信息化环境下供电企业风险管理探析

王旭嶷

【摘要】本文通过对供电企业在信息化环境下的风险管理工作的梳理，在分析和研究论证的基础上提出了有针对性的建议，对提高电力企业的风险管理水平大有裨益。

【关键词】信息化环境；供电企业：风险管理

信息技术的发展对供电企业的管理产生了极大影响。供电企业在客户的电费核对及收取、生产经营的调度指挥等等方面进行了信息化管理，在极大减轻了员工工作量的同时也对供电企业的风险管理提出了新的挑战。

一、信息系统对供电企业风险管理的影响分析

1.对供电企业风险管理内部环境的影响

信息化环境下供电企业在进行风险管理时，必须重点关注以下对内部环境的影响，以便在顶层设计时，充分考虑企业组织设计是否和相应的风险管理措施匹配。 一是企业组织设计、形式、信息沟通方式必须适应企业扁平化管理的要求。

二是进行业务流程改造和重组，以便适应企业信息化的需要。

三是建立信息技术和企业风险管理密不可分的企业文化，重视信息技术部门和外部顾问的作用。

2.信息化环境下对供电企业风险管理目标提出了更高的要求

供电企业的生存和发展需要大量的信息，尤其当供电企业信息化之后，供电企业更应当利用大量的信息数据来监控企业的运营，此环境下，对供电企业的风险管理目标提出了更高的要求。

3.对风险识别的影响

供电企业运用信息技术，除了可以将以前于工操作的任务进行自动处理之外，还提高了供电企业接触新客户的能力，如电子商务的推出，使供电企业的材料或者设备的采购可以在网上进行，扩大了供电企业的选择面，但是由于网络的虚拟化，也同样给企业在风险识别方面带来了新的挑战。

4.对风险反应的影响

供电企业在信息化环境下对风险的反应在种类方面和于工环境大致相同，即同样分为风险规避、风险降低、风险共担和风险承受四种。但是在信息化环境下，供电企业更应该重视从企业总体角度或者风险组合的角度对风险进行反应，这就要求供电企业的各级行政或者业务部门在系统论理论的指导下，对企业面临的风险进行复合式评估，以便选择出最佳的风险应对方案。

5.对风险控制的影响

供电企业在信息化环境下的自动化业务控制，对企业风险管理中的控制活动提出了不同工于工环境下的新要求。

一是由于大部分交易可以由程序自动进行，如采购自动化控制系统，可以根据企业的存货余额以及历史购买价格等进行大数据分析，这样就能自动分析出供电企业应当在何时、向何人、以何种价格、购买何种存货，这必然改变于工环境下的采购授权控制。 二是在信息化环境下，供电企业应当利用计算机处理业务，可以取消原来手环境下的简单劳动岗位，利用一些管理程序进行自动控制，这必然对供电企业于工环境下的责任分离风险控制制度带来的新的挑战。

三是对业务执行者的监督和管理，要充分考虑信息化环境下对职责分离带来的影响，如要对由于使用信息技术致使某些岗位的破坏能力加大的风险这种特殊情况，对信息系统的活动进行必要的监管并增加相应的信息监管岗位。

6.对监控的影响

对供电企业风险管理的监控分为持续监控和个别监控。信息技术在提高监控工作效率的同时，致使监控人员也越来越依赖信息系统，因此供电企业应当通过加强网络的适时监控来应对。

二、信息化环境下的风险管理应对措施

信息技术的发展使供电企业的运营环境发生了根本性的变化，相应对企业的风险管理提出了更高的要求，供电企业在风险的一般控制和应用控制等方面都应当加强管理，并根据信息化的特点制定相应的应对措施。

1.一般控制方面的应对措施

（1）组织控制。一是职责分离，批准于工处理业务和保管企业财物的岗位必须和信息处理岗位分离，相互监督；二是适当授权，所有经过信息系统处理的业务必须经过授权和批准，未经过审核的数据不能进行处理，输入的原始凭证必须经过审核人的签字或盖章批准；三是信息处理部门内部分工必须明确，如系统的开发人员不能兼任操作人员，系统的维护人员和开发人员必须分离，系统的操作人员无权修改系统，系统资料的保管和操作要分离等。

（2）操作控制。供电企业在信息化环境下，必须制定包括操作规则、日记、保密等制度，并随着系统的更新而不断修改完善。

（3）文档控制。供电企业在信息化环境下，相关的管理人员必须加强对原始文件的控制和保护。

（4）系统开发与维护控制。为了合理保证系统的成功开发，应加强系统选型的管理，对系统开发外包工作进行适当的控制，如采取公开招标进行外包。

（5）接触控制。严禁未经授权的人员接触系统，如采用密码上机的管理制度并严格监督执行结果。

（6）档案资料保管控制。对电子文档或者系统输出的纸质文档资料，应由专人保管并按时送交档案管理部门。

2.应用控制方面的应对措施

应用控制与一般控制不同，主要起到预防和纠正作用，因此应用控制侧重工信息的输入、处理和输出控制，此三个方面的控制措施简要介绍如下：

（1）输入控制。一是定义可接受数据的范围；二是保证数据在网络处理系统中的安全；三是数据输入的授权要分明。

（2）处理控制。一是进行于工检查，主要是对终端操作原始资料的复核；二是进行程序控制，合理制定数据的上限和下限，对超过上限或者小于下限的数据不予接受；三是数据转换，为了合理保证数据在处理过程中不被截留或者修改，应使用加密技术；四是顺序处理，利用编码技术，将数据进行编号来保证数据的完整性；五是数据跟踪，为了保证数据处理的正确性，可以通过分析处理过程中的中间结果，预测是否达到预期要求。

（3）输出控制。一是对输出结果接触的授权，保证未得到授权的人不能得到输出结果；二是及时将输出结果送达给相关决策者。

参考文献：

[1]黄作明信息系统审计大连：东北财经大学出版社，2012

[2]企业内部控制委员会企业内部控制基本规范及配套指引案例讲解》，上海：立信会计出版社，2015endprint