時間:2023-09-10 14:40:52
序論:在您撰寫信息化風險管理時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度。
(福建江夏學院,福州 350108)
(Fujian Jiangxia University,F(xiàn)uzhou 350108,China)
摘要: 企業(yè)信息化中的存在各種風險問題,怎樣提高企業(yè)信息化風險管理能力成為當務之急。應充分利用網(wǎng)絡信息技術(shù),開展信息化風險管理的創(chuàng)新工作,明確信息化風險全面管理的目標,加強對企業(yè)信息系統(tǒng)內(nèi)部系統(tǒng)關(guān)鍵點的控制,構(gòu)建信息化全面風險管理控制體系,以滿足企業(yè)管理的需要,提升競爭力,實現(xiàn)更大的經(jīng)濟效益。
Abstract: There are various risk problems in enterprise informatization, so how to improve the informatization of enterprise risk management ability has become a pressing matter of the moment. The enterprise should make full use of network information technology, carry out the information risk management innovation work, clear the goal of comprehensive risk management information, strengthen the control of the key points of the internal system of enterprise information system, and construct the informatization-based comprehensive risk management control system, in order to meet the needs of enterprise management, enhance competitiveness and achieve greater economic benefits.
關(guān)鍵詞 : 企業(yè)信息化;信息化風險;全面風險管理;控制體系
Key words: enterprise informatization;informatization risk;comprehensive risk management;control system
中圖分類號:F49 文獻標識碼:A 文章編號:1006-4311(2014)34-0203-03
收稿日期:2014年9月8日。
作者簡介:林建雄(1971-),男,福建仙游人,福建江夏學院會計學系副教授,主要從事會計信息化教學與研究工作。
0 引言
企業(yè)信息化的建設是一個不斷發(fā)展變化的過程,信息化的實施過程是一個長期的工程,隨著時間的推移,對企業(yè)的相關(guān)人員,特別是領導的積極性是極大的考驗,因此企業(yè)的信息化過程中存在不可避免的問題——發(fā)展中的風險問題。
1 企業(yè)信息化的風險
信息化可能或者實際帶來的消極威脅是界定信息化的風險的依據(jù),企業(yè)實施信息化工程一般存在著較大風險。風險管理泛指確認風險、評價風險、回應風險的過程。盡可能地降低風險的發(fā)生以及風險發(fā)生以后所帶來的損失和威脅,這是風險管理涉及復雜的結(jié)構(gòu)、機制、過程和制度安排的原因。
1.1 社會環(huán)境風險 社會環(huán)境風險是指企業(yè)遇到的來自其經(jīng)營環(huán)境的法律、社會、政治和經(jīng)濟等各方面的風險。如政策、法律的改變,使企業(yè)的生產(chǎn)經(jīng)營受到?jīng)_擊,環(huán)境風險包括系統(tǒng)安全風險、關(guān)聯(lián)方業(yè)務合作風險等。
1.2 戰(zhàn)略規(guī)劃風險 在由傳統(tǒng)管理企業(yè)向信息企業(yè)轉(zhuǎn)變的過程中,企業(yè)缺乏整體的信息應用規(guī)劃,特別是符合企業(yè)發(fā)展戰(zhàn)略和管理現(xiàn)狀的,與企業(yè)資源適度配合的整體規(guī)劃。這樣在企業(yè)信息化整體應用的推進過程中,勢必會造成資源分散、信息孤島林立,最終難以發(fā)揮系統(tǒng)的整體效益。
1.3 組織管理風險 信息化首先是一個管理問題,其次才是技術(shù)問題。企業(yè)信息化建設知識綜合性強、涉及的范圍廣、部門多,除了涵蓋企業(yè)內(nèi)部職能部門外,信息化建設往往涉及供應商、客戶、分銷機構(gòu)等。企業(yè)實施信息化存在組織管理風險,管理風險包括組織結(jié)構(gòu)不合理、管理思想混亂、管理職能虛化、員工凝聚力下降等方面。管理風險存在于企業(yè)信息化實施工作的全過程,輕則增加成本、延長進程,重則導致企業(yè)信息化實施失敗。
1.4 人力資源風險 信息化建設歸根到底是要人來完成的,信息化人才是既懂業(yè)務、又懂管理、還要懂計算機的多方面人才,這就需要我們的企業(yè)培養(yǎng)人,而且更要留住人才。目前導致我國企業(yè)信息化項目實施失敗的主要原因之一便是專業(yè)化復合性人才匱乏。其一,企業(yè)奇缺CIO(首席信息官),其二,缺乏信息管理師,進而導致企業(yè)信息化缺乏內(nèi)動力,無法正常、高效地運行下去。
1.5 流程風險 營運風險、授權(quán)風險、信息技術(shù)風險和財務風險共同構(gòu)成了流程風險。財務風險,信息化項目投資少則上百萬,多則數(shù)千萬,包括信息化軟件費、網(wǎng)絡硬件費、實施服務費(費用比大致為1:2:3)。由于企業(yè)的業(yè)務不可能是一成不變的,如果企業(yè)的發(fā)展戰(zhàn)略、組織結(jié)構(gòu)、業(yè)務流程發(fā)生了較大的變化,整個信息系統(tǒng)也要作相應的調(diào)整,系統(tǒng)的投入會更大,這些隱含的成本由于其本身存在較大的不確定性而容易被忽視,最終形成所謂的IT黑洞。
1.6 執(zhí)行控制風險 執(zhí)行控制風險包括信息化軟件選擇、實施服務商選擇、實施進度控制、實施成本控制等方面。上述企業(yè)信息化實施工作不當,輕則增加成本、延長進程,重則導致企業(yè)信息化實施失敗。實施過程中,服務方缺乏相應的實施規(guī)范,忽視或者不深入進行項目的可行性研究、需求分析、系統(tǒng)分析等或者監(jiān)控力度不夠,使信息化實施項目不能如期完成;實施結(jié)束,缺乏相應的驗收,或是驗收的標準的差異,導致企業(yè)的信息化項目成為“難樓工程”。
1.7 監(jiān)督考核風險 企業(yè)和政府部門在IT規(guī)劃過程會對信息化需求的分析和系統(tǒng)選型的實施給予充分的關(guān)注,但忽視了與之相配合的IT管制體系的建設和優(yōu)化。信息化建設并不以系統(tǒng)的上線為止,更多的工作在于系統(tǒng)的推廣、維護和優(yōu)化;隨著信息化應用的不斷深入,企業(yè)對信息化依賴程度越強,管制缺乏,信息化所隱藏的風險將越來越突出,如信息安全的隱患、無形資產(chǎn)流失的風險、系統(tǒng)故障給業(yè)務帶來的影響等等。企業(yè)進行內(nèi)部控制的建設由企業(yè)自行承擔,沒有外部監(jiān)管,內(nèi)部控制也就只能是紙上談兵而不能夠真正發(fā)揮作用。
2 企業(yè)信息化風險形成的原因
企業(yè)應用信息化系統(tǒng),存在一定的風險,分析風險的目的不是要企業(yè)放棄實施信息化系統(tǒng),而是要企業(yè)充分估計風險,正確對待風險,從而成功實施信息化。信息化風險的生成機理是復雜的,一方面是內(nèi)因,由信息化自身的特點所決定:第一,信息化的無疆界特征;第二,信息化的低成本特征;第三,信息化的開放性特征;第四,信息化的匿名性特征。另一方面是外因,是信息化的風險源。重要的歸納為十個方面:自然災害;安全生產(chǎn)事故;網(wǎng)絡攻擊;借助信息化手段進行欺詐;病毒和蠕蟲;內(nèi)部泄密;使用不當;因內(nèi)部因素而造成的信息、數(shù)據(jù)的修改和丟失;因外部因素造成信息、數(shù)據(jù)的泄露、篡改和丟失;安全防范措施不到位的高端技術(shù)等。
3 構(gòu)建企業(yè)信息化全面風險管理體系
3.1 明確企業(yè)信息化中全面風險管理的目標
企業(yè)全面風險管理體系將達到以下主要目標:①明確企業(yè)不同層面的風險管理職責,保證風險管理體系的落實;②統(tǒng)一風險度量,建立風險預警機制和應對策略;③提供風險的實時有效監(jiān)控和依據(jù)包括風險信息的收集、分析、報告系統(tǒng);④可能給企業(yè)造成重大損失的應該有效的回避,企業(yè)戰(zhàn)略目標得以實現(xiàn);⑤企業(yè)利益相關(guān)者能夠了解企業(yè)的風險,達到股東、債權(quán)人以及監(jiān)管機構(gòu)要求的滿足;⑥形成一套自我運行、自我完善的風險管理機制。
3.2 設置信息化全面風險管理關(guān)鍵點
3.2.1 風險評估與診斷
系統(tǒng)地辨識企業(yè)所面臨的風險,對辨識出的風險進行定性和定量的分析,評價風險對企業(yè)目標的影響。
3.2.2 風險管理戰(zhàn)略及其實施方案
依據(jù)企業(yè)的整體戰(zhàn)略,結(jié)合企業(yè)的管理能力,明確企業(yè)的風險管理目標;針對不同的關(guān)鍵風險,引入量化分析工具,確定風險偏好和承受度;制訂保證企業(yè)整體戰(zhàn)略目標實現(xiàn)的整合風險管理戰(zhàn)略。
3.2.3 風險管理流程優(yōu)化與設計
基于企業(yè)現(xiàn)有的管理流程和內(nèi)部控制體系,結(jié)合已評估出的風險,找出流程中的關(guān)鍵風險控制點,梳理并細化具體控制內(nèi)容,優(yōu)化和完善制度,優(yōu)化監(jiān)控指標體系,強化運營和管理流程中的內(nèi)部風險控制。
3.2.4 企業(yè)風險管理組織設計與文化建設
優(yōu)化和設計企業(yè)風險管理結(jié)構(gòu),設計不同層面的風險管理組織職能方案和相應的職責要求、人員能力框架,優(yōu)化和完善關(guān)鍵的績效管理體系和薪酬激勵機制,構(gòu)成風險管理有效運行的保障架構(gòu)。
3.2.5 風險管理方案設計
尋找企業(yè)風險留存與轉(zhuǎn)移的平衡點,設計相應的風險管理金融工具組合如期貨、期權(quán)、掉期、保險等產(chǎn)品組合或風險準備金、或有資本、專屬保險等,實現(xiàn)對具體風險事項的控制。
3.3 構(gòu)建ERM(Enterprise Risk Management Framework)企業(yè)風險管理框架
企業(yè)應當根據(jù)自己的具體情況建立自己的ERM概念性框架:將風險偏好與企業(yè)戰(zhàn)略相聯(lián)系;確保風險管理戰(zhàn)略與組織的發(fā)展戰(zhàn)略和股東的價值相一致;利用風險最優(yōu)化的概念,避免額外的成本支出。應該做到以下七個方面:構(gòu)造企業(yè)風險管理的文化環(huán)境、定義風險、評估風險、制定回應風險的措施、控制措施、溝通信息、持續(xù)的監(jiān)控。充分有效地利用風險管理,將風險管理的精神深植于企業(yè)的組織文化和員工的心中,并透過一個強有力的全面風險管理框架,將風險管理融入企業(yè)日常的作業(yè)程序中。
4 實施企業(yè)信息化全面風險管理
實施企業(yè)信息化全面風險管理,構(gòu)建全面風險管理體系,應從企業(yè)整體層面建設企業(yè)的風險管理的架構(gòu),包括制定企業(yè)的風險管理戰(zhàn)略、完善企業(yè)的內(nèi)控體系、設計與優(yōu)化企業(yè)的風險管理流程、設計企業(yè)風險管理組織結(jié)構(gòu)及其職能,從而是企業(yè)建立起全面風險管理的長效機制,從根本上提升風險管理的效率和效果。
4.1 重視風險管理
對信息話價值的徹底理解是是信息化建設所需要,不可能立馬就成功,不能為上信息化而信息化。人力、物力、財力及戰(zhàn)略發(fā)展規(guī)劃上給予信息化建設高度重視是企業(yè)所必須達到的,并明確項目管理機構(gòu)和職能,以帶動各級員工的積極性和參與意識,確保信息建設的順利實施。
4.2 建立能切實推進信息化建設的組織,切實防范風險
企業(yè)巨額投資進行信息化建設應密切配合企業(yè)管理重組。根據(jù)現(xiàn)代企業(yè)管理“企業(yè)過程化、組織扁平化、功能系統(tǒng)化”的要求,進行管理重組,著力進行與信息化相適應的企業(yè)文化設計與建設,全面轉(zhuǎn)變和更新企業(yè)經(jīng)營思想觀念,注重員工創(chuàng)新意識能力和團隊協(xié)作精神的培養(yǎng),為企業(yè)成功實施信息建設提供思想基礎和文化支撐。
為使信息系統(tǒng)能切實發(fā)揮作用,企業(yè)應參與信息化的全過程,建立相應的信息化組織。首先,企業(yè)要對安全性、實用性、先進性等方面進行全面統(tǒng)籌和權(quán)衡,把企業(yè)信息系統(tǒng)依據(jù)操作層、運營層和決策層三個層次來規(guī)劃,緊緊圍繞企業(yè)中長期發(fā)展戰(zhàn)略,以支持企業(yè)實現(xiàn)使命為主要目標,建設和不斷完善相應的硬件系統(tǒng)和軟件系統(tǒng)。其次,制定具體實施推進策略是,在做好整體規(guī)劃的前提下,分步實施、重點突破、持續(xù)改進。最后,在關(guān)鍵環(huán)節(jié)、關(guān)鍵機構(gòu)、關(guān)鍵業(yè)務進行實施,實現(xiàn)企業(yè)內(nèi)關(guān)鍵點的信息化,然后連點成線,織線成面,接面成體,最終構(gòu)成立體化、高度集成、高度集中的企業(yè)級智能信息應用系統(tǒng)。
4.3 運用信息技術(shù)對風險進行定性/定量風險分析
按其對項目的影響程度排出先后級,借助分析者的經(jīng)驗和直覺,為風險管理諸要素的大小或高低程度定性分級,即風險定性分析。定量分析即對構(gòu)成風險的各個要素和潛在損失的水平賦予數(shù)值或貨幣金額,當度量風險的所有要素都被賦值,風險評估的整個過程和結(jié)果就都可以被量化了。企業(yè)組織根據(jù)具體的情況,運用信息技術(shù)選擇定性或定量的分析方法。
4.4 實施風險的監(jiān)控
風險監(jiān)控,在整個項目過程中監(jiān)督已識別風險和殘留風險、識別可能出現(xiàn)的新風險、執(zhí)行風險應對計劃、評估計劃執(zhí)行的有效性,應判斷:①風險應對措施是否按計劃實施;②風險應對措施是否有效,是否需要制定新的措施;③項目假定條件是否依然成立;④風險的狀態(tài)是否在改變;⑤是否出現(xiàn)了風險征兆;⑥正確的項目章程和流程有否被遵從;⑦是否有未識別的風險發(fā)生。
4.5 加強風險管理系統(tǒng)的測評與反饋
企業(yè)的信息化建設是一個漸進的、動態(tài)的增效過程,風險與收益始終伴隨著企業(yè)。加強實時風險管理系統(tǒng)的測評與反饋,增強系統(tǒng)風險管理的效率。我們可以發(fā)現(xiàn)風險管理的實質(zhì)即:識別風險、篩選風險、控制重點風險、最終降低風險。通過業(yè)務和過程的實時測評與反饋——實時控制子系統(tǒng),通過對未來事務和行為的反饋控制——反饋控制子系統(tǒng),反饋控制包括內(nèi)部反饋控制和外部反饋控制兩部分。
4.6 利用網(wǎng)絡信息技術(shù)提高企業(yè)全面風險管控能力
企業(yè)風險管理的各項工作都要用到信息技術(shù),建立一套風險管理信息系統(tǒng),包括采集、存儲、加工、分析、測試、傳遞、報告、披露等功能。變化的環(huán)境、復雜的決策、稍縱即逝的機會都需要有提供及時、有效、準確的信息,風險管理信息系統(tǒng)是提高風險管理效率及可靠性的重要保障,為企業(yè)各部門之間的風險溝通架設橋梁。
風險管理信息系統(tǒng)為量化風險提供計算服務,并且可根據(jù)管理層的要求就某一事件進行情境分析,有關(guān)風險管理的數(shù)據(jù)庫也保存在系統(tǒng)之內(nèi),風險管理信息系統(tǒng)也是風險控制和企業(yè)風險管理戰(zhàn)略的載體。以信息技術(shù)為基礎的信息系統(tǒng)使一些適于自動化的管理流程必須通過系統(tǒng)才能加以實現(xiàn),避免了人為錯誤,增強了控制程度,并提高了管理效率。
總之,風險控制不是靜止的,這就要我們不斷地去加深研究,企業(yè)界強化認識、給予重視也是非常重要的。在傳統(tǒng)的風險控制觀念基礎上,充分利用網(wǎng)絡信息技術(shù),實施全面風險管理,圍繞企業(yè)總體經(jīng)營目標,培育良好的風險管理文化,建立完整全面風險管理系統(tǒng),保證實現(xiàn)風險管理的最終目標。
參考文獻:
[1]李樹剛.企業(yè)內(nèi)控中信息化實施方案探析[J].商場現(xiàn)代化,2013(12).
【關(guān)鍵詞】 稅收信息化;電子稅務;風險管理
隨著現(xiàn)代化科學的飛速發(fā)展,全球快速進入到信息化時代。1994年稅制改革和稅務機構(gòu)分設后,稅務系統(tǒng)開始步入較大規(guī)模信息化建設時期。自1995年國家稅務總局提出“以納稅申報和優(yōu)化服務為基礎,以計算機網(wǎng)絡為依托,集中征收、重點稽查、強化管理”的深化征管改革的方針以來,各地迅速推廣使用計算機,局域網(wǎng)、廣域網(wǎng)覆蓋了全部稅收工作。信息化建設步伐不斷加快,在稅收工作中發(fā)揮了重要作用。
經(jīng)過多年發(fā)展,我國的稅收信息化建設取得了很大進展,全國稅務系統(tǒng)在信息化技術(shù)裝備、基礎設施、業(yè)務系統(tǒng)開發(fā)應用等方面已具備一定基礎。在基礎設施方面,全國地稅系統(tǒng)計算機二級網(wǎng)絡建設初具規(guī)模,全國國稅系統(tǒng)計算機四級建設已經(jīng)完成。以信息服務為內(nèi)容的為納稅人服務的體系初步形成,出現(xiàn)了互聯(lián)網(wǎng)網(wǎng)絡、IC卡、防偽設施等多種申報方式;在稅務管理應用系統(tǒng)建設方面,金稅工程在稅務系統(tǒng)內(nèi)部全面開通運行,初級公文處理軟件已在全國稅務系統(tǒng)推廣使用,稅收征管業(yè)務和行政管理初步規(guī)范化,層級監(jiān)控能力提高;在人員素質(zhì)培訓方面,各級領導信息化意識增強,干部科技素質(zhì)得到提高,廣大稅務工作人員已初步接受了計算機培訓。
但是稅收信息化的風險問題不容忽視,信息化建設過程中的風險可能來自于各個方面,因此必須認清稅收信息化中所存在的風險的內(nèi)容,并進行深入細致地分析研究,將風險產(chǎn)生的不利影響減少到最小的程度,使稅收信息化能夠有序、正常地發(fā)展下去。
稅收信息化的風險是指稅務機關(guān)在進行稅收信息化的建設或應用中所面臨的各種威脅以及產(chǎn)生的一切負面影響和作用,是稅收信息化發(fā)展的實際結(jié)果與預期目標間的偏差,也是稅收信息化對稅收工作產(chǎn)生的積極作用之外的不良影響。而引發(fā)信息化風險的原因是來自多方面的,其根本原因就是由于在網(wǎng)絡經(jīng)濟中稅收信息化的根本特征所致,即現(xiàn)代信息技術(shù)與稅收業(yè)務緊密、廣泛地相結(jié)合。其主要原因有以下五方面:
一是信息技術(shù)本身就具有較強的風險,最突出的表現(xiàn)就是信息技術(shù)的安全性。
二是由于稅收信息化的應用是在傳統(tǒng)的稅收工作的基礎上建設而成的,傳統(tǒng)工作中一些與信息技術(shù)應用不相適應的因素導致了相關(guān)風險。
三是稅收信息系統(tǒng)的不完善,功能的不健全,造成了稅收信息化建設中面臨著較大的應用風險。
四是稅收工作與社會的普遍結(jié)合,致使稅收信息化的應用可能受到來自稅務機關(guān)外部的不良因素的威脅。
五是目前社會形態(tài)正處于由傳統(tǒng)的工業(yè)經(jīng)濟社會向網(wǎng)絡經(jīng)濟社會變革的過程之中,稅收信息化受到了整個社會的影響和制約,造成了稅收信息化發(fā)展的風險。
有風險存在,就必須實施相應的風險管理,以達到識別風險、控制風險、防范風險的管理目標。由于稅務機關(guān)普遍存在風險意識淡薄,對稅收信息化風險認識片面的問題,稅收信息化的風險管理是一個需要緊迫地提上議事日程的項目工程。在調(diào)查中很多稅務機關(guān)已采取了一些措施來防范風險,比如使用防計算機病毒軟件,進行系統(tǒng)數(shù)據(jù)備份等,但由于稅收信息化所面臨的風險是綜合性的,局部風險的控制在短期內(nèi)是有一定的效果的,但從長遠來看,總體效果并不十分明顯。因而整體化風險防范的思路更為可取。
在整體化思路中,我們需綜合考慮與稅收信息化風險相關(guān)的各方面因素,重新構(gòu)建稅收信息化總體框架,并以此為中心實現(xiàn)稅收業(yè)務處理與信息存儲的大集中,優(yōu)化稅收業(yè)務流程,處理好與信息服務商的關(guān)系,培養(yǎng)稅務工作人員在信息化環(huán)境中的工作及思維模式,強化稅收業(yè)務、稅收信息的標準化建設及法制、法規(guī)建設,利用先進的技術(shù)手段優(yōu)化納稅服務,解決好稅務部門與其他單位信息交換的問題,加強稅收電子的整體建設及組織管理工作,提高稅務工作人員的風險意識,進行有效的風險管理。
其風險管理具體可分為六個步驟:
第一步,明確稅收信息化風險管理的目標。風險管理的目標要針對稅收信息化應用和發(fā)展的總體和局部、近期和長遠內(nèi)容分別制定,并有效實施,要結(jié)合國家稅收信息化發(fā)展的總體策略,有效地進行風險防范。
第二步,識別和評估稅收信息化的風險。首先要識別和發(fā)現(xiàn)已存在的風險,這是進行風險管理的基礎。其次,找出產(chǎn)生風險的原因,判斷風險的產(chǎn)生是技術(shù)問題還是管理問題或者是思維、意識方面的問題,是來自稅務機關(guān)內(nèi)部的還是外部的等等。再次,衡量風險的重要性及其發(fā)生的可能性。
第三步,制定稅收信息化風險管理的策略。在實際中,針對特定的風險制定策略的方法有很多,如對于后果不可承受的風險可采取避免其風險事件的發(fā)生或排除風險;對一般風險可采取降低風險,將其導致的后果降低到可以承受的程度。
第四步,制定和實施稅收信息化風險管理的具體措施。主要是根據(jù)制定了的策略建立有針對性的措施細節(jié)。例如應用新技術(shù)、對信息系統(tǒng)進行二次開發(fā)、調(diào)整業(yè)務流程或機構(gòu)設置等。
第五步,稅收信息化風險管理實施效果的監(jiān)測。在稅收信息化建設內(nèi)容中,建立稅收信息化風險監(jiān)測機制,針對總體發(fā)展戰(zhàn)略、應用成果、業(yè)務過程等方面進行監(jiān)測。
第六步,改善和優(yōu)化稅收信息化風險管理內(nèi)容和過程。稅收信息化是處于不斷地發(fā)展和變革之中,在工作中要不斷地對風險管理的目標、策略、方案、內(nèi)容等進行改善和優(yōu)化,以達到風險管理的根本目的。
整體化的稅收信息化風險防范是稅務部門進行風險防范最為有效的方式,稅收信息化的風險管理不是一個獨立的問題,是與稅收信息化的建設、發(fā)展密切相關(guān),并構(gòu)成了稅收信息化體系結(jié)構(gòu)中一個重要的,不可缺少的組成部分。
參考文獻
[1]蔡金榮.電子商務與稅收.中國稅務出版社,2000
[2]方衛(wèi)平 黃瓊.稅收電子化.上海財經(jīng)大學出版社
隨著《中央企業(yè)全面風險管理指引》(以下簡稱《指引》)和《企業(yè)內(nèi)部控制規(guī)范》及配套指引在中央企業(yè)的開展和推廣,央企陸續(xù)建立或準備建立內(nèi)控和全面風險管理體系,風險管理已經(jīng)成為企業(yè)生存與發(fā)展的關(guān)鍵要素。而信息化作為推動和實現(xiàn)企業(yè)體制完善、管理創(chuàng)新的重要手段,也早已融入企業(yè)的各項管理和實踐。越來越多的企業(yè)將風險管理信息化納入企業(yè)信息化建設規(guī)劃當中。已經(jīng)有相當數(shù)量的中央企業(yè)建立了內(nèi)控和全面風險管理信息系統(tǒng),還有一些企業(yè)結(jié)合管理實踐,從法律、市場、信用、項目等專項業(yè)務管理入手形成了專項風險管理信息化應用。
風險管理信息化存在的問題
據(jù)調(diào)查,目前中央企業(yè)全面風險管理信息化建設仍處于起步階段,僅有少數(shù)企業(yè)建立了獨立的整體或?qū)m楋L險管理信息系統(tǒng)。信息技術(shù)在企業(yè)各項風險管理工作中的應用仍不充分,無法滿足企業(yè)對信息收集、風險評估、預警監(jiān)測、溝通報告等工作的信息化要求,也未能發(fā)揮其對提高風險管理效率的促進作用。
筆者認為風險管理信息化之所以開展緩慢,應用不順,可能與如下因素有關(guān):
首先是定位不夠清晰。一部分企業(yè)在建立內(nèi)控或風險管理體系的同時或之后,實施了風險管理信息系統(tǒng),但是這樣一個系統(tǒng)是作為內(nèi)控或全面風險管理牽頭部門的工作信息平臺,用于推動企業(yè)內(nèi)控和全面風險管理管理體系運行?還是希望在各專項業(yè)務管理中通過風險管理信息化手段評估和管控業(yè)務風險?不少企業(yè)對于系統(tǒng)的操作主體、應用范圍、管理目標往往不夠清晰,導致信息系統(tǒng)效能難以發(fā)揮。
其次是不能與業(yè)務管理融合。有些企業(yè)雖然已經(jīng)構(gòu)建了風險管理信息系統(tǒng),但是業(yè)務管理和風險管理在信息化應用中幾乎沒有交集,在信息系統(tǒng)中難以體系集成與信息共享,使得風險管理變成“管理孤島”?,F(xiàn)代企業(yè)已經(jīng)制定了各種各樣足夠多的規(guī)章制度、流程手冊、程序文件、工作指南等;還有各種管理體系,包括質(zhì)量管理、安全管理、六西格瑪、全面預算管理、全面風險管理、HSE、內(nèi)控規(guī)范等。理論上講,不管引入并建立了多少種管理理念和體系,企業(yè)都應當將它們整合成一套制度和流程,而企業(yè)的員工只要嚴格按照這套制度和流程中所規(guī)定的要求開展工作即可以滿足所有管理體系的要求。如果不能發(fā)揮風險管理的整合價值,如果不通過IT技術(shù)構(gòu)建統(tǒng)一的信息化應用平臺,實現(xiàn)多個體系的整合和管理的融合,就會不斷形成“管理體系孤島”和“信息孤島”,也就失去了內(nèi)控和風險管理的價值和意義。
風險管理信息化的原動力
企業(yè)風險管理信息化主要應滿足以下兩個層面的管理需要:
一方面是建立內(nèi)控和全面風險管理體系的信息化運行平臺,幫助企業(yè)開展定期的風險評估、日常風險監(jiān)控改進和內(nèi)控評價,編制風險管理和內(nèi)控評價報告,落實公司層面風險的集中管理,實現(xiàn)風險管理體系的運轉(zhuǎn)。這項業(yè)務對于大多數(shù)企業(yè)來講,與企業(yè)其他業(yè)務管理相比較,是企業(yè)的“新業(yè)務”。因此,有必要建立—套信息系統(tǒng)作為落實該業(yè)務的工作平臺,便于內(nèi)控和風險管理職能部門或團隊更有效地開展公司層面風險管理工作的組織、溝通、協(xié)調(diào)和報告,解決風險管理工作推動、監(jiān)督、評價考核;目前市場上絕大多數(shù)產(chǎn)品都是為了滿足內(nèi)控和全面風險管理體系的建設和運行而設計的,已經(jīng)實施風險管理信息化建設的中央企業(yè)多數(shù)也是應用的此類產(chǎn)品。此外,在構(gòu)建此類信息系統(tǒng)時,最好結(jié)合中國企業(yè)的實際情況,盡可能考慮內(nèi)控和全面風險管理在信息流(包括風險庫、指標庫、流程庫、控制措施等)、管理過程和評價考核等方面的融合。
另一方面就是企業(yè)中作為風險管理第一道防線的業(yè)務管理部門,需要將風險管理與企業(yè)業(yè)務管理相融合,使得風險管理充分融入企業(yè)的各項日常工作實踐,應用風險管理的手段,評估并管控業(yè)務中的風險,體現(xiàn)在業(yè)務管理的信息化應用中,支持業(yè)務管理的有效風險分析和決策支持,這是業(yè)務管理部門所必備的工具手段。
這兩個方面既體現(xiàn)企業(yè)管理的全局與局部,又體現(xiàn)風險管理的集中與分類,構(gòu)成了企業(yè)風險管理信息化的原動力。
風險管理與業(yè)務管理信息化的融合
如何體現(xiàn)管理融合是企業(yè)信息化建設的重點和難點。如果一個企業(yè)有自己的協(xié)同辦公管理系統(tǒng),又有一套ERP,企業(yè)的各項業(yè)務的管理實踐如何既能在執(zhí)行業(yè)務流程的同時有效地評估和管控風險,又不出現(xiàn)“管理體系二張皮”的情況呢?顯然,一套業(yè)務系統(tǒng)、一套風險管理系統(tǒng)的模式難以適應企業(yè)管理應用,換句話說,構(gòu)建一套風險管理系統(tǒng)既作為企業(yè)內(nèi)控和全面風險管理體系的運行平臺,又希望承載風險管理與業(yè)務管理的融合要求是很困難的。
《指引》第五十八條明確提出:“已建立或基本建立企業(yè)管理信息系統(tǒng)的企業(yè),應補充、調(diào)整、更新已有的管理流程和管理程序,建立完善的風險管理信息系統(tǒng);尚未建立企業(yè)管理信息系統(tǒng)的,應將風險管理與企業(yè)各項管理業(yè)務流程、管理軟件統(tǒng)一規(guī)劃、統(tǒng)一設計、統(tǒng)一實施、同步運行?!?/p>
根據(jù)《指引》的要求,對于尚未進行業(yè)務信息化建設的企業(yè),應該應用內(nèi)控和風險管理體系作為管理整合的管理依據(jù)和基礎保障,將風險管理要素嵌入各項管理業(yè)務流程,統(tǒng)一設計一套整合的業(yè)務管理信息系統(tǒng),在業(yè)務管理實踐中開展并重復風險管理的閉環(huán)。
而對于已經(jīng)構(gòu)建ERP等信息化應用的企業(yè),可以考慮將風險管理要素分解并構(gòu)造成較細顆粒度且相對獨立的“服務”。若企業(yè)具備修改、調(diào)整原有管理系統(tǒng)條件的,可以在各業(yè)務流程的不同環(huán)節(jié)中“嵌入”所需要的風險管理服務,根據(jù)服務運行的結(jié)果,決定下一步流程走向,形成“強控制”。比如,可以提供多個定性和定量的風險分析服務以及風險評價和查詢服務,用于在各項業(yè)務中開展風險評估和動態(tài)查詢,并在信息系統(tǒng)中根據(jù)風險分析和評價結(jié)果確定下一步應對策略和操作環(huán)節(jié)。
對于不具備業(yè)務系統(tǒng)中進行流程控制優(yōu)化條件的,可以建立數(shù)據(jù)接口確保業(yè)務數(shù)據(jù)到風險管理系統(tǒng)的單向輸入,根據(jù)業(yè)務管理邏輯和數(shù)據(jù)分析構(gòu)成風險管理“服務觸發(fā)器”,根據(jù)風險承受度和管理策略及時發(fā)出提示、預警等,但不影響原有系統(tǒng)的流程,形成“弱控制”。
關(guān)鍵詞:浙煙;信息化;風險管理
中圖分類號:F270.5
文獻標識碼:A
文章編號:1672-3198(2009)08-0031-02
1 浙煙信息化項目可能存在的風險
1.1 來自浙煙企業(yè)內(nèi)部的管理風險
企業(yè)內(nèi)部管理風險主要體現(xiàn)在管理變革風險與企業(yè)內(nèi)部管理部門的風險。
(1)管理變革風險。
信息化首先是一個管理問題,其次才是技術(shù)問題。信息技術(shù)和管理技術(shù)的不斷發(fā)展推動了整個浙煙企業(yè)信息化的變革,從而使企業(yè)的經(jīng)營管理理念發(fā)生了本質(zhì)的變化,它的變革如同“工業(yè)革命”一樣是歷史發(fā)展的必然,
(2)企業(yè)內(nèi)部管理部門的風險。
企業(yè)內(nèi)部管理部門的風險主要體現(xiàn)在企業(yè)對信息化的認識與管理理念的差異。浙煙商業(yè)企業(yè)是一個特殊的企業(yè),各級企業(yè)領導對信息化的認識也是參差不齊,有些企業(yè)實施“信息化”的目的并不是為了用信息化提升管理、促進戰(zhàn)略目標的實現(xiàn),而是為完成信息化任務上信息化而信息化。
1.2 信息化建設信息系統(tǒng)規(guī)劃風險
信息系統(tǒng)規(guī)劃是企業(yè)信息化建設重要步驟,是基于企業(yè)信息化客觀的需求分析和技術(shù)要求,結(jié)合信息化投入預算和對市面上主要系統(tǒng)產(chǎn)品和供應商進行調(diào)查、比較、分析和評估,最后確定是自行開發(fā)系統(tǒng)、委托開發(fā)系統(tǒng)、還是購買現(xiàn)成產(chǎn)品。在此過程中存在著多方面的風險,比如:
(1)IT戰(zhàn)略與業(yè)務戰(zhàn)略相脫節(jié)。
信息化的根本目的是支持業(yè)務戰(zhàn)略的實現(xiàn),而IT戰(zhàn)略是信息系統(tǒng)規(guī)劃的總綱,定義了信息化的使命、遠景和原則,但企業(yè)信息化過程中常見的情況是沒有定義清晰的IT戰(zhàn)略,對企業(yè)業(yè)務戰(zhàn)略的有效支持自然無從談起;另一種情況是僅僅在形式上給出了與業(yè)務戰(zhàn)略相一致的描述,而在實際規(guī)劃和實施過程中依然是IT和戰(zhàn)略“兩張皮”。缺乏與業(yè)務戰(zhàn)略相結(jié)合的IT戰(zhàn)略,通常導致業(yè)務驅(qū)動的IT規(guī)劃路線,即“業(yè)務要什么,IT就做什么”,一方面,業(yè)務本身需求的無序性,從而導致了企業(yè)信息系統(tǒng)應用的無效現(xiàn)象;另一方面,業(yè)務驅(qū)動的IT規(guī)劃路線也往往導致柔性不足,無法適應業(yè)務和技術(shù)的變化。
(2)技術(shù)選擇風險。
在技術(shù)選擇方面常見兩種傾向:一是恪守“少花錢,多辦事”的原則,從硬件的購置到系統(tǒng)的選擇都走低端路線;二是“要上就上最好的”,走一流配備的路線。對于前者我們要說,信息技術(shù)發(fā)展日新月異,盲目追求廉價的選型方式只會導致系統(tǒng)和設備加快被淘汰的速度,其結(jié)果是增加了企業(yè)再次投資的成本;而盲目追求技術(shù)的先進性同樣不是我們提倡的做法,技術(shù)選擇的最佳標準是與業(yè)務需求相匹配,前面兩種做法都將最終導致成本的增高。
(3)選擇規(guī)劃者風險。
這里常見的問題是信息化技術(shù)人員往往傾向于關(guān)注技術(shù)問題而不擅長于對企業(yè)戰(zhàn)略和管理問題的把握,而管理者一方面事務繁忙,另一方面通常對信息技術(shù)了解不足,同樣難以承擔信息系統(tǒng)規(guī)劃的任務。在這種情況下,很多企業(yè)轉(zhuǎn)而求助于專業(yè)咨詢公司。值得一提的是,目前國內(nèi)提供IT規(guī)劃咨詢服務的機構(gòu)可以分為三種類型;系統(tǒng)提供商,以其技術(shù)實力為背景,更多地從技術(shù)層面為企業(yè)進行IT規(guī)劃;純咨詢類機構(gòu),通常有著相對完善的方法論體系,對管理問題有著較深的理解,所做規(guī)劃與戰(zhàn)略和業(yè)務結(jié)合較好;專業(yè)系統(tǒng)提供商與咨詢服務機構(gòu)的結(jié)合體,這類企業(yè)一方面對IT系統(tǒng)有著較深的認識,另一方面擁有系統(tǒng)的方法論體系,能夠較好地實現(xiàn)IT與戰(zhàn)略和業(yè)務的銜接,倘若在IT規(guī)劃之后提供其后續(xù)的系統(tǒng)實施服務,更易實現(xiàn)規(guī)劃結(jié)果的落地。
1.3 信息化項目建設組織風險與項目管理者行為風險
(1)組織風險。
企業(yè)信息化建設過程是一個非常復雜的過程。其涉及范圍廣,人員多,知識綜合性強,不確定因素也多。企業(yè)信息化建設項目除了涵蓋企業(yè)的各個職能部門外,甚至將供應商、客戶、相關(guān)聯(lián)系單位、下屬企業(yè)等都納入到系統(tǒng)中,是一個內(nèi)、外互動的系統(tǒng)。同時,企業(yè)信息化建設是一個全員參與的過程,牽涉到現(xiàn)場的操作工人、職能部門的專業(yè)人員、部門管理人員直至企業(yè)高層領導。再者,組織實施企業(yè)信息化系統(tǒng),需綜合運用計算機知識、項目管理、系統(tǒng)工程論、管理理論、相關(guān)軟件知識、行業(yè)經(jīng)驗和實施方法論。因此其項目組織的難度之大,細節(jié)之多是一般項目很難比擬的,因此企業(yè)信息化項目建設過程的組織風險是顯然的。
(2)項目管理者行為風險。
通過分析,有下列四類代表性的項目管理者行為風險。第一種類型為不確定性的否定。項目管理者認為有風險的項目是可怕的項目,管理者總是盡可能地減少風險和問題以便使自己的團隊看起來更加合適和有競爭力。這類項目管理者認為風險管理存在更多負面的影響,從而趨向于不愿意管理風險。第二種類型為不確定性的規(guī)避。主要體現(xiàn)在客戶與項目管理者對風險合理性的矛盾看法及其行為傾向。也體現(xiàn)在項目團隊對風險認識與風險評價的不一致性,在這種情況下,項目管理者為了項目團隊達成一致意見,項目管理者選擇不管理風險或管理容易被識別的風險。第三種類型是不確定性的延期。項目管理者不愿意對風險進行積極的管理,對風險漠不關(guān)心,直到風險發(fā)生時才匆忙采取行動。第四種類型是不確定性的忽視。它是由兩個原因引起的,首先,因為項目狀態(tài)的復雜性和動態(tài)性,項目團隊不能準確預測風險;其次,項目管理者不愿意尋找項目風險管理技巧來定義項目以外的風險。
1.4 企業(yè)信息化建設實施、應用維護及信息安全風險
(1)實施風險。
實施過程中,服務方缺乏相應的實施規(guī)范,忽視或者不深入進行項目的可行性研究、需求分析、系統(tǒng)分析等前期工作,導致企業(yè)信息化系統(tǒng)的功能、實用程度都不夠理想;實施過程中的監(jiān)控力度不夠,使信息化實施項目不能按計劃完成;實施結(jié)束,沒有相應的驗收,或是驗收的標準出現(xiàn)分歧,使企業(yè)的信息化項目成為“難樓工程”。因此企業(yè)信息化實施工作應該循序漸進,分步進行。
(2)應用維護風險。
系統(tǒng)正常運行后日常的維護工作是不可避免的。作為企業(yè),應勤于積累工作中遇到的問題及解決方法,注意系統(tǒng)的異常。無論數(shù)據(jù)庫有多先進,軟件廠商技術(shù)實力有多雄厚,也難免會有不足之處。因此企業(yè)至少應該做到在硬件條件上消除會造成系統(tǒng)全面癱瘓的可能。另外也應該有一定的人員在系統(tǒng)的功能模塊的技術(shù)實現(xiàn)上有所了解,或者對二次開發(fā)內(nèi)容以及用戶自行開發(fā)部分的有所把握,從而
使企業(yè)在軟件故障方面具備了一定的解決能力。
(3)信息與系統(tǒng)安全存在的風險。
對于一個典型的信息化系統(tǒng),主要的依賴網(wǎng)絡安全,操作系統(tǒng)安全。數(shù)據(jù)庫安全和應用安全、病毒的預防、非法入侵的監(jiān)督、數(shù)據(jù)更改的追蹤、數(shù)據(jù)的安全備份與存檔、主機房的安全管理規(guī)章、系統(tǒng)管理員的監(jiān)督等等來保證系統(tǒng)的安全性。目前,普遍存在著不重視系統(tǒng)安全的現(xiàn)象,諸如用戶口令泄密、超級用戶授權(quán)過多等。缺乏安全意識的直接后果是系統(tǒng)在安全設計上出現(xiàn)漏洞和缺陷,它將導致系統(tǒng)的癱瘓。對系統(tǒng)軟件過多的更改可能會影響程序和數(shù)據(jù)的一致性和完整性,也給將來的軟件版本升級增加了難度和成本。
2 浙煙信息化項目風險管理與風險防范
企業(yè)信息化過程面臨著如此之多的風險,因此企業(yè)必須結(jié)合自身的實際情況構(gòu)建風險管理及預警體系,加強風險管理,做好信息化項目風險防范工作。
(1)加強制度建設,建立風險管理體系。行業(yè)高層管理積極地參與并大力支持,組織強有力的實施團隊,技術(shù)部門、業(yè)務部門積極地參與到實施過程當中,充分地溝通,及時預防、分析、研究及化解信息化項目實施中潛在的風險;并進行風險管理定期檢查,重點關(guān)注管理上的死角,及時發(fā)現(xiàn)工作中的疏漏和問題,督促相關(guān)部門或單位采取處理措施。
(2)積極改善項目管理者行為風險。改善項目管理者行為風險的策略有四:①營造鼓勵風險溝通的信息化項目文化,行業(yè)領導者負起支持和推動風險管理工作的責任,把風險溝通和預防納入項目管理者績效考核工作中。②進行信息化項目團隊建設。項目管理者充分發(fā)揮團隊的作用,通過合理的授權(quán)令每一個團隊成員承擔相應的責任,同時定期組織各種團隊活動,增加成員彼此交流、增進信任的機會,營造一個平等開放、相互信任的工作環(huán)境。加強管理者對風險認識差異的理解。提高項目管理風險的積極性,項目管理者應該首先接納他們的不同意見,站在他們的立場來理解和關(guān)注其情感反應,本著坦誠、開放和主動的態(tài)度來尋求他們的支持。④提供風險溝通工具的支持。便利的溝通工具會影響項目成員風險溝通的信心和控制力,并且能加速風險信息的收集與共享。⑤制定合理的風險管理流程。本文參考卡耐基?梅隆大學的軟件工程研究所建立的能力成熟度模型提出閉環(huán)的浙煙信息化項目風險管理流程,如圖1所示。
(3)從企業(yè)發(fā)展戰(zhàn)略高度審視企業(yè)信息化建設的作用與價值,盡快、科學的做出應用協(xié)同商務、協(xié)同政務、供應鏈管理、企業(yè)資源計劃、業(yè)務模式重組、產(chǎn)品協(xié)同研發(fā)和信息技術(shù)的決策t并逐步落到實處。注重企業(yè)與信息產(chǎn)品供應商、咨詢服務商等方面的合作和溝通,借鑒他人的經(jīng)驗教訓。具體而言,就是將浙煙企業(yè)的管理技術(shù)、研發(fā)技術(shù)、制造技術(shù)、信息技術(shù)和網(wǎng)絡技術(shù)有機的結(jié)合起來,通過有效的應用,推動供應鏈協(xié)同商務模式、相互信任和雙贏機制的創(chuàng)新、企業(yè)管理模式和業(yè)務流程的創(chuàng)新、產(chǎn)品研發(fā)模式和設計理念的創(chuàng)新、產(chǎn)品制造模式和方法的創(chuàng)新,從而全面提升企業(yè)競爭力。
1 正確認識企業(yè)信息化風險和風險管理
提到企業(yè)信息化的風險,大家普遍會聯(lián)想到病毒、黑客攻擊,認為只需要使用殺毒軟件、防火墻等安全產(chǎn)品就可以了,但這只是信息化安全方面的風險,是對企業(yè)信息化風險的狹義、局限性認識,這種認識暴露出我們長期以來在風險防范、管理意識方面的薄弱。而真正廣義的企業(yè)信息化風險是指在信息化實施過程中,由于各種因素導致結(jié)果與最初的信息化戰(zhàn)略目標存在偏差,有偏差即是有風險,不管這種風險是否給企業(yè)帶來經(jīng)濟損失。我們只有通過合理的方法辨識風險、分析風險、控制風險,找出風險來源,區(qū)分風險因素對信息化產(chǎn)生的影響,并且針對不同的風險采取相應的防范與化解的措施,力爭將損失和威脅降到最低,才能使企業(yè)信息化的效能最大化。
2 企業(yè)信息化風險的原因
信息化系統(tǒng)相對于一般的項目而言在管理、技術(shù)、時間、資金、實施和維護等方面存在更多的風險因素,但歸納起來主要是三個方面:管理層風險、執(zhí)行層風險、操作層風險。
2.1 管理層戰(zhàn)略風險 俗話說:“站得越高,看得越遠”,只有對信息化做出正確、長期、準確的戰(zhàn)略發(fā)展規(guī)劃,信息化系統(tǒng)成功的機率、對企業(yè)做出的貢獻才會越大。首先,需要企業(yè)管理層對信息化的價值理解透徹,不能急于求成、盲目跟風,抱著“別人都有,我也要有,要用就用最好的”等錯誤思想,而要從信息化的實用性、功能性、安全性等方面進行全面統(tǒng)籌和權(quán)衡,必須要以支持企業(yè)經(jīng)營管理、提高工作效率為最終目標,可采取分步實施、重點突破、逐步完善的信息化部署戰(zhàn)略。其次,企業(yè)信息化是對管理觀念的一種轉(zhuǎn)變和突破,企業(yè)高層必須要理解和接納這種管理思想,必須要在人力、物力、財力上給予信息化建設高度重視,領導的重視和親身參與,勢必帶動各級員工的積極性和參與意識,為信息化項目的實施奠定良好的基礎。
但是,不少企業(yè)高層管理人員尚未認識到這一點,對信息化的認識和管理理念比較落后,在有些領導看來,信息化只是個面子工程,是個無底洞,需要不斷的投入,還不能直接給企業(yè)創(chuàng)造經(jīng)濟效益。因此在進行信息化規(guī)劃時目標不明確,動機不純,或者干脆沒有規(guī)劃,為以后信息化實施埋下了隱患。比如:某企業(yè)2008年花費十幾萬購買了一套公文流轉(zhuǎn)系統(tǒng),該系統(tǒng)功能強大,完全能滿足企業(yè)無紙化辦公需要。但是領導長期在外,常年不用電腦,再加上領導無法適應傳統(tǒng)的領導圈閱方式一子被電子簽名所取代,所以長時間采用公文流轉(zhuǎn)和領導紙質(zhì)圈閱并行方式。這就是典型的管理層戰(zhàn)略風險,管理層觀念落后,實施信息化動機不純,單純的為上信息化而信息化。最終的結(jié)果只能是企業(yè)投入了大量資金卻并沒有提高工作效率,信息化系統(tǒng)形同虛設,無法發(fā)揮應有的作用,造成資金浪費。
2.2 執(zhí)行層風險 有了信息化戰(zhàn)略規(guī)劃,具體執(zhí)行部門就要根據(jù)規(guī)劃實施信息化項目,在具體實施過程中,可能存在來自于技術(shù)落后、資金短缺、管理低下、人才缺乏等方面的風險。
2.2.1 信息化系統(tǒng)選擇風險。如今市場上各種信息化軟件、硬件產(chǎn)品眾多,不同應用平臺和開發(fā)工具,不同的硬件集成,都將決定企業(yè)信息化未來的效益、維護成本和轉(zhuǎn)移成本。一旦系統(tǒng)或設備選型不當,將限制企業(yè)信息化的長遠發(fā)展。因此選擇信息化系統(tǒng)時要兼顧功能和技術(shù)要求,功能上既滿足當前的業(yè)務需求,也要考慮未來的業(yè)務發(fā)展。技術(shù)并不是追求越先進越好,而應該選擇現(xiàn)階段技術(shù)比較成熟,可升級、兼容更新技術(shù)的產(chǎn)品。比如:某國有大型企業(yè)2005年耗資上百萬在全公司自上而下部署了一套電子檔案管理系統(tǒng),但在使用中發(fā)現(xiàn)該系統(tǒng)存在諸如操作不方便,與協(xié)同辦公平臺不兼容等問題,導致系統(tǒng)使用不到半年就夭折了,2010年公司又重新研發(fā)了一套全新的電子檔案系統(tǒng)。這就是信息化系統(tǒng)選擇失敗的典型案例,這種情況在現(xiàn)在的企業(yè)尤其是國有企業(yè)相當普通。
2.2.2 信息化項目管理風險。信息化系統(tǒng)的實施過程是一個復雜而又艱巨的系統(tǒng)工程,在內(nèi)部,它滲透到企業(yè)經(jīng)營的不同層次、不同部門之中,是一個全員參與的項目,在外部,它要適應信息化的快速發(fā)展,與系統(tǒng)提供商的合作溝通等等。在項目實施過程中,如果各部門溝通不順暢、協(xié)同不力;系統(tǒng)實施人員特別是核心人員的流失或中途調(diào)動;實施費用嚴重超出預算等都可能直接影響信息化的實施結(jié)果。因此,項目實施領導小組必須要掌好舵、舉好旗,嚴把項目進度、成本、質(zhì)量關(guān),負責各級部門的組織和溝通協(xié)調(diào),確保實施人員的穩(wěn)定性。
2.3 操作層風險 操作層是指實際應用信息化系統(tǒng)的部門或人員,這是最容易被人忽視,也是最容易產(chǎn)生風險的環(huán)節(jié)。
2.3.1 業(yè)務流程風險。在應用信息化系統(tǒng)之前,企業(yè)必須要根據(jù)崗位職責對各崗位的業(yè)務流程進行完善和優(yōu)化,使信息化系統(tǒng)與實際業(yè)務工作相匹配,否則就會造成系統(tǒng)與實際脫節(jié),形成信息孤島,無法發(fā)揮作用。
2.3.2 基礎數(shù)據(jù)風險。在利用信息化系統(tǒng)進行數(shù)據(jù)分析的時候,必須要求數(shù)據(jù)及時、規(guī)范、準確、完整,否則得出的分析結(jié)果就可能與實際大相徑庭。因此,企業(yè)要通過一些規(guī)章制度來明確和規(guī)范數(shù)據(jù)的內(nèi)容,通過督導檢查、高額獎懲等手段來確保數(shù)據(jù)的及時性和準確性。
2.3.3 信息安全風險。其一,要盡量確保信息化系統(tǒng)在安全性上不能有漏洞,發(fā)現(xiàn)問題要及時與系統(tǒng)供應商溝通解決;其二,購置相應的安全保護軟件或硬件設備,幫助減少系統(tǒng)安全風險,提高系統(tǒng)的運行穩(wěn)定性。其三,要制定和完善系統(tǒng)安全運行規(guī)章制度、數(shù)據(jù)故障應急預案,確保系統(tǒng)出現(xiàn)故障時可以及時處理。
3 企業(yè)信息化風險管理的策略
3.1 建立信息化風險管理機構(gòu) 隨著企業(yè)信息化的不斷推進,信息化在企業(yè)中的地位不斷凸顯,并且成為企業(yè)核心競爭力的組成部分。因此,企業(yè)應該及時組建企業(yè)信息化風險管理機構(gòu),它的職能是建立科學的風險分析、評估體系,定期評估信息化風險,監(jiān)控信息化實施、運行過程,從企業(yè)整體利益出發(fā),根據(jù)產(chǎn)生風險的性質(zhì)和特征,選擇不同的風險處置方案。設置企業(yè)信息化主管(CIO),直接對企業(yè)決策層負責。
3.2 建立科學、規(guī)范的業(yè)務流程 管理手段的落后和管理流程的混亂,是大多數(shù)企業(yè)的通病,企業(yè)信息化關(guān)鍵的一步,就是建立一個科學、規(guī)范、先進、適用的工作業(yè)務流程,并且要將管理策略和制度融入業(yè)務流程之中。“沒有規(guī)矩,不成方圓”,企業(yè)都制定了一大堆管理制度,涉及到企業(yè)管理的方方面面,但這些制度或多或少被束之高閣、有名無實。因此,要將這些管理制度和業(yè)務策略信息化,用程序化的手段融入業(yè)務流程之中,成為業(yè)務處理過程中的決策工具,實現(xiàn)業(yè)務流程和業(yè)務控制策略、企業(yè)管理制度一體化的信息化系統(tǒng)。
3.3 營造一個信息化風險管理的環(huán)境 信息化是把“雙刃劍”,大家既要認識到信息化給企業(yè)帶來的積極意義,也要認識到信息化失敗給企業(yè)帶來的危害。因此,營造一個信息化風險管理的文化環(huán)境是非常重要的,平時要注意培養(yǎng)大家風險管理的意識,并貫徹到日常工作中去。隨著信息化的逐漸深入,當信息化己成為日常工作的必須工具,與自己的業(yè)務本職工作息息相關(guān)的時候,大家就會意識到自己對于風險防范的責任,加之經(jīng)常培訓員工風險管理的方法和措施,企業(yè)整體的風險管理能力就會逐步提升。
3.4 引入第三方風險檢測、評估機構(gòu) 在信息化的風險管理中,很多風險必須通過專業(yè)的手段和儀器才能夠進行檢測和分析,因此還應該引入第三方檢測評估機構(gòu),通過專業(yè)化的檢測手段發(fā)現(xiàn)系統(tǒng)錯誤,對系統(tǒng)作一個公正、客觀、科學的評價,最大程度地避免信息化的“豆腐渣”工程。在這個過程中,我們要摒棄傳統(tǒng)的自我保護思想,害怕被發(fā)現(xiàn)問題,要以更加開放的心態(tài)去進行信息化建設,內(nèi)外合作,才能逐步增強抗風險能力。
[關(guān)鍵詞] 風險識別 風險評估 風險應對
實施任何項目都有風險,即在企業(yè)投入相應資源后沒有如期實現(xiàn)項目目標。項目風險管理,就是在項目實施過程中對項目可能出現(xiàn)的問題進行主動而系統(tǒng)的識別、評估并及時采取相應的應對措施和行動,減少風險帶來的損失。風險管理由風險識別、風險評估和風險應對三個部分組成。
一、風險識別
風險識別就是確定風險事件及其來源,是項目風險管理中一項經(jīng)常性的工作。由于風險的不確定性,風險識別實際上只能算是一種預測分析,是對可能會給項目目標實現(xiàn)帶來負面影響的環(huán)節(jié)和因素所進行的假想。目的是做到有備無患,當實際風險發(fā)生時能有效應對。
風險因素可能來自需求、技術(shù)、資金、實施方等各個方面,但項目實施最根本的目標是實現(xiàn)項目的期望,因此風險識別也應重點關(guān)注影響項目期望的因素。同時在風險識別過程中,也需要辯證地分析風險因素的負面效應(即風險帶來的威脅)和正面效應(即潛在的機會)。
具體的項目風險識別方法,主要有:1.調(diào)查問卷法,即事先設計相應的表格、問卷,然后選取特定的調(diào)查對象,然后總結(jié)出項目的風險;另外,詢問項目組成員也非常有幫助,問問他們以前做過的項目里曾發(fā)生過哪些意料不到的問題。2.頭腦風暴法,就是由項目小組成員在一起,反復假設“如果……,那就會……”,充分預測信息化項目中出現(xiàn)的各種情況,從而盡可能多的找出影響項目成功實施的因素。3.理論分析法,即通過建立數(shù)學模型等方法從理論上來分析信息化項目的風險,比如決策樹、敏感性分析、蒙特卡羅模擬等。4.專家判斷法,即請教擅長信息化項目實施的專家、學者、教授,經(jīng)驗豐富的項目經(jīng)理、實施顧問等,從理論與實踐多方面來判斷項目風險因素的正面效應和負面效應。5.經(jīng)驗總結(jié)法,就是借助以往企業(yè)信息化項目實施的經(jīng)驗教訓,來類推、聯(lián)想這個信息化項目中的風險因素。
二、風險評估
風險評估就是估算風險的性質(zhì),估算風險事件發(fā)生的概率及其后果的大小,以降低項目的不確定性。風險評估又稱作風險量化,就是比較風險的大小,從而決定是否需要采取相應的應對措施。風險評估的方法很多,歸納起來主要包括以下幾種:用風險發(fā)生的概率來評估風險發(fā)生的可能性;用風險帶來的損失來評估風險發(fā)生的嚴重性;用現(xiàn)有的手段能否控制風險的發(fā)生來評估風險發(fā)生的可控性;用風險影響的地域大小、對象多少等來評估風險影響的范圍;用風險發(fā)生在項目生命周期的階段來評估風險發(fā)生的時間。
實際項目風險管理過程中,常常用逐項評分的方法來量化風險的大小,即事先確定評分的標準,然后由項目小組一起,對預先識別的項目風險一一打分,然后得出不同風險的大小。
三、風險應對
針對風險評估的結(jié)果,制定相應的應對措施去響應風險,就是風險應對,其目的是創(chuàng)造機會,回避威脅。風險應對中,需要對風險的正面效應(即潛在的機會)制定增強措施,對風險的負面效應(即可能的威脅)制定應付方法。對于不同的風險,需要根據(jù)其重要性、影響大小,以及已經(jīng)確定的處理優(yōu)先次序,采取相應的措施加以控制,對負面風險的反應可以是盡量避免、努力減小或設法接收。另外,在處理風險時需要注意應對的“及時性”和“反復性”,即在第一時間對各種突發(fā)的風險做出判斷并采取措施;對已經(jīng)發(fā)生或已經(jīng)得到控制的風險經(jīng)常進行回顧,確保風險能夠得到穩(wěn)定長期的控制。
項目風險應對的措施主要有:1.修正項目目標或范圍。盡管有深入的項目調(diào)研和詳盡的項目規(guī)劃,但信息化項目過程中的需求改變常常難以避免,因此為保證項目的實施效果,對項目的目標或范圍加以必要修正,能夠有效應對項目偏離需求的風險。2.加強培訓。加強項目培訓能夠提高參與項目的IT人員和業(yè)務人員甚至管理人員、決策者對信息化項目的認知,對規(guī)避項目的實施風險有良好的效果。3.加長模擬階段的周期。信息化項目中最重要的是信息系統(tǒng)與企業(yè)業(yè)務流程的結(jié)合,因此加長系統(tǒng)模擬業(yè)務流程的周期,使之充分適應企業(yè)業(yè)務流程,能夠保證項目對企業(yè)的適應性,從而降低項目的實施風險。4.引入第三方咨詢和監(jiān)理。信息化項目初期尤其是剛剛開展信息化項目的企業(yè),在信息化項目實施中引入第三方咨詢和監(jiān)理,能夠利用第三方的專家優(yōu)勢和對項目實施的經(jīng)驗來應對項目風險。5.始終貫徹項目管理的標準流程。嚴格執(zhí)行項目管理中的時間、成本、質(zhì)量控制等標準流程,能夠有助于控制項目風險。6.準備風險保證金,適當預留項目計劃時間。信息化實施往往周期較長,在項目預算中預留一定數(shù)量的風險保證金,時間計劃中預留一定的時間,能夠有效應對由于項目需求改變或者范圍增加而造成的時間和成本風險。7.行政強制手段。對于項目中的某些難點,采用行政強制手段能夠起到很好的效果。8.終止項目。這是一種極端的做法,往往由于項目目標沒有明確所致,采用這種做法雖然會導致項目的徹底失敗,但也是萬不得已,能夠避免企業(yè)更大的損失。
在信息化項目開發(fā)過程中,一個成功的風險管理可以防止和減少項目中潛在問題的影響,它是處理危機的有效處方。在項目生命周期內(nèi),一個優(yōu)秀的項目管理人員應在風險反應和風險預防之間達到一種平衡:當風險沒有出現(xiàn)時,風險管理有助于你通過科學的分析和方法,降低風險發(fā)生的概率或轉(zhuǎn)移風險,減小風險損失;當風險出現(xiàn)時,風險管理有助于你采用一種經(jīng)過深思熟慮的解決方法去快速的做出反應,從而減小風險對整個項目所造成的影響。
參考文獻:
[1]邱菀華:現(xiàn)代項目風險管理方法與實踐.北京:科學出版社,2003
關(guān)鍵詞:全面風險管理 信息化 實踐
一、專業(yè)管理理念和目標
(一)專業(yè)管理的理念或策略
通過信息系統(tǒng)提供的各種風險識別與評估工具,準確識別風險,科學量化的風險評估等級,基于關(guān)鍵風險影響因素制定有效的應對策略,從而提高風險評估與預控能力。
通過風險工作臺單據(jù)的管理模式,把公司財務風險管理融入日常經(jīng)營活動,加強財務專業(yè)領域的風險治理,實現(xiàn)公司財務風險管理目標。
(二)專業(yè)管理的范圍和目標
1.專業(yè)管理的范圍
風險管控系統(tǒng)涉及公司管理層面和部門執(zhí)行層面的各崗位。首先班組成員是管理主體,班組成員同時還是系統(tǒng)的使用、維護人員,班組的日常工作內(nèi)容都要通過他們在系統(tǒng)中體現(xiàn)出來;其次是風險管控領導崗位,發(fā)揮職能協(xié)同作用,協(xié)同系統(tǒng)整體運作,按照“整體設計、前期試點、分步實施、整合運行”,逐步在運行中基礎準備、風險建設、深入實施、整合提升,圍繞風險防控體系建設目標。
2.專業(yè)管理的目標
基于公司統(tǒng)一的管控策略,在建立健全公司財務風險管理體系的基礎上,利用信息系統(tǒng)平臺實現(xiàn)財務風險識別、分析、評估、應對、監(jiān)控、重估全過程的管理,將公司財務風險管理體系靜態(tài)信息和動態(tài)信息全面納入信息化管理范疇。
二、專業(yè)管理的主要做法
(一)專業(yè)管理工作的流程圖
詳見圖1。
(二)全面風險管理內(nèi)部層次框架
詳見圖2。
(三)節(jié)點主要做法
1.全面風險管控節(jié)點做法
(1)公司風控信息系統(tǒng)分為基礎應用平臺和高級應用平臺,可滿足總部各部門、公司各級單位的管理需要。公司風控信息系統(tǒng)以SAP GRC為基礎,利用NetWeaver、Sotower開發(fā)平臺和BPA引擎,完成了流程框架維護、流程分級管理、風險控制關(guān)聯(lián)、崗位授權(quán)固化、制度流程融合、內(nèi)控在線評價和內(nèi)控標準落地應用等功能的開發(fā),實現(xiàn)所有管理要素的動態(tài)關(guān)聯(lián)。風險點、控制點與流程步驟、崗位動態(tài)關(guān)聯(lián),便于各崗位開展風險應對,執(zhí)行控制措施,實現(xiàn)風險控制關(guān)聯(lián)。通過流程步驟與崗位匹配,明確崗位職責,固化授權(quán)標準,并支持不相容職責自動檢查,實現(xiàn)崗位授權(quán)固化。
(2)公司采取以財務專業(yè)為試點,從財務風險管理體系建設著手,推動全面風險防控體系建設工作。一是結(jié)合ERP系統(tǒng)108項工作流程,全面梳理財務內(nèi)部控制流程。二是開展財務風險辨識,采集風險信息200余條,形成財務風險事件54項。三是以風險“信息與溝通”為中心設計財務內(nèi)控管理流程,其中包括風險評估、控制活動、有效性評價等三個核心內(nèi)容。四是制定財務內(nèi)部控制及評價細則,采用現(xiàn)場訪談、控制測試、穿行測試等方式開展財務內(nèi)控自評價。五是制定財務稽核工作規(guī)范,建立財務稽核規(guī)則庫,對財務數(shù)據(jù)在線稽核,穩(wěn)步推進財務風險在線監(jiān)控。六是建立風險監(jiān)控預警指標,設定指標標準值和兩級預警區(qū)間,對指標趨勢變化動態(tài)監(jiān)控。
(3)構(gòu)建防控體系,防范全面風險。公司以信息平臺建設為契機,將風險防控體系建設與各業(yè)務信息系統(tǒng)有機結(jié)合,推進全面風險管理體系建設,幫助執(zhí)行管理指令的政策和程序。它貫穿各層次和功能,包括各種活動,如批準、授權(quán)、證實、調(diào)整、經(jīng)營績效評價、資產(chǎn)保護和職責分離等。
(4)建立企業(yè)級風險信息庫。明確了各專業(yè)所面臨的主要風險及其表現(xiàn)形式、風險成因、應對措施,為各專業(yè)開展日常風險管理工作提供了基礎信息;并且,通過四級風險與內(nèi)控流程關(guān)鍵步驟的匹配,將公司層宏觀風險轉(zhuǎn)變?yōu)榕c實際崗位相關(guān)的具體風險,提高了公司對風險的整體“免疫力”。
2.預算控制信息化節(jié)點做法
(1)在業(yè)務源頭進行控制。應用信息系統(tǒng),在業(yè)務發(fā)生環(huán)節(jié)在線實時控制,實現(xiàn)預算控制關(guān)口前移。采取信息化手段及預算分析手段,信息化手段客觀控制手段,剛性控制,暴露和反映問題,預算控制對象為預算責任中心、預算科目及輔助維度的組合,基于責任中心及預算科目執(zhí)行年度總額預算控制;對于成本性及資本性支出項目,同時按照項目進行明細預算控制。從業(yè)務發(fā)起的源頭開始預算控制,如采購業(yè)務――提交采購申請時,進行預算控制;員工報銷業(yè)務――提報報銷申請單時,進行預算控制。
(2)預算控制的適用性。―是可控費用總額控制,對15項重要科目實行單控嚴控,科目預算控制主要包括“三公”等費用科目、在建工程工程科目,按照年度和進度實施控制。在線反映實際收支情況和指標情況,及時提供具體的信息,實現(xiàn)信息實時反饋。設置預警指標,對差異比較大或臨近超支的,給予提示預警,提示及時結(jié)算或控制發(fā)生。實現(xiàn)偏差及時預警。對超預算的實施強控制,不得發(fā)生。實現(xiàn)指標在線控制。二是嚴格項目創(chuàng)建校驗,確保沒有預算外項目發(fā)生。項目預算包括:資本性支出項目和成本性支出項目,均按照支出項目明細預算和年度預算實施雙重管控。三是應用項目預算財務支出強控功能,確保單項工程不超預算。
3.工程核算流程內(nèi)部控制節(jié)點做法
(1)協(xié)同信息平臺,促進風控融合。在風險管理信息系統(tǒng)與各業(yè)務信息系統(tǒng)建設過程中,將關(guān)鍵風險點、內(nèi)控流程、管控措施等進行固化,實現(xiàn)風險防控與業(yè)務管控有機融合。一是將ERP成熟套裝軟件、財務管控、協(xié)同平臺、營銷、生產(chǎn)、基建等系統(tǒng)有序銜接,實現(xiàn)業(yè)務信息與風險信息同步。二是借助ARIS流程管理平臺,將420項內(nèi)控流程固化到企業(yè)信息系統(tǒng)。三是在財務管控設置15項內(nèi)控考評點,在ERP中設置17項評價標準,在信息系統(tǒng)中開展風險管理考核評價。四是通過項目儲備庫、標準作業(yè)庫、物資價格庫集成,強化標準作業(yè)、基建成本的控制與管理。五是開發(fā)資產(chǎn)全壽命周期評估決策系統(tǒng),從資產(chǎn)形成、日常管理、運行維護、報廢退出四個環(huán)節(jié)對資產(chǎn)成本進行控制、評估與考核。
(2)發(fā)揮監(jiān)督合力,推進依法治企。堅持依法從嚴治企,構(gòu)建由財務、審計、紀檢等部門組成的內(nèi)控監(jiān)督防線。一是加強業(yè)務部門溝通協(xié)作,重點發(fā)揮業(yè)務部門的監(jiān)督合力,拓展稽核監(jiān)督深度與廣度。二是利用在線稽核系統(tǒng),對重點業(yè)務進行動態(tài)監(jiān)控,利用審計成果,加大重點領域和薄弱環(huán)節(jié)的現(xiàn)場稽核,利用“聯(lián)席會議機制”對稽核結(jié)果進行效能監(jiān)察。三是建立稽核結(jié)果、內(nèi)審外檢、典型案例等信息共享平臺,促進稽核成果轉(zhuǎn)化應用。四是開展在線稽核,發(fā)現(xiàn)疑點87項,監(jiān)督各單位對問題落實整改。五是加大日常業(yè)務稽核力度,對重點領域和關(guān)鍵環(huán)節(jié)進行專項稽核和治理,做好事前、事中、事后的聯(lián)合監(jiān)督。六是推行省公司抽查、省農(nóng)電公司督查、市公司普查三級稽核方式,實現(xiàn)對縣農(nóng)電企業(yè)稽核的閉環(huán)管理。七是強化審計監(jiān)督,開展“三指定”自查整改、“小金庫”和工程建設領域?qū)m椫卫淼然顒?。八是制定監(jiān)督管理辦法,實行聯(lián)席會議制度,強化權(quán)力運行監(jiān)督,重大事項監(jiān)督全部到崗到位,使工作達到閉環(huán)管理。
(3)堅持五個“兩率”考核,實現(xiàn)與“五集中”對接。引入獨具特色的、以五個“兩率”為核心的財務評價指標體系,實現(xiàn)與“五集中”對接,強化風險過程管控。基礎工作兩率,即會計憑證“合格率”和“及時率”,推動基礎財務工作向“精細化”和“標準化”轉(zhuǎn)變,奠定會計集中核算基礎。工程管理兩率,即工程項目“竣工決算完成率”和“項目轉(zhuǎn)資入賬率”,有效解決了公司超期完工轉(zhuǎn)固的問題,實現(xiàn)資本集中運作。預算管理兩率,即年度預算“完成率”和進度預算“偏差率”考核,確保預算集約調(diào)控。資金管理兩率,即資金“占用率”和資金“歸集率”,確保資金全都集中在可監(jiān)控的范圍內(nèi),做到資金集中管理。財務報表兩率,即報表“及時率”和“正確率”,有效保證了財務報表的及時性和準確性,為經(jīng)營決策、風險防控提供數(shù)據(jù)基礎。
4.核算流程內(nèi)控節(jié)點做法
(1)利用管控系統(tǒng)集團對賬平臺進行集團內(nèi)外單位的往來核對。雙方單位確認往來賬目,在平臺進行核銷,保證報表合并順利。
(2)子公司財務報表經(jīng)過自查稽核、省公司稽核。查找填報存在問題進行整改。
(3)與網(wǎng)省公司人資部門、營銷部門等業(yè)務部門系統(tǒng)核對業(yè)務數(shù)據(jù),保持嚴格一致。
(4)網(wǎng)省公司報表合并后問題進行整改。
三、評估與改進
國家電網(wǎng)公司在ERP應用方面提出了“完善提升、深化應用、安全運行、再上水平”的信息化工作思路,公司作為省首家通過實用化驗收的地市單位,雖然取得了階段性的成績,但通過與西北電網(wǎng)等在ERP上線和成熟應用中走在了前列的兄弟單位相比,還存在相當?shù)牟罹唷?/p>
(一)專業(yè)管理存在的問題
(1)全面風險管理信息化新增任務項目需要與各業(yè)務部門協(xié)同進行,財務協(xié)同管控的力度不夠、業(yè)務部門提供的業(yè)務參數(shù)不準確,口徑不統(tǒng)一,缺乏把控和審核,導致標準成本與實際成本有偏差
(2)全面風險管理信息化程度需要進一步加強,出現(xiàn)信息化發(fā)展與流程的同步問題,在實現(xiàn)對公司各流程的監(jiān)督,控制重大事項的過程中,實現(xiàn)有效供應鏈管理中,兩者結(jié)合點出現(xiàn)問題,控制點無法落到實處。
(3)內(nèi)部控制和業(yè)務流程中的標準化問題。信息化的標準體系有待于完善建設。管理流程有待于進一步規(guī)范,流程不確定化對信息化應用造成阻礙。
(二)今后的改進方向或?qū)Σ?/p>
(1)協(xié)同各業(yè)務部門,根據(jù)公司管理的實際需要新增任務流程,在過程中實現(xiàn)工程項目各節(jié)點的風險管控。
(2)資金管理實現(xiàn)審批流程,與銀行聯(lián)結(jié),實現(xiàn)電子收付自動生成憑證。
(3)實現(xiàn)財務與營銷業(yè)務的有效集成,提高數(shù)據(jù)共享度,提高工作效率。繼續(xù)健全公司標準化體系建設,管理流程進一步規(guī)范。