本書講述了網(wǎng)絡(luò)依賴型企業(yè)在開展業(yè)務(wù)過程中的金融風險、信用風險等風險現(xiàn)狀、敞口大小、危害程度和治理體系的搭建,對風險的特點、性質(zhì)、引致因素、形成機制及應(yīng)對方法進行多層次、多緯度的分析,解決電商企業(yè)、高新企業(yè)等網(wǎng)絡(luò)依賴型企 業(yè)的風險的識別、評價和治理等現(xiàn)實問題,并給出此類企業(yè)的風險治理的內(nèi)控體系的框架體系和具體措施,從中國的國情出發(fā)識別新金融業(yè)態(tài)風險,在促進經(jīng)濟轉(zhuǎn)型和可持續(xù)發(fā)展的同時,把風險降到最低。
隨著互聯(lián)網(wǎng)的日益普及,在網(wǎng)絡(luò)生態(tài)上干事業(yè)、謀發(fā)展的企業(yè)越來越多。以網(wǎng)絡(luò)為生存環(huán)境的企業(yè)也愈加具有不確定性,如果網(wǎng)絡(luò)系統(tǒng)擁堵或癱瘓,就可能影響其大部分收益,甚至使其出現(xiàn)生存危機。本書探討了網(wǎng)絡(luò)依賴型企業(yè)在過度依賴網(wǎng)絡(luò)時,如何控制自身風險的蔓延和后果,如何識別和防范外來輸入性風險、內(nèi)生性風險,將風險控制在可接受水平。
為了探討網(wǎng)絡(luò)依賴型企業(yè)風險蔓延的現(xiàn)狀和表現(xiàn),可能導致的后果以及企業(yè)目前的治理模式是否發(fā)揮作用,筆者走訪和調(diào)研了近100家此類企業(yè),通過問卷的形式進行了一手數(shù)據(jù)的收集。本書用了大量篇幅對網(wǎng)絡(luò)依賴型企業(yè)的內(nèi)控體系整體現(xiàn)狀、內(nèi)控體系要素的表現(xiàn)、風險治理體系的現(xiàn)狀等進行了分析,形成了比較完整的風險狀態(tài)畫像。
本書的前半部分為企業(yè)風險蔓延現(xiàn)狀的分析,包括企業(yè)性質(zhì)和經(jīng)營情況、風險敞口和治理現(xiàn)狀、網(wǎng)絡(luò)依賴程度、公司治理和具體控制措施等。通過對問卷數(shù)據(jù)的詳細分析,找出網(wǎng)絡(luò)依賴型企業(yè)的風險程度,是否及時識別,以及治理效果等存在的問題,并結(jié)合COSO(內(nèi)部控制框架)模型和COBIT(信息及相關(guān)技術(shù)控制目標)模型,以案例企業(yè)為切入點,對企業(yè)基于網(wǎng)絡(luò)生態(tài)所衍生的風險進行識別和評價,給出治理此類風險的企業(yè)環(huán)境設(shè)計、職責規(guī)劃和崗位設(shè)計、風險矩陣和控制流程設(shè)計、信息溝通和監(jiān)督設(shè)計等方面的建議。
本書的后半部分提出基于人機協(xié)同理念的人機治理思路,并創(chuàng)新采用人機關(guān)系評價法評估企業(yè)對網(wǎng)絡(luò)依賴的風險程度,確定風險敞口,在風險程度超出管理層設(shè)定水平時,就需要啟動風險控制系統(tǒng),讓風險水平回歸至可接受程度,這是風險管理的核心目標。需要強調(diào)的是,傳統(tǒng)治理手段無法很好地實現(xiàn)網(wǎng)絡(luò)環(huán)境下的風險防治,需要將系統(tǒng)思路貫徹始終,形成人機協(xié)同治理機制,才可以從根本上防范基于網(wǎng)絡(luò)生態(tài)的三類風險的爆發(fā),這是本書的結(jié)論,旨在其能對相關(guān)企業(yè)有所啟發(fā),在風險管理實踐中發(fā)揮指導作用。
人機治理體系是網(wǎng)絡(luò)依賴型企業(yè)管控風險蔓延的創(chuàng)新體系,核心思想是克服傳統(tǒng)內(nèi)部控制體系的技術(shù)與企業(yè)文化等軟要素的割裂的局面,從人機治理環(huán)境、風險人機識別、風險人機控制、人機溝通、人機協(xié)作監(jiān)控五個要素構(gòu)建新型內(nèi)控治理體系,是基于COSO、COBIT體系基本原理,又針對特殊遇險群體的專門化治理思路,是此類風險管理理論的創(chuàng)新嘗試。
本書的出版要感謝課題組成員的大力協(xié)作,他們分別是趙金淳、關(guān)笑雨、谷雨、趙辰陽、田彬、邱捷。文中部分章節(jié)的內(nèi)容來自團隊成員的合作貢獻,同時感謝本書所參考的文獻和成果的作者,感謝中國財富出版社有限公司及編輯鄭曉雯老師的辛勤付出。如果標注有遺漏或謬誤,懇請諒解,定在后續(xù)更正。
書中的數(shù)據(jù)和結(jié)論難免存在疏漏和謬誤,懇請讀者批評指正。
本書是北京社會科學基金項目“網(wǎng)絡(luò)依賴型企業(yè)風險蔓延的人機預(yù)警機制研究”(編號 19GLB020)的階段性成果。
王凡林,首都經(jīng)濟貿(mào)易大學會計學教授、博士生導師,研究領(lǐng)域為會計信息化、審計信息化、內(nèi)部控制與風險管理。在核心期刊發(fā)表論文70余篇,出版專著和教材10余部,為多家企業(yè)提供信息化咨詢方案,同時是工信部、財政部財務(wù)類重大課題評審專家,國家社科基金、國家自科基金項目評審專家,多家上市公司獨立董事。
第一章 引論 ………………………………………………………………… 1
一、 概念界定 ……………………………………………………………… 5
二、 網(wǎng)絡(luò)依賴型企業(yè)風險分類 ……………………………………………… 7
三、 網(wǎng)絡(luò)依賴型企業(yè)風險管理理論依據(jù)……………………………………… 9
四、 網(wǎng)絡(luò)依賴型企業(yè)風險治理成熟度模型 HI-CMM ………………………… 12
第二章 網(wǎng)絡(luò)依賴型企業(yè)特征分析 ……………………………………… 19
一、 樣本特征分析 ………………………………………………………… 21
二、 結(jié)論與建議 …………………………………………………………… 35
第三章 企業(yè)屬性特征分析 ……………………………………………… 37
一、 總體分析……………………………………………………………… 39
二、 交叉分析……………………………………………………………… 53
第四章 網(wǎng)絡(luò)依賴度多維分析 …………………………………………… 61
一、 企業(yè)互聯(lián)網(wǎng)依賴程度分析……………………………………………… 63
二、 網(wǎng)絡(luò)維護人員薪資分析 ……………………………………………… 72
三、 企業(yè)受疫情影響程度分析……………………………………………… 78
四、 網(wǎng)絡(luò)維護費用投入分析 ……………………………………………… 83
五、 結(jié)論與建議 …………………………………………………………… 85
第五章 風險管理主體行為分析 ………………………………………… 87
一、 樣本企業(yè)網(wǎng)絡(luò)風險損失分析 …………………………………………… 90
二、 樣本企業(yè)網(wǎng)絡(luò)風險管理制度分析 ……………………………………… 92
三、 樣本企業(yè)網(wǎng)絡(luò)風險管理人員分析 ……………………………………… 96
四、 樣本企業(yè)網(wǎng)絡(luò)風險管理培訓分析 ……………………………………… 99
五、 分析結(jié)論與應(yīng)對措施 ………………………………………………… 101
第六章 網(wǎng)絡(luò)風險表現(xiàn)分析 ……………………………………………… 105
一、 上網(wǎng)安全措施分析 …………………………………………………… 107
二、 風險識別和評估方法分析 …………………………………………… 110
三、 網(wǎng)絡(luò)依賴關(guān)鍵風險分析 ……………………………………………… 114
四、 外部網(wǎng)絡(luò)輸入風險分析 ……………………………………………… 117
第七章 網(wǎng)絡(luò)輸入風險應(yīng)對措施分析 …………………………………… 125
一、 樣本分析 …………………………………………………………… 127
二、 結(jié)論與建議 ………………………………………………………… 141
第八章 風險治理行為分析 ……………………………………………… 143
一、 樣本特征分析 ……………………………………………………… 145
二、 結(jié)論與建議 ………………………………………………………… 162
第九章 人機因素風險治理分析 ………………………………………… 165
一、 企業(yè)控制環(huán)境相關(guān)情況分析 ………………………………………… 167
二、 企業(yè)內(nèi)控體系建立和運行效果分析 …………………………………… 180
三、 結(jié)論與建議 ………………………………………………………… 183
第十章 網(wǎng)絡(luò)風險治理案例 ……………………………………………… 187
一、 風險管理體系 ……………………………………………………… 189
二、 風險管理內(nèi)容 ……………………………………………………… 190
三、 風險分解及概率分布 ………………………………………………… 192
四、 風險處理組合 ……………………………………………………… 194
五、 網(wǎng)絡(luò)風險監(jiān)控 ……………………………………………………… 195
六、 風險崗位和流程……………………………………………………… 196
七、 流程風險 …………………………………………………………… 204
八、 控制矩陣 …………………………………………………………… 205
第十一章 人機協(xié)同與人機關(guān)系 ………………………………………… 207
一、 人機協(xié)同與治理變革 ………………………………………………… 209
二、 人機關(guān)系評價法……………………………………………………… 210
附錄 京津冀地區(qū)網(wǎng)絡(luò)依賴型企業(yè)風險現(xiàn)狀及治理
效果調(diào)查問卷 ……………………………………………………… 217
黨的十九大以來, 在 “互聯(lián)網(wǎng) + ” 和 “雙創(chuàng)” 等新發(fā)展戰(zhàn)略的引領(lǐng)下,以網(wǎng)絡(luò)為主要支撐手段的新型企業(yè)得到迅猛發(fā)展。 據(jù) IDC (國際數(shù)據(jù)公司) 統(tǒng)計, 自 2012 年至 2021 年來的9年間, 此類企業(yè)年遞增39%, 超過120余萬家。 與一般企業(yè)相比, 該類企業(yè)對網(wǎng)絡(luò)技術(shù)和環(huán)境的依賴度極高, 其主營業(yè)務(wù)收入的 60% 以上與網(wǎng)絡(luò)技術(shù)、 工具或載體有直接關(guān)系, 為了研究的方便, 本書將其稱為 “網(wǎng)絡(luò)依賴型企業(yè)” (以下簡稱為網(wǎng)絡(luò)企業(yè)、 網(wǎng)絡(luò)型企業(yè)、網(wǎng)絡(luò)組織或新型企業(yè)等)。 在該類企業(yè)享有網(wǎng)絡(luò)帶來的便利和效率的同時, 伴隨網(wǎng)絡(luò)而蔓延的各類風險也時刻威脅著其生存和發(fā)展, 尤其是在信息超載、 競爭環(huán)境瞬息萬變的互聯(lián)互通時代, 一個火星式的風險點即可產(chǎn)生燎原之勢, 對于風險必須及早識別、 盡快控制、 盡量消除。
本書所研究的企業(yè)信息化風險是指企業(yè)因?qū)嵤┬畔⒒ぷ鞫o自身帶來直接或間接損失的可能性, 包括直接風險和間接風險。 企業(yè)信息化是一個包括信息化規(guī)劃、 實施、 運行和維護等過程的系統(tǒng)工程。 按照諾蘭模型(Nolan Model) 的階段性理論來看, 信息技術(shù)在企業(yè)管理領(lǐng)域的應(yīng)用是一個不斷引入、 延展、 深化和自我完善的進化過程, 目的是為企業(yè)的各級管理活動提供輔助信息和參考方案。 本書所涉及的信息化實施領(lǐng)域, 重點討論企業(yè)運營的管理過程, 包括管理過程的預(yù)測、 決策、 計劃、 預(yù)算、 控制、 執(zhí)行、 檢查、 考核、 評價、 分析、 激勵、 約束、 反饋等管理循環(huán)的每個環(huán)節(jié)所需要的信息技術(shù)和信息資源。
具體來講, 網(wǎng)絡(luò)依賴型企業(yè)是指企業(yè)核心業(yè)務(wù)中有 50% 以上產(chǎn)值 (有文獻認為是 60% 以上) 依賴互聯(lián)網(wǎng)才能完成的一類企業(yè)。 網(wǎng)絡(luò)企業(yè)的互聯(lián)性和共生性, 導致不少網(wǎng)絡(luò)企業(yè)的內(nèi)部風險借助網(wǎng)絡(luò)而迅速傳播, 使內(nèi)生的、 局部的風險迅速傳播蔓延, 演變?yōu)橥{整個網(wǎng)絡(luò)生態(tài)系統(tǒng)的全局性風險, 給網(wǎng)絡(luò)企業(yè)的生存和發(fā)展帶來災(zāi)難。 本書立足于京津冀、 長三角等互聯(lián)網(wǎng)發(fā)達地區(qū)網(wǎng)絡(luò)化程度較高的特點, 結(jié)合網(wǎng)絡(luò)依賴型企業(yè)獨特的運行環(huán)境和技術(shù)特征, 利用定性和定量手段, 構(gòu)建反映網(wǎng)絡(luò)依賴型企業(yè)的風險傳播速度、 規(guī)模和危害程度的指數(shù)模型及求解思路, 并針對網(wǎng)絡(luò)依賴型企業(yè)的特點而提出風險識別、 評價和預(yù)警機制。
據(jù) IDC (中國) 機構(gòu)統(tǒng)計, 京津冀、 長三角等經(jīng)濟發(fā)達區(qū)域的網(wǎng)絡(luò)依賴型企業(yè)占企業(yè)總數(shù)的 27% 左右, 這些企業(yè)近 3 年的風險敞口爆發(fā)率每年遞增 130% 左右, 企業(yè)因 “網(wǎng)絡(luò)黑客” “賬戶木馬” “釣魚網(wǎng)站” 等而遭受的損失規(guī)模數(shù)以千億計。 隨著國家 “互聯(lián)網(wǎng) + ” 戰(zhàn)略的進一步落地, 網(wǎng)絡(luò)依賴型企業(yè)必然呈 “井噴之勢” 快速發(fā)展, 不可避免的是各類風險也會隨之快速傳播, 最終可能導致整個網(wǎng)絡(luò)系統(tǒng)風險的全面爆發(fā)。 因此, 如何控制住網(wǎng)絡(luò)企業(yè)中的關(guān)鍵少數(shù)———網(wǎng)絡(luò)依賴型企業(yè)的風險傳播速度, 切斷傳播路徑、 控制蔓延風險, 是新時代網(wǎng)絡(luò)經(jīng)濟環(huán)境下學界和實務(wù)界亟待解決的現(xiàn)實問題。 本書以網(wǎng)絡(luò)依賴型企業(yè)作為切入點和新視角, 根據(jù)此類企業(yè)的 “網(wǎng)絡(luò)依賴性強” “風險密集度高且傳播性強” “資源開放且組織邊界模糊” “內(nèi)控體系外部化” 等特點, 依據(jù)利用調(diào)查問卷、 現(xiàn)場訪談、 實務(wù)測試等方法得到的一手數(shù)據(jù), 深入剖析問題的根源和影響, 提出全新的信息化管理風險評價方法: 人機關(guān)系評價法和人機預(yù)警機制。
從麥肯錫咨詢及畢馬威會計師事務(wù)所的調(diào)查統(tǒng)計結(jié)論來看, 截至 2020年年末, 企業(yè)實施信息化的成功率仍難以達到預(yù)期, 且信息化方案提供方與企業(yè)用戶的認識也不一致: 前者認為信息化成功率在 70% 左右; 而后者認為實施以企業(yè)資源計劃 (ERP) 為代表的信息化工作, 能達到設(shè)計預(yù)期效果的不足 50% 甚至更低①。 這就是現(xiàn)實。 甚至某些企業(yè)負責人發(fā)出了“不信息化是等死, 而信息化是找死” 的感慨, 業(yè)內(nèi)稱其為 “信息化悖論”或 “信息化投資黑洞”。 上述問題無不說明企業(yè)實行信息化并不必然帶來管理質(zhì)量的改進和管理效率的提升, 尤其是網(wǎng)絡(luò)依賴程度較高的企業(yè), 在信息化過程中可能夾雜著諸多風險或隱患。 信息化對管理和控制的提升作用還要依賴于信息化前期的頂層設(shè)計、 詳細調(diào)研、 需求梳理、 流程再造和管理優(yōu)化等。 同時, 在整個信息化過程中還要不斷修正實施方案, 科學設(shè)計和合理實施信息化風險管理體系, 處理好人與系統(tǒng)的關(guān)系, 這樣才能避免或減少信息化風險。