近两年来,企业内部控制和风险管理问题成为了大家共同关注的热门话题之一。内部控制和风险管理是现代企业管理的重要组成部分,它们和企业管理共同发展起来,并在现代企业管理中发挥着必不可少的重要作用。传统的内部控制和风险管理都是建立在大量文档和人工操作的基础上,这样的方式不仅效率低、成本高,而且对于一些含有复杂商业逻辑的管理部分增大了易错性。而随着政府机构对公司企业监控力度的加大,更使得企业风险管理关系到整个企业对法律的遵从。以解决以上问题为基本目的的软件系统应运而生,但是由于业界对于企业风险管理理论的研究历史不长,而且长时间都是使用手工的方式进行各种风险管理活动。通过使用软件系统来辅助风险管理是最近几年才慢慢流行起来,而这些已有的软件系统更多的都关注在某些行业或某些领域的内部控制,特别是法律的遵从,因此不免具有各种局限性。 本文分析了企业内部控制和风险管理的潜在需求,并以某国际大型金融公司一个风险管理系统为基础,探讨了风险管理系统的几个难点问题,试图提出一个较为通用的解决方案。在控制单元和控制过程的文档化方面,通过将控制单元和控制过程的概念抽象化,使得用户可以根据企业内部的具体情况自由地定义控制单元和控制过程,使其适应不同规模和类型的企业以及企业结构的调整。在控制条款以及法律的遵从方面,不同行业有着不用类型的管理控制规则,而随着时间的发展,管理的内容法律的条款也在不断变化,如何能够灵活地适应以上这些变化,就显得尤为重要,本文通过将控制条款独立化,使得控制条款与整个系统的耦合性大大降低,从而使得企业更加灵活地适应企业环境的变化。在系统的有效性方面,传统上软件系统对于企业管理只起到一个参考的作用,本文通过将控制的结果与企业内部的实体相关联等方法,有效地提高软件系统对于企业管理的价值。