IT内部控制范文(精选11篇)
IT内部控制 第1篇
一、IT内部控制发展现状
(一) 我国企业内部控制发展水平
深圳市迪博企业风险管理技术有限公司撰写的《中国上市公司2012年内部控制白皮书》显示, 我国上市公司内部控制整体水平偏低。该研究涵盖沪深证券交易所在2012年4月30日前A股上市公司中已披露2011年年报的2340家公司, 其中主板上市公司1395家, 中小板上市公司653家, 创业板上市公司292家。报告指出, 在2340家样本中, 内部控制整体水平较高的仅占样本总数的24.96%, 为584家;内部控制整体水平中等的占44.40%, 为1039家;内部控制整体水平偏低的占30.64%, 为717家, 总体来看, 目前中国上市公司内部控制建设的整体水平尚处于中下游水平。《中国上市公司2011年内部控制白皮书》指出“内部控制水平与上市时间显著负相关, 即上市时间越短, 内部控制水平越好”, 该结论来源于对选取的样本公司中的1578家进行内部控制影响因素的多元回归分析, YEAR表明公司到2008年的上市时间长度, 分析结果如表1:
这一方面得益于近年来证监会对首次公开发行股票的公司的内部控制审查的加强, 促使大部分新上市公司的内部控制更加规范化;另一方面, 新上市的公司其内部控制体系在不同程度上融进了IT技术和系统, 体现了企业内部控制趋于信息化的发展趋势, 因而提升我国企业对于将IT技术嵌入到企业内部控制中的认知, 对提升我国企业整体内部控制水平有着积极的推动作用。
2012年财政部、证监会、审计署、银监会和保监会发布了《我国境内外同时上市公司2011年执行企业内部控制规范体系情况分析报告》。报告显示在67家境内外同时上市公司中, 有49家公司存内部控制缺陷, 信息系统控制方面的控制缺陷是披露的内部控制五大缺陷之一。IT内部控制体系的设计与实施成为我国企业内部控制的发展重点。
(二) 我国企业IT内部控制应用现状
在信息化技术高度发达的今天, 中国企业将IT技术应用到内部控制等企业管理流程已经成为公认的趋势, 但如何将IT技术与内部控制有效融合仍然是大多数管理层难以解决的问题。用友集团和工信部电子一所发布的《2010年中国企业信息化指数调研报告》显示, “2010年中国企业信息化综合指数为48.06, 中国企业信息化的整体信息化成熟度基本达到中等水平”。在IT技术高度与时代发展耦合的今天, 中国企业信息化的水平还有很大的待完善空间。数字背后体现出来的是中国企业现今普遍的冲劲有余、后劲不足的亚健康状态。该份报告还将企业信息化程度分为基础应用、关键应用、扩展整合及优化升级、战略应用四个阶段。报告还表明, 我国企业约有34.3%处在基础应用阶段, 24.5%处在关键应用阶段, 扩展整合及优化升级阶段占39.2%。但战略应用阶段的企业只有20%。一半以上企业仍处在信息化建设的第一和第二阶段, 大多数中国企业信息技术应用还未达成与企业战略融合发展的目标, 这也表明目前中国企业信息化水平的提升仍需关注信息技术应用范围的扩大。本次调研数据还显示, 我国企业信息化建设目前存在诸多不足, 如不同规模、不同行业企业不均衡的信息化发展, IT治理结构缺陷的存在, 对信息技术认知度偏低等, 而信息化技术应用的发展制约了IT内部控制的发展和应用。
二、IT内部控制存在的问题
(一) 缺乏可执行的IT内部控制体系
实施IT内部控制不是盲目堆砌先进软硬件的过程, 运用信息技术加强内部控制, 实现企业信息的集成和共享才是企业内部控制应关注的主要问题。目前, 我国关于内部控制的规范依然是基于权责分离和权力制约的理论, 关于IT对内部控制的影响基本停留在COSO报告层面, 尚未形成完整的、可执行的IT内部控制体系。企业即使提出有关IT控制规范基本上也是在信息孤岛状态下提出的, 企业内部控制规范并没有对IT控制的目标和相关控制活动做出明确规定。现行信息系统缺乏或规划不合理, 导致企业经营管理效率低下;系统开发不符合内部控制要求, 导致无法利用信息技术实施有效控制。企业不重视信息资源的开发应用, 尽管各业务流程节点的IT集成让企业感受到了集成化的优势, 但各业务流程采用的信息系统还未得到足够的统一, 信息共享程度未开发到应有的水平, 缺乏体系化运作和管理方法, 严重制约了IT内部控制的有效执行。
(二) IT治理与企业IT内部控制难以有效融合
IT治理、信息系统与内部控制的有效融合能够固化企业管理机制, 实现对业务和事项的自动控制, 防止人为要素变化导致内部控制方式的变化, 确保内部控制制度固化、优化、“e”化并长期执行下去, 加速信息的传递与沟通, 降低运营成本。目前我国多数企业只是将IT部门作为IT管理活动的主要职能部门, 为业务部门提供技术基础设施, 制定管理制度, IT部门缺少规范化风险管理意识;且IT控制制度多存在于系统变更和安全管理等领域, 缺乏从公司透明度角度出发且结合支持完整业务流程的内部控制制度, 技术部门和业务部门相互独立, 不对IT资源和业务流程脱节负责, IT内部控制孤立存在。利益相关者未能完全有效的参与到整个IT管理活动中去, 使得IT资源难以真正融合为企业运行的内在组件, IT和业务两张皮致使企业IT资源失去其应有的效用。各标准体系间交叉或冲突导致IT标准体系的兼容性和互补性大打折扣, 难以有效支撑业务流程高效运转, 导致无法利用信息技术实施有效控制。
(三) IT内部控制流于形式
目前, 每个企业或多或少按照信息系统的要求设立了IT内部控制制度, 大多数企业误以为这些制度与IT内部控制体系是对等的。随着经济技术进步和企业运行模式的发展变化, 一方面企业设立的IT控制制度日渐无法满足实际业务需求, 另一方面我国企业内部控制“重设计轻执行”的思想导致IT内部控制是否执行、执行是否有效等问题往往被忽略, 甚至流于形式, IT内部控制同企业发展战略脱节, IT内部控制设计和执行一劳永逸。企业高层领导缺乏对于IT的充分重视, IT内部控制往往无法实现其预期的效果, 渐渐流于形式。该情况可能导致内部控制执行者不执行规范, 违反流程;实物处理与信息处理顺序颠倒;信息录入完整性及准确性的缺失;人为建立垃圾数据等。长此而往, 企业会慢慢发现自己处在一个下降的螺旋中, 内部控制执行偏离设计目标, 效率低下。在内部控制发展史上, 理论往往跟不上实践发展的需要和步伐, 目前我国企业整体缺乏对于IT内部控制影响的关注度。企业现行的IT内部控制体系和相关软件公司开发建立的IT内部控制系统往往可操作性较差, 相应解决问题的建议和措施成为空中楼阁, 制约了IT内部控制的建立和发展。
三、IT内部控制体系构建
(一) 我国企业IT内部控制体系的整体框架
基于我国企业IT内部控制发展水平和存在的主要问题, 本文构建的IT内部控制体系整体结构图如图1:
如图1所示, 企业IT内部控制体系分为五个层级。第一层为内部控制指引层, 包括企业内部控制基本规范和内部控制18项应用指引, 这是所有企业遵循的共性原则和最低标准;第二层为内部控制管理咨询成果, 企业依赖外部审计师、咨询师的力量, 梳理现有内部控制流程, 实施业务流程重组, 以内部控制指引层为标准建立符合自身实际的IT内部控制体系和制度;第三层为咨询成果的落地, 要求企业根据自身的资源状况, 明确具体的IT内部控制实现方案, 包括各类信息系统和人工系统实施方案;第四层为内部控制信息平台, 通过内部控制信息化平台的搭建, 实现企业内部控制和信息化的有效整合;第五层为内部控制实施层, 依托内部控制信息平台, 确定具体的IT内部控制实施活动和范围。
(二) 我国企业IT内部控制体系的搭建流程
无论是自主研发还是外购, 必须明确的重要问题是IT内部控制的构建思路, IT内部控制流程搭建一般分为横向整合和纵向整合两种方式。实施横向整合即为分业务流程逐个上线, 一般制造型企业的四大业务流程主要为采购到付款、生产、销售到收款、财务核算四个流程, 企业可按照重要程度或业务需求紧迫程度对各个业务流程实施分步骤、分模块上线。实施纵向整合相当于进行一次彻底的流程再造, 通过完整的项目实施生命周期, 完成全业务流程的同步整合, 从而实现企业内部控制全面信息化。我国企业IT内部控制体系整体框架的搭建流程如图2所示:
(1) 公司层。企业在实施IT内部控制全面固化和优化的过程中, 需要针对IT内部控制体系的构建召开IT内部控制整改大会, 对公司IT内部控制体系的构建提出解决方案, 最后得出符合企业自身发展需要的IT治理架构以及相关结论。该阶段的成果即为内部控制管理咨询成果, 具体包括如下四部分内容:
IT治理架构构建。企业需要整合管理思想、公司战略, 综合考虑和分析企业内外部环境、行业特色、企业市场地位、内部管理缺陷和应该提高的问题等。IT治理架构构建是将企业的战略重新审视和调整的过程。需要用战略分析模型对外部环境和内部环境进行全面分析, 提出企业内部控制的提升需求, 以此构建合理的IT治理架构, 同时明确企业的决策机制以及IT基本实施策略。
信息与沟通。在公司层面, 企业需要首先明确IT制度发布的方式, 具体的IT管理制度和沟通机制, 建立服务台与事件管理程序, 及时传达企业内部层级之间和与企业外部相关的信息。关注过程跟踪, 进行IT制度的全生命周期管理。
风险评估与应对。企业需要具备很强的风险识别和防范意识, 针对自身特点建立一套合理有效且能迅速反应的风险评估流程及其应对机制;建立风险管理知识库, 将所有可识别的风险及已提出的解决方案归入库中, 以期为风险评估和管理提供依据;建立风险评估流程和IT风险矩阵, 包括信息资产评估程序, 流程风险评估程序。
持续性监控与检查。在公司层面, 首先需建立自上而下的IT技术监控措施;其次从企业管理制度健全的角度考虑, 内部审计工作是必不可少的;最后公司高层应制定定期的管理评审制度和专项检查措施。
(2) 流程与应用层。流程和应用层在公司组织架构中处于执行层地位, 本文对于IT内部控制框架的构建为自上而下式。流程和应用层作为公司IT内部控制框架搭建的一个中间衔接点, 向上衔接公司层所制定的内部控制管理框架, 按照公司层制定的指导思想和实施方向对流程进行IT化实现, 向下提出对于资源层的控制要求。在IT内部控制框架体系中, 在流程和应用层需要实现的是咨询成果落地, 内部控制信息化平台的搭建、企业日常经营管理活动的畅通等目标。本文从项目管理思想出发, 将企业IT内部控制在流程和应用层的工作通过项目的实施方法展开, 具体如图3:
IT内部控制建设需求分析阶段。需求分析阶段的工作主要是贯彻公司层对于IT内部控制框架构建的整体指导思想和管理理念, 将公司战略层制定和构建的IT内部控制框架细化为各业务流程和应用层面的具体目标。该阶段实质上就是知识管理和知识转移的过程, 该阶段顺利进行的前提是公司层已搭建好脉络清晰、目标明确、且符合公司发展现状的IT内部控制框架体系。
IT内部控制方案设计阶段。在企业进行IT内部控制框架的构建过程中, 方案设计阶段是整个项目最为重要的阶段, 决定项目的最终效果, 该阶段分为两个子阶段。一是调研阶段。该阶段主要任务是对照COBIT框架和企业内部控制应用指引18号信息系统的要求, 结合组织架构、业务范围、地域分布、技术能力等因素, 梳理企业现有业务流程, 找出企业现有流程信息化和标准化的主要模块, 了解企业信息系统内部控制的现状, 制定信息系统建设总体规划, 确定实施IT内部的关键点, 确定信息系统规划、开发、维护等方面存在的主要问题, 发布企业IT内部控制实施指南。根据公司的业务现状, 未来的发展方向以及需求阶段得出具体IT内部控制实现目标。二是方案设计阶段。结合调研的情况, 考虑成本效益原则、适用性原则、可用经费等多个因素, 制定出企业IT内部控制框架构建的具体方案。明确企业实施IT内部控制过程中IT化的范围、时间和投入成本。在该阶段, 企业首先需要明确的是自主研发内部控制系统, 还是外购。若选择外购软件, 还需按照企业业务需求明确对软件的标准化程度的要求、实施周期、成本、后续维护服务的提供以及系统可升级性等问题。
IT内部控制实现阶段。系统实现阶段的主要目的是将内部控制解决方案在IT环境中得以实现, 最终能够提供一套完整的业务系统原型, 供关键用户、业务人员进行测试, 以确保内部控制解决方案的可操作性并检验IT控制环境对于预期目标的实现程度。该阶段是不断调试和修改方案的过程, 在进行测试环境的搭建和数据测试过程中, 应对所涉及的流程进行全面测试, 保证所有的方案设计在流程和应用层是可实施的。在IT内部控制实现过程中, 很多东西都是未知的, 要把握这种不确定性, 唯有把这种不确定性深深嵌入到IT内部控制风险评估中才可能得到有效的控制。风险评估可使上市公司更加清晰地认识到, 意外事件的发生将如何限制业务目标的达成。风险评估的目的是要辨别IT合规性的潜藏内在风险与残存风险, 从风险判断标准、风险发生的可能性、风险发生的危险度、风险预防措施、风险消除措施等几个方面进行评估。在此过程中, 对于不能实现的业务功能, 应及时找出解决方案, 若为购买的套装软件, 对于标准功能无法实现的业务需求应及时客户化开发, 以保证IT控制目标的顺利实现。
IT内部控制系统上线阶段。通过系统实现阶段的测试和数据收集, 确保IT内部控制系统能够良好运转之后, 项目进入到上线阶段。在该阶段企业需要关注的工作重点分为两部分:第一部分是动态数据的搜集和录入, 在该阶段, 数据的准确性和完整性校验非常重要, 若关键业务数据缺失或录入错误, 会给企业IT内部控制的后续实施带来很大阻碍, 严重的会导致上线失败。第二部分是人员培训, 对于所有IT化牵涉到的业务流程岗位上的员工都需要进行系统性的操作培训, 以保证在系统正式运行后能够良性运转, 如果员工缺乏培训, 不仅不能保证企业正常的业务流程顺利进行, 甚至可能对系统造成毁灭性的破坏。
日常运营维护阶段。该阶段为企业构建IT内部控制体系的末期阶段。该阶段的主要目的是保证企业IT内部控制环境的正常运转。对于新上线的IT系统, 第一个月的月结为系统上线成功与否的第一个标志, 通过新系统运行结果与实际手工系统的核对, 找出问题以及存在的风险, 对系统进行进一步的优化。运行维护阶段主要是资源管理的阶段, 在企业的IT内部控制系统上线之后, 其后续运行维护实际是将构建的IT内部控制框架与企业的人、财、物、信息等多方资源相互整合的过程。
IT内部控制框架构建支撑流程。构建健全的IT内部控制体系需要如下基础支撑方法:项目管理 (PM) 、质量管理 (QM) 、技术管理 (SM) 以及项目管理工作平台 (PWB) 。以上四个管理方法贯穿于IT内部控制体系构建的全流程, 在每一个阶段都应该实时监控项目进度、进行项目执行质量检验以及技术支撑。以上四个方法在IT内部控制框架构建中的作用相当于价值链中的职能部门, 他们为主流任务的完成提供后台支撑, 虽然不是流程中的一部分, 但在整个IT内部控制体系的搭建过程中不可缺失。
(3) 资源层。公司层对IT内部控制框架搭建的贡献在于确立目标, 流程和业务层的贡献在于将目标付诸实践, 而资源层的控制体现在分析企业业务运作过程中所依赖的各类资源在IT内部控制中的作用以及风险, 建立风险控制措施。对于企业经营过程中涉及的资源, 主要分为以下四个大类:
人力资源。企业内部控制管理的核心问题是企业中的人及其活动。在企业IT内部控制框架的构建过程中, 人力资源的管理应注重知识管理。知识管理分为经验型知识管理和技能型知识管理。经验型知识管理偏重于战略制定、风险预防层面, 可通过构建知识库来保证企业的优秀管理理念和经验不因高层管理者的人事变动而流失。技能型知识管理偏重于IT系统的操作知识管理, 企业应在新构建的IT管理系统上线前后按需求定期组织员工培训, 以保证系统上线后业务流程能够顺利运转。除此之外, 还应制定相应的考核机制和员工激励机制, 以鼓励员工积极适应新的管理环境并投入足够热情到工作中。
技术资源。企业需要有高素质的IT技术人才协同业务人员实施信息系统的开发到上线及日常维护的全流程。在企业日常经营过程中, 技术资源提供系统后台技术支撑和维护。除此之外, 企业应高度关注信息安全, 构建信息防火墙, 实时进行漏洞扫描、入侵检测等技术安全策略, 防止来自网络的攻击和非法入侵。
信息资源。对于信息资源的管理应关注内部信息资源和外部信息资源两部分。企业应建立信息沟通与协调机制, 加强企业信息资源的组织协调和统筹规划、增加企业对信息资源开发利用的投入、进行信息资源的开发和服务, 制定信息资源开发利用标准体系、营造利用信息资源的良好环境、建立和加强信息安全保障体系, 注重信息资源的共享等。
物力资源。物力资源在IT内部控制框架体系的构建过程中体现在企业的相关资金和物力环境, 良好的资金和实物运营机制是企业构建IT内部控制的基础, 企业应该建立对物力资源的占有、使用、管理与配置效果的评价机制, 发挥物力资源的激励和支撑作用, 整合不同物力资源, 实现企业管理的协同效应。
四、IT内部控制实施的关键点
(一) 固化IT内部控制:实施业务流程重组
企业必须注重流程管理对信息系统内部控制的促进作用, 以IT控制目标为中心实施业务流程重组, 建立广泛、高效的信息沟通与交流系统。从根本上重新考虑逐步或彻底重建企业的业务流程, 以达到在成本、质量、速度和服务等方面取得显著改善的目的, 让企业能适应以顾客需求为导向、竞争为驱动、变化为特征的现代企业经营环境。具体包括观念筹建、组织重建、流程重建。企业通过重构组织文化、调整组织结构为业务流程重组提供制度保证, 对原有的企业业务流程进行合理的诊断和设计, 选择适当的重组方式和重组环节, 建立可靠合理的标杆和绩效评价指标体系, 运用IT技术进行持续的业务流程改进, 实现IT治理和企业业务流程的有效融合, 合理固化IT内部控制。
(二) 优化IT内部控制:实施IT审计
有效的IT内部控制体系是制度、管理、业务与技术相结合的体系, 高层管理者需要高度关注并监控其顺利有效的实施。因而必须利用内部审计机构, 建立自评估机制, 确定企业IT控制有效性的各种等级, 进行基于全生命周期的IT审计。
IT审计主要包括以下几个方面:评价IT战略和公司总体战略的匹配程度;评价IT制度与流程手册的完整性;评价企业在信息系统技术基础设施与操作实务的管理和实施方面的有效性及效率;评价逻辑、物理环境与信息技术基础设施的安全性;评价灾难恢复与业务持续计划的可靠性;评价应用系统的开发、获得、实施与维护方面所采用的方法和流程的合理性;评估业务系统、处理流程与企业业务目标的一致性, 完善IT控制体系的设计与提高IT运行维护的质量, 以确保其有效性;在IT内部控制审计完成后, 应该立即形成正式的书面审计结论, 并向管理层报告情况, 以方便管理层及时调整和调配IT内部控制的资源和策略, 保持IT与业务目标一致, 确保企业总体战略目标的实现, 促使企业IT内部控制体系更加完善和健全。
(三) “e”化IT内部控制:实施IT治理
如何通过IT内部控制体系与合规管理来防范和降低上市公司的财务违规风险, 是企业高层领导和CIO目前最迫切需要解决的难题。目前国内大部分上市公司对合规的IT内部控制体系的重视程度严重不足, IT内部管控措施经常执行不到位, 使得许多上市公司很容易陷入违规的财务操作风险危机之中。IT治理从公司治理的角度帮助企业构建相应的IT治理组织, 规范企业IT治理流程和治理机制, 使IT治理流程透明化。将IT治理融入到企业战略制定中, 实行IT治理与业务的匹配融合。帮助管理层制定切实可行的企业战略和发展规划, 深刻理解信息系统的重要性和风险, 建立重大风险预警机制和突发事件应急处理机制。促进管理创新, 合理管控信息化过程的风险, 建立信息化可持续发展的长效监督和激励机制。加快企业IT内部控制的实施进程, “e”化企业IT内部控制, 提升企业核心IT能力水平。
(四) 标准化IT内部控制:实施内部控制标准化
内部控制标准化建设是IT内部控制的重要基础, 标准化建设能够推动企业IT内部控制的进程。XBRL作为一种标准化商业语言能够较好地实现财务系统与单位内部管理系统数据交换, 财务报告与内部控制的融合, 及时快速准确地分析判断运营状况以及内部管理中的薄弱环节, 并不断加以改进, 有助于管理者大幅度提升现代化管理效能, 从而在微观层面实现现代化管理。促使内部控制信息化建设相互融合, 呈现螺旋上升状态。
我国需制定发布基于企业内部控制规范的通用分类标准, 基于XBRL的会计信息系统内部控制准则, 以指导企业的XBRL内部控制及风险管理实务。企事业单位与政府监管部门、中介机构、软件开发商、投资者、债权人等信息使用者共同作用完成做好XBRL实例文档的生成、报送和利用。各企事业单位在贯彻实施内部控制规范制度并与全面信息化相结合的过程中, 重点做好信息沟通的基础工作, 建立健全会计及相关信息的报告负责制度, 使企业内部员工及时取得和交换在执行、管理和控制企业经营过程中所需的信息, 以此为基础生成标准化内部控制评价报告, 满足不同信息使用者的需要。
参考文献
[1]财政部等:《企业内部控制基本规范及配套指引》, 2008-05-22。[1]财政部等:《企业内部控制基本规范及配套指引》, 2008-05-22。
[2]深圳市迪博企业风险管理技术有限公司:《中国上市公司2012年内部控制白皮书》, 《上海证券报》2010-09-02。[2]深圳市迪博企业风险管理技术有限公司:《中国上市公司2012年内部控制白皮书》, 《上海证券报》2010-09-02。
[3]深圳市迪博企业风险管理技术有限公司:《中国上市公司2011年内部控制白皮书》, 《上海证券报》2010-09-02。[3]深圳市迪博企业风险管理技术有限公司:《中国上市公司2011年内部控制白皮书》, 《上海证券报》2010-09-02。
[4]工信部电子一所、用友软件股份有限公司:《2010年中国企业信息化指数调研报告》, 《中国制造业信息化》2011年第2期。[4]工信部电子一所、用友软件股份有限公司:《2010年中国企业信息化指数调研报告》, 《中国制造业信息化》2011年第2期。
公司IT内部管理制度 第2篇
一.总则
为引进现代化计算机工具,推动现代化管理,以创造及巩固企业好的信息化发展的软环境及硬环境,使公司IT管理规范化、程序化、迅速快捷,特制定本制度。
二.管理原则和体制
2.1公司按集中与分散相结合原则,设立机房,各部门配备电脑。
2.2计算机系统本着一次总体规划、分步建设方式实施。
2.3计算机系统建设应综合考虑成本、费用、效率、效果、先进性适用性,选择最优技术经济方案。
三.相关人员职责
3.1公司技术总监是公司信息化管理系统建设的领导者,负责系统的远景规划和决策。
3.2系统管理人员是公司信息化管理系统建设的主要执行者,负责系统的设备保障、运行监测、及时维护、数据备份以及信息系统规划、计划、方案的起草工作;同时,负责公司信息化管理系统和各工作站系统软件、应用软件的安装、调试和维护工作。
3.3采购部负责IT设备及耗材购买。
3.4系统管理人员及各部门经理负责经常性指导一线操作人员岗前培训和不定期的专门培训。
3.5各部门经理负责监督本单位内一线操作人员的作业情况,回馈公司信息化管理系统的BUG、修改建议。
四.IT设备管理
设备管理包含设备申请、选型、采购、领取,保管及归还。
4.1公司各部门因工作需要申请采购电脑及周边设备,需填写<<物品申请表>>。在申请表备注中详细标明用途和要求,表单填写完毕必须经过部门经理,IT管理部,总经理审批后方能列入公司采购计划统一采购。
4.2
IT管理部在收到部门申请后,需针对设备具体用途,认真审核检查申请设备选型、配置是否合理、正确,并提出相关的建议。
4.3申请表审批完毕,由IT管理部保存,统一汇总。于每个月月底提交给采购部统一采购。如申请设备属于紧急需求的,可酌情予以优先办理采购。
4.4设备采购完毕,由IT管理部带领申请人到仓库领取设备,同时登记设备相关信息。
4.5员工领取办公用IT设备后,设备交由领取人保管,领用人有责任保护设备安全。如在使用过程中造成设备人为损坏或遗失,需按价赔偿。公司机房内设备由网络管理员负责保管。
4.6
IT设备归还给公司时,需经过网络管理员检查设备是否正常,确认无故障或损坏后归还入库。
五.系统管理
5.1软件管理
(1)所有公司办公用电脑只允许安装办公软件。
(2)未经许可,员工不能私自安装与工作无关的软件和硬件设备,否则由此引起的故障由自己负责。
5.2帐号管理
(1)公司通过域管理内部电脑。每个员工都有相应的域帐号和密码,员工有责任保管好自己的密码,防止泄露。
(2)系统管理人员应熟悉并严格监督网络使用权限、用户密码使用情况,适时更换、更新用户账号或密码。
(3)新员工入职由人事部通知IT管理部,建立账户,分配相应组的权限,电子邮件地址,以及一些其他系统或项目存取的账户。
(4)员工离职时,需经过IT管理部确认。停用帐户,电子邮件和一些其他系统或项目存取的账户。
六.服务器和客户机管理
6.1服务器和客户机主机必须放置于通风、防尘、防水、防静电、防磁、防辐射、防鼠、移动方便的位置,切忌近火源、水源、化学物品及多灰尘的地方。
6.2公司服务器由专人负责,任何其他的人不得私自操作。如确实因工作需要需对服务器进行操作,必须有网络管理员在现场,并配合网络管理员做相应的操作记录。
6.3网络管理员负责机房主机的定期清洁工作,客户机由使用人负责定期清洁工作。
6.4非公司指定网络管理人员,未经批准不得对服务器和客户机进行硬件维护、拆卸等操作。
6.5各部门对客户机和相关设备主机参数及配件进行调整或更换,应经单位主管提出申请,并由公司IT管理部批准,必须填写申请单,管理人员应填写工作日志记录相关情况。
七.电脑维护
7.1公司确立专职或兼职工程师负责电脑系统的维护。
7.2电脑发生故障时,使用者作简易处理仍不能排除的,应立即报告主管。
7.3电脑维修维护过程中,首先确保对公司信息进行拷贝,并不遗失。
7.4电脑软硬件更换需经主管同意,如涉及金额较大的维修,应报公司领导批准。
7.5
UPS只作停电保护之用,在无市电情况下,迅速作存盘紧急操作;严禁将UPS作正常电源使用。
7.6对重大电脑软件、硬功夫件损失事故,公司列入专案调查处理。
7.7外请人员对电脑进行维修时,公司应有人自始至终地陪同。
7.8凡因个人使用不当所造成的电脑维护费用和损失,酌情由使用者赔偿。
八.计算机保密
依据公司保密管理办法,公司计算机管理应建立相应的保密制度,计算机保密方法有:
8.1不同密级文件存放于不同电脑中;
8.2设置进入电脑的密码;
8.3设置进入电脑文件的密码或口令;
8.4设置进入入电脑文件的权限表;
8.5对电脑文件、数据进行加密处理。
(1)为保密需要,定期或不定期地更换不同保密方法或密码口令。
(2)特殊申报批准,才能查询、打印有关电脑保密资料。
(3)电脑操作员对保密信息严加看管,不得遗失、私自传播。
九.电脑病毒的防治
9.1公司电脑必须安装电脑杀毒产品。
9.2未经许可证,任何人不得携入软件使用,防止病毒传染。
9.3凡需引入使用的软件,均须首先查杀病毒防止传染。
9.4电脑出现病毒,网络管理员不能杀除的,须及时报主管处理。
9.5建立双备份制度,对重要资料除在电脑贮存外,还应刻录在光盘上,以防遭病毒破坏而遗失。
9.6及时关注电脑界病毒防治情况和提示,根据要求调节电脑参数,避免电脑病毒侵袭,并在服务器更新相关病毒的专杀工具。
十.资料备份工作制度
10.1
系统备份
(1)服务器备份采用双硬盘镜像方式备份。
(2)客户机系统采用ghost镜像来实现备份。
10.2数据备份
备份规则:凡是公司重要的资料、数据库和文档都应该采取备份机制,防止数据丢失。所有备份光盘由行政统一保管,并负责查询,提取,登记工作。
(1)公司数据备份采用服务器备份和光盘刻录备份方式。
(2)项目相关数据备份采用光盘刻录备份方式。
(3)公共数据备份采用服务器备份。
(4)个人数据备份采用个人电脑备份,数据存放在C盘以外的其他盘符。
10.3
备份计划
(1)公司数据备份采取每月或每季度方式备份。
(2)项目相关数据备份,在项目结束后所有相关项目资料都统一备份,由公司保管。
(3)公共数据备份采用反删除方式,由网络管理员在服务器上备份。
(4)个人数据备份由个人进行备份
十一.处罚制度
11.1部门经理未能安排、监督一线操作人员工作,或者一线操作人员没有按照指定流程及时有效完成系统操作的,系统管理人员有权向公司提出申诉,一线操作人员将接受相应处罚,同时,单位主管必须承担连带处罚责任。
11.2指定操作人员和非操作人员利用公司电脑进行与工作无关的操作,或者未经许可进行软硬件的安装、拆卸和移动,系统管理人员将报告公司处理。
11.3指定操作人员和非操作人员以恶意破坏、删除、拷贝、拆卸等行为造成公司系统数据或设备损坏或丢失的,系统管理人员将报告公司处理;如果触犯法律的,将由公司报请相关执法单位处理。
11.4相应的经济和行政处罚细则由公司人事部门制定执行。
十一.附则
本制度由信息部解释、补充,经总经理批准颁行。
IT环境下内部控制规范实施研究 第3篇
一、IT环境下内部控制的特点
(一) IT环境的含义
IT技术, 涵盖制造、流通、金融、咨询、医院、出版、影视、教育, 甚至政府管理等几乎所有的领域。目前, 以网络、通讯、信息处理、人工智能和多媒体为核心的IT技术, 已然成为世界经济与科技发展的引擎。中国也不例外, 迅猛发展的IT技术, 对我国传统经营管理模式造成强烈冲击, 并对各企业的外部经济环境和内部管理控制产生巨大影响。众所周知, 所谓环境, 是指周围的地方及其情况和条件。顾名思义, IT环境就是在IT技术迅猛发展下的现实处境和条件。处于这样的环境, 企业内部控制与传统的内部控制比较, 在实施目标、实施方法、实施条件、实施结果等方面, 都有了一些明显的区别, 体现了其独有的特点。
(二) IT环境下内部控制规范实施的目标
实现企业价值最大化, 即利润的最大化, 是企业内部控制的目标, 更是作为内部控制的一种先进手段或者方式的内部控制规范实施的终极目标。这些目标主要表现在:
1.确保组织目标的有效实现, 及时对那些构成组织的诸如财产、人力、知识、信息等资源进行合理的组织、整合和利用, 致使这些资源的运营一直处于控制之下或在一定的控制之中。
2.服从组织自行制定的和社会通过政府制定的政策、程序、规则和法律法规, 以营造公正和谐的生存环境。
3.经济有效地利用资源, 努力用最低廉的成本取得最想要的结果, 防止不必要的浪费。
4.确保信息的质量, 保证信息的合法、真实和完整, 利用相关、可靠和及时的信息控制组织的行为。
5.客观上, 资源的稀缺性要求组织通过有效的内部控制系统保护各种有形与无形的资源, 确保其安全和完整, 做到: (1) 这些资源不被损害和流失; (2) 对资产进行合理使用和必要维护, 杜绝信息的遗失、损坏和失窃, 培养员工对组织的忠诚。
(三) IT环境下内部控制规范实施的前提条件
IT环境下内部控制的规范实施, 应以人员、流程和信息为中心, 利用系统的连结性和创造性, 复用现有服务。在实施过程中, 做好:
1.正确理解和分析各个不同层次的管理人员对未来信息系统的需求。
2.提供最理想的解决方案以配合未来的业务需求。
3.以是否能满足企业的业务需求为首要标准进行系统的选择。
4.选择能够实现企业管理转变的合适软件, 并非仅指“先进的”软件。
5.配置应用系统模块、确定报表程式及集成接口程式。
6.系统成功迁移到正式投产的环境。
7.进行系统支援, 包括一系列的微调和性能量度及支援。
8.不断完善系统模板方案并验证系统完善模板的准确性及可行性。
9.指导软、硬件的安装, 并提供相应培训。
10.进行数据转移和系统测试, 直至系统上线和验收。
(四) IT环境下内部控制规范实施的关键要素和实施程序
在IT环境下, 内部控制规范实施的关键要素和传统条件下的内部控制规范实施基本吻合, 主要包括: (1) 企业架构团队; (2) 实施路线图; (3) 架构体系; (4) 技能; (5) 交付模型; (6) 管理; (7) 战略安排; (8) 沟通; (9) 高级管理层的支持; (10) 持续进行重新设计。
在此基础上, 结合上述内部控制的目标和实施方法, 不难发现, 内部控制的项目管理可按以下步骤实施:
1.项目开始, 主要是评估项目需求, 界定项目, 完成可行性分析, 作出项目总体安排, 并进行项目授权。
2.项目选型, 主要是筛选候选供应商, 重点候选供应商的系统演示, 决定系统评估和选型。
3.项目计划, 主要是确定详细的项目范围, 明确用户现状, 定义递交的工作成果, 评估实施时的主要风险, 制订项目的时间计划, 制订成本和预算计划, 制订人力资源计划。
4.项目执行, 这是内部控制规范实施历时最长的一个阶段, 贯穿于项目的业务模拟测试、系统开发确认和系统转换运行3个程序之中, 包括:按预定的实施计划开展日常工作, 按实施的进度控制项目的时间和成本, 对实施过程进行全面的文档记录和管理, 及时汇报项目的进度, 定期召开项目例会, 编写例会的会议纪要。
5.项目评估及更新, 通过实施阶段性评估, 召开项目里程碑会议, 建立质量保证体系等途径, 完成项目评估及更新。
6.项目完成, 实施行政验收、项目总结、经验交流等手段, 将成熟的内部控制规范系统正式移交给使用单位。
(五) IT环境下内部控制规范实施的后果
1.IT环境下的内部控制规范实施, 一改传统方式下原始数据获取靠员工肉眼观察、手工计数或使用仪器测量, 以及用纸介质存储等手段, 采用电缆、光缆、无线电波等以光速传递信息, 利用传感设备全自动获取所需数据和信息。借助计算机的高速处理能力, 使信息处理速度大为加快, 效率大为提高, 而且传递的信息量远非传统方式可比, 为企业加强内部控制提供了基础。减少了会计记录和反映的时滞以及会计核算与会计控制的脱节, 将会计流程和业务流程融为一体。但如果信息传递过程受到阻碍或破坏, 就会给企业带来更大的损失。存储介质由纸变为磁盘或光盘, 与纸介质存储相比, 磁介质或光介质具有存储密度大、擦写没有痕迹的特点, 可以集中保存数据和信息资源, 但这种存储介质容易遭袭, 一旦毁损或者被盗, 抑或数据被篡改, 很难恢复。还有, 若不能及时对各期的数据信息进行备份, 就极易导致大量数据信息丢失。总之, 一方面, 信息处理效率的提高有利于企业实施更复杂更有效的控制措施和控制方法, 提高内部控制的效果和效率;另一方面, 借助高速的信息处理能力, 企业员工或管理当局造假的能力也得到提高。同时, 过分信赖这种集中存储方式, 使组织内部控制的许多审计线索或审计轨迹消失, 呈现信息系统本身的脆弱性, 给内部控制增加难题, 并使系统在一定程度上丧失了人类所具有的对不合逻辑、不合理以及例外事件的理性判断和处理能力。如果程序设计不周或在系统的初始设置中设置不当, 而在系统处理过程中又不能进行人工干预, 就可能导致一些错误的、不合理的业务和数据游离于组织内部控制之外, 不能被及时发现。
2.IT环境下的内部控制规范实施, 借助于网络, 人与人之间的直接接触相应减少, 网络世界的无形性和匿名性直接对人的心理造成一定的影响, 使部分人误以为借助网络兴风作浪不容易被抓住, 从而可能降低犯罪的心理阈值。网络的远程接入特性也给犯罪分子提供了方便, 他们只要获得一个登录密码就可能通过网络侵入系统, 窃取组织重要的信息资产, 或使信息系统崩溃。有的组织由于电脑口令设置简单, “主管授权、审核”这些功能形同虚设, 容易被破解, 甚至被黑客远程入侵攻击。同时, 大量会计信息通过网络传输, 有可能被非法拦截、窃取、篡改;网络系统遭受病毒攻击的可能性也很大, 计算机病毒复制和传播能力很强, 破坏性也强, 可以破坏计算机内存、硬盘、软盘上的程序和数据文件, 进而影响信息的可靠性。
3.IT环境下的内部控制规范实施, 借助于ERP, 全面集成企业的所有资源, 并为企业提供决策、计划、控制与经营业绩评价的全面化、整合化和动态化管理平台。就企业会计核算而言, 很多数据的录入和生成工作已经前移至业务部门, 在财务人员对后台配置相应会计科目后, 业务部门的人员只需录入业务数据, 由授权部门进行审核、确认、计量, 并登录系统进行必要操作, 系统就自动生成会计凭证, 并在操作完成的同时, 通过计算机网络集成到财务模块, 自动完成财务账簿登记。但是, 也正是因为这种会计系统将许多不相容职责相对集中, 加大了舞弊风险;系统信息容易被修改、删除、隐匿或伪造, 且不留痕迹。还有, 由于系统运用了多项物资编码, 搜集和定义了物料的属性, 形成了较为准确的产品结构资料, 提高了财务标准, 并通过设置一套名称准确、内容完整的会计科目, 规范了会计核算过程, 保证了各类数据、财务信息的真实、完整, 有效地杜绝了利用相关政策人为调节会计利润的现象。但是, 鉴于ERP软件系统功能繁多的特点, 就不可避免地存在某些功能不足或潜在缺陷, 给组织带来新的风险。包括:内部职员或信息系统操作员、计算机程序编写人员、职能部门经理和会计人员、已离职员工, 客户与供应商、市场竞争者、外界犯罪分子, 都会成为信息系统正常运转潜在风险的主体。ERP系统的开放与共享程度越深, 上述主体通过公用通讯线路干预系统的概率就越大, 系统面临的安全隐患也就越多。
4.IT环境下的内部控制规范实施, 在信息化条件下, 数据处理的准确性、完全性依赖于原始数据输入的准确性, 但是, 由于系统一体化、数据逻辑化、信息生成自动化的特点, 致使疏忽差错、故意性差错、非故意资产损毁、资产的失窃、防护程序失控、暴力或自然灾害, 以及计算机硬件和与之相关的网络通信、电源等设备引起的外部诸如火灾、停电等不可抗拒的因素和操作失误等人为因素引起系统故障, 导致数据丢失甚至系统瘫痪。特别地, 信息资产的稀缺性, 可能诱使掌握它的管理人员不惜犯罪将其卖给竞争对手, 加上信息的无形性、可拷贝性, 致使信息的泄密不易被发现, 毕竟用不着像盗窃有形资产那样撬门开锁、翻墙入室、避开警卫等大动干戈。
5.IT环境下的内部控制规范实施, 必然存在软件开发人员对内部控制理解不深, IT技术不熟练, 或者考虑问题不周, 导致IT产品与实际需求不相吻合。而操作人员只是应用软件的使用者, 对软件编程等计算机专业知识掌握有限, 很难及时发现设计错误, 在专业人员查出漏洞前, 内部控制信息系统只能按原设计多次重复同一错误, 造成损失扩大。这种风险在传统内部控制中恰恰是最少出现的。同时, 由于信息化与电子商务的法律环境滞后, 包括我国在内的很多国家, 目前还缺少有关电子商务交易责任与可靠性方面的法律规定, 法律保护有限。
二、IT环境下内部控制规范实施应采取的措施
良好的信息技术治理有助于公司治理机制的完善, 而公司治理机制的完善将为企业内部控制的完善提供良好的基础。面对IT环境下内部控制规范实施的特点, 企业应制定与企业战略相融合的信息技术战略, 并从战略投资、企业管理变革的角度, 降低其信息技术风险, 站在公司治理角度实施信息技术治理。
(一) 以人为本, 提高全员素质
IT环境下, 对组织的每一个人都提出了很高的要求。内部控制规范实施信息系统本身就是人机共存的系统, 也就是说仅有计算机和内部控制基础软件或应用软件是远远不够的, 还要有能够熟练操作计算机并使用内部控制软件的人。内部控制的规范实施, 对不同阶层的职员有不同的要求。包括:
1.对高层领导的要求。 (1) 在项目各个阶段, 与组织成员就信息技术整体应用在企业中的角色和定位进行沟通; (2) 评估组织信息系统应用状况、进展情况和整体信息技术应用的领先性; (3) 确定组织未来信息技术应用的整体规划。
2.要求管理人员对信息技术知识的了解掌握必须经过认识、认同和视为己任3个阶段, 从接受培训、掌握基础知识到参与操作和了解系统, 最后变为信息技术的带头人并培训他人。
3.对一般人员的要求。 (1) 在项目初期, 积极了解项目信息, 参加项目相关培训; (2) 在方案设计阶段, 提供业务现状及现存问题的信息, 并提供改进建议, 为设计工作献计献策; (3) 在实施阶段, 根据要求进行数据准备和整理, 为系统上线做准备, 尽量熟悉系统, 多进行系统操作, 协助进行最终用户培训; (4) 在系统上线后, 继续使用系统进行日常工作, 及时发现系统存在的问题, 并提出改进建议。所有这些要求的达成, 都要做到以人为本, 提高全员信息技术水平, 大力培养优秀复合型人才。
(二) 合理的职责分工
出于网络技术需要极强的逻辑判断和逻辑分析能力的考虑, 并且通过网络信息的传输可以实现各种内部控制数据的共享, 所以应尽量根据组织结构及职员的岗位责任, 很细致地设置每个职员对系统的操作权限以及对信息的查询范围, 以保证组织的各项经济活动均是由被批准或被授权的职员执行。信息系统硬件与软件管理由不同的职员负责, 编程人员、维护人员以及系统操作人员之间分工协作, 系统维护人员权责分离, 建立不兼容职务相互分离控制、会计系统控制、预算控制、财产保全控制、风险控制、内部报告控制和职务轮换制度。同时, 由于系统维护人员和熟悉信息系统技术的相关人员能直接接触各种数据库、各种软件, 他们的有意作案或无意的错误操作所造成的影响很难估量, 所以必须制定严格的制度予以约束。做到业务决策人员与经办人员权限设置全面分离制约, 将业务授权 (管理职能) 、业务执行 (保管职能) 、业务记录 (会计职能) 、业绩检查 (监督职能) 很好地分离;重大事项的决策和执行很好地分离等。
(三) 强化信息系统设施的维护和保养
合理控制信息系统的硬件设施, 这个程序通常已由计算机硬件制造商设计并安装在计算机硬件设备上, 如边界保护、双电路、奇偶校验、溢出校验及程序固化等;目的是为了使计算机有更高的可靠性, 在环境出现一些细微干扰的时候不至于影响计算机的运行。强化访问控制、隔离控制、加密变换和口令控制等, 能有效防止未经授权的人擅自动用系统的各种资源, 包括硬件设备、软件程序、数据文件以及相关的档案资料。采用多层式 (客户机/服务器) 模式组建企业内部网, 即利用中间代理服务器隔离客户与数据库服务器的联系, 实现数据的一致性;采用较为成熟的大型网络数据库产品并合理定义应用子模式, 子模式是全部数据资料中面向某一特定用户或应用项目的一个数据处理集, 通过它可以分别定义面向用户操作的用户界面, 做到特定数据面向特定用户开放, 建立信息资源授权制度;采取定期的网络基础数据备份, 制订紧急恢复及灾难补救计划。系统维护, 包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等, 涉及系统功能的调整、扩充和完善, 必须经过周密计划和严格记录, 维护过程的每一环节都应设置必要的控制, 维护的原因和性质必须有书面形式的报告, 经批准后才能实施修改;特别是软件修改, 网络系统操作员绝对不能参与, 所有与系统维护有关的记录都应打印后存档。在病毒处理上, 对不需要本地硬盘和软盘的工作站, 尽量采用无盘工作站;采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;在网络服务上采用防病毒卡或芯片等硬件, 以有效防治病毒;财务软件可挂接或捆绑第三方反病毒软件, 加强软件自身的防病毒能力;对外来软件和传输的数据必须经过病毒检查, 在业务系统中严禁使用游戏软件;及时升级本系统的防病毒产品。
(四) 不断提高组织文化建设的力度
组织文化是组织高层为保证组织的生存发展, 根据组织内环境设计提出的, 并为组织普遍接受的有关组织经营管理活动和员工行为的一整套价值体系。组织文化渗透到各个分支机构和经营部门的经营、管理中, 贯穿于组织管理、质量、检测、销售、服务、资产重组、体制转换、跨国经营、科研、教育培训等领域之中, 具体体现在组织经营策略和各种规范、规章制度的实践中。IT环境下, 组织应当从物质文化、行为文化、精神文化、制度文化几个方面着手塑造组织文化, 在继承和发扬本国优秀文化、教育传统, 借鉴国外优秀文化的基础上, 努力改造组织环境, 优化组织素质, 树立组织形象, 增强组织活力, 完善组织管理, 促进文化与经济的有机结合, 使组织文化真正发挥出整合功能、规范功能、导向功能、凝聚功能及激励功能等, 为组织的繁荣昌盛服务。唯如此, 组织才能在新经济时代立于不败之地, 使组织文化和组织的内部控制在IT环境下得到很好的耦合。
三、结论
IT内部控制 第4篇
TCL集团有限公司创于1981年,是广东省最大的工业制造企业之一和最有价值品牌之
一。TCL的发展不仅有赖于敏锐的观察力、强劲的研发力、生产力、销售力,还得益于对项目研发成本的有效控制与管理,使产品一进入市场便以优越的性能价格比迅速占领市场,实现经济效益的稳步提高。
很多产品在设计阶段就注定其未来制造成本会高过市场价格只要提到成本控制,很多人便产生加强生产的现场管理、降低物耗、提高生产效率的联想,人们往往忽略了一个问题:成本在广义上包含了设计(研发)成本、制造成本、销售成本3大部分,也就是说,很多人在成本控制方面往往只关注制造成本、销售成本等方面的控制。如果我们将目光放得更前一点,以研发过程的成本控制作为整个项目成本控制的起点,这才是产品控制成本的关键。我们知道,一个产品的生命周期包含了产品成长期、成熟期、衰退期几个阶段,这些阶段的成本控制管理重点是不同的,即设计成本、生产成本、销售服务成本。实际上,产品研发和设计是生产、销售的源头之所在,一个产品的目标成本其实在设计成功后就已经基本成型,作为后期的产品生产等制造工序(实际制造成本)来说,其最大的可控度只能是降低生产过程中的损耗以及提高装配加工效率(降低制造费用)。有一个观点是被普遍认同的,就是产品成本的80%是约束性成本,并且在产品的设计阶段就已经确定。也就是说,一个产品一旦完成研发,其目标材料成本、目标人工成本便已基本定性,制造中心很难改变设计留下的先天不足。有很多产品在设计阶段,就注定其未来的制造成本会高过市场价格。目标价格-目标利润=目标成本,研发成本必须 < 目标成本。至于如何保证设计的产品在给定的市场价格、销售量、功能的条件下取得可以接受的利润水平,TCL在产品设计开发阶段引进了目标成本和研发成本的控制。
目标成本的计算又称为“由价格引导的成本计算”,它与传统的“由成本引导的价格计算”(即由成本加成计算价格)相对应。产品价格通常需要综合考虑多种因素的影响,包括产品的功能、性质及市场竞争力。一旦确定了产品的目标,包括价格、功能、质量等,设计人员将以目标价格扣除目标利润得出目标成本。目标成本就是在设计、生产阶段关注的中心,也是设计工作的动因,同时也为产品及工序的设计指明了方向和提供了衡量的标准。在产品和工序的设计阶段,设计人员应该使用目标成本的计算来推动设计方案的改进工作,以降低产品未来的制造成本。
(1)开发(设计)过程中的3大误区
过于关注产品性能,忽略了产品的经济性(成本)。设计工程师有一个通病:他们往往容易仅仅是为了产品的性能而设计产品。也许是由于职业上的习惯,设计师经常容易将其所负责的产品项目作为一件艺术品或者科技品来进行开发,这就容易陷入对产品的性能、外观追求尽善尽美,却忽略了许多部件在生产过程中的成本,没有充分考虑到产品在市场上的价格性能比和受欢迎的程度。实践证明,在市场上功能最齐全、性能最好的产品往往并不一定就是最畅销的产品,因为它必然也会受到价格及顾客认知水平等因素的制约。 关注表面成本,忽略隐含(沉没)成本。公司有一个下属企业曾经推出一款新品,该新品总共用了12枚螺钉进行外壳固定,而同行的竞争对手仅仅用了3枚螺钉就达到了相同的外壳固定的目的!当然,单从单位产品9枚螺钉的价值来说,最多也只不过是几毛钱的差异,但是一旦进行批量生产后就会发现,由于多了这9枚螺钉而相应增加的采购成本、材
料成本、仓储成本、装配(人工)成本、装运成本和资金成本等相关的成本支出便不期而至,虽然仅仅是比竞争对手多了9枚螺钉,但是其所带来的隐含(沉没)成本将是十分巨大的。
急于新品开发,忽略了原产品替代功能的再设计。一些产品之所以昂贵,往往是由于设计的不合理,在没有作业成本引导的产品设计中,工程师们往往忽略了许多部件及产品的多样性和复杂的生产过程的成本。而这往往可以通过对产品的再设计来达到进一步削减成本的目的,但是很多时候,研发部门开发完一款新品后,往往都会急于将精力投放到其他正在开发的新品上,以求加快新品的推出速度。
(2)在研发(设计)过程中,成本控制的3个原则
以目标成本作为衡量的原则。目标成本一直是TCL关注的中心,通过目标成本的计算有利于在研发设计中关注同一个目标:将符合目标功能、目标品质和目标价格的产品投放到特定的市场。因此,在产品及工艺的设计过程中,当设计方案的取舍会对产品成本产生巨大的影响时,就采用目标成本作为衡量标准。在目标成本计算的问题上,没有任何协商的可能。如果没有达到目标成本的产品是不会也不应该被投入生产的。目标成本最终反映了顾客的需求,以及资金供给者对投资合理收益的期望。因此,客观上存在的设计开发压力,迫使开发人员必须去寻求和使用有助于他们达到目标成本的方法。
剔除不能带来市场价格却增加产品成本的功能。顾客购买产品,最关心的是“性能价格比”,也就是产品功能与顾客认可价格的比值。任何给定的产品都会有多种功能,而每一种功能的增加都会使产品的价格产生一个增量,当然也会给成本方面带来一定的增量。虽然企业可以自由地选择所提供的功能,但是市场和顾客会选择价格能够反映功能的产品。因此,如果顾客认为设计人员所设计的产品功能毫无价值,或者认为此功能的价值低于价格所体现的价值,则这种设计成本的增加就是没有价值或者说是不经济的,顾客不会为他们认为毫无价值或者与产品价格不匹配的功能支付任何款项。因此,在产品的设计过程中,把握的一个非常重要的原则就是:剔除那些不能带来市场价格但又增加产品成本的功能,因为顾客不认可这些功能。
从全方位来考虑成本的下降与控制。作为一个新项目的开发,TCL认为应该组织相关部门人员进行参与(起码应该考虑将采购、生产、工艺等相关部门纳入项目开发设计小组),这样有利于大家集中精力从全局的角度去考虑成本的控制。正如前面所提到的问题,研发设计人员往往容易发生过于重视表面成本而忽略了隐含成本的误区。正是有了采购人员、工艺人员、生产人员的参与,可以基本上杜绝为了降低某项成本而引发的其他相关成本的增加这种现象的存在。因为在这种内部环境下,不允许个别部门强调某项功能的固定,而是必须从全局出发来考虑成本的控制问题。
(3)在设计阶段降低成本的4大措施
一般情况,根据大型跨国企业的基本经验上看,在设计开发阶段通常采取下述步骤对成本进行分析和控制:
价值工程分析。价值工程分析的目的是分析是否有可以提高产品价值的替代方案。我们定义产品价值是产品的功能与成本的比值,也就是性能价格比。因此有两种方法提高产品的价值:1)维持产品的功能不变、降低成本;2)维持产品成本不变、增加功能。价值工程的分析从总体上观察成本的构成,包括原材料制造过程、劳动力类型、使用的装备以及外购与自产零部件之间的平衡。价值工程按照两种实现方式,来预先设定目标成本:
1)通过确认改善的产品设计(即使是新产品也应通过不同的方式适应其功能要求),在不牺牲功能的前提下,削减产品部件和制造成本。通过关注产品的功能,设计人员会经常考
虑其他产品执行同样功能的零部件,提高零部件的标准化程度,这有助于提高产品质量,同时降低产品成本。
2)通过削减产品不必要的功能或复杂程度来降低成本。作为以盈利性为目标的企业,TCL所期盼的往往是价格性能比最有竞争力,市场上最畅销的产品。这就要求产品开发人员必须在目标成本的导向下,开发出价格性能比最优的产品而并非是叫好不叫座的产品。
工程再造。在产品设计之外,还有一个因素对于产品成本和质量有决定性作用,这就是工序设计。工程再造就是对已经设计完成或已经存在的加工过程进行再设计,从而直接消除无附加值的作业,同时提高装配过程中有附加值作业的效率,降低制造成本。对新产品来说,如果能在进入量产阶段对该产品的初次设计进行重新审视,往往会发现,在初次设计过程中,存在一些比较昂贵的复杂部件以及独特或者比较繁杂的生产过程,然而它们很少增加产品的绩效和功能,可以被删除或修改。因此,重视产品及其替代功能的再设计,不但具有很大的空间,而且经常不会被顾客发现,如果设计成功,公司也不必进行重新定价或替代其他产品。
加强新产品开发成本分析,达到成本与性能的最佳结合点。加强性能成本比的分析:性能成本比也就是目标性能跟目标成本之间的比值,通过该指标的分析可以看出,新开发出来的产品是否符合原先设定的目标成本、目标功能和目标性能等相关目标。假如实际的成本性能比高于目标的成本性能比,在设计成本与目标成本相一致的前提下,说明新产品设计的性能高于目标性能,但从另一方面来说还可以通过将新产品的性能调整到与目标性能相符来达到降低和削减成本的目的。
考虑扩展成本:在开发设计某项新品时,除了应该考虑材料成本外,还得更深远的考虑到,该项材料的应用是否会导致其他方面的成本增加。譬如说,所用的材料是否易于采购、便于仓储、装配和装运。事实上,研发(设计)人员在设计某项新产品时,如欠缺全面的考虑,往往不得不在整改过程中临时增加某些物料或增加装配难度来解决它所存在的某些缺陷。而这些临时增加的物料不仅会增加材料成本,还会增加生产过程中的装配复杂度,因而间接影响到批量生产的效率,而且这也容易造成相关材料、辅料等物耗的大幅上升等等,而这些沉没的成本往往远大于其表面的成本。
减少设计交付生产前需要被修改的次数。设计交付生产(正常量产)前需要被修改的次数(甚至细微修改),这是核算一个新产品开发成本投入的一个指标。很多事实显示,许多时候新产品往往要费很长时间才能批量投入市场,最大的原因是因为产品不能一次性达到设计要求,通常需要被重新设计并重新测试好几次。假定一个公司估计每个设计错误的成本是1500元,如果在新产品开发设计到生产前,每个新产品平均需要被修改的次数为5次,每年引进开发15个新项目,则其错误成本为112500元。由这个简单的算术就可以看出,在交付正常量产的过程中,每一点错误(每次修改)都势必给公司带来一定的损失(物料、人工、效率的浪费等)。而为减少错误而重新设计产品的时间延误将会使产品较晚打入市场,误失良机而损失的销售额更是令人痛心。因此,研发设计人员的开发设计,在不影响成本、性能的情况下,应尽量提高一次设计的成功率。
案例问题:
1. TCL认为项目成本控制的关键是什么?
2. 目标成本和研发成本的含义是什么?引入目标成本的意义是什么?
3. TCL在在研发过程中成本控制采用哪些原则?
4. 在降低成本方面TCL采取了哪些措施?
证券IT“IT两会”一瞥 第5篇
作为大金融概念内的证券业,也是在2002年开始开展大集中交易系统的。
当时,大家普遍看好这个大集中交易系统,但在具体操作上却有些摸不着头脑。在不断的摸索下,直到2005年,证券界才开始大规模上马大集中系统。
一直以来,实时交易性非常强的证券IT对安全性的要求很高。2006年,在首届中国金融信息安全高峰年会上,中国银河证券信息中心副总经理唐沛来曾表示,证券行业对安全体系建设非常重视。
郭怡峰也认为信息安全是重中之重。在1997年,他就和同事开始做安全流程,他认为证券IT必须坚守两道关: “第一道关是需求合规不合规; 第二道是会不会导致风险增加,特别是技术风险。”
2006年和2007年,证券业处于前所未有的“牛市”,证券IT也大刀阔斧地发展。当年7月,在首届中国证券业信息化发展战略高峰年会上,50多位券商CIO、咨询顾问和IT专家已开始热烈讨论证券信息化的下一个热点——IT规划。
而2008年的金融危机并没有给证券IT带来太多的冲击。相反,云计算等技术趋势却再一次给证券界带来了强烈的“头脑风暴”。大家又开始探讨如何利用云计算来提高IT对证券业务的响应速度、实现商业智能。
完善我国企业IT控制的思考 第6篇
1 现代企业的竞争手段:有效的IT治理系统
现代企业的竞争是制度优劣的竞争, 制度是决定发展速度的最根本的因素, 中国企业必须补制度管理的课。从模仿经济学的角度看, 次发达国家往往模仿发达国家的技术, 而不模仿发达国家的制度, 结果必然导致“后发劣势”。如何使IT治理在企业内部控制环境中发挥作用, 已成为信息时代理论界与实务界需要解决的新问题。
1.1 传统内部控制面临信息时代的挑战
在IT环境下, 内部控制对信息系统依赖性大大增强。信息化发展使人与人的关系部分转化为人机关系, 信息以电磁信号形式存储于磁性介质, 身份识别与授权审批方式与程序发生了根本性的改变。信息系统的复杂性使得内部控制范围相应扩大, 除了包括手工系统下的组织控制、职责分离等内容外, 还包括信息系统安全的控制、系统权限的控制、系统开发与维护的控制、修改程序的控制等。信息化强调数据共享, 然而, 也正是数据共享凸现了信息安全问题。据资料介绍, 在西方国家信息化建设之初, 因计算机舞弊, 美国每年损失几十亿美元、英国每年损失25亿美元、德国损失50亿美元。一项来自英国调查结果显示, 员工无效使用IT资源可致企业每天损失17亿英镑。一家咨询集团曾对美国24家大型企业开发的客户/服务器系统进行了调查, 结果表明, 其中68%的项目超过了预定的开发周期, 55%的项目其费用超过预算, 88%的项目必须进行系统再设计;另有一家美国著名的调查公司SPR对美英两国的企业信息系统工程进行了类似的调查, 报告显示, 有30%-50%的客户/服务器项目中途放弃开发。
1.2 IT治理是正确决策的行为
如果发现企业的制度、规则等存在缺陷, 毫无疑问, 那是治理没有奏效;反之, 如果存在一种东西能使事情做得更好, 那么, 这种东西就是治理。IT治理是有关IT决策的权责利安排, 它从企业整体利益出发构建IT系统, 力求实现业务与信息的集成 (唐志豪等, 2008) ;IT治理是一种行为, 任何战略的实施都要落实到具体的行为上。Weill和Ross将IT治理定义为, “指定决策权和责任框架, 鼓励正确运营IT的行为” (Weill & Ross, 2004) 。IT治理将合理的制度安排、控制程序嵌入到IT系统中, 对IT资源进行有效管理和利用, 使得IT系统具备内在的控制机制。麻省理工学院信息研究中心在对来自23个国家的250家企业进行了系统研究后指出, 面对同样的战略目标, IT治理水平较高的企业, 其获利能力比治理水平低的企业高出20%;美国堪萨斯州把COBIT标准作为虚拟政府策略的一部分, 为客户和委托人提供可靠、安全的信息, 大大降低了运营成本;宝洁公司在采用ITIL标准的四年里, 节省了超过5亿美元的预算。实践证明, 善治的、标准的治理结构有助于监督、控制企业关键的IT活动, 从而增加企业价值、降低业务风险及提供合规的控制信息。
1.3 IT控制是IT治理的制度安排及技术性支持手段
传统的“人管人”为主的控制手殷, 已经不适应信息时代及企业发展的需要。面对信息时代, 企业财务报告及相关信息的产生与传递越来越依赖于IT控制的有效性。信息系统现已成为管理层编制财务报告和披露相关信息的工具, 基于权力制约和岗位分工的内部控制发展成为以信息流为基础的IT控制 (章铁生, 2007) 。IT控制是由期望达到的 (IT控制目标) 和达到这些目标的方法 (控制程序) 构成, 是IT治理的制度安排及技术性支持手段。IT控制目标是指通过对具体的IT活动实施控制程序, 以达到期望结果或目的的总体描述。有效的IT控制设计与实施指明了一个组织将IT环境下的风险降至可接受水平的途径。
1.4 提升IT控制的有效性势在必行
IT给企业带来效率的同时也带来控制风险, 一方面, IT投资日益膨胀;另一方面, IT资源被大量浪费。企业IT系统和IT控制若存在风险, 会影响所有 (或大部分) 财务报表的可靠性, 甚至影响企业的生存。1987年, 诺贝尔经济学奖得主罗伯特索洛说:“你可以在世界任何角落和生活的各个领域看到计算机时代’的影响, 但是在经济统计年鉴上除外”。也就是说, 投入的影响随处可见, 就是在产出中看不出来。为了摆脱IT应用中出现的“生产力悖论”现象, 对IT环境下的企业内部控制问题进行研究势在必行。
2 我国企业IT控制缺陷分析
虽然我国企业信息化进程已达到或接近西方发达国家水平, 但是现阶段我国大部分企业在IT控制方面还存在相当问题, 主要表现在以下几方面:
2.1 信息孤岛
目前, 我国的有关内部控制规范仍然是传统的出于职责分离和权力制约的内部控制理论, 对于IT对内部控制的影响大体还停留在COSO报告层面 (章铁生, 2007) 。即使有关IT控制规范基本上也是基于信息孤岛状态下提出的, 纯粹从硬件和软件角度来看IT, 而不是从应用层面去考虑。尽管部门内部各业务环节的信息化集成使人们初步尝到了集成的好处, 但企业内或是企业间各个信息系统分离, 财务系统与企业其他系统之间的集成对信息质量的影响还没有得到应有关注, 数据难以整合, 信息不到位, 特别是决策信息不到位。目前, 部分企业盲目引进最先进的软硬件, 造成的后果或是仅在局部环节处理上保证IT提高效率, 或是形成设备的闲置和投资的浪费, 国外学者将这种现象称为“银弹”、“魔弹” (Daly, 2002) 。
2.2 IT和业务两张皮
目前, 我国企业IT管理活动的主要职能被放在IT服务部门, IT服务部门承担IT管理的大部分责任, 为业务部门提供技术基础设施, 制度基本是由技术管理者制定, 他们缺乏规范化风险管理的经验, IT控制制度一般存在于系统安全和变更管理等控制领域, 缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。技术部门充当消防员的角色而在各个业务部门间来回穿梭, 业务部门只有享受这种技术的权利却不对IT资源与业务的不匹配负相关责任。从治理结构看, 整个IT管理活动缺乏利益相关者的有效参与, 很难让IT资源真正融合为企业运行的内在组成部分, IT和业务两张皮必然导致企业IT资源效用的不能有效发挥。各标准体系局部覆盖和冲突, 使各体系之间不能合理有效地兼容、互补, 无法支撑业务的运营。
2.3 从控制到偏离
目前, 每个企业或多或少都有一些IT控制制度, 很多企业错误地把这些静态的控制制度等同于控制体系。对于实现企业目标, “我们一直是这样做的”通常是不正规的、未经验证方式的代名词。人们希望以此处理完所有事情, “一次性将所有问题彻底解决”。随着经济技术和公司企业运行模式的变化和发展, 这些IT控制制度可能不太规范, 控制政策程序不太完善。面对厚厚的规章制度, 是否执行、执行是否有效却没有得到应有的关注, 各种指标体系设计没有在信息化投入与产出间建立效能基本标准。在董事会里面, 董事们谈兼并收购、产品开发、融资, 就是不谈IT治理, 很少涉及“IT是做什么的”议题。IT运行中常见的问题有, 使用者不执行规范, 违反流程;实物处理与信息反馈的顺序颠倒;信息录入缺乏准确性和完整性;人为建立垃圾数据等, 都会影响信息的应用程度。企业慢慢发现自己处在一个下降的螺旋中:从控制到偏离 (杰普布勒姆等, 2008) 。
在内部控制发展的历史上, 理论往往落后于实践发展的需要 (Michael Chatfield, 1977) , 我国关于IT对内部控制的影响整体而言关注还不够 (刘志远等, 2001;陈志斌, 2007) 。现有的文献主要是归纳和总结企业IT控制的现状与问题, 而且集中于探讨信息化和网络环境对会计、审计职业的影响, 提出的解决策略和实施办法往往不具有系统性和可操作性。因此, 相应问题的建议和措施也就成了空中楼阁。
3 完善我国企业IT控制的思考
信息化建设的成功与失败, 除了与IT投资、技术的引入有关外, 深化IT控制至关重要。完善我国企业IT控制必须从全局着眼, 建立IT控制的相关法规, 构建适用的、协同的中国IT标准, 采用“先固化再优化”原则, 促进IT与业务的集成, 注重IT控制实施状况的衡量, 构建一套系统化、标准化、可审计、可持续改进的IT控制体系。
3.1 建立IT控制的相关法规
建章立制要在前, “拨乱反正式”的管理风格代价很大。我国应颁布一部有关IT的法规, 通过IT立法加强IT资产组合管理以及投资监督, 强制企业执行IT控制, 促进技术手段和法律手段的有效结合, 减少IT资源的浪费。我国内部控制制度建设是政府主导推动的, 财政部等部委应充分借鉴COBIT等国外IT控制模型, 进行优化组合, 优势互补, 在内部控制具体规范基础及时发布相关应用指南或专门研究报告, 规划出我国IT治理环境下的内部控制模型。
3.2 构建适用的、协同的中国IT标准
中国正在兴起“新技术民族主义”, 要制定自己的标准就是摆脱对国外技术依赖的重要方法之一 (苏迈德, 2004) 。构建我国的IT控制框架并在实践中不断完善, 这将是一个不断学习、借鉴、探索并提高的过程。“借鉴”不等于“效仿”, 由于国内外治理环境还存在相当差异, 比如我国IT治理结构明显有别于美国等发达国家。为了避免产生“后发劣势”, 我国应着眼于商业目标与IT目标、IT流程的衔接, 整合多种新思想和国际最佳实践, 增加与其他标准的接口, 结合我国公司治理与IT治理及企业内部控制相关规范, 构建适用的、协同的、易于操作的中国IT标准 (胡晓明, 2008) 。理想的框架是连接制度与技术的桥梁, 必须指向正确的目标, 即从IT中产生更多价值, 帮助确定恰当的优先顺序, 使战略与期望的行动联系起来, 避免各标准体系局部覆盖和冲突, 从而支撑业务的运营。
3.3 采用“先固化再优化”原则
有效IT治理的结果是可以转换的, IT最佳实践存在巨大动力促使IT领域不断向优秀的流程框架和IT治理方向发展。成功实施IT治理的另一个重要原则就是“先固化再优化”。将控制流程固化在信息系统中可采用分阶段部署的办法, 逐步实现从“一直这样做”到IT最佳实践的转变。如采用试点项目方式, 新系统在项目中实施之初, 可适当地安排较多学习时间, 帮助认识、吸收, 并不要与其他项目过多地对接。这样新系统就很容易被掌握, 之后再在整个企业中推广。从试点项目着手还允许逐步采用PMO (项目管理办公室) 或资产组合管理系统, 而不必花费大量时间将传统项目和数据转换到新系统中运行。企业可以在某段时间同步运行新旧两种系统, 以促进这种转变。
3.4 促进IT与业务的集成
随着信息技术的深入应用、支出的日益增加, IT与业务的中间界线越来越模糊。信息时代, 经济评估是人类的共同语言, 业务和IT也应该使用相同的语言。它让所有人了解到流程是成功的关键, 企业应建立一种透明的流程, 使该流程中的IT经理和参与者以及与IT交互工作的业务部门都能够理解和接受。企业应根据企业的战略目标来确定企业信息化的准则, 了解需要投入的IT资源、可以达到的IT目标以及每个IT流程的运转情况。CIO (首席信息官) 必须率先寻找能够创造价值的IT流程, 促进“信息孤岛”转变成“信息大陆”。IT控制能将信息系统的规划和组织、获取和实现、交付和支持以及监控系统绩效等四个过程一体化和标准化, 以确保IT资源被合理利用, 以支持企业决策。在IT投资方面, 企业应“过滤”不良投入, “提纯”有效投入, 确保缩小信息系统的“蝴蝶效应”。
3.5 注重IT控制实施状况的衡量
要实现高效的IT控制, 必须解决哪些决策能确保有效管理和运用IT、谁来制定这些决策、如何制定和监督这些决策、等三个问题。Weill和Ross发现, 特别是第三个问题通常被公司漠视或忽略。目前的IT控制已经从三叶草 (IT战略、IT治理、IT管理) 变成了四叶草 (IT战略、IT治理、IT管理、IT衡量) , 实现高效IT控制的关键还在于实施状况的评估。著名的CMM (能力成熟度模型) 被广泛用于衡量企业IT成熟度水平, 企业可以通过成熟度模型了解信息化管理和控制所处的状态, 了解自身的薄弱环节, 使得企业具有信息化管理和控制的概念。结合不同行业、不同对象特征, 以标杆库和标杆值为参照, 选择、设计和改良IT控制评价指标, 将措施型指标和结果型指标结合使用, 围绕“信息流”构建绩效和目标评价体系 (KPI/KGI) , 强化对流程的规范和引导;同时, 企业必须有足够的证据证明IT控制的有效性, 以服务于信息系统审计。
3.6 崇尚协作文化
实施有效的IT控制要求处理好与企业文化的关系。在企业信息化过程中, 企业成员的道德伦理、价值观念、工作态度都会发生变化, 尤其是员工的诚信程度和置业道德水平, 是影响企业内部控制环境的一个非常重要因素 (骆良彬等, 2008) 。企业文化建设是把双刃剑, 它是企业获得成功的巨大驱动力, 当然也可能成为实施有效变革的拦路虎。今天协作文化已成为全球的发展趋势, 特别是在信息共享方面。一些IT部门不愿意转变, 可能是因为技术转移人员不愿意舍弃他们在自己管辖范围内所习惯的独立权力。与其他计划一样, 来自决策层的力量不可小视。如果CIO对于IT治理系统变得冷淡, 或者允许每个经理“自己选择”, 那么新系统的实施最终将“不了了之” (杰普布勒姆等, 2008) 。
3.7 通过外包提高业务价值
出于文化阻力和成本因素的考虑, 企业可以选择外包其IT运营的主要组成部分, 包括国内外包或离岸外包。通过进行外包, CIO通常会发现以IT为主要业务的外包公司, 可以帮助他们建立有效的IT治理。这是因为这些公司自身就在实施IT治理, 并不断寻找加以改进。IT外包并不意味着CIO的权利小了, 而应该借此机会, 把工作的重点放在战略的层面上。CIO要能清楚地看到现在业务存在的问题, 预见未来会有哪些业务机会。
总之, IT已经成为业务活动的生命线, IT对于业务成功的推动力远胜以往, 这主要源于IT的关键业务角色以及相关标准的驱动。在信息化的过程中, 我国企业必须清楚自己所处的信息化阶段, 选择适合本阶段的业务内容, 将IT固化在控制业务流程中, 使信息化建设与IT控制协调发展, 充分考虑IT与业务的集成, 改善管理效率, 减少信息生成过程中的错误与舞弊行为, 提高公司信息的质量, 降低利益相关者之间的信息不对称问题, 保证投资的回收, 确保企业运营满足相关法律法规的要求, 驱动并支撑公司治理。
摘要:开展IT环境下的内部控制研究需要剖析我国企业信息化建设发展历程及IT控制缺陷, 探讨建立IT控制相关法规, 构建适用的、协同的中国IT标准, 以促进IT与业务的集成, 支持实现IT价值。
IT内部控制 第7篇
一、内部控制制度在通信企业的应用
通信行业几经重组, 现已形成三雄鼎立的格局, 三家运营商均已上市。随着各家运营商全业务运营的持续推进, 运营商之间的市场竞争日趋激烈, 市场经营风险有所增加。与此同时, 行业监管力度也日益加强, 监管部门和资本市场对企业建立完善的内部控制体系提出了更高的要求。在此背景下, 通信企业基于公司战略目标, 根据相关内部控制监管要求, 采用COSO内部控制建设框架, 在财政部等部委联合发布的《企业内部控制基本规范》等政策指导下, 结合公司经营管理和业务流程实况, 逐步建立并完善了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证, 相互联系、相互促进内部控制框架。
合理有效的内控制度需与企业生产经营特点及管控流程紧密结合, 方能充分发挥其风险防范与提升管理的作用。就通信企业而言, 与其他行业不同, 通信行业全程全网和产品生产销售同步的特点, 决定了IT系统在内部控制建设中的角色不仅仅是管理控制和信息传递的载体与平台, 还需高度关注其业务受理、资源管理、数据生产加工功能, 高度重视IT系统内部控制在公司整体内控体系建设中的作用, 突出IT系统中业务受理环节的合规性与规范性、资源管理环节的安全性与准确性, 以及数据生产加工环节的真实准确性, 同时还需兼顾系统间信息传递的准确性与一致性。
二、通信企业IT系统建设特点及内部控制运行现状
目前通信企业IT系统一般可以分为业务支撑系统、运营支撑系统、管理支撑系统、企业数据应用系统、IT管控系统等。这些系统涉及到面向市场营销和客户服务的前端支撑, 面向资源和网络运营的后端运营支撑, 面向人力、财务、OA等的管理支撑, 面向企业数据挖掘和共享的应用支撑以及企业信息化应用支撑等生产经营管理的方方面面, 共同作用构成了企业经营管理的神经系统。在建设IT系统内控体系方面, 公司以风险导向, 采用COSO框架, 从系统规划设计、系统应用、系统控制维度, 通过流程梳理, 识别系统建设与管理中存在的风险, 并通过风险评估, 明确管控节点, 建设IT系统信息安全、系统开发维护、系统运行等内控制度。
随着全业务运营的持续开展, 市场竞争日趋激烈, 新业务不断推陈出新, 业务组织架构也在不断调整和优化, IT系统也紧随新业务和组织架构的不断调整而变化化。目前IT系统建设主要定位于管理和业务支撑, IT部门主要职责实现前后端需求, 在企业生产经营中的处于从属地位, 与IT系统在整个经营管理中的地位不相匹配。随着业务发展以及组织结构的调整, IT系统建设维护与业务部门间存在职责分工交叉与重复, 在出现系统数据差错时, 系统使用部门与建设维护部门经常发生扯皮现象。从风险管理和业务支撑角度来看, 目前IT系统内部控制制度主要集中于IT系统专业角度, 突出访问安全、程序变更及运行维护管理, 对业务政策系统固化、业务平台支撑与运用程度关注不够。在系统建设过程中存在各业务支撑系统间缺乏统筹管理, 有关内部控制环节仅仅基于单系统输入、生产和输出等环节的管控, 对各系统间信息的传递和稽核重视不足, 实际运行中存在系统间信息不一致、业务系统间信息结构未能打通等情况。例如, 为支撑社会渠道管理及结算需求, 公司开发建设了社会渠道管理系统, 但在实际运行中, 由于社会渠道分散以及结算的多样性, 系统未能将所有渠道纳入系统管理, 部分结算规则需要手工计算来实现。个别地方系统数据未能直接与财务核算核算接口, 财务报账申请需要手工发起。从业务发生系统数据生成财务核算整个流程来看, 较多环节滞留在系统管控之外, 数据信息质量容易受人为调整影响。前段时间行业所出现的案件也主要集中IT系统数据管理以及对外结算环节, 即是现有IT系统内控制度存有不足的有力例证。
三、移动公司IT系统内部控制建设优化路径分析
为有效解决当前IT系统内部控制建设及运行中存在的不足, 可以借鉴CO-BIT框架, 指导企业完善IT系统内控制度, 充分发挥IT系统业务运营及管理支撑功能, 有效防范信息风险。
COBIT是目前国际上通用的信息系统审计的标准, 由信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准, 目前已经更新至4.1版。它在商业风险、控制需要和技术问题之间架起了一座桥梁, 以满足管理的多方面需要。基于COBIT框架的IT内部控制需要以价值和风险为导向, 通过规划和确定IT控制的范围、评估IT风险、记录、评估有效性、缺陷整改、长效推进等一系列活动来建立与不断完善。在COBIT框架指引下, IT系统内部控制建设及运行可以分为IT公司层面控制、IT应用控制和IT一般性控制三个层面。在不同的控制层面, 内控体系建设关注点有所不同。结合公司当前IT系统内部控制建设及运行中存在的不足, 可以从这三个方面分别加以优化, 具体而言:
第一, 在IT公司控制层面, 以CO-BIT内部控制框架为基础, 包含控制环境、信息和沟通、控制活动、风险评估、监控五大部分内容, 应侧重IT系统整体架构规划设计和IT环境构建, 突出其信息传递和管控平台职能, 通过对企业现有的经营业务和系统状况进行分析评价, 评估企业层面和业务活动层面的信息风险, 通过授权、核对、系统配置和预警报告等控制措施, 形成日常的控制活动。在具体实施中, 应结合企业当前IT系统内控建设重要性认识不足、系统信息稽核维护职责划分存在交叉重叠等现状, 首先明确IT系统内控体系建设对公司整体风险防范和确保财务信息质量的重要意义, 提高管理层对IT系统内控体系建设和运行重要性的认识, 高度关注与财务报告信息相关的数据在生产、加工及传递中的准确性、真实性和一致性;其次应明确IT系统建设及运行中各部门间的职责分工, 尤其对涉及财务报告信息真实准确性的系统信息, 应明确其稽核权限归属, 确定信息质量责任主体, 避免在出现问题时, 各部门在系统配置错误和业务前端需求不明确间相互推诿。此外, 在IT系统规划及建设中, IT部门在基于其技术专业支撑角色之外, 还应提高风险管理意识, 熟悉业务运营及管理相关要求, 在公司政策制度合规性框架内, 对前后端业务及管控需求时进行梳理和优化, 及时识别业务支撑中存在的潜在风险, 会同相关部门从系统建设源头加以防范。
第二, 在IT应用控制层面, COBIT框架突出IT系统信息的准确性和完整性。IT应用控制与企业运营流程紧密相关, 建立IT应用控制应从流程的角度出发进行考虑, 首先要明确业务流程范围, 依据系统数据和流程是否会对财务报告造成影响, 重点涵盖与财务报告相关的所有业务流程, 然后对这些与财务报告有关的信息系统的行为设置相应的控制措施, 确保信息数据的可靠性、准确性和完整性, 具体包括授权及批准、系统功能配置、账项映射关系、系统异常情况报告和预警报告、系统数据调整权限等, 突出系统中业务规则准确固化和系统间信息传递和稽核管理, 从业务规则配置及核对、系统间信息传递和稽核、系统内调账、数据差异报告及处理等维度, 优化当前IT系统建设。
关于企业IT管理和控制的思考 第8篇
关键词:IT应用,IT治理,实施策略
日新月异的商业环境和日益残酷的商业竞争给传统的企业运营管理模式带来了严峻的挑战, IT (信息技术) 已成为企业构筑其核心竞争力和获取长久竞争优势的资源宝库和重要渠道。伴随着电子商务日渐普及和深化的步伐, 企业越来越重视在IT方面的投入, 其应用也越发复杂和多样。我国企业在IT应用及电子商务方面还存在许多不足, 正面临着一系列亟待改善的问题, 如:IT生产力矛盾、信息化目标不明确、信息应用能力低下、技术与业务没有形成产业链等各式各样的挑战。
IT治理不再局限于单纯的IT技术应用, 而是从企业的经营管理及战略实施的层面出发, 对日益复杂的IT应用及高速的信息化进程进行有效的管理和控制, 从而保证企业良好的IT应用效果, 提升信息化给企业带来的效益, 促使企业更好地开发和利用IT应用以提升自己的核心竞争力, 这为企业应对新形势下的IT应用挑战提供了新的思路和解决途径。作为未来IT资源管理发展的必然方向, IT治理还不够成熟, 就目前的现状来看, 还只停留于对它的浅显理解和简单描述上, 对它的原理及作用机制还缺乏研究, 同时在IT治理的应用与实施层面的探讨也有待深入。综上所述, 由于电子商务环境的影响, IT应用需求日益复杂和多样化, 从战略实施层面进一步研究企业IT治理的基本机制, 探求IT治理的实施策略成为当前亟待解决的问题。
1 IT治理的概念及内涵
随着IT在商业领域的应用范围急速扩大, IT应用层次也不断深化, 越来越多的商业运作要依赖IT来完成, 与商业活动的紧密联系也导致IT的信息安全、电子信任等问题日益严重。传统的IT管理仅仅强调对企业内外的IT资源进行规划、整合与利用来获取经营利益, 已明显无力应对新的IT应用格局。各企业必须革新传统的IT管理模式, 采取更实用的IT治理方式, 在了解IT开发应用情况的前提下, 从战略层面重新审视和管理IT决策、实施、评估等, 以期最合理地开发隐藏于IT的价值。
总的来说, IT治理是一项面向IT资源、IT评估以及IT效益的管理机制, 用于指导和控制企业的IT应用完成组织给予它的任务。主要通过衡量IT战略以及调节运转中的风险与收益来促使企业增值, 以发挥其战略功能。与IT管理所不同的是, IT治理更注重于在战略层面上完成对企业IT应用运作与实施的规范条例的制定, 并掌控IT计划的制定及实施运用, 以促使IT资源的合理配置, 保证企业信息业能够长期有效地运行。从这个层面上, IT管理就是在IT治理所确定的规范框架范围内, 制定IT业目标并采取有效的措施以逐步实现企业的IT战略目标。
综上所述, IT管理与IT治理是密不可分的。但是, 与IT管理相比, IT治理有着更多明确目的, 例如:衡量企业IT战略决策的合理性, 调节各方的利益冲突, 促使各方达到互赢;努力避免IT战略运行过程中的风险, 控制IT合理投入成本, 完善IT项目的质量;维持IT应用的持久稳定性, 提升IT应用的改革拓新能力;时刻监管、评估和调整IT的运营, 以提高企业IT应用的水平和效益;完善企业开发和利用IT资源的运行机制, 以合理配置IT资源, 挖掘IT业的价值空间。
2 IT治理的主要机制
面对日益复杂多样化的IT应用局面, 企业的IT治理也日渐复杂。必须先了解和掌握IT治理的机制, 才能开展有效的IT治理活动, 提高企业开发与利用IT资源的能力, 从而推动IT战略目标乃至企业目标的达成。总的来说, 在企业推动IT治理实践的过程中, 要实现IT治理的目标, 必须注重落实以下几个方面的治理机制:
2.1 目标平衡机制。
当前, 在电子商务环境的影响下, IT应用已经渗透到企业的各个角落。企业的所有利益相关者, 例如银行、雇员、供应商、客户等都影响着IT资源的分配及其价值的实现。因此, 在IT治理过程中, 制定IT战略的决策要综合考虑各个利益相关者的价值要求, 努力平衡各决策目标之间的利益关系, 促进他们的融合, 从而实现对IT资源的更好开发。
2.2 战略集成机制。
IT应用绝非单纯的技术应用, 只有在IT与商务完美结合的过程中, IT资源的价值才会充分体现出来。因此, IT治理要保证企业战略和IT战略的有机融合, 增强IT与业务间的相互配合, 更有效地开发和利用IT资源, 以实现企业的战略目标。一般而言, 互惠型、IT驱动型和业务驱动型是企业业务和IT之间的战略集成机制的主要形式。
2.3 监控与评价机制。
除了监管IT战略决策的制定, 它还必须包含相应的管控机制, 以监控企业IT战略的实施。通过对IT战略实施进行严密的监控, 企业可以准确地把握IT战略的实施进程, 并进行即时的调整, 以确保IT战略始终朝着正确的方向发展。此外, 积极的评价机制是逐步改善IT战略实施水平以及提升IT运行效益的重要保证, 能提高企业对IT资源的利用。
3 IT治理的实施策略
随着电子商务应用的不断深化, 企业的IT应用发生了许多变化, 各个企业都有着不同的IT应用战略要求, IT治理方式也是多种多样。要想更充分地开发IT资源, 企业必须根据其运营方式及战略目标等具体情况确定相应的IT治理实施策略。从企业的商业目标和实现方式来看, 主要可以划分出以下三种IT治理实施策略:
3.1 分散式策略
总的来看, 以经营效益作为成功标准的公司, 更加注重的是产品的更新及价格或上市等。这些公司注重实际效益, 很少对企业的技术和业务等施加严格的规范, 以使公司保持较强的创新能力和业务办理能力。他们不需要太多的治理规则, 而只是通过一个投资流程来获取有战略意义的项目信息。因此, 这类企业常常采取分散式的IT治理方式, 使用分区负责的管理模式, 这样能够快速地满足本地客户的要求, 企业更加迅速健康发展, 整个企业的管理标准也越来越少。
3.2 集中式策略
对于注重业务运行的稳健性的企业, 其战略目标常常围绕着业务成本和利润率来展开, 这类的企业一般采取集中式的IT治理方式。其结果是相同的低业务成本追求导致了IT运行的高度标准化。集中式策略的重要治理机制包括由执行机构来制定发展策略, 高度统一的的集中式流程, 企业级的IT项目决策流程, 以及对相关的IT项目进行评估。更集中的治理对业务流程和IT有更高的标准化要求。
3.3 联邦式策略
还有一类企业追求资产利用率, 总是在寻求高速率的增长与创新的治理之间的平衡点。这类企业往往采用联邦式的IT治理方式。它们引入新的治理机制, 以期能够解决全企业治理与局部治理之间的矛盾。这些机制包括服务水平协议、IT关系经理、IT产品回收、由单元代表组成的领导团队等。他们的IT治理原则是尽量争取系统、模型和流程等方面的共用和IT应用服务的灵活两者之间的协调。
4 总结
任何企业要想取得IT应用与业务的战略成功, 都不能忽略IT治理这关键一环。在信息化不断推进的过程中, 合理的IT治理策略是有效地管理和控制企业的重要保证。在电子商务日益深化的环境下, IT应用朝着复杂化和个性化的方向发展, 企业要实施有效的IT治理, 不仅要深刻理解IT治理的基本机制, 同时还要结合企业的具体情况来灵活运用这些原则, 综合考虑采取合适的IT治理策略, 这样才能合理有效地开发和利用IT资源, 增强企业的核心竞争力。
参考文献
[1]李白名, 江明玉.关于企业IT的治理[J].东北IT企业, 2010.
IT能力内部结构及其作用关系研究 第9篇
1 IT能力概念及结构
IT能力是利用IT资源从事一定的任务或者活动, 完成企业的预期目的和目标, 从而为企业创造竞争优势的系统。基于IT在企业内的应用过程, 企业战略与IT战略整合、业务流程与IT系统整合、业务运行和IT系统使用整合是对IT资源协调配置等进行的一系列的活动, 表现为各种子IT能力, 这些子IT能力相互影响、相互作用, 形成了IT能力。所以IT能力内在结构可以划分为战略整合能力、业务流程与IT系统整合能力、IT系统使用能力。
1.1 战略整合能力
企业战略与IT战略整合能力是指企业战略、IT战略与内外界环境三者之间动态的相互匹配、相互协同。一方面, 企业战略、IT战略不是孤立存在的, 是存在于企业的整个内外大环境中, 内外部环境是企业战略、IT战略的实施基础和指挥棒。企业战略与内外部环境的整合就是根据企业的外部环境、内部资源和能力等确定企业的经营方向、经营范围和经营目标;IT战略与企业内外部环境的整合就是指根据外部环境、内部IT资源和IT能力确定信息系统和技术范围的发展蓝图。另一方面, IT战略必须支持企业战略, 为企业战略目标的实现提供及时、可靠的业务运作支持, 使企业获得或者维持竞争优势。IT战略规划必须为企业寻找新的战略机会, 以IT系统为主导, 将IT系统的优势转化为运营中的优势, 引导企业战略的制定。
1.2 业务流程与IT系统整合能力
业务流程与IT系统整合能力包括业务流程与IT系统的整合, 也包括新旧IT系统的集成。IT就是业务流程优化的最根本手段[4]。业务流程的优化需要有大量的IT做支撑, 应用于业务流程优化的鉴别、评估和实施阶段中;企业从IT中获得可持续竞争优势必须依赖跨系统应用和跨部门应用, 甚至跨公司的应用, 所以必须对信息系统进行集成。
1.3 IT系统使用能力
信息系统使用是指用户利用信息系统的某项或多项功能来完成企业经营管理任务的活动[5]。信息系统使用可以分为常规化使用和创新性使用[6]。常规化信息系统使用是指信息系统已经被员工所接受, 变成员工日常工作的使用工具, 员工按照既定的功能对信息系统的持续化使用;信息系统创新使用是基于现有IT系统的创新性应用, 是指系统用户挖掘并拓展信息系统本身更多功能用法的使用行为。不同于日常惯例或习惯性使用方式, 用户信息系统创新使用通常是个体员工有意识地、主动地对信息系统进行的深层次思考活动。
2 IT能力内在结构作用关系理论基础和研究假设
2.1 战略整合能力与IT系统使用能力的关系
企业战略与IT战略整合程度高, IT系统切合企业战略的需求, IT使用人员会深入明白IT系统对企业战略的涵义, 迫使他们适应新的系统, 再根据企业的现实需求对IT系统进行创新性的使用, 所以战略整合能力对IT系统使用能力都有着正向的影响。另外, Ron经过研究, 得出有用性感觉和易用性感觉影响IT系统使用的情况[7]。企业战略与IT战略整合程度高, 必然会有IT人员参与到企业战略规划过程中, 对IT系统的有用性和易用性感觉高, IT系统使用能力也会增强。因此, 可以提出如下假设:
H1:战略整合能力对IT系统使用能力有着显著的正向影响。
2.2 业务流程与IT系统整合能力及IT系统使用能力的关系
业务流程与IT系统整合能力强, 意味着IT系统从业务流程的目标和现状中获得系统的功能性和系统性需求, 从而指导着IT系统的建设。与战略整合能力一样, 高水平的业务流程与IT系统整合, IT系统就会切合企业业务的需求, 形成对企业业务的支撑, IT系统就不会失去存在的意义, 对IT系统的使用水平也会大大增强。Delone和Mclean学者认为, 信息质量和系统质量影响用户的满意度水平, 从而影响用户对IT系统的使用[8];业务流程与IT系统整合水平高, 信息质量和系统质量相应地也会好, 从而可以影响IT系统使用能力。所以, 可以提出如下假设:
H2:业务与IT系统整合能力对IT系统使用能力具有显著的正向影响。
2.3 战略整合能力与业务流程及IT系统整合能力的关系
业务流程与IT系统的整合水平较高, 表示IT系统与业务的结合能力比较强, 从而能充分体现出IT的价值, IT的价值会被企业领导者、业务人员所认可和理解, 在企业的战略规划和IT战略规划时, 促进企业选择正确的IT系统, 利用新兴的IT技术潜能保障企业战略与IT战略的整合。学者Luftman等在研究战略整合的驱动和限制因素时, 就发现了业务与IT的伙伴关系、IT了解业务是战略整合的驱动因素, 而IT与业务缺乏紧密联系、IT不了解业务等是战略整合的限制因素[9]。因此, 可以提出如下假设:
H3:业务流程与IT系统整合能力对战略整合能力具有显著的正向影响。
综上所述, IT能力内部结构作用关系的理论结构模型如图1所示。
2.4 控制变量的选取
企业的形成是一个长期发展的过程, 企业IT能力可能会受到企业规模、企业的成立年限等因素的影响。本文选定企业规模、企业成立时间两个变量为控制变量。
3 研究设计
3.1 测度变量
参考大量国内外相关文献初步构建IT能力测度指标, 邀请20位相关领域专家对初始指标进行修正与完善, 选择本地的一些企业进行小范围发放样本;对收回的问卷进行信效度分析, 删除掉一些意义重复或者不能准确反映被测变量的指标, 反复修正以后形成正式的测度指标。战略整合能力包括战略规划能力 (共5个条目) 、战略支撑能力 (共3个条目) ;业务与IT系统整合能力包括IT与业务流程整合能力 (共4个条目) 、IT与组织结构整合能力 (共3个条目) ;IT系统使用能力包括常规性使用能力 (共3个条目) 、创新性使用能力 (共6个条目) 。
本研究采用企业员工总数作为企业规模指标, 为了消除波动性, 企业规模用近三年的员工平均人数来表示;企业成立的时间用实际值来表示。
本研究的测度指标均采用Likert5分制量表, 分别用1~5表示。问卷要求被调查者根据企业此属性指标的实际表现进行评分, 分值越低表示此指标实际表现水平越低, 分值越高表示此指标实际表现水平越高。
3.2 问卷发放与回收
利用结构方程模型和多元回归方程对模型进行实证研究。本次样本企业的选择主要是分布在上海、北京、广州、江苏等部分信息化比较有代表性的国内企业。此次调查问卷涉及到通信、机械、电子、商业零售、医药制品、化工、钢铁、电力、汽车、金融等行业。本次调查主要发出问卷350份, 其中填答不全的无效问卷90份, 有效回收问卷260份, 回收率为74.2%。调查时间为2011年3月至2012年1月。
4 结果分析
4.1 信度和效度
本研究采用Cronbachα值和验证性因子分析分别检验变量的信度和效度。战略整合能力的Cronbachα为0.82, 业务流程与IT系统整合能力的Cronbachα为0.92, IT系统使用能力的Cronbachα为0.87。一般来说, Cronbachα值大于0.7就表明信度较好。本研究的检验结果显示各量表的信度较高。通过验证性因子的拟合指数可以看出:χ2/df小于2, 绝对拟合指数GFI大于0.9, RMSEA小于0.05, 相对拟合指数CFI大于0.9, 各项指标均达到可接受程度, 模型拟合良好, 故各量表具有较好的效度。
4.2 实证结果和分析
对于原始数据, 使用SPSS19计算战略整合能力、业务流程与IT系统整合能力、IT系统使用能力测度指标之间的相关系数矩阵, 选用相应的统计软件LISREL8.51对模型进行分析处理。计算出的结构方程模型的拟合指数如表1所示, 各个因子之间的路径系数如表2所示。
从表中的拟合指数可以看出:χ2/df小于2, 绝对拟合指数GFI和AGFI大于0.9, RMSEA小于0.08, 相对拟合指数NFI为0.896, 接近0.9, CFI大于0.9, 综合各项指标考虑, 达到可接受程度, 可以认为整体模型拟合度较好。
(1) 战略整合能力对IT系统使用能力的影响分析。从表2中可以看出, 战略整合能力对IT系统使用能力的影响路径系数为0.174, 对应的t为5.325, 通过显著性检验, 假设H1得到支持。
以企业成立时间、企业规模为控制变量, 战略整合能力为自变量, IT系统使用能力为因变量进行回归分析, 如表3所示。
从表3中可以看出, 企业成立时间对常规性系统使用有着显著的正向影响, 而对创新性使用没有显著的正向影响;企业规模无论是对常规性使用或者创新性使用都没有显著的影响;战略整合能力对常规性系统使用能力影响显著, 而对创新性系统使用表现并不显著。
注:N=260 Standardized regression coefficients are shown;*p<0.05;**p<0.01;***p<0.001
(2) 业务流程与IT系统整合能力对IT系统使用能力的影响分析。业务流程与IT系统整合能力对IT系统使用能力的影响路径系数为0.236, 对应的t为4.342, 通过显著性检验, 假设H2得到支持。
以企业成立时间、企业规模为控制变量, 业务流程与IT系统整合能力为自变量, IT系统使用能力为因变量进行回归分析, 如表4所示。
注:N=260 Standardized regression coefficients are shown;*p<0.05;**p<0.01;***p<0.001
业务流程与IT系统整合能力对常规性使用能力影响显著, 对创新性使用能力影响不显著。业务流程与IT系统整合能力越强, IT对业务流程的支撑性就会增强;IT部门对IT系统的价值和风险了解得也就越透彻, 对系统的易用性和感知性就越强, 常规性使用也会表现比较明显。实证结果和目前IT系统使用理论研究成果是一致的。
(3) 业务流程与IT系统整合能力对战略整合能力的影响分析。业务流程与IT系统的整合能力对战略整合能力的影响路径系数为0.205, 对应的t为8.542, 通过显著性检验, 假设H3得到支持。业务流程与IT系统整合能力对战略整合能力的正向影响充分显示了业务流程与IT系统的整合有利于促进中高级管理人员和业务人员对IT系统的价值及风险认识, IT项目的目标和计划也能由业务部门和IT部门联合确定, 企业战略与IT战略达成整合。
以企业成立时间、企业规模为控制变量, 业务流程与IT系统整合能力为自变量, 战略整合能力为因变量进行回归分析, 如表5所示。
注:N=260 Standardized regression coefficients are shown;*p<0.05;**p<0.01;***p<0.001
从表5可以看出, 企业成立时间、企业规模对战略规划能力、战略支撑能力均没有显著的正向影响, 业务流程与IT系统整合能力对战略规划能力、战略支撑能力影响显著。可以得知, IT对流程的支撑、对组织结构的影响有利于业务部门对IT的价值有较深的认识, 则在战略规划时对IT项目的风险和价值能有平衡的认识, 能够选择适合企业未来发展和解决现实问题的IT系统, 保持企业战略与IT战略的战略规划方向、规划目标一致, 促使企业战略与IT战略达成整合。
5 结论
本研究以企业规模、企业成立时间为控制变量, 运用结构方程模型和回归分析方法实证检验并分析了IT能力内在结构作用关系。IT能力是由战略整合能力、业务流程与IT系统整合能力、IT系统使用能力组成的系统, 在IT投资实践活动中, IT能力的培养要围绕三者及其三者之间的关系进行。
本文的研究也引出了很多值得将来研究的问题, 例如不同行业的IT能力内部结构作用关系是否遵循同样的规律?IT能力如何作用于企业绩效的机制?IT能力是由IT资源组成的系统, 影响IT能力的关键资源都有哪些?随着IT投资的日益增多, 相信IT能力理论及其与企业绩效的关系值得深入研究和探讨。
摘要:IT能力定义为由IT资源组成的系统, 是企业从IT投资中获得竞争优势的来源。将其内部结构划分为战略整合能力、业务与IT系统整合能力、IT系统使用能力, 对三种能力之间的作用关系建立理论结构模型并提出相应的假设;以国内260家企业为调研对象, 利用结构方程模型和多元回归方法对理论结构模型进行检验, 并对检验结果进行分析, 最后提出进一步研究的方向。
关键词:IT能力,能力结构,作用关系,结构方程模型
参考文献
[1]BRUCE DEHNINGA, THEOPHANIS STRATOPOULOS.Determi-nants of a sustainable competitive advantage due to an IT-enabledstrategy[J].Journal of Strategic Information Systems, 2003 (12) :7–28
[2]BOU-WEN LIN.Information technology capability and value crea-tion:Evidence from the US banking industry Technology in Society[J].2007 (29) :93-106
[3]杨道箭, 齐二石.基于资源观的企业IT能力与企业绩效研究[J].管理科学, 2008, 21 (5) :37-45
[4]卞志村.信息技术发展与组织结构变革.现代管理科学[J].2003 (4) :50-51
[5]秦敏.基于创新视角的复杂信息系统使用及其对企业绩效影响的研究[D].南昌:江西财经大学, 2009
[6]王玮.信息技术的采纳和使用研究[J].研究与发展管理, 2007, 19 (3) :48-55
[7]DAVIS, D FRED.Perceived usefulness, perceived ease of use, anduser acceptance of information technology[J].MIS Quarterly, 1989 (9) :319-340
[8]DELONE, MCLEAN, Information system success[J].The QuestFor Dependent Variable, Information System Research, 1992 (3) :60-95
IT内部控制 第10篇
专业就能挽留“客源”?
2009年1月初的某天,记者走访北京中关村鼎好电子商城时,遇到了奇怪的现象:地下停车场异常火爆,卖场里却没有人头攒动,有点儿让人生疑:人都去哪儿了?
鼎好电子商城的东家,鼎固房地产开发有限公司市场总监李中晋解释说:这是由于鼎好规划得好,客流分布均匀所致。据鼎好的统计,一般平时的客流量在5~6万人,周末会有7~8万人。这个数字大家可能不太敏感,拿北京最繁华的商业街之一的王府井大街来说,2008年春节期间的客流量在10万人左右,平日的客流量在4~5万人左右。如果做一个空间置换,王府井一条街上的人都集中到鼎好卖场当中来,那将会是何等的火爆场面呢?
经过记者的调查,来鼎好停车的人另外的去处就是附近降租的写字楼。事实上,从2008年10月开始,中关村核心地带的写字楼租金均有不同程度的降低,拿停车位比较紧张的海龙来说,有媒体报道降租的最大幅度将达到60%,海龙电子城副总裁夏文军强调,60%只是个案,体现范围较小,绝大多数商户降租范围将控制在5%~20%之间。
实际上,两种不同的结果,都预示着一个不争的事实,中关村鼎好、海龙的声望还在,但似乎也扛不住寒冬的侵袭了,是否考虑应该转型了?恰好,最近在考虑IT寒冬当中,厂商、经销商和媒体该如何过冬的话题,在研究了《电脑爱好者》读者的购买行为后,感觉部分内容应该和卖场的规律是相通的。
卖场应该开始考虑研究客流的变化了。
上世纪90年代确实是中关村卖场的黄金时期,开一个火一个,现在看来,这属于大环境好。DIY的价格竞争并不透明,用户疯狂采购IT产品,政府信息化步伐逐年加快,这些都给以鼎好、海龙、硅谷、太平洋为代表的IT卖场带来了竞争的优势。当时的客流无非三种:
一种是属于什么都不懂,电脑的初级用户,在没有大中、国美、苏宁和宏图三胞的时候,此类用户选择IT卖场实属无奈;
与其对应的是一类什么都了解的发烧用户,崇尚DIY精神,喜欢砍价、逛市场、淘宝贝的用户,此类用户因习惯使然。IT卖场成为了商品的集散地,客流的集散地。供货商、经销商、发烧用户共同塑造了IT卖场的黄金时代。
介于两者之间的用户往往是冲着“中关村”的品牌来的,此类客流对IT卖场的品牌并不熟悉,甚至没有品牌的概念。走一家算一家,逛到哪儿算哪儿。有点儿像大多数女人逛街的心态,也许并不想真买什么东西,但是碰到有新意的或者鉴于市场琳琅满目的IT产品,禁不住诱惑,形成了冲动型的消费。
但是,21世纪什么最贵来着,人才吗?错了!满大街都是找不到工作的人才。21世纪机会最重要,时间最重要。人们开始忙忙碌碌起来,国家开始由逐年飙高GDP的时代走向建设“节约型”社会的时代。过剩的生产和无序的上游市场秩序让卖场不得不去思考重新定位的问题。还是回到客流分析的话题吧。
对于第一类客流,他们完全可以选择“身边的大中”,甚至戴尔这样的厂商更是通过5年的时间让“直销”的观念深入人心。连年的关于JS的负面报道和混乱的IT卖场秩序的报道,让第一类用户望“村”兴叹。敢问我们身边的想采购电脑的人,有几个敢拍着胸脯说在中关村就能淘到实惠呢?某IT卖场的老总信誓旦旦地对记者说:“到专业卖场买东西就是为了讨实惠,不货比三家,不降价,怎么算淘呢?拿MP3产品为例,大中、国美加起来不过30多种,而我们一家就有700多种。”言外之意是说,到中关村买东西,不砍价基本等于被蒙。
对于第二类客流,DIY高手早已经变成了“网购”的高手!随便打开京东商城,你会看到同样品质,带正规发票,且价格比一般的IT卖场柜台价更低的商品。小到一条USB线缆,大到50英寸的彩电,数万元的本本,价格透明、送货便利、服务相对还算周到,足以让他们选择网购。想杀低价,也可以去淘宝网。网络上你一言我一语,价格照样低,时间省下来了,而且选择余地更大。一位从事中关村卖场电子商城业务的人士向记者反映,京东部分商品是水货,却给开具正式发票,这种行为本身是不道德的,也是不正规的,这样做无疑是助长了水货横行。
对于第三类客流,IT卖场的吸引力哪里还有那么大呢?购物环境有几个达得到鼎好二期的?但鼎好二期客流少得可怜,这就说明第三类客流既在乎环境也不在乎环境。他们在乎“逛”的感觉。但是别说这类客户了,就算是我,一进了鼎好如果想找到点儿新鲜玩意儿,那简直比登天还难了。市场充分竞争后,卖方市场格局早已不在,力求规模经营的IT卖场,希望通过规模来吸引专业型的客户。但这一点恰恰阻止了第三类客户的进入。商品同质化严重,“逛”早已经失去了意义。
IT卖场之所以捧着“专业性”的金饭碗,无非是他们还算符合中国现有的渠道模式,即大多数IT厂商采用的分销商模式。回到文章开始提到的美国第二大IT连锁卖场电路城的话题,这种依托卖场的专业性和便利性展开销售的方式,在欧美国家普遍流行,但从2004年至今却成长缓慢。因为,拿中国为例,这些新兴消费用户喜欢到城镇的中心去买东西,群居性的购物观念强,这就造成“货比三家”的观念在短期内无法改变。鼎固地产市场总监李中晋也表示,鼎好的改变取决于百姓消费习惯和IT产品渠道的演变。
记者手记:卖场专业性已不重要
2008年,《电脑爱好者》曾经做过几篇深度的卖场报道文章,每次采访回来,记者总会跟我抱怨卖场的无聊。这和5年前的景象大不相同,当时编辑、记者们可是扎堆要去逛卖场的。和经销商的深入接触,和IT卖场负责人的深入接触,使我替他们感觉到了生存的危机。变则通,调查要先行。据《电脑爱好者》的初步调查,卖场的客流主要来自于学生、IT采购专员和部分冲着“中关村”来的第一类客户。假如这个新的构成能够成为主体,时尚、有序、重视细节、特色、80后、90后风格的专营店铺可能会更加吸引用户。动漫区域的火爆就是一个例子,价格并不低的“专卖”能吸引成群的学生,为什么?
SNS的概念出来了,他们可以在这里交互;
知识搜索的概念出来了,他们可以在这里学知识;
电子商务的概念也出来了,他们可以在这里形成购买。
现有的店铺和商铺格局就需要调整,按照客户的需求而变化,而不是去想着一味牵引客流。
你来我往
ID“大观园”发布于2009-01-13 13:28:27
电子卖场的兴衰和DIY的普及度和认知度有关联。很多人就算买电脑,也只喜欢跑去商场买品牌机,虽然商场里的电脑,价格贵、周转的周期长,因此买来的可能是几个月前的机型,但是没办法。对他们来讲,电脑,只要是一个整机,带个显示器,看起来都一样。就好比我办公室里的两个同事,甚至连显卡是啥、杀毒软件是啥、内存啥样都不知道,你要说什么集成显卡和独显,性能上差多少,等于对牛弹琴。要让他们去IT卖场自己DIY,几乎是不可能的,他们只会成为让卖场大赚一笔的羔羊。
ID“vlins”发布于2009-01-09 11:51:56
IT内部控制 第11篇
1.1 概况
2006年中国服务外包产业收入总额达118亿美元, 其中IT服务外包产业规模为75.6亿美元, 业务流程外包产业规模达42.7亿美元。中国承接商所承接的离岸服务外包收入约占整体产业的12.2%, 其他为国内服务外包的收入。据毕博咨询公司预测, 2010年中国服务外包产业总收入将达262亿美元, 其中IT服务外包受离岸服务外包带动, 仍占更大的份额, 约65%;业务流程外包市场增长较快, 离岸业务流程外包业务四年间将增长约2.5倍, 但由于基数较小, 至2010年对该产业的带动不大, 约占35%左右。
1.2 中国BPO市场现状及预测
IDC对中国包括人力资源、客户服务、财务会计、采购和培训业务流程外包服务的业务流程服务外包市场进行了预测。如表1所示。
中国业务流程外包服务市场细分市场如图1所示。
尽管中国IT外包与一些国家相比, 经验还很缺乏, 适合中国企业和现实的IT外包理论和模式还有待进一步研究总结, 但随着中国企业信息化道路的进一步推进, IT外包产业的广阔发展前景是毋庸置疑的。
2 国外现状
从目前的情况看, 国际软件外包发展十分迅猛, 每年以30%左右的速度增长。跨国公司作为软件外包的主体, 出于技术控制的考虑, 软件研发外包的内部化越来越明显发包的项目中, 软件服务项目已经超过软件产品所占比重, 而且比重有越来越大的趋势。软件外包市场集中在美国、欧盟和日本等少数发包国和印度、中国、俄罗斯等少数承接国。
3 IT项目外包服务管理与风险控制的研究目的
随着市场的扩张, IT外包服务提供商已经形成了一个很大的群体承接国外的外包业务也是中国IT产业迈向国际化的途径之一。在IT外包成为一种重要的商业现象的同时, 理论界也给与了相当的关注, 出现了大量的研究文献, 研究话题涉及外包的理论基础、外包的收益、风险、外包决策、外包过程管理等诸多方面, 甚至有学者从政治的角度研究外包对国家安全的威胁。不过, 迄今为止绝大多数与其相关的研究都是从客户的视角进行的, 只有少数研究考虑到了服务商的问题, 这少数研究又有三种类型: (1) 同时从客户和服务商的角度研究完整的IT外包活动; (2) 从服务商的角度研究应用服务提供 (Application Service Providor, ASP) 这样一种特定的IT外包服务形态; (3) 研究离岸外包 (Offshore Outsourcing) 这样一种特定的IT外包服务形态。还未见到文献系统地研究过IT外包服务和IT外包服务提供商的决策、风险等问题。
图2显示了IT外包与IT外包服务的区别和联系, 从整体上看, 它们共同构成了完整的IT外包活动;分别站在客户和服务商的角度来考察时, 它们又是不同主体的独立的活动。
任何IT外包活动都同时涉及到供需双方, 而客户和服务商所关注的问题并不是简单的对称关系, 所以目前对IT外包服务的研究在理论上是不完备的。本文目的在于提出研究服务执行过程风险控制这样一个具体的问题, 对指导IT外包服务商的经营决策, 促进IT外包服务业的发展也有现实的价值。
4 IT项目外包服务管理与风险控制研究的必要性
有些企业把IT业务外包给一家较大的IT服务商, 然后由该服务商全权负责。可是事实证明, 这种策略缺乏竞争机制。而当出现巨大损失时, 服务商通常都是不承担责任。另一些企业在内部建立了IT事业部承担大部分的IT业务工作, 希望让IT项目更能贴近企业真实业务。但这同样没有竞争压力, 并且容易与业界同业标准脱钩。而普遍采用的先进做法是企业内部IT职能部门与业界服务商合作推进项目, 但是这在服务商选择和管理上的效率非常低。虽然通过招标加强了竞争度, 但是当新项目推出的时候又要重新招标造成了极大的浪费, 而当选择新服务商的时候, 就等于丢掉了以前累积经验, 从头开始。
现在有一种以管理服务商表现为核心的IT外包策略供参考:在细分业务中选定合适的一小群服务商, 设定好衡量IT服务商表现的标准, 把服务商的每个项目表现都记录在案, 然后把这些成绩表向业界公开。这样一来就形成了一个良好的循环, 这不但有效管理服务商的表现, 而且通过帮助良好的服务商同时获得供货商的良好信用而得到多方的支持。其实, 由外部实体来提供企业的部分或全部IT业务已经是一种常见的商业现象, 理论界对此相当关注并从客户的视角进行了大量研究。IT外包和IT外包服务有着密切的联系, 但前者是客户的需求而后者是服务商提供的服务, 两者有根本的区别。
摘要:有些企业把IT业务外包给一家较大的IT服务商, 然后由该服务商全权负责。另一些企业在内部建立了IT事业部承担大部分的IT业务工作, 希望让IT项目更能贴近企业真实业务。其实, 由外部实体来提供企业的部分或全部IT业务已经是一种常见的商业现象。
关键词:IT项目,外包服务,风险控制
参考文献
[1]计世资讯.IT服务市场预期乐观[N].计算机世界, 2004, 12:8~11.
