企业信息安全治理精选(五篇)
发布时间:2023-10-09 17:40:49
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的5篇企业信息安全治理,期待它们能激发您的灵感。
篇1
【 关键词 】 信息安全;安全治理;框架;风险管理
1 引言
随着企业的信息化建设,企业信息系统在纵、横向的耦合程度日益加深,系统间的联系也日益紧密,因此企业的信息安全影响着企业信息系统的安全、持续、可靠和稳定运行。此外,美国明尼苏达大学Bush-Kugel的研究报告指出企业在没有信息资料可用的情况下,金融业至多只能运作2天,商业则为3天,工业则为5天。而从经济情况来看,25%的企业由于数据损毁可能随即破产,40%会在两年内破产,而仅有7%不到的企业在5年后继续存活。伴随着监管机构对信息安全日趋严格的要求,企业对信息安全的关注逐渐提高,并对信息安全投入的资源不断增加,从而使得信息安全越来越为公司高级管理层所关注。
2 信息安全问题
目前企业信息安全问题主要包括几个方面。
(1)信息质量底下:无用信息、有害信息或劣质信息渗透到企业信息资源中, 对信息资源的收集、开发和利用造成干扰。
(2)信息泄漏:网络信息泄漏和操作泄漏是目前企业普遍存在的信息安全困扰。网络信息泄漏是信息在获取、存储、使用或传播的时候被其他人非法取得的过程。而操作泄漏则是由于不正当操作或者未经授权的访问、蓄意攻击等行为,从而使企业信息泄漏。
(3)信息破坏:指内部员工或者外部人员制造和传播恶意程序, 破坏计算机内所存储的信息和程序, 甚至破坏计算机硬件。
(4)信息侵权:指对信息产权的侵犯。现代信息技术的发展和应用, 导致了信息载体的变化、信息内容的扩展、信息传递方式的增加, 一方面实现了信息的全球共享, 但同时也带来了知识产权难以解决的纠纷。
3 信息安全治理的困惑
基于信息安全的重要性,企业在信息安全治理方面投入了诸多资源,但是在信息安全治理成效方面仍不尽如人意,主要问题在于几个方面。
(1)信息安全治理的范围不明确:目前企业都在尽力实现良好的信息安全治理,但是由于无法正确理解信息安全治理和信息安全管理的区别,导致了信息安全治理无法与企业的安全规划和企业战略形成一致性。表1从工作内容、执行主体和技术深度三个层面分析了两者的区别。
从表1中可以明确:信息安全治理是为组织机构的信息安全定义一个战略性的框架,指明了具体安全管理工作的目标和权责范围,使信息系统安全专业人员能够准确地按照企业高层管理人员的要求开展工作。
(2)企业信息安全治理路径的错误理解:企业在信息安全治理的过程中,最常用的手法是采用信息安全的技术措施,如使用加密和防伪技术、认证技术、防病毒技术、防火墙技术等方式来进行,但是往往企业投入很多,却没有达到预想的效果,问题在于,信息安全治理并不单单是技术问题,信息安全治理也包含了安全战略、风险管理、绩效评估、层级报告以及职责明确等方面。
4 信息安全治理关注的领域
(1)战略一致性:信息安全治理需与企业的发展战略和业务战略相一致,建立相互协作的解决方案。
(2)价值交付:衡量信息安全治理价值交付的基准是信息安全战略能否按时、按质并在预算内实现预期的价值目标。因此需要设计明确的价值目标,对信息安全治理的交付价值进行评估。
(3)资源管理:实现对支持信息运行的关键资源进行最优化投资和最佳管理。
(4)风险管理:企业管理层应具备足够的风险意识,明确企业风险容忍度,制定风险管理策略,将风险管理融入到企业的日常运营中。
(5)绩效度量:利用科学的管理方法,将信息安全治理转换为可评价的目标的行动,便于对信息安全各项工作的绩效进行有效管理。
5 信息安全治理框架
通过良好的信息安全治理, 可以保护企业的信息资产,避免遭受各种威胁,降低对企业之伤害,确保企业的永续经营,以及提升企业投资回报率及竞争优势。
通过长期的实践经验以及结合COBIT标准和GB/T 22080-2008,总结出信息安全治理的框架主要由四部分组成,如图1所示。
(1)信息安全战略:结合企业的整体信息技术战略规划和信息安全治理现状,制定信息安全战略。
(2)信息安全组织架构:根据企业层面在决策、管理和执行机制对组织结构的要求,建立信息安全治理框架和决策沟通机制,明确公司各级管理层及相关部门在信息安全组织架构中的工作职责与角色定位。
(3)信息安全职责:根据公司信息安全组织架构,进一步明确信息安全相关岗位的工作职责、分工界面和汇报路径等。
(4)信息安全管理制度:信息安全管理制度通过建立一个层次化的制度体系,针对不同的需求方(管理者、执行者、检查者等)从政策、制度、流程、规范和记录等方面进行信息安全活动相关的规定,实现信息安全的功能和管理目标。
6 信息安全治理评估
企业信息安全治理评估有助于提高信息安全治理投资的效益和效果。企业的最高管理层和管理执行层可以使用信息安全治理成熟度模型建立企业的安全治理级别。该模型,如表2所示,被应用为几个方面。
(1)在市场环境中,相对于国际信息安全治理标准、行业最佳实践,以及直接竞争对手,了解企业在信息安全治理上的级别。
(2)进行差距分析,为改进措施提供明确的路径。
(3)了解企业的竞争优势和劣势。
(4)有利于对信息安全治理进行绩效评估。
7 结束语
本文从企业信息安全治理的实践出发,概述了目前企业信息安全治理存在的问题和困惑,总结了企业实现有效的信息治理的关注领域和实施内容,为企业建立良好的信息安全治理提供了基本框架。
参考文献
[1] 马峰辉,刘寿强.企业信息安全治理的经济性探析.计算机安全,2003:70-71.
[2] 娄策群,范昊,王菲.现代信息技术环境中的信息安全问题及其对策.中国图书馆学报,2000(11):33-37.
[3] 刘金锁,李筱炜,杨维永.企业实现有效的信息安全治理之路.中国管理信息化,2012(11):37-39.
[4] 黄华军,钱亮,王耀钧.基于异常特征的钓鱼网站URL检测技术[J].信息网络安全,2012,(01):23-25.
[5] 黄世中.GF(2m)域SM2算法的实现与优化[J].信息网络安全,2012,(01):36-39.
篇2
给企业带来不同程度的损失。因此,如何提高企业内部网络信息安全管理水平,是摆在企业管理和计算机管理人员的重要课题。本文分析了网络环境下企业信息安全问题及其出现的原因,并提出了综合治理的措施。
【关键词】网络环境;企业信息安全;综合治理
一、网络环境下企业信息安全问题
网络环境下企业的信息安全是一个系统概念,分为网络安全和信息安全两个层面。网络安全的定义是:确保以电磁信号为主要形式的,在计算机网络系统中进行获取、处理、存储、传输和利用的信息内容,在各个物理位Z、逻辑区域、存储和传输介质中,处于动态和静态过程中的机密性、完整性、可用性、可审查性和可抗抵赖性的与人、网络、环境有关的技术和管理规程的有机集合;信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常的运行,信息服务不中断。网络环境下企业信息安全问题主要有:
(一)数据窃听和拦截
数据“窃听”和拦截是指直接或间接截获网络上的特定数据包并进行分析来获取所需信息。在网络中,当信息进行传播时,利用工具将网络接口设Z在监听模式,便可截获或捕获到网络中正在传播的信息,从而进行攻击。因此,一些企业在与第三方网络进行传输时,需要采取有效措施来防止重要数据被中途截获,如用户信用卡号码等。
(二)数据丢失
计算机系统由于系统崩溃、硬件设备的故障或损坏、网络黑客入侵、计算机病毒发作以及管理员的误操作等各种原因会导致数据出错、丢失和损害,如果没有事先对数据进行备份,后果不堪设想。
二、网络环境下企业信息安全问题的成因
(一)信息系统的安全缺陷
信息系统是计算机技术和通信技术的结合体,计算机系统的安全缺陷和通信链路的安全缺陷构成了信息系统的潜在安全缺陷。计算机硬件资源易受自然灾害和人为破坏的影响,软件资源和数据信息易受计算机病毒的侵扰、非授权用户的复制、篡改和毁坏。计算机硬件工作时的电磁辐射以及软硬件的自然失效、外界电磁干扰等均会影响计算机的正常工作。通信链路易受自然灾害和人为破坏。信息系统的安全缺陷通常包括物理网络的安全缺陷、过程网络的安全缺陷以及通信链路的安全缺陷三种。如网络协议和软件的安全缺陷,因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的,很容易被窃听和欺骗。
(二)恶意攻击
这主要是指人为威胁,通过攻击系统暴露出的要害或弱点,使得网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害,造成不可估量的经济和政治损失。人为威胁又分为两种:一种是以操作失误为代表的无意威胁(偶然事故);另一种是以计算机犯罪为代表的有意威胁(恶意攻击)。恶意攻击的方式多种多样,主要有中断、截获、篡改、伪造,无论哪种方式,其结果造成的危害都是很严重的。
三、网络环境下企业信息安全问题的综合治理
(一)容灾备份
首先,要解决网络的物理安全,网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。在这个企业区局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。这个是整个网络系统安全的前提。
其次采用容灾备份技术。容灾备份是通过特定的容灾机制,在各种灾难损害发生后,仍然能够最大限度地保障提供正常应用服务的信息系统。容灾备份可以分为数据备份和应用备份。数据备份需要保证用户数据的完整性、可靠性和一致性。而对于提供实时服务的信息系统,用户的服务请求在灾难中可能会中断,应用备份却能提供不间断的应用服务,让客户的服务请求能够继续运行,保证信息系统提供的服务完整、可靠、一致。一个完整的容灾备份系统包括本地数据备份、远程数据复制和异地备份中心。当然并不是所有的企业都需要这样一个系统,只有对不可中断的关键业务才有必要建立容灾备份中心。
(二)信息保密
1、信息的加密
加密是提高计算机网络中信息的保密性、完整性,防止信息被外部破析所采用的主要技术手段,也是最可靠、最直接的方案。加密算法主要有两种:私钥(对称密钥)加密法和公钥(非对称密钥)加密法。在计算机网络的出入口处设置用于检查信息加密情况的保密网关,对内部网内出网的电子文件,规定必须加保密印章标识,并对其进行检查和处理:无密级的文件,允许出关。由国家保密局立项研制的内部网保密网关已经投入了使用,它能够为保证计算机网络的信息保密起到重要的防范作用。
2、数据完整性验证技术
数据完整性验证是指在数据处理过程中,验证接收方接收到的数据就是发送方发送的数据,没有被篡改。
3、网上信息内容的保密检查技术
为了了解网络用户执行保密法规制度的情况,及时发现泄密问题,必须加强对网上信息内容的保密检查。
4、身份验证技术
为了使网络具有是否允许用户存取数据的判别能力,避免出现非法传送、复制或篡改数据等不安全现象,网络需要采用的识别技术。常用的识别方法有口令、唯一标识符、标记识别等。口令是最常用的识别用户的方法,通常是由计算机系统随机产生,不易猜测、保密性强,必要时,还可以随时更改,实行固定或不固定使用有效期制度,进一步提高网络使用的安全性;唯一标识符一般用于高度安全的网络系统,采用对存取控制和网络管理实行精确而唯一的标识用户的方法,每个用户的唯一标识符是由网络系统在用户建立时生成的一个数字,且该数字在系统周期内不会被别的用户再度使用;标记识别是一种包括一个随机精确码卡片(如磁卡等)的识别方式,一个标记是一个口令的物理实现,用它来代替系统打入一个口令。一个用户必须具有一个卡片,但为了提高安全性,可以用于多个口令的使用。
(四)病毒防治
防病毒软件必须满足以下要求:能支持多种平台,至少是在Windows系列操作系统上都能运行;能提供中心管理工具,对各类服务器和工作站统一管理和控制;在软件安装、病毒代码升级等方面,可通过服务器直接进行分发,尽可能减少客户端维护工作量;病毒代码的升级要迅速有效。
在实施过程中,企业可以以一台服务器作为中央控制一级服务器,实现对网络中所有计算机的保护和监控,并使用其中有效的管理功能,如:管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。正常情况下,一级服务器病毒代码库升级后半分钟内,客户端的病毒代码库也进行了同步更新。要做到经常对防病毒定义码进行更新与升级,防止由防病毒软件产生的漏洞。对于防火墙,除合理布署外,安全策略要从严掌握。要尽量关闭信息系统不使用的端口,以防止入侵者对系统的攻击。需要注意的是,计算机管理人员要了解应用程序所使用的端口,以免造成系统不能正常运行。
参考文献
篇3
企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。
企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。
所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段
1.OSI安全体系结构
OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.P2DR模型
P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.HTP模型
HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。
篇4
关键词:企业运维管理;信息系统;安全风险
随着信息时代的来临,信息系统和技术已经成为当下各个领域不可或缺以及赖以生存的基础性建设。现今信息已经成为衡量一个企业综合竞争水平的重要标志。但是,信息技术在不断支撑着企业业务开展的同时,其在运维方面也会产生相应的安全风险,主要表现为非法访问、信息篡改以及信息泄露。这些风险就会对企业的信息安全带来巨大的隐患。
1信息系统安全风险的控制难点
近年来随着网络技术的不断更新,企业也通过各种安全措施加强了信息系统安全风险的防护措施,但仍存在两个难点,首先是信息系统的高风险性,由于当下信息系统较为复杂,且漏洞较多,就会使得系统处于高风险性,使得运维人员很难进行控制。其次是当下IP管理以及信息系统的规模逐渐增加,也就使得攻击源变得多样化,运维人员无法进行有效的追踪,也无法进行有效的防护。
2企业运维管理中信息系统安全风险分析
近年来,信息时代的脚步逐渐加快,信息化的水平也在与日俱增。信息技术也以其方便、实用等特点广泛地应用在各企业之间。而为了更好地将信息技术的最大作用发挥出来,就需要定期对其维护。但是随着信息系统的应用需求逐渐增加,网络规模的不断扩大,使得信息系统的结构愈加复杂,也使得技术漏洞逐渐增加,这就会对企业的信息系统带来安全隐患。在现今运维管理中信息系统的安全风险主要包括下述几个方面。
2.1服务器终端层面的风险
服务器终端层面的风险主要分为下述几个部分:①信息系统的基本安全保密配置不够完善,管理不够成熟,这就使得用户可以私自更改BIOS的启动顺序,使得安全防护产品的失效,从而进行信息的窃取和篡改;②安全风险的报警装置不够成熟,不能够达到预期的效果,通常会由于安全产品之间的兼容性问题失去应用的效用,出现误报或者漏报的情况。然后就是系统含有漏洞,信息系统最主要的部分就是系统,在当下的企业中应用的操作系统基本上都为Windows系列,而一些停止补丁升级的Windows系统就存在着漏洞,很容易受到侵蚀,进而造成数据的丢失。2.2网络层面的风险在网络层面安全风险主要为网络设备的安全配置不当,通常会开启多余的服务或者端口,这就存在了被非法访问的隐患。同时在访问控制方面不能对接入进行有效的控制,会造成设备非法接入的风险。另外,企业通常不会对用户进行分层、分级,这就会导致网络拓扑混乱,使得企业重要的信息资源存在被非法授权访问的安全隐患。
2.3硬件层面的风险
现今,企业都拥有大量的硬件,且都是采用的国外进口。企业根本无法知晓底层硬件的工作机制,其是否含有隐藏通道等。例如惠普的某型号服务器已经被证实存在后门,这些设备的运维都需要专业的工作人员进行,这也就会使得维修过程容易发生信息篡改或者信息窃取的风险。2.4应用层面的风险应用层面的风险主要就是身份认证的管理不够完善。管理员的口令较弱、用户名和密码过于简单等都会被攻击者利用。甚至在当下一些企业还有用户名公用、滥用的现象,这就更给攻击者提供了良好的机会,攻击者可以通过这些漏洞进行水平提权,进而对信息进行窃取,甚至其可以获取管理者的权限,对系统进行控制,这就会给企业造成巨大的经济损失。
2.5安全审计层面的风险
在当下的信息系统风险管理都会部署一些安全监测产品,例如防火墙、杀毒软件等。这些产品只能针对某类安全问题有效,这就使得信息系统的审计工作变得松散,不能形成完整的体系。而且由于系统的兼容性等原因,总会出现误报、漏报的现象,这就会对审计的作用带来巨大的影响,使其无法发挥其应有的效用。另外,企业虽然相应的部署了安全管理平台进行日志的收集,但在当下的信息系统中智能分析能力较弱,不能够对全局进行有效的监控,也就没有办法实现综合监控和安全风险的态势分析。
3企业运维管理中信息系统安全风险的控制策略
通过对上述安全风险的问题进行有效的分析,基于信息的特点,本文提出了下述信息系统安全风险的控制策略。
3.1加强信息系统数据资源的安全风险控制
数据资源的风险控制主要从三个方面进行:①存储安全,可以采用先进的加密技术对信息数据库进行加密处理,从数据资产产生的源头进行安全防护体系的构建;②标识安全,通过标识技术对信息进行去区分标注,经过审计后,让标识与信息系统密不可分,这样就不会出现信息篡改的问题;③访问安全,可以采用强制访问控制的方式,对访问主体进行限制。例如,某些数据非管理员权限仅能读取,不能够打印或者重新编辑,而一些重要信息限制再无权观看。
3.2加强信息系统的信息安全风险控制
信息安全主要就是对应用安全进行控制,通过对系统的需求进行有效的分析,设计开发指导验收运维过程中进行安全保障。同时还要定期对系统进行渗透测试,如果企业的技术较为先进,还可以通过源代码进行安全风险分析,仔细地对漏洞进行查找,如果发现及时进行修复,长此以往就会不断提高系统的整体安全性。另外还要将运维过程中出现的问题进行整体分析,这样就能够形成较为完善的风险控制规范,为后续的系统安全提供可行性较高的参考数据。
3.3构建运维风险控制平台
针对认证管理和孤岛等问题,就可以亿堡垒机为中间体进行控制平台的构建,形成对企业信息系统全面的安全监控。通过安全防护产品的报警日志和应用系统的审计日志,构建威胁事件的审计模型,构建完善的综合安全事件分析统计平台,这样才能对风险事件进行关联审计分析,最终实现实时报警的效果。
3.4加强信息系统的管理和梳理
要想切实地提高企业的信息系统运维管理能力,必须要加强信息安全专项检查,要制定详细的规范来明确信息系统日常需要进行的管理操作,还要对日常管理的具体细节进行定义,这样才能使信息系统日常管理规范、明确,继而使其信息化和制度化。还要闭环管理信息安全风险和运维实践,防止低层次的信息安全问题发生。另外还要加强专项检查整体提高信息系统的安全运维能力。同时还要对信息资源进行有效的分类整理,要构建完善的应急备灾能力,还要定期对应急备灾的能力进行检测,例如可以临时构建信息丢失的问题,看其恢复能力,只有这样才能有效地保障备份能够及时地恢复。
3.5构建完善的信息风险防护体系
正与邪、矛与盾、攻与防,永远都是相对存在的。在信息系统风险控制上也是一样的,要想预防攻击者的非法入侵,就必须要建立完善的信息风险防护体系。所以,企业要培养构建一支团队,让其不断进行学习,掌握攻击的技术,然后让其对企业的防护系统进行破坏,进而完善,只有不断地从攻击者的角度去思考,才能够构建完善的防护体系,只有不断进行攻防,才能够更好地提升信息风险防护体系,让其更好地保护信息系统,防止信息窃取和篡改的问题出现。
4结语
综上所述,虽然当下企业对信息安全风险的防护工作不断重视,也构建了许多防护的措施,具备了一些防护能力,但由于信息技术的不断发展,使漏洞变得更加隐蔽。所以,企业要想稳定发展,必须要采取措施对信息系统安全风险进行运维控制,只有这样才能有效的保障企业的经济利益,为企业的发展做出有力的支撑。
作者:徐美霞 单位:广东电网有限责任阳江供电局
参考文献:
[1]上官琳琳.企业信息系统的管理与运维研究[J].管理观察,2014(18):100-101+104.
[2]何芬.企业运维管理中信息系统安全风险控制探究[J].信息技术与信息化,2014(5):208-210+212.
[3]石磊,王刚.关于企业信息安全风险管理系统的研究[J].华北电力技术,2013(9):65-70.
篇5
一、人力资本与物质资本的契约关系:高新技术企业与传统企业的比较分析
与传统企业相比,高新技术企业人力资本与物质资本的关系发生了深刻变化,主要表现在以下三点:
1.从雇用关系到合作关系的转变
传统企业的最大特征是生产的资本化,即在企业的创立和发展过程中,物质资本投入比重非常大并远远超过人力资本投入比重;同时,从市场供求关系看,物质资本供应相对稀缺,而人力资本(主要是普通劳动力)相对充足。因此,传统企业的主人是物质资本所有者。人力资本在形式上隶属于物质资本,纳入到物质资本运动中并服从物质资本的需要,支配了物质资本也就支配了人力资本,产权的运作仅是物质资本的运动,即资本增值和创造利润的过程。这样,企业的契约关系表现为物质资本所有者雇用人力资本所有者的关系。即使是在“两权分离”的现代企业里,企业经营管理职责由人力资本所有者(企业家或职业经理人)承担,物质资本所有者(股东)投入的股本在公司中转化为公司的法人财产,这种安排仍没改变股东是企业的所有者、经营者是股东的被雇用者的状态,经营者仅被视为股东的人,股东通过董事会或股东会“用手投票”行使企业的控制权,或通过资本市场“用脚投票”制约管理者。
与传统企业相比,高新技术企业主要依赖于人力资本,这一重要特点决定了高新技术企业的创立主要有两种方式。第一种方式是既拥有高科技知识和创新成果又具有经营管理才能的人力资本所有者,通过自身的内部融资自己创立企业和组织生产经营活动,由此人力资本与物质资本融为一体;第二种方式是拥有创新知识和技术成果的人力资本所有者,与提供货币资本的物质资本所有者共同创立企业和经营管理企业。由于高新技术企业投资具有突出的风险性,传统的债务融资并不适用于企业的融资需要,因此高新技术企业的物质资本主要表现为风险资本,风险资本的突出特点是股权资本融资,其最终目的是赢利退出,而非长期控制企业,一旦创业成功风险投资者将在市场抛售股票以收回资本、获得巨额利润,并开始扶持新的高新技术企业。因此,高新技术企业是人力资本所有者和物质资本所有者在共同利益基础上创立和发展的,前者提供管理能力、创新知识和技术成果,后者提供物质资本,企业的契约关系从一开始就表现为合作关系,而不是雇用与被雇用关系。
2.从单一委托关系到多重委托关系的转变
企业是委托人和人之间围绕风险分配所做的一种契约安排,委托权的本质是承担风险,因此成为委托人所需的根本条件是承担风险。在传统企业,企业的风险主要表现在物质资本的风险上,物质资本所有者几乎承担着企业的全部风险,所以传统企业的委托—关系是以物质资本为核心要素构建的单一委托关系,即物质所有者是委托人,人力资本所有者是人。但是,在高新技术企业里,物质资本所有者(即风险资本投资者)通常将风险资本委托或投资于风险投资公司,由风险投资公司再投资于高新技术企业,由于风险投资公司的最大优势是资本经营与运作而非企业管理与运行,因此他们一般担任董事会建设者的角色,这样,风险资本投资者不仅不参与高新技术企业的创立,而且不参与企业经营管理,而人力资本所有者成为高新技术企业创立的主要角色。此时,在现代市场经济条件下,物质资本投资者的风险日益社会化,风险资本不能承担企业全部风险,而只是对自己的投资承担风险,而人力资本在高新技术企业的专用性和团队化日益提高,一旦退出企业或企业失败,其价值将大大降低,人力资本投资者,特别是创业企业家和核心技术人员也成为高新技术企业风险的承担者。显然,风险资本投资者、风险投资家、企业家和技术创新者形成了风险共担、收益共享的格局,这种格局打破了只有物质资本所有者是惟一的委托人,而其他人只能做人的产权配置态势,传统的单一的委托关系发生了质的变化,变成多重委托关系。在这种新型委托关系中,每一个所有者在凭借对自己拥有的生产要素产权行使委托人权利时,也同时是其他生产要素所有者的人,每一个要素所有者都有资格管理他人,同时也接受他人的管理。如拥有技术创新能力的人力资本所有者在委托风险投资者和企业家人力资本所有者把自己的创新知识、创新技术和创新设计商品化、产业化时,也他们行使技术创新的职能。这种新型委托关系为高新技术企业产权关系和治理结构优化、最大限度降低风险创造了条件。
3.从天然对立关系到有效合作关系的转变
长期以来,传统企业的所有权被认为是物质资本的企业所有权,在企业治理结构中只存在一种所有权,即物质资本所有权,这种所有权能够量化、价值化和资本化;相反,人力资本的企业所有权表现为非价值化和非资本化,两种资本的企业所有权是非对称的。同时,传统企业的委托关系特征决定了人的行为目标应该与委托人(股东)的目标一致,即企业的惟一目标是股东利益的最大化。企业所有权主体的惟一性和企业目标的惟一性导致传统企业中物质资本所有者和人力资本所有者的天然对立。但是,高新技术企业人力资本所有者和物质资本所有者的合作性质和新型委托关系,决定了企业所有权主体是多元的,企业的目标既是物质资本所有者(股东)利益的最大化,也是人力资本所有者利益的最大化,这有效地实现了两者利益目标取向的一致性,使两者的对立关系转变为有效合作关系。
二、高新技术企业产权结构特征
1.高新技术企业产权多元化
与传统企业相比,高新技术企业的产权结构是多元化的,由两种主要的产权形式构成,即物质资本产权和人力资本产权。前者的人格化代表是风险资本投资者,其投资主体也是多元化的,主要包括三者:一是政府,如美国政府建立了中小企业投资公司,为每一美元风险投资提供四美元的低息贷款;二是资本市场上的各种金融中介机构,如证券公司、投资银行、保险公司和各种基金组织等,由这些组织组成的各种形式的风险投资基金;三是风险投资公司,它通常是由一些大公司设立的。后者的人格化代表是拥有管理能力和技术创新能力的创业者(企业家)和核心技术人员。高新技术企业的高风险性,对其创业者提出了很高的要求,要求他不仅要有全面的专业知识、丰富的市场经验,而且要有处险不惊、果敢刚毅的人格魅力。在一定意义上可以说,创业者决定着风险企业是成功还是失败。因此,创业者作为企业创始人以及他的知识和经验作为企业专用的资产,其往往拥有较多的股权。同时,技术创新对高新技术企业的决定性意义远胜于一般企业,技术的复杂性和不确定性决定了技术的定价非常困难,甚至无法定价,而且技术创新过程是一种创造性的智力活动,对技术创新人员的工作过程和结果进行监督并不能导致效率最大化,因此高新技术企业不是采用传统企业中将技术人员置于被雇用者地位的做法,而是将核心技术以股权等形式进入企业的产权结构安排中。
由物质资本产权和人力资本产权为主体构成的风险资本投资者、创业者和核心技术人员,一开始就进入高新技术企业的产权结构中。这种产权结构既强调物质资本产权的实现,也强调人力资本产权的实现,对两种产权的权利、责任和利益进行了明确界定:对风险资本产权而言,风险资本所占股份为多少,风险资本退出的周期多长以及如何实现成功退出,风险资本如何进行风险控制管理,等等;对人力资本产权而言,技术创新的周期多长,技术创新成果的市场经济价值多大,值多少股份,创业者在创业过程中的权利、责任与利益如何安排,等等。高新技术企业产权多元化,既激励约束了风险资本投资者,也激励约束了人力资本所有者,体现了高科技时代企业增长和经济发展的创新模式。物质资本产权和人力资本产权的结合构成了高新技术企业产权的全部内涵。
2.人力资本产权的独立性、股份化和可交易性
在传统企业里,人力资本所有者虽然参与了企业的剩余索取权和控制权,但这种权利并不是以所有者的身份获得的,而是物质资本所有者对人力资本所有者的奖励或激励,因此,在企业产权结构中,两种产权是不对等的,物质资本产权统治和支配着人力资本产权,人力资本产权从属于物质资本产权,人力资本剩余索取权仅仅表现为一定量的利润分享,并没有股份化和市场化,由此人力资本产权不能在资本市场进行交易。在高新技术企业里,由于人力资本所有者是企业的合作者之一,因而人力资本产权是以所有者身份获取的,是一种独立的、与物质资本产权对等的产权形式。
高新技术企业人力资本产权的另一个重要特征是人力资本产权的股份化和可交易性。人力资本产权部分是以创业者身份和技术创新成果获得的股份,部分是以企业家人力资本和技术型人力资本获得的股票期权。随着高新技术企业成长到一定阶段,它已积累了一定资产,并向有限公司转变,这不仅为人力资本转化为货币资本提供了条件,而且为人力资本所有者从对企业承担无限责任向承担有限责任转变提供了条件。在高新技术企业公开招股上市,完成由封闭公司向公众公司转变时,人力资本产权的最终实现是产权的股份化,人力资本所有者本身就成为企业股份的所有者,真正成为拥有剩余索取权和剩余控制权的股东,人力资本所有者的人力资本彻底向货币资本转化,并可在资本市场进行交易。因此,在高新技术企业发展过程中,逐步实现人力资本产权资本化、股份化,并可以在资本市场交易和变现,这既能促进人力资本产权价值的真正实现,又对高新技术企业发展和产权结构调整具有重要意义。
3.高新技术企业产权高度流动性
高新技术企业流动性快,增长性也快,面临很大的不确定性,风险资本投资者投资于高新技术企业的目的是为了获得高额回报,为了控制和避免风险,获取高额收益,无论是风险资本投资者还是创业者,都要求高新技术企业的产权具有高流动性,都要求产权能迅速变现。首先,高新技术企业能根据企业发展阶段和经营状况调整企业的产权结构。在高新技术企业创立初期,创业者和风险资本投资者根据出资量和估算的技术成果市场价值来确定双方的股权结构,但创业者一般持有普通股,风险资本投资者持有可转换优先股或可换股债券等复合金融工具。可转换优先股的优势:一是转换价格和转股比例可以依据企业发展状况而灵活变化;二是具有优先清偿权;三是附加有股息率和支付条款。这种优势可以保证风险资本投资者在企业发展的不同阶段选取对自己最有利的股权方式。因此,创业者收益与企业经营业绩紧密联系,企业业绩越好,创业者可获得更多的股票份额和更高的股票价值;当企业经营不善时,风险资本投资者的优先股转股比例提高,创业者持股比例下降,而且在支付优先股利息之后,普通股已经大大贬值了。这种产权结构流动既激励约束了创业者,也保护了风险资本投资者的产权利益。
其次,高新技术企业发展到成熟阶段,风险资本投资者能适时将手中的高新技术企业产权转让变现,通过产权流动实现风险资本和人力资本产权回报。高新技术企业产权流动的主要形式有:一是技术转让,即通过将新研发的技术卖出,收回风险资本投资本金并实现技术创新者的人力资本价值。二是经营运作,一方面通过产品的持续销售获得利润,逐步收回投资本金;另一方面通过确认人力资本的股权和持续的利润分配,实现各类人力资本产权的价值。三是资产转让,即将企业资产连同新技术一并卖出,收回风险资本投资本金并同时实现各类核心人员的价值。四是股权转让,即将一部分或全部股权转让给其他投资者,从而收回风险资本投资本金和实现人力资本产权价值。五是公司上市,即通过公司股份在证券交易场所上市流通,卖出股份,收回投资本金和实现人力资本产权价值。这五种产权流动形式虽各有优势和不足,但从功能从较角度来看,“公司上市”最为重要。通过提供多元化的风险资本退出渠道和建立多层次的资本市场体系促进产权流动,风险资本投资者和人力资本所有者获得产权回报,也使企业获得进一步发展。美国通过纽约证券交易所、NASDAQ全国市场及小型市场、各类场外交易市场等多层次资本市场,为风险资本提供良好的退出通道,同时为其他投资主体进入高新技术企业产权结构中提供了通道,这就保证高新技术企业产权能迅速、顺畅地流动,从而确保了风险资本和人力资本产权的实现,也保证了高新技术企业持续稳定发展。
4.高新技术企业创业阶段一般采取有限合伙制的产权制度安排
有限合伙制在产权结构上具有以下特征:
(1)人力资本产权的无限责任与风险资本产权的有限责任统一。高新技术企业创业阶段由有限合伙人和普通合伙人组成,有限合伙人是风险资本投资者,其投资量一般占总投资的99%,并以其所投资本承担有限责任,企业成功后可分得75~85%的资本利润;普通合伙人是风险资本家和创业者,他们是企业的管理者和决策层,其投资量仅为总投资的1%,但对企业的经营承担连带无限责任,成功后可分得15~25%的利润。人力资本产权的无限责任将人力资本与企业发展紧密地联系在一起,既是一种股份激励制度,也是一种企业治理的约束制度,风险资本产权的有限责任有利于吸纳高新技术企业所需的资金,因此人力资本产权的无限责任和风险资本产权的有限责任的产权制度安排,促进了高新技术企业的技术创新和科技成果转化,充分实现了两种资本的高效配置。
(2)有限期限的封闭式风险资本和强制分配条款。风险资本投资的主要功能在于向高新技术企业提供长期融资,由于高新技术企业还未上市,因此风险资本投资一般采用封闭式,有限合伙人一般不能撤资,风险资本流动性较差,且投资周期有限,通常为7~10年。为了保护有限合伙人的利益,产权契约规定投资期满后,除非2/3的有限合伙人同意延长一年,否则风险资本家和创业者必须退还本金和分配收益。
(3)有限合伙人虽没有管理权,但在关键问题上有投票的权利,如有限合伙协议的修订,合伙关系的提前解除,基金寿命的延长,风险资本家的撤换等。
三、新技术企业治理结构特征
1.强化人力资本治理结构
传统的公司理论是以“股东资本本位”理论构建的,公司被理解为是一个由物质资本所有者组织起来的联合体,在股东的资本和管理者、生产者的劳动这两个生产要素中,为公司提供物质资本的“资本家”对企业拥有绝对的所有权,管理者或生产者只是股东资本的雇佣者。因此,公司治理结构所要解决的问题是,在公司所有权与经营权分离的条件下,如何确保物质资本所有者获得投资回报,即物质资本所有者通过什么机制迫使经营者将公司的利润作为投资回报返还给自己;如何约束经营者的行为并使其在物质资本所有者的利益范围内从事经营活动。但是,在知识经济的模式下,一方面,高新技术企业核心价值掌握在人力资本所有者手里,人力资本已经成为企业生存和发展的决定性生产要素;另一方面,高新技术企业的生产、经营活动已经高度专业化,分工也越来越细。生产者、经营者对专有知识、专有信息独占性越来越强,与物质资本所有者的“信息不对称”现象也越来越严重,并且也越来越不可逾越。在这种情况下,传统的企业制度和治理结构形式显然无法容纳人力资本的作用,为了解决上述问题,适应高新技术企业发展的需要,高新技术企业公司治理结构的重心产生了重大变化,发生了从“以资为本”向“以人为本”的转变。即企业已从过去那种以物质资本为基础,以物质资本的所有者和经营者的关系如何界定为中心的治理结构。转向了以物质资本和人力资本为基础,以这两种资本的权利关系如何界定为中心的治理结构,企业治理结构主要围绕如何激励以调动人力资本的积极性和如何适当约束人力资本的短期行为,激励机制可以保证人力资本应有的地位及利益,而约束机制则可以防止人力资本侵犯物质资本的利益,从而维护物质资本的地位及利益,通过建立激励与约束兼容的机制来实现两种资本双赢。因此,高新技术企业的人力资本成为企业治理结构安排的重要要素,强化人力资本治理结构成为知识经济条件下高新技术企业最典型的企业治理结构形态。
高新技术企业人力资本治理结构主要表现为:首先,人力资本股权激励成为高新技术企业治理机制的重要组成部分。为了激励人力资本,高新技术企业在股权安排方面往往通过股权激励制度安排使人力资本所有者拥有股权。股权激励采取的形式一般有两种,一种是将企业的一部分股权作为人力资本所有者的非现金收入或直接发放给他们作为管理股和技术股,人力资本所有者直接成为企业所有者;另一种是实行人力资本所有者股票期权,股票期权是规定人力资本所有者在某一段时期内按照某一约定的较低价格买进股票的权利,其实质是让经营者能够分享企业长期发展之后的价值增值,将人力资本所有者的收益与企业的利益紧密结合在一起。这种内在的联系使得经营者克服了决策和规划的短期效应,在公司的经营管理和发展战略问题上考虑的是企业的长期赢利能力。在高新技术企业治理中,一方面,股权激励使人力资本成为企业的所有者之一,增大了人力资本所有者经济实力,增强了人力资本所有者对企业的控制能力,从而强化了人力资本在企业治理结构中的作用;另一方面,股权激励使人力资本既分享企业增长所带来的收益,也承担企业风险所带来的损失,从而人力资本与企业的发展休戚相关,同时,人力资本所有者与物质资本所有者形成利益共同体,双方共同分担风险,相互制约,相互促进,降低了成本。
其次,董事会作用的弱化和首席执行官(CEO)制度的形成。CEO拥有远远大于以往总经理的权利,不仅正常的经营管理,而且在公司战略、重大投资、财务安排等方面拥有很大权力,还具有提名内部董事的资格,因此一般认为CEO拥有相当于50~60%的董事长权力。董事会的决策作用和监督作用都开始弱化,董事会的权力只局限于挑选一位合格CEO,当公司战略出现重大失误或者业绩出现严重问题时选择新的CEO代替前任。与此相对应的是,为保证权力巨大的CEO不滥用权力,CEO常常以管理层收购或者购买期权的形式拥有相当数量的企业股权,不再是单纯的公司雇员。CEO制度的产生实际上表明了高新技术企业治理结构的全面调整,一方面对人力资本和物质资本的地位和权利做重新的界定,主要是提高了人力资本在企业中的地位,增大了人力资本在企业中的权利,而物质资本的权利大多表现在产权的利益回报上,而不是其他方面,不再强调物质资本对企业的控制;另一方面对人力资本和物质资本进行功能性分工,经营活动已由CEO来独立进行,董事长不再进行重大经营决策。
最后,高新技术企业风险投资制度的发展更强化了人力资本治理。虽然风险资本投资者持有公司相当一部分股权,甚至持有大部分股权,但风险投资的持股期限是有限的,对经营管理的介入也是有限的,这使得风险资本具有某种“借贷资本”的性质,较多注重收益而较少注重管理。
2.风险资本的相机治理
风险资本在高新技术企业中一般采取相机治理的方式参与企业治理。风险资本在高新技术企业投资过程中,通常采用的投资工具有可转换优先股、可转换债券和附购股权债券等。其中可转换优先股是最普遍的一种形式,其优势在于:其一,持有优先股可优先获得固定的股息,并可以在企业经营状况良好时通过转换为普通股而分享企业利润增长的利益;其二,可转换优先股一般附有赎回条款,在投资者对企业前景信心不足时,持有人可要求企业赎回股票,从而避免更大的损失,同时也对企业创业者形成更大的压力和约束;其三,可转换优先股通过转换为普通股可加强持有人对企业的监督控制。一般企业的优先股意味着优先分配利润和没有表决权,放弃对企业重大决策的参与。而在高新技术企业里风险资本投资者在投入风险资本时,投资者和创业者双方要签订契约,把大量防范风险、确保回报的条款列入契约,风险投资虽持有优先股,却享有参加董事会并参与重大决策的权利,享有对某些重大事项如企业产权转让、出售、上市等的完全否决权或超股权比例的否决权。可转换债券是持有人能以约定期限和约定价格转换为企业股份的债券,选择可转换债券使风险投资者在取得稳定收益的基础上,通过债权转股的方式获得参与企业经营管理并分享成长潜力的机会。附购股权债券是指风险资本以债权形式进入高新技术企业时可获得一项认股权,即能够在未来按某一特定价格买进既定数量的股票,这使得投资者未来可能以较低价格获得企业股份,从而加强对企业的监控地位。
3.以高度发达的人力资本市场和资本市场为主导的外部治理机制
人力资本需要经过市场的洗礼,需要在企业经营中证实与不断证实,如果人力资本所有者的经营绩效不好,就会失去在人力资本市场中的“声誉”,很难再有机会成为风险资本投资者搜寻的对象。因此,人力资本市场实际上是满足市场基本门槛、对学历、背景、业绩与失误详细记载的动态人群,通过这个市场,作为一种资本的人力资本能不断流动,把真正具有价值的人力资本留下来,这对企业中的人力资本形成强大外部压力,从而对人力资本起到了重要的约束作用。管理者更替是美国高新技术企业治理的重要组成部分,这依赖于高度发达的人力资本市场。在美国高新技术企业中大多实行驻守企业家制度,即风险资本投资者通过人力资本市场物色有成功创业经历的优秀企业家,让他们在风险基金中任职,参与组建高新技术企业,在必要时担任新组建的高新技术企业的管理者。
资本市场主要通过两个方面对企业治理产生作用。一是价格机制。企业股票在资本市场的价格反映了企业管理者的经营管理水平,物质资本投资者通过对企业市场价格的观察和预期,来评价管理者的经营管理水平,降低了监督成本;同时,根据评价结果物质资本所有者可以采取更换管理者、出售股票、寻找合作伙伴以及引进新的投资者和管理者等行为,这些行为将给管理者带来巨大压力,迫使其尽职尽责提高企业经营业绩。二是退出机制。风险资本投资高新技术企业的目的并不是永久地拥有企业,而是希望通过投资运营,达到资本增值,然后以某种退出方式实现投资回收。风险资本投资的这个特点,隐含了一个创业者通过首次公开发行重新由风险资本投资者手中获得企业控制权的期权,即在风险资本投资者和创业者之间签订的持股契约中,允许企业者在达到某种业绩标的时(一般是首次公开发行),可以增加创业者股份份额(通常是普通股)和重新获得控制权,这给予创业者很大的激励。因此,发达的资本市场在为风险资本提供顺利的退出渠道时,也同时实现了高新技术企业控制权的重新分配,从而优化了企业治理结构。
【参考文献】
