系统变为整合进企业经营中的系统。这些系统帮助控制商业流程,跟踪和记录实时基础上的交易,通常还包括在整合性的、复杂的系统环境中许多经营行为。在生产过程中,信息系统支持生产的各个阶段。收据、原料接受检测、要素的选择与结合,产成品的质量控制、存货更新、顾客记录、以及产成品的分配都可以运用这些系统。在多数情况下,这些步骤与过程控制系统和机械化操作的联系达到了这样一种程度,使得只要很少的人手就能完成产品订单。正如在适时存货制度(JIT)中体现出来的那样,一个整合的经营系统的效果是非常突出的。公司运用JIT保证最少的存货,显著的削减了支出。通过频繁地使用电子数据交换,信息系统自身下命令并制定计划,使得原料自动到货。采用JIT的企业依赖它们的信息系统来实现生产目标,因为没有信息系统,这样密切的监控是不可能实现的。多数新的生产系统与企业其它的系统,可能还包括企业的财务系统,高度地整合为一体。当系统执行其它的运用时,财务数据和会计记录会自动更新。
如不考虑要跟进信息系统技术革命的挑战,仅仅因为这些系统是新的就认为新的系统能提供更好的控制,这种认识是错误的。实际上,反过来才可能是对的。旧系统通过使用可能已得到测试和检验,并且已经提供了所需要的东西。通常是这样的,一个企业的系统通常要不断发展以适应一些需求,因此就变成了多种技术的混合物。技术的采购是公司战略的一个重要方面,而技术的选择对于实现增长的目标则是关键。技术的选择和运用依赖于许多因素。其中包括企业的目标,市场需求,竞争的要求,更重要的是,为了促进企业目标的实现,新系统如何帮助影响控制,反过来又遵从必要的控制。
三是信息质量。COSO内部控制框架:系统产生信息的质量影响管理层在管理和控制企业行为时作出适当决策的能力。现代的系统通常会提供在线问讯的能力,以便得到最新的信息。报告要包含足够的恰当数据来保证有效的控制,这一点很重要。信息的质量包括确认:内容是否适当—它是所需要的信息吗?信息是否适时——需要时,就有吗?信息是当前的吗?——最近的信息有吗?信息是否准确——数据正确吗?信息是否畅通——相应的部门能容易地获得信息吗?
所有这些问题在设计系统时必须提到。如果没有提到,有可能系统就会不能提供管理层和其它人员需要的信息。因为适时适地地获得正确的信息是影响控制和信息系统的关键,因此信息系统自身也是内部控制的组成要素,并且也要被控制。信息的质量依赖于控制活动的职能实施。
《企业内部控制基本规范》要求企业应当建立内部控制相关信息与沟通制度,明确相关信息的收集、处理和传递程序,加强信息的及时沟通,促进内部控制有效运行。企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。除上述内容之外,两个值得关注的地方:
一是把国外框架中的反舞弊机制放在了信息与沟通的内容之中,强调企业应当将可能损害投资者利益的下列情形作为反舞弊工作的重点:未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益;在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等;董事、监事、高级管理人员滥用职权;相关机构或者人员串通舞弊等。
二是要求企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。