■楊 洋
隨著科技的進步,越來越多的企業運用了信息化手段對企業進行管理以提高企業的管理水平,增強企業的競爭力。中國改革開放的不斷深入,市場經濟體制不斷完善,國內眾多企業經歷了一段時期的歷練后,無論是公司規模還是業務范圍都發生了翻天覆地的變化。全球經濟一體化進程促使很多企業走出國門,進軍國際市場,也吸引了很多外資企業選擇在中國開展業務,這樣就有越來越多的組織龐大、機構分散、業務流程復雜的企業出現。這些企業的母子公司或總分公司空間距離不可預計,客戶數量也不斷增加,這些變化卻給企業帶來了難題。無論從其對內部的資源管理、信息溝通、財務管理、客戶管理、風險管理等方面,還是從其為了適應外部的要求而應將企業相關信息做到充分、及時、交換、共享等,都需要信息技術的協助。
信息技術和企業之間是相互影響的,企業的發展提高了信息技術的應用水平,信息技術的發展也改變著企業及企業的經營方式,信息技術已成為企業創新和發展的關鍵。信息技術的應用勢必給企業的內部環境帶來變化,因此傳統的內部控制方法的控制力正在逐漸被弱化。內部控制理論的發展經歷了內部牽制、內部控制制度、內部控制結構、內部控制整體框架四個階段。最初內部控制的定義局限于財務方面的相關操作,即“為了保護公司現金和其他資產的安全、檢查賬簿記錄準確性而在公司內部采用的各種手段和方法。”這個定義缺乏對管理方法方面的要求。隨著對內部控制研究的不斷加深,內部控制理論也越來越成熟。時至今日,已經有了被廣泛認可的以內部控制結構和組成要素為內容的定義。1992年,美國COSO委員會提交的一份報告《內部控制——整體框架》(Internal Control—Integrated Framework)是內部控制研究的里程碑,首次提出了內部控制的五個組成要素,并且強調,內部控制是一個過程,是受執行者影響的過程,并非只是制度與表格,而是來自于組織內每一個階層的人,應將內部控制按類別劃分,然后相互配合達到多層次的管理目標。這五個要素分別是控制環境(control environment)、風險評估(risk appraisal)、控制活動(control activity)、信息和溝通(information and communication)及監控(monitoring)。該報告的另外一個重大貢獻就是首次將風險評估引入到內部控制的組成部分,使得內部控制理論得以完善。本文研究過程中所引用的《企業風險管理——總體框架》(Enterprise Risk Management,簡稱ERM),正是在此基礎上進行的拓展。它將構成要素更加合理地劃分為八個要素:內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。內部控制有了這個最新的理論基礎后,能夠指導企業在進行風險管理、內部控制時所遵循應遵循的方向,為風險管理提供合理保障。隨著信息技術的飛速發展,旨在加強信息技術相關質量控制的各項制度標準也應運而生,具有代表性的是1996年美國信息系統審計與控制協會(ISACA)公布的COBIT(Control Objectives for Information and Related Technology)模型,即“信息及相關技術控制目標”,是一個信息技術管理模型。它提供了IT管理、安全和控制方面的清晰策略,是國際上公認的最先進、最權威的安全與信息技術管理和控制標準。有了這樣一個科學的模型,企業在進行信息化建設的過程中才能保證其信息系統的安全與穩定,才能為企業內部控制提供一個基礎,在此基礎上再對企業進行的風險管理才是有意義的。隨著信息技術應用水平的提高,信息孤島已經不再存在,分散應用已經向整合應用轉變,數據也由分散管理向集中管理轉變,這對企業的內部控制環境產生了很大的影響。企業在進行風險管理時顯然應該關注并分析環境變化所帶來的影響,充分發揮新環境所帶來的優勢,為其風險管理提供更加有力的保障。
本文筆者通過理論分析和實踐研究發現了在信息環境下的企業風險管理還存在一些不足之處或者容易被忽視的方面,下面給出以下幾點建議。
一、充分利用信息技術資源,發揮其關鍵作用以加強企業風險管理
1.企業應當充分利用信息技術的數據資源,為企業決策提供支持
隨著信息技術的應用,客戶信息、文檔資料、商業信息等前所未有地積累于企業內部,空間上消除了文件儲存的用地限制,使用上通過運用搜索引擎可以迅速得到符合相關條件的信息檢索,既節約了時間也滿足了信息量的需求。信息化時代,企業的商業秘密與數據密不可分,因為通過一定的攫取與分析,能夠對企業的經營方式方法了如指掌。但同樣,數據也蘊含著無限的商機,通過數據倉庫的建立,將長期積累保存的數據轉化為可供分析、使用的數據,并通過加以分析得出結論。與機會并存的是風險,在挖掘商機的同時,也可以將數據倉庫用于企業風險管理。有了如此豐富、運用靈活的數據,可以幫助企業在短時間內迅速發現風險事項,并根據模型進行分析、識別、認定、評估,根據分析結果做出反應,并繼續跟蹤事項的發展以監督該風險是否被控制到容忍度內。
2.企業應當抓住信息系統建設的良機,更多地將企業風險管理要素融入其中
企業的信息化建設是一個長期的過程,從規劃、組織、實施到交付、使用都要符合各自階段的要求。企業應當充分利用信息系統建設的這個契機,將先進的內部控制理念融入到企業的信息化建設進程的每一個環節中去。在信息系統建設階段,就嚴格按照企業風險管理的要求去做,使得信息系統結構更加嚴密,流程更加順暢,控制效果事半功倍。
3.企業應當及時更新信息技術,為企業風險管理提供保障
隨著世界的扁平化,空間被逐漸淡化,減少了空間上的阻礙,技術的更新換代更為頻繁與迅速。信息技術也是如此,無論是硬件的研發與更新,還是軟件的升級與換代,生命期都在明顯縮短。如此迅速的技術更新,雖然給企業帶來一定壓力,但更多的是帶給企業前進的動力。
4.企業應不斷維護信息系統相關設施,為企業建立安全的內部環境
既然企業的發展離不開信息技術的支持與信息系統的應用,那么就應該不斷的給予支持和保護信息系統的相關資源的維護、升級,保證其能夠穩定運行,創建安全的內部環境,為內部控制提供最根本的保障。
二、充分利用第三方咨詢機構的優勢幫助企業構建有效的信息化環境
企業作為一個盈利單位,其主要目標是在一定的行業中靠自身的優勢取得利益,使企業得以持續經營。既然企業是一個行業知識相對單一的單位,那么在進行信息化建設的過程中難免會有些力不從心,無法對專業的信息技術給予得心應手的控制。隨著社會分工的細化,信息技術供應商和第三方咨詢機構已經逐漸發展壯大,加之WTO的推動,很多國際大型信息技術供應商和咨詢機構紛紛在華開展業務,這些經濟環境的變化,為企業尋求一個外援提供了可能。專業的信息技術提供商,由于市場分工的不同其專屬領域也各有不同,它執著于信息技術的發展與應用水平的提高,關注如何為客戶提供更加優秀的信息技術解決方案。而作為第三方咨詢機構具有良好的跨行業知識結構,很熟悉企業所在行業的業務特點,能夠恰當的分析業務,給信息技術供應商提出正確的業務需求,使得信息技術供應商可以量身定制信息系統,提供差別化服務,使企業充分享受信息技術的應用為企業帶來的效益。現在很多企業都已經將信息技術的應用工作交給了信息技術供應商,但是請第三方咨詢機構作為溝通橋梁的卻很少,這也是許多企業信息化建設失敗的原因之一。因此,企業應當在恰當的時機內聘請第三方咨詢機構來幫助企業共同構建一個符合企業風險管理要求的信息系統。
三、賦予企業信息技術部門真正的職能,切實發揮管理作用
目前很多企業的組織結構已經很完善,均符合公司法對企業組織結構的要求,也成立了信息技術部門來負責企業的信息化建設。但由于傳統觀念的影響,很多企業認為信息技術部門只是一個職能部門,而且還是一個只會花錢的職能部門。信息化成本年年走高,令企業的管理層對之成見更深。之所以有以上的這些觀點,是因為他們沒有很好的理解信息化建設的意義,認為只是簡單的將業務處理電腦化了一下,將賬務處理電算化了一下,僅此而已,唯獨沒有看到信息化建設帶來的更大的利益。其實在管理層的日常工作中總是處處在享受著信息化帶來的好處,比如,可以進行電子簽名來審批公司內部事務而不是一定要把身子鎖定在辦公桌前,只要有網絡的地方就可以完成這樣的公事,使得管理者能夠不受空間的限制投身到更需要他們的環境中去。企業的管理層可以及時地通過信息系統獲取他們所需要的信息、資料,做出快速、準確的決策;企業的執行者可以通過信息系統及時地發現風險偏離、風險回歸等事項,實時查看業務數據,在任何需要的時候實施監控,以求得企業健康、平穩得發展。因此,信息技術部門所從事的工作需要得到企業管理層的大力支持,它不僅僅是一個執行者,更是一個很好的參與者、管理者,它需要真正地被賦予職能,發揮其管理作用。
四、及時更新相關理論知識,不斷尋找融合點
事物都是處于變化中的,不變是相對的,變化才是永恒的,有些理論的應用可能現在是符合實際情況的,但很快隨著不斷變化的外界條件也會脫離實際。這就需要企業不斷的發現、更新內部控制的理論知識,不斷的尋求信息技術與內部控制的融合點,找到適合現代化企業發展的信息系統結構。
企業生存于“機會與風險”并存的環境中,對一項事物,迅速分辨其是“機會”還是“風險”對企業來講至關重要。傳統的環境中,對一個事項進行識別、評估認定、制定應對計劃到事后監控往往需要一個很長的時間,很多時候都趕不上變化,有可能是“錯失良機”,也有可能是“亡羊補牢”。因此,應充分運用先進的信息技術,快速從海量信息中認定、評定,幫助企業準確決策,縮短“控制——評價——糾偏——控制”這樣一個完整的循環,促進企業良性循環。
