首页 关于我们 企业资质 发表指南 购物车0
目标检索
学术杂志 科普杂志 SCI杂志
当前位置: 首页 精选范文 企业信息化评估方法范文

企业信息化评估方法精选(五篇)

发布时间:2023-10-12 15:35:04

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的5篇企业信息化评估方法,期待它们能激发您的灵感。

篇1

[摘 要] 本文基于信息化建设工作经验,针对如何评价企业信息化价值提出了一种基于对标管理的评估方法。研究了该方法在企业信息化项目价值评估和企业整体信息化价值评估两种情况下的应用,并通过具体的评估案例实践,验证了基于对标管理的信息化价值评估方法的有效性和实用性。

[关键词] 对标管理;企业信息化;价值评估

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 05. 036

[中图分类号] F270.7 [文献标识码] A [文章编号] 1673 - 0194(2017)05- 0065- 05

1 前 言

近些年,企业信息化价值逐渐得到认可,信息化已经被认为是企业发展战略的重要组成部分,信息化价值也体现着企业价值。一般来说,所谓信息化价值有两种理解:一种是狭义的信息化价值,即某一项信息化基础设施建设或信息系统建设能够为其建设主体带来的价值,一般表现为直接的、可看得见的经济效益,是对一种具体的、短期的、单一的信息化项目价值进行评估。另一种是广义的信息化价值,即企业应用信息技术来影响和优化企业生产方式、管理方式、经营模式的过程,是对宏观的、长期的、复杂的企业整体信息化价值进行评估。

伴随着国际信息化的深入飞速发展,我国两化融合进程的不断推进,信息化价值评估结果的模糊性表述已经不能满足企业管理者的战略价值参考,企业管理者需要认真而严肃地评估信息化价值,但围绕信息化价值的分析与评估,仍然存在着评估方法的缺失和评估不够量化等问题。对此,本文作者结合信息化工作实践,参考大型央企集团信息化工作模式,提出了基于对标管理的信息化价值评估方法。该方法既适用于对具体的信息化项目建设进行评估,又适用于对企业整体信息化价值进行评估。

2 基于Ρ旯芾淼男畔⒒项目价值评估

基于对标管理的信息化项目价值评估一般分为三个步骤,即选取对标企业、选取对标管理指标项、对标评估及分析。以我院建设的项目管理系统为评估对象来阐述该方法的应用。该系统建设目标是为了提升项目管理效率,使项目管理更加规范化、标准化,为决策者提供真实有效的统计数据。系统实现了从经营、合同到生产组织、项目管控及验收、归档等全程线上管理,功能覆盖了正式生产项目、投标项目、代政府咨询评估项目、经营服务项目以及科研项目和管理类项目的全过程管理,业务流程节点涉及经营管理、生产综合管理、采购管理、财务管理、项目生产、工时管理、指标管理、综合报表等8大类41个功能模块。该系统2012年正式立项,至今已建设达5年整,先后投资达480万元。

2.1 选取对标企业

首先选取已经建设了类似系统的三家单位作为对标企业。对标企业的选择可以是行业内企业、集团内二级子公司或者与本公司规模体量及经济效益基本相当的单位。经过调研走访,选择了一家北京建筑设计单位、一家行业内施工企业和一家与我院规模体量基本相当的省级规划设计院,为方便描述,分别为上述三家企业设定代号为A、B、C。

2.2 选取对标管理指标项

对标管理指标项的选取对评估结果至关重要,它反映了企业对信息化某方面价值的关注程度,指标选取的恰当与否会影响价值评估结果。根据美国项目管理学会(Project Management Institute,PMI)提出的关于信息系统项目管理知识体系(Project Management Body Of Knowledge,PMBOK)的九大知识领域,结合企业自身对信息化价值关注点,选取其中与项目价值关系紧密的五项改进后作为对标管理指标项。

(1)项目整体目标:是对项目建设后形成的预期结果的描述,建设目标的方向性和现实性是系统能否体现其价值的关键,因此衡量项目建设价值时往往从目标是否明确、是否可实现的角度进行考量。

(2)建设内容及范围:是指为达成项目目标必须完成的工作内容。对于信息系统建设项目,建设内容可从两方面来描述。一是根据项目周期的阶段按照项目管理、需求分析、系统设计、集成准备、集成实施及测试与验收等6个阶段对所涉及的工作进行层层分解;二是根据系统需实现的业务功能模块来进行层层分解,将业务流程进行细化。项目建设内容及范围有覆盖程度及深化程度之区分,在做对标评估时要确保使用同一维度的内容分解方法并使分解的各个工作事项基本保持在同一水平。

(3)项目时间进度:是指为完成该项目所产生的所有活动的时间总和。一般指信息化项目从立项启动到上线验收经历的时间。

(4)项目投资及成本:指完成该项目所需的资金投入及人力资源成本的总和。

(5)项目建设质量:对于信息系统来讲,项目的建设质量主要从三方面来考察:一是系统建设选择的技术框架体系是否合理,如系统选择的软件技术,采取的安全技术等是否合理;二是系统本身技术指标是否符合标准或客户要求,如系统可用性、可靠性、可维护性等等;三是系统建设的组织管理过程是否规范合格,如过程的组织与管理(P-D-C-A的执行过程)、风险分析与管控、项目参与各方的沟通程度等。

2.3 对标评估及分析

对标评估过程需要专家参与。对于信息系统的价值评估,一般由领导、业务部门、信息化部门、行业专家及用户共同组成5-7人的专家组。首先到各单位调研,就对标管理指标项与各公司沟通了解情况,每位专家将填写对标评估表,经过对比分析给出各家指标项的评分;汇总专家对标评估表,取平均值作为该公司某项指标项的最后得分,得到表1。

从表1中可以看出,我院的建设目标相对清晰,建设框架和内容、功能相对完整,在建设过程中严格执行了项目组织管理的质量控制环节,避免了走弯路,在时间上节约了返工成本,总体属于中上等建设水平。这与我院建设生产经营管理系统的实际情况是相符合的,也证明了基于对标管理的信息系统价值评估方法是可行的。

值得指出的是,在实际应用过程中,往往将该办法应用于系统建设之前,即调研各家单位后形成上述对标评估表,根据评分来决策其他要素几近相同的情况下资金投入的多少或时间进度的控制。

3 基于对标管理的企业整体信息化价值评估

运用对标管理方法来评估企业整体信息化建设价值同样适用,只是选取不同的对标项。以中国交通建设集团有限公司(简称中国交建)的信息化价值评估为例,根据国资委年度评测指标体系,在行业内信息化较有影响力的央企有某综合能源集团公司(设代号M)、某大型实业集团公司(设代号H)和某大型专业能源集团公司(设代号S)等。中国交建选择这三家行业优秀集团公司作为对标企业,对标管理可以选取以下几个指标项。

3.1 指标项1:信息化领导力

从信息化领导力来讲,大多数公司均由公司领导亲自挂帅或设立CIO制度,将信息化定位为驱动企业变革与转型的核心要素,以信息化为切入口实现企业整体变革。在这方面,这三家对标企业均由集团公司副总全面抓总信息化,实现集团范围内的管理提升和变革。

3.2 指标项2:信息化建设路径与策略

从信息化建设路径与策略上,信息化工作是系统工程,集团上下应齐心协力,适宜集中统一、步调一致,不适宜分散建设、重复投资。这方面,三家对标企业的实施路径与策略见表2。

3.3 指标项3:信息化管控w系及职责分工

信息化涉及众多跨部门、跨业务的协同内容,建设过程中清晰明确的管控体系和职责分工能够帮助业务部门和信息化部门尽快进入角色,共同提升业务和信息化水平。在这方面,三家公司均有成熟的信息化管理体系办法、信息化与业务活动的规范接口及相关技术标准。

3.4 指标项4:信息化建设力量

信息化工作的效用发挥一定是信息化理念、技术与公司特有文化、管理模式、组织模式的有结合。在信息化建设过程中,培育和发展一支自有专业队伍必不可少,不仅可以支撑企业内部管理变革,同时还可成长为行业内独立业务板块。三家对标公司的具体情况见表3。

3.5 指标项5:信息化资源投入

充足的资源投入是信息化工作的强力保障。在对标企业中,各公司都非常重视信息化投入。经调研了解到各对标公司的信息化资金投入情况,见表4。

从以上五个维度的指标项来对标分析,目前中国交建在信息化领导力方面,尚未设立企业CIO制度,二级单位信息化组织架构尚需要完善和充实,还有较大提升空间;在信息化建设路径与策略方面,2010年提出统筹规划、分步实施的原则,2012年在《中国交建十二五信息化顶层设计》中正式提出“统一规划、统一标准、统一管理、统筹建设”的四统原则,2016年又进一步提出“统一规划、统一标准、统一管理、统一投资、统一运营、统筹建设”的六统原则;在信息化管控体系及职责分工方面,公司已制定一系列信息化工作管理办法,但业务部门在信息化建设管理工作中的主人翁意识和积极性仍有待提升,业务部门及信息化部门之间的权责关系仍需进一步明确和清晰;在信息化建设力量方面,中国交建下辖7家信息化专业公司,运维人员约1 400人,但由于市场分散、地域分散、人员分散、专业分散等原因,尚不能形成合力;在资金投入方面,目前中国交建年度投资约4亿元,同期营业占比仅为0.1%,相对建设期投资偏低。

为以上五项指标给出相应评分,见表5。

从上表可以看出,中国交建应在信息化领导力、资源投入及整合信息化团队方面进一步提升,这与集团当前信息化所处实际情况是一致的,与中国交建在国资委信息化评比成绩是一致的,与当前集团上下对信息化的认可度也是一致的。

4 结 语

以上就信息化工作实践中的信息系统和企业信息化价值评估进行了探索和实践,初步证明是有效果的,但仍有可改进和优化之处。比如,在信息化项目建设价值评估时,可将指标项增加和细化,或利用层次分析法构建指标体系表进行评分,得出的结果将更加量化和准确。总体来说,信息化价值评估对企业管理层和技术层衡量企业信息化价值具有越来越重要的意义。做好信息化前评估和后评估有助于更好的发挥信息化的杠杆作用,促进企业的两化融合,提升核心竞争力。

篇2

关键词:MIE;企业信息化;投资评价

一、管理信息经济学研究的对象与内容

Adrian M.Mc-Donough在1963年发表的《信息经济学与管理系统》(McGraw-Hill Book Companying.)一文中,从信息管理的角度探讨了如企业的信息供给、信息需求、信息管理的经济效益、与信息系统的经济环境等信息的经济现象。管理信息经济学研究的主要对象是基于信息技术的企业信息化,而企业信息的集成便是我们的代表技术——信息技术。这里所说的企业信息是指产生于企业实践并在企业中或企业之间交流传递的信息,如产品信息、价格信息、企业政策信息以及外部对企业有所作用的信息等。作为管理信息经济学的研究对象,信息技术和企业信息化是管理信息经济学探讨的重点内容。这是因为要体现企业信息的经济性,就要对其做出系统科学的效益评估,而评估的对象就是企业的信息系统或与之相关的信息技术产生的效益,这类领域主要集中在企业信息化领域。所以只有通过对信息技术以及其应用进行研究,才能使我们的企业在进行信息化时能从中确实感受到信息的经济性给企业带来的变化,也只有这样,才能使信息技术发挥出它的内在经济性和潜在生产力,并最终使信息技术服务于企业。管理信息经济学是在企业理论和信息经济学的基础上发展起来的,虽然这个课题是一个新的课题,但是随着信息经济时代的发展,我们也应当看到它的内在需求性。本书以信息技术这条主线贯穿始终,通过企业信息技术和其在企业内外部的应用这两个主要层面来展开论述。其中,企业内部包括企业信息的经济性分析、企业信息管理模型的建立、信息技术与企业业务流程重组、企业价值链重建等;企业外部信息技术的应用包括集成化供应链优化配置理论、电子商务信息经济学研究和信息技术等问题。

二、企业信息化投资价值与风险分析

研究企业信息化投资及其价值问题时,需要考虑的因素是企业的经济规模、商业地位及运行能力等。NPV、ROI、回报期限和其他项目投资分析方法是用于企业信息化投资评价中来评价各项系统提案的传统方法。从企业信息经济学角度看来,某些应用系统安装集成后产生了包括现金流量、收益与企业的财务分析等企业信息化价值。而所谓价值,就是在企业信息化的使用过程中产生的诸多积极作用的结合体。表面看来,企业用于引进新的信息系统所需的资金流出是负的,而学习新的技术且用于实际工作消耗的时间、新的生产工艺与传统生产技术的不适应也导致了企业工作模式的破坏等棘手问题。企业实施信息化效益分析中,关键要考虑的就是投资回报,当中包含了企业的现金收益外的“社会效益”问题。利用新的系统应用,各部门机构可重新定位更有价值的工作。引导着另一方进行投资或者价值流重组的原因则是企业的信息化投资中所体现出的价值及风险因素。用经济学的观点看来,价值与风险因素是企业在立项及实行企业信息化之前重点考虑的因素。包括以下几点:①投资回报(ROI):企业的经营手段都可以作为基本的依据;②战略匹配:企业建设工程是否匹配其相应的建设目标;③竞争性风险:评价体系成功率的降低,可能导致企业竞争下滑;④风险因素:拟建的系统可能没有实现预期值,导致企业的收益受到威胁;⑤组织风险:企业在经营过程中的管理意识。公司实施信息化可能带来的新的风险或者比原程度的风险有所增加,亦有可能导致企业组织结构进行大规模的重组。以上是风险中典型的因素。

三、企业全面信息管理战略投资评价

将技术手段应用到预期目标和项目类型上是对企业信息化评估非常可行的方法。企业利用经营发展目标及短期商业目标来限定信息化投入的范围,信息化投入的项目也可实现以下目的:①将信息化投入作为企业经营中的一个商业活动来发挥功效;②在提高销售业绩的同时又降低了企业的经营成本核算;③提升了企业的核心竞争力;④推动其他企业信息化投资项目得到收益。

1.企业匹配目标的信息化项目。企业匹配目标的信息化项目投资分为以下几类:①必要投资,企业财务信息管理系统的投资;②提升销售业绩投资。客户关系管理系统(CRM)、分销管理信息系统(DRP)等;③竞争边缘投资。企业办公自动化以及电子商务应用系统等;④基础投资。企业内部网络搭建、网管中心设立、管理用计算机与专用计算机的资金投入等;⑤评估投资。企业要实施信息化建设之前,聘请专业评估机构对信息化资金投入的投入产出比率以及企业信息化的前景进行专业评估咨询是必不可少的关键性投资。

通过图1可以看出,企业在信息化建设的初期就与企业所要求的经营目标相连接,这样就明确了企业的评估重点,此时就已步入了评价阶段。利用传统的金融投资评估方法可以对“有效的”信息化投资项目进行整体研究,相对于企业发展来说,信息化的投资效益短期是显而易见的,而有些则需要长期的运行才能确定其成效,而且长期的信息化项目运行是带有社会性附加值的。

2.信息化投资评估技术方法。企业信息化投资评估技术较为理想方法是“发展持续的方法”,目的是将企业信息化投资的效应与企业可持续发展等综合起来考虑,是一种科学的、更加深远的信息化建设观点。①评估的时效性。企业信息化投资评估是与企业的经营发展战略密切相关的,可以是在项目建设初期进行,也可根据企业经营间歇期或企业规定的阶段实行。②决策环境。投资评估是依据当时的经济发展与社会背景决定的。在决策环境中还存在一定技术问题急需解决:企业信息化项目的决策过程是否持续标准?企业信息化投资预期收益是否可计量?企业信息化建设的投入产出相关数据是否被认为很关键?企业能不能承受高额的费用?③系统。所谓“系统”是企业的网络基础设备以及信息平台的集合,它是企业信息传递的载体。在企业信息化投资的评估中需要明确的问题是:“系统”在企业的管理经营过程中究竟起到什么样的作用?④组织。企业的经营状况稳定与否,企业信息化建设负责人能否作为真正的项目决策人,也是在企业信息化评估过程中需要注意的问题。⑤因果关系。“系统”对于企业的经营是否起到了一定的作用,是否使企业真正得到了一定的收益,则是因果关系所需要关注的问题。利用评估技术的特性与信息化投资评估的技术变量进行比较,再将这些技术变量分配到矩阵中,且将每种技术变量都分配到矩阵中的特定位置,图2所示变量趋向于在企业信息化建设中的作用而非经济标准进行衡量。技术与原型、模仿与应用相协调是信息化投资评估方法的核心所在,其边界值通常是基于比率上的。

对于企业信息化投资的评估,重点是企业进行信息化投资后,企业的价值链增加的价值及企业的最大化利益,其次是节约企业的持续成本。这些需用相对应的技术矩阵进行实验,实现更有力的科学数据的支持。(如图3所示)

[注]ROI—投资回报率;MOMC—多目标,多标准;ROM—管理回报;P—报酬;EM—实验方法VA—价值分析;SES—芝麻;BV—边界价值;CBA—成本—收益分析;IE—信息经济

在矩阵中,传统的基于财务基础上的方法依然具有它们的适用性。在实践中,目标、项目类型和环境因素可能强烈地表明来自于一个象限的技术是最合适的。如果是这种情况,我们可以判定企业的信息化投资评估需要的不只是一种技术。通过分析表明,更常见的信息化投资评估是来自于几个象限的一系列技术才是最合适的。

参考文献:

[1]彭志忠.管理信息经济学[M].济南:山东大学出版社,2006.

[2]谢康.国外信息经济学研究[J].科学决策,2000,(4):41-42.

[3]Leslie Willcocks&Stephanie Lester,Evaluating the feasibility of information systems investments:recent UK evidence and new approaches,Information Management,Chapmean&Hall,1994:63.

篇3

[关键词]高新技术企业;信息化风险;风险识别;风险评估

doi:10.3969/j.issn.1673 - 0194.2016.06.040

[中图分类号]F276.44 [文献标识码]A [文章编号]1673-0194(2016)06-00-02

网络时代的企业信息化建设对高新技术企业在管理效率、风险管控、市场响应、产品研发等核心竞争力和企业绩效方面产生了前所未有的推动和提升作用,企业通过引入线上办公系统(OA)、企业资源计划系统(ERP)、全面风险管理系统(TBS)等信息化手段提高各部门工作效率,从而有效提高企业的管理水平,通过电子商务平台、分销管理系统等提高其销售贸易能力,实现企业的可持续发展。但随着高新企业信息化程度的快速扩展和IT投入不断增加所带来的风险及隐患也呈上升趋势。如何进一步规避信息化风险,控制信息化损失成为亟待解决的问题。

本文旨在为高新技术企业研究一种信息化风险评价方法。根据高新技术企业的特征,识别高新技术企业在信息化建设过程中存在的风险,运用专家评分法对可能存在的风险因素进行评分排序,并将专家的打分表现在帕累托图中,根据帕累托法则的“二八原则”,找出关键的风险因素。高新技术企业可依据本文提出的方法对其信息化建设过程中的风险进行识别及评价,并据此提出有针对性的管控措施。

1 高新技术企业信息化风险识别

高新技术企业具有高投入、高创新、高收益、高人才拥有、高风险等区别于传统企业的特征,如互联网、电子商务等企业,基于其发展初期往往需要构建一套需要较高人力、资金和技术投入的信息系统,即迈出企业信息化这一步,这是高新企业持续发展的必由之路。

依据生命周期模型和诺兰模型的理论,企业信息化建设过程一般划分为规划、分析、设计、实施和系统运行维护5个既相对独立又密切相关的阶段。借鉴前人的研究思路,本文将从信息化生命周期的上述5个阶段来识别高新企业信息化风险的类型和影响因素,以便更好地实施分析评估。规划阶段风险主要包括IT战略计划风险、资金供给风险、人力资源风险三个方面;分析阶段风险包括开发制度风险、需求分析风险、流程再造风险三个方面;设计阶段在概要和详细设计、设计方案审核两个方面存在风险;实施阶段风险包括软硬件采购风险、系统测试风险、人员培训风险;在运行维护阶段会出现职责分工风险、权限管理风险、备份风险三个方面的风险因素。各阶段的具体风险表现在表1中进行列示。

2 高新技术企业信息化风险评价

高新技术企业信息化风险评估首先通过专家评分对企业的信息化风险进行评价,随后使用帕累托图对各风险因素进行排序,根据帕累托法则的“二八原则”评价出关键的风险因素。

2.1 专家评分法

在识别出高新技术企业信息化风险后,企业应组建专家团队对本企业信息化风险进行具体评价打分。企业应建立专家组对风险进行匿名打分。为保证评估的权威性和客观性,专家团队应由熟悉企业业务流程和功能的信息化建设方面的人员组成,包括有内部专家和外部专家。内部专家至少应该包括公司总经理、各部门负责人、企业信息化建设技术人员,外部专家包括注册信息系统审计师、咨询机构专家等。专家团队人数应当控制在适当的比例范围内,可根据企业信息化规模确定。

组织专家评分主要分为5个步骤。第一,发放资料。应先向评分专家提供企业信息化规划、设计及运行方面的资料,专家应在足够了解企业信息化各方面情况的基础上进行专业判读和评价。第二,专家打分。将评分表发放给选定的的专家,专家团队成员应根据自己的专业知识以及被评价企业信息化建设和运行情况,对每项风险发生的概率、预期损失值进行评价打分,同时在备注中给出治理措施建议。第三,汇总分析。评价企业统一收集整理评分表,计算每位专家针对每一风险因素打分的统计指标,包括平均数、方差、中位数、极值等,并将结果反馈给各位专家,若需修正可二次打分一次。第四,召开讨论会。邀请个人评分与最终汇总分数差异较大的专家发表意见,从专家的个人视角给出合理解释或反驳意见,专家根据反馈结果再修正自己的意见。第五,经过多轮匿名征询和意见反馈,形成最终得分及治理意见集合。

2.2 帕累托排序

高新技术企业的IT风险符合帕累托法则的“二八原则”,即80%的企业风险由20%的风险点引起。通过专家的匿名打分和意见反馈,形成了最终评分结果。高新技术企业需按照专家评分分数高低,运用帕累托图对风险进行排序评价处对企业威胁最大的风险因素。对专家评分的结果进行排序,并绘制帕累托图,则前20%的风险点即为高新技术企业IT风险中的关键风险因素,应进行重点控制和关注。为说明问题,本文在小范围内进行模拟打分,得到如表1所示的数据,据此得到图1所示的对应帕累托直方图,通过要素排序的递进累计,当累计风险达到80%左右时(本文为81.33%),落入考察区间的考察量为X1、X2和X10,说明该3项要素的存在导致了企业绝大部分(80%)风险的后果,因此治理时应抓住主要矛盾,重点对这三项最可能的诱因实施风险治理。

图1 高新技术企业IT风险专家评分帕累托图

3 措施建议

众所周知,信息化在给企业带来高效便利的同时,也夹裹着诸多风险,关键是如何快速识别出致险因素,并在排序中寻找关键风险因素,然后有针对性地制定风险治理方案。高新技术企业是信息化建设的典型代表,运用上述风险识别和评估方法,可以重点防控企业最可能出现重大风险,保证信息化建设和运行顺利。同时企业还应慎重选择信息化时机、节奏和规模,并注重企业中人的作用,适度引入“人机治理模式”,将“人因”与“机因”有机结合起来。

主要参考文献

[1]李志,唐波,张庆林.高新技术企业特征与管理对策研究[J].重庆大学学报,2009(7).

[2]吴炎太,林斌,孙烨.基于生命周期的信息系统内部控制风险管理研究[J].审计研究,2009(6).

[3]彭超然.大数据时代下会计信息化的风险因素及防范措施[J].财政研究,2014(4).

[4]王凡林.企业信息化风险的内部控制与治理研究[M].北京:首都经济贸易大学出版社,2014.

[5]周娟,杜栋.企业信息化水平评价系统的研制[J].河海大学常州分校学报.2004(2).

[6]蒋忠建.论西部企业信息化建设[J].经济体制改革.2004(3).

篇4

企业信息化是企业在市场竞争中生存的一个重要之路。企业在实现信息化发展道路的过程中项目的复杂性程度也越来越高。在高风险的企业信息化项目中,进行科学化的风险管理有利于企业驾驭风险以提高项目的成功率。本文在正确认识企业信息化项目风险管理的基础上,对风险管理的特点进行阐述,进而提出了企业如何实施风险管理的建议。

【关键词】

企业信息化;项目管理;风险管理

0 引言

全球信息化的浪潮促使着信息技术在企业经营管理中的渗透,对企业各种业务领域都产生了重大的影响。企业的信息化建设已然成为了企业生产和发展的保障。信息化项目属于高风险和高投资项目,其成功是由很多因素决定的,在整个项目中也是充满着风险。因而,企业应该对这些风险有更加深入的认识,要建立风险管理控制的机制,以提高信息化项目的成功率,保障企业发展。

1 风险管理的概念

信息化项目风险管理针对的是企业的内部风险,在等级保护和适度安全的思想下平衡企业的成本与效益之间的关系,确保安全措施的合适性以保障企业具备应有的保障能力。对信息化项目进行风险管理应先对项目有个清晰的认识,对其潜在的风险加以识别和评估,确定风险的危害程度以及后果,然后有层次的加以处理。最后对项目的实施过程还要进行监控,并且加以改进。

企业风险管理的的内容有三个部分,一个是风险评估,一个是风险处理以及风险监控。风险评估是企业实施风险管理的基础阶段,是确定项目是否存在风险的过程。风险评估的方法主要有两种,一种是定量评估,一种是定性评估。定量评估是从数字上对风险进行评估,定性评估则是依据分析者的经验以及知觉或者以行业的规范为准对其中的各个要素进行评估的过程。两种评估方法都有各自的优劣势,企业在进行风险评估时可以根据自己的实际情况制定相关的评估方案。

风险处理是通过选择和执行措施来处理风险的过程,包含了对风险评估中提出的安全控制措施的排序以及平等等。风险处理包括了规避、转移、弱化和接受四种方式。避免风险是在改变项目方案的基础上来消除风险,避免出现漏洞被利用,使得目标受影响。例如,使用熟悉的工作方法,施工方等;转移风险是通过把风险转移到其他机构上来降低项目风险率的风险处理方法,诸如保险以及项目外包等等;弱化风险是指通过降低风险事件概率以及其程度来进行风险处理的方式,诸如进行备份设计等等;接受风险是在不改变原来项目计划的基础上对时候如何处理和应对的考虑,例如制定风险应急计划等等。

风险监控促使着整个风险管理过程形成一个周而复始的周期,对于整个风险管理系统的运行情况进行监控,对风险的对策有效性加以检查,识别新的风险以制定相应的对策。

2 企业信息化风险管理模式的构建

企业信息化项目容易被很多问题影响,最终会导致项目误期、超支等现象。这些问题虽然不能够全部解除,但是如果采用合适的预防方法还是能够对一些问题加以控制的。风险管理存在的意义就在于能够对项目管理中威胁加以预防和控制。一个组织在项目建设初期以及整个过程中如果持续通过风险管理技术是能够避免大量问题的出现的。企业信息化项目风险管理模式要如何构建还需要依据一定的原则进行。

2.1 风险管理模式构建原则

信息化项目风险管理的目的不是消除风险,因为风险存在是有一定的客观性,风险管理的目的是要对这些风险的处理提出决策和方案,最大程度的减少项目中的不确定性。

在构建项目风险管理模式时要首先应该对风险进行全面的描述,把风险同项目的目标紧密的联系在一起,并且对不同干系人的利益以及风险偏好进行考虑。

制定一个可以调整的管理过程,在具体操作的过程中可以依据其灵活性进行伸缩,风险管理模式容易应用到实践中,因此有一定的成本效益。

最大程度的对关键风险进行识别,在企业信息化过程中要坚持实施风险管理。

企业在构建风险管理模式时应该同项目管理相互融合。风险管理同项目管理的目标从本质上来说是一致的,只不过项目管理的出发点是如何才能成功,而风险管理的出发点则是如何规避失败。

最后,风险管理是不能一劳永逸的,因为环境和技术是时刻在变化的,因而风险管理模式也要对这些变化有适应性。

2.2 风险管理模式的框架设计

风险管理模式的过程包括了以下几个部分。

第一,风险管理规划。企业信息化项目风险管理是从规划开始的,制定风险管理的计划包括其方案以及方式,选择合理的风险管理方法是判定风险的一个主要依据。在这个过程中,输出的计划书则是信息化项目风险管理的指导纲领。

第二,项目目标定义。风险管理同项目目标是相互联系的,项目目标同其相关的干系人也是相联系的。因此,在规划好风险管理后,就要对项目目标进行定义,这个过程中应该对项目目标进行定义和提炼,建立干系人和目标优先排序表。在完成两个阶段后就要进入闭环流程,闭环是指对风险分析、技术以及监控等循环进行的过程,尽管企业的风险管理规划和目标定义都不属于闭环的过程,但是在满意一定的条件下,还是会重新启动这两个过程的。

第三,风险识别。对于项目中潜在的威胁要加以识别,而且还要对这些威胁的来源和可能导致的危害加以分析。

第四,风险分析。通过建立评估标准对风险进行分析。对于风险发生的可能性意思后果在已知风险中评估可能风险的价值。

第五,风险计划。制定相应的风险应对方案,同时制定加护,建立触发机制以作为风险计划执行的一个起点。

篇5

关键词:中小企业;信息化;内部控制;COSO

中图分类号:F239.2 文献标识码:A 文章编号:1001-6260(2010)03-0139-05

一、文献综述

发达国家中小企业信息化建设日渐完善并取得了巨大成就,而且日益成为经济结构调整和经济发展的创新点。与此同时,人们开始意识到信息化给中小企业带来的潜在风险,尤其是信息化应用对企业内部控制的影响问题。随着中小企业信息化进程的加快,如何制定有效的安全对策,促使信息化应用与内部控制建设相融合,已经引起理论界和实务界的重视。

信息化的应用对企业内部控制的影响问题,国外的研究最早可追溯到信息系统的审计。20世纪60年代IBM公司首次提出了在电子数据处理环境下的内部控制和审计问题。1967年,国际信息系统审计与控制协会(ISACA)成立,在世界上100多个国家与地区设立了160多个分会,积极致力于制定和颁布内部控制和信息技术(IT)审计准则、实务指南,用于指导各类信息系统的安全与防范工作。1974年,美国注册会计师协会(AICPA)发表了《内部管理的调查与评价对EDP的影响》,确立了电子数据处理实施审计的标准;1977年又发表了著名的《系统可审计性及规则的研究》(又称SAC报告),提出了信息系统的内部控制和审计方法。1996年,ISACA在综合多方面研究成果的基础上,公布了信息系统审计的框架体系标准,即信息及相关技术的控制目标(COBIT),目前已作为国际通用的、具有权威性的信息技术控制和审计标准。近些年来,国绕信息系统内部控制的理论与方法问题的研究仍不断取得新的成果,如Hardy(2006)等提出的有关COBIT最新标准;在管理控制方面,ITGI(2006)和IOFS(2008)等提出并研究IT治理问题。这些研究成果不仅在大型企业信息化应用中得到推广,而且其研究成果业已运用到中小企业信息化建设实践中。

在我国,作为市场经济主体的中小企业已成为国民经济发展的重要力量。2005年8月,国家发展和改革委员会、信息产业部、国务院信息化工作办公室三部委共同实施了“中小企业信息化推进工程”,从而掀开了中小企业信息化发展的研究序幕。2008年2月,三部委《中国中小企业信息化发展报告和调查报告》指出,随着信息化在中小企业的稳步推进,保证信息系统安全稳定运行已成为企业内部控制制度建设的重要内容(国家发展和改革委员会等,2008)。

然而,关于信息化对企业内部控制的影响研究,胡克瑾等(2002)深入研究了IT审计的实施过程、技术方法和审计标准,提出全面控制信息系统风险的相关对策;刘静(2005)等结合COSO报告对网络环境下内部控制的难题进行分析,并提出改善内部控制环境的对策;章铁生(2007)考察了有关国家企业内部控制规范对IT的考虑情况,提出我国在制定内部控制规范时应考虑对IT的嵌入问题;王海林(2008)通过分析IT对企业内部控制的影响,构建了由内部控制系统、内部控制系统的工程实施体系和内部控制系统的评价体系组成的IT环境下的内部控制模式。近年来,学者们在信息系统内部控制研究的基础上引入了rr治理的思想,试图从公司治理的视角来探讨信息化进程中企业内部控制的问题,如饶艳超(2003)、周常兰等(2008)、骆良彬等(2009),但是,上述诸多研究基本上是针对大型企业,而信息化对中小企业内部控制影响问题的关注则极为少见。

二、信息化对中小企业内部控制影响的机理分析

对于信息化如何影响中小企业的内部控制,本文认为,尽管中小企业有其独特性,但在内部控制的构成要素方面,COSO(1992)关于内部控制框架的五个要素(即控制环境、风险评估、控制活动、信息与沟通、监督)理论仍然适用,本文将通过分析信息化对五个要素的影响来阐释其影响内部控制的机理。

(一)信息化促进了控制环境的改变

控制环境是对企业内部控制系统建立和实施有着重大影响的各种要素的总称,是实施内部控制的基础,一般包括机构设置及权责分配、内部审计、人力资源政策、企业文化等。信息化一旦应用于中小企业中,必将促使控制环境的改变。首先,信息化必然导致信息技术渗透到企业经营管理活动的每一个环节,企业原来简单的组织结构,将进一步得到整合,与其对应的机构设置与权责分配随之而改变;其次,信息化可以很方便地使内部人员之间以及内部人员与外部人员之间平等、动态地进行协作与沟通,企业每个员工不再是被动地接受控制指令,而是成为实行自我控制、协同控制的单元;再次,信息化使企业员工都可以成为企业网络上的决策点或节点,提高了员工自我决策的意识;最后,信息化使得企业与企业之间、企业与客户之间以及企业与政府有关部门之间可以共享对方拥有的资源,企业内部控制的范围不再局限于企业内部,合作与协同控制理念进一步得到强化。可见,信息化必将改变中小企业的管理模式、组织结构、员工的价值观及其能力等一系列要素,并形成了一种网络化、开放化、自主化和现代化的企业环境。

(二)信息化拓展了风险评估的范围和方法

风险评估是企业及时、系统分析经营活动与实现内部控制目标相关的风险,合理确定风险应对策略的过程。信息化无疑提高了中小企业经营管理的效率,但同时也产生了新的企业风险。一方面,信息化必然要求企业业务流程与之相适应,使得企业经营管理活动处在一种开放性、信息分散和数据共享的环境之中,这极大地改变了以往封闭集中状态下的运行模式,从而扩大了风险控制内容,并且需要新的风险评估方法与之适应。如管理数据处理趋于集中化、适时化、自动化以及数据存储电子化,而且容易被无痕迹地改写和删除等,这些新的风险点构成了风险评估的新内容,并需要企业运用新的风险评估方法。另一方面,企业内联网的建立是信息化应用的必然要求,也是企业经营管理活动的硬件平台。运行在该平台上的企业内部各部门、员工之间的联系将更加密切。同时,做大、做强的动机加剧了企业与客户间的合作与交流,企业内联网必然向外联网拓展,使得企业的经营管理信息流动在互联网之中。这样,传统的、局部的差错与舞弊不再表现为企业内部控制的主要风险,而员工的自我保护的责任意识、正确行使其决策权以及不断提高自身知识和风险识别能力的风险大大增加了,从而使风险评估方法也由传统向现代拓展。

(三)信息化增加了控制活动的内容

控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。随着信息化的应用,中小企业风险评估结果将以新的形式出现,原有的控制措施及可承受度必然随之变化,控制

活动的内容亦将随之增加。第一,由于信息化改变了中小企业传统的业务流程,如传统的产、供、销活动可以通过企业内联网络和外联网进行,因此,对各个过程的控制活动必须结合信息化应用的特点和要求来完成;第二,信息化的深度和广度是随着信息技术的发展而不断变化的,中小企业信息化建设本身就是一个不断完善的过程,基于信息化的业务流程也处在一个不断更替的过程中,要实现控制活动的目标,企业必须不断地更新控制点以获取信息系统中的数据和信息,从而改变控制活动的方式或进程;第三,信息处理过程自身也需要控制,如确保企业管理信息系统能正常、持续运行的一般控制(包括对网络黑客的非法入侵),以及针对某项特殊活动进行特别处理的应用控制等。显然,信息化改变了中小企业的业务流程,带来了新的风险,也必然增加了中小企业控制活动的内容。

(四)信息化提高了信息与沟通的有效性

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、外部之间进行有效沟通。信息化应用弥补了中小企业在信息与沟通方面存在的缺陷,提高了它的有效性。首先,信息化应用能有效地将企业各部门和员工连接起来,实现业务和财务的一体化处理,将员工身兼多职的特征进一步发挥出来;其次,信息化必然要求建立一个中心数据库,储存企业活动中各个环节的数据和信息,并实现数据共享,以发挥企业经营管理的效率;再次,网络平台为管理者、员工以及外部的顾客、供应商、有关团体提供了开放的信息交流渠道,不仅员工能清楚理解现行的政策和程序及相应的责任,管理者适时掌握业务的发生、发展与结果以及信息的相互传递,而且更便利了企业内部与外部的信息沟通。因此,信息化改善了中小企业信息与沟通的滞后状况,促进其向可靠性、及时性和开放性方面转变,提高了信息与沟通的有效性。

(五)信息化丰富了监督的方式和内容

监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。信息化应用加快了中小企业业务与财务处理的一体化,完全依靠人工的监督模式难以适应这一变化。一方面,信息化可以将监督功能程序化,即要求在经济业务发生、发展及结果处理的过程中,运行监督程序,以达到实时、全过程的监督效果;另一方面,信息化大大提高了信息处理的速度,在实施程序化监督的同时,可以将监督的结果与预期的目标进行比较,适时评价内部控制的有效性,及时发现缺陷并加以改进,达到自我监督、自我评价的效果。当然,信息化应用过程自身也需要监督和评价,因此,传统方式下的人工监督仍必不可少,但这种监督主要体现为定期、及时地检查和了解计算机控制程序、指标以及控制参数是否发挥作用或过时,并针对企业经营环境变化情况,及时评估业务流程控制点的运行状态,重新调整或更改内部控制程序、控制方法、控制指标等。由此,必然要求更新传统的监督方式和内容。

三、中小企业信息化进程中内部控制的构建

由前文分析可知,信息化通过作用于中小企业内部控制的五个要素而影响其内部控制,实施或管理不当,其后果将适得其反。可见,当前的首要问题是如何促使信息化与内部控制有机融合。本文认为,解决这一问题的关键在于如何将中小企业内部控制框架的构建与信息化结合起来,以适应信息化进程的推进。

(一)内部控制框架构建的思路

显然,中小企业内部控制系统的完善,关键之处是如何辨识并控制企业经营管理中的风险。信息化应用一方面给中小企业内部控制带来了便利,提高了控制的效率和效果,另一方面也影响了其内部控制五要素,而这些影响必然给中小企业经营管理活动带来新的现象、新的问题,从而带来新的风险。因此,对中小企业业主及其员工来说,需要转变内部控制思想,掌握新的控制方法,以加强对风险的有效控制。为了防止中小企业在信息化进程中出现内部控制的弱化,避免出现“头痛医头、脚痛医脚”问题,本文认为,在信息化应用的初始阶段,就应该从整体上来规划和加强内部控制框架的建设,以适应信息化的发展进程。

中小企业内部控制框架构建的具体思路为:首先,以COSO内部控制整体框架理论为指导,分析内部控制五个要素的现状及运行情况;其次,结合信息化应用对五个要素作用机理的分析和企业不同时期经营管理活动的特点,发掘企业内部控制中存在的薄弱环节,分析和判断新风险产生的根源和节点;第三,引入IT治理思想,并将其融入到企业经营目标的制定和风险管理的要求之中,自上而下并自下而上地灌输和反馈信息化应用战略及其收益与风险的理念,使信息化应用与内部控制的关系深得人心;最后,对企业经营管理活动中信息化应用的范围和深度进行细化,分析并设定风险控制目标,制定并完善相应的内部控制制度,实施有效的控制措施,建立内部控制执行效果的反馈和改进机制。

(二)中小企业内部控制框架的构建与分析

基于上述思路,本文试图构建出中小企业信息化进程中的内部控制框架,如图1所示。

由图1可知,该内部控制框架是以COSO内部控制五个要素的分析框架为基础,结合中小企业经营管理活动各个环节和信息化应用(表现为信息系统)的程度,来辨识和分析企业经营管理活动在信息化应用中以及信息系统自身所面临的风险(这种辨识和分析功能,除了运用人工手段之外,信息系统本身也提供了自动处理功能),并通过反馈通道传递到企业决策层(或企业业主)。企业决策层根据企业经营目标和风险管理要求,在IT治理思想的指导下,不断地完善内部控制制度和改进信息系统,使人工控制与程序化控制有机地结合起来,一方面对企业经营管理活动实施有效控制,另一方面确保企业经营管理活动有序进行,同时进一步辨识和分析新的风险。

可见,该内部控制框架是一个开放式闭环系统,即随着信息化应用进程的深入,信息化对内部控制五要素产生新的影响,形成新的风险,同时,由于风险辨识与分析以及反馈通道的作用,企业决策层及时识别风险并通过完善内部控制制度和控制手段,规避和控制风险,从而实现不断改进企业内部控制以适应信息化进程的目的,避免内部控制的滞后而产生风险问题。

其它优质范文
友情链接
推荐阅读
推荐期刊