信息技术环境下企业风险管理.pdfVIP

摘 要 随着科技的进步，越来越多的企业运用了信息化手段对企业进行管理以提 高企业的管理水平，增强企业的竞争力。中国改革开发的不断深入，市场经济 体制不断被完善，国内众多企业经历了一段时期的历练后，无论是公司规模还 是业务范围都发生了翻天覆地的变化。全球经济一体化进程促使很多企业走出 国门，进军国际市场，而 WTO 的加入，也吸引了很多外资企业选择在华开展业 务，这样就有越来越多的组织庞大、机构分散、业务流程复杂的企业出现。这 些企业的母子公司或总分公司空间距离不可预计，客户数量也不断增加，这些 变化却给企业带来了难题，无论从其对内部的资源管理、信息沟通、财务管理、 客户管理、风险管理等方面，还是从其为了适应外部的要求而应将企业相关信 息做到充分、及时、交换、共享等，都需要信息技术的协助。信息技术的出现 和发展是经济发展的必然结果。 信息技术和企业之间是相互影响的，企业的发展提高了信息技术的应用水 平，信息技术的发展也改变着企业及企业的经营方式，信息技术已成为企业创 新和发展的关键。信息技术的应用势必给企业的环境带来变化，因此传统的内 部控制方法的控制力正在逐渐被弱化。内部控制理论的发展经历了内部牵制、 内部控制制度、内部控制结构、内部控制整体框架四个阶段。最初内部控制的 定义局限于财务方面的相关操作，即“为了保护公司现金和其他资产的安全、 检查账簿记录准确性而在公司内部采用的各种手段和方法。”这个定义缺乏了对 管理方法方面的要求。随着对内部控制研究的不断加深，内部控制理论也越来 越成熟，时至今日，已经有了被广泛认可的以内部控制结构和组成要素为内容 的定义。1992年，美国COSO委员会提交的一份报告——《内部控制——整体框 架》（Internal Control—Integrated Framework）是内部控制研究的里程碑， 首次提出了内部控制的五个组成要素，并且强调，内部控制是一个过程，是受 执行者影响的过程，并非只是制度与表格，而是来自于组织内每一个阶层的人， 应将内部控制按类别划分，然后相互配合达到多层次的管理目标。这五个要素 分别是控制环境（control environment）、风险评估（risk appraisal）、控制 活动（control activity）、信息和沟通（information and communication） 2 及监控（monitoring）。该报告的另外一个重大贡献就是首次将风险评估引入到 内部控制的组成部分，使得内部控制理论得以完善。本文研究过程中所引用的 《企业风险管理——总体框架》（Enterprise Risk Management，简称ERM），正 是在此基础上进行的拓展，它将构成要素更加合理的划分为八个要素：内部环 境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监 控。内部控制有了这个最新的理论基础后，能够指导企业在进行风险管理内部 控制时所应遵循的方面，为风险管理提供了合理保障。随着信息技术的飞速发 展，旨在加强信息技术相关质量控制的各项制度标准也应运而生，具有代表性 的是 1996 年美国信息系统审计与控制协会（ISACA）公布的 COBIT（Control Objectives for Information and Related Technology）模型，即“信息及相 关技术控制目标”，是一个信息技术管理模型。它提供了 IT 管理、安全和控制 方面的清晰策略，是国际上公认的最先进、最权威的安全与信息技术管理和控 制标准。有了这样一个科学的模型，企业在进行信息化建设的过程中才能保证 其信息系统的安全与稳定，才能为企业内部控制提供一个基础，在此基础上再 对企业进行的风险管理才是有意义的。随着信息技术应用水平的提高，信息孤 岛已经不再存在，分散应用已经向整合应用转变，数据也由分散管理向集中管 理转变，这对企业的内部控制环境产生了很大的影响。企业在进行风险管理时 显然应该关注并分析环境变化所带来的影响，应充分发挥其新环境所带来的优 势，为其风险管理提供更加有力的保障。 随着“安然”、“中航油”等大型企业内部舞弊案件发生后，内部控制的有 效性越来越受到关注。内部控制的失效与其没有将内部控制制度与先进的信息 技术相融合有着密不可分的关系。对于发展中的企业来看，无论是外部环境还 是内部环境，无时无刻不在发生着变化，那么，如何充分利用信息技术的先进