■杨 洋
随着科技的进步，越来越多的企业运用了信息化手段对企业进行管理以提高企业的管理水平，增强企业的竞争力。中国改革开放的不断深入，市场经济体制不断完善，国内众多企业经历了一段时期的历练后，无论是公司规模还是业务范围都发生了翻天覆地的变化。全球经济一体化进程促使很多企业走出国门，进军国际市场，也吸引了很多外资企业选择在中国开展业务，这样就有越来越多的组织庞大、机构分散、业务流程复杂的企业出现。这些企业的母子公司或总分公司空间距离不可预计，客户数量也不断增加，这些变化却给企业带来了难题。无论从其对内部的资源管理、信息沟通、财务管理、客户管理、风险管理等方面，还是从其为了适应外部的要求而应将企业相关信息做到充分、及时、交换、共享等，都需要信息技术的协助。
信息技术和企业之间是相互影响的，企业的发展提高了信息技术的应用水平，信息技术的发展也改变着企业及企业的经营方式，信息技术已成为企业创新和发展的关键。信息技术的应用势必给企业的内部环境带来变化，因此传统的内部控制方法的控制力正在逐渐被弱化。内部控制理论的发展经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架四个阶段。最初内部控制的定义局限于财务方面的相关操作，即“为了保护公司现金和其他资产的安全、检查账簿记录准确性而在公司内部采用的各种手段和方法。”这个定义缺乏对管理方法方面的要求。随着对内部控制研究的不断加深，内部控制理论也越来越成熟。时至今日，已经有了被广泛认可的以内部控制结构和组成要素为内容的定义。1992年，美国COSO委员会提交的一份报告《内部控制——整体框架》（Internal Control—Integrated Framework）是内部控制研究的里程碑，首次提出了内部控制的五个组成要素，并且强调，内部控制是一个过程，是受执行者影响的过程，并非只是制度与表格，而是来自于组织内每一个阶层的人，应将内部控制按类别划分，然后相互配合达到多层次的管理目标。这五个要素分别是控制环境（control environment）、风险评估（risk appraisal）、控制活动（control activity）、信息和沟通（information and communication）及监控（monitoring）。该报告的另外一个重大贡献就是首次将风险评估引入到内部控制的组成部分，使得内部控制理论得以完善。本文研究过程中所引用的《企业风险管理——总体框架》（Enterprise Risk Management，简称ERM），正是在此基础上进行的拓展。它将构成要素更加合理地划分为八个要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。内部控制有了这个最新的理论基础后，能够指导企业在进行风险管理、内部控制时所遵循应遵循的方向，为风险管理提供合理保障。随着信息技术的飞速发展，旨在加强信息技术相关质量控制的各项制度标准也应运而生，具有代表性的是1996年美国信息系统审计与控制协会（ISACA）公布的COBIT（Control Objectives for Information and Related Technology）模型，即“信息及相关技术控制目标”，是一个信息技术管理模型。它提供了IT管理、安全和控制方面的清晰策略，是国际上公认的最先进、最权威的安全与信息技术管理和控制标准。有了这样一个科学的模型，企业在进行信息化建设的过程中才能保证其信息系统的安全与稳定，才能为企业内部控制提供一个基础，在此基础上再对企业进行的风险管理才是有意义的。随着信息技术应用水平的提高，信息孤岛已经不再存在，分散应用已经向整合应用转变，数据也由分散管理向集中管理转变，这对企业的内部控制环境产生了很大的影响。企业在进行风险管理时显然应该关注并分析环境变化所带来的影响，充分发挥新环境所带来的优势，为其风险管理提供更加有力的保障。
本文笔者通过理论分析和实践研究发现了在信息环境下的企业风险管理还存在一些不足之处或者容易被忽视的方面，下面给出以下几点建议。

一、充分利用信息技术资源，发挥其关键作用以加强企业风险管理
1．企业应当充分利用信息技术的数据资源，为企业决策提供支持
随着信息技术的应用，客户信息、文档资料、商业信息等前所未有地积累于企业内部，空间上消除了文件储存的用地限制，使用上通过运用搜索引擎可以迅速得到符合相关条件的信息检索，既节约了时间也满足了信息量的需求。信息化时代，企业的商业秘密与数据密不可分，因为通过一定的攫取与分析，能够对企业的经营方式方法了如指掌。但同样，数据也蕴含着无限的商机，通过数据仓库的建立，将长期积累保存的数据转化为可供分析、使用的数据，并通过加以分析得出结论。与机会并存的是风险，在挖掘商机的同时，也可以将数据仓库用于企业风险管理。有了如此丰富、运用灵活的数据，可以帮助企业在短时间内迅速发现风险事项，并根据模型进行分析、识别、认定、评估，根据分析结果做出反应，并继续跟踪事项的发展以监督该风险是否被控制到容忍度内。
2．企业应当抓住信息系统建设的良机，更多地将企业风险管理要素融入其中
企业的信息化建设是一个长期的过程，从规划、组织、实施到交付、使用都要符合各自阶段的要求。企业应当充分利用信息系统建设的这个契机，将先进的内部控制理念融入到企业的信息化建设进程的每一个环节中去。在信息系统建设阶段，就严格按照企业风险管理的要求去做，使得信息系统结构更加严密，流程更加顺畅，控制效果事半功倍。
3．企业应当及时更新信息技术，为企业风险管理提供保障
随着世界的扁平化，空间被逐渐淡化，减少了空间上的阻碍，技术的更新换代更为频繁与迅速。信息技术也是如此，无论是硬件的研发与更新，还是软件的升级与换代，生命期都在明显缩短。如此迅速的技术更新，虽然给企业带来一定压力，但更多的是带给企业前进的动力。
4．企业应不断维护信息系统相关设施，为企业建立安全的内部环境
既然企业的发展离不开信息技术的支持与信息系统的应用，那么就应该不断的给予支持和保护信息系统的相关资源的维护、升级，保证其能够稳定运行，创建安全的内部环境，为内部控制提供最根本的保障。

二、充分利用第三方咨询机构的优势帮助企业构建有效的信息化环境
企业作为一个盈利单位，其主要目标是在一定的行业中靠自身的优势取得利益，使企业得以持续经营。既然企业是一个行业知识相对单一的单位，那么在进行信息化建设的过程中难免会有些力不从心，无法对专业的信息技术给予得心应手的控制。随着社会分工的细化，信息技术供应商和第三方咨询机构已经逐渐发展壮大，加之WTO的推动，很多国际大型信息技术供应商和咨询机构纷纷在华开展业务，这些经济环境的变化，为企业寻求一个外援提供了可能。专业的信息技术提供商，由于市场分工的不同其专属领域也各有不同，它执着于信息技术的发展与应用水平的提高，关注如何为客户提供更加优秀的信息技术解决方案。而作为第三方咨询机构具有良好的跨行业知识结构，很熟悉企业所在行业的业务特点，能够恰当的分析业务，给信息技术供应商提出正确的业务需求，使得信息技术供应商可以量身定制信息系统，提供差别化服务，使企业充分享受信息技术的应用为企业带来的效益。现在很多企业都已经将信息技术的应用工作交给了信息技术供应商，但是请第三方咨询机构作为沟通桥梁的却很少，这也是许多企业信息化建设失败的原因之一。因此，企业应当在恰当的时机内聘请第三方咨询机构来帮助企业共同构建一个符合企业风险管理要求的信息系统。

三、赋予企业信息技术部门真正的职能，切实发挥管理作用
目前很多企业的组织结构已经很完善，均符合公司法对企业组织结构的要求，也成立了信息技术部门来负责企业的信息化建设。但由于传统观念的影响，很多企业认为信息技术部门只是一个职能部门，而且还是一个只会花钱的职能部门。信息化成本年年走高，令企业的管理层对之成见更深。之所以有以上的这些观点，是因为他们没有很好的理解信息化建设的意义，认为只是简单的将业务处理电脑化了一下，将账务处理电算化了一下，仅此而已，唯独没有看到信息化建设带来的更大的利益。其实在管理层的日常工作中总是处处在享受着信息化带来的好处，比如，可以进行电子签名来审批公司内部事务而不是一定要把身子锁定在办公桌前，只要有网络的地方就可以完成这样的公事，使得管理者能够不受空间的限制投身到更需要他们的环境中去。企业的管理层可以及时地通过信息系统获取他们所需要的信息、资料，做出快速、准确的决策；企业的执行者可以通过信息系统及时地发现风险偏离、风险回归等事项，实时查看业务数据，在任何需要的时候实施监控，以求得企业健康、平稳得发展。因此，信息技术部门所从事的工作需要得到企业管理层的大力支持，它不仅仅是一个执行者，更是一个很好的参与者、管理者，它需要真正地被赋予职能，发挥其管理作用。

四、及时更新相关理论知识，不断寻找融合点
事物都是处于变化中的，不变是相对的，变化才是永恒的，有些理论的应用可能现在是符合实际情况的，但很快随着不断变化的外界条件也会脱离实际。这就需要企业不断的发现、更新内部控制的理论知识，不断的寻求信息技术与内部控制的融合点，找到适合现代化企业发展的信息系统结构。
企业生存于“机会与风险”并存的环境中，对一项事物，迅速分辨其是“机会”还是“风险”对企业来讲至关重要。传统的环境中，对一个事项进行识别、评估认定、制定应对计划到事后监控往往需要一个很长的时间，很多时候都赶不上变化，有可能是“错失良机”，也有可能是“亡羊补牢”。因此，应充分运用先进的信息技术，快速从海量信息中认定、评定，帮助企业准确决策，缩短“控制——评价——纠偏——控制”这样一个完整的循环，促进企业良性循环。