风险管理

内控和风险管理是企业发展战略、战略执行的一个核心组成部分。很多大的企业由于内控和风险管理缺陷，出现了很多问题。

企业内部控制是由五个要素组成的，即控制环境、风险评估、控制活动、信息与沟通和监控。五要素中，各个要素有其不同的功能，内部控制并非五个要素的简单相加，而是由这些相互联系、相互制约、相辅相成的集合，按照一定的结构组成的完整的、能对变化的环境做出反应的系统。

金达仁说，大型制造企业集团管控应从制度层面、战略层面和运营层面去进行研究和实践。制度层面管控包括：企业集团公司法人治理结构、股东大会、董事会和监事会的构建与运作。战略层面管控包括：战略、文化、人力资源、品牌、风险、信用、资本、财务和绩效方面的管理和决策。运营层面管控包括：营销、客户资源、国际贸易、战略伙伴、研发、供应链、制造、物流、质量、服务、财务、审计和绩效方面的管理和决策。

笔者以为，对于上市公司和想上市的公司来说，需要注意一个问题：软件正版化。

在过去十年中，随着全球化的业务大集中、数据大集中趋势，信息化越来越渗透到企业运营的每一个环节和流程，成为公司内每项业务流程的支柱。与此同时，各家公司也日益依赖于信息系统的不间断运行，因此企业面临的信息化风险也越来越高。尤其是2009年以来，来势汹涌的金融危机浪潮使全球经济环境发生了剧烈变化，在经济动荡时期，很多企业经营状况举步维艰，更加无法承受信息化风险所带来的问题。因此，如何进行有效的信息化风险管理，是所有企业都必须直接面对的问题。

会计信息化给企业财务处理带来了极大的便利，它使企业实现远程账务处理、事中动态会计核算及在线财务管理，并支持电子单据与电子货币、改变财务信息的获取与利用方式，同时也增加了安全风险。据统计，全球由于网络安全造成的经济损失十分巨大，我国计算机病毒感染数量与网络安全事件报告也呈日益增加趋势。

信息系统审计（又称IT审计）正是帮助企业及CIO为了解决上述问题，提高信息系统的安全性、可靠性和开发、运营效率，使企业信息化得到健康、全面的发展而引入的预防机制。

随着市场经济的迅速推进，信息系统成为不少被企业内部管理与控制的关键工具。而同时，现阶段 的《企业内部控制基本规范》以下简称内控已经开始正式实施，它将给CIO建设基于内控环境的信息系统带来新的机遇和挑战。

对于内控，从CIO的角度来看，有一部分CIO表示出内控是企业是合规部或者是审计部的事情和IT本身没有太大的关系，IT只是给审计部提供一定的IT工具，认为IT和内控的联系不是很大，而且CIO认为内控会增加企业的成本。

信息化环境是动态发展的，企业应在严密、恰当、有效、人机结合基本原则的指导下，围绕企业内部控制目标，结合信息化条件下内部控制的特点，构建一套适应信息化环境下的内部控制制度，以保证企业信息化的健康有序发展。

随着《企业内部控制基本规范》的颁布以及企业内控力度的不断加大，无疑将为国内集团企业尤其是上市公司的 IT 系统构建带来新的要求。企业做内控需要涉及到很多的因素，安全、管理、风险等等涉及到企业的方方面，同时企业实施内控有很多的因素影响。我们知道我们企业经营过程当中，业务管理过程中更多风险点需要控制。但综合所有企业实施内控的另一个重要原因确被众多的企业所忽略——人的因素。

2008年的北京奥运会，,刘翔的意外事件给国内外朋友留下了一个遗憾，这个影响几乎可以和刘翔拿到金牌一样,或者说更胜。自从走出雅典奥运赛场，对于刘翔来说，2008年的北京无疑是工期为四年之久的一个大项目。现在看来，有多少项目的工期是四年？而具备四年工期的一个项目，它的投资和成本又将是个什么概念。

银行与金融市场的快速整合以及资本更强的流动性，使风险管理和谨慎的银行监管得到了更多的重视。银行最高管理层对风险管理日益关注，认为值得在该领域投入更多精力。风险管理实践和技术的快速进步意味着银行需要客观评估市场上各种风险管理解决方案，在维护市场规则的同时营建更透明的文化，由此保持竞争力并且减少受到各种风险冲击的可能性。对风险管理和披露更加关注体现在巴塞尔新协议的最新要求上，该协议旨在促进银行提高资本市值，加强风险管理，并最终实现金融体系的稳定。

证券公司需要建设整套的基于风险管理的业务管理体系和技术工具，帮助其管理好优质客户、提升获利能力，而客户关系管理（CRM）系统的应用，无疑将是重要而有效的举措之一。

无论经济形势好与坏，内控都是必需的。必须转变观念，建立符合中国管理现状、基于各种业务与企业自身运行特点的IT内控与风险管理体系。

“软件开发的项目管理是很重要，但规避项目的投标风险就更重要。”这一个月的折磨使我深刻的认识到这句话的真正含义。本文与大家分享我们在这次软件项目投标的风险管理总结和经验教训。

信息化的风险，在需求分析阶段，表现为没有充分的开发并明确需求；在建设过程中表现为贪大求全，强行推广；系统建设完成后，风险主要表现在系统应用无人管理。

在这种信息时代的大环境下，治理是组织管理机制和运行机制的发挥过程，在信息时代IT在企业中已从企业管理的辅助手段、解决管理问题的工具上升到影响企业全局的角色，因此IT治理应该成为一个公司治理的工具。

众所周知，软件开发过程可分为：需求分析、设计、编码、测试、安装及维护等几个过程（在RUP方法中：业务建模、需求、分析设计、实施、测试、部署），实际上一个完整的软件项目前后还有其它过程，在这里列出的只是和软件开发相关的核心过程。

在具体识别风险时，可以利用一些具体的工具和技术包括德尔菲法、头脑风暴法和核对表法等，在本文中，我们介绍德尔菲法，下篇文章介绍后面两个方法。