企業信息化評估方法精選(五篇)
發布時間:2023-10-12 15:35:04
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們為您準備了不同風格的5篇企業信息化評估方法,期待它們能激發您的靈感。
篇1
[摘 要] 本文基于信息化建設工作經驗,針對如何評價企業信息化價值提出了一種基于對標管理的評估方法。研究了該方法在企業信息化項目價值評估和企業整體信息化價值評估兩種情況下的應用,并通過具體的評估案例實踐,驗證了基于對標管理的信息化價值評估方法的有效性和實用性。
[關鍵詞] 對標管理;企業信息化;價值評估
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 05. 036
[中圖分類號] F270.7 [文獻標識碼] A [文章編號] 1673 - 0194(2017)05- 0065- 05
1 前 言
近些年,企業信息化價值逐漸得到認可,信息化已經被認為是企業發展戰略的重要組成部分,信息化價值也體現著企業價值。一般來說,所謂信息化價值有兩種理解:一種是狹義的信息化價值,即某一項信息化基礎設施建設或信息系統建設能夠為其建設主體帶來的價值,一般表現為直接的、可看得見的經濟效益,是對一種具體的、短期的、單一的信息化項目價值進行評估。另一種是廣義的信息化價值,即企業應用信息技術來影響和優化企業生產方式、管理方式、經營模式的過程,是對宏觀的、長期的、復雜的企業整體信息化價值進行評估。
伴隨著國際信息化的深入飛速發展,我國兩化融合進程的不斷推進,信息化價值評估結果的模糊性表述已經不能滿足企業管理者的戰略價值參考,企業管理者需要認真而嚴肅地評估信息化價值,但圍繞信息化價值的分析與評估,仍然存在著評估方法的缺失和評估不夠量化等問題。對此,本文作者結合信息化工作實踐,參考大型央企集團信息化工作模式,提出了基于對標管理的信息化價值評估方法。該方法既適用于對具體的信息化項目建設進行評估,又適用于對企業整體信息化價值進行評估。
2 基于Ρ旯芾淼男畔⒒項目價值評估
基于對標管理的信息化項目價值評估一般分為三個步驟,即選取對標企業、選取對標管理指標項、對標評估及分析。以我院建設的項目管理系統為評估對象來闡述該方法的應用。該系統建設目標是為了提升項目管理效率,使項目管理更加規范化、標準化,為決策者提供真實有效的統計數據。系統實現了從經營、合同到生產組織、項目管控及驗收、歸檔等全程線上管理,功能覆蓋了正式生產項目、投標項目、代政府咨詢評估項目、經營服務項目以及科研項目和管理類項目的全過程管理,業務流程節點涉及經營管理、生產綜合管理、采購管理、財務管理、項目生產、工時管理、指標管理、綜合報表等8大類41個功能模塊。該系統2012年正式立項,至今已建設達5年整,先后投資達480萬元。
2.1 選取對標企業
首先選取已經建設了類似系統的三家單位作為對標企業。對標企業的選擇可以是行業內企業、集團內二級子公司或者與本公司規模體量及經濟效益基本相當的單位。經過調研走訪,選擇了一家北京建筑設計單位、一家行業內施工企業和一家與我院規模體量基本相當的省級規劃設計院,為方便描述,分別為上述三家企業設定代號為A、B、C。
2.2 選取對標管理指標項
對標管理指標項的選取對評估結果至關重要,它反映了企業對信息化某方面價值的關注程度,指標選取的恰當與否會影響價值評估結果。根據美國項目管理學會(Project Management Institute,PMI)提出的關于信息系統項目管理知識體系(Project Management Body Of Knowledge,PMBOK)的九大知識領域,結合企業自身對信息化價值關注點,選取其中與項目價值關系緊密的五項改進后作為對標管理指標項。
(1)項目整體目標:是對項目建設后形成的預期結果的描述,建設目標的方向性和現實性是系統能否體現其價值的關鍵,因此衡量項目建設價值時往往從目標是否明確、是否可實現的角度進行考量。
(2)建設內容及范圍:是指為達成項目目標必須完成的工作內容。對于信息系統建設項目,建設內容可從兩方面來描述。一是根據項目周期的階段按照項目管理、需求分析、系統設計、集成準備、集成實施及測試與驗收等6個階段對所涉及的工作進行層層分解;二是根據系統需實現的業務功能模塊來進行層層分解,將業務流程進行細化。項目建設內容及范圍有覆蓋程度及深化程度之區分,在做對標評估時要確保使用同一維度的內容分解方法并使分解的各個工作事項基本保持在同一水平。
(3)項目時間進度:是指為完成該項目所產生的所有活動的時間總和。一般指信息化項目從立項啟動到上線驗收經歷的時間。
(4)項目投資及成本:指完成該項目所需的資金投入及人力資源成本的總和。
(5)項目建設質量:對于信息系統來講,項目的建設質量主要從三方面來考察:一是系統建設選擇的技術框架體系是否合理,如系統選擇的軟件技術,采取的安全技術等是否合理;二是系統本身技術指標是否符合標準或客戶要求,如系統可用性、可靠性、可維護性等等;三是系統建設的組織管理過程是否規范合格,如過程的組織與管理(P-D-C-A的執行過程)、風險分析與管控、項目參與各方的溝通程度等。
2.3 對標評估及分析
對標評估過程需要專家參與。對于信息系統的價值評估,一般由領導、業務部門、信息化部門、行業專家及用戶共同組成5-7人的專家組。首先到各單位調研,就對標管理指標項與各公司溝通了解情況,每位專家將填寫對標評估表,經過對比分析給出各家指標項的評分;匯總專家對標評估表,取平均值作為該公司某項指標項的最后得分,得到表1。
從表1中可以看出,我院的建設目標相對清晰,建設框架和內容、功能相對完整,在建設過程中嚴格執行了項目組織管理的質量控制環節,避免了走彎路,在時間上節約了返工成本,總體屬于中上等建設水平。這與我院建設生產經營管理系統的實際情況是相符合的,也證明了基于對標管理的信息系統價值評估方法是可行的。
值得指出的是,在實際應用過程中,往往將該辦法應用于系統建設之前,即調研各家單位后形成上述對標評估表,根據評分來決策其他要素幾近相同的情況下資金投入的多少或時間進度的控制。
3 基于對標管理的企業整體信息化價值評估
運用對標管理方法來評估企業整體信息化建設價值同樣適用,只是選取不同的對標項。以中國交通建設集團有限公司(簡稱中國交建)的信息化價值評估為例,根據國資委年度評測指標體系,在行業內信息化較有影響力的央企有某綜合能源集團公司(設代號M)、某大型實業集團公司(設代號H)和某大型專業能源集團公司(設代號S)等。中國交建選擇這三家行業優秀集團公司作為對標企業,對標管理可以選取以下幾個指標項。
3.1 指標項1:信息化領導力
從信息化領導力來講,大多數公司均由公司領導親自掛帥或設立CIO制度,將信息化定位為驅動企業變革與轉型的核心要素,以信息化為切入口實現企業整體變革。在這方面,這三家對標企業均由集團公司副總全面抓總信息化,實現集團范圍內的管理提升和變革。
3.2 指標項2:信息化建設路徑與策略
從信息化建設路徑與策略上,信息化工作是系統工程,集團上下應齊心協力,適宜集中統一、步調一致,不適宜分散建設、重復投資。這方面,三家對標企業的實施路徑與策略見表2。
3.3 指標項3:信息化管控w系及職責分工
信息化涉及眾多跨部門、跨業務的協同內容,建設過程中清晰明確的管控體系和職責分工能夠幫助業務部門和信息化部門盡快進入角色,共同提升業務和信息化水平。在這方面,三家公司均有成熟的信息化管理體系辦法、信息化與業務活動的規范接口及相關技術標準。
3.4 指標項4:信息化建設力量
信息化工作的效用發揮一定是信息化理念、技術與公司特有文化、管理模式、組織模式的有結合。在信息化建設過程中,培育和發展一支自有專業隊伍必不可少,不僅可以支撐企業內部管理變革,同時還可成長為行業內獨立業務板塊。三家對標公司的具體情況見表3。
3.5 指標項5:信息化資源投入
充足的資源投入是信息化工作的強力保障。在對標企業中,各公司都非常重視信息化投入。經調研了解到各對標公司的信息化資金投入情況,見表4。
從以上五個維度的指標項來對標分析,目前中國交建在信息化領導力方面,尚未設立企業CIO制度,二級單位信息化組織架構尚需要完善和充實,還有較大提升空間;在信息化建設路徑與策略方面,2010年提出統籌規劃、分步實施的原則,2012年在《中國交建十二五信息化頂層設計》中正式提出“統一規劃、統一標準、統一管理、統籌建設”的四統原則,2016年又進一步提出“統一規劃、統一標準、統一管理、統一投資、統一運營、統籌建設”的六統原則;在信息化管控體系及職責分工方面,公司已制定一系列信息化工作管理辦法,但業務部門在信息化建設管理工作中的主人翁意識和積極性仍有待提升,業務部門及信息化部門之間的權責關系仍需進一步明確和清晰;在信息化建設力量方面,中國交建下轄7家信息化專業公司,運維人員約1 400人,但由于市場分散、地域分散、人員分散、專業分散等原因,尚不能形成合力;在資金投入方面,目前中國交建年度投資約4億元,同期營業占比僅為0.1%,相對建設期投資偏低。
為以上五項指標給出相應評分,見表5。
從上表可以看出,中國交建應在信息化領導力、資源投入及整合信息化團隊方面進一步提升,這與集團當前信息化所處實際情況是一致的,與中國交建在國資委信息化評比成績是一致的,與當前集團上下對信息化的認可度也是一致的。
4 結 語
以上就信息化工作實踐中的信息系統和企業信息化價值評估進行了探索和實踐,初步證明是有效果的,但仍有可改進和優化之處。比如,在信息化項目建設價值評估時,可將指標項增加和細化,或利用層次分析法構建指標體系表進行評分,得出的結果將更加量化和準確。總體來說,信息化價值評估對企業管理層和技術層衡量企業信息化價值具有越來越重要的意義。做好信息化前評估和后評估有助于更好的發揮信息化的杠桿作用,促進企業的兩化融合,提升核心競爭力。
篇2
關鍵詞:MIE;企業信息化;投資評價
一、管理信息經濟學研究的對象與內容
Adrian M.Mc-Donough在1963年發表的《信息經濟學與管理系統》(McGraw-Hill Book Companying.)一文中,從信息管理的角度探討了如企業的信息供給、信息需求、信息管理的經濟效益、與信息系統的經濟環境等信息的經濟現象。管理信息經濟學研究的主要對象是基于信息技術的企業信息化,而企業信息的集成便是我們的代表技術——信息技術。這里所說的企業信息是指產生于企業實踐并在企業中或企業之間交流傳遞的信息,如產品信息、價格信息、企業政策信息以及外部對企業有所作用的信息等。作為管理信息經濟學的研究對象,信息技術和企業信息化是管理信息經濟學探討的重點內容。這是因為要體現企業信息的經濟性,就要對其做出系統科學的效益評估,而評估的對象就是企業的信息系統或與之相關的信息技術產生的效益,這類領域主要集中在企業信息化領域。所以只有通過對信息技術以及其應用進行研究,才能使我們的企業在進行信息化時能從中確實感受到信息的經濟性給企業帶來的變化,也只有這樣,才能使信息技術發揮出它的內在經濟性和潛在生產力,并最終使信息技術服務于企業。管理信息經濟學是在企業理論和信息經濟學的基礎上發展起來的,雖然這個課題是一個新的課題,但是隨著信息經濟時代的發展,我們也應當看到它的內在需求性。本書以信息技術這條主線貫穿始終,通過企業信息技術和其在企業內外部的應用這兩個主要層面來展開論述。其中,企業內部包括企業信息的經濟性分析、企業信息管理模型的建立、信息技術與企業業務流程重組、企業價值鏈重建等;企業外部信息技術的應用包括集成化供應鏈優化配置理論、電子商務信息經濟學研究和信息技術等問題。
二、企業信息化投資價值與風險分析
研究企業信息化投資及其價值問題時,需要考慮的因素是企業的經濟規模、商業地位及運行能力等。NPV、ROI、回報期限和其他項目投資分析方法是用于企業信息化投資評價中來評價各項系統提案的傳統方法。從企業信息經濟學角度看來,某些應用系統安裝集成后產生了包括現金流量、收益與企業的財務分析等企業信息化價值。而所謂價值,就是在企業信息化的使用過程中產生的諸多積極作用的結合體。表面看來,企業用于引進新的信息系統所需的資金流出是負的,而學習新的技術且用于實際工作消耗的時間、新的生產工藝與傳統生產技術的不適應也導致了企業工作模式的破壞等棘手問題。企業實施信息化效益分析中,關鍵要考慮的就是投資回報,當中包含了企業的現金收益外的“社會效益”問題。利用新的系統應用,各部門機構可重新定位更有價值的工作。引導著另一方進行投資或者價值流重組的原因則是企業的信息化投資中所體現出的價值及風險因素。用經濟學的觀點看來,價值與風險因素是企業在立項及實行企業信息化之前重點考慮的因素。包括以下幾點:①投資回報(ROI):企業的經營手段都可以作為基本的依據;②戰略匹配:企業建設工程是否匹配其相應的建設目標;③競爭性風險:評價體系成功率的降低,可能導致企業競爭下滑;④風險因素:擬建的系統可能沒有實現預期值,導致企業的收益受到威脅;⑤組織風險:企業在經營過程中的管理意識。公司實施信息化可能帶來的新的風險或者比原程度的風險有所增加,亦有可能導致企業組織結構進行大規模的重組。以上是風險中典型的因素。
三、企業全面信息管理戰略投資評價
將技術手段應用到預期目標和項目類型上是對企業信息化評估非常可行的方法。企業利用經營發展目標及短期商業目標來限定信息化投入的范圍,信息化投入的項目也可實現以下目的:①將信息化投入作為企業經營中的一個商業活動來發揮功效;②在提高銷售業績的同時又降低了企業的經營成本核算;③提升了企業的核心競爭力;④推動其他企業信息化投資項目得到收益。
1.企業匹配目標的信息化項目。企業匹配目標的信息化項目投資分為以下幾類:①必要投資,企業財務信息管理系統的投資;②提升銷售業績投資。客戶關系管理系統(CRM)、分銷管理信息系統(DRP)等;③競爭邊緣投資。企業辦公自動化以及電子商務應用系統等;④基礎投資。企業內部網絡搭建、網管中心設立、管理用計算機與專用計算機的資金投入等;⑤評估投資。企業要實施信息化建設之前,聘請專業評估機構對信息化資金投入的投入產出比率以及企業信息化的前景進行專業評估咨詢是必不可少的關鍵性投資。
通過圖1可以看出,企業在信息化建設的初期就與企業所要求的經營目標相連接,這樣就明確了企業的評估重點,此時就已步入了評價階段。利用傳統的金融投資評估方法可以對“有效的”信息化投資項目進行整體研究,相對于企業發展來說,信息化的投資效益短期是顯而易見的,而有些則需要長期的運行才能確定其成效,而且長期的信息化項目運行是帶有社會性附加值的。
2.信息化投資評估技術方法。企業信息化投資評估技術較為理想方法是“發展持續的方法”,目的是將企業信息化投資的效應與企業可持續發展等綜合起來考慮,是一種科學的、更加深遠的信息化建設觀點。①評估的時效性。企業信息化投資評估是與企業的經營發展戰略密切相關的,可以是在項目建設初期進行,也可根據企業經營間歇期或企業規定的階段實行。②決策環境。投資評估是依據當時的經濟發展與社會背景決定的。在決策環境中還存在一定技術問題急需解決:企業信息化項目的決策過程是否持續標準?企業信息化投資預期收益是否可計量?企業信息化建設的投入產出相關數據是否被認為很關鍵?企業能不能承受高額的費用?③系統。所謂“系統”是企業的網絡基礎設備以及信息平臺的集合,它是企業信息傳遞的載體。在企業信息化投資的評估中需要明確的問題是:“系統”在企業的管理經營過程中究竟起到什么樣的作用?④組織。企業的經營狀況穩定與否,企業信息化建設負責人能否作為真正的項目決策人,也是在企業信息化評估過程中需要注意的問題。⑤因果關系。“系統”對于企業的經營是否起到了一定的作用,是否使企業真正得到了一定的收益,則是因果關系所需要關注的問題。利用評估技術的特性與信息化投資評估的技術變量進行比較,再將這些技術變量分配到矩陣中,且將每種技術變量都分配到矩陣中的特定位置,圖2所示變量趨向于在企業信息化建設中的作用而非經濟標準進行衡量。技術與原型、模仿與應用相協調是信息化投資評估方法的核心所在,其邊界值通常是基于比率上的。
對于企業信息化投資的評估,重點是企業進行信息化投資后,企業的價值鏈增加的價值及企業的最大化利益,其次是節約企業的持續成本。這些需用相對應的技術矩陣進行實驗,實現更有力的科學數據的支持。(如圖3所示)
[注]ROI—投資回報率;MOMC—多目標,多標準;ROM—管理回報;P—報酬;EM—實驗方法VA—價值分析;SES—芝麻;BV—邊界價值;CBA—成本—收益分析;IE—信息經濟
在矩陣中,傳統的基于財務基礎上的方法依然具有它們的適用性。在實踐中,目標、項目類型和環境因素可能強烈地表明來自于一個象限的技術是最合適的。如果是這種情況,我們可以判定企業的信息化投資評估需要的不只是一種技術。通過分析表明,更常見的信息化投資評估是來自于幾個象限的一系列技術才是最合適的。
參考文獻:
[1]彭志忠.管理信息經濟學[M].濟南:山東大學出版社,2006.
[2]謝康.國外信息經濟學研究[J].科學決策,2000,(4):41-42.
[3]Leslie Willcocks&Stephanie Lester,Evaluating the feasibility of information systems investments:recent UK evidence and new approaches,Information Management,Chapmean&Hall,1994:63.
篇3
[關鍵詞]高新技術企業;信息化風險;風險識別;風險評估
doi:10.3969/j.issn.1673 - 0194.2016.06.040
[中圖分類號]F276.44 [文獻標識碼]A [文章編號]1673-0194(2016)06-00-02
網絡時代的企業信息化建設對高新技術企業在管理效率、風險管控、市場響應、產品研發等核心競爭力和企業績效方面產生了前所未有的推動和提升作用,企業通過引入線上辦公系統(OA)、企業資源計劃系統(ERP)、全面風險管理系統(TBS)等信息化手段提高各部門工作效率,從而有效提高企業的管理水平,通過電子商務平臺、分銷管理系統等提高其銷售貿易能力,實現企業的可持續發展。但隨著高新企業信息化程度的快速擴展和IT投入不斷增加所帶來的風險及隱患也呈上升趨勢。如何進一步規避信息化風險,控制信息化損失成為亟待解決的問題。
本文旨在為高新技術企業研究一種信息化風險評價方法。根據高新技術企業的特征,識別高新技術企業在信息化建設過程中存在的風險,運用專家評分法對可能存在的風險因素進行評分排序,并將專家的打分表現在帕累托圖中,根據帕累托法則的“二八原則”,找出關鍵的風險因素。高新技術企業可依據本文提出的方法對其信息化建設過程中的風險進行識別及評價,并據此提出有針對性的管控措施。
1 高新技術企業信息化風險識別
高新技術企業具有高投入、高創新、高收益、高人才擁有、高風險等區別于傳統企業的特征,如互聯網、電子商務等企業,基于其發展初期往往需要構建一套需要較高人力、資金和技術投入的信息系統,即邁出企業信息化這一步,這是高新企業持續發展的必由之路。
依據生命周期模型和諾蘭模型的理論,企業信息化建設過程一般劃分為規劃、分析、設計、實施和系統運行維護5個既相對獨立又密切相關的階段。借鑒前人的研究思路,本文將從信息化生命周期的上述5個階段來識別高新企業信息化風險的類型和影響因素,以便更好地實施分析評估。規劃階段風險主要包括IT戰略計劃風險、資金供給風險、人力資源風險三個方面;分析階段風險包括開發制度風險、需求分析風險、流程再造風險三個方面;設計階段在概要和詳細設計、設計方案審核兩個方面存在風險;實施階段風險包括軟硬件采購風險、系統測試風險、人員培訓風險;在運行維護階段會出現職責分工風險、權限管理風險、備份風險三個方面的風險因素。各階段的具體風險表現在表1中進行列示。
2 高新技術企業信息化風險評價
高新技術企業信息化風險評估首先通過專家評分對企業的信息化風險進行評價,隨后使用帕累托圖對各風險因素進行排序,根據帕累托法則的“二八原則”評價出關鍵的風險因素。
2.1 專家評分法
在識別出高新技術企業信息化風險后,企業應組建專家團隊對本企業信息化風險進行具體評價打分。企業應建立專家組對風險進行匿名打分。為保證評估的權威性和客觀性,專家團隊應由熟悉企業業務流程和功能的信息化建設方面的人員組成,包括有內部專家和外部專家。內部專家至少應該包括公司總經理、各部門負責人、企業信息化建設技術人員,外部專家包括注冊信息系統審計師、咨詢機構專家等。專家團隊人數應當控制在適當的比例范圍內,可根據企業信息化規模確定。
組織專家評分主要分為5個步驟。第一,發放資料。應先向評分專家提供企業信息化規劃、設計及運行方面的資料,專家應在足夠了解企業信息化各方面情況的基礎上進行專業判讀和評價。第二,專家打分。將評分表發放給選定的的專家,專家團隊成員應根據自己的專業知識以及被評價企業信息化建設和運行情況,對每項風險發生的概率、預期損失值進行評價打分,同時在備注中給出治理措施建議。第三,匯總分析。評價企業統一收集整理評分表,計算每位專家針對每一風險因素打分的統計指標,包括平均數、方差、中位數、極值等,并將結果反饋給各位專家,若需修正可二次打分一次。第四,召開討論會。邀請個人評分與最終匯總分數差異較大的專家發表意見,從專家的個人視角給出合理解釋或反駁意見,專家根據反饋結果再修正自己的意見。第五,經過多輪匿名征詢和意見反饋,形成最終得分及治理意見集合。
2.2 帕累托排序
高新技術企業的IT風險符合帕累托法則的“二八原則”,即80%的企業風險由20%的風險點引起。通過專家的匿名打分和意見反饋,形成了最終評分結果。高新技術企業需按照專家評分分數高低,運用帕累托圖對風險進行排序評價處對企業威脅最大的風險因素。對專家評分的結果進行排序,并繪制帕累托圖,則前20%的風險點即為高新技術企業IT風險中的關鍵風險因素,應進行重點控制和關注。為說明問題,本文在小范圍內進行模擬打分,得到如表1所示的數據,據此得到圖1所示的對應帕累托直方圖,通過要素排序的遞進累計,當累計風險達到80%左右時(本文為81.33%),落入考察區間的考察量為X1、X2和X10,說明該3項要素的存在導致了企業絕大部分(80%)風險的后果,因此治理時應抓住主要矛盾,重點對這三項最可能的誘因實施風險治理。
圖1 高新技術企業IT風險專家評分帕累托圖
3 措施建議
眾所周知,信息化在給企業帶來高效便利的同時,也夾裹著諸多風險,關鍵是如何快速識別出致險因素,并在排序中尋找關鍵風險因素,然后有針對性地制定風險治理方案。高新技術企業是信息化建設的典型代表,運用上述風險識別和評估方法,可以重點防控企業最可能出現重大風險,保證信息化建設和運行順利。同時企業還應慎重選擇信息化時機、節奏和規模,并注重企業中人的作用,適度引入“人機治理模式”,將“人因”與“機因”有機結合起來。
主要參考文獻
[1]李志,唐波,張慶林.高新技術企業特征與管理對策研究[J].重慶大學學報,2009(7).
[2]吳炎太,林斌,孫燁.基于生命周期的信息系統內部控制風險管理研究[J].審計研究,2009(6).
[3]彭超然.大數據時代下會計信息化的風險因素及防范措施[J].財政研究,2014(4).
[4]王凡林.企業信息化風險的內部控制與治理研究[M].北京:首都經濟貿易大學出版社,2014.
[5]周娟,杜棟.企業信息化水平評價系統的研制[J].河海大學常州分校學報.2004(2).
[6]蔣忠建.論西部企業信息化建設[J].經濟體制改革.2004(3).
篇4
企業信息化是企業在市場競爭中生存的一個重要之路。企業在實現信息化發展道路的過程中項目的復雜性程度也越來越高。在高風險的企業信息化項目中,進行科學化的風險管理有利于企業駕馭風險以提高項目的成功率。本文在正確認識企業信息化項目風險管理的基礎上,對風險管理的特點進行闡述,進而提出了企業如何實施風險管理的建議。
【關鍵詞】
企業信息化;項目管理;風險管理
0 引言
全球信息化的浪潮促使著信息技術在企業經營管理中的滲透,對企業各種業務領域都產生了重大的影響。企業的信息化建設已然成為了企業生產和發展的保障。信息化項目屬于高風險和高投資項目,其成功是由很多因素決定的,在整個項目中也是充滿著風險。因而,企業應該對這些風險有更加深入的認識,要建立風險管理控制的機制,以提高信息化項目的成功率,保障企業發展。
1 風險管理的概念
信息化項目風險管理針對的是企業的內部風險,在等級保護和適度安全的思想下平衡企業的成本與效益之間的關系,確保安全措施的合適性以保障企業具備應有的保障能力。對信息化項目進行風險管理應先對項目有個清晰的認識,對其潛在的風險加以識別和評估,確定風險的危害程度以及后果,然后有層次的加以處理。最后對項目的實施過程還要進行監控,并且加以改進。
企業風險管理的的內容有三個部分,一個是風險評估,一個是風險處理以及風險監控。風險評估是企業實施風險管理的基礎階段,是確定項目是否存在風險的過程。風險評估的方法主要有兩種,一種是定量評估,一種是定性評估。定量評估是從數字上對風險進行評估,定性評估則是依據分析者的經驗以及知覺或者以行業的規范為準對其中的各個要素進行評估的過程。兩種評估方法都有各自的優劣勢,企業在進行風險評估時可以根據自己的實際情況制定相關的評估方案。
風險處理是通過選擇和執行措施來處理風險的過程,包含了對風險評估中提出的安全控制措施的排序以及平等等。風險處理包括了規避、轉移、弱化和接受四種方式。避免風險是在改變項目方案的基礎上來消除風險,避免出現漏洞被利用,使得目標受影響。例如,使用熟悉的工作方法,施工方等;轉移風險是通過把風險轉移到其他機構上來降低項目風險率的風險處理方法,諸如保險以及項目外包等等;弱化風險是指通過降低風險事件概率以及其程度來進行風險處理的方式,諸如進行備份設計等等;接受風險是在不改變原來項目計劃的基礎上對時候如何處理和應對的考慮,例如制定風險應急計劃等等。
風險監控促使著整個風險管理過程形成一個周而復始的周期,對于整個風險管理系統的運行情況進行監控,對風險的對策有效性加以檢查,識別新的風險以制定相應的對策。
2 企業信息化風險管理模式的構建
企業信息化項目容易被很多問題影響,最終會導致項目誤期、超支等現象。這些問題雖然不能夠全部解除,但是如果采用合適的預防方法還是能夠對一些問題加以控制的。風險管理存在的意義就在于能夠對項目管理中威脅加以預防和控制。一個組織在項目建設初期以及整個過程中如果持續通過風險管理技術是能夠避免大量問題的出現的。企業信息化項目風險管理模式要如何構建還需要依據一定的原則進行。
2.1 風險管理模式構建原則
信息化項目風險管理的目的不是消除風險,因為風險存在是有一定的客觀性,風險管理的目的是要對這些風險的處理提出決策和方案,最大程度的減少項目中的不確定性。
在構建項目風險管理模式時要首先應該對風險進行全面的描述,把風險同項目的目標緊密的聯系在一起,并且對不同干系人的利益以及風險偏好進行考慮。
制定一個可以調整的管理過程,在具體操作的過程中可以依據其靈活性進行伸縮,風險管理模式容易應用到實踐中,因此有一定的成本效益。
最大程度的對關鍵風險進行識別,在企業信息化過程中要堅持實施風險管理。
企業在構建風險管理模式時應該同項目管理相互融合。風險管理同項目管理的目標從本質上來說是一致的,只不過項目管理的出發點是如何才能成功,而風險管理的出發點則是如何規避失敗。
最后,風險管理是不能一勞永逸的,因為環境和技術是時刻在變化的,因而風險管理模式也要對這些變化有適應性。
2.2 風險管理模式的框架設計
風險管理模式的過程包括了以下幾個部分。
第一,風險管理規劃。企業信息化項目風險管理是從規劃開始的,制定風險管理的計劃包括其方案以及方式,選擇合理的風險管理方法是判定風險的一個主要依據。在這個過程中,輸出的計劃書則是信息化項目風險管理的指導綱領。
第二,項目目標定義。風險管理同項目目標是相互聯系的,項目目標同其相關的干系人也是相聯系的。因此,在規劃好風險管理后,就要對項目目標進行定義,這個過程中應該對項目目標進行定義和提煉,建立干系人和目標優先排序表。在完成兩個階段后就要進入閉環流程,閉環是指對風險分析、技術以及監控等循環進行的過程,盡管企業的風險管理規劃和目標定義都不屬于閉環的過程,但是在滿意一定的條件下,還是會重新啟動這兩個過程的。
第三,風險識別。對于項目中潛在的威脅要加以識別,而且還要對這些威脅的來源和可能導致的危害加以分析。
第四,風險分析。通過建立評估標準對風險進行分析。對于風險發生的可能性意思后果在已知風險中評估可能風險的價值。
第五,風險計劃。制定相應的風險應對方案,同時制定加護,建立觸發機制以作為風險計劃執行的一個起點。
篇5
關鍵詞:中小企業;信息化;內部控制;COSO
中圖分類號:F239.2 文獻標識碼:A 文章編號:1001-6260(2010)03-0139-05
一、文獻綜述
發達國家中小企業信息化建設日漸完善并取得了巨大成就,而且日益成為經濟結構調整和經濟發展的創新點。與此同時,人們開始意識到信息化給中小企業帶來的潛在風險,尤其是信息化應用對企業內部控制的影響問題。隨著中小企業信息化進程的加快,如何制定有效的安全對策,促使信息化應用與內部控制建設相融合,已經引起理論界和實務界的重視。
信息化的應用對企業內部控制的影響問題,國外的研究最早可追溯到信息系統的審計。20世紀60年代IBM公司首次提出了在電子數據處理環境下的內部控制和審計問題。1967年,國際信息系統審計與控制協會(ISACA)成立,在世界上100多個國家與地區設立了160多個分會,積極致力于制定和頒布內部控制和信息技術(IT)審計準則、實務指南,用于指導各類信息系統的安全與防范工作。1974年,美國注冊會計師協會(AICPA)發表了《內部管理的調查與評價對EDP的影響》,確立了電子數據處理實施審計的標準;1977年又發表了著名的《系統可審計性及規則的研究》(又稱SAC報告),提出了信息系統的內部控制和審計方法。1996年,ISACA在綜合多方面研究成果的基礎上,公布了信息系統審計的框架體系標準,即信息及相關技術的控制目標(COBIT),目前已作為國際通用的、具有權威性的信息技術控制和審計標準。近些年來,國繞信息系統內部控制的理論與方法問題的研究仍不斷取得新的成果,如Hardy(2006)等提出的有關COBIT最新標準;在管理控制方面,ITGI(2006)和IOFS(2008)等提出并研究IT治理問題。這些研究成果不僅在大型企業信息化應用中得到推廣,而且其研究成果業已運用到中小企業信息化建設實踐中。
在我國,作為市場經濟主體的中小企業已成為國民經濟發展的重要力量。2005年8月,國家發展和改革委員會、信息產業部、國務院信息化工作辦公室三部委共同實施了“中小企業信息化推進工程”,從而掀開了中小企業信息化發展的研究序幕。2008年2月,三部委《中國中小企業信息化發展報告和調查報告》指出,隨著信息化在中小企業的穩步推進,保證信息系統安全穩定運行已成為企業內部控制制度建設的重要內容(國家發展和改革委員會等,2008)。
然而,關于信息化對企業內部控制的影響研究,胡克瑾等(2002)深入研究了IT審計的實施過程、技術方法和審計標準,提出全面控制信息系統風險的相關對策;劉靜(2005)等結合COSO報告對網絡環境下內部控制的難題進行分析,并提出改善內部控制環境的對策;章鐵生(2007)考察了有關國家企業內部控制規范對IT的考慮情況,提出我國在制定內部控制規范時應考慮對IT的嵌入問題;王海林(2008)通過分析IT對企業內部控制的影響,構建了由內部控制系統、內部控制系統的工程實施體系和內部控制系統的評價體系組成的IT環境下的內部控制模式。近年來,學者們在信息系統內部控制研究的基礎上引入了rr治理的思想,試圖從公司治理的視角來探討信息化進程中企業內部控制的問題,如饒艷超(2003)、周常蘭等(2008)、駱良彬等(2009),但是,上述諸多研究基本上是針對大型企業,而信息化對中小企業內部控制影響問題的關注則極為少見。
二、信息化對中小企業內部控制影響的機理分析
對于信息化如何影響中小企業的內部控制,本文認為,盡管中小企業有其獨特性,但在內部控制的構成要素方面,COSO(1992)關于內部控制框架的五個要素(即控制環境、風險評估、控制活動、信息與溝通、監督)理論仍然適用,本文將通過分析信息化對五個要素的影響來闡釋其影響內部控制的機理。
(一)信息化促進了控制環境的改變
控制環境是對企業內部控制系統建立和實施有著重大影響的各種要素的總稱,是實施內部控制的基礎,一般包括機構設置及權責分配、內部審計、人力資源政策、企業文化等。信息化一旦應用于中小企業中,必將促使控制環境的改變。首先,信息化必然導致信息技術滲透到企業經營管理活動的每一個環節,企業原來簡單的組織結構,將進一步得到整合,與其對應的機構設置與權責分配隨之而改變;其次,信息化可以很方便地使內部人員之間以及內部人員與外部人員之間平等、動態地進行協作與溝通,企業每個員工不再是被動地接受控制指令,而是成為實行自我控制、協同控制的單元;再次,信息化使企業員工都可以成為企業網絡上的決策點或節點,提高了員工自我決策的意識;最后,信息化使得企業與企業之間、企業與客戶之間以及企業與政府有關部門之間可以共享對方擁有的資源,企業內部控制的范圍不再局限于企業內部,合作與協同控制理念進一步得到強化。可見,信息化必將改變中小企業的管理模式、組織結構、員工的價值觀及其能力等一系列要素,并形成了一種網絡化、開放化、自主化和現代化的企業環境。
(二)信息化拓展了風險評估的范圍和方法
風險評估是企業及時、系統分析經營活動與實現內部控制目標相關的風險,合理確定風險應對策略的過程。信息化無疑提高了中小企業經營管理的效率,但同時也產生了新的企業風險。一方面,信息化必然要求企業業務流程與之相適應,使得企業經營管理活動處在一種開放性、信息分散和數據共享的環境之中,這極大地改變了以往封閉集中狀態下的運行模式,從而擴大了風險控制內容,并且需要新的風險評估方法與之適應。如管理數據處理趨于集中化、適時化、自動化以及數據存儲電子化,而且容易被無痕跡地改寫和刪除等,這些新的風險點構成了風險評估的新內容,并需要企業運用新的風險評估方法。另一方面,企業內聯網的建立是信息化應用的必然要求,也是企業經營管理活動的硬件平臺。運行在該平臺上的企業內部各部門、員工之間的聯系將更加密切。同時,做大、做強的動機加劇了企業與客戶間的合作與交流,企業內聯網必然向外聯網拓展,使得企業的經營管理信息流動在互聯網之中。這樣,傳統的、局部的差錯與舞弊不再表現為企業內部控制的主要風險,而員工的自我保護的責任意識、正確行使其決策權以及不斷提高自身知識和風險識別能力的風險大大增加了,從而使風險評估方法也由傳統向現代拓展。
(三)信息化增加了控制活動的內容
控制活動是企業根據風險評估結果,采用相應的控制措施,將風險控制在可承受度之內。隨著信息化的應用,中小企業風險評估結果將以新的形式出現,原有的控制措施及可承受度必然隨之變化,控制
活動的內容亦將隨之增加。第一,由于信息化改變了中小企業傳統的業務流程,如傳統的產、供、銷活動可以通過企業內聯網絡和外聯網進行,因此,對各個過程的控制活動必須結合信息化應用的特點和要求來完成;第二,信息化的深度和廣度是隨著信息技術的發展而不斷變化的,中小企業信息化建設本身就是一個不斷完善的過程,基于信息化的業務流程也處在一個不斷更替的過程中,要實現控制活動的目標,企業必須不斷地更新控制點以獲取信息系統中的數據和信息,從而改變控制活動的方式或進程;第三,信息處理過程自身也需要控制,如確保企業管理信息系統能正常、持續運行的一般控制(包括對網絡黑客的非法入侵),以及針對某項特殊活動進行特別處理的應用控制等。顯然,信息化改變了中小企業的業務流程,帶來了新的風險,也必然增加了中小企業控制活動的內容。
(四)信息化提高了信息與溝通的有效性
信息與溝通是企業及時、準確地收集、傳遞與內部控制相關的信息,確保信息在企業內部、外部之間進行有效溝通。信息化應用彌補了中小企業在信息與溝通方面存在的缺陷,提高了它的有效性。首先,信息化應用能有效地將企業各部門和員工連接起來,實現業務和財務的一體化處理,將員工身兼多職的特征進一步發揮出來;其次,信息化必然要求建立一個中心數據庫,儲存企業活動中各個環節的數據和信息,并實現數據共享,以發揮企業經營管理的效率;再次,網絡平臺為管理者、員工以及外部的顧客、供應商、有關團體提供了開放的信息交流渠道,不僅員工能清楚理解現行的政策和程序及相應的責任,管理者適時掌握業務的發生、發展與結果以及信息的相互傳遞,而且更便利了企業內部與外部的信息溝通。因此,信息化改善了中小企業信息與溝通的滯后狀況,促進其向可靠性、及時性和開放性方面轉變,提高了信息與溝通的有效性。
(五)信息化豐富了監督的方式和內容
監督是企業對內部控制建立與實施情況進行監督檢查,評價內部控制的有效性,發現內部控制缺陷,應當及時加以改進。信息化應用加快了中小企業業務與財務處理的一體化,完全依靠人工的監督模式難以適應這一變化。一方面,信息化可以將監督功能程序化,即要求在經濟業務發生、發展及結果處理的過程中,運行監督程序,以達到實時、全過程的監督效果;另一方面,信息化大大提高了信息處理的速度,在實施程序化監督的同時,可以將監督的結果與預期的目標進行比較,適時評價內部控制的有效性,及時發現缺陷并加以改進,達到自我監督、自我評價的效果。當然,信息化應用過程自身也需要監督和評價,因此,傳統方式下的人工監督仍必不可少,但這種監督主要體現為定期、及時地檢查和了解計算機控制程序、指標以及控制參數是否發揮作用或過時,并針對企業經營環境變化情況,及時評估業務流程控制點的運行狀態,重新調整或更改內部控制程序、控制方法、控制指標等。由此,必然要求更新傳統的監督方式和內容。
三、中小企業信息化進程中內部控制的構建
由前文分析可知,信息化通過作用于中小企業內部控制的五個要素而影響其內部控制,實施或管理不當,其后果將適得其反。可見,當前的首要問題是如何促使信息化與內部控制有機融合。本文認為,解決這一問題的關鍵在于如何將中小企業內部控制框架的構建與信息化結合起來,以適應信息化進程的推進。
(一)內部控制框架構建的思路
顯然,中小企業內部控制系統的完善,關鍵之處是如何辨識并控制企業經營管理中的風險。信息化應用一方面給中小企業內部控制帶來了便利,提高了控制的效率和效果,另一方面也影響了其內部控制五要素,而這些影響必然給中小企業經營管理活動帶來新的現象、新的問題,從而帶來新的風險。因此,對中小企業業主及其員工來說,需要轉變內部控制思想,掌握新的控制方法,以加強對風險的有效控制。為了防止中小企業在信息化進程中出現內部控制的弱化,避免出現“頭痛醫頭、腳痛醫腳”問題,本文認為,在信息化應用的初始階段,就應該從整體上來規劃和加強內部控制框架的建設,以適應信息化的發展進程。
中小企業內部控制框架構建的具體思路為:首先,以COSO內部控制整體框架理論為指導,分析內部控制五個要素的現狀及運行情況;其次,結合信息化應用對五個要素作用機理的分析和企業不同時期經營管理活動的特點,發掘企業內部控制中存在的薄弱環節,分析和判斷新風險產生的根源和節點;第三,引入IT治理思想,并將其融入到企業經營目標的制定和風險管理的要求之中,自上而下并自下而上地灌輸和反饋信息化應用戰略及其收益與風險的理念,使信息化應用與內部控制的關系深得人心;最后,對企業經營管理活動中信息化應用的范圍和深度進行細化,分析并設定風險控制目標,制定并完善相應的內部控制制度,實施有效的控制措施,建立內部控制執行效果的反饋和改進機制。
(二)中小企業內部控制框架的構建與分析
基于上述思路,本文試圖構建出中小企業信息化進程中的內部控制框架,如圖1所示。
由圖1可知,該內部控制框架是以COSO內部控制五個要素的分析框架為基礎,結合中小企業經營管理活動各個環節和信息化應用(表現為信息系統)的程度,來辨識和分析企業經營管理活動在信息化應用中以及信息系統自身所面臨的風險(這種辨識和分析功能,除了運用人工手段之外,信息系統本身也提供了自動處理功能),并通過反饋通道傳遞到企業決策層(或企業業主)。企業決策層根據企業經營目標和風險管理要求,在IT治理思想的指導下,不斷地完善內部控制制度和改進信息系統,使人工控制與程序化控制有機地結合起來,一方面對企業經營管理活動實施有效控制,另一方面確保企業經營管理活動有序進行,同時進一步辨識和分析新的風險。
可見,該內部控制框架是一個開放式閉環系統,即隨著信息化應用進程的深入,信息化對內部控制五要素產生新的影響,形成新的風險,同時,由于風險辨識與分析以及反饋通道的作用,企業決策層及時識別風險并通過完善內部控制制度和控制手段,規避和控制風險,從而實現不斷改進企業內部控制以適應信息化進程的目的,避免內部控制的滯后而產生風險問題。
