时间:2023-09-10 14:40:52
序论:在您撰写信息化风险管理时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
(福建江夏学院,福州 350108)
(Fujian Jiangxia University,Fuzhou 350108,China)
摘要: 企业信息化中的存在各种风险问题,怎样提高企业信息化风险管理能力成为当务之急。应充分利用网络信息技术,开展信息化风险管理的创新工作,明确信息化风险全面管理的目标,加强对企业信息系统内部系统关键点的控制,构建信息化全面风险管理控制体系,以满足企业管理的需要,提升竞争力,实现更大的经济效益。
Abstract: There are various risk problems in enterprise informatization, so how to improve the informatization of enterprise risk management ability has become a pressing matter of the moment. The enterprise should make full use of network information technology, carry out the information risk management innovation work, clear the goal of comprehensive risk management information, strengthen the control of the key points of the internal system of enterprise information system, and construct the informatization-based comprehensive risk management control system, in order to meet the needs of enterprise management, enhance competitiveness and achieve greater economic benefits.
关键词 : 企业信息化;信息化风险;全面风险管理;控制体系
Key words: enterprise informatization;informatization risk;comprehensive risk management;control system
中图分类号:F49 文献标识码:A 文章编号:1006-4311(2014)34-0203-03
收稿日期:2014年9月8日。
作者简介:林建雄(1971-),男,福建仙游人,福建江夏学院会计学系副教授,主要从事会计信息化教学与研究工作。
0 引言
企业信息化的建设是一个不断发展变化的过程,信息化的实施过程是一个长期的工程,随着时间的推移,对企业的相关人员,特别是领导的积极性是极大的考验,因此企业的信息化过程中存在不可避免的问题——发展中的风险问题。
1 企业信息化的风险
信息化可能或者实际带来的消极威胁是界定信息化的风险的依据,企业实施信息化工程一般存在着较大风险。风险管理泛指确认风险、评价风险、回应风险的过程。尽可能地降低风险的发生以及风险发生以后所带来的损失和威胁,这是风险管理涉及复杂的结构、机制、过程和制度安排的原因。
1.1 社会环境风险 社会环境风险是指企业遇到的来自其经营环境的法律、社会、政治和经济等各方面的风险。如政策、法律的改变,使企业的生产经营受到冲击,环境风险包括系统安全风险、关联方业务合作风险等。
1.2 战略规划风险 在由传统管理企业向信息企业转变的过程中,企业缺乏整体的信息应用规划,特别是符合企业发展战略和管理现状的,与企业资源适度配合的整体规划。这样在企业信息化整体应用的推进过程中,势必会造成资源分散、信息孤岛林立,最终难以发挥系统的整体效益。
1.3 组织管理风险 信息化首先是一个管理问题,其次才是技术问题。企业信息化建设知识综合性强、涉及的范围广、部门多,除了涵盖企业内部职能部门外,信息化建设往往涉及供应商、客户、分销机构等。企业实施信息化存在组织管理风险,管理风险包括组织结构不合理、管理思想混乱、管理职能虚化、员工凝聚力下降等方面。管理风险存在于企业信息化实施工作的全过程,轻则增加成本、延长进程,重则导致企业信息化实施失败。
1.4 人力资源风险 信息化建设归根到底是要人来完成的,信息化人才是既懂业务、又懂管理、还要懂计算机的多方面人才,这就需要我们的企业培养人,而且更要留住人才。目前导致我国企业信息化项目实施失败的主要原因之一便是专业化复合性人才匮乏。其一,企业奇缺CIO(首席信息官),其二,缺乏信息管理师,进而导致企业信息化缺乏内动力,无法正常、高效地运行下去。
1.5 流程风险 营运风险、授权风险、信息技术风险和财务风险共同构成了流程风险。财务风险,信息化项目投资少则上百万,多则数千万,包括信息化软件费、网络硬件费、实施服务费(费用比大致为1:2:3)。由于企业的业务不可能是一成不变的,如果企业的发展战略、组织结构、业务流程发生了较大的变化,整个信息系统也要作相应的调整,系统的投入会更大,这些隐含的成本由于其本身存在较大的不确定性而容易被忽视,最终形成所谓的IT黑洞。
1.6 执行控制风险 执行控制风险包括信息化软件选择、实施服务商选择、实施进度控制、实施成本控制等方面。上述企业信息化实施工作不当,轻则增加成本、延长进程,重则导致企业信息化实施失败。实施过程中,服务方缺乏相应的实施规范,忽视或者不深入进行项目的可行性研究、需求分析、系统分析等或者监控力度不够,使信息化实施项目不能如期完成;实施结束,缺乏相应的验收,或是验收的标准的差异,导致企业的信息化项目成为“难楼工程”。
1.7 监督考核风险 企业和政府部门在IT规划过程会对信息化需求的分析和系统选型的实施给予充分的关注,但忽视了与之相配合的IT管制体系的建设和优化。信息化建设并不以系统的上线为止,更多的工作在于系统的推广、维护和优化;随着信息化应用的不断深入,企业对信息化依赖程度越强,管制缺乏,信息化所隐藏的风险将越来越突出,如信息安全的隐患、无形资产流失的风险、系统故障给业务带来的影响等等。企业进行内部控制的建设由企业自行承担,没有外部监管,内部控制也就只能是纸上谈兵而不能够真正发挥作用。
2 企业信息化风险形成的原因
企业应用信息化系统,存在一定的风险,分析风险的目的不是要企业放弃实施信息化系统,而是要企业充分估计风险,正确对待风险,从而成功实施信息化。信息化风险的生成机理是复杂的,一方面是内因,由信息化自身的特点所决定:第一,信息化的无疆界特征;第二,信息化的低成本特征;第三,信息化的开放性特征;第四,信息化的匿名性特征。另一方面是外因,是信息化的风险源。重要的归纳为十个方面:自然灾害;安全生产事故;网络攻击;借助信息化手段进行欺诈;病毒和蠕虫;内部泄密;使用不当;因内部因素而造成的信息、数据的修改和丢失;因外部因素造成信息、数据的泄露、篡改和丢失;安全防范措施不到位的高端技术等。
3 构建企业信息化全面风险管理体系
3.1 明确企业信息化中全面风险管理的目标
企业全面风险管理体系将达到以下主要目标:①明确企业不同层面的风险管理职责,保证风险管理体系的落实;②统一风险度量,建立风险预警机制和应对策略;③提供风险的实时有效监控和依据包括风险信息的收集、分析、报告系统;④可能给企业造成重大损失的应该有效的回避,企业战略目标得以实现;⑤企业利益相关者能够了解企业的风险,达到股东、债权人以及监管机构要求的满足;⑥形成一套自我运行、自我完善的风险管理机制。
3.2 设置信息化全面风险管理关键点
3.2.1 风险评估与诊断
系统地辨识企业所面临的风险,对辨识出的风险进行定性和定量的分析,评价风险对企业目标的影响。
3.2.2 风险管理战略及其实施方案
依据企业的整体战略,结合企业的管理能力,明确企业的风险管理目标;针对不同的关键风险,引入量化分析工具,确定风险偏好和承受度;制订保证企业整体战略目标实现的整合风险管理战略。
3.2.3 风险管理流程优化与设计
基于企业现有的管理流程和内部控制体系,结合已评估出的风险,找出流程中的关键风险控制点,梳理并细化具体控制内容,优化和完善制度,优化监控指标体系,强化运营和管理流程中的内部风险控制。
3.2.4 企业风险管理组织设计与文化建设
优化和设计企业风险管理结构,设计不同层面的风险管理组织职能方案和相应的职责要求、人员能力框架,优化和完善关键的绩效管理体系和薪酬激励机制,构成风险管理有效运行的保障架构。
3.2.5 风险管理方案设计
寻找企业风险留存与转移的平衡点,设计相应的风险管理金融工具组合如期货、期权、掉期、保险等产品组合或风险准备金、或有资本、专属保险等,实现对具体风险事项的控制。
3.3 构建ERM(Enterprise Risk Management Framework)企业风险管理框架
企业应当根据自己的具体情况建立自己的ERM概念性框架:将风险偏好与企业战略相联系;确保风险管理战略与组织的发展战略和股东的价值相一致;利用风险最优化的概念,避免额外的成本支出。应该做到以下七个方面:构造企业风险管理的文化环境、定义风险、评估风险、制定回应风险的措施、控制措施、沟通信息、持续的监控。充分有效地利用风险管理,将风险管理的精神深植于企业的组织文化和员工的心中,并透过一个强有力的全面风险管理框架,将风险管理融入企业日常的作业程序中。
4 实施企业信息化全面风险管理
实施企业信息化全面风险管理,构建全面风险管理体系,应从企业整体层面建设企业的风险管理的架构,包括制定企业的风险管理战略、完善企业的内控体系、设计与优化企业的风险管理流程、设计企业风险管理组织结构及其职能,从而是企业建立起全面风险管理的长效机制,从根本上提升风险管理的效率和效果。
4.1 重视风险管理
对信息话价值的彻底理解是是信息化建设所需要,不可能立马就成功,不能为上信息化而信息化。人力、物力、财力及战略发展规划上给予信息化建设高度重视是企业所必须达到的,并明确项目管理机构和职能,以带动各级员工的积极性和参与意识,确保信息建设的顺利实施。
4.2 建立能切实推进信息化建设的组织,切实防范风险
企业巨额投资进行信息化建设应密切配合企业管理重组。根据现代企业管理“企业过程化、组织扁平化、功能系统化”的要求,进行管理重组,着力进行与信息化相适应的企业文化设计与建设,全面转变和更新企业经营思想观念,注重员工创新意识能力和团队协作精神的培养,为企业成功实施信息建设提供思想基础和文化支撑。
为使信息系统能切实发挥作用,企业应参与信息化的全过程,建立相应的信息化组织。首先,企业要对安全性、实用性、先进性等方面进行全面统筹和权衡,把企业信息系统依据操作层、运营层和决策层三个层次来规划,紧紧围绕企业中长期发展战略,以支持企业实现使命为主要目标,建设和不断完善相应的硬件系统和软件系统。其次,制定具体实施推进策略是,在做好整体规划的前提下,分步实施、重点突破、持续改进。最后,在关键环节、关键机构、关键业务进行实施,实现企业内关键点的信息化,然后连点成线,织线成面,接面成体,最终构成立体化、高度集成、高度集中的企业级智能信息应用系统。
4.3 运用信息技术对风险进行定性/定量风险分析
按其对项目的影响程度排出先后级,借助分析者的经验和直觉,为风险管理诸要素的大小或高低程度定性分级,即风险定性分析。定量分析即对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素都被赋值,风险评估的整个过程和结果就都可以被量化了。企业组织根据具体的情况,运用信息技术选择定性或定量的分析方法。
4.4 实施风险的监控
风险监控,在整个项目过程中监督已识别风险和残留风险、识别可能出现的新风险、执行风险应对计划、评估计划执行的有效性,应判断:①风险应对措施是否按计划实施;②风险应对措施是否有效,是否需要制定新的措施;③项目假定条件是否依然成立;④风险的状态是否在改变;⑤是否出现了风险征兆;⑥正确的项目章程和流程有否被遵从;⑦是否有未识别的风险发生。
4.5 加强风险管理系统的测评与反馈
企业的信息化建设是一个渐进的、动态的增效过程,风险与收益始终伴随着企业。加强实时风险管理系统的测评与反馈,增强系统风险管理的效率。我们可以发现风险管理的实质即:识别风险、筛选风险、控制重点风险、最终降低风险。通过业务和过程的实时测评与反馈——实时控制子系统,通过对未来事务和行为的反馈控制——反馈控制子系统,反馈控制包括内部反馈控制和外部反馈控制两部分。
4.6 利用网络信息技术提高企业全面风险管控能力
企业风险管理的各项工作都要用到信息技术,建立一套风险管理信息系统,包括采集、存储、加工、分析、测试、传递、报告、披露等功能。变化的环境、复杂的决策、稍纵即逝的机会都需要有提供及时、有效、准确的信息,风险管理信息系统是提高风险管理效率及可靠性的重要保障,为企业各部门之间的风险沟通架设桥梁。
风险管理信息系统为量化风险提供计算服务,并且可根据管理层的要求就某一事件进行情境分析,有关风险管理的数据库也保存在系统之内,风险管理信息系统也是风险控制和企业风险管理战略的载体。以信息技术为基础的信息系统使一些适于自动化的管理流程必须通过系统才能加以实现,避免了人为错误,增强了控制程度,并提高了管理效率。
总之,风险控制不是静止的,这就要我们不断地去加深研究,企业界强化认识、给予重视也是非常重要的。在传统的风险控制观念基础上,充分利用网络信息技术,实施全面风险管理,围绕企业总体经营目标,培育良好的风险管理文化,建立完整全面风险管理系统,保证实现风险管理的最终目标。
参考文献:
[1]李树刚.企业内控中信息化实施方案探析[J].商场现代化,2013(12).
【关键词】 税收信息化;电子税务;风险管理
随着现代化科学的飞速发展,全球快速进入到信息化时代。1994年税制改革和税务机构分设后,税务系统开始步入较大规模信息化建设时期。自1995年国家税务总局提出“以纳税申报和优化服务为基础,以计算机网络为依托,集中征收、重点稽查、强化管理”的深化征管改革的方针以来,各地迅速推广使用计算机,局域网、广域网覆盖了全部税收工作。信息化建设步伐不断加快,在税收工作中发挥了重要作用。
经过多年发展,我国的税收信息化建设取得了很大进展,全国税务系统在信息化技术装备、基础设施、业务系统开发应用等方面已具备一定基础。在基础设施方面,全国地税系统计算机二级网络建设初具规模,全国国税系统计算机四级建设已经完成。以信息服务为内容的为纳税人服务的体系初步形成,出现了互联网网络、IC卡、防伪设施等多种申报方式;在税务管理应用系统建设方面,金税工程在税务系统内部全面开通运行,初级公文处理软件已在全国税务系统推广使用,税收征管业务和行政管理初步规范化,层级监控能力提高;在人员素质培训方面,各级领导信息化意识增强,干部科技素质得到提高,广大税务工作人员已初步接受了计算机培训。
但是税收信息化的风险问题不容忽视,信息化建设过程中的风险可能来自于各个方面,因此必须认清税收信息化中所存在的风险的内容,并进行深入细致地分析研究,将风险产生的不利影响减少到最小的程度,使税收信息化能够有序、正常地发展下去。
税收信息化的风险是指税务机关在进行税收信息化的建设或应用中所面临的各种威胁以及产生的一切负面影响和作用,是税收信息化发展的实际结果与预期目标间的偏差,也是税收信息化对税收工作产生的积极作用之外的不良影响。而引发信息化风险的原因是来自多方面的,其根本原因就是由于在网络经济中税收信息化的根本特征所致,即现代信息技术与税收业务紧密、广泛地相结合。其主要原因有以下五方面:
一是信息技术本身就具有较强的风险,最突出的表现就是信息技术的安全性。
二是由于税收信息化的应用是在传统的税收工作的基础上建设而成的,传统工作中一些与信息技术应用不相适应的因素导致了相关风险。
三是税收信息系统的不完善,功能的不健全,造成了税收信息化建设中面临着较大的应用风险。
四是税收工作与社会的普遍结合,致使税收信息化的应用可能受到来自税务机关外部的不良因素的威胁。
五是目前社会形态正处于由传统的工业经济社会向网络经济社会变革的过程之中,税收信息化受到了整个社会的影响和制约,造成了税收信息化发展的风险。
有风险存在,就必须实施相应的风险管理,以达到识别风险、控制风险、防范风险的管理目标。由于税务机关普遍存在风险意识淡薄,对税收信息化风险认识片面的问题,税收信息化的风险管理是一个需要紧迫地提上议事日程的项目工程。在调查中很多税务机关已采取了一些措施来防范风险,比如使用防计算机病毒软件,进行系统数据备份等,但由于税收信息化所面临的风险是综合性的,局部风险的控制在短期内是有一定的效果的,但从长远来看,总体效果并不十分明显。因而整体化风险防范的思路更为可取。
在整体化思路中,我们需综合考虑与税收信息化风险相关的各方面因素,重新构建税收信息化总体框架,并以此为中心实现税收业务处理与信息存储的大集中,优化税收业务流程,处理好与信息服务商的关系,培养税务工作人员在信息化环境中的工作及思维模式,强化税收业务、税收信息的标准化建设及法制、法规建设,利用先进的技术手段优化纳税服务,解决好税务部门与其他单位信息交换的问题,加强税收电子的整体建设及组织管理工作,提高税务工作人员的风险意识,进行有效的风险管理。
其风险管理具体可分为六个步骤:
第一步,明确税收信息化风险管理的目标。风险管理的目标要针对税收信息化应用和发展的总体和局部、近期和长远内容分别制定,并有效实施,要结合国家税收信息化发展的总体策略,有效地进行风险防范。
第二步,识别和评估税收信息化的风险。首先要识别和发现已存在的风险,这是进行风险管理的基础。其次,找出产生风险的原因,判断风险的产生是技术问题还是管理问题或者是思维、意识方面的问题,是来自税务机关内部的还是外部的等等。再次,衡量风险的重要性及其发生的可能性。
第三步,制定税收信息化风险管理的策略。在实际中,针对特定的风险制定策略的方法有很多,如对于后果不可承受的风险可采取避免其风险事件的发生或排除风险;对一般风险可采取降低风险,将其导致的后果降低到可以承受的程度。
第四步,制定和实施税收信息化风险管理的具体措施。主要是根据制定了的策略建立有针对性的措施细节。例如应用新技术、对信息系统进行二次开发、调整业务流程或机构设置等。
第五步,税收信息化风险管理实施效果的监测。在税收信息化建设内容中,建立税收信息化风险监测机制,针对总体发展战略、应用成果、业务过程等方面进行监测。
第六步,改善和优化税收信息化风险管理内容和过程。税收信息化是处于不断地发展和变革之中,在工作中要不断地对风险管理的目标、策略、方案、内容等进行改善和优化,以达到风险管理的根本目的。
整体化的税收信息化风险防范是税务部门进行风险防范最为有效的方式,税收信息化的风险管理不是一个独立的问题,是与税收信息化的建设、发展密切相关,并构成了税收信息化体系结构中一个重要的,不可缺少的组成部分。
参考文献
[1]蔡金荣.电子商务与税收.中国税务出版社,2000
[2]方卫平 黄琼.税收电子化.上海财经大学出版社
随着《中央企业全面风险管理指引》(以下简称《指引》)和《企业内部控制规范》及配套指引在中央企业的开展和推广,央企陆续建立或准备建立内控和全面风险管理体系,风险管理已经成为企业生存与发展的关键要素。而信息化作为推动和实现企业体制完善、管理创新的重要手段,也早已融入企业的各项管理和实践。越来越多的企业将风险管理信息化纳入企业信息化建设规划当中。已经有相当数量的中央企业建立了内控和全面风险管理信息系统,还有一些企业结合管理实践,从法律、市场、信用、项目等专项业务管理入手形成了专项风险管理信息化应用。
风险管理信息化存在的问题
据调查,目前中央企业全面风险管理信息化建设仍处于起步阶段,仅有少数企业建立了独立的整体或专项风险管理信息系统。信息技术在企业各项风险管理工作中的应用仍不充分,无法满足企业对信息收集、风险评估、预警监测、沟通报告等工作的信息化要求,也未能发挥其对提高风险管理效率的促进作用。
笔者认为风险管理信息化之所以开展缓慢,应用不顺,可能与如下因素有关:
首先是定位不够清晰。一部分企业在建立内控或风险管理体系的同时或之后,实施了风险管理信息系统,但是这样一个系统是作为内控或全面风险管理牵头部门的工作信息平台,用于推动企业内控和全面风险管理管理体系运行?还是希望在各专项业务管理中通过风险管理信息化手段评估和管控业务风险?不少企业对于系统的操作主体、应用范围、管理目标往往不够清晰,导致信息系统效能难以发挥。
其次是不能与业务管理融合。有些企业虽然已经构建了风险管理信息系统,但是业务管理和风险管理在信息化应用中几乎没有交集,在信息系统中难以体系集成与信息共享,使得风险管理变成“管理孤岛”。现代企业已经制定了各种各样足够多的规章制度、流程手册、程序文件、工作指南等;还有各种管理体系,包括质量管理、安全管理、六西格玛、全面预算管理、全面风险管理、HSE、内控规范等。理论上讲,不管引入并建立了多少种管理理念和体系,企业都应当将它们整合成一套制度和流程,而企业的员工只要严格按照这套制度和流程中所规定的要求开展工作即可以满足所有管理体系的要求。如果不能发挥风险管理的整合价值,如果不通过IT技术构建统一的信息化应用平台,实现多个体系的整合和管理的融合,就会不断形成“管理体系孤岛”和“信息孤岛”,也就失去了内控和风险管理的价值和意义。
风险管理信息化的原动力
企业风险管理信息化主要应满足以下两个层面的管理需要:
一方面是建立内控和全面风险管理体系的信息化运行平台,帮助企业开展定期的风险评估、日常风险监控改进和内控评价,编制风险管理和内控评价报告,落实公司层面风险的集中管理,实现风险管理体系的运转。这项业务对于大多数企业来讲,与企业其他业务管理相比较,是企业的“新业务”。因此,有必要建立—套信息系统作为落实该业务的工作平台,便于内控和风险管理职能部门或团队更有效地开展公司层面风险管理工作的组织、沟通、协调和报告,解决风险管理工作推动、监督、评价考核;目前市场上绝大多数产品都是为了满足内控和全面风险管理体系的建设和运行而设计的,已经实施风险管理信息化建设的中央企业多数也是应用的此类产品。此外,在构建此类信息系统时,最好结合中国企业的实际情况,尽可能考虑内控和全面风险管理在信息流(包括风险库、指标库、流程库、控制措施等)、管理过程和评价考核等方面的融合。
另一方面就是企业中作为风险管理第一道防线的业务管理部门,需要将风险管理与企业业务管理相融合,使得风险管理充分融入企业的各项日常工作实践,应用风险管理的手段,评估并管控业务中的风险,体现在业务管理的信息化应用中,支持业务管理的有效风险分析和决策支持,这是业务管理部门所必备的工具手段。
这两个方面既体现企业管理的全局与局部,又体现风险管理的集中与分类,构成了企业风险管理信息化的原动力。
风险管理与业务管理信息化的融合
如何体现管理融合是企业信息化建设的重点和难点。如果一个企业有自己的协同办公管理系统,又有一套ERP,企业的各项业务的管理实践如何既能在执行业务流程的同时有效地评估和管控风险,又不出现“管理体系二张皮”的情况呢?显然,一套业务系统、一套风险管理系统的模式难以适应企业管理应用,换句话说,构建一套风险管理系统既作为企业内控和全面风险管理体系的运行平台,又希望承载风险管理与业务管理的融合要求是很困难的。
《指引》第五十八条明确提出:“已建立或基本建立企业管理信息系统的企业,应补充、调整、更新已有的管理流程和管理程序,建立完善的风险管理信息系统;尚未建立企业管理信息系统的,应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。”
根据《指引》的要求,对于尚未进行业务信息化建设的企业,应该应用内控和风险管理体系作为管理整合的管理依据和基础保障,将风险管理要素嵌入各项管理业务流程,统一设计一套整合的业务管理信息系统,在业务管理实践中开展并重复风险管理的闭环。
而对于已经构建ERP等信息化应用的企业,可以考虑将风险管理要素分解并构造成较细颗粒度且相对独立的“服务”。若企业具备修改、调整原有管理系统条件的,可以在各业务流程的不同环节中“嵌入”所需要的风险管理服务,根据服务运行的结果,决定下一步流程走向,形成“强控制”。比如,可以提供多个定性和定量的风险分析服务以及风险评价和查询服务,用于在各项业务中开展风险评估和动态查询,并在信息系统中根据风险分析和评价结果确定下一步应对策略和操作环节。
对于不具备业务系统中进行流程控制优化条件的,可以建立数据接口确保业务数据到风险管理系统的单向输入,根据业务管理逻辑和数据分析构成风险管理“服务触发器”,根据风险承受度和管理策略及时发出提示、预警等,但不影响原有系统的流程,形成“弱控制”。
关键词:浙烟;信息化;风险管理
中图分类号:F270.5
文献标识码:A
文章编号:1672-3198(2009)08-0031-02
1 浙烟信息化项目可能存在的风险
1.1 来自浙烟企业内部的管理风险
企业内部管理风险主要体现在管理变革风险与企业内部管理部门的风险。
(1)管理变革风险。
信息化首先是一个管理问题,其次才是技术问题。信息技术和管理技术的不断发展推动了整个浙烟企业信息化的变革,从而使企业的经营管理理念发生了本质的变化,它的变革如同“工业革命”一样是历史发展的必然,
(2)企业内部管理部门的风险。
企业内部管理部门的风险主要体现在企业对信息化的认识与管理理念的差异。浙烟商业企业是一个特殊的企业,各级企业领导对信息化的认识也是参差不齐,有些企业实施“信息化”的目的并不是为了用信息化提升管理、促进战略目标的实现,而是为完成信息化任务上信息化而信息化。
1.2 信息化建设信息系统规划风险
信息系统规划是企业信息化建设重要步骤,是基于企业信息化客观的需求分析和技术要求,结合信息化投入预算和对市面上主要系统产品和供应商进行调查、比较、分析和评估,最后确定是自行开发系统、委托开发系统、还是购买现成产品。在此过程中存在着多方面的风险,比如:
(1)IT战略与业务战略相脱节。
信息化的根本目的是支持业务战略的实现,而IT战略是信息系统规划的总纲,定义了信息化的使命、远景和原则,但企业信息化过程中常见的情况是没有定义清晰的IT战略,对企业业务战略的有效支持自然无从谈起;另一种情况是仅仅在形式上给出了与业务战略相一致的描述,而在实际规划和实施过程中依然是IT和战略“两张皮”。缺乏与业务战略相结合的IT战略,通常导致业务驱动的IT规划路线,即“业务要什么,IT就做什么”,一方面,业务本身需求的无序性,从而导致了企业信息系统应用的无效现象;另一方面,业务驱动的IT规划路线也往往导致柔性不足,无法适应业务和技术的变化。
(2)技术选择风险。
在技术选择方面常见两种倾向:一是恪守“少花钱,多办事”的原则,从硬件的购置到系统的选择都走低端路线;二是“要上就上最好的”,走一流配备的路线。对于前者我们要说,信息技术发展日新月异,盲目追求廉价的选型方式只会导致系统和设备加快被淘汰的速度,其结果是增加了企业再次投资的成本;而盲目追求技术的先进性同样不是我们提倡的做法,技术选择的最佳标准是与业务需求相匹配,前面两种做法都将最终导致成本的增高。
(3)选择规划者风险。
这里常见的问题是信息化技术人员往往倾向于关注技术问题而不擅长于对企业战略和管理问题的把握,而管理者一方面事务繁忙,另一方面通常对信息技术了解不足,同样难以承担信息系统规划的任务。在这种情况下,很多企业转而求助于专业咨询公司。值得一提的是,目前国内提供IT规划咨询服务的机构可以分为三种类型;系统提供商,以其技术实力为背景,更多地从技术层面为企业进行IT规划;纯咨询类机构,通常有着相对完善的方法论体系,对管理问题有着较深的理解,所做规划与战略和业务结合较好;专业系统提供商与咨询服务机构的结合体,这类企业一方面对IT系统有着较深的认识,另一方面拥有系统的方法论体系,能够较好地实现IT与战略和业务的衔接,倘若在IT规划之后提供其后续的系统实施服务,更易实现规划结果的落地。
1.3 信息化项目建设组织风险与项目管理者行为风险
(1)组织风险。
企业信息化建设过程是一个非常复杂的过程。其涉及范围广,人员多,知识综合性强,不确定因素也多。企业信息化建设项目除了涵盖企业的各个职能部门外,甚至将供应商、客户、相关联系单位、下属企业等都纳入到系统中,是一个内、外互动的系统。同时,企业信息化建设是一个全员参与的过程,牵涉到现场的操作工人、职能部门的专业人员、部门管理人员直至企业高层领导。再者,组织实施企业信息化系统,需综合运用计算机知识、项目管理、系统工程论、管理理论、相关软件知识、行业经验和实施方法论。因此其项目组织的难度之大,细节之多是一般项目很难比拟的,因此企业信息化项目建设过程的组织风险是显然的。
(2)项目管理者行为风险。
通过分析,有下列四类代表性的项目管理者行为风险。第一种类型为不确定性的否定。项目管理者认为有风险的项目是可怕的项目,管理者总是尽可能地减少风险和问题以便使自己的团队看起来更加合适和有竞争力。这类项目管理者认为风险管理存在更多负面的影响,从而趋向于不愿意管理风险。第二种类型为不确定性的规避。主要体现在客户与项目管理者对风险合理性的矛盾看法及其行为倾向。也体现在项目团队对风险认识与风险评价的不一致性,在这种情况下,项目管理者为了项目团队达成一致意见,项目管理者选择不管理风险或管理容易被识别的风险。第三种类型是不确定性的延期。项目管理者不愿意对风险进行积极的管理,对风险漠不关心,直到风险发生时才匆忙采取行动。第四种类型是不确定性的忽视。它是由两个原因引起的,首先,因为项目状态的复杂性和动态性,项目团队不能准确预测风险;其次,项目管理者不愿意寻找项目风险管理技巧来定义项目以外的风险。
1.4 企业信息化建设实施、应用维护及信息安全风险
(1)实施风险。
实施过程中,服务方缺乏相应的实施规范,忽视或者不深入进行项目的可行性研究、需求分析、系统分析等前期工作,导致企业信息化系统的功能、实用程度都不够理想;实施过程中的监控力度不够,使信息化实施项目不能按计划完成;实施结束,没有相应的验收,或是验收的标准出现分歧,使企业的信息化项目成为“难楼工程”。因此企业信息化实施工作应该循序渐进,分步进行。
(2)应用维护风险。
系统正常运行后日常的维护工作是不可避免的。作为企业,应勤于积累工作中遇到的问题及解决方法,注意系统的异常。无论数据库有多先进,软件厂商技术实力有多雄厚,也难免会有不足之处。因此企业至少应该做到在硬件条件上消除会造成系统全面瘫痪的可能。另外也应该有一定的人员在系统的功能模块的技术实现上有所了解,或者对二次开发内容以及用户自行开发部分的有所把握,从而
使企业在软件故障方面具备了一定的解决能力。
(3)信息与系统安全存在的风险。
对于一个典型的信息化系统,主要的依赖网络安全,操作系统安全。数据库安全和应用安全、病毒的预防、非法入侵的监督、数据更改的追踪、数据的安全备份与存档、主机房的安全管理规章、系统管理员的监督等等来保证系统的安全性。目前,普遍存在着不重视系统安全的现象,诸如用户口令泄密、超级用户授权过多等。缺乏安全意识的直接后果是系统在安全设计上出现漏洞和缺陷,它将导致系统的瘫痪。对系统软件过多的更改可能会影响程序和数据的一致性和完整性,也给将来的软件版本升级增加了难度和成本。
2 浙烟信息化项目风险管理与风险防范
企业信息化过程面临着如此之多的风险,因此企业必须结合自身的实际情况构建风险管理及预警体系,加强风险管理,做好信息化项目风险防范工作。
(1)加强制度建设,建立风险管理体系。行业高层管理积极地参与并大力支持,组织强有力的实施团队,技术部门、业务部门积极地参与到实施过程当中,充分地沟通,及时预防、分析、研究及化解信息化项目实施中潜在的风险;并进行风险管理定期检查,重点关注管理上的死角,及时发现工作中的疏漏和问题,督促相关部门或单位采取处理措施。
(2)积极改善项目管理者行为风险。改善项目管理者行为风险的策略有四:①营造鼓励风险沟通的信息化项目文化,行业领导者负起支持和推动风险管理工作的责任,把风险沟通和预防纳入项目管理者绩效考核工作中。②进行信息化项目团队建设。项目管理者充分发挥团队的作用,通过合理的授权令每一个团队成员承担相应的责任,同时定期组织各种团队活动,增加成员彼此交流、增进信任的机会,营造一个平等开放、相互信任的工作环境。加强管理者对风险认识差异的理解。提高项目管理风险的积极性,项目管理者应该首先接纳他们的不同意见,站在他们的立场来理解和关注其情感反应,本着坦诚、开放和主动的态度来寻求他们的支持。④提供风险沟通工具的支持。便利的沟通工具会影响项目成员风险沟通的信心和控制力,并且能加速风险信息的收集与共享。⑤制定合理的风险管理流程。本文参考卡耐基・梅隆大学的软件工程研究所建立的能力成熟度模型提出闭环的浙烟信息化项目风险管理流程,如图1所示。
(3)从企业发展战略高度审视企业信息化建设的作用与价值,尽快、科学的做出应用协同商务、协同政务、供应链管理、企业资源计划、业务模式重组、产品协同研发和信息技术的决策t并逐步落到实处。注重企业与信息产品供应商、咨询服务商等方面的合作和沟通,借鉴他人的经验教训。具体而言,就是将浙烟企业的管理技术、研发技术、制造技术、信息技术和网络技术有机的结合起来,通过有效的应用,推动供应链协同商务模式、相互信任和双赢机制的创新、企业管理模式和业务流程的创新、产品研发模式和设计理念的创新、产品制造模式和方法的创新,从而全面提升企业竞争力。
1 正确认识企业信息化风险和风险管理
提到企业信息化的风险,大家普遍会联想到病毒、黑客攻击,认为只需要使用杀毒软件、防火墙等安全产品就可以了,但这只是信息化安全方面的风险,是对企业信息化风险的狭义、局限性认识,这种认识暴露出我们长期以来在风险防范、管理意识方面的薄弱。而真正广义的企业信息化风险是指在信息化实施过程中,由于各种因素导致结果与最初的信息化战略目标存在偏差,有偏差即是有风险,不管这种风险是否给企业带来经济损失。我们只有通过合理的方法辨识风险、分析风险、控制风险,找出风险来源,区分风险因素对信息化产生的影响,并且针对不同的风险采取相应的防范与化解的措施,力争将损失和威胁降到最低,才能使企业信息化的效能最大化。
2 企业信息化风险的原因
信息化系统相对于一般的项目而言在管理、技术、时间、资金、实施和维护等方面存在更多的风险因素,但归纳起来主要是三个方面:管理层风险、执行层风险、操作层风险。
2.1 管理层战略风险 俗话说:“站得越高,看得越远”,只有对信息化做出正确、长期、准确的战略发展规划,信息化系统成功的机率、对企业做出的贡献才会越大。首先,需要企业管理层对信息化的价值理解透彻,不能急于求成、盲目跟风,抱着“别人都有,我也要有,要用就用最好的”等错误思想,而要从信息化的实用性、功能性、安全性等方面进行全面统筹和权衡,必须要以支持企业经营管理、提高工作效率为最终目标,可采取分步实施、重点突破、逐步完善的信息化部署战略。其次,企业信息化是对管理观念的一种转变和突破,企业高层必须要理解和接纳这种管理思想,必须要在人力、物力、财力上给予信息化建设高度重视,领导的重视和亲身参与,势必带动各级员工的积极性和参与意识,为信息化项目的实施奠定良好的基础。
但是,不少企业高层管理人员尚未认识到这一点,对信息化的认识和管理理念比较落后,在有些领导看来,信息化只是个面子工程,是个无底洞,需要不断的投入,还不能直接给企业创造经济效益。因此在进行信息化规划时目标不明确,动机不纯,或者干脆没有规划,为以后信息化实施埋下了隐患。比如:某企业2008年花费十几万购买了一套公文流转系统,该系统功能强大,完全能满足企业无纸化办公需要。但是领导长期在外,常年不用电脑,再加上领导无法适应传统的领导圈阅方式一子被电子签名所取代,所以长时间采用公文流转和领导纸质圈阅并行方式。这就是典型的管理层战略风险,管理层观念落后,实施信息化动机不纯,单纯的为上信息化而信息化。最终的结果只能是企业投入了大量资金却并没有提高工作效率,信息化系统形同虚设,无法发挥应有的作用,造成资金浪费。
2.2 执行层风险 有了信息化战略规划,具体执行部门就要根据规划实施信息化项目,在具体实施过程中,可能存在来自于技术落后、资金短缺、管理低下、人才缺乏等方面的风险。
2.2.1 信息化系统选择风险。如今市场上各种信息化软件、硬件产品众多,不同应用平台和开发工具,不同的硬件集成,都将决定企业信息化未来的效益、维护成本和转移成本。一旦系统或设备选型不当,将限制企业信息化的长远发展。因此选择信息化系统时要兼顾功能和技术要求,功能上既满足当前的业务需求,也要考虑未来的业务发展。技术并不是追求越先进越好,而应该选择现阶段技术比较成熟,可升级、兼容更新技术的产品。比如:某国有大型企业2005年耗资上百万在全公司自上而下部署了一套电子档案管理系统,但在使用中发现该系统存在诸如操作不方便,与协同办公平台不兼容等问题,导致系统使用不到半年就夭折了,2010年公司又重新研发了一套全新的电子档案系统。这就是信息化系统选择失败的典型案例,这种情况在现在的企业尤其是国有企业相当普通。
2.2.2 信息化项目管理风险。信息化系统的实施过程是一个复杂而又艰巨的系统工程,在内部,它渗透到企业经营的不同层次、不同部门之中,是一个全员参与的项目,在外部,它要适应信息化的快速发展,与系统提供商的合作沟通等等。在项目实施过程中,如果各部门沟通不顺畅、协同不力;系统实施人员特别是核心人员的流失或中途调动;实施费用严重超出预算等都可能直接影响信息化的实施结果。因此,项目实施领导小组必须要掌好舵、举好旗,严把项目进度、成本、质量关,负责各级部门的组织和沟通协调,确保实施人员的稳定性。
2.3 操作层风险 操作层是指实际应用信息化系统的部门或人员,这是最容易被人忽视,也是最容易产生风险的环节。
2.3.1 业务流程风险。在应用信息化系统之前,企业必须要根据岗位职责对各岗位的业务流程进行完善和优化,使信息化系统与实际业务工作相匹配,否则就会造成系统与实际脱节,形成信息孤岛,无法发挥作用。
2.3.2 基础数据风险。在利用信息化系统进行数据分析的时候,必须要求数据及时、规范、准确、完整,否则得出的分析结果就可能与实际大相径庭。因此,企业要通过一些规章制度来明确和规范数据的内容,通过督导检查、高额奖惩等手段来确保数据的及时性和准确性。
2.3.3 信息安全风险。其一,要尽量确保信息化系统在安全性上不能有漏洞,发现问题要及时与系统供应商沟通解决;其二,购置相应的安全保护软件或硬件设备,帮助减少系统安全风险,提高系统的运行稳定性。其三,要制定和完善系统安全运行规章制度、数据故障应急预案,确保系统出现故障时可以及时处理。
3 企业信息化风险管理的策略
3.1 建立信息化风险管理机构 随着企业信息化的不断推进,信息化在企业中的地位不断凸显,并且成为企业核心竞争力的组成部分。因此,企业应该及时组建企业信息化风险管理机构,它的职能是建立科学的风险分析、评估体系,定期评估信息化风险,监控信息化实施、运行过程,从企业整体利益出发,根据产生风险的性质和特征,选择不同的风险处置方案。设置企业信息化主管(CIO),直接对企业决策层负责。
3.2 建立科学、规范的业务流程 管理手段的落后和管理流程的混乱,是大多数企业的通病,企业信息化关键的一步,就是建立一个科学、规范、先进、适用的工作业务流程,并且要将管理策略和制度融入业务流程之中。“没有规矩,不成方圆”,企业都制定了一大堆管理制度,涉及到企业管理的方方面面,但这些制度或多或少被束之高阁、有名无实。因此,要将这些管理制度和业务策略信息化,用程序化的手段融入业务流程之中,成为业务处理过程中的决策工具,实现业务流程和业务控制策略、企业管理制度一体化的信息化系统。
3.3 营造一个信息化风险管理的环境 信息化是把“双刃剑”,大家既要认识到信息化给企业带来的积极意义,也要认识到信息化失败给企业带来的危害。因此,营造一个信息化风险管理的文化环境是非常重要的,平时要注意培养大家风险管理的意识,并贯彻到日常工作中去。随着信息化的逐渐深入,当信息化己成为日常工作的必须工具,与自己的业务本职工作息息相关的时候,大家就会意识到自己对于风险防范的责任,加之经常培训员工风险管理的方法和措施,企业整体的风险管理能力就会逐步提升。
3.4 引入第三方风险检测、评估机构 在信息化的风险管理中,很多风险必须通过专业的手段和仪器才能够进行检测和分析,因此还应该引入第三方检测评估机构,通过专业化的检测手段发现系统错误,对系统作一个公正、客观、科学的评价,最大程度地避免信息化的“豆腐渣”工程。在这个过程中,我们要摒弃传统的自我保护思想,害怕被发现问题,要以更加开放的心态去进行信息化建设,内外合作,才能逐步增强抗风险能力。
[关键词] 风险识别 风险评估 风险应对
实施任何项目都有风险,即在企业投入相应资源后没有如期实现项目目标。项目风险管理,就是在项目实施过程中对项目可能出现的问题进行主动而系统的识别、评估并及时采取相应的应对措施和行动,减少风险带来的损失。风险管理由风险识别、风险评估和风险应对三个部分组成。
一、风险识别
风险识别就是确定风险事件及其来源,是项目风险管理中一项经常性的工作。由于风险的不确定性,风险识别实际上只能算是一种预测分析,是对可能会给项目目标实现带来负面影响的环节和因素所进行的假想。目的是做到有备无患,当实际风险发生时能有效应对。
风险因素可能来自需求、技术、资金、实施方等各个方面,但项目实施最根本的目标是实现项目的期望,因此风险识别也应重点关注影响项目期望的因素。同时在风险识别过程中,也需要辩证地分析风险因素的负面效应(即风险带来的威胁)和正面效应(即潜在的机会)。
具体的项目风险识别方法,主要有:1.调查问卷法,即事先设计相应的表格、问卷,然后选取特定的调查对象,然后总结出项目的风险;另外,询问项目组成员也非常有帮助,问问他们以前做过的项目里曾发生过哪些意料不到的问题。2.头脑风暴法,就是由项目小组成员在一起,反复假设“如果……,那就会……”,充分预测信息化项目中出现的各种情况,从而尽可能多的找出影响项目成功实施的因素。3.理论分析法,即通过建立数学模型等方法从理论上来分析信息化项目的风险,比如决策树、敏感性分析、蒙特卡罗模拟等。4.专家判断法,即请教擅长信息化项目实施的专家、学者、教授,经验丰富的项目经理、实施顾问等,从理论与实践多方面来判断项目风险因素的正面效应和负面效应。5.经验总结法,就是借助以往企业信息化项目实施的经验教训,来类推、联想这个信息化项目中的风险因素。
二、风险评估
风险评估就是估算风险的性质,估算风险事件发生的概率及其后果的大小,以降低项目的不确定性。风险评估又称作风险量化,就是比较风险的大小,从而决定是否需要采取相应的应对措施。风险评估的方法很多,归纳起来主要包括以下几种:用风险发生的概率来评估风险发生的可能性;用风险带来的损失来评估风险发生的严重性;用现有的手段能否控制风险的发生来评估风险发生的可控性;用风险影响的地域大小、对象多少等来评估风险影响的范围;用风险发生在项目生命周期的阶段来评估风险发生的时间。
实际项目风险管理过程中,常常用逐项评分的方法来量化风险的大小,即事先确定评分的标准,然后由项目小组一起,对预先识别的项目风险一一打分,然后得出不同风险的大小。
三、风险应对
针对风险评估的结果,制定相应的应对措施去响应风险,就是风险应对,其目的是创造机会,回避威胁。风险应对中,需要对风险的正面效应(即潜在的机会)制定增强措施,对风险的负面效应(即可能的威胁)制定应付方法。对于不同的风险,需要根据其重要性、影响大小,以及已经确定的处理优先次序,采取相应的措施加以控制,对负面风险的反应可以是尽量避免、努力减小或设法接收。另外,在处理风险时需要注意应对的“及时性”和“反复性”,即在第一时间对各种突发的风险做出判断并采取措施;对已经发生或已经得到控制的风险经常进行回顾,确保风险能够得到稳定长期的控制。
项目风险应对的措施主要有:1.修正项目目标或范围。尽管有深入的项目调研和详尽的项目规划,但信息化项目过程中的需求改变常常难以避免,因此为保证项目的实施效果,对项目的目标或范围加以必要修正,能够有效应对项目偏离需求的风险。2.加强培训。加强项目培训能够提高参与项目的IT人员和业务人员甚至管理人员、决策者对信息化项目的认知,对规避项目的实施风险有良好的效果。3.加长模拟阶段的周期。信息化项目中最重要的是信息系统与企业业务流程的结合,因此加长系统模拟业务流程的周期,使之充分适应企业业务流程,能够保证项目对企业的适应性,从而降低项目的实施风险。4.引入第三方咨询和监理。信息化项目初期尤其是刚刚开展信息化项目的企业,在信息化项目实施中引入第三方咨询和监理,能够利用第三方的专家优势和对项目实施的经验来应对项目风险。5.始终贯彻项目管理的标准流程。严格执行项目管理中的时间、成本、质量控制等标准流程,能够有助于控制项目风险。6.准备风险保证金,适当预留项目计划时间。信息化实施往往周期较长,在项目预算中预留一定数量的风险保证金,时间计划中预留一定的时间,能够有效应对由于项目需求改变或者范围增加而造成的时间和成本风险。7.行政强制手段。对于项目中的某些难点,采用行政强制手段能够起到很好的效果。8.终止项目。这是一种极端的做法,往往由于项目目标没有明确所致,采用这种做法虽然会导致项目的彻底失败,但也是万不得已,能够避免企业更大的损失。
在信息化项目开发过程中,一个成功的风险管理可以防止和减少项目中潜在问题的影响,它是处理危机的有效处方。在项目生命周期内,一个优秀的项目管理人员应在风险反应和风险预防之间达到一种平衡:当风险没有出现时,风险管理有助于你通过科学的分析和方法,降低风险发生的概率或转移风险,减小风险损失;当风险出现时,风险管理有助于你采用一种经过深思熟虑的解决方法去快速的做出反应,从而减小风险对整个项目所造成的影响。
参考文献:
[1]邱菀华:现代项目风险管理方法与实践.北京:科学出版社,2003
关键词:全面风险管理 信息化 实践
一、专业管理理念和目标
(一)专业管理的理念或策略
通过信息系统提供的各种风险识别与评估工具,准确识别风险,科学量化的风险评估等级,基于关键风险影响因素制定有效的应对策略,从而提高风险评估与预控能力。
通过风险工作台单据的管理模式,把公司财务风险管理融入日常经营活动,加强财务专业领域的风险治理,实现公司财务风险管理目标。
(二)专业管理的范围和目标
1.专业管理的范围
风险管控系统涉及公司管理层面和部门执行层面的各岗位。首先班组成员是管理主体,班组成员同时还是系统的使用、维护人员,班组的日常工作内容都要通过他们在系统中体现出来;其次是风险管控领导岗位,发挥职能协同作用,协同系统整体运作,按照“整体设计、前期试点、分步实施、整合运行”,逐步在运行中基础准备、风险建设、深入实施、整合提升,围绕风险防控体系建设目标。
2.专业管理的目标
基于公司统一的管控策略,在建立健全公司财务风险管理体系的基础上,利用信息系统平台实现财务风险识别、分析、评估、应对、监控、重估全过程的管理,将公司财务风险管理体系静态信息和动态信息全面纳入信息化管理范畴。
二、专业管理的主要做法
(一)专业管理工作的流程图
详见图1。
(二)全面风险管理内部层次框架
详见图2。
(三)节点主要做法
1.全面风险管控节点做法
(1)公司风控信息系统分为基础应用平台和高级应用平台,可满足总部各部门、公司各级单位的管理需要。公司风控信息系统以SAP GRC为基础,利用NetWeaver、Sotower开发平台和BPA引擎,完成了流程框架维护、流程分级管理、风险控制关联、岗位授权固化、制度流程融合、内控在线评价和内控标准落地应用等功能的开发,实现所有管理要素的动态关联。风险点、控制点与流程步骤、岗位动态关联,便于各岗位开展风险应对,执行控制措施,实现风险控制关联。通过流程步骤与岗位匹配,明确岗位职责,固化授权标准,并支持不相容职责自动检查,实现岗位授权固化。
(2)公司采取以财务专业为试点,从财务风险管理体系建设着手,推动全面风险防控体系建设工作。一是结合ERP系统108项工作流程,全面梳理财务内部控制流程。二是开展财务风险辨识,采集风险信息200余条,形成财务风险事件54项。三是以风险“信息与沟通”为中心设计财务内控管理流程,其中包括风险评估、控制活动、有效性评价等三个核心内容。四是制定财务内部控制及评价细则,采用现场访谈、控制测试、穿行测试等方式开展财务内控自评价。五是制定财务稽核工作规范,建立财务稽核规则库,对财务数据在线稽核,稳步推进财务风险在线监控。六是建立风险监控预警指标,设定指标标准值和两级预警区间,对指标趋势变化动态监控。
(3)构建防控体系,防范全面风险。公司以信息平台建设为契机,将风险防控体系建设与各业务信息系统有机结合,推进全面风险管理体系建设,帮助执行管理指令的政策和程序。它贯穿各层次和功能,包括各种活动,如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。
(4)建立企业级风险信息库。明确了各专业所面临的主要风险及其表现形式、风险成因、应对措施,为各专业开展日常风险管理工作提供了基础信息;并且,通过四级风险与内控流程关键步骤的匹配,将公司层宏观风险转变为与实际岗位相关的具体风险,提高了公司对风险的整体“免疫力”。
2.预算控制信息化节点做法
(1)在业务源头进行控制。应用信息系统,在业务发生环节在线实时控制,实现预算控制关口前移。采取信息化手段及预算分析手段,信息化手段客观控制手段,刚性控制,暴露和反映问题,预算控制对象为预算责任中心、预算科目及辅助维度的组合,基于责任中心及预算科目执行年度总额预算控制;对于成本性及资本性支出项目,同时按照项目进行明细预算控制。从业务发起的源头开始预算控制,如采购业务――提交采购申请时,进行预算控制;员工报销业务――提报报销申请单时,进行预算控制。
(2)预算控制的适用性。―是可控费用总额控制,对15项重要科目实行单控严控,科目预算控制主要包括“三公”等费用科目、在建工程工程科目,按照年度和进度实施控制。在线反映实际收支情况和指标情况,及时提供具体的信息,实现信息实时反馈。设置预警指标,对差异比较大或临近超支的,给予提示预警,提示及时结算或控制发生。实现偏差及时预警。对超预算的实施强控制,不得发生。实现指标在线控制。二是严格项目创建校验,确保没有预算外项目发生。项目预算包括:资本性支出项目和成本性支出项目,均按照支出项目明细预算和年度预算实施双重管控。三是应用项目预算财务支出强控功能,确保单项工程不超预算。
3.工程核算流程内部控制节点做法
(1)协同信息平台,促进风控融合。在风险管理信息系统与各业务信息系统建设过程中,将关键风险点、内控流程、管控措施等进行固化,实现风险防控与业务管控有机融合。一是将ERP成熟套装软件、财务管控、协同平台、营销、生产、基建等系统有序衔接,实现业务信息与风险信息同步。二是借助ARIS流程管理平台,将420项内控流程固化到企业信息系统。三是在财务管控设置15项内控考评点,在ERP中设置17项评价标准,在信息系统中开展风险管理考核评价。四是通过项目储备库、标准作业库、物资价格库集成,强化标准作业、基建成本的控制与管理。五是开发资产全寿命周期评估决策系统,从资产形成、日常管理、运行维护、报废退出四个环节对资产成本进行控制、评估与考核。
(2)发挥监督合力,推进依法治企。坚持依法从严治企,构建由财务、审计、纪检等部门组成的内控监督防线。一是加强业务部门沟通协作,重点发挥业务部门的监督合力,拓展稽核监督深度与广度。二是利用在线稽核系统,对重点业务进行动态监控,利用审计成果,加大重点领域和薄弱环节的现场稽核,利用“联席会议机制”对稽核结果进行效能监察。三是建立稽核结果、内审外检、典型案例等信息共享平台,促进稽核成果转化应用。四是开展在线稽核,发现疑点87项,监督各单位对问题落实整改。五是加大日常业务稽核力度,对重点领域和关键环节进行专项稽核和治理,做好事前、事中、事后的联合监督。六是推行省公司抽查、省农电公司督查、市公司普查三级稽核方式,实现对县农电企业稽核的闭环管理。七是强化审计监督,开展“三指定”自查整改、“小金库”和工程建设领域专项治理等活动。八是制定监督管理办法,实行联席会议制度,强化权力运行监督,重大事项监督全部到岗到位,使工作达到闭环管理。
(3)坚持五个“两率”考核,实现与“五集中”对接。引入独具特色的、以五个“两率”为核心的财务评价指标体系,实现与“五集中”对接,强化风险过程管控。基础工作两率,即会计凭证“合格率”和“及时率”,推动基础财务工作向“精细化”和“标准化”转变,奠定会计集中核算基础。工程管理两率,即工程项目“竣工决算完成率”和“项目转资入账率”,有效解决了公司超期完工转固的问题,实现资本集中运作。预算管理两率,即年度预算“完成率”和进度预算“偏差率”考核,确保预算集约调控。资金管理两率,即资金“占用率”和资金“归集率”,确保资金全都集中在可监控的范围内,做到资金集中管理。财务报表两率,即报表“及时率”和“正确率”,有效保证了财务报表的及时性和准确性,为经营决策、风险防控提供数据基础。
4.核算流程内控节点做法
(1)利用管控系统集团对账平台进行集团内外单位的往来核对。双方单位确认往来账目,在平台进行核销,保证报表合并顺利。
(2)子公司财务报表经过自查稽核、省公司稽核。查找填报存在问题进行整改。
(3)与网省公司人资部门、营销部门等业务部门系统核对业务数据,保持严格一致。
(4)网省公司报表合并后问题进行整改。
三、评估与改进
国家电网公司在ERP应用方面提出了“完善提升、深化应用、安全运行、再上水平”的信息化工作思路,公司作为省首家通过实用化验收的地市单位,虽然取得了阶段性的成绩,但通过与西北电网等在ERP上线和成熟应用中走在了前列的兄弟单位相比,还存在相当的差距。
(一)专业管理存在的问题
(1)全面风险管理信息化新增任务项目需要与各业务部门协同进行,财务协同管控的力度不够、业务部门提供的业务参数不准确,口径不统一,缺乏把控和审核,导致标准成本与实际成本有偏差
(2)全面风险管理信息化程度需要进一步加强,出现信息化发展与流程的同步问题,在实现对公司各流程的监督,控制重大事项的过程中,实现有效供应链管理中,两者结合点出现问题,控制点无法落到实处。
(3)内部控制和业务流程中的标准化问题。信息化的标准体系有待于完善建设。管理流程有待于进一步规范,流程不确定化对信息化应用造成阻碍。
(二)今后的改进方向或对策
(1)协同各业务部门,根据公司管理的实际需要新增任务流程,在过程中实现工程项目各节点的风险管控。
(2)资金管理实现审批流程,与银行联结,实现电子收付自动生成凭证。
(3)实现财务与营销业务的有效集成,提高数据共享度,提高工作效率。继续健全公司标准化体系建设,管理流程进一步规范。
