企業風險管理如何下手

　從國內信息化現狀來看，由于經濟的持續增長，多年來各行各業的信息化一直呈現出一派欣欣向榮的景象，國內信息化工作已取得了巨大的進展，“以信息化帶動工業化”的基本國策已經深入人心，但是我們也逐漸發現，國內信息化高速發展背景下，各行業的信息化工作并不一帆風順，存在著各種各樣的問題，例如：

　　信息化建設各自為政，形成了各種各樣的信息孤島;重硬件購買，輕軟件和咨詢服務，信息高速路上無車可跑;IT 應用與業務需求之間邏輯錯位，IT設施最后成了擺設;重視安全技術，輕視安全管理，IT安全可靠性沒有保證;IT建設缺乏績效評估機制，長期的高投入與低產出使IT成了“投資黑洞”;國內企業ERP建設過程中，充滿了“企業家的眼淚”;CIO及信息技術人員變成“救火隊員”，其作用逐漸邊緣化…

　　能真正成功信息化項目可謂鳳毛麟角，從相關統計來看，企業信息化項目失敗率高70%以上，這引起了產業部門和用戶部門的憂慮，也受到一些IT業有識之土的關注，我們逐漸認識到信息化給組織帶來競爭優勢的同時，也同時給組織帶來了巨大的風險。
　　應當如何有效地控制IT風險?如何使IT戰略與企業戰略相融合?如何讓IT為組織持續地創造價值?如何實現“有效益的信息化”?如何建立信息化的 “科學發展觀”?這些重大問題己迫切地擺在了我們面前。

　　企業風險管理對IT的要求

　　從企業管理層面來看，企業風險管理已成為大型公司保護企業核心競爭力的有效手段。不管是什么規模的組織，都需要有一套控制指南來有效地管理企業內外各種各樣的風險，并隨著業務環境的變化和新技術的發展及時更新，才能保證企業健康、持續地發展，有效的風險管理己成為企業發展的主旋律。

　　2002年美國國會發布了《薩班斯—奧克斯利法案》，在這個法案中明確提出了所有上市公司都必須加強風險管理，建立有效的內部控制框架，以確保上市公司遵守證券法律以提高公司披露的準確性和可靠性，從而保護投資者及其他目的。此法案是有史以來對上市公司影響最大的一部法律，為了符合法案的要求，在美國上市的公眾公司需要投入大量的人力、物力和財力來建立內部控制，中國在美國上市的中石化、中國人壽、新浪、亞信等企業也為此付出了巨大的努力。據美國Financial Executive International組織對321個公司的調查顯示，在一個規模比較大、年營業收入超過50億美元的公司，建立此體系至少需要470萬美元，維系其運轉需要每年150萬美元。

　　在建立符合《薩班斯—奧克斯利法案》要求的企業風險管理與內部控制的工作中， IT的份量占到了40%以上，這是因為一方面IT要作為管理組織業務風險的工具與手段，例如，對財務應用系統的機密性、完整性控制，以及對業務交易信息的監督與數據采集都離不開IT系統;另一方面IT本身的風險，例如網絡風險、系統風險、應用風險，也是SOX關注的重要內容，因此《薩班斯—奧克斯利法案》把IT推到了企業風險管理的風尖浪口。

　　近年來，國內行業主管部門一直在要求企業加強風險管理。2004年9月30日中國銀監會發布了《商業銀行內部控制評價試行辦法》，旨在為規范和加強對商業銀行內部控制評價，督促商業銀行建立內部控制體系，健全內部控制機制，保證商業銀行穩健運行，其中包括了對建立銀行計算機系統內部控制的要求。2006年3月1日銀監會發布《電子銀行業務管理辦法》和《電子銀行安全評估指引》，直接對技術風險較大的電子銀行提出了進行獨立的或相對獨立的信息系統審計的要求。

　　目前IT治理已經在中國企業有了越來越多的實踐探索。IT治理體現在IT治理機制、IT治理流程和IT領導力等方面，歸根到底是責任擔當機制，目的是實現IT與業務的融合，完善公司治理和實踐科學的信息化發展觀。中國IT管理咨詢的一個現實是，頭疼醫頭，腳疼醫腳，瞎子摸象，各報一角，難以做到有效的整合，讓咨詢發揮合力，IT治理的出現，提供了一次機會，那就是建立一個綜合的框架，讓企業在各方面所作的咨詢工作圍繞著業務戰略發揮合力。