风险控制与管理范文

导语：想要提升您的写作水平，创作出令人难忘的文章？我们精心为您整理的5篇风险控制与管理范例，将为您的写作提供有力的支持和灵感！

篇1

1.外部原因

1.1外部市场环境的变化给企业带来的不确定性和复杂性

市场经济的发展壮大给我国企业提供发展机遇的同时，也带来了更多的挑战。随着金融市场及其衍生品市场的不段发展，货币市场和经济市场的不稳定性、国家政策的变化等，都在一定程度上增加了企业财务管理的不确定性，引发了财务风险。

1.2我国市场风险管理机制尚未完善

由于我国市场经济确立得较晚，各种机制尚不够健全和规范，市场的风险监管机制没有完全建立，导致很多行业的收益和风险不成正比，很多企业为了生存发展要可能要承担很大的财务风险。

2.内部原因

2.1企业内部资本结构存在不合理性

企业资本结构主要指企业各种资金构成及其比例。有些经营者为了扩大其经营规模，盲目地举债筹资，忽略了企业资本结构的合理性，加重了企业的财务负担，企业的偿付能力大大受到挑战。一旦市场经济行情不好，企业的坏账可能增加，利润便会减少，这样一来，过高的资产负债率和过低的现金流有可能使企业无法支付偿还债务，导致企业财务风险增大，企业可能出现财务危机甚至破产。

2.2企业自身缺乏教完善的财务管理制度

企业若在财务预测、财务决策、财务计划、财务控制和财务分析过程中没有建立起严格、健全的管理制度，便会给企业带来财务风险。尤其是对企业的现金管理，一定要有健全的制度作支撑，否则，一旦出现白条抵库、坐支，甚至贪污、挪用企业财物现象，企业会遭受损失，会对企业资金的周转带来风险。

2.3企业理财者风险意识薄弱，造成企业财务决策失误

财务决策失误是造成财务风险的又一重要内部原因。我国很多企业在财务决策上仍存在经验决策和主观决策问题，往往导致决策失误，从而引发财务风险。

二、我国企业财务风险现状

财务风险可分为筹资风险、投资风险、用资风险和收益分配风险。由于近几年来国际政治、经济形势多变，我国企业不可避免地遭遇更多的财务风险。

1.我国企业的筹资风险

我国企业的筹资风险首先体现在不合理的筹资规模。有的企业为了扩大资本数额，不考虑资金的使用成本，为企业埋下了风险祸根；而有的企业倾向于无负债经营，在筹资时，能避免风险的尽量避免，结果导致资本规模太小，不利于企业经营活动的展开和资金的周转。其次，我国很多企业存在筹资渠道单一的现象。造成这种现象的原因一方面是由于我国资本市场不完善，债权筹资和股权筹资的成本较大。另一方面是我国有关民间借贷的法规不健全，很多经营者倾向于向银行等金融机构借款。

2.我国企业的投资风险

我国部分企业内外投资不合理。在对外投资时，受经营者决策影响，企业可能出现盲目投资，增加企业资金运用风险；对内投资时，企业倾向于固定资产投资，由于企业财务信息质量不高，无法较准确地核算其投资回报率，在一定程度上增加了投资风险。

3.我国企业的用资风险

在资金营运过程中，我国有些企业出现商业信用过度应用的现象。由于市场竞争日趋激烈，在这种“群雄争鹿”的环境下，一些企业为了扩大自身的市场份额，频繁采用赊销方式的商业信用。这种手段的确起了立竿见影的效果，但其隐藏的风险也是不可小觑的；企业的应收账款可能因此增多，甚至出现严重的坏账，企业资金周转失效，大大影响了企业的正常经济活动。此外，我国很多企业存活量不合理。有些企业存货量过大，占用资金；有些企业存货量太少，供不应求，丧失客流，市场占有率受到影响。

4.我国企业的收益分配风险

我国很多企业利润分配多采用分红和配股形式，而较少采用现金股利的形式，导致收益分配不够吸引力，可能会使很多潜在的投资者望而却步，从而增加了筹资的难度。

三、企业财务风险的管理和控制措施

市场经济中，风险和收益是并存的。因此，财务风险并不能完全避免，只能将其降到最低。对于控制企业财务风险，国家应该不断完善市场风险管理机制，稳定资本市场和货币市场；但更主要的是靠企业自身对于其内部的管理。

1.优化企业的资本结构

资本结构与企业理财目标、财务风险密切相联。企业在筹资融资时，应综合考虑有关影响因素，谨慎评估筹融资的条件，确定最佳资本结构和权重，保持合理的负债额度或比率。

2.加强企业内部制度建设，完善财务风险管理体系

完善企业财务风险管理制度强调在财务预测、财务决策、财务计划、财务控制和财务分析等财务管理过程中,必须系统全面的识别、分析与测试财务风险,采取科学的方法防范与控制财务分析,并对管理效果做出客观评价，要求经营者在进行财务管理时必须关注财务风险这一客观存在的经济现象。同时，企业还应加强对风险信号的监测，当应收账款增多，坏账频率上升，存货积压过多时，企业应马上采取相应措施，降低财务风险。

3.合理、合法地将财务风险进行转移

财务风险转移可以使企业在一定程度上降低损失，减少经营活动的不利之处。其中，最常见的是购买保险。如果企业为潜在的风险购买了一定保险，当风险发生并造成损失时，企业可以从保险公司那里获得一定的经济补偿，即保险公司为企业承担了一部分风险，从而降低企业的损失，提高了企业财务的稳定性。

4.完善企业风险管理文化，加强企业内部人员的风险意识

企业财务风险意识,是企业在进行财务活动时对市场可能出现的消极情况的一种自我防范意识。任何市场都是有风险的，因此，企业作为市场的参与者,一定要有必要的风险意识。面对不断变化的财务管理环境，企业应提高财务管理人员的素质，对企业全体员工进行风险意识教育；把风险控制贯穿于企业经营活动的每一个环节，让企业员工共同承担风险责任。

篇2

一、引言企业的衰落直接表现

在财务风险控制上，企业还处在落后的情况中，大多数企业并未真正的了解财务风险控制，也并没有科学合理的财务风险控制措施。因此，将企业财务风险控制工作加强对企业进步发展有非常重要的作用，也是公司在经营管理当中的关键部分，作用非常关键。我国，财务风险控制起步晚，可是经过不懈的努力，获得了不小的成绩。

二、财务风险具体特点

财务风险存在客观性，任何企业当中无法避免出现风险，财务风险有大小之分，并没有存在不存在之分，需要企业严密的关注财务风险管理的常态化特点；另外风险动态性变化，企业不同的运营阶段、不同的规模大小和竞争对手的不同，企业财务风险的影响范围和风险等级随之不同，财务风险在各个企业运行和竞争环境下表现出来的改变，需要准确控制，需要企业财务风险管理者需要快速的反应水平。

三、财务风险管理问题

1.缺乏风险防范意识。目前现代企业当中的工作人员并未有非常强烈的风险管理意识，将风险存在的普遍性直接忽视掉，财务管理工作者也是这样，并未有非常高的风险防范认识，错误的认为良好的企业资金管理就能够防止出现财务风险。实际上并不是如此，企业的所有活动都肯定出现一定的风险，同时说明在所有风险当中肯定会出现财务风险，普通财务方面的决定错误也是导致财务风险的最关键的原因。目前企业管理工作者进行财务决策的同时一般都是根据自我主观意识和经验来决定的，所以，经常出现非常重要的失误，肯定会出现财务风险。所以，企业的财务风险因为管理人员的风险意识不足导致的，同时对企业的影响也非常大，更有严重的会将企业经营能力直接丧失掉，最后将面临破产的局面。

2.财务风险内控低效。目前非常多的现代化单位在风险内部控制当中还存在非常多的不足之处，不具有良好的内部控制水平，内控环境不能达到优化、有关文化不先进、内控制度流于形式，管理经验落后，管理模式粗放等，组织企业工作当中，有的单位并未能够科学的将工作岗位进行设置，有些部门存在岗位权力责任不清晰、互相推卸责任的情况，有关的问题都不利于企业内控工作，从而将影响企业对财务风险的控制。

3.财务风险预警不健全。不完善的财务风险预警制度建设工作，是带给现代企业财务风险管理影响的关键因素，如果无法立即分辨出潜在的风险，后来带给企业应对财务风险的时间还是会充分不够，也无法根据这设定出比较健全完善的应对方式，最后给企业带来非常大的损失。建立完善的风险和预警机制，作为风险管理工作的前提，只有具备识别能力强的工作人员、快速反应的机制，才可以保证在风险出现之前将其扼杀在摇篮当中。

四、加强财务风险控制与管理措施

1.增强财务风险防范意识。企业管理者对企业的发展有着直接的影响效果，管理者的总体素养提升，可以更快的将市场适应同时掌控市场，这样能够将风险出现的几率降低。因此，将管理者的风险识别能力和风险防范意识快速的提升非常关键，管理者能够及时的发现和评价企业当中所存在的风险。这样的决策当中，企业可以充分考量到不同影响因素的原因，尽量的使用合理科学的方式进行决定，将主观臆断行为坚决反对，这样保证企业能够出现非常低的财务风险，从而为企业带来更多的保证。

2.完善内部控制机制。企业在加强内部控制工作的同时，要关注到建立风险导向的控制方式，是和风险评价紧密相连的一种模式。在任何企业经营内部，风险肯定存在，企业能够做的唯一的事情就是防止和分散风险。企业需要对所联系的每一个项目进行风险评估工作，大概了解所面对的风险的级别种类，同时将风险诱因进行探索，将尽快的探索防范和降低风险出现指数的方式。

3.完善风险控制与预警体系。伴随着我国经济制度的改革的不断深入，财务管理包含了非常多的方面，需要企业进一步将风险控制和预警系统健全。尤其是需要根据全面控制预警、全程控制预警、全员控制预警建立由财务、业务、行政单位构成的财务管理风险控制和预警董事会会议制度一同将企业当中所出现的财务管理控制和预警工作做好，落实好工作，将工作机制完善好，提升执行力。企业要从自身的财务风险控制和预警系统的建设工作加强，依靠第三方机构的力量来加大风险控制和预警工作力度，例如邀请专门的咨询机构、服务机构等帮助企业开展财务风险控制和预警系统的建设，对提高企业财务风险控制和管理水准有非常关键的效果。

五、结语

总之，企业发展的前提条件就是财务资金，是企业运行的中心，因此财务管理对企业的重要性不言而喻。财务风险作为企业发展当中出现的威胁，需要高度关注，因此，企业规划当中财务风险管理控制工作越发重要。企业需要合理的使用资金，将风险降低，需要从多个方面进行控制资金，建立企业财务预警系统以及财务风险控制机制，多个措施一同进行，才可以保证企业能够在市场经济制度下，更好的有利于自我的进步发展。

参考文献：

篇3

一、财务管理及财务风险控制的重要性

1.财务管理的重要性

（1）财务管理是企业管理的基础、内部管理的中枢

财务管理是组织资金运动，处理有关方面财务关系的一项经济管理工作，它贯穿于企业一切经济活动之中。企业资金的筹集、使用和分配等涉及资金业务活动都属于财务管理的范围。企业的生产、经营、进、销、存等环节都离不开财务的反映和监督，财务管理是一切管理活动的共同基础，它在企业管理中的中心地位是客观要求。

（2）财务管理和风险控制是提供有效会计信息的保障

财务管理的一个重要职能就是反映企业经济活动情况，提供会计信息，企业会计信息不仅是企业内部管理的需要，也是企业外部有关决策者需要的，企业相关利益者通过会计信息对财务活动进行评价和分析，并对未来财务活动及其结果做出预测。企业实施财务管理和风险控制，为提供准确、真实的会计信息提供了保障，从而有助于国家宏观调控，有利于相关利益者做出正确的决策。

（3）强化财务管理和风险控制是解决企业问题的有效途径

企业经营管理各方面的情况都会通过不同的财务指标及时反映出来，如决策是否得当，经营是否有方，产品质量及品种是否适合需要，销售渠道是否畅通，收入和盈利的取得是否合理等都会对财务指标产生重大影响。财务部门通过对财务指标的计算、预测、分析，寻找原因，提出有效的措施，促使企业不断提高经济效益。

二、目前我国企业财务管理、财务风险控制的现状

目前我国大多数企业的财务管理和财务风险控制的现状不容乐观，主要表现以下几个方面。

1.我国企业财务管理的现状

在我国企业迈着坚定的步伐，向建立现代企业模式挺进时，自身面临着严重的挑战，因为目前我国财务管理存在有以下问题：

（1）组织机构不合理。

（2）预算机制不健全。

（3）缺乏财务风险的防范意识。

2.我国企业财务风险控制的现状

财务风险控制是财务管理的重要环节，而目前我国的财务管理的现状不容乐观，与之相对应的财务风险控制也存在这很难大问题，主要表现为：

（1）缺乏企业财务风险识辨系统。

（2）缺乏有效的财务风险处理机制，抗险能力差。

（3）与企业经营管理相适应的财务风险制度文化建设薄弱。

（4）财务风险管理机构不完善，内部控制制度不健全。

三、改进财务管理、加强财务风险控制的措施

财务管理与财务风险控制是现代企业管理的核心环节，只有充分认识其重要作用，采取切实可行的措施，建立起完善的内部控制机制，形成法人治理结构，实施全面预算管理，加强财务风险的防范与控制，才能真正提高企业的经济效益。

1.构建现代企业的财务管理体系

（1）完善法人治理的组织结构

企业对各项经济活动控制得好坏，关键取决于其组织是否有效。企业组织结构既是发展变化的，企业应根据自身的经营规模、内部条件和财务战略，决定其适宜的组织体制，从而提高财务管理效率，充分利用企业资源，降低组织成本，实现经济效益和企业价值最大化。企业要结合自身的法人治理结构、生产经营特点和区域分布状况，确定统一集中控制与适度分散管理，依管理控制成本与效率相适应的原则确定合理的组织结构，进行科学的职务分工、严格的职位设置和严密的授权管理，建立明确的责任制度，做到“集权有道、分权有序、授权有章、用权有度”，确保内部财务管理与控制的有效运行。

（2）强化全面预算的硬约束机制

实施全面预算管理机制是现代企业制度的重要标志之一，预算管理不只是财务部门的事情，而是企业各部门、全员参与的预算管理。现代企业应强化全面预算管理，深入落实各部门的预算目标，因为预算指标经过了自上而下、自下而上相结合的测算、论证，最后形成企业总的战略目标，它是实施管理和控制、考评和奖惩的科学的依据。鉴于全面预算编制的科学性、执行的强制约束性以及与之配套的奖惩激励机制，其实施后，可以大大提升企业的管理层次，增强竞争优势，促进企业的发展和效益的提高。

（3）增强财务风险的防范意识

经营中的风险无处不在，大批企业的衰退都是缘于财务风险的控制不当。因此，要建立一套完整的财务风险控制机制，通过对资金筹措、重大投资、营运资金、债务清偿、资产损失和税收支出等关键环节的控制制度，加强风险预警的及时评估、预防、控制财务风险，在实现经营目标的同时力求化解财务风险或实现损失最小化。

（4）建立健全评价和奖惩机制

企业应在全面经济核算的基础上建立完善的评价考核指标体系，并建立全面的奖惩机制。对企业董事长、经理层人员，可通过实行经营风险抵押金制度、年薪制或股票期权制度等建立奖惩机制；对企业中级管理人员，可通过调整薪金和职务的方式建立奖惩机制；对普通员工，可通过建立薪金奖励和全员持股制度完善奖惩机制。

（5）实现内部财务控制和管理信息化

随着内部控制理论的发展和信息技术的广泛应用，赋予了传统的内部控制制度以新的内涵。借助现代信息技术手段尤其是网络技术，母公司可以随时掌握、监控遍布全球的子公司的财务状况和现金流动，随着企业逐步发展壮大，我们应当紧紧跟上信息时代的步伐，使内部财务管理与控制全面实现信息化，尤其注重和培养高级管理人员的信息观念，广泛引进国内、国际先进的管理软件系统和会计信息电算化系统，大力推动计算机、网络等信息技术在内部财务管理与控制中的充分应用。

2.加强企业财务风险控制的几项措施

（1）建立企业财务风险识别系统

现代企业应建立企业财务风险识别系统，加强风险防范能力，首先必须准确、及时地识辨企业的财务风险。第二，利用单个财务风险指标趋势的恶化来进行预测和监控。比如：1、资产净利率，净利润与资产总额之比，表明企业资产利用的综合效果。2、资产负债率，负债总额与资产总额之比，它主要用来衡量企业利用负债进行经营活动的能力，并反映企业对债权人投入资本的保障程度。第三，编制现金流量预算，准确的现金流量预算，可以为企业提供预警信号，使经营者能够及早采取措施。

（2）建立有效的财务风险处理机制，增强抗险能力

为有效防范可能发生的财务风险，企业必须从长远利益着眼，建立和健全企业财务风险防御机制。第一，可以通过参加社会保险等方式将部分或全部财务风险转移给他人承担的方法，建立健全企业风险转移机制。第二，可以通过企业之间联营、多种经营及对外投资多元化等方式及时分散和化解企业财务风险。第三，综合评价各种方案可能产生的财务风险，在保证财务管理目标实现的前提下，选择合适的理财计划，建立风险回避机制。第四，可以建立企业的风险基金和积累分配机制，及时足额的增补企业的自有资金，壮大企业的经济实力，提高企业抗击财务风险的能力。

（3）加强与企业经营管理相适应的财务风险制度文化建设

企业要搞好财务风险管理，必须加强相应的文化建设，从思想上加强企业员工的财务风险意识，打破传统的风险自我无关的思想，建立起全面的风险意识，工作时时评估和发现风险，自发协调和实现团队化风险控制，把风险管理的观念和行动落实到每个人的身上。同时，管理层应致力于调查和规划本企业的风险制度文化建设，制度控制和文化引导双管齐下，努力提升企业的风险管理水平。

（4）完善风险管理机构，健全内部控制制度

企业财务风险管理的复杂性和多样性要求企业必须建立和完善相应的组织机构对风险实施及时有效的管理，才能实现企业财务风险管理得到足够的重视和真正的规模运行。企业应单独设立财务风险管理部门并配备相应的人员对财务风险进行预测、分析、监控，另外，还要做好内部控制，首先要完善公司治理结构，提高风险控制能力，实现科学决策、科学管理，形成完整的决策机制、激励机制和制约机制。其次要建立监督控制机制，特别要加强授权批准、会计监督、预算管理和内部审计。再次是设置岗位之间的内部牵制。最后要充分发挥内部审计作用。

篇4

中图分类号：F224 文献标识码：A 文章编号：1671―7597（2013）021-123-01

随着信息技术（IT）的应用范围不断扩大，实现功能越来越丰富，应用IT对企业进行管理得到了广泛的认可和实施。在进行项目管理时，必然伴随着风险，对项目风险进行控制和管理可以有效利用信息技术推动企业发展，增强企业的竞争力。

IT项目风险是指IT项目开发过程中或者项目产品本身所具有的造成损失或者伤害的可能性。这种可能性具有不确定性，其是否出现是在决策者和开发者在进行沟通和选择时决定的。为应对这种风险，决策者或者管理者的行为会直接影响到项目的成败。

1 IT项目中存在的风险特征分析

IT项目的行业特性决定了项目的成功率相对较低，国际范围内，若按时按质对IT项目进行评判，则IT项目的成功率维持在百分之二十左右，若按照可使用情况对IT项目进行评判，成功率可以提高到百分之四十。具体到我国，因为我国的风险控制与管理体系起步较晚，还不够完善和成熟，成功率更低。综合分析IT项目的风险特点，主要分为以下几个方面：

1.1 项目的范围

项目所具有的风险的高低与项目所涉及的范围具有非常大的关联。通常项目所涉及的种类越多，所覆盖的范围越大，则该项目所面临的风险则越多。对于IT项目而言，企业对其所能实现的功能和要求很多，会涉及多个领域，因此在项目进行中常常会超出预期，这就大大提高了项目的风险度。此外，在项目应用中，对功能性和灵活性方面的需求则进一步增加了项目所面临的风险。

1.2 系统的变更

由于市场环境变化非常迅速，故其对项目系统的变更要求也更为突出。通常一个项目的实施过程会经历多次的系统变更，这种变需要保持现有的功能还要对未设计功能进行创造，这种变更要求所带来的风险很有可能导致项目失败。

1.3 需求缺乏稳定性

系统的变更主要体现为灵活性，但是系统的稳定性更应该得到重视。若系统的运行使用过程中总是出现问题或者故障，则很容易导致项目的失败。

1.4 管理的复杂性

一个完整的IT项目需要综合多个领域的内容或者需求，因而在系统设计和创造过程中会出现来自多个领域、具有不同技术背景、工作方式不尽相同的技术人员协调工作。这就使得项目结构和项目管理更加复杂，若得不到充分的重视，很容易阻碍项目的开展，导致项目失败。

1.5 新技术的应用

一个具有创新性的IT项目必然会涉及多种新技术和新思路，但是新技术和新思路的应用很有可能导致项目趋向于无法控制的状态。这主要是技术人员对新技术的掌握和应对相对薄弱，新技术在现有项目中可能无法兼容等引起的。这种新技术的应用为IT项目带来的风险也是非常大的。

2 IT项目的风险控制和管理策略

综合考虑上述风险因素，在IT项目的进行中必须进行风险控制，对可能带来风险的因素进行管理，提高项目成功的机会，减少不必要的损失。这种控制可以分为管理层面和技术层面两个部分。技术层面可以通过加强风险沟通、增强团队建设、制定风险管理流程等方面进行，技术层面则根据项目风险的特点进行控制和管理。

2.1 加强风险沟通

鉴于项目所面临的潜在风险在充分准备、合理应对时具有一定的可避免性，可以在认识和观念上对项目文化进行转变，加强项目管理人员和项目执行人员的风险沟通，将这种沟通和预防措施所产生的效果作为一种评价指标引入到考核中，提高项目涉及人员的规避风险意识。

2.2 增强团队建设

团结和谐的工作团队可以有效实现风险信息的共享，这种共享可以增强成员间的信任度，降低风险。在增强团队建设方面可以利用项目经理的领导指挥作用，对不同成员所承担的风险责任进行授权，增进彼此之间的交流和信任，减小因沟通不畅所带来的风险。

2.3 制定合理的风险管理流程

按照项目的进行流程可以针对不同阶段或者不同方面制定相应的风险管理流程，以减小风险损失。在项目的初始化阶段，需要对项目目标进行分析，收集相关资源，获得相关的技术和信息支持，制定完善的管理制度。在项目的诊断阶段，则可以对具体的目标进行风险分析，依据风险识别工具或者其他判定手段等对项目进行中所存在的风险进行分析，进而制定相应的基线计划。在项目的评估阶段则可以建立风险评估体系对现有状况进行风险评估，判断风险的显露水平，对极限计划的执行情况进行评估。在项目的行动阶段则按照风险管理策略对现存的、已知的风险提供解决方案，消除这些风险对项目的影响。最后在项目完成时，进入项目学习阶段，该阶段对现有风险控制和管理策略进行总结，纠正和吸收风险管理过程中所得到的经验教训，改进和优化风险控制和管理方案，以便于对下一项目施行更好的风险管理方案。

2.4 项目技术控制

综合分析IT项目中所存在的技术风险因素和特点，在项目进行中应该合理控制项目的范围，着重考虑项目系统的稳定性和工作效率，在保证系统正常运行的前提下增强系统的灵活性。对于较大的IT项目，可以进行模块化处理，在统一的框架和规范的业务接口范围内对项目进行分割。若项目出现变更，则需要针对性的对项目使用方进行培训，以加快变更功能的适用性，减少新功能的不适应性所带来的项目风险。此外，对于新技术的应用，则需要根据实际功能需求、技术兼容性等多方面因素进行确定和测试，保证新技术的应用不会为项目带来风险。

3 总结

IT项目的风险控制和管理是一项复杂的、整体性的工作。充分掌握项目风险的特征，建立完善的风险控制和管理机制可以有效提高项目的成功率。

参考文献

[1]陈建斌，武刚，路梅，方德英，王海.IT项目风险管理关键成功因素实证分析[J].安徽农业科学，2010，38（3）.

篇5

企业的信息安全管理包含十分丰富的内容，简单来说是指企业通过各种手段来保护企业硬件和软件，保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标，即保证信息数据的完整，保证信息数据不被泄露，保证信息数据能够正常使用，保证信息数据能够控制管理。要想做好企业的信息安全管理，首先需要了解的是关于信息的传输方式。随着信息技术的不断普及，信息传递的方式越来越多，常见的信息传递方式主要有互联网传播，局域网传播，硬件传播等等。要想实现企业的信息安全管理，其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作，从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲，最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结，企业信息安全不仅仅需要信息技术的支持，更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。

所以，怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前，提前对企业的信息进行风险预估，并采取一系列的有针对性的活动降低企业面临的信息安全风险，从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一，建立企业信息安全风险管理制度，明确企业信息安全管理的责任分配机制，明确企业各个部门对各自信息安全所应承担的责任，并建立相应的问责机制。第二，设置规范的企业信息安全风险管理指标，对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级，方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三，企业要加强对信息安全管理人员的培训，提高企业信息安全管理工作人员的风险意识，让企业内部从事信息安全管理工作人员认识到自身工作的重要性，让企业内部从事信息安全管理工作人员了解到规范自身行为，正确履行职责的重要性。第四，将企业信息安全管理与风险控制有效融合，重视企业信息安全管理工作，通过风险控制对企业内部信息安全的管理方式进行正确评估，找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说，企业信息安全管理工作是一项极为重要而隐秘的工作，因此，必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计，目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上，对企业信息安全管理工作人员的道德素养，职业素养，风险意识并没有严格要求。此外，绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训，并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督，这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术，包括信息技术，计算机技术，密码技术，网络应用技术等等，应当说成熟的计算机应用技术是做好企业信息安全管理的基础，但是，现实是许多企业的信息安全管理技术并不过关，一方面企业的信息安全管理硬件并不过关，在物理层面对企业信息缺乏保护，另一方面，企业信息安全管理工作的专业技术没有及时更新，一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验，企业信息安全管理的知识也并没有及时更新，从而导致企业的信息安全管理理论严重滞后，这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂，很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业，企业内部设备数量比较多，尤其是客户端数量占了较大比重，仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外，企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善，更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析，许多企业虽然建立了企业信息安全管理制度，但是通常情况下，这些制度只能流于形式，企业信息安全管理工作缺少有效的制约和监督，企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全，企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一，企业员工对于信息安全管理的认识严重不足，对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新，使用，甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关，认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二，企业内部信息安全管理制度并没有形成联动机制，企业信息安全管理工作仅仅由企业信息安全部门“一人包干”，企业信息安全反映的问题并没有得到积极的反馈，一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段

1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构，它的设计初衷是面向客户的，提供给客户各种安全应用，安全应用必须依靠安全服务来实现，而安全服务又是由各种安全机制来保障的。所以，安全服务标志着一个安全系统的抗风险的能力，安全服务数量越多，系统就越安全。

2.P2DR模型

P2DR模型包含四个部分：响应、安全策略、检测、防护。安全策略是信息安全的重点，为安全管理提供管理途径和保障手段。因此，要想实施动态网络安全循环过程，必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应，防护通常是通过采用一些传统的静态安全技术或者方法来突破的，比如有防火墙、访问控制、加密、认证等方法，检测是动态响应的判断依据，同时也是有力落实安全策略的实施工具，通过监视来自网络的入侵行为，可以检测出骚扰行为或错误程序导致的网络不安全因素；经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中，应急响应占有重要的地位，它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者，企业信息安全工作人员直接主导企业信息安全管理工作，企业信息安全工作人员不仅仅是企业信息安全的保障者，也是企业信息安全管理的威胁者。因此，HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外，HTP模式同样是建立在企业信心安全体系，信息安全技术防范的基础上，HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后，HTP强调动态管理，动态监督，对于企业信息安全管理工作始终保持高强度的监督与管理，在实际工作中，通过HTP模型的应用，找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

（1）充分调查和分析企业的安全系统，建立一个全面合理的系统模型，安全系统被划分成各个子系统，明确实施步骤和功能摸块，将企业常规管理工作和安全管理联动协议相融合，实现信息安全监控的有效性和高效性。

（2）成立一个中央数据库，整合分布式数据库里的数据，把企业的所有数据上传到中央数据库，实现企业数据信息的集中管理与有效运用。

（3）设计优良的人机界面，通过对企业数据信息进行有效的运用，为企业管理阶层人员、各级领导及时提供各种信息，为企业领导的正确决策提供数据支持，根本上提高信息数据的管理水平。

（4）简化企业内部的信息传输通道，对应用程序和数据库进行程序化设计，加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

（1）确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中，首要工作是设计企业信息安全风险评估的目标，只有明确了企业信息安全管理的目标，明确了企业信息安全管理的要求和工作能容，才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度，才能顺利通过对风险控制的结果的定量考核，检测企业信息安全管理的风险，定性定量地企业信息安全管理工作进行分析，找准企业信息安全管理的工作办法。

（2）确定信息安全风险评估的范围