“內部控制”欄目：

　　企業各個層次、每個員工都需要運用信息來確認、評估和應對風險，以便更好地履行職責并實現公司目標。信息流動貫穿于企業的整個風險管理過程。

　　經濟市場化程度的提高要求必須加強信息管理，包括信息的采集、存儲、處理加工和運用。信息在企業范圍內按照一定的規則和程序進行流動，有助于每一個員工及時地獲取信息，更好地完成其風險管理的職責。

　　信息

　　企業的各個層次都需要利用信息來確認、評估和應對風險。就風險管理而言，信息流動貫穿于企業風險管理全過程（詳見下圖1）。

圖1 企業風險管理中的信息流動

　　企業的大量信息涉及到各種目標。從內部或外部來源獲得的經營性信息，包括財務和非財務的，都與企業的經營目標相關。財務信息，一方面用于實現報告目標而編制財務報表，另一方面用于滿足經營決策的需要，如監控企業的經營業績、分配資源等。可靠的財務信息是企業進行計劃、定價、評估供應商績效、評估合資企業和戰略合作伙伴以及其他管理活動的基礎。

　　同樣，經營信息也是企業編報財務報告和其他報告的前提，包括日常信息，如采購、銷售和其他交易等，也包括競爭者的新品發布和經濟環境的變化信息。這些信息會影響到企業存貨、應收款項的估值。有些涉及遵循目標的信息，如廢棄物的排放、個人信息等，也可能服務于財務報告目標。

　　企業的信息來源有多種渠道，既有內部的、外部的，也有定量的和非定量的。將大量的數據轉化為決策有用的信息，對企業管理者而言，是一個重大挑戰。

　　為迎接這一挑戰，企業必須建立相應的信息系統。信息系統可以是正式的，也可以是非正式的。與客戶、供應商、監管者和企業員工的交談經�？梢蕴峁┐_認風險與機遇的關鍵信息。

　　戰略與集成系統

　　為使信息（包括與企業風險管理相關的信息）在組織內順暢地流動，技術發揮著重要的作用。為支持企業風險管理而進行的特定技術選擇，是企業以下幾個方面的綜合反映：

　　企業對待風險的方式以及風險的復雜程度；

　　影響企業經營的各種事件的類別特點；

　　企業的信息技術架構；

　　各種支持技術的集中程度等。

　　在某些企業中，信息由單獨的機構或組織進行管理，另外一些企業則采用集成系統。

　　與業務集成

　　不少企業都有比較復雜的信息技術架構支持企業經營目標、報告目標和遵循目標的實現。大多數情況下，在正常的經營過程中，由這些系統產生的信息與企業風險管理流程是一致的。

　　信息的深度與及時性

　　信息采集、處理和存儲技術的發展導致信息總量呈指數級增長。隨著人們可以獲得越來越多的（經常是實時性的）信息，如何確保信息的準確，以合適形式、詳略得當地及時發送至需要此類信息的員工，即如何避免“信息超載”是企業管理層面臨的另一個重大挑戰。

　　企業在決定信息需求時應考慮以下幾個問題：

　　什么是企業經營業務的主要業績指標？

　　自上而下審視企業潛在風險的主要指標是什么？

　　衡量企業的經營業績需要哪些信息？

　　信息的精確度應該有多高？

　　采集信息的間隔期為多長？

　　衡量信息采集的標準是什么？

　　從何處、采用何種方式取得信息？

　　采用什么樣的信息存儲結構？

　　數據備份機制應如何？

　　信息質量

　　隨著人們對日益復雜的信息系統以及信息驅動的自動決策系統和流程式的依賴程度增加，信息的可靠性至關重要。不準確的信息會導致風險不被確認或錯誤的評估，以及低劣的管理決策。

　　信息質量包括以下幾個方面：

　　信息內容是否恰當？

　　信息是否及時？

　　是否最新獲得的信息？

　　信息是否準確？

　　信息需要者是否可以很方便地得到？

　　為提高數據質量，某一組織必須建立企業級的數據管理項目，包括相關信息的獲取、維護和分發。如果沒有這些項目，信息系統將不能為管理者或其他員工提供所需信息。

　　提高信息質量的困難很多，包括職能部門的需求矛盾、系統限制，以及非集成的處理會阻礙信息的獲取與有效使用。要迎接這些挑戰，管理層必須在數據的整合方面制定清晰的戰略計劃，明確職責并定期對信息質量進行評估。

　　溝通

　　溝通是信息系統的一部分，包括內部溝通與外部溝通。

　　內部溝通

　　內部溝通包括企業風險管理哲學和方式的明確陳述、明確的授權等，與活動流程和程序相關的溝通應與企業所希望建立的文化相協調，并支持這種文化的建立。

　　有效的溝通應包括：

　　有效的企業風險管理的重要性和相關性；

　　企業的目標；

　　企業的風險偏好與風險承受度；

　　共同的風險語言；

　　每個員工在企業風險管理中的角色和職責。

　　所有員工，特別是負責經營或財務管理職責的管理人員，都必須得到公司最高管理層的明確指令：嚴肅認真地對待企業的風險管理。

　　例如，以下為某公司CEO給全體員工的一封信，信中強調了企業風險管理的重要性。

　　我們的整體目標是實現股東價值的最大化。

　　為實現這一目標，我們必須以優良的風險管理能力來應對經營中面臨的各種各樣的風險。處理風險的結構性和原則性方式能夠確保我們所做的戰略性努力不被可以避免的一些損失所侵蝕，不被永久性的變化或不確定性所阻礙。并且，我們必須加強在競爭日益激烈環境下應對已經出現的風險和機遇的能力。

　　所有員工都必須在我們的企業風險管理中勤勉盡責。這些有助于我們理解面臨著的風險和機遇，評估風險并采用行動有效地應對風險，以保持或增大企業的價值。

　　我們已有一套框架性文本來引導大家共同管理風險、不確定性、機遇，支持企業目標的實現，最大化股東價值。

　　我們希望全體員工在日常工作中積極運用該框架，以利于企業目標的實現。

　　《企業風險管理——整體框架》（應用技術），第80頁

　　員工還必須知道各種活動之間的聯系，這種溝通與知識有助于其確認工作中的問題所在，查找原因并決定改進措施。員工還應該被明確告知，哪些行為企業是不能接受的。

　　外部溝通

　　企業不僅要有適當的內部溝通，還需要建立一個開放的外部溝通平臺。企業與客戶或供應商的溝通，有助于了解公司產品或服務的設計與質量，促使公司滿足不斷變動的需求或偏好。比如，客戶或供應商抱怨和詢問有關交貨、收款、支付或其他交易活動時經常會切中經營中的問題，甚至涉及到欺詐或其他不道德的行為。管理者應該立即意識到問題所在，進行調查并采取有效的糾正措施，消除或減少其對財務目標、遵循目標以及經營目標的實現所產生的不良影響。

　　對那些與供應鏈上的其他企業關系密切者和電子商務公司來說，企業風險偏好或風險承受度的外部溝通也是非常重要的，通過與商務合作伙伴的溝通，可以確保企業不承受合作伙伴帶來的過多風險。

　　與股東、監管者、財務分析師和其他外部利益相關者的溝通，有助于他們了解企業面臨的環境和風險，更好地遵循相關的法律和監管要求。