企业信息化风险与风险管理

联系地址：福建省闽候县上街镇溪源宫路2号江夏学院（筹）会计系林建雄收

邮政编码：350108 联系电话：130********

Email:LJX9918@https://www.sodocs.net/doc/d614814753.html, QQ:450147869

企业信息化风险与风险管理1

林建雄2，

（福建财会管理干部学院，福建福州，350108）

内容摘要：企业信息化中的存在各种风险问题，如何提高企业信息化风险能力成为当务之急。应充分利用网络信息技术，开展信息化风险管理的创新工作，明确信息化风险全面管理的目标，加强对企业信息系统内部系统关键点的控制，构建信息化全面风险管理控制体系，以满足企业管理的需要，提升竞争力，实现更大的经济效益。

关键词：企业信息化；信息化战略；信息化风险；全面风险管理；控制体系

Enterprise Informationization Risk and Risk Management

Lin Jian Xiong,

（Fujian Finance and Accounting Administrator College，Fu-Zhou, Fu-Jian,350108）Abstracts: The enterprise informationization exists various risk problem and how to improve the enterprise informationization risk ability to become the urgent matter. Should use the network information technology fully, the development informationization risk management innovation work, is clear about the informationization risk comprehensive management the goal, strengthens to the enterprise information system internal system key point control, the construction informationization comprehensive risk management control system, satisfies the business management the need, promotes the competitive power, realizes a greater economic efficiency.

Key words: Enterprise informationization; Informationization strategy; Informationization risk; Comprehensive risk management; Control system

企业信息化作为推动和实现企业体制创新、技术创新、管理创新，增强企业核心竞争力的重要手段和必由之路，已为我国许多企业普遍认同，并成为他们的战略选择。同时企业信息化又是一场高风险的管理革命，据统计，在企业信息化的实施项目中，只有15%左右能按期按预算成本进行项目实施和系统集成；约一半的项目会在实施中流产或失败。[1]企业信息化的建设是一个不断发展变化的过程，信息化的实施过程是一个长期不断的过程，随着时间的推移，对企业的相关人员，尤其是领导的积极性是一个很大的考验。同时随着市场经济的逐步深入,企业需要面对的内外部不确定性因素在日益增多, 企业管理水平已经难以跟上环境的瞬息万变,在企业的信息化过程中存在不可避免的问题——发展中的风险问题。

一、企业信息化的风险

信息化的风险被界定为信息化可能或者实际带来的消极威胁，企业实施信息化工程一般存在着较大风险。风险管理泛指确认风险、评价风险、回应风险的过程。风险管理涉及复杂的结构、机制、过程和制度安排，其目的在于尽可能地降低风险的发生以及风险发生以后所带来的损失和威胁。

（一）社会环境风险

社会环境风险是指企业遇到的来自其经营环境的法律、社会、政治和经济等各方面的风险。如政策、法律的改变，使企业的生产经营受到冲击，环境风险包括系统安全风险、关联方业务合作风险等。

1收稿日期：2009－11－08；修回日期：2009－12－3

2作者简介：林建雄（1971年8月——），男，福建仙游人，福建财会管理干部学院会计系副教授、研究生，主要从事会计信息化教学与研究工作。E－mail：ljx9918@https://www.sodocs.net/doc/d614814753.html,。

（二）战略规划风险

在由传统管理企业向信息企业转变的过程中，企业缺乏整体的信息应用规划，特别是符合企业发展战略和管理现状的，与企业资源适度配合的整体规划。这样在企业信息化整体应用的推进过程中，势必会造成资源分散、信息孤岛林立，最终难以发挥系统的整体效益。

（三）组织管理风险

企业信息化建设知识综合性强、涉及的范围广、部门多，除了涵盖企业内部职能部门外，信息化建设往往涉及供应商、客户、分销机构等。企业实施信息化存在组织管理风险，管理风险包括组织结构不合理、管理思想混乱、管理职能虚化、员工凝聚力下降等方面。管理风险存在于企业信息化实施工作的全过程，轻则增加成本、延长进程，重则导致企业信息化实施失败。信息化首先是一个管理问题，其次才是技术问题。

（四）人力资源风险

信息化建设归根到底是要人来完成的，信息化项目需要企业建立自己的信息化建设梯队，而信息化人才又是既懂业务、又懂管理、还要懂计算机的复合性人才，这就需要我们的企业培养人，而且更要留住人才。目前导致我国企业信息化项目实施失败的主要原因之一便是专业化复合性人才匮乏。一方面，作为信息化主导之一的软件厂商缺少信息化管理的咨询专家和实施人才，无法准确地向企业推荐自己的信息化管理软件。另一方面，作为信息化实施主体的企业，人才匮乏不仅影响了当前信息化实施的进程，更重要的是长远地对信息化工程产生的危害：其一，企业奇缺CIO(首席信息官)，其二，缺乏信息管理师，进而导致企业信息化缺乏内动力，无法正常、高效地运行下去。

（五）流程风险

流程风险包括营运风险、授权风险、信息技术风险和财务风险。财务风险，信息化项目投资少则上百万，多则数千万，包括信息化软件费、网络硬件费、实施服务费(费用比大致为1：2：3)。由于企业的业务不可能是一成不变的，如果企业的发展战略、组织结构、业务流程发生了较大的变化，整个信息系统也要作相应的调整，系统的投入会更大，这些隐含的成本由于其本身存在较大的不确定性而容易被忽视，最终形成所谓的IT黑洞。

（六）执行控制风险

执行控制风险包括信息化软件选择、实施服务商选择、实施进度控制、实施成本控制等方面。上述企业信息化实施工作不当，轻则增加成本、延长进程，重则导致企业信息化实施失败。实施过程中，服务方缺乏相应的实施规范，忽视或者不深入进行项目的可行性研究、需求分析、系统分析等前期工作，导致企业信息化系统的功能、实用程度都不够理想；实施过程中的监控力度不够，使信息化实施项目不能按计划完成；实施结束，没有相应的验收，或是验收的标准出现分歧，使企业的信息化项目成为“难楼工程”。

（七）监督考核风险

通常，企业和政府部门在IT规划过程会对信息化需求的分析和系统选型的实施给予足够的关注，然而往往忽视了与之相配合的IT管制体系的建设和优化。一方面，信息化建设并不以系统的上线为止，相反，更多的工作在于系统的推广、维护和优化；另一方面，随着企业对信息化应用的不断深入，企业对其依赖也越强，而企业在提高效率的同时，管制缺乏所隐藏的风险也将越来越突出，如信息安全的隐患、无形资产流失的风险、系统故障给业务带来的影响等等。企业进行内部控制的建设成本几乎全由企业自行承担，如果没有外部监管，内部控制也就只能是纸上谈兵而不能够真正发挥作用。

二、企业信息化风险的成因

企业应用信息化系统，存在一定的风险，分析风险的目的不是要企业放弃实施信息化系统，而是要企业充分估计风险，正确对待风险，认识到信息化的实施是管理项目而不仅仅是IT项目，并通过项目管理有针对性地管理风险，从而成功实施信息化。在当前的新形势下，我国企业的信息安全实践仍然面临着许多问题: 第一，绝对安全的观念依然束缚着风险管理思想的树立。一味追求“绝对安全”使一些企业在信息安全建设中存在着人力物力等资源上的严重浪费，也使大多数中小型企业无力承担相应的费用。

第二，主观上风险意识淡薄影响着对我国在信息安全上面临高风险形势的认识。大多数企业的最高管理层对

信息资户所面临威胁的严重性认识不足，或者仅局限于TI方面的安全，没有形成一个合理的信息安全方针来指导企业的信息安全管理工作，这表现为缺乏完整的信息安全管理制度，缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训，现有的安全规章不能严格执行，目前发生的安全事件许多是由于安全意识差所导致。

第三，重视安全技术、轻视安全管理的情况依然存在。仍有相当一部分企业认为信息安全就是信息安全产品的堆砌，仅仅依赖安全产品。目前企业普遍采用现代通信技术、计算机和网络技术来构建企业的信息系统，以提高企业效率与竞争能力，但是相应的管理措施不到位。据有关资料显示，信息安全大约70%以上的问题是由管理方面的原因造成的，也就是说信息安全问题不仅应从技术方面着手，同时更应该加强信息安全的管理工作。

第四，认为信息安全仅仅是信息技术部门的事，义务和责任都是TI部门的，导致信息技术部门不能和企业内部的其他部门互动，从而形成一个孤岛。然而，信息安全的实现尤其是许多规章制度、规范标准的贯彻落实，涉及到企业的每一位员工，需要企业各个部门的全员行动。

第五，信息安全管理缺乏系统管理的思想。大多数企业现有的安全管理模式仍是传统的管理方法，即出现了问题才去想如何补救，是一种就事论事、静态的管理，不是建立在信息安全风险评估基础之上的动态、持续改进的管理。

第六，现代信息系统在规模上日益庞大，网络结构越来越复杂，因此现有的风险管理理论和手段难以完全满足有关要求，企业应当以国际上先进的信息安全风险管理理论和最佳实践为指导，并结合实际情况和需求，实现自身的信息安全。[2]

信息化风险的生成机理是复杂的，一方面是内因，由信息化自身的特点所决定：第一，信息化的无疆界特征；第二，信息化的低成本特征；第三，信息化的开放性特征；第四，信息化的匿名性特征。另一方面是外因，是信息化的风险源；我们把其中重要的归纳为十个方面：第一，自然灾害；第二，安全生产事故；第三，网络攻击；第四，借助信息化手段进行欺诈；第五，病毒和蠕虫；第六，内部泄密；第七，使用不当；第八，因内部因素而造成的信息、数据的修改和丢失；第九，因外部因素造成信息、数据的泄露、篡改和丢失；第十，安全防范措施不到位的高端技术。

要解决这些问题，必须要在系统管理思想的指导下，以保证企业业务目标为最终目的，通过风险评估确定企业的安全状况，发现安全隐患和问题;结合企业的安全需求，按照等级保护的原则选择保护方式;在整个企业的范围内，整合各方面的资源，建立风险意识的文化等等。归根到底，这些问题都是要通过信息安全风险管理来解决。

三、构建企业信息化全面风险管理体系

2006 年国资委正式出台了《中央企业全面风险管理指引》, 全面系统地阐述了风险管理流程和风险管理体系的构成。从国有资产出资人的角度, 对中央企业提出了风险管理的要求, 对企业风险管理的精细化, 包括内部控制等风险管理基础体系的建设做出了明确的指导和要求。企业全面风险管理体系由风险战略、风险管理职能、综合内控、风险理财及风险管理信息系统五个模块组成。风险战略是指导企业风险管理活动的指导方针和行动纲领，是针对企业面临的主要风险设计的一整套风险处理方案；风险管理组织职能是风险管理的具体实施者，通过合理的组织结构设计和职能安排，可以有效管理和控制企业风险；内部控制作为全面管理体系的一部分，是通过针对企业的各个主要业务流程设计和实施一系列政策、制度、规章和措施，对影响业务流程目标实现的各种风险进行管理和控制；风险理财是指企业运用金融手段来管理、转移风险的一整套措施、政策和方法；风险管理信息系统是传输企业风险和风险管理状况的信息系统，其包括企业信息和运营数据的存储、分析、模型、传送及内部报告和外部的披露系统。

（一）明确企业信息化中全面风险管理的目标

全面风险管理体系的总体目标就是为企业实现其经营目标提供合理的保证，也就是为了保证企业经营目标的实现，将企业的风险控制在由企业战略决定的范围之内。同时，企业建立全面风险管理体系还可以确保企业遵守有关法律法规，确保企业内外部尤其是企业与股东之间实现真实、可靠的信息沟通，保障企业经营管理的有效性，提高经营效率，保护企业不至于因灾害性事件或人为失误而遭受重大损失。

企业整合风险管理体系将达到以下目标：（1）从企业战略出发，统一风险度量，建立风险预警机制和应对策略；（2）明确企业不同层面的风险管理职责，保证风险管理体系的落实；（3）形成风险信息的收集、分析、报告

系统，为风险的实时有效监控和应对提供依据；（4）有效地规避可能给企业造成重大损失的风险，保证企业战略目标的实现；（5）企业利益相关者能够了解企业的风险，满足股东、债权人以及监管机构的要求；（6）形成一套自我运行、自我完善的风险管理机制。

（二）设置信息化全面风险管理关键点

1.风险评估与诊断

系统地辨识企业所面临的风险，并对辨识出的风险进行定性和定量的分析，评价风险对企业目标的影响。评估企业风险管理体系的整体水平，诊断对于重大风险管理的应对手段，把握企业了解当前的风险管理现状，提出改进的建议方案。

2.风险管理战略及其实施方案

依据企业的整体战略，并结合企业的管理能力，明确企业的风险管理目标；针对不同的关键风险，引入量化分析工具，确定风险偏好和承受度；制订保证企业整体战略目标实现的整合风险管理战略。

3.风险管理流程优化与设计

基于企业现有的管理流程和内部控制体系，结合已评估出的风险，找出流程中的关键风险控制点，梳理并细化具体控制内容，优化和完善制度，优化监控指标体系，强化运营和管理流程中的内部风险控制。

4.企业风险管理组织设计与文化建设

在梳理企业内部管理组织结构和职能的基础上，融合风险管理的要求，优化和设计企业风险管理结构，设计不同层面的风险管理组织职能方案和相应的职责要求、人员能力框架，优化和完善关键的绩效管理体系和薪酬激励机制，构成风险管理有效运行的保障架构。建设企业风险管理文化。统一企业的风险意识和风险语言，培养企业员工的风险责任感，建设与企业风险战略相符合的风险文化。

5.风险管理方案设计

寻找企业风险留存与转移的平衡点，设计相应的风险管理金融工具组合如期货、期权、掉期、保险等产品组合或风险准备金、或有资本、专属保险等，实现对具体风险事项的控制。

6.

（三）构建REM（Enterprise Risk Management Framework）企业风险管理框架

企业应当根据自己的具体情况建立自己的ERM概念性框架：将风险偏好与企业战略相联系；确保风险管理战略与组织的发展战略和股东的价值相一致；提供鉴别和评估风险的工具，以利于鉴别和评估组织所面临的风险；提供对风险进行科学归类的工具，利用风险最优化的概念，以组合观为基础来探讨风险议题；将ERM与基本的经营活动相整合，避免额外的成本支出。为了充分有效地利用风险管理，必须将风险管理的精神深植于企业的组织文化和员工的心中，并透过一个强有力的全面风险管理框架，将风险管理融入企业日常的作业程序中。

1．构造企业风险管理的文化环境

管理者根据组织所处的内外部环境建立企业的文化，包括建立企业的风险文化，制定明晰的战略、目标，明确企业的风险责任人和利益相关者，使用统一的风险语言。

2．定义风险

定义风险是明确企业当前存在的重要风险。其原则是：鉴别可能影响战略和目标实现的所有风险，并深入分析各个风险之间的内部联系。

3．评估风险

评估风险是ERM执行中关键的步骤之一。在评估风险的过程中要注意选择合适的评估技术，评估风险事件发生的可能性和频繁度，风险事件的潜在影响及其成本的高低，最后绘制一张风险地图。

4．制定回应风险的措施

风险回应就是要为每一个风险选择合理的回应方式，同时考虑所选的风险回应方式给其他风险带来的影响。在ERM过程中，风险回应是十分重要的，因为通过明确风险事件，决定是否接受或避免这一风险对一个企业而言是十分重要的决策。

5．控制措施

风险发生的可能性和频率是很难改变的，最有效的就是通过对风险管理成本的控制，将风险尽量调整到企业的风险偏好以内。控制措施就是在接受风险的情况下，评估因接受风险所带来的额外费用和保险费用，评估因控制带来的管理成本和回报。在降低风险的情况下，明确所需的控制活动，评估这些控制活动所带来的成本费用。控制活动还包括评估目前组织、程序、系统和反馈系统管理风险的能力。最后通过控制行为，调整风险地图。

6．沟通信息

ERM概念性框架要求有高效的信息系统和沟通渠道。信息系统应当有效地追踪企业当前正在发生的事件以及已经避免的事件，同时保证有及时传递关于企业各个层面的ERM报告，并对风险活动中发生的成本费用有效控制。其次要沟通ERM的有效性和成本费用，保证在企业中有定期的ERM报告，同时明确向董事会和执行官报告的责任和途径。

7．持续的监控

风险不是静态的，风险的数量和可能性会随内外部环境的变化而变化，持续的监控对有效地管理风险是最基本的。通过持续的监控可以使企业明确在下一步的风险管理中应当改进的问题，明确ERM可以给企业带来的利益与价值，了解风险评估的正确性，为下一次的评估提供经验教训，明确风险回应决策的有效性，同时还有助于控制成本费用。[3]

四、实施企业信息化全面风险管理

企业风险管理水平的提升需要经历一个从起步到优化、从部门分散的行为, 发展为过程标准化、操作制度化、定量和定性相结合的全面风险管理活动。实施企业信息化全面风险管理，构建全面风险管理体系，应从企业整体层面建设企业的风险管理的架构，包括制定企业的风险管理战略、完善企业的内控体系、设计与优化企业的风险管理流程、设计企业风险管理组织结构及其职能，从而是企业建立起全面风险管理的长效机制，从根本上提升风险管理的效率和效果。

（一）重视风险管理

成功的信息化系统的建设首先需要管理层对信息化的价值透彻理解，不能急于求成，不能为上信息化而信息化。企业高层必须要在人力、物力、财力及战略发展规划上给予信息化建设高度重视，并明确项目管理机构和职能。领导的重视，势必带动各级员工的积极性和参与意识，为信息化项目的实施奠定良好的基础，确保信息建设的顺利实施。强化企业领导重视信息化工作，提高企业决策层的信息化意识。企业信息化的过程是实现企业从“人治”向“法治”转变的过程。企业组织框架的重组、流程的再造，就意味着权利和利益的再分配，势必和一些习惯势力产生碰撞。如果没有企业一把手坚定的信心，并身体力行，信息化是很难推动的。

（二）建立能切实推进信息化建设的组织，切实防范风险

企业巨额投资进行信息化建设应密切配合企业管理重组。根据现代企业管理“企业过程化、组织扁平化、功能系统化”的要求，进行管理重组。同时要着力进行与信息化相适应的企业文化设计与建设，全面转变和更新企业经营思想观念，注重员工创新意识能力和团队协作精神的培养，为企业成功实施信息建设提供思想基础和文化支撑。

首先，企业要对安全性、实用性、先进性等方面进行全面统筹和权衡，把企业信息系统依据操作层、运营层和决策层三个层次来规划，紧紧围绕企业中长期发展战略，以支持企业实现使命为主要目标，建设和不断完善相应的硬件系统和软件系统。其次，制定具体实施推进策略是，在做好整体规划的前提下，分步实施、重点突破、持续改进。最后，在关键环节、关键机构、关键业务进行实施，实现企业内关键点的信息化，然后连点成线，织线成面，接面成体，最终构成立体化、高度集成、高度集中的企业级智能信息应用系统。

建立切实能推进信息化的组织，为使信息系统能切实发挥作用，企业自身应该建立相应的信息化组织，参与信息化的全过程。这支队伍应该由企业的高层领导挂帅，以信息服务专职人员为主，业务部门代表参与的人员结构组成。这样可以有效降低信息化风险。

（三）对风险进行定性/定量风险分析

1．风险定性分析——对列出的风险进行定性分析，并按其对项目的影响程度排出优先级。定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，

为风险管理诸要素（资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等）的大小或高低程度定性分级。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。

2．风险定量分析——评估/衡量风险出现的可能性及其对项目目标影响的量化程度。定量分析方法的思想很明确：对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。

组织可以根据具体的情况来选择定性或定量的分析方法。通过风险识别过程所识别出的潜在风险数量很多，但这些潜在的风险对项目的影响是各不相同的。风险分析即通过分析、比较、评估等各种方式，对确定各风险的重要性，对风险排序并评估其对项目可能后果，从而使项目实施人员可以将主要精力集中于为数不多的主要风险上，从而使项目的整体风险得到有效的控制。

（四）实施风险的监控

风险监控，在整个项目过程中监督已识别风险和残留风险、识别可能出现的新风险、执行风险应对计划、评估计划执行的有效性，应判断：（1）风险应对措施是否按计划实施；（2）风险应对措施是否有效，是否需要制定新的措施；（3）项目假定条件是否依然成立；（4）风险的状态是否在改变；（5）是否出现了风险征兆；（6）正确的项目章程和流程有否被遵从；（7）是否有未识别的风险发生。

（五）建立企业风险管理信息系统，实施风险预警、测评与反馈

应用信息技术, 实施风险预警。将现代信息技术应用于全面风险管理工作, 建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统:一是从事前控制风险角度出发, 以融入流程、固化管理为手段, 建立覆盖公司经营过程的全面管理信息系统。实现公司运营数据和信息的收集、存储、处理、报告和信息披露的自动化；方法是在信息系统中通过固化业务流程、系统自动转账等专门技术, 将业务处理流程和账务规则固化在程序功能中, 实现业务信息向会计信息的自动转换。使所有交易都在系统中进行、所有资源都在系统中受控, 所有信息都在系统中得到反映。以信息技术手段实施内部控制, 减少或消除人为操纵因素, 增强控制程度, 确保内部控制的有效实施，为企业风险监控和预警奠定了坚实的信息基础。二是从业务过程风险监控和预警角度出发, 以风险预警提示为目标, 以企业和管理信息系统的信息报告为支撑, 建立涵盖全面风险管理流程的风险预警分析系统。实现运营风险信息的采集、存储、加工、传递、报告、披露、分析和预警等功能, 对风险管理信息实行动态管理, 实施风险辨识、分析、评价, 向公司风险管理部门传递企业运营风险预警信息。

加强实时风险管理系统的测评与反馈，增强系统风险管理的效率。在风险管理模型中，可以发现风险管理的实质就是：识别风险、筛选风险、控制重点风险、最终降低风险。企业的信息化建设是一个渐进的、动态的增效过程，风险与收益始终伴随着企业。集中的某一集中时段，集中场所、集中组织开展实证式的项目快速部署，集中的获取确认和问题反馈，保证系统项目的质量和进度，实现总体最优与局部协调的有效开展。

业务和过程的实时测评与反馈——实时控制子系统，实时控制子系统的内容包括：日常业务处理中的审批、审核等合规性控制；责任会计，全面经济核算、存货控制、预算控制、标准成本控制等从体制到具体业务内容的效益性控制。对未来事务和行为的反馈控制——反馈控制子系统，反馈控制子系统是面向未来的控制，以基本会计信息及分析、预测信息为中介，通过一系列的信息分析与处理规范和控制未来决策与行为。反馈控制包括内部反馈控制和外部反馈控制两部分。内部反馈控制则是包括股东、投资者、债权人、管理机关等多方面参与的涉及单位及社会未来效益的控制。

风险预警、测评与反馈系统, 可借鉴采用现代风险管理技术, 采用模型计量、现代信用风险管理等方法, 来量化风险指标、收集风险预警的重要信息。如运用偿债能力分析、多变量统计分析等方法来预测企业的获利能力、积累水平、营运能力等财务状况,预测企业发生财务风险的可能性及其大小。风险管理信息系统, 可以及时传输企业运营风险状况, 为风险管理全过程提供准确的信息。环境的多变、决策的日益复杂、机会的稍纵即逝, 都要求各级管理者能及时提供有效、准确的信息, 风险管理信息系统的建立, 可进行情境分析、量化风险, 是提高风险管理效率及可靠性的得力载体。[4]

（六）利用网络信息技术，提高企业全面风险管理能力

企业应当将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统的各个环节的

风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等各项功能。风险管理信息系统为风险管理的全过程提供及时、准确的信息。环境的多变、决策的日益复杂、机会的稍纵即逝都要求提供及时、有效、准确的信息，风险管理信息系统是提高风险管理效率及可靠性的重要保障，为企业各部门之间的风险沟通架设桥梁。

为了加强企业网络信息安全，主要应从以下四个方面入手：1．加强物理安全。对计算机网络与计算机系统的物理装备的威胁，主要表现在自然灾害、电磁辐射与恶劣工作环境方面。抗干扰系统，防辐射系统，隐身系统，加固系统，数据备份。2．加强系统安全。对计算机网络与计算机系统可用性与可控性进行攻击。网络被阻塞，黑客行为，非法使用资源等，计算机病毒，使得依赖于信息系统的管理或控制体系陷于瘫痪。防范措施：防止入侵，检测入侵，攻击反应，系统恢复。3．加强信息安全。对所处理的信息机密性与完整性的威胁，主要表现在加密方面。对于窃取信息，篡改信息，冒充信息，信息抵赖等采用防范措施，如：加密，完整性技术，认证，数字签名。4．加强文化安全。有害信息的传播对我国的政治制度及传统文化的威胁，主要表现在舆论宣传方面。外显行为：淫秽暴力信息泛滥、敌对的意识形态信息涌入等对民族文化的冲击，互联网被利用作为串联工具，传播迅速，影响范围广。防范措施：设置因特网关，监测、控管。[5]

风险管理信息系统为量化风险提供计算服务，并且可根据管理层的要求就某一事件进行情境分析，有关风险管理的数据库也保存在系统之内，风险管理信息系统也是风险控制和企业风险管理战略的载体。以信息技术为基础的信息系统使一些适于自动化的管理流程必须通过系统才能加以实现，避免了人为错误，增强了控制程度，并提高了管理效率。风险管理信息系统的建立是对所有体系建设和运行的综合，是企业风险管理的集中体现。企业只有建立健全了全面风险管理的框架结构，风险管理工作才能够有效的顺利的运转。

总之，加强企业信息化风险管理工作，不是一朝一夕的事情，因为风险控制不是一项制度或一个机械的规定，随着企业经营管理环境的变化而变化，而不断趋于完善。风险控制是动态的，是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。需要理论界不断深入研究，需要企业界强化认识、予以重视。在传统的风险控制观念基础上，充分利用网络信息技术，从实际出发，开展信息化风险管理的创新工作，确定信息化的实施方案，把信息化的先进性与适用性充分结合起来。实施全面风险管理，围绕企业总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理的保证。相信，在有关理论、方针政策指引和各方各面人员的共同努力下，企业信息化风险全面管理控制一定会得到不断丰富和完善。

[参考文献]

[1]鲁汇、付萍．中小企业信息化的风险与规避．中国管理信息化(综合版)．2006（10）：5～6．

[2]国资网．企业信息化风险管理基本战略和政策研究．https://www.sodocs.net/doc/d614814753.html,/gb/gzw/qyjj/qyxxh/userobject1ai58857.html．

[3]史田田．企业风险管理框架的构建．财会研究（甘肃）．2006（9）：65～66．

[4]刘文霞．构建全面风险管理的内部控制新机制．冶金财会．2007（2）：11～13．

[5]刘文霞．构建全面风险管理的内部控制新机制．冶金财会．2007（2）：11～13．

参考崔书昆《关于信息安全风险管理理论和实践发展的一些思考》