內部控制中的信息與溝通

　　“內部控制”欄目：

　　企業(yè)各個層次、每個員工都需要運用信息來確認、評估和應對風險，以便更好地履行職責并實現(xiàn)公司目標。信息流動貫穿于企業(yè)的整個風險管理過程。

　　經(jīng)濟市場化程度的提高要求必須加強信息管理，包括信息的采集、存儲、處理加工和運用。信息在企業(yè)范圍內按照一定的規(guī)則和程序進行流動，有助于每一個員工及時地獲取信息，更好地完成其風險管理的職責。

　　信息

　　企業(yè)的各個層次都需要利用信息來確認、評估和應對風險。就風險管理而言，信息流動貫穿于企業(yè)風險管理全過程（詳見下圖1）。

圖1 企業(yè)風險管理中的信息流動

　　企業(yè)的大量信息涉及到各種目標。從內部或外部來源獲得的經(jīng)營性信息，包括財務和非財務的，都與企業(yè)的經(jīng)營目標相關。財務信息，一方面用于實現(xiàn)報告目標而編制財務報表，另一方面用于滿足經(jīng)營決策的需要，如監(jiān)控企業(yè)的經(jīng)營業(yè)績、分配資源等�？煽康呢攧招畔⑹瞧髽I(yè)進行計劃、定價、評估供應商績效、評估合資企業(yè)和戰(zhàn)略合作伙伴以及其他管理活動的基礎。

　　同樣，經(jīng)營信息也是企業(yè)編報財務報告和其他報告的前提，包括日常信息，如采購、銷售和其他交易等，也包括競爭者的新品發(fā)布和經(jīng)濟環(huán)境的變化信息。這些信息會影響到企業(yè)存貨、應收款項的估值。有些涉及遵循目標的信息，如廢棄物的排放、個人信息等，也可能服務于財務報告目標。

　　企業(yè)的信息來源有多種渠道，既有內部的、外部的，也有定量的和非定量的。將大量的數(shù)據(jù)轉化為決策有用的信息，對企業(yè)管理者而言，是一個重大挑戰(zhàn)。

　　為迎接這一挑戰(zhàn)，企業(yè)必須建立相應的信息系統(tǒng)。信息系統(tǒng)可以是正式的，也可以是非正式的。與客戶、供應商、監(jiān)管者和企業(yè)員工的交談經(jīng)�？梢蕴峁┐_認風險與機遇的關鍵信息。

　　戰(zhàn)略與集成系統(tǒng)

　　為使信息（包括與企業(yè)風險管理相關的信息）在組織內順暢地流動，技術發(fā)揮著重要的作用。為支持企業(yè)風險管理而進行的特定技術選擇，是企業(yè)以下幾個方面的綜合反映：

　　企業(yè)對待風險的方式以及風險的復雜程度；

　　影響企業(yè)經(jīng)營的各種事件的類別特點；

　　企業(yè)的信息技術架構；

　　各種支持技術的集中程度等。

　　在某些企業(yè)中，信息由單獨的機構或組織進行管理，另外一些企業(yè)則采用集成系統(tǒng)。

　　與業(yè)務集成

　　不少企業(yè)都有比較復雜的信息技術架構支持企業(yè)經(jīng)營目標、報告目標和遵循目標的實現(xiàn)。大多數(shù)情況下，在正常的經(jīng)營過程中，由這些系統(tǒng)產生的信息與企業(yè)風險管理流程是一致的。

　　信息的深度與及時性

　　信息采集、處理和存儲技術的發(fā)展導致信息總量呈指數(shù)級增長。隨著人們可以獲得越來越多的（經(jīng)常是實時性的）信息，如何確保信息的準確，以合適形式、詳略得當?shù)丶皶r發(fā)送至需要此類信息的員工，即如何避免“信息超載”是企業(yè)管理層面臨的另一個重大挑戰(zhàn)。

　　企業(yè)在決定信息需求時應考慮以下幾個問題：

　　什么是企業(yè)經(jīng)營業(yè)務的主要業(yè)績指標？

　　自上而下審視企業(yè)潛在風險的主要指標是什么？

　　衡量企業(yè)的經(jīng)營業(yè)績需要哪些信息？

　　信息的精確度應該有多高？

　　采集信息的間隔期為多長？

　　衡量信息采集的標準是什么？

　　從何處、采用何種方式取得信息？

　　采用什么樣的信息存儲結構？

　　數(shù)據(jù)備份機制應如何？

　　信息質量

　　隨著人們對日益復雜的信息系統(tǒng)以及信息驅動的自動決策系統(tǒng)和流程式的依賴程度增加，信息的可靠性至關重要。不準確的信息會導致風險不被確認或錯誤的評估，以及低劣的管理決策。

　　信息質量包括以下幾個方面：

　　信息內容是否恰當？

　　信息是否及時？

　　是否最新獲得的信息？

　　信息是否準確？

　　信息需要者是否可以很方便地得到？

　　為提高數(shù)據(jù)質量，某一組織必須建立企業(yè)級的數(shù)據(jù)管理項目，包括相關信息的獲取、維護和分發(fā)。如果沒有這些項目，信息系統(tǒng)將不能為管理者或其他員工提供所需信息。

　　提高信息質量的困難很多，包括職能部門的需求矛盾、系統(tǒng)限制，以及非集成的處理會阻礙信息的獲取與有效使用。要迎接這些挑戰(zhàn)，管理層必須在數(shù)據(jù)的整合方面制定清晰的戰(zhàn)略計劃，明確職責并定期對信息質量進行評估。

　　溝通

　　溝通是信息系統(tǒng)的一部分，包括內部溝通與外部溝通。

　　內部溝通

　　內部溝通包括企業(yè)風險管理哲學和方式的明確陳述、明確的授權等，與活動流程和程序相關的溝通應與企業(yè)所希望建立的文化相協(xié)調，并支持這種文化的建立。

　　有效的溝通應包括：

　　有效的企業(yè)風險管理的重要性和相關性；

　　企業(yè)的目標；

　　企業(yè)的風險偏好與風險承受度；

　　共同的風險語言；

　　每個員工在企業(yè)風險管理中的角色和職責。

　　所有員工，特別是負責經(jīng)營或財務管理職責的管理人員，都必須得到公司最高管理層的明確指令：嚴肅認真地對待企業(yè)的風險管理。

　　例如，以下為某公司CEO給全體員工的一封信，信中強調了企業(yè)風險管理的重要性。

　　我們的整體目標是實現(xiàn)股東價值的最大化。

　　為實現(xiàn)這一目標，我們必須以優(yōu)良的風險管理能力來應對經(jīng)營中面臨的各種各樣的風險。處理風險的結構性和原則性方式能夠確保我們所做的戰(zhàn)略性努力不被可以避免的一些損失所侵蝕，不被永久性的變化或不確定性所阻礙。并且，我們必須加強在競爭日益激烈環(huán)境下應對已經(jīng)出現(xiàn)的風險和機遇的能力。

　　所有員工都必須在我們的企業(yè)風險管理中勤勉盡責。這些有助于我們理解面臨著的風險和機遇，評估風險并采用行動有效地應對風險，以保持或增大企業(yè)的價值。

　　我們已有一套框架性文本來引導大家共同管理風險、不確定性、機遇，支持企業(yè)目標的實現(xiàn)，最大化股東價值。

　　我們希望全體員工在日常工作中積極運用該框架，以利于企業(yè)目標的實現(xiàn)。

　　《企業(yè)風險管理——整體框架》（應用技術），第80頁

　　員工還必須知道各種活動之間的聯(lián)系，這種溝通與知識有助于其確認工作中的問題所在，查找原因并決定改進措施。員工還應該被明確告知，哪些行為企業(yè)是不能接受的。

　　外部溝通

　　企業(yè)不僅要有適當?shù)膬炔繙贤ǎ�還需要建立一個開放的外部溝通平臺。企業(yè)與客戶或供應商的溝通，有助于了解公司產品或服務的設計與質量，促使公司滿足不斷變動的需求或偏好。比如，客戶或供應商抱怨和詢問有關交貨、收款、支付或其他交易活動時經(jīng)常會切中經(jīng)營中的問題，甚至涉及到欺詐或其他不道德的行為。管理者應該立即意識到問題所在，進行調查并采取有效的糾正措施，消除或減少其對財務目標、遵循目標以及經(jīng)營目標的實現(xiàn)所產生的不良影響。

　　對那些與供應鏈上的其他企業(yè)關系密切者和電子商務公司來說，企業(yè)風險偏好或風險承受度的外部溝通也是非常重要的，通過與商務合作伙伴的溝通，可以確保企業(yè)不承受合作伙伴帶來的過多風險。

　　與股東、監(jiān)管者、財務分析師和其他外部利益相關者的溝通，有助于他們了解企業(yè)面臨的環(huán)境和風險，更好地遵循相關的法律和監(jiān)管要求。