时间:2022-06-07 02:00:20
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业信息化风险,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
提到企业信息化的风险,大家普遍会联想到病毒、黑客攻击,认为只需要使用杀毒软件、防火墙等安全产品就可以了,但这只是信息化安全方面的风险,是对企业信息化风险的狭义、局限性认识,这种认识暴露出我们长期以来在风险防范、管理意识方面的薄弱。而真正广义的企业信息化风险是指在信息化实施过程中,由于各种因素导致结果与最初的信息化战略目标存在偏差,有偏差即是有风险,不管这种风险是否给企业带来经济损失。我们只有通过合理的方法辨识风险、分析风险、控制风险,找出风险来源,区分风险因素对信息化产生的影响,并且针对不同的风险采取相应的防范与化解的措施,力争将损失和威胁降到最低,才能使企业信息化的效能最大化。
2 企业信息化风险的原因
信息化系统相对于一般的项目而言在管理、技术、时间、资金、实施和维护等方面存在更多的风险因素,但归纳起来主要是三个方面:管理层风险、执行层风险、操作层风险。
2.1 管理层战略风险 俗话说:“站得越高,看得越远”,只有对信息化做出正确、长期、准确的战略发展规划,信息化系统成功的机率、对企业做出的贡献才会越大。首先,需要企业管理层对信息化的价值理解透彻,不能急于求成、盲目跟风,抱着“别人都有,我也要有,要用就用最好的”等错误思想,而要从信息化的实用性、功能性、安全性等方面进行全面统筹和权衡,必须要以支持企业经营管理、提高工作效率为最终目标,可采取分步实施、重点突破、逐步完善的信息化部署战略。其次,企业信息化是对管理观念的一种转变和突破,企业高层必须要理解和接纳这种管理思想,必须要在人力、物力、财力上给予信息化建设高度重视,领导的重视和亲身参与,势必带动各级员工的积极性和参与意识,为信息化项目的实施奠定良好的基础。
但是,不少企业高层管理人员尚未认识到这一点,对信息化的认识和管理理念比较落后,在有些领导看来,信息化只是个面子工程,是个无底洞,需要不断的投入,还不能直接给企业创造经济效益。因此在进行信息化规划时目标不明确,动机不纯,或者干脆没有规划,为以后信息化实施埋下了隐患。比如:某企业2008年花费十几万购买了一套公文流转系统,该系统功能强大,完全能满足企业无纸化办公需要。但是领导长期在外,常年不用电脑,再加上领导无法适应传统的领导圈阅方式一子被电子签名所取代,所以长时间采用公文流转和领导纸质圈阅并行方式。这就是典型的管理层战略风险,管理层观念落后,实施信息化动机不纯,单纯的为上信息化而信息化。最终的结果只能是企业投入了大量资金却并没有提高工作效率,信息化系统形同虚设,无法发挥应有的作用,造成资金浪费。
2.2 执行层风险 有了信息化战略规划,具体执行部门就要根据规划实施信息化项目,在具体实施过程中,可能存在来自于技术落后、资金短缺、管理低下、人才缺乏等方面的风险。
2.2.1 信息化系统选择风险。如今市场上各种信息化软件、硬件产品众多,不同应用平台和开发工具,不同的硬件集成,都将决定企业信息化未来的效益、维护成本和转移成本。一旦系统或设备选型不当,将限制企业信息化的长远发展。因此选择信息化系统时要兼顾功能和技术要求,功能上既满足当前的业务需求,也要考虑未来的业务发展。技术并不是追求越先进越好,而应该选择现阶段技术比较成熟,可升级、兼容更新技术的产品。比如:某国有大型企业2005年耗资上百万在全公司自上而下部署了一套电子档案管理系统,但在使用中发现该系统存在诸如操作不方便,与协同办公平台不兼容等问题,导致系统使用不到半年就夭折了,2010年公司又重新研发了一套全新的电子档案系统。这就是信息化系统选择失败的典型案例,这种情况在现在的企业尤其是国有企业相当普通。
2.2.2 信息化项目管理风险。信息化系统的实施过程是一个复杂而又艰巨的系统工程,在内部,它渗透到企业经营的不同层次、不同部门之中,是一个全员参与的项目,在外部,它要适应信息化的快速发展,与系统提供商的合作沟通等等。在项目实施过程中,如果各部门沟通不顺畅、协同不力;系统实施人员特别是核心人员的流失或中途调动;实施费用严重超出预算等都可能直接影响信息化的实施结果。因此,项目实施领导小组必须要掌好舵、举好旗,严把项目进度、成本、质量关,负责各级部门的组织和沟通协调,确保实施人员的稳定性。
2.3 操作层风险 操作层是指实际应用信息化系统的部门或人员,这是最容易被人忽视,也是最容易产生风险的环节。
2.3.1 业务流程风险。在应用信息化系统之前,企业必须要根据岗位职责对各岗位的业务流程进行完善和优化,使信息化系统与实际业务工作相匹配,否则就会造成系统与实际脱节,形成信息孤岛,无法发挥作用。
2.3.2 基础数据风险。在利用信息化系统进行数据分析的时候,必须要求数据及时、规范、准确、完整,否则得出的分析结果就可能与实际大相径庭。因此,企业要通过一些规章制度来明确和规范数据的内容,通过督导检查、高额奖惩等手段来确保数据的及时性和准确性。
2.3.3 信息安全风险。其一,要尽量确保信息化系统在安全性上不能有漏洞,发现问题要及时与系统供应商沟通解决;其二,购置相应的安全保护软件或硬件设备,帮助减少系统安全风险,提高系统的运行稳定性。其三,要制定和完善系统安全运行规章制度、数据故障应急预案,确保系统出现故障时可以及时处理。
3 企业信息化风险管理的策略
3.1 建立信息化风险管理机构 随着企业信息化的不断推进,信息化在企业中的地位不断凸显,并且成为企业核心竞争力的组成部分。因此,企业应该及时组建企业信息化风险管理机构,它的职能是建立科学的风险分析、评估体系,定期评估信息化风险,监控信息化实施、运行过程,从企业整体利益出发,根据产生风险的性质和特征,选择不同的风险处置方案。设置企业信息化主管(CIO),直接对企业决策层负责。
3.2 建立科学、规范的业务流程 管理手段的落后和管理流程的混乱,是大多数企业的通病,企业信息化关键的一步,就是建立一个科学、规范、先进、适用的工作业务流程,并且要将管理策略和制度融入业务流程之中。“没有规矩,不成方圆”,企业都制定了一大堆管理制度,涉及到企业管理的方方面面,但这些制度或多或少被束之高阁、有名无实。因此,要将这些管理制度和业务策略信息化,用程序化的手段融入业务流程之中,成为业务处理过程中的决策工具,实现业务流程和业务控制策略、企业管理制度一体化的信息化系统。
3.3 营造一个信息化风险管理的环境 信息化是把“双刃剑”,大家既要认识到信息化给企业带来的积极意义,也要认识到信息化失败给企业带来的危害。因此,营造一个信息化风险管理的文化环境是非常重要的,平时要注意培养大家风险管理的意识,并贯彻到日常工作中去。随着信息化的逐渐深入,当信息化己成为日常工作的必须工具,与自己的业务本职工作息息相关的时候,大家就会意识到自己对于风险防范的责任,加之经常培训员工风险管理的方法和措施,企业整体的风险管理能力就会逐步提升。
3.4 引入第三方风险检测、评估机构 在信息化的风险管理中,很多风险必须通过专业的手段和仪器才能够进行检测和分析,因此还应该引入第三方检测评估机构,通过专业化的检测手段发现系统错误,对系统作一个公正、客观、科学的评价,最大程度地避免信息化的“豆腐渣”工程。在这个过程中,我们要摒弃传统的自我保护思想,害怕被发现问题,要以更加开放的心态去进行信息化建设,内外合作,才能逐步增强抗风险能力。
【关键词】 企业信息化 风险分析 风险防范
一、企业信息化的含义与实质
通俗地讲,企业信息化就是以计算机应用及网络技术为手段,在企业的各个部门(生产、经营、设计,物资等)进行各种业务信息的收集、加工、传输、存储、更新和维护。
企业信息化的宗旨是为企业的生产、经营、管理服务,发展基础是企业的管理和运作模式,而不是计算机网络技术本身,企业进行信息化建设实质上就是利用信息化先进的、智能化的技术工具来实现企业管理目的;而且,随着信息化工作的全面展开和深入,企业在提高管理档次、提升生产率、加速资金周转方面,越来越能感受到信息化的重要性。
企业信息化的过程,实际上就是以信息技术手段对企业各种资源、组织机构、工艺流程等等进行重新梳理、构造的过程。它的目标是要使企业各种资源得到更加合理的开发和利用,提高组织效率,从而提高企业市场竞争力。
二、企业信息化的风险分析
1.软件风险
1.1 软件功能风险。由于企业对信息系统建设目标、约束、总体结构不清,信息战略错误,弄不清要建设一个什么样的信息系统;立项时切入点不准确,定位不正确,信息化建设策略不对,盲目追求功能完整、一步到位并在其他企业已经应用成功的建设方案,以致软件本身可能存在各种功能不足或潜在的软件缺陷。
1.2软件选择风险。管理软件常见的有两种比较极端的模式,包括较早期的对企业进行单纯的手工模仿的MIS系统和在中后期的强迫用户套用现有模式的通用产品。手工模仿的MIS系统完全放弃了对企业现状的改善和优化,而通用产品则忽略了对客户的个性化需求的关注,而在以客户为中心的信息社会里,这不可避免的在信息化项目上烙上了失败的印迹。企业在软件选择的决策中很容易掉入“说客陷阱”,偏重选择知名度高、技术先进的管理软件,不能把企业自身的实际需求和业务处理过程与管理软件进行匹配,导致选择的软件不能适应企业的需求,难以实施成功。即使实施成功,但运行成本高,更新换代困难,企业管理模式的调整受到限制。
2.实施风险
2.1项目人员组织风险。在组织队伍时,企业易犯的两种错误:其一,以企业缺乏IT技术人员为由,将项目外包给软件供应商或商,企业只是组织力量进行验收评估。殊不知一方面,有些商技术力量单簿,甚至对软件功能根本不熟悉。另一方面,即使商有较强的技术力量,但对企业的业务处理流程缺乏深入了解,难以按照企业需求进行系统配置与二次开发。其二,完全由企业内部的IT技术人员单独进行系统实施,没有看到内部技术人员缺乏对软件的了解及项目实施经验,很难从整体上把握好项目的实施。
2.2项目建设工期风险。接触过信息化建设的人士都知道,一个信息系统的实施不是短时间内能够完成的,上一个比较完整的ERP系统,少则半年,多则一两年,甚至三四年。实践表明:许多企业信息化建设项目由于各种原因使得工期一拖再拖,无法按照预定工作计划的期限完工,导致项目半途而废或系统上线严重延迟,造成企业各层领导及职员对信息化丧失信心,项目成本失控。这种风险的控制关键在于项目开始时必须制定明确的、切实可行的阶段实施计划,对建设过程中的每一阶段的计划执行进行监督和检查,对计划延迟要查找和分析原因,针对不同情况,或调控计划或采取相应措施进行补救,以实现对项目进度的控制,使整个实施能够按照预定的时间表进行。
2.3项目质量控制风险。系统上线后,企业聘请有关专家对系统进行评估验收,但这种验收往往难以控制系统实施质量,因为,即使发现问题,如果问题出在实施初期的基础阶段,要解决问题,工作量大,可能涉及到整个系统,在后期补救时将会付出难以承受的代价,直接导致项目全部或部分失败。造成这种风险的原因是缺乏“过程质量”的控制,在实施过程中未能随时控制实施质量。
2.4项目成本控制风险。企业信息化在成本控制方面的风险是:费用预算不准确,项目实施中途或结束时大大超过预算,使得企业出现资金困难,陷入进退两难的境地,影响正常运营,迫使项目中断。成本预算中常见的误区是:只看到软件和硬件费用,忽视了培训费用、实施咨询费用、维护费用。事实上,实践经验告诉我们:后三项费用合计往往超过前二项费用之和。因此,成本预算时必须考虑全面,合理概算各项费用,制定详细的费用开支细目,并在项目进程中将成本控制在计划之内,避免发生“金融危机”。
3.转变风险
3.1管理理念导入风险。众所周知,企业信息化系统不仅是一个技术系统,而且还是一个管理系统,在软件中融入了先进管理思想和理念。建立一个科学合理的信息化系统会不可避免地冲击现行管理体制。可以说如果要考虑信息化,首先应该考虑管理问题,其次才是技术问题。企业应用系统最容易出现的问题是:系统上线后,日常管理仍保持原系统的惯性,沿用原管理模式,许多管理制度没有更新。按照这样的思路进行信息化,最后得到的结果也只能是原来手工操作的计算机“翻版”,不可能给企业带来丝毫的本质上的变革。其结果是软件中先进管理思想无法得到体现,系统功能不能发挥作用,投资效益难以实现。其根源在于全体员工缺乏对系统内涵的理解,没有用现代管理思想与管理理念武装头脑,观念没有更新。因此信息化建设要从我们的管理变革开始,而管理变革势必触及企业的核心,触动个别机构的责权,其风险性是必然的。
3.2组织架构调整的风险。为适应新系统带来的改变,企业必须在组织架构和部门职责上作相应的调整。因此,实施信息系统往往需要同时进行企业流程重组和改善的工作。在流程改组中,会涉及到部门职能的重新划分、岗位职责的调整、业务流程的改变、权力利益的重新分配等复杂因素,如果企业不能妥当地处理这些问题,将会给企业带来不稳定因素。
三、企业信息化的风险防范
1.软件风险防范。从企业战略目标出发,通过调查,对企业管理业务中内容分散、含糊不清的问题进行识别,在系统要实现的目标及管理、技术和经济上进行可行性论证,找出(下转第12页)
(上接第47页)实施信息化的不利因素,研究改进方案,明确项目开发的必要性和可行性,根据可行性分析进行决策。在进行可行性论证时,要防止“一切外包”的现象,把论证工作全部交给供应商或开发商去完成,企业必须自行组织技术、管理人员,通过培训后,在咨询人员的指导下进行可行性论证工作。
企业机体对信息技术的消化吸收能力即有机融合能力是决定企业信息化成效的决定性因素之一。因此,企业信息化技术方案策划应充分考虑企业现有的基础条件――资金、人员素质、管理水平等条件对技术适用性的约束问题。很多企业的信息化,问题都出在盲目上。技术方案可行性分析包括技术先进性分析、技术适用性分析、技术可靠性分析及技术经济性分析等。目的是对信息化建设项目多种可供选择的技术方案的利弊得失进行全面的论证分析,以甄选一个正效益最大,而负效益最小的可行方案。这里的正效益最大,而负效益最小的实质是――适用前提下的先进。基于我国企业技术水平落后,管理粗放的现状,在技术方案选择时,要特别防范只求所谓先进,不注重技术适用性的风险。因此,企业在信息化过程中,应依企业的具体情况逐步提升信息技术的先进水平。
2.实施风险防范
(1)为规避这种风险,项目队伍组织应该考虑到管理、技术、财务等方面的人才,通常最佳组合是:由具有丰富的信息化建设经验的外部顾问和企业内部的管理人员、业务人员、技术人员、财务人员共同组成,由企业信息主管直接领导,通过项目实施经历,企业内部人员从“了解―― 熟悉―― 精通”而成为企业信息化管理专门人才,使得咨询顾问的经验与知识沉淀在企业,系统上线后不再依赖于顾问。
(2)项目开始时必须制定明确的、切实可行的阶段实施计划,对建设过程中的每一阶段的计划执行进行监督和检查,对计划延迟要查找和分析原因,针对不同情况,或调控计划或采取相应措施进行补救,以实现对项目进度的控制,使整个实施能够按照预定的时间表进行。
(3)在系统实施之前必须定义项目实施各阶段目标和期望,并且尽可能量化,吸收有关专家在信息化评价方面的研究成果,在每个阶段完成后对实施质量作出评价,不达标必须返工;系统上线了不要急于作出结论,必须通过3个月的实践运行,使得系统的各种流程和逻辑通道都基本遍历过,效果良好,达到企业预定目标,才算合格工程。
(4)在项目实施过程中,以业务流程设计企业管理,逐渐优化管理而不是追求一步到位,这样可以减少实施风险。它改变过去由技术(软件)主导企业信息化的思想,而是通过企业管理者根据实际情况自主设计自己的管理模式。从技术开发和项目实施角度来看,可以真正提升软件的开发、和维护效率,实现企业信息化过程中的用户参与、快速开发、快速应用、灵活调整,大幅度提升管理系统实施和应用的成功率及投入产出比。
3转变风险防范
一、制造企业信息化建设的风险分析
制造企业信息化建设建设主要是采用CAD/CAM/CAPP等现代化的信息技术,使得制造企业生产过程信息化;采用MEP/ERP等现代化的管理技术,则是为了制造企业的管理水平科学化,管理流程信息化;采用CMS等、等进行制造企业信息的搜集,逐渐形成集设计、制造以及管理为一体的计算机综合集成制造系统,并采用计算机技术,将制造企业内部的信息资料整合起来,并将其扩展到制造企业外部。从制造企业信息化建设本质来看,就是实现制造企业各个层面的信息化,使得企业整体运营逐渐高效化、科学化、合理化。由此可见,制造企业信息化建设并不是一个企业信息化的建立,它是一个信息化系统的革新,对制造企业而来,更像是一场信息化革命[1]。然而,对于制造企业信息化建设而言,虽然信息化建设有利于当下企业管理格局的改善,但是在制造企业信息化建设中必然会遇到各种风险因素,这就要求企业在信息化建设的过程中,除了关注信息化建设之外,还需要对周围的风险源进行及时的侦查,分析风险源的源头,做出最佳的风险处理措施。
(一)制造企业信息化建设技术风险。高制造企业信息化建设属于高科技的信息化应用,这类信息化技术对于制造企业的管理和信息搜集大有帮助,但是该类型的技术牵扯信息内容过多,是多种综合技术的结合,因此存在很多不确定因素,对于初步建立信息化的制造企业而言,这种不确定的风险因素在短时间内难以做到合理化的有效控制,无法预测信息化系统在运行过程中的偶然现象,对于风险的发生不能做到及时的防范,进而给制造企业带来经济损失。
(二)制造企业信息化建设资金风险。制造企业信息化建设中必然会投入大量的资金,用于各种软硬件设备的购买、软件系统和信息支付企业的服务费用等等。除此之外,还涉及一些隐藏费用,例如制造企业信息化建设后的信息系统应用培训、信息化系统安全维护费用等,致使制造企业耗费大量的资金费用,给企业的资金流转造成阻碍。此外,由于制造企业信息化建设投入资金预算和实际花费资金差距过大,会造成制造企业运营的资金短缺[2]。此外,在制造企业信息化建设后,需要花费几十万或是几百万资金用于整个制造企业信息系统维护和调整,使其满足制造企业信息化发展需求。
(三)制造企业信息化建设安全风险。制造企业信息化建设之前,由于对信息化的陌生,使得企业管理人员安全防范意识匮乏,忽略了制造企业信息化建设安全风险,导致客户信息资料的泄漏,外来病毒入侵,引发整个信息系统的瘫痪。
二、制造企业信息化建设中风险防范措施
制造企业信息化建设风险防范措施的应用是信息化建设中必不可少的关键环节,它对于制造企业信息化系统安全运营大有裨益。此外,加强制造企业信息化建设中的风险防范,还能减少因风险因素造成的经济损失[3]。以下则是笔者结合制造企业信息化建设中出现的风险因素,在查阅多方资料后总结出的风险防范措施。
(一)制造企业信息化建设技术风险防范措施。一个完整的信息系统,必然离不开多项技术的综合应用。对于制造企业信息化建设而言,其应用的信息化技术都是按照信息系统建设的总规划,按部就班的采用制造企业信息化建设技术。因而,在制造企业信息化建设风险防范中,需要根据制造企业信息化建设整体目标和阶段性计划,找准技术的切入点,按照制造企业信息化建设层次,进行风险防范。
(二)制造企业信息化建设资金防范措施。制造企业信息化建设风险因素的发生,必然造成制造企业的经济损失,治愈资金损失额度大小,则完全取决于制造企业信息化的风险管理。比如,在制造企业信息化建设之处就制定好严密的风险管理计划,并安排管理人员对制造企业信息化建设资金进行预算统计和管理。在此基础上,加强制造企业信息化建设的日常监控,一旦发现隐藏风险源及时进行处理解决,降低制造企业信息化建设中额外的风险资金投入[4]。
(三)制造企业信息化建设的安全风险防范。制造企业信息化建设中的安全风险防范,需要从制造企业信息化内部进行管理和风险监测。由于每年制造企业都需要投入大量的资金用于安全风险维护,基于此,可用这笔资金进行信息化风险管理人员的技术培训以及日常信息系统的维护当中,一旦发现制造企业信息化建设的风险漏洞,采取防火墙措施,避免客户资料的外泄和外来病毒的入侵。其次,加强客户安全意识的提升,采用邮件形式,告知客户安全操作流程,便于客户的风险防范。
[关键词] 云数据;信息化;安全风险;策略
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2016. 13. 037
[中图分类号] F270.7;TP309 [文献标识码] A [文章编号] 1673 - 0194(2016)13- 0074- 03
0 引 言
随着互联网技术、通信技术、虚拟化技术和SOA技术的发展,以服务形式向用户提供计算资源的云计算,正在改变人们的工作方式和企业运营模式。基于云计算进行企业信息化建设,能有效降低成本、提高效益和促进创新,许多企业已经投入到云计算的信息化浪潮中,实施了自己的云平台战略。目前,云服务商在提供云计算服务时,虽然绝大部分都采用了国际先进的信息安全保障技术,但云环境中的信息安全风险仍不容忽视。
1 公有云
“云”在网络拓扑图中常用来表示Internet,是对复杂的互联网的一种抽象。因此把这种基于Internet的计算方式形象地称为“云计算”。一般来说,云计算提供的服务有三种类型:软件即服务(Software as a Service,SaaS)、平台即服务(Platform as a Service,PaaS)、基础设施即服务(Infrastructure as a Service,IaaS)。公有云是云计算的重要模式之一,通常由第三方云服务商为用户提供。公有云的一般框架如图1所示。
2 基于公有云的企业信息安全分析
企业信息化过程中,云计算已受到众多企业的追捧,云计算可使企业将部分计算处理工作外包云服务商,企业可以通过互联网来访问云数据。与此同时云计算中的数据安全风险也不容忽视。一方面,云计算中的数据对于数据所有者以外的用户是保密的,但是对于提供服务的云服务商而言是透明的。另一方面,云数据在存储、传输与使用过程中,会不断遭遇不法行为的攻击。总得来说,云数据安全风险主要有三大来源:云计算中心数据丢失与泄露、数据传输窃取、终端数据泄露。从公有云安全风险所涉及的不同网络层次考虑,可以将安全风险主要归纳为 :云计算中心数据存储安全、云数据传输安全、云端用户安全、云数据审计安全、管理维护安全等,如表1所示。
3 云数据安全风险控制策略
为了更好地研究企业信息化过程中基于公有云的安全风险,下文提出了一种“三位一体”安全风险控制策略,如图2所示。要解决云计算环境下的数据安全问题,仅仅在云计算中心实施保护是不够的,必须要通过融合云中心数据安全技术、终端数据安全技术、网络安全技术为一体,实现对云数据的一体化控制策略。在云计算中心,重点完成用户身份认证、多租户模式下的数据隔离、用户异常行为检测、数据封装加密。在终端,重点完成用户密钥生成、终端环境安全、终端外设安全、终端文件加密保护。在网络传输过程,重点完成终端与云计算中心之间建立虚拟安全通道。
3.1 云计算中心数据存储安全策略
企业在使用云计算服务时,数据的存储是非常重要的一环,其中包括数据的存储位置、数据的灾难恢复、数据的隔离等。然而,云计算服务商为企业提供存储空间服务时,云端用户并不清楚自己的数据储存位置;云数据存储地是否存在信息安全问题、是否遵循当地的隐私协议、是否能确保企业数据不被泄露等安全因素。
3.1.1 数据安全隔离
基于分布式数据存储的思想,可以将数据中心的共享存储划分为不同区域,在不同区域之间配置安全策略,防止非授权的跨区域数据访问。在数据中心运行时,动态监测数据中心中的用户行为,根据采集到的行为数据进行识别。结合数据迁移策略,将受到威胁的数据迁移至其他区域,并停止恶意用户对于该部分数据的访问授权,使得恶意用户无法攻击该部分数据,从而防范云计算中数据隔离和攻击的问题,保护云计算中用户的数据与隐私安全。
3.1.2 数据库加密
传统的数据库、操作系统安全和物理安全访问控制机制,为数据库提供了一定的安全措施和技术,但并不能保证在云计算环境下数据库的安全需求,尤其是一些重要部门数据和敏感数据的安全。造成不安全的主要因素是数据库中的原始数据以可读形式存放,如果对数据库中的数据,采用安全数据库、可搜索加密等技术,对数据库系统及密文进行加密处理,即使受到非法入侵或者盗取数据存储介质,若没有相应的解密密钥,依然不可获取所需数据。
3.2 云数据网络安全策略
一般情况,企业数据中心存有大量的重要数据,如企业客户信息、商业秘密、财务数据、重要的业务流程等。在云计算环境下,企业将数据通过网络传输到云计算中心进行处理时,就会面临着网络传输数据的安全问题。目前,云计算服务商主要采用加密算法的安全通信协议与超文本传输安全协议,虽然这些协议具有完整性与认证性等特征,但也并不能确保云数据传输不被窃听或截取。
3.2.1 文件透明加密
云计算终端数据绝大多数以电子文件形式存在,系统提供文件透明加密,确保终端用户在操作方式不发生改变的情况下,电子文件以密文方式存储。采用驱动层透明动态加解密技术,自动对存储到磁盘的数据做加密运算,对从磁盘读取的数据做解密操作。通过指定文件类型或者处理进程,进行强制加密、强制访问控制和离线管理等技术手段,达到所有存储介质上存在的该类型文件全部加密,可以有效防止机密信息泄漏。
3.2.2 虚拟安全网络
构建先进的虚拟安全域网络,使用户可以同时访问多个应用的虚拟安全域,但相互之间是隔离的,用户终端无法使用来实现两个虚拟安全域之间的路由。并且根据权限和安全策略,动态地将被访问的各种应用系统资源划分到不同的虚拟安全网中,实现具体业务应用系统环境的动态专用性,并且从安全管理角度上对网络数据进行精细化的安全管理。
3.3 云端用户数据安全策略
云端用户存取云计算数据的途径方式多样,不同用户终端的安全防护措施差异也较大,云服务商难以有效监控云端用户的诸多安全风险。云服务商为吸引庞大的客户群,开辟了大量的外链接通道,严重威胁云数据安全。其次,部分云服务商的内部员工通过云管理平台的特权接口,隐蔽地访问云数据或通过旁路通道获取部分运行信息推演数据,造成云数据泄露或损毁。
3.3.1 身份认证管理
基于PKI安全体系,可以将安全策略、安全认证、安全管理等多应用深度整合,形成一个统一、坚强的安全防护体系,包含安全事件收集、事件分析、状态监视、资源管理、用户管理以及授权策略管理,并通过流程优化、系统联动、事件管理等方式深层次、全方位地整合各应用系统资源,最高效率地处理安全问题,保护系统资源整体安全。系统以核心安全服务中间件为引擎,以应用资源为中心,按照集中认证、统一授权、统一审计、统一管理的原则,深度整合系统资源,达到全面的安全目标,同时通过异地认证达到更广范围的跨区域整合。
3.3.2 终端桌面安全
在终端区域,可以通过远程监控、补丁推送、软硬件资产统计、终端程序控制策略、本地虚拟运行环境、进程安全管理、桌面资源管理和软件和补丁分发等技术,保障终端桌面工作环境安全。
3.4 云数据审计安全策略
用户对自己数据的完整性和安全性负有最终的责任。传统服务提供商需要通过外部审计和安全认证,但一些云计算提供商却拒绝接受这样的审查。为了保证数据的准确性和有效性往往会引入第三方的认证机构进数据审计。在实施审计的过程中,还需保证审计机构不泄漏相关企业的敏感数据。
4 结 语
文中通过分析云计算环境下的云数据储存、网络传输及云端数据处理三方面存在的数据安全风险,结合云服务商数据资源管理和企业信息化过程,提供了针对云计算环境下的“云计算中心+数据传输+云端”的三位一体的数据安全控制策略,确保云计算数据的保密、完整、可用,为基于云计算的企业信息化建设提供参考。所采用的方法能够结合云计算服务提供商的需求进行扩展。
主要参考文献
[1]Peter Mell,Timothy Granee.The NIST Definition of Cloud Computing[R].Nation Institute of Standards & Technology,2011.
[2]陈康,郑纬民.云计算:系统实例与研究现状[J].软件学报,2009,20(5):1337-1348.
关键词:企业信息化过程;内部控制问题;研究
企业内部控制是企业管理的重要组成部分,其本身也属于管理学领域内的一个分支。内部控制的出现主要取决于企业的内部分工,其本质属于一种经济管理活动,距今已经具备很多年的发展历史。内部控制的职能与作用主要是为了协调企业各部门和生产经营环节之间的衔接,从而保证企业的稳定运行。鉴于此,本文对于企业信息化过程中内部控制问题的延吉具有重要意义。
一、企业内部控制制度概述
(一)内部控制的基本概念
内部控制的基本定义当中包含了3个核心词汇,即目标,风险和控制,即为了达到某一个业务目标,需要通过管理程序或活动减少影响目标的风险。其中,业务目标的基本特征包括量化、可衡量以及可实现,风险则是指任何可能影响某一组织实现其目标的事项。在企业内部公司管理层为了达到企业的某种经营目标,需要在公司经营环境和过程中规避风险事件,为经营目标的实现创造有利的内部环境[1]。
(二)内部控制产生的原因
内部控制之所以出现,主要是因为在企业的生产经营过程中存在着诸多的风险隐患,包括商业风险和管理风险。商业风险中主要包括经营环境、行业的风险,企业所处的金融时常风险,产品的开发能力风险等,这些风险完全不受企业支配。管理风险主要包括经营和财务信息的不足,政策、计划、程序、法律和标准贯彻失败,资产流失,资源浪费和无效使用以及不能达到企业的目的和目标等事件。上述风险的存在很容易导致企业的竞争失败、经营中断、资产损失、决策失误以及商业欺诈和法律诉讼等,不仅使得企业的目标无法达到,同时也会给企业的名誉造成较大的影响。因此,为了将风险降低到最小,就需要加强对企业的内部控制[2]。(三)内部控制系统概述内部控制的基本要素包括监督、信息与沟通、控制活动、风险评估与控制环境,内部控制贯穿于企业的所有业务部门,其目标主要包括三个方面,即提高企业的运营效率与效果,增加财务数据的可靠性,并遵循相关的法令与合约承若。控制活动的类型一般包括预防性控制、检查性控制、纠正性控制和补偿性控制。
二、企业信息化概述
(一)企业信息化建设的必要
现以实际企业为例,说明企业信息化建设的必要性。某公司成立20余年,在历经各种考验后,规模不断壮大,但随着近年来竞争的加剧及市场环境的恶化,公司产品销量受到冲击,但同时费用却未达到同幅度缩减,导致业绩出现下滑。公司内部深层次矛盾逐渐暴露出来,比如费用效能低、市场反应滞后、决策信息支持不够等。公司管理层对此也早有预期,因此2014年公司就积极寻求改革,提出转型升级、流程再造,并与IBM合作开发高质量全面管理信息化平台。遵循“业务模式化”、“职能流程化”和“体系信息化”的思想,通过流程优化梳理、数据整理、用户培训等一系列精心的上线前准备及上线检查、模拟运行、数据导入、交付使用等严密的切换部署,使项目进项落地。在此基础上提升了业务操作水平和公司整体运营效率,使管理层实现前瞻管控,并且为决策层提供实时全面的信息数据和决策辅助。由此可见,企业信息化建设是十分必要的[3]。
(二)企业信息化的内涵
企业信息化就是指在计算机互联网技术和数据库技术等现代化信息技术的支撑下,完成对企业业务流程和生产经营活动的优化,实现企业资源的合理配置和高效利用,从而提高企业的市场竞争力和经济效益。企业信息化的基本特征主要包括信息处理的计算机化、信息传输的网络化、信息资源管理的数据库化、信息应用的普及化等,信息系统的覆盖面已经遍及整个企业以及与企业有业务往来的所有单位中。
三、企业信息化过程中内部控制问题分析
企业信息化过程中内部控制问题主要表现在以下几个方面:
(一)内部控制系统中的控制环境更加复杂
控制环境作为企业的核心,是企业的人以及它所处的环境,是推动企业的引擎,也是其他要素的基础。其不仅提供了企业纪律与架构,同时塑造了企业文化,影响着员工的控制意识。在企业信息化的过程中,增加了控制环境的复杂化,其主要原因在与信息化建设下的企业内部组织机构趋向于扁平化,从而使得传统企业组织机构的集权化和规范化受到威胁。在组织控制复杂的基础上,管理很容易出现失控现象,从而威胁到企业运行发展的稳定性[4]。
(二)内部控制系统中风险评估的要求标准更高
企业信息化过程中,由于加入了信息化元素,使得企业组织系统的风险类型进一步扩充,信息系统的控制功能范围进一步扩大,企业原有的业务流程以及控制监督体系被重新改造,因此增加了内部控制系统对企业风险的评估难度。此外,信息系统在与网络的作用过程中,会遇到网络攻击以及各种病毒的侵害,这种风险带来的危害性是不能预料的,从而在风险评估过程中对评估人员的专业素质要求会更高。
(三)控制活动不完善
控制活动的不完善主要表现在业务流程与信息系统的冲突,在这些矛盾和冲突发展过程中会形成较多的内部控制盲点,从而使得企业的业务发展受到威胁。业务处理过程中在信息系统的作用下,很难保证相关业务数据的真实性,当相关工作者责任意识不高或者综合素质偏低时很容易因为一己私利,恶意篡改相关的操作流程以及资金预算,从而危害到企业的经济效益和稳定发展[5]。
(四)监督机构的作用不强
企业信息化过程中,企业将大量的精力均投入到了信息系统的管理和监督上,对于企业内部控制的监督和管理相对较少。尽管借助信息系统可以完成对企业内部的部分监督,但是并不能一一落实,从在很多监管上的漏洞,而这些问题很容易对企业造成影响,破坏企业系统的稳定性。
四、加强我国企业信息化过程中内部控制的对策
(一)优化控制环境
控制环境的优化是调节企业传统的内部控制与现代信息化建设之间矛盾的重要举措,具体应该做到以下几方面的优化:1.重塑企业文化氛围,企业文化是影响企业稳定发展的重要原因之一,在实现企业信息化的过程中,企业员工的工作态度和价值观念等均会发生较大的变化,这些变化直接威胁到了企业员工的职业道德水准,从而破坏了内部控制与信息系统之间的平衡。因此,建立起基于信息化条件下的企业文化环境,价值理念和工作作风是十分必要的。2.细化组织控制结构,完善相关职能。即使企业在信息化过程中,将各种部门通过信息系统连理起来,形成了以信息系统为控制核心的整体机构,但是仍然无法避免组织中的不稳定因素、鉴于此,可以采取双向控制方式。在信息系统整体控制作用下,细化组织控制结构,弥补信息系统中存在的不规范和散权现象[6]。
(二)加强风险管理机制的专业程度
随着信息化进程的推进,风险种类和危害性均在加强,为此,企业内部应该成立专业的风险控制小组,并按照风险种类划分为信息风险、商业风险和管理风险,针对不同的风险类型划分风险评估的组别。风险评估小组在进行风险评价的过程中要按照完善的评估规范,做好记录,并对相关负责人进行定期汇报总结,从而为完善企业信息系统作出参考。
(三)促进控制活动的有效性
为了保证控制活动的有效性,在建立控制活动的过程中要实现业务流程与系统的整合,加强计算机硬件与网络系统安全的控制。在控制过程中加强软件管理,重视技术控制,并制定出相关财务软件的业界协议,从而保证控制活动得以顺利开展。除上述建议性措施以外,还应该健全企业的监督机制,建立良好的信息沟通系统,从而保证在企业信息化过程中可以与内部控制系统良好的结合在一起,共同助力企业的可持续发展。
五、结论
综上所述,通过分析企业内部控制和信息化建设,说明了内部控制与信息化对于企业而言均为不可或缺的关键组成。通过分析企业信息化过程中内部控制的问题,提出了具有针对性的建议性策略。为了保证企业的稳定运行,实现持续发展,就需要优化企业控制环境,完善风险管理机制,促进控制活动的有效性。
参考文献:
[1]李彦锐.基于信息化的企业内部控制构建研究[D].东北林业大学,2012.[2]顾飞.企业和谐信息化体系构建研究[D].山东大学,2012.
[3]刘天雄,杨凤凤.信息化环境下中小企业内部控制的问题研究[J].商业会计,2013,04:81-82.
[4]唐佳昕.华菱湘钢内部审计信息化建设中的风险控制研究[D].湘潭大学,2015.
[5]李华.浅谈中小企业信息化过程中的内部控制问题[J].东方企业文化,2012,19:58-59.
[关键词] 中小企业 信息化 ASP
一、引言
经过二十多年的改革开放,中小企业已成为我国国民经济的重要组成部分,在经济、社会协调发展方面发挥着重要作用。根据有关统计资料,我国中小企业约有1100万家,中小企业占到我国企业总数的99%以上。中小企业工业总产值和实现利税分别约占全国企业的60%和40%。
但是,随着全球经济日趋一体化,国际、国内的企业竞争越来越激烈,我国的中小企业也面临着巨大的机遇和挑战,迫切需要依靠信息技术来提高企业的竞争力。中小企业信息化是指中小企业在作业、管理、经营各个环节、各个层次利用计算机、通信和网络为核心等现代信息技术,通过信息资源的开发和利用,进行资源的有效整合,不断提高作业、经营、管理和决策能力,进而提高企业经营效益和企业竞争力的过程。信息化是中小企业迎接新经济的挑战,提高企业运作效率、降低经营管理成本,把握新的商业机会的必由之路,是企业提升核心竞争力不可或缺的手段。因此,推动中小企业信息化建设,对中小企业自身和我国经济发展无疑都具有重要的作用。
虽然经过近几年的信息化建设,我国中小企业信息化取得一定的进步,但总体来说,由于受到资金、技术、人员、管理基础等资源的约束,当前中小企业信息化建设和发展中仍面临着许多困难和问题,中小企业信息化进展缓慢。
二、基于ASP的中小企业信息化模式
ASP(Application Server Provider)是指通过互联网,以出售或租赁应用软件服务的方式,专为企业提供其所需要的各种应用软件服务的应用服务供应商。ASP是随着外包趋势、软件应用服务和通信传输的发展而逐渐形成的,它不仅为传统产业应用互联网、实现其信息化开辟出巨大空间,也为信息技术行业提供了一种新的发展机会,迅速引起人们的极大兴趣,逐渐推广应用到中小企业。
1.基于ASP的中小企业信息化模式的内涵
基于ASP的中小企业信息化模式是指在共同签署的外包协议或合同的基础上,中小企业将其部分或全部与业务流程相关的应用(如人事,物流管理,财务管理、ERP甚至是Intranet(内部网),E-mail服务等)委托给ASP(应用服务供应商),ASP将保证这些业务流程的平滑运转,即不仅要负责应用程序的建立、维护与升级,还要对应用系统进行管理,所有这些服务的使用都是基于互联网的,客户通过互联网远程获取这些服务。
在ASP模式下,中小企业不再拥有一个应用程序,也不需要负责对程序的内外部维护。中小企业在签订合同后,就可以通过浏览器连接到位于远端的,集中式服务器上的应用程序,然后在本地处理计算产生的结果。
2.基于ASP的中小企业信息化模式的优势
采用基于ASP的中小企业信息化模式的优势主要有以下几点:
(1)中小企业可以更好地专注于自己的核心竞争能力的发展。通过采用ASP模式,将信息系统建设和维护方面的非核心业务外包给富有经验和专业能力的ASP供应商,中小企业可以更好地专注于自己的核心竞争能力的发展。
(2)降低中小企业信息化成本和风险。企业信息化是一项复杂的系统工程,中小企业自行建设信息系统既需要较长的准备和实施周期,又需要大量的资金和足够的IT人才。采用ASP模式,硬件的购买和维护、应用系统的开发、维护和升级等问题全都由ASP供应商负责,中小企业只需支出一定的租赁费用,大大降低了信息化的成本和风险。
(3)提高中小企业信息化整体的质量和层次。与中小企业自身建设信息系统相比,ASP供应商在软硬件系统的配置或是系统的维护方面都将做得更专业和更好,使得信息化的整体质量和层次都会有所保证。
ASP模式使得中小企业从信息化过程中的资金不足、人才不够、技术不到位等困境中摆脱出来,以契约的形式将信息化的各项业务外包给专业的服务商。因此,采用ASP模式实现企业信息化,将是企业信息化的一个全新的选择。
三、采用ASP模式信息化应注意的问题
在基于ASP的中小企业信息化模式里,ASP供应商和中小企业是两个主要的参与者。ASP模式能否得以健康、稳定、持续的发展,与这两个主体的行为密切相关。
1.ASP供应商应注意的问题
(1)确保网络和数据安全。网络和数据安全常常被看作是ASP市场发展的最大障碍。客户对存放于ASP系统中数据安全性的担心,包括两个方面:技术方面,ASP供应商是否有足够的设备和措施,保证数据不遭受病毒破坏、黑客盗取等;非技术方面,信息系统中的数据大多是企业商业机密数据,ASP供应商能否保证这些数据不会被泄露给其他任何方面的机构或企业。所以,ASP供应商应加大对网络安全方面的投入,加强网络安全,同时加强自身的职业道德、诚实守信方面的建设,力求保护用户的商业机密,切实保证数据的安全。
(2)加强网络基础建设。ASP模式需要用户通过互联网来使用,而且很多业务对实时性要求高,因此ASP模式对网络传输能力的要求较高,网络质量将直接影响ASP供应商向中小企业提供服务。如果没有一个高速、高质量的网络环境,就不会吸引中小企业接受这种服务方式。因此ASP供应商应加强网络基础建设,保证较高的网络质量。
(3)大力发展基于网络的应用软件。应用软件是ASP模式的关键与核心,没有相应的针对Web开发的应用程序就谈不上ASP服务,所以ASP供应商应加强与有实力软件厂商的合作,大力发展基于网络的应用软件。
(4)突出优势特色,提供个性化服务。ASP模式是“一对多”服务关系,随着ASP应用不断增多,将会有越来越多的企业向ASP供应商提出自己的独特要求,如何解决好这一矛盾是ASP服务商需要好好考虑的问题。ASP供应商在能够充分发挥自身特色与优势的同时,选择某些行业或领域的特定客户群,形成专业优势,提供个性化服务,从而形成消耗最少,获利最多的赢利模式。
(5)树立品牌意识。目前,在社会综合环境不完善的条件下,企业在接受ASP服务方面还存在着一定的难度。成熟的ASP应积极加强自身的基础设施、应用平台、服务质量、费用构成、社会信誉等方面的建设,树立优良的企业品牌,增强客户的认同度,积极谋求自身的长远发展。
2.中小企业应注意的问题
(1)制定信息化战略规划。中小企业首先要认识到企业信息化重要性和必要性,认同并接受ASP服务模式。然后根据企业的特点和现状、业务流程的现状和存在问题等制定出企业未来三年或更长期的计划。其次必须清楚企业应该对哪些业务进行外包,认真分析企业的业务流程,并进行适当的改进,找出适合用ASP的业务。不同的企业,选择外包的业务是不一样的。如根据美国TeleChoice公司2001年对美国中小企业应用ASP的状况进行的调查,发现中小公司最愿意外包的应用是远程学习、电视会议、电子商务、Web网站、协作等。因为这些应用技术和人员要求较高,将这些应用外包也有利于节约成本。最后,在具体实施ASP模式信息化时,可采用分阶段进行,如第一阶段可以选择那些与企业核心业务关联较小的应用,如电子邮件系统、办公自动化系统等;第二阶段可以选择电子商务系统或简单的人事系统等;第三阶段可以考虑涉及企业的核心业务,如ERP系统、SCM系统。这样可以保证企业ASP模式的信息化稳妥、顺利的进行。
(2)选择合适的服务商。选择一个合适的服务商,是中小企业采用ASP模式成功实现企业信息化的重要保障。美国TeleChoice公司2001年调查表明中小企业选择ASP主要看重的是客户服务水平、ASP从业人员的资质,价格,声望,实施应用的能力等。企业可以将这些因素作为准则层,筛选并考察ASP服务商能否提供本企业所需的应用系统,能否提供强大的网络通信能力和保证其服务数据的安全性。
(3)注重信息化带来的管理变革。中小企业实施信息化就意味着企业经营模式与管理理念的创新,它需要对企业的业务流程、组织机构、管理方式、工作方式等进行合理的整合,以适应信息化的要求,从而存在相应的业务流程的变革、组织结构的变革、管理方式的变革等。中小企业应该重视信息化带来的管理变革,注重信息技术与组织文化相融合,设计出与信息化相适应的组织结构。
(4)树立风险意识。企业信息化建设是一个长期的复杂工程,采用ASP模式进行中小企业信息化只能够降低风险,不能完全规避风险,在整个信息化过程中仍然充斥着来自企业内外部的风险。因此,在ASP模式应用过程中,中小企业必须树立风险意识,如信息安全风险意识、成本风险意识、资源重新配置风险意识、组织调险意识等,只有对这些风险有充分的认识和心理准备,才能采取相应的防范措施,或在出现风险时才能沉着应对,将风险将到最低程度。
四、结束语
ASP模式作为一种全新的网络服务模式,是解决中小企业信息化和迈向全面电子商务的一个有效途径。中小企业信息化建设是一项复杂的系统工程,除了要有ASP服务商和中小企业的努力,更重要的还要有政府的支持、健全的法律法规保障和约束等多种力量来共同推进信息化进程。
参考文献:
[1]田金玉 赵彦峰:ASP:加快中小企业信息化进程的捷径[J]. 中国管理信息化.2006.11
[2]吴克忠:ASP模式与中小企业信息化.中国计算机用户 , 2006.7
摘 要 企业应当借助信息化平台,实现内部控制信息化,从控制风险出发,针对信息化环境下内部控制风险的新特点,权衡风险与收益,制定出相应的风险防范策略,以保障信息系统数据和信息安全可靠,从而更好地实现内部控制目标。其次,加强企业信息系统开发、运行和维护的控制。开发前应进行可行性研究和需求分析;开发中要对现有业务流程进行优化,并结合内部控制管理需求,对系统设计进行分析,对企业发展需求评估,更新方案要有可行性研究;后期要对系统的软件及硬件进行完善性维护,维护要做到会计数据的连续和安全,并由有关人员进行监督。第三,加强网络安全控制。重点发展第三方认证机构,企业之间发生业务来往时必须由第三方公证确认才可交易;在企业信息系统中分离出操作与监控两个岗位,通过经济业务多方备份的方式实现岗位间的有效牵制。
关键词 信息系统 内部控制 风险管理
一、信息系统对内部控制的影响
信息系统对内部控制的影响主要体现在四个方面:包括对对信息与沟通的影响、控制环境的影响、对风险评估的影响以及对监控的影响。
(一)对信息与沟通的影响
信息流是信息的传播与流动,其包括信息采集、信息传递以及信息加工处理。信息系统对提高企业信息质量,加强信息流动具有至关重要的影响。一方面,信息系统大大提升了企业处理信息的能力。若干个子系统共同构成信息系统,企业运用信息系统将有助于促进企业物流、资金流和信息流的集成,使企业具有处理内部信息和外部环境、活动信息的能力。另一方面,信息系统大大提升了企业内部信息传递的能力。企业内部沟通直接影响到内部控制状况,通常情况下,企业内部沟通包括部门内部之间的沟通和企业各部门之间的沟通,沟通是实现企业各部门、各职员信息互换,优势互补的关键环节。信息系统为企业各部门之间的沟通构建了良好的平台,对提高企业的运营效率和增强决策的高效性具有十分重要的现实意义。
(二)对控制环境的影响
一方面,信息管理系统完善了员工知识和技能结构。员工知识和技能水平直接关系到内部控制工作的高效性,随着信息技术的突飞猛进发展,员工传统的知识和技能结构已经不能够满足现行企业内部控制工作需求。运用信息系统有助于增强计算机操作技能及其信息管理软件的使用等,有效保证了企业管理者掌握真实、可靠的信息,大大提升了企业决策的正确性。另一方面,信息管理系统强化了企业管理制度的执行力。各项管理制度是企业顺利开展内部控制工作的基础。企业将各项管理制度并入信息管理系统中,实现其制度管理和应用的信息化和现代化,有助于强化各项管理制度的执行力,充分体现其价值。
(三)对风险评估的影响
企业为防范各种风险,开展风险评估工作。目前,我国相当一部分企业风险评估尚未能够全面落实到位,信息系统的实施进一步扩大了企业风险评估的范围,有助于保证企业各项生产经营工作顺利高效开展。总结而言,信息系统对风险评估的影响主要表现在两个方面:一方面是企业整体层面。基于信息系统的不稳定性或人员操作失误的影响,极易造成有效数据的丢失,从而,造成信息失真现象,企业在搭建信息系统时促进了其系统的升级,大大提高了硬件和数据的安全性。另一方面是业务层面。传统企业信息的传递均以纸张为主,其信息极易被人盗取,信息系统的实施,使信息传递载体逐渐由纸张向电子信息平台转变,以此,大大增强了信息的安全性和数据的有效性。
(四)对监控的影响
监督控制是指企业相关部门对内部控制的执行状况做出检查与考核,切实确保将内部控制落实到位。由于信息系统具有自动化与流程化等特征,且其为企业持续开展健康控制营造了良好的外部环境。因此,信息系统不仅实现了实时监督,提高了监督的效率和效果,而且受企业内部控制制度本身缺陷和信息系统本身漏洞的影响,给予企业顺利实施监督控制带来了极大的挑战。
二、企业内部控制信息化带来的系列风险
(一)企业信息化给企业经营带来的新风险
一是拓宽了风险评估范围。企业信息化的实现将所有企业信息集中起来,由数据处理系统统一管理和支配,该系统一旦被竞争企业其侵入,势必将使全部的企业信息展露在竞争企业面前,以至于企业遭受巨大的风险。二是加大了设备使用风险。硬件和软件共同构成了企业信息管理系统,硬件存在的问题给企业内部控制带来了严峻的挑战,软件中的稳定性低、切实度低等问题给予企业带来了新的运行风险。三是加大了道德风险。企业信息化的实现必须建立在内部系统与外部系统的连接基础之上,即加大了企业内部人员与黑客的合作机会,若黑客反向攻击,势必将给企业造成不可估量的损失。
(二)信息化与内部控制相辅相成,彼此影响与制约
企业信息化管理系统对信息数据进行有效的收集、控制以及管理,通过实现资源的合理配置,大大提升企业生产效率和决策水平,从而,促进企业的可持续发展。通常情况下,企业信息化水平与内部控制呈现正相关,即企业信息化越高,内部控制质量越高;反之亦然。
(三)信息化推进企业实现内部结构扁平化
就传统企业管理而言,其内部结构主要是以管理层级制度为依据的金字塔式结构,这种结构主要服务于中层管理人员,企业信息化管理的实现对企业信息及时更新和传递,有助于企业高级管理人员更能全面的把握企业整体经营管理状况。
关键词:网络环境;内部控制;风险评估
在“COSO内部控制整体框架”理论中,财务风险评估机制是内部控制的关键要素。风险评估是识别、分析相关风险以实现既定目标,是风险管理的基础。因此,如何辨识、分析与管理财务风险,成为企业内部管理的关键。信息技术的发展,给企业带来了竞争优势,同时也给企业的内部控制,特别是财务风险评估及风险评估机制的建立和管理带来困难。
一、网络环境下财务风险评估存在的问题
在网络环境下,虽然企业的整体目标没有发生变化,但是企业经营管理的外部环境与内部因素都发生了变化。伴随者业务流程的重组,系统的开放性、信息的分散性、数据的共享性,使系统从以往封闭的集中状态走向开放,网络带给企业的财务风险主要表现在以下几个方面:
1.授权方式的变化带来的潜在风险。由于财务信息的开放性和保密性,系统程序员、系统操作员、系统分析员、网络系统维护员等各类人员对其权限内的工作都设置一定的口令或密码,但是他们的工作态度、责任心、业务水平参差不齐,一旦系统操作员不怀好意,擅自改变他人的口令或密码,改变他人的权限,势必造成网络系统管理混乱,从而给网络环境下会计信息带来风险。
2.内部控制计算机程序化的风险,有可能导致同一种差错反复发生。网络环境下的内部控制,在很大程度上取决于这些会计信息系统中运行的程序的质量。一旦这些应用程序中存在严重的漏洞或恶意的“后门”,就会严重危害系统安全。
3.原始凭证数字化,使得会计信息被篡改或伪造。随着电子商务的发展,一些单位的原始凭证也如同记账凭证、会计账簿或报表一样,已实现数据化、电子化,即以数据形式存储在磁(光)性介质上,这种无纸凭证极其容易被窜改或伪造而不留痕迹,它弱化了纸质原始凭证所具有的较强的控制功能,给内部控制带来了新的问题。另外,磁性介质容易遭到破坏,一旦受损,又很难修复,这更使数据化的信息丢失或毁损的风险加大。
4.网络环境的开放性加剧了会计信息失真的风险。由于网络环境具有开放性等特点,在这个环境中一切信息在理论上都是可以被访问到的,除非他们在物理上断开连接。网络环境下的会计信息系统很容易被黑客访问或遭到病毒的攻击,这种攻击,可能来自企业外部,也可能来自企业内部,而且一旦发生将造成巨大损失。
综上所述,网络环境下出现的新问题主要是网络信息安全而造成的企业内部控制风险。因此,加强信息环境下企业内部控制风险管理主要在于加强对网络信息安全的管理。
二.网络环境下健全财务风险评估机制的主要对策
1.加强程序开发管理
首先,加强信息系统开发或采购的项目审批管理。公司要建立信息系统开发技术规范与流程,保证信息技术系统的开发或采购都通过适当的用户部门管理层和企业信息化部门管理层的审批,以确保新系统开发的可行性、与现有系统的整合性以及符合报告披露的目标。重要的信息技术基础设施和信息系统的采购、开发须在相关用户部门、企业信息化部门、本公司管理层或上级公司审批同意后,才可以开始正式执行。
其次,加强信息系统开发管理。对于涉及财务、运营等关键数据的系统开发项目,公司需对自行开发和外包合作开发等方式采用公司统一的信息系统开发方法和项目管理方法,并制定相应实施标准以确保执行。信息技术系统项目开发过程中,公司应当明确项目管理部门(组),由项目管理部门(组)监控项目的进展情况。预算要求、需求说明、项目关键报告等文档须经项目工作组审阅,并进行归档保存。
再次,加强信息系统开发测试管理。在开发信息技术系统的过程中,项目管理部门(组)对测试结果必须集中归档保管,对系统层面和用户层面的测试要求进行书面记录并最终达到测试要求。测试后信息技术人员及用户部门对测试结果进行书面确认,并进行项目归档保存。项目管理组对新上线的信息技术系统在实施后进行终验,以确保新流程及相关控制的正确运行和操作。相关部门审阅终验报告,跟进和解决遗留的问题,并书面确认该系统已达到功能和控制上的预定要求。
2.加强信息安全管理
首先,要加强信息系统安全管理。公司应建立相关信息安全职能,并制定相应的组织结构图及部门、人员职责描述文档。公司应制定正式并经过管理层批准的信息系统安全政策,范围包括所有涉及财务、运营等关键数据和程序的信息技术环境(例如网络安全、物理安全、操作系统安全、应用程序安全等方面)。用户和信息技术人员都应知晓本公司的信息系统安全政策。
其次,应加强用户账号的管理。用户账号的权限管理,公司应建立用户及其权限设置的管理流程,用户创建和授权必须通过相关领导审批后,方可由系统管理员在系统中创建用户账号。网络管理员用户账号的使用仅限于已授权人员,这类用户账号的授权须经用户部门管理层和企业信息化部门管理层的书面授权审批。业务信息系统用户账号访问权限,应根据相应管理流程经相应用户部门管理层审批后由系统管理员分配。对于超级用户等特权用户,企业应对其在系统中的操作全程进行监控。企业信息化部门分管人员必须对网络管理员账号和访问权限以及业务系统用户账号和访问权限进行定期审阅,以发现任何不合适的访问权限。发现的问题要及时与用户部门确认,跟进解决。公司在内部网络与互联网或其他外部网络的网络连接处安装防火墙,以防止对公司内网络的非法访问。
3.加强系统运行安全管理
首先,应加强系统运行及作业计划控制。公司应对重要的信息技术领域中的岗位和职责进行定义。岗位和职责的定义必须能够满足职责分工的要求。信息技术人员必须制定合适的系统维护作业安排计划和管理作业计划,包括作业优先级、授权流程及突发作业处理。对于作业执行,存在一定机制确保每个作业能够按时正确完成,在发生异常时能及时得到处理。只有授权的人员可以安排作业计划,作业安排计划由相关主管人员审批后,由系统管理员或值班人员按计划执行作业。系统的自动作业在系统中留有运行日志记录,手工作业的执行结果在值班日志上进行记录,日志记录应由信息技术人员定期检查并书面确认,以保证作业的正常执行。这些记录必须包含作业运行中的非正常和失败事件。
其次,应加强系统备份控制。企业信息化部门应考虑系统设备的重要性及恢复成本,制定备份策略。在备份策略中说明备份范围、备份频率以及备份数据保存时间等内容,用户部门对备查策略参与意见。备份策略由企业信息化部门负责人审核后报公司管理层审批。对系统设备的数据备份保留备份日志(自动或手工记录),备份运行人员定期复核备份日志,以发现备份错误或其它异常现象并及时跟进解决。
再次,应加强问题管理。应使用自动监控软件或分配专人对生产环境进行监控,及时发现系统故障。监控结果必须有日志记录,并有相应的故障上报及跟进制度,保证问题的及时解决。用户报告的系统故障和问题,必须集中记录,由信息技术人员对这些故障或问题进行监控并及时跟进解决。企业信息化部门在用户电脑上安装反病毒软件,实现自动扫描和实时更新病毒库。
4.应加强程序变更管理
首先,应加强变更需求管理。变更需求的发起部门需要填写正式的变更申请文件,描述变更申请的原因、变更影响的系统、变更影响范围、变更说明等进行评估,以保证其能够满足业务及应用系统的控制要求,提交企业信息化部门主管人员与变更影响部门主管人员审批。对信息系统的重要变更必须形成正式文档,并在变更实施前得到企业信息化部门主管人员的书面批准。变更文档和主管人员的书面批准必须存档保管。
其次,应加强配置变更管理。所有对系统的配置变更必须形成正式文档,并在变更于生产环境中实施前得到用户部门及企业化部门主管人员的批准。变更文档和主管批准必须存档保管。企业信息化部门或用户部门提出配置变更的计划及方案,向企业信息化部门或用户部门主管通过书面方式提出申请,并依据配置变更的性质、影响范围等情况在。
再次,应加强紧急变更管理。公司必须建立应急变更管理流程,对应急变更的流程及范围进行定义,并传达至相关的企业信息化部门及用户部门。紧急变更必须在变更实施前得到企业信息化部门主管人员的同意,并在实施前得到企业信息化部门主管人员的正式确认。紧急变更需在变更实施前进行变更的测试(如为配置变更,可根据需要决定是否测试),其结果需包含在变更报告中,得到企业信息化部门主管人员的书面确认。
参考文献:
[1]胡为民,内部控制与企业风险管理-实务操作指南[M],电子工业出版社,2007(4)
[2]张蕾,IT环境下基于风险管理的企业内部控制研究[D]上海财经大学,2007,185-202
[3]陈志斌,信息化生态环境下企业内部控制框架研究[J],会计研究,2007(1):16-25
[4]刘志远,网络技术条件下的企业内部控制[J],会计研究,2001,(12):18-23
[5]吴水澎、陈汉文、邵贤弟:《企业内部控制理论的发展与启示》[J],会计研究,2000,(5):12-18
关键词:企业信息化 审计环境 审计费用
着计算机技术的广泛应用,企业审计环境加快向会计信息电子化、业务运行网络化、内部管理信息化方向发展,审计人员了解被审计单位的环境成为审计业务制定的重要前提因素。在有关审计定价影响因素的研究中,学者们多以审计风险为视角来开展,对企业信息化环境层面的审计风险因素与审计定价的关系探讨却很少。本文将结合企业信息化在企业经济发展中的重要性,研究信息技术上市公司企业信息化水平对审计费用的影响。
一、文献回顾
审计费用实际上是审计委托人与审计人员在审计业务过程中,审计委托人支付给审计人员的费用。审计费用体现了审计人员的价值,审计费用的高低不仅取决于市场的供求关系,还反映了审计人员的独立性。2001年12月24日公布的《公开发行证券的公司信息披露规范问答第6号――支付会计师事务所报酬及其披露》要求上市公司在年报中披露支付给会计师事务所的报酬,并详细具体地规定了支付报酬的内容和形式,引发了国内学者对审计费用的实证研究。王振林(2002)首次探讨了国内审计费用的因素,之后国内学者从盈余管理(伍利娜,2003)、客户规模(吴应宇等,2008)、内部审计质量(王守海和杨亚军,2009)、审计风险(宋衍蘅,2011)、关联方交易(马建威和李伟,2013)等各个角度探讨了其与审计费用的关系。
面对日益复杂化的企业信息系统环境,如何有效地开展审计工作,取得审计证据,是当今CPA十分关心和困惑的问题。学者们提出企业信息化后的取证策略要充分考虑企业信息系统的内部控制因素。在收集审计证据的过程中,企业既可以通过应用IQC方法收集审计证据、加大分析性复核的应用,也可以利用并行审计技术、CAATS技术进行审计取证(许永斌、俞淑仙,2005)。另一些学者从行业分析的角度出发,研究了央行数据信息化存储对于审计调查取证的影响(刘立军,2008)。企业信息化在提高了审计的时效性、实现了审计的增值作用、提高了审计办公自动化水平的同时,也存在以下一些问题:一是信息化审计不能与审计实务有效结合;二是缺乏统一的计算机审计准则和标准,开展计算机审计存在较大风险;三是审计人员收集的有效信息不足;四是审计人员的素质有待改善(刘伟,2012)。
目前,我国资本市场正处于转型过渡期,在外部信息技术快速发展的情形下,企业信息化成为内部资本市场的一种决策环境。从审计人员的角度考虑,企业信息化被视作提升企业市场竞争力和提高企业经济效益的方式。审计人员的这种认知是否体现在审计费用上?审计人员对企业审计成本的计价是否考虑了企业信息化水平?正是基于这些思考,本文以信息技术行业上市公司为研究对象,实证分析企业信息化水平与审计费用的关系。
二、研究设计
国家审计署制定的“十二五”审计工作发展规划,强调推进审计事业信息化基础建设。企业信息化是国民经济信息化的基础,是企业现代化的重要标志和推动力量,是提高企业经济效益与竞争力的重要保证。在企业信息化实现的过程中,随着审计证据形式的变化、审计证据方法的转变以及审计取证手段的不断更新,信息化企业对于审计取证的难度进一步加大,审计风险也会进一步加大。而在审计定价时,审计风险大小会直接影响审计费用的高低。理论上审计风险越大,审计费用越高。但企业信息化水平测度的内容极为广泛,而且影响企业信息化水平的因素也很多,无法准确直观地用变量来反映企业信息化水平。目前,对于企业信息化水平的研究方法主要集中在上市公司自身的信息设备水平、信息人力资源水平和信息资源开发水平等方面。因此,本文从这三方面出发,提出企业信息化对审计费用影响的研究假设。
(一)研究假设。本文的研究借鉴了目前世界上比较成熟的经济效益法。该方法适用于信息技术水平发达、员工素质普遍较高的企业。本文引入了信息技术行业上市公司信息技术基础设施总资产、掌握信息技术的员工占总员工数的比率、信息技术投入产出比率三个指标来描述上市公司的企业信息化水平,并假设企业信息化水平三个指标与审计费用成反比例关系。
假设1:信息技术上市公司信息技术基础设施总资产与审计费用成反比例关系。信息技术基础设施总资产是指会计期间,信息技术方面的投入(包含各种软件、硬件的基础设施)的总和。近年来,我国上市公司通过加大信息技术基础设施投入,不断提升企业的信息技术水平,从而提高了企业对于自身财务业务的处理能力。因此,企业信息技术基础设施对于提高企业行业竞争力有着一定的影响。在本文中,将上市公司信息技术基础设施总资产作为衡量企业信息化水平的因素,考察企业信息化水平因素对审计费用产生的影响。
假设2:信息技术上市公司掌握信息技术的员工占总员工数的比率与审计费用成反比例关系。掌握信息技术的员工占总员工数的比率,能基本反映上市公司信息化水平。信息技术人员越多,企业信息化水平越高,财务业务数据处理能力也越强。这也使得低成本、高效率的审计详查成为可能,从而使审计成本相应减少。因此,我们假设掌握信息技术的员工占总员工数的比率与审计费用成反比。
假设3:信息技术上市公司信息技术投入产出比率与审计费用成反比例关系。信息技术投入产出比率代表了公司信息化水平,而公司信息化水平的高低又标志着公司业务处理能力的强弱。一般而言,公司业务处理能力越强,审计人员执行审计业务的成本越低。信息技术投入产出比率越高,审计成本越低。因此,我们假设信息技术投入产出比率与审计费用成反比。
假设4:信息技术上市公司总资产与审计费用成正比例关系。信息化环境下,资产总额的大小,代表着公司规模的大小。公司规模大小又标志着公司业务的复杂程度。一般而言,公司业务越复杂,审计人员执行审计业务的成本越高。总资产规模越大,公司信息化复杂程度越高,审计成本越高。因此,我们假设公司总资产与审计费用成正比。
(二)样本选择和数据来源。在本文的研究过程中,选取2011年我国沪、深两市211家信息技术行业上市公司作为研究对象,并经过如下筛选:剔除2011年未披露审计费用的上市公司以及相关数据缺失的上市公司;剔除ST、PT类上市公司;剔除具有极端值的上市公司。最终得到156家上市公司,所有数据均来源于国泰安CSMAR中国上市公司财务报告审计意见数据库、中国上市公司财务附注数据库和中国上市公司治理结构研究数据库。
(三)模型建立与变量定义。
1.模型选择。借鉴Smunic(1980)的经典模型,利用最小二乘法,构建以下多元因素回归分析模型:
ln(fee)=δ+β1ln(Investment)+β2ITstaff+β3Yield+β4ln(assets)+ε
In(fee):上市公司审计费用的自然对数;In(Investment):上市公司信息技术基础设施总资产的自然对数;ITstaff:上市公司掌握信息技术的员工占总员工数的比率;Yield:上市公司信息化投入产出比率;In(assets):上市公司总资产的自然对数。
2.变量定义。本文选取审计费用的自然对数In(fee)作为被解释变量,信息技术基础设施总资产In(Investment)、掌握信息技术的员工占总员工比率ITstaff、信息技术投入产出比率Yield和上市公司总资产In(assets)作为解释变量。研究主要借鉴肖素梅等(2005)的做法,从企业信息设备水平、信息人力资源水平和信息资源开发利用水平等三个方面变量作为企业信息化水平衡量指标。模型中fee表示公司2011年的审计费用,用审计费用总额衡量。ITstaff表示公司2011年的信息技术人员比率,用研发与技术人员之和与总员工的比率衡量。Yield表示公司2011年的投入产出比率,结合信息技术行业的行业性质,本文用营业收入与营业成本来衡量。assets表示公司2011年的总资产,用总资产金额来衡量企业信息化资产规模。
Investment表示公司2011年的信息技术基础设施总资产。在上市公司披露的固定资产数据中,大部分公司对于信息技术基础设施数据并不明确。但结合信息技术行业上市公司的经营范围与行业性质,我们经过分析,发现大部分上市公司固定资产包括房屋及建筑物、固定资产装修改良、电子设备、机械设备以及运输设备等。其中,电子设备、机械设备以及运输设备属于信息技术基础设施范围。因此,本文采用期末固定资产总额减房屋及建筑物减固定资产装修改良来衡量上市公司信息技术基础设施总资产。
三、实证分析与结论
(一)实证结果及分析。本文利用SPSS 19.0统计分析软件对样本数据进行回归处理,处理结果见表1-表5。
表1是信息技术行业公司的基本情况描述。用于分析研究的数据有211个,有效的数据为156个(剔除了系统缺失值)。对有效数据进行描述性统计分析得出:就审计费用自然对数In(fee)而言,总样本的最小值为11.51,最大值为15.68,平均数为13.1635,标准差为0.52487,说明公司审计费用的差距较大。信息技术基础设备总资产自然对数In(Investment)最小值为14.68,最大值为21.87,平均数为17.4487,说明信息技术行业上市公司信息技术基础设备总资产差异幅度较大。而就信息技术人员比率ITstaff最小值、最大值、平均数和标准差为0.0397、0.9397、0.4578和0.23437,说明该行业上市公司对信息技术人员的需求程度的不同,相对其他变量变动幅度较小。Yield最小值为1.03,最大值为31.39,平均数为2.0922,这也说明企业从信息技术取得收益有着明显的差别。In(assets)最小值为18.81,最大值为25.38,平均数为21.1114,这说明该行业的企业总资产规模存在差异。
表2是变量输入输出表,本文采用全回归(ENTER)的方法进行数据分析。
表3反映回归模型的解释能力,回归模型的可决定系数R为0.415,调整后的R为0.400,即该模型对行业审计费用的影响因素的解释能力为40.0%,说明此回归模型具有较强的解释能力。
从表4也可以看出,审计费用的回归模型整体上具有较强的显著性(F=26.821;P=0.000)。
表5说明了信息技术基础设施总资产、掌握信息技术的员工占总员工数的比率、信息技术投入产出比率与审计费用显著相关,成反比例关系,即信息技术上市公司企业信息化水平越高,审计费用越低。而信息技术上市公司总资产与审计费用呈正比例关系,即上市公司总资产规模越大,审计费用越高。同时,笔者对上市公司信息技术基础设施总资产、掌握信息技术的员工占总员工数的比率、信息技术投入产出比率、上市公司总资产进行了多重共线性的检验,方差扩大因子(VIF)值均小于2.7,认为不存在多重共线性。
(二)结论。本文以实例探讨了企业信息化水平对审计费用的影响,对可能影响我国信息技术上市公司审计费用的相关企业信息化水平因素进行了实证分析,发现信息技术上市公司总资产与审计费用呈正比关系。信息技术上市公司信息技术基础设施总资产、掌握信息技术的员工占总员工数的比率、信息技术投入产出比率对审计费用成反比关系,与本文假设一致。模型回归后的F值和调整后的R2表明模型具有较强的解释能力,各变量的VIF均小于2.7,说明各个自变量之间不存在多重共线性。因此,在计算信息技术行业上市公司审计成本时,需要考虑上市公司总资产以及企业信息化水平等因素。希望本文探讨的企业信息化水平对审计费用的影响结果可以为审计定价的因素研究提供一定参考与借鉴。S
参考文献:
1.伍利娜.盈余管理对审计费用影响分析――来自中国上市公司首次审计费用披露的证据[J].会计研究,2003,(12):39-44.
2.吴应宇,毛俊,路云.客户规模与审计费用溢价的研究:来自2001-2004年沪市的初步证据[J].会计研究,2008,(05):83-89.
3.王守海,杨亚军.内部审计质量与审计费用研究――基于中国上市公司的证据[J].审计研究,2009,(5):65-73.
4.唐志荣,谌素华.企业信息化水平评价指标体系研究[J].科学学与科学技术管理,2002,(3):51-54.
5.宋衍蘅.审计风险、审计定价与相对谈判能力――以受监管部门处罚或调查的公司为例[J].会计研究,2011,(2):79-84.
6.马建威,李伟.关联方交易对审计费用的影响研究――基于2007-2010年沪市A股上市公司的经验证据[J].审计研究,2013,(1):79-86.
7.许永斌,俞淑仙.企业信息化对审计取证的影响及其对策[J].财会通讯(学术版),2005,(1):64-67.
作者简介:
咨询介入与企业正确认识信息化的关系
什么是企业信息化?如何认识企业信息化?企业需要什么样的信息化?这些问题是企业开展信息化建设进程中首先要解决的。咨询介入有责任和义务使企业了解企业信息化,正确理解企业信息化的内涵和作用,进而使企业明确需要什么样的信息化。
企业信息化是一个具有复杂内涵和外延的概念,也是一个发展的概念。不同的企业,其信息化的内涵是不相同的,对企业信息化的认识应结合企业的实际和企业的市场环境。脱离这些来谈企业的信息化,只能是空洞的、脱离实际的,也是没有成功基础的。
从宏观角度看,企业信息化有它的共性,其内容大体包括:生产过程的自动化和信息化、技术信息化、企业内部管理信息化、企业供应链和客户关系管理的信息化等几个方面。其中,管理信息化是企业信息化的重点。但是企业管理的信息化并不意味着企业的全面信息化。常常见到一些信息化提供商和咨询顾问有意或无意误导用户,将管理信息化等同于企业信息化,更有甚者将实施ERP等同于企业信息化。许多管理咨询顾问在信息化浪潮的推动下纷纷加入到企业信息化咨询的行列,为企业开展信息化咨询业务。这些管理咨询顾问具有丰富的企业管理咨询经验,能迅速弥补企业信息化咨询服务供应严重不足的缺憾,这是它有利的一面。但是,其弊端也是显而易见的。管理咨询顾问由于其专业领域的局限性,往往夸大管理信息化对企业的作用。
对企业而言,在信息化建设中重管理轻技术与重技术轻管理这两种极端的观念都是非常危险的。其危害在于以偏概全,将企业全业务流程的数字化、信息化割裂开,使企业业务流程中出现信息化盲区。这样做既违背了企业信息化实施的阶段性和层次性规律,也压缩了企业信息化战略纵深,加重了企业信息化规划的盲目性。许多企业在信息化提供商或咨询顾问的误导下上了一些管理信息系统,由于做规划时不是从企业内部和外部全业务流程考虑,而是只关注管理环节,致使这些管理信息系统既没有考虑与其他环节信息化的兼容性,也没预留与其他环节信息化的数据交换、转换和共享的接口。最后这些管理信息系统不是成了信息孤岛,便是其作用有限、名实不符。信息化提供商兼做咨询服务时,往往围绕其提供的信息化服务和应用的技术来定义信息化,背离了企业需求。还有一些咨询顾问追求面面俱到,贪大求全,使企业信息化建设投入超出企业承受能力,把信息化变成了企业的包袱。
企业信息化的积极影响
实施企业信息化是一项涉及面广、周期长、风险大的系统工程。企业在进行信息化决策时首先要问的就是信息化能给企业带来什么?许多信息化提供商和咨询顾问都能列举出一大堆信息化会给企业带来的益处,诸如降低库存、降低生产经营成本、提高企业核心竞争力等等。
当企业确信信息化能给企业带来利益和回报时,往往在信息化提供商或咨询顾问的引导下将信息系统视为组织的战略目标,这样就使企业耗费大量时间、精力、对策,而使信息化的投入变得越来越庞大,最终企业不仅不能在保持规模和效益的前提下增强自身的灵活性和反应能力,甚至还可能因此陷入经营困境。
当企业发现信息化并不像信息化提供商或咨询顾问所描述的那样,尤其对提高企业核心竞争力作用平平,再看看其他企业信息化实践,成功的案例少,失败的案例多,就难免使企业对信息化心存疑虑。另有一些企业出于种种原因,为了信息化而搞信息化,往往会将信息系统独立于组织战略之外。从而使企业信息化难以实现整体规划。最终花费了大量资金,即使在个别应用上取得了一定成效,但在全局上却构筑了无数个信息孤岛。这些信息孤岛没有实现信息的集成和共享,甚至产生负效益,从而使企业承受高额的风险代价。
实际上,信息化革命正在打破并重组现存的国际经济秩序和结构,并促使其由资本经济向信息经济转变、市场竞争由红海向蓝海演进。随着经济的全球化趋势,如果没有信息化,企业的改造、重构、工业化的进程就会怠慢,企业的生存和发展就会成为大问题。作为信息化咨询顾问,应使用户清楚地认识到企业信息化能给企业带来的最大利益不在于提高企业的核心竞争力,而是提高企业的协同竞争力。
准确把握信息化的作用应是咨询顾问义不容辞的责任和义务,同时也是企业正确制订信息化战略的前提。
咨询介入的利益导向
一个规范的信息化咨询市场所提供的咨询服务应是以用户需求为导向的。咨询顾问团队应十分熟悉企业业务流程,在详细调查的基础上,为企业定义信息化,帮助企业进行信息化规划。
调查显示,企业在信息化建设中主要有四种实现方式:
完全自助。企业自己设计战略、流程并实施。这种途径的优点是企业熟悉自身,成本低;缺点是专业化程度差,市场化速度较慢,同时可能存在管理的盲点。
打包服务。购买厂商产品的同时,由信息化提供商提供一些建议和指导性的咨询服务。
战略咨询与自主实施。由管理咨询设计战略,企业自己实施。
完全外包。由咨询公司设计战略,系统集成商实施,这是国际上通行的做法。
企业选择完全自助并非信息化建设最佳途径,往往是企业基于对信息化提供商和咨询服务方不信任的无奈选择。实际上大多数客户希望咨询公司能够同时帮助他们完成项目的实施,因此目前的趋势是一揽子解决方案:不仅提供技术和决策咨询,还参与具体方案的实施。
信息化提供商往往是系统集成商,在兼作咨询服务时,其咨询介入的本质是技术导向和利益导向。他们受利益的驱使,会围绕其所掌握或能提供的技术与服务,诱导企业应用他们的技术和产品。他们关注的是能否将其产品推销给企业,咨询的目的是使自身利益最大化。这种咨询服务在信息不对称下很难保证其客观和公正性,也难符合企业需求。
有些企业聘请管理咨询公司来帮助设计战略,自己去设计具体的流程并实施。由于缺乏对流程与信息技术的掌握,企业无法很好地整合战略与技术。这就使得战略很难转化为可操作的流程而得以实施。这就是很多大型信息化咨询项目在实际中很难取得彻底成功的原因。管理咨询公司在做信息化咨询时往往有业务导向倾向,他们夸大自己业务领域的作用和地位,不能真正站在企业信息化战略的高度和从四流集成的角度整体审视、规划企业信息化项目。
还有相当数量的高校、科研院所的教授和专家也纷纷从事企业信息化咨询。这些专家学者型咨询顾问往往没有企业经验,缺乏企业实践。他们基于自己研究领域和熟知的知识为企业信息化咨询,很多是生搬硬套一些知识和模式,对企业缺乏针对性和实用性,具有典型的知识导向特点。
上述几类咨询,很容易误导企业对信息化的认识,或以偏概全,以局部代全局;或使企业信息化背离企业需求,进而导致企业信息化建设失败。合理的信息化咨询应是以企业需求为导向,制定的企业战略、信息化规划要符合企业实际,其信息化实施、监理、培训等咨询环节也应围绕企业需求来进行。
咨询服务的发展趋势
面对迅速成长并相对混乱的信息化咨询市场,谁应成为咨询服务的主力军?按照企业信息化咨询服务提供商主体的不同,可以将企业信息化咨询市场进一步分为三类:系统集成、软件和解决方案供应商自己提供咨询服务的市场;与系统集成、软件和解决方案供应商结成销售关系的管理咨询公司提供咨询的市场;第三方咨询服务的市场。
目前,前两个细分市场仍占压倒性的优势和市场份额,但实际上存在很大问题。在第一个市场上,用户企业与信息化提供商是直接的甲方乙方关系,由于缺乏第三方,双方利益冲突常常出现且无法调停。一方面,用户企业由于信息的不对称,在双方博弈中常常处于弱势。用户企业或者徘徊观望,拒绝信息化,错过了利用信息技术提升竞争力的机会,或者盲目听从乙方的游说,仓促上马信息化项目,增大信息化的风险。另一方面,作为乙方的信息化提供商一般对甲方的生产工艺和技术、业务流程、管理模式不熟悉,加上甲方人员可能不予积极配合、沟通不畅,乙方对甲方的需求分析、信息化解决方案设计和项目规划、实施的广度、深度、力度都不到位,不仅导致项目失败率高,造成甲方投资损失,而且,在没有第三方帮助沟通、调解的情况下,因双方常常对项目是否完工、成功与否等问题认识不同而产生纠纷,也可能使乙方套牢在一个项目中难以自拔。
在第二个市场上,表面看,信息化提供商与咨询服务商优势互补,携手为甲方服务。但是,由于咨询服务商实际上是信息化提供商的商,利益驱使决定了他们共同作为乙方与甲方的合作关系,第一个市场的弊病仍然是不可避免的。这不仅仍然使用户企业得不到优质、诚信的咨询服务,也不利于我国整个企业信息化咨询市场的健康发展,最终将反过来影响信息化提供商与咨询服务商自身的发展。
在第三个市场上,存在着学院派咨询和咨询公司自主提供中立、第三方咨询服务两种形式。在西方发达国家学院派咨询也普遍存在,这类咨询最明显的优势是理论和思想的沉淀。但问题也比较突出:一是咨询方案尽管很系统,但缺乏有效的操作性,而企业信息化咨询最终的目的是让企业能够有效的实施。二是缺少真正咨询公司必备的组织体系和人力体系。通常由导师带领几个学生为企业咨询,而缺乏一个咨询公司必须具有的资讯、研发、咨询和培训开发的核心体系。
作为厂商和客户之外的专业第三方咨询公司,是站在一个较公正、中立和客观的角度上,对客户的应用现状作全面分析,并且提供最佳解决方案。对于客户来说,客观性和公正性是他们最为关注的,而后依次是技术专家的实力、对业界的洞察力、项目管理水平。但是第三方咨询公司也存在着很多问题。如:缺乏咨询专家,缺乏企业管理理论和经验基础;国内大多数信息化咨询企业缺乏核心竞争力;缺乏企业品牌;还有的咨询公司的服务不规范。
上述三个细分市场中,虽然前两个仍占据压倒性的优势和市场份额。但我们分析认为,问题就是机遇,需求决定供给。企业信息化建设的健康发展迫切需要、呼唤中立、第三方的咨询服务商,去沟通、协调甲方、乙方关系,帮助企业进行可行性研究、整体规划、选型招标、实施监理和验收评估,保护企业信息化投资,提高项目成功率。这既是企业信息化咨询服务市场健康发展的需要,也是实现IT企业、咨询公司与用户企业三方共赢的必然选择。
咨询介入的价值分析
咨询介入有价值吗?其价值在哪里?价值是如何体现和度量的?信息化咨询市场发育不全、企业信息化咨询项目效果不佳、咨询介入对企业信息化建设的影响缺乏度量手段,使人们对信息化咨询介入的价值产生疑惑。
由于咨询服务所提供的是一种无形、动态的知识产品,而用户支付的咨询费用则是有形的、静态的。用户寻找信息化咨询顾问的主要目的是减少企业信息化项目的风险和降低投资成本,提高企业信息化建设效率和效能。这也是信息化咨询介入的价值体现。
调查发现:企业的咨询意识已有了普遍提高。约有90%的企业明确表示需要咨询顾问帮助;多数企业不知道怎样找到或找不到理想的咨询公司,75%的企业不知道自己需要咨询什么,选择谁来提供咨询服务,不知谁真能帮企业解决实际问题。多数企业对咨询公司的运作方式和作业质量不满意。在与咨询公司接触过或合作过的37家企业中,有29家表示不满意甚至反感。鉴于此,我们认为,信息化咨询业的发展已到了一个由无序状态向规范化转变的转折时期。这一时期用户方和咨询方关注的焦点主要是咨询服务质量、咨询服务效率和咨询效果评价。
信息化咨询服务的质量主要有以下几个方面决定:信息化项目风险降低,对信息化项目绩效影响;信息系统本身质量,与企业切合度和对外接口;知识转移。
信息化项目风险是否降低直接决定了咨询介入是否有效;对信息化项目绩效影响则涉及到如何度量信息化规划、实施、应用与利用,计算并解释财务赢利指标,度量和报告咨询介入的非财务性收益。信息系统本身质量,与企业切合度和对外接口说明了咨询活动是否正确实施。知识转移是要看用户学到了什么。在不规范的市场运作下,加上缺乏度量依据,信息化咨询介入的质量如雾里看花,不仅用户说不清,咨询方也难以解释清楚。增加了用户对咨询介入效果的困惑和不信任。
服务效率也难以指标量化和测定。在信息化咨询服务中,一个方案能够在多大程度上为企业所利用其实不仅企业没法把握,就连咨询公司也模棱两可。其根本原因不仅在于服务时间不充分,更在于服务者和客户之间的知识领域差异和信息不对称。
企业信息化咨询的内容
目前在我国,信息化咨询介入仍处于低水平运作阶段,很难实现高质量和高效率的全程信息化咨询服务。咨询公司的服务不规范。没有成型的咨询体系,没有咨询案例数据库,并且动态信息源不够,不能向用户提供严谨、详实、规范的表达信息。咨询的需求方明显的感觉就是产品没有档次。在咨询过程之中双方的不信任和在时间、费用、咨询目标等方面的背离使得咨询的成功性大大的降低。在信息化建设中如何选择咨询服务、咨询什么内容已成为困扰企业的又一难题。
较之传统的管理咨询,企业信息化咨询具有以下特点:其主要服务方式为集合多家供应商及不同领域的先进技术和产品形成最贴近用户需求的解决方案,其终极目标是要帮助企业把信息技术和企业的战略结合起来。信息化咨询服务更侧重于为用户提供一套完整的解决方案,在这一过程中涉及到的不仅仅是客户和咨询服务提供商两方,同时还有提供信息技术产品的厂商。在此过程中,咨询方需要完全从用户的利益出发,帮助用户制定切合企业实际的信息化战略方案或信息化规划,根据用户的具体特点和需求选择最适合用户的产品,参与项目的实施和监理,同时向他们提品的相关服务,如关于产品的管理、使用、维护等的培训项目。为此,信息化咨询方自身既要熟知企业运作、企业战略规划、掌握企业生产经营业务流程和用户所从事领域的技术及工艺,还要对信息技术产品有着准确深入的了解,包括对产品技术性能的优缺点的了解,对实施这一产品的相关成本的了解等。
企业信息化咨询人才标准
企业信息化是一个高度专业化的多学科知识融合的领域,对人才的知识、技能和经验要求很高。目前,造成信息化咨询服务低水平运作的关键原因就是同时具备专业知识和丰富经验的信息化咨询人才极度匮乏,这也是困扰信息化咨询服务商的一个亟待解决的问题。
20世纪90年代以来,随着计算机及网络技术的广泛应用,企业的信息化建设成为企业实现现代化管理、提高竞争力的重要手段,并从根本上改变了企业传统的生产、采购、销售和管理模式。但由于历史、体制、观念等多方面的原因,信息化建设在企业中的应用并非一帆风顺。尤其是由于信息化建设项目的投资额较大,风险因素较多,如何进行有效的投资风险管理成为亟待解决的问题。传统的风险管理方法将投资中的风险和不确定性作为影响企业投资价值实现的不利因素,并通过对风险的识别和控制来消除或减小其对投资的影响。同时,信息化投资的不确定性也为企业带来了更多的选择机会,决策者可以根据企业的资源状况、项目不确定性的演变趋势对信息化投资做出合理规划,更好的实现投资价值。期权就是适应国际上金融机构和企业等控制风险、锁定成本的需要而出现的一种重要的避险衍生工具。与传统风险管理方法相比,期权在规避风险的同时,还充分认识到了投资不确定性所赋予企业的期权价值。基于此,本文将从期权管理投资风险的原理出发,研究一种利用期权进行企业信息化投资风险管理的新方法。
二、运用期权进行企业信息化风险管理的基本原理
“企业信息化”是“信息化”概念对企业的应用。它是指在企业管理的各环节不断应用信息技术,特别是计算机技术和通讯技术,深入开发和利用信息资源,加快企业信息的传递、加工和处理速度,及时为企业管理者提供决策依据,促进管理水平和竞争能力提高的过程。企业信息化是企业迎接新经济的挑战、大幅度提高运作效率、降低运营成本、把握新的商业机会的必由之路。在企业信息化的建设过程中,我国企业受地区意识的影响,大多数还处于一种半封闭的状态,企业未能亲身感受到全球化市场竞争和我国入世后带来的挑战和压力,时至今日仍处于传统、粗放的管理状态。科学的决策机制以及危机意识、管理意识和创新意识的缺乏,使管理已成为制约企业发展的瓶颈。
要真正改善企业的管理,需要运用系统化的思路,建立规范化的管理体系。金融期权作为一种风险管理工具,以其特有的发现价格配置资源、套期保值规避风险等经济功能,在经济发展中发挥着重要作用。期权是期权持有者在未来特定时间以特定价格买进或卖出一定数量的资产的选择权。期权管理风险的基本原理是:对于期权买方而言,如果未来标的资产的价格发生有利变动,投资可以获利,则可以选择在期权到期日或有效期内按约定价格行使权力;而如果未来标的资产的价格发生不利变动,投资无利可图,其最大损失也只限于向期权卖方支付的期权费(Premium)。期权费是期权买方为获取期权合约所赋予的权利而必须支付给期权卖方的费用,其多少取决于约定价格、到期时间以及整个期权合约。可见,期权买方利用期权可以将投资损失控制在一定范围内的同时获得无限的盈利机会,从而实现套期保值。买方期权的价值如图1所示。实物期权是金融期权在实物投资中的应用和推广,是指导不确定性环境下实物投资决策的有效方法。实物期权的动态性分析框架,注重反映真实的投资环境和投资进程,使投资者可切实地根据不确定性进行相关决策。信息化投资的复杂性和高风险性使其成为实物期权的重要应用领域。
三、企业基于实物期权的信息化投资风险管理框架
企业的信息化建设无论是作为企业的战术手段还是战略手段,其最终目的是为了提高企业的效益,而提高企业效益并不是信息技术的应用单方面可以实现的。只有充分认识到信息技术所能带来的机遇和问题,充分认识到信息技术与企业其他要素之间的关系,才有可能是信息技术真正促进企业的发展。运用实物期权进行企业的信息化投资风险管理,就是要注重对整个投资决策及信息化实施过程的动态思考,并将其作为相应决策和分析的基础,通过对信息化投资风险的识别,运用套期保值原理实现对信息化投资风险的管理。因此投资风险的管理过程同时也是企业对实物期权的管理过程,该过程主要有四个步骤组成:即识别信息化投资风险、匹配投资风险与实物期权、评价和选择实物期权以及依据确定的实物期权创造企业内部投资环境等。如图2。
(一)识别投资风险
信息化投资的高风险性是企业在推行信息化时必须注意到的。对于企业而言,信息化投资风险主要由企业内部风险和外部风险组成。其中内部风险又可进一步细分为组织风险、财务风险、人力资源风险和管理风险;外部风险又可细分为环境风险和技术风险。各种风险的具体特征如表1。
(二)匹配风险与实物期权
在识别出企业信息化投资中的风险后,接下来就是根据风险的特征找出可以控制和管理该风险的实物期权。一般来讲,信息化投资中的实物期权类型主要包括以下几类:
1.延迟型期权
企业为降低投资的不确定性不需要马上投资,而可以选择在未来某个适当时机进行投资,以便收集更多、更新的决策所需信息,降低投资的不确定性。
2.阶段型期权
由于信息化投资的初始投资一般较高、投资周期较长且不确定因素多,企业一般将信息化投资分为几个阶段进行,这样企业就可以根据项目前阶段的投资状况选择是否进行后阶段的投资。
3.学习/增长型期权
有时投资本身可以使企业获得以其他方式无法获得的决策信息,为降低整体投资的不确定性,企业可以选择首先在部门范围内进行小规模的实验性投资,根据投资的效果再决定是否应在整个企业实施投资。4.外包型期权为保持和培养自身的核心竞争能力,企业可以合同的方式委托技术服务商向企业提供部分或全部的信息功能,而核心的内容则由企业自主完成。这样通过信息技术外包,企业可以降低某些研发和投资风险。
5.租赁型期权
企业对某些机器设备的投资可以购买或租赁等多种实行来实现,这就形成了租赁型期权。如果选择以支付租金为条件使用出租方的机器设备,在租赁合约期满时,企业一般还有设备退还、续租或留购三种选择。
6.放弃型期权
企业在投资进行过程中,发现项目并不能达到预期的效果,或是继续投资可能导致更多的损失时,企业可以选择终止该项投资。对于风险与期权的匹配,需要特别指出的是,风险和实物期权并不是简单的一一对应的关系,一种风险可由多种实物期权进行管理,而一种实物期权也可控制多种风险。例如,如果企业预期技术创新的发展速度较快,信息化投资极有可能尚未得以充分实施就被其他新技术或系统所替代,即存在较高的技术风险时,企业可以选择延迟投资时机,等待技术创新发展的相对稳定时再投资;也可以选择设备租赁的方式避免资金的大量投入;或是选择直接放弃避免进一步的损失。这样,企业通过运用延迟型期权、租赁型期权和放弃型期权都可实现管理技术风险的目标。再如,企业因自身的预算限制可将部分或全部信息化项目分包和转包给有足够投资能力和投资经验的第三方,通过外包型期权可实现对企业财务风险的管理。同时,外包型期权也可降低企业因缺乏实施信息化建设的专业队伍或经验而引起的人力资源风险。具体的风险类型与实物期权的匹配可见表2。
(三)选择最优的实物期权组合
将投资中的具体风险和相应的实物期权相匹配,并不能说明所有的实物期权类型都是可行的。企业可根据自身的投资目标确定最优实物期权或组合的选择标准。以实现投资收益最大化的目标为例,企业可依据下述原则对期权进行选择:
1.实物期权选择的次序原则
次序原则是指企业应该按照先后顺序有次序地利用期权。例如,企业一般在投资项目的论证阶段利用延迟型期权或是学习型期权,而在项目执行阶段可利用外包型期权、阶段型期权或是租赁型期权。
2.实物期权选择的排他性原则
排他性原则是指由于某些期权类型相互冲突不能同时存在。例如,企业经过论证发现投资的预期成本大于收益,为了规避该类风险,企业可采用延迟型期权规避风险;同时,企业也可以在现在将技术开发和维护外包给有实力的外包商,降低自身的开发成本,即采用外包型期权。延迟型期权和外包型期权虽然都可以规避企业的该类风险,但由于两者在投资时机上的冲突,因此不能同时存在。
3.实物期权选择的价值原则
通过次序原则和排他性原则,企业可以选择出可行的实物期权类型。但最终实物期权的选择还要落实到企业投资收益最大化的投资目标上,运用价值原则,企业可以进一步从可行的实物期权类型中选择出最优的实物期权或组合。鉴于企业的实际应用性,本文选择相对简单且通用性强的Margrable期权定价模型来评价信息化投资的实物期权价值。V(si,st,t)=siN(d1)-stN(d2)其中:d1=ln(si/st)+1/2v2(T-t)槡vT-td2=d1槡-vT-tv2=v2i+v2t+2vivtρit模型中,V代表用预期收益为si的资产交换预期收益为st的资产的期权在时刻t的价值。就信息化投资项目而言,si为信息化投资的成本,si越小,实物期权的价值越大。st为信息化投资的收益,st越大,实物期权的价值越大。T为期权到期前的剩余时间,T决定了企业投资时机选择灵活性的大小,T越长,实物期权的价值就越大。vi和vt分别表示si和st的变化率的标准差,代表了信息化投资成本和收益的不确定性,不确定性的增加将增加实物期权的价值。ρit为si和st的相关系数。N(d)为正态分布。
(四)创造企业内部投资环境实现风险管理
选择出最优的期权组合后,企业还需对现有的企业内部环境进行评价。不同的投资环境将产生不同的实物期权类型,如果最优组合内的期权类型不能被企业直接利用,企业就可根据期权产生的条件创造期权。如表3。对于期权性质的把握和期权种类的创造是实物期权思维在信息化投资风险管理中应用的进一步深化。
规避风险,软件主导
随着我国提出用信息化带动工业化、用信息技术改造和提升传统产业的国策,广大企业对信息化给予了越来越多的重视,纷纷准备实施企业信息化工程。
全国信息技术应用工作会议提出,“十五”期间,信息产业改造传统产业的市场规模大约是5000亿元。面对5000亿元市场规模,国内外的信息产品技术提供商窥伺已久,然而大量的中国企业在信息化投资上仍然犹豫不决。有调查表明,大约有70%的企业IT项目超出预定的开发周期,大型项目平均超出计划交付时间20~50%;有90%以上的软件项目开发费用超出预算。并且项目越大,超出项目计划的程度越高。有专家指出,目前中国已开始第三次信息化。
回顾以往的信息化,总是在投资高峰之后,旋即进入低谷,留给企业的往往是大量瘫痪的系统,损失少说也有几十个亿。每次陷入“IT黑洞”至少5年后,中国的用户才会逐渐恢复信心,被破坏的市场才逐渐重现活力。
信息化对企业来说是一项规模较大的投资,包括硬件、网络建设的费用,以及软件投资。从目前的趋势来看,随着硬件和网络产品技术的成熟和价格的降低,该部分费用所占的比例在逐渐下降,目前已基本上下降到总投资的35%左右;而软件在整个企业信息化工程中的投资,所占比例越来越大,目前大约占40%左右。总体来说,企业在硬件和网络建设方面的风险并不大,软件实施则成为企业信息化投资中风险最大的一块。软件选型或实施不当,往往会导致几十万、几百万的投资打水漂。
信息化对每一个企业都是一种挑战,风险都毋庸置疑。技术风险、服务商风险、过程风险、质量风险、进度风险等都存在于所有项目之中,如何规避风险,不仅应成为所有IT项目负责人最关心的问题,也理所当然地成为软件企业的题中应有之义。
咨询规划,整体推动
在企业信息化过程中,软件企业的管理咨询正变得越来越重要。软件企业首先要帮助客户确定好企业信息化的战略目标,然后才是协助企业制定达到信息化战略目标的具体行动计划与方案。管理咨询的价值主要体现在帮助客户把关、提升客户认识、为企业分担风险,更好地保证企业的成功。同时,要努力帮助企业提高员工的认识水平,给企业提出尽可能好的建议。
软件企业承担的另一重要职责是要给客户提供完整的、配套的、一体化的解决方案,给信息化以整体推动。反之,如果软件企业仅从局部提品,对信息化就仅仅是局部推动,或形成“信息孤岛”,信息资源难以共享。软件在整个企业作息化工程中,相当于大脑,硬件和网络相当于四肢,而信息化的整体解决方案的制定和实施,则是将大脑与四肢联系起来的神经系统。因此,企业信息化必须遵守总体规划、分布实施和效益驱动的原则,才能取得理想的应用效果。
企业选择软件,实际上也是选择长期战略合作伙伴。软件企业的综合实力,是企业选型的关键因素。合作伙伴选得不好,即使软件能满足当前的需求,也不一定能够跟得上企业未来的发展。
为什么在与众多实力强大的IT厂商竞争中,浪潮软件能够连连胜出,并始终处于所专注行业信息化应用领跑者的地位呢?正是因为行业信息化急需的并不仅仅是具体技术的实施,主要还在于对行业信息化需求的超前规划。
浪潮软件正是在高端咨询方面提供了准确而到位的服务。在行业信息化应用中,浪潮软件更偏重于咨询,这使得其能站在一个较高的起点上切入行业信息化领域,并以其咨询方面的特长和优势胜人一筹。为了增强咨询能力,浪潮软件与以咨询见长的韩国LG-CNS开展了合资合作。
为了更好地推动行业信息化应用工作,浪潮软件现正筹备组建全国首家行业信息化咨询研究院,由具有行业一线经验、行业认识高度、理论知识、IT技术功底的行业领导、经济学家和IT技术专家等组成。
作为行业IT解决方案提供商,浪潮软件最大的优势,在于提供整体解决方案的能力。如浪潮软件联合在业内久负盛名的浪潮服务器、浪潮通软,共同为烟草行业打造的“浪潮烟草整体解决方案”,涵盖了烟草专卖管理、Internet应用、企业ERP、财务软件、办公自动化、数据仓库、呼叫中心和网络安全等。而这种由资源整合而形成的核心竞争力,正是浪潮软件吸引客户,并最终打动客户的关键因素。
满足需求,降低成本
行业信息化的发展,对软件企业内部员工也提出了更高的要求,这就是要在努力满足客户需求的前提下,尽量降低成本。
满足客户需求,即要尊重企业经营者自己选择和创造的个性化的管理模式,按照用户的意愿,帮助他们规划和构造自己的企业信息系统。
为此,软件企业必须能够真正满足企业管理个性化的持续完善的管理要求,帮助企业决策与管理者实现他们的独特业务模式,并对企业业务的重组和发展提供快速和高效的软件支持。
另一方面,要为客户着想降低信息化的成本。在信息化中,客户的主动性主要体现在招标和选型上;但在整体方案方面,系统的决定权和选择权,往往在软件厂商手里,价格高并不能代表是最好的。在这方面,软件厂商承担着重大的责任。软件企业上系统时决不能一味迎合客户、对付招标,不能为了赚钱而赚钱,应该从实际出发,从解决整个企业信息化的高度,来分析、制定方案,把钱花在刀刃上。
而如果企业资金不足,软件厂商就应该建议企业在制定总体规划的基础上,分步投资和实施,而决不能不负责任地迎合企业盲目希望少花钱的心理,报一个超低的价格,以致难以达到满意的实施效果,造成“半拉子”工程或者“胡子”工程。
为了提高企业信息化的效率,降低信息化的整体成本,软件企业必须探索应用软件产品化之路。在浪潮软件发展过程中,经历了从重复编码到生产组件、构件,到推出通用性行业应用产品,进而构建基础业务平台的一系列演变。
譬如为了更好地服务于政府及公众,浪潮软件电子政务事业部最近已成功地推出了GWP平台产品。GWP平台的应用环境采用实现了J2EE标准的WebSphere Application Server应用服务器中间件、完全面向对象的纯JAVA语言开发,支持多数据库系统。GWP平台主要包括公用部件、工作流部件、数据交换部件和信息部件,主要面向三大应用,包括政务公众服务门户、网上审批,以及广域网架构的办公自动化公文交换系统。
目前,浪潮软件正投入亿元资金构建具有自主知识产权的技术先进的企业应用框架和基础业务平台。
规范管理,技术创新
为了按质按期地完成企业信息化任务,要求软件企业的员工与客户进行充分的沟通,不断提高沟通能力,并加强项目管理。沟通,包括建立完整的培训体系、项目有问题时随时沟通解决等。能否沟通好,有时也决定客户能否配合好,如果客户对信息化没有正确的定位,项目就不能很好地实施。
为了按质按期地完成企业信息化任务,要求软件企业的员工与客户进行充分的沟通,不断提高沟通能力,并加强项目管理。沟通,包括建立完整的培训体系、项目有问题时随时沟通解决等。能否沟通好,有时也决定客户能否配合好,如果客户对信息化没有正确的定位,项目就不能很好地实施。
为了进一步加强项目管理,提高公司软件产品的质量,浪潮软件加大了项目管理规范的实施力度,并对各个项目的管理规范情况进行评比,定期评选出一名明星项目经理和一个明星项目组,在公司《质量保证月报》和《浪潮软件》刊物上刊登。
山东烟草网上分销项目经理最近已成为公司第一位“明星项目经理”。他带领下的网上交易小组,不仅攻坚成功,而且开发中的各项硬性指标也在公司各个项目组中名列前茅。
公司电子政务产品事业部在实施浙江东阳电子政务项目时,根据公司的质量体系规范,对整个项目做了策划,包括任务分解、过程裁减、项目开发计划、风险评估、项目估算等内容,与用户和项目组成员及时沟通,使大家在项目开始阶段就对整个项目有一个统一的认识,保证了严格管理思想的执行。
规范化的项目管理制度规避了风险,也赢得了客户的信任和尊重,使得与客户的关系得到了进一步强化,并推动了项目的进展。
为了对客户信息化负起责任,软件企业为此要不断地投入,不断地了解和使用新技术,开发出稳定的、可广泛使用的、适应能力强的、能满足客户业务需求的成本低的软件系统。
软件不仅仅是信息化系统,还包括管理思想。要通过信息化,不断传播先进的管理文化和管理思想。
