發布時間:2023-09-07 18:08:55
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的信息化風險管理樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
關鍵詞:風險識別;風險評估;風險應對
湖南中煙工業有限公司隨著重組的完成,整個企業的業務運作模式發生了巨大的變化,從原來的單一卷煙廠管理模式轉變成集團化管理模式,新的業務模式對企業的信息化建設提出了新的要求,原來卷煙廠的信息化架構已經不能滿足集團化的管理要求。同時,公司重組之初。為了保證整個集團日常業務開展,采用了“上移下推”的信息化建設策略,將各卷煙廠中使用效果較好的應用系統拿到中煙層面進行一定的改造后迅速投入使用,依靠應用系統基本支撐起公司日常業務和管理。
一、風險識別
風險識別實際上是一種預測分別。就是確定風險事件及其來源,目的是做到有備無患,當實際風險發生時能有效應對。項目風險的識別是一個非常復雜的過程,尤其風險的范圍、種類和嚴重程度經常容易被主觀夸大或縮小,使項目的風險評估分析和處置發生差錯,造成不必要的損失。常用的方法包括:調查問卷法;頭腦風暴法;理論分析法;專家判斷法和經驗總結法等等。
根據湖南中煙項目實施經驗,項目風險識別可以從客觀信息源出發的方法包括:
1.核對表法。核對表一般根據項目環境、產品或技術資料、團隊成員的技能或缺陷等風險要素,把經歷過的風險事件及來源列成一張核對表。核對表的內容可包括:以前項目成功或失敗的原因;項目范圍、成本、質量、進度、采購與合同、人力資源與溝通等情況;項目產品或服務說明書;項目管理成員技能;項目可用資源等。項目經理對照核對表,對本項目的潛在風險進行聯想相對來說簡單易行。這種方法也許揭示風險的絕對量要比別的方法少一些,但是這種方法可以識別其他方法不能發現的某些風險。
2.流程圖法。流程圖方法首先要建立一個工程項目的總流程圖與各分流程圖,它們要展示項目實施的全部活動。流程圖可用網絡圖來表示,也可利WBS來表示。它能統一描述項目工作步驟;顯示出項目的重點環節;能將實際的流程與想象中的狀況進行比較;便于檢查工作進展情況。這是一種非常有用的結構化方法,它可以幫助分析和了解項目風險所處的具體環節及各環節之間存在的風險。運用這種方法完成的項目風險識別結果,可以為項目實施中的風險控制提供依據。
3.財務報表法。通過分析資產負債表、營業報表,以及財務記錄,項目風險經理就能識別本企業或項目當前的所有財產、責任和人身損失風險。將這些報表和財務預測、經費預算聯系起來,風險經理就能發現未來的風險。這是因為,項目或企業的經營活動要么涉及貨幣。要么涉及項目本身,這些都是風險管理最主要的考慮對象。項目在信息化項目風險因素中。很低、較低、一般、較高、很高表示了對應風險因素發生的嚴重程度。為了量化項目風險因素,要對湖南中煙項目風險因素表賦值,效益型變量的備選很低、較低、一般、較高、很高,分別賦值0.1、0.3、0.5、0.7、0.9;成本型變量,對應很低、較低、一般、較高、很高分別賦值0.9、0.7、0.5、0.3、0.1。模型中的變量包括:信息化項目風險程度,即產出指標得分的和為被解釋變量,項目風險因素量表中的風險因素為解釋變量。
二、風險評估
風險評估又稱作風險量化,就是比較風險的大小,從而決定是否需要采取相應的應對措施。風險評估的方法很多。歸納起來主要包括以下幾種:用風險發生的概率來評估風險發生的可能性;用風險帶來的損失來評估風險發生的嚴重性;用現有的手段能否控制風險的發生來評估風險發生的可控性;用風險影響的地域大小、對象多少等來評估風險影響的范圍;用風險發生在項目生命周期的階段來評估風險發生的時間。
實際項目風險管理過程中,常常用逐項評分的方法來量化風險的大小,即事先確定評分的標準,然后由項目小組一起,對預先識別的項目風險一一打分,然后得出不同風險的大小。
三、風險應對
風險應對就是針對已識別的項目風險制訂行動策略,確定執行方案,使信息系統實施能夠按照預定的計劃執行。常見的處理方法包括:①風險控制法。即主動采取措施避免風險,消滅風險,中和風險或采用緊急方案降低風險。②風險自留。當風險量不大時可以自留風險。③風險轉移。
風險應對的方法具體如下:
1.加強制度建設,建立風險管理體系。行業高層管理積極參與并大力支持,組織強有力的實施團隊,技術部門、業務部門積極地參與到實施過程當中,及時預防、分析、研究及化解信息化項目實施中潛在的風險,并進行風險管理定期檢查,重點關注管理上的死角,及時發現工作中的疏漏和問題,督促采取處理措施。
2.制定合理的風險管理流程,并且貫徹堅持下去。嚴格執行項目管理中的時間、成本、質量控制等標準流程,能夠有助于控制項目風險。
3.加強技術培訓。加強項目培訓能夠提高參與項目的IT人員和業務人員甚至管理人員、決策者對信息化項目的認知,對規避項目的實施風險有良好的效果。
關鍵詞:信息化環境;供電企業;風險管理
中圖分類號: TB 文獻標識碼:A 文章編號:16723198(2014)17017301
1 前言
供電企業在信息化環境下的運營模式由傳統方式轉向信息化管理,供電企業在享受著運營效率提高的同時,也必然面臨著組織結構調整、管理方式、營銷模式和信息安全等方面的嚴峻挑戰。此外信息化還使供電企業在原有風險的基礎上,增加了因組織變革、管理變革和技術變革所帶來的新的風險,這些新風險與原有的風險的交織,將影響到企業的運營管理。
2 供電企業的風險
(1)組織變革產生的風險。供電企業的信息化在推進過程中,因為新的信息技術與傳統的企業文化和技術產生日益突出的矛盾而必須進行組織變革,這也是為了平衡的需要。供電企業的組織變革由于涉及到核心的業務、核心的企業文化,甚至是企業員工的個人利益,于是也就必然的產生了風險。供電企業組織變革是企業的結構由金字塔結構發展成扁平化,雖然這樣轉變能夠使信息的交流得到提高,但是也消弱了傳統組織結構中中間層的管理功能。企業結構的變革因為涉及到企業的決策層,就需要多方面考慮,不能因為結構變革的失誤而阻礙企業的信息化進程。企業結構的變革會一定程度上影響企業的文化,如果處理不當也會給供電企業帶來風險。供電企業的信息化過程需要那些具備技術和管理才能的特殊人才,如果供電企業無法自己培養就只能通過招聘方式從外面聘請以維持企業運營,但外聘的人才能否融入企業無法確定。而供電企業花費大量精力自己培養的人才,如果缺少有效激勵政策,很容易導致人才流失。
(2)信息技術變革產生的風險。信息技術在日新月異發展的同時所產生的硬件、技術、系統安全和運營及維護風險也使供電企業面臨著風險。硬件作為供電企業信息化的骨架更新換代的速度很快,供電企業在進行信息化的時候不僅要滿足當前的需要,還要考慮到以后系統升級的需要,但是先進的硬件設備也意味著高昂的成本,也會給供電企業帶來風險。此外保證供電企業日常數據的準確安全和系統網絡的安全是整個信息化的核心,否則信息化就會失去意義,最終將影響供電企業的日常運營和管理工作。
(3)管理變革產生的風險。供電企業必須在管理方面做出適當變革以適應企業的信息化的需要,在戰略層面上決策層對供電企業未來的發展方向、前景的態度決定著企業成敗,供電企業對信息化的動機關乎企業的發展高度,而供電企業是否有一個清晰而明確的規劃是企業能走多遠的關鍵。從戰術層面來看供電企業的具體而細微的各項業務雖不能直接影響到企業的存亡,但仍不容忽視。
3 供電企業的風險管理對策
(1)供電企業對重大風險加強識別和對風險的評估力度。對風險管理關鍵是通過對風險進行識別,對供電企業信息化環境下的各種影響因素匯總并重新分類,從而篩選出會給企業帶來風險的因素,預計會向風險轉變的潛在因素。供電企業通過信息化的技術手段對可能造成損失的因素進行密切的跟蹤、觀測和分析,總結出這些風險因素的變化規律,根據可能帶來的損失大小和重要程度并結合風險因素的當前狀態進行分析、判斷,找出引起風險的原因。
對風險進行評估是供電企業風險管理的一個非常重要的環節,可以為企業的風險程度的判斷提供依據,有利于企業的風險決策,能夠有效的預防風險的發生和降低其發生的概率,防止風險的接連發生,以免造成更大的損失。
(2)供電企業對重點風險加強管理。信息化環境下供電企業的自動化水平更高,隨之而來的就是風險帶來的損失也非常巨大,因此供電企業要加強對重點風險的管理。供電企業通過參考歷史數據、發揮信息技術的優勢、采用高效合理的預測方法對用戶的用電量進行測算,解決電力需求產生的風險。隨著企業信息化進程的加快,供電企業需要把信息系統的安全性放在重要位置,注重對信息系統的維護和升級,構建一個安全、高效的信息管理系統。提高供電的穩定性和供電質量,加快供電故障的解決的及時性,營造一個良好的供電、用電平臺,滿足用戶的用電需求,提高用戶的滿意度。
(3)供電企業建立一個完善的風險管理支持系統。供電企業通過從組織結構、企業制度、企業文化和企業的信息系統幾個方面構建一個比較完善的風險管理系統。以企業的組織結構為后盾,建立完善的企業管理制度和法律機制,明確相關部門和個人的權責和風險處置流程。企業文化中應樹立風險意識,讓員工時刻充滿危機意識,危機來臨時能夠從容處理。同時還需要加強培養和建設信息人才隊伍,定期進行系統培訓,使他們在工作始終能以一種暫新的面貌去投入。除了重視業務能力外,還需要建立和諧充滿良性競爭的工作氛圍和學習環境,能夠保證信息技術人員隊伍保持穩定,使他們能夠帶著愉悅的心情投入工作,提高工作效率。
信息化管理應經成為企業現代管理的趨勢,信息化技術在供電企業的推廣和應用,提高信息的共享力度,也提高了電力企業職工的工作效率,大大增強了企業的競爭力,同時也使供電企業面臨巨大的挑戰,如果不能很好的處理,將嚴重阻礙供電企業的做大做強,因此對風險管理進行分析研究具有重大意義。
參考文獻
關鍵詞:內控信息化 風險管理 內部審計
1.ERP系統背景介紹
ERP通過將企業的各方面資源進行科學地計劃、管理和控制,為企業加強財務管理、提高資金運營水平、建立高效率供應鏈、減少庫存、提高生產效率、降低成本、提高客戶服務水平等方面提供一種管理手段。ERP系統能夠系統、實時地提供與各項業務相關的數據,包括以前難以及時獲取的數據,向領導和管理層提供企業經營狀況信息,反映企業的盈利水平和各項業務活動情況。所有業務處理和活動通過統一的數據庫進行及時更新,以改善用戶存取、提高業務信息質量、減少數據校驗和重復加工處理。
2.ERP實施形成業務風險與其內部控制
2.1ERP實施形成新業務風險
ERP系統實現了從采購到付款、訂單的獲取到發票的開出等業務集成,實現了跨職能部門業務處理。在這種情況下,ERP系統中單一的數據庫,使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個結果是,用于企業內部控制的許多審計線索在ERP系統的引入后消失了。同時,企業過去基于文件審批的內部控制機制,也無法適應ERP基于流程的管理需要。更重要的是,由于企業的業務運作更加依賴于ERP系統,這種依賴和信息系統本身特點所導致的脆弱性,形成了企業新的業務風險。
2.2ERP環境下風險管理
2.2.1制定內部控制目標
利用風險評估手段重新確定企業中關鍵的業務流程;
對整個流程和控制的設計進行評估,確定這些控制是否很好地滿足和支持最終業務目標的實現;
對崗位職責分離的評估,確保在整個流程中存在正確的稽核點和平衡點,對敏感業務交易給出足夠的訪問限制;
評估控制方式是否合理,比如基于手工流程的控制和基于系統的自動控制是否搭配合理。
2.2.2確定評估范圍
ERP系統的控制評估必須基于風險管理的原則,通過風險評估尋找對主要業務運作中影響最大的領域。可以通過訪談等,確定評估范圍。
2.2.3評估控制方案
基于ERP系統的控制,是由軟件來完成的,通過控制數據的有效性和合理性來限制和核查動作的合法性。ERP系統的參數設置將決定這個領域的控制級別。這些控制包括用戶訪問、字段驗證、工作流和許多其他用于確保數據處理一致性的控制。例如,系統會自動拒絕生成一張與前一次序號相同的發票。這樣就自動降低了差錯發生的可能性和應付帳款處理的混亂。值得注意的是,在ERP系統實施過程中,某些二次開發工作會削弱在系統中已經設置好的控制,從而產生新的風險因子。針對產生新的風險因子,必須要用手工控制來彌補。
3.ERP環境下企業風險管理審計的主要內容
企業風險管理審計就是要對企業風險管理過程及其內容的適當性和有效性進行審查和評價,并提出改進建議。在ERP環境下,要重點考慮對以下幾方面進行審計。
3.1對風險管理機制的審計。
對ERP環境下企業風險管理的審計,首先必須對風險管理機制進行審計,審查企業及其下屬單位是否建立了風險管理機制,風險的識別、評價和應對機制的適應性和有效性如何,實際運行情況怎樣,是否有利于企業管理的持續改善等。在審計中,我們還應當專門對業務流程、關鍵控制點、系統監控等方面的風險管理機制進行重點審計。
3.2對業務流程的審計。
對業務流程的風險管理審計大體包括以下幾個方面:應該在系統中運行的業務是否全部通過系統運行;信息是否及時錄入系統;錄入的信息是否真實、準確;系統運行是否正確,有無系統錯誤;流程是否通暢,有無缺陷或舞弊的可能,能否進行進一步的優化;識別、評價和應對流程風險的效果如何等。
3.3對關鍵控制點的審計。
ERP系統是由采購、倉儲、生產、銷售、財務、設備管理、人力資源等多個模塊高度集成起來的,每一模塊都有相應的關鍵控制點,對企業的生產經營起著至關重要的作用。因此,對關鍵控制點的風險管理審計應作為審計的重點。審計時要主要關注以下問題:是否對關鍵控制點進行了識別,識別是否全面;是否建立了關鍵控制點的風險評價體系;是否建立了關鍵控制點的預警機制和應對機制;關鍵控制點的識別、評價、預警和應對機制的適應性和有效性如何;控制方法和手段是否可進一步優化;有無控制不嚴或失控的現象和可能等。
3.4對系統監控的審計。
對系統監控的風險管理進行審計,審查和評價企業及其下屬單位是否利用ERP系統進行了業務和績效的動態監控、監控點及其風險如何識別和評價、監控的權威性及其效果如何、發現問題的處理方式以及應對風險的效果如何、有無監控盲區或監控不力的區域、監控結果的利用情況如何等。
3.5對信息系統的審計。
從系統本身來說,無論是硬件還是軟件,都有產生故障的可能,軟件功能的完備與否也是系統運行的風險之一,ERP系統與其他系統的連接則是影響系統運行的關鍵因素。要保證ERP系統的正常運行,降低經營風險,對ERP系統以及與其相聯接的其他信息系統的風險管理與審計也是必不可少的,這包括對系統的開發與設計、軟件的程序、系統的控制、功能的劃分、硬件的架構、備份模式及效果、故障處理方案及風險應對措施、系統風險識別與評價體系等進行審計。
4. ERP環境下企業風險管理審計的主要對策
在ERP環境下,審計人員應該適應環境的變化,根據ERP環境的特點和要求,利用先進的信息技術手段,開拓思路,積極探討審計對策。
4.1充分利用系統數據集成的優勢
ERP系統實現了從采購到付款、訂單的獲取到發票的開出等業務集成,實現了跨職能部門的業務處理。在這種系統數據高度集成的條件下,效益審計的審計線索來源單一、清晰明了,杜絕了多個數據源數據不一致的現象,審計人員不需要再從多個系統獲取數據,而是僅由一個系統就能得到所有數據。
4.2加強對內部控制風險的評估,完善內部控制體系
企業經營活動及內部控制中依然存在重大差異或缺陷的可能性。如ERP系統各職能崗位職責是否分離,權限范圍設置是否合理,有些控制既可以選擇人工控制,也可以選擇由系統來控制,這些控制是否得到始終如一的執行,控制的標準是否前后保持一致。這些都會影響控制的效果,甚至產生重大差異。因此,必須對ERP環境下的內部控制體系進行測試和評估,對內部控制風險進行正確評價,進一步完善內部控制體系。
4.3注重對參數設置的審計
ERP系統有很多參數,這些參數既影響內部控制的效果,又影響財務數據的準確性和一致性,特別是集成財務數據,除了要從數據源頭控制數據的正確性之外,還應該關注中間環節中的財務集成參數的設置,以確保集成財務數據的有效性。因此,系統的參數設置是審計的一個重點,要檢查系統參數的設置是否符合企業的實際情況和行業特點,系統參數的設置是否符合一貫性、有效性,是否存在隨意改變參數設置的情況。
4.4提高審計人員對ERP系統的應用能力
ERP系統功能強大,業務模塊眾多,必須熟悉ERP系統,才能更好地開展效益審計。這就需要審計人員加強對ERP系統的學習,最好是從ERP系統實施開始就有審計人員參與項目,實踐證明,參與ERP項目實施的人員往往是對ERP系統掌握程度最高的一批人。并且,學習不能僅僅局限于財務模塊,還要熟悉其他模塊的內容,如物料管理、銷售分銷、人力資源、系統管理等。只有這樣,在ERP環境下,審計人員才能更大限度地開展效益審計。
5.結論
綜上所述,隨著ERP系統的實施,企業的經營管理模式和業務流程以及相應的內部控制發生了重大改變,這促使了內部審計的工作發生了本質的變革。因此,內部審計人員應主動參與ERP系統的實施與應用等進程,熟悉ERP系統各個模塊的功能與應用,充分利用ERP系統各模塊的集成性以及系統對流程和業務的動態監控功能,對優化后的流程進行內部控制風險評估,加強完善內部控制體系,以促進公司ERP的有效應用,提高公司的全面風險管理能力。
參考文獻:
[1] 楊律青;《基于SAP的ERP項目風險管理》;數字石油和化工; 2007年1期;95-98
[2] 梁倫騰;《ERP環境下企業的風險管理審計》;漣鋼科技與管理;2005(4);58
[3] 劉汝元,邊金良;《淺談ERP項目的風險管理》;中國科技信息;2007年09期;162-163
【摘要】 在當今信息化建設正在普及的時代,對于醫院如何利用現有的信息化條件實現對醫療風險的預控,已成為醫院信息化建設的發展方向和醫療風險的研究方向。本文探討了信息化建設在醫院醫療風險管理中應用的技術支持條件,并從風險信息管理平臺設計上提出了信息集成與查詢、風險評估與報警、決策支持與維護的操作流程。
【關鍵詞】 醫療風險;信息化;管理
【Abstract】 Nowadays informationbased construction is being popularized, thus, how a hospital makes use of an existing informationbased condition to preventively control medical risk has become a developing direction of informationbased hospital construction and a research direction of medical risk management. This study explored the technically supportive condition of informationbased construction in the medical risk management in a hospital. From the management platform of risk information, we also designed the operational process of putting forward information integration and search, risk valuation and priorwarning, decision support and maintenance.
【Key words】 medical risk; informationbased construction; management
隨著信息技術在醫療行業應用的不斷深入,利用網絡及數字技術有機整合醫院業務信息和管理信息來實現醫院內部資源有效利用和業務流程最大優化的數字化醫院已成為我國醫療信息化發展的方向,并取得了長足的進步。但是,面對當今激烈的市場競爭,以及在門診、住院、出院等環節和診斷、治療、康復等行為的全過程中時刻面臨著的醫療風險,醫院管理者必須樹立風險管理理念,研究當前醫院所面臨的新形勢,借助開展信息化建設來科學地預測和處理醫療風險,達到維護醫患雙方共同利益的最終目標。
1 研究背景
信息化建設是現代化醫院的基礎[1]。我國醫院信息化經歷了20余年的發展,已初具規模并取得了長足的進步。有關數據表明:90%以上的大中型醫院已經實現了科室的信息化管理,40%的大中型醫院正在建設全院的管理信息系統、打造數字化醫院[2]。據資料顯示,全國有20家醫院首批成為了數字化試點示范醫院。
近年來,醫院信息化建設正在從"三級"大醫院向基層醫院推進,并擬投入30億元成立利用數字化改善基層醫院落后現狀的"中國千家農村醫院數字化扶持工程"。但是,醫療事故和醫療差錯呈現出逐年上升的趨勢,根據2005年中華醫院管理學會調查統計:三級甲等醫院平均每年每家發生醫療糾紛中要求賠償的有100例左右,到法院訴訟的有20~30例左右,而賠償數額一年達100萬左右。此外,目前在風險管理上還沒有業內公認的、完善的、全國性的醫療風險監控網絡信息體系、數據庫或調控系統,因此也難以及時準確地對醫療風險程度進行評估,更無法實現通過相應的預警機制預警信號[3]。
因此,我們應加強對醫院的信息化建設,試圖通過打造數字化醫院來加強醫療風險的監控管理,形成集數字化的管理、醫療、服務為一體的現代醫院經營管理模式,并及時準確地收集、傳遞、存儲各種風險信息,做好各部門的溝通反饋和協調合作,從而來維持醫院的經營穩定,提高醫院的工作效率和經濟效益,減少因醫療風險所致的所有損失,同時還助于減少醫務人員對醫療風險的恐懼與憂慮,為醫院管理者制定工作計劃或決策提供重要依據[4]。
2 技術支持
數字化醫院的信息系統主要由兩大部分組成,即以醫院管理業務為核心的醫院管理信息系統和以臨床醫療為核心的臨床信息系統。醫院信息管理系統,是醫院信息化建設的重要組成部分,包括門診、住院病房、藥品、檢查、器材等管理分系統,且部分醫院建成了覆蓋全院的影像存檔與傳輸系統(PACS)、檢驗信息系統(LIS)、合理用藥監測系統(PASS)以及醫療質控網絡化和綜合管理查詢系統等臨床信息系統[5]。同時,正在興起的電子病歷系統是以病人為中心的,整合了管理信息系統數據和臨床信息系統數據的,反映患者醫療信息的診療系統。
在硬件支持上,目前大部分醫院擁有較先進、小到科室和個人的計算機設備,并建有成千上萬個終端信息點的網絡系統,配有防雷擊、防停電設施。同時,大中型醫院還擁有各類大型數字化設備,包括多種類型的CT、MRI、全自動生化分析儀等先進的檢查設備,均有完備的標準化數據傳輸接口,確保實現風險管理的信息化。另外,從有些醫院的經濟實力來看,有能力完成對硬件和軟件系統的升級或改造。
3 平臺設計
根據醫院的信息化建設需要和總體規劃,在已組建信息化領導小組和機構部門的基礎上,我們應增加對醫療風險信息化管理模塊,設置專職機構和人員與制定相應的管理制度。并結合醫療風險的自身特點和管理流程,自主開發醫療風險管理信息平臺,集成和監測醫院信息系統的數據,通過查詢并分析評估可能存在的風險,并及時按層次級別發出風險警報和提供可供參考的處理對策(見圖1)。
3.1 信息集成與查詢
醫院業務種類繁多,信息類型復雜。既有特有的各類醫療業務,也有常見的人、財、物的管理。所涉及的信息,有結構化的文字、自由文本,還有圖形、圖像等多媒體信息。而風險管理首先必須完成對醫療風險的識別,也就是從大量的信息中識別出醫療風險的類別、根源及影響。其中完成大量信息的集成是整個醫療風險信息化管理的第一步。以往這些主要信息來源于自我發現、他人提醒、內部檢查和上級監督等。如今,我們可以通過組建風險管理信息平臺對醫療、護理、經費、藥品、物資及科研、教學等活動中的所有信息進行分散收集、統一管理,也通過綜合管理查詢系統了解單個病人的診治信息和工作人員業務信息,從而快速、準確地實現對信息的數字化采集和查詢。
3.2 風險評估與報警
醫療過程專業性強,對信息的分析處理工具的需求具有專業化、知識化、智能化的特點。在信息集成的基礎上,我們可利用信息技術的快速、準確、便捷的特點,根據醫院的工作要求和病歷的書寫規定,開發一套能衡量和評估各類潛在醫療風險發生的概率及其潛在損失程度的風險分析處理軟件和風險預警信息系統,設想將醫療風險監測的指標輸入到信息系統中,確認這些指標的數據處理模型和預警界線值。同時,根據定性分析和事實,剖析問題的性質與發生根源,確認風險性質;根據定量分析和描述,對風險危害程度進行重要性排序,確認風險等級,最終發出相對應的警報,顯示風險的指示圖與態勢圖。
3.3 決策支持與維護
一旦出現醫療風險就必須采取針對性預控策略。如消除和緩解風險、轉移風險及分擔和回避風險等。不同的風險策略顯然效果也不同,因而醫院需要對風險策略進行最適合、最優化的選擇,其目的是將醫療風險損失成本控制到最低。我們可以在風險預警信息系統的基礎上組建智能決策支持系統,由定量分析為主的決策支持系統和定性分析為主的專家系統結合組成,主要通過對數據庫中的數據進行處理和挖掘使其輔助決策能力從運籌學、管理科學的單模型輔助決策發展到多模型綜合決策。另外,我們還必須建立一套安全機制,實行對風險管理信息系統的維護。
4 實現目標
4.1 提高管理能力,確保病人滿意
我們可以利用醫療風險管理網絡平臺及時獲取所發生的各類風險信息,及時、準確地掌握醫療風險的動態情況,促進醫院內部的信息流動和傳遞,便于管理者和政府機構對醫院的監管,使醫院風險預警更具有針對性和可行性,從而可以提高醫院經營的決策能力與管理水平,使醫院管理向正規化、現代化、科學化方向發展。同時,隨著醫療風險的降低,病人滿意度也會逐漸得到提高。
4.2 加強過程控制,提高醫療質量
醫療活動中產生的各種信息具有很強的動態性、連續性和實時性,原始的人工管理方法很難從環節管理機制上加以控制。通過醫療風險管理網絡信息工程,我們可隨時從終端上很方便地掌握全院的風險動態信息,及時發現醫療、護理過程中各環節存在的問題,使醫院管理從過去的終末質量管理深入到環節控制管理,將事后管理變成事前預測或事中監督管理,使醫院醫療質量得到明顯提高。
4.3 優化工作流程,提高工作效率
醫療風險網絡信息化管理的應用,對醫院原有的管理模式和工作流程進行了重大的改革和重組,促進了醫療活動規范、有序進行,保證了整個醫療工作的連續性和信息組成的完整性。同時,使風險管理過程由繁變簡,從雜亂走向統一,減少重復勞動,由過去的經驗型管理向科學型管理方式轉換,可以提高信息的共享和利用水平以及預警預報和快速反應能力,使醫院工作效率明顯上升。
參考文獻
[1] 連斌,許蘋.醫院核心競爭力[M]. 上海:第二軍醫大學出版社,2008:180205.
[2] 陳鈞.打造數字醫院[J]. 中國信息界(醫療),2008,4:2635.
[3] 許蘋,孔令曼,秦婷,等.建立醫療風險預警機制的若干構想[J]. 中國衛生質量管理,2006,13(1):911.
關鍵詞:華興綜合管理信息系統需求進度CMMI(軟件能力成熟度模型) 風險管理
中圖分類號:C931.6文獻標識碼: A
一、前言
華興綜合管理信息系統于2011年11月5日正式通過了住建部專家對我公司特級資質就位信息化實地考核,公司的信息化建設終于取得了階段性的成果。作為一個華興綜合管理信息系統開發的全程參與及經歷者,深感在華興綜合管理信息系統的開發中,對整個開發過程的風險控制彌足重要。
二、華興綜合管理信息系統開發過程的簡要回顧
第一階段:2006年2月,公司啟動了華興綜合管理信息系統的開發,選定了軟件開發商,成立了軟件開發小組,進入了實質性的開發。并制定了需要開發的子系統為:項目信息管理子系統、人力資源管理子系統、設備管理子系統、OA辦公四個子系統,在華興綜合管理信息系統開發的過程中,由于種種原因產生了初期的需求調研不充分,致使系統開發進展不順,因而開發出來的項目信息、設備管理、OA辦公幾個子系統的功能有限,沒有達到預期的使用效果。
第二階段:2009年6月,根據公司的實際需求,要求軟件開發商對2006年開發的華興綜合管理信息系統進行升級改造,并對其中的OA辦公、協同門戶、物資管理、成本管理、進度管理、設備管理、風險管理等進行符合公司的適應性開發,雖然取得了一些效果,但是由于開發過程中的需求變更頻繁,致使開發工作進展緩慢,成本增加。
第三階段:2010年12月,公司成立了信息化建設的軟件開發組,成員由軟件開發商以及我方的自有的軟件開發人員組成,同時成立了信息化建設的推進組,成員由科研部信息化專業人員組成,負責華興綜合管理信息系統的需求分析確定、與各業務部門的協調、各子系統上線的培訓、各子系統的數據核查等,兩個小組分工協同,在開發的過程中充分識別和評估了可能存在的風險,并制定了相應的應對措施,使華興綜合管理信息系統得以順利的開發和完善,并在不到一年的時間內上線運行。
三、華興綜合管理信息系統開發的風險管理
風險管理是軟件開發過程中減少失敗的重要手段,在軟件開發過程中的風險管理,即是在軟件開發之前,通過識別出潛在風險,并對風險進行分析,判斷出風險的危害程度,并采取相應的應對措施進行控制和管理,從而規避或緩解風險帶來的不利影響。由此可見,有效的風險管理可以提前發現那些潛在的問題,提前對風險制定對策就,并在風險發生的時候迅速做出反應,將工作方式從被動救火方式轉變為主動防范,使軟件開發的進程更加平穩,獲得很高的跟蹤和掌控軟件開發過程的能力。
軟件開發過程中的風險管理是一個動態的管理過程,是風險識別、風險評估、風險控制的循環管理過程。
通過對華興綜合管理信息系統開發過程三個階段的回顧可以看出,風險管理在華興綜合管理信息系統開發過程中控制起著舉足輕重的作用,風險控制的好壞直接影響著系統開發的成敗。
因此,我們在華興綜合管理信息系統第三階段的開發的同時加強了對開發過程的風險,識別和評估出我們主要的風險有:系統需求方面的風險、軟件開發人員方面的風險、軟件開發進度的風險等。
下面就華興綜合管理信息系統第三階段開發過程中遇到的風險及解決和預防措施做簡要分析:
1、初期需求風險
華興綜合管理信息系統在確定需求時都面臨著一些不確定性和混亂,當早期如果忽視了這些不確定性,并在進展過程中得不到解決這些問題就會對華興綜合管理信息系統造成很大的威脅。
初期需求風險因素主要表現在以下方面:
對華興綜合管理信息系統缺少清晰的認識
對華興綜合管理信息系統需求缺少認同
在做需求中各業務人員參與深度不夠
針對以上可能存在的風險因素,我們采取了以下初期需求風險防范對策
(1)需求分析是整個華興綜合管理信息系統開發中需要重點控制的幾個關鍵節點之一,首先我們在各種討論會或是合適的場合,給需求提出者宣傳需求分析的重要意義,使其在在思想上重視。
(2)需求分析報告的編寫者參與到需求的搜集工作中,準確領會各個業務管理部門的意圖,并轉化成軟件能夠實現的功能。對于說不清楚需求的相關業務人員,我們抓住關鍵問題進行提問,或開發用戶界面原型,引導相關業務人員提出自己的需求,并組織業務人員多次召開需求討論會,詳細討論業務人員的需求。
(3)對各項需求進行了深入分析,區別出哪些需求存在日后變更的可能,哪些需求屬于相對固定的,哪些需求能夠實現,哪些需求需要變通才能實現,以便于指導后面的功能設計。
(4)在需求分析報告中對功能細節的描述確保全面、準確,防止歧義。
(5)需求報告的每個關乎功能的描述都讓業務人員明白和理解,只有業務人員在理解之上的確認才能夠保證日后一旦出現問題不致出現雙方互相推托責任糾纏不清的情況。
(6)需求報告經過了由軟件開發小組人員、相關業務人員及信息化推進小組相關人員參加的評審,充分發揮了團隊的力量,重視每個人的才智,一個模塊一個功能的逐一的過,讓大家來共同找出需求報告里不合理的、有歧義的、不完善的、遺漏等問題。
通過上述策略,我們達到了初期需求階段的主要目的:確定了華興綜合管理信息系統中每一個子系統的明確目標和清晰的范圍,并通過提高公司高層的認識,強化公司對開發華興綜合管理信息系統的支持力度,為日后系統的順利開發打下良好的基礎。
2、開發過程中的需求變更風險
隨著軟件開發的進展,原始的初步的需求已經轉化為看得見的軟件內容,用戶已經可以看到軟件的雛形,用戶的逐漸成熟,對于軟件的具體要求也越來越清晰,此時不單是對原有需求的細化,而且對于軟件功能提出了新的更高層次的需求,對軟件的未來功能充滿了期待,甚至出現了不切實際的需求。有時雖然對用戶看起來是很小的需求變動,然而對程序來講可能要做結構上的調整,這對于整個軟件開發小組來講無疑是場噩夢。另外,需求的變更還會使項目的進程可能遠遠地偏離了原有的計劃,打亂安排好的進度,原來已經完成的工作不得不重來,項目進程陷入了反復拉鋸的狀態。由于時間的延期項目成本也將增加可能會是驚人的。例如在華興綜合管理信息系統開發的第二階段的開發過程中,就產生了上述問題,需求變更頻繁,致使系統開發一度處于停滯階段,并且眾多的需求變更累計的金額也十分巨大,如第二階段中的設備變更單累計金額就多達36.6萬元。
因此,我們總結了第一、第二階段的經驗和教訓,需要避免上訴的問題再次發生,在第三階段的開發過程中,我們意識到了如何正確處理需求變動風險十分重要的,并采取了如下的應對措施:
(1)大的需求的變更不但要經過需求變更提出者的書面確認,而且還需要其相關領導的確認。
(2)小的需求變更也要經過正規的需求管理流程。
(3)組織需求提出方與軟件開發方進行充分的交流和溝通,達到一個雙方都能接受的平衡點。因為精確的需求與范圍定義并不會阻止需求的變更,并非對需求定義的越細,越能避免需求的漸變,太細的需求定義對需求漸變沒有任何效果,因為需求的變化是永恒的,并非由于需求寫細了,它就不會變化了。
3、人力資源風險
華興綜合管理信息系統不同于其他工程,它是智力密集型、勞動密集型項目,主要是靠人來完成,因此合理的配置使用人力資源成為華興綜合管理信息系統成敗的關鍵之一。
在華興綜合管理信息系統中人力資源的風險主要表現在以下幾個方面:
開發人員的技術水平是否達到要求
開發人員的數量是否足夠
開發人員是否能夠自始至終地參加軟件開發工作。
開發人員是否能夠集中全部精力投入軟件開發工作。
開發人員的流動是否能夠保證工作的連續性。
為了消除以上風險因素,在華興綜合管理信息系統的開發過程中,采取了以下應對措施:
(1)與軟件開發商鑒定了戰略性的合作協議,使華興綜合管理信息系統開發成功能達到雙贏的效果,從而保證了軟件開發商的積極性,使軟件開發商在其軟件開發人員的數量、質量及軟件開發人員的穩定得以充分的保障。
(2)采用聯合開發的方式,將我公司自有的軟件開發人員參與其中,預防在非常時期軟件開發人員不會斷檔。
(3)在華興綜合管理信息系統開發過程中,所有的過程都要形成正式的文檔,這些文檔包括數據庫設計的文檔、源代碼、源代碼說明、概要設計說明書、用戶手冊等等文檔。在三階段的開發中,我們驗收了華興綜合管理信息系統源代碼一份、數據庫完整ER圖一份、需求報告12份,用戶手冊11份,有了這些資料,即便軟件開發商退場,我們自己的軟件開發人員也能接手。
4、進度風險
華興綜合管理信息系統看了第三階段的開發,事實上從2010年12月開始正式啟動,共計要完善和開發14個子系統,并要符合公司實際業務需要,還要達到特級資質考核的標準,時間特別緊迫,此時進度是最大潛在的風險,如果不加以控制,那華興綜合管理信息系統將不能按時上線交付,那么公司的就位考核將不能通過考核,那將給公司帶來的后果是災難性的。因此,在華興綜合管理信息系統的開發中,控制進度風險尤為重要,我們采取了以下措施進行了進度風險的控制:
(1)我們首先制定了總計劃,在總體計劃中明確各個階段的任務完成時間,然后在總計劃的基礎上進行細化分解,分解為較為精確周計劃,計劃的實施時間精確到天。
(2)每周一開例會,開會期間總結上周的任務完成情況,如有問題,分析原因,及時解決。
(3)如果入到突發事件,及時調整計劃,總之保證計劃的如期完成。
(4)提高開發人員的主動性和積極性,在人性化管理的基礎上,加班加點地工作,保證實際進度不晚于計劃進度。
5、華興綜合管理信息系統上線運行的風險
華興綜合管理信息系統開發完成只是完成了第一步,,成敗的關鍵還看上線運行及推廣應用,在華興中核管理信息系統初期運行階段中,通過評估,我們認為存在以下幾點風險因素:
傳統工作習慣的阻力
用戶掌握系統使用熟練程度
繁瑣的數據初始化工作
系統不可預見性的問題
為了有效控制上述風險,我們采取了以下幾點措施:
(1)領導的關注和決策是軟件應用效果的重要保障,因此,在召開系統上線推廣會議時,邀請了公司高層主管領導、各事業部相關領導、各業務部門負責人共同參與,共同明確后續需要配合的事項及系統應用策略,如系統上線啟用時間點、功能模塊上線范圍、相關業務人員使用范圍,并建立業務基礎數據的責任部門及責任人。由于領導的參與,傳統的工作習慣的阻力能很順利的化解,保證的整改系統的推廣及應用。
(2)制定了信息的用戶培訓計劃,充分利用公司視頻會議的便利條件,對用戶進行了大規模的輪番培訓,以用戶熟練掌握系統應用為原則,同時組建了多個QQ答疑群,隨時回答用戶在使用系統過程中存在的問題,使用戶能在比較短的時間內熟練掌握了系統的應用。
(3)對于繁瑣的數據初始化的問題,我們采用后臺數據庫導入的方式進行,這樣既方便了用戶,又保證了需要遷移的歷史數據或初始化數據的快速、準確地錄入到系統中。
(4)在華興綜合管理信息系統運行的初期,我們也遇到了意料之外的情況,在眾多用戶登錄到系統后,由于并發數量過大,超出了服務器的承載,是整個系統的應用響應速度非常的慢,當我們找到原因以后,立即采用的服務器負載均衡的方式解決了這一問題。
四、總結與展望
華興綜合管理信息系統第三階段的開發,由于在開發之前,對開發過程中可能產生的風險因素進行了充分的識別、評估及控制,使系統的開發及上線運行得以順利進行,使公司特級資質就位信息化的考核得以順利通過,獲得了好評。
但是,華興綜合管理信息系統開發過程中的風險管理,是我們憑著經驗而為,還沒有升華到系統的、精細化的軟件開發的風險管理,因此,我們在今后的軟件開發過程中的風險管理,應在理論的指導下,與公司的具體實際情況相結合,建立一套符合公司實際情況的軟件開發的風險管理體系,我對今后公司軟件開發的風險管理展望如下:
建立基于CMMI(軟件能力成熟度模型)的軟件開發的風險管理體系,基于CMMI軟件開發風險管理是強調過程管理,可以通過圖一中的流程來說明。
圖一:風險管理流程
風險規劃:
在進行風險管理的過程中,風險規劃的環節十分重要,可以通過以下模型(圖二)進行風險規劃:
圖二:風險規劃
在風險規劃階段,我們需要做的工作是:
確定風險來源:了解風險來源,將為系統地檢查不斷變化的風險情況打下基礎,以揭示那些在軟件開發過程中造成不利影響的風險。
確定風險類別:確定風險類別是為收集的風險分門別類,標識風險類別有助于風險緩解計劃中整合將來的緩解活動。
定義風險參數:風險參數是評價風險的標準,使得在管理不同級別風險的時候,確保最終結果的一致性。
風險標識:
圖三:風險標識
風險的標識需要軟件開發項目經理和項目成員共同完成,以識別任何可能對工作或工作計劃造成不利影響的潛在問題、危害、威脅等。
風險識別的依據是:項目計劃、風險管理總計劃、歷史經驗信息、項目內部的不確定性、外部風險等因素來加以判斷。
風險識別的過程,風險識別是將項目的不確定性轉變為風險的陳述過程,它包括三個步驟:
集記錄資料
②風險定義及分類
③將風險編寫為文檔
識別出來的風險需要簡明地表述出來,為下一步風險管理提供參考的依據。通過編寫風險陳述和詳細說明風險場景來記錄已知風險。
風險分析:
圖四:風險分析
項目經理負責運用風險類別和參數對所識別的風險進行評估并且對其賦值。這些參數包括可能性(概率)、后果(嚴重性或影響)以及時間框架(預計風險可能發生的時間關系)。如何確定該風險發生的可能性、后果和時間是需要評估人員根據經驗或者歷史數據的。這個值可以根據公司的實際情況來定,也可以根據項目的具體情況進行適當的調整。
風險分析過程包括如下步驟:
①確定風險類別:對已辨識的風險進行歸類,同一類風險在一定程度上反映了風險的重要屬性,對冗余的風險應該排除。
②判定風險來源及風險驅動因素:風險來源是引起風險的內在因素,由于風險識別確定的風險來源可能不太準確,因此需要通過風險分析更進一步判別,使得風險的來源更加簡明、準確,便于進行下一步風險管理。
③定義風險度量準則:風險度量準則是進行風險優先級的基礎,它是用來確定各風險對項目影響的相對重要性的依據。它包括可能性、后果和行動時間框架。可能性的定性度量簡單定義為:高、中、低,定量度量一般用概率表示;后果的度量也可以分定性和定量的度量,這就需要根據不同的風險類型,來具體選用度量的方法;行動時間框架是指采取有效措施規避風險的時限,阻止風險發生的行動時間也隨項目的不同而不同。
④預測風險影響:根據風險度量準則,用風險發生的可能性與風險后果的乘積度量風險的影響,在進度的影響中預測風險的影響是通過時間的延長來度量的。
⑤風險優先級:項目的風險很多,由于項目資源有限,不能處理每一個風險,只能集中有效資源,對高風險進行有效的管理,因此需要對已識別度量的風險進行排序,以便保證風險管理的有效性。
風險控制:
風險控制是采取各種措施和方法,消滅或減少風險事件發生的各種可能性,或者減少風險事件發生時造成的損失。風險控制圖如下圖所示:
圖五:風險控制
控制是指風險負責人以跟蹤報告中提供的數據為基礎,做出有關風險的決定。控制活動包括分析、決策和采取行動。
分析是使用跟蹤數據來考察項目風險的趨勢、偏差和異常情況,以此來標識風險狀態中的顯著變化,評估緩解計劃的有效性,使決策者準確地決定最佳的行動路線。
決策是為了保證繼續有效地管理項目風險,使用跟蹤數據來決定如何繼續進行項目風險管理,如:重新計劃、關閉風險、啟用應急計劃、繼續跟蹤和控制活動等。當出現閾值超出了設定的限制、當前計劃不起作用、發生了意外事件,使用趨勢向相反方面發展時都應該重新制定計劃。當出現風險發生的概率已經降低到或風險的影響已經減小到一個特定值以下、風險已經變成了問題并且對這個問題正在進行跟蹤時,可以關閉該風險。啟用風險應急計劃是當出現已經超出觸發條件或需要采取有關的行動時,可以啟動風險應急計劃。通過分析跟蹤數據,發現一切都是按計劃在進行,項目人員決定繼續像以前一樣跟蹤風險。
采取行動是指執行那些關系風險和緩解計劃中所作的決定,并保證將其文檔化,存入公司過程財富庫中,以便作為歷史紀錄和將來參考之用。
有效的控制能監督計劃執行的質量、檢測風險狀態中的明顯變化,同時能夠對風險適時地做出以信息為基礎的決策。
風險控制可分為四個步驟進行:
對觸發事件做出反應
觸發器提出風險警報時,收到警報的人立即對觸發事件做出反應,安排有關負責人(風險應對者)負責做好風險應對的準備。
執行風險行動計劃
風險應對行動應該落實到相應的風險應對的實施人員,實施者根據風險應對計劃和風險事件的實際情況,執行相應風險應對的措施。
對照計劃報告進展
在執行風險行動計劃的同時,必須將風險應對的實施結果與風險應對計劃進行對照,及時發現兩者的偏差。
④修正與計劃的偏差
一般應對計劃和實際情況有一定的差別,因此需要對應對計劃進行及時地調整修正,使得風險應對措施更為有效,并且需要將改進的內容記錄在案,以便在將來制定風險應對計劃能考慮到類似問題。
由此可見,通過建立基于CMMI的軟件開發風險管理體系,能夠實現軟件開發的風險管理精細化、規范化,能對軟件開發中的風險進行定性和定量的管控,提高公司軟件開發的風險管理水平,將軟件開發中出現的風險降低到可接受的范圍。
參考文獻:
[1]《軟件項目管理與敏捷方法》
【關鍵詞】內部控制;風險管理;信息化
目前,隨著國家《企業內部控制基本規范》、《企業內部控制應用指引》等一系列文件的頒布和實施,企業內部控制和風險管理工作的影響不斷擴大。公司各級領導非常重視企業內部控制體系各項工作的開展情況,為了提高內部控制的管理水平,真正將內部控制貫穿于企業經營決策、執行和監督的全過程,覆蓋到企業各種業務和事項,公司按照內部控制“管理制度化、制度流程化、流程表單化、表單電子化”的工作思路,充分利用信息技術促進信息的集成與共享,運用信息化技術來強化內部控制的設計和執行,從業務的關鍵環節和關鍵控制點出發,在公司比較成熟、高效、透明的業務率先開展電子化應用,以點帶面,循序漸進,全面深化公司內部控制體系電子化應用進程。
本文著重從內控信息化、成果利用等兩個方面談談如何提高內控信息化工作。
一、提高對內部控制及風險管理信息化的認識
內部控制信息化的工作原理就是促進企業內部控制流程與信息系統的有機結合,在企業信息系統的開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面實現對業務和事項的自動控制,盡量減少或消除人為操縱因素。公司內控主管部門按照國家有關規定和上級部署,經過多次調研和溝通,提出內控信息化建設的總體目標是規范透明、工作可控、業務留痕。
二、確定內控信息化工作重點,逐步開展信息化推進工作
公司根據經營規模和管控模式的特點,有針對性地開展內部控制信息化工作,通過建立專項業務控制的工作辦理模塊,實現業務流程自動提示、自動流轉,實現工作內容與內控要求的全面融合,確保權責分明、工作受控,責任落實到位。目前,公司在合同管理系統、存貨管理系統、成本控制管理系統、生產精細化管理系統等領域開展信息化應用,通過程序控制、細化相關控制環節和要點。
1.在“合同管理”信息化工作中,通過對公司合同管理流程進行全面優化,積極推進合同管理電子化應用
根據《企業內部控制應用指引》“第16 號――合同管理”的有關要求,公司對合同管理中涉及物資采購類的合同率先開展電子化應用,把實施信息化管理作為公司加強內部控制的重要手段之一,目前已通過對采購類合同的合同文本、合同條款等內容進行固化,并對采購價格、采購數量、合同審核、合同審批權限等具體環節進行電子化控制,從而達到有效防范法律風險,維護公司合法權益,提高公司經營管理水平的目的和作用。
2.在“資產管理”信息化工作中,通過對管理流程、管理規范中存在的缺陷進行分析和梳理,通過添加相應的、必要的管控模塊,持續提高信息系統在存貨、固定資產、在建工程等資產管理中的利用效果
根據《企業內部控制應用指引》“第8 號――資產管理”的有關要求,公司在存貨管理中開始逐步提高信息化的利用效果,由于公司以前缺少對于存貨庫存賬齡進行有效分析的管理,缺乏自主性分析等判定程序,主要因為公司財務系統無法直接取得存貨的賬齡信息,不能實現對存貨賬齡進行定期的統計和分析,缺少對賬齡較長或殘次冷背等存貨的定期報告制度,公司統計存貨賬齡主要通過手工進行,不僅工作量大,而且編制出的存貨賬齡分析表也不夠準確,在一定程度上影響了對存貨跌價的判斷。目前,公司有關部門充分利用計算機系統自動計算運行出存貨的賬齡,重點提高計算機系統的利用效果,持續改善用友系統功能,添加相應賬齡分析模塊,通過充分利用計算機系統自動計算出存貨的賬齡信息,保證了存貨賬齡分析更加準確,同時,建立定期統計分析制度,對存貨的跌價風險提供準確分析判斷依據,確保長期呆滯存貨得到逐步有效處理。
3.在辦公系統信息化工作中,通過對公司內部信息網及OA系統功能深入進行開發,積極推進無紙化辦公
根據《企業內部控制應用指引》“第17號――內部信息傳遞”的有關要求,公司積極建設內部信息網,提高各業務系統工作效率。以前,由于公司內部各部門之間信息孤立,溝通、查詢困難,工作效率低,且各業務系統精益管理的成果需要以信息化為手段進行固化和持續改善。為了便于溝通、查詢信息、應用系統集成以及固化精益管理成果,從提高工作效率,促進企業生產經營管理信息在內部各管理層級之間的有效溝通和充分利用,公司以組織框架和職能系統為主線,設計開發內部信息網站平臺,實現各業務系統的數據充分共享,提高了公司各業務系統的工作效率。目前OA系統已實施發文管理、收文管理、通知通告、辦公信息、宣傳報道五個模塊,實現了文件、通知的起草、審核、簽發、傳閱等流程的無紙化和規范化。
以上是公司利用信息化手段加強企業內部控制,提高風險管控的具體實例,下一步公司將根據企業發展目標規劃、生產經營管理實際情況、機構職能調整情況,以及關鍵業務風險控制點出現新變化的情況等,逐步擴大信息化綜合利用的廣度和深度,大力推進管理工作的規范化、標準化和程序化運行,最終實現內部控制關鍵業務流程信息化的全覆蓋。通過持續利用信息化手段進行業務流程優化,不斷提高公司整體管理水平及風險防范意識,保障公司內部控制體系運行更加良好、有效,更好地為增加組織價值服務。
參考文獻:
信息技術以及信息產業的飛速發展,給檔案管理信息化建設帶來了機會,同時也給其帶來了巨大的沖擊和新的挑戰。信息系統自身所處的網絡環境的特點以及信息系統自身的局限性會導致信息系統的發展過程中會受到一些因素的影響。而且,在使用的過程中也會遇到一些認為破壞或者是木馬等方面的破壞。所以,檔案管理信息化的過程中會遇到一些信息安全隱患,這嚴重影響信息的安全可靠性。但是,隨著時代的快速發展,人們在不斷的探索和研究防止信息系統遭受到破壞的措施,而且在殺毒軟件和入侵檢測技術方面獲得了很大的成就。雖然這些檢測手段的使用在一定程度上可以防止惡意程序對信息系統的破壞,但是并沒有從根本上解決檔案信息系統的安全問題。因為隨著信息技術的發展,信息系統受到的威脅也在逐漸向著多樣化的趨勢發展變化,而且更加的隱蔽化,對于信息系統的破壞性越來越大。隨著信息技術的廣泛使用,信息安全的內涵也在不斷的豐富,已經不再是最開始的單單對信息保密,而是向著保證信息的完整性、準確性方向發展,使檔案信息變得更加的實用而且具有不可否認性。進而實現多方面的防控實施技術。
二、檔案管理信息化中安全風險評估的作用
人們在進行檔案信息管理的過程中受到認識能力以及實踐能力的限制,不能夠保證信息管理的完全安全性,所以檔案信息管理系統在一定程度上存在著脆弱性,這種情況導致在使用檔案信息的過程中面臨著一些人為或者是自然條件的破壞,所以檔案信息管理存在安全風險具有必然性。因此,對檔案信息管理進行安全風險評估具有重要的意義,信息安全建設的前提是,基于對綜合成本以及效益的考慮,采取有效的安全方法對風險進行控制,保證殘余風險降低在最小的程度。因為,人們追求實際的信息系統的安全,是指對信息系統實施了風險控制之后,接受殘余風險的存在,但是殘余風險應該控制在最小的程度。所以,要保證檔案信息系統的安全可靠性,就應該實施全面、系統的安全風險評估,將安全風險評估的思想以及觀念貫穿到整個信息管理的過程中。通常情況下,信息安全風險主要指的是在整個信息管理的過程中,信息的安全屬性所面臨的危害發生的可能性。產生這種可能性的原因是系統脆弱性、人為因素或者是其他的因素造成的威脅。用來衡量安全事件發生的概率以及造成的影響的指標主要有兩種。然而,危害的程度并不只取決于安全事件發展的概率,還與其造成的后果的嚴重性的大小有著直接的關系。安全風險評估具有很多的特點。首先,它具有決策支持性,這個特點在整個安全風險評估周期中都存在,只是內容不相同,因為安全評估的真正目的是供給安全管理支持以及服務的。在系統生命周期中都存在著安全隱患,所以整個生命周期中都離不開安全風險評估。其次,比較分析性,這個特點主要體現在對安全管理和運營的不同的方案能夠進行有效的比較以及分析;能夠對不同背景情況下使用的科學技術以及資金投入進行比較分析;還能夠對產生的結果進行有效的比較分析。最后,前提假設性,對檔案信息進行管理的過程中所使用的風險評估會涉及到各種評估數據,這些數據能夠被分為兩種。其中一種數據的功能是對檔案信息實際情況的描述,通過這些數據就可以了解整個檔案管理信息中的情況;另一種數據是指預測數據,主要是根據系統各種假設前提條件確定的,因為在信息管理的整個過程中,都要對一些未知的情況進行事先的預測,然后做出必要的假設,得出相關的預測數據,再根據這些預測數據對系統進行風險評估。
三、檔案管理不同階段
進行不同的風險評估信息系統的開發涉及到很多的模型,而且隨著科學技術的快速發展,各種模型都在不斷的升級。從最早期的線性模型到螺旋式模型再到后來的并發式的模型,這些系統模型的開發都是為了滿足不同的系統需求。然而,風險評估卻存在于整個信息系統的生命周期中,但是由于信息系統的生命周期中有很多的階段,而且每一個階段活動的內容都有所差別,因此信息管理的安全目標以及對安全風險評估的要求也是不同的。
(一)對于分析階段的風險評估。其真正的目的是為了實現規劃中的檔案信息系統安全風險的獲得,這樣才能夠根據獲得的信息來滿足安全建設的具體需求。分析階段的風險評估的重點是抓住系統初期的安全風險評估,從而有效的滿足對安全性的需求,然后從宏觀的角度來分析和評估檔案信息管理系統中可能存在的危險因素。
(二)設計階段的安全風險評估。這個階段涉及到的安全目標比較多,所以能夠有效的確定安全目標具有重要的意義。應該采取有效的措施,通過安全風險評估,保證檔案信息管理系統中安全目標的明確。
(三)集成實現階段。這個階段的主要目的是要驗證系統安全要求的實現效果與符合性是否一致,所以,應該通過有效的風險評估對其進行驗證。需要注意的是,在進行資產評估的時候,如果在分析階段以及設計階段已經對資產進行了評估,那么在這個階段就不需要再重新做資產評估的工作,防止重復性工作的發生。所以,可以直接用前兩個階段得出的資產評估的結果,但是如果在分析階段和設計階段都沒有進行資產評估,則需要在此階段先進行這項工作。威脅評估依然著重威脅環境,而且要對真實環境中的具體威脅進行有效的分析。除此之外,還應該對檔案信息管理系統進行實際環境的脆弱性的有效分析,重點放在信息的運行環境以及管理環境中的脆弱性的分析。
(四)運行維護階段。對檔案管理系統不斷的進行有效的風險評估,從而確保系統的安全、可靠性,這樣才能夠保證檔案管理系統在整個生命周期中都處于安全的環境。
四、檔案信息安全風險評估存在的不足
我國在檔案信息安全風險評估方面已經取得了很大的成就,積累了一些寶貴的經驗。但是,由于我國檔案信息安全風險評估工作起步晚,還存在一些不足之處,主要表現在以下幾點。
(一)管理層對于信息安全風險評估缺乏一定的重視,而且缺少一些專業評估技術人員。當前評估技術人員的專業技能不高也是現階段存在的問題。所以,應該對評估人員進行定期的培訓,提高他們的專業技能,保證風險評估工作有效的進行,同時還應該采取有效的措施來提高工作人員對于風險評估的重視,是檔案管理信息化環境處于安全的運行環境中。
(二)風險評估的工作流程還不夠完善,而且一些風險技術標準也需要進一步的更新。檔案信息化管理的風險評估,不僅僅是一個管理的過程,也是一個技術性的過程,所以應該根據實際情況來科學合理地制定工作流程和技術標準。如果所有的環境和情況都套用一種工作流程和一個技術標準,就會導致不匹配現象的出現,不僅影響風險評估的效果,而且在一定程度上還影響信息系統的安全性。
(三)評估工具的發展比較滯后,隨著科學技術的快速發展,信息安全漏洞會逐漸顯露出來,所以對信息系統的威脅逐漸增加。應該采用先進的評估工具對其進行風險評估,從而滿足檔案管理信息化的需求。
五、結語
關鍵詞:信息管理 風險 控制
中圖分類號:F224.0 文獻標識碼:A
文章編號:1004-4914(2010)10-236-02
煤炭企業提高企業利潤、加強科學管理、推動技術創新、提升核心競爭力必然要走信息化道路,其管理信息化水平已成為企業現代管理的一個重要組成部分,是企業贏得競爭優勢不可或缺的重要手段和基礎平臺。所謂企業管理信息化是指將企業的生產過程、物料移動、事務處理、現金流動、客戶交互等業務過程數字化,通過各種信息系統網絡加工生成新的信息資源,提供給各層次的人們掌握各類動態業務中的一切信息,從而作出有利于生產要素組合優化的決策,使煤炭企業資源合理配置并能適應瞬息萬變的市場競爭環境,以求得最大的經濟效益。企業管理信息化的實質是企業全面實現業務流程數字化和網絡化,是適應煤炭企業信息化的管理、生產和經營等活動的變化、轉換煤炭企業經營模式、建立現代煤炭企業管理制度的過程。企業信息化挖掘了先進的管理理念,在應用先進的計算機網絡技術基礎上,整合煤炭企業現有的生產、經營、設計、制造、管理,及時地為煤炭企業的“三層決策”系統(戰術層、戰略層、決策層)提供準確而有效的數據信息,以便對市場需求作出迅速反應,加強煤炭企業“核心競爭力”的目的。
一、煤炭企業管理信息化的風險類型
1.環境風險。煤炭企業管理信息化的環境風險是指信息系統實施或運行中,由于內、外部環境的變化而導致信息系統未達到預期目標進而招致失敗的可能性。具體表現為:(1)煤炭企業管理軟件產品蘊含不符合當前宏觀環境運行要求的應用模塊,與政府的政策、法律、法規或行業的要求相抵觸。(2)經營環境惡化使煤炭企業經營出現大面積滑坡,煤炭企業難以籌集足夠的資金繼續投入管理信息化的建設,使前期的工作半途而廢。(3)煤炭企業因外部市場競爭環境變化,重新調整戰略規劃、內部組織結構、業務處理流程,而原先花巨資構建的煤炭企業管理軟件系統剛性強,不能適應新的經營環境,致使原有投資付諸東流。
2.決策風險。煤炭企業管理信息化的決策風險主要指選擇管理軟件或軟件供應商的失誤而造成系統實施的失敗。引發決策風險的原因在于煤炭企業決策層不能結合煤炭企業實際狀況,充分客觀地進行項目可行性分析,選擇適合煤炭企業的管理信息化解決方案。面對當前市場上林林總總的管理軟件,品質參差不齊,一些軟件供應商為了能得到企業的定單,在給客戶介紹軟件產品時,往往擴張自己的實力和軟件的功能,甚至以次充好。而一部分煤炭企業的領導不清楚自己煤炭企業的信息化目標,缺乏全面評估軟件適應性的經驗,在管理軟件的選型與軟件供應商的選擇時容易受到商家的誘導,致使所選購的軟件質量存在缺陷,軟件功能不適合煤炭企業的實際需求,軟件公司的實力不足,缺乏煤炭企業管理信息化建設的駕馭能力,致使信息系統實施出現問題。
3.實施風險。實施風險是指煤炭企業在實施管理軟件過程中由于組織失誤導致項目不能按計劃完成、成本超過原有的預算、軟件的運行質量不能達到理想要求。引發實施風險的一個原因是項目沒得到煤炭企業全體員工的理解與配合,致使項目進程的組織遇到障礙。一般來說,業務部門的主管人員會認為煤炭企業計算機應用是一項技術性十分強的工作,應由煤炭企業信息管理專業人員和軟件開發商負責,業務部門只管使用就行了,往往將自己處于旁觀者位置,卻不知計算機技術應用僅是煤炭企業管理信息化的一部分內容,核心是管理軟件所蘊含的先進的管理思想與方法能否得到有效應用。
4.運行風險。煤炭企業管理信息化的運行風險包括營運風險、授權風險、信息風險、系統安全風險等。
(1)營運風險:在煤炭企業管理信息化環境下,信息處理流程集成一體化,任何一個環節出現問題將影響整個系統的后續運行和信息輸出的質量。管理軟件運行過程中,如果管理人員、業務人員對新的業務流程的本質了解不透徹,沒有做好管理思想轉變的準備工作,很難有效操作管理軟件,這些將直接影響信息系統的數據處理流程連續性和工作質量,最終將出現管理混亂狀況。
(2)授權風險:在新系統運行后,原有手工信息處理方式下所設置的崗位分離、相互牽制、授權控制的制度與控制方法在新的運行環境下將發生變化,有些功能會喪失作用,如果沒能及時建立一套與新的信息系統運行環境相配套的內部控制制度,由于數據存儲的集中性,數據修改的便捷性和不留痕跡,可能給內部人員營私舞弊提供機會,造成煤炭企業資產損失。
(3)信息風險:信息風險產生于煤炭企業的管理軟件開發未經過嚴密的可靠測試,數據結構、程序結構隱含的問題會在后期系統運行中被觸發,從而產生諸如計算結果錯誤等問題,由于煤炭企業信息化使得業務處理與財務處理、計劃管理、過程控制融為一體,失真的數據在流經各流程后被不斷加工處理,錯誤被不斷放大,影響輸出報表的真實性,誤導信息使用者經營決策與過程控制。
(4)系統安全的風險:在煤炭企業管理信息化條件下,煤炭企業所有的數據都將以電子數據形式集中存儲在計算機數據庫系統中,在信息化后煤炭企業許多經營活動依賴于計算機系統,可以說離開了計算機煤炭企業系統就很難正常運行。煤炭企業管理信息化安全風險主要由兩方面引起:一是技術因素。如網絡系統本身存在的安全脆弱性,軟件系統內部缺陷沒被測試出來。二是管理因素。組織內部沒有建立相應的信息安全管理制度,使用人員操作缺乏操作規范,無控制標準與安全防范標準,如操作人員可以隨意下載程序和數據文件,在工作站上安裝非正規渠道獲得各類軟件。
二、煤炭企業管理信息化過程的風險控制
為確保煤炭企業管理信息化目標實現,從源頭上防范信息化風險,規避風險給煤炭企業帶來的危害,建立煤炭企業管理信息化過程的風險控制體系,應著重考慮下列五個方面的工作:
1.構建與管理信息化相協調的煤炭企業營運環境。構建與信息化相協調的煤炭企業營運環境是防范信息化風險、保證管理軟件實施與運行的基礎。煤炭企業領導以及各部門的員工都應清楚地認識到,信息化意義在于應用信息技術實現煤炭企業管理科學化、現代化。在新的信息技術面前,煤炭企業管理者與員工都面臨觀念轉變、方法變革的問題,需要營造一個基于數字化的運營環境,使煤炭企業所有成員的思維、品性、價值觀、能力與信息化要求相一致。
營造這種煤炭企業環境需要全體員工的共同努力,它涉及下列工作內容:(1)結合煤炭企業管理信息化建設,組織員工進行各層次的現代管理理論、方法、信息技術的培訓工作,使煤炭企業具有良好的信息化的氛圍。(2)鼓勵內部員工積極參與煤炭企業管理信息化過程的各類活動。(3)建立與信息系統環境相適應的組織結構,減少中間層級和環節,強調內部團隊的重要作用,使員工能充分認識到煤炭企業信息化變革依賴于團隊的凝聚力。
2.完善煤炭企業管理信息化風險評估工作。煤炭企業(下轉第238頁)(上接第236頁)信息化過程的風險評估就是要求評估人員仔細分析煤炭企業內、外部經營環境,針對煤炭企業的實現目標類型,如財務報告目標、業務運行目標、符合性目標和其他目標,評估煤炭企業信息化進程中各類風險出現的可能性、影響的程度,并結合具體情況制定防范措施。風險評估的要點在于它的客觀性。在信息系統開發初期,評估人員應進行細致的調研工作,收集煤炭企業人、財、物、管理水平、技術水平、人員素質、業務流程、煤炭企業實力等方面信息,結合研究對象的實際狀況,按煤炭企業信息化進程的計劃內容,評估各階段可能出現的風險種類與概率,設立可辨別、分析和控制相關風險的機制,并以此提出防范風險的方法。
3.加強煤炭企業管理信息化過程的控制。加強煤炭企業管理信息化過程控制是降低信息化風險的主要手段,過程控制由信息系統開發過程控制、信息系統使用過程控制組成。信息系統開發控制主要針對開發階段而言,具體控制措施包括項目的可行性研究和需求分析,項目組織機構和各類人員的構成,明確組織中人員分工和在系統實施過程中承擔的責任。建立內部控制規則,保證系統按實施計劃進行,建立嚴格的系統測試與驗收程序,保證信息系統軟件質量指標實現。
信息系統使用過程控制包括操作權限控制、操作規程控制、安全控制和信息處理流程控制。操作權限控制是指每個崗位的人員只能按照所授予的權限對系統進行作業,不得超越權限接觸系統。煤炭企業應制定操作人員的權限標準體系,保證系統的安全。操作規程控制是指系統操作必須遵循一定的標準操作規程進行。標準操作規程包括:軟硬件操作規程、作業運行規程、用機時間記錄規程等。安全控制包括數據和程序安全控制和網絡安全控制。程序的安全與否直接影響著系統的運行,而數據的安全關系到系統輸出信息的質量,網絡的安全控制包括數據保密、訪問控制、身份識別等。信息處理流程的控制包括輸入控制、處理控制和輸出控制。輸入控制通過對數據輸入端施加諸如數據的靜態較驗、邏輯較驗、界限較驗、平衡較驗、總量較驗等措施,盡可能保證操作人員在數據輸入過程中減少出錯的可能性。處理控制是將控制規則嵌入在計算機程序內,通過系統內部設置來實現內部控制。
4.促進人員的信息交流與溝通。煤炭企業管理信息化是一個復雜的系統工程,涉及面廣,各部門、各成員之間的信息交流與溝通對于信息化的建設有著重要的作用,它能使信息化進程的隱患被及時發現,有效降低信息化風險。因此,煤炭企業在信息系統建設過程中,可通過定期舉行研討會、座談會等方式,讓研發人員、煤炭企業管理者、員工有機會進行平等溝通,使煤炭企業各階層的員工能深入具體了解煤炭企業信息化的目標與要求,消除部分員工對信息化過程的誤解而帶來的抵觸情緒,保證系統的實施與運行能夠順利進行。不同部門的業務人員、管理人員、軟件開發人員能通過及時信息溝通,能從煤炭企業全局上識別傳統手工業務過程的作業瓶頸問題。另外,通過建立組織內部上情下達、下情上傳的有效信息交流與溝通渠道,組織中的每個成員能及時分享組織中的信息,明確各自的不同角色和所承擔的責任,理解自己的活動如何與他人的工作有關,以及例外情況如何報告給上層管理人員,從何處獲取相關的信息支持決策行動。信息交流與溝通促進內部溝通機制完善,使員工充分認識自己的工作結果對信息化建設、對組織經營業績的貢獻,員工也樂意從這種信息分享中提供對煤炭企業管理信息化建設過程的全面支持。
5.煤炭企業管理信息化的監控。監控是評估一段時期內部控制質量的過程。監控過程包括及時評估控制的設計和運行,并在需要的時候采取必要的行動。煤炭企業管理信息化的監控包括:(1)信息系統建設過程的監控。定期對實施計劃的執行情況的檢查與分析,及時處理實施過程中出現的各類問題,防范信息化風險,保證系統能達到預定的設計目標。(2)信息系統正常運行時的監控。定期對所建立的操作規程的執行程度進行檢查,評價系統的信息安全政策,考察個人信息安全、物理和環境安全、通信和操作安全、數據存取控制等措施是否達到理想狀況。檢查系統業務開展過程中建立各種的相關文檔、文件,出現的各種事件是否進行嚴格的紀錄。(3)信息系統的業務流程處理的監控。包括是否嚴格按照業務流程約定的規則進行數據記錄、處理、維護、輸出工作,信息系統能否有效防止舞弊現象出現,信息系統是否能及時輸出例外情況的分析報告,這些報告反饋渠道是否暢通。通過對信息系統的監控,不斷改進系統存在的問題。
