相关信息必须以某种形式和在一定时限内被识别、获得和传达沟通,以便可以使员工履行自己的职责。信息系统生成含有与经营、财务和合规性有关信息的报告,从而使管理运作和控制企业成为可能。信息系统不仅处理内部生成的数据,也处理有关外部事件、活动和条件状况的信息,这些信息对有资料依据的企业的决策和外部报告都是必需的。有效的沟通也必须广泛地进行,自上而下、自下而上地贯穿整个企业。所有人员都要从高级管理层获得明确的信息:必须认真对待控制责任。他们必须了解各自在内部控制体系中担任的角色,以及个人参与的控制活动与他人工作是如何相互关联的。他们必须有自下而上传递重要信息的渠道和方法。同时,也需要与外部各方建立有效的沟通。
信息和沟通是指相关信息以某种形式并在某个时段被识别、获得和沟通,以促使员工采取一定的措施或行动履行自己的职责。信息与沟通连接了内部控制体系整体框架的其他要素,是有效实施内部控制的保障,直接影响着企业内部控制的贯彻执行、企业经营目标及整体战略目标的实现。
一、信息
这里所说的信息是指来源于企业外部及内部,与企业经营相关的财务及非财务的信息。包括从外部获取的行业、经济、监管信息以及内部产生的经营管理、财务等方面的信息。内部控制重点关注与财务以及内控相关的信息。信息必须及时、准确地传递给需要的人,以帮助其行使各自的控制和其他职能。
每个企业都必须获得相关的信息——与内部及外部事件和活动有关的财务及非财务的信息。管理层必须识别这些与经营企业有关的信息。
企业需要使用大量的信息,并且在企业的所有层次都需要信息,以对企业运作进行管理并朝着实现企业所有类别(经营、财务报告和合规性)的目标前进。可靠的内部财务信息对企业规划、预算制定、定价、评估供应商业绩以及评估联合企业也是极为重要的。同样,营业信息对编制财务报表也是很重要的。这方面的信息包括日常(购买、销售和其他交易)信息以及有关竞争对手的产品出售或经济状况的信息,这些信息能够影响库存和应收款项价值,以实现合规性和财务报表的目标。正因为如此,从内部和外部来源获得财务信息和非财务信息与所有目标类别都相互关联。
(一)COSO框架要求
1.获取信息并向管理层报告。
主要关注下列活动:
(1)完善获取相关外部信息的机制——有关市场状况、竞争对手的动态、立法或监管的发展以及经济变化。
(2)对于实现企业目标的重要内生信息得到确认并定期汇报。
(3)各级管理人员得到了他们履行职责所需要的信息。
2.及时向适当的人员汇报足够的信息。
主要关注下列活动:
(1)各级管理人员能够及时得到分析信息以便判断需要采取什么措施。
(2)向不同级别的管理人员汇报了不同详细程度的信息。
(3)对信息进行适当的汇总,可以满足进一步详查的需要,而不仅仅是数据的堆砌。
(4)及时获取和传递信息,以利于有效监控有关事件和活动——内部的和外部的——并对经济、行业因素和控制问题迅速做出反应。
3.建立信息系统的战略规划。
主要关注下列活动:
(1)指定专门部门负责识别不断产生的信息需求(如信息技术督导委员会)。
(2)信息的需求和优先次序由具有充分责任的高级管理层来决定。
(3)订立长远信息技术计划,并与战略决策相联系。
4.管理层对信息系统的支持态度。
主要关注下列活动:为建立或改进信息系统提供了足够的、必要的资源(管理人员、分析人员、具备必要能力的编程人员)。
(二)控制目标
完善能够识别、获得、处理和报告各种信息的体系。相关的信息包括从外部获取的行业、经济、监管信息,以及内部生产、经营、管理信息。
(三)控制措施
1.完善信息系统总体控制体系。
信息系统的总体控制(general computer controls,简称GCC)是公司内部控制的一个重要组成部分,也是美国PCAOB要求关注的其中一个领域。完善的总体控制能够确保由应用系统支持的自动控制和流程是可以依赖的,与由应用系统生成的数据和报告是可靠的。由于中国石油的各个主要业务流程都有应用系统的支持,信息系统的总体控制也就相应地至关重要。
2.归集描述并执行公司有关制度。
公司内部控制关注的相关信息涵盖的范围以及管理规范内容应包括:信息的种类、获取的渠道、信息的加工处理、信息需求的确定、相关部门的职责等。
(1)内部信息。
A。内部信息的范围。
内部信息主要包括:财务政策信息(财会、会计、价格、资产、资金关联交易等方面)、经营类信息、规章制度类信息、标准化信息、其他重要综合信息。
B。内部信息主要来源。
内部信息主要来源:机关各部门调研报告;财务会计报告;信息员搜集、反映;群众来信来访;内部刊物、资料;公司局域网;各种会议提案、记录、纪要等。
C。责任部门及加工处理。
a。财务政策信息。
财务部负责制定公司统一的财会、会计、价格、资产和资金等方面的管理制度、办法和工作规范,制定各种财务开支范围和开支标准;负责制定公司会计制度和成本核算办法,设计财务报表体系,编制财务会计报告并向公司领导、股东和政府主管部门提供财务信息。
地区公司和总部机关财务处负责执行股份公司财务部的会计政策并按时编制上报财务会计报告。
在信息加工处理上,地区公司和总部机关财务处编制本单位的财务报表,并上报股份公司财务部。股份公司财务部门根据地区公司、总部机关财务处提供的财务会计报告,编制股份公司的财务会计报告。
b。经营类信息。
规划计划部为综合统计管理部门,负责组织领导和协调股份公司综合统计工作。
专业公司(地区公司)统一组织和协调本公司的综合统计工作,执行股份公司统计标准和统一的统计报表制度;组织协调本公司各职能部门和所属单位完成国家、地方政府统计机构、股份公司综合统计部门的统计调查任务,搜集、整理、汇总本公司的生产经营统计数据,与财务等业务部门认真核对后,按照统计报表制度规定的调查内容,及时、准确地上报统计资料。
在信息加工处理上,专业公司(地区公司)按照统计报表的要求,通过统计信息系统,根据要求每月或每周自下而上提供统计资料,股份公司规划计划部门每月编制生产、投资完成情况信息简报,供领导决策参考。
c。规章制度类信息。
法律部门为规章制度归口管理部门,主要负责规章制度的法律论证和法律审查,就制度设计的合理性、内容的合法性、表述方式等提供专业意见,并就其中涉及需要进一步论证或协调的问题,会同制度承办单位组织论证、协调。
地区分(子)公司根据上级规定,结合本单位实际,制定本单位的规章制度。其中涉及公司总部或专业分公司尚未有明确规定的管理事项的,应报公司总部、专业分公司备案。
在信息加工处理上,承办单位负责对制度制定的依据和所规范的对象、通过制度解决的主要问题、该项制度安排与其他相关制度的衔接,以及制度颁发实施的条件和时机、实施中需注意的问题等,进行全面论证。论证情况应当形成书面报告。并就制度草案通过局域网征求各部门和地区公司的意见。规章制度最后由管理层签发。
d。标准化信息。
质量安全环保部是股份公司标准化工作的归口主管部门。负责贯彻执行国家有关标准化的法律法规和各项方针政策,研究制定相应的标准化工作管理规章制度,并组织实施、组织制定修订股份公司企业标准等工作。
专业公司(地区公司)依据股份公司标准化管理办法和管理规定,制定本公司标准化管理实施细则,并组织实施;组织制定修订本公司管理的股份公司企业标准或地区子公司企业标准。
在信息加工处理上,企业标准的制定修订程序一般分为标准立项、起草草案、征求意见、审查报批、批准发布等阶段。
e。其他重要综合信息。
专业公司负责搜集地区公司生产经营报表和分析材料。地区公司每天通过购、销、存系统向专业公司上报生产经营报表。专业公司整理后供领导参考。
审计部门负责搜集内审方面的信息。地区公司审计部门每月向审计部上报审计计划、审计实施、实际发现等信息。
监察部门负责搜集信访、违规、舞弊的信息。地区公司每月向监察部门报送一次信息简报。公司总部和各地区公司纪检监察部门设立信访举报机构或岗位,负责受理对公司管理人员的举报以及不服处分或处理的申诉。
总裁办负责公司重要综合管理信息的收集编发,开展专题调研,及时掌握所属公司和机关工作动态,为领导决策提供信息参考。
其他机关部门、专业公司负责职权范围内管理信息的收集编发、制度制定,开展专题调研,及时掌握所属范围内的工作动态。
地区公司按照上级的信息需求及时提供各种所需的信息。
D。规章制度索引。
a。《中国石油天然气股份有限公司机关部门职能和专业公司职责范围》。
b。《中国石油天然气股份有限公司综合统计工作管理办法》。
c。《关于进一步加强规章制度管理的通知》。
d。《中国石油天然气股份有限公司标准化管理办法》。
e。《中国石油天然气股份有限公司公文处理暂行办法》。
f。《中国石油天然气股份有限公司监察室关于建立纪检监察工作联系制度的通知》。
g。《中国石油天然气股份有限公司纪检监察部门信访举报工作规定》。
(2)外部信息。
A。外部信息的范围。
公司内部控制重点关注的外部信息主要包括:国家法律法规;外部监管部门的要求;客户和供应商的信息;其他信息。
B。外部信息的来源。
外部信息的主要来源:外部监管方和上级的公文;公司采购、销售部门收集的市场和价格信息;从互联网、报刊、广播、电视等多种渠道获取的信息;驻外办事处提供的信息、外部来信来访;去外地出差、开会、交流获得的资料、信息;其他。
C。责任部门。
a。股份公司机关公文处理工作由总裁办公室归口管理。各部门、各专业(地区)分公司综合处(办公室)负责本部门、本公司的公文处理工作。公文处理工作主要搜集监管方和上级的要求。
b。销售、采购部门负责搜集整理市场和价格等信息。
c。各部门负责各自业务范围内通过公开渠道搜集法律法规等信息。
D。规章制度索引。
a。《中国石油天然气股份有限公司公文处理暂行办法》。
b。《中国石油天然气股份有限公司机关公文处理暂行规定》。
二、沟通
沟通则是指信息在企业内部各层次、各部门,在企业与客户、供应商、监管者和股东等外部环境之间的流动。有效的沟通必须广泛地进行,自上而下、自下而上地贯穿整个组织。所有人员都要从高级管理层获得明确的信息,必须认真对待控制责任。他们必须了解各自在内部控制体系中担任的角色,以及个人行为与他人工作的相互关系。他们必须有自下而上传递重要信息的渠道和方法。同时,也要客户、供应商、监管者和股东等外部人员建立有效的沟通。
沟通是信息系统固有的。如上所述,信息系统必须把信息提供给合适的人员,以便他们履行与经营、财务报告和合规性有关的职责。但是,沟通还必须在更广的意义上进行,处理期望、个人和团体职责以及其他重要事宜。
沟通可以采用诸如政策手册、备忘录、布告通知和录像带的形式;在采用口头传递信息的场合,如团体会议、小型会议或面对面谈话等,说话的语调和身体的语言也能起到强调所说的内容的效果。另一种有影响力的沟通手段是管理层在领导下属工作时的言行。管理人员的行动也影响着企业的历史和文化,因为他们利用了以往观察到的自己上级处理相似局面的方式。同时,具有悠久诚信历史的企业,其员工深刻理解企业的文化,这样的企业在向员工传达沟通其信息时产生困难的可能性极小。而不具有这种传统的企业,就可能需要对建立信息传达沟通的方式做出更多的努力。
(一)COSO框架要求
1.向员工传达其职责和控制责任的有效性。
主要关注下列活动:
(1)沟通方式(正式和非正式的培训、会议和工作中的监督)应能实现沟通的目的。
(2)员工应清楚他们的行为要达到的目标,以及他们的工作对于实现这些目标有什么作用。
(3)员工应清楚自己的职责与他人的职责如何相互影响。
2.企业内部是否充分交流。
主要关注下列活动:
(1)销售部门应向工程、生产和营销人员反映客户需求。
(2)财务部门定期将应收账款余额反馈给信用管理部门(清欠办公室)和销售部门。
(3)工程和营销部门(人员)应能了解竞争对手的新产品(服务)或保证等信息。
3.沟通渠道应开放有效。
主要关注下列活动:
(1)应存在与所有有关方面的反馈机制(例如,客户满意度调查表)。
(2)建议、投诉和收到的其他情况应建立记录并得到有效处理。
(3)必要的信息应向上级汇报并采取相应的跟进措施。
4.外部相关方了解企业道德标准的程度。
主要关注下列活动:
(1)与外部的重要信息交流应由与该信息重要性程度相称的管理层人员进行(例如,高级执行官定期向外部书面解释公司的道德标准)。
(2)供应商、客户和其他方面应清楚公司在与其往来的活动中的标准和期望。
(3)在与外部的日常交往中应强调了这些标准。
(4)其他公司员工的不当行为应向适当人员汇报。
5.管理层收到外部信息后应采取及时和适当的应对措施。
主要关注下列活动:
(1)人员应善于接受他人就产品、服务或其他方面反映的问题,而且对此进行调查并采取适当的行动。
(2)在客户账单中出现的错误应得到了及时的纠正,并且就产生错误的根源进行了调查和纠正。
(3)应有适当的人员(独立于进行原始交易的人)处理收到的投诉。
(4)应采取了适当的行为,并与原始信息提供者进行了跟踪沟通。
(5)高级管理层应清楚投诉的性质以及数量。
(二)控制目标
将信息提供给相关人员,以便于其履行职责,使沟通贯穿于信息处理的整个过程,有效的沟通不仅在整个企业内进行,也包括与外部进行的沟通。
1.内部沟通。
内部沟通是指在企业内部范围内所进行的沟通。除了接受与管理其业务活动相关的数据之外,所有人,特别是那些有着重要的经营和财务管理职责的人员,还需要从高级管理层取得明确清楚的信息:必须严格履行内部控制的责任。这条信息的透明度及该信息被传达沟通的有效性都是非常重要的。
此外,在进行内部沟通的时候,对具体的责任也必须清楚。每个人都需要理解内部控制系统的相关部分、他们工作的方式以及个人在该系统中的角色和职责。如果没有这样的理解,就可能出现问题。在执行自己的职责时,每个人都应该知道,当意外发生时,不仅要注意事件本身,还要注意事件的原因。这样,就可以识别出系统中潜在的缺陷,并采取预防的措施。人们需要知道自己的业务活动是怎样与他人的工作相联系的。这种了解对认识问题或确定其原因及相应的整改措施是非常必要的。人们知道什么样的行为是被期望的,什么样的行为是可以接受的,什么样的行为是不可以接受的。员工也需要知道在企业中自下而上传递重要信息的方法和渠道。每天处理重要经营问题的第一线员工常常处在问题出现时认识问题的最佳位置,企业必须有公开畅通的沟通渠道以及明确清晰的倾听意愿。员工也必须相信他们的上级确实想了解问题并愿意有效地解决这些问题。
在多数情况下,企业中正常的报告渠道就是适当的沟通渠道。然而,在有些情形下,需要独立的沟通渠道作为一个预防失败的机制,在正常渠道不起作用时加以运用。如果没有公开畅通的沟通渠道以及明确的倾听意愿,在企业中自下而上的信息流动可能就会受到阻碍。
2.外部沟通。
企业不仅在其内部需要有适当的沟通,而且与外部也是如此。通过开放的沟通渠道,可以了解客户和供应商对于产品与服务的设计或质量方面提出的非常重要的要求,从而使公司能够满足不断变化的客户需求和偏好。与企业打交道的任何人也必须认识到,企业将不能容忍不适当的行为如回扣和其他不适当的付款。与外部各方的沟通通常会提供关于内部控制体系功能发挥的重要信息。外部审计师对企业经营和相关业务以及内部控制体系的理解,可以为管理层和董事会提供重要的控制信息。与股东、监管部门、财务分析师以及其他外部有关方的沟通应提供他们需要的信息,这样他们就能很快理解具体的情况以及企业所面对的风险。与他们的沟通交流应该富有价值,提供相关及时的信息,而且应符合法律和监管的规定要求。
管理层与外部各方的交流沟通,无论事后公开的、即时进行的、重要的跟进,还是其他形式的沟通,也都向整个公司内部传递了信息。
(三)控制措施
执行公司有关制度,对股份公司主要信息沟通渠道以及管理规范进行全面描述,内容包括:沟通的种类、沟通的渠道、相关部门的职责等。
1.内部沟通。
内部沟通是指企业内部上下级之间、横向部门之间的沟通。
(1)责任部门。
A。人事部门:负责制定部门、岗位职责并宣传贯彻,使员工清楚地知道本岗位履行内部控制的职责。
B。业务部门:负责编制业务流程和控制并宣传贯彻,使员工清楚本岗位负责的内部控制如何运行及怎样与他人的工作相联系。
C。党群部门:负责制定和贯彻道德准则,使员工清楚什么样的行为是被期望的,相信上级确实想了解问题并愿意解决问题。
D。监察部:设置检举揭发网页和受理电话,鼓励公司内部员工和合作各方检举任何所获知或遇到的违规行为,对检举揭发事件进行调查核实并提出处理意见。
E。董秘局:负责安排管理层和董事会、审计委员会的沟通,包括会议安排、董事会意见反馈。
F。各级部门和人员:按照规定从纵向和横向与相关部门及人员沟通。
(2)规章制度索引。
A。《开展“五定”工作的通知》。
B。《开展岗位职责描述的通知》。
C。《中国石油天然气股份有限公司高级管理人员职业与道德规范》。
D。《中国石油天然气股份有限公司职工职业与道德规范》。
E。《中国石油天然气股份有限公司职工职业与道德建设制度》。
F。《国有企业领导人员廉洁自律“五不准”规定》。
G。《企业文化建设纲要》。
H。《中国石油天然气股份有限公司纪检监察部门信访举报工作规定》。
I。《监察部门在招标投标工作中实施监督检查的暂行办法》。
J。《股份公司内部审计职业道德规范》。
2.外部沟通。
外部沟通主要是指与客户、供应商、外部监管者和外部审计师的沟通。
(1)责任部门。
A。与客户、供应商的沟通。电子商务部、各专业分公司和地区公司采购、销售部门通过供需见面会或订货会、谈判、签订合同等形式与客户及供应商进行沟通,是双方相互了解对产品或服务的设计、质量、市场需求及公司道德准则等。
B。与外部监管者的沟通。股份公司各部门和地区公司在各自职责范围内通过公文、会议等形式与外部监管者进行沟通,及时搜集跟踪法律法规、监管要求等的变化。
C。与外部审计师的沟通。审计委员会、内审部门、财务部门与外部审计师进行会晤和讨论。
D。与资本市场的沟通。董秘局按照《中国石油天然气股份有限公司披露控制和披露程序的原则》每年披露公司财务年报。向股东提供书面公司财务年报。
(2)规章制度索引。
A。《中国石油天然气股份有限公司纪检监察部门信访举报工作规定》。
B。《中国石油天然气股份有限公司职工职业与道德规范》。
C。《中国石油天然气股份有限公司机关公文处理暂行规定》。
D。《中国石油天然气股份有限公司披露控制和披露程序的原则》。
3.沟通的方式。
沟通可以采用诸如政策手册、业务培训、备忘录、公文、会议、录像录音带等方式,也可采用口头传递消息的方式。另一种有影响力的沟通手段是管理层在领导下属工作时的言行。
4.信息披露现状。
股份公司制定了《中国石油天然气股份有限公司披露控制和披露程序的原则》,成立了信息披露委员会,并明确其构成和职责,在披露委员会工作小组(股份公司各部门领导)中任命一位披露督导(董事会秘书助理),以负责监督披露控制和程序的操作方面的事务,并整合信息数据收集程序中产生的信息。披露督导对起草和审核程序进行管理,整理披露控制和程序的文件编制。
披露委员会向包括首席执行官和财务总监在内的高级管理层汇报工作。披露委员会和首席执行官一起讨论和审核定期报告、程序及结论的讨论稿,并回答问题、指出重点披露内容和其他事项,以及讨论和审核披露委员会对披露控制和披露程序的评估;披露委员会应得到公司所有重大新情况的全面通告,以便对该等事件进行评估和讨论,并就重大事件的公开信息发布时间做出决定。
披露委员会应通过指定专人负责相关披露报告中某些章节(如诉讼、法规、竞争、财产、管理层对财务状况及经营业绩的讨论与分析、板块业务等章节)的起草/审阅来分配起草/审阅责任。
披露督导负责记录评估过程和分析,应与程序报告分开记录,并向披露委员会报告。首席执行官和财务总监必须对披露控制和披露程序的有效性做出认证。
