论文部分内容阅读
摘 要:网络的高度开放性给企业的内部控制也带来许多新的问题:企业的信息需要在网上发布;各分支机构和移动办公人员之间需要进行信息交流;大量会计信息通过网络通讯线路传输,使信息被非法拦截、窃取、改变得更加容易等;针对这种情况提出了完善措施。
关键词:IT;风险;完善;体系
中图分类号:F270.7 文献标识码:A 文章编号:1672-3198(2009)03-0259-02
所谓IT是“Information Technology”(信息技术)的缩写,指计算机、通讯及相关技术。IT技术给企业带来了深刻影响。首先,从外部环境上,信息技术的发展,成为全球化最强劲的驱动力量,它从根本上改变着商业运作的模式。供应链管理成为关键,地理位置在许多情况下变得无关紧要。利用外部关系网络,企业抛弃非核心活动来提高自己的竞争力,知识资本等无形资产成为企业核心竞争力的来源。新技术提高了中小企业进入全球市场的能力,所有的商业都将面临日益严峻的竞争。其次,从内部环境上,IT技术的发展和网络环境的变化,使企业的业务活动越来越依赖于电子信息,依赖于遍布企业各个不同职能部门或业务活动过程中的、复杂的IT系统。
1 改善IT环境
随着企业的不断发展和壮大,企业对IT的依赖程度越来越高,对IT环境的要求也越来越高。如对网络的要求,希望它更快速、更准确;对数据库的要求,希望它存储量更大,查找数据更方便、快捷;对信息系统的要求,希望它更加集成等等。这就要求企业不断改善所处的IT环境。
对于信息化企业来说,无法将企业信息系统的建设与企业建设分离,在企业的个性化成为基本生存战略,需要高度敏捷地作出改变的情形下,无法容忍满世界去寻找和购买那些套装。既然企业规划与企业信息技术系统规划是不可分割的,惟有让后者回归企业,回到企业决策与实施的现场去,按照企业的意愿规划和构造他们自己的企业信息系统。以信息技术手段实施内部控制,减少或消除人为操纵因素,增强控制程度,确保内部控制的有效实施。其宗旨是减少公司经营数据和信息的人工干预,保证公司运营信息的真实、帐务记录的准确、管理效率的提高。同时在覆盖公司经营过程的全面管理信息系统(ERP)的基础上,建立涵盖全面风险管理流程的风险预警分析系统。
2 优化内部环境
在IT环境下,在扁平化组织结构中,信息无处不在,企业内外部人员均能获得。此时管理当局应当转变观念,认识到他不再是组织等级的上层,而是活动行为的中心。再加上网络引发的新问题——信息道德危机,即企业内部员工道德素质的败坏将加大企业经营管理的风险。在这种情况下,“正确”的高层基调就显得更加重要。管理当局需要在这个动态的环境中,既能够调动集体智慧,发挥员工的主观能动性,在创新中求得更大的发展,又能在不断出现的冲突和磨合中,寻找内部凝聚力和向心力,有效地加强内部控制。
建议企业首先采用文字的形式将期望的内部环境描述出来,然后利用IT环境营造的氛围将其贯彻下去。例如在企业的局域网(或因特网)主页上建立一个关于企业价值观声明和行为规范的链接,以便及时贯彻企业文化,方便员工在完成工作的过程中自觉参考规范和指南。还可以以电子文本的方式进行传递,但要确认全体员工收到了信息。
另外,组织管理的实践证明,建立一个科学的组织结构对提高组织的绩效起着重大的作用。在IT环境下,企业的组织结构更应该做出适时、合理地调整。除了在企业内部设置首席信息官(CIO)、首席风险官(CRO)职位外,还应在监事会下设信息管理委员会和风险管理委员会。
3 完善控制风险机制
企业的风险管理应注意到各个层面权力配置是否合理、责任是否明确、运转是否协调等关键问题,做好关键控制点的设立和控制,与整个监控体系相协调一致。内部控制应主要侧重于监督、防范、制衡、激励等措施,一方面关注企业经营管理活动的决策和执行过程,以措施的实施效果为导向和标准对内部控制进行调整、评价和改进;另一方面坚持以人为本,使内部控制与企业人力资源管理充分结合起来,最大限度地避免制度、措施过于僵硬死板,缺乏人性化,以防止产生实施过程中的人为抵制、可操作性差等常见问题。
完善控制风险机制既是内部控制的重要内容,也是企业持久发展的可靠保证。企业应根据行业趋势、自身条件、政策法规等,制定相应的风险管理制度,将风险评估系统化,通过风险评估识别内部所有重要业务流程,持续完善重要业务流程风险数据库,建立起科学的风险评估制度体系。通过利用各种风险分析技术,找出业务风险点,并采取相应方法降低风险,主要包括全面预算控制、经营风险控制、会计控制、授权批准控制、文件记录控制、财产保全控制、业务人员素质控制等。
4 建立有效的信息沟通
IT环境提高了信息沟通的效率和效果,但同时存在着挑战,那就是如何确保正确的信息以正确的方式、按合适的详细程度、在正确的时候流向正确的人,来避免“信息超载”。许多企业建立了结构化信息管理方法,这种方法使管理人员能够识别信息的价值并按其重要性排序,开发有效的程序和适当的工具与方法,可靠地收集、存储和分配数据。在正确的地方及时拥有正确的信息对于实现企业风险管理至关重要。
一方面是“软件”建设,即在决策层与管理层、管理层与一般员工、部门与部门、集团公司与其他利益相关者之间形成的有效信息沟通渠道,使信息能够全面、准确、即时地被搜集、整理、判断并作为调整企业决策部署、改进内部控制的依据。另一方面是“硬件”建设,即全面推进企业信息化建设,在建设过程中重视内部控制,为其提供必要的信息采集、编辑、传输、分析等应用系统和操作终端,并保证投入,不断提高内部控制的信息化水平,促进内部控制工作的标准化、规范化、迅捷化,使其既能独立工作,又能与集团公司其他业务系统配合工作。
5 完善监控体系
从企业整个监控体系来说,要充分发挥财务、审计、纪检监察部门的作用,借助企业的行政权力或法律权力,对监控体系进行调整,从而形成对企业经营活动的全方位监控。IT环境为企业的监控带来便利的同时,也需要人为因素去完善。内部审计在此时就起着至关重要的作用,因此有必要对内部审计在职能范围和技术方法等方面做一番变革:在职能范围方面,内部审计由原来的“监督主导型”变革为“管理主导型”,此时其目标不再局限于差错和纠错,更为重要的是向企业管理当局提供及时、可靠的信息,为提高经营管理的效益而服务;在技术方法方面,内部审计与财务联系得更加紧密,其工作重点由原来的线索审核和查找转向系统分析和设计过程等。审计技术方法由原来的单一的事后财务收支审计发展为事前、事中和事后的管理效益审计,并注重事前调查和跟踪审计,不只是发现风险,还应找出风险存在的根源,为企业的经营管理保驾护航,使得企业能够顺利前行。
6 增强风险管理理念
在IT被广泛应用于企业管理的今天,承受极大不确定性的企业应将增强风险管理理念作为首要大事来抓。在IT环境下,企业的风险管理理念应该加强,因为企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会,增进创造价值的能力。IT环境自诞生之日起就存在着天然的风险,而且从某种程度上说,其风险远远超过传统的环境。因此,建议企业在其信息系统中增设风险管理信息子系统。企业的信息系统可以说是一个达到特定管理目标的工具,在里面除了增加必要的内部控制功能外,还应增加风险管理的功能,建立风险管理信息子系统,这样可以更好地保护企业免受意外损失和由此带来的不利影响,降低企业风险管理成本。风险管理信息子系统应按照企业各个部门面临的风险和企业目标进行设计,它能为企业和各个部门的风险管理决策提供帮助。通过互联网,可以把企业的内部计算机与金融市场、经济动态以及有关法规等外部的数据源连接起来,可以增强风险管理信息子系统作为决策支持的使用价值,这主要是因为做出的决策所依据的数据将更为可靠,以及计算机辅助决策类型将更为多样化。
关键词:IT;风险;完善;体系
中图分类号:F270.7 文献标识码:A 文章编号:1672-3198(2009)03-0259-02
所谓IT是“Information Technology”(信息技术)的缩写,指计算机、通讯及相关技术。IT技术给企业带来了深刻影响。首先,从外部环境上,信息技术的发展,成为全球化最强劲的驱动力量,它从根本上改变着商业运作的模式。供应链管理成为关键,地理位置在许多情况下变得无关紧要。利用外部关系网络,企业抛弃非核心活动来提高自己的竞争力,知识资本等无形资产成为企业核心竞争力的来源。新技术提高了中小企业进入全球市场的能力,所有的商业都将面临日益严峻的竞争。其次,从内部环境上,IT技术的发展和网络环境的变化,使企业的业务活动越来越依赖于电子信息,依赖于遍布企业各个不同职能部门或业务活动过程中的、复杂的IT系统。
1 改善IT环境
随着企业的不断发展和壮大,企业对IT的依赖程度越来越高,对IT环境的要求也越来越高。如对网络的要求,希望它更快速、更准确;对数据库的要求,希望它存储量更大,查找数据更方便、快捷;对信息系统的要求,希望它更加集成等等。这就要求企业不断改善所处的IT环境。
对于信息化企业来说,无法将企业信息系统的建设与企业建设分离,在企业的个性化成为基本生存战略,需要高度敏捷地作出改变的情形下,无法容忍满世界去寻找和购买那些套装。既然企业规划与企业信息技术系统规划是不可分割的,惟有让后者回归企业,回到企业决策与实施的现场去,按照企业的意愿规划和构造他们自己的企业信息系统。以信息技术手段实施内部控制,减少或消除人为操纵因素,增强控制程度,确保内部控制的有效实施。其宗旨是减少公司经营数据和信息的人工干预,保证公司运营信息的真实、帐务记录的准确、管理效率的提高。同时在覆盖公司经营过程的全面管理信息系统(ERP)的基础上,建立涵盖全面风险管理流程的风险预警分析系统。
2 优化内部环境
在IT环境下,在扁平化组织结构中,信息无处不在,企业内外部人员均能获得。此时管理当局应当转变观念,认识到他不再是组织等级的上层,而是活动行为的中心。再加上网络引发的新问题——信息道德危机,即企业内部员工道德素质的败坏将加大企业经营管理的风险。在这种情况下,“正确”的高层基调就显得更加重要。管理当局需要在这个动态的环境中,既能够调动集体智慧,发挥员工的主观能动性,在创新中求得更大的发展,又能在不断出现的冲突和磨合中,寻找内部凝聚力和向心力,有效地加强内部控制。
建议企业首先采用文字的形式将期望的内部环境描述出来,然后利用IT环境营造的氛围将其贯彻下去。例如在企业的局域网(或因特网)主页上建立一个关于企业价值观声明和行为规范的链接,以便及时贯彻企业文化,方便员工在完成工作的过程中自觉参考规范和指南。还可以以电子文本的方式进行传递,但要确认全体员工收到了信息。
另外,组织管理的实践证明,建立一个科学的组织结构对提高组织的绩效起着重大的作用。在IT环境下,企业的组织结构更应该做出适时、合理地调整。除了在企业内部设置首席信息官(CIO)、首席风险官(CRO)职位外,还应在监事会下设信息管理委员会和风险管理委员会。
3 完善控制风险机制
企业的风险管理应注意到各个层面权力配置是否合理、责任是否明确、运转是否协调等关键问题,做好关键控制点的设立和控制,与整个监控体系相协调一致。内部控制应主要侧重于监督、防范、制衡、激励等措施,一方面关注企业经营管理活动的决策和执行过程,以措施的实施效果为导向和标准对内部控制进行调整、评价和改进;另一方面坚持以人为本,使内部控制与企业人力资源管理充分结合起来,最大限度地避免制度、措施过于僵硬死板,缺乏人性化,以防止产生实施过程中的人为抵制、可操作性差等常见问题。
完善控制风险机制既是内部控制的重要内容,也是企业持久发展的可靠保证。企业应根据行业趋势、自身条件、政策法规等,制定相应的风险管理制度,将风险评估系统化,通过风险评估识别内部所有重要业务流程,持续完善重要业务流程风险数据库,建立起科学的风险评估制度体系。通过利用各种风险分析技术,找出业务风险点,并采取相应方法降低风险,主要包括全面预算控制、经营风险控制、会计控制、授权批准控制、文件记录控制、财产保全控制、业务人员素质控制等。
4 建立有效的信息沟通
IT环境提高了信息沟通的效率和效果,但同时存在着挑战,那就是如何确保正确的信息以正确的方式、按合适的详细程度、在正确的时候流向正确的人,来避免“信息超载”。许多企业建立了结构化信息管理方法,这种方法使管理人员能够识别信息的价值并按其重要性排序,开发有效的程序和适当的工具与方法,可靠地收集、存储和分配数据。在正确的地方及时拥有正确的信息对于实现企业风险管理至关重要。
一方面是“软件”建设,即在决策层与管理层、管理层与一般员工、部门与部门、集团公司与其他利益相关者之间形成的有效信息沟通渠道,使信息能够全面、准确、即时地被搜集、整理、判断并作为调整企业决策部署、改进内部控制的依据。另一方面是“硬件”建设,即全面推进企业信息化建设,在建设过程中重视内部控制,为其提供必要的信息采集、编辑、传输、分析等应用系统和操作终端,并保证投入,不断提高内部控制的信息化水平,促进内部控制工作的标准化、规范化、迅捷化,使其既能独立工作,又能与集团公司其他业务系统配合工作。
5 完善监控体系
从企业整个监控体系来说,要充分发挥财务、审计、纪检监察部门的作用,借助企业的行政权力或法律权力,对监控体系进行调整,从而形成对企业经营活动的全方位监控。IT环境为企业的监控带来便利的同时,也需要人为因素去完善。内部审计在此时就起着至关重要的作用,因此有必要对内部审计在职能范围和技术方法等方面做一番变革:在职能范围方面,内部审计由原来的“监督主导型”变革为“管理主导型”,此时其目标不再局限于差错和纠错,更为重要的是向企业管理当局提供及时、可靠的信息,为提高经营管理的效益而服务;在技术方法方面,内部审计与财务联系得更加紧密,其工作重点由原来的线索审核和查找转向系统分析和设计过程等。审计技术方法由原来的单一的事后财务收支审计发展为事前、事中和事后的管理效益审计,并注重事前调查和跟踪审计,不只是发现风险,还应找出风险存在的根源,为企业的经营管理保驾护航,使得企业能够顺利前行。
6 增强风险管理理念
在IT被广泛应用于企业管理的今天,承受极大不确定性的企业应将增强风险管理理念作为首要大事来抓。在IT环境下,企业的风险管理理念应该加强,因为企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会,增进创造价值的能力。IT环境自诞生之日起就存在着天然的风险,而且从某种程度上说,其风险远远超过传统的环境。因此,建议企业在其信息系统中增设风险管理信息子系统。企业的信息系统可以说是一个达到特定管理目标的工具,在里面除了增加必要的内部控制功能外,还应增加风险管理的功能,建立风险管理信息子系统,这样可以更好地保护企业免受意外损失和由此带来的不利影响,降低企业风险管理成本。风险管理信息子系统应按照企业各个部门面临的风险和企业目标进行设计,它能为企业和各个部门的风险管理决策提供帮助。通过互联网,可以把企业的内部计算机与金融市场、经济动态以及有关法规等外部的数据源连接起来,可以增强风险管理信息子系统作为决策支持的使用价值,这主要是因为做出的决策所依据的数据将更为可靠,以及计算机辅助决策类型将更为多样化。