在上五篇文章中我們已探討過內控環境 (Control Environment),風險評估 (Risk Assessment) 及控制活動 (Control Activities),現在我們談談第四個要素,資訊與溝通 (Information & communication)。根據COSO 於2004年推出的《企業風險管理-整合框架》,其中文版的要覽對資訊與溝通有以下的詮釋:
相關的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。有效溝通的含義比較廣泛,包括信息在主體中的向下、平行和向上流動。
資訊與溝通良好與否分兩方面看,分別是訊息的質素及溝通的有效性。
訊息的質素 (Quality of Information)
訊息的質素首先取決於數據是怎樣收集。這裡的數據泛指原始數據 (Raw Data),是未經分析或處理過的,而訊息 (Information) 則是指經分析或處理過的數據。例如銷售,每張銷售單 (Sales Invoice Amount)的金額就是數據,將當天的銷售單金額加起來形成每天的銷售金額 (Daily Sales Amount) 就是訊息。相信大家都一定聽過「Garbage In, Garbage Out」,如果收集回來的數據是不準確,不可靠或者過時的話,即使擁有一套先進而龐大的數據處理系統也是徒然。所以在設計信息系統時,必先要清楚了解企業需要什麼訊息和何時需要從而決定收集什麼數據及怎樣分析和處理。例如上述的銷售金額,假設我們需要知道每天的銷售金額,那麼收集的數據就是每一天的每一張銷售單的金額;而按每天將每張銷售單的金額加總起來就是數據的處理方法;最後將每天的銷售金額列出來形成銷售日報表 (Daily Sales Report)就是最後我們期望得到的訊息了。
上面提及到數據需要準確 (Accurate),可靠 (Reliable) 和及時 (timeliness)。準確主要是指數據本身是否能真正反映實況,當中更涉及精確度 (Precision)。例如銷售金額,我們需要多少個小數位?一般來說兩個小數位以經足夠,但匯總以後供管理層參考的銷售報告是否也需要兩個小數位呢?還是要將金額化成每百萬做單位?數據可靠與否主要在於其來源,又以銷售金額為例,如果當中涉及現金銷售 (Cash Sales) 及賒賬銷售 (Credit Sales),我們要知道每天的銷售金額時,最可靠的來源便是銷售單,但如果只收集當天的現金收入當成銷售金額,數據便不可靠了。及時也是非常重要,如果數據不能在一定時限前得到,即使數據十分準確及可靠也是沒有用處。
溝通的有效性 (Effectiveness of Information)
大家可否記得在《淺談內控架構 Control framework》一文中曾經提及過資訊與溝通這要素是位於COSO三角形的兩旁?這代表資訊能夠自由貫穿其他四個要素。訊息能否自由流動是有效溝通的根基,這包括由上而下 (例如由管理層到各功能),由下而上 (例如由各功能到管理層)及在各功能之間的流動。
在今天資訊發達的年代,企業將訊息下達到各功能以至每位員工並不難,但要他們真正清楚了解其訊息就不容易。特別是跨國企業,不同地方不同文化,有效溝通是一個挑戰。要將訊息下達困難,相反要將訊息上呈就更困難。例如日常的營運數據,首先必需通過有效的方法收集並加以分析後才能供管理層審閱。又例如下層或營運單位員工的意見,也需要通過有效的方法收集並匯總以後供管理層參考。
不論溝通是從那一個方向流動,有效溝通還應包括反饋 (Feedback) 的信息。就好像台上講者只顧滔滔不絕地說,但原來台下聽眾一個個悶得發荒地打瞌睡一樣。(請老實告訴我,你們看我寫的文章時有沒有相同的感覺?)
下一篇我會談談最後一個重要要素,監督 (Monitoring)。寫完這一篇後COSO系列文章會暫時完結,日後有機會會再細談。
--------
上一篇文章:COSO內控要素:控制活動
下一篇文章:COSO內控要素:監督
&&&&&&&&
don't worry. your articles are not boring at all. =)
回覆刪除you are right. communication is important at any time.