发布时间:2023-12-20 15:18:04
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的企业信息化评估方法样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
【关键词】信息化建设项目投资效益评估
一、信息化项目投资效益评估的重要性
信息化建设项目投资效益评估,对于解决“IT项目泥潭”问题很有必要。从企业信息化的项目建设层面分析,项目建设的成功与否关系到信息化的成败。目前,众多企业热衷于开发适用于自己的MIS系统,争相上ERP等项目,却陷入屡遭失败而难以自拔的境地,被称为“IT项目泥潭”。信息化项目评价缺乏可具体参照的标准是导致项目陷入“泥潭”的根源之一。尽管评价通常经过前期项目立项、可行性研究、预算审查、招投标、专家评议,到项目中期的规划会议、选型会议、技术方案研讨会,再到项目结束时的测试、验收、总结、评奖等阶段,然而在回答信息系统项目有多大价值,或者能对企业绩效产生多大贡献的时候,通常只能用工作效率提高,业务处理速度改善,使用更加方便,资料更易于更新等模糊指标来回答。信息化建设项目投资的“值不值”问题还需要建立项目验收和绩效评价标准,对信息化建设的投资实施持续的过程管理和评价。
二、企业信息化建设项目的特点
企业信息化建设一般要通过建立数据仓库,全面收集、整理企业内外部的数据和信息,在此基础上进行深层次分析,以发挥决策支持作用,获得良好的经济效益。与传统的实物投资相比,信息化建设项目投资具有下面几个特点。
1、不确定性大。即信息化建设项目的成功主要来源于高科技技术成功的实际应用,信息化技术本身的发展存在不可预见性,其成功与否需要在项目建成后生产过程中的不断完善,投资的不确定性较大。
2、收益的无形性和延迟性。即信息化建设项目的收益并不总是能够在企业财务报表中反映出来,而且收益具有一定的时间滞后性,时间的长短取决于信息化建设项目实施的规模和程度。
3、投入高,换代快。特别是前期的建设投入数额巨大,但是项目的寿命周期相对而言却比较短,更新换代频繁。
4、效益评估的复杂性。与传统的其他实物投资的效益评估相比,信息化的效益评估和优化确实具有更高的复杂性。传统的投资项目价值评估的指标比较容易量化,进行最终的评价就比较容易,而且其效益主要还是体现在显性收益上,而信息化建设项目的价值评价中隐性成分相对较多,且IT的应用受到许多变量的影响,IT与其他因素有很强的互补性。因此,对信息化进行效益评估时,需要进行综合全面衡量。
三、信息化建设项目投资的效益评估
1、企业信息化建设项目投资的效益
从经济学的角度讲,效益是指在一定的社会总劳动量的条件下,生产出更多的社会所需要的劳动成果。企业信息化建设项目的效益同样也是反映了劳动成果和劳动占用、消耗之间的关系。一般可将企业信息化建设项目的效益分为直接经济效益和间接经济效益。
(1)直接效益。直接效益又叫有形效益,是指可以定量计算出的那一部分经济效益。例如企业物资管理的信息化,缩短了供货周期,压缩了库存,裁减了人员,于是就可以依据缩短时间的天数和库存物资的减少,以及裁减人员的工资等,定量地算出由此产生的增收节支额,计算出的结果就属于企业信息化的直接经济效益。直接效益可以用不同的量化指标和计算方法加以体现。信息化建设项目投资带来的直接效益有的是很容易看出的,例如企业信息化可能带来下列直接经济效益:使原材料、燃料和劳动力资源得到更合理的利用,并使生产计划达到最优化,从而提高了多大的生产能力,增加了多少产品和产量;信息化建设项目可以减少工时的损失和设备的停车事故,使劳动生产率提高了多少的百分比;信息化建设项目降低了多少成本,避免了多少消耗,减少多少管理费用的支出等等。
(2)间接效益。间接经济效益是指不能加以定量计算的那一部分经济效益,故又称无形效益。它主要是指提高管理水平、管理效率以及企业信息化建设所引起企业管理上的一系列变革等。例如,企业信息化可能带来下列间接经济效益:使管理人员决策及时、准确、更科学化;使企业上下级的信息流通结构更趋合理;提高企业信誉与知名度,扩大影响力,增强竞争力;提高了企业售后部门的效率和客户满意度等等。以上这些方面的效益一般不能通过定量计算得到,具有一定的隐含性质和延迟性,但对于企业的管理以及企业的发展、壮大都具有不可估量的意义与作用,所以在评价企业信息化建设的效益时,这部分效益应予以高度重视。
2、企业信息化建设项目的投资效益评价
(1)净现值法。目前常用的技术经济评价方法是净现值法,该方法是利用经过风险调整的现金流量或资本成本率来计算净现值。当净现值大于零,说明企业信息化建设项目在经济上可行,反之则不可行。投资项目净现值等于企业建设项目每年的净现金流量的折现值。但是传统的净现值法无法对由于企业信息化建设项目的投资而产生的各种发展机会的价值进行评价,容易低估项目本身的价值。近年来期权定价理论的出现及其在投资决策领域方面的应用在这方面弥补了传统的净现值评价方法的不足。显然一项企业信息化项目的投资除了该项目本身形成的现金流外,还为企业今后的发展带来许多有利的发展机会,例如企业通过信息化建设项目投资,拥有了管理资源、技术知识、信誉、市场地位和规模方面的优势,从而相对于不具有该类资源的企业来说,企业在今后的经营过程中具有很多发展机会。企业所持有的投资机会构成了以未来的投资项目为标的的期权。企业在有利条件下进行下一步投资,尽可能获得最大效益,这相当于执行期权。当环境不利时,企业可选择进一步放弃投资,其损失仅为期权的成本。因此,为全面评价信息化建设项目的经济效益,必须计算项目所带来的各种发展机会的价值。结合期权定价模型,可对传统的净现值评价方法作大胆的修正,修正后的净现值的计算公式为:含发展机会价值的净现值NPV=传统净现值NPV+项目所含发展机会的价值。式中的项目所含发展机会的价值,可参考费雪·布莱克(FischerBlack)和梅隆·舒尔斯(MyronScholes)创立的期权定价模型进行测算。
(2)其它的评估方法。修正后的净现值法可以体现投资项目所含发展机会的价值,在实用性上提高了一步。但它还只停留在对直接经济效益的评价上,回避了大部分难以定量计算但对企业的发展又非常重要的间接经济效益,无法全面反映企业信息化建设项目的综合经济效益,所以近年来,国外提出了一些新的方法,有层次分析法(AHP-AnalyticHirrarchyProcess)、模糊综合评价法(FCE)、灰色评价法(GE)以及精经网络(NN)等评价方法,都是在进一步探讨信息化综合效益的评价问题。层次分析法是美国运筹学家萨蒂提出的一种多目标、多准则的决策分析方法,该方法被广泛应用于工程、经济、军事等领域,解决了诸如系统评价、资源分配等许多重要问题,能在一定程度上检验和减少主观影响,使判断趋于科学化,是一种定量与定性分析相结合的有效方法。在该方法中首先要选择合适的评价指标并确定各项指标在企业现实条件下应达到的理想数值(即标准分),然后应用层次分析法求评价指标重要性系数,最后根据设计权重和计算的各项指标的分值进行汇总。
总而言之,由于效益所构成的系统既包含有已知信息,又有部分未知信息或模糊信息,所以信息化建设项目的投资效益评估是一项困难的工作,用一般的系统分析方法很难对其进行合理的、定量的分析。我们应当充分利用其它有关理论的最新成果加快企业信息化建设项目的效益评价问题的研究。
【参考文献】
[1]李祖培:关于加强信息化项目能力建设探讨,广西农学院,2006,(6)。
[2]宋亚静、王聘:论企业信息化建设中的双项目管理,商业时代,2006,(1)。
[关键词] 信息系统评价;DEA模型;权重约束
[中图分类号] F224.1 [文献标识码] A [文章编号] 1006-5024(2006)11-0143-03
[作者简介] 何文成,中南大学商学院博士研究生,广东省珠海市发展和改革局干部,研究方向为企业经济。
(广东 珠海 519000)
一、引言
“信息化带动工业化,以工业化促进信息化,走新型工业化道路,加快经济结构调整和经济增长方式转变。”这是十六大提出的发展战略。2006年3月公布的国家“十一五”规划纲要再次明确,坚持以信息化带动工业化,以工业化促进信息化,提高经济社会信息化水平,推进企业管理信息化。2005年11月3日,总理在国家信息化领导小组第五次会议上指出,信息化是当今世界发展的大趋势,是推动经济社会发展和变革的重要力量。国家“十一五”规划纲要指出按照走新兴工业化道路要求,制定国家信息化发展战略,2006年5月中央正式了国家信息化发展战略。中国的现代化目标已经不是简单的实现西方60/70年代的工业化,而是信息化,数字化为基本特征的后工业化国家。企业是社会的经济细胞,国家的国民经济基础,实现国家信息化、社会信息化的前提必须是推进企业全面信息化,用信息技术手段去改造传统产业,使其焕发新的活力。
企业信息化建设是指企业利用计算机技术、网络技术等一系列现代化技术,通过对信息资源的深度开发和广泛利用,不断提高生产、经营、管理、决策的效率和水平,从而提高企业经济效益和企业竞争力的过程。无论在制造业企业还是服务业企业,企业信息系统的建设对企业的生产效率都有着直接的影响,并且具有不可替代的四大功能:操作功能、交易功能、决策功能、监督功能,它们是保障企业获得和维持竞争优势的基础。
作为单个企业来说,无力在短时间内改变产业的格局,但是可以通过建立企业内部简单易行的信息化管理机制来避免信息化建设中的失误。而从运作成本和效益来说,最直接的方法莫过于建立一套信息系统的价值评价体系,从信息系统为企业带来效益和效率的角度去选择产品、评估价值、评价应用成果,并通过评价结果的分析持续改进信息系统在企业运营中地位和功效。由于企业信息化建设是一项复杂的系统工程,行业的不同、企业规模的不同、建设阶段的不同都会带来不同的建设需求。与传统的建设项目评估相比,由于信息化建设项目本身所具有的复杂性,导致其评估方法要比传统建设项目复杂得多。不同之处表现在:(1)信息系统价值评估的很多指标难以量化;(2)信息系统的建立是一个持续改进的过程;(3)信息系统的价值具有长期效应,还存在很多隐性效益;(4)信息系统的技术含量高,而且目前缺乏严格的项目建设的监理机制,因此又增加了评估的难度。
在我国,信息化的发展到目前为止已有20多年的历史了,信息化的建设取得了长足的进步,但相对而言,企业信息化评价体系的发展历程却比较短暂。大多数的企业已经不再为上不上信息系统而犹豫,但却苦于无法准确地对自身做一个了解:我的信息系统目前状况如何?目前已有的评估体系,由于缺乏可操作性、针对性和理论性等原因,使得企业常常感到无从下手。本文在对现有信息系统评价方法剖析对比的基础上,在传统的DEA模型中引入经过定性分析的权重约束,构建了一个具有主观评价意愿的DEA新模型,有助于企业决策者了解信息系统对企业目标的贡献程度,更好地利用和改良企业信息系统。
二、现有信息系统评价方法的不足
系统评价可概括为两种涵义:一是系统开发或运行的可行备选方案的比较、分析、评价,即对系统总体的综合评价;二是系统的组成要素之间的比较分析,即对系统要素的相对关系或重要性的评比或估计。目前,对信息系统的评价方法众多,大致可以分为主观评价法和客观评价法两大类。
主观评价法是以定性分析为主,结合部分定量计算,以评价者或决策者的主观判断为基础的评价方法,国内应用较多的是指标权重专家评分法,通常以满意度、分数、序数和评语等作为评价的标准。诸如专家讨论、层次分析、模糊聚类、模糊评判、灰色统计、灰色关联分析等。该方法的优点是操作简单,不需要大量的指标和数学公式就可以对信息系统项目得出评价结果,专家的丰富经验,对信息技术和行业背景的精通,很多无法定量分析的指标、无法分解的指标,可以直观评价代替。对管理效益、社会效益等中国企业比较重视的指标评价可以反映外部环境对企业印象。当专家对该项目非常熟悉时,评价结果比较准确。该方法的缺点是评价缺乏客观标准,具有很强的个人主观色彩,评价主观因素多,评价专家易被政策或其他因素左右意见,导致评价反映不了企业信息系统应用的实际状况。指标的权重分配和评价综合缺乏系统性与科学推理过程。专家水平差异、个体差异和评价标准理解差异,导致评价结果可比性差,尤其当项目过于复杂、专家们的打分差异较大时,评价结果可能会受到质疑。
客观评价法是根据一定的规则,以定量计算分析为主,用一系列量化的指标客观反映评价对象的性质和状态,通过数学模型的运算,得到最终评价结果的评价方法。客观评价法通常不反映评价者或决策者的主观意愿,诸如费用效益分析、数据包络分析等。该方法的优点是评价标准一致,评价结果客观,具有较强的可比性和说服力。该方法的缺点是操作复杂,需要进行大量计算,并且当某些指标难以量化时,该方法就显得无能为力,如不能解决无形效益量化问题;不能很好地处理协同效益而导致成本的遗漏或重复计算;强调短期效益等,这些缺点往往导致低估IS应用的效益,阻碍企业IS应用水平的提高。
这些方法在评价工作中展示了各自优点的同时,也暴露出各自的弱点和缺陷。为此很多学者进行了研究,试图找到一种更加完善的评价方法。张剑平(1997)提出了考虑指标均衡度影响和专家人数不一致因素的信息系统综合评价模型;李恩科等(2000)将层次分析法与模糊综合评价法相结合,建立了信息系统综合评价的模糊层次分析模型;郑晓薇等(2000)采用逼近理想解TOPSIS法对按对象分层的决策矩阵进行多指标综合评价;李恩科等(2001)将层次分析法与灰色综合评价法相结合,建立了信息系统综合评价的灰色层次分析模型;徐维祥等(2001)提出了DHGF算法,即采用改进的Delphi构造评价指标体系,运用层次分析取得加权矩阵,使用灰色关联统计专家评分,最后通过模糊评判得出评价结论;张新红等(2002)提出了基于神经网络的信息系统综合评价方法。张润东等(2005)在传统的C2R模型的基础上,将约束条件中的被评价单元去除,得到改进后的MC2R模型。
信息技术自半个世纪前产生至今,不断成熟并且迅猛发展,在企业中得到广泛应用。但信息系统是一个复杂性的系统,在实施过程中充满了风险性和不确定性。正因为如此,信息系统项目建设的成功率要远低于其他建设项目。上述分析发现,现有的这两大类评价方法其优缺点也有互补性。而此前学者们做的改进都是局限在各自的评价方法里,它们的固有缺陷并没有从根本上得到解决。如果能够跳出传统思维,将这两大类评价方法综合运用,取长补短,将会更好地解决信息系统项目评价的问题。因此,科学地根据客观实际以及评价者的主观意愿需求对信息系统进行评价,在传统的DEA模型中引入经过定性分析的权重约束,构成具有主观评价意愿的DEA新模型,具有重要的现实意义。
三、引入权重约束的DEA新模型
DEA(Data Envelopment Analysis)模型,也称数据包络分析,是目前最常用的客观评价法。它是评价决策单元间相对有效性的方法,是运筹学、管理科学与数量经济学交叉研究的一个新领域,它最早是由美国著名的运筹学家A・Charnes和W・W・Cooper等学者于1978年在“相对效率评价”概念基础上发展起来的一种新的系统分析方法。随着有关理论研究的不断深入,应用领域日益广泛。DEA的基本原理是采用数学规划模型,通过对输入输出数据的综合分析,得出每个决策单元(Decision Making Units,简称DMU)的综合效率的数量指标,据此可将各DMU定级排序,确定有效的(即相对效率最高的)DMU,并指出其他DMU非有效的原因和程度,给决策者提供管理信息。评价指标中可以包含人文、社会、心理等领域中的非结构化因素,各指标的量纲一般不相同,也可以使用无量纲指标。
这样在本来完全是定量分析的DEA模型中,加入经过定性分析的权重因素,使我们在对某些评价指标很熟悉的时候,可以对该指标的权重进行约束。如果不熟悉则可以不用考虑约束,避免主观评价所固有的缺陷,这样新模型就兼有主观评价与客观评价两者的优点,具有更大的灵活性和可操作性,便于评价人员自主选择运用。
参考文献:
[1]张润东,吴育华.企业信息系统项目效率的评价方法研究[J].大连理工大学学报(社会科学版),2005,(1).
[2]张新红,郑丕谔.基于神经网络的管理信息系统综合评价方法[J].系统工程学报,2002,(5).
[3]郑晓薇,汤胜利,龚兆仁.按对象分层决策矩阵的逼近理想解TOPSIS法的算法及实现[J].计算机工程与应用,2000,(10).
[4]李恩科,马玉祥,徐国华.信息系统综合评价的灰色层次分析法[J].情报学报,2001,(4).
[5]徐维祥,张全寿.从定性到定量信息系统项目评价方法研究[J].系统工程理论与实践,2001,(3).
一、信息化环境下企业内部控制面临的变化
现代信息技术和信息设备在企业内部控制工作中的应用,使企业内部控制效率和内部控制效果得到了进一步的提升与发展。在如今信息化环境下,企业运营中的各方面都得到了信息化改造,内部控制这种人机结合的控制模式自然也得到了更大程度的改造。内部控制中许多控制程序、控制方法等都被设置在计算机程序中,自动控制代替了繁杂的人工控制,这种变化减少了企业内部控制层次,使企业组织结构得到精简,运营效率更高。
企业内部控制的信息化有助于经营决策过程中有关信息的实时、同步反馈,使企业内部信息交互更加对称。随着企业内部控制信息化的深入发展,内部信息的处理也会变得复杂,这就要求内部控制对企业运营的过程实施有侧重点、有计划的监控。因此,内部控制就需要同时注重企业现实资产和信息资产两方面的安全。
二、信息化过程中企业内部控制存在的风险
信息化环境下,企业内部控制将面临许多新的风险,诸如内部控制软件中可能存在漏洞、控制系统规划建设时的治理风险、系统日常运行时可能出现不确定性风险、系统操作人员的人为失误等。总的来说,信息化环境下企业内部控制存在的主要风险可归纳为以下几方面:
(一)内部控制观念缺失
企业内部机构设置较复杂,许多不同部门的岗位职责具有一定的重复性、交插性及互补性,这削弱了企业一些规章制度的作用。企业内部一些上级部门对下属管理放权程度过大,常出现同一级工作人员职权混淆的现象,这使得企业内部的职权分配存在漏洞。
(二)风险评估难度增加
企业内部控制的信息化是一个持续发展的过程,在这个过程中,由于信息技术和设备的不断加入,使得许多未知的风险也加入进来。企业内部大量资料数据的数据化使内部信息控制的难度大大增加,而且企业中旧的风险评估方式会随着信息化的发展而被逐渐淘汰,新的评估方法一时又难以建立,因此,企业内部控制的信息化增加了企业对风险的评估难度。
(三)企业工作量大幅度增加
企业内部控制要实现信息化发展必然要将企业以往的海量信息进行数据化处理,这些数据需要的不仅是数据化输入,还包括信息真伪识别、重要性的认定等,这显然会大量增加企业的工作量。另外,信息化发展还使信息交流的方式发生了转变,企业内部沟通以及与外界的信息获取都需要作出较大调整。
(四)内部审计作用得不到发挥
企业的内部审计与内部控制本身就是一个整体中的两个部分,健康的内部控制系统离不开独立且完善的审计系统的支撑。但是在当下,许多企业的经营权与所有权往往是一体的,这就导致了内部审计机构在较大程度上受制于企业管理层,大大制约了其审计职权的行使;还有一些企业考虑到经营成本的问题,常常将审计机构作为应付有关部门检查的傀儡部门,这样的审计机构基本形同虚设;再次,由于一些企业管理层对内部控制所面临的风险估计不足,不重视内部审计机构,导致内部审计机构无法有效发挥其应有的职能。
三、信息化环境下企业内部控制的强化策略
由上文分析可知,在信息化环境下,企业内部控制建设需要适应许多新的要求,既要对内部控制系统进行虚拟化和网络化,又要重视内部人员综合能力的塑造和培养、完善内部控制制度建设、保障审计部门职能的发挥等。
(一)重塑企业内部控制制度
企业内部控制信息化的建设离不开相关规章制度的建立和完善。企业要在准确分析自身经营现状的基础上,参考成功企业的信息化内部控制制度,并结合自身经营内容和发展现状来制定合适的内部控制制度,要全面考虑到信息化的各个方面,明确不同岗位员工的职权,以保证企业信息化建设的发展。
(二)引入信息化控制手段
1.风险评估及控制的信息化。企业需要建立以客观定量分析为主的风险管理系统,同时,运用环境分析法、发展趋势图、风险情景分析工具等多种风险管理方式,对内部控制系统建设过程中的各种风险加以监控和分析。例如,在运用环境分析法评估企业风险时,应先对自身所处的宏观、微观环境进行信息分析,分析环境中各个信息的变化趋势及不确定性,其对企业可能产生的影响,建立数据库,建立风险评估模型,参考历史数据来评估风险的发生概率,利用数据分析从企业业务流程的各个环节中寻找风险的线索。
2.企业数据安全保护的信息化。当前,企业普遍进入了信息化管理时代,例如ERP等管理系统的运用,使企业的财务管理模式得到了极大的改善,但同时也使企业信息面临暴露的风险。企业在初步建立内部控制信息系统后,要对系统安全进行必要的保护,其中,信息安全是系统安全的核心内容,必须保证信息输入、储存和输出三大方面的安全。如在信息输入方面,必须要严格按照系统相关设置进行审核,以确保信息的准确性和安全性;在信息的查阅和使用方面,要进行严格的权限授予和审批,避免企业内部重要信息的泄露,避免企业利益遭受不必要的损害。
3.发挥内部审计的作用。在内部控制信息化建设过程中,企业必须让审计部门参与进来,让审计人员了解信息化过程,及早关注并掌握信息系统的相关信息。同时,给予审计部门应有的重视,保障其审计职能不受侵犯。企业信息化建设给审计工作带来了很大的变化,企业信息的传递和审批都需要进行信息化改造,审计人员也就需要对企业进行有重点、有计划、有步骤的审核,以此尽量降低企业内部控制信息化过程中的风险,提高企业的经济效益和运营效率。
四、结语
[关键词]评价模型;电子商务就绪;建筑企业;电子商务
信息化是当今世界经济和社会发展的大趋势,特别是信息技术与传统产业的有机结合,成为推动企业发展的核心力量。建筑行业发展电子商务不仅仅是时展的要求和必然趋势,更是由该行业的地位、自身的特点以及发展趋势所决定。首先,我国工程建筑业的产值约占国民生产总值的30%,建筑行业的信息化发展必然影响到整个国民经济和社会信息化的发展;其次,建筑行业本身具有分散的性质,可能需要横跨多个市场,在短时间内切换于不同的工程领域,往往是在远离指挥中心的异地进行生产活动,具有复杂的物流,这些特点决定了它将比其他行业更加需要也更受益于电子商务;再次,国内建筑企业的综合竞争能力普遍低于国外同行,而电子商务就是实现管理现代化和增强竞争能力的重要手段。
然而,我国建筑企业从传统模式转向电子商务模式并不意味着一定能获得竞争优势,这其中包含着很高的实施风险。由于建筑企业信息化应用存在着诸多不足,例如,企业领导信息化意识淡薄、企业管理基础薄弱、企业信息化与现代企业管理、建立现代企业制度之间较难匹配、信息化投资不足和信息化人才缺乏等问题,导致建筑企业电子商务项目实施存在较大的不确定性。这就为我国建筑企业电子商务化研究提出了十分紧迫的问题,即企业在实施电子商务模式之前应该具备哪些条件才能保证成功。建立一套适合我国建筑企业特点的电子商务就绪评估指标体系和评价方法成为一种迫切的需要。
一、“企业电子商务就绪”研究概述
电子商务就绪(e-readiness)研究根据对象不同分为地区电子商务就绪和企业电子商务就绪。企业电子商务就绪是指企业或组织为成功实施e化战略和计划而对相关各方面进行优化的水平。在这方面最具代表性的研究是思科公司提出的网络就绪评估模型(Net-ReadyEvaluation)和普华永道咨询公司与卡内基梅隆大学共同研究提出的电子商务成熟度模型(emm@E-BusinessMaturityModel)。
思科公司的网络就绪评估模型是基于一套指标体系的定量评估方法,该指标体系包含领导者、管理、企业的能力和技术四大类指标。每一类又由具体指标组成,共有57个具体指标。根据企业对每个指标的符合选择以下5种之一:“完全同意”、“有点同意”、“中立”、“有点反对”、“强烈反对”,对应的分值分别是5、4、3、2、1。按照一定的公式计算总分,并对企业e化水平进行评估,并将其分为5档:网盲型、网络意识型、网络深入型、网络领导型、网络远见型。通过评估可以帮助企业确定e化过程中应考虑的问题,确定其优势和劣势,并确定行动的优先次序。
普华永道的电子商务成熟度模型能够对任何企业电子商务实践进行定量评价,并与全世界同行业标准的电子商务进行定量比较,以及与同地区标准的电子商务进行定量比较,为企业电子商务进一步发展提供指导。它包括九大类指标,分别是:战略类、价值网商务过程类、执行管理类、组织和能力类、安全和隐私类、系统和技术类、纳税类、法规类、产品交付与企业运作类。其下有90个具体指标,每个具体指标有3种选择答案:“完成”、“进行中”、“还没开始”,它们分别被赋予100分、50分、0分。评估的企业对每个指标选择符合自身状况的答案,进行自我评估。评估的结果产生3个定制报告:按9类指标的每类均值计算的企业柱型图报告、同行业企业对比报告、同地区对比报告。
我国清华大学黄京华教授也提出了一套企业电子商务就绪评估指标体系,分为5层。第1层是总指标;第2层是企业外部环境、企业内部需求、以及信息技术与企业文化;第3层是三类因素的细化分解,包括9个子类;第4层是对有必要细化的子类的进一步细分;第5层是各个具体的指标,共67个。每一层中的各项指标通过专家打分和AHP方法相结合来确定权重。在评估时,企业对第5层的具体指标根据自身情况,选择“完全不符合”、“基本不符合”、“中立”、“基本符合”、“完全符合”之一进行回答,相应的得分为1~5分。经过加权可以得到各层次的得分。
以上研究成果各有特点,都有值得借鉴之处。思科公司和普华永道的评估工具不仅能给出对企业电子商务就绪水平定量评测的结果,还能与同行业、同地区的企业电子商务就绪水平进行比较,工具的操作性强,指标易于理解和选择。黄京华教授在其基础上根据中国企业的特点重新设计了指标体系,并且考虑了指标的权重问题,评价方法更为科学。本文认为每种评价工具都是针对特定的背景设计出来的,因此都有其最为适用的对象和范围,例如思科公司的网络就绪评估模型更加适用于软件公司、ASP等技术类公司。同时考虑到指标体系应该反映行业特点、文化背景、企业规模、电子商务模式等因素的差异,所以在具体指标和权重的设计上应有所不同。本文在以上研究的基础上,希望专门针对建筑企业设计一套系统的、操作简单方便的测量指标,以更好地、更有针对性地帮助企业在进行电子商务变革前,判断其在经营、管理、信息技术等方面的准备程度,从而明确企业需要改进的方向。
二、模型的设计原则和思路
1.设计原则
根据以上目标,笔者制定了指标体系的设计原则:(1)指标体系的适用范围主要是建筑行业中的企业,因此在设计指标时要考虑建筑业电子商务的特点;(2)由于外部环境层面的指标难以衡量,所以本指标体系主要从企业内部经营、管理和技术的角度进行评价;(3)评价的对象可以是建筑企业本身,也可以是企业中的一个部门,甚至是部门中的一个工作组,以帮助企业的各个管理层次进行自我评价;(4)指标体系的目标是反映企业电子商务实践之前应必备的条件,通过评价使企业明确自己进行电子商务变革的准备程度和主要的差距;(5)评估指标体系应该具有易操作性并适合自我评估,指标必须易于理解且答案易于选择,不能过于烦琐;(6)为使评估方法具有较强的说服力,应采用定性和定量相结合的方法。
2.设计思路
一个建设项目一般要经过项目建议书拟定、立项、可行性研究、设计、施工、验收以及使用和维护等阶段,建筑业电子商务是对项目建设周期实行全过程、动态化、多层次的信息交流,并将项目所有参与方连结在一起的复杂的电子交易系统。在这一电子交易系统中,各参与方的主要活动包括:业主进行网上工程招标、评标、项目控制及结算;设计方在网上出图、展示设计方案;承包商实现对盟友的选择、网上估价、投标、在线项目管理、项目结算;工程师对项目远程监理与咨询,以及供应商和租赁商进行的网上商品展示等。
由此可见,建筑企业电子商务的特点为:(1)管理上的复杂性。项目涉及的参与方和参与人员众多,信息交流复杂,要成功实施和应用电子商务技术并获取竞争优势,对企业自身的战略决策、管理和控制能力提出了很高的要求。(2)流程整合至关重要。要想通过电子商务实现所有参与方的信息资源的整合,则利用信息技术对建筑企业业务流程进行优化和重组是电子商务化成功的重要前提。(3)由于建筑企业电子商务系统的复杂性、灵活性、涉及面广和跨地域管理的特点,要求企业参与电子商务应用的人员要具备较高素质。(4)由于建筑企业的电子商务平台的复杂性,对企业的IT基础设施和IT能力要求也比较高。
根据以上分析,建筑企业实施电子商务变革前必须在以下4个方面做好准备:
(1)管理。通过战略、措施、思想认识等方面的准备,保证通过技术应用来获取竞争优势。(2)流程。通过提高对现有流程的认识,进行流程的分析和优化,来支持技术的成功采用。(3)人。人员在思想认识、知识能力等方面的准备是技术顺利实施和应用的保障。(4)技术。IT能力是企业电子商务变革的物质基础。
这4个方面对即将电子化的组织很重要,它们是相互联系、相互影响的共生关系。如图1所示。
三、建筑企业电子商务就绪评价指标体系架构
笔者从上述4个方面对建筑企业电子商务就绪评价指标体系进行设计,该指标体系主要包含以下4类指标,如表1所示:
共有53个具体指标,如表2所示:
四、建筑企业电子商务就绪度的评价
步骤一:给每个具体指标进行打分。
每个具体指标的得分有5种,分别是:1分代表“非常不同意”;2分代表“不同意”;3分代表“中立”;4分代表“同意”;5分代表“非常同意”;
步骤二:分别计算每类指标的平均分,平均分越高意味着企业在这项指标的就绪度越高。
步骤三:设定参考值,并进行评价。例如设定2.5和3.5,则当平均值小于2.5时,表示这类指标中有不少具体指标需要引起高度重视,企业在这个方面能力比较薄弱,企业要在这方面花大功夫进行改进。当平均值大于2.5并小于3.5时,表示该类指标中有少数具体指标不合格,要引起企业注意。当平均值大于3.5时,表明企业在此方面有足够的能力。如果4类指标的得分都较高,则企业电子商务就绪,可以进行电子商务变革。
步骤四:根据评价结果,给企业以具体改进的建议。
五、结论
本文在对前人电子商务就绪评估方法研究的基础上,针对建筑行业企业电子商务的特色,按照建筑企业的需求,提出了一种新的电子商务就绪评估体系。其特色是针对性强、指标易于理解、操作简单方便,有助于帮助建筑企业在进行电子商务变革前,判断其在经营、管理、信息技术等方面的准备程度,从而明确企业需要改进的方向。当然,本文的研究还处在初级阶段,还有很多不完善的地方,例如没有考虑指标的权重问题等,指标体系分类过于笼统,没有将定性和定量方法结合等。因此,在以后的研究中还将进一步改进。
主要参考文献
[1]黄京华,黄河,赵纯均.企业电子商务就绪评估指标体系及其应用研究[J].清华大学学报:哲学社会科学版,2004,19(3):63-69.
【关键词】价值评估 电子商务 实物期权 B-S期权模型
一、引言
自上世纪90年代以后,互联网与电子商务进入了高速发展时期,整个世界开始步入信息时代。根据电子商务研究中心的数据,2016年上半年中国电子商务交易规模达10.5万亿元,同比增长37.6%。截止到2016年6月,中国电子商务服务企业直接从业人员超过285万人,由电子商务间接带动就业人数已超过2100万人。电子商务正在国民经济中扮演着越来越重要的作用,电子商务的融资、投资活动成为人们关注的焦点,在企业的兼并、股改、收购以及资产的拍卖、投资者的投资预期等方面都需要对电商企业的价值进行评估。国内外学者对电商企业价值的研究也越来越多,Blodget(1998)建立了修正的市盈率模型,该模型在传统市盈率法的基础上,考虑了电子商务企业未来市场的份额,并使用此方法成功地预测了Amazon的股价。杨青萍(2005)以访问量、营销回报等作为研究对象,进行定量分析,来评估电子商务企业的价值。韩通(2013)对电子商务模式价值驱动因素进行了实证研究,研究发现效率、创新、互补和锁定为电子商务模式的四个价值驱动因素。徐超毅(2015)对电子商务背景下企业信息化采纳模型对企业价值增值的影响进行了研究,使用结构方程模型对调查数据进行实证分析。与电子商务快速发展的要求相比,现有的电子商务企业价值评估理论、方法的研究显得非常薄弱,这就需要探究适合电子商务企业的价值评估方法以准确反应企业实际状况。对电子商务企业价值评估进行研究不仅有利于提高电子商务企业价值评估水平,亦对企业的经营管理者、风险投资者的决策具有重大指导意义,从而可以促进电子商务更好的发展。
二、电子商务企业特点及评估方法选择
(一)创立时间短,历史数据缺乏
电子商务概念1997年引入中国,2010年进入大规模发展应用期。大部分电子商务企业都是近几年才建立起来的,历史财务数据的缺乏使得传统的评估方法无法试用。比如利用CAPM模型计算风险系数时,一般需要5年以上的财务数据进行回归分析。
(二)成长性好,但前期投资高,盈利小
目前我国电子商务企业的成立如雨后春笋般,但是多数企业利润微薄,有些甚至亏损,这就使得市场法中的市净率法等不可使用。很多的电子商务企业只是目前盈利甚微,但是未来成长性好,盈利较多,若以现时收益为基础对该企业进行价值评估,则会低估企业价值。
(三)高风险,增长率不确定
电子商务企业与传统企业相比有着较高的风险,这种高风险体现在对于未来的不可预见上,电子商务企业很可能在短期内就大量盈利、迅速扩张,也有可能迅速退出历史舞台,所以电商企业的增长率难以估计,这就使得预计未来的现金流量比较困难,传统的DCF法等难以运用。
由电子商务企业的特点可以得知,传统的评估方法―收益法、成本法、市场法等并不适用于电子商务企业的价值评估。
三、实物期权理论及电子商务企业中的实物期权
期权是指持有人在规定时间内有权力但不承担义务,按事先约定的价格买卖某种商品或财产的权力。麻省理工大学的Stewart Myers(1977)教授首次将金融期权引入实物领域,形成了实物期权概念。实物期权是指标的资产为某个投资项目或者某个企业的期权,实物期权是金融期权在实物界的延伸。实物期权通常表现为收缩期权、扩张期权这两种主要的形式,同时也有放弃期权、推迟期权、转换期权等。电子商务企业中主要存在以下实物期权:
(一)增长期权
电子商务企业在未来的发展中,会形成追加投资的期权,增加无形资产、固定资产投入以扩大企业经营规模的期权,开拓新的业务范围的期权等。
(二)延迟期权
电子商务企业为了获得超额收益,注重对新市场、新领域的扩展,会投入很高的研发成本,但是新市场、新领域的不确定性很大,如果失败,则企业将产生巨额损失。因此,电商企业可能先对新的市场、领域进行观察,等到前景明朗时在进行研发投资,这样企业承担的风险就会变小,减小损失,增加企业的价值。
(三)放弃期权
电子商务企业面临的不确定性较大,如果在未来发展投资决策过程中,某一重要外界环境发生了突然的重大变化,对企业投资产生的不利影响会一直持续下去,那么企业的管理决策者就应该放弃这种投资,以减少企业的损失。
(四)转换期权
电子商务企业的价值增加中很大一部分来自于对商机的把握,如果管理决策者发现了某一领域中存在很大的商机,那么可以暂停盈利性不大的投资,将资金转换到商机较大的投资中,优化企业资源配置,增加企业价值。
根据实物期权理论,实物期权法可以很好地适用于电子商务企业的特点,充分考虑电子商务企业的不确定性,将传统估价方法中难以评估的账外无形资产价值、潜在的投资机会、管理柔性都融入企业价值之中,使电子商务企业的价值评估更加准确真实。
四、实物期权法在电子商务企业价值评估的应用
期权定价方法有很多种,目前广泛应用于实务领域的主要有二叉树模型和Black-Scholes模型。
二叉树模型的期权定价公式为:
单期二叉树模型:f=e-rt[pfu+(1-p)fd]
两期二叉树模型:f=e-2rt[p2fuu+2p(1-p)fud+(1-p)2fdd]
公式中,f为期权价值,t代表每期的时间长度,p和(1-p)分别为标的资产未来一期价格上升和下降的概率。u、d分别代表标的资产价值上升一次后为原来的倍数和下降一次后为原来的倍数,fu、fuu分别代表标的资产上升一次后的价值和上升两次后的价值;fd、fdd分别代表标的资产下降一次和下降两次后的价值。fud代表标的资产价值先上升一次和再下降一次后的价值。
利用二叉树期权模型计算企业价值,对实物期权的期数划分越详细,则计算结果越准确。
Black-Scholes模型由美国芝加哥大学教授Fischer Black和斯坦福大学教授Myron Scholes建立的期权估价模型,后被用于实物期权领域,其定价公式如下:
买方期权价值C0=SN(d1)-Xe-rtN(d2)
卖方期权价值P0=Xe-rtN(-d2)-SN(-d1)
公式中,e-rt代表连续复利下的现值系数;N(d1)和N(d2)分别表示标准正态分布下变量小于d1和d2时的累计概率。d1和d2的取值如下:
■
其中,S表示标的资产的现值,X为期权的执行价格,t表示期权到期的时间,σ表示标的资产价格的波动率,r表示无风险利率。
本文选取焦点科技(002315)作为B-S模型的评估案例进行分析,本文所选数据来自于深圳证券交易所官网。由于可以取得的最近公开财务报表为2016年6月30日的半年报,所以本文以2016年6月30日为基准点对焦点科技(002315)进行企业价值评估。
对于标的资产的现值S的选择:通过深圳证券交易所查得2016年6月30日焦点科技的收盘价为67.46元,已发行普通股总计117500000股,经计算可得其市值为7926550000元,即S=7926550000。期权的执行价格X的选择:在金融期权中,当标的资产的市场价格超过执行价格时,执行看涨期权就能得到期权收益。同样地,当企业资产大于负债账面价值时,企业股东就具有获得剩余收益的权力。所以这里选择负债的价值为期权的执行价格X,查阅报表可得X=428153706.83。行权时间t的选择:中国互联网企业的平均寿命为三至五年,焦点科技属于互联网企业分支中的电子商务企业,经营状况良好,并且发展前景较好,因此行权期限估计为5年。无风险利率r的选择:根据行权期限5年的估计,查阅得知2016年7月14日国家发行的第十五期5年国债的票面利率为2.65%,以此作为无风险利率。标的资产波动率σ的计算:本文选取公司自2009年12月9日上市至2016年6月30日共1587个交易日的股票收盘价数据,经计算得到日股价波动的标准差为3.37%,再将日标准差进行年化处理,用3.37%乘以■,得到年标准差为53.31%,即σ=53.31%,σ2=28.42%
根据以上的分析,B-S模型中的5个参数都已经被合理的估计出来,将其带入公式,计算得出d1=3.1556,d2=1.9636,N(d2)=0.9753,C =7554451918元。
五、结束语
从上文的计算分析中可以得知,运用实物期权法的B-S模型计算的2016年6月30日焦点科技(002315)的价值为7554451918元,而其当时的市场价值为7926550000元,说明焦点科技2016年6月30日的股票价格被高估。这一点可以从此后股票的价格走势得到验证,根据深圳证券交易所查询的数据可以得知,焦点科技的股票价格在7月份短暂的上涨之后,在8月份和9月份都处在下降的通道中,截至2016年9月22日股票价格跌至62.69元。
综上所述,通过对焦点科技的企业价值的评估,很好地验证了实物期权法的B-S模型可以在一定程度上适用于电子商务企业的价值评估。虽然实物期权法的B-S模型在评估电子商务企业价值时相较于传统方法有一定的优势,但是其应用也有自身的难点,即对于模型参数的选取和调整。参数选取的是否合适将直接影响评估的结果,因此在如何使得参数的选取更加合理方面,还有待进一步的研究和探索。
参考文献
[1]杨景海.实物期权法在企业并购价值评估中的应用[J].财会通讯,2015,20:12-14.
[2]彭菁菁.Black-Scholes模型与DCF模型在B2B电子商务企业价值评估中的互补应用[J].金融经济,2014,16:97-99.
[3]钱丽丽,张波.电子商务企业的无形资产价值相关性研究[J].商业会计,2014,09:105-107+15.
[4]Myers.Stewart:Determinants of Corporate Borrowing[J].Journal of Financial Economics,1997(5).
摘要良好的风险管理,要求管理者能够有效地识别、报告风险暴露情况,使企业的最高管理层能够及时有效地了解所面临的各类风险,从而迅速做出应对措施。本文重点分析了风险管理方面存在的问题和改进的建议,提出建设通过加强内部审计和信息化建设促进风险管理水平的提高。
关键词企业风险管理信息系统
一、风险管理信息系统概述
(一)风险管理信息系统的概念
风险管理信息系统的概念30年前在国外出现,是一个企业开展全面风险管理工作的动态操作平台和集成的信息系统。它适用于大中型企业在战略层面和业务层面的全面风险管理并支持企业全面风险管理体系各组成部分的运行,其功能涵盖了风险管理全部流程,从初始风险信息的采集、加工和更新维护,风险识别、风险分析和风险评价,到风险管理策略和解决方案,风险监控、信息反馈和改进。
(二)国内企业风险管理信息系统现状
目前国内企业风险管理信息系统的现状是全面风险管理信息系统并没有建立;仅高风险行业的风险管理信息体系建设相对比较健全,但并不完善;风险管理信息系统功能未全面兼容;在定性风险方面未用信息技术进行风险管理,仅对部分定量风险进行分析和管控;企业未建立全面风险管理信息系统。
二、存在的问题与解决方案
(一)风险管理方面存在的问题
1.风险管理理念尚未全面确立
企业风险意识淡薄,管理者存在着重业务、轻风险管理的思想。当企业业务发展与风险管理有关要求相悖时,往往以各种借口或理由进行变通或回避,致使企业内控机制有效性无法发挥。
2.风险管理制度有效性不足
企业风险管理体系存在“形似神不似”的问题,企业虽然学习、引进了部分先进风险管理制度、方法,但却缺乏发挥这些风险管理制度有效作用的配套机制,在具体操作中往往不能达到预期效果。
3.员工风险意识淡薄
企业大多数员工对于风险管理工作仍然停留在“要我做”的阶段,并未真正理解风险管理对于降低企业经营风险、实现企业整体价值的重大意义;认为风险管理仅是企业管理层、财务部门、内部审计部门和风险管理部门的职责,跟普通员工关系不大。
(二)信息系统方面存在的问题
1.信息化水平不高
企业信息化水平不高,导致信息在传递过程中发生了缺漏或歪曲,导致最终到达的信息不完整、不准确。多数企业风险反馈机制都或多或少地存在信息滞后的现象,公司高层难以及时了解企业即时的风险信息情况,从而大大影响了决策的效率、效果和质量。
2.系统自身的设计与控制问题
目前,国内企业已经逐步进入信息化阶段,企业信息系统也正在普及,部分企业还专门购买或设计了用于风险管理的信息系统。但这些软件系统的设计和控制本身仍然存在一定的问题和不足。
3.数据处理系统不能有效地与经营活动相结合
从经营活动中获取相关数据并对风险事项进行有效地识别、分析,是风险管理信息系统的关键。然而,我国企业信息化整体水平仍然较低,目前还无法较好地做到风险数据的实时采集、加工、整理和报告。
三、解决方案
(一)加强内部审计与信息沟通
1.加强内部信息沟通
企业应当通过制定全面风险管理手册,明确企业风险管理的战略和策略以及具体的风险评估方法、风险防范措施、风险控制方法和各部门、各级员工在风险管理工作中的责任。企业还应加强风险管理知识和技能的培训和教育,使每个员工都能理解企业风险管理的基本原则和各自职责,尤其应当树立企业整体风险防范意识。
2.加强对风险管理信息系统的内部审计
企业内部审计部门应当加强对企业风险管理、内部控制系统及相关信息系统的审计,及时发现风险管理信息系统存在的问题和不足,保障风险管理信息系统的有效运行,防止个别管理人员或有关部门隐瞒重要或关键风险信息的行为。作为内部审计部门的日常工作之一,内部审计工作人员应保证风险报告是充分、完整和及时有效的,也就是要及时报告对组织的关键风险领域有重要影响的风险。内部审计工作人员还要确定企业管理层对风险管理内部审计报告采取了恰当的行动,相关部门进行了认真的整改,从而使风险得到有效的管理。
3.规范风险信息披露,提高信息透明度
会计系统是为风险管理信息系统提供数据的重要来源。因此,加强风险管理信息系统建设的一个关键问题就是完善会计信息系统,提高会计信息的透明度。一方面,应当对企业现有的财务会计制度进行完善,使之在关注过去有关信息的同时也对未来信息进行关注;另一方面,在财务报表附注中加强对企业面临的风险信息的披露,包括企业的风险管理战略、风险管理的目标及风险管理策略、企业管理层对风险的识别和分析、拟采取的风险应对措施等,以提供更充分的风险信息。
4.加强信息系统自身的建设与控制
风险管理信息系统的软件开发商在开发企业管理软件时,应当注重数据采集、风险识别、风险分析与评价乃至模拟、辅助决策等风险管理相关模块的设计。而企业则应当重点关注风险管理系统软件系统对自身的适应性,是否符合企业实际,是否企业自身经营特点,并根据企业实际要求软件开发商进行符合企业实际的个性化设计或对通用软件进行必要的二次开发。
(二)建立适应风险管理信息系统的内控制度
建立适应风险管理信息系统的内控制度首先要梳理现有的管理和业务流程,必要时,建立相关的流程。要建立符合实际需要的风险管理信息系统,就要不断完善法人治理结构,为全面风险管理信息系统的建设提供一个良好的内部控制环境;不断加强和完善会计核算体系,建立一个运营更加有效的会计信息系统和会计核算管理系统;财务部门内部应加强稽核工作,同时与其他部门密切配合开展风险防范和管理工作;加强内部控制的信息化建设。
(三)加强信息化建设,提高风险管理水平
1.建立风险管理委员会,形成风险管理良性机制
要增强风险管理的独立性和有效性,就要完善公司风险管理结构,在董事会中下设风险管理委员会,根据企业确定的任务或预期,制定战略目标,选择战略并确定与之相关的其他目标并在企业内部各部门层层落实。
2.设立专职部门负责风险评估
提高稽核或内审部门在企业的地位,赋予这些部门专职进行风险评估的职能,同时加大对风险管理监督控制的力度。在全面风险管理框架中,内部控制系统是风险管理的重要环节,良好的内部控制依赖于有效地、规范地对公司所处风险的性质与范围的评价。
3.营造科学认识风险的内部环境
企业的风险管理牵扯到企业各个层面的员工,每个层面的员工都要通过企业内部的信息沟通渠道。良好的全员风险防范意识将更有利于企业开展各项风险管控工作。在企业全体员工中开展防范和化解风险的意识和能力培训将有助于营造企业良好的风险内部环境。
四、总结
企业风险的复杂性、多样性决定了仅靠纸面文件形式进行风险的管理是不够的。从风险影响因素的搜集到识别,再到风险的评估及程度计量,直到风险控制方法的决策,都需要运用信息技术来处理。在完善企业内控建设的基础上,加强内部审计和信息化建设,是企业提高风险管理水平的一个重要手段和渠道。有了健全的信息系统,就能够按照严格的程序对风险进行科学分析和管控控制,从而降低运营成本,增强市场应变能力,加强企业管理、堵塞管理漏洞,有效保障了企业健康发展。
参考文献:
[1]国务院国资委.中央企业全面风险管理指引.2006.06.20.[2]刘庆锋,陈思,宋晓梅.上市公司全面风险管理信息系统研究.美中经济评论.2007.7(2):53-57.
[3].建立全面风险管理模式.银行家.2004(2).
[4]赵会芹.风险管理信息系统的应用.中国电力企业管理.2010(9):72-73.
[5]刘宇.上市公司风险管理探析.中国注册会计师.2007(5):55-57.
[6]刘笑霞,李明辉.论企业风险管理信息系统.经济问题探索.2008(12):136-141.
【关键词】 电力施工 信息系统 安全
笔者就职于四川电力建设三公司(以下简称为“公司”),从事企业信息化管理工作。四川电力建设三公司是一家典型的电力施工企业,拥有众多的施工项目,分散在国内外各地。随着信息技术的飞速发展,公司也紧跟时代的脚步,开发并使用了一系列信息系统,包括公司OA办公系统、数据报表系统、人事管理系统、财务资金管理系统、资产管理系统、邮件系统等。由于公司是一家大型电力施工企业,主营业务为电源建设,项目投资金额大、项目周期长、生产环节繁杂、参与人员较多,因此信息系统的数据流链条较长、信息采集点较多,且包含大量公司商业秘密,信息系统的安全保障是公司异常关注的重点工作。本人在多年的工作实践中,积累了一定的信息系统保障工作经验,现对此项工作进行全面总结。信息系统安全保障工作,从宏观角度可以分为信息安全管理体系建设、信息安全组织与管理、信息安全法规与标准化工作、信息安全技术工程几个方面。
信息安全体系建设主要指信息安全管理体系ISMS的建立与运行。信息安全管理体系ISMS是目前国际上使用较广泛的信息安全管理方法,其认证标准对企业进行信息安全保障工作具有较强的指导意义。公司作为一家大型电力施工企业,未雨绸缪,在本世纪初就开始了相关的体系建设工作。信息安全管理体系ISMS的相关标准有ISO/IEC27001和GB/ T22080,主要有规划建立、实施运行、监视评审、保持改进四个过程。
1、在规划建立阶段,公司参照国际国内先进企业经验,确定了公司ISMS组织结构范围、业务范围、信息系统范围和物理范围,制订了ISMS方针,确定了风险评估方法。2、在实施运行阶段,公司制定了风险处理计划、实施风险处理计划、开发有效测量程序、实施培训和意识教育计划、管理ISMS运行。其中,工作重点是对具体风险的有效应对与控制。公司针对面临的各项风险制定了专门的风险管理计划,对每一项风险的处理优先顺序、处理措施、所需资源、责任人、验证方式进行了详细定义,确保风险管理的可执行性。3、在监视评审阶段,公司通过日常监视与检查、内部审核、风险评估、管理评审等活动确保整体监控水平。4、保持改进阶段,公司主要活动为实施纠正和预防措施,消除各个管理不符合项,确保在发生信息安全事件时,能够从容应对、科学分析,并采取最优的处理措施。
信息安全组织与管理是对公司信息系统参与者的针对性管理,主要分为内部组织管理与外部管理两个方面。其中,内部组织管理是该项工作的核心。公司的信息系统由于信息采集点较为分散,信息传送路径较长,因此信息安全的潜在威胁也较大。如何保证信息系统中大量的商业秘密数据不被泄漏、不被窃取、不被篡改,是公司信息安全组织管理的核心目标。为此,公司进行了业务梳理,将各项数据的报送流程进行了明确规定,将数据的处理权限同公司组织架构有效结合、综合考虑,做好了合理分配。比如,工程进度报表,就被限定了填报人员为各项目部工程部进度管理专责人员,审核者被限定为各项目部工程部经理,签发者为各项目部项目经理,汇总者为公司总部工程管理专责。这样,不管具体人员如何变动,信息处理参与者都只与限定的岗位有关联,确保了数据信息的保密性、可用性和有效性。信息安全法规与标准化工作对于信息系统安全保障具有较大的指导意义。只有严格遵从国家信息安全法律法规、行业规定及相关标准,才能确保企业信息安全保障工作有法可依、有章可循。我国相关的法律法规有《中华人民共和国保守国家秘密法》、《计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《信息安全等级保护管理办法》、《计算机信息系统国际互联网保密管理规定》、《计算机病毒防治管理办法》、《电子签名法》等。我国制定的信息安全相关标准有GB 17859-1999《计算机信息系统安全保护等级划分准则》、GB/T 25058-2010《信息系统安全等级保护实施指南》、GB/ T 20269-2006《信息系统安全管理要求》、GB/T 21052-2007《信息系统物理安全技术要求》等。这些标准从工作、管理、技术方面对企业信息安全保护活动进行了标准化约束,为公司进行信息系统安全保护工作提供了文件支持。
(-)重新认识内部控制评估在内部审计工作中的地位与作用
作为组织内部控制系统的一个重要组成部分,内部审计本质上是一种评价职能,通过衡量和评价其他各种控制的有效性来履行其职责。内部审计人员不可能也不需要与该单位从事各种活动的技术专家或经营专家具有同样知识(更不要说取而代之),但正是通过内部控制这座大门,内部审计得以检查与评价所在单位的所有活动并增加价值。因此,可以说内部审计工作本身就是内部控制评估,这种评估的侧重点可能在财务方面,也可能是在经营管理方面。按照评估范围的区别可将审计类型划分为财务审计与经营审计(或称之为效益审计)两大类。无论哪种审计,都牵涉到评估范围与评估目的、内部控制模式的选用及评估过程中风险等问题,内部审计人员对其认真加以是必要的。
(二)正确理解内部控制概念并选择适当的内部控制标准或模式
正确理解内部控制概念要求内部审计人员牢固树立以下观念:(l)过程观念。内部控制是对的整个经营管理活动进行监督与控制的动态过程,应与企业的经营管理过程相结合;(2)重视人的作用。不仅仅是管理人员、内部审计或董事会,组织中的每一个人都对内部控制负有责任,在内部控制设计与评估过程中不能忽视人的重要性;(3)注重软性控制。高级管理阶层的管理风格、管理、企业文化、人员能力、内部控制意识等软性控制决定其他控制要素能否发挥作用;(4)风险观念。风险是内部控制存在与变化的前提与基础;(5)成本与效益观念。内部控制受先天条件所限及基于成本与效益原则考虑只能做到“合理”保证,没有不花钱的内部控制,也不存在完美无缺的内部控制。
在内部控制标准或模式选择方面,既然国内尚无成熟的内部控制标准或模式,适当借鉴国外的先进经验就不失为一个好的办法。COSO已获最广泛认同,企业可以其作为主要的参照标准并根据自己的实际情况加以细化与补充。在具体做法上,有条件的企业可由内审部门牵头编制内部控制手册。该手册并非企业以往所定规章制度的简单汇总,而是按照COSO框架所述的控制环境、风险评估、控制活动、信息与沟通及监督等五个内部控制要素分别展开,明确内部控制责任及各业务循环控制要求甚至包括风险分析与评估要点。手册既可作为全体员工遵循的指南,也可为内审部门及各级管理者提供内部控制与风险管理的工具。
(三)合理制定内部审计战略
内部审计人员可在对审计部门内外部环境进行战略分析的基础上,结合企业发展战略制定其部门3-5年战略计划。根据国外一些大企业的经验,该战略计划的至少应包括:(1)内审部门的角色与定位:阐明内审部门如何定位与转型;(2)明确内审部门在未来数年可能面临的各种挑战;(3)未来几年可审计领域风险分析结果及具体审计资源分配计划;(4)内审人员的任用、选拔与培训安排;(5)部门信息化推进计划;(6)与外部专家进行战略性合作(如联合审计机信息系统)的安排;(7)与企业其他部门尤其是监督部门的合作关系:如建立资源共享的信息系统及协调工作等;(8)研究及行业最好实践的计划安排;(9)工作标准及其他内部控制与风险管理参考指南与手册编写计划。
该战略计划每年根据情况变化滚动编制。
(四)发展一个风险导向的内部控制评估方法风险可视为达成组织目标所面临的不确定性,一个企业的内部控制系统存在的根本目的在于对威胁其目标达成的风险提供管理,没有风险也就不需要内部控制。
目标、风险与控制之间的上述逻辑关系是确立内部控制评估与思路的基础。以风险为导向意味着战略及目标和业务过程评估先于具体工作。内部审计人员必须首先对组织所在的行业特点、经营目标及战略与相应的风险管理活动执行战略分析。了解诸如组织在其经营的行业和市场环境中的目标与战略是什么,政府法规或其他力量对组织本来转变有什么,什么是影响公司战略的最根本风险等。
下一步,内部审计人员将分析组织目标、战略和重要经营风险之间的相互关系。并且将注意力集中在那些容易招致经营风险和能够产生额外机会的经营领域;决定哪些经营过程是最重要的,进而评估与这些过程相联系的内部控制活动的效率与效果。
作为上述过程核心部分的风险评估既可采用定量分析方法,也可定性分析。除IIA教材提供的风险评估办法(选择风险因于并衡量仅重)外,实践中我们还可对每一个业务过程可能发生的风险进行分类,建立所谓的风险识别图或风险资料库。审计人员通过设置方便衡量的关键变数或指标并监测其变化来实施预防控制,以预警机制及时发现问题并适时发挥监控功能。
此外,有效运用内部控制自评(CSA)也能大大改进内部控制评估过程的效率与效果。CSA不是将评估工作完全交与被审单位,而是采取合作的方式但不失内审人员独立的立场。使用CSA能达到经营单位,让其了解内部控制的重要性,明白控制与风险管理的最终责任在于其自身之目的。与此同时,内部审计人员也能收集在传统的审计程序中无法取得的有关软性控制的宝贵资料。
CSA并非不合国情,我国内审人员只要周详地计划及与传统的内部控制评估过程相结合,由简而繁,循序渐进地开展,相信将会取得满意的效果。
(五)善加利用信息技术
面对普遍信息化和日趋复杂的业务环境带来的挑战,内审人员应善加利用机技术与工具以提高审计效能。根据国内企业信息化的现状,我们可以从以下方面入手:(1)如前所述,为每一个被审计单位的每一个关键业务过程建立资料库,设置预警指标以实施实时控制,出现例外情况及时审计与调查;(2)建立无纸化的快速工作底稿系统,整个审计过程从计划到审计后跟踪都可以利用计算机加以支持。就主要审计发现可通过计算机随时与被审计单位沟通,审计外勤工作结束之日即可签发审计报告;(3)通过单位内部网发放及收集内部控制及风险评估调查表;(4)通过单位内部网收集审计线索(如舞弊线索)和开展审计用户满意度调查;(5)对全体员工开展在线风险管理及内部控制教育;(6)获取审计参考资料。一些国际公司及政府审计机构经常在互联网上有用的参考资料,对于我们开展内部控制评估颇有价值(据我们了解到的情况,互联网上以内部控制或风险管理为专题且可免费下载的指南有近百个)。利用这些资料建成的“网上图书馆”,可以很方便地为全体审计人员所共享。
