信息化价值评估报告范文 第1篇
做好下一步尤其是2012年两化融合评估工作,对于全面实施好“十二五”规划,对于稳增长、促转型,实现经济运行平稳较快发展,具有重要的意义。在前三年的试点实践基础上,两化融合评估工作形成了下一步的具体工作思路、计划及工作重点。
思路和目标
经过三年的实践,以企业为评估对象,立足行业开展的两化融合评估工作下一步要逐步从“试点开展”走向“全面推广”,形成全局统筹、各有特色、合作共赢的良好局面。
一是促进两化融合评估工作走向体系化。建立和完善两化融合评估工作组织保障体系,形成中央和地方、政府和企业共同推进的协同工作格局。促进评估工作流程和制度的标准化和规范化,增强不同区域、行业间评估工作的协调性。
二是充分激发企业参与评估的内生动力。增强评估体系的科学性和引导性,明确两化融合水平等级评判标准和依据,将两化融合水平等级提高与产业升级、企业竞争能力提升和转型发展紧密结合起来,推动企业主动参与评估工作。
三是创新两化融合评估工作手段和方式。充分利用信息化的手段,提高评估数据收集效率和质量,促进成果提炼和共享。将两化融合评估工作与政府相关推进工作相结合,更深层次地发挥评估工作的重要作用。
四是积极推动评估走可持续的发展道路。立足服务,以能够为企业带来切实效益为基本出发点和落脚点,充分调动各级各类第三方评估服务机构等市场力量的积极性,研究建立良好的利益分享和市场运作机制,催生第三方两化融合评估咨询服务业态,逐渐形成两化融合评估咨询服务产业。
六大重点
根据苗部长指示精神和工业和信息化部内确定的重点工作计划,下一步要进一步夯实评估工作理论体系基础,更广泛地开展重点行业企业两化融合评估工作,全面开展企业两化融合等级认定工作,逐渐建立起较为完善的评估服务平台和组织保障体系,并在区域层面开展探索。主要分为六个方面。
一是要完善两化融合评估理论体系,开展标准制订工作。不断深化评估理论体系研究,修改完善《工业企业“信息化和工业化融合”评估规范》,推动评估规范成为国家标准;选择若干重要行业,研究并制订行业两化融合评估标准草案,完善并申请成为行业标准,开展行业标准制修订工作;广泛吸收国际先进经验,探索开展与国际标准化组织的交流合作,积极参加国际标准化组织的相关活动,提升国际知名度和影响力;组织开展两化融合评估认证相关专业培训,涉及服务机构和专业人才、主管政府官员和工作人员、企业主管领导和技术骨干等。
二是要全面开展行业两化融合评估工作。首先,依据评估规范,开展重点行业评估工作,两年内实现对主要产业领域的全面评估覆盖的目标。指导和支持行业制订行业评估体系和评估方法,开展实际测评,撰写和行业评估报告,并将评估结果反馈给参评企业。其次,开展各行业两化融合水平的对比分析,总结和提炼行业两化融合的共性关键问题和发展规律,定期两化融合总体发展报告。再次,推进各方共享评估数据和成果,全面梳理行业评估成果,挖掘标杆企业的典型经验,总结和提炼先进模式和解决方案,进行全国推广。
三是开展企业两化融合水平等级认定工作。第一点,依据评估规范,研究和不断完善企业两化融合水平等级认定关键理论问题,界定两化融合水平等级评判的标准和依据,明确两化融合水平评估要素与各水平等级之间的对应关系。第二点,制订并出台企业两化融合水平等级认定标准和工作管理办法,规范等级认定工作流程、内容和方法,完善工作机制。第三点,与地方工业和信息化主管部门、行业协会合作,全面开展企业两化融合水平等级认定工作。
四是建设和运营两化融合评估服务平台。首先,开发建设两化融合评估服务平台,提供统一信息、成果交流共享、咨询培训、评估认定等服务。支持各单位依托平台分别开展两化融合水平评估和等级认定工作,实现数据资源集中管理和充分共享。其次,搭建数据直报体系。依托各评估认定实施主体,逐步建立和完善区域、行业等数据直报系统,为进一步加强区域和行业管理,实现产业链优化提供客观数据支持。再次,开展两化融合项目评估和全流程监管。依据评估规范建立两化融合项目绩效评估体系,依托评估服务平台对两化融合样板企业和重点项目申报、审批、监管和验收等进行全流程评估和管理,提高样板企业和重点项目管理的规范性和科学性,更好支持经验挖掘、规律提炼和成果推广。
五是搭建两化融合评估认证实施组织体系。第一点,成立两化融合评估认定专家咨询委员会。依托两化融合评估专家组,成立评估认定专家咨询委员会,对各层面两化融合评估以及水平等级认定工作进行专业指导。第二点,建立两化融合评估认证中心。依托两化融合评估总体工作组(工业和信息化部电子科学技术情报研究所)建立两化融合评估认证中心,承担两化融合评估和企业水平等级认定总体工作,完善评估认定实施组织体系,建立和运营两化融合评估公共服务平台,代部行使两化融合评估认定相关统筹、监管、协调等职能。
六是开展区域两化融合评估工作试点。其一,建立区域两化融合水平评估指标体系。委托相关研究机构建立区域两化融合水平评估指标体系。召开专家研讨会,确定指标的权重、评估规范和测算方法。其二,开展评估数据搜集及调研。搜集有关统计数据,并请专家及各省市针对指标体系提出修改意见。请各省市协助评估工作小组调研和采集数据。其三,进行两化融合评估数据的测算。开发评估指标体系测算软件,通过测算软件对各级指标进行数据测算和排序,并对排序结果进行对比分析。其四,区域两化融合评估报告。撰写区域两化融合发展水平初评报告,经专家讨论,对初评报告进行完善和修改,完成两化融合评估报告并对外评估结果。
信息化价值评估报告范文 第2篇
从企业内部业务出发,优化信息安全风险评估基本模型,设计了一个企业信息安全风险自评估实施模型,并深入分析了该模型的内容,使其适用于企业依托自身力量来有效开展自评估活动,从而提高企业信息安全风险防护能力。
关键词:
信息安全;自评估;风险评估;模型设计
企业信息安全风险评估主要有2种模式,即他评估和自评估。相比较而言,自评估展现出越来越多的优点,比如外部依赖性小、投入费用低、评估周期短、次生风险低和可以提高内部安全意识等。除此之外,信息安全风险的动态化决定信息安全评估工作应是长期持续的,大部分的内部信息安全风险评估内容企业可采用自评估方式来完成。但信息安全风险评估的专业性、技术性、标准性比较高,企业难以掌握复杂的评估技术和方法。本文以企业业务为出发点,对信息安全风险评估基本模型进行优化,设计了一个更适用于企业依托自身力量来有效开展自评估的实施模型,以提高企业信息安全风险防护能力。
1信息安全风险评估基本模型
对风险评估模型的研究一直是信息安全风险评估领域的研究热点之一。风险评估基本模型是一种基于资产、威胁和脆弱性的信息安全风险评估模型。其中,资产的评估主要是对资产进行相对估价,估价准则依赖于对其影响范围的分析;威胁评估是对资产所受威胁发生可能性和威胁严重程度的评估;脆弱性评估是对资产脆弱程度的评估,也是对资产被威胁、利用成功的可能性的评估。信息安全风险评估基本模型的评估过程就是对资产信息、威胁信息和脆弱性信息进行综合分析评估并且生成风险信息的过程,包含确定评估范围、资产识别阶段、安全威胁/脆弱性评估、风险分析和风险管理等阶段。基于信息安全风险评估基本模型,很多学者从不同角度和目的做了优化和完善。但是,信息安全风险评估模型的研究还处于探索和完善阶段,已有的研究存在一些缺陷,主要表现为以下3点:①缺乏对评估内容的逐层细化,难以评价和量化各要素,可操作性比较差;②缺乏对风险评估基本要素属性的综合思考,难以体现评估要素与企业业务的关系;③大部分模型比较复杂,评估方法和流程操作起来费时费力,企业难以采用。
2基于基本模型的企业信息安全自评估模型
针对信息安全风险评估模型的不足,本文综合考虑企业自身的业务和内部约束条件,在基本模型和相关研究成果的基础上,提出更加简单、有效的企业信息安全风险自评估模型。本文认为,企业信息安全风险自评估模型应遵循自主、简单、规范性、可行性和可扩展性的原则,基本思路是从企业业务出发,多角度研究自评估模型中资产、威胁、脆弱性的关系和指标,应用相关统计分析方法统计,运用层次分析法(AHP)评价、量化相关要素和风险,最终构建一个科学、合理、可操作的企业自评估模型。在此过程中,需要解决3方面的问题:①明确评估的对象、内容和流程;②构建评价方法,统一评估和度量风险基本要素;③统一不同层面、角度的评估结果。
基于AHP的信息安全风险要素度量方法
AHP(AnalyticHierarchyProcess,层次分析法)是一种定性分析与定量分析相结合的多目标决策分析方法,其基本步骤是:①分析问题,建立递阶结构(评价模型);②构造比较判断矩阵;③层次单排序;④一致性检验;⑤层次总排序与一致性检验;⑥选择最优的解决方案。资产、威胁、脆弱性作为信息安全风险自评估模型的3个基本要素,需要分别识别和分析,并提炼出各自的评价指标。本文结合已有的理论和实践成果,从自主性、简单性、可行性和科学性原则出发,基于相关标准、企业环境和企业业务影响分析,提出信息资产的评价因素应包含经济、名誉、法律法规、业务运营、社会秩序、商业利益和个人利益,等等,威胁可能性评价指标应包含威胁攻击力、威胁动机、资产诱因和威胁频率等,脆弱性严重程度赋值的评价因素应包含可用性、机密性和完整性。根据资产受到损害时对其评价因素带来的损失为资产价值赋值(比如从1~4取值),数值越大,表明资产价值越高。得到各评价因素的综合分值后,分值最大的为该资产的价值,即资产价值为A=max(i)。根据威胁评价指标和脆弱性评价因素,利用AHP方法建立威胁、脆弱性评价体系,体系由目标层、准则层和指标层(方案层)构成。为了方便对不同威胁发生可能性概率、不同脆弱性的严重程度进行类比、度量,使用统一的度量标准,采用相对等级的方式处理评价结果(比如从1~4取值),数值越大,威胁发生的可能性越高,带来的损害越大。通过AHP用数量形式表达和处理个人主观判断结果,采用专家和团队评分进一步比较各要素的重要性,并做一致性检验,最终确定各要素的值。
企业信息安全自评估风险计算
在对资产价值、威胁、脆弱性分析和量化后,还要确定各要素之间的组合方式和具体的计算方法。《信息安全风险评估规范》(2007)对风险值的计算提出了如下函数:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)).(1)式(1)中:R为安全风险计算函数;A为资产;T为威胁;V为脆弱性;L为威胁利用资产的脆弱性导致安全事件的可能性;F为安全事件发生后造成的损失;Ia为安全事件所作用的资产价值;Va为脆弱性严重程度。信息安全风险值的计算方法主要有矩阵法、相乘法和预先价值矩阵查表法等,并且可以将多种方法结合使用。因为相乘法操作简单,所以,在风险分析中的应用比较广泛。该方法是一种定量的计算方法,主要思路是利用2个相关要素值的乘积计算出结果要素的值。按照简单性、科学性原则,对于企业自评估,本文认为,相乘法比较适合企业使用,但不限于该方法。根据相乘法,企业信息安全风险值的计算过程是:①计算威胁利用资产的脆弱性导致安全事件的可能性,即L=L(T,V)=T×V;②计算安全事件发生后造成的损失,即F=F(Ia,Va)=Ia×Va;③计算风险值,即R=R(L,F)=L×F.
企业信息安全自评估模型和流程设计
企业信息安全风险自评估的基本目的是依据企业自身业务,识别出信息系统中存在的主要安全风险,并排列优先级,为风险信息计算提供数据支撑,进而为提出风险应对措施提供建议。基于上述方法,本文提出了企业信息安全风险自评估模型,如图1所示。企业信息安全风险自评估模型的实施分为范围确定、资产识别与量化、威胁分析、脆弱性分析、风险分析与计算、风险应对建议6个阶段,每个阶段的具体任务如图2所示。本文提出的自评估模型综合了企业自评估的约束条件、风险评估的基本原理、关键环节与流程、基本要素度量等,具有以下5个特点:①模型提供了统一的资产、威胁、脆弱性3个基本要素的度量和评价方法,依据模型中的评价指标可以进行量化和排序。②模型将企业业务与风险评估结合起来,体现了IT服务企业、服务业务的理念,在一定程度上反映出了信息安全风险评估对业务的影响程度和对企业的价值。③模型满足信息安全的动态性要求,适应企业业务不断发展和调整的需要。当业务调整时,企业仅需分析业务信息流,识别出相关资产、威胁和脆弱性等。④模型满足信息安全的持续性要求,企业可建立相关制度,将自评估设立为日常性工作。当业务无法调整时,自评估活动仅需识别和分析新的脆弱性和威胁信息,从而节省大量资源。⑤模型具有较强的适应性,适用于不同类型的企业,企业可根据实际情况裁减和优化,根据各自的偏好选择风险计算方法。
3结束语
信息化价值评估报告范文 第3篇
[关键词] 中小企业;内部控制;风险评估体系
[中图分类号] [文献标识码] B
企业内部控制风险评估体系是企业内部控制体系的重要组成部分。中小型企业内部控制风险评估体系不但是适应国家对中小企业的监管需要,同时也是企业加强风险管理、实现全面发展的重要手段。近些年来,随着中小型企业在国民经济发展中作用的日益突出,规范中小企业管理,增强中小企业抗风险能力已经成为摆在我们面前的重要课题。
一、调研对象的基本情况
我们共对湘中地区37家中小企业进行了调研,涉及农业、工业、商业、建筑业、餐饮业、交通运输业、旅店业等7大行业,全部为民营企业。3家为3名以上不同家族股东合股经营,9家为2个不同家族股东合股经营,其余全部为同一家族成员持股或独资。除2家餐饮旅店业企业外,35家企业建立有的内部控制书面制度,其中29家企业聘请过外部专家进行过内部控制制度设计,9家企业长期接受注册会计师事务所的审计咨询,4家企业聘请了长期的法律顾问。
二、中小型企业内部控制风险评估体系存在的主要问题
(一)风险评估意识尚在萌芽
大多数中小企业实行的是家族式管理或是一人决策领导型管理模式,管理者对于企业内部控制风险问题有较大忧虑,确无力构建企业内部控制风险评估制度体系。在起步阶段的管理者甚至认为自己经营的就是一个小企业,人数较少,业务单一,企业主对于业内形势洞若观火,风险一目了然。更多初有规模的中小企业管理者尽管对企业内部控制风险评估体系建设有一些粗略的认识,也做了可贵的探索和实践,但缺乏系统化。
(二)参与评估主体相对单一
从37家中小企业的整体情况看,多数企业在进行内部控制风险评估的主题是企业内部财务或审计人员,外部专家来企业调研基本上是走马观花,没有潜心研究企业的自身特点。同时由于中小企业内部审计缺乏独立性,内部审计评估未能真正发挥作用,很难有效的实施工作,保证内部控制风险发挥作用。
(三)评估前期信息基础欠缺
不少中小企业由于成立时间较短,内部管理尚待加强,对内部控制所需的基础数据统计不到位。目前,多数中小企业对于国家政策等外部风险因素信息较为重视,而对于组织风险、决策风险、经营风险、财务风险等内部风险信息的搜集、整理、利用方面存在短板。在3家股份制企业和6家有限责任公司中,大小股东之间存在严重的信息不对称,小股东对于企业经营的状况了解甚少。
(四)评估指标体系尚待完善
中小企业内部控制风险因素中存在大量的往往无法量化或不便量化的定性指标,这就使风险因素得不到有效和确切的评估,进而影响对企业内部控制风险评估的准确性。即使采用专家打分法来将无法量化的定性指标进行定量估计时,由于基础条件较差,导致专家对于大量的评价指标数量难以把握,评估结果有效性较差。而在企业内部控制风险定量衡量指标的选择方面,中小企业在资产负债率、资产收益率、销售利润率等短期、显性财务指标考虑较多,对债务保障率、资产周转率、社会贡献率等长期、隐性发展指标等重要的财务指标考虑较少。这样,财务危机预警分析系统的功能常打折扣。
三、构建和完善中小型企业内部控制风险评估体系的建议
(一)增强中小企业内部控制风险评估意识
中小企业进行风险评估一般需要经历风险辨别、分析、管理、控制等过程,这些环节中无论哪一个环节的实施,都需要管理人员和员工以强烈的风险评估意识为指导才能有效开展工作。中小企业管理层要高度重视企业内部控制风险评估体系建设,要充分认识其在企业内部控制中、企业发展的作用,将企业内部控制风险评估当成一项常新的工作来抓。要经常开展企业内部控制风险评估方面的学习、教育、培训等,深入学习这方面的知识,将理论与实践结合起来,并将其内化为风险评估文化,为后期工作的开展打下思想基础。
(二)丰富中小企业内部控制风险评估主体对象类型
针对评估主体不全的现象,中小企业在构建内部控制风险评估体系的时候,有必要丰富评估主体类型,加强对内部控制风险评估的监督。一是要加强内部审计队伍建设,保障内部审计的独立性。要聘用专业的内部审计人员,确保内部控制质量。二是要在内部控制管理框架下加强自我评估。参与风险评估自我评估的人员应包括管理人员和普通员工,采用的办法可以是结构化的方式,其评估对象为业务过程和控制效果。定期或不定期的自我评估活动,有助于经常发现和解决内部控制风险评估过程中出现的问题。同时,聘请相关专家或第三方机构对自身现有的内部控制风险评估体系进行评价,全面改进和优化,集思广益,促进自身评估体系的健康发展。
(三)夯实企业内部控制风险评估前期信息来源基础
一方面,要加强风险评估信息的共享。要建立有效的信息采集、沟通机制,避免因信息不畅所带来的风险。另一方面,要提高重点领域以下领域的信息搜集的质量,保障风险信息的全面性。
1.财务风险方面。重点调查负债、或有负债、负债率、偿债能力,现金流、应收账款及其占主营业务收入的比重、资金周转率,应付账款及其占购货额的比重,成本和管理费用、财务费用、营业费用,成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节。
2.市场风险方面。重点调查产品(服务)的价格及供需变化,产品供应的充足性、稳定性和价格变化,主要客户、主要供应商的信用情况,潜在竞争者、竞争者及其主要产品情况。
3.运营风险方面。重点掌握新市场开发、市场营销策略,企业组织效能、管理现状、企业文化、中、高层管理人员和重要业务流程中专业人员的知识结构、专业经验,质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节,因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵,企业风险管理的现状和能力。
(四)健全企业内部控制风险评估定性定量指标体系
一方面,对于定性的指标,可以采用专家打分法和问卷调查法进行科学合理的评估。专家团的组成人员需要涵盖企业内部一线管理人员,也需要聘请一定数量的企业外部管理咨询专家。另一方面,对于定量指标的评估,在采用单变量方式进行分析的基础上,采用APH分析法和指标对比法进行分析。中小企业内部控制风险定量衡量指标如下表所示:
中小企业内部控制风险评估定量衡量指标表
该指标直接反映企业收益的质量,如果比率小于1,说明净利润中存在尚未变现的收入。此时即使企业盈利,也可能发生现金短缺,严重时会导致企业破产
(五)加强中小企业内部控制风险评估分析过程管理
一方面,中小企业需要全面认识企业所面临的风险,通过进行SWOT分析,做到知己知彼。另一方面,要提高对风险反映的灵敏度。如可建立风险分析模型,通过关键风险指标管理方法、压力测试和情景分析等定量技术手段和会谈、工作组会议等定性评价技术对风险发生的条件因素进行分析。这样不仅可以全面了解风险发生的条件,同时也能提高评估分析效率。在此过程中,要将企业自查与外部检查、事前与事后检查相结合。
湘中地区是我国中部地区中小企业较为发达的地区,从一定程度上反映了我国中小企业发展的现状。随着中小企业的迅速发展和壮大,其对企业内部控制体系建设的要求越来越高。加强企业内部风险评估,不仅是中小企业应对市场风险和挑战的需要,同时也是企业提高竞争力的必然要求。中小型企业必须高度重视企业内部控制风险评估工作的开展,建立健全企业内部控制风险评估体系,使各项制度规范化和制度化,有效促进企业控制目标的实现。
[参 考 文 献]
[1]任齐伟.企业内部控制风险评估标准系统构建问题的研究[J].中国乡镇企业会计,2012(2)
[2]李慧敏,王小英.企业内部控制与风险管理研究[C].中国会计学会高等工科院校分会第十八届学术年会(2011)论文集,2011
信息化价值评估报告范文 第4篇
【关键词】三全事件;信息管理;企业危机;传播
危机回顾
上市公司三全食品于2011年11月4日被媒体爆出其部分批次产品在广州工商局的三季度抽检中不合格。公司在几天后刊登出一则公告,称这批不合格产品是在8月份检查出并且已经全数召回销毁。然而公告之后,舆论界围绕食品安全和三全公司公告的讨论,仍在继续。
既然三全产品2011年8月即已查出含有金黄色葡萄球菌,那么2011年10月30日所刊登文章中三全公司董事长的话就让人有些困惑甚至是愤怒了。这不仅让三全公司陷入了新一轮的舆论风波,还在一定程度上危及公司的生存,在此类事件中,企业在危机中的信息管理显得尤为重要。
随着社会经济的全球化和信息化的迅速扩张,经济社会各个组成部分之间的联系日益紧密,移动互联的迅速扩张让信息变得随处可及,移动互联和社交服务以及传统媒体的结合让信息能够病毒式迅速扩散,并且引起巨大的舆论反响,危机日益显现出突发性、普遍性和严重性的特点。一旦发生危机,舆论传媒就会迅速将其扩张,以致对企业造成巨大冲击,其影响的广泛性和深入性是前所未有的。因此,在当今信息化时代里,用信息管理的思想来改造危机管理过程,一定程度上决定了企业应对危机的处理结果和效应。
然而对于企业来说,危机并不是一件坏事,辩证地说,危机包括危险和机会,在危机过程中有效的信息管理是企业规避风险、挖掘机会的重要手段。通过建立危机预警机制和制订危机处理预选计划,并且在危机发生时进行合理的信息管理,是企业生存的重要因素之一。
企业的失策之处
企业危机事件中的信息管理到底会出现什么问题呢?我们结合肯德基2005年苏丹红事件处理和三全事件对比来看企业在遇到危机时的信息管理问题。
2005年肯德基经历的从苏丹红一号到天绿香一系列危机,让这家著名的连锁快餐厅遭遇了前所未有的信任危机,一向以标准化以及健康卫生来获得中国消费者认可的肯德基陷入了苏丹红的漩涡中,然而,肯德基的处理却要比三全公司理性和迅速得多,在苏丹红事件发生后,肯德基的母公司中国百胜餐饮集团在全国各地的分公司同一时间发表了公开声明,称肯德基餐饮中的新奥尔良烤翅和新奥尔良烤鸡腿堡调料中被发现含有苏丹红一号,同时也声称对供应商给该公司提供违禁成分调料的行为表示“非常遗憾”,并声明已停售相关食品,重新安排调料生产。
反观三全公司,整个事件的处理速度和处理方式都不尽如人意,8月份即发现的金黄色葡萄球菌到11月份才不情愿地进行反应处理,虽然此前的发现并没有引起太大的舆论反响,但是也为后面的质疑埋下了包袱。这是管理层的失误,他们错误地估计了风险,致使没有达成迅速而又透明、真诚的沟通。另外,三全公司2011年11月份在曝光发现了金黄色葡萄球菌之后,公司的对外沟通并没有预想中的让人感到舒服和安心,反倒是让人感到咋舌和叹息。11月8日,第一财经(微博)网刊发了由第一财经日报记者采写的报道,题为《三全步思念后尘“中招”菌超标,速冻食品供应链存弊端》。在这篇报道中,三全的一名负责人干脆的把责任推给了上游原料供应商:“速冻产品出现问题,往往是原料采购环节更容易出现问题,采购到一批含此菌的肉,抽验时又可能漏掉了,随后生产环节就出现了此问题。”他甚至抱怨国家标准过于宽松。这种沟通是和信息管理的基本原则背道而驰的。沟通的重要性主要是充分体现企业认真负责的态度,其他被动的、敷衍的沟通都会让消费者和公众产生不信任感。
对企业危机事件对策的建议