信息是消除不确定性的强力武器——COSO新版内部控制框架解读(八)
信息代表的是确定性的增加,即对肯定的确认,信息降低或者消除了不确定性。
按照我们的定义,风险的本质就是不确定性,那么如果信息可以消除不确定性,是不是可以说信息可以消除风险?
答案是肯定的。
在美籍华裔科幻作家特德·姜的《你一生的故事》中,女主角学会了外星智能七肢桶的思维方式,拥有了洞悉未来的能力,对她来讲,没有过去、现在和未来,所有信息触手可得,世界没有任何不确定性,变得无比确定,风险的概念对她来说不再有意义。
这样的能力在刘慈欣的《三体》中出现过,在克拉克的《太空漫游》中也出现过。
现实生活中,我们将拥有这种能力的主体称为“神”!
这一切又和时间坐标关联,信息和时间是这个世界的两个终结命题,终极命题不可能有完美的解释,这就是生命探索的意义所在。
而风险和这些基本概念相关,也不可能有完美的解释,所以每个人体会和理解风险都有所不同,这既是其难以严格标准化的难点,也是其丰富多彩的妙点。
风险的真正来源是我们和客观世界的信息不对称,内部控制关注的是过去及现在的信息不对称,而风险管理中最重点关注的是和未来的信息不对称。
我曾在很多文章里提到过信息对于风险管理的重要性,从美国的COSO委员会到ISO国际标准化组织,从企业风险管理(ERM)到内部控制(IC),每个理论体系框架中,必然有一个要素——信息与沟通。
当年刚刚接触这些框架要素时,觉得信息沟通是个抽象的不能再抽象,虚无的不能再虚无的要素。但是今天回过头看来,信息与沟通对于风险管理和内部控制的整体有效性起着至关重要的作用,它支持着内部控制所有要素发挥作用。
再扩展一下,不理解信息对于今日企业经营和管理重要性的企业,可能跨越不到下一个时代。
内部控制一个重点的作用是防范舞弊行为,反舞弊的工作效果对于信息获取的依赖性是极强的,所以我们看一个企业反舞弊机制建立的如何时,一个重要的判断标准是对于反舞弊信息的信息渠道建设。
我们一个巡视或调查组进驻企业后,第一项要做的工作就是公布联络方式,一举扫平所有的信息通道上的拦路虎,这种威慑的力量是极大的。
我们具体看一下信息与沟通中的几个原则和关注点。
原则13:组织应获取或生成、使用高质量的、相关性高的信息来支持内部控制的持续运行
明确信息需求
在COSO内控框架的另外四个要素上,控制环境、风险评估、控制活动、监督活动等要素的工作均涉及和信息沟通相关的要求。
比如控制环境,为了在全公司推行共同的文化和价值观,应该采取哪些措施将这些信息传播出去,有应该通过什么方式收集到大家的反馈,确保全员用这样的文化和价值观指导行动,如何对一些偏差行为进行纠正等。
收集内外部信息
一些包含内部控制内外部信息和数据收集的渠道包括:
通过信息系统处理数据
现在企业利用信息系统处理数据的情况越来越多,管理层应该涉及并实施控制活动确保信息系统的录入的数据的完整性及可靠性。
信息系统处理数据带来边界和效率提升的同时,也会带来一些挑战,对于基础数据的处理、数据的利用、数据的安全,需要对此产生的风险进行关注。
保证信息的质量
风险管理或者内部控制要想取得好的效果,必须使用最佳的可用信息,这也是ISO31000的八大原则之一,最佳指的是最好的信息、质量最高的信息,可用信息指的是尽最大可能收集到的已经生成或者存在的可被获取的信息。
高质量的信息有几个标准或关注点:
可获取性 全明性 准确性 即时性 受保护 可留存 充分性 及时性 有效性 可验证性
原则14:组织应在内部对内部控制目标和责任等必要信息进行沟通,从而支持内部控制持续运行
沟通内部控制信息
企业需要设定保障内部有效沟通的制度和流程,清晰的传达全员的内部控制的目标和各岗位的职责,并对这些内容进行定期或不定期沟通。
组织从横向、纵向都可以对控制的薄弱环节、控制失效和违反控制的情形进行及时沟通。
与董事会的沟通
董事会对于内部控制的监督和检视是内部控制环境的重要内容,董事会应建立对内控工作从设计、实施、重大变化、监督评价等各重要方面的信息沟通机制,确保监督职能的履行。
对于内部审计而言,独立于经营层的内部审计职能设置对内部控制体系而言是必要的,内部审计必要时应该可以直接向董事会汇报。
非常规渠道的信息沟通
从内部控制而言,非常规渠道即针对特定或例外事件不遵循常规的职能汇报线传递信息的情形。
应用最多的就是举报机制,不管是匿名还是实名。对于实名情况,需要建立举报人保护机制,这是内部控制中的明确要求。
比如举报箱附近不允许有任何监控设备,防止对举报人进行识别。
原则15:组织应就影响内部控制发挥作用的事项,与外部进行沟通
外部沟通包括股东、外部合伙人、所有者、监管机构、供应商、客户、融资方等等利益相关方,还包括为企业提供服务的外部机构,如审计师、咨询顾问、财务分析师等等。
应制定与外部沟通、获取外部信息、提供信息给外部相关方的制度和流程,确保相关控制持续运行,并及时与董事会等相关责任机构反馈信息沟通结果。
以上是对内部控制体系中关于信息与沟通要素的概括性介绍,之前关于信息的三篇文章可供参考:
大风控——如何打开风险、内控、合规、审计、监察的职能边界
赋能——在去控制背景下,如何实现内部控制的价值?
相关扩展
精华汇总
【收藏】最全的COSO新版企业风险管理框架解读大集合
【收藏】最全的ISO31000新版风险管理国际标准解读大集合
【收藏】风险管理学习资料汇总目录,从入门到高级都有了
【收藏】大风控114篇原创分享汇总大全
【收藏】中国风控领域政策文件汇编大全(102份)—2020.3