1 引言
1.1 研究背景与意义
以美国克林顿政府推行“国家信息基础设施”(National Information Infrastructure 简称 NTI)方案为起点,企业信息化浪潮很快在世界范围内传播开来。企业信息化的发展进程大致分为三个阶段:孤立阶段、联合阶段和互补阶段,现在很多国外发达国家的信息化进程已进入第二,甚至第三阶段。而我国信息化才刚刚起步,我国政府也逐渐对其予以进一步重视。 在中央网络安全和信息化领导小组第一次会议中,中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平提出:“没有网络安全就没有国家安全,没有信息化就没有现代化”、“建设网络信息化强国的战略部署要与‘两个一百年’奋斗目标同步推进”,不断面向“基础设施基本普及、创新能力不断增强、信息经济全面发展”的目标努力1,努力打造信息化项目建设、网络技术发展企业核心竞争优势。深刻阐释了党中央关于加强我国信息化发展的领导方向。 现阶段,我国企业信息化发展势头强劲,在信息化产业的带动下,我国经济结构不断优化,经济规模稳步增长。另外,我国政府对高新技术企业一系列鼓励政策的实施,也对企业加大信息化项目投入起到一定的积极作用,我国大多数高新技术企业都已在不同水平上应用了信息化。 据IDC(国际数据公司)统计,许多信息化程度较高的高新技术企业,在借助IT技术将传统管理模式转向信息化管理模式后的10年里,风险增加30余倍,企业遭遇“网络黑客”、“资金木马”、“信息诈骗”等损失的资金在数以千亿计(IDC电子商务基础报告,2012、2013),而随着网络和信息技术的进一步普及,信息化风险的表现会愈加明显。企业信息化项目实施是一把双刃剑,“风险高、收益大”使得企业对之“爱恨交加”。尽管企业进行信息化项目会带来较高的风险,但它对企业发展的战略意义却是不言而喻的。然而,不同企业对信息化风险的重视程度大不相同,尤其是中小型企业,甚至认为信息化风险防控机制的建立是一种资源浪费。
..........
1.2 文献综述
近年来企业信息化风险的相关问题引起了国内外学者的普遍关注。风险度量方面,国外发达国家对传统模式风险度量研究由来已久,Philippe Artzner, Freddy Delbaen 等人(1999)2假设在不完全市场的前提下,将风险分为市场风险和非市场风险,并介绍了不同的风险度量模型。用美国证券交易委员会(SEC)/全美证券交易商协会制定的规则对度量结果加以验证。以场景分析方法为基础,对风险度量的一致性进行演示,也对分位数法的局限性提出合理修复建议。J Cvitani?,I Karatzas(1999)3认为:“风险度量”是一个动态研究的过程,“时变性和持续性”是动态风险度量的核心。因为,我们对风险进行评估时都会产生一定的时滞性。因为每一时刻的风险都是在历史数据的基础上计算出来的,并对未来期间风险的大小持续产生作用。 H Mausser,D Rosen 等人(2000)4认为风险管理的度量工具不能简单地理解为监控投资组合的风险价值(Va R),这些工具主要对 Va R 边际贡献和贸易风险进行估计。他们首先对参数、德耳塔标准进行回顾,然后在在模拟或非参数情况下予以扩展。他们对两个样本组合加以分析:一个针对外汇合约,非常适合参数分析。而另一个着眼于欧洲期权,用基于模拟的方法来解决,并对由于抽样误差对该方法造成的潜在影响进行了讨论。
...........
2 相关概念及理论基础
2.1 高新技术企业的概念及特点
“高新技术”(又称高科技,high-technology)一词在 20 世纪 70 年代被提出,并于 20 世纪 80 年代开始流行。由于高新技术发展迅速,目前对其概念的界定还没有达成一致。世界经济合作与发展组织(OECD)认为:“高新技术是指追求积极创新、先进完善的研究、设计理念,加快发展和交互融合的经济实体”。日本学者认为,高新技术指现代顶级技术和未来先进技术的融合。我国国家科技成果办公室认为:“高新技术是指位居科技前沿,对发展生产力、推动社会文明起引导作用的技术集。”相比其他的定义,此项定义对高新技术的本质进行了更加明确地描述,该定义也被本文所认同。 高新技术企业是指拥有高比率知识型人才,以研究、设计、生产、销售技术创新型产品和服务为主要业务的企业。在《国家重点支持的高新技术领域》内,利用尖端科学方法和现代化技术设备生产、销售创新型产品和服务,通过不断进行科技研发,打造以知识产权为中心的企业竞争力,维持企业经营业务。总而言之,高新技术企业是以知识自主、技术创新为核心的新型市场主体。高新技术行业跨度日渐宽泛,目前我国高新技术企业主要集中在“航空航天、计算机、电子通信、医药、科学仪器、电气机械、化学、非电气机械、军事装备”方面。综上,不难发现,高新技术企业应该具备如下要素:第一,研究、开发在企业生产经营中必不可少,并且具有较高的“研发费用/企业销售收入”比例。
...........
2.2 风险管理与参考框架
针对风险,学者们至今仍未形成一致意见。其中,主要观点如下:C.A. Williams (1985)称风险是指在特定条件和时期,未来结果的不确定性;J.S. Rosenb(1972)和F.G.Crane(1984)将风险定义为未来损失的不确定性;我国学者则认为,风险因子、风险事件和风险结果是风险的组成要素。风险事件是指当外在因素产生非预期变动时发生的事件。本文研究的风险主要涉及风险因子和风险事件发生率两个方面,在可能对高新技术企业信息化产生影响的众多因素中找出关键风险因子。 风险管理是指为降低风险的不良影响而制定相应对策的过程,通过风险识别与度量对其进行选择,谨慎衡量为规避风险而增加的成本与所获收益间的关系,最终采取措施予以应对的管理技术。成本收益方案和行动措施的决策(包括决定不采取任何行动)有助于以最小的成本收获最大的安全保障。对现代企业来说,风险管理就是通过风险的识别与度量,采取适当的对策加以防御,有计划地处理风险,使企业能够顺利生产。 风险管理的历史:(1)萌芽:风险管理产生于 20 世纪 30 年代的美国,1929-1933 年经济危机的来袭使美国约 50%的银行、企业面临生存困境,市场严重衰败。为谋取生存,成立保险机构成为许多美国主流企业的选择,保险机构主要对相应的保险事件进行有效管理。可见,当年主要靠保险方式进行风险管理。(2)形成:从 1938年开始,部分美国企业吸取了失败的教训,渐渐实行更加先进的措施加强风险控制。20 世纪 50 年代风险管理进一步被大家接受,风险管理学科真正形成。法国对其进行效仿,也开始重视风险管理思想。与此类似,日本也逐渐放眼与此。(3)发展:近30 年,美、英、法、德、日等国分别成立了风险管理协会。1983 年美国举办了风险管理协会例会,期间与会专业人士一起研究并制定了“101 条风险管理准则”,这对风险管理研究而言具有里程碑式的意义。(4)在我国:20 世纪 80 年代我国部分专家才对此予以关注。吸收国外风险管理方面的先进思想,并应用于部分国内企业,最终取得了非常欣慰的结果。此时,风险管理问题在我国还处于初级阶段。20 世纪 90年代,证券资产在国际风靡,风险证券化开始作为风险管理研究的一部分。
............
3 高新技术企业信息化风险的识别方法与度量模型的选择 ........ 18
3.1 风险识别方法与路径选择 ........ 18
3.2 指标体系的构建 ...... 22
3.3 风险度量模型的选择 ....... 25
4 高新技术企业信息化风险的度量 ............ 29
4.1 总体设计 ......... 29
4.2 数据获取及初步分析 ....... 32
4.2.1 问卷的发放与收回 .... 32
4.2.2 问卷的信度分析 ........ 33
4.2.3 问卷结果的初步统计分析 .......... 33
4.3 回归分析 ......... 35
4.4 小结 ........... 37
5 治理对策 .......... 38
5.1 组织与规划方面 ...... 38
5.2 获取与实施方面 ...... 40
5.3 交付与支持方面 ...... 44
5.4 监控方面 ......... 44
5 治理对策
5.1 组织与规划方面
高新技术企业应将自身的业务特点、技术水平、创新能力、人员素质、外部环境等与其对信息化项目的实际需求结合起来。运用的软硬件系统要满足高新技术企业的实际需求。首先,要适应企业的资金状况,高新技术企业本身在产品研发、商品调试和销售、专用设备的购置等方面需要投入很大,再加上信息化系统的投入压力,高新技术企业常常面临资金不足风险;其次,要以高新技术企业的业务类型和行业特征为准绳购置信息系统,由于某一类信息系统并非对所有的企业均适用,要想使信息化项目给企业带来实际效益,必须选择与本企业业务特点和环境特征相匹配的信息系统;最后,要重视高新技术企业员工的个人素质和对信息化操作能力。先全面考虑本企业员工的综合素质和能力,再选择恰当的软硬件系统。尽量使普通业务操作人员通过定期培训的方式都能够熟练操作信息系统,而信息化部门的专业技术人员能够对软件系统顺利开发和维护。不同的高新技术企业在行业类别、发展阶段和企业规模等方面的差异引起其在信息化需求方面的差异。整体来看,高新技术企业信息化由研发推广信息化、经营管理信息化、决策审批信息化、合作共赢信息化四个层次构成,其中,研发推广、经营管理、决策审批来源于企业内部,而合作共赢则以企业外部活动为主。信息化建设不是简单的系统购置、网站的维护以及无纸化办公,很多高新技术企业信息化项目实施前没有进行全面系统的发展规划,导致高新技术企业信息化针对性和连贯性不强,这样的企业信息化项目非但不会给企业带来任何效益,反而导致企业人力、物力、财力的浪费。为此高新技术企业在信息化项目实施之前,应以其实际业务需求为基础,拟定配套的信息化长远规划,从而确保高新技术企业信息化项目的系统性和适应性。高新技术企业在对其信息化项目进行总体规划时,应遵循“从上到下,由里及外”的原则,这样才能保证信息化资料和数据的真实性和可靠性。 #p#分页标题#e#
...........
结论
(1)从风险管理角度出发,通过文献资料法、头脑风暴法、德尔菲法、核对表法和鱼骨图法等为基础,指导问卷指标设计,契合 COBIT 模型中的四个子域(IT 规划和 组 织 ( Planning and Organization ) 、 系 统 获 得 和 实 施 ( Acquis ITion and Implementation)、交付与支持(Delivery and Support)以及信息系统运行性能监控(Mon IToring)),建立高新技术企业信息化风险指标体系。
(2)以所设计的高新技术企业信息化评价指标体系为基本框架,应用调查问卷对选定的目标企业进行详细调研,获得数据后,首先对问卷进行信度分析,再对每一个指标进行了初步统计分析,通过对问卷调查结果的统计分析识别高新技术企业信息化项目运行时的主要风险,主要包括:信息技术人员风险,监控不足风险,资金不足风险,企业文化风险,系统安全风险,信息化规划风险,设计和实现风险,管理风险,信息化投资决策风险,培训风险。
(3)基于问卷调查结果所得的 60 家高新技术企业信息化实施情况资料数据,运用逻辑回归模型加以进一步验证,找出影响我国高新技术企业信息化项目成败的主要风险因素:信息化规划风险,信息技术人员风险,资金不足风险,管理风险,监控不足风险。事实证明,逻辑回归结果正好对问卷调查结果加以佐证,两者的高度拟合也恰恰是增强了本文的说服力和实践应用价值。
(4)以上述统计分析结果为基础,为提高高新技术企业信息化水平、降低高新技术企业信息化风险,从组织与规划、获取与实施、交付与支持、监控四个方面提出具体针对性防范对策。具体而言,它们分别是:实施应用需求倒逼方案,明确信息化的战略规划;加强创新人才队伍建设,着力打造信息化人力资源优势;调整、优化高新技术企业的信息化组织结构;建立健全信息化项目评估体系,提高投资效益和效果;建立信息化项目“三位一体(资金、进度与质量)”动态治理机制;建立“三全(全覆盖、全流程、全成员)”治理机制;加强企业内部管理体制创新;适度推行“弹性”管理,营造积极、创新的信息化文化氛围;加强网络环境控制、计算机病毒的防护工作、信息档案控制;加强高新技术企业信息化项目监督。
.........
参考文献(略)