ISO认证

行政内部控制的信息沟通与监控

网络2021-07-31412
行政内部控制的信息沟通与监控 内部控制的信息系统 信息与沟通是指对来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责。信息系统利用内部生成的数据和来自外部渠道的信息,为...

行政内部控制的信息沟通与监控

 

内部控制的信息系统

 

信息与沟通是指对来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责。信息系统利用内部生成的数据和来自外部渠道的信息,为管理风险、制定决策提供信息。有效的沟通则是出现在组织的向下、向上和平行的信息流动,每个人都需要在沟通中接受和传递信息。

   

1.信息

在企业内部控制和风险管理框架中,信息和沟通是作为保障性功能出现的,为了能够把控制活动落实到企业的各个环节当中。一个组织中各个层级都需要信息的支撑才能够识别、评估和应对风险,从而完成工作实现经营目标。在建立企业信息系统的过程中,企业需要注意以下几点:

①建立良好的信息系统支持策略;

②信息系统与企业营运应有效结合;

③选择更新信息系统的最佳时间;

④有很好的信息品质。

关于第四点良好的信息品质,我们可以对企业各个部门之间的信息流动做一个示意图,如图6-1所示。在这个图示里面,企业的信息交流建立在财务管理的基础之上,各个部门的工作任务通过财务会计信息连接起来,从而达到对生产、物流、市场、研发等各部门运营情况的良好沟通,并对这些业务活动进行内部控制。

例如,应收账款的管理就是要对超过账期额度的客户进行重点追踪、催收,财务部和销售部需要联手通过信息的互相沟通才能够防范风险的发生,对客户的应收账款情况进行有效管理。采购部门采购的价格和数量,要跟企业生产和产品设计要求相对应,如果采购价格过高,或者采购的质量过低,都会给企业带来一种风险。

企业进行内部控制的时候,要综合考虑很多因素,对信息进行系统的建设和规范,这就是信息沟通的一个体系。要建设这种信息系统,财务部门就要深入到生产、物流、人力资源、销售市场、客户服务和研发各个部门,把会计信息系统敏锐的触角延伸到生产系统、管理系统、人力资源系统、物流系统等各个系统体系内,对企业的部门业务有所了解,对自己业务部门的资源要素的核算和效率也要有所把握。这样建立起来的信息系统才可能会帮助企业把库存降低30%到50%,库存的投资会减少1.4到1.5倍,库存周转率会提高50%,延期交货会减少80%,采购提前期会缩短50%,停工待料会减少60%,制造成本降低12%。所有这些数据指标都是需要信息系统的建立才能够实现的。

 

内部控制的沟通

 

沟通是信息系统内生出来的活动。有效的沟通也是广义上的沟通,包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换,如客户、供应商、行政管理部门和股东等。企业的信息系统提供有效信息给适当的人员,通过沟通,使员工能够知悉其业务、财务报告及法律的责任。

①内部沟通。企业内所有的员工都需要从管理者那里收到相关的工作指令信息,做好防范风险的准备。员工还需要通过自己的活动与他人的工作活动之间存在的联系,确保信息传递的有效性,如此才能够有效地做好各项业务活动。

②外部沟通。企业不仅需要内部的沟通活动,对外部也要保持良性持续的沟通,建立与外部联系的沟通渠道。例如跟客户之间的发货、收货和账单确定等业务联系都需要健全的沟通机制才能保证工作的顺利进行。

再好的信息系统在实施的过程中也会碰到很多的问题和挑战。企业处于的状态永远是从无序向有序发展,这种无序就是一种风险,所以要做好沟通。沟通是一个永恒的话题。 

也就是说主体的数量越多,沟通的成本越高,效率也越低。一个企业的组织过于庞大臃肿的时候,执行的效率就会很低。现在很多的企业集团在对总工程师、总设计师们进行培训,因为企业的经营管理必须从董事会抓起,内部控制要从总经理抓起,成本管理要从总工程师、总设计师抓起。

 一个部门的效率提高并不一定带来企业整体效率的提高,相反如果没有在各部门之间进行有效的信息沟通,很有可能给企业带来更多的麻烦和问题。所以,企业在改善一个部门工作效率的时候还要考虑整体的业务战略布局,与其他部门保持通畅的信息沟通,建立平衡的业务合作管理关系。

 

内部控制的监管活动

 

对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控——持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内各管理层面和各部门持续得到执行,监控还包括对企业风险管理的记录。对企业风险管理进行记录的程度是根据企业的规模、经营的复杂性和其他因素的影响而有所不同。

企业风险管理的内容没有记录并不意味着风险管理无效或无法对风险管理进行评估。但是,适当的记录通常会使风险管理的监控更为有效率。当企业管理者打算向外部相关方提供关于企业风险管理效率的报告时,他们应考虑为企业风险管理设计一套记录模式并保持有关的记录。

即使企业的内部控制体系很完善,但仍然出现问题,就是因为缺少监控。就像中航油新加坡公司是国有企业走出去的一面旗帜,陈久霖先生也曾经是中国企业海外发展的一个楷模,被评为亚洲经济的领袖,这是中国人的骄傲,也是亚洲人的骄傲。但是他没有在企业内实行有效的内部控制,四大会计师事务所之一给企业做的内部控制和风险管理的体系非常完整,但是没有在企业内部得到执行,最终成为企业里的一个摆设而已。

所以说,内部控制的实质和内部控制的形式要合一,通过加强监督与控制,保证内部控制的有效性。

 

1.持续的监督活动

持续的监督活动在营运过程中发生,它包括例行的管理和监督活动,以及其他员工为履行职务所采取的行动。持续的监督活动主要包括以下几方面的内容:

①管理层取得能使内部控制系统持续发挥功能的资料。当营运报告、财务报告与他们所得到的资料有大偏离时,可对报告提出质疑;

②来自外界团体的沟通,可以验证内部信息的正确性,并能及时反映问题的所在;

③适当的组织机构及监督活动,可用来辨识缺失;

④各个职务的分离,使不同员工之间可以彼此相互检查,以防止舞弊;

⑤把信息系统所记录的资料同实际资产核对;

⑥内、外部稽核人员定期提出强化内部控制系统的建议;

⑦通过培训课程、规划会议和其他会议,可把控制是否有效的重要信息反馈给管理阶层;

⑧定期要求员工陈述他们是否了解企业的行为准则,遵守情况如何。对于负责业务和财务的员工,则要求他们陈述某些特定控制是否都予执行,管理层或内部稽核人员还必须验证这些陈述是否确实。

持续的监督活动里面包含两层意思,第一个是持续改进,第二个是监督作用。

持续改进

随着企业不断发展,控制措施要不断提升和跟进,要不断改进和完善。例如企业在前年被骗了两百万,去年被骗了一百八十万,如果今年只被骗五十万就算是有改进。可能有人会说怎么总被骗?事实上不是企业中人的无能,而是骗子太狡猾,每次都使用新的花招,虽然在不断进行防范工作,但是道高一尺魔高一丈,社会环境是这样,企业只有想办法进行不断认识,不断提升,这才是持续改进。

监督作用

在改进过程中企业还需要对提升改进措施的进程实行进行监督,反映流程的效率效果。俗话说“千斤重担人人挑,人人身上有指标”。如果没有衡量评价的指标,工作就没有效果,最后都是不了了之,只是浪费资源、精力和感情而已。所以任何事情都要有评价,都要有效率效果性的体现。

我们在对很多在美国、香港或者国内上市的企业的内部控制进行测试评价的时候,就是逐条去做,把企业按照一个主体的业务分成一级流程,每一个一级流程里面又分几个业务的点,分业务的过程就是二级流程,每一个业务过程的方式和方法是三级流程,每一个三级流程里面再对一个业务的衡量是四级流程,业务衡量之间的计量,具体措施、各种处理的原则和对策是五级流程。横向上要考察流程间的对接,进行各种横向关系的印证。把对企业的监督措施体现到每个业务环节当中。

 

2.个别评估

尽管持续监督程序可以有效地评价内部控制体系,但企业有时需要组织例外评估以直接监视控制系统的有效性,这种做法可评估持续性监督程序。评估的范围和频率,视风险的大小及控制的重要性而定。

理顺整个内部控制体系之后,就要开始对里面的每一个业务环节进行测试评价。这里面哪些业务是重要的呢?

如果要销售一个产品,形成应收账款或者赊销的时候,其中一点就是对客户的信用进行调查,这就是个关键点。看对应收账款的管理,先看有没有对客户进行信用调查,通过这一点去判断应收账款的风险,测试评价就落实到每一个点。一个企业里面的测试点多的有五六千个,少的也有两三千个。

例如内部控制有八大要素,每个要素下面的关键点都需要被监控测试。在对控制环境里面的法人治理进行内控评价的时候,要看董事会的独立董事是否独立,独立董事是否跟其他领导有关系,如果是战友或者同学,就是不独立的表现。除了评价独立性还要对独立董事的有效性做出评价,就是看董事的个人能力和经历是否符合企业生产经营的要求。有的董事既不懂事,又不独立,就可以说企业在内控环境里面关于法人治理这一块是负分,或者是0分。第三个衡量标准看在董事会里面,独立董事怎样发挥作用,对所有的项目是否提出质疑和改进意见。如果他从来没有对企业的经营管理提出过任何疑义,这个法人治理就是无效的。

上面说明再复杂的东西,都可以用指标把它进行分解,做个别的评估。内部控制当中对业务活动的监控更是这样,例如对食品和药品的安全控制,企业都知道该怎么去做,先做什么后做什么,有规范的程序可以遵循。企业做管理也要向做食品安全和生产安全一样,对管理工序进行科学的分解和划分,把每一个检测点和评价指标的工作落到实处。内部控制的测试与评价就是要给企业一种压力,不按照相关合乎规则的做法来就会受到惩罚,这也是对企业进行规范化管理的办法之一。

 

3.报告缺陷

一个主体的企业风险管理的缺陷可能会通过多个来源表现出来,包括主体的持续监控程序、个别评价和外部方面。缺陷是企业管理中值得注意的一种情况,它可能表示一个已察觉到的、潜在的或实际的缺点,或者一个强化企业管理以便提高主体目标实现的可能性的机会。内部控制的缺失应由下往上报告,某些缺失应报告给高层管理阶层及董事会知道。

国家通过法令把会计师的报告质疑进行了明确的规定,对企业的会计工作人员来说具有工作指导和规范作用。

企业内部控制要发挥作用,就必须得到有效的反应,同时要及时地采取补救措施。千里长堤溃于蚁穴,如果突然发现没有把作废的支票及时交回,他肯定是想办法把钱弄出来。如果任其为之,到最后有可能酿成大祸。

所以有了缺陷要及时报告,例如销售部门好不容易把货销售出去了,留给财务部应收账款一千万,后来发现这笔钱超过了账期,本来应该在账期之内通知资产管理部门或者信用管理部门采取法律等相关的措施,可是财务部门为了整销售部门,死活都不说这件事情,结果销售部出了问题被批评,财务部也无资格笑话别人,因为没有做到及时的报告,这是财务部应当承担的责任。

美国时代周刊有一期曾经刊登了三位美国妇女的照片,这三个人有个共同的特点就是都在公司的财务部门工作,这三个公司分别是安然、世通和FBI。三位女士都是财务部门或审计部门的领导,她们站出来揭露企业内部的财务问题,还世界以公平,还世界以清白。

林先生因为没有切实履行报告制度才最后落得判刑的结果。可能他本人没有要违反相关法规的意愿,但是由于自己对业务不熟悉,专业知识掌握得不够彻底,才会在工作中有疏漏,而这种疏漏造成的后果可能十分严重,是个人无法承担的。

本文首发:iso认证机构网 /uploads/image/202207/www.iso.net.cn