開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業信息化風險����,希望這些內容能成為您創作過程中的良師益友��,陪伴您不斷探索和進步。
第1篇
1 正確認識企業信息化風險和風險管理
提到企業信息化的風險,大家普遍會聯想到病毒��、黑客攻擊��,認為只需要使用殺毒軟件�����、防火墻等安全產品就可以了,但這只是信息化安全方面的風險,是對企業信息化風險的狹義��、局限性認識�����,這種認識暴露出我們長期以來在風險防范���、管理意識方面的薄弱。而真正廣義的企業信息化風險是指在信息化實施過程中��,由于各種因素導致結果與最初的信息化戰略目標存在偏差�,有偏差即是有風險,不管這種風險是否給企業帶來經濟損失�����。我們只有通過合理的方法辨識風險��、分析風險�����、控制風險,找出風險來源���,區分風險因素對信息化產生的影響,并且針對不同的風險采取相應的防范與化解的措施���,力爭將損失和威脅降到最低,才能使企業信息化的效能最大化�。
2 企業信息化風險的原因
信息化系統相對于一般的項目而言在管理�����、技術����、時間���、資金��、實施和維護等方面存在更多的風險因素,但歸納起來主要是三個方面:管理層風險�����、執行層風險���、操作層風險�����。
2.1 管理層戰略風險 俗話說:“站得越高���,看得越遠”���,只有對信息化做出正確���、長期��、準確的戰略發展規劃,信息化系統成功的機率�����、對企業做出的貢獻才會越大�。首先,需要企業管理層對信息化的價值理解透徹�,不能急于求成�、盲目跟風�����,抱著“別人都有�,我也要有����,要用就用最好的”等錯誤思想�����,而要從信息化的實用性��、功能性、安全性等方面進行全面統籌和權衡,必須要以支持企業經營管理��、提高工作效率為最終目標���,可采取分步實施�、重點突破、逐步完善的信息化部署戰略。其次�����,企業信息化是對管理觀念的一種轉變和突破�����,企業高層必須要理解和接納這種管理思想��,必須要在人力、物力����、財力上給予信息化建設高度重視���,領導的重視和親身參與����,勢必帶動各級員工的積極性和參與意識,為信息化項目的實施奠定良好的基礎�����。
但是�����,不少企業高層管理人員尚未認識到這一點,對信息化的認識和管理理念比較落后,在有些領導看來����,信息化只是個面子工程�����,是個無底洞,需要不斷的投入,還不能直接給企業創造經濟效益。因此在進行信息化規劃時目標不明確,動機不純�,或者干脆沒有規劃�,為以后信息化實施埋下了隱患���。比如:某企業2008年花費十幾萬購買了一套公文流轉系統,該系統功能強大,完全能滿足企業無紙化辦公需要���。但是領導長期在外,常年不用電腦,再加上領導無法適應傳統的領導圈閱方式一子被電子簽名所取代,所以長時間采用公文流轉和領導紙質圈閱并行方式����。這就是典型的管理層戰略風險�����,管理層觀念落后,實施信息化動機不純,單純的為上信息化而信息化�����。最終的結果只能是企業投入了大量資金卻并沒有提高工作效率��,信息化系統形同虛設,無法發揮應有的作用���,造成資金浪費。
2.2 執行層風險 有了信息化戰略規劃����,具體執行部門就要根據規劃實施信息化項目����,在具體實施過程中�,可能存在來自于技術落后、資金短缺��、管理低下�����、人才缺乏等方面的風險�����。
2.2.1 信息化系統選擇風險。如今市場上各種信息化軟件��、硬件產品眾多����,不同應用平臺和開發工具,不同的硬件集成�,都將決定企業信息化未來的效益����、維護成本和轉移成本���。一旦系統或設備選型不當���,將限制企業信息化的長遠發展����。因此選擇信息化系統時要兼顧功能和技術要求,功能上既滿足當前的業務需求��,也要考慮未來的業務發展�。技術并不是追求越先進越好,而應該選擇現階段技術比較成熟���,可升級、兼容更新技術的產品����。比如:某國有大型企業2005年耗資上百萬在全公司自上而下部署了一套電子檔案管理系統���,但在使用中發現該系統存在諸如操作不方便���,與協同辦公平臺不兼容等問題����,導致系統使用不到半年就夭折了����,2010年公司又重新研發了一套全新的電子檔案系統。這就是信息化系統選擇失敗的典型案例���,這種情況在現在的企業尤其是國有企業相當普通。
2.2.2 信息化項目管理風險�。信息化系統的實施過程是一個復雜而又艱巨的系統工程��,在內部,它滲透到企業經營的不同層次����、不同部門之中,是一個全員參與的項目,在外部,它要適應信息化的快速發展,與系統提供商的合作溝通等等�����。在項目實施過程中�����,如果各部門溝通不順暢����、協同不力���;系統實施人員特別是核心人員的流失或中途調動�����;實施費用嚴重超出預算等都可能直接影響信息化的實施結果�����。因此,項目實施領導小組必須要掌好舵、舉好旗,嚴把項目進度��、成本�、質量關,負責各級部門的組織和溝通協調,確保實施人員的穩定性����。
2.3 操作層風險 操作層是指實際應用信息化系統的部門或人員���,這是最容易被人忽視,也是最容易產生風險的環節�����。
2.3.1 業務流程風險���。在應用信息化系統之前,企業必須要根據崗位職責對各崗位的業務流程進行完善和優化,使信息化系統與實際業務工作相匹配,否則就會造成系統與實際脫節��,形成信息孤島�����,無法發揮作用����。
2.3.2 基礎數據風險�����。在利用信息化系統進行數據分析的時候�,必須要求數據及時�、規范、準確、完整����,否則得出的分析結果就可能與實際大相徑庭���。因此����,企業要通過一些規章制度來明確和規范數據的內容��,通過督導檢查���、高額獎懲等手段來確保數據的及時性和準確性。
2.3.3 信息安全風險��。其一�����,要盡量確保信息化系統在安全性上不能有漏洞���,發現問題要及時與系統供應商溝通解決���;其二����,購置相應的安全保護軟件或硬件設備���,幫助減少系統安全風險��,提高系統的運行穩定性�。其三���,要制定和完善系統安全運行規章制度���、數據故障應急預案�����,確保系統出現故障時可以及時處理��。
3 企業信息化風險管理的策略
3.1 建立信息化風險管理機構 隨著企業信息化的不斷推進,信息化在企業中的地位不斷凸顯���,并且成為企業核心競爭力的組成部分��。因此����,企業應該及時組建企業信息化風險管理機構��,它的職能是建立科學的風險分析�、評估體系��,定期評估信息化風險���,監控信息化實施�、運行過程,從企業整體利益出發��,根據產生風險的性質和特征��,選擇不同的風險處置方案�����。設置企業信息化主管(CIO),直接對企業決策層負責��。
3.2 建立科學����、規范的業務流程 管理手段的落后和管理流程的混亂,是大多數企業的通病���,企業信息化關鍵的一步,就是建立一個科學����、規范、先進����、適用的工作業務流程�,并且要將管理策略和制度融入業務流程之中�。“沒有規矩,不成方圓”,企業都制定了一大堆管理制度,涉及到企業管理的方方面面��,但這些制度或多或少被束之高閣���、有名無實��。因此���,要將這些管理制度和業務策略信息化�����,用程序化的手段融入業務流程之中,成為業務處理過程中的決策工具,實現業務流程和業務控制策略、企業管理制度一體化的信息化系統���。
3.3 營造一個信息化風險管理的環境 信息化是把“雙刃劍”,大家既要認識到信息化給企業帶來的積極意義,也要認識到信息化失敗給企業帶來的危害����。因此�����,營造一個信息化風險管理的文化環境是非常重要的,平時要注意培養大家風險管理的意識,并貫徹到日常工作中去。隨著信息化的逐漸深入���,當信息化己成為日常工作的必須工具,與自己的業務本職工作息息相關的時候,大家就會意識到自己對于風險防范的責任,加之經常培訓員工風險管理的方法和措施�����,企業整體的風險管理能力就會逐步提升����。
3.4 引入第三方風險檢測���、評估機構 在信息化的風險管理中����,很多風險必須通過專業的手段和儀器才能夠進行檢測和分析,因此還應該引入第三方檢測評估機構����,通過專業化的檢測手段發現系統錯誤����,對系統作一個公正���、客觀、科學的評價,最大程度地避免信息化的“豆腐渣”工程��。在這個過程中���,我們要摒棄傳統的自我保護思想�����,害怕被發現問題����,要以更加開放的心態去進行信息化建設�����,內外合作,才能逐步增強抗風險能力���。
第2篇
【關鍵詞】 企業信息化 風險分析 風險防范
一、企業信息化的含義與實質
通俗地講,企業信息化就是以計算機應用及網絡技術為手段,在企業的各個部門(生產�、經營���、設計,物資等)進行各種業務信息的收集����、加工���、傳輸�、存儲、更新和維護�。
企業信息化的宗旨是為企業的生產�、經營����、管理服務,發展基礎是企業的管理和運作模式,而不是計算機網絡技術本身,企業進行信息化建設實質上就是利用信息化先進的、智能化的技術工具來實現企業管理目的;而且,隨著信息化工作的全面展開和深入,企業在提高管理檔次��、提升生產率����、加速資金周轉方面,越來越能感受到信息化的重要性。
企業信息化的過程,實際上就是以信息技術手段對企業各種資源��、組織機構�����、工藝流程等等進行重新梳理���、構造的過程。它的目標是要使企業各種資源得到更加合理的開發和利用,提高組織效率,從而提高企業市場競爭力。
二�����、企業信息化的風險分析
1.軟件風險
1.1 軟件功能風險�����。由于企業對信息系統建設目標��、約束、總體結構不清,信息戰略錯誤,弄不清要建設一個什么樣的信息系統;立項時切入點不準確,定位不正確,信息化建設策略不對,盲目追求功能完整、一步到位并在其他企業已經應用成功的建設方案,以致軟件本身可能存在各種功能不足或潛在的軟件缺陷����。
1.2軟件選擇風險��。管理軟件常見的有兩種比較極端的模式,包括較早期的對企業進行單純的手工模仿的MIS系統和在中后期的強迫用戶套用現有模式的通用產品。手工模仿的MIS系統完全放棄了對企業現狀的改善和優化,而通用產品則忽略了對客戶的個性化需求的關注,而在以客戶為中心的信息社會里,這不可避免的在信息化項目上烙上了失敗的印跡。企業在軟件選擇的決策中很容易掉入“說客陷阱”,偏重選擇知名度高�、技術先進的管理軟件,不能把企業自身的實際需求和業務處理過程與管理軟件進行匹配,導致選擇的軟件不能適應企業的需求,難以實施成功�。即使實施成功,但運行成本高,更新換代困難,企業管理模式的調整受到限制����。
2.實施風險
2.1項目人員組織風險。在組織隊伍時,企業易犯的兩種錯誤:其一,以企業缺乏IT技術人員為由,將項目外包給軟件供應商或商,企業只是組織力量進行驗收評估���。殊不知一方面,有些商技術力量單簿,甚至對軟件功能根本不熟悉�����。另一方面,即使商有較強的技術力量,但對企業的業務處理流程缺乏深入了解,難以按照企業需求進行系統配置與二次開發。其二,完全由企業內部的IT技術人員單獨進行系統實施,沒有看到內部技術人員缺乏對軟件的了解及項目實施經驗,很難從整體上把握好項目的實施�����。
2.2項目建設工期風險����。接觸過信息化建設的人士都知道,一個信息系統的實施不是短時間內能夠完成的,上一個比較完整的ERP系統,少則半年,多則一兩年,甚至三四年����。實踐表明:許多企業信息化建設項目由于各種原因使得工期一拖再拖,無法按照預定工作計劃的期限完工,導致項目半途而廢或系統上線嚴重延遲,造成企業各層領導及職員對信息化喪失信心,項目成本失控。這種風險的控制關鍵在于項目開始時必須制定明確的、切實可行的階段實施計劃,對建設過程中的每一階段的計劃執行進行監督和檢查,對計劃延遲要查找和分析原因,針對不同情況,或調控計劃或采取相應措施進行補救,以實現對項目進度的控制,使整個實施能夠按照預定的時間表進行����。
2.3項目質量控制風險�。系統上線后,企業聘請有關專家對系統進行評估驗收,但這種驗收往往難以控制系統實施質量,因為,即使發現問題,如果問題出在實施初期的基礎階段,要解決問題,工作量大,可能涉及到整個系統,在后期補救時將會付出難以承受的代價,直接導致項目全部或部分失敗����。造成這種風險的原因是缺乏“過程質量”的控制,在實施過程中未能隨時控制實施質量。
2.4項目成本控制風險����。企業信息化在成本控制方面的風險是:費用預算不準確,項目實施中途或結束時大大超過預算,使得企業出現資金困難,陷入進退兩難的境地,影響正常運營,迫使項目中斷�����。成本預算中常見的誤區是:只看到軟件和硬件費用,忽視了培訓費用、實施咨詢費用、維護費用。事實上,實踐經驗告訴我們:后三項費用合計往往超過前二項費用之和����。因此,成本預算時必須考慮全面,合理概算各項費用,制定詳細的費用開支細目,并在項目進程中將成本控制在計劃之內,避免發生“金融危機”�。
3.轉變風險
3.1管理理念導入風險�。眾所周知,企業信息化系統不僅是一個技術系統,而且還是一個管理系統,在軟件中融入了先進管理思想和理念。建立一個科學合理的信息化系統會不可避免地沖擊現行管理體制?�?梢哉f如果要考慮信息化,首先應該考慮管理問題,其次才是技術問題�。企業應用系統最容易出現的問題是:系統上線后,日常管理仍保持原系統的慣性,沿用原管理模式,許多管理制度沒有更新。按照這樣的思路進行信息化,最后得到的結果也只能是原來手工操作的計算機“翻版”,不可能給企業帶來絲毫的本質上的變革。其結果是軟件中先進管理思想無法得到體現,系統功能不能發揮作用,投資效益難以實現���。其根源在于全體員工缺乏對系統內涵的理解,沒有用現代管理思想與管理理念武裝頭腦,觀念沒有更新。因此信息化建設要從我們的管理變革開始,而管理變革勢必觸及企業的核心,觸動個別機構的責權,其風險性是必然的。
3.2組織架構調整的風險。為適應新系統帶來的改變,企業必須在組織架構和部門職責上作相應的調整。因此,實施信息系統往往需要同時進行企業流程重組和改善的工作�����。在流程改組中,會涉及到部門職能的重新劃分�、崗位職責的調整、業務流程的改變�����、權力利益的重新分配等復雜因素,如果企業不能妥當地處理這些問題,將會給企業帶來不穩定因素�。
三、企業信息化的風險防范
1.軟件風險防范�。從企業戰略目標出發,通過調查,對企業管理業務中內容分散����、含糊不清的問題進行識別,在系統要實現的目標及管理���、技術和經濟上進行可行性論證,找出(下轉第12頁)
(上接第47頁)實施信息化的不利因素,研究改進方案,明確項目開發的必要性和可行性,根據可行性分析進行決策��。在進行可行性論證時,要防止“一切外包”的現象,把論證工作全部交給供應商或開發商去完成,企業必須自行組織技術�����、管理人員,通過培訓后,在咨詢人員的指導下進行可行性論證工作�����。
企業機體對信息技術的消化吸收能力即有機融合能力是決定企業信息化成效的決定性因素之一。因此,企業信息化技術方案策劃應充分考慮企業現有的基礎條件――資金�����、人員素質����、管理水平等條件對技術適用性的約束問題��。很多企業的信息化,問題都出在盲目上����。技術方案可行性分析包括技術先進性分析��、技術適用性分析、技術可靠性分析及技術經濟性分析等��。目的是對信息化建設項目多種可供選擇的技術方案的利弊得失進行全面的論證分析,以甄選一個正效益最大,而負效益最小的可行方案。這里的正效益最大,而負效益最小的實質是――適用前提下的先進�����?���;谖覈髽I技術水平落后,管理粗放的現狀,在技術方案選擇時,要特別防范只求所謂先進,不注重技術適用性的風險。因此,企業在信息化過程中,應依企業的具體情況逐步提升信息技術的先進水平�����。
2.實施風險防范
(1)為規避這種風險,項目隊伍組織應該考慮到管理����、技術、財務等方面的人才,通常最佳組合是:由具有豐富的信息化建設經驗的外部顧問和企業內部的管理人員�、業務人員����、技術人員�、財務人員共同組成,由企業信息主管直接領導,通過項目實施經歷,企業內部人員從“了解―― 熟悉―― 精通”而成為企業信息化管理專門人才,使得咨詢顧問的經驗與知識沉淀在企業,系統上線后不再依賴于顧問���。
(2)項目開始時必須制定明確的、切實可行的階段實施計劃,對建設過程中的每一階段的計劃執行進行監督和檢查,對計劃延遲要查找和分析原因,針對不同情況,或調控計劃或采取相應措施進行補救,以實現對項目進度的控制,使整個實施能夠按照預定的時間表進行����。
(3)在系統實施之前必須定義項目實施各階段目標和期望,并且盡可能量化,吸收有關專家在信息化評價方面的研究成果,在每個階段完成后對實施質量作出評價,不達標必須返工;系統上線了不要急于作出結論,必須通過3個月的實踐運行,使得系統的各種流程和邏輯通道都基本遍歷過,效果良好,達到企業預定目標,才算合格工程����。
(4)在項目實施過程中,以業務流程設計企業管理,逐漸優化管理而不是追求一步到位,這樣可以減少實施風險���。它改變過去由技術(軟件)主導企業信息化的思想,而是通過企業管理者根據實際情況自主設計自己的管理模式�。從技術開發和項目實施角度來看,可以真正提升軟件的開發、和維護效率,實現企業信息化過程中的用戶參與、快速開發��、快速應用����、靈活調整,大幅度提升管理系統實施和應用的成功率及投入產出比。
3轉變風險防范
第3篇
一、制造企業信息化建設的風險分析
制造企業信息化建設建設主要是采用CAD/CAM/CAPP等現代化的信息技術��,使得制造企業生產過程信息化���;采用MEP/ERP等現代化的管理技術����,則是為了制造企業的管理水平科學化,管理流程信息化;采用CMS等��、等進行制造企業信息的搜集���,逐漸形成集設計�、制造以及管理為一體的計算機綜合集成制造系統,并采用計算機技術,將制造企業內部的信息資料整合起來��,并將其擴展到制造企業外部�����。從制造企業信息化建設本質來看���,就是實現制造企業各個層面的信息化��,使得企業整體運營逐漸高效化、科學化、合理化���。由此可見,制造企業信息化建設并不是一個企業信息化的建立,它是一個信息化系統的革新,對制造企業而來�����,更像是一場信息化革命[1]�����。然而��,對于制造企業信息化建設而言,雖然信息化建設有利于當下企業管理格局的改善,但是在制造企業信息化建設中必然會遇到各種風險因素�����,這就要求企業在信息化建設的過程中�����,除了關注信息化建設之外�,還需要對周圍的風險源進行及時的偵查���,分析風險源的源頭����,做出最佳的風險處理措施���。
(一)制造企業信息化建設技術風險�����。高制造企業信息化建設屬于高科技的信息化應用����,這類信息化技術對于制造企業的管理和信息搜集大有幫助����,但是該類型的技術牽扯信息內容過多,是多種綜合技術的結合�����,因此存在很多不確定因素�����,對于初步建立信息化的制造企業而言����,這種不確定的風險因素在短時間內難以做到合理化的有效控制����,無法預測信息化系統在運行過程中的偶然現象���,對于風險的發生不能做到及時的防范����,進而給制造企業帶來經濟損失。
(二)制造企業信息化建設資金風險��。制造企業信息化建設中必然會投入大量的資金��,用于各種軟硬件設備的購買�、軟件系統和信息支付企業的服務費用等等。除此之外����,還涉及一些隱藏費用���,例如制造企業信息化建設后的信息系統應用培訓�、信息化系統安全維護費用等��,致使制造企業耗費大量的資金費用��,給企業的資金流轉造成阻礙。此外����,由于制造企業信息化建設投入資金預算和實際花費資金差距過大�,會造成制造企業運營的資金短缺[2]�。此外,在制造企業信息化建設后��,需要花費幾十萬或是幾百萬資金用于整個制造企業信息系統維護和調整�,使其滿足制造企業信息化發展需求。
(三)制造企業信息化建設安全風險����。制造企業信息化建設之前�,由于對信息化的陌生����,使得企業管理人員安全防范意識匱乏�,忽略了制造企業信息化建設安全風險,導致客戶信息資料的泄漏,外來病毒入侵��,引發整個信息系統的癱瘓��。
二��、制造企業信息化建設中風險防范措施
制造企業信息化建設風險防范措施的應用是信息化建設中必不可少的關鍵環節,它對于制造企業信息化系統安全運營大有裨益。此外�,加強制造企業信息化建設中的風險防范��,還能減少因風險因素造成的經濟損失[3]。以下則是筆者結合制造企業信息化建設中出現的風險因素,在查閱多方資料后總結出的風險防范措施。
(一)制造企業信息化建設技術風險防范措施����。一個完整的信息系統��,必然離不開多項技術的綜合應用。對于制造企業信息化建設而言,其應用的信息化技術都是按照信息系統建設的總規劃�,按部就班的采用制造企業信息化建設技術�����。因而,在制造企業信息化建設風險防范中�����,需要根據制造企業信息化建設整體目標和階段性計劃����,找準技術的切入點,按照制造企業信息化建設層次,進行風險防范��。
(二)制造企業信息化建設資金防范措施���。制造企業信息化建設風險因素的發生��,必然造成制造企業的經濟損失,治愈資金損失額度大小�����,則完全取決于制造企業信息化的風險管理��。比如�,在制造企業信息化建設之處就制定好嚴密的風險管理計劃��,并安排管理人員對制造企業信息化建設資金進行預算統計和管理��。在此基礎上,加強制造企業信息化建設的日常監控���,一旦發現隱藏風險源及時進行處理解決,降低制造企業信息化建設中額外的風險資金投入[4]�����。
(三)制造企業信息化建設的安全風險防范。制造企業信息化建設中的安全風險防范�,需要從制造企業信息化內部進行管理和風險監測����。由于每年制造企業都需要投入大量的資金用于安全風險維護�����,基于此���,可用這筆資金進行信息化風險管理人員的技術培訓以及日常信息系統的維護當中���,一旦發現制造企業信息化建設的風險漏洞�,采取防火墻措施�����,避免客戶資料的外泄和外來病毒的入侵。其次��,加強客戶安全意識的提升����,采用郵件形式,告知客戶安全操作流程�����,便于客戶的風險防范����。
第4篇
[關鍵詞] 云數據;信息化����;安全風險���;策略
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2016. 13. 037
[中圖分類號] F270.7���;TP309 [文獻標識碼] A [文章編號] 1673 - 0194(2016)13- 0074- 03
0 引 言
隨著互聯網技術�、通信技術�、虛擬化技術和SOA技術的發展,以服務形式向用戶提供計算資源的云計算�,正在改變人們的工作方式和企業運營模式���?;谠朴嬎氵M行企業信息化建設����,能有效降低成本�、提高效益和促進創新,許多企業已經投入到云計算的信息化浪潮中,實施了自己的云平臺戰略�。目前��,云服務商在提供云計算服務時,雖然絕大部分都采用了國際先進的信息安全保障技術,但云環境中的信息安全風險仍不容忽視。
1 公有云
“云”在網絡拓撲圖中常用來表示Internet����,是對復雜的互聯網的一種抽象����。因此把這種基于Internet的計算方式形象地稱為“云計算”�����。一般來說��,云計算提供的服務有三種類型:軟件即服務(Software as a Service,SaaS)��、平臺即服務(Platform as a Service����,PaaS)���、基礎設施即服務(Infrastructure as a Service���,IaaS)�����。公有云是云計算的重要模式之一,通常由第三方云服務商為用戶提供�。公有云的一般框架如圖1所示�。
2 基于公有云的企業信息安全分析
企業信息化過程中�����,云計算已受到眾多企業的追捧,云計算可使企業將部分計算處理工作外包云服務商,企業可以通過互聯網來訪問云數據。與此同時云計算中的數據安全風險也不容忽視����。一方面����,云計算中的數據對于數據所有者以外的用戶是保密的��,但是對于提供服務的云服務商而言是透明的����。另一方面��,云數據在存儲��、傳輸與使用過程中,會不斷遭遇不法行為的攻擊?���?偟脕碚f�����,云數據安全風險主要有三大來源:云計算中心數據丟失與泄露、數據傳輸竊取、終端數據泄露。從公有云安全風險所涉及的不同網絡層次考慮���,可以將安全風險主要歸納為 :云計算中心數據存儲安全、云數據傳輸安全、云端用戶安全��、云數據審計安全��、管理維護安全等,如表1所示��。
3 云數據安全風險控制策略
為了更好地研究企業信息化過程中基于公有云的安全風險��,下文提出了一種“三位一體”安全風險控制策略�,如圖2所示�����。要解決云計算環境下的數據安全問題�,僅僅在云計算中心實施保護是不夠的��,必須要通過融合云中心數據安全技術����、終端數據安全技術����、網絡安全技術為一體,實現對云數據的一體化控制策略����。在云計算中心��,重點完成用戶身份認證、多租戶模式下的數據隔離����、用戶異常行為檢測��、數據封裝加密��。在終端,重點完成用戶密鑰生成����、終端環境安全、終端外設安全���、終端文件加密保護。在網絡傳輸過程����,重點完成終端與云計算中心之間建立虛擬安全通道�����。
3.1 云計算中心數據存儲安全策略
企業在使用云計算服務時,數據的存儲是非常重要的一環��,其中包括數據的存儲位置�����、數據的災難恢復��、數據的隔離等。然而�����,云計算服務商為企業提供存儲空間服務時�,云端用戶并不清楚自己的數據儲存位置;云數據存儲地是否存在信息安全問題��、是否遵循當地的隱私協議����、是否能確保企業數據不被泄露等安全因素。
3.1.1 數據安全隔離
基于分布式數據存儲的思想���,可以將數據中心的共享存儲劃分為不同區域,在不同區域之間配置安全策略�����,防止非授權的跨區域數據訪問�����。在數據中心運行時,動態監測數據中心中的用戶行為,根據采集到的行為數據進行識別��。結合數據遷移策略�����,將受到威脅的數據遷移至其他區域�,并停止惡意用戶對于該部分數據的訪問授權����,使得惡意用戶無法攻擊該部分數據,從而防范云計算中數據隔離和攻擊的問題,保護云計算中用戶的數據與隱私安全�����。
3.1.2 數據庫加密
傳統的數據庫����、操作系統安全和物理安全訪問控制機制,為數據庫提供了一定的安全措施和技術,但并不能保證在云計算環境下數據庫的安全需求����,尤其是一些重要部門數據和敏感數據的安全�����。造成不安全的主要因素是數據庫中的原始數據以可讀形式存放,如果對數據庫中的數據���,采用安全數據庫、可搜索加密等技術,對數據庫系統及密文進行加密處理�,即使受到非法入侵或者盜取數據存儲介質�,若沒有相應的解密密鑰�,依然不可獲取所需數據。
3.2 云數據網絡安全策略
一般情況,企業數據中心存有大量的重要數據,如企業客戶信息、商業秘密�、財務數據����、重要的業務流程等�。在云計算環境下,企業將數據通過網絡傳輸到云計算中心進行處理時,就會面臨著網絡傳輸數據的安全問題。目前����,云計算服務商主要采用加密算法的安全通信協議與超文本傳輸安全協議�����,雖然這些協議具有完整性與認證性等特征,但也并不能確保云數據傳輸不被竊聽或截取。
3.2.1 文件透明加密
云計算終端數據絕大多數以電子文件形式存在��,系統提供文件透明加密���,確保終端用戶在操作方式不發生改變的情況下����,電子文件以密文方式存儲。采用驅動層透明動態加解密技術�,自動對存儲到磁盤的數據做加密運算����,對從磁盤讀取的數據做解密操作�����。通過指定文件類型或者處理進程�,進行強制加密�����、強制訪問控制和離線管理等技術手段,達到所有存儲介質上存在的該類型文件全部加密���,可以有效防止機密信息泄漏。
3.2.2 虛擬安全網絡
構建先進的虛擬安全域網絡�����,使用戶可以同時訪問多個應用的虛擬安全域����,但相互之間是隔離的,用戶終端無法使用來實現兩個虛擬安全域之間的路由���。并且根據權限和安全策略,動態地將被訪問的各種應用系統資源劃分到不同的虛擬安全網中���,實現具體業務應用系統環境的動態專用性,并且從安全管理角度上對網絡數據進行精細化的安全管理���。
3.3 云端用戶數據安全策略
云端用戶存取云計算數據的途徑方式多樣,不同用戶終端的安全防護措施差異也較大�,云服務商難以有效監控云端用戶的諸多安全風險�����。云服務商為吸引龐大的客戶群,開辟了大量的外鏈接通道���,嚴重威脅云數據安全。其次���,部分云服務商的內部員工通過云管理平臺的特權接口,隱蔽地訪問云數據或通過旁路通道獲取部分運行信息推演數據��,造成云數據泄露或損毀��。
3.3.1 身份認證管理
基于PKI安全體系,可以將安全策略�����、安全認證、安全管理等多應用深度整合�,形成一個統一�����、堅強的安全防護體系,包含安全事件收集�、事件分析�����、狀態監視、資源管理�、用戶管理以及授權策略管理�,并通過流程優化�、系統聯動、事件管理等方式深層次���、全方位地整合各應用系統資源,最高效率地處理安全問題����,保護系統資源整體安全��。系統以核心安全服務中間件為引擎,以應用資源為中心��,按照集中認證����、統一授權、統一審計�、統一管理的原則���,深度整合系統資源,達到全面的安全目標,同時通過異地認證達到更廣范圍的跨區域整合。
3.3.2 終端桌面安全
在終端區域�����,可以通過遠程監控�����、補丁推送��、軟硬件資產統計、終端程序控制策略、本地虛擬運行環境、進程安全管理、桌面資源管理和軟件和補丁分發等技術��,保障終端桌面工作環境安全��。
3.4 云數據審計安全策略
用戶對自己數據的完整性和安全性負有最終的責任��。傳統服務提供商需要通過外部審計和安全認證,但一些云計算提供商卻拒絕接受這樣的審查。為了保證數據的準確性和有效性往往會引入第三方的認證機構進數據審計。在實施審計的過程中��,還需保證審計機構不泄漏相關企業的敏感數據�����。
4 結 語
文中通過分析云計算環境下的云數據儲存���、網絡傳輸及云端數據處理三方面存在的數據安全風險�,結合云服務商數據資源管理和企業信息化過程����,提供了針對云計算環境下的“云計算中心+數據傳輸+云端”的三位一體的數據安全控制策略,確保云計算數據的保密、完整、可用��,為基于云計算的企業信息化建設提供參考�����。所采用的方法能夠結合云計算服務提供商的需求進行擴展。
主要參考文獻
[1]Peter Mell��,Timothy Granee.The NIST Definition of Cloud Computing[R].Nation Institute of Standards & Technology�,2011.
[2]陳康,鄭緯民.云計算:系統實例與研究現狀[J].軟件學報����,2009�,20(5):1337-1348.
第5篇
關鍵詞:企業信息化過程��;內部控制問題����;研究
企業內部控制是企業管理的重要組成部分,其本身也屬于管理學領域內的一個分支�。內部控制的出現主要取決于企業的內部分工�,其本質屬于一種經濟管理活動����,距今已經具備很多年的發展歷史。內部控制的職能與作用主要是為了協調企業各部門和生產經營環節之間的銜接,從而保證企業的穩定運行���。鑒于此,本文對于企業信息化過程中內部控制問題的延吉具有重要意義。
一�、企業內部控制制度概述
(一)內部控制的基本概念
內部控制的基本定義當中包含了3個核心詞匯�����,即目標,風險和控制,即為了達到某一個業務目標�����,需要通過管理程序或活動減少影響目標的風險�。其中,業務目標的基本特征包括量化、可衡量以及可實現��,風險則是指任何可能影響某一組織實現其目標的事項����。在企業內部公司管理層為了達到企業的某種經營目標���,需要在公司經營環境和過程中規避風險事件�����,為經營目標的實現創造有利的內部環境[1]����。
(二)內部控制產生的原因
內部控制之所以出現���,主要是因為在企業的生產經營過程中存在著諸多的風險隱患��,包括商業風險和管理風險����。商業風險中主要包括經營環境��、行業的風險�,企業所處的金融時常風險��,產品的開發能力風險等�����,這些風險完全不受企業支配。管理風險主要包括經營和財務信息的不足�,政策��、計劃、程序����、法律和標準貫徹失敗,資產流失,資源浪費和無效使用以及不能達到企業的目的和目標等事件��。上述風險的存在很容易導致企業的競爭失敗�����、經營中斷��、資產損失、決策失誤以及商業欺詐和法律訴訟等,不僅使得企業的目標無法達到,同時也會給企業的名譽造成較大的影響。因此�,為了將風險降低到最小�����,就需要加強對企業的內部控制[2]。(三)內部控制系統概述內部控制的基本要素包括監督、信息與溝通����、控制活動��、風險評估與控制環境����,內部控制貫穿于企業的所有業務部門�,其目標主要包括三個方面,即提高企業的運營效率與效果�,增加財務數據的可靠性�����,并遵循相關的法令與合約承若?��?刂苹顒拥念愋鸵话惆A防性控制、檢查性控制���、糾正性控制和補償性控制���。
二��、企業信息化概述
(一)企業信息化建設的必要
現以實際企業為例�,說明企業信息化建設的必要性�����。某公司成立20余年�����,在歷經各種考驗后,規模不斷壯大,但隨著近年來競爭的加劇及市場環境的惡化�����,公司產品銷量受到沖擊���,但同時費用卻未達到同幅度縮減�����,導致業績出現下滑��。公司內部深層次矛盾逐漸暴露出來,比如費用效能低、市場反應滯后�����、決策信息支持不夠等����。公司管理層對此也早有預期���,因此2014年公司就積極尋求改革����,提出轉型升級、流程再造��,并與IBM合作開發高質量全面管理信息化平臺��。遵循“業務模式化”�����、“職能流程化”和“體系信息化”的思想,通過流程優化梳理�����、數據整理�、用戶培訓等一系列精心的上線前準備及上線檢查、模擬運行����、數據導入��、交付使用等嚴密的切換部署�����,使項目進項落地。在此基礎上提升了業務操作水平和公司整體運營效率���,使管理層實現前瞻管控,并且為決策層提供實時全面的信息數據和決策輔助����。由此可見,企業信息化建設是十分必要的[3]��。
(二)企業信息化的內涵
企業信息化就是指在計算機互聯網技術和數據庫技術等現代化信息技術的支撐下���,完成對企業業務流程和生產經營活動的優化����,實現企業資源的合理配置和高效利用,從而提高企業的市場競爭力和經濟效益���。企業信息化的基本特征主要包括信息處理的計算機化、信息傳輸的網絡化����、信息資源管理的數據庫化�����、信息應用的普及化等,信息系統的覆蓋面已經遍及整個企業以及與企業有業務往來的所有單位中�。
三����、企業信息化過程中內部控制問題分析
企業信息化過程中內部控制問題主要表現在以下幾個方面:
(一)內部控制系統中的控制環境更加復雜
控制環境作為企業的核心��,是企業的人以及它所處的環境����,是推動企業的引擎��,也是其他要素的基礎����。其不僅提供了企業紀律與架構�����,同時塑造了企業文化,影響著員工的控制意識。在企業信息化的過程中���,增加了控制環境的復雜化,其主要原因在與信息化建設下的企業內部組織機構趨向于扁平化,從而使得傳統企業組織機構的集權化和規范化受到威脅。在組織控制復雜的基礎上�����,管理很容易出現失控現象����,從而威脅到企業運行發展的穩定性[4]。
(二)內部控制系統中風險評估的要求標準更高
企業信息化過程中,由于加入了信息化元素�,使得企業組織系統的風險類型進一步擴充���,信息系統的控制功能范圍進一步擴大�����,企業原有的業務流程以及控制監督體系被重新改造,因此增加了內部控制系統對企業風險的評估難度。此外,信息系統在與網絡的作用過程中��,會遇到網絡攻擊以及各種病毒的侵害�,這種風險帶來的危害性是不能預料的,從而在風險評估過程中對評估人員的專業素質要求會更高��。
(三)控制活動不完善
控制活動的不完善主要表現在業務流程與信息系統的沖突,在這些矛盾和沖突發展過程中會形成較多的內部控制盲點,從而使得企業的業務發展受到威脅����。業務處理過程中在信息系統的作用下���,很難保證相關業務數據的真實性,當相關工作者責任意識不高或者綜合素質偏低時很容易因為一己私利,惡意篡改相關的操作流程以及資金預算����,從而危害到企業的經濟效益和穩定發展[5]��。
(四)監督機構的作用不強
企業信息化過程中,企業將大量的精力均投入到了信息系統的管理和監督上,對于企業內部控制的監督和管理相對較少��。盡管借助信息系統可以完成對企業內部的部分監督��,但是并不能一一落實�,從在很多監管上的漏洞����,而這些問題很容易對企業造成影響,破壞企業系統的穩定性。
四、加強我國企業信息化過程中內部控制的對策
(一)優化控制環境
控制環境的優化是調節企業傳統的內部控制與現代信息化建設之間矛盾的重要舉措����,具體應該做到以下幾方面的優化:1.重塑企業文化氛圍��,企業文化是影響企業穩定發展的重要原因之一,在實現企業信息化的過程中����,企業員工的工作態度和價值觀念等均會發生較大的變化����,這些變化直接威脅到了企業員工的職業道德水準���,從而破壞了內部控制與信息系統之間的平衡���。因此�����,建立起基于信息化條件下的企業文化環境,價值理念和工作作風是十分必要的��。2.細化組織控制結構���,完善相關職能����。即使企業在信息化過程中,將各種部門通過信息系統連理起來�,形成了以信息系統為控制核心的整體機構��,但是仍然無法避免組織中的不穩定因素、鑒于此�,可以采取雙向控制方式��。在信息系統整體控制作用下,細化組織控制結構�����,彌補信息系統中存在的不規范和散權現象[6]��。
(二)加強風險管理機制的專業程度
隨著信息化進程的推進�,風險種類和危害性均在加強�����,為此��,企業內部應該成立專業的風險控制小組,并按照風險種類劃分為信息風險����、商業風險和管理風險����,針對不同的風險類型劃分風險評估的組別��。風險評估小組在進行風險評價的過程中要按照完善的評估規范�,做好記錄��,并對相關負責人進行定期匯報總結����,從而為完善企業信息系統作出參考��。
(三)促進控制活動的有效性
為了保證控制活動的有效性��,在建立控制活動的過程中要實現業務流程與系統的整合,加強計算機硬件與網絡系統安全的控制�。在控制過程中加強軟件管理�,重視技術控制���,并制定出相關財務軟件的業界協議�,從而保證控制活動得以順利開展。除上述建議性措施以外���,還應該健全企業的監督機制,建立良好的信息溝通系統�����,從而保證在企業信息化過程中可以與內部控制系統良好的結合在一起�����,共同助力企業的可持續發展���。
五�����、結論
綜上所述��,通過分析企業內部控制和信息化建設�����,說明了內部控制與信息化對于企業而言均為不可或缺的關鍵組成。通過分析企業信息化過程中內部控制的問題,提出了具有針對性的建議性策略。為了保證企業的穩定運行���,實現持續發展,就需要優化企業控制環境,完善風險管理機制��,促進控制活動的有效性�����。
參考文獻:
[1]李彥銳.基于信息化的企業內部控制構建研究[D].東北林業大學�����,2012.[2]顧飛.企業和諧信息化體系構建研究[D].山東大學,2012.
[3]劉天雄,楊鳳鳳.信息化環境下中小企業內部控制的問題研究[J].商業會計���,2013,04:81-82.
[4]唐佳昕.華菱湘鋼內部審計信息化建設中的風險控制研究[D].湘潭大學,2015.
[5]李華.淺談中小企業信息化過程中的內部控制問題[J].東方企業文化��,2012����,19:58-59.
第6篇
[關鍵詞] 中小企業 信息化 ASP
一、引言
經過二十多年的改革開放,中小企業已成為我國國民經濟的重要組成部分���,在經濟、社會協調發展方面發揮著重要作用。根據有關統計資料,我國中小企業約有1100萬家,中小企業占到我國企業總數的99%以上�。中小企業工業總產值和實現利稅分別約占全國企業的60%和40%�����。
但是�����,隨著全球經濟日趨一體化��,國際�、國內的企業競爭越來越激烈�����,我國的中小企業也面臨著巨大的機遇和挑戰����,迫切需要依靠信息技術來提高企業的競爭力���。中小企業信息化是指中小企業在作業����、管理、經營各個環節、各個層次利用計算機��、通信和網絡為核心等現代信息技術�����,通過信息資源的開發和利用��,進行資源的有效整合,不斷提高作業���、經營、管理和決策能力�,進而提高企業經營效益和企業競爭力的過程。信息化是中小企業迎接新經濟的挑戰�����,提高企業運作效率�����、降低經營管理成本���,把握新的商業機會的必由之路��,是企業提升核心競爭力不可或缺的手段。因此���,推動中小企業信息化建設,對中小企業自身和我國經濟發展無疑都具有重要的作用���。
雖然經過近幾年的信息化建設,我國中小企業信息化取得一定的進步��,但總體來說�,由于受到資金、技術���、人員、管理基礎等資源的約束��,當前中小企業信息化建設和發展中仍面臨著許多困難和問題����,中小企業信息化進展緩慢。
二�����、基于ASP的中小企業信息化模式
ASP(Application Server Provider)是指通過互聯網�����,以出售或租賃應用軟件服務的方式,專為企業提供其所需要的各種應用軟件服務的應用服務供應商。ASP是隨著外包趨勢�����、軟件應用服務和通信傳輸的發展而逐漸形成的�,它不僅為傳統產業應用互聯網、實現其信息化開辟出巨大空間����,也為信息技術行業提供了一種新的發展機會��,迅速引起人們的極大興趣�����,逐漸推廣應用到中小企業。
1.基于ASP的中小企業信息化模式的內涵
基于ASP的中小企業信息化模式是指在共同簽署的外包協議或合同的基礎上��,中小企業將其部分或全部與業務流程相關的應用(如人事��,物流管理���,財務管理�����、ERP甚至是Intranet(內部網),E-mail服務等)委托給ASP(應用服務供應商)�����,ASP將保證這些業務流程的平滑運轉�����,即不僅要負責應用程序的建立、維護與升級�,還要對應用系統進行管理���,所有這些服務的使用都是基于互聯網的����,客戶通過互聯網遠程獲取這些服務�����。
在ASP模式下��,中小企業不再擁有一個應用程序,也不需要負責對程序的內外部維護。中小企業在簽訂合同后,就可以通過瀏覽器連接到位于遠端的�,集中式服務器上的應用程序��,然后在本地處理計算產生的結果。
2.基于ASP的中小企業信息化模式的優勢
采用基于ASP的中小企業信息化模式的優勢主要有以下幾點:
(1)中小企業可以更好地專注于自己的核心競爭能力的發展。通過采用ASP模式�����,將信息系統建設和維護方面的非核心業務外包給富有經驗和專業能力的ASP供應商����,中小企業可以更好地專注于自己的核心競爭能力的發展。
(2)降低中小企業信息化成本和風險��。企業信息化是一項復雜的系統工程���,中小企業自行建設信息系統既需要較長的準備和實施周期��,又需要大量的資金和足夠的IT人才����。采用ASP模式�����,硬件的購買和維護、應用系統的開發�����、維護和升級等問題全都由ASP供應商負責��,中小企業只需支出一定的租賃費用�,大大降低了信息化的成本和風險�����。
(3)提高中小企業信息化整體的質量和層次�。與中小企業自身建設信息系統相比�,ASP供應商在軟硬件系統的配置或是系統的維護方面都將做得更專業和更好�����,使得信息化的整體質量和層次都會有所保證。
ASP模式使得中小企業從信息化過程中的資金不足�����、人才不夠����、技術不到位等困境中擺脫出來,以契約的形式將信息化的各項業務外包給專業的服務商����。因此,采用ASP模式實現企業信息化�����,將是企業信息化的一個全新的選擇���。
三��、采用ASP模式信息化應注意的問題
在基于ASP的中小企業信息化模式里�,ASP供應商和中小企業是兩個主要的參與者����。ASP模式能否得以健康、穩定����、持續的發展�����,與這兩個主體的行為密切相關。
1.ASP供應商應注意的問題
(1)確保網絡和數據安全����。網絡和數據安全常常被看作是ASP市場發展的最大障礙�����。客戶對存放于ASP系統中數據安全性的擔心����,包括兩個方面:技術方面�,ASP供應商是否有足夠的設備和措施�����,保證數據不遭受病毒破壞、黑客盜取等;非技術方面�,信息系統中的數據大多是企業商業機密數據�,ASP供應商能否保證這些數據不會被泄露給其他任何方面的機構或企業�����。所以�����,ASP供應商應加大對網絡安全方面的投入,加強網絡安全,同時加強自身的職業道德�、誠實守信方面的建設���,力求保護用戶的商業機密��,切實保證數據的安全。
(2)加強網絡基礎建設。ASP模式需要用戶通過互聯網來使用,而且很多業務對實時性要求高�����,因此ASP模式對網絡傳輸能力的要求較高�,網絡質量將直接影響ASP供應商向中小企業提供服務�。如果沒有一個高速����、高質量的網絡環境,就不會吸引中小企業接受這種服務方式�����。因此ASP供應商應加強網絡基礎建設���,保證較高的網絡質量���。
(3)大力發展基于網絡的應用軟件�����。應用軟件是ASP模式的關鍵與核心,沒有相應的針對Web開發的應用程序就談不上ASP服務,所以ASP供應商應加強與有實力軟件廠商的合作,大力發展基于網絡的應用軟件���。
(4)突出優勢特色,提供個性化服務。ASP模式是“一對多”服務關系���,隨著ASP應用不斷增多,將會有越來越多的企業向ASP供應商提出自己的獨特要求�,如何解決好這一矛盾是ASP服務商需要好好考慮的問題�����。ASP供應商在能夠充分發揮自身特色與優勢的同時,選擇某些行業或領域的特定客戶群����,形成專業優勢����,提供個性化服務�����,從而形成消耗最少���,獲利最多的贏利模式。
(5)樹立品牌意識���。目前,在社會綜合環境不完善的條件下����,企業在接受ASP服務方面還存在著一定的難度���。成熟的ASP應積極加強自身的基礎設施��、應用平臺、服務質量����、費用構成����、社會信譽等方面的建設����,樹立優良的企業品牌,增強客戶的認同度���,積極謀求自身的長遠發展。
2.中小企業應注意的問題
(1)制定信息化戰略規劃����。中小企業首先要認識到企業信息化重要性和必要性�����,認同并接受ASP服務模式�����。然后根據企業的特點和現狀����、業務流程的現狀和存在問題等制定出企業未來三年或更長期的計劃。其次必須清楚企業應該對哪些業務進行外包�����,認真分析企業的業務流程�����,并進行適當的改進��,找出適合用ASP的業務。不同的企業���,選擇外包的業務是不一樣的。如根據美國TeleChoice公司2001年對美國中小企業應用ASP的狀況進行的調查�,發現中小公司最愿意外包的應用是遠程學習�����、電視會議、電子商務�����、Web網站�����、協作等�。因為這些應用技術和人員要求較高�����,將這些應用外包也有利于節約成本。最后,在具體實施ASP模式信息化時,可采用分階段進行�����,如第一階段可以選擇那些與企業核心業務關聯較小的應用�,如電子郵件系統、辦公自動化系統等;第二階段可以選擇電子商務系統或簡單的人事系統等;第三階段可以考慮涉及企業的核心業務,如ERP系統、SCM系統���。這樣可以保證企業ASP模式的信息化穩妥、順利的進行��。
(2)選擇合適的服務商����。選擇一個合適的服務商,是中小企業采用ASP模式成功實現企業信息化的重要保障。美國TeleChoice公司2001年調查表明中小企業選擇ASP主要看重的是客戶服務水平����、ASP從業人員的資質����,價格�����,聲望�����,實施應用的能力等。企業可以將這些因素作為準則層,篩選并考察ASP服務商能否提供本企業所需的應用系統���,能否提供強大的網絡通信能力和保證其服務數據的安全性��。
(3)注重信息化帶來的管理變革��。中小企業實施信息化就意味著企業經營模式與管理理念的創新����,它需要對企業的業務流程�����、組織機構�����、管理方式、工作方式等進行合理的整合,以適應信息化的要求���,從而存在相應的業務流程的變革、組織結構的變革、管理方式的變革等����。中小企業應該重視信息化帶來的管理變革�,注重信息技術與組織文化相融合����,設計出與信息化相適應的組織結構。
(4)樹立風險意識�����。企業信息化建設是一個長期的復雜工程��,采用ASP模式進行中小企業信息化只能夠降低風險�,不能完全規避風險�����,在整個信息化過程中仍然充斥著來自企業內外部的風險。因此���,在ASP模式應用過程中,中小企業必須樹立風險意識�,如信息安全風險意識���、成本風險意識��、資源重新配置風險意識、組織調險意識等��,只有對這些風險有充分的認識和心理準備���,才能采取相應的防范措施�,或在出現風險時才能沉著應對,將風險將到最低程度���。
四、結束語
ASP模式作為一種全新的網絡服務模式���,是解決中小企業信息化和邁向全面電子商務的一個有效途徑。中小企業信息化建設是一項復雜的系統工程�,除了要有ASP服務商和中小企業的努力�,更重要的還要有政府的支持�����、健全的法律法規保障和約束等多種力量來共同推進信息化進程����。
參考文獻:
[1]田金玉 趙彥峰:ASP:加快中小企業信息化進程的捷徑[J]. 中國管理信息化.2006.11
[2]吳克忠:ASP模式與中小企業信息化.中國計算機用戶 , 2006.7
第7篇
摘 要 企業應當借助信息化平臺�,實現內部控制信息化,從控制風險出發�,針對信息化環境下內部控制風險的新特點����,權衡風險與收益�����,制定出相應的風險防范策略,以保障信息系統數據和信息安全可靠,從而更好地實現內部控制目標。其次����,加強企業信息系統開發�����、運行和維護的控制��。開發前應進行可行性研究和需求分析;開發中要對現有業務流程進行優化��,并結合內部控制管理需求��,對系統設計進行分析�,對企業發展需求評估�,更新方案要有可行性研究;后期要對系統的軟件及硬件進行完善性維護��,維護要做到會計數據的連續和安全��,并由有關人員進行監督��。第三,加強網絡安全控制�����。重點發展第三方認證機構���,企業之間發生業務來往時必須由第三方公證確認才可交易�;在企業信息系統中分離出操作與監控兩個崗位����,通過經濟業務多方備份的方式實現崗位間的有效牽制。
關鍵詞 信息系統 內部控制 風險管理
一、信息系統對內部控制的影響
信息系統對內部控制的影響主要體現在四個方面:包括對對信息與溝通的影響����、控制環境的影響����、對風險評估的影響以及對監控的影響����。
(一)對信息與溝通的影響
信息流是信息的傳播與流動,其包括信息采集、信息傳遞以及信息加工處理��。信息系統對提高企業信息質量�����,加強信息流動具有至關重要的影響���。一方面�����,信息系統大大提升了企業處理信息的能力。若干個子系統共同構成信息系統���,企業運用信息系統將有助于促進企業物流、資金流和信息流的集成���,使企業具有處理內部信息和外部環境、活動信息的能力。另一方面���,信息系統大大提升了企業內部信息傳遞的能力�。企業內部溝通直接影響到內部控制狀況,通常情況下����,企業內部溝通包括部門內部之間的溝通和企業各部門之間的溝通��,溝通是實現企業各部門、各職員信息互換���,優勢互補的關鍵環節。信息系統為企業各部門之間的溝通構建了良好的平臺�,對提高企業的運營效率和增強決策的高效性具有十分重要的現實意義��。
(二)對控制環境的影響
一方面,信息管理系統完善了員工知識和技能結構���。員工知識和技能水平直接關系到內部控制工作的高效性���,隨著信息技術的突飛猛進發展�,員工傳統的知識和技能結構已經不能夠滿足現行企業內部控制工作需求���。運用信息系統有助于增強計算機操作技能及其信息管理軟件的使用等���,有效保證了企業管理者掌握真實����、可靠的信息,大大提升了企業決策的正確性����。另一方面�,信息管理系統強化了企業管理制度的執行力���。各項管理制度是企業順利開展內部控制工作的基礎����。企業將各項管理制度并入信息管理系統中�,實現其制度管理和應用的信息化和現代化,有助于強化各項管理制度的執行力��,充分體現其價值��。
(三)對風險評估的影響
企業為防范各種風險�,開展風險評估工作�。目前,我國相當一部分企業風險評估尚未能夠全面落實到位����,信息系統的實施進一步擴大了企業風險評估的范圍����,有助于保證企業各項生產經營工作順利高效開展���?��?偨Y而言�����,信息系統對風險評估的影響主要表現在兩個方面:一方面是企業整體層面���?�;谛畔⑾到y的不穩定性或人員操作失誤的影響,極易造成有效數據的丟失�����,從而�,造成信息失真現象�����,企業在搭建信息系統時促進了其系統的升級����,大大提高了硬件和數據的安全性��。另一方面是業務層面��。傳統企業信息的傳遞均以紙張為主,其信息極易被人盜取,信息系統的實施���,使信息傳遞載體逐漸由紙張向電子信息平臺轉變,以此,大大增強了信息的安全性和數據的有效性。
(四)對監控的影響
監督控制是指企業相關部門對內部控制的執行狀況做出檢查與考核�����,切實確保將內部控制落實到位��。由于信息系統具有自動化與流程化等特征��,且其為企業持續開展健康控制營造了良好的外部環境��。因此,信息系統不僅實現了實時監督��,提高了監督的效率和效果��,而且受企業內部控制制度本身缺陷和信息系統本身漏洞的影響�����,給予企業順利實施監督控制帶來了極大的挑戰。
二����、企業內部控制信息化帶來的系列風險
(一)企業信息化給企業經營帶來的新風險
一是拓寬了風險評估范圍。企業信息化的實現將所有企業信息集中起來,由數據處理系統統一管理和支配�����,該系統一旦被競爭企業其侵入�,勢必將使全部的企業信息展露在競爭企業面前,以至于企業遭受巨大的風險。二是加大了設備使用風險����。硬件和軟件共同構成了企業信息管理系統��,硬件存在的問題給企業內部控制帶來了嚴峻的挑戰,軟件中的穩定性低�、切實度低等問題給予企業帶來了新的運行風險����。三是加大了道德風險��。企業信息化的實現必須建立在內部系統與外部系統的連接基礎之上�����,即加大了企業內部人員與黑客的合作機會,若黑客反向攻擊,勢必將給企業造成不可估量的損失��。
(二)信息化與內部控制相輔相成����,彼此影響與制約
企業信息化管理系統對信息數據進行有效的收集、控制以及管理,通過實現資源的合理配置,大大提升企業生產效率和決策水平�����,從而�,促進企業的可持續發展�。通常情況下,企業信息化水平與內部控制呈現正相關�����,即企業信息化越高�,內部控制質量越高;反之亦然����。
(三)信息化推進企業實現內部結構扁平化
就傳統企業管理而言����,其內部結構主要是以管理層級制度為依據的金字塔式結構�,這種結構主要服務于中層管理人員,企業信息化管理的實現對企業信息及時更新和傳遞�,有助于企業高級管理人員更能全面的把握企業整體經營管理狀況�。
第8篇
關鍵詞:網絡環境;內部控制;風險評估
在“COSO內部控制整體框架”理論中,財務風險評估機制是內部控制的關鍵要素�����。風險評估是識別�����、分析相關風險以實現既定目標,是風險管理的基礎。因此,如何辨識���、分析與管理財務風險,成為企業內部管理的關鍵。信息技術的發展,給企業帶來了競爭優勢,同時也給企業的內部控制,特別是財務風險評估及風險評估機制的建立和管理帶來困難����。
一��、網絡環境下財務風險評估存在的問題
在網絡環境下,雖然企業的整體目標沒有發生變化,但是企業經營管理的外部環境與內部因素都發生了變化�����。伴隨者業務流程的重組,系統的開放性�����、信息的分散性��、數據的共享性,使系統從以往封閉的集中狀態走向開放,網絡帶給企業的財務風險主要表現在以下幾個方面:
1.授權方式的變化帶來的潛在風險。由于財務信息的開放性和保密性,系統程序員��、系統操作員����、系統分析員、網絡系統維護員等各類人員對其權限內的工作都設置一定的口令或密碼,但是他們的工作態度��、責任心���、業務水平參差不齊,一旦系統操作員不懷好意,擅自改變他人的口令或密碼,改變他人的權限,勢必造成網絡系統管理混亂,從而給網絡環境下會計信息帶來風險��。
2.內部控制計算機程序化的風險,有可能導致同一種差錯反復發生���。網絡環境下的內部控制,在很大程度上取決于這些會計信息系統中運行的程序的質量���。一旦這些應用程序中存在嚴重的漏洞或惡意的“后門”,就會嚴重危害系統安全�����。
3.原始憑證數字化,使得會計信息被篡改或偽造。隨著電子商務的發展,一些單位的原始憑證也如同記賬憑證�����、會計賬簿或報表一樣,已實現數據化��、電子化,即以數據形式存儲在磁(光)性介質上,這種無紙憑證極其容易被竄改或偽造而不留痕跡,它弱化了紙質原始憑證所具有的較強的控制功能,給內部控制帶來了新的問題。另外,磁性介質容易遭到破壞,一旦受損,又很難修復,這更使數據化的信息丟失或毀損的風險加大。
4.網絡環境的開放性加劇了會計信息失真的風險��。由于網絡環境具有開放性等特點,在這個環境中一切信息在理論上都是可以被訪問到的,除非他們在物理上斷開連接�。網絡環境下的會計信息系統很容易被黑客訪問或遭到病毒的攻擊,這種攻擊,可能來自企業外部,也可能來自企業內部,而且一旦發生將造成巨大損失。
綜上所述,網絡環境下出現的新問題主要是網絡信息安全而造成的企業內部控制風險。因此,加強信息環境下企業內部控制風險管理主要在于加強對網絡信息安全的管理�。
二.網絡環境下健全財務風險評估機制的主要對策
1.加強程序開發管理
首先,加強信息系統開發或采購的項目審批管理�����。公司要建立信息系統開發技術規范與流程,保證信息技術系統的開發或采購都通過適當的用戶部門管理層和企業信息化部門管理層的審批,以確保新系統開發的可行性、與現有系統的整合性以及符合報告披露的目標��。重要的信息技術基礎設施和信息系統的采購�、開發須在相關用戶部門、企業信息化部門、本公司管理層或上級公司審批同意后,才可以開始正式執行����。
其次,加強信息系統開發管理���。對于涉及財務�、運營等關鍵數據的系統開發項目,公司需對自行開發和外包合作開發等方式采用公司統一的信息系統開發方法和項目管理方法,并制定相應實施標準以確保執行���。信息技術系統項目開發過程中,公司應當明確項目管理部門(組),由項目管理部門(組)監控項目的進展情況����。預算要求、需求說明、項目關鍵報告等文檔須經項目工作組審閱,并進行歸檔保存�����。
再次,加強信息系統開發測試管理�。在開發信息技術系統的過程中,項目管理部門(組)對測試結果必須集中歸檔保管,對系統層面和用戶層面的測試要求進行書面記錄并最終達到測試要求。測試后信息技術人員及用戶部門對測試結果進行書面確認,并進行項目歸檔保存。項目管理組對新上線的信息技術系統在實施后進行終驗,以確保新流程及相關控制的正確運行和操作����。相關部門審閱終驗報告,跟進和解決遺留的問題,并書面確認該系統已達到功能和控制上的預定要求�。
2.加強信息安全管理
首先,要加強信息系統安全管理���。公司應建立相關信息安全職能,并制定相應的組織結構圖及部門����、人員職責描述文檔。公司應制定正式并經過管理層批準的信息系統安全政策,范圍包括所有涉及財務���、運營等關鍵數據和程序的信息技術環境(例如網絡安全、物理安全、操作系統安全、應用程序安全等方面)�。用戶和信息技術人員都應知曉本公司的信息系統安全政策����。
其次,應加強用戶賬號的管理��。用戶賬號的權限管理,公司應建立用戶及其權限設置的管理流程,用戶創建和授權必須通過相關領導審批后,方可由系統管理員在系統中創建用戶賬號�。網絡管理員用戶賬號的使用僅限于已授權人員,這類用戶賬號的授權須經用戶部門管理層和企業信息化部門管理層的書面授權審批�。業務信息系統用戶賬號訪問權限,應根據相應管理流程經相應用戶部門管理層審批后由系統管理員分配。對于超級用戶等特權用戶,企業應對其在系統中的操作全程進行監控。企業信息化部門分管人員必須對網絡管理員賬號和訪問權限以及業務系統用戶賬號和訪問權限進行定期審閱,以發現任何不合適的訪問權限�����。發現的問題要及時與用戶部門確認,跟進解決���。公司在內部網絡與互聯網或其他外部網絡的網絡連接處安裝防火墻,以防止對公司內網絡的非法訪問�。
3.加強系統運行安全管理
首先,應加強系統運行及作業計劃控制。公司應對重要的信息技術領域中的崗位和職責進行定義�����。崗位和職責的定義必須能夠滿足職責分工的要求��。信息技術人員必須制定合適的系統維護作業安排計劃和管理作業計劃,包括作業優先級�、授權流程及突發作業處理��。對于作業執行,存在一定機制確保每個作業能夠按時正確完成,在發生異常時能及時得到處理��。只有授權的人員可以安排作業計劃,作業安排計劃由相關主管人員審批后,由系統管理員或值班人員按計劃執行作業�����。系統的自動作業在系統中留有運行日志記錄,手工作業的執行結果在值班日志上進行記錄,日志記錄應由信息技術人員定期檢查并書面確認,以保證作業的正常執行��。這些記錄必須包含作業運行中的非正常和失敗事件。
其次,應加強系統備份控制����。企業信息化部門應考慮系統設備的重要性及恢復成本,制定備份策略�。在備份策略中說明備份范圍�����、備份頻率以及備份數據保存時間等內容,用戶部門對備查策略參與意見���。備份策略由企業信息化部門負責人審核后報公司管理層審批���。對系統設備的數據備份保留備份日志(自動或手工記錄),備份運行人員定期復核備份日志,以發現備份錯誤或其它異?��,F象并及時跟進解決�。
再次,應加強問題管理��。應使用自動監控軟件或分配專人對生產環境進行監控,及時發現系統故障���。監控結果必須有日志記錄,并有相應的故障上報及跟進制度,保證問題的及時解決�。用戶報告的系統故障和問題,必須集中記錄,由信息技術人員對這些故障或問題進行監控并及時跟進解決�����。企業信息化部門在用戶電腦上安裝反病毒軟件,實現自動掃描和實時更新病毒庫。
4.應加強程序變更管理
首先,應加強變更需求管理。變更需求的發起部門需要填寫正式的變更申請文件,描述變更申請的原因�����、變更影響的系統���、變更影響范圍、變更說明等進行評估,以保證其能夠滿足業務及應用系統的控制要求,提交企業信息化部門主管人員與變更影響部門主管人員審批�。對信息系統的重要變更必須形成正式文檔,并在變更實施前得到企業信息化部門主管人員的書面批準����。變更文檔和主管人員的書面批準必須存檔保管�����。
其次,應加強配置變更管理�����。所有對系統的配置變更必須形成正式文檔,并在變更于生產環境中實施前得到用戶部門及企業化部門主管人員的批準。變更文檔和主管批準必須存檔保管����。企業信息化部門或用戶部門提出配置變更的計劃及方案,向企業信息化部門或用戶部門主管通過書面方式提出申請,并依據配置變更的性質���、影響范圍等情況在���。
再次,應加強緊急變更管理��。公司必須建立應急變更管理流程,對應急變更的流程及范圍進行定義,并傳達至相關的企業信息化部門及用戶部門。緊急變更必須在變更實施前得到企業信息化部門主管人員的同意,并在實施前得到企業信息化部門主管人員的正式確認。緊急變更需在變更實施前進行變更的測試(如為配置變更,可根據需要決定是否測試),其結果需包含在變更報告中,得到企業信息化部門主管人員的書面確認����。
參考文獻:
[1]胡為民,內部控制與企業風險管理-實務操作指南[M],電子工業出版社,2007(4)
[2]張蕾,IT環境下基于風險管理的企業內部控制研究[D]上海財經大學,2007,185-202
[3]陳志斌,信息化生態環境下企業內部控制框架研究[J],會計研究,2007(1):16-25
[4]劉志遠,網絡技術條件下的企業內部控制[J],會計研究,2001,(12):18-23
[5]吳水澎���、陳漢文、邵賢弟:《企業內部控制理論的發展與啟示》[J],會計研究,2000,(5):12-18
第9篇
關鍵詞:企業信息化 審計環境 審計費用
著計算機技術的廣泛應用,企業審計環境加快向會計信息電子化、業務運行網絡化、內部管理信息化方向發展,審計人員了解被審計單位的環境成為審計業務制定的重要前提因素���。在有關審計定價影響因素的研究中,學者們多以審計風險為視角來開展,對企業信息化環境層面的審計風險因素與審計定價的關系探討卻很少�。本文將結合企業信息化在企業經濟發展中的重要性��,研究信息技術上市公司企業信息化水平對審計費用的影響。
一、文獻回顧
審計費用實際上是審計委托人與審計人員在審計業務過程中,審計委托人支付給審計人員的費用����。審計費用體現了審計人員的價值�,審計費用的高低不僅取決于市場的供求關系����,還反映了審計人員的獨立性。2001年12月24日公布的《公開發行證券的公司信息披露規范問答第6號――支付會計師事務所報酬及其披露》要求上市公司在年報中披露支付給會計師事務所的報酬,并詳細具體地規定了支付報酬的內容和形式�����,引發了國內學者對審計費用的實證研究����。王振林(2002)首次探討了國內審計費用的因素,之后國內學者從盈余管理(伍利娜��,2003)����、客戶規模(吳應宇等,2008)���、內部審計質量(王守海和楊亞軍,2009)、審計風險(宋衍蘅��,2011)���、關聯方交易(馬建威和李偉�����,2013)等各個角度探討了其與審計費用的關系。
面對日益復雜化的企業信息系統環境����,如何有效地開展審計工作�����,取得審計證據���,是當今CPA十分關心和困惑的問題���。學者們提出企業信息化后的取證策略要充分考慮企業信息系統的內部控制因素����。在收集審計證據的過程中��,企業既可以通過應用IQC方法收集審計證據��、加大分析性復核的應用,也可以利用并行審計技術�、CAATS技術進行審計取證(許永斌����、俞淑仙�,2005)。另一些學者從行業分析的角度出發,研究了央行數據信息化存儲對于審計調查取證的影響(劉立軍�����,2008)�。企業信息化在提高了審計的時效性�����、實現了審計的增值作用���、提高了審計辦公自動化水平的同時����,也存在以下一些問題:一是信息化審計不能與審計實務有效結合���;二是缺乏統一的計算機審計準則和標準��,開展計算機審計存在較大風險����;三是審計人員收集的有效信息不足�;四是審計人員的素質有待改善(劉偉,2012)��。
目前���,我國資本市場正處于轉型過渡期����,在外部信息技術快速發展的情形下,企業信息化成為內部資本市場的一種決策環境�����。從審計人員的角度考慮����,企業信息化被視作提升企業市場競爭力和提高企業經濟效益的方式����。審計人員的這種認知是否體現在審計費用上?審計人員對企業審計成本的計價是否考慮了企業信息化水平?正是基于這些思考�,本文以信息技術行業上市公司為研究對象����,實證分析企業信息化水平與審計費用的關系�����。
二���、研究設計
國家審計署制定的“十二五”審計工作發展規劃���,強調推進審計事業信息化基礎建設���。企業信息化是國民經濟信息化的基礎�����,是企業現代化的重要標志和推動力量�����,是提高企業經濟效益與競爭力的重要保證。在企業信息化實現的過程中���,隨著審計證據形式的變化��、審計證據方法的轉變以及審計取證手段的不斷更新��,信息化企業對于審計取證的難度進一步加大,審計風險也會進一步加大。而在審計定價時��,審計風險大小會直接影響審計費用的高低��。理論上審計風險越大����,審計費用越高�����。但企業信息化水平測度的內容極為廣泛����,而且影響企業信息化水平的因素也很多��,無法準確直觀地用變量來反映企業信息化水平�。目前���,對于企業信息化水平的研究方法主要集中在上市公司自身的信息設備水平����、信息人力資源水平和信息資源開發水平等方面。因此,本文從這三方面出發�����,提出企業信息化對審計費用影響的研究假設�����。
(一)研究假設。本文的研究借鑒了目前世界上比較成熟的經濟效益法����。該方法適用于信息技術水平發達�����、員工素質普遍較高的企業。本文引入了信息技術行業上市公司信息技術基礎設施總資產���、掌握信息技術的員工占總員工數的比率、信息技術投入產出比率三個指標來描述上市公司的企業信息化水平�,并假設企業信息化水平三個指標與審計費用成反比例關系���。
假設1:信息技術上市公司信息技術基礎設施總資產與審計費用成反比例關系��。信息技術基礎設施總資產是指會計期間,信息技術方面的投入(包含各種軟件��、硬件的基礎設施)的總和��。近年來���,我國上市公司通過加大信息技術基礎設施投入���,不斷提升企業的信息技術水平���,從而提高了企業對于自身財務業務的處理能力�。因此,企業信息技術基礎設施對于提高企業行業競爭力有著一定的影響���。在本文中,將上市公司信息技術基礎設施總資產作為衡量企業信息化水平的因素����,考察企業信息化水平因素對審計費用產生的影響。
假設2:信息技術上市公司掌握信息技術的員工占總員工數的比率與審計費用成反比例關系����。掌握信息技術的員工占總員工數的比率�,能基本反映上市公司信息化水平���。信息技術人員越多�,企業信息化水平越高,財務業務數據處理能力也越強��。這也使得低成本�、高效率的審計詳查成為可能,從而使審計成本相應減少���。因此,我們假設掌握信息技術的員工占總員工數的比率與審計費用成反比���。
假設3:信息技術上市公司信息技術投入產出比率與審計費用成反比例關系。信息技術投入產出比率代表了公司信息化水平��,而公司信息化水平的高低又標志著公司業務處理能力的強弱�。一般而言,公司業務處理能力越強�,審計人員執行審計業務的成本越低�����。信息技術投入產出比率越高,審計成本越低�。因此���,我們假設信息技術投入產出比率與審計費用成反比���。
假設4:信息技術上市公司總資產與審計費用成正比例關系��。信息化環境下,資產總額的大小��,代表著公司規模的大小��。公司規模大小又標志著公司業務的復雜程度。一般而言,公司業務越復雜���,審計人員執行審計業務的成本越高?��?傎Y產規模越大,公司信息化復雜程度越高�,審計成本越高�。因此�,我們假設公司總資產與審計費用成正比。
(二)樣本選擇和數據來源。在本文的研究過程中����,選取2011年我國滬�����、深兩市211家信息技術行業上市公司作為研究對象,并經過如下篩選:剔除2011年未披露審計費用的上市公司以及相關數據缺失的上市公司;剔除ST����、PT類上市公司���;剔除具有極端值的上市公司����。最終得到156家上市公司��,所有數據均來源于國泰安CSMAR中國上市公司財務報告審計意見數據庫�����、中國上市公司財務附注數據庫和中國上市公司治理結構研究數據庫�。
(三)模型建立與變量定義��。
1.模型選擇。借鑒Smunic(1980)的經典模型��,利用最小二乘法���,構建以下多元因素回歸分析模型:
ln(fee)=δ+β1ln(Investment)+β2ITstaff+β3Yield+β4ln(assets)+ε
In(fee):上市公司審計費用的自然對數���;In(Investment):上市公司信息技術基礎設施總資產的自然對數���;ITstaff:上市公司掌握信息技術的員工占總員工數的比率�;Yield:上市公司信息化投入產出比率;In(assets):上市公司總資產的自然對數。
2.變量定義��。本文選取審計費用的自然對數In(fee)作為被解釋變量�,信息技術基礎設施總資產In(Investment)、掌握信息技術的員工占總員工比率ITstaff、信息技術投入產出比率Yield和上市公司總資產In(assets)作為解釋變量。研究主要借鑒肖素梅等(2005)的做法����,從企業信息設備水平����、信息人力資源水平和信息資源開發利用水平等三個方面變量作為企業信息化水平衡量指標�。模型中fee表示公司2011年的審計費用,用審計費用總額衡量�。ITstaff表示公司2011年的信息技術人員比率����,用研發與技術人員之和與總員工的比率衡量�����。Yield表示公司2011年的投入產出比率�����,結合信息技術行業的行業性質��,本文用營業收入與營業成本來衡量����。assets表示公司2011年的總資產���,用總資產金額來衡量企業信息化資產規模�����。
Investment表示公司2011年的信息技術基礎設施總資產�。在上市公司披露的固定資產數據中���,大部分公司對于信息技術基礎設施數據并不明確�。但結合信息技術行業上市公司的經營范圍與行業性質,我們經過分析�����,發現大部分上市公司固定資產包括房屋及建筑物�、固定資產裝修改良、電子設備�����、機械設備以及運輸設備等�。其中,電子設備��、機械設備以及運輸設備屬于信息技術基礎設施范圍����。因此,本文采用期末固定資產總額減房屋及建筑物減固定資產裝修改良來衡量上市公司信息技術基礎設施總資產�。
三、實證分析與結論
(一)實證結果及分析。本文利用SPSS 19.0統計分析軟件對樣本數據進行回歸處理�,處理結果見表1-表5��。
表1是信息技術行業公司的基本情況描述����。用于分析研究的數據有211個����,有效的數據為156個(剔除了系統缺失值)。對有效數據進行描述性統計分析得出:就審計費用自然對數In(fee)而言���,總樣本的最小值為11.51,最大值為15.68���,平均數為13.1635,標準差為0.52487����,說明公司審計費用的差距較大�。信息技術基礎設備總資產自然對數In(Investment)最小值為14.68��,最大值為21.87���,平均數為17.4487�����,說明信息技術行業上市公司信息技術基礎設備總資產差異幅度較大。而就信息技術人員比率ITstaff最小值、最大值、平均數和標準差為0.0397�、0.9397�、0.4578和0.23437�����,說明該行業上市公司對信息技術人員的需求程度的不同,相對其他變量變動幅度較小。Yield最小值為1.03�����,最大值為31.39�,平均數為2.0922,這也說明企業從信息技術取得收益有著明顯的差別。In(assets)最小值為18.81��,最大值為25.38�,平均數為21.1114,這說明該行業的企業總資產規模存在差異。
表2是變量輸入輸出表,本文采用全回歸(ENTER)的方法進行數據分析����。
表3反映回歸模型的解釋能力�����,回歸模型的可決定系數R為0.415,調整后的R為0.400���,即該模型對行業審計費用的影響因素的解釋能力為40.0%,說明此回歸模型具有較強的解釋能力�。
從表4也可以看出��,審計費用的回歸模型整體上具有較強的顯著性(F=26.821;P=0.000)����。
表5說明了信息技術基礎設施總資產����、掌握信息技術的員工占總員工數的比率��、信息技術投入產出比率與審計費用顯著相關���,成反比例關系��,即信息技術上市公司企業信息化水平越高�����,審計費用越低�����。而信息技術上市公司總資產與審計費用呈正比例關系�,即上市公司總資產規模越大����,審計費用越高。同時����,筆者對上市公司信息技術基礎設施總資產���、掌握信息技術的員工占總員工數的比率��、信息技術投入產出比率、上市公司總資產進行了多重共線性的檢驗���,方差擴大因子(VIF)值均小于2.7,認為不存在多重共線性。
(二)結論�����。本文以實例探討了企業信息化水平對審計費用的影響���,對可能影響我國信息技術上市公司審計費用的相關企業信息化水平因素進行了實證分析����,發現信息技術上市公司總資產與審計費用呈正比關系�����。信息技術上市公司信息技術基礎設施總資產���、掌握信息技術的員工占總員工數的比率�����、信息技術投入產出比率對審計費用成反比關系,與本文假設一致���。模型回歸后的F值和調整后的R2表明模型具有較強的解釋能力,各變量的VIF均小于2.7����,說明各個自變量之間不存在多重共線性��。因此,在計算信息技術行業上市公司審計成本時���,需要考慮上市公司總資產以及企業信息化水平等因素。希望本文探討的企業信息化水平對審計費用的影響結果可以為審計定價的因素研究提供一定參考與借鑒�。S
參考文獻:
1.伍利娜.盈余管理對審計費用影響分析――來自中國上市公司首次審計費用披露的證據[J].會計研究�����,2003,(12):39-44.
2.吳應宇���,毛俊,路云.客戶規模與審計費用溢價的研究:來自2001-2004年滬市的初步證據[J].會計研究�,2008�����,(05):83-89.
3.王守海�,楊亞軍.內部審計質量與審計費用研究――基于中國上市公司的證據[J].審計研究,2009,(5):65-73.
4.唐志榮��,諶素華.企業信息化水平評價指標體系研究[J].科學學與科學技術管理���,2002�,(3):51-54.
5.宋衍蘅.審計風險、審計定價與相對談判能力――以受監管部門處罰或調查的公司為例[J].會計研究,2011,(2):79-84.
6.馬建威���,李偉.關聯方交易對審計費用的影響研究――基于2007-2010年滬市A股上市公司的經驗證據[J].審計研究,2013,(1):79-86.
7.許永斌�����,俞淑仙.企業信息化對審計取證的影響及其對策[J].財會通訊(學術版),2005,(1):64-67.
作者簡介:
第10篇
咨詢介入與企業正確認識信息化的關系
什么是企業信息化��?如何認識企業信息化�?企業需要什么樣的信息化?這些問題是企業開展信息化建設進程中首先要解決的。咨詢介入有責任和義務使企業了解企業信息化�,正確理解企業信息化的內涵和作用�����,進而使企業明確需要什么樣的信息化。
企業信息化是一個具有復雜內涵和外延的概念����,也是一個發展的概念���。不同的企業�,其信息化的內涵是不相同的����,對企業信息化的認識應結合企業的實際和企業的市場環境。脫離這些來談企業的信息化��,只能是空洞的����、脫離實際的�����,也是沒有成功基礎的�。
從宏觀角度看����,企業信息化有它的共性,其內容大體包括:生產過程的自動化和信息化�����、技術信息化�、企業內部管理信息化、企業供應鏈和客戶關系管理的信息化等幾個方面。其中,管理信息化是企業信息化的重點�。但是企業管理的信息化并不意味著企業的全面信息化��。常常見到一些信息化提供商和咨詢顧問有意或無意誤導用戶,將管理信息化等同于企業信息化,更有甚者將實施ERP等同于企業信息化����。許多管理咨詢顧問在信息化浪潮的推動下紛紛加入到企業信息化咨詢的行列����,為企業開展信息化咨詢業務����。這些管理咨詢顧問具有豐富的企業管理咨詢經驗,能迅速彌補企業信息化咨詢服務供應嚴重不足的缺憾���,這是它有利的一面。但是��,其弊端也是顯而易見的��。管理咨詢顧問由于其專業領域的局限性,往往夸大管理信息化對企業的作用�。
對企業而言��,在信息化建設中重管理輕技術與重技術輕管理這兩種極端的觀念都是非常危險的。其危害在于以偏概全���,將企業全業務流程的數字化、信息化割裂開���,使企業業務流程中出現信息化盲區。這樣做既違背了企業信息化實施的階段性和層次性規律����,也壓縮了企業信息化戰略縱深�����,加重了企業信息化規劃的盲目性。許多企業在信息化提供商或咨詢顧問的誤導下上了一些管理信息系統���,由于做規劃時不是從企業內部和外部全業務流程考慮���,而是只關注管理環節����,致使這些管理信息系統既沒有考慮與其他環節信息化的兼容性����,也沒預留與其他環節信息化的數據交換、轉換和共享的接口���。最后這些管理信息系統不是成了信息孤島,便是其作用有限��、名實不符�����。信息化提供商兼做咨詢服務時,往往圍繞其提供的信息化服務和應用的技術來定義信息化����,背離了企業需求����。還有一些咨詢顧問追求面面俱到���,貪大求全��,使企業信息化建設投入超出企業承受能力�,把信息化變成了企業的包袱����。
企業信息化的積極影響
實施企業信息化是一項涉及面廣、周期長�����、風險大的系統工程���。企業在進行信息化決策時首先要問的就是信息化能給企業帶來什么����?許多信息化提供商和咨詢顧問都能列舉出一大堆信息化會給企業帶來的益處,諸如降低庫存��、降低生產經營成本�、提高企業核心競爭力等等。
當企業確信信息化能給企業帶來利益和回報時,往往在信息化提供商或咨詢顧問的引導下將信息系統視為組織的戰略目標���,這樣就使企業耗費大量時間����、精力、對策,而使信息化的投入變得越來越龐大����,最終企業不僅不能在保持規模和效益的前提下增強自身的靈活性和反應能力���,甚至還可能因此陷入經營困境��。
當企業發現信息化并不像信息化提供商或咨詢顧問所描述的那樣,尤其對提高企業核心競爭力作用平平,再看看其他企業信息化實踐�����,成功的案例少����,失敗的案例多,就難免使企業對信息化心存疑慮。另有一些企業出于種種原因,為了信息化而搞信息化�����,往往會將信息系統獨立于組織戰略之外��。從而使企業信息化難以實現整體規劃���。最終花費了大量資金����,即使在個別應用上取得了一定成效,但在全局上卻構筑了無數個信息孤島。這些信息孤島沒有實現信息的集成和共享�����,甚至產生負效益�,從而使企業承受高額的風險代價�����。
實際上�,信息化革命正在打破并重組現存的國際經濟秩序和結構���,并促使其由資本經濟向信息經濟轉變�、市場競爭由紅海向藍海演進。隨著經濟的全球化趨勢,如果沒有信息化����,企業的改造���、重構�����、工業化的進程就會怠慢,企業的生存和發展就會成為大問題����。作為信息化咨詢顧問����,應使用戶清楚地認識到企業信息化能給企業帶來的最大利益不在于提高企業的核心競爭力����,而是提高企業的協同競爭力。
準確把握信息化的作用應是咨詢顧問義不容辭的責任和義務,同時也是企業正確制訂信息化戰略的前提。
咨詢介入的利益導向
一個規范的信息化咨詢市場所提供的咨詢服務應是以用戶需求為導向的。咨詢顧問團隊應十分熟悉企業業務流程����,在詳細調查的基礎上,為企業定義信息化�,幫助企業進行信息化規劃����。
調查顯示��,企業在信息化建設中主要有四種實現方式:
完全自助��。企業自己設計戰略、流程并實施����。這種途徑的優點是企業熟悉自身����,成本低���;缺點是專業化程度差����,市場化速度較慢,同時可能存在管理的盲點�����。
打包服務�����。購買廠商產品的同時����,由信息化提供商提供一些建議和指導性的咨詢服務�����。
戰略咨詢與自主實施����。由管理咨詢設計戰略�,企業自己實施。
完全外包�����。由咨詢公司設計戰略���,系統集成商實施�����,這是國際上通行的做法��。
企業選擇完全自助并非信息化建設最佳途徑,往往是企業基于對信息化提供商和咨詢服務方不信任的無奈選擇。實際上大多數客戶希望咨詢公司能夠同時幫助他們完成項目的實施,因此目前的趨勢是一攬子解決方案:不僅提供技術和決策咨詢�����,還參與具體方案的實施����。
信息化提供商往往是系統集成商,在兼作咨詢服務時���,其咨詢介入的本質是技術導向和利益導向�。他們受利益的驅使,會圍繞其所掌握或能提供的技術與服務,誘導企業應用他們的技術和產品����。他們關注的是能否將其產品推銷給企業��,咨詢的目的是使自身利益最大化。這種咨詢服務在信息不對稱下很難保證其客觀和公正性,也難符合企業需求�。
有些企業聘請管理咨詢公司來幫助設計戰略���,自己去設計具體的流程并實施��。由于缺乏對流程與信息技術的掌握,企業無法很好地整合戰略與技術����。這就使得戰略很難轉化為可操作的流程而得以實施���。這就是很多大型信息化咨詢項目在實際中很難取得徹底成功的原因����。管理咨詢公司在做信息化咨詢時往往有業務導向傾向�����,他們夸大自己業務領域的作用和地位����,不能真正站在企業信息化戰略的高度和從四流集成的角度整體審視�����、規劃企業信息化項目��。
還有相當數量的高校��、科研院所的教授和專家也紛紛從事企業信息化咨詢�。這些專家學者型咨詢顧問往往沒有企業經驗,缺乏企業實踐�。他們基于自己研究領域和熟知的知識為企業信息化咨詢����,很多是生搬硬套一些知識和模式�����,對企業缺乏針對性和實用性�,具有典型的知識導向特點��。
上述幾類咨詢�����,很容易誤導企業對信息化的認識,或以偏概全�����,以局部代全局�;或使企業信息化背離企業需求,進而導致企業信息化建設失敗。合理的信息化咨詢應是以企業需求為導向,制定的企業戰略���、信息化規劃要符合企業實際,其信息化實施��、監理���、培訓等咨詢環節也應圍繞企業需求來進行����。
咨詢服務的發展趨勢
面對迅速成長并相對混亂的信息化咨詢市場�,誰應成為咨詢服務的主力軍?按照企業信息化咨詢服務提供商主體的不同���,可以將企業信息化咨詢市場進一步分為三類:系統集成、軟件和解決方案供應商自己提供咨詢服務的市場��;與系統集成����、軟件和解決方案供應商結成銷售關系的管理咨詢公司提供咨詢的市場;第三方咨詢服務的市場��。
目前�����,前兩個細分市場仍占壓倒性的優勢和市場份額���,但實際上存在很大問題���。在第一個市場上����,用戶企業與信息化提供商是直接的甲方乙方關系����,由于缺乏第三方,雙方利益沖突常常出現且無法調停���。一方面,用戶企業由于信息的不對稱���,在雙方博弈中常常處于弱勢。用戶企業或者徘徊觀望���,拒絕信息化��,錯過了利用信息技術提升競爭力的機會���,或者盲目聽從乙方的游說��,倉促上馬信息化項目,增大信息化的風險�����。另一方面,作為乙方的信息化提供商一般對甲方的生產工藝和技術、業務流程�、管理模式不熟悉���,加上甲方人員可能不予積極配合��、溝通不暢,乙方對甲方的需求分析���、信息化解決方案設計和項目規劃、實施的廣度����、深度��、力度都不到位,不僅導致項目失敗率高�����,造成甲方投資損失�����,而且���,在沒有第三方幫助溝通、調解的情況下��,因雙方常常對項目是否完工��、成功與否等問題認識不同而產生糾紛����,也可能使乙方套牢在一個項目中難以自拔���。
在第二個市場上����,表面看,信息化提供商與咨詢服務商優勢互補,攜手為甲方服務��。但是���,由于咨詢服務商實際上是信息化提供商的商����,利益驅使決定了他們共同作為乙方與甲方的合作關系,第一個市場的弊病仍然是不可避免的���。這不僅仍然使用戶企業得不到優質、誠信的咨詢服務��,也不利于我國整個企業信息化咨詢市場的健康發展�����,最終將反過來影響信息化提供商與咨詢服務商自身的發展����。
在第三個市場上��,存在著學院派咨詢和咨詢公司自主提供中立、第三方咨詢服務兩種形式���。在西方發達國家學院派咨詢也普遍存在,這類咨詢最明顯的優勢是理論和思想的沉淀���。但問題也比較突出:一是咨詢方案盡管很系統,但缺乏有效的操作性����,而企業信息化咨詢最終的目的是讓企業能夠有效的實施�����。二是缺少真正咨詢公司必備的組織體系和人力體系����。通常由導師帶領幾個學生為企業咨詢�,而缺乏一個咨詢公司必須具有的資訊、研發��、咨詢和培訓開發的核心體系�。
作為廠商和客戶之外的專業第三方咨詢公司,是站在一個較公正�����、中立和客觀的角度上��,對客戶的應用現狀作全面分析���,并且提供最佳解決方案����。對于客戶來說����,客觀性和公正性是他們最為關注的����,而后依次是技術專家的實力、對業界的洞察力����、項目管理水平�。但是第三方咨詢公司也存在著很多問題����。如:缺乏咨詢專家,缺乏企業管理理論和經驗基礎�;國內大多數信息化咨詢企業缺乏核心競爭力�����;缺乏企業品牌;還有的咨詢公司的服務不規范��。
上述三個細分市場中���,雖然前兩個仍占據壓倒性的優勢和市場份額��。但我們分析認為��,問題就是機遇,需求決定供給。企業信息化建設的健康發展迫切需要����、呼喚中立�、第三方的咨詢服務商����,去溝通��、協調甲方�、乙方關系���,幫助企業進行可行性研究�����、整體規劃���、選型招標���、實施監理和驗收評估�,保護企業信息化投資���,提高項目成功率��。這既是企業信息化咨詢服務市場健康發展的需要���,也是實現IT企業���、咨詢公司與用戶企業三方共贏的必然選擇��。
咨詢介入的價值分析
咨詢介入有價值嗎��?其價值在哪里?價值是如何體現和度量的?信息化咨詢市場發育不全、企業信息化咨詢項目效果不佳、咨詢介入對企業信息化建設的影響缺乏度量手段,使人們對信息化咨詢介入的價值產生疑惑。
由于咨詢服務所提供的是一種無形��、動態的知識產品���,而用戶支付的咨詢費用則是有形的���、靜態的����。用戶尋找信息化咨詢顧問的主要目的是減少企業信息化項目的風險和降低投資成本��,提高企業信息化建設效率和效能�。這也是信息化咨詢介入的價值體現����。
調查發現:企業的咨詢意識已有了普遍提高。約有90%的企業明確表示需要咨詢顧問幫助���;多數企業不知道怎樣找到或找不到理想的咨詢公司,75%的企業不知道自己需要咨詢什么����,選擇誰來提供咨詢服務��,不知誰真能幫企業解決實際問題。多數企業對咨詢公司的運作方式和作業質量不滿意�����。在與咨詢公司接觸過或合作過的37家企業中�����,有29家表示不滿意甚至反感����。鑒于此��,我們認為,信息化咨詢業的發展已到了一個由無序狀態向規范化轉變的轉折時期��。這一時期用戶方和咨詢方關注的焦點主要是咨詢服務質量����、咨詢服務效率和咨詢效果評價。
信息化咨詢服務的質量主要有以下幾個方面決定:信息化項目風險降低���,對信息化項目績效影響;信息系統本身質量��,與企業切合度和對外接口�����;知識轉移�。
信息化項目風險是否降低直接決定了咨詢介入是否有效���;對信息化項目績效影響則涉及到如何度量信息化規劃��、實施�、應用與利用��,計算并解釋財務贏利指標�,度量和報告咨詢介入的非財務性收益���。信息系統本身質量�����,與企業切合度和對外接口說明了咨詢活動是否正確實施�。知識轉移是要看用戶學到了什么。在不規范的市場運作下�����,加上缺乏度量依據�,信息化咨詢介入的質量如霧里看花���,不僅用戶說不清���,咨詢方也難以解釋清楚���。增加了用戶對咨詢介入效果的困惑和不信任��。
服務效率也難以指標量化和測定�。在信息化咨詢服務中�����,一個方案能夠在多大程度上為企業所利用其實不僅企業沒法把握�,就連咨詢公司也模棱兩可��。其根本原因不僅在于服務時間不充分�����,更在于服務者和客戶之間的知識領域差異和信息不對稱。
企業信息化咨詢的內容
目前在我國���,信息化咨詢介入仍處于低水平運作階段,很難實現高質量和高效率的全程信息化咨詢服務��。咨詢公司的服務不規范�����。沒有成型的咨詢體系�,沒有咨詢案例數據庫��,并且動態信息源不夠,不能向用戶提供嚴謹、詳實�����、規范的表達信息���。咨詢的需求方明顯的感覺就是產品沒有檔次�����。在咨詢過程之中雙方的不信任和在時間���、費用���、咨詢目標等方面的背離使得咨詢的成功性大大的降低��。在信息化建設中如何選擇咨詢服務、咨詢什么內容已成為困擾企業的又一難題。
較之傳統的管理咨詢,企業信息化咨詢具有以下特點:其主要服務方式為集合多家供應商及不同領域的先進技術和產品形成最貼近用戶需求的解決方案,其終極目標是要幫助企業把信息技術和企業的戰略結合起來��。信息化咨詢服務更側重于為用戶提供一套完整的解決方案���,在這一過程中涉及到的不僅僅是客戶和咨詢服務提供商兩方�����,同時還有提供信息技術產品的廠商��。在此過程中,咨詢方需要完全從用戶的利益出發,幫助用戶制定切合企業實際的信息化戰略方案或信息化規劃,根據用戶的具體特點和需求選擇最適合用戶的產品����,參與項目的實施和監理�,同時向他們提品的相關服務��,如關于產品的管理����、使用���、維護等的培訓項目��。為此�,信息化咨詢方自身既要熟知企業運作��、企業戰略規劃����、掌握企業生產經營業務流程和用戶所從事領域的技術及工藝�,還要對信息技術產品有著準確深入的了解,包括對產品技術性能的優缺點的了解,對實施這一產品的相關成本的了解等����。
企業信息化咨詢人才標準
企業信息化是一個高度專業化的多學科知識融合的領域��,對人才的知識、技能和經驗要求很高���。目前,造成信息化咨詢服務低水平運作的關鍵原因就是同時具備專業知識和豐富經驗的信息化咨詢人才極度匱乏����,這也是困擾信息化咨詢服務商的一個亟待解決的問題��。
第11篇
20世紀90年代以來,隨著計算機及網絡技術的廣泛應用,企業的信息化建設成為企業實現現代化管理、提高競爭力的重要手段,并從根本上改變了企業傳統的生產�����、采購��、銷售和管理模式。但由于歷史����、體制��、觀念等多方面的原因,信息化建設在企業中的應用并非一帆風順。尤其是由于信息化建設項目的投資額較大,風險因素較多,如何進行有效的投資風險管理成為亟待解決的問題����。傳統的風險管理方法將投資中的風險和不確定性作為影響企業投資價值實現的不利因素,并通過對風險的識別和控制來消除或減小其對投資的影響�����。同時,信息化投資的不確定性也為企業帶來了更多的選擇機會,決策者可以根據企業的資源狀況��、項目不確定性的演變趨勢對信息化投資做出合理規劃,更好的實現投資價值。期權就是適應國際上金融機構和企業等控制風險�����、鎖定成本的需要而出現的一種重要的避險衍生工具��。與傳統風險管理方法相比,期權在規避風險的同時,還充分認識到了投資不確定性所賦予企業的期權價值��?;诖?本文將從期權管理投資風險的原理出發,研究一種利用期權進行企業信息化投資風險管理的新方法�����。
二�、運用期權進行企業信息化風險管理的基本原理
“企業信息化”是“信息化”概念對企業的應用。它是指在企業管理的各環節不斷應用信息技術,特別是計算機技術和通訊技術,深入開發和利用信息資源,加快企業信息的傳遞�、加工和處理速度,及時為企業管理者提供決策依據,促進管理水平和競爭能力提高的過程。企業信息化是企業迎接新經濟的挑戰、大幅度提高運作效率���、降低運營成本、把握新的商業機會的必由之路。在企業信息化的建設過程中,我國企業受地區意識的影響,大多數還處于一種半封閉的狀態,企業未能親身感受到全球化市場競爭和我國入世后帶來的挑戰和壓力,時至今日仍處于傳統、粗放的管理狀態??茖W的決策機制以及危機意識����、管理意識和創新意識的缺乏,使管理已成為制約企業發展的瓶頸�。
要真正改善企業的管理,需要運用系統化的思路,建立規范化的管理體系���。金融期權作為一種風險管理工具,以其特有的發現價格配置資源、套期保值規避風險等經濟功能,在經濟發展中發揮著重要作用����。期權是期權持有者在未來特定時間以特定價格買進或賣出一定數量的資產的選擇權����。期權管理風險的基本原理是:對于期權買方而言,如果未來標的資產的價格發生有利變動,投資可以獲利,則可以選擇在期權到期日或有效期內按約定價格行使權力;而如果未來標的資產的價格發生不利變動,投資無利可圖,其最大損失也只限于向期權賣方支付的期權費(Premium)���。期權費是期權買方為獲取期權合約所賦予的權利而必須支付給期權賣方的費用,其多少取決于約定價格、到期時間以及整個期權合約����?�?梢?期權買方利用期權可以將投資損失控制在一定范圍內的同時獲得無限的盈利機會,從而實現套期保值。買方期權的價值如圖1所示。實物期權是金融期權在實物投資中的應用和推廣,是指導不確定性環境下實物投資決策的有效方法��。實物期權的動態性分析框架,注重反映真實的投資環境和投資進程,使投資者可切實地根據不確定性進行相關決策。信息化投資的復雜性和高風險性使其成為實物期權的重要應用領域。
三���、企業基于實物期權的信息化投資風險管理框架
企業的信息化建設無論是作為企業的戰術手段還是戰略手段,其最終目的是為了提高企業的效益,而提高企業效益并不是信息技術的應用單方面可以實現的。只有充分認識到信息技術所能帶來的機遇和問題,充分認識到信息技術與企業其他要素之間的關系,才有可能是信息技術真正促進企業的發展。運用實物期權進行企業的信息化投資風險管理,就是要注重對整個投資決策及信息化實施過程的動態思考,并將其作為相應決策和分析的基礎,通過對信息化投資風險的識別,運用套期保值原理實現對信息化投資風險的管理。因此投資風險的管理過程同時也是企業對實物期權的管理過程,該過程主要有四個步驟組成:即識別信息化投資風險����、匹配投資風險與實物期權��、評價和選擇實物期權以及依據確定的實物期權創造企業內部投資環境等。如圖2���。
(一)識別投資風險
信息化投資的高風險性是企業在推行信息化時必須注意到的。對于企業而言,信息化投資風險主要由企業內部風險和外部風險組成。其中內部風險又可進一步細分為組織風險、財務風險�����、人力資源風險和管理風險;外部風險又可細分為環境風險和技術風險。各種風險的具體特征如表1。
(二)匹配風險與實物期權
在識別出企業信息化投資中的風險后,接下來就是根據風險的特征找出可以控制和管理該風險的實物期權。一般來講,信息化投資中的實物期權類型主要包括以下幾類:
1.延遲型期權
企業為降低投資的不確定性不需要馬上投資,而可以選擇在未來某個適當時機進行投資,以便收集更多��、更新的決策所需信息,降低投資的不確定性。
2.階段型期權
由于信息化投資的初始投資一般較高、投資周期較長且不確定因素多,企業一般將信息化投資分為幾個階段進行,這樣企業就可以根據項目前階段的投資狀況選擇是否進行后階段的投資���。
3.學習/增長型期權
有時投資本身可以使企業獲得以其他方式無法獲得的決策信息,為降低整體投資的不確定性,企業可以選擇首先在部門范圍內進行小規模的實驗性投資,根據投資的效果再決定是否應在整個企業實施投資。4.外包型期權為保持和培養自身的核心競爭能力,企業可以合同的方式委托技術服務商向企業提供部分或全部的信息功能,而核心的內容則由企業自主完成��。這樣通過信息技術外包,企業可以降低某些研發和投資風險。
5.租賃型期權
企業對某些機器設備的投資可以購買或租賃等多種實行來實現,這就形成了租賃型期權���。如果選擇以支付租金為條件使用出租方的機器設備,在租賃合約期滿時,企業一般還有設備退還、續租或留購三種選擇����。
6.放棄型期權
企業在投資進行過程中,發現項目并不能達到預期的效果,或是繼續投資可能導致更多的損失時,企業可以選擇終止該項投資���。對于風險與期權的匹配,需要特別指出的是,風險和實物期權并不是簡單的一一對應的關系,一種風險可由多種實物期權進行管理,而一種實物期權也可控制多種風險��。例如,如果企業預期技術創新的發展速度較快,信息化投資極有可能尚未得以充分實施就被其他新技術或系統所替代,即存在較高的技術風險時,企業可以選擇延遲投資時機,等待技術創新發展的相對穩定時再投資;也可以選擇設備租賃的方式避免資金的大量投入;或是選擇直接放棄避免進一步的損失��。這樣,企業通過運用延遲型期權�����、租賃型期權和放棄型期權都可實現管理技術風險的目標�。再如,企業因自身的預算限制可將部分或全部信息化項目分包和轉包給有足夠投資能力和投資經驗的第三方,通過外包型期權可實現對企業財務風險的管理。同時,外包型期權也可降低企業因缺乏實施信息化建設的專業隊伍或經驗而引起的人力資源風險��。具體的風險類型與實物期權的匹配可見表2�����。
(三)選擇最優的實物期權組合
將投資中的具體風險和相應的實物期權相匹配,并不能說明所有的實物期權類型都是可行的���。企業可根據自身的投資目標確定最優實物期權或組合的選擇標準���。以實現投資收益最大化的目標為例,企業可依據下述原則對期權進行選擇:
1.實物期權選擇的次序原則
次序原則是指企業應該按照先后順序有次序地利用期權���。例如,企業一般在投資項目的論證階段利用延遲型期權或是學習型期權,而在項目執行階段可利用外包型期權��、階段型期權或是租賃型期權�����。
2.實物期權選擇的排他性原則
排他性原則是指由于某些期權類型相互沖突不能同時存在。例如,企業經過論證發現投資的預期成本大于收益,為了規避該類風險,企業可采用延遲型期權規避風險;同時,企業也可以在現在將技術開發和維護外包給有實力的外包商,降低自身的開發成本,即采用外包型期權�����。延遲型期權和外包型期權雖然都可以規避企業的該類風險,但由于兩者在投資時機上的沖突,因此不能同時存在����。
3.實物期權選擇的價值原則
通過次序原則和排他性原則,企業可以選擇出可行的實物期權類型。但最終實物期權的選擇還要落實到企業投資收益最大化的投資目標上,運用價值原則,企業可以進一步從可行的實物期權類型中選擇出最優的實物期權或組合�����。鑒于企業的實際應用性,本文選擇相對簡單且通用性強的Margrable期權定價模型來評價信息化投資的實物期權價值�����。V(si,st,t)=siN(d1)-stN(d2)其中:d1=ln(si/st)+1/2v2(T-t)槡vT-td2=d1槡-vT-tv2=v2i+v2t+2vivtρit模型中,V代表用預期收益為si的資產交換預期收益為st的資產的期權在時刻t的價值��。就信息化投資項目而言,si為信息化投資的成本,si越小,實物期權的價值越大����。st為信息化投資的收益,st越大,實物期權的價值越大�。T為期權到期前的剩余時間,T決定了企業投資時機選擇靈活性的大小,T越長,實物期權的價值就越大。vi和vt分別表示si和st的變化率的標準差,代表了信息化投資成本和收益的不確定性,不確定性的增加將增加實物期權的價值��。ρit為si和st的相關系數��。N(d)為正態分布��。
(四)創造企業內部投資環境實現風險管理
選擇出最優的期權組合后,企業還需對現有的企業內部環境進行評價。不同的投資環境將產生不同的實物期權類型,如果最優組合內的期權類型不能被企業直接利用,企業就可根據期權產生的條件創造期權�。如表3����。對于期權性質的把握和期權種類的創造是實物期權思維在信息化投資風險管理中應用的進一步深化����。
第12篇
規避風險,軟件主導
隨著我國提出用信息化帶動工業化、用信息技術改造和提升傳統產業的國策���,廣大企業對信息化給予了越來越多的重視,紛紛準備實施企業信息化工程��。
全國信息技術應用工作會議提出�����,“十五”期間�,信息產業改造傳統產業的市場規模大約是5000億元�����。面對5000億元市場規模��,國內外的信息產品技術提供商窺伺已久,然而大量的中國企業在信息化投資上仍然猶豫不決。有調查表明,大約有70%的企業IT項目超出預定的開發周期,大型項目平均超出計劃交付時間20~50%;有90%以上的軟件項目開發費用超出預算����。并且項目越大��,超出項目計劃的程度越高����。有專家指出,目前中國已開始第三次信息化。
回顧以往的信息化,總是在投資高峰之后�,旋即進入低谷�,留給企業的往往是大量癱瘓的系統,損失少說也有幾十個億。每次陷入“IT黑洞”至少5年后�,中國的用戶才會逐漸恢復信心��,被破壞的市場才逐漸重現活力�����。
信息化對企業來說是一項規模較大的投資,包括硬件���、網絡建設的費用���,以及軟件投資���。從目前的趨勢來看,隨著硬件和網絡產品技術的成熟和價格的降低��,該部分費用所占的比例在逐漸下降�����,目前已基本上下降到總投資的35%左右;而軟件在整個企業信息化工程中的投資�����,所占比例越來越大�,目前大約占40%左右����。總體來說��,企業在硬件和網絡建設方面的風險并不大�,軟件實施則成為企業信息化投資中風險最大的一塊。軟件選型或實施不當��,往往會導致幾十萬���、幾百萬的投資打水漂���。
信息化對每一個企業都是一種挑戰����,風險都毋庸置疑���。技術風險�、服務商風險、過程風險���、質量風險、進度風險等都存在于所有項目之中����,如何規避風險�,不僅應成為所有IT項目負責人最關心的問題����,也理所當然地成為軟件企業的題中應有之義。
咨詢規劃����,整體推動
在企業信息化過程中��,軟件企業的管理咨詢正變得越來越重要。軟件企業首先要幫助客戶確定好企業信息化的戰略目標���,然后才是協助企業制定達到信息化戰略目標的具體行動計劃與方案。管理咨詢的價值主要體現在幫助客戶把關�����、提升客戶認識、為企業分擔風險�,更好地保證企業的成功�����。同時,要努力幫助企業提高員工的認識水平��,給企業提出盡可能好的建議�����。
軟件企業承擔的另一重要職責是要給客戶提供完整的、配套的��、一體化的解決方案�,給信息化以整體推動。反之��,如果軟件企業僅從局部提品�,對信息化就僅僅是局部推動,或形成“信息孤島”�,信息資源難以共享��。軟件在整個企業作息化工程中,相當于大腦,硬件和網絡相當于四肢���,而信息化的整體解決方案的制定和實施,則是將大腦與四肢聯系起來的神經系統。因此,企業信息化必須遵守總體規劃��、分布實施和效益驅動的原則�����,才能取得理想的應用效果����。
企業選擇軟件�,實際上也是選擇長期戰略合作伙伴。軟件企業的綜合實力����,是企業選型的關鍵因素��。合作伙伴選得不好,即使軟件能滿足當前的需求��,也不一定能夠跟得上企業未來的發展����。
為什么在與眾多實力強大的IT廠商競爭中��,浪潮軟件能夠連連勝出��,并始終處于所專注行業信息化應用領跑者的地位呢?正是因為行業信息化急需的并不僅僅是具體技術的實施�,主要還在于對行業信息化需求的超前規劃�。
浪潮軟件正是在高端咨詢方面提供了準確而到位的服務�����。在行業信息化應用中�,浪潮軟件更偏重于咨詢����,這使得其能站在一個較高的起點上切入行業信息化領域,并以其咨詢方面的特長和優勢勝人一籌���。為了增強咨詢能力,浪潮軟件與以咨詢見長的韓國LG-CNS開展了合資合作。
為了更好地推動行業信息化應用工作�����,浪潮軟件現正籌備組建全國首家行業信息化咨詢研究院����,由具有行業一線經驗、行業認識高度、理論知識、IT技術功底的行業領導��、經濟學家和IT技術專家等組成����。
作為行業IT解決方案提供商���,浪潮軟件最大的優勢���,在于提供整體解決方案的能力。如浪潮軟件聯合在業內久負盛名的浪潮服務器����、浪潮通軟�,共同為煙草行業打造的“浪潮煙草整體解決方案”���,涵蓋了煙草專賣管理�����、Internet應用����、企業ERP��、財務軟件����、辦公自動化����、數據倉庫、呼叫中心和網絡安全等����。而這種由資源整合而形成的核心競爭力�,正是浪潮軟件吸引客戶���,并最終打動客戶的關鍵因素���。
滿足需求�����,降低成本
行業信息化的發展,對軟件企業內部員工也提出了更高的要求����,這就是要在努力滿足客戶需求的前提下�����,盡量降低成本。
滿足客戶需求��,即要尊重企業經營者自己選擇和創造的個性化的管理模式��,按照用戶的意愿���,幫助他們規劃和構造自己的企業信息系統��。
為此,軟件企業必須能夠真正滿足企業管理個性化的持續完善的管理要求��,幫助企業決策與管理者實現他們的獨特業務模式�����,并對企業業務的重組和發展提供快速和高效的軟件支持����。
另一方面��,要為客戶著想降低信息化的成本�����。在信息化中,客戶的主動性主要體現在招標和選型上;但在整體方案方面,系統的決定權和選擇權�,往往在軟件廠商手里��,價格高并不能代表是最好的。在這方面,軟件廠商承擔著重大的責任。軟件企業上系統時決不能一味迎合客戶���、對付招標,不能為了賺錢而賺錢���,應該從實際出發,從解決整個企業信息化的高度��,來分析�����、制定方案��,把錢花在刀刃上。
而如果企業資金不足����,軟件廠商就應該建議企業在制定總體規劃的基礎上�,分步投資和實施���,而決不能不負責任地迎合企業盲目希望少花錢的心理��,報一個超低的價格���,以致難以達到滿意的實施效果���,造成“半拉子”工程或者“胡子”工程���。
為了提高企業信息化的效率,降低信息化的整體成本����,軟件企業必須探索應用軟件產品化之路���。在浪潮軟件發展過程中�����,經歷了從重復編碼到生產組件、構件,到推出通用性行業應用產品�����,進而構建基礎業務平臺的一系列演變�����。
譬如為了更好地服務于政府及公眾����,浪潮軟件電子政務事業部最近已成功地推出了GWP平臺產品��。GWP平臺的應用環境采用實現了J2EE標準的WebSphere Application Server應用服務器中間件�、完全面向對象的純JAVA語言開發�����,支持多數據庫系統�����。GWP平臺主要包括公用部件�、工作流部件、數據交換部件和信息部件���,主要面向三大應用,包括政務公眾服務門戶����、網上審批�,以及廣域網架構的辦公自動化公文交換系統。
目前����,浪潮軟件正投入億元資金構建具有自主知識產權的技術先進的企業應用框架和基礎業務平臺����。
規范管理�����,技術創新
為了按質按期地完成企業信息化任務��,要求軟件企業的員工與客戶進行充分的溝通,不斷提高溝通能力���,并加強項目管理。溝通��,包括建立完整的培訓體系����、項目有問題時隨時溝通解決等。能否溝通好����,有時也決定客戶能否配合好�,如果客戶對信息化沒有正確的定位����,項目就不能很好地實施��。
為了按質按期地完成企業信息化任務�����,要求軟件企業的員工與客戶進行充分的溝通,不斷提高溝通能力�,并加強項目管理�����。溝通,包括建立完整的培訓體系��、項目有問題時隨時溝通解決等�。能否溝通好,有時也決定客戶能否配合好�����,如果客戶對信息化沒有正確的定位�,項目就不能很好地實施。
為了進一步加強項目管理,提高公司軟件產品的質量,浪潮軟件加大了項目管理規范的實施力度��,并對各個項目的管理規范情況進行評比�,定期評選出一名明星項目經理和一個明星項目組,在公司《質量保證月報》和《浪潮軟件》刊物上刊登。
山東煙草網上分銷項目經理最近已成為公司第一位“明星項目經理”�。他帶領下的網上交易小組�,不僅攻堅成功���,而且開發中的各項硬性指標也在公司各個項目組中名列前茅��。
公司電子政務產品事業部在實施浙江東陽電子政務項目時����,根據公司的質量體系規范����,對整個項目做了策劃����,包括任務分解、過程裁減、項目開發計劃、風險評估�����、項目估算等內容�,與用戶和項目組成員及時溝通,使大家在項目開始階段就對整個項目有一個統一的認識����,保證了嚴格管理思想的執行���。
規范化的項目管理制度規避了風險���,也贏得了客戶的信任和尊重���,使得與客戶的關系得到了進一步強化���,并推動了項目的進展�。
為了對客戶信息化負起責任,軟件企業為此要不斷地投入��,不斷地了解和使用新技術�����,開發出穩定的���、可廣泛使用的、適應能力強的���、能滿足客戶業務需求的成本低的軟件系統。
軟件不僅僅是信息化系統���,還包括管理思想。要通過信息化�,不斷傳播先進的管理文化和管理思想����。
