1、基于内部审计和信息化的风险管理研究 中图分类号:F230文献标识:A文章编号:1009-4202(2013)07-000-02 摘要良好的风险管理,要求管理者能够有效地识别、报告风险暴露情况,使企业的最高管理层能够及时有效地了解所面临的各类风险,从而迅速做出应对措施。本文重点分析了风险管理方面存在的问题和改进的建议,提出建设通过加强内部审计和信息化建设促进风险管理水平的提高。 关键词企业风险管理信息系统 一、风险管理信息系统概述 (一)风险管理信息系统的概念 风险管理信息系统的概念30年前在国外出现,是一个企业开展全面风险管理工作的动态操作平台和集成的信息系统。它适用于大中型企业在战略层面和业
2、务层面的全面风险管理并支持企业全面风险管理体系各组成部分的运行,其功能涵盖了风险管理全部流程,从初始风险信息的采集、加工和更新维护,风险识别、风险分析和风险评价,到风险管理策略和解决方案,风险监控、信息反馈和改进。 (二)国内企业风险管理信息系统现状 目前国内企业风险管理信息系统的现状是全面风险管理信息系统并没有建立;仅高风险行业的风险管理信息体系建设相对比较健全,但并不完善;风险管理信息系统功能未全面兼容;在定性风险方面未用信息技术进行风险管理,仅对部分定量风险进行分析和管控;企业未建立全面风险管理信息系统。 二、存在的问题与解决方案 (一)风险管理方面存在的问题 1.风险管理理念尚未全面确
3、立 企业风险意识淡薄,管理者存在着重业务、轻风险管理的思想。当企业业务发展与风险管理有关要求相悖时,往往以各种借口或理由进行变通或回避,致使企业内控机制有效性无法发挥。 2.风险管理制度有效性不足 企业风险管理体系存在“形似神不似”的问题,企业虽然学习、引进了部分先进风险管理制度、方法,但却缺乏发挥这些风险管理制度有效作用的配套机制,在具体操作中往往不能达到预期效果。 3.员工风险意识淡薄 企业大多数员工对于风险管理工作仍然停留在“要我做”的阶段,并未真正理解风险管理对于降低企业经营风险、实现企业整体价值的重大意义;认为风险管理仅是企业管理层、财务部门、内部审计部门和风险管理部门的职责,跟普通
4、员工关系不大。 (二)信息系统方面存在的问题 1.信息化水平不高 企业信息化水平不高,导致信息在传递过程中发生了缺漏或歪曲,导致最终到达的信息不完整、不准确。多数企业风险反馈机制都或多或少地存在信息滞后的现象,公司高层难以及时了解企业即时的风险信息情况,从而大大影响了决策的效率、效果和质量。 2.系统自身的设计与控制问题 目前,国内企业已经逐步进入信息化阶段,企业信息系统也正在普及,部分企业还专门购买或设计了用于风险管理的信息系统。但这些软件系统的设计和控制本身仍然存在一定的问题和不足。 3.数据处理系统不能有效地与经营活动相结合 从经营活动中获取相关数据并对风险事项进行有效地识别、分析,是风
5、险管理信息系统的关键。然而,我国企业信息化整体水平仍然较低,目前还无法较好地做到风险数据的实时采集、加工、整理和报告。 三、解决方案 (一)加强内部审计与信息沟通 1.加强内部信息沟通 企业应当通过制定全面风险管理手册,明确企业风险管理的战略和策略以及具体的风险评估方法、风险防范措施、风险控制方法和各部门、各级员工在风险管理工作中的责任。企业还应加强风险管理知识和技能的培训和教育,使每个员工都能理解企业风险管理的基本原则和各自职责,尤其应当树立企业整体风险防范意识。 2.加强对风险管理信息系统的内部审计 企业内部审计部门应当加强对企业风险管理、内部控制系统及相关信息系统的审计,及时发现风险管理
6、信息系统存在的问题和不足,保障风险管理信息系统的有效运行,防止个别管理人员或有关部门隐瞒重要或关键风险信息的行为。作为内部审计部门的日常工作之一,内部审计工作人员应保证风险报告是充分、完整和及时有效的,也就是要及时报告对组织的关键风险领域有重要影响的风险。内部审计工作人员还要确定企业管理层对风险管理内部审计报告采取了恰当的行动,相关部门进行了认真的整改,从而使风险得到有效的管理。 3.规范风险信息披露,提高信息透明度 会计系统是为风险管理信息系统提供数据的重要来源。因此,加强风险管理信息系统建设的一个关键问题就是完善会计信息系统,提高会计信息的透明度。一方面,应当对企业现有的财务会计制度进行完
7、善,使之在关注过去有关信息的同时也对未来信息进行关注;另一方面,在财务报表附注中加强对企业面临的风险信息的披露,包括企业的风险管理战略、风险管理的目标及风险管理策略、企业管理层对风险的识别和分析、拟采取的风险应对措施等,以提供更充分的风险信息。 4.加强信息系统自身的建设与控制 风险管理信息系统的软件开发商在开发企业管理软件时,应当注重数据采集、风险识别、风险分析与评价乃至模拟、辅助决策等风险管理相关模块的设计。而企业则应当重点关注风险管理系统软件系统对自身的适应性,是否符合企业实际,是否企业自身经营特点,并根据企业实际要求软件开发商进行符合企业实际的个性化设计或对通用软件进行必要的二次开发。
8、 (二)建立适应风险管理信息系统的内控制度 建立适应风险管理信息系统的内控制度首先要梳理现有的管理和业务流程,必要时,建立相关的流程。要建立符合实际需要的风险管理信息系统,就要不断完善法人治理结构,为全面风险管理信息系统的建设提供一个良好的内部控制环境;不断加强和完善会计核算体系,建立一个运营更加有效的会计信息系统和会计核算管理系统;财务部门内部应加强稽核工作,同时与其他部门密切配合开展风险防范和管理工作;加强内部控制的信息化建设。 (三)加强信息化建设,提高风险管理水平 1.建立风险管理委员会,形成风险管理良性机制 要增强风险管理的独立性和有效性,就要完善公司风险管理结构,在董事会中下设风险
9、管理委员会,根据企业确定的任务或预期,制定战略目标,选择战略并确定与之相关的其他目标并在企业内部各部门层层落实。 2.设立专职部门负责风险评估 提高稽核或内审部门在企业的地位,赋予这些部门专职进行风险评估的职能,同时加大对风险管理监督控制的力度。在全面风险管理框架中,内部控制系统是风险管理的重要环节,良好的内部控制依赖于有效地、规范地对公司所处风险的性质与范围的评价。 3.营造科学认识风险的内部环境 企业的风险管理牵扯到企业各个层面的员工,每个层面的员工都要通过企业内部的信息沟通渠道。良好的全员风险防范意识将更有利于企业开展各项风险管控工作。在企业全体员工中开展防范和化解风险的意识和能力培训将
10、有助于营造企业良好的风险内部环境。 四、总结 企业风险的复杂性、多样性决定了仅靠纸面文件形式进行风险的管理是不够的。从风险影响因素的搜集到识别,再到风险的评估及程度计量,直到风险控制方法的决策,都需要运用信息技术来处理。在完善企业内控建设的基础上,加强内部审计和信息化建设,是企业提高风险管理水平的一个重要手段和渠道。有了健全的信息系统,就能够按照严格的程序对风险进行科学分析和管控控制,从而降低运营成本,增强市场应变能力,加强企业管理、堵塞管理漏洞,有效保障了企业健康发展。 参考文献: 1国务院国资委.中央企业全面风险管理指引.2006.06.20.2刘庆锋,陈思,宋晓梅.上市公司全面风险管理信息系统研究.美中经济评论.2007.7(2):53-57. 3张恩照.建立全面风险管理模式.银行家.2004(2). 4赵会芹.风险管理信息系统的应用.中国电力企业管理.2010(9):72-73. 5刘宇.上市公司风险管理探析.中国注册会计师.2007(5):55-57. 6刘笑霞,李明辉.论企业风险管理信息系统.经济问题探索.2008(12):136-141. 7沈勤.基于风险管理的企业信息系统设计.自动化博览.2008(11-12月):56-59. 8孙艳兵.全力构建全面风险管理的内控体系.财经界:65-67.第 7 页 共 7 页
