随着科技的进步,越来越多的企业运用了信息化手段对企业进行管理以提高企业的管理水平,增强企业的竞争力。中国改革开放的不断深入,市场经济体制不断完善,国内众多企业经历了一段时期的历练后,无论是公司规模还是业务范围都发生了翻天覆地的变化。全球经济一体化进程促使很多企业走出国门,进军国际市场,也吸引了很多外资企业选择在中国开展业务,这样就有越来越多的组织庞大、机构分散、业务流程复杂的企业出现。这些企业的母子公司或总分公司空间距离不可预计,客户数量也不断增加,这些变化却给企业带来了难题。无论从其对内部的资源管理、信息沟通、财务管理、客户管理、风险管理等方面,还是从其为了适应外部的要求而应将企业相关信息做到充分、及时、交换、共享等,都需要信息技术的协助。
信息技术和企业之间是相互影响的,企业的发展提高了信息技术的应用水平,信息技术的发展也改变着企业及企业的经营方式,信息技术已成为企业创新和发展的关键。信息技术的应用势必给企业的内部环境带来变化,因此传统的内部控制方法的控制力正在逐渐被弱化。内部控制理论的发展经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架四个阶段。最初内部控制的定义局限于财务方面的相关操作,即“为了保护公司现金和其他资产的安全、检查账簿记录准确性而在公司内部采用的各种手段和方法。”这个定义缺乏对管理方法方面的要求。随着对内部控制研究的不断加深,内部控制理论也越来越成熟。时至今日,已经有了被广泛认可的以内部控制结构和组成要素为内容的定义。1992年,美国COSO委员会提交的一份报告《内部控制——整体框架》(Internal Control—Integrated Framework)是内部控制研究的里程碑,首次提出了内部控制的五个组成要素,并且强调,内部控制是一个过程,是受执行者影响的过程,并非只是制度与表格,而是来自于组织内每一个阶层的人,应将内部控制按类别划分,然后相互配合达到多层次的管理目标。这五个要素分别是控制环境(control environment)、风险评估(risk appraisal)、控制活动(control activity)、信息和沟通(information and communication)及监控(monitoring)。该报告的另外一个重大贡献就是首次将风险评估引入到内部控制的组成部分,使得内部控制理论得以完善。本文研究过程中所引用的《企业风险管理——总体框架》(Enterprise Risk Management,简称ERM),正是在此基础上进行的拓展。它将构成要素更加合理地划分为八个要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。内部控制有了这个最新的理论基础后,能够指导企业在进行风险管理、内部控制时所遵循应遵循的方向,为风险管理提供合理保障。随着信息技术的飞速发展,旨在加强信息技术相关质量控制的各项制度标准也应运而生,具有代表性的是1996年美国信息系统审计与控制协会(ISACA)公布的COBIT(Control Objectives for Information and Related Technology)模型,即“信息及相关技术控制目标”,是一个信息技术管理模型。它提供了IT管理、安全和控制方面的清晰策略,是国际上公认的最先进、最权威的安全与信息技术管理和控制标准。有了这样一个科学的模型,企业在进行信息化建设的过程中才能保证其信息系统的安全与稳定,才能为企业内部控制提供一个基础,在此基础上再对企业进行的风险管理才是有意义的。随着信息技术应用水平的提高,信息孤岛已经不再存在,分散应用已经向整合应用转变,数据也由分散管理向集中管理转变,这对企业的内部控制环境产生了很大的影响。企业在进行风险管理时显然应该关注并分析环境变化所带来的影响,充分发挥新环境所带来的优势,为其风险管理提供更加有力的保障。
本文笔者通过理论分析和实践研究发现了在信息环境下的企业风险管理还存在一些不足之处或者容易被忽视的方面,下面给出以下几点建议。
一、充分利用信息技术资源,发挥其关键作用以加强企业风险管理
1.企业应当充分利用信息技术的数据资源,为企业决策提供支持
随着信息技术的应用,客户信息、文档资料、商业信息等前所未有地积累于企业内部,空间上消除了文件储存的用地限制,使用上通过运用搜索引擎可以迅速得到符合相关条件的信息检索,既节约了时间也满足了信息量的需求。信息化时代,企业的商业秘密与数据密不可分,因为通过一定的攫取与分析,能够对企业的经营方式方法了如指掌。但同样,数据也蕴含着无限的商机,通过数据仓库的建立,将长期积累保存的数据转化为可供分析、使用的数据,并通过加以分析得出结论。与机会并存的是风险,在挖掘商机的同时,也可以将数据仓库用于企业风险管理。有了如此丰富、运用灵活的数据,可以帮助企业在短时间内迅速发现风险事项,并根据模型进行分析、识别、认定、评估,根据分析结果做出反应,并继续跟踪事项的发展以监督该风险是否被控制到容忍度内。
2.企业应当抓住信息系统建设的良机,更多地将企业风险管理要素融入其中
企业的信息化建设是一个长期的过程,从规划、组织、实施到交付、使用都要符合各自阶段的要求。企业应当充分利用信息系统建设的这个契机,将先进的内部控制理念融入到企业的信息化建设进程的每一个环节中去。在信息系统建设阶段,就严格按照企业风险管理的要求去做,使得信息系统结构更加严密,流程更加顺畅,控制效果事半功倍。
3.企业应当及时更新信息技术,为企业风险管理提供保障
随着世界的扁平化,空间被逐渐淡化,减少了空间上的阻碍,技术的更新换代更为频繁与迅速。信息技术也是如此,无论是硬件的研发与更新,还是软件的升级与换代,生命期都在明显缩短。如此迅速的技术更新,虽然给企业带来一定压力,但更多的是带给企业前进的动力。
4.企业应不断维护信息系统相关设施,为企业建立安全的内部环境
既然企业的发展离不开信息技术的支持与信息系统的应用,那么就应该不断的给予支持和保护信息系统的相关资源的维护、升级,保证其能够稳定运行,创建安全的内部环境,为内部控制提供最根本的保障。