【IT268 信息化】

    在当今经济形势不可预见和风险陡然升级的大环境下，企业的生存和发展面临着前所未有的挑战。可以预见的是，“危机”和“风险”将仍是2009年的热门词语，有专家预计，2009年将是动荡的一年，变革所带来的风险将伴随着企业。

    在面临这种突如其来的机遇时候，如何应对这种机遇所带来的风险?我们知道机遇与挑战都是同时存在的，而我们要抓住突如其来的机遇，就能够很好应对机遇所带来的风险。

    在经济危机中启动中国企业的转型升级，最稳妥的步骤是优先建立并健全企业的风险内控体系，同时完善外部的监控环境.

    风险管控指的是通过风险管理体系来实现企业管控的要求。没有任何企业愿意遭遇风险，在经管领域，风险不仅种类繁多和无所不在，而且几乎象病毒一样无法回避和防不胜防。而企业集团由于组织规模庞大、管理层次众多和经营方向多元，势必使得对风险的嗅觉敏感度降低，造成风险对应能力下降。严峻的形势更加要求企业集团必须重视风险管控，从而能够识别潜在的风险，并且针对潜在的风险研究对策。

    为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，财政部会同证监会、审计署、银监会、保监会等五部委在2008年5月11日制定了《企业内部控制基本规范》，（以下简称规范）《规范》自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。

    财政部会计司综合处处长胡兴国指出，建立和实施企业内部控制标准体系是促进我国企业加强内部管理，防范重大风险，实行可持续发展的必然要求，也是适应我国企业实行“走出去”战略的必然选择。面对国内外风险多变的市场环境和激烈的竞争，企业必须要苦练内功、强化内控、防范风险，才能保证自己立于不败之地。

    目前企业风险管控的现状分析：

    风险管控已经开始在国有大型的企业及上市公司所执行，但现阶段企业在内控方面只是属于刚刚起步的阶段，还没有一套成型的体系及方案来满足企业完全符合内控的要求。企业在内控方面更多的是做得到日常行为管理、及数据访问控制等一些常规的控制手段，还没有完全形成一套体系，内控体系的建立需要一个长期的过程。

    目前风险管控所存在的问题：

    第一、风险管理与内控是企业发展的大势所趋，但内部控制标准属于企业经营自主权范畴，政府的检查无法全面充分地了解企业内控成效；

    第二、企业在具体执行上，遇到很多问题。比如，内控制度在员工内部普及程度不高；企业内控制度与日常业务相互分离；合规成本太高；企业重大风险事项的事先预警准备不足；集团对下属单位重要内控事项很难实时监控；不能做到长期有效地跟踪和改进集团内控制度。

    第三，缺乏专业的人才，无论是上市公司还是第三方机构真正懂得内部工作专业人士知识都非常缺乏，即使在金融行业也是如此。

    第四，风险管控的最终落脚点是信息系统，选择什么样的信息系统才能符合内控的要求？目前讲，还没有一套成熟、完全符合内控要求的信息系统服务商，只能说满足个别模块的风险管控。

    如何解决这些问题已经不仅是企业CIO所考虑的事情，更多的还需要企业的CEO、CFO都得参与制度，IT部门已经无法满足企业的内控需求，还需要企业审计部、财务部等各部间之间相互配合。  但如何来配合同样也是困扰CIO的一个大问题。有意思的是,在企业内控规章制度建立的同时,IT部门是划为管理部门，还是划为服务职能部门已经在内控体系建立上成为一个疑问？

    风险管控是企业现代化管理的必然产物，未来企业内控必将成熟，正如信息化的发展， 初期必然要有一个萌芽、发展、成熟的阶段，中国企业风险管控也是一样，需要一个过程和时间，来让企业去快速的适应。在现代信息时代，这个过程也许有三到四年时间就可以实现。企业内控要必须做，但怎么来做、如何做、做得效果怎么样？将会成为下一步IT部门及企业CIO所要考虑的。