企業(yè)信息化評估方法精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術(shù)，我們?yōu)槟鷾蕚淞瞬煌L格的5篇企業(yè)信息化評估方法，期待它們能激發(fā)您的靈感。

篇1

[摘 要] 本文基于信息化建設工作經(jīng)驗，針對如何評價企業(yè)信息化價值提出了一種基于對標管理的評估方法。研究了該方法在企業(yè)信息化項目價值評估和企業(yè)整體信息化價值評估兩種情況下的應用，并通過具體的評估案例實踐，驗證了基于對標管理的信息化價值評估方法的有效性和實用性。

[關(guān)鍵詞] 對標管理；企業(yè)信息化；價值評估

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 05. 036

[中圖分類號] F270.7 [文獻標識碼] A [文章編號] 1673 - 0194（2017）05- 0065- 05

1 前 言

近些年，企業(yè)信息化價值逐漸得到認可，信息化已經(jīng)被認為是企業(yè)發(fā)展戰(zhàn)略的重要組成部分，信息化價值也體現(xiàn)著企業(yè)價值。一般來說，所謂信息化價值有兩種理解：一種是狹義的信息化價值，即某一項信息化基礎設施建設或信息系統(tǒng)建設能夠為其建設主體帶來的價值，一般表現(xiàn)為直接的、可看得見的經(jīng)濟效益，是對一種具體的、短期的、單一的信息化項目價值進行評估。另一種是廣義的信息化價值，即企業(yè)應用信息技術(shù)來影響和優(yōu)化企業(yè)生產(chǎn)方式、管理方式、經(jīng)營模式的過程，是對宏觀的、長期的、復雜的企業(yè)整體信息化價值進行評估。

伴隨著國際信息化的深入飛速發(fā)展，我國兩化融合進程的不斷推進，信息化價值評估結(jié)果的模糊性表述已經(jīng)不能滿足企業(yè)管理者的戰(zhàn)略價值參考，企業(yè)管理者需要認真而嚴肅地評估信息化價值，但圍繞信息化價值的分析與評估，仍然存在著評估方法的缺失和評估不夠量化等問題。對此，本文作者結(jié)合信息化工作實踐，參考大型央企集團信息化工作模式，提出了基于對標管理的信息化價值評估方法。該方法既適用于對具體的信息化項目建設進行評估，又適用于對企業(yè)整體信息化價值進行評估。

2 基于Ρ旯芾淼男畔⒒項目價值評估

基于對標管理的信息化項目價值評估一般分為三個步驟，即選取對標企業(yè)、選取對標管理指標項、對標評估及分析。以我院建設的項目管理系統(tǒng)為評估對象來闡述該方法的應用。該系統(tǒng)建設目標是為了提升項目管理效率，使項目管理更加規(guī)范化、標準化，為決策者提供真實有效的統(tǒng)計數(shù)據(jù)。系統(tǒng)實現(xiàn)了從經(jīng)營、合同到生產(chǎn)組織、項目管控及驗收、歸檔等全程線上管理，功能覆蓋了正式生產(chǎn)項目、投標項目、代政府咨詢評估項目、經(jīng)營服務項目以及科研項目和管理類項目的全過程管理，業(yè)務流程節(jié)點涉及經(jīng)營管理、生產(chǎn)綜合管理、采購管理、財務管理、項目生產(chǎn)、工時管理、指標管理、綜合報表等8大類41個功能模塊。該系統(tǒng)2012年正式立項，至今已建設達5年整，先后投資達480萬元。

2.1 選取對標企業(yè)

首先選取已經(jīng)建設了類似系統(tǒng)的三家單位作為對標企業(yè)。對標企業(yè)的選擇可以是行業(yè)內(nèi)企業(yè)、集團內(nèi)二級子公司或者與本公司規(guī)模體量及經(jīng)濟效益基本相當?shù)膯挝弧＝?jīng)過調(diào)研走訪，選擇了一家北京建筑設計單位、一家行業(yè)內(nèi)施工企業(yè)和一家與我院規(guī)模體量基本相當?shù)氖〖壱?guī)劃設計院，為方便描述，分別為上述三家企業(yè)設定代號為A、B、C。

2.2 選取對標管理指標項

對標管理指標項的選取對評估結(jié)果至關(guān)重要，它反映了企業(yè)對信息化某方面價值的關(guān)注程度，指標選取的恰當與否會影響價值評估結(jié)果。根據(jù)美國項目管理學會（Project Management Institute，PMI）提出的關(guān)于信息系統(tǒng)項目管理知識體系（Project Management Body Of Knowledge，PMBOK）的九大知識領(lǐng)域，結(jié)合企業(yè)自身對信息化價值關(guān)注點，選取其中與項目價值關(guān)系緊密的五項改進后作為對標管理指標項。

（1）項目整體目標：是對項目建設后形成的預期結(jié)果的描述，建設目標的方向性和現(xiàn)實性是系統(tǒng)能否體現(xiàn)其價值的關(guān)鍵，因此衡量項目建設價值時往往從目標是否明確、是否可實現(xiàn)的角度進行考量。

（2）建設內(nèi)容及范圍：是指為達成項目目標必須完成的工作內(nèi)容。對于信息系統(tǒng)建設項目，建設內(nèi)容可從兩方面來描述。一是根據(jù)項目周期的階段按照項目管理、需求分析、系統(tǒng)設計、集成準備、集成實施及測試與驗收等6個階段對所涉及的工作進行層層分解；二是根據(jù)系統(tǒng)需實現(xiàn)的業(yè)務功能模塊來進行層層分解，將業(yè)務流程進行細化。項目建設內(nèi)容及范圍有覆蓋程度及深化程度之區(qū)分，在做對標評估時要確保使用同一維度的內(nèi)容分解方法并使分解的各個工作事項基本保持在同一水平。

（3）項目時間進度：是指為完成該項目所產(chǎn)生的所有活動的時間總和。一般指信息化項目從立項啟動到上線驗收經(jīng)歷的時間。

（4）項目投資及成本：指完成該項目所需的資金投入及人力資源成本的總和。

（5）項目建設質(zhì)量：對于信息系統(tǒng)來講，項目的建設質(zhì)量主要從三方面來考察：一是系統(tǒng)建設選擇的技術(shù)框架體系是否合理，如系統(tǒng)選擇的軟件技術(shù)，采取的安全技術(shù)等是否合理；二是系統(tǒng)本身技術(shù)指標是否符合標準或客戶要求，如系統(tǒng)可用性、可靠性、可維護性等等；三是系統(tǒng)建設的組織管理過程是否規(guī)范合格，如過程的組織與管理（P-D-C-A的執(zhí)行過程）、風險分析與管控、項目參與各方的溝通程度等。

2.3 對標評估及分析

對標評估過程需要專家參與。對于信息系統(tǒng)的價值評估，一般由領(lǐng)導、業(yè)務部門、信息化部門、行業(yè)專家及用戶共同組成5-7人的專家組。首先到各單位調(diào)研，就對標管理指標項與各公司溝通了解情況，每位專家將填寫對標評估表，經(jīng)過對比分析給出各家指標項的評分；匯總專家對標評估表，取平均值作為該公司某項指標項的最后得分，得到表1。

從表1中可以看出，我院的建設目標相對清晰，建設框架和內(nèi)容、功能相對完整，在建設過程中嚴格執(zhí)行了項目組織管理的質(zhì)量控制環(huán)節(jié)，避免了走彎路，在時間上節(jié)約了返工成本，總體屬于中上等建設水平。這與我院建設生產(chǎn)經(jīng)營管理系統(tǒng)的實際情況是相符合的，也證明了基于對標管理的信息系統(tǒng)價值評估方法是可行的。

值得指出的是，在實際應用過程中，往往將該辦法應用于系統(tǒng)建設之前，即調(diào)研各家單位后形成上述對標評估表，根據(jù)評分來決策其他要素幾近相同的情況下資金投入的多少或時間進度的控制。

3 基于對標管理的企業(yè)整體信息化價值評估

運用對標管理方法來評估企業(yè)整體信息化建設價值同樣適用，只是選取不同的對標項。以中國交通建設集團有限公司（簡稱中國交建）的信息化價值評估為例，根據(jù)國資委年度評測指標體系，在行業(yè)內(nèi)信息化較有影響力的央企有某綜合能源集團公司（設代號M）、某大型實業(yè)集團公司（設代號H）和某大型專業(yè)能源集團公司（設代號S）等。中國交建選擇這三家行業(yè)優(yōu)秀集團公司作為對標企業(yè)，對標管理可以選取以下幾個指標項。

3.1 指標項1：信息化領(lǐng)導力

從信息化領(lǐng)導力來講，大多數(shù)公司均由公司領(lǐng)導親自掛帥或設立CIO制度，將信息化定位為驅(qū)動企業(yè)變革與轉(zhuǎn)型的核心要素，以信息化為切入口實現(xiàn)企業(yè)整體變革。在這方面，這三家對標企業(yè)均由集團公司副總?cè)孀タ傂畔⒒瑢崿F(xiàn)集團范圍內(nèi)的管理提升和變革。

3.2 指標項2：信息化建設路徑與策略

從信息化建設路徑與策略上，信息化工作是系統(tǒng)工程，集團上下應齊心協(xié)力，適宜集中統(tǒng)一、步調(diào)一致，不適宜分散建設、重復投資。這方面，三家對標企業(yè)的實施路徑與策略見表2。

3.3 指標項3：信息化管控w系及職責分工

信息化涉及眾多跨部門、跨業(yè)務的協(xié)同內(nèi)容，建設過程中清晰明確的管控體系和職責分工能夠幫助業(yè)務部門和信息化部門盡快進入角色，共同提升業(yè)務和信息化水平。在這方面，三家公司均有成熟的信息化管理體系辦法、信息化與業(yè)務活動的規(guī)范接口及相關(guān)技術(shù)標準。

3.4 指標項4：信息化建設力量

信息化工作的效用發(fā)揮一定是信息化理念、技術(shù)與公司特有文化、管理模式、組織模式的有結(jié)合。在信息化建設過程中，培育和發(fā)展一支自有專業(yè)隊伍必不可少，不僅可以支撐企業(yè)內(nèi)部管理變革，同時還可成長為行業(yè)內(nèi)獨立業(yè)務板塊。三家對標公司的具體情況見表3。

3.5 指標項5：信息化資源投入

充足的資源投入是信息化工作的強力保障。在對標企業(yè)中，各公司都非常重視信息化投入。經(jīng)調(diào)研了解到各對標公司的信息化資金投入情況，見表4。

從以上五個維度的指標項來對標分析，目前中國交建在信息化領(lǐng)導力方面，尚未設立企業(yè)CIO制度，二級單位信息化組織架構(gòu)尚需要完善和充實，還有較大提升空間；在信息化建設路徑與策略方面，2010年提出統(tǒng)籌規(guī)劃、分步實施的原則，2012年在《中國交建十二五信息化頂層設計》中正式提出“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一管理、統(tǒng)籌建設”的四統(tǒng)原則，2016年又進一步提出“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一管理、統(tǒng)一投資、統(tǒng)一運營、統(tǒng)籌建設”的六統(tǒng)原則；在信息化管控體系及職責分工方面，公司已制定一系列信息化工作管理辦法，但業(yè)務部門在信息化建設管理工作中的主人翁意識和積極性仍有待提升，業(yè)務部門及信息化部門之間的權(quán)責關(guān)系仍需進一步明確和清晰；在信息化建設力量方面，中國交建下轄7家信息化專業(yè)公司，運維人員約1 400人，但由于市場分散、地域分散、人員分散、專業(yè)分散等原因，尚不能形成合力；在資金投入方面，目前中國交建年度投資約4億元，同期營業(yè)占比僅為0.1%，相對建設期投資偏低。

為以上五項指標給出相應評分，見表5。

從上表可以看出，中國交建應在信息化領(lǐng)導力、資源投入及整合信息化團隊方面進一步提升，這與集團當前信息化所處實際情況是一致的，與中國交建在國資委信息化評比成績是一致的，與當前集團上下對信息化的認可度也是一致的。

4 結(jié) 語

以上就信息化工作實踐中的信息系統(tǒng)和企業(yè)信息化價值評估進行了探索和實踐，初步證明是有效果的，但仍有可改進和優(yōu)化之處。比如，在信息化項目建設價值評估時，可將指標項增加和細化，或利用層次分析法構(gòu)建指標體系表進行評分，得出的結(jié)果將更加量化和準確。總體來說，信息化價值評估對企業(yè)管理層和技術(shù)層衡量企業(yè)信息化價值具有越來越重要的意義。做好信息化前評估和后評估有助于更好的發(fā)揮信息化的杠桿作用，促進企業(yè)的兩化融合，提升核心競爭力。

篇2

關(guān)鍵詞：MIE；企業(yè)信息化；投資評價

一、管理信息經(jīng)濟學研究的對象與內(nèi)容

Adrian M.Mc-Donough在1963年發(fā)表的《信息經(jīng)濟學與管理系統(tǒng)》（McGraw-Hill Book Companying.）一文中，從信息管理的角度探討了如企業(yè)的信息供給、信息需求、信息管理的經(jīng)濟效益、與信息系統(tǒng)的經(jīng)濟環(huán)境等信息的經(jīng)濟現(xiàn)象。管理信息經(jīng)濟學研究的主要對象是基于信息技術(shù)的企業(yè)信息化，而企業(yè)信息的集成便是我們的代表技術(shù)——信息技術(shù)。這里所說的企業(yè)信息是指產(chǎn)生于企業(yè)實踐并在企業(yè)中或企業(yè)之間交流傳遞的信息，如產(chǎn)品信息、價格信息、企業(yè)政策信息以及外部對企業(yè)有所作用的信息等。作為管理信息經(jīng)濟學的研究對象，信息技術(shù)和企業(yè)信息化是管理信息經(jīng)濟學探討的重點內(nèi)容。這是因為要體現(xiàn)企業(yè)信息的經(jīng)濟性，就要對其做出系統(tǒng)科學的效益評估，而評估的對象就是企業(yè)的信息系統(tǒng)或與之相關(guān)的信息技術(shù)產(chǎn)生的效益，這類領(lǐng)域主要集中在企業(yè)信息化領(lǐng)域。所以只有通過對信息技術(shù)以及其應用進行研究，才能使我們的企業(yè)在進行信息化時能從中確實感受到信息的經(jīng)濟性給企業(yè)帶來的變化，也只有這樣，才能使信息技術(shù)發(fā)揮出它的內(nèi)在經(jīng)濟性和潛在生產(chǎn)力，并最終使信息技術(shù)服務于企業(yè)。管理信息經(jīng)濟學是在企業(yè)理論和信息經(jīng)濟學的基礎上發(fā)展起來的，雖然這個課題是一個新的課題，但是隨著信息經(jīng)濟時代的發(fā)展，我們也應當看到它的內(nèi)在需求性。本書以信息技術(shù)這條主線貫穿始終，通過企業(yè)信息技術(shù)和其在企業(yè)內(nèi)外部的應用這兩個主要層面來展開論述。其中，企業(yè)內(nèi)部包括企業(yè)信息的經(jīng)濟性分析、企業(yè)信息管理模型的建立、信息技術(shù)與企業(yè)業(yè)務流程重組、企業(yè)價值鏈重建等；企業(yè)外部信息技術(shù)的應用包括集成化供應鏈優(yōu)化配置理論、電子商務信息經(jīng)濟學研究和信息技術(shù)等問題。

二、企業(yè)信息化投資價值與風險分析

研究企業(yè)信息化投資及其價值問題時，需要考慮的因素是企業(yè)的經(jīng)濟規(guī)模、商業(yè)地位及運行能力等。NPV、ROI、回報期限和其他項目投資分析方法是用于企業(yè)信息化投資評價中來評價各項系統(tǒng)提案的傳統(tǒng)方法。從企業(yè)信息經(jīng)濟學角度看來，某些應用系統(tǒng)安裝集成后產(chǎn)生了包括現(xiàn)金流量、收益與企業(yè)的財務分析等企業(yè)信息化價值。而所謂價值，就是在企業(yè)信息化的使用過程中產(chǎn)生的諸多積極作用的結(jié)合體。表面看來，企業(yè)用于引進新的信息系統(tǒng)所需的資金流出是負的，而學習新的技術(shù)且用于實際工作消耗的時間、新的生產(chǎn)工藝與傳統(tǒng)生產(chǎn)技術(shù)的不適應也導致了企業(yè)工作模式的破壞等棘手問題。企業(yè)實施信息化效益分析中，關(guān)鍵要考慮的就是投資回報，當中包含了企業(yè)的現(xiàn)金收益外的“社會效益”問題。利用新的系統(tǒng)應用，各部門機構(gòu)可重新定位更有價值的工作。引導著另一方進行投資或者價值流重組的原因則是企業(yè)的信息化投資中所體現(xiàn)出的價值及風險因素。用經(jīng)濟學的觀點看來，價值與風險因素是企業(yè)在立項及實行企業(yè)信息化之前重點考慮的因素。包括以下幾點：①投資回報（ROI）：企業(yè)的經(jīng)營手段都可以作為基本的依據(jù)；②戰(zhàn)略匹配：企業(yè)建設工程是否匹配其相應的建設目標；③競爭性風險：評價體系成功率的降低，可能導致企業(yè)競爭下滑；④風險因素：擬建的系統(tǒng)可能沒有實現(xiàn)預期值，導致企業(yè)的收益受到威脅；⑤組織風險：企業(yè)在經(jīng)營過程中的管理意識。公司實施信息化可能帶來的新的風險或者比原程度的風險有所增加，亦有可能導致企業(yè)組織結(jié)構(gòu)進行大規(guī)模的重組。以上是風險中典型的因素。

三、企業(yè)全面信息管理戰(zhàn)略投資評價

將技術(shù)手段應用到預期目標和項目類型上是對企業(yè)信息化評估非常可行的方法。企業(yè)利用經(jīng)營發(fā)展目標及短期商業(yè)目標來限定信息化投入的范圍，信息化投入的項目也可實現(xiàn)以下目的：①將信息化投入作為企業(yè)經(jīng)營中的一個商業(yè)活動來發(fā)揮功效；②在提高銷售業(yè)績的同時又降低了企業(yè)的經(jīng)營成本核算；③提升了企業(yè)的核心競爭力；④推動其他企業(yè)信息化投資項目得到收益。

1.企業(yè)匹配目標的信息化項目。企業(yè)匹配目標的信息化項目投資分為以下幾類：①必要投資，企業(yè)財務信息管理系統(tǒng)的投資；②提升銷售業(yè)績投資。客戶關(guān)系管理系統(tǒng)（CRM）、分銷管理信息系統(tǒng)（DRP）等；③競爭邊緣投資。企業(yè)辦公自動化以及電子商務應用系統(tǒng)等；④基礎投資。企業(yè)內(nèi)部網(wǎng)絡搭建、網(wǎng)管中心設立、管理用計算機與專用計算機的資金投入等；⑤評估投資。企業(yè)要實施信息化建設之前，聘請專業(yè)評估機構(gòu)對信息化資金投入的投入產(chǎn)出比率以及企業(yè)信息化的前景進行專業(yè)評估咨詢是必不可少的關(guān)鍵性投資。

通過圖1可以看出，企業(yè)在信息化建設的初期就與企業(yè)所要求的經(jīng)營目標相連接，這樣就明確了企業(yè)的評估重點，此時就已步入了評價階段。利用傳統(tǒng)的金融投資評估方法可以對“有效的”信息化投資項目進行整體研究，相對于企業(yè)發(fā)展來說，信息化的投資效益短期是顯而易見的，而有些則需要長期的運行才能確定其成效，而且長期的信息化項目運行是帶有社會性附加值的。

2.信息化投資評估技術(shù)方法。企業(yè)信息化投資評估技術(shù)較為理想方法是“發(fā)展持續(xù)的方法”，目的是將企業(yè)信息化投資的效應與企業(yè)可持續(xù)發(fā)展等綜合起來考慮，是一種科學的、更加深遠的信息化建設觀點。①評估的時效性。企業(yè)信息化投資評估是與企業(yè)的經(jīng)營發(fā)展戰(zhàn)略密切相關(guān)的，可以是在項目建設初期進行，也可根據(jù)企業(yè)經(jīng)營間歇期或企業(yè)規(guī)定的階段實行。②決策環(huán)境。投資評估是依據(jù)當時的經(jīng)濟發(fā)展與社會背景決定的。在決策環(huán)境中還存在一定技術(shù)問題急需解決：企業(yè)信息化項目的決策過程是否持續(xù)標準？企業(yè)信息化投資預期收益是否可計量？企業(yè)信息化建設的投入產(chǎn)出相關(guān)數(shù)據(jù)是否被認為很關(guān)鍵？企業(yè)能不能承受高額的費用？③系統(tǒng)。所謂“系統(tǒng)”是企業(yè)的網(wǎng)絡基礎設備以及信息平臺的集合，它是企業(yè)信息傳遞的載體。在企業(yè)信息化投資的評估中需要明確的問題是：“系統(tǒng)”在企業(yè)的管理經(jīng)營過程中究竟起到什么樣的作用？④組織。企業(yè)的經(jīng)營狀況穩(wěn)定與否，企業(yè)信息化建設負責人能否作為真正的項目決策人，也是在企業(yè)信息化評估過程中需要注意的問題。⑤因果關(guān)系。“系統(tǒng)”對于企業(yè)的經(jīng)營是否起到了一定的作用，是否使企業(yè)真正得到了一定的收益，則是因果關(guān)系所需要關(guān)注的問題。利用評估技術(shù)的特性與信息化投資評估的技術(shù)變量進行比較，再將這些技術(shù)變量分配到矩陣中，且將每種技術(shù)變量都分配到矩陣中的特定位置，圖2所示變量趨向于在企業(yè)信息化建設中的作用而非經(jīng)濟標準進行衡量。技術(shù)與原型、模仿與應用相協(xié)調(diào)是信息化投資評估方法的核心所在，其邊界值通常是基于比率上的。

對于企業(yè)信息化投資的評估，重點是企業(yè)進行信息化投資后，企業(yè)的價值鏈增加的價值及企業(yè)的最大化利益，其次是節(jié)約企業(yè)的持續(xù)成本。這些需用相對應的技術(shù)矩陣進行實驗，實現(xiàn)更有力的科學數(shù)據(jù)的支持。（如圖3所示）

[注]ROI—投資回報率；MOMC—多目標，多標準；ROM—管理回報；P—報酬；EM—實驗方法VA—價值分析；SES—芝麻；BV—邊界價值；CBA—成本—收益分析；IE—信息經(jīng)濟

在矩陣中，傳統(tǒng)的基于財務基礎上的方法依然具有它們的適用性。在實踐中，目標、項目類型和環(huán)境因素可能強烈地表明來自于一個象限的技術(shù)是最合適的。如果是這種情況，我們可以判定企業(yè)的信息化投資評估需要的不只是一種技術(shù)。通過分析表明，更常見的信息化投資評估是來自于幾個象限的一系列技術(shù)才是最合適的。

參考文獻：

[1]彭志忠.管理信息經(jīng)濟學[M].濟南：山東大學出版社，2006.

[2]謝康.國外信息經(jīng)濟學研究[J].科學決策，2000，（4)：41-42.

[3]Leslie Willcocks&Stephanie Lester，Evaluating the feasibility of information systems investments：recent UK evidence and new approaches，Information Management，Chapmean&Hall，1994：63.

篇3

[關(guān)鍵詞]高新技術(shù)企業(yè)；信息化風險；風險識別；風險評估

doi：10.3969/j.issn.1673 - 0194.2016.06.040

[中圖分類號]F276.44 [文獻標識碼]A [文章編號]1673-0194（2016）06-00-02

網(wǎng)絡時代的企業(yè)信息化建設對高新技術(shù)企業(yè)在管理效率、風險管控、市場響應、產(chǎn)品研發(fā)等核心競爭力和企業(yè)績效方面產(chǎn)生了前所未有的推動和提升作用，企業(yè)通過引入線上辦公系統(tǒng)（OA）、企業(yè)資源計劃系統(tǒng)（ERP）、全面風險管理系統(tǒng)（TBS）等信息化手段提高各部門工作效率，從而有效提高企業(yè)的管理水平，通過電子商務平臺、分銷管理系統(tǒng)等提高其銷售貿(mào)易能力，實現(xiàn)企業(yè)的可持續(xù)發(fā)展。但隨著高新企業(yè)信息化程度的快速擴展和IT投入不斷增加所帶來的風險及隱患也呈上升趨勢。如何進一步規(guī)避信息化風險，控制信息化損失成為亟待解決的問題。

本文旨在為高新技術(shù)企業(yè)研究一種信息化風險評價方法。根據(jù)高新技術(shù)企業(yè)的特征，識別高新技術(shù)企業(yè)在信息化建設過程中存在的風險，運用專家評分法對可能存在的風險因素進行評分排序，并將專家的打分表現(xiàn)在帕累托圖中，根據(jù)帕累托法則的“二八原則”，找出關(guān)鍵的風險因素。高新技術(shù)企業(yè)可依據(jù)本文提出的方法對其信息化建設過程中的風險進行識別及評價，并據(jù)此提出有針對性的管控措施。

1 高新技術(shù)企業(yè)信息化風險識別

高新技術(shù)企業(yè)具有高投入、高創(chuàng)新、高收益、高人才擁有、高風險等區(qū)別于傳統(tǒng)企業(yè)的特征，如互聯(lián)網(wǎng)、電子商務等企業(yè)，基于其發(fā)展初期往往需要構(gòu)建一套需要較高人力、資金和技術(shù)投入的信息系統(tǒng)，即邁出企業(yè)信息化這一步，這是高新企業(yè)持續(xù)發(fā)展的必由之路。

依據(jù)生命周期模型和諾蘭模型的理論，企業(yè)信息化建設過程一般劃分為規(guī)劃、分析、設計、實施和系統(tǒng)運行維護5個既相對獨立又密切相關(guān)的階段。借鑒前人的研究思路，本文將從信息化生命周期的上述5個階段來識別高新企業(yè)信息化風險的類型和影響因素，以便更好地實施分析評估。規(guī)劃階段風險主要包括IT戰(zhàn)略計劃風險、資金供給風險、人力資源風險三個方面；分析階段風險包括開發(fā)制度風險、需求分析風險、流程再造風險三個方面；設計階段在概要和詳細設計、設計方案審核兩個方面存在風險；實施階段風險包括軟硬件采購風險、系統(tǒng)測試風險、人員培訓風險；在運行維護階段會出現(xiàn)職責分工風險、權(quán)限管理風險、備份風險三個方面的風險因素。各階段的具體風險表現(xiàn)在表1中進行列示。

2 高新技術(shù)企業(yè)信息化風險評價

高新技術(shù)企業(yè)信息化風險評估首先通過專家評分對企業(yè)的信息化風險進行評價，隨后使用帕累托圖對各風險因素進行排序，根據(jù)帕累托法則的“二八原則”評價出關(guān)鍵的風險因素。

2.1 專家評分法

在識別出高新技術(shù)企業(yè)信息化風險后，企業(yè)應組建專家團隊對本企業(yè)信息化風險進行具體評價打分。企業(yè)應建立專家組對風險進行匿名打分。為保證評估的權(quán)威性和客觀性，專家團隊應由熟悉企業(yè)業(yè)務流程和功能的信息化建設方面的人員組成，包括有內(nèi)部專家和外部專家。內(nèi)部專家至少應該包括公司總經(jīng)理、各部門負責人、企業(yè)信息化建設技術(shù)人員，外部專家包括注冊信息系統(tǒng)審計師、咨詢機構(gòu)專家等。專家團隊人數(shù)應當控制在適當?shù)谋壤秶鷥?nèi)，可根據(jù)企業(yè)信息化規(guī)模確定。

組織專家評分主要分為5個步驟。第一，發(fā)放資料。應先向評分專家提供企業(yè)信息化規(guī)劃、設計及運行方面的資料，專家應在足夠了解企業(yè)信息化各方面情況的基礎上進行專業(yè)判讀和評價。第二，專家打分。將評分表發(fā)放給選定的的專家，專家團隊成員應根據(jù)自己的專業(yè)知識以及被評價企業(yè)信息化建設和運行情況，對每項風險發(fā)生的概率、預期損失值進行評價打分，同時在備注中給出治理措施建議。第三，匯總分析。評價企業(yè)統(tǒng)一收集整理評分表，計算每位專家針對每一風險因素打分的統(tǒng)計指標，包括平均數(shù)、方差、中位數(shù)、極值等，并將結(jié)果反饋給各位專家，若需修正可二次打分一次。第四，召開討論會。邀請個人評分與最終匯總分數(shù)差異較大的專家發(fā)表意見，從專家的個人視角給出合理解釋或反駁意見，專家根據(jù)反饋結(jié)果再修正自己的意見。第五，經(jīng)過多輪匿名征詢和意見反饋，形成最終得分及治理意見集合。

2.2 帕累托排序

高新技術(shù)企業(yè)的IT風險符合帕累托法則的“二八原則”，即80%的企業(yè)風險由20%的風險點引起。通過專家的匿名打分和意見反饋，形成了最終評分結(jié)果。高新技術(shù)企業(yè)需按照專家評分分數(shù)高低，運用帕累托圖對風險進行排序評價處對企業(yè)威脅最大的風險因素。對專家評分的結(jié)果進行排序，并繪制帕累托圖，則前20%的風險點即為高新技術(shù)企業(yè)IT風險中的關(guān)鍵風險因素，應進行重點控制和關(guān)注。為說明問題，本文在小范圍內(nèi)進行模擬打分，得到如表1所示的數(shù)據(jù)，據(jù)此得到圖1所示的對應帕累托直方圖，通過要素排序的遞進累計，當累計風險達到80%左右時（本文為81.33%），落入考察區(qū)間的考察量為X1、X2和X10，說明該3項要素的存在導致了企業(yè)絕大部分（80%）風險的后果，因此治理時應抓住主要矛盾，重點對這三項最可能的誘因?qū)嵤╋L險治理。

圖1 高新技術(shù)企業(yè)IT風險專家評分帕累托圖

3 措施建議

眾所周知，信息化在給企業(yè)帶來高效便利的同時，也夾裹著諸多風險，關(guān)鍵是如何快速識別出致險因素，并在排序中尋找關(guān)鍵風險因素，然后有針對性地制定風險治理方案。高新技術(shù)企業(yè)是信息化建設的典型代表，運用上述風險識別和評估方法，可以重點防控企業(yè)最可能出現(xiàn)重大風險，保證信息化建設和運行順利。同時企業(yè)還應慎重選擇信息化時機、節(jié)奏和規(guī)模，并注重企業(yè)中人的作用，適度引入“人機治理模式”，將“人因”與“機因”有機結(jié)合起來。

主要參考文獻

[1]李志，唐波，張慶林.高新技術(shù)企業(yè)特征與管理對策研究[J].重慶大學學報，2009（7）.

[2]吳炎太，林斌，孫燁.基于生命周期的信息系統(tǒng)內(nèi)部控制風險管理研究[J].審計研究，2009（6）.

[3]彭超然.大數(shù)據(jù)時代下會計信息化的風險因素及防范措施[J].財政研究，2014（4）.

[4]王凡林.企業(yè)信息化風險的內(nèi)部控制與治理研究[M].北京：首都經(jīng)濟貿(mào)易大學出版社，2014.

[5]周娟，杜棟.企業(yè)信息化水平評價系統(tǒng)的研制[J].河海大學常州分校學報.2004（2）.

[6]蔣忠建.論西部企業(yè)信息化建設[J].經(jīng)濟體制改革.2004（3）.

篇4

企業(yè)信息化是企業(yè)在市場競爭中生存的一個重要之路。企業(yè)在實現(xiàn)信息化發(fā)展道路的過程中項目的復雜性程度也越來越高。在高風險的企業(yè)信息化項目中，進行科學化的風險管理有利于企業(yè)駕馭風險以提高項目的成功率。本文在正確認識企業(yè)信息化項目風險管理的基礎上，對風險管理的特點進行闡述，進而提出了企業(yè)如何實施風險管理的建議。

【關(guān)鍵詞】

企業(yè)信息化；項目管理；風險管理

0 引言

全球信息化的浪潮促使著信息技術(shù)在企業(yè)經(jīng)營管理中的滲透，對企業(yè)各種業(yè)務領(lǐng)域都產(chǎn)生了重大的影響。企業(yè)的信息化建設已然成為了企業(yè)生產(chǎn)和發(fā)展的保障。信息化項目屬于高風險和高投資項目，其成功是由很多因素決定的，在整個項目中也是充滿著風險。因而，企業(yè)應該對這些風險有更加深入的認識，要建立風險管理控制的機制，以提高信息化項目的成功率，保障企業(yè)發(fā)展。

1 風險管理的概念

信息化項目風險管理針對的是企業(yè)的內(nèi)部風險，在等級保護和適度安全的思想下平衡企業(yè)的成本與效益之間的關(guān)系，確保安全措施的合適性以保障企業(yè)具備應有的保障能力。對信息化項目進行風險管理應先對項目有個清晰的認識，對其潛在的風險加以識別和評估，確定風險的危害程度以及后果，然后有層次的加以處理。最后對項目的實施過程還要進行監(jiān)控，并且加以改進。

企業(yè)風險管理的的內(nèi)容有三個部分，一個是風險評估，一個是風險處理以及風險監(jiān)控。風險評估是企業(yè)實施風險管理的基礎階段，是確定項目是否存在風險的過程。風險評估的方法主要有兩種，一種是定量評估，一種是定性評估。定量評估是從數(shù)字上對風險進行評估，定性評估則是依據(jù)分析者的經(jīng)驗以及知覺或者以行業(yè)的規(guī)范為準對其中的各個要素進行評估的過程。兩種評估方法都有各自的優(yōu)劣勢，企業(yè)在進行風險評估時可以根據(jù)自己的實際情況制定相關(guān)的評估方案。

風險處理是通過選擇和執(zhí)行措施來處理風險的過程，包含了對風險評估中提出的安全控制措施的排序以及平等等。風險處理包括了規(guī)避、轉(zhuǎn)移、弱化和接受四種方式。避免風險是在改變項目方案的基礎上來消除風險，避免出現(xiàn)漏洞被利用，使得目標受影響。例如，使用熟悉的工作方法，施工方等；轉(zhuǎn)移風險是通過把風險轉(zhuǎn)移到其他機構(gòu)上來降低項目風險率的風險處理方法，諸如保險以及項目外包等等；弱化風險是指通過降低風險事件概率以及其程度來進行風險處理的方式，諸如進行備份設計等等；接受風險是在不改變原來項目計劃的基礎上對時候如何處理和應對的考慮，例如制定風險應急計劃等等。

風險監(jiān)控促使著整個風險管理過程形成一個周而復始的周期，對于整個風險管理系統(tǒng)的運行情況進行監(jiān)控，對風險的對策有效性加以檢查，識別新的風險以制定相應的對策。

2 企業(yè)信息化風險管理模式的構(gòu)建

企業(yè)信息化項目容易被很多問題影響，最終會導致項目誤期、超支等現(xiàn)象。這些問題雖然不能夠全部解除，但是如果采用合適的預防方法還是能夠?qū)σ恍﹩栴}加以控制的。風險管理存在的意義就在于能夠?qū)椖抗芾碇型{加以預防和控制。一個組織在項目建設初期以及整個過程中如果持續(xù)通過風險管理技術(shù)是能夠避免大量問題的出現(xiàn)的。企業(yè)信息化項目風險管理模式要如何構(gòu)建還需要依據(jù)一定的原則進行。

2.1 風險管理模式構(gòu)建原則

信息化項目風險管理的目的不是消除風險，因為風險存在是有一定的客觀性，風險管理的目的是要對這些風險的處理提出決策和方案，最大程度的減少項目中的不確定性。

在構(gòu)建項目風險管理模式時要首先應該對風險進行全面的描述，把風險同項目的目標緊密的聯(lián)系在一起，并且對不同干系人的利益以及風險偏好進行考慮。

制定一個可以調(diào)整的管理過程，在具體操作的過程中可以依據(jù)其靈活性進行伸縮，風險管理模式容易應用到實踐中，因此有一定的成本效益。

最大程度的對關(guān)鍵風險進行識別，在企業(yè)信息化過程中要堅持實施風險管理。

企業(yè)在構(gòu)建風險管理模式時應該同項目管理相互融合。風險管理同項目管理的目標從本質(zhì)上來說是一致的，只不過項目管理的出發(fā)點是如何才能成功，而風險管理的出發(fā)點則是如何規(guī)避失敗。

最后，風險管理是不能一勞永逸的，因為環(huán)境和技術(shù)是時刻在變化的，因而風險管理模式也要對這些變化有適應性。

2.2 風險管理模式的框架設計

風險管理模式的過程包括了以下幾個部分。

第一，風險管理規(guī)劃。企業(yè)信息化項目風險管理是從規(guī)劃開始的，制定風險管理的計劃包括其方案以及方式，選擇合理的風險管理方法是判定風險的一個主要依據(jù)。在這個過程中，輸出的計劃書則是信息化項目風險管理的指導綱領(lǐng)。

第二，項目目標定義。風險管理同項目目標是相互聯(lián)系的，項目目標同其相關(guān)的干系人也是相聯(lián)系的。因此，在規(guī)劃好風險管理后，就要對項目目標進行定義，這個過程中應該對項目目標進行定義和提煉，建立干系人和目標優(yōu)先排序表。在完成兩個階段后就要進入閉環(huán)流程，閉環(huán)是指對風險分析、技術(shù)以及監(jiān)控等循環(huán)進行的過程，盡管企業(yè)的風險管理規(guī)劃和目標定義都不屬于閉環(huán)的過程，但是在滿意一定的條件下，還是會重新啟動這兩個過程的。

第三，風險識別。對于項目中潛在的威脅要加以識別，而且還要對這些威脅的來源和可能導致的危害加以分析。

第四，風險分析。通過建立評估標準對風險進行分析。對于風險發(fā)生的可能性意思后果在已知風險中評估可能風險的價值。

第五，風險計劃。制定相應的風險應對方案，同時制定加護，建立觸發(fā)機制以作為風險計劃執(zhí)行的一個起點。

篇5

關(guān)鍵詞:中小企業(yè);信息化;內(nèi)部控制;COSO

中圖分類號:F239.2　文獻標識碼:A　文章編號:1001-6260(2010)03-0139-05

一、文獻綜述

發(fā)達國家中小企業(yè)信息化建設日漸完善并取得了巨大成就,而且日益成為經(jīng)濟結(jié)構(gòu)調(diào)整和經(jīng)濟發(fā)展的創(chuàng)新點。與此同時,人們開始意識到信息化給中小企業(yè)帶來的潛在風險,尤其是信息化應用對企業(yè)內(nèi)部控制的影響問題。隨著中小企業(yè)信息化進程的加快,如何制定有效的安全對策,促使信息化應用與內(nèi)部控制建設相融合,已經(jīng)引起理論界和實務界的重視。

信息化的應用對企業(yè)內(nèi)部控制的影響問題,國外的研究最早可追溯到信息系統(tǒng)的審計。20世紀60年代IBM公司首次提出了在電子數(shù)據(jù)處理環(huán)境下的內(nèi)部控制和審計問題。1967年,國際信息系統(tǒng)審計與控制協(xié)會(ISACA)成立,在世界上100多個國家與地區(qū)設立了160多個分會,積極致力于制定和頒布內(nèi)部控制和信息技術(shù)(IT)審計準則、實務指南,用于指導各類信息系統(tǒng)的安全與防范工作。1974年,美國注冊會計師協(xié)會(AICPA)發(fā)表了《內(nèi)部管理的調(diào)查與評價對EDP的影響》,確立了電子數(shù)據(jù)處理實施審計的標準;1977年又發(fā)表了著名的《系統(tǒng)可審計性及規(guī)則的研究》(又稱SAC報告),提出了信息系統(tǒng)的內(nèi)部控制和審計方法。1996年,ISACA在綜合多方面研究成果的基礎上,公布了信息系統(tǒng)審計的框架體系標準,即信息及相關(guān)技術(shù)的控制目標(COBIT),目前已作為國際通用的、具有權(quán)威性的信息技術(shù)控制和審計標準。近些年來,國繞信息系統(tǒng)內(nèi)部控制的理論與方法問題的研究仍不斷取得新的成果,如Hardy(2006)等提出的有關(guān)COBIT最新標準;在管理控制方面,ITGI(2006)和IOFS(2008)等提出并研究IT治理問題。這些研究成果不僅在大型企業(yè)信息化應用中得到推廣,而且其研究成果業(yè)已運用到中小企業(yè)信息化建設實踐中。

在我國,作為市場經(jīng)濟主體的中小企業(yè)已成為國民經(jīng)濟發(fā)展的重要力量。2005年8月,國家發(fā)展和改革委員會、信息產(chǎn)業(yè)部、國務院信息化工作辦公室三部委共同實施了“中小企業(yè)信息化推進工程”,從而掀開了中小企業(yè)信息化發(fā)展的研究序幕。2008年2月,三部委《中國中小企業(yè)信息化發(fā)展報告和調(diào)查報告》指出,隨著信息化在中小企業(yè)的穩(wěn)步推進,保證信息系統(tǒng)安全穩(wěn)定運行已成為企業(yè)內(nèi)部控制制度建設的重要內(nèi)容(國家發(fā)展和改革委員會等,2008)。

然而,關(guān)于信息化對企業(yè)內(nèi)部控制的影響研究,胡克瑾等(2002)深入研究了IT審計的實施過程、技術(shù)方法和審計標準,提出全面控制信息系統(tǒng)風險的相關(guān)對策;劉靜(2005)等結(jié)合COSO報告對網(wǎng)絡環(huán)境下內(nèi)部控制的難題進行分析,并提出改善內(nèi)部控制環(huán)境的對策;章鐵生(2007)考察了有關(guān)國家企業(yè)內(nèi)部控制規(guī)范對IT的考慮情況,提出我國在制定內(nèi)部控制規(guī)范時應考慮對IT的嵌入問題;王海林(2008)通過分析IT對企業(yè)內(nèi)部控制的影響,構(gòu)建了由內(nèi)部控制系統(tǒng)、內(nèi)部控制系統(tǒng)的工程實施體系和內(nèi)部控制系統(tǒng)的評價體系組成的IT環(huán)境下的內(nèi)部控制模式。近年來,學者們在信息系統(tǒng)內(nèi)部控制研究的基礎上引入了rr治理的思想,試圖從公司治理的視角來探討信息化進程中企業(yè)內(nèi)部控制的問題,如饒艷超(2003)、周常蘭等(2008)、駱良彬等(2009),但是,上述諸多研究基本上是針對大型企業(yè),而信息化對中小企業(yè)內(nèi)部控制影響問題的關(guān)注則極為少見。

二、信息化對中小企業(yè)內(nèi)部控制影響的機理分析

對于信息化如何影響中小企業(yè)的內(nèi)部控制,本文認為,盡管中小企業(yè)有其獨特性,但在內(nèi)部控制的構(gòu)成要素方面,COSO(1992)關(guān)于內(nèi)部控制框架的五個要素(即控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督)理論仍然適用,本文將通過分析信息化對五個要素的影響來闡釋其影響內(nèi)部控制的機理。

(一)信息化促進了控制環(huán)境的改變

控制環(huán)境是對企業(yè)內(nèi)部控制系統(tǒng)建立和實施有著重大影響的各種要素的總稱,是實施內(nèi)部控制的基礎,一般包括機構(gòu)設置及權(quán)責分配、內(nèi)部審計、人力資源政策、企業(yè)文化等。信息化一旦應用于中小企業(yè)中,必將促使控制環(huán)境的改變。首先,信息化必然導致信息技術(shù)滲透到企業(yè)經(jīng)營管理活動的每一個環(huán)節(jié),企業(yè)原來簡單的組織結(jié)構(gòu),將進一步得到整合,與其對應的機構(gòu)設置與權(quán)責分配隨之而改變;其次,信息化可以很方便地使內(nèi)部人員之間以及內(nèi)部人員與外部人員之間平等、動態(tài)地進行協(xié)作與溝通,企業(yè)每個員工不再是被動地接受控制指令,而是成為實行自我控制、協(xié)同控制的單元;再次,信息化使企業(yè)員工都可以成為企業(yè)網(wǎng)絡上的決策點或節(jié)點,提高了員工自我決策的意識;最后,信息化使得企業(yè)與企業(yè)之間、企業(yè)與客戶之間以及企業(yè)與政府有關(guān)部門之間可以共享對方擁有的資源,企業(yè)內(nèi)部控制的范圍不再局限于企業(yè)內(nèi)部,合作與協(xié)同控制理念進一步得到強化。可見,信息化必將改變中小企業(yè)的管理模式、組織結(jié)構(gòu)、員工的價值觀及其能力等一系列要素,并形成了一種網(wǎng)絡化、開放化、自主化和現(xiàn)代化的企業(yè)環(huán)境。

(二)信息化拓展了風險評估的范圍和方法

風險評估是企業(yè)及時、系統(tǒng)分析經(jīng)營活動與實現(xiàn)內(nèi)部控制目標相關(guān)的風險,合理確定風險應對策略的過程。信息化無疑提高了中小企業(yè)經(jīng)營管理的效率,但同時也產(chǎn)生了新的企業(yè)風險。一方面,信息化必然要求企業(yè)業(yè)務流程與之相適應,使得企業(yè)經(jīng)營管理活動處在一種開放性、信息分散和數(shù)據(jù)共享的環(huán)境之中,這極大地改變了以往封閉集中狀態(tài)下的運行模式,從而擴大了風險控制內(nèi)容,并且需要新的風險評估方法與之適應。如管理數(shù)據(jù)處理趨于集中化、適時化、自動化以及數(shù)據(jù)存儲電子化,而且容易被無痕跡地改寫和刪除等,這些新的風險點構(gòu)成了風險評估的新內(nèi)容,并需要企業(yè)運用新的風險評估方法。另一方面,企業(yè)內(nèi)聯(lián)網(wǎng)的建立是信息化應用的必然要求,也是企業(yè)經(jīng)營管理活動的硬件平臺。運行在該平臺上的企業(yè)內(nèi)部各部門、員工之間的聯(lián)系將更加密切。同時,做大、做強的動機加劇了企業(yè)與客戶間的合作與交流,企業(yè)內(nèi)聯(lián)網(wǎng)必然向外聯(lián)網(wǎng)拓展,使得企業(yè)的經(jīng)營管理信息流動在互聯(lián)網(wǎng)之中。這樣,傳統(tǒng)的、局部的差錯與舞弊不再表現(xiàn)為企業(yè)內(nèi)部控制的主要風險,而員工的自我保護的責任意識、正確行使其決策權(quán)以及不斷提高自身知識和風險識別能力的風險大大增加了,從而使風險評估方法也由傳統(tǒng)向現(xiàn)代拓展。

(三)信息化增加了控制活動的內(nèi)容

控制活動是企業(yè)根據(jù)風險評估結(jié)果,采用相應的控制措施,將風險控制在可承受度之內(nèi)。隨著信息化的應用,中小企業(yè)風險評估結(jié)果將以新的形式出現(xiàn),原有的控制措施及可承受度必然隨之變化,控制

活動的內(nèi)容亦將隨之增加。第一,由于信息化改變了中小企業(yè)傳統(tǒng)的業(yè)務流程,如傳統(tǒng)的產(chǎn)、供、銷活動可以通過企業(yè)內(nèi)聯(lián)網(wǎng)絡和外聯(lián)網(wǎng)進行,因此,對各個過程的控制活動必須結(jié)合信息化應用的特點和要求來完成;第二,信息化的深度和廣度是隨著信息技術(shù)的發(fā)展而不斷變化的,中小企業(yè)信息化建設本身就是一個不斷完善的過程,基于信息化的業(yè)務流程也處在一個不斷更替的過程中,要實現(xiàn)控制活動的目標,企業(yè)必須不斷地更新控制點以獲取信息系統(tǒng)中的數(shù)據(jù)和信息,從而改變控制活動的方式或進程;第三,信息處理過程自身也需要控制,如確保企業(yè)管理信息系統(tǒng)能正常、持續(xù)運行的一般控制(包括對網(wǎng)絡黑客的非法入侵),以及針對某項特殊活動進行特別處理的應用控制等。顯然,信息化改變了中小企業(yè)的業(yè)務流程,帶來了新的風險,也必然增加了中小企業(yè)控制活動的內(nèi)容。

(四)信息化提高了信息與溝通的有效性

信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關(guān)的信息,確保信息在企業(yè)內(nèi)部、外部之間進行有效溝通。信息化應用彌補了中小企業(yè)在信息與溝通方面存在的缺陷,提高了它的有效性。首先,信息化應用能有效地將企業(yè)各部門和員工連接起來,實現(xiàn)業(yè)務和財務的一體化處理,將員工身兼多職的特征進一步發(fā)揮出來;其次,信息化必然要求建立一個中心數(shù)據(jù)庫,儲存企業(yè)活動中各個環(huán)節(jié)的數(shù)據(jù)和信息,并實現(xiàn)數(shù)據(jù)共享,以發(fā)揮企業(yè)經(jīng)營管理的效率;再次,網(wǎng)絡平臺為管理者、員工以及外部的顧客、供應商、有關(guān)團體提供了開放的信息交流渠道,不僅員工能清楚理解現(xiàn)行的政策和程序及相應的責任,管理者適時掌握業(yè)務的發(fā)生、發(fā)展與結(jié)果以及信息的相互傳遞,而且更便利了企業(yè)內(nèi)部與外部的信息溝通。因此,信息化改善了中小企業(yè)信息與溝通的滯后狀況,促進其向可靠性、及時性和開放性方面轉(zhuǎn)變,提高了信息與溝通的有效性。

(五)信息化豐富了監(jiān)督的方式和內(nèi)容

監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查,評價內(nèi)部控制的有效性,發(fā)現(xiàn)內(nèi)部控制缺陷,應當及時加以改進。信息化應用加快了中小企業(yè)業(yè)務與財務處理的一體化,完全依靠人工的監(jiān)督模式難以適應這一變化。一方面,信息化可以將監(jiān)督功能程序化,即要求在經(jīng)濟業(yè)務發(fā)生、發(fā)展及結(jié)果處理的過程中,運行監(jiān)督程序,以達到實時、全過程的監(jiān)督效果;另一方面,信息化大大提高了信息處理的速度,在實施程序化監(jiān)督的同時,可以將監(jiān)督的結(jié)果與預期的目標進行比較,適時評價內(nèi)部控制的有效性,及時發(fā)現(xiàn)缺陷并加以改進,達到自我監(jiān)督、自我評價的效果。當然,信息化應用過程自身也需要監(jiān)督和評價,因此,傳統(tǒng)方式下的人工監(jiān)督仍必不可少,但這種監(jiān)督主要體現(xiàn)為定期、及時地檢查和了解計算機控制程序、指標以及控制參數(shù)是否發(fā)揮作用或過時,并針對企業(yè)經(jīng)營環(huán)境變化情況,及時評估業(yè)務流程控制點的運行狀態(tài),重新調(diào)整或更改內(nèi)部控制程序、控制方法、控制指標等。由此,必然要求更新傳統(tǒng)的監(jiān)督方式和內(nèi)容。

三、中小企業(yè)信息化進程中內(nèi)部控制的構(gòu)建

由前文分析可知,信息化通過作用于中小企業(yè)內(nèi)部控制的五個要素而影響其內(nèi)部控制,實施或管理不當,其后果將適得其反。可見,當前的首要問題是如何促使信息化與內(nèi)部控制有機融合。本文認為,解決這一問題的關(guān)鍵在于如何將中小企業(yè)內(nèi)部控制框架的構(gòu)建與信息化結(jié)合起來,以適應信息化進程的推進。

(一)內(nèi)部控制框架構(gòu)建的思路

顯然,中小企業(yè)內(nèi)部控制系統(tǒng)的完善,關(guān)鍵之處是如何辨識并控制企業(yè)經(jīng)營管理中的風險。信息化應用一方面給中小企業(yè)內(nèi)部控制帶來了便利,提高了控制的效率和效果,另一方面也影響了其內(nèi)部控制五要素,而這些影響必然給中小企業(yè)經(jīng)營管理活動帶來新的現(xiàn)象、新的問題,從而帶來新的風險。因此,對中小企業(yè)業(yè)主及其員工來說,需要轉(zhuǎn)變內(nèi)部控制思想,掌握新的控制方法,以加強對風險的有效控制。為了防止中小企業(yè)在信息化進程中出現(xiàn)內(nèi)部控制的弱化,避免出現(xiàn)“頭痛醫(yī)頭、腳痛醫(yī)腳”問題,本文認為,在信息化應用的初始階段,就應該從整體上來規(guī)劃和加強內(nèi)部控制框架的建設,以適應信息化的發(fā)展進程。

中小企業(yè)內(nèi)部控制框架構(gòu)建的具體思路為:首先,以COSO內(nèi)部控制整體框架理論為指導,分析內(nèi)部控制五個要素的現(xiàn)狀及運行情況;其次,結(jié)合信息化應用對五個要素作用機理的分析和企業(yè)不同時期經(jīng)營管理活動的特點,發(fā)掘企業(yè)內(nèi)部控制中存在的薄弱環(huán)節(jié),分析和判斷新風險產(chǎn)生的根源和節(jié)點;第三,引入IT治理思想,并將其融入到企業(yè)經(jīng)營目標的制定和風險管理的要求之中,自上而下并自下而上地灌輸和反饋信息化應用戰(zhàn)略及其收益與風險的理念,使信息化應用與內(nèi)部控制的關(guān)系深得人心;最后,對企業(yè)經(jīng)營管理活動中信息化應用的范圍和深度進行細化,分析并設定風險控制目標,制定并完善相應的內(nèi)部控制制度,實施有效的控制措施,建立內(nèi)部控制執(zhí)行效果的反饋和改進機制。

(二)中小企業(yè)內(nèi)部控制框架的構(gòu)建與分析

基于上述思路,本文試圖構(gòu)建出中小企業(yè)信息化進程中的內(nèi)部控制框架,如圖1所示。

由圖1可知,該內(nèi)部控制框架是以COSO內(nèi)部控制五個要素的分析框架為基礎,結(jié)合中小企業(yè)經(jīng)營管理活動各個環(huán)節(jié)和信息化應用(表現(xiàn)為信息系統(tǒng))的程度,來辨識和分析企業(yè)經(jīng)營管理活動在信息化應用中以及信息系統(tǒng)自身所面臨的風險(這種辨識和分析功能,除了運用人工手段之外,信息系統(tǒng)本身也提供了自動處理功能),并通過反饋通道傳遞到企業(yè)決策層(或企業(yè)業(yè)主)。企業(yè)決策層根據(jù)企業(yè)經(jīng)營目標和風險管理要求,在IT治理思想的指導下,不斷地完善內(nèi)部控制制度和改進信息系統(tǒng),使人工控制與程序化控制有機地結(jié)合起來,一方面對企業(yè)經(jīng)營管理活動實施有效控制,另一方面確保企業(yè)經(jīng)營管理活動有序進行,同時進一步辨識和分析新的風險。

可見,該內(nèi)部控制框架是一個開放式閉環(huán)系統(tǒng),即隨著信息化應用進程的深入,信息化對內(nèi)部控制五要素產(chǎn)生新的影響,形成新的風險,同時,由于風險辨識與分析以及反饋通道的作用,企業(yè)決策層及時識別風險并通過完善內(nèi)部控制制度和控制手段,規(guī)避和控制風險,從而實現(xiàn)不斷改進企業(yè)內(nèi)部控制以適應信息化進程的目的,避免內(nèi)部控制的滯后而產(chǎn)生風險問題。