【IT168 信息化】从美国安然、世通事件、9.11事件，到2008年发生的南方冻雨、汶川地震、次债危机，众多的风险和危机在警示我们：“风险如影随形，无处不在”。如何通过内部控制与合规管理防范、降低风险，是企业领导迫切需要解决的管理难题。

    古希腊政治家伯利克利在提出“风险”概念时，并不是为了能够预见未来的风险，而是为了为不可预知的风险做好准备，这与中国的谚语“居安思危，思则有备，有备无患”有异曲同工之妙。

    但是，目前国内大部分企业乃至很多全球性企业都在风险防范意识方面重视程度不足，在风险管控措施方面执行不到位，这使得众多企业在面对重大突发灾难时，很容易陷入生存危机，比如，“9.11”事件迫使超过半数的受影响企业倒闭；汶川地震致使大批中小企业遭受比较独特的打击。

    即使不受突发灾难影响，由于盲目扩张、多元化经营、造假和管理失控等风险造成的“突然死亡事件”也不胜枚举，比如，美国安然公司、世通公司由于爆发财务丑闻，难逃破产命运；三鹿集团由于造假、应急不当最终破产；波及全球的次债危机更是引发多家金融机构破产，并波及全球其它经济实体。

    从德隆系、三鹿到香港合俊的陨落，从美国安然、世通到雷曼兄弟的破产，每场危机的背后都隐藏着风险管理的缺口。居安思危，防微杜渐，全球化经济形势下，中国企业应尽快加强内部控制，构建合规管理体系，提升风险管控能力。

加强内控，箭已在弦

    内部控制有助于企业实现业绩和利润目标，提高工作效率，防止资源损失，提高财务报告的可靠性，督促企业遵守相关法律、法规，避免企业名誉受到损害以及受到其它不良影响。

    为了防范和及早发现各种风险，避免或减少可能遭受的损失，在保证企业稳定、健康、快速发展的同时，企业的经营、管理者应该认真制定和切实执行内控管理：首先，企业应建立高效的风险管理机制，以风险管理为核心，严格控制经营风险，保证业务收益的稳定；其次，企业应运用新技术、新方法对风险进行科学预测，对可能面临的各种风险进行控制和管理；第三，完善风险监控机制，建立科学的风险监测反馈系统；第四，完善企业内部控制管理制度，用制度管人、管机构、管业务、管经营，并接受监管部门的指导和检查。

    2008年6月，我国财政部、证监会、银监会、保监会及审计署等五部委联合发布了“中国版萨班斯法案”——《企业内部控制基本规范》，并将于2009年7月起首先在上市企业中实施。其中，该规范第37条规定：“企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。”

    在“美国版萨班斯法案”中，也有类似条款，比如第404条款规定：企业必须了解那些可能影响财务报告流程的风险，并要求他们实施恰当的控制以阻止财务违法行为；此外，404条款还要求，企业需建立一个基础设施，以确保所有的记录和数据不会被毁灭、丢失、未经授权的变更和错误的使用——这是业务连续性管理能够成为满足萨班斯法案合规性手段的重要原因之一。

    从概念描述和服务内容上看，中国的应急预案机制与国际上所倡导的业务连续性管理体系有很多共融、共通之处。相对而言，包括三鹿集团、香港合俊等，中国很多企业都缺乏完善的应急机制、业务连续性管理体系和风险防范意识，这正是压倒他们的最后稻草。