信息化风险与风险管理(精选11篇)
信息化风险与风险管理 篇1
以铜为镜, 整衣冠;以人为镜, 知得失;以史为镜, 明兴衰。自古以来, 人们对风险识别与控制十分关注, 随着工程项目大型化、管理层次复杂化、决策目标多样化、项目管理一体化的发展, 工程管理呈现出网络化、节点化、层次化、程序化、标准化和信息化的特点。把工程管理信息化和风险识别与控制相结合, 有利于创新管理体制, 推进适应信息化时代的现代工程管理需要, 促进经验共享, 有效控制风险。
一、工作与风险结构分析
工程风险主要来源于实施过程中的不确定性, 这些不确定性主要包括:工作失误、未识别的工作、已识别的不符合项未纳入风险控制计划和未识别的不符合项, 如下图所示。
从图可以看出, 事先可以确定的工作主要包括已识别的工作和已识别不符合项并纳入风险控制计划的工作, 项目实施过程中的新增工作主要来源于不确定性的工作, 不确定性带来的新增工作是一个动态过程, 风险识别与控制, 也必然是一个动态的变化过程, 减少不确定性, 就意味着减少风险带来的损失。
二、风险识别与控制管理
风险识别主要分为两个阶段, 第一阶段为事前风险识别, 根据以往工程发生的风险事件, 针对本工程控制要求, 编制的风险识别手册, 即已识别的不符合项并纳入风险控制计划;第二阶段为事中风险识别, 根据实施过程中发生的风险事件, 进行识别与记录, 即不确定区的风险事件识别。
第一阶段的风险识别, 施工单位主要是根据原理推定而成, 最终形成应急预案, 作为风险识别与控制的指导性文件;监理单位主要是根据以往工程发生的风险事件, 编制风险识别手册, 作为实施过程中的风险识别指导性文件。
第二阶段的风险识别, 施工单位对发生的风险事件, 一般是自行处理, 极少形成书面报告, 报告监理单位或业主, 其主要原因是, 施工单位即是风险识别的主体, 也是风险控制的主体, 其行为符合亲属相隐的基本原则, 这条原则也给业主、监理单位带来管理风险, 即施工单位不作为时, 增加了业主和监理的管理强度, 关注第二阶段风险识别与控制管理, 是业主和监理单位的一项重要工作。加强施工单位风险识别与控制的管理目前有两种方式, 一种是风险清单确认管理, 即监理单位提出了风险识别与控制确认单, 施工单位在实施过程中针对现场风险进行确认, 并给予控制, 实践证明, 这是业主和监理单位现阶段促进施工单位加强风险管理的有效措施, 另一种是绩效考核, 通过设置绩效考核标准, 促进施工单位加强风险识别与风险事件的交流。
第二阶段监理单位的风险识别与控制主要是采用不符合项通知形式, 目前, 不符合项通知有四种处理方式, 第一种方式是由现场监理直接向施工单位作业层下发, 并督促其整改;第二种方式是由现场监理直接向施工单位作业层下发, 并报监理部, 由监理部督促其整改, 整改后, 由现场监理确认, 并向监理部反馈整改情况;第三种方式是由现场监理直接向施工单位管理层下发, 并上网发布不符合项及其不符合项图片, 由施工单位进行网上闭合, 现场监理确认;第四种方式是由监理上网发布不符合项及其不符合项图片, 由施工单位进行网上闭合, 监理确认。第一种处理方式, 不符合项通知下发及时, 由于现场监理针对作业层实施管理, 督促效果差, 管理难度大;第二种处理方式, 不符合项通知下发及时, 现场监理履行监督职责, 监理部履行控制职责, 管理分工明确, 管理效果好;第三种处理方式, 不符合项下发及时, 监理与施工单位职责分工明确, 同时, 监理与施工单位的工作接受管理层的监督, 管理效果好, 工作效率高;第四种处理方式, 不符合项下发无需与施工单位交流, 有利于提高监理的工作效率, 监理下发的不符合项起到了以点带面的作用, 有利于施工单位加强管理, 提高管理水平, 同时, 监理与施工单位的工作接受管理层的监督, 能够实现流水线式信息化管理, 此种方式适用于专项检查或者未来3 G时代的管理。
三、风险信息化管理实践
北京兴油工程建设监理有限公司在大连液化天然气接收站工程、宁夏长庆商业储备库工程、长长吉输气管道工程开展了风险识别与控制信息化管理的开发与实践, 实现了过程不符合项的信息化管理。通过信息化实践, 提高了风险识别与控制管理的透明度, 有利于风险事件整改过程的监督管理, 有利于适应复杂项目管理的需要, 有利于风险事件经验教训知识的共享, 有利于风险事件的警示作用, 有利于监督与控制权的实施, 提升监理的管理能力, 有利于绩效考核工作的实施, 有利于不符合项风险识别的积累, 不断完善风险识别手册, 进一步促进风险识别的交流, 提升监理和承包商管理能力和项目管理水平。
目前, 北京兴油工程建设监理有限公司将风险识别与控制信息化管理创新成果, 推广应用到西气东输二线工程、陕京三线输气管道工程、钦州石油国际储备库工程、京58地下储气库工程、华北大厂油库工程的管理实践之中, 促进了各方加强管理, 增进互信, 和谐迈向未来。
四、结论
信息化改造传统风险识别与控制管理, 有助于理顺体制、完善机制、规范管理, 做到权责一致, 调动参与管理的各方积极性和主动性, 提高管理效果与效率, 提高业主、监理对E P C总承包、施工总承包的管理能力, 适应现代工程管理需要, 推进管理创新。
信息化风险与风险管理 篇2
【关键词】制造企业信息化;建设风险;防范措施
制造企业信息化建设是增强制造企业市场竞争力的首要举措,也是当下制造企业发展的迫切需求。但不可避免的是制造企业信息化建设中必然会遇到各种各样的风险因素,为此,需要制造企业信息化建设管理人员以及信息化产品的供应商集思广益,共同完成制造企业信息化建设中的风险防范,为制造企业信息化建设的良性发展奠定坚实的基础。
一、制造企业信息化建设的风险分析
制造企业信息化建设建设主要是采用CAD/CAM/CAPP等现代化的信息技术,使得制造企业生产过程信息化;采用MEP/ERP等现代化的管理技术,则是为了制造企业的管理水平科学化,管理流程信息化;采用CMS等、等进行制造企业信息的搜集,逐渐形成集设计、制造以及管理为一体的计算机综合集成制造系统,并采用计算机技术,将制造企业内部的信息资料整合起来,并将其扩展到制造企业外部。从制造企业信息化建设本质来看,就是实现制造企业各个层面的信息化,使得企业整体运营逐渐高效化、科学化、合理化。由此可见,制造企业信息化建设并不是一个企业信息化的建立,它是一个信息化系统的革新,对制造企业而来,更像是一场信息化革命[1]。然而,对于制造企业信息化建设而言,虽然信息化建设有利于当下企业管理格局的改善,但是在制造企业信息化建设中必然会遇到各种风险因素,这就要求企业在信息化建设的过程中,除了关注信息化建设之外,还需要对周围的风险源进行及时的侦查,分析风险源的源头,做出最佳的风险处理措施。
(一)制造企业信息化建设技术风险。高制造企业信息化建设属于高科技的信息化应用,这类信息化技术对于制造企业的管理和信息搜集大有帮助,但是该类型的技术牵扯信息内容过多,是多种综合技术的结合,因此存在很多不确定因素,对于初步建立信息化的制造企业而言,这种不确定的风险因素在短时间内难以做到合理化的有效控制,无法预测信息化系统在运行过程中的偶然现象,对于风险的发生不能做到及时的防范,进而给制造企业带来经济损失。
(二)制造企业信息化建设资金风险。制造企业信息化建设中必然会投入大量的资金,用于各种软硬件设备的购买、软件系统和信息支付企业的服务费用等等。除此之外,还涉及一些隐藏费用,例如制造企业信息化建设后的信息系统应用培训、信息化系统安全维护费用等,致使制造企业耗费大量的资金费用,给企业的资金流转造成阻碍。此外,由于制造企业信息化建设投入资金预算和实际花费资金差距过大,会造成制造企业运营的资金短缺[2]。此外,在制造企业信息化建设后,需要花费几十万或是几百万资金用于整个制造企业信息系统维护和调整,使其满足制造企业信息化发展需求。
(三)制造企业信息化建设安全风险。制造企业信息化建设之前,由于对信息化的陌生,使得企业管理人员安全防范意识匮乏,忽略了制造企业信息化建设安全风险,导致客户信息资料的泄漏,外来病毒入侵,引发整个信息系统的瘫痪。
二、制造企业信息化建设中风险防范措施
制造企业信息化建設风险防范措施的应用是信息化建设中必不可少的关键环节,它对于制造企业信息化系统安全运营大有裨益。此外,加强制造企业信息化建设中的风险防范,还能减少因风险因素造成的经济损失[3]。以下则是笔者结合制造企业信息化建设中出现的风险因素,在查阅多方资料后总结出的风险防范措施。
(一)制造企业信息化建设技术风险防范措施。一个完整的信息系统,必然离不开多项技术的综合应用。对于制造企业信息化建设而言,其应用的信息化技术都是按照信息系统建设的总规划,按部就班的采用制造企业信息化建设技术。因而,在制造企业信息化建设风险防范中,需要根据制造企业信息化建设整体目标和阶段性计划,找准技术的切入点,按照制造企业信息化建设层次,进行风险防范。
(二)制造企业信息化建设资金防范措施。制造企业信息化建设风险因素的发生,必然造成制造企业的经济损失,治愈资金损失额度大小,则完全取决于制造企业信息化的风险管理。比如,在制造企业信息化建设之处就制定好严密的风险管理计划,并安排管理人员对制造企业信息化建设资金进行预算统计和管理。在此基础上,加强制造企业信息化建设的日常监控,一旦发现隐藏风险源及时进行处理解决,降低制造企业信息化建设中额外的风险资金投入[4]。
(三)制造企业信息化建设的安全风险防范。制造企业信息化建设中的安全风险防范,需要从制造企业信息化内部进行管理和风险监测。由于每年制造企业都需要投入大量的资金用于安全风险维护,基于此,可用这笔资金进行信息化风险管理人员的技术培训以及日常信息系统的维护当中,一旦发现制造企业信息化建设的风险漏洞,采取防火墙措施,避免客户资料的外泄和外来病毒的入侵。其次,加强客户安全意识的提升,采用邮件形式,告知客户安全操作流程,便于客户的风险防范。
结语
综上所述,制造企业信息化建设是增强制造企业市场竞争力的首要举措,也是当下制造企业发展的迫切需求,以此,企业内部的信息系统建设规模也日趋大型化发展,而网络信息系统也呈现多样化。此种情况下,制造企业信息化建设必然存在多处风险,进而影响制造企业信息化建设发展,基于此,还需要找出制造企业信息化建设各项风险因素,对其进行系统化的分析评估,进而采取科学有效的风险防范措施。
参考文献
[1]祝连波,穆好新.我国建筑企业信息化建设风险源的识别研究[J].施工技术,2011,40(16):89-91,101.
[2]张小凤.内部审计信息化建设中供应商“绑架”风险探析[J].会计之友,2014,(12):72-73,74.
[3]陈一君,刘益.基于ERP系统的建筑企业信息化建设风险评价研究[J].工程管理学报,2011,25(2):225-229.
作者简介
企业信息化:风险与控制 篇3
在风险全球化的时代,所有企业不论其规模、性质、结构、地域和产业有何特点,良好的公司治理和风险管理都是必不可少的。事实上,如何构建有效的内部控制和风险管理体系都已成为企业议事日程中最为迫切和重要的任务,而信息社会的知识型经济给企业的这两项任务带来了新的的挑战。信息技术的开发和应用提高了企业的经营和管理效率的同时,也带来了前所未有的风险,这些“看不见、摸不着”的风险时刻影响着企业信息化的效率和效果,威胁着组织的战略实施和目标实现。如何打开企业信息化这个神秘的“黑箱”,识别和管理其中的风险以实现企业信息化目标,一直是管理理论界与实务界的一大难题。
在这种情况下,将企业信息化的治理与全面风险管理整合起来,成为企业管理者的必然选择。何为企业信息化风险?企业信息化风险具备哪些共性和个性特征?企业管理者应如何识别这些风险?如何加强和完善企业信息化风险的管理和控制?对这些问题进行探讨和研究既有深刻的理论意义,能够丰富企业信息化和内部控制、风险管理的理论研究,又有积极的实践价值,能较好地指导企业开展风险管理实务,确保企业信息化的成功实施和目标实现。
2 企业信息化风险概述
企业信息化的高风险、高收益这一特点使得企业对之“又爱又恨”,以至于当前在企业中曾经流传过这样一种有趣的说法:“企业不搞信息化是等死,搞了信息化是找死”。如果没有充分认识到信息化建设中存在的风险并采取相应的防范措施,就草率地实施“赶潮流式”的信息化,非但不能取得预期商务效果,反而会造成大量人力、物力、时间资源等的浪费,使企业陷入“信息化困境”。尽管企业信息化建设存在着很大的风险,但它对企业战略实施的意义和必要性却是不言而喻的。根据一项对全球企业的调查数据显示,93%的企业都认为企业信息化是实现企业战略目标的关键[1]。因此企业管理者应时刻关注在企业信息化进程中所有可能存在的各类风险及其影响程度,并据此采取相应的科学的管理措施来识别和控制信息化风险,保障企业信息化建设的成功实施,从而实现企业的目标。
信息化风险可以划分为个人用户、企业、政府和国家四个层次,而本文研究对象是企业这一层次的信息化风险。对于企业信息化风险,学者们有着不同的理解。国外学者一般使用“IT risk”之类概念。英国专家 Erine Jordan认为:“所谓信息技术风险就是指对业务造成负面影响的信息技术失效。或者说是指某些信息技术故障对业务造成负面影响。”该定义强调了信息技术作为外在的、引起意外结果的角色对主体业务活动所造成的影响。2007年2月赛门铁克公司发布的《IT风险管理报告》认为,信息技术风险包括安全性、可用性、能力和合规性四个方面。肖荣认为:“企业信息化风险是企业在信息化进程中产生的损失的可能性,是对企业战略目标实现程度的大小。”胡海华认为:“企业信息化风险是指企业在使用信息技术过程中,由于信息技术因素或与信息技术相关因素,导致企业经营不确定、管理不力,并最终导致资金、财产、信誉遭受损失的可能性。”结合本文的研究内容,我们对企业信息化风险的定义为:企业信息化风险是指企业在信息化过程中可能发生的影响信息化目标实现的各种损失。和一般的风险相类似,它可以用各种风险发生的可能性(概率)与对目标的影响程度(损失金额)的乘积之和来衡量,即REI=∑Pi,jJi,j。其中,REI表示企业信息化风险,Pi,j表示第i种信息化风险的第j种状态发生的可能性(概率),Ji,j表示第i种信息化风险的第j种状态发生时对企业信息化目标的影响程度(损失金额)。
对信息化要素的研究是企业信息化及其相关风险研究的主要途径。纽约大学的著名学者Laudon认为,信息系统是一种社会技术系统,由技术、组织、管理三种要素组成;相应地,企业信息化风险可以根据这三类要素来划分。Gordon等人通过对企业信息化失败的案例进行归纳和分析发现,在没有对原有的企业流程导致低效率的弊端进行根本性的思考和合理性的改造之前,就试图简单地运用信息技术来实现自动化和信息化,非但不能提高企业流程的绩效,反而会使旧有的流程中那些不能创造价值的活动得到强化,导致企业最终陷入“信息化困境”。闵庆飞、唐可月认为我国信息化的成败主要受领导因素、组织变革和管理变革、信息化项目管理、信息化运用管理等来自管理、组织方面的非技术因素的影响。王晶通过问卷调查的方法对企业信息化项目风险因素的主要成分进行分析,得到了我国企业信息化项目的七个主要风险公因子,分别是:技术风险、需求风险、范围风险、环境风险、计划与控制风险、团队风险和沟通风险。
综上所述,可见从管理、组织、技术等信息化要素来探求企业信息化成败的原因和研究企业信息化风险是学者们始终坚持的一条主线,而且通常学者们都认为,管理、组织方面的非技术要素才是企业信息化成败的关键因素。
3 企业信息化风险的识别、评估、分析和控制
以企业为主既是企业信息化,也是企业信息化风险最为基本的特征,这一特征决定了企业信息化风险很多其他方面的内容。首先,它决定了企业信息化风险是企业在追求利润这一天然使命的过程中产生的。企业进行信息化建设的最终目的是追求经济利益(这一点与政府主导的国民经济信息化有着本质区别),然而“天下没有免费的午餐”,利益的追逐就必然要以承担风险作为相应的代价。其次,它决定了企业信息化风险是与特定企业所处的环境和面临的竞争压力密切相关的。具体而言,企业的规模、所处行业、性质、文化、组织结构、发展方向、市场份额等因素都影响着信息化风险的内容和程度。最后,它决定了企业信息化风险的管理和控制必须要由企业的经营和管理人员来完成。在企业的风险管理中作出决策的主体是企业的经营和管理人员,因而企业信息化风险管理也要“以人为本”[2]。
3.1 企业信息化风险的识别
风险识别是风险管理的第一步,也是风险管理的基础。风险识别是风险管理人员在收集资料和调查研究的基础之上,运用判断、分析、归类等方法对经济主体所面临的各项明显和潜在的风险进行鉴别并记录的过程。风险识别的本质就是要不断地提高风险管理主体的认知能力水平,使原来无法预见的隐性风险不断地浮现于水平面之上。只有在正确识别出自身所面临的风险的基础之上,人们才能主动选择适当有效的方法进行处理。风险识别一方面可以通过依据企业管理者的感性认识和历史经验来进行判断;另一方面也可以通过对各种客观的资料和风险事故的记录来分析、归纳和整理,以及通过必要的专家访问和咨询,从而找出各种显性和隐性风险及其客观规律。同时由于风险具有可变性等特征,因而风险识别必须是一项持续性和系统性的工作,这就要求风险管理主体密切关注原有风险的变化,并随时发现新的风险。风险会在企业信息化过程中的哪些环节发生?以何种方式出现?发生时对企业及其信息化目标有什么样或多大的影响?企业该如何来控制?信息化风险的识别和控制就是要解决这些关键问题。对于企业信息化风险而言,企业管理者可通过一些重要变量的变化情况,比如国家宏观经济政策的变动、信息技术的更新、政府机构发布的新的信息化法规、IT产品和服务价格的变动、企业高管人员的变动、产品结构的调整、开发商的信誉、客户的信用记录等,科学和客观地认识其中潜在的风险及其特性;同时管理者还应当填写风险识别表,将识别的信息化风险及其特征进行分类和归档。用来识别企业信息化风险的工具和方法多种多样,方德英把此类风险识别方法和工具用内涵、外延两个维度加以概括,从内涵上分为经验型和知识型两种,而外延上分为结构型和非结构型两种。最常用的发现识别方法包括头脑风暴法、流程图法、现场调查法、鱼骨图法、事故树法、风险检查表法、风险因素分析法、情景分析法、SWOT分析法、风险分解结构法等,企业可以根据各种方法的特点和自身的情况选择合适的方法。
3.2 企业信息化风险的评估
企业信息化风险的评估在风险管理过程中起到风险识别和风险控制的桥梁作用。在准确识别了与企业信息化目标相关的各项风险之后,企业管理者还需对这些风险从可能性和影响程度两个方面进行评估。企业信息化风险的评估又可以分为风险衡量和风险分析两个子过程。风险衡量是在风险识别的基础上对风险采用各种定量和定性的方法进行衡量,能够让管理者在企业风险管理过程中做到“心中有数”,为以后的发现决策和分析、选择合适的风险应对策略、实施风险控制活动提供重要的依据。风险衡量的方法有很多,总体上可分为定性衡量法和定量衡量法两种。无论哪种风险衡量方法都各有所长,但又不可避免地受到风险管理主体的主观影响。定量衡量法是针对风险的可能性及其影响,采用各种数理统计指标进行定量分析和评价的方法。通常使用的风险定量指标有:损失概率、期望值、方差与标准差、变异系数及其他一些指标。
企业信息化风险分析是结合企业特定条件(如企业的生命周期、信息化战略等),对识别和评估出来的风险及其特征进行进一步分析,深化对不同风险类别及其特征的了解和把握,为制定风险应对策略和风险控制方案提供相关依据。一般而言,风险分析方法和工具有概率与影响矩阵法、情景分析法、决策树法、蒙特-卡罗法、关键风险指标分析法、压力测试法、层次分析法、计划评审法、杠杆分析法、敏感性分析法,等等,企业可以根据信息化风险的特点和自身的情况选择合适的方法和工具。
当评估和分析了相关的风险以后,企业管理者就要确定如何应对。风险应对是指在确定了决策主体经营活动中存在的风险,并分析出风险概率及其风险影响程度的基础上,根据风险性质和决策主体对风险的承受能力而制定的回避、承受、降低和分担风险等相应防范计划。COSO—ERM将风险应对分为风险规避、降低、转移和保留四种基本策略。我们认为,依据风险发生的可能性和影响程度,企业信息化风险应对策略也应包括这四种[3]。
风险规避就是通过事先预测和采取控制措施,对风险的诱因(发生条件)进行消除和调整,使目标免受影响,如:企业为避免网络攻击而不连接外网,出于企业能力缺失的考虑而避免引进高端、昂贵的信息技术,为避免继续发生重大损失而中止信息化项目等。这是一种事前的、消极的发现应对策略,且在完全规避风险的同时也可能完全放弃了潜在的目标收益。
风险降低通过采取措施来降低风险发生概率或影响程度,使得风险总值降低到企业可以接受的程度,如:安装烟雾探测器,使用防火材料来降低机房发生火灾的可能性,进行软件的二次开发来降低软件功能与企业业务流程不匹配的风险,当敏感的信息数据泄露时通过付诸法律、索取赔偿的方式来减少损失。这是一种积极的发现应对策略,可以分为事前、事中、事后三个阶段的风险控制策略。事前控制主要在于降低风险的发生概率,事中控制主要是降低风险发生时对信息化目标的影响程度,事后控制主要是使风险发生后的损失最小化[4]。
风险转移是指不主动去控制风险,而是通过合同或其他方式将风险及其对应的权利转嫁给第三方或受让人,如:对重要的IT设施购买财产损失保险,将信息化项目外包给专业化组织并在签订分包合同时注明风险发生后责任承担者(开脱责任条款)。这是一种事前的、积极的风险应对策略,企业在决定策略时,还要考虑其支付的对价,如购买保险时支付的相关费用。
风险保留即对风险不采取措施,接受其造成的结果,或者考虑该风险发生后再采取应急措施来处理,如:接受由于信息技术的进步导致的软硬件资产加速折旧风险,对信息系统的崩溃导致的业务中断建立系统灾难应急计划,建立风险预留基金来应对信息化进程中可能出现的资金短缺问题等。
3.3 企业信息化风险的控制
企业信息化风险的控制是指风险管理者采取各种具体的措施和方法,以降低各项信息化风险对企业目标的影响程度。由于风险因素和来源的不同,不同类型的信息化风险的可控程度也存在差异。通常来说,系统风险通常涉及政治、法律、经济、社会、文化等一般宏观环境的关键要素,这些要素对企业信息化及其风险的影响是宏观的,企业很难对其施加自己的影响,因而此类外因风险对企业信息化的威胁也是难以控制和消除的。例如经济危机的爆发不是企业所能左右的,却对企业信息化的方方面面产生了广泛影响,会给企业带来资金断流、业务中断等多种伴随性的风险。经营风险与特定企业的行业类型、竞争对手、市场地位、消费者、融资者、劳动力市场等因素密切相关,这些因素也具有外部性,但相对系统风险而言较容易受企业影响和控制。例如某制造型企业通过应用计算机辅助设计技术(CAD)而提高了工艺设计的质量和缩短了生产准备周期,但其他竞争对手可能也能效仿使用这类技术从而消除了该企业原有的竞争优势,此时该企业仍可以通过技术更新来重新建立新的优势。而其他来源的信息化风险可以通过各种方法进行一定程度的控制,这也是企业信息化风险控制的主要对象。根据成本效益原则,对企业信息化的风险管理,要求首先识别企业信息化的关键过程,分析主要风险控制点,将有限的企业资源合理分配到各个关键控制点上,以实现最优控制,而不是进行盲目的全面控制。我们可以借鉴COBIT 4.1关于企业信息化关键过程的定义,针对企业信息化规划与组织、获取与实施、交付与支持、监控四个阶段的前三个阶段的风险和关键控制点,介绍相对的风险控制活动和具体措施。
企业信息化是一项复杂的系统工程,它的实施意味着企业经营模式与管理理念的变革,需要对企业的业务流程、管理方式与组织结构进行重新整合以应对信息化的要求。组织与管理控制是指通过组织结构的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制,其基本目标是建立恰当的组织结构和职责分离制度,以达到相互牵制和监督、减少舞弊和错误行为的发生的目的[5]。信息技术控制是指企业为使信息技术在企业中发挥好服务于业务自身和未来发展的需要而实施的控制,其主要内容为:(1)技术方案既要能够支持企业的信息化战略,又要能够符合企业当前的信息技术吸收能力和应用能力;(2)为保证系统建设的先进性和项目进度的顺利进展,在整个信息系统生命周期必须确保采用先进的项目管理、目标管理、软件工程管理等技术和方法;(3)具有高度的可伸缩性,能够满足今后大规模、大容量、多业务的网络运营需求,同时能为实时性要求更高的业务提供特殊的处理方法;(4)系统的技术方案应当符合行业和国际标准,保证与其他系统具备一定程度的可集成性。
正所谓“工欲善其事,必先利其器”,企业要舍得在项目预算和人力资源建设上进行投入。在信息化项目开展之前要做好财务分析与规划,制定合理的预算方案,方案中要包括资金的筹集安排、IT成本驱动因素的分析、专项基金的建立、如何按项目进度来分配资金等重要内容。预算出来以后也不应一成不变,而是要根据项目的进展情况及时做出调整,包括预算与实际支出之间的差异分析、后续资金的投入安排、不合理的预算的削减等。降低人力资源调配失当的风险就必须制定合理的人力资源方案。一方面,企业需对IT人力资源进行规划,加强人才引进与储备,制定具有竞争力和吸引力的薪酬体系,引进与储备人才,同时利用劳动合同和竞业限制协议对IT业务核心人员的退出进行约束;另一方面,企业应当对各类技术、管理人员及信息系统用户进行定期或者不定期的岗位轮换,实行在职培训与再教育制度,采用公平和效率兼顾的绩效评价体系对企业员工的表现、成绩和问题进行考核,不断提高其技能水平、文化素质和道德修养。
参考文献
[1]陈志斌.信息化生态环境下的企业内部控制框架研究[J].会计研究,2007(1):30-37
[2]王海林.IT环境下企业内部控制模式探讨[J].会计研究,2008(11):63-69
[3]胡晓明.基于信息时代的Is审计若干理论与应用问题探讨[J].当代财经,2006(2):125-128
[4]郝晓玲,胡克瑾.信息系统审计的体系框架初探[J].同济大学学报,2003(5):71-75
会计信息失真的风险与防范 篇4
刘莉
伏连大学财务处,辽宁大连116622>
摘要:本文围绕会计信息失真的表现、会计信息失真的原因和会计信息失真的危害等一系列问题
进行了细致的分析,尤其对如何采取对策积极防范会计信息失真问题,提出了个人的一些看法。
关键词:会计信息失真;危害;表现;原因;防范
会计是一种信息系统,其最主要的目的是为企业及相关主体提供准确、真实的会计信息。会计信息的真实可靠是会计工作成败的关键,是财务决策正确的基础。然而,现实生活中由于新旧体制转换,相应的法规、政策措施不到位,宏观经济监督控制和企业自我约束机制不健全,以及在会计信息形成过程中单位经营者、会计人员人为干扰等因素,会计信息失真较为严重,影响了财务决策的正确性。据我国有关权威部门的调查资料披露,2000年被调查的若干个企业中,存在会计信息失真现象的企业高达90%,其中,信息严重失真的达到60%左右;就连上市公司经过会计师事务所鉴证后发表的财会报告中被揭露出来的信息失真现象也屡见不鲜。本文就这一大家普遍关心的问题谈几点认识。
一、会计信息失真的危害
会计信息失真己在不同程度上损害了国家和社会公众的合法权益,干扰了正常的市场经济秩序,对国家宏观经济政策的有效运行产生严重的负面影响。其
一、会计信息失真,歪曲反映了企业的财务状况和经营成果,导致企业财务决策的失误,进而影响经济预测和决策。其
二、会计信息失真,造成企业收入和利润虚增,致使企业出现大量的潜亏,影响企业的生存和发展。其
三、导致外部投资者的投资风险。会计信息失真,往往高估资产,少计负债,所有者权益不实,粉饰企业的业绩,骗取投资者、债权人的信任,使投资者、债权人据以做出的投资依据失去可信性,投入企业的资金不能按时收回,加大了投资风险。其
四、影响国家财政、税收、金融、货币政策的制定。会计信息失真影响了国家有关部门对企业财务的正确评价,使监督部门不能及时发现、防范和化解企业的财务风险。国家有关经济政策的制定是以汇总企业或行业的会计信息做出的,会计信息的失真,给政策的制定带来了诸多干扰因素,使国家经济政策不能起到有效的宏观指导作用。其
五、会计信息失真在政治和社会方面也带来了一些不良影响,给贪污腐败、行贿受贿等违法行为和不良风气提供了温床。
二、会计信息失真的表现
会计信息失真是指会计信息不能真实地反映各会计主体的经济活动情况。具体包括以下几个方面:
(一)原始凭证失真。主要表现有:编制假发票和收据;私人用品公家报销;用假名套取临时工工资,设立小金库等。
(二)会计核算失真。具体表现为:q)因原始凭证失真导致会计核算失去真实性。再好的会计也不能从失真的原始凭证中提供完整、真实的会计信息。卯技术性失真。这种失真也含有某些人为因素的影响。诸如不按制度规定及时处理坏帐损失,将己确认为坏帐的应收帐款长期虚增,不予转销,造成资产不实;违反制度规定,任意使用待摊费用、递延资产、予提费用等会计科目,把应计入本期损益的费用列入待摊费用核算,将这几个会计科目作为调节利润的蓄电池;存货不实,有些己变质而不作处理,长期挂在存货帐上;值易耗品不摊销或少摊销;固定资产折旧不提、少提或多提等等。卯故意性失真。企业的会计人员在单位领导的直接授意或指使下,强令会计人员编造、篡改会计数据,或企业领导和会计人员在利益的诱导下,共同舞弊造成会计信息失真。
(三)会计报表失真。会计核算的失真,必然会导致会计报表的失真。某些企业为少交
税,任意调节损益表的盈亏,实为利润,却做成亏损。相反,某些企业的领导为获取个人利益、名誉或人为完成不合乎实际情况的利润指标,指示会计人员调高利润,不如实反映企业的盈亏状况,长此以往形成恶性循坏。日本一家有一百年历史的山一证券公司破产倒闭的主要原因之一,就是公司有巨额债务未在会计报表中揭示,属严重的会计信息失真。
(四)财务评价失真。财务评价分析需要会计报表的数据,由于会计报表失真,就不可能准确地评价企业的偿债能力、资产管理效率、获利能力和财务状况的变动趋势。因而,当会计报表失真时,财务评价必然也会失真。
三、会计信息失真的原因
(一)利益驱动和诱惑是导致会计信息失真的根本原因。各利益相关对象在缺乏有力的监督前提下,凭借自身掌握的权力,通过不正当的手段,要求会计人员为其违规、违纪掩盖真相,使会计信息失真。具体表现为:从经营者的角度看,有的经营者短期行为和名利观念严重,为了个人获取高额奖金和名誉,指使会计人员人为虚增利润、产值;从企业或单位的内部小团体利益看,为了各自自身的利益,在财务会计上大做文章,如私设小金库”,搞两套帐。另外,企业为了谋求偷税、漏税、骗税等不正当经济利益,从会计信息的源头一一 发票开始作假,直至假凭证、假帐簿、假报表。个别会计人员借工作之便,为自己的利益,弄虚作假,或挪用公款,或公款私存等。
(二)监督不力是造成会计信息失真的重要原因。表现在:妇从企业内部审计监督看,有的单位内审是督下不督上,查个人不查单位,查离任不查在任,即使查也是走走过场;有的只作为摆设,不起任何作用。妇从企业外部审计看,客观上说,由于种种原因,我国的审计力量还不够,审计面不广;主观上讲,由于存在着人情关系,对查出的问题常避重就轻,或处罚一下,或不了了之,即处罚的力度不够。岛)各种监督没有协调一致,各个监督部门往往各自为政,无法拧成一股绳,缺乏监督的力度。乓)执法不严,对查出的问题大事化小,小事化了,有的以罚代法,对作假者失去威慑力,导致会计信息失真难以遏止。
三)会计政策和会计制度不健全。会计制度未根据会计环境的要求及时作出调整,如对坏账准备由国家统一规定提取比例,未根据企业自身的经营特点做出规定,己发生的坏账损失需经有关部门批准后才能冲销,致使大量坏账长期挂账,妨碍了资金周转,使企业的现金流量严重不足。
四)会计人员地位不高,权力得不到保障,也是导致会计信息失真的原因。会计的职能是核算和监督,我国会计法》第四条规定:单位领导人领导会计机构、会计人员和其他人员执行本法。”在现行的管理体制下,会计人员作为企业或单位的一员,与领导或经营者存在着利益的依附关系,在执行会计制度时,处于`x制于人”的俩难”境地之中。领导或经营者往往一人说了算,会计人员就不能很好地发挥监督作用,只能听从领导或经营者的摆布,导致会计信息失真。
(五)会计人员本身的素质原因,也导致会计信息的失真。有的会计人员法制观念淡薄,职业道德水平低,致使许多违规、违纪的行为得以存在;有的会计人员本身业务不精,在有意无意中造成了会计信息的失真;还有一些企业的经营者任人唯亲,安排一些不懂会计的外行和业务水平较差者任会计机构的负责人,这些都导致了会计信息的失真。
四、会计信息失真风险的防范
由上可见,会计信息失真的原因是多方面的,它受社会环境、监督机制、法律制约、职业道德、业务素质等诸多因素的影响,需要进行综合治理。
一)建立适应市场经济发展的会计准则和制度体系。防范会计信息风险,必须强化会计监督职能。这就要求建立完善、规范的能够适应社会主义市场经济发展要求的会计准则和制度体系,使会计反映和监督有比较准确严格的判断标准,使会计信息不确定性和估计因素造成的损失降至最低限度。制定科学严谨的企业会计准则和统一的企业会计制度,统一会计
要素的确认、计量标准,规范会计核算和信息披露,确保会计信息质量和提高会计信息的透明度。
(二)完善有关会计信息质量的立法工作,切实贯彻有法必依、执法必严、违法必究的方针。通过完善相关立法工作,制定有关会计信息质量的法规,对会计信息控制者的责任与权利及提供虚假会计信息的惩处等方面作出明确的规定,就可以为加强会计信息质量管理提供严肃的法律依据。明确执法和违法的法律界限,特别是应明确经营者、会计人员对本单位会计信息质量应承担的法律责任,加大惩罚力度,从法律上对企业经营者和会计人员形成约束,保证会计信息的真实可靠。
(三必须建立健全会计工作秩序的监督机制。首先,在企业内部,建立以强化内部管理为中心的会计管理体系。加强内部控制,制定财务监管及内部稽核制度,完善企业内部会计制度,严格会计核算的基本程序,健全各种财产物资、财务收支的审批制度,为提供真实的会计信息奠定一个良好的会计基础。建立总会计师制度,从组织上为发挥会计反映、监督职能创造条件。在企业外部,加强财政、税务、工商行政等职能部门联合监督、相互牵制作用。改变以往各自为政、监督机构多而又监督不了的机制,加大处罚力度,从各个方面杜绝可能发生会计信息失真的漏洞。再次,大力发展注册会计师事业,不断强化社会会计监督,健全社会监督体系,充分发挥社会审计的公正作用。注册会计师审计是所有审计类型中最客观、公正的审计,这是由法律所赋予其的独立的第三者身份所决定的。当然,注册会计师如出具虚假的审计报告,同样也要受到法律制裁和经济制裁。因而,在严肃法纪的前提下,发展和完善注册会计师事业,是提高会计信息质量的有力保证,要建立健全对企业经 营活动的社会监督制度,离不开注册会计师的工作。
四)完善会计法》。会计法》是会计工作的根本大法,应对其与新的经济形势不相适应的地 方加以修订,使之具备可操作性。会计法》将会计职能概括为核算和监督职能。而在实际工作中,会计人员并不具备监督者应有的独立地位,其利益从属于所在单位,无法行使对所在单位尤其是单位负责人的监督。要改变会计人员`x制于人”的两难境地,关键是需要重新审视会计人员是否具有会计法》所体现的监督职能,较为可行的做法是将会计人员原来承担的监督”定位于牲制”,即会计人员除进行会计核算外,应当以单位经营管理目标为依据,对单位的经济活动实施内部控制,在明确政府监督和社会监督的基础上,突出内部控制的内容,摆脱赞制于人”的局面,为会计人员能够提供真实、可靠的会计信息,保证会计信息 的质量,创造一个良好的工作空间。
五)加强会计职业道德建设。目前,会计人员职业道德的滑坡也是造成会计信息失真的原因之一,没有会计人员的参与,虚假的会计信息也不可能产生。为此,有必要制定适应所有会计人员的职业道德标准,以规范和衡量会计人员的行为。对各类有会计专业的在校学生应开设会计职业道德课程进行教育,在对职业会计人员的继续教育中,也要把会计职业道德教育摆在突出位置。在进行会计职业道德教育中,还要加强对会计人员的技术业务培训。会计人员不仅要了解国家宏观经济的方针政策,熟悉财务管理方面的政策法规、规章制度,还要努力提高会计业务技能,准确核算、有效控制资金运动,及时客观反映生产经营财务状况。总之,加强会计职业道德教育和提高会计人员业务素质,是保证会计信息质量,加强会计管理工作的根本保障。
信息化风险与风险管理 篇5
本文着眼于昆山震雄铜业(集团)公司的用友软件适用案例进行分析,以昆山震雄铜业(集团)公司会计信息系统内部控制与风险管理中所存在的问题及需求分析为出发点,分析用友U8系统对于这些问题的解决方案,着重讨论在信息化条件下如何加强计算机会计信息系统的内部控制与风险管理。本文对于完善会计信息系统内部控制与风险管理,加强内部控制有着一定的指导意义。
关键词
内部控制成本核算风险管理会计信息系统
一、引言
建立完善的内部控制的首要原则便是适用性原则,每一个企业制定何种内部控制以及各项内部控制包含哪些内容,主要取决于企业生产经营、业务管理的特点和要求。昆山震雄铜业(集团)公司是国内专业生产电子线束用传输导体的重点骨干企业,其行业特点突出,产品结构复杂,工艺路线灵活,制造资源协调困难,料件信息传递速度要求高、成本核算精细度高,而且还是小批量生产,按生产订单组织生产。
昆山震雄铜业(集团)公司的行业特点要求集团公司在会计信息系统内部控制的设计上必须结合本集团公司的具体特点,制定实质有效的内部控制制度,企业信息化建设的目标是加强成本管理,提高存货清单的正确性,同时同地地管理多种产品生产时的切换,在有规则的管理行为中简化管理,提高产量,控制多余生产,降低物料损耗,控制原料投入量,提高按时发货能力和应对需求变化的能力,提高计划、预策和决策能力。
鉴于以上行业特点的存在,昆山震雄铜业(集团)公司应用的用友U8系统在诸多环节和领域很好地解决了以上问题,加强了其内部控制核算和风险管理,建立起了财务管理系统,不仅实现了财务电算化,而且实现了成本核算的精细化管理。完善的销售管理系统降低了商务业务处理中的差错率,采购管理系统实现了采购业务的系统管理,成功解决了采购订单的跟踪、查询和催货等手工状态下难以解决的业务问题。通过用友U8系统,整个作业流程得到了优化,工作效率得到了提高,库存材料的核算更及时、准确,销售及往来信息传递更加便利,生产计划的安排更加合理。
下文将以昆山震雄铜业(集团)公司内部控制中所存在的五大问题为出发点,分析用友U8会计信息系统对各个问题的解决方案,从而提出一些完善会计信息系统下内部控制和风险管理的建议。
二、昆山震雄铜业(集团)公司的内部控制与风险管理问题分析
(一)企业信息化基础薄弱,档案管理不统一、信息共享差
和我国绝大多数企业一样,昆山震雄铜业(集团)公司由于人力、物力和技术水平的限制,刚起步时不可能建立全面的信息系统,不得不选择一些既急待提高效率又渴望以较少投入而获得成功的项目作为突破口。但随着公司的业务和企业信息化的发展,那些项目不仅与生产、设备、采购、销售、库存、运输、人事等子系统脱节,而且会计软件内部各子系统也只以转账凭证的方式联系,从而造成数据在内外子系统之间不能共享,信息不能通畅,既影响财务管理功能的发挥,又不能满足企业对现代化管理的需要。公用资料的管理和设定是整个生产制造所有模块应用的基础,公用资料设定的是否合理将直接影响各个模块的使用。针对企业管理信息基础薄弱,档案管理不统一、信息共享差的问题,用友U8系统加强了对公用资料的管理。
(二)库存账目不清,没有做到明细对应
库存管理涉及到的单据繁多,包括材料入库单、领发料凭证、生产通知单以及诸多的工资汇总表和人工费用分配表、材料费用分配表、制造费用分配表和成本计算单据。以上诸多的信息流程,还会涉及很多的会计账户,包括原料材总分类账户以及相应的明细分类账,在产品、人工费用、制造费用总分类账目,根据各产成品类别所设置的总分类账及相应的明细分类账,以及差异账户。
昆山震雄铜业(集团)公司在库存管理中也存在着一些问题。在企业运作过程中,有时必须获知各种零部件当前的库存量,仓库管理员根据各种送货单、发料单、领料单和退料单进行物料的入库、出库搬运后,要随时修改库存信息和借、欠料信息,以便反映库存状况。工作中的主要问题是,由于零部件种类多、数量大,使得库存记录和实际库存时常不是严格一致的。同时,在工令单下达后,由于零部件与生产线的关系复杂,根据送料员的个人经验给各配料点送料时,因为缺少发料、用料记录和相关信息,所以经常出现生产线缺料才知道需要送料的情况,导致生产和用料发生混乱,无法了解发料和生产用料的实际情况。
(三)成本核算困难
昆山震雄铜业(集团)公司在成本费用核算方面存在着以下问题:第一,由于企业生产链条的特点是原材料单一、产成品种类繁多使得产品结构复杂 ,这就加大了成本核算的工作量。第二,面向订单的电线电缆行业的特点是多品种和小批量,因此,电线电缆行业生产设备的布置一般不是按产品而是按照工艺进行布置的。例如,按工艺流程来安排机台的位置,每个产品的工艺过程都可能不一样,而且,可以进行同一种加工工艺的机台有多台。因此,需要对所加工的物料进行调度,并且中间品需要进行搬运,这就造成了产品成本分配不合理。第三,由于生产周期短,产品的配套性要求高,所以要求产品数据更快地传递到生产、库存、财务部、商务部等部门。这就对成本核算的及时性提出了更高的要求。第四,由于行业竞争日趋激烈,成本是企业竞争的有利因素,因此震雄对于成本费用核算的精细度要求越来越高,根据企业实际情况,要求成本核算到车间、机台、工序、员工。而目前电算化里成本的核算只是单纯以产品作为成本的分配对象,分配形式单一,不便于从多角度进行成本分析。第五,今后的成本费用核算更趋向于事前、事中、事后全方位控制,以达到成本管理的最终目的。具体包括:事前进行成本费用预算、划分责任中心、制定成本控制,事中进行生产成本发生、产品成本核算、期间费用发生控制以及事后进行成本费用分析、成本费用考核与评价等环节。而目前企业的成本核算仍停留在事中控制阶段。
(四)没有对业务流程进行有效监控,难以保证及时交货
昆山震雄铜业(集团)公司在业务流程控制上还存在着很大的问题:市场响应速度慢,物流管理水平较低,企业管理层不能有效进行生产监控,生产应变能力差,效率低下;各部门之间信息交流缺乏、信息堵塞,造成大量盲目行为的产生;销售部门无法实时掌握产品生产情况和库存情况,当扩大销售时,盲目签订单,造成最终无法及时交货,以致因为违约而造成不必要的损失;同时生产部门不能及时了解销售情况,不能适时组织生产,难以保证及时交货;研发部缺乏有效的信息反馈来制定研发策略,对于生产能力的预测计算不准确,无法了解生产进度状况,最终造成产品不能及时交货。
(五)生产计划组织难度比较大
昆山震雄铜业(集团)公司以生产电线电缆为主,原材料单一,但是产成品种类繁多,包括镀锡铜线、软圆铜线、绞线、并线、裸绞镀、镀绞镀等,且多是面向订单的电线电缆行业的多是组织多品种和小批量的生产,客户对产品的需求不局限于标准产品,个性化需求越来越强烈,在标准型产品上进行改进,产品不定型,结构变化复杂,产品的生产周期一般比较短,产品的配套性要求高,所以要求在产品数据更快地传递到生产、库存、财务部门、商务部门等。行业特点决定着昆山震雄铜业集团公司的生产计划的组织难度相比较而言更大,因而建立健全成本会计制度,将生产控制和成本核算有机结合起来,对于组织良好的生产具有重要的意义。
三、内部控制与风险管理解决方案
(一)建立集成的管理信息系统,实现资源共享
集成的管理信息系统,有很多基本资料是各子系统所共用的。如:部门资料、厂库资料、地区资料、料品资料、客户资料、供应商资料、委外商资料等。将各项共用资料集中,可简化各子系统的作业,便于维护。在企业管理信息系统(Management information system,简称MIS)中,会计子系统应该从其它业务子系统获取诸如成本、折旧、销售、工资等原始数据,提高数据采集效率和管理能力,各业务子系统也应从会计子系统取得支持。
用友U8系统集中管理各模块所需的共用基础资料、参数设定及编码资料,当系统运行时,它将易于进行资料的编码及搜集工作,并确保资料输入的便利性、一致性及可分析性。各共用资料应于相关模块启用前建立,其后则在出现新资料时,即时输入,以供各交易的带出或检核。领导信息系统(Executive Information System,简称EIS)与决策支持系统(Decision Support System,简称DSS)会将企业内部所有的进销存、生产、财务等数据收集起来,分类汇总,加以分析,从多种角度以多种图形、报表的方式提供完整的数据分析资料,使企业管理决策部门能及时查询、掌握企业内部各部门运作状况,从而做出各种及时有效的决策。
同时随着互联网的发展,在互联网与企业的内联网之间建立起连接,可以在内部系统中创造更多的访问点,更加有效地实现资源的共享和高效的传递。企业利用互联网的技术和协议,建立主要用于企业内部管理和通信的应用网络。各个企业之间遵循同样的协议和标准,建立非常密切的交换信息和数据的联系,从而大大提高社会协同生产的能力和水平。
(二)利用自动转账和辅助功能,加强库存管理
库存管理对于任何一个企业都是举足轻重的。企业一方面要保持一定的库存,以防止供应中断、交货误期,保证生产连续和稳定,同时它也有利于提高供应弹性,减少产销矛盾。另一方面,库存也会占用资金和支出库存费用,过量的库存常常使企业资金周转困难,适应变动需求能力差,所以又要想尽办法降低库存。
市场需求日益多样化和个性化,产品更新换代的周期越来越短,这就要求制造业企业必须改变库存管理现状。现就对昆山震雄铜业(集团)公司库存管理提出以下两种改进方法:
(1)充分利用自动转账功能
目前,会计信息化程度越来越高,越来越多的企业运用财务软件进行核算与管理。但为节省资金,很多小规模企业一般只购买财务软件中的总账和报表系统,而其他一些系统,如供应链系统、工资系统、固定资产系统、应收款和应付款系统不在考虑之列,所以当小规模企业处理这些系统中的转账业务时(如成本费用的结转、利息的计提、工资计提、折旧计提等),往往通过手工进行,这种方式效率很低且容易导致混乱。但是如果能在总账系统中使用自动转账功能处理这些业务,则可大大提高工作效率。
总账系统中自动转账类型包括自定义结转、对应结转、销售成本结转、汇兑损益结转和期间损益结转。在昆山震雄铜业(集团)公司这类生产企业中,销售成本的计算比较复杂,尤其当企业销售多种产品,而且必须分别计算各种产品的销售成本时,若采用传统的手工方式编制销售成本转账凭证,汇总时经常会产生重复或遗漏。为解决企业销售成本的计算和结转,用友财务软件提供了销售成本的自动转账功能,通过该功能,可以准确、快速地实现销售成本的自动结转。
(2)合理利用辅助功能
高效使用自动转账功能的前提是建立科学、合理的会计科目体系。会计科目体系一般包括一级科目(总账科目) 和明细科目,在会计信息化系统中,应尽可能少用明细科目,因为过多的明细科目会增加会计人员的录入工作量并影响系统的运行效率,明细科目的简化可以通过使用“辅助核算”来解决。比如某企业有很多客户,如果应收账款、应收票据、预收账款等科目还按客户设置明细科目,则科目体系就比较庞大,业务处理自然繁杂,若在设置上述科目时选择了“客户”辅助核算,系统只需输入一次客户资料,那么所有带有“客户”辅助核算的科目在录入凭证时都可以直接调用客户信息,其功能类似明细科目,但弥补了明细会计科目过多的缺陷,这样就大大提高了工作效率。
总之,设置会计科目体系,既要充分考虑本单位的实际情况,又要尽可能发挥财务软件的优势,提高财务软件的使用效率。
(三)建立完善的成本会计制度
为了正确地核算产品成本,对在产品进行有效的控制,必须建立、健全成本会计制度,将生产控制和成本核算有机结合起来。一方面,生产过程中的各种记录,如生产通知单、领料单、入库单等都要汇集到财务部门,由其对它们进行审查和核对,了解和控制生产过程中实物流转;另一方面,财会部门要设置相应的会计账户,会同有关部门对生产成本进行核算和控制。完善的成本会计制度应该提供有关原材料转为在产品、在产品转为产成品,以及按成本中心或分批生产任务通知单对生产过程中消耗的材料、人工和间接费用的归集和分配的详细资料。
成本会计系统收集相关系统,如生产订单、车间管理、委外管理及库存管理等系统的各期交易资料,籍以求算各期各成品、半成品的实际成本。可依分批或分步的成本会计制度进行结账作业,将成本要素分为原料、人工、制造费用、委外成本、其他费用五项,分别核算。自制或委外的原料成本、委外成本,生产订单或委外单直接归属;制造费用及其它费用,则采取分摊方式将期间总的制造费用其他费用依选用的分摊基础分摊至各生产订单,而人工成本可采用订单直接归属或分摊方式,同时又可与车间管理系统集成,自动收集生产订单于各工作中心的完工工时及人工成本,掌握各期间各成品、半成品及在制品的实际成本。提供各项管理性报表、各期间标准成本与实际成本对照表、在制原料成本明细表、在制品成本表、销货成本表、直接材料明细表、生产订单成本明细表、库存月报表、进销存明细账等。
(四)利用产销排程,进行了业务流程监控
生产制造过程中涉及到各种有关令单的规划、核发、备料、结案等作业的管理,生产组织过程繁杂,有效的业务流程控制对于生产成本的控制和及时的交货有着重要的意义,还可以协助企业有效掌握各项制造现场活动的讯息,如:提供各种物料的跟催单信息,有效掌握生产进度,提供缺料模拟分析,作为调整生产进度的参考;提供依制令设定特殊用料功能,代替代料、及特殊用料使用;提供用料分析,以有效掌握各用料及成本差异信息;针对需求规划生成的建议制造量,提供分批规划的功能,使生产管理规划作业时更具弹性。
理想的企业需要建立一个有效的信息化平台,将所有的部门、人员紧密联系起来,使之更有效的运行。用友U8购销存系统的主要功能在于增加预测的准确性,减少库存,提高发货供货能力;减少工作流程周期,提高生产效率,降低供应链成本;减少总体采购成本,缩短生产周期,加快市场响应速度。同时,用友ERP(Environment Resource Planning)购销存系统与财务系统无缝连接,帮助企业全面掌握财务、业务信息,为企业快速持续发展提供信息支持。
生管部门首先要对生产计划进行维护和宏观调控,对各车间任务进行时限规定。各车间人员可参照由系统生成、并由调度部门审核的生产计划,同时结合管理模块确定车间作业计划。生产车间接到生管部下达的生产订单以后,经过审批,如果是简单工序或已经生产过且工序固定的,就直接按生产订单领料开始生产,如果是按客户要求或新产品生产,则要进行工序规划,先需要将工作中心、资源资料、工序资料、料品工序资料、工序顺序等资料输入系统,系统将自动换算出订单的工序,然后进行产能计算,检查产能是否均衡,如果不合理将进行工序重排;如果产能均衡了,由车间排产,然后领料开始生产。同时,生产过程中的数据将通过各种报表采集到系统中,产品生产完成后入库。系统将以最合理的方式指导车间的生产规划,使产能和产量达到最大化,满足需求。
(五)完善需求规划,加强生产计划组织
一种产品有很多的物料组成,一种物料可能会被多种产品共用,不同的产品对同一种物料的使用量又不相同,另外,不同的物料的加工周期、需求时间也不相同,要使每个物料能在需要的日期配套备齐,满足装配或交货期的要求而不过量的占用库存,还要考虑合理的生产批量,因此靠手工管理是不可能进行如此大量的数据运算,这也是手工管理难以解决物料短缺和库存量过大的症结所在。
用友U8所提供的物料需求系统根据产销排程的结果,物料清单、物料可用量(包括现存量、在单量)计算出全部自制件、委外件和采购件的需求量。按照各个产品的交货时间顺序,计算出全部自制件、委外件和采购件的需求时间,自动生成建议性的规划令单,审核令单的内容,若有时间、数量上的不适合,则另建议提前、延后,或建议适合的令单数量,以确保供应活动的数量恰当,时间及时。
图1主生产计划调整流程图
Fig.1 Flow Chart of the main production schedule
四、结束语
随着经济的发展,企业会计内部控制的重要性逐渐凸显出来,越来越多的企业更加关注于财务会计的内部控制及风险管理的实施。昆山震雄铜业(集团)公司在实施了用友U8应用系统之后,内部控制的诸多方面得到了极大的改善。从上述用友U8系统对财务会计内部控制的解决方案中我们可以看出,会计信息系统改善了内部控制程序、增加了内部控制手段,将信息技术有效地集成到业务和信息处理过程中,借助于信息技术来完善内部措施,提高内部控制水平,防范与控制经营风险,这样企业会计信息化环境下的内部控制问题得到了妥善的处理。信息技术的应用和发展为生产组织带来新的工具的同时,也带来了一些全新的风险和挑战。信息技术条件下的会计内部控制与风险管理是一个动态的过程,是一个发现问题、解决问题的循环往复的过程,需要持续不断的研究和开发。
参考文献
[1]杜美杰.信息系统与会计内部控制.北京:清华大学出版社,2007.
[2]于吉永,朱国华,汪前进.内部会计控制制度设计与运行.上海:立信会计出版社,2007.
[3]熊细银,熊晴海.网络会计.北京:清华大学出版社,2006.
[4]《内部会计控制概论》编写组.内部会计控制概论.上海:立信会计出版社, 2008.
[5]赵保卿.内部会计控制制度设计.上海:复旦大学出版社,2005.
[6]姜灵敏.网络会计安全问题研究.成都:西南财经大学,2002.
信息化风险与风险管理 篇6
关键词:财务风险,管理,信息化指标,设计与实施
企业管理信息化水平的高低决定了其规避财务风险的能力和效果, 只有恰当评价这种信息化程度, 才能正确引导企业建立科学的风险管理系统。本文试图用综合评价模型给出信息化评价指标体系, 该体系包括信息化总体指标、技术指标和业务指标。依据评价结果, 可将企业分为"管理技术双低型"、"管理技术单高型"、"管理技术双高型"等四种类型, 并分别就风险管理的目标和过程提出了具体建议。即在风险管理过程中应从数据准备、模型选择、量值测算和结论局限等方面, 针对财务风险的环境、要素、目标和偏好等需求给出了操作流程和结论
随着科技的发展与时代的进步, 信息化技术被应用在企业管理的各个部门, 其中的财务风险管理也在信息技术的支撑下获得发展, 据调查表明:企业财务风险管理方法的大部分效果都是建立在信息化规模的基础上, 也有专家研究表明:如果没有现代信息技术作支撑, 经济危机爆发的周期会更短, 所以, 信息技术对于财务风险管理具有十分重要的意义。
一、财务风险管理信息化标准的评判准则
要想对一个企业的风险管理工作做出准确的评判, 就要创建一个比较科学的财务风险管理信息化指标, 因为中国企业实现信息化的步伐较为落后, 实现财务风险的信息化管理无论是在理论上还是实践上都是一个全新的方向, 所以, 在具体的实施中不同的企业有他们各自的评价标准与尺度, 但是, 大体上都遵循以下原则:
第一, 要将科学性与系统性结合起来。无论什么指标体系都要有一定的科学理论作支撑, 制定一个指标要本着科学性这一基础性原则, 风险管理的信息化指标水平的测定所根据的理论是:信息化理论、风险管理理论, 与此同时, 信息化管理原本就属于一个非静态的系统化工程, 企业在创建指标系统时, 应该把企业信息化当成一个系统加以研究, 借助比较成熟系统的现代理论和做法, 确保测度的结果能够真实反应一个企业风险管理管理信息化的实际水平。
第二, 将代表性与可操作性结合起来。一个正规的指标系统应该是一个有机的统一整体, 他由彼此联系与补充的指标所构成, 构成的指标体系, 他们立足于将繁琐的现象简明化, 减少数据处理的项目, 这一评价系统可以从原始数据中得来, 又可以用来说明子系统的特点, 然后在对基本指标进行抽象和总结的基础上, 再用“比率”“程度”等加以表示, 通过这种方式, 来说明分支系统之间的关系, 有很多因素可以列举出来, 用来描述企业风险管理信息化水平, 但是, 这种因素要掌握在一定的范围内, 并非越多越好, 正确的方式是从众多的指标中选择具有典型性, 灵活性的指标, 这些选出的指标不但要具备比较明确的意义, 能够精确地展示所要表达的内容, 真实地揭示问题, 还要确保能够比较不费劲地得到比较精确的数据, 具有统计的可操作性, 最好用少的指标达到综合评价的目标。
第三, 将可比性与指导性结合起来。对风险管理信息化水平进行对比, 是相对棘手的问题, 所以, 如果对指标的数值进行横向、纵向的比较, 是在指标设计和实际的运行操作中的比较关键的一关, 在对指标进行选择时, 要将曾经不能够比较的因素转化为能够比较的因素, 而且要确保指标口径的统一性, 使这个指标准则, 不但能在企业之间进行横向的对比, 而且, 在某一企业在某一时间段上进行纵向对比, 这些都有利于对信息化发展趋势进行研究和探索, 以此实现这些指标所要发挥的关键作用, 实现企业风险管理水平飞速提高。
二、财务管理信息化的实施
伴随着企业信息化程度的不断提高, 对其进行评价的难度也不断加大, 在对其进行评价的过程中, 不但要评价其经济效益, 还要评价其社会效益, 以及对经营管理的影响, 这里我们分别从三个方面对企业的信息化水平进行评价:这三方面包括:信息化水平, 经济效果, 竞争力, 三种向量的综合反映了风险管理信息化的整体水平, 是对企业进行整体评价的主要依据:
首先, 是企业的信息化水平。这一水平主要体现在企业获取利润, 吸收、高效利用以及保护信息, 以及将信息作为一门技术加以运用的能力, 这些能力有效地反映了企业能否将信息资源进行合理配置和应用, 它反映在企业信息基础设施、信息数量、信息的安全度等方面, 他是对一个企业信息化水平的全局考察。
其次, 信息化管理所产生的经济效果。这一经济效果的考察涵盖了:对企业实行信息化管理产生的费用, 创造的经济效益以及避免财务风险所带来的效果等几个方面, 信息化管理为企业创造的收益能够划分为:有形的与无形的, 这种收益可以分别从定量和定性来进行划分, 企业管理的信息化所具有的经济特征主要表现在:间接、转移、不确定等特点, 能够以定量指标来对企业信息化有形收益的是:人工操作、处理的信息工作量, 通过这一系统省下的人工操作费用以及办公的花销, 使企业信息的搜集、传播与处理的速度加快, 加快资金周转速度, 提高服务水平, 以及企业的竞争能力;其中的无形收益包括:企业员工的工作满意度, 企业的战略走向, 与此同时, 还要顾及到企业的信息化成本, 其中包括:研究评价系统设计要涉及到的花销, 具体的实施花销, 对职员进行培训的花销, 以及系统运行的成本花销。
再次, 企业市场竞争能力的大小。评价一个企业的竞争力除了要考虑它的在实施信息化后, 企业组织所具有的柔性特征与适应性特征外, 企业的信息管理系统还要具备便捷的信息处理以及反馈能力, 以及对企业形成的知识信息能力, 这其中可以用以下六个方面加以衡量:成本, 质量、交货期限等等, 这种评估办法已经经过大量的实践的检验, 得出的结果, 并且已经被国内外大部分企业所采用, 在中国国内市场也已经逐渐被采纳和接受。
在对各项要素加以评价才评判企业财务信息化程度的同时, 还要将各个要素综合起来, 得出的综合评价不但要与本身的基础纵向对比, 还要与其他企业进行横向对比, 随着信息化的不断发展与进步, 在不同的历史时期, 这三个方面都会有不平衡的表现, 所以, 在对企业的信息化水平进行综合评价时候, 要尤其关注一个问题, 那就是部分要服从整体, 进行动态比较。
此外, 值得注意的是, 企业财务风险管理的信息化水平是对企业的信息化水平进行评价的一部分, 不能把这两者分开评论, 然而, 财务风险管理信息化的评价体系它自身的优点, 那就是他的专业性以及特殊性, 因此, 制定财务风险管理指标是十分必要的, 而且他能够积极有效地运行。
总结:
任何一个单位或者企业都必然存在着一定的财务风险, 在信息化时代背景下, 财务风险控制已经基本实现了信息现代化, 信息化的财务风险管理确保财务风险具有一定的预见性, 并且在关键时刻可以控制, 企业在生产经营管理过程中, 要提高财务管理的信息化水平, 对风险严加控制与防范。
参考文献
[1]Day, Boolnder, P.H.ITs Place in US History Information Technology Shaper of Society[J].Program on Information Resources Policy, 2008 (1) .[1]Day, Boolnder, P.H.ITs Place in US History Information Technology Shaper of Society[J].Program on Information Resources Policy, 2008 (1) .
[2]李中斌.风险管理解读[M].北京:石油工业出版社, 2000 (5) .[2]李中斌.风险管理解读[M].北京:石油工业出版社, 2000 (5) .
[3]胡宣达, 沈厚才.风险管理学基础—数理方法[M].南京:东南大学出版社2001.[3]胡宣达, 沈厚才.风险管理学基础—数理方法[M].南京:东南大学出版社2001.
[4]Brown MagillSL Reconceptualizing the Context—DesignIs-suefortheInformation Systems Function[J].Organization Science, 2008 (9) .[4]Brown MagillSL Reconceptualizing the Context—DesignIs-suefortheInformation Systems Function[J].Organization Science, 2008 (9) .
会计信息化风险控制研究与应用 篇7
会计信息是其使用者进行经济决策的重要依据之一, 会计信息质量是评价会计工作的标准, 会计信息的真实性、可靠性及相关性是保证信息使用者做出正确决策的基本前提和条件。网络环境下的会计信息系统是一种互联网结构的系统。由于互联网系统的开放性等特点, 与原有集中封闭的会计信息系统比较, 系统在安全上的问题更加突出, 使公司会计信息的安全性受到了严重的挑战。可以从硬件系统、软件系统、会计数据控制三方面着手, 对会计信息系统风险进行有效地控制。确保会计信息系统由封闭走向开放后的准确性、安全性。
原来封闭的局域网会计信息系统被推向开放的互联网世界后一方面给企业带来了会计与业务一体化处理和实时监控的方便, 但同时也向会计信息系统的安全提出了严重挑战。因此, 必须剖析目前会计信息化存在的问题, 并要提出解决这些问题的对策。
会计信息系统控制是指为了保证会计信息系统的正确性、可靠性和安全性, 提高会计信息系统运营效率, 确保会计信息的准确可靠, 利用各种手段和技术, 对会计信息系统实施管理和控制的过程。
会计信息系统控制的对象是信息系统, 由计算机硬件和软件资源、应用系统、数据和相关人员等信息系统的组成要素构成。
会计信息系统控制的根本目的就是在信息系统充分利用的基础上消除或降低风险危害。
二、会计信息化系统风险的表现及解决办法
会计信息系统安全风险损失主要表现:会计信息失真、企业资产损失、组织重要信息泄露、系统无法正常运行。会计信息系统风险的特点是:风险更具隐蔽性、风险造成的损失更大且舞弊手段、方法更为先进。本课题主要是从硬件系统、软件系统、会计数据三方面考虑企业信息化系统存在的风险, 探讨如何通过合理的实施办法, 以尽量避免开放网络环境下会计信息系统的风险。
硬件系统方面:硬件系统包裹计算机主机和外部设备, 为了保证硬件系统的正常运行, 需规范操作人员对计算机按规定程序使用硬件设备, 实行包保责任制, 所有硬件由个人负责其安全运转。同时由于电子数据高度集中, 高度依赖电脑, 且受人为操作失误、机器故障、电脑病毒等因素影响, 数据容易被破坏, 所以为了控制风险所有操作人员实行专机专用, 严谨无关人员接近系统, 电脑必须设置密码, 贴图。同时还要定时检查电脑, 并安装专业的杀毒软件。
软件系统方面:要严格控制系统关键的安装与修改, 对系统软件进行定期的预防性检查, 同时还要建立会计信息系统岗位责任制, 要明确各个工作岗位的职责范围。为了控制风险, 我们把会计信息化后的基本工作岗位分为主管会计、总账会计、成本会计、财务管理、出纳等工作岗位, 设置岗位时根据职责分离的原则分配岗位。作业岗位人员只能按照所授予的权限接触和操作系统, 并通过对每个用户进行系统功能的授权来落实其责任和权限。
会计数据方面:在会计信息化环境下, 所有数据都以磁性介质作为信息载体, 存储在计算机上的数据容易被修改, 甚至能不留下痕迹的被修改。另外会计信息化环境下, 也使得会计信息档案的复制窃取变得更加容易且不易被发现。为了控制风险, 所有数据输入、输出都需操作人员登录自己的操作权限内系统, 当会计人员进行多方处理时, 其操作和数据也被同时记录在监控人员的机器上, 可由监控人员进行及时或定期审查。
在会计信息化系统中, 对于重要的文件数据, 我们实行专人负责制, 例如专门设立的档案管理岗, 所有档案有专人封锁在铁皮柜中, 严格执行会计档案借阅手续。而且对于所有制单完成的会计凭证, 也由出纳员进行保管, 防止对凭证附件进行擅自增减或涂改。
有效的风险控制, 操作人员电脑在被检查出不能安全运行的情况下, 能够及时更换, 防止了数据的丢失, 保证了数据的安全。对电脑的定时检查, 使公司远程网络会计信息传输也有了保障, 解除了公司上报会计信息时的后顾之忧, 会计信息在集团内部达到畅通流通后, 也便于对我公司进行无障碍沟通。
通过人员权限划分式进行管理, 防止了错漏、舞弊和越权行为的发生, 切实做到了事事有人管, 人人有专责, 工作有检查。同时还保证了作业岗位人员只能按照所授予的权限接触和操作系统, 并对每个用户进行系统功能的授权来落实其责任。对于发生的问题, 也可以做到有迹可循, 有据可查。
经过权限的划分, 所有会计数据输入、输出都需操作人员登录自己的操作权限系统内完成, 防止了对数据的非法改动, 这对保障我公司各账户资金安全非常重要。由于建立了监控平台, 对会计人员操作的实时监督和审查, 保证了我公司的资金安全。档案的良好管理也对会计信息化的推进做出了保障。
三、结论
会计信息化顺应了信息社会经济发展的潮流, 成为实现现代企业管理的重要途径。但应该看到, 我们会计信息化的发展过程中还存在一些问题, 这就需要我们发现问题解决问题, 共同推进会计信息化健康快速的发展。
摘要:由于互联网系统的开放性等特点, 与原有集中封闭的会计信息系统比较, 系统在安全上的问题更加突出, 使公司会计信息的安全性受到了严重的挑战。希望从硬件系统、软件系统、会计数据控制三方面着手, 对会计信息系统风险进行有效地控制。确保会计信息系统由封闭走向开放后的准确性、安全性。
关键词:会计信息化,风险控制,网络环境
参考文献
[1]李晓丽.会计信息化下的企业内部控制问题探讨[J]。金融经济:理论版, 2010 (8) 。[1]李晓丽.会计信息化下的企业内部控制问题探讨[J]。金融经济:理论版, 2010 (8) 。
[2]杨硕珍.信息化会计管理的思考[J].科技致富向导, 2010, (05) [2]杨硕珍.信息化会计管理的思考[J].科技致富向导, 2010, (05)
信息化风险与风险管理 篇8
一、现状
当前村镇银行在信息化建设及风险管理方面, 一是初步建成信息科技支撑系统, 主要信息系统有核心业务系统、公民身份信息核查系统、人民币银行结算账户管理系统、人行对账系统以及银监局非现场监管报表报送系统。各行核心系统建设模式各具特色, 有依托发起行的模式, 特点是村镇银行直接联网至发起行, 由发起行提供的核心业务系统进行业务处理, 其中银行的核心数据备份、运行管理均由发起行操作, 其自身关注的重点在网络设备、线路及柜面设备的正常运行。有通过外包建立核心系统的模式, 其特点是利用独立的简易核心业务系统处理业务, 系统一般从外包公司购买, 数据备份、日常运维操作一般由银行完成。二是初步建立信息科技管理制度。各行均制定了部分信息科技管理制度及操作流程, 部分银行在制定内控管理制度时, 将信息科技管理及安全管理等内容涉及其中。三是初步具备了信息科技风险意识。村镇银行正积极落实监管政策, 部分银行已按照银监会《商业银行信息科技风险管理指引》制定了各项信息科技风险控制策略和各种应对措施, 并逐一落实。
二、风险与存在的问题
村镇银行当前的信息化建设在一定程度上支撑了目前的业务发展, 但从长远看却依然是制约业务深入全面发展的短板, 主要存在以下问题和风险。
(一) 信息科技支撑不足与机构业务发展之间矛盾突出, 信息化战略风险凸显。
目前村镇银行支撑业务运转的信息科技建设与传统银行相比严重落后, 难以保证其健康运行和快速发展, 形成了村镇银行发展的战略风险。一是系统支撑能力不足。部分银行未加入人民银行大小额支付系统和财税库行横向联网系统, 大量小微企业因无法进行开户代扣税等原因对其“望而却步”。村镇银行无法并入银联银行卡网络、无法提供网上银行服务等电子化服务渠道又直接“屏蔽”了客户需求, 难以适应随着农村信息化建设深入推进农民日益迫切的新兴电子化金融服务或产品需求。二是信息科技投入不足, 一方面部分设备老化、性能较差, 未达到重要设备及系统的双机要求;另一方面内部技术人才稀缺, 且技术水平和实践经验也相对不足, 难以胜任地方特色中间业务的开发任务。
(二) 信息科技发展意识淡薄, 治理架构不到位。
一是信息科技发展意识不到位, 村镇银行管理层目前关注点仍立足利润、收息、不良贷款等传统经济效益指标, 对信息化建设的效益潜能重视不足。二是多数村镇银行未形成有效的信息科技治理架构, 科学性、规范性决策欠缺。部分村镇银行对信息化建设模式缺乏有效的成本效益分析, 在已有的众多信息化建设模式中, 各行并未结合自身特点选择最符合自身需求的模式。
(三) 信息科技基础设施薄弱, 存在业务连续性风险。
一是系统运行稳定性较差, 部分银行核心系统刚开发投入使用不久, 需要经常进行补丁更新和升级。二是系统安全性较差, 核心数据安全无法保障。银行自行采购的核心系统较为简易, 安全控制措施不到位;部分银行数据备份周期过长、备份方式落后, 备份介质存放环境差且未进行异地存放;部分银行核心数据完全依托发起行备份管理, 存在数据泄密隐患。三是业务连续性风险隐患大。村镇银行普遍未建立专业的机房, 科技设备及系统运行整体环境较差, 核心系统及网络设备普遍为单机, 网络线路普遍为单线路, 管理人员为单人, 业务中断风险严重。
(四) 信息科技对外依赖性强, 外包风险突出。
村镇银行由于自身科技力量不足, 信息化建设严重依赖外部, 从系统开发上线到运行管理维护等各个环节都依赖外包公司或发起行的支持。各行在未与外包商或发起行签订明确的服务水平协议的情况下, 普遍缺乏对外包商或发起行科技管理维护人员的有效制约机制。外包公司倒闭、开发断层、项目研发延续性不足、服务响应时间长等外包风险都对银行信息化建设发展提出挑战。同时, 银行自身力量薄弱及对外部的过度依赖使得系统的后续开发期限与成本不可预测, 随着银行业务规模的扩大, 银行后续特性化需求将不断增加, 此时, 银行面对核心系统供应商将处于弱势地位, 将失去后续开发期限和成本话语权, 这将成为制约各行后续信息化建设发展的瓶颈。
(五) 约束机制不到位, 存在信息科技操作风险及案件隐患。
村镇银行整体科技人员不足, 各类约束制约机制不到, 使得各村镇银行在信息科技方面普遍存在操作风险及案件隐患。部分村镇银行在信息科技管理方面较为粗放, 部分银行未制定完善的信息科技管理制度及操作流程, 部分银行虽已制定相关的制度和流程, 但由于人员不足及管理不到位等原因, 制度执行不到位。在银行只有一名兼职科技人员的情况下, 信息科技运行中的单人操作现象大量存在;同时, 科技人员权限过大, 数据备份、系统管理、安全管理等职责集于一身, 这都为操作风险及案件发生创造了可能性。
三、政策建议
当前乃至未来一段时期内, 新的村镇银行仍将大量出现, 现有村镇银行也将继续发展壮大, 在此过程中, 能否处理好信息科技与业务发展的关系至关重要。基于此种考虑, 我们提出以下建议。
(一) 立足长远, 以科技驱动业务发展并提升管理水平。
村镇银行应立足长远, 在发展中树立科技先行的理念, 不仅将信息科技作为支撑, 并且把它作为引领业务实现跨越式发展并最终走向成熟的引擎, 切实以科技驱动业务发展并提升管理水平。一是董事会及高管层应提高对信息科技的认识, 理顺信息科技与业务发展的关系。二是加大人财物投入, 长远、科学合理规划信息科技发展。三是在信息科技方面建章立制, 加强执行力建设, 以规矩成方圆。
(二) 因地制宜, 量身选择信息化建设发展模式。
当前村镇银行信息化建设模式比较典型的有三类:一是自建模式, 可紧贴自身业务需求开发完全“合身”的信息系统, 数据和信息的安全性相对较高, 但对资金成本和技术力量要求高, 比较适合资金规模较为雄厚、人力资源相对丰富、技术实力较强的村镇银行。二是外包第三方专业公司模式, 如河南西平财富村镇银行将整个业务系统放置于神码融信在西安的数据中心, 由神码搭建相关信息系统, 村镇银行通过专线远程登录使用系统。此模式前期投入低、无需专门技术人员、对村镇银行的技术力量基本无要求, 但较难完全适合自身需求, 对敏感数据难以掌控, 风险隐患较多。三是外包给发起行模式, 其无需前期投入和另行配备技术人员, 系统建设周期短, 能够快速摆脱科技力量薄弱、技术水平低的困扰, 且由于是利益共同体, 数据安全问题能够保证且易实现村镇银行的个性化需求。村镇银行应结合自身实际情况及资金、人员等条件, 全面进行成本效益分析, 选择一种既节约成本又能有效支持未来业务发展的模式, 并据此制定切实可行的信息化发展规划。
(三) 防患未然, 将信息科技风险管理纳入整体风险管理框架。
信息化风险与风险管理 篇9
本文从信息化与内部控制的关系着手, 分析信息化对企业内部控制和风险管理的影响, 在此基础上提出在信息化条件下加强内部控制和风险管理的建议。
1 内部控制与风险管理的概念
1992年COSO委员会发布了题为《内部控制-整体框架》 (1994年进行了增补) 的报告, 即著名的COSO报告, 标志着内部控制理论进入了新阶段, 报告提出“内部控制是由企业董事会、经理阶层和其他员工实施的, 为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。”1997年1月中国注册会计师协会实施了《独立审计具体准则第九号———内部控制与审计风险》, 其中称内部控制为“被审计单位为了保证业务活动的有效进行, 保护资产的安全和完整, 防止、发现、纠正错误与舞弊, 保证会计资料的真实、合法、完整而制定和实施的政策和程序”, “包括控制环境、会计制度和控制程序”。
风险管理又名危机管理, 是指生产过程中风险管理部门对可能遇到的各种风险因素进行识别、分析、评估, 以最低成本实现最大的安全保障的过程。2006年6月, 国资委制定并发布了《中央企业全面风险管理指引》, 对风险管理进行了解释。虽然内部控制和风险管理有一定的区别, 但从两者构成要素而言, 风险管理与内部控制的组成要素有五个方面是重合的, 即控制环境 (control environment) 、风险评估 (risk appraisa1) 、控制活动 (control activity) 、信息与沟通 (information and communication) 、监控 (monitoring) , 从这个角度而言信息化对内部控制和风险管理的影响是相同的。
2 企业信息化对内部控制和风险管理影响
2.1 对控制环境的影响
内部控制环境是对建立和实施企业内部控制具有重要影响的各种要素的总称。内部控制环境主要包括企业的治理机制、权利分派体系、企业文化等。在信息化环境下, 企业财务内部控制环境将发生财务管理结构扁平化, 决策者和执行者沟通更直接, 企业财务内部控制层次明显减少, 但责任更加明确, 效率更加提高;同时信息化条件下经营者更加依赖信息化系统, 而在信息系统下, 利用信息系统从事非法活动等与信息技术相关的风险也在增加。
2.2 信息化对财务风险评价的影响。
在信息化环境下, 财务管理的外部环境与内部因素都发生了变化, 伴随业务流程的改变, 系统的开放性、信息的分散性、数据的共享性, 极大的改变了以往封闭集中状态下的运行环境, 从而改变了传统的风险控制内容和方法。
2.3 信息化对风险管理诸要素的影响
企业的内部风险普遍存在于生产经营的各个环节, 特别是信息化条件下, 企业经营风险不断增加, 事件识别、风险评估、风险回应这三个风险管理要素是提高内部控制效率和效果的关键。
在信息化条件下, 一方面降低了人工出错的机率, 但是又增加了信息在生成和传输过程中的风险, 这些都加大了内部控制执行的难度。
3 内部控制和风险管理对企业信息化的影响
信息化和企业内部控制的影响是相互的, 信息化对内部控制的多方面产生影响, 内部控制也对信息化的进程产生诸多影响。内部控制对信息化的影响具体表现在以下几个方面:
3.1 企业原有的内部控制将影响企业信息化的推进速度
由于企业的信息化对内部控制有比较高的敏感性, 内部控制活动是否畅通直接影响企业对会计信息的获取和利用程度。因此, 只有成功的内部控制才能使员工对称地获取企业内部信息, 明确生产、管理目标, 使每个员工都清楚地知道其承担的特定职责, 这样才能达到信息的顺畅, 保证了信息的顺畅流动, 进而才能避免职工与企业矛盾, 使企业的信息化发挥作用。如果已有的内部控制无效或者低效, 那么基于此建立的信息系统的有效性也值得怀疑。信息化借助信息技术手段有效改进和完善已有内部控制体系的契机, 在以往内部控制顺畅的条件下更好更快的促使企业的管理层做出推广信息化的决定。
3.2 内部控制影响信息化的质量
在信息化过程中, 企业的内部控制, 特别是针对信息化项目的内部控制将在很大程度上影响企业信息化的质量和效率。首先, 内部控制对相关信息输入、输出的控制, 影响数据的准确性。其次, 内部控制对信息存取安全的控制, 影响数据的可靠性。并且内部控制对硬件和软件的发展及维护的控制, 要求企业的管理人员自身具有较高素质, 一旦企业的管理人员违反了职业道德, 将极大地威胁信息的质量, 进而威胁信息化的质量。
4 信息化条件下中央企业加强内部控制和风险管理的措施
4.1 从公司治理角度, 对企业信息化作出安排
按国资委《关于加强中央企业信息化工作的指导意见》和《关于进一步推进中央企业信息化工作的意见》中的指导思想和基本原则结合企业实际, 从公司治理层面推进信息化进度。制定与企业战略相融合的信息化战略, 为企业的内部控制打下良好的基础。
4.2 加强管理控制, 为信息化进程提供保证
管理控制是运用现代管理学的组织规划、资源使用限制等原理, 制定诸如业务流程、工作程序、岗位设置、职责分工、授权批准等一系列内部管理制度。信息化要重新优化配置资源, 企业内部控制也要进行相应的改变和调整。主要包括, 完善财务内部控制环境, 培养企业整体的信息技术能力, 加强信息系统控制, 实施新系统审计, 建立和完善合理风险评估体系等措施。
4.3 加强人力资源管理, 完善内部控制和风险管理基础
不论是COSO的《内部控制-整体框架》, 国资委的《中央企业全面风险管理指引》还是《关于加强中央企业信息化工作的指导意见》都突出了人的因素, 可以看出信息化条件下加强内部控制和风险管理都要以人为基础。企业信息化实施后对员工的素质提出更高的要求, 由于信息化条件下, 与信息资源有关风险的存在, 要求企业制定好良好的绩效考评、激励和约束机制, 以保证与信息化人员的道德品行, 因此加强人力资源管理是善内部控制和风险管理的重要手段。
摘要:企业信息化是企业快速发展的必要手段, 企业的信息化对内部控制和风险管理都会产生变革。对信息化条件下的内部控制和风险管理的构成要素进行分析, 从公司治理、管理控制、人力资源三方面提出了完善内部控制和风险管理的方案。
关键词:信息化,内部控制,风险管理
参考文献
[1]强玲萍.探索会计电算化内部控制制度的建设[J].考试周刊, 2011, (49) .[1]强玲萍.探索会计电算化内部控制制度的建设[J].考试周刊, 2011, (49) .
[2]赵青华.会计信息化环境下的企业内部控制探讨[J].中国管理信息化:会计版, 2007, (10) .[2]赵青华.会计信息化环境下的企业内部控制探讨[J].中国管理信息化:会计版, 2007, (10) .
信息化风险与风险管理 篇10
【关键词】公路工程项目;信息管理;风险控制
当今社会,信息已经成为重要的资源,甚至在某种程度上,信息已经成为重要的资本。因此,信息管理已经成为管理学中非常重要的一个命题。公路是社会经济发展的重要动脉之一,因此,公路工程在现代工程学领域具有举足轻重的地位。所谓公路工程,一般指公路构造物的勘察、测量、设计、施工、养护、管理等工作。公路工程构造物包括:路基、路面、桥梁、涵洞、隧道、排水系统、安全防护设施、绿化和交通监控设施,以及施工、养护和监控使用的房屋、车间和其他服务性设施。本文结合自己的工作实践,就公路工程项目信息安全和风险管理问题进行分析,探索公路工程信息安全管理的相关问题和思路,以就教于方家。
1 公路工程项目信息概述
1.1 公路工程项目信息分类
信息分类与甄别,是信息管理的首要工作,信息管理的效率如何,在很大程度上与信息的分类甄别遴选具有一定的关系。从公路工程项目来看,其信息依据不同的标准划分,可以分为不同种类。一般而言,根据公路工程项目的来源,可以分为项目内部信息,如取自公路项目本身的工程概况、设计文件、施工方案、信息资料的编码系统、监理班子组成、项目质量目标以及项目进度等信息,同样项目外部信息则是来自项目外部环境的信息,如有关法律法规政策、项目所涉及的原材料的市场价格、投标单位实力、信誉、技术等。如果根据项目信息的层次划分,亦可将公路工程项目信息分为战略信息、策略信息和业务信息等。而如果从项目管理的目标划分,公路工程项目信息又可以分为投资控制信息、成本控制信息、合同管理信息、质量控制信息、进度控制信息等。
1.2 公路工程项目信息特征
任何工程项目,都具有一定的时效性和周期性,而公路工程项目也不例外,这也就决定了公路工程项目信息的特征。公路工程项目信息首先具有真实性特征。真实性是公路工程项目信息的基本特征,也是其信息的重要价值所在,因此,公路工程项目信息管理过程中,注重信息的真实性与确凿性,是保证公路工程项目信息管理取得预期效果的首要要求。其次,时效性是工程工程项目信息的另一重要特征。从公路工程项目来看,随着项目进展的推移,项目本身随着时间的变化而变化,因此,整个项目实施过程中,信息是动态变化的,只有及时处理数据,及时得到工程项目进展信息,才能做好工程项目的管理工作。除此之外,公路工程项目信息还有不完全性、层次性和系统性等主要特征,这都是由公路工程自身的性质所决定的。
1.3 公路工程项目信息的重要性
从信息论的角度看,任何项目或事件,都是由不同的信息组成的,信息是项目的重要细胞,不同项目或同一项目的不同阶段,都可以由各种信息来概括和反映出来。因此,公路工程项目的信息具有非常重要的地位和作用。然而,受传统管理思维影响,在现代公路工程项目管理过程中,对信息的管理并未得到高度重视,尤其对项目的组织结构、具体的职能划分以及有关的工作流程设计等,都没有形成高度的认识,因此导致工程项目在运行过程中,常常暴露出各种问题,最终影响了工程项目的正常运行,而所有这些缺漏或不足,都是由信息管理不科学引起的。如此看来,公路工程项目信息具有重要的地位和作用,而公路工程项目信息管理,也是保证公路工程項目正常运行和实施的重要保证条件。
2 公路工程项目信息管理
2.1 公路工程项目信息管理的基本原则
公路工程项目由庞杂的信息系统组成,信息数量巨大,种类繁多。因此在公路工程项目信息管理,必须遵循有效性原则、时效性原则和标准化原则等基本的原则。信息管理的目的了为了工程项目的有效实施,而信息管理者所提供的信息,则需要对不同层次的信息进行适当的加工、甄别和筛选分类,并根据不同管理层或实施层提供符合其要求的信息,以便管理决策层进行科学决策。公路工程项目的各类信息都有一定的生产周期,这是由公路工程项目的动态性所决定的,因此,在管理信息的过程中,始终必须坚持时效性的原则,如月报表、季报表、年报表等,都必须完整实效地记录整个工程项目全貌,同时也能够为决策提供必要的信息数据依据。
公路工程项目信息管理还必须坚持标准化、定量化、高效处理以及可预见性原则。只有在这些基本的原则要求下对相关信息进行管理,才能使管理决策者和实施层面根据信息管理提供的数据进行必要的决策调整和控制,使项目真正达到预期目的和效果。
2.2 公路工程项目信息管理的技术条件
在现代计算机信息处理时代,信息管理的技术条件之一就是运用现代计算机应用系统。首先需要根据公路工程信息的性质和特征,建立完备的信息管理系统,分析研究信息传递的逻辑程序和数学模型,通过计算机系统处理整个工程项目运行中的各类信息,优化和提升公路工程项目信息管理流程与效率。也就是说,要根据信息管理的需要,开发建立基于分析信息产生过程、确定信息处理手段、制定信息目录、选择信息(或数据)编码,确定信息录入格式,确定信息传输流程以及确定信息流向,科学确定信息检索方法等等,只有建立这样一个完备的现代计算机信息管理系统,并建立与之相配套的现代信息编码系统,才能将庞杂的公路工程项目信息科学有效地管理起来,也只有如此,才能为公路工程项目的正常运行提供信息管理保障。
2.3 公路工程项目信息管理的目标规划
制定目标和规划,是任何工作都必须面对的。而公路工程项目信息管理,同样需要制定科学的目标规划,从计划层面看,主要包括信息需要分析,信息编码系统的构建,信息来源的甄别,信息内容与标准以及传递途径,保存策略等等。因此,编制目标和规划,是公路工程项目信息管理的重要内容。
一要根据工程项目实施阶段进行信息管理目标和规划的制定。主要包括项目投标阶段的信息需求分析和管理、项目决策阶段的信息需求分析、项目设计阶段的信息需求分析、项目实施(施工)阶段的信息需求分析以及项目竣工验收后的信息需求分析。在充分分析了项目实施不同阶段的信息需求之后,根据信息管理的目标要求制定科学的规划,使信息管理科学有序,严谨有效。
二要科学分析和制定公路工程项目信息的流程和处理策略。根据项目运行实施情况以及信息所涉及的内容,确定和建立畅通的信息处理流程,一是自上而下的信息流,二是自下而上的信息流,三是横向之间的信息流。一旦确定信息的流向,则要根据工作需要和项目需要,对一些信息及时采取机械或手工处理方式,使信息管理系统的信息实时更新,以便最真实有效地反映整个工程项目的实际。
3 公路工程信息安全与风险管理
3.1 重要信息或涉密信息安全管理
现代信息论告诉我们,任何公路工程项目,归根结底都是由不同的信息组成的。因此,在公路工程项目运行实施和管理过程中,对重要信息的管理是否科学,在一定程度上会决定项目的成败。重要信息的科学管理,是有效预防项目风险发生的重要保证条件之一。如项目投标阶段、项目设计阶段、项目实施阶段,都会设计一些重要的信息,包括组织结构、实力条件、技术优势等,这些重要信息是决定项目成败的重要因素,如果对这些信息管理不够科学,并未采取相应的安全措施,则会导致信息泄露,最终使整个项目流产或未达到项目实施标準要求,其损失是不可估量的。
3.2 新技术新设备信息安全管理
新产品、新技术以及项目实施中涉及的原材料等,也是保证项目有效实施并取得预期目标的重要条件。尤其在项目实设计和实施阶段,由项目实施方自主创新研发的新产品、新技术、则具有一定的知识产权保护性,若未经公开授权转让,则需要严格安全管理,一旦泄露或泄密,则会给整个项目或整个组织带来不可估量的损失。因此,对新技术,新产品,尤其具有自主知识产权的技术和产品等信息,则更需要依托现代信息管理系统,进行安全管理和风险控制,以防止一些重要信息泄露引起不必要的损失。
3.3 工程项目阶段性性信息的安全管理
在项目运行实施的不同阶段,根据信息的重要程度以及涉及项目实施阶段的重要程度,严格安全管理,控制信息流向,为项目运行实施和决策有效进行提供重要的保证。因此,在公路工程项目实施过程中,不同阶段的信息安全管理,如信息流向的控制,需要自上而下的,则保证自上而下的通畅,需要自下而上的,也需要保证自下而上的通畅,而不需要横向之间流向的,则要严格控制项目信息在横向之间流转,以保证项目运行正常。
总之,信息是公路工程项目管理中非常重要的组成部分,信息管理的安全与流畅,则会影响项目运行的成败与效果。因此,在公路工程项目运行和实施过程中,必须严格按照现代信息系统的要求,对各类信息进行有效的管理,严格控制信息流向,保证信息管理安全,是公路工程项目正常运转和实施的重要保证,也是有效防止和控制工程风险发生的重要条件。
参考文献:
[1]《建设工程项目经理实用系列手册》编委会编. 公路工程项目经理实用手册[M]. 天津:天津大学出版社, 2009.04.
[2] 孙道银著. 信息管理[M]. 北京:经济管理出版社, 2014.01.
作者简介:
浅谈医院信息化建设与系统风险 篇11
关键词:医院信息系,系统安,安全风险
0.引言
随着全社会信息化的高速发展,医院信息系统(Hospital Information System,HIS)在国际学术界已公认为新兴的医学信息学(medical informatics)的重要分支。信息系统已经成为保障医院正常运营的关键因素,安全可靠性的医院信息化系统对于医院的正常运营就显得越来越重要了。
1. 医疗服务信息化的必然
我国的医院信息化建设伴随着计算机和网络技术的发展,经历了20多个年头,三个阶段:最初是单机单用户,即单PC机阶段;接着是多机、多部门独立系统的应用,即PC机+FOXBASE+局域网+部门级信息系统的应用阶段;目前是局域网络化全院级应用阶段,采用的是C/S、B/S结构的一体化医院信息系统。而医院信息系统则经历了以下三个阶段:管理信息系统、临床医疗信息系统及区域医疗信息网络。
医院信息系统主要由临床信息系统、管理信息系统和办公自动化系统组成,每个大系统又各自包括若干个小系统,共同组成一个完整的医疗信息化体系。
2. 我国医院信息化建设存在的主要问题
2.1 缺乏统一的HIS建设规范和技术标准
行政部门等信息系统可靠联接。HIS标准化工作可大大推动医院管理现代化、医院信息资源的充分共享及医院资金的有效利用,可减少开发商的重复劳动和投资。因此加速建立“医院信息系统标准体系”势在必行。
2.2 HIS系统模型构建和整合存在技术障碍,应用系统彼此独立和封闭
HIS标准化是医院信息系统的生命,缺乏标准的信息化建设会形成一个个“信息孤岛”,将失去生命力。只有统一了标准才能使医院内部网络互联互通、互操作、资源共享,对外才能与医保、社保、银行、药店、上级相联。
目前为止,国内还缺少一个统一的、大家公认的、行之有效的医院管理模式可供软件开发商及医院参照,大家都处在探索、实践阶段。从医院的角度来说,面临着如何选择HIS供应商、如何处理好与众多HIS供应商的关系、如何确保HIS工程质量的问题;从厂商的角度来说,面临着如何处理好眼下差距极大的软件价格与售后服务的关系,如何设计好医院硬件与软件投资比例的关系问题。
2.3 医院管理流程不规范,信息人才奇缺
从技术因素来看,信息技术及产品的更新太快,用户跟不上,无所适从;从非技术因素来看,医院领导的管理观念、医院的组织结构、工作模式要适应管理信息化的要求;医院信息系统的标准、规范仍有待进一步加强与完善。系统互联、资源共享的问题解决得不是很好,原因就是技术和标准尚不够规范。
医院在实现HIS时,要多考虑医院管理模式的先进性及规范化,多考虑法律、法规依据,多考虑安全、保密、伦理等问题。HIS实施的关键环节和前提有三个方面:首先要优化医院管理;其次要规范医疗流程;最后一定要以行业为主导,而不是以厂商为主导。目前的计算机技术来开发应用于HIS根本就不成问题,问题的关键在医院本身。要实施HIS时,一定要以医院管理为主导,以行业人员为主体,首先制定出切实合理的需求分析,以信息化的手段来提升医院的管理水平是医院信息化建设的出发点。
对医院而言,管理混乱、流程不规范的医院不要急于上信息系统,否则信息化的目的很难实现;对计算机的厂商而言,千万不要盲目介入流程不规范的、管理没有优化的医院项目,以免陷入沼泽地不能自拔。
2.4 医院软件缺乏兼容共享的基础
目前国内许多医院的信息系统都是由一家企业来开发,但由于HIS、PACS、LIS、OA等系统涉及面广、技术性强,各个子系统都要做到一流水平实非易事。同时系统的升级换代及接口的扩展、已用系统与不同产品的相互连接、兼容共享等都还缺乏必要的基础。
2.5 对临床信息系统(CIS)缺乏足够认识
国内也有一些公司在开发医生工作站,功能包括病历、医嘱的输入,在信息的访问方面,也能查询到检验结果和检查报告(有些甚至可以看到图像信息),为了帮助医生提高输入速度,想出了许多的办法,医生们感觉到确实帮助他们节省了部分时间,但是,这远远不能称之为医生工作站。CIS最根本的原则是有助于提高医疗质量和大幅度提高临床工作的效率,任何一个CIS的设计者都会这样考虑,但是如何很好地满足这一需求,能回答这个问题的设计者却很少。
3. 应用安全风险
3.1 应用软件安全风险
由于众所周知的原因,医院信息系统应用软件的变更频率是很大的,未做充分软件测试,版本管理不严格,技术文档缺失,配置管理与变更管理不规范,软件设计不合理等情况比比皆是。
3.2 系统软件安全风险
不论是IOS、Windows,还是Unix都存在安全漏洞,因此系统软件非正版,没有及时升级打补丁,未设专人管理是这类主要风险。
3.3 用户使用安全风险
人为因素对网络系统安全的影响是多方面的,这类风险主要有非授权访问数据与程序,各用户职责不清,不充分的应用培训,不规范地使用计算机终端,用户密码过于简单,角色与权限分配不当等,轻则造成个人隐私或财务数据泄漏,重则导致系统崩溃。
4. 管理安全风险
4.1 规划安全风险
目前的情况是,各医院信息系统均是历经多年,由众多供应商实施完成,对信息系统安全缺乏总体规划。“重建设,轻运维,轻安全”,管理组织架构未建立,安全预算不到位等情况很普遍。
4.2 规章制度风险
安全的管理规范未建立各类信息系统规划,缺乏相应的约束或惩罚办法,对安全违规行为没有一个好的约束机制。
4.3 安全人员风险
医院信息系统管理人员普遍配置不足,专业的安全管理人员很多医院都没有,经验欠缺,也导致处理安全故障不及时。“三分技术七分管理”,管理制度与技术解决方案相结合,是制定信息系统安全风险应对的基本原则。投入多大预算来进行信息系统安全体系的建设,取决于各医院对已识别出来风险的承受能力。某些高频发、破坏性大的风险则一定要,但破坏性大的风险也一定要有相应解决。
针对以上风险,提出如下应对策略:
1)建立有效的安全管理组织架构,明确职责,理顺流程,争取领导的重视是做好信息系统安全工作的关键,以便在预算支持,人员落实方便有所保障;
2)对现有信息系统进行全面的安全审计,必要时重新进行全面规划设计,以便逐可采用外包方式逐步进行完善;
3)制定完善的信息系统安全管理制度,如计算机终端使用管理制度,数据中心机房管理制度,应用软件使用管理制度,数据备份管理制度,信息系统运维管理制度,信【下转第46页】息系统文档与在获得配置管理制度等;
4)要建立信息系统应急预案,保证业务不间断运行;
5)信息管理人员还要加强对物理场所的安全管理,如用电、环境、防盗、防灾等一系列安全管理;
6)加强培训,除加强信息系统管理人员的安全技术与管理知识培训外,还需在全院加强信息系统使用人员的安全意识培训,操作技能培训,规章制度培训。
7)加强对财务数据、医疗过程数据、药品信息等敏感数据进行保密管理,防止外泄。
通过这些应对策略的实施,大限度地保障信息系统的可用性、可靠性。
5. 结束语
数字化医院网络安全是一个系统工程,安全管理已成为人们关注的热点,只有高度重视数字化医院信息安全问题,把医院信息系统的安全管理工作作为一项艰巨且长期的工作,要求网络管理人员结合医院的实际情况,全方位、多角度地考察网络安全漏洞和弱点,遵循整体安全性原则,制定出合理的网络安全体系结构,落实好一系列安全管理措施,才能真正做到整个系统的安全,才能保证庞大的数字化医院体系安全、健康、稳定、高效地运行。
参考文献
[1]刘雄飞.加强信息系统建设提高医院管理水平.解放军医院管理杂志,2000.
[1]洪嘉铭,杨琳.医院信息系统安全情况调查.中国医院,2003.
【信息化风险与风险管理】推荐阅读:
烟草行业信息安全风险分析与控制策略研究08-17
企业信息化风险评估08-30
信息安全风险07-16
信息通信风险11-17
客户信息风险11-18
信息系统审计风险08-01
信息系统安全风险管理09-08
企业信息安全风险管理11-12
信息科技风险管理指引11-05
医院信息网络的风险05-12