内部控制中的信息与沟通

　　“内部控制”栏目：

　　企业各个层次、每个员工都需要运用信息来确认、评估和应对风险，以便更好地履行职责并实现公司目标。信息流动贯穿于企业的整个风险管理过程。

　　经济市场化程度的提高要求必须加强信息管理，包括信息的采集、存储、处理加工和运用。信息在企业范围内按照一定的规则和程序进行流动，有助于每一个员工及时地获取信息，更好地完成其风险管理的职责。

　　信息

　　企业的各个层次都需要利用信息来确认、评估和应对风险。就风险管理而言，信息流动贯穿于企业风险管理全过程（详见下图1）。

图1 企业风险管理中的信息流动

　　企业的大量信息涉及到各种目标。从内部或外部来源获得的经营性信息，包括财务和非财务的，都与企业的经营目标相关。财务信息，一方面用于实现报告目标而编制财务报表，另一方面用于满足经营决策的需要，如监控企业的经营业绩、分配资源等。可靠的财务信息是企业进行计划、定价、评估供应商绩效、评估合资企业和战略合作伙伴以及其他管理活动的基础。

　　同样，经营信息也是企业编报财务报告和其他报告的前提，包括日常信息，如采购、销售和其他交易等，也包括竞争者的新品发布和经济环境的变化信息。这些信息会影响到企业存货、应收款项的估值。有些涉及遵循目标的信息，如废弃物的排放、个人信息等，也可能服务于财务报告目标。

　　企业的信息来源有多种渠道，既有内部的、外部的，也有定量的和非定量的。将大量的数据转化为决策有用的信息，对企业管理者而言，是一个重大挑战。

　　为迎接这一挑战，企业必须建立相应的信息系统。信息系统可以是正式的，也可以是非正式的。与客户、供应商、监管者和企业员工的交谈经常可以提供确认风险与机遇的关键信息。

　　战略与集成系统

　　为使信息（包括与企业风险管理相关的信息）在组织内顺畅地流动，技术发挥着重要的作用。为支持企业风险管理而进行的特定技术选择，是企业以下几个方面的综合反映：

　　企业对待风险的方式以及风险的复杂程度；

　　影响企业经营的各种事件的类别特点；

　　企业的信息技术架构；

　　各种支持技术的集中程度等。

　　在某些企业中，信息由单独的机构或组织进行管理，另外一些企业则采用集成系统。

　　与业务集成

　　不少企业都有比较复杂的信息技术架构支持企业经营目标、报告目标和遵循目标的实现。大多数情况下，在正常的经营过程中，由这些系统产生的信息与企业风险管理流程是一致的。

　　信息的深度与及时性

　　信息采集、处理和存储技术的发展导致信息总量呈指数级增长。随着人们可以获得越来越多的（经常是实时性的）信息，如何确保信息的准确，以合适形式、详略得当地及时发送至需要此类信息的员工，即如何避免“信息超载”是企业管理层面临的另一个重大挑战。

　　企业在决定信息需求时应考虑以下几个问题：

　　什么是企业经营业务的主要业绩指标？

　　自上而下审视企业潜在风险的主要指标是什么？

　　衡量企业的经营业绩需要哪些信息？

　　信息的精确度应该有多高？

　　采集信息的间隔期为多长？

　　衡量信息采集的标准是什么？

　　从何处、采用何种方式取得信息？

　　采用什么样的信息存储结构？

　　数据备份机制应如何？

　　信息质量

　　随着人们对日益复杂的信息系统以及信息驱动的自动决策系统和流程式的依赖程度增加，信息的可靠性至关重要。不准确的信息会导致风险不被确认或错误的评估，以及低劣的管理决策。

　　信息质量包括以下几个方面：

　　信息内容是否恰当？

　　信息是否及时？

　　是否最新获得的信息？

　　信息是否准确？

　　信息需要者是否可以很方便地得到？

　　为提高数据质量，某一组织必须建立企业级的数据管理项目，包括相关信息的获取、维护和分发。如果没有这些项目，信息系统将不能为管理者或其他员工提供所需信息。

　　提高信息质量的困难很多，包括职能部门的需求矛盾、系统限制，以及非集成的处理会阻碍信息的获取与有效使用。要迎接这些挑战，管理层必须在数据的整合方面制定清晰的战略计划，明确职责并定期对信息质量进行评估。

　　沟通

　　沟通是信息系统的一部分，包括内部沟通与外部沟通。

　　内部沟通

　　内部沟通包括企业风险管理哲学和方式的明确陈述、明确的授权等，与活动流程和程序相关的沟通应与企业所希望建立的文化相协调，并支持这种文化的建立。

　　有效的沟通应包括：

　　有效的企业风险管理的重要性和相关性；

　　企业的目标；

　　企业的风险偏好与风险承受度；

　　共同的风险语言；

　　每个员工在企业风险管理中的角色和职责。

　　所有员工，特别是负责经营或财务管理职责的管理人员，都必须得到公司最高管理层的明确指令：严肃认真地对待企业的风险管理。

　　例如，以下为某公司CEO给全体员工的一封信，信中强调了企业风险管理的重要性。

　　我们的整体目标是实现股东价值的最大化。

　　为实现这一目标，我们必须以优良的风险管理能力来应对经营中面临的各种各样的风险。处理风险的结构性和原则性方式能够确保我们所做的战略性努力不被可以避免的一些损失所侵蚀，不被永久性的变化或不确定性所阻碍。并且，我们必须加强在竞争日益激烈环境下应对已经出现的风险和机遇的能力。

　　所有员工都必须在我们的企业风险管理中勤勉尽责。这些有助于我们理解面临着的风险和机遇，评估风险并采用行动有效地应对风险，以保持或增大企业的价值。

　　我们已有一套框架性文本来引导大家共同管理风险、不确定性、机遇，支持企业目标的实现，最大化股东价值。

　　我们希望全体员工在日常工作中积极运用该框架，以利于企业目标的实现。

　　《企业风险管理——整体框架》（应用技术），第80页

　　员工还必须知道各种活动之间的联系，这种沟通与知识有助于其确认工作中的问题所在，查找原因并决定改进措施。员工还应该被明确告知，哪些行为企业是不能接受的。

　　外部沟通

　　企业不仅要有适当的内部沟通，还需要建立一个开放的外部沟通平台。企业与客户或供应商的沟通，有助于了解公司产品或服务的设计与质量，促使公司满足不断变动的需求或偏好。比如，客户或供应商抱怨和询问有关交货、收款、支付或其他交易活动时经常会切中经营中的问题，甚至涉及到欺诈或其他不道德的行为。管理者应该立即意识到问题所在，进行调查并采取有效的纠正措施，消除或减少其对财务目标、遵循目标以及经营目标的实现所产生的不良影响。

　　对那些与供应链上的其他企业关系密切者和电子商务公司来说，企业风险偏好或风险承受度的外部沟通也是非常重要的，通过与商务合作伙伴的沟通，可以确保企业不承受合作伙伴带来的过多风险。

　　与股东、监管者、财务分析师和其他外部利益相关者的沟通，有助于他们了解企业面临的环境和风险，更好地遵循相关的法律和监管要求。