論ＩＴ環境下企業風險管理的完善

董衛明

摘 要：網絡的高度開放性給企業的內部控制也帶來許多新的問題：企業的信息需要在網上發布；各分支機構和移動辦公人員之間需要進行信息交流；大量會計信息通過網絡通訊線路傳輸，使信息被非法攔截、竊取、改變得更加容易等；針對這種情況提出了完善措施。

關鍵詞：IT；風險；完善；體系

中圖分類號：F270.7 文獻標識碼：A 文章編號：1672-3198（2009）03-0259-02

所謂IT是“Information Technology”（信息技術）的縮寫，指計算機、通訊及相關技術。IT技術給企業帶來了深刻影響。首先，從外部環境上，信息技術的發展，成為全球化最強勁的驅動力量，它從根本上改變著商業運作的模式。供應鏈管理成為關鍵，地理位置在許多情況下變得無關緊要。利用外部關系網絡，企業拋棄非核心活動來提高自己的競爭力，知識資本等無形資產成為企業核心競爭力的來源。新技術提高了中小企業進入全球市場的能力，所有的商業都將面臨日益嚴峻的競爭。其次，從內部環境上，IT技術的發展和網絡環境的變化，使企業的業務活動越來越依賴于電子信息，依賴于遍布企業各個不同職能部門或業務活動過程中的、復雜的IT系統。

1 改善IT環境

隨著企業的不斷發展和壯大，企業對IT的依賴程度越來越高，對IT環境的要求也越來越高。如對網絡的要求，希望它更快速、更準確；對數據庫的要求，希望它存儲量更大，查找數據更方便、快捷；對信息系統的要求，希望它更加集成等等。這就要求企業不斷改善所處的IT環境。

對于信息化企業來說，無法將企業信息系統的建設與企業建設分離，在企業的個性化成為基本生存戰略，需要高度敏捷地作出改變的情形下，無法容忍滿世界去尋找和購買那些套裝。既然企業規劃與企業信息技術系統規劃是不可分割的，惟有讓后者回歸企業，回到企業決策與實施的現場去，按照企業的意愿規劃和構造他們自己的企業信息系統。以信息技術手段實施內部控制，減少或消除人為操縱因素，增強控制程度，確保內部控制的有效實施。其宗旨是減少公司經營數據和信息的人工干預，保證公司運營信息的真實、帳務記錄的準確、管理效率的提高。同時在覆蓋公司經營過程的全面管理信息系統（ERP）的基礎上，建立涵蓋全面風險管理流程的風險預警分析系統。

2 優化內部環境

在IT環境下，在扁平化組織結構中，信息無處不在，企業內外部人員均能獲得。此時管理當局應當轉變觀念，認識到他不再是組織等級的上層，而是活動行為的中心。再加上網絡引發的新問題——信息道德危機，即企業內部員工道德素質的敗壞將加大企業經營管理的風險。在這種情況下，“正確”的高層基調就顯得更加重要。管理當局需要在這個動態的環境中，既能夠調動集體智慧，發揮員工的主觀能動性，在創新中求得更大的發展，又能在不斷出現的沖突和磨合中，尋找內部凝聚力和向心力，有效地加強內部控制。

建議企業首先采用文字的形式將期望的內部環境描述出來，然后利用IT環境營造的氛圍將其貫徹下去。例如在企業的局域網（或因特網）主頁上建立一個關于企業價值觀聲明和行為規范的鏈接，以便及時貫徹企業文化，方便員工在完成工作的過程中自覺參考規范和指南。還可以以電子文本的方式進行傳遞，但要確認全體員工收到了信息。

另外，組織管理的實踐證明，建立一個科學的組織結構對提高組織的績效起著重大的作用。在IT環境下，企業的組織結構更應該做出適時、合理地調整。除了在企業內部設置首席信息官（CIO）、首席風險官（CRO）職位外，還應在監事會下設信息管理委員會和風險管理委員會。

3 完善控制風險機制

企業的風險管理應注意到各個層面權力配置是否合理、責任是否明確、運轉是否協調等關鍵問題，做好關鍵控制點的設立和控制，與整個監控體系相協調一致。內部控制應主要側重于監督、防范、制衡、激勵等措施，一方面關注企業經營管理活動的決策和執行過程，以措施的實施效果為導向和標準對內部控制進行調整、評價和改進；另一方面堅持以人為本，使內部控制與企業人力資源管理充分結合起來，最大限度地避免制度、措施過于僵硬死板，缺乏人性化，以防止產生實施過程中的人為抵制、可操作性差等常見問題。

完善控制風險機制既是內部控制的重要內容，也是企業持久發展的可靠保證。企業應根據行業趨勢、自身條件、政策法規等，制定相應的風險管理制度，將風險評估系統化，通過風險評估識別內部所有重要業務流程，持續完善重要業務流程風險數據庫，建立起科學的風險評估制度體系。通過利用各種風險分析技術，找出業務風險點，并采取相應方法降低風險，主要包括全面預算控制、經營風險控制、會計控制、授權批準控制、文件記錄控制、財產保全控制、業務人員素質控制等。

4 建立有效的信息溝通

IT環境提高了信息溝通的效率和效果，但同時存在著挑戰，那就是如何確保正確的信息以正確的方式、按合適的詳細程度、在正確的時候流向正確的人，來避免“信息超載”。許多企業建立了結構化信息管理方法，這種方法使管理人員能夠識別信息的價值并按其重要性排序，開發有效的程序和適當的工具與方法，可靠地收集、存儲和分配數據。在正確的地方及時擁有正確的信息對于實現企業風險管理至關重要。

一方面是“軟件”建設，即在決策層與管理層、管理層與一般員工、部門與部門、集團公司與其他利益相關者之間形成的有效信息溝通渠道，使信息能夠全面、準確、即時地被搜集、整理、判斷并作為調整企業決策部署、改進內部控制的依據。另一方面是“硬件”建設，即全面推進企業信息化建設，在建設過程中重視內部控制，為其提供必要的信息采集、編輯、傳輸、分析等應用系統和操作終端，并保證投入，不斷提高內部控制的信息化水平，促進內部控制工作的標準化、規范化、迅捷化，使其既能獨立工作，又能與集團公司其他業務系統配合工作。

5 完善監控體系

從企業整個監控體系來說，要充分發揮財務、審計、紀檢監察部門的作用，借助企業的行政權力或法律權力，對監控體系進行調整，從而形成對企業經營活動的全方位監控。IT環境為企業的監控帶來便利的同時，也需要人為因素去完善。內部審計在此時就起著至關重要的作用，因此有必要對內部審計在職能范圍和技術方法等方面做一番變革：在職能范圍方面，內部審計由原來的“監督主導型”變革為“管理主導型”，此時其目標不再局限于差錯和糾錯，更為重要的是向企業管理當局提供及時、可靠的信息，為提高經營管理的效益而服務；在技術方法方面，內部審計與財務聯系得更加緊密，其工作重點由原來的線索審核和查找轉向系統分析和設計過程等。審計技術方法由原來的單一的事后財務收支審計發展為事前、事中和事后的管理效益審計，并注重事前調查和跟蹤審計，不只是發現風險，還應找出風險存在的根源，為企業的經營管理保駕護航，使得企業能夠順利前行。

6 增強風險管理理念

在IT被廣泛應用于企業管理的今天，承受極大不確定性的企業應將增強風險管理理念作為首要大事來抓。在IT環境下，企業的風險管理理念應該加強，因為企業風險管理使管理當局能夠有效地應對不確定性以及由此帶來的風險和機會，增進創造價值的能力。IT環境自誕生之日起就存在著天然的風險，而且從某種程度上說，其風險遠遠超過傳統的環境。因此，建議企業在其信息系統中增設風險管理信息子系統。企業的信息系統可以說是一個達到特定管理目標的工具，在里面除了增加必要的內部控制功能外，還應增加風險管理的功能，建立風險管理信息子系統，這樣可以更好地保護企業免受意外損失和由此帶來的不利影響，降低企業風險管理成本。風險管理信息子系統應按照企業各個部門面臨的風險和企業目標進行設計，它能為企業和各個部門的風險管理決策提供幫助。通過互聯網，可以把企業的內部計算機與金融市場、經濟動態以及有關法規等外部的數據源連接起來，可以增強風險管理信息子系統作為決策支持的使用價值，這主要是因為做出的決策所依據的數據將更為可靠，以及計算機輔助決策類型將更為多樣化。