企业信息化风险评估(精选12篇)
企业信息化风险评估 篇1
0 引言
目前我国大部分企业的信息化已日益深入,随着信息化的日趋复杂化,产生的风险也就越来越大。针对企业信息化进程中遇到的各种风险,只有提出相应的风险控制措施,才可以尽可能地减少由风险带来的损失,促进企业的信息化进程。
1 风险控制策略
一般来说,风险控制技术主要包括风险规避、风险缓解、风险转移和风险自留四种,有效的风险管理要求管理者能从中选出一个方案,使得风险发生的可能性和风险发生后对信息化的负面影响都能限定在一个可容忍的范围内。
1.1 风险规避
相对于其它方法,风险规避对于风险的消除更为彻底。它通过在风险发生前对其产生的可能性进行评估,从而进一步估测会导致风险出现的条件和因素,以便于控制这些条件和因素进而避免风险的发生或者改变风险发生后会产生的影响。虽然风险是不可能全部被消除的,但是通过风险规避的方法,有可能使风险在发生之前消除风险发生的机会或者是使得风险发生后会造成的损失消失。
从以上描述我们可以知道,风险规避有两种方式:第一种是尽量避免风险的发生,即控制风险发生的概率;另一种是控制风险带来的损失,即通过改变风险发生的影响,而减少甚至是消灭风险发生带来的负面效应。
具体到方法论上,风险规避有以下几种方法可供使用:终止法、程序法和教育法。
终止法是相对来说最极端且被动的风险规避方法,它通过放弃项目的实施来避免风险的发生,这类方法通常用于风险等级最高的风险的规避,这类风险一旦发生,将带来毁灭性的结果,而在控制风险的成本高于项目实施会带来的效益的时候,终止法将被使用。
程序法则通过尽量减少不必要的风险发生的可能性来规避风险,具体来讲就是制定项目工作具体步骤的标准,通过对这些标准的严格实施来规范项目的进程,从而避免可以避免的风险发生而带来的负面效益。
教育法相对于前两种方法更为主观和主动一些,它是通过对项目相关人员的培训和教育,提高人员的风险意识,减少相关人员的不当行为,以减少风险的发生。
分析上述三种方法,风险规避具有其局限性,并非所有的项目在任何情况下都能采用这种方法。
首先,我们可以看出,风险规避中最有效的控制风险的方法是终止法,但终止项目意味着丧失机会,阻碍企业的创新。其次,在现实中,风险规避有时并不容易实现。风险规避的策略是当项目存在风险时,企业要终止或者彻底放弃原计划,这是不大可能的,这样做会使得项目活动陷入僵局,无论是放弃还是重新开始都要牺牲大量的时间和金钱。再者,风险规避一般是建立在对风险事件完全认识的基础上进行实施的,一般情况下人们获得的信息是不完整的,不可能对风险事件完全把握,在对风险的识别和估计没有充分把握的风险规避策略是没有意义的。
1.2 风险转移
在分析了风险规避的局限性后,我们知道不能一味地规避风险,这样企业的发展会停滞不前,我们要做的是面对风险,通过有效的方法来处理风险。风险转移则是采用一定的方法将风险的结果以及对风险的应对责任转移给他方。
风险转移的方式分为保险和非保险两种。保险风险转移是指通过与保险公司签订合同,交付一定费用,将风险转嫁于保险公司;非保险风险转移主要指项目的合同约束以及引进相应的项目的监理,将风险责任转嫁于他方。与风险规避不同,风险转移并不能消除风险和避免风险,风险依然会发生,只是将风险的不利影响转移给了他人。并且,风险转移能否成功,主要取决于风险转移合同的条件和语言是否描述得妥当,否则难以将风险转移。
风险转移也有其局限性:首先,风险转移具有一定的盲目性,如果一味只追求风险的转移,而忽略了风险转移的对象的风险抵御能力,如果转移对象的风险抵御能力比企业自身更差,则有可能会招致更大的风险。另外,从理论上讲风险转移会为企业减轻负担,但是如果合同的描述不妥当或者接受转移的对象诚信度不佳,在风险转移的过程中如果发生法律纠纷,而解决这些法律纠纷同样会消耗大量的时间和金钱,这本身也构成了一种风险。
1.3 风险缓解
风险缓解又称减轻风险,指通过一定的方法将风险可能发生的概率或者是风险发生后所产生的负面影响尽可能降低。它包括降低风险发生概率和控制风险发生后的损失。
风险缓解一般可以通过两种途径来实现:一是采取预防性的措施,尽可能地减少风险发生的可能性甚至是避免风险的发生;二是通过制定应急方案,以便在风险不可避免要发生或者是已经发生的情况下,尽可能减少风险带来的负面影响。
不同于风险规避和风险转移,风险缓解的前提是在承认风险事件必然会发生的前提下去考虑如何降低其发生的可能性和减少风险所造成的损失。并且只有在风险无法消除的情况下,才会去考虑用风险缓解的方法来控制风险。
1.4 风险自留
如果说前三种方法都是采取主动的方法来应对风险的话,那么风险自留则是一种相对被动的方法。是指在一些风险无法避免和转移的情况下,企业在不影响根本利益的大前提下接受和承担风险。
风险自留又可以分为主动和被动两种情况:主动风险自留是指管理者在识别了风险及其损失后,通过权衡,主动将风险自留。被动风险自留是指虽然没有充分识别出风险及其带来的最大的损失,但是由于没有考虑到其它的控制措施,不得已只能将风险自留来承担后果。显然,被动风险自留是没有权衡各种风险应对措施的消极结果,是不可取的。
风险自留首先要对风险有充分的认识,在充分认识风险带来的不良后果是在企业的承受能力之内的情况下,可以采取风险自留作为风险应对措施。并且,风险自留并不是一味地坦然面对风险带来的损失,而应在决定自留时就作好风险应对的计划,来尽量地减少风险带来的损失。
2 风险控制思路
风险控制工作是风险识别和风险评估的后续工作,但同时,它并不是信息化风险管理的结尾工作。在识别和评估出相关风险后,将所得结论作为输入,经过风险控制工作,我们可以得到相关的输出——风险控制方案,在得到风险控制方案后,工作并未结束,而应该进行风险反馈,进一步进行风险识别,以此不断地进行下去,可以说,信息化的过程一直伴随着信息化的风险管理工作。
企业信息化风险控制的直接目的是为了对风险因素进行控制以减少风险因素给信息化带来的负面影响,以使得信息化项目得以顺利地进行。在实际中,按照对风险采取行动的时间先后,风险控制可以分为风险预防和风险处理两种情况。
而风险的处理通常有如图1和图2所示的两种情况。
如图1所示,如果项目的风险已经超过企业可以接受的水平情况下,有两种选择:如果风险已大大超过可接受水平,此时应该做的就是取消项目,以免造成更大的损失;但是如果风险虽然已经超过可接受的水平,但仍然可以挽救,则应该尽力挽救项目,这时也有两种方案可供选择,一是降低评价标准,重新对各类风险进行评估,看在改变标准的情况下,项目是否可以实施下去;另一种是更改项目的目标,但仍然需要重新评估风险,因为目标不一样,风险产生的影响也就不一样了。在实施了挽救项目的措施后,新评估的风险会在项目可接受的范围内,此时要做的就是如图2所示的对风险进行控制和监视,并且两者是持续进行互相反馈互相影响。
如果如图2所示那样,项目的风险一开始就处于企业可以接受的范围内,企业应该将风险管理的工作放在控制和监视已经识别出的风险上,尽量减少风险对项目产生的不利影响。
3 总结
综上所述,在企业信息化的实施过程中存在着各种各样的会给企业信息化带来负面效应的风险,只有及时地识别出风险,准确地对风险采取相应的控制和应对措施,才能保证企业信息化的顺利进行。
参考文献
[1]沈建明.项目风险管理.北京:机械工业出版社.2003.
[2][美]J.肯特.克劳福特,肖艳颖译.项目管理成熟度模型.北京:机械工业出版社.2008.
企业信息化风险评估 篇2
关键词:会计信息化;风险防范;网络安全措施
随着科技的日新月异,会计信息化已被越来越多地运用到了财务工作中,会计信息化的发展与传统会计工作相比,在应用更加便捷的同时还存在着很多无法预期的风险。因此要对会计信息化运用过程中面临的风险认真研究,并总结出相应的解决措施。
1企业会计信息化面临的风险因素
1.1网络安全风险
(1)网络病毒。这是最为常见的风险之一,在信息的传输过程中,病毒的产生会较为容易。网络病毒的传播过程非常快,它可能会隐藏在一些文件上并随之传递,致使病毒不断扩散,很有可能会造成其他设备无法正常工作。网络病毒不易发现且彻底清除比较困难。(2)网络*客。在经济快速发展的今天,各企业之间的竞争力也日益扩大,一些企业为了获取利益甚至利用网络*客来盗取其他商家的商业机密。比如对竞争企业的竞标价格,研发的新技术等进行盗取。
(3)网络硬件。网络硬件对会计信息化工作也有着较大影响,硬件工作时间过长难免会出现一些故障,这些故障会严重影响会计的正常工作。如果不对计算机进行合理维护,就很可能导致硬件出现问题,从而造成会计工作无法顺利进行。
1.2信息保管风险
(1)信息容易损毁丢失。随着现代信息化应用得越发广泛,会计档案不再利用纸质进行保管,而是利用现代化的工具进行存储,比如U盘、光盘等。这些存储工具存储量大且运用方便,但它们却需要较高的保管条件。温度、湿度等环境因素均会对其造成破坏,导致信息损坏。
(2)电子档案保存不够及时完整。一些企业对档案的保存并不完整详尽,有些管理人员对操作系统运用并不熟练,导致会计电子档案存储格式不正确,造成电子档案保存缺乏完整性。
1.3内部控制风险
(1)软件设置不严谨。现在市场上的财务软件种类很多,企业在选择财务软件的时候如果没有选择符合标准的、适用于企业会计核算要求的软件,就会对会计工作带来很大影响。市场上不乏价格低廉的软件,这些软件漏洞百出,成本较低,如果企业选择这样的软件无疑会给会计信息化带来巨大风险。这些软件的系统往往无法及时更新,对漏洞的修复也并不及时,这些都有可能给*客提供机会,造成会计信息的泄露。一些不符合要求的软件甚至无法为会计工作提供有效帮助,使会计的工作面临巨大挑战。
(2)会计不相容职务合并。由于会计信息化的推进,一些企业会计工作人员的数量大大减少,出现了一人多岗的现象,这使得会计职业规范无法得到有效控制。
1.4会计人员风险
(1)会计人员安全意识淡薄。由于一些会计人员对计算机应用知识的欠缺,使其在日常会计工作中经常出现错误操作软件的行为,并且对一些危险网站缺乏安全认识,随意点击网址链接造成计算机中毒甚至是泄露会计信息等情况出现。
(2)职业道德风险。会计这项工作对职业道德的要求较高,特别是在会计信息化的今天,更需要具有良好的职业道德严格要求自己,使会计工作规范化。会计信息化使得财务数据容易被修改和删除,这都是对会计工作人员诚信及道德的考验。职业道德缺失的.人员则具有道德风险,较为容易受到不良影响。
企业信息化风险评估 篇3
[关键词]审计信息化 风险 管控思考
[中图分类号]C29 [文献标识码]A [文章编号]1672-5158(2013)06-0169-01
一、审计信息化的风险问题
审计信息化尤其独特的时代优势,在目前乃至稍后的很长时间内代表着审计工作的发展趋势。不过,信息审计并非解决所谓问题的万能神药,由于信息系统本身特点所具有的脆弱性,将使审计面临一系列风险问题。具体而言,其中的主要表现点如下:
一是信息系统管理的缺失容易导致信息安全风险的产生。内部审计工作开展的基础是充分且真实的审计信息的获得,虽然各板块、各部门、各业务流程信息化建设的推进利于提升工作效率,但其系统管理本身及获取信息数据手段的缺陷容易导致信息安全问题,比如权限设置的混乱或失误及外界黑客的介入等因素会催生系列虚假信息,这对内部审计工作的开展是毁灭性地打击。
二是繁杂的信息量与相对有限审计人员之间的矛盾限制了信息审计工作推进的可行性。与传统财会工作相比,电算化或者信息化境遇下的财务信息基于信息系统的便利往往呈现系统喷涌的局面,业务数据呈现几何级增长,这在为审计工作提供方便的同时也带来了莫大的压力,数量相对有限、IT技术素养也相应缺乏、信息审计手段也不够成熟的审计团队可能在短时间内无法成功消化这些信息,这会让信息化审计工作寸步难行。
三是信息系统审计工作与传统审计工作的对接可能导致审计范围覆盖度不足或重复。信息审计与传统审计工作并非截然分开的,其间存在着三个问题,一是审计工作与公司信息化建设的同步问题,也就是说信息化建设所涉及的范围应当是信息审计工作推进的领域;二是信息审计工作与传统审计工作的并存和对接问题,要做到二者在范围、技术等方面充分协作和协调;三是信息系统的改新换代也往往催生信息审计代际之间的对接,也就是说两种信息系统的对接和融合问题。
四是审计信息系统的有限性可能影响审计工作进程甚至导致审计失败。审计信息系统是信息审计工作推进过程中的主要助手,不过其相对于组织内部信息化网络建设而言多是外在的异类和他者,其间的差异和兼容程度往往会影响审计信息工作的效率和成果。审计辅助系统与各类现运行系统的模板体系、数据接口以及数据类型的差异性,容易造成审计人员从接口导人数据后都要重新手工进行报表项目的定制和部分参数的调整,为了避免生成错误的财务报表定制后可能不能保存或者存在差错,加大了审计风险且浪费审计人员的时间和精力。
五是信息系统审计标准的缺失或选择不当往往影响审计工作的开展。信息系统审计工作开展的前提之—是适当标准的确定。如今,信息系统审计还没有一个统一的标准,中国内部审计协会发布的内部审计具体准则第28号-信息系统审计也缺乏具体做法和衡量标准的内容。具体到各企业组织,均未形成兼具科学性、可操作性的制度标准,难以满足整个经营系统审计的需要,在指导下属公司及职能部门推进信息审计工作开展方面的作用有限。
二、管控审计信息化风险的思考
针对如上几点及其他不可预料的风险因素,各类公司应该在现有信息系统审计工作的基础上,从如下几个方面着手,提升信息系统审计的水平。
一要努力转变观念,逐步将信息系统审计纳入常规审计的范围。要充分认识开展信息系统审计的必要性和重要性,信息系统涉及到公司的方方面面,公司能否完成既定的战略目标,保持系统的安全、稳定、持续健康发展,是其重要的基础。作为公司内部审计部门就是评价公司信息系统是否能够保证资产的安全、数据的完整,提出管理建议,协助管理层有效地履行经营管理目标。要从单纯的数据审计提升到信息系统审计的高度上来,要定期开展此项工作,保证公司经营管理信息系统安全和有效运行。
二建议尽早出台信息系统控制规范,尤其是对信息系统等级二和等级三系统,尽早识别其风险点和关键控制点,编制权限测试工具,以便于开展信息系统应用控制审计和测试。尽早出台信息系统审计操作指南,规范和指导信息系统审计实践,衡量和评价信息系统审计工作质量,防范和规避信息系统审计风险。
三要不断充实和培养IT审计人员。目前各类企业组织审计系统IT方面的审计人员较少,直接限制和影响了信息系统审计工作的开展,要实现信息系统常规审计的目标,必须注重IT审计人员的充实和培训工作,开展形式多样的信息系统审计培训,鼓励审计人员考取注册信息系统审计师等执业资格,在认证考试中学习、提高,逐步实现审计机构中IT审计人员三分之一的目标,只有这样才能适应信息化发展的需要,也才能使内部审计充满活力。
四要逐步完善审计管理信息系统与相关信息系统的接口工作,如与财务系统、资产系统、合同管理系统等系统的接口,真正实现审计的网络化和远程化,做到实时控制、过程监督。例如利用并行模拟技术测试系统运行程序的控制功能;利用嵌入式审计技术监控数据处理业务;利用数据分类符合技术审查数据库等。
五要注重信息系统审计的审前调查工作。由于信息系统的复杂性、多样性等特点,加之信息系统审计在很多企业刚刚起步,在国内属于探索阶段,是一项全新的审计工作,要将信息系统审计做好、做透,必须要重视信息系统审计的审前调查工作。通过审前调查,初步分析信息系统在开发、运行、管理及维护中可能存在的问题与风险。为下一步审计实施时明确审计范围、确定审计重点打基础。
六要逐步开展信息系统开发建设期的跟踪审计。由于信息系统建设投资大、周期长、投入运行后升级维护成本高等特点,建议在条件成熟时立项开展信息系统开发建设的过程跟踪审计,及时发现信息系统前期建设的缺陷和漏洞,避免投入运行后出现重大问题。
三、结束语
李金华审计长指出“审计信息化是一场革命,能不能在这场革命中掌握主动权,直接关系今后审计事业的发展”。中石油审计信息化工作正是适应了时代发展,是审计工作发展和创新的技术支撑,更是促进内部审计转型的战略部署。通过对QH公司在审计信息化方面的探索和实践的简单描述证明:在加速推进审计信息化工作的进程中,虽然审计信息化带给我们更多的审计便利条件,可以提高审计质量和效率,但是这种效能并不意味着潜在的风险就消失了,严格意义上来说,只是风险一种转移。在这种情况下,石油企业应该克服对新事物过度期望和依赖的惰性,应该正视系列新的风险因素,据此出具多种系统举措,推动实现多方面的转型。只有这样,才能切实推进审计信息化工作,安全地为内部审计工作的创新提供有力的技术手段,稳健地为内部审计工作的转型提供不竭的动力,不断促进内部审计持续发展。
参考文献
[1]任玉珍,信息审计的内容框架分析[J],农业网络信息,2009(07)
[2]娄策群,高策,信息审计方法比较研究[J],图书情报工作,2009(02)
[3]黄亦西,信息审计与知识审计的比较研究[J],情报杂志,z005(10)
[4]于玉林,会计信息化会计整合论[A],中国会计学会第四届全国会计信息化年会论文集(上)[C],2005
企业信息化:风险与控制 篇4
在风险全球化的时代,所有企业不论其规模、性质、结构、地域和产业有何特点,良好的公司治理和风险管理都是必不可少的。事实上,如何构建有效的内部控制和风险管理体系都已成为企业议事日程中最为迫切和重要的任务,而信息社会的知识型经济给企业的这两项任务带来了新的的挑战。信息技术的开发和应用提高了企业的经营和管理效率的同时,也带来了前所未有的风险,这些“看不见、摸不着”的风险时刻影响着企业信息化的效率和效果,威胁着组织的战略实施和目标实现。如何打开企业信息化这个神秘的“黑箱”,识别和管理其中的风险以实现企业信息化目标,一直是管理理论界与实务界的一大难题。
在这种情况下,将企业信息化的治理与全面风险管理整合起来,成为企业管理者的必然选择。何为企业信息化风险?企业信息化风险具备哪些共性和个性特征?企业管理者应如何识别这些风险?如何加强和完善企业信息化风险的管理和控制?对这些问题进行探讨和研究既有深刻的理论意义,能够丰富企业信息化和内部控制、风险管理的理论研究,又有积极的实践价值,能较好地指导企业开展风险管理实务,确保企业信息化的成功实施和目标实现。
2 企业信息化风险概述
企业信息化的高风险、高收益这一特点使得企业对之“又爱又恨”,以至于当前在企业中曾经流传过这样一种有趣的说法:“企业不搞信息化是等死,搞了信息化是找死”。如果没有充分认识到信息化建设中存在的风险并采取相应的防范措施,就草率地实施“赶潮流式”的信息化,非但不能取得预期商务效果,反而会造成大量人力、物力、时间资源等的浪费,使企业陷入“信息化困境”。尽管企业信息化建设存在着很大的风险,但它对企业战略实施的意义和必要性却是不言而喻的。根据一项对全球企业的调查数据显示,93%的企业都认为企业信息化是实现企业战略目标的关键[1]。因此企业管理者应时刻关注在企业信息化进程中所有可能存在的各类风险及其影响程度,并据此采取相应的科学的管理措施来识别和控制信息化风险,保障企业信息化建设的成功实施,从而实现企业的目标。
信息化风险可以划分为个人用户、企业、政府和国家四个层次,而本文研究对象是企业这一层次的信息化风险。对于企业信息化风险,学者们有着不同的理解。国外学者一般使用“IT risk”之类概念。英国专家 Erine Jordan认为:“所谓信息技术风险就是指对业务造成负面影响的信息技术失效。或者说是指某些信息技术故障对业务造成负面影响。”该定义强调了信息技术作为外在的、引起意外结果的角色对主体业务活动所造成的影响。2007年2月赛门铁克公司发布的《IT风险管理报告》认为,信息技术风险包括安全性、可用性、能力和合规性四个方面。肖荣认为:“企业信息化风险是企业在信息化进程中产生的损失的可能性,是对企业战略目标实现程度的大小。”胡海华认为:“企业信息化风险是指企业在使用信息技术过程中,由于信息技术因素或与信息技术相关因素,导致企业经营不确定、管理不力,并最终导致资金、财产、信誉遭受损失的可能性。”结合本文的研究内容,我们对企业信息化风险的定义为:企业信息化风险是指企业在信息化过程中可能发生的影响信息化目标实现的各种损失。和一般的风险相类似,它可以用各种风险发生的可能性(概率)与对目标的影响程度(损失金额)的乘积之和来衡量,即REI=∑Pi,jJi,j。其中,REI表示企业信息化风险,Pi,j表示第i种信息化风险的第j种状态发生的可能性(概率),Ji,j表示第i种信息化风险的第j种状态发生时对企业信息化目标的影响程度(损失金额)。
对信息化要素的研究是企业信息化及其相关风险研究的主要途径。纽约大学的著名学者Laudon认为,信息系统是一种社会技术系统,由技术、组织、管理三种要素组成;相应地,企业信息化风险可以根据这三类要素来划分。Gordon等人通过对企业信息化失败的案例进行归纳和分析发现,在没有对原有的企业流程导致低效率的弊端进行根本性的思考和合理性的改造之前,就试图简单地运用信息技术来实现自动化和信息化,非但不能提高企业流程的绩效,反而会使旧有的流程中那些不能创造价值的活动得到强化,导致企业最终陷入“信息化困境”。闵庆飞、唐可月认为我国信息化的成败主要受领导因素、组织变革和管理变革、信息化项目管理、信息化运用管理等来自管理、组织方面的非技术因素的影响。王晶通过问卷调查的方法对企业信息化项目风险因素的主要成分进行分析,得到了我国企业信息化项目的七个主要风险公因子,分别是:技术风险、需求风险、范围风险、环境风险、计划与控制风险、团队风险和沟通风险。
综上所述,可见从管理、组织、技术等信息化要素来探求企业信息化成败的原因和研究企业信息化风险是学者们始终坚持的一条主线,而且通常学者们都认为,管理、组织方面的非技术要素才是企业信息化成败的关键因素。
3 企业信息化风险的识别、评估、分析和控制
以企业为主既是企业信息化,也是企业信息化风险最为基本的特征,这一特征决定了企业信息化风险很多其他方面的内容。首先,它决定了企业信息化风险是企业在追求利润这一天然使命的过程中产生的。企业进行信息化建设的最终目的是追求经济利益(这一点与政府主导的国民经济信息化有着本质区别),然而“天下没有免费的午餐”,利益的追逐就必然要以承担风险作为相应的代价。其次,它决定了企业信息化风险是与特定企业所处的环境和面临的竞争压力密切相关的。具体而言,企业的规模、所处行业、性质、文化、组织结构、发展方向、市场份额等因素都影响着信息化风险的内容和程度。最后,它决定了企业信息化风险的管理和控制必须要由企业的经营和管理人员来完成。在企业的风险管理中作出决策的主体是企业的经营和管理人员,因而企业信息化风险管理也要“以人为本”[2]。
3.1 企业信息化风险的识别
风险识别是风险管理的第一步,也是风险管理的基础。风险识别是风险管理人员在收集资料和调查研究的基础之上,运用判断、分析、归类等方法对经济主体所面临的各项明显和潜在的风险进行鉴别并记录的过程。风险识别的本质就是要不断地提高风险管理主体的认知能力水平,使原来无法预见的隐性风险不断地浮现于水平面之上。只有在正确识别出自身所面临的风险的基础之上,人们才能主动选择适当有效的方法进行处理。风险识别一方面可以通过依据企业管理者的感性认识和历史经验来进行判断;另一方面也可以通过对各种客观的资料和风险事故的记录来分析、归纳和整理,以及通过必要的专家访问和咨询,从而找出各种显性和隐性风险及其客观规律。同时由于风险具有可变性等特征,因而风险识别必须是一项持续性和系统性的工作,这就要求风险管理主体密切关注原有风险的变化,并随时发现新的风险。风险会在企业信息化过程中的哪些环节发生?以何种方式出现?发生时对企业及其信息化目标有什么样或多大的影响?企业该如何来控制?信息化风险的识别和控制就是要解决这些关键问题。对于企业信息化风险而言,企业管理者可通过一些重要变量的变化情况,比如国家宏观经济政策的变动、信息技术的更新、政府机构发布的新的信息化法规、IT产品和服务价格的变动、企业高管人员的变动、产品结构的调整、开发商的信誉、客户的信用记录等,科学和客观地认识其中潜在的风险及其特性;同时管理者还应当填写风险识别表,将识别的信息化风险及其特征进行分类和归档。用来识别企业信息化风险的工具和方法多种多样,方德英把此类风险识别方法和工具用内涵、外延两个维度加以概括,从内涵上分为经验型和知识型两种,而外延上分为结构型和非结构型两种。最常用的发现识别方法包括头脑风暴法、流程图法、现场调查法、鱼骨图法、事故树法、风险检查表法、风险因素分析法、情景分析法、SWOT分析法、风险分解结构法等,企业可以根据各种方法的特点和自身的情况选择合适的方法。
3.2 企业信息化风险的评估
企业信息化风险的评估在风险管理过程中起到风险识别和风险控制的桥梁作用。在准确识别了与企业信息化目标相关的各项风险之后,企业管理者还需对这些风险从可能性和影响程度两个方面进行评估。企业信息化风险的评估又可以分为风险衡量和风险分析两个子过程。风险衡量是在风险识别的基础上对风险采用各种定量和定性的方法进行衡量,能够让管理者在企业风险管理过程中做到“心中有数”,为以后的发现决策和分析、选择合适的风险应对策略、实施风险控制活动提供重要的依据。风险衡量的方法有很多,总体上可分为定性衡量法和定量衡量法两种。无论哪种风险衡量方法都各有所长,但又不可避免地受到风险管理主体的主观影响。定量衡量法是针对风险的可能性及其影响,采用各种数理统计指标进行定量分析和评价的方法。通常使用的风险定量指标有:损失概率、期望值、方差与标准差、变异系数及其他一些指标。
企业信息化风险分析是结合企业特定条件(如企业的生命周期、信息化战略等),对识别和评估出来的风险及其特征进行进一步分析,深化对不同风险类别及其特征的了解和把握,为制定风险应对策略和风险控制方案提供相关依据。一般而言,风险分析方法和工具有概率与影响矩阵法、情景分析法、决策树法、蒙特-卡罗法、关键风险指标分析法、压力测试法、层次分析法、计划评审法、杠杆分析法、敏感性分析法,等等,企业可以根据信息化风险的特点和自身的情况选择合适的方法和工具。
当评估和分析了相关的风险以后,企业管理者就要确定如何应对。风险应对是指在确定了决策主体经营活动中存在的风险,并分析出风险概率及其风险影响程度的基础上,根据风险性质和决策主体对风险的承受能力而制定的回避、承受、降低和分担风险等相应防范计划。COSO—ERM将风险应对分为风险规避、降低、转移和保留四种基本策略。我们认为,依据风险发生的可能性和影响程度,企业信息化风险应对策略也应包括这四种[3]。
风险规避就是通过事先预测和采取控制措施,对风险的诱因(发生条件)进行消除和调整,使目标免受影响,如:企业为避免网络攻击而不连接外网,出于企业能力缺失的考虑而避免引进高端、昂贵的信息技术,为避免继续发生重大损失而中止信息化项目等。这是一种事前的、消极的发现应对策略,且在完全规避风险的同时也可能完全放弃了潜在的目标收益。
风险降低通过采取措施来降低风险发生概率或影响程度,使得风险总值降低到企业可以接受的程度,如:安装烟雾探测器,使用防火材料来降低机房发生火灾的可能性,进行软件的二次开发来降低软件功能与企业业务流程不匹配的风险,当敏感的信息数据泄露时通过付诸法律、索取赔偿的方式来减少损失。这是一种积极的发现应对策略,可以分为事前、事中、事后三个阶段的风险控制策略。事前控制主要在于降低风险的发生概率,事中控制主要是降低风险发生时对信息化目标的影响程度,事后控制主要是使风险发生后的损失最小化[4]。
风险转移是指不主动去控制风险,而是通过合同或其他方式将风险及其对应的权利转嫁给第三方或受让人,如:对重要的IT设施购买财产损失保险,将信息化项目外包给专业化组织并在签订分包合同时注明风险发生后责任承担者(开脱责任条款)。这是一种事前的、积极的风险应对策略,企业在决定策略时,还要考虑其支付的对价,如购买保险时支付的相关费用。
风险保留即对风险不采取措施,接受其造成的结果,或者考虑该风险发生后再采取应急措施来处理,如:接受由于信息技术的进步导致的软硬件资产加速折旧风险,对信息系统的崩溃导致的业务中断建立系统灾难应急计划,建立风险预留基金来应对信息化进程中可能出现的资金短缺问题等。
3.3 企业信息化风险的控制
企业信息化风险的控制是指风险管理者采取各种具体的措施和方法,以降低各项信息化风险对企业目标的影响程度。由于风险因素和来源的不同,不同类型的信息化风险的可控程度也存在差异。通常来说,系统风险通常涉及政治、法律、经济、社会、文化等一般宏观环境的关键要素,这些要素对企业信息化及其风险的影响是宏观的,企业很难对其施加自己的影响,因而此类外因风险对企业信息化的威胁也是难以控制和消除的。例如经济危机的爆发不是企业所能左右的,却对企业信息化的方方面面产生了广泛影响,会给企业带来资金断流、业务中断等多种伴随性的风险。经营风险与特定企业的行业类型、竞争对手、市场地位、消费者、融资者、劳动力市场等因素密切相关,这些因素也具有外部性,但相对系统风险而言较容易受企业影响和控制。例如某制造型企业通过应用计算机辅助设计技术(CAD)而提高了工艺设计的质量和缩短了生产准备周期,但其他竞争对手可能也能效仿使用这类技术从而消除了该企业原有的竞争优势,此时该企业仍可以通过技术更新来重新建立新的优势。而其他来源的信息化风险可以通过各种方法进行一定程度的控制,这也是企业信息化风险控制的主要对象。根据成本效益原则,对企业信息化的风险管理,要求首先识别企业信息化的关键过程,分析主要风险控制点,将有限的企业资源合理分配到各个关键控制点上,以实现最优控制,而不是进行盲目的全面控制。我们可以借鉴COBIT 4.1关于企业信息化关键过程的定义,针对企业信息化规划与组织、获取与实施、交付与支持、监控四个阶段的前三个阶段的风险和关键控制点,介绍相对的风险控制活动和具体措施。
企业信息化是一项复杂的系统工程,它的实施意味着企业经营模式与管理理念的变革,需要对企业的业务流程、管理方式与组织结构进行重新整合以应对信息化的要求。组织与管理控制是指通过组织结构的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制,其基本目标是建立恰当的组织结构和职责分离制度,以达到相互牵制和监督、减少舞弊和错误行为的发生的目的[5]。信息技术控制是指企业为使信息技术在企业中发挥好服务于业务自身和未来发展的需要而实施的控制,其主要内容为:(1)技术方案既要能够支持企业的信息化战略,又要能够符合企业当前的信息技术吸收能力和应用能力;(2)为保证系统建设的先进性和项目进度的顺利进展,在整个信息系统生命周期必须确保采用先进的项目管理、目标管理、软件工程管理等技术和方法;(3)具有高度的可伸缩性,能够满足今后大规模、大容量、多业务的网络运营需求,同时能为实时性要求更高的业务提供特殊的处理方法;(4)系统的技术方案应当符合行业和国际标准,保证与其他系统具备一定程度的可集成性。
正所谓“工欲善其事,必先利其器”,企业要舍得在项目预算和人力资源建设上进行投入。在信息化项目开展之前要做好财务分析与规划,制定合理的预算方案,方案中要包括资金的筹集安排、IT成本驱动因素的分析、专项基金的建立、如何按项目进度来分配资金等重要内容。预算出来以后也不应一成不变,而是要根据项目的进展情况及时做出调整,包括预算与实际支出之间的差异分析、后续资金的投入安排、不合理的预算的削减等。降低人力资源调配失当的风险就必须制定合理的人力资源方案。一方面,企业需对IT人力资源进行规划,加强人才引进与储备,制定具有竞争力和吸引力的薪酬体系,引进与储备人才,同时利用劳动合同和竞业限制协议对IT业务核心人员的退出进行约束;另一方面,企业应当对各类技术、管理人员及信息系统用户进行定期或者不定期的岗位轮换,实行在职培训与再教育制度,采用公平和效率兼顾的绩效评价体系对企业员工的表现、成绩和问题进行考核,不断提高其技能水平、文化素质和道德修养。
参考文献
[1]陈志斌.信息化生态环境下的企业内部控制框架研究[J].会计研究,2007(1):30-37
[2]王海林.IT环境下企业内部控制模式探讨[J].会计研究,2008(11):63-69
[3]胡晓明.基于信息时代的Is审计若干理论与应用问题探讨[J].当代财经,2006(2):125-128
[4]郝晓玲,胡克瑾.信息系统审计的体系框架初探[J].同济大学学报,2003(5):71-75
企业信息化风险评估 篇5
会计信息化是先进的信息技术平台,集资产、信息与业务为一体,运用计算机、网络和通讯等技术对会计信息进行获取、存储、优化、传达和应用等处理,具有财务信息处理职能集中化的特征。从本质上讲,会计信息化就是在信息时代的大环境下进行的会计业务流程的重新整合,并在这一进程中建立起以集合与互通为特点的现代会计信息化系统。当前,我国对会计信息化的研究,主要表现在以下几个层面:首先,在研究开发会计信息系统软件上,诺兰模型是关注度最高的;其次,还能看到一些教授在设计会计信息系统软件上付出了大量心血,他们立足于研究开发会计信息系统,对信息系统软件各个板块的设计思想以及业务流程进行全面的分析和论述;再次,在研究会计信息化的本质及信息化进程中存在的不足方面,国内的学者尚未提出一致观点。导致了许多企业不够明确会计信息化的本质所在,对会计信息化的目标和具体业务流程更是了解甚微,甚至认为“会计电算化”与“会计信息化”就是相同的概念,认为会计信息化就是用电脑等设备代替纸张的报表和账簿,进而忽视了会计信息化的重要作用。
二、会计信息化的风险控制对中小企业的作用
首先,通过使用会计信息化系统,企业可以提高获取和使用信息的能力,使企业业务量蒸蒸日上,最终达到增强企业工作效益的目的。此外,在中小企业应用会计信息系统可以对企业的资金流动进行有力监督,为企业的高层提供真实有价值的参考资料,为投资人以及报表使用者提供更全面的分析,使企业在日趋激烈的市场竞争中立于不败之地。值得注意的是,在会计信息化给企业带来便利的同时,也带来了不可避免的风险:对信息化概念的界定不够明确、盲目效仿其他企业的信息化系统、高素质跨领域人才的严重缺失、激励体系的不完善、数据资料的安全性受到威胁等一系列的问题,对企业会计信息化的建设都是一种极大的考验。这就需要企业对信息化系统进行事前规划研究,做好风险防范工作,或是在面临风险时能够及时采取有效的补救措施,合理规避风险。中小企业要根据自身的实际发展情况对会计信息系统进行分析研究,量身定制,多方考证,确保会计信息系统真正为企业所用。企业可以通过研究会计信息化的风险控制,实现会计信息与内部控制的一体化,帮助我国中小企业合理规避财务风险,提高管理水平。
三、当前中小企业会计信息化存在的不足及成因
(一)中小企业会计信息化存在的不足
1.信息化没有真正实现。即便我国有些中小企业已经建立了信息化系统,但他们对其本质的认知并不够:认为只要拥有了通讯设备、企业网站和信息化管理软件就算实现信息化了。对于什么是信息化、如何运用信息化缺乏全面的认识。许多企业都购买了电脑和信息管理系统软件,但其主要功能却只停留在记录方面,这种事倍功半的做法不仅占用了企业的大量资金,也使信息化系统变成空壳,没有发挥实质作用。
2.复合型人才严重缺失。企业信息化管理因为涉及的领域广,需要同时掌握计算机与管理知识,因此企业急需高素质复合型的信息化管理人才。虽然国内部分高校开设了相关课程,但是能全面系统的掌握信息管理技术的人并不多,如果企业没有对员工统一开设培训课程,员工无法感受到开发者设计软件的初衷,因此很难有效利用企业信息管理的系统软件。
3.资金未得到合理利用。很多中小企业由于在会计信息化系统建设方面缺少合理的前期规划,在进行信息化管理过程中往往是走一步看一步,缺乏对企业现状和经营策略的整体规划和设计,使资金没有得到最优化配置,导致大量资金的浪费和流失,进而使企业的成本—收益比大大降低,最终造成企业无法达到预期的经营目标4.政府的支持力度不够。一是大型企业是目前各级政府信息化技术建设专项资金的重点资助对象,而对中小企业信息化建设的关注相对较少;二是政府部门作为领头人,在信息化建设过程中却没有起到相应的领导作用,如政府相关部门的信息化管理程度不够完善,使得企业每次到政府相关部门办理业务的时间过长等等,这极大的影响了中小企业信息化建设的积极性。
(二)导致中小企业会计信息化存在风险的原因
1.社会方面。当前,由于国内学者对会计信息化系统的研究并未形成统一观点,造成信息化环境缺失统一的管理标准,信息化管理的法律法规尚不完善,同时缺少相应的信息化环境和统一的制约体系。
2.企业层面。一是中小企业的管理人员不够重视信息化系统的建设,认为信息化管理就是普通的记账收银,是可有可无的,还有一些管理人员专业能力不高,对信息化管理的方法和流程并不了解,甚至对会计信息化概念的界定模棱两可,对会计信息化的本质理解不够,这些都可能成为中小企业信息化建设进程中的绊脚石,给企业信息化系统的运行带来相当大的阻碍。二是中小企业的管理人员不够重视对员工的培训,引进的人才在专业能力上也很单一,很多员工因为缺少跨学科复合型的知识,对信息技术或管理能力掌握不够,难以熟练运用会计信息化系统,即便企业开发建设了信息化系统装置,也是形同虚设,这不仅占用了企业资金,也将对企业信息化系统的正常运行产生巨大影响,使中小企业在会计日趋信息化的大环境下难以生存和发展。
四、控制会计信息化风险的方法
(一)量身定制,综合考量
企业投入信息化建设的资金毕竟是有限的,中小企业应该根据自身情况建设属于自己的会计信息化系统,切勿盲目跟风,造成不必要的资金占用和公司损失,一定要多方论证、仔细分析,本着成本效益匹配的原则实现企业利益最大化。另外,企业在选择信息系统供应商时应该综合考量供应商的能力,比如产品的含金量、供应商的技术能力、软件的先进性等,确保会计信息化系统能有效满足企业会计业务的需求。
(二)整体规划,重点突破
会计信息化的建设涉及资金、技术、管理、人员、环境等各个方面,是一项任务艰巨的系统工程。企业在实施信息化的进程中,应在明确企业自身需求的基础上制订会计信息化的前期预算、整体规划、发展目标、风险控制方法以及具体的实施方案等,对于会计信息化建设过程中的重点内容,更要敢于突破,真正创造属于自己企业的信息化系统,因此,会计信息化建设必须与企业的财务水平和经营目标结合起来,使信息化真正成为帮助企业在竞争中取胜的有力工具。
(三)控制风险,转变观念
如果没有树立正确的.风险意识,企业的会计信息化进程将举步维艰。企业只有在事前对这些风险有充分的认识和准备,根据企业情况制定各种风险防范措施,对会计信息化的风险加以控制,并制定及时有效的补救方案,多方考证,才能在出现风险时沉着应对。另外,企业所有员工都应该认识到会计信息化的本质意义所在,不单纯是利用电脑处理信息而已,不能只停留在记录的层面,而是要将企业与市场进行结合,将管理能力与信息技术相结合,企业要从每个员工抓起,培训专业所需能力,领导层更应以身作则使企业尽快适应会计信息化的大形式。
(四)有效激励,激发热情
人才是企业的核心力量,激励机制可以直接影响员工对企业的忠诚度,决定员工的绩效水平。制定符合民意的激励机制可以在很大程度上鼓舞人心,进而大幅度提高企业效益。随着企业信息化系统的建立,企业必须要推出适于信息化管理的激励机制,而不能只局限于传统的激励模式,要从精神和物质两方面着手,同时还要强调以人为本的管理思想,从多个层面建立有效的激励体系。另外,企业应该分批多次的对不同层次的员工进行培训,提高全体员工对会计信息化管理的认知。这样才能提高企业员工的工作热情,实现会计信息化为企业提高绩效的最终目的。(五)内部协调统一,外部加强沟通企业应该为内部员工建立能提供各种信息的通用平台,将企业各个部门的信息以及数据库等以信息化系统的方式进行重新整合,通过建立内部信息系统使信息资源得到高效的利用,从而使企业各部门各司其职又能协调统一。这样有利于各部门对突发情况做出迅速应对,更有利于控制会计信息化所带来的风险,降低企业不必要损失。此外,企业应同时建立与外部的信息系统,为企业的合作人、投资人以及报表使用者提供全面真实的信息,加强企业内、外部信息的交流与沟通。
参考文献:
[1]张林,丁鑫,谷丰.“互联网+”时代会计改革与发展———中国会计学会学术年会观点综述[J].会计研究,(8)
[2]张艳.硕士企业会计信息化风险评价模型研究作者基本信息[J].重庆理工大学学报,(11)
[3]李玉梅.我国中小企业会计信息化问题研究[J].西北农林科技大学,2012(10)
企业信息化风险评估 篇6
【摘 要】信息化作为企业提高自身竞争力的一个重要途径,它的顺利进行是社会经济和科学技术发展的前提和基础。企业信息化是企业运用现代信息技术对信息资源进行开发利用,以提高经营管理的效率和水平,使企业获得更好的效益,不断提高竞争力的过程。本文首先分析了企业信息化建设过程中存在的风险,提出了企业信息化风险的防范对策。
【关键词】企业信息化;风险管理;风险防范
企业信息化的过程实质上就是运用信息技术手段,对企业各种资源、组织机构、工艺流程等进行重新梳理、构造的过程。其目标是使企业各种资源得到更加合理的利用,提高组织效率,从而提高企业的市场竞争力。然而,企业信息化进程中不可避免的存在着风险,对于信息化过程中存在的各种风险,企业应该采取正确态度认识和识别风险,同时采取有效手段控制和降低风险。高新技术企业作为国民经济中较早进行信息化的行业,应充分发挥自身知识密集、技术密集的优势,对信息化风险加以控制。
1.企业信息化建设过程中存在的风险
企业信息化的风险集中体现在以下方面:
1.1项目规划失误风险
目前,许多企业信息化建设的效果并不理想,有些甚至中途夭折,造成了巨大的损失。究其原因,主要是事前缺乏规划造成的。项目规划失误主要表现为信息系统建设目标、约束、总体结构不清,信息战略错误;立项时切入点不准确,定位不正确,缺乏科学的信息化建设策略,追求功能完整、一步到位,盲目照搬其他企业已经应用成功的建设方案,以致企业现有的管理水平与技术水平无法支持项目实施,造成项目夭折或建成后无法成功运行。企业信息化建设缺乏整体、长远的规划是信息化建设过程中最应该引起人们重视的问题,也是最大的风险所在。
1.2软件开发商风险
我国大多数企业由于缺乏信息化人才,在实施信息化过程中所使用的软件大都是交由专业的计算机软件开发商开发或选择与专业软件公司合作开发的,软件开发商成为影响信息化工程成败的重要因素。软件商的实施能力差以及软件的选型不当是导致信息化项目失败最直接的原因。目前,信息化软件市场良莠不齐,一些实力不强的软件公司迫于竞争压力,往往以很低的价格承揽企业的信息化工程,而在实际操作中常通过模糊合同条款和技术要求、不进行个性化开发等方法来应付,结果企业不但不能实现信息化建设目标,反而带来较大的负面影响。
1.3企业员工风险
企业员工风险主要体现在两个方面:一是决策层和各级员工对信息化建设存在消极态度。决策层信心不足会直接影响信息化项目的资金和人力投入,一些企业信息化工程半途夭折的直接因素就是领导的态度发生了变化。由于信息化要进行企业业务流程重组,人员裁减与岗位调整必然涉及部分员工的切身利益,这部分人员就会对信息化建设抱消极抵触的态度甚至故意不予配合,使信息化难以推行。二是信息管理人员流失。从系统开发到实施都需要企业有自己的信息技术人员,他们是信息化中软件开发商和企业内部人员的纽带和桥梁。由于历史的原因,我国大多数企业都把信息技术人员看作一般技术人员,对信息管理人员没有明确的定位,加之信息技术人才的社会平均薪酬较高,使得这类人才流动频繁。不少企业通过信息化培养出一批既懂业务、会管理又熟悉管理软件的人才,但由于没有相应的激励机制,使得这部分人才频频流失,从而极大地影响了企业信息化的有效实施。
2.企业信息化风险的防范对策
企业信息化的整体推进过程中,会不可避免地遇到风险问题,它的产生会令企业蒙受巨大的灾难和损失,应该重视信息化风险问题的存并做好充分的防范对策。
2.1信息化要以企业需求为导向,明确信息化的战略规划
从企业的经营战略、体制、技术、管理、人力资源、行业环境等方面,对企业进行全面的自我诊断,确定本企业信息化建设的关键需求,并确立明确的目标。企业处在不同的行业,不同的发展阶段和其规模的大小,对信息化的需求就不尽相同。企业信息化包括四个方面的内容,分别是生产作业层的信息化、管理办公层的信息化、战略决策层的信息化、协作商务层的信息化,其中,前三者则是基于企业内部的,协作商务层是基于企业与外部联系的。企业在进行信息化规划时,对信息化的建设应该做出先后安排,先解决企业的瓶颈问题。原则上,信息化应该自上而下,由里到外,因为这样数据才取自于源头,真实、有效。
2.2软件开发商风险的防范
在选择开发商之前,应对由于开发商而产生的各种可能存在的风险进行分析。要参照软件过程能力成熟度模型对软件开发商本身的质量水平进行评价,考虑软件企业是否熟悉本企业所属行业的基本知识,是否开发过类似的系统、开发的质量如何,其服务能否满足企业的需要,软件开发商的持续发展能力如何。通过这些方面的分析,确保信息系统能高质量地满足企业需求,解决企业信息系统持续发展的后顾之忧,避免由于软件开发商带来的信息系统质量风险、服务风险及升级换代风险。
2.3提高企业员工对信息化的认识,主动适应管理环境的变化
企业从上至下对于信息化的认识上的缺失和偏差,是信息化建设中关键的风险和阻碍。信息化不光是技术上的、硬件上的,更多是软件和管理层次的,信息技术可以促进企业经营管理技术的变革,促进企业管理的创新。企业在信息化推进的进程中来自管理观念、工作习惯、利益分配、企业文化等方面的脱胎换骨的变化,对习惯于传统管理方式的领导和员工造成强烈的冲击和反差,如果不主动接受、适应并调整,会出现管理混乱,效益低下,使信息化流于形式。企业要努力提高全体员工对企业信息化管理的认识,要学会适应管理环境的新变化,打破原有的、已固化的思维方式,在思想上首先接纳信息化的管理模式,并改变自己的行为方式,通过科学的信息化管理工具,使企业的经营和管理水平上一个台阶。
3.结束语
企业的信息化建设,伴随着管理模式的深刻变革,是一个渐进的、动态的增效过程,风险与收益始终伴随着企业。只有充分学习和加强认识,准确识别风险的来源,通过采取有效的风险防范措施,最大限度的降低风险,发挥系统的整体效益,才能促进企业信息化的目标实现。
【参考文献】
[1]陈亮,王燕.企业信息化实施过程中的风险及其防范[J].现代情报,2006,(09).
企业信息化的风险及其防范措施 篇7
一、企业信息化的风险
1. 企业信息化过程中授权方式的改变引发的风险
在手工会计方式下, 主要是人与人之间相互牵制进行授权, 而在电算化会计信息系统中, 授权方式转变为权限分工管理。权限分工主要是口令授权, 口令存放于计算机系统而不像印章那样由专人保管, 一旦口令被人窃取, 会带来巨大隐患。
2. 原始凭证数字化趋势引发的风险
随着电子商务的发展, 企业信息化中的一些原始凭证也同记账凭证、会计账薄、会计报表一样, 有数字化、电子化的趋势。这种无纸化凭证极易不留痕迹被篡改或伪造, 弱化了纸质原始凭证所具有的较强的控制功能, 给内部会计控制带来了新难题。
3. ERP软件本身的原因引起的风险
在企业信息化过程中, 我们发现企业运用的E R P软件存在一些瑕疵容易带来风险。主要表现为:
(1) ERP软件模块间集成度不高导致模块间数据不一致。有的E R P软件业务模块与财务模块之间没有真正无缝联接, 模块间数据无法建立真正共享机制。从而引发不必要的模块间数据差错。
(2) ERP软件的一些逆向功能引发不必要的风险。在企业的电算化会计信息系统中, 正确的数据处理流程应该是制单→审核→记账→结账。但为了方便用户的会计业务处理, 一些E R P软件提供了反结账、反记账等逆向功能, 这些功能从根本上讲对财政税务及企业获取真实数据信息无益, 只能为极个别企业做假账大开方便之门, 从而引发不必要的风险。
4. 网络环境的开放性加剧了会计信息失真的风险
由于网络系统采用的是开放式TCP/IP协议, 企业集团大都使用网络版E R P软件, 企业所有数据存放在数据库服务器内, 网络开放性和数据共享性必将引发信息系统风险, 并可能导致审计线索紊乱。
二、防范企业信息化的风险措施
面对企业信息化过程中面临的风险, 我们只有采取切实可行的措施, 才能保证企业信息化数据的正确性和安全性。
1. 建立健全并认真执行企业信息化软件管理制度
建立健全企业信息化软件管理制度, 是任何一个企业集团确定实施E R P软件时必须做的一项首要工作, 也是企业集团实现会计数据安全准确的根本保证。它主要包括岗位责任管理制度、日常操作管理制度、软硬件维护制度、机房管理制度和会计档案管理制度等。它一方面可以约束E R P操作人员的行为, 另一方面又可以弥补和完善软件控制功能中的一些不足。但是, 制定的企业信息化软件管理制度只是重要的第一步, 更关键的是要使制定的企业信息化管理制度得到全面贯彻执行, 并定期或不定期检查管理制度的执行情况, 从而防止非法删除、修改企业数据信息。
2. 正确选择E R P软件, 并尽量限制使用可引起风险的功能
(1) 凡是要上ERP软件的企业必须认真分析目前ERP软件状况, 选出几种企业集团重点考察的候选E R P软件, 再聘请当地大学或咨询公司专门研究ERP软件的人士做参谋, 对ERP软件的集成性、数据安全性、跨平台应用能力以及软件售后服务能力等方面加以考察, 综合考虑选用安全系数相对较高又易于应用的E R P软件。
(2) 限制使用可引起风险的一些功能。对于有的ERP软件中存在易引起安全风险的功能, 比如凭证的复制、修改、作废、删除等, 可以通过企业信息化软件管理制度的约束作用预防风险, 比如制度中可以规定, 凡是已经记账的有误凭证必须做红字冲销凭证, 而不能进行作废和删除, 以便留下审计线索。对于软件中包含的反结账、反记账等逆向功能, 目前国内E R P软件基本上都是由具有会计主管权限的人员来实施, 所以, 对于逆向功能应该强调限制使用或尽量不使用。
3. 强化操作权限管理意识, 进一步明细岗位分工
操作权限是指确定ERP软件操作人员的功能菜单权、打印权、查询权等, 操作权限管理则是从E R P软件的工作流程和当前企业集团的会计工作特点出发, 在遵循恰当的职责分离原则下, 充分运用E R P软件自身的程序控制功能, 进一步明细岗位分工和岗位职责, 建立起科学合理、高效规范的工作流程, 以便最大限度防范和化解风险。
4. 建立预防病毒的安全保障措施
为了防止非法用户和黑客侵入, 可以通过安装正版防病毒软件, 设置防火墙等防护措施, 保证会计数据不被非法修改和删除。
5. 加强计算机应用能力培训, 提高操作人员业务技能
企业集团应加强对软件操作人员的计算机网络技术和数据库知识的培训工作, 提高操作人员业务技能, 从而尽量减少各种不必要的失误。
只有采取了上述措施, 才能从根本上减少企业集团实施企业信息化引发的各种风险, 提高企业信息化数据的真实性和安全性。
参考文献
[1]许永斌:企业信息化对会计电算化模式的影响[J].财会月刊 (综合版) , 2004.11
企业信息化风险评估 篇8
近年来,信息安全风险日益加大,国家和企业都对防范网络安全风险非常重视。国家信息化领导小组颁发的27号文件《关于加强信息安全保障工作的意见》对我国信息安全保障工作做出原则性、战略性的规定,要求坚持“积极防御、综合防范”的方针,同时把信息安全提升为国家安全的一个重要组成部分,把风险评估作为一项国家重点工作来抓。经过这几年的努力,已基本形成国家信息安全保障体系。
核安全文化中倡导“纵深防御”,作为核电企业,在信息安全体系建设时也要结合“纵深防御”的安全保护理念,结合4个“凡事”的工作思想,通过“三道防线”与“体系文件与安全组织”的建立,有效地实现“纵深防御”和“程序管理”的安全管理思想在信息安全保障方面的应用,而风险评估则是实现信息安全“纵深防御”理念的基础。
1 风险评估的定义
风险评估(Risk Assessment)就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁、存在的脆弱性以及形成风险的可能性。
风险管理就是为防范和化解信息安全风险,从而把风险控制在可接受的水平上。
2 风险评估的有效实施
风险评估的最终目的是帮助企业了解和识别风险,在价值与成本间找到平衡点,将风险控制在可接受的范围内。某种意义上说,风险评估的过程就是识别风险的过程。
2.1 安全模型参考
在国际标准ISO13335中,安全模型如图1所示。该模型的特点是以风险为核心。
在国家标准GBT 20984中,风险评估中各要素间的关系如图2所示。
风险评估是以信息资产为主线,重点分析企业信息资产面临的威胁、存在的脆弱性以及企业由此面临的风险,为降低、减小、转嫁、规避这些风险,在充分考虑业务战略与成本投入的前提下,提出适合于本企业的安全需求,再根据安全需求制定相应安全措施的过程。风险评估中各要素之间存在着以下相互依赖、相互制约的关系。
1)资产价值的高低与企业战略对资产依赖程度成正比,依赖度越高,资产的价值越大;依赖度越低,资产的价值就越小。
2)风险与资产面临的威胁成正比,一定程度上说,企业资产面临的威胁越多,则企业潜在的风险就越大。
3)安全需求的产生是由风险的客观存在和对风险的识别双重作用决定的。
4)脆弱性是未被实施的安全需求,威胁利用脆弱性危害资产。
5)通过制定安全措施满足安全需求,安全措施需要考虑成本投入。
6)残余风险控制不得当或未得到及时控制,可能诱发安全事件。
2.2 风险评估的依据
风险评估参照以下标准和指南实施:国家信息化领导小组《关于加强信息安全保障工作的意见》(中办发[2003]27号);2006国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》;GBT 20984《信息安全风险评估规范》;GBZ 20985《信息安全技术信息安全事件管理指南》;GBZ 20986《信息安全技术信息安全事件分类分级指南》。
2.3 确定风险评估范围
确定风险评估的范围,主要是对被评估信息系统及所涉及的物理资产、软件资产、数据资产进行识别,然后对被评估信息系统的关键资产进行识别与分类,特别是核心资产的安全属性,需进行详细识别后再进行分类。如在电力二次系统分析中,应重点识别出资产在遭受泄密、中断、损害等破坏时所遭受的影响,并根据资产在遭受泄密、中断、损害等破坏时所遭受的影响,对资产的价值进行赋值。
信息系统资产可以分为硬件、软件、数据、人员和服务5类,资产识别过程中,对各资产的使用人或者部门应进行协同调查和统计。可采用实地检查和问询的方式调查统计信息系统所涉及资产,并借鉴等级保护相关文件填写相关资产调研表。
2.4 借助外部力量开展信息安全风险评估
信息安全风险评估对一些专业知识和防护经验要求较高,所以核电企业可以选择技术力量和信誉较好的信息安全服务公司进行风险评估。
2.4.1 威胁识别
威胁是指企业或资产存在的潜在危害或事件,分析这些危害或事件将对企业带来危害的可能性及造成的损失。威胁是一个客观存在的事物,不存在没有威胁的信息系统。
在识别威胁之前,需对信息资产进行识别,根据业务类型、等保级别进行分类,对关键资产的威胁进行着重识别、分析。分析结果可能为一个资产实体面临多个威胁或一个威胁对多个信息系统或资产产生影响,因此需要识别并追溯威胁的诱因及影响客体。
威胁评估涉及管理、技术等多个方面,所采用的方法有问卷调查、问询、数据取样、日志分析等。
2.4.2 脆弱性识别
脆弱性识别具有隐蔽性、欺骗性、复杂性等特点,比威胁识别有更高的难度,是以资产为对象,对威胁识别进行验证。脆弱性不仅体现在信息资产的软件、硬件或通信设施及物理环境等方面,还深入到人员管理、业务流程、组织机构等各个方面。这些客观存在的脆弱性自身不会造成危害,只有当它们被威胁利用后才会发挥作用,造成相应的危害。
在脆弱性识别的过程中,需要对识别出的脆弱性进行分类。脆弱性一般分为管理脆弱性、结构脆弱性(如安全域划分不当)、操作脆弱性(如安全审计员业务生疏)以及技术脆弱性等。找出脆弱性被威胁利用的可能性以及利用后造成的危害,并对其进行评估,最终进行定级。
此阶段采用安全扫描、手动检查、问卷调查、人工问询等方式对评估工作范围内的物理环境、网络设备、操作系统、数据库系统和应用中间件系统进行系统脆弱性评估,同时为后续脆弱性分析及综合风险分析提供参考数据。
2.4.3 风险分析
1)威胁分析。威胁识别工作完成之后,将对资产所对应的威胁进行评估,即对威胁发生的可能性进行评估。将威胁的权值分为1~5之间的5个级别(见表1),等级越高威胁发生的可能性越大。
2)脆弱分析。在脆弱性识别的基础上,从基础环境脆弱性、安全管理脆弱性、技术脆弱性等方面展开进一步分析,并依据其脆弱性被利用的难易程度和被成功利用后所产生的影响进行赋值量化,从而为最终综合风险分析提供参考数据。脆弱性严重程度的赋值方法如表2所示。
3)综合分析。在完成以上各项分析工作后,还需进一步分析被评估信息系统及其关键资产将面临哪一方面的威胁及其所采用的威胁方法,利用了系统的何种脆弱性,对哪一类资产,产生了什么样的影响,并描述采取何种对策来防范威胁,减少脆弱性,同时将风险量化,并列出综合分析表(见表3)。
2.4.4 风险处置
在分析阶段完成之后,风险评估项目组将根据风险分析的结果,结合国家有关的法律、法规,总结出当前的安全需求。根据安全需求的轻重缓急以及相关标准
和电子政务保障框架,制定出适合的风险处置方案。
在考虑风险处置前,相关组织应确定一个风险是否能被接受的准则。例如评估显示,风险较低或处理成本对于相关组织来说不划算,则风险可被接受,这些决定应加以记录。对于风险评估所识别的每一个风险,必须做出风险处置决定。
在选择风险处置方式时应该考虑企业的目标和使命。不可能解决所有的风险,应对那些可能给企业生产带来严重危害的威胁/脆弱性进行优先级排序。同时,在保护企业生产正常进行及其信息系统时,由于各部门有其特定的环境和目标,因此用来处理风险的方式和实现安全措施的方法也各有不同。
3 核电企业内部自我风险评估
信息安全的风险评估不是只有选择依靠外部力量就万事大吉,需要核电企业内部根据安全风险评估情况,不断地展开自我评估,把风险逐步降至最低。
在自我风险评估过程中,结合各系统的实际应用不断地加强风险的控制,同时加强核电企业内部人员的信息安全意识方面的培训,逐渐消除人员方面的安全隐患,通过周期性的风险评估,不断地完善和改进安全措施。
4 结语
随着核电企业信息化程度的不断推进,核电企业对网络信息的依赖程度不断增强,网络威胁的增加,信息安全管理已变得尤为重要。信息安全风险评估与分析正是顺应了信息时代的发展趋势。为了保证核电企业信息系统的相对稳定,周期性地开展信息安全风险评估工作,把各类风险消除在萌芽期对核电企业来说至关重要。
摘要:文章结合国家政策、行业规范以及核电企业对信息安全的特殊要求,论述了核电企业开展风险评估的必要性及迫切性;以特定的安全模型为参考基础,通过一定的防护手段,协调平衡威胁、脆弱性及风险三者之间的关系;重点分析了核电企业开展信息安全风险评估的具体实施方法与流程。通过论述得出风险评估是提高企业信息安全保障水平的重要手段之一。
关键词:风险评估,脆弱性,威胁,资产
参考文献
[1]吴世忠,姜常青,彭勇.信息安全保障基础[M].北京:航空工业出版社,2009.
[2]公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京:电子工业出版社,2010.
企业信息化风险评估 篇9
一、信息化条件下的企业财务信息风险的基本特点
财务信息作为经济社会中一个企业的重要经济活动信息, 在企业的管理中居于极其重要的地位。因此, 财务信息的风险防控也是企业经营风险控制的重要内容。纵观古今中外, 各类大型企业无不采取相关的手段来防控各种形式的财务信息风险, 但是信息化条件下的企业财务信息风险表现又有所不同。
(一) 企业财务信息风险急速加大
由于财务信息涵盖企业经营活动的全程, 从采购、生产、加工、销售到服务、纳税, 涉及到各个环节、各个部门、各种人员。因此, 财务信息的泄露也包括了原料采购、生产加工、成本核算、财务费用、纳税管理等各个方面。相比较而言, 当前信息化条件下的企业财务信息风险正在逐步快速地加大。
(二) 企业财务信息风险的防控形势日益严峻
由于信息化发展非常迅猛, 技术和通信条件日新月异, 企业财务风险的防控面临的形势日益严峻。不但是企业内部人员, 还有无数的竞争对手、技术高端的网络黑客, 对企业财务信息安全造成了一定的威胁。而外部形势的日渐复杂, 也给企业财务信息风险带来较大的推动。
(三) 企业财务信息风险的防控手段也在不断丰富
风险的产生与防控彼此相伴而生。企业财务信息风险的防控手段也随着信息手段的完善而不断丰富。大型企业的财务管理系统中普遍设置了安全防护系统, 如防火墙、系统管理密钥、电子口令等。对于潜在的安全隐患起到了一定的防范作用, 在一定程度上形成了有效的防护措施。
二、信息化条件下企业财务信息风险产生的原因分析
(一) 宏观层面的法律因素
由于信息化的迅猛发展, 国家对于计算机信息安全管理、网络安全管理方面的法制建设相对来说比较完善, 目前基本形成了包括法律、法规、地方性法规和规范性文件组成的法制框架, 从原则上给予了规范。但是对于信息网络安全的法律规范相对较弱, 对于处理具体的网络侵权事件的针对性不够强。
(二) 管理人员及操作人员的主观因素
一方面是管理人员对于财务风险防控的意识不够强。重生产经营, 轻风险防控;重财务管理, 轻内部控制。在设计安排企业的财务风险防控的时候没有给予足够的重视, 没有采取相应的防控措施, 还有的虽然有所安排, 但是管理不严格, 形成了安全漏洞。另一方面, 操作人员在开展财务活动时, 对于财务信息的管理没有严格履行相应的制度。有的时候随意将安全密钥和管理口令泄露给无关人员, 有的时候随意在不符合安全管理规定的计算机上进行财务业务, 形成了安全隐患。财务人员主观上的不谨慎, 却给财务信息管理造成了客观上的风险。
(三) 其他客观性因素
制约因素比较多, 最重要的是以下两方面:一是资金方面的制约。信息化的财务风险防控手段都需要大量的资金投入, 对于企业的管理费用、经营成本都需要相应提高, 势必减少利润产生。因此, 有的企业在这方面的投入会有所控制, 不会给予太多的系统建设投入、设备投入。而世界上发达国家的信息化风险防控投资所占比例都在1/5—1/3, 我国企业这方面的投入比例仍达不到1/10。二是技术层面的制约。信息化条件下的财务风险防控需要从技术层面进行解决。而财务信息风险防控管理也是一项非常复杂的系统工程, 需要与时俱进地更新软件。信息空间以技术为第一通行标准, 财务信息风险防控技术水平高低直接决定了防控的效果。
三、信息化条件下财务信息风险防控的基本思路
(一) 健全相关的法制建设
要重视法律对于企业财务信息风险防控的基础性保障作用, 从立法层面加强对企业财务信息风险防控的支撑。一是国家要根据现实需要持续地完善网络信息安全管理的法制建设, 加强对网络信息安全的保护机制。二是尽快制定出台网络信息安全法, 强化网络犯罪的防范与惩治。
(二) 提高财务信息风险防控的意识
首要是提高企业负责人的财务信息风险防控意识, 使其从企业整体管理的高度, 加强对财务信息风险防控的规划与设计, 并投入相应的资金进行防控系统建设和设备购置、维护等。其次, 财务人员作为财务风险防控的主要操作者之一, 要切实履行财务信息风险防控职责, 严格遵守相关规定, 杜绝财务信息风险产生的人为性渠道。
(三) 健全企业财务信息风险防控机制
首先是强化公共网络管理工作机制, 强化国家层面的总体规划, 进行网络安全综合治理, 同时, 组织科研单位加强技术创新, 形成公共管理部门与技术研发部门风险防控的协同机制。其次是强化企业财务信息风险的防控机制, 强化网络管理部门与财务部门的协调与合作, 特别是在突发事件发生时的应急机制, 最大限度地消除安全隐患、减少财务风险与经营管理风险。
(四) 提高财务信息风险防控的技术手段
要不断加强企业财务信息风险的技术手段, 从技术层面抵御财务信息风险。企业财务信息风险主要包括硬件和软件的安全控制、日常的操作安全控制、财务系统的维护安全控制, 其核心是对财务数据管理的安全保护。要加强财务信息风险防控的硬件与软件建设, 尤其是防火墙、入侵检测技术、信息加密、管理密钥、口令等建设。还要特别注意加强对数据输入、处理、输出、阅览及备份的管理工作, 并定期开展财务信息风险防控的检查、督察以及安全性检测等项工作。
(五) 加强企业财务管理人员的风险防控培训
企业财务信息风险防范是一项长期性、全局性工作, 必须加强对企业财务管理人员的风险防控培训工作。一方面使其明确风险防控的重点环节、重要步骤、关键部门、突发事件的应急处理;另一方面要提高处理企业财务信息的风险防控水平, 注意在财务信息传输过程中, 使用安全系数高的内部财务处理系统、通讯软件, 避免使用开放式的服务器和邮箱, 对于安全级别较高的保密性财务信息进行加密处理, 并谨慎管理财务处理系统密钥与口令。
摘要:信息化浪潮席卷而来的时候, 给企业财务信息提供了更加迅捷畅通的传递方式, 使财务信息得以实现远程管理和在线动态管理, 大大提高了企业财务管理工作的绩效水平。但是另一方面信息化也给企业财务信息风险防控带来新的难题, 大量财务信息面临损毁、盗窃、非法篡改的危险, 给企业的生产经营带来了较大的影响。破解这一难题, 需要从内部、外部两个方面, 在信息传递的渠道、信息风险防控等层面采取有效措施。
企业信息系统外包的风险 篇10
企业信息系统外包, 是指企业借助外部力量进行信息系统开发、建设的方式。具体说, 就是企业在规定的服务水平基础上, 将全部或部分支持生产经营的信息系统作业, 以合同方式委托给专业性公司, 由其在一定时期内进行稳定的管理, 并为企业提供需要的信息技术服务的行为。企业通过外包, 可整合利用外部的信息技术资源, 从而达到降低成本、提高资金利用效率、控制经营风险、充分发挥自身核心竞争力的目的。
在完全竞争市场上, 每个经济主体都掌握着充分的信息, 处在信息对称的地位;每个经济主体都是价格的被动接受者, 提供同质化的产品, 都不具有垄断竞争的能力。因此, 在一个完全竞争市场上, 想要长久维持企业竞争优势是不可能的, 因为信息很快会被其他企业获得, 最后平均利润为零。在现实中几乎不存在完全竞争的市场, 都或多或少具有某些竞争力。但是, 竞争相对充分的市场可看做完全竞争。在完全竞争的市场上存在的都是那些拥有核心竞争力的企业, 而竞争力是企业所特有的、能经得起时间考验、具有延伸性且不为其他企业所模仿的, 因此核心竞争力不可以外包, 企业的主业也不可以外包。企业信息系统外包的不仅是企业不擅长经营的, 而且是没有成本优势的业务。根据企业信息外包中的用户和供给商, 信息外包关系可分为几种模式:
1.一个客户一个供给商的单一外包关系
这种模式是指一个客户只与一个供应商打交道, 该供应商为客户提供从简单的工资支付等会计核算到复杂的企业资源计划的全菜单服务。提供这类服务的供应商大多拥有市场优势和专业知识优势, 小企业难以与其竞争。典型的这类企业有IBM (国际商业机器公司) 、安德森咨询公司、EDS (电子数据系统公司) 等。
2.一个客户多个供应商的多供应商关系
这种模式是指一个客户将信息系统外包给多个信息服务商, 各服务商专注于自身擅长的领域提供信息服务。一个客户多个供应商有利于该客户形成竞争优势。当一个供货商供货不足时, 客户可选择其他供货商给予供货, 而供应商则处于相对被动的地位。
3.多个客户一个供应商的协包关系
这种模式是指当多家企业有同样的信息服务需求的时候, 为了增强讨价还价的能力、共担风险、通过买方的规模经济以降低成本, 几家企业就会形成购买者联盟, 共享各自的资源, 在信息服务上进行谈判。与一个客户多个供应商相反, 供应商拥有规模优势, 可以阻止潜在竞争者进入市场。
4.多个客户多个供应商的复合外包关系
这种模式是指多个用户向多个供应商外包信息系统, 各供应商进行合同谈判, 处于平等的地位。供应商划分不同层面的需求, 然后各供应商负责一部分。例如, 安德森公司联合GE (通用电气公司) 为全美七大保险公司提供信息服务, GE负责基础设施服务和信息系统维护, 安德森公司负责信息技术和应用服务。
企业信息系统外包风险的种类
1.技术风险
主要是指外包供应商的系统出现故障、不能使用新技术、不能对其系统进行有效维护、过度依赖供应商的风险。过度依赖供应商会使用户企业不能了解供应商的技术架构和实现细节, 导致在信息系统维护方面处于被动地位。
2.业务风险
主要是指业务需求与信息系统不一致导致的信息系统重新设置而增加预算成本的风险;供应商缺乏安全意识, 泄露企业机密信息的风险;业务流程与信息系统不配套导致的信息系统重新开发、延长工期而增加项目预算的风险。
3.管理风险
主要是指选择供应商的风险、监督管理风险、合同风险、增加成本的风险。供应商的好坏取决于它的人力资源、业务知识、技术储备、信用度、经营能力等。错误选择供应商会使企业项目预算增加、成本增加。在信息外包的情况下, 用户企业要加强对供应商的监督, 防止其发生道德风险。
4.合约风险
信息系统外包最常见最重要的就是合约风险。合约风险主要是发生在签订合约以后、双方信息不对称和供应商的隐藏行为。不同的风险因素, 会造成不同的结果 (见下表) 。
显然, 由于信息系统外包存在较多的不确定性, 因此会出现不同的风险。归纳为两条主线:一条是因信息不对称所导致的系统性风险;另一条是因信息技术落后所导致的技术风险。这些都可能成为企业长期发展中的障碍, 企业要特别关注。
企业信息系统外包合约风险具体表现在几个方面:
(1) 信息不对称导致产生代理人的隐藏行为的代理问题。在委托-代理关系中普遍存在着道德风险。道德风险是指在签订委托-代理合同后, 因委托人无法辨别代理人的努力程度, 使得代理人不按照委托人的意愿行事, 给委托人的利益造成损害。在信息外包中, 客户十分关注硬软件成本的降低, 可是在固定价格合约中, 供应商享有全部节约成本的好处。解决委托-代理关系中的道德风险, 需要建立激励机制, 以使代理人在获得利益的同时, 按照委托人的期望行事。在信息外包中, 可在合约设计时建立成本节约分享机制, 使得供应商和客户都可享受降低成本的好处。具体做法是, 先对供应商节约的成本进行投资, 然后再分摊。
(2) 逆向选择导致市场失灵。由于客户无法或者需花费很大的时间和精力充分了解供应商, 因此可能产生逆向选择———选择不能胜任本企业信息外包的供应商。例如, 供应商对自己的某款应用软件的技术和成本了如指掌, 而客户则希望供应商展现其竞争优势, 然后进行评估, 这就可能使供应商虚夸成本。而客户按照同类项目、统一定价, 使得成本较高的供应商退出市场, 成本较低的供应商充斥市场。解决这个问题, 可采取公开的市场拍卖的方式进行招标, 以使供应商不得不公开其成本结构, 企业可在竞争价格上享受低成本信息服务。
(3) 人的有限理性导致不完全合约。客户与供应商签订合同时, 会尽可能地将有利于各自的条款写进合同, 人的这种认知的有限性使得管理者无法预知一切的可能性。就算可以预测, 也无法明确规定应履行的义务, 不可能对双方的行为进行完全的监督, 即行为的不可观察性。环境的变化也使得预测双方的行为更加困难, 因此不可能设计一个能规定对方所有可能行为的完全合约, 现实中的合约都是次优合约。
(4) 关系专用性投资和在谈判机会主义。在信息外包中, 供应商有时为了满足客户对技术、设备的要求, 会建立专门用于该项投资的资产, 而因该资产在其他方面的用途具有局限性, 只有必须放弃一种生产类型或在新交易中增加一定的成本, 才能使关系专用性资产用于其他交易。而对客户来说, 除了该供应商可以为其提供该种服务外, 不再有类似企业可以提供同一种服务, 结果使得双方相互依赖。例如, 从IBM与国际系统公司的外包关系看, 国际系统公司为IBM建立了专门的集成电路, 而由集成电路发展出来的专业技术很难用于它的其他产品生产, 结果该专项技术就形成了关系专用性投资, 造成了国际系统公司在关系专用性投资方面对IBM的严重依赖。同样, IBM也对国际系统公司严重依赖, 因为其他供应商在集成电路方面都不能提供同一种服务。信息外包关系中的这种相互依赖, 可能会使其中较为强势的一方利用对方的战略脆弱性, 违背合约条款进行重新谈判、重新定价, 而占用该过程中产生的可占用准租。占有讨价还价优势的一方大多数情况下是供应商。因为在信息外包中, 供应商为了服务于一个特定的客户, 会根据其信息服务需求进行一次性投资, 而客户选择供应商的不方便性, 会使供应商在合同执行过程中不断要求以延长合同期限、增加服务条款而得到补偿, 客户则被供应商“套牢”了。解决这些问题的有效办法是, 建立纵向一体化将外部风险内在化, 或与供应商签订长期合约。
企业信息化风险评估 篇11
【关键词】内部控制;风险管理;信息化
目前,随着国家《企业内部控制基本规范》、《企业内部控制应用指引》等一系列文件的颁布和实施,企业内部控制和风险管理工作的影响不断扩大。公司各级领导非常重视企业内部控制体系各项工作的开展情况,为了提高内部控制的管理水平,真正将内部控制贯穿于企业经营决策、执行和监督的全过程,覆盖到企业各种业务和事项,公司按照内部控制“管理制度化、制度流程化、流程表单化、表单电子化”的工作思路,充分利用信息技术促进信息的集成与共享,运用信息化技术来强化内部控制的设计和执行,从业务的关键环节和关键控制点出发,在公司比较成熟、高效、透明的业务率先开展电子化应用,以点带面,循序渐进,全面深化公司内部控制体系电子化应用进程。
本文着重从内控信息化、成果利用等两个方面谈谈如何提高内控信息化工作。
一、提高对内部控制及风险管理信息化的认识
内部控制信息化的工作原理就是促进企业内部控制流程与信息系统的有机结合,在企业信息系统的开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面实现对业务和事项的自动控制,尽量减少或消除人为操纵因素。公司内控主管部门按照国家有关规定和上级部署,经过多次调研和沟通,提出内控信息化建设的总体目标是规范透明、工作可控、业务留痕。
二、确定内控信息化工作重点,逐步开展信息化推进工作
公司根据经营规模和管控模式的特点,有针对性地开展内部控制信息化工作,通过建立专项业务控制的工作办理模块,实现业务流程自动提示、自动流转,实现工作内容与内控要求的全面融合,确保权责分明、工作受控,责任落实到位。目前,公司在合同管理系统、存货管理系统、成本控制管理系统、生产精细化管理系统等领域开展信息化应用,通过程序控制、细化相关控制环节和要点。
1.在“合同管理”信息化工作中,通过对公司合同管理流程进行全面优化,积极推进合同管理电子化应用
根据《企业内部控制应用指引》“第16 号——合同管理”的有關要求,公司对合同管理中涉及物资采购类的合同率先开展电子化应用,把实施信息化管理作为公司加强内部控制的重要手段之一,目前已通过对采购类合同的合同文本、合同条款等内容进行固化,并对采购价格、采购数量、合同审核、合同审批权限等具体环节进行电子化控制,从而达到有效防范法律风险,维护公司合法权益,提高公司经营管理水平的目的和作用。
2.在“资产管理”信息化工作中,通过对管理流程、管理规范中存在的缺陷进行分析和梳理,通过添加相应的、必要的管控模块,持续提高信息系统在存货、固定资产、在建工程等资产管理中的利用效果
根据《企业内部控制应用指引》“第8 号——资产管理”的有关要求,公司在存货管理中开始逐步提高信息化的利用效果,由于公司以前缺少对于存货库存账龄进行有效分析的管理,缺乏自主性分析等判定程序,主要因为公司财务系统无法直接取得存货的账龄信息,不能实现对存货账龄进行定期的统计和分析,缺少对账龄较长或残次冷背等存货的定期报告制度,公司统计存货账龄主要通过手工进行,不仅工作量大,而且编制出的存货账龄分析表也不够准确,在一定程度上影响了对存货跌价的判断。目前,公司有关部门充分利用计算机系统自动计算运行出存货的账龄,重点提高计算机系统的利用效果,持续改善用友系统功能,添加相应账龄分析模块,通过充分利用计算机系统自动计算出存货的账龄信息,保证了存货账龄分析更加准确,同时,建立定期统计分析制度,对存货的跌价风险提供准确分析判断依据,确保长期呆滞存货得到逐步有效处理。
3.在办公系统信息化工作中,通过对公司内部信息网及OA系统功能深入进行开发,积极推进无纸化办公
根据《企业内部控制应用指引》“第17号——内部信息传递”的有关要求,公司积极建设内部信息网,提高各业务系统工作效率。以前,由于公司内部各部门之间信息孤立,沟通、查询困难,工作效率低,且各业务系统精益管理的成果需要以信息化为手段进行固化和持续改善。为了便于沟通、查询信息、应用系统集成以及固化精益管理成果,从提高工作效率,促进企业生产经营管理信息在内部各管理层级之间的有效沟通和充分利用,公司以组织框架和职能系统为主线,设计开发内部信息网站平台,实现各业务系统的数据充分共享,提高了公司各业务系统的工作效率。目前OA系统已实施发文管理、收文管理、通知通告、办公信息、宣传报道五个模块,实现了文件、通知的起草、审核、签发、传阅等流程的无纸化和规范化。
以上是公司利用信息化手段加强企业内部控制,提高风险管控的具体实例,下一步公司将根据企业发展目标规划、生产经营管理实际情况、机构职能调整情况,以及关键业务风险控制点出现新变化的情况等,逐步扩大信息化综合利用的广度和深度,大力推进管理工作的规范化、标准化和程序化运行,最终实现内部控制关键业务流程信息化的全覆盖。通过持续利用信息化手段进行业务流程优化,不断提高公司整体管理水平及风险防范意识,保障公司内部控制体系运行更加良好、有效,更好地为增加组织价值服务。
参考文献:
[1]运怀立.现代企业全面风险管理的测度与策略选择.现代财经,2007.4
企业信息化风险评估 篇12
1 信息化项目风险总结
石化企业信息化项目建设中的主要风险包括:
1.1 系统需求不明确
包括系统核心目标不明确, 或在项目实施过程中, 核心目标发生偏移。这种情况发生时, 项目双方大量的精力会逐渐投在非重点目标上, 由于非重点目标一开始就不是系统重点, 双方投入的需求调研、分析时间有限, 此时就不得不重新研究和论证, 这些工作会花费宝贵的时间而又不能快速看到效果, 导致预定时间内, 真正的核心目标未实现, 非重点目标却规划得越来越细, 越来越大, 让项目的后续推进面临更多的困难和压力。
1.2 频繁变更需求
实施过程中需求频繁变更表现为在系统实施过程中需求内容发现变化后, 客户方需要增加部分内容, 而且客户往往认为增加的内容很简单, 只需要几天时间就可以解决。而实际状况是, 从软件开发过程开始, 任何内容的变更对于系统全局都有可能产生很大的影响。软件系统的建设就好比建一幢大楼, 一旦开始修建, 如果要想再改变一下户型或改动水电等基础设施, 对大楼的建设方来说都是比较难受的, 而且这样做必然带来工期的变更甚至延期。
1.3 用户不配合
企业信息化项目建设, 其目标往往是为了改革或改进企业管理, 这种改进有可能牵涉不同的部门与层面, 从信息化建设所涉及的部门角度来说, 信息化建设带来的不一定是立竿见影的良好效果, 短时间内会面临新系统磨合、新老系统重复工作、甚至影响既得利益等一系列不可回避的问题。因此在系统的建设过程中必然在某些环节中为业务部门带来工作量的增加、劳动强度的增大。例如在项目建设初期, 需要提供详细的基础数据, 另外, 在系统的调试、使用过程中, 需要做大量的数据手工录入、校验工作。造成原来已经熟练的工作内容发生一定的变化, 大多数人心理上会用一种观望、挑剔的态度来对待一个全新的系统。
1.4 业务流程变动
信息化项目建设有其特有的客观规律, 需要项目参与各方共同遵循, 例如系统需求调研、需求分析、系统设计、开发测试、试运行、推广、验收。以上这些环节前后连续, 而业务流程变动往往是在项目进行到上述某个环节时突然发生的, 而这些变化要在项目中实现同步, 往往需要其他方方面面的参与和配合, 不是系统建设者和使用者双方配合就可以完成的。这就导致工作量倍增, 造成系统关键进程延期。
2 信息化项目风险产生原因
2.1 系统需求问题原因分析
系统需求不明确的主要原因表现在系统细节不明确。由于各方分工不一样, 软件行业的从业者不精于系统所要解决的实际业务, 而业务人员不擅长软件开发。这样就导致双方沟通环节的效率低下, 对于业务术语和业务环节, 客户方往往认为已经描述清楚, 软件开发人员也认为已经理解清楚, 而实际状况是软件开发人员只是一知半解, 并未深入理解其细节和特殊状况, 导致依据简单面谈收集需求开发的系统无法满足客户的需求。从这个角度分析, 需求的问题实质就是“沟通”的问题。
2.2 需求变更问题原因分析
需求产生变更主要是由于系统开发的目标发生了变化, 比如在初期设定目标的时候, 是基于当时情况所做的决策, 而在项目进行过程中, 环境变化了, 这样就会出现需求变更。信息化项目建设是一个循序渐进、逐渐完善和提高的过程, 变更系统建设目标定义会增加项目的预计周期, 而客户往往在时间上要求比较紧, 所以会导致系统建设过程的各个环节都仓促推进, 细节研究不细致, 进而影响系统质量。当然, 在系统建设的过程中, 客户方提出或多或少的变更是正常的现象, 只有双方本着以实现核心目标为重点、相互理解、平等协商的原则正确处理变更, 才可能将变更对系统建设的影响减少到最低程度。所以需求变更问题解决的实质是双方如何站在各自的立场上实现“双赢”的问题。
2.3 用户配合问题原因分析
在项目建设与系统推广过程中, 各部门人员的配合、支持和监督, 尤其是重要领导的参与、支持, 对于系统的推广非常重要。系统的开发者、使用者要密切配合、推进项目建设。因此, 在项目建设初期, 就要以成立项目组织机构、完善规章制度、建立健全奖惩体系等机制来规避风险, 而不能完全依靠技术, 事实上技术手段也不可能根除管理领域的问题。但现阶段由于项目建设中各方信息不对称等原因, 往往出现企业管理制度、考核奖励机制与信息化工作关联性不强的现象。用户在项目初期的配合度很高, 在中后期可能要打折扣。项目中用户不配合问题, 其实质是项目“管理”问题。
2.4 业务流程变动引发问题分析
业务流程变更会带来相关环节工作内容增加, 进而带来整个项目周期扩大。变更往往会使原先的设计无法满足实际需求。在开发完毕后要进行大量的修改和变更, 甚至是重新构建以满足新的环境。这种状况的发生出现在组织机构、业务流程未经过实践磨合的部门, 在此基础上建立系统必然要冒风险。信息化建设要立足于完善的中、长期业务规划基础上, 流程变动导致信息化项目出现问题, 说明业务与信息结合不紧密, 企业对信息化水平的依赖程度不高, 这样的信息化工程往往只是起到“锦上添花”的作用, 其应用也只停留在“面子工程”的水平上;暴露出企业发展规划体系结构不均衡的深层次问题。
3 降低风险的对策
现阶段石化企业实施信息化项目要遵循以下原则:在信息化项目实施前确认项目涉及业务层面的标准和规范达到一定程度后方可进行;建设过程中要始终持双赢的态度, 做到沟通、沟通、再沟通。
(1) 尽早成立项目组, 组长为主要领导, 组员包括主管部门领导。只有从上到下都重视这个项目, 其进展才会遇到较小的阻力。
(2) 要求开发方投入有丰富经验的队伍, 这样可以弥补需求分析阶段造成的问题。
(3) 项目开展前进行调研, 走访有成功实施经验的单位, 收集充分的信息, 以提高后续工作质量。
(4) 针对业务流程变动, 对于不规范的业务和流程不纳入建设范围, 待其实际业务环节已经在各部门磨合成功并形成标准后再纳入。
(5) 用项目管理的科学思想来管理项目进度, 通过项目计划、甘特图、网络图等方式密切关注关键进程的执行状况。
(6) 项目分阶段进行, 将整体目标分解, 用小步快跑达到“里程碑”的方式逐步实现目标。
4 总结
信息化建设经历了从“面子工程”到“一把手工程”再到“全员工程”的变迁。信息化项目风险是一种客观存在, 只能削弱不能根除。本文结合实际工作经验, 在石化企业信息化的风险研究上提出一些对策, 对业内人士有一定参考价值。
参考文献
[1]陈亮, 王燕.企业信息化实施过程中的风险及其防范[J].现代情报, 2006, 26 (9) :175-177.
【企业信息化风险评估】推荐阅读:
企业信息安全风险评估10-11
企业信息管理简答题IT项目风险识别方法09-10
企业信息化探索05-16
企业信息化模式08-06
棉纺企业信息化08-07
企业信息化规划09-30
企业信息化制度06-14
集团企业信息化07-10