工业控制信息安全企业内部控制策略研究报告
1
内容目录
第一章 前言 ....................................................................................................................................................4
第二章 2023-2028 年工业控制信息安全市场前景及趋势预测 .................................................................5
第一节 工业控制信息安全行业监管情况及主要政策法规 ................................................................5
一、行业主管部门及监管体制 ......................................................................................................5
二、行业主要法律法规 ..................................................................................................................6
三、行业主要产业政策 ..................................................................................................................8
四、行业主管部门、行业监管体制、行业主要法律法规政策的影响 ....................................11
第二节 我国工业控制信息安全行业主要发展特征 ..........................................................................12
一、工业控制系统 ........................................................................................................................12
二、工业控制领域 ........................................................................................................................12
三、电力工业控制系统与工业控制领域的关系 ........................................................................12
四、行业进入壁垒 ........................................................................................................................13
(1)资质等准入门槛壁垒 ..........................................................................................................13
(2)技术壁垒 ..............................................................................................................................14
(3)人才壁垒 ..............................................................................................................................14
(4)项目经验壁垒 ......................................................................................................................15
(5)品牌壁垒 ..............................................................................................................................15
第三节 2022-2023 年中国工业控制信息安全行业发展情况分析....................................................15
一、网络信息安全行业概况 ........................................................................................................15
(1)网络信息安全简介 ..............................................................................................................15
(2)全球网络信息安全行业发展概况 ......................................................................................16
(3)我国网络信息安全行业发展概况 ......................................................................................16
二、工业控制信息安全行业发展概况 ........................................................................................22
(1)全球工业控制信息安全行业概况 ......................................................................................22
(2)我国工业控制信息安全行业概况 ......................................................................................23
第四节 2022-2023 年我国工业控制信息安全行业竞争格局分析....................................................26
第五节 企业案例分析:珠海市鸿瑞信息技术股份有限公司 ..........................................................27
一、公司产品和服务的市场地位 ................................................................................................27
二、公司的竞争优势 ....................................................................................................................28
三、公司的竞争劣势 ....................................................................................................................30
第六节 2023-2028 年我国工业控制信息安全行业发展前景及趋势预测........................................30
一、政策利好,产业基础得到夯实,产品供给多样化 ............................................................30
二、安全服务市场将快速增长 ....................................................................................................31
三、产业生态逐渐形成 ................................................................................................................31
第七节 2023-2028 年我国工业控制信息安全行业面临的机遇与挑战............................................31
一、机遇 ........................................................................................................................................31
(1)国家安全需求增强 ..............................................................................................................31
(2)国家产业政策支持 ..............................................................................................................31
二、挑战 ........................................................................................................................................32
(1)国内工业控制信息安全防护基础相对薄弱,安全投入不足 ..........................................32
工业控制信息安全企业内部控制策略研究报告
2
(2)信息技术的快速迭代带来新挑战 ......................................................................................32
第三章 工业控制信息安全企业内部控制策略及建议..............................................................................32
第一节 实施内部控制的必要性 ..........................................................................................................32
一、内部控制的重要性 ................................................................................................................32
二、更好执行法律法规,提升企业财务管理水平 ....................................................................33
三、降低生产经营风险,保障企业资产管理安全 ....................................................................33
四、扩大发展利润空间,保障企业生产经营效益 ....................................................................33
第二节 企业内部控制现状和存在的问题 ..........................................................................................34
一、内部控制体系建设重点不明确 ............................................................................................34
二、缺乏良好的内部控制环境 ....................................................................................................34
三、风险管控力度不足 ................................................................................................................35
四、关键业务活动管控不严 ........................................................................................................35
五、监督管理制度存在缺陷 ........................................................................................................35
六、全面预算制度不完善 ............................................................................................................35
七、内控管理流于形式化 ............................................................................................................36
八、公司治理结构不完善 ............................................................................................................36
九、内部控制措施缺失 ................................................................................................................37
第三节 完善企业内部控制的对策建议 ..............................................................................................37
一、明确内部控制体系建设主次 ................................................................................................37
二、营造优良的内部控制环境 ....................................................................................................37
三、强化企业风险管控力度 ........................................................................................................38
四、注重业务活动关键点的管控 ................................................................................................38
五、健全内部控制监督管理制度 ................................................................................................39
六、建立全面预算管理制度 ........................................................................................................39
七、强化对内部控制的检查与考核 ............................................................................................40
八、建立健全监督评价机制 ........................................................................................................40
九、完善企业的治理结构 ............................................................................................................41
十、建立内部审计监督部门 ........................................................................................................41
第四节 企业内部控制不同层面存在的问题 ......................................................................................41
一、生产企业内部控制存在的问题 ............................................................................................41
(1)制度层面:相关内控制度不健全 ......................................................................................41
(2)执行层面:控制执行存在偏差 ..........................................................................................42
(3)评价层面:缺乏制度考评分析 ..........................................................................................42
二、改进企业内部控制的对策与建议 ........................................................................................42
(1)建立健全与业务匹配的内控制度,提升员工管理积极性 ..............................................42
(2)加强企业内控预算制度执行管理,提升企业制度刚性 ..................................................43
(3)构建企业内控考评监督体系,实现企业良好管理 ..........................................................43
三、从管理层面完善企业内部控制体系 ....................................................................................43
(1)完善企业治理结构 ..............................................................................................................43
(2)加强内部控制宣传和培训 ..................................................................................................44
(3)完善绩效考核制度 ..............................................................................................................44
(4)建立审计监督部门 ..............................................................................................................44
四、从业务层面完善企业内部控制体系 ....................................................................................45
(1)优化采购与付款业务 ..........................................................................................................45
工业控制信息安全企业内部控制策略研究报告
3
(2)规范销售与收款活动 ..........................................................................................................45
(3)重视资产安全与完整 ..........................................................................................................46
第五节 企业内部控制策略建议 ..........................................................................................................47
一、科技创新型企业加强内部控制的价值剖析 ........................................................................48
(一)聚焦投入产出把控,有效促进科技创新型企业的科研创新 ........................................48
(二)赋能企业制度建设,有力推动科技创新型企业的制度变革 ........................................48
(三)强化经营信息分析,有效防控科技创新型企业的经营风险 ........................................49
二、科技创新型企业加强内部控制路径探究 ............................................................................49
(一)内控制度化与智能化并举,内部控制由“静态控制”向“动态控制”转变 .....................49
(二)内控信息化与数字化并重,内部控制由“局部控制”向“整体控制”转化 .....................50
(三)内控扁平化与垂直化并存,内部控制由“外部控制”向“自主控制”转型 .....................50
第六节 软件企业内部控制研究 ..........................................................................................................51
一、我国软件企业现状分析 ........................................................................................................51
二、软件企业在内部控制工作中存在的问题 ............................................................................51
(一)内部控制制度不完善 ........................................................................................................51
(二)人力资源没有得到有效的控制 ........................................................................................51
(三)内部控制审计监督机制存在缺陷 ....................................................................................52
三、软件企业加强内部控制工作的对策 ....................................................................................52
(一)完善内部控制制度 ............................................................................................................52
(二)健全人力资源机制 ............................................................................................................52
(三)用外部监督弥补内部监督的不足 ....................................................................................53
第七节 企业内部控制体系构建及实践 ..............................................................................................53
一、软件企业内部控制概述 ........................................................................................................54
(一)软件企业内控特征 ............................................................................................................54
(二)软件企业内部控制体系构建应遵循的基本原则 ............................................................54
二、软件企业加强内部控制体系构建的重要性 ........................................................................54
(一)提高财务管理效率 ............................................................................................................54
(二)增强企业应对风险的意识与能力 ....................................................................................55
三、软件企业内部控制体系构建步骤 ........................................................................................55
(一)明确控制目标 ....................................................................................................................55
(二)梳理控制流程 ....................................................................................................................55
(三)识别控制环节,制定控制措施 ........................................................................................55
四、软件企业内部控制体系的构建策略 ....................................................................................55
(一)正确认知内控管理的重要性,建立健全内部管理体系 ................................................56
(二)加强企业文化建设,加大人才培养力度 ........................................................................56
(三)完善治理机制,落实预算管理 ........................................................................................57
(四)加强人资管理,强化人力资本控制 ................................................................................57
(五)开展内审监督工作,加强风险评估 ................................................................................57
(六)加强信息化建设,健全信息沟通机制 ............................................................................58
第八节 软件企业财务内部控制存在的问题及对策探究 ..................................................................58
一、软件企业财务内部控制基本概述 ........................................................................................59
二、软件企业财务内部控制存在的问题 ....................................................................................59
(一)现行组织结构不合理 ........................................................................................................59
(二)财务内部控制体系有待完善 ............................................................................................59
工业控制信息安全企业内部控制策略研究报告
4
(三)风险管控及监管机制不完善 ............................................................................................60
(四)信息化建设不到位 ............................................................................................................60
三、软件企业财务内部控制优化措施 ........................................................................................60
(一)完善优化企业内部组织结构 ............................................................................................60
(二)完善财务内部控制管理体系 ............................................................................................61
(三)加强风险防范意识,构建监管机制 ................................................................................61
(四)加强信息化建设 ................................................................................................................61
(五)完善人员管控制度与奖惩措施 ........................................................................................62
第四章 工业控制信息安全企业《内部控制策略》制定手册..................................................................62
第一节 动员与组织 ..............................................................................................................................62
一、动员 ........................................................................................................................................62
二、组织 ........................................................................................................................................63
第二节 学习与研究 ..............................................................................................................................64
一、学习方案 ................................................................................................................................64
二、研究方案 ................................................................................................................................64
第三节 制定前准备 ..............................................................................................................................65
一、制定原则 ................................................................................................................................65
二、注意事项 ................................................................................................................................66
三、有效战略的关键点 ................................................................................................................67
第四节 战略组成与制定流程 ..............................................................................................................70
一、战略结构组成 ........................................................................................................................70
二、战略制定流程 ........................................................................................................................70
第五节 具体方案制定 ..........................................................................................................................71
一、具体方案制定 ........................................................................................................................71
二、配套方案制定 ........................................................................................................................73
第五章 工业控制信息安全企业《内部控制策略》实施手册..................................................................74
第一节 培训与实施准备 ......................................................................................................................74
第二节 试运行与正式实施 ..................................................................................................................74
一、试运行与正式实施 ................................................................................................................74
二、实施方案 ................................................................................................................................75
第三节 构建执行与推进体系 ..............................................................................................................76
第四节 增强实施保障能力 ..................................................................................................................77
第五节 动态管理与完善 ......................................................................................................................77
第六节 战略评估、考核与审计 ..........................................................................................................78
第六章 总结:商业自是有胜算 ..................................................................................................................78
第一章 前言
随着社会经济水平的提高,我国各个行业得到了快速发展,同时面临着诸多挑战。其中,企业
在实际运营过程中也存在一些问题,如部分管理人员没有足够重视内部控制、内控管理工作没能落
实到位等。
工业控制信息安全企业内部控制策略研究报告
5
加强内部控制是科技创新型企业有效促进技术创新、有力推动企业变革、有序降低经营风险的
重要举措和有益探索。因此,企业管理人员要提高对内部控制的认识,充分应用各种先进技术和方
法,提升内部控制效果,提高企业的经济效益。
那么,企业的内部控制都有哪些策略和途径?企业如何做好内部控制?
下面,我们先从工业控制信息安全行业市场进行分析,然后重点分析并解答以上问题。
相信通过本文全面深入的研究和解答,您对这些信息的了解与把控,将上升到一个新的台阶。
这将为您经营管理、战略部署、成功投资提供有力的决策参考价值,也为您抢占市场先机提供有力
的保证。
第二章 2023-2028 年工业控制信息安全市场前景及趋势预测
第一节 工业控制信息安全行业监管情况及主要政策法规
依据证监会《上市公司行业分类指引》(2012年修订),工业控制信息安全所处行业属于“165
软件和信息技术服务业”依据国家统计局《国民经济行业分类》(GB/T4754-2017),工业控制信息
安全所处行业属于“165软件和信息技术服务业”。依据国家统计局《战略性新兴产业分类
(2018)》(国家统计局令第 23号)标准,工业控制信息安全属于“新兴软件和新型信息技术服
务”行业。
一、行业主管部门及监管体制
工业控制信息安全所处行业主要监管部门具体如下:
工业控制信息安全企业内部控制策略研究报告
6
二、行业主要法律法规
工业控制信息安全所处行业的主要法律法规如下:
工业控制信息安全企业内部控制策略研究报告
7
工业控制信息安全企业内部控制策略研究报告
8
三、行业主要产业政策
工业控制信息安全所处行业主要发展政策如下:
工业控制信息安全企业内部控制策略研究报告
9
工业控制信息安全企业内部控制策略研究报告
10
工业控制信息安全企业内部控制策略研究报告
11
工业控制信息安全企业内部控制策略研究报告
12
四、行业主管部门、行业监管体制、行业主要法律法规政策的影响
工业控制信息安全所处的电力及通用工业控制网络信息安全行业属于国家鼓励发展的高新技术
产业和战略性新兴产业,受到国家政策的大力扶持。近年来,我国政府颁布了《中华人民共和国国
家安全法》《网络安全法》《密码法》等重要法规,并制定了《“十三五”国家信息化规划》《软件
和信息技术服务业发展规划(2016-2020年)》《信息通信网络与信息安全规划(2016-2020
年)》《工业控制系统信息安全行动计划(2018-2020年)》《工业互联网发展行动计划(2018-
2020年)》《工业互联网专项工作组 2018年工作计划》《关于加强电力行业网络安全工作的指导
意见》《信息安全技术网络安全等级保护基本要求》版本等政策及标准,从制度、法规、政
策、标准等多个层面促进国内电力及通用工业控制信息安全行业的发展,提高对政府、企业等网络
信息安全的合规要求。我国网络信息安全政策的逐步实施,将带动政府、企业在网络信息安全方面
的投入。在网络信息安全政策法规驱动下,我国网络信息安全行业将持续保持较快的增长。
第二节 我国工业控制信息安全行业主要发展特征
一、工业控制系统
工业控制系统(IndustrialControlSystem)简称 ICS,是由各种自动控制组件以及对实时数据
进行采集、监测的过程控制组件共同构成确保工业基础设施自动化运行、过程控制与监控的业务流
程管控系统,是用在工业生产过程控制上的多种控制系统以及相关仪器设备总称。工业控制系统可
以小到由几个模块型的控制器组成,也可以是大型互联的分布式控制系统。典型工业控制系统有数
据采集与监控系统(SCADA)、分散式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端单
元(RTU)等。
二、工业控制领域
“工业控制领域”是指使用了工业控制系统的范围或区域,涵盖社会经济活动涉及生产与运营的
各个行业。工业控制系统广泛用于各个行业,特别是在关键的基础设施方面更加依赖工业控制系
统,比如电力、石化、航天、水利设施、国防工业、通信、应急响应、政府设施、重点制造、能
源、公共卫生、水处理、核反应设施、交通系统等支撑现代社会运行的重要行业。
三、电力工业控制系统与工业控制领域的关系
电力工业控制系统主要指用于监视和控制电力生产及供应过程,基于计算机及网络技术的业务
系统及智能设备,以及作为基础支撑的通信及数据网络等设施。其中,“电力一次设备(也称主设
备)"是指电力系统中包含的直接生产、输送和分配电能的设备,“电力二次系统"指对电力一次设
备进行控制、调节、保护和监测的设备组成的系统。在电力行业中,“电力二次系统“、“电力监控
工业控制信息安全企业内部控制策略研究报告
13
系统”、“电力工业控制系统"三者含义通常是一致的。
依据国家发改委第 14号《电力监控系统安全防护规定》第二十三条,对电力监控系统含义或
范围定义如下:
(一)电力监控系统具体包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、
换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装
置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量
系统、实时电力市场的辅助控制系统、电力调度数据网络等。
(二)电力调度数据网络,是指各级电力调度专用广域数据网络、电力生产专用拨号网络等。
国家相关政策明确了电力监控系统属于工业控制系统,依据如下:
中央网信办下发的《关键信息基础设施确定指南(试行)》指出:“关键信息基础设施是指面
向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或
工业控制系统”,其中能源行业的工业控制系统明确包括了电力行业。具体如下:
工信部协[2011]451号《关于加强工业控制系统信息安全管理的通知》中第二条指出:"加强
工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然
气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与
国计民生紧密相关的领域。"该通知也明确了工业控制系统信息安全管理包括电力行业在内的重点
工业控制领域。
工业控制信息安全企业内部控制策略研究报告
14
因此,综合上述分析,电力工业控制系统是工业控制领域的重要组成部分。除电力行业外,工
业控制领域还包括石化、航天、水利设施、国防工业、通信、应急响应、政府设施、重点制造、能
源、公共卫生、水处理、核反应设施、交通系统等行业。
四、行业进入壁垒
(1)资质等准入门槛壁垒
工业控制信息安全行业的下游客户涉及电力、石油石化、轨道交通、水务等行业。由于该类客
户性质主要为国有背景,为了尽可能实现社会资源的最优分配,同时为保障工业控制系统安全稳定
运行,通常采用招投标制度进行采购并对投标人的资质有严格的要求,一般还会对投标企业是否具
有相关业务的成功案例进行考核。
客户对软件和信息化服务类采购通常需要权威机构的检测报告、取得国家法律、法规、部门规
章及规范标准规定的有效认证,一定数量的计算机软件著作权和专利权、管理体系认证证书、高新
技术企业证书甚至银行资信证明等。此外,还需取得工业控制信息安全产品相关的生产经营资质,
国家密码管理局颁发商用产品型号证与公安部的计算机颁发的计算机信息系统安全专用产品销售许
可证等资质,此类资质至少需要几年时间积累。同时,还会对申请企业的基础条件、业绩规模、技
术水平、管理水平和综合实力等多方面因素进行综合考察,是进入工业控制信息安全行业的重要壁
垒。
(2)技术壁垒
网络安全行业属于典型的技术密集型行业,网络安全厂商需要在软件及硬件领域有足够的技术
积累,该行业具有较高的技术壁垒,而工业控制网络安全属于进一步的细分领域,网络安全需要与
工业控制领域结合密切才能有效实施。随着网络安全、大数据、人工智能、互联网等新一代信息技
术的迅猛发展,对工业控制安全系统带来了新要求,厂商需要较长时间技术积累才能应对并使产品
满足现场部署需求。
总的来说,工业控制网络安全技术更具复杂性、隐秘性及灵活性的特点。工业控制领域涉及的
技术本身具有复杂性,工业控制领域有很多专业细分,而每个细分专业从运行管理上又可进一步分
为更多的复杂流程环节,非专业技术人员由于缺乏相关知识很难快速理解现场需求,导致无法完全
理解领域相关技术标准的实质,往往需花费较长时间才能找到技术与领域的切入点;工业控制信息
安全领域的技术规范具有隐蔽性,细分领域通常不会对业内周知的要求在技术规范中刻意强调,非
专业技术人员往往不清楚相关要求,从而影响进入工业控制网络安全领域的速度;此外,由于工业
控制网络安全领域不断发展的技术、多样化的流程业务,因此工业控制网络安全产品通常会以阶段
性方式出现,其迭代周期很快或不能确定,非专业技术人员如以静态思维、线性思维来决策及产品
研发,往往无法适应技术规范的灵活性,无法驾驭业务需求变化导致研发失败,甚至出现产品刚进
工业控制信息安全企业内部控制策略研究报告
15
入市场又与市场失之交臂的情况。
以上这些都需要企业中专门的研发团队和产品应用团队长期积累才能获得,因此,技术壁垒既
是行业内部的竞争壁垒,也是新进入者所面临主要的壁垒。
(3)人才壁垒
网络信息安全行业是人才密集型行业,高端技术人才是企业获得核心竞争力的关键因素。
目前,网络信息安全行业的高端技术人才比较稀缺,他们大多集中在国内外一些较大的安全厂
商以及研究机构。一方面,新进入者若想尽快掌握本行业的核心技术,需要引进关键技术人才,而
新进入者难以在薪酬、福利、社会地位等方面与行业龙头进行竞争,难以吸引高端技术人才。另一
方面,掌握核心技术的高端人才通常被要求签署了保密和竞业禁止协议,大部分企业通过期权等安
排使得这些人才离职的法律及经济代价高昂。
因此,新进入者短期内难以获得所需人才,无法突破研发领域中的层层技术壁垒快速形成自身
的技术或差异化优势。
(4)项目经验壁垒
在有较高影响力的大中型高端项目招标中,尤其是关键基础设施工业控制系统安全防护领域,
招标方对工业控制信息安全厂商的项目经验、设计方案、技术水平、项目管理能力等方面会提出较
高的要求,丰富的项目经验和有影响力的行业案例往往是业务承揽的关键因素。另外,工业控制信
息安全厂商丰富的项目经验、在实践中归纳总结出的解决方案、深厚的技术积累、熟悉主要领域客
户对于信息安全的技术需求及发展趋势等是竞争对手不易模仿的核心竞争力,对潜在进入者构成阻
碍,形成行业壁垒。
(5)品牌壁垒
工业控制信息安全下游客户主要是政府或大型企业客户,需要耗费较大时间及精力构建一定规
模体系的销售渠道,同时客户具有一定粘性。由于工业控制领域安全事故一旦发生,将造成巨大的
经济损失及社会影响,工业企业在选择工业控制信息安全供应商时尤为谨慎,十分注重供应商的知
名度以及业界口碑,对供应商有较高的要求。品牌形象已经成为了行业内企业市场竞争力的重要组
成部分,而相应的品牌知名度和业界口碑来自企业及其产品在行业中的表现。对于新入的企业来
说,难以在短时间内积累足够的业界口碑和知名度,使得行业形成了较高的品牌壁垒。
第三节 2022-2023年中国工业控制信息安全行业发展情况分析
工业控制信息安全企业内部控制策略研究报告
16
一、网络信息安全行业概况
(1)网络信息安全简介
网络信息安全是指通过采取必要的措施对信息系统的硬件、软件、系统中的数据及依托其开展
的业务进行保护,使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、
修改、审阅、检查、记录或销毁,保证信息系统连续可靠地正常运行。
随着大数据、云计算、移动互联网、物联网的不断发展,网络信息安全形势越来越复杂化,虚
拟空间和实体空间结合得越来越紧密,网络信息安全的范畴发生了较大的变化。从广义上讲,网络
安全可以称之为网络空间安全,主要是指包括涉及到互联网、电信网、广电网、物联网、计算机系
统、通信系统、工业控制系统等在内的所有系统相关的设备安全、数据安全、行为安全及内容安
全。
(2)全球网络信息安全行业发展概况
自 2010年震网(“Stuxnet”)病毒事件发生以来,乌克兰电力系统被植入黑暗力量恶意软件、
美国大面积遭受 DDoS攻击事件、“WannaCry”勒索软件席卷全球等事件充分表明,来自网络空间的
恶意攻击正在逐步瓦解现实物理世界的安全边界。
近年来,随着大数据、云计算、物联网的快速发展和联网设备数量的高速增长,暴露出越来越
多的高危漏洞,勒索软件、分布式拒绝服务攻击、恶意程序等威胁网络信息安全的手段也不断升
级,经济利益、社会稳定、甚至国家层面的安全都受到了严重威胁。据 CybersecurityVentures预
测,到 2021年全球每年因网络信息安全事件导致的损失将高达 6万亿美元。
为应对网络信息安全问题,各国政府持续细化提升对网络信息安全保障的要求,加大在网络信
息安全领域的投入力度,驱动全球网络信息安全产业规模持续稳步增长。根据赛迪顾问的数据显
示,2019年全球网络信息安全市场规模达到 1,亿美元,较 2018年增长 %。随着 5G、物
联网、人工智能等新技术的全面普及,伴生性的网络信息安全市场依然会保持稳定上涨的趋势,
到 2021年,全球网络信息安全市场将达到 1,亿美元。
工业控制信息安全企业内部控制策略研究报告
17
(3)我国网络信息安全行业发展概况
网络信息安全产业主要是针对重点行业及企业级用户提供保障网络可靠性、安全性的产品和服
务,从产品维度划分,网络信息安全产业由硬件、软件和信息安全服务构成;从应用场景划分,网
络信息安全从最初的基础安全产品及服务延伸到了云安全、移动互联网安全、物联网安全和工业控
制系统安全等不同的应用场景中。
①我国网络信息安全面临较大挑战
随着我国大数据、云计算、移动互联网、物联网等新一代信息技术的高速发展,各行各业联网
的设备数量快速增长。据 IDC预计,中国物联网设备连接量从 2018年的 亿个增长至 2023年
工业控制信息安全企业内部控制策略研究报告
18
的 亿个,年复合增长率 %。
根据国家互联网应急中心统计,2019年移动互联网、电信行业、工业控制系统和电子政务分
别新增收录安全漏洞 1,324个(占全年收录数量的 %)、662个(占全年收录数量的 %)、
548个(占全年收录数量的 %)和 131个(占全年收录数量的 %),其中工业控制系统漏洞
数量持续攀升,较 2018年增长了 %。
互联网行业发展深入使得连接的设备总数越来越多,设备的联网和数据的交换越来越频繁,防
护手段的不及时令越来越多的漏洞暴露在互联网上。据国家互联网应急中心数据显示,近年来“零
日漏洞”收录数量持续走高,“零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意
利用的安全漏洞。2019年,国家信息安全漏洞共享平台(CNVD)收录安全漏洞数量创下历史新
高,收录安全漏洞数量同比增长了 %,共计 16,193个,2013年以来每年平均增长率为
%。其中,高危漏洞收录数量为 4,877个(占 %),同比减少 %,但零日漏洞收录数量
持续走高,2019年收录的安全漏洞中,零日漏洞收录数量占比 %,达 5,706个,同比增长
%。
此外,网络攻击也呈现出组织性、目的性、逐利性、破坏性越来越强的特点,攻击手段快速演
变,攻击行为越来越隐蔽,攻击来源更加难以预测,安全漏洞被利用的速度越来越快。攻击技术的
发展使得反制和追踪攻击行为变得越来越难,网络信息安全面临较大挑战。
②重点行业监控管理系统暴露情况
某些重点行业的生产监控管理系统因存在网络配置疏漏等问题,可能会直接暴露在互联网上。
国家互联网应急中心统计,2019年,医疗健康、电力、石油天然气、煤炭、城市轨道交通等重点
行业暴露的联网监控管理系统 2,249套,相比 2018年增加了 %,其中医疗健康行业 709套、电
力 653套、石油天然气 584套、煤炭 203套、城市轨道交通 100套。2019年,暴露在互联网上的
工业设备 7,325台,相比 2018年增加 %。2019年监测发现的重点行业联网监控管理系统的漏
洞威胁分布如下:
工业控制信息安全企业内部控制策略研究报告
19
③产业发展政策环境持续优化
随着近年来国际、国内重大网络信息安全事故的频发,我国政府对网络信息安全的重视程度不
断提高。
一方面,国家网络信息安全领域法律法规加紧制定。《网络安全法》于 2017年 6月实施,“网
络安全”替代“信息安全”以立法形式进入我国顶层设计,对我国网络信息安全的建设提出了更高标
准和要求。2019年 10月,全国人大颁布《中华人民共和国密码法》,明确要求加强密码工作,核
密、普密与商密分级管理,规范应用和管理,强化法律责任,保障公民、法人和其他组织的合法权
益,维护社会公共利益。
另一方面,促进网络信息安全产业发展的有关政策陆续出台,涉及的行业领域扩大,重要行业
和新兴领域网络信息安全要求进一步细化明确。2018年 9月,国家能源局发布《关于加强电力行
业网络安全工作的指导意见》,明确加强全方位网络信息安全管理、强化关键信息基础设施安全保
护、提高网络信息安全态势感知、预警及应急处置能力等 16条意见,明确了电力行业今后一段时
间内网络信息安全工作重点。2019年 5月,《等保 》正式发布,重点强调对能源、金融、水
利、医卫等领域关键信息基础设施的安全保护。2019年 9月,工信部出台《关于促进网络安全产
业发展的指导意见(征求意见稿)》指出到 2025年,培育形成一批年营收超过 20亿元的网络安全
企业,形成若干具有国际竞争力的网络安全骨干企业,网络安全产业规模超过 2,000亿元。
一系列法规政策出台,提高了政府、企业对网络信息安全的合规要求,带动了政府、企业在网
络信息安全方面的投入。
④我国网络信息安全产业规模保持较快增速
工业控制信息安全企业内部控制策略研究报告
20
得益于网络信息安全政策法规持续完善优化,网络信息安全市场规范性逐步提升,政企客户在
网络信息安全产品和服务上的投入稳步增长,中国的网络信息安全行业保持较快增速。据赛迪顾问
数据显示,2019年市场整体规模达到 亿元;随着数字经济的发展,物联网建设的逐步推
进,网络信息安全作为数字经济发展的必要保障,其投入将持续增加,预计到 2021年网络信息安
全市场将达到 亿元,复合增长率为 %。另外,根据工信部《关于促进网络安全产业发
展的指导意见(征求意见稿)》,到 2025年,中国的网络信息安全产业规模要超过 2,000亿元。
2016-2021年中国网络信息安全市场规模及增长率如下:
⑤网络信息安全细分产品市场情况
1)网络信息安全服务市场情况
通用的网络信息安全市场的产品可分为硬件、软件及服务三大类。随着网络攻击行为日趋复
杂,防火墙、IDS等传统网络安全设备并不能完全阻挡恶意的网络攻击,构建全面的安全防护体系
和制定完善的安全管理策略显得尤为重要,信息安全咨询、实施、运维、培训服务的作用越来越受
到用户重视。
我国网络信息安全市场目前仍以硬件、软件类产品为主导。2019年,我国网络信息安全硬
件、软件产品的占比分别为 %、%,安全服务占比为 %。随着云计算、物联网、移动互
联网的普及,安全场景也在极大地扩展和丰富,网络信息安全建设不仅需要有效的网络信息安全产
品,更需要专业的安全服务,将会有越来越多的客户希望获得融合了网络信息安全产品和服务的整
体解决方案,以提升安全竞争力,安全服务市场有望快速增长。据赛迪顾问预测,安全服务在中国
网络信息安全市场结构中的占比逐年增加,到 2021年该比例将达到 %。
工业控制信息安全企业内部控制策略研究报告
21
2)网络信息安全硬件市场情况
安全硬件分为安全应用硬件和硬件认证两个领域,主要产品包括防火墙、VPN网关、入侵检测
系统、入侵防御系统、统一威胁管理网关、令牌、指纹识别、虹膜识别等。
在我国安全硬件市场,按市场规模从大到小,分别为防火墙、统一威胁管理、安全内容管理、
入侵检测与防御、虚拟专用网等。据 IDC统计数据显示,2019年,防火墙、入侵检测与防御、VPN
硬件分别为 亿美元、亿美元、亿美元,2017年到 2021年,三类子市场的复合增
长率分别为 %、%和 %。
工业控制信息安全企业内部控制策略研究报告
22
3)网络信息安全软件市场情况
安全软件分为安全内容与威胁管理、身份管理与访问控制、安全性与漏洞管理三个领域,主要
产品为身份管理与访问控制软件、网络信息安全终端软件、网络信息安全性与漏洞管理软件以及其
他类安全软件等。
在我国,网络信息安全软件各子市场中身份管理与访问控制软件市场规模最大,占据了整个网
络信息安全软件市场的 40%。据 IDC数据统计,2019年身份管理与访问控制软件、网络信息安全终
端安全软件、安全性与漏洞管理软件产品的规模分别为 亿美元、亿美元、亿美元,
2017年到 2021年,三类产品复合增长率分别为 %、8%和 %。
工业控制信息安全企业内部控制策略研究报告
23
二、工业控制信息安全行业发展概况
工业是国民经济的主体和建设现代化经济体系的主要着力点,工业竞争力是国家竞争力的重要
体现。目前工业体系由自动化向数字化、网络化、智能化方向发展,新一轮产业改革为经济转型带
来新机遇的同时,也加速了网络信息安全风险向工业领域的全面渗透。传统工业现场相对封闭可信
的制造环境被逐渐打破,传统企业以防火墙为主的外建安全效力逐渐降低,导致工业控制系统和生
产设备的网络风险激增,工业控制信息安全问题日益凸显,内嵌信息安全功能的产品和服务市场需
求扩大。
工业控制信息安全主要保障工业系统和设备、工业互联网平台、工业网络基础设施、工业数据
等的安全。工业控制信息安全不仅涉及传统计算机网络和信息系统安全,还涉及工业软硬件设备、
控制系统、工业协议等的安全。
(1)全球工业控制信息安全行业概况
①全球工业控制信息安全市场规模
近年来,全球以大数据、云计算、物联网、移动互联网和人工智能等为代表的新一代信息技术
(IT)与运营技术(OT-OperationalTechnology)加速融合,工业体系逐渐由封闭走向开放,工业
控制信息安全威胁也日趋严峻。关键基础设施领域工业控制安全事件频发、国家级网络空间博弈不
断升级、多国在政府政策和资金层面的支持、工业企业用户意识的提升等因素,催化了全球工业控
制安全行业的快速发展。
根据 TransparencyMarketResearch分析,全球工业控制信息安全的市场规模在 2018年达到
工业控制信息安全企业内部控制策略研究报告
24
亿美元,预计 2026年增长至 亿美元,年复合增长率 %。北美和亚洲地区的工业控
制信息安全市场增势强劲,年复合增长率分别为 %和 %。
②全球工业控制信息安全行业应用
根据 ARC公司的数据统计,电力、石油天然气的工业控制信息安全市场仍然处于领先地位。另
外,作为关键基础设施的水处理行业,在工业控制信息安全领域的投入明显增加,年复合增长率达
%。另外,根据 GlobalMarketInsights公司预测,随着用户意识的提升,工业控制信息安全
在公路、地面运输、航空、海运等关键交通运输行业的应用将出现明显增长,2018-2022年年复合
增长率达 26%。
③全球工业控制信息安全产业结构
工业控制信息安全产业分为产品和服务两大类。其中,产品市场主要可以分为防护类和管理类
两大产品类别,服务市场则分为咨询服务、实施服务和运营服务三大类。
随着全球工业控制信息安全风险意识的逐渐增强,以及各国政府监管规定的日益完善,全球工
业控制信息安全产品市场规模持续扩大,服务市场的增速也加快,产业生态和市场结构进一步完
善。根据 ARC统计数据显示,2018年产品类的市场规模占比 60%左右,服务类的市场规模占比 40%
左右。
(2)我国工业控制信息安全行业概况
①我国工业控制信息安全市场规模
工业控制信息安全企业内部控制策略研究报告
25
近年来,我国工业控制信息安全产业政策环境持续向好,产品规模快速增长,产业结构逐渐优
化,技术体系日益完善,推动着我国工业控制信息安全市场的快速发展。党中央、国务院出台了一
系列政策,为我国工业控制信息安全发展提供了良好的产业环境。
2017年 12月,工信部发布了《工业控制系统信息安全行动计划(2018-2020年)》提出建立
“一网一库三平台”的主要目标,旨在加快我国工业控制系统信息安全保障体系建设。2018年 2月,
国家制造强国建设领导小组下设工业互联网专项工业组,加强工业互联网的战略部署。2018年 6
月,工信部印发《工业互联网发展行动计划(2018-2020年)》《工业互联网专项工作组 2018年
工作计划》,提出至 2020年底“初步建成工业互联网基础设施和产业体系”的发展目标。2018年 12
月公布了《2018年工业互联网试点示范项目名单》,确定安全集成创新应用为工业互联网试点示
范的主要方向,进一步助力工业互联网安全防护水平的提升。
随着工业互联网的深入发展、相关政策的不断出台,工业互联网信息安全行业迎来了高速增长
时期。据赛迪顾问数据显示,2019年我国网络信息安全市场规模达 亿元,同比增长 %;
其中工业互联网信息安全市场规模达 亿元,同比增长 %。报告预测,至 2021年我国工
业互联网信息安全市场将达到 228亿元,未来每年将保持 30%以上的增长率。
在工业系统逐渐智能化和互联网化的趋势下,加上未来几年国家政策的持续推动,我国工业控
制安全市场有望为网络信息安全带来较大市场增量,进入快速成长期,其在工业控制信息化领域的
渗透率有较大提升空间。2016-2021年中国工业互联网信息安全市场规模及增长率如下:
②我国工业控制信息安全行业应用
电力是较早应用工业控制网络信息安全产品和设施的行业之一,由于其对经济生活影响深远,
政策对该领域的安全防护从未停止。2018年 9月,国家能源局发布《关于加强电力行业网络安全
工业控制信息安全企业内部控制策略研究报告
26
工作的指导意见》,明确加强全方位网络安全管理、强化关键信息基础设施安全保护、提高网络安
全态势感知、预警及应急处置能力等 16条意见,明确了电力行业今后一段时间内网络安全工作重
点。
据《中国工业控制信息安全产业发展白皮书(2018-2019)》数据统计,2018年电力(含发
电、电网)和石油石化行业工业控制信息安全投入占比分别为 47%和 16%,合计占比达 63%,是用
户重视程度最高、工业控制信息安全产品应用最广泛的两个行业。
另外,轨道交通行业的市场需求增长较快,同比增幅明显。智能制造和航空航天领域在 2018
年增速较快,但目前的市场份额仍较小,预计未来有广阔的市场空间。
随着企业信息化、工业互联网、智慧城市建设的大力推进,工业控制信息安全在电力、石油石
化、冶金、核能等工业生产领域,以及轨道交通、航空等公共服务领域仍然有不少的潜在投入和增
长空间。
我国工业控制信息安全产品行业应用情况:
③我国工业控制信息安全产业结构
我国工业信息安全产业的产品类市场和服务类市场发展均较为迅猛。根据工业信息安全产业发
展联盟(NISIA)发布的《中国工业信息安全产业发展白皮书(2019-2020)》统计:2019年,我
国工业信息安全产品类市场规模达 亿元,占市场总额的 79%。其中,工业信息安全防护类
工业控制信息安全企业内部控制策略研究报告
27
产品市场规模达 亿元,占市场总额的 26%;与过去两年相比,防护类产品市场增速有所放
缓。一方面,防护类产品的部署大多由合规需求驱动,与政策推进情况密切相关;另一方面,安全
意识的提升和日趋复杂的工业现场环境,直接影响了用户在工业信息安全项目建设上的采购决策,
单纯的工业防火墙、工业网闸、应用白名单等边界安全和终端安全产品已不能完全满足安全防护需
求。随着等保 的正式实施,防护类产品将作为整体解决方案中必备的基础安全措施,推动该类
市场规模稳定增长。而其中,工业信息安全管理类产品市场规模约为 亿元,占市场总额的
53%。我国工业信息安全管理类产品主要布局子态势感知、合规管理、安全运维管理等领域,在国
家和行业政策的双重推动下,工业企业用户对安全合规的需求加快提升,该类产品市场规模将进一
步扩大。
我国工业信息安全服务类市场在 2019年继续快速增长,市场规模近 亿元,占市场总额
的 21%。其中,安全评估、安全应急和安全培训服务是推动该类市场增长的主要驱动力。随着国家
针对关键信息基础设施的网络安全演习扩大到电力、石油石化等诸多工业领域,工业企业用户的渗
透测试、攻防演习等应急类安全保障支撑服务需求明显增多。同时,等保 出台后,工业安全评
估体系逐渐完善,测评类评估需求将更为明确,带动市场规模进一步扩大。此外,工业信息安全人
才短缺的问题已逐渐凸显,促使高校、科研院所等加大在工业信息安全培训方面的投入,带动了安
全培训服务和实训类产品的快速增长。
第四节 2022-2023年我国工业控制信息安全行业竞争格局分析
目前,网络信息安全行业内的上市公司,主要侧重于传统的 IT层面网络信息安全防护,仅有
工业控制信息安全企业内部控制策略研究报告
28
部分业务涉及工业控制信息安全领域,且部分上市公司的工业控制安全防护业务为近年新拓展业
务,与珠海市鸿瑞信息技术股份有限公司深耕的电力行业工业控制领域客户层面较少存在直接竞
争。行业内主要企业中,南京南瑞信息通信科技有限公司和北京科东电力控制系统有限责任公司系
公司的主要竞争对手,同行业(拟)上市公司中与珠海市鸿瑞信息技术股份有限公司部分业务相
似、规模较为接近的公司为映翰通、安博通和纬德信息。
第五节 企业案例分析:珠海市鸿瑞信息技术股份有限公司
一、公司产品和服务的市场地位
公司自 2007年创立以来专注于电力工业控制信息安全领域并逐步向通用工业控制信息安全领
域拓展,高度重视研发投入,以技术为核心竞争力,以专业人才为依托,强调技术专业性和产品服
务质量的可靠性。紧跟工业控制信息安全技术发展趋势和用户需求,不断在行业内率先推出创新产
品,更新迭代既有产品和解决方案,并孵化培育新产品,提升市场竞争力。主导产品取得了公安
部、国家密码管理局颁发的多项资质,已经广泛应用于电力工业控制领域。
公司一直深耕电力及通用工业控制领域,已在电力行业取得了广泛的市场认可,并积极向石油
石化、轨道交通、水务等国家重点行业拓展。公司建立了以珠海总部为中心,以北京、上海、西
安、长沙为支点,辐射全国的营销和技术服务体系,为公司掌握信息安全领域的最新市场动态、及
工业控制信息安全企业内部控制策略研究报告
29
时响应客户信息安全需求提供了重要保证。公司作为电力及通用工业控制信息安全行业的深耕者,
先后通过了国家网络与信息系统安全产品质量监督检验中心、公安部计算机信息系统安全产品质量
监督检验中心、公安部信息产业信息安全测评中心、中国电力科学研究院有限公司、南方电网科学
研究院有限责任公司实验检测中心、广东电网有限责任公司电力科学研究院、中国电子信息产业集
团有限公司第六研究所/工业控制系统信息安全技术国家工程实验室等权威机构的检验检测,多年
来公司与包括国家电网、南方电网、能源集团、东方电子、积成电子、云南港电、林洋能源等诸多
行业知名企业建立良好的合作关系。公司依托于产品的卓越性能以及服务的优良品质,下游用户已
经分布在全国大部分省份,在客户中树立了良好的企业形象,并且建立起了良好口碑和品牌。
二、公司的竞争优势
(1)技术和研发优势
公司自 2007年创立以来专注于电力工业控制信息安全领域并逐步向通用工业控制信息安全领
域拓展,高度重视研发投入,以技术为核心竞争力,以专业人才为依托,强调技术专业性和产品服
务质量的可靠性。紧跟工业控制信息安全技术发展趋势和用户需求,不断在行业内率先推出创新产
品,更新迭代既有产品和解决方案,并孵化培育新产品,提升市场竞争力。主导产品取得了公安
部、国家密码管理局颁发的多项资质,已经广泛应用于电力工业控制领域。
公司拥有嵌入式软件、硬件开发及网络安全服务等研发团队,技术力量雄厚,产品经验丰富,
公司在电力及通用工业控制信息安全领域已形成了良好的技术和人才积累。公司技术研发实力得到
国家相关部门的肯定和支持,先后承担多项国家级、省市级科技计划项目,被广东省科学技术厅评
为高新技术企业,2019年中标入选工业和信息化部网络安全管理局 2019年工业互联网创新发展工
程相关网络安全项目,2021年入选珠海市工业和信息化局“关于 2021年珠海市促进实体经济高质
量发展专项资金(促进新一代信息技术产业发展用途)拟支持项目”,2021年 4月珠海市科技创新
局发布《关于 2020年珠海市高新技术企业百强名单的公示》,公司入选 2020年珠海市高新技术企
业综合创新实力 100强名单和 2020年珠海市高新技术企业经济贡献 100强名单。公司核心技术骨
干人员参与了“GB/T37934-2019《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要
求》”和“GB/T37941-2019《信息安全技术工业控制系统网络审计产品安全技术要求》”两项国家标
准的制定。经过数十年的耕耘和积累,公司拥有 16项自主研发的核心技术,拥有已获授权的专利数
量共 33项,其中发明专利 16项,实用新型专利 17项,支撑了公司产品的创新发展。
(2)网络安全综合防护平台服务优势
公司在电力及通用工业控制信息安全产品的基础上,针对不断发展变化的用户需求,不断更新
迭代既有产品和解决方案,并推出适应市场需求的新产品,目前公司基本形成了“基础产品一产品集
成一解决方案”的综合防护信息安全价值链,业务覆盖“网络安全隔离+加密认证+网络安全审计+网
络安全服务”四大业务板块,在电力行业信息安全产品方面已取得显著的成果,在石油石化、轨道
工业控制信息安全企业内部控制策略研究报告
30
交通、水务等通用工业控制信息安全领域已开展长远布局。
公司可以为客户制定安全防护方案、选取匹配的产品集成,并通过态势感知平台监测分析,提
供“基础产品一产品集成一解决方案”全价值链的产品和服务。公司网络安全综合防护平台服务包含
网络边界防护、网络通信加密、主机运行状态监视、网络通信报文监视、网络设备运行状态监视、
网络安全防护设备运行状态监视,同时通过态势感知平台进行集中展示及分析网络运行状态功能。
具体系通过技术手段从网络安全态势分析的角度,结合整体网络安全解决方案,研究工业控制信息
安全体系各项指标,结合安全事件关联分析、异常流量分类、安全态势评估和预测技术进行工业控
制协议行为识别及异常监测技术研究,形成工业企业网络安全防护平台解决方案。该平台解决方案
可对工业企业流量、主机、设备等进行网络安全态势监测分析,对工业企业 IT资产、控制设备、
重要数据、安全设备进行统一监测分析,并对企业工业控制网络非法入侵检测进行告警,对安全设
备、网络设备、系统设备进行配置核查,对保障通信业务数据安全有重要的意义。
(3)优质的客户群体及行业品牌优势
电力及通用工业控制信息安全行业是一个较为特殊的行业,因其涉及到客户的机密,所从事工
业控制信息安全的企业不仅需要先进的技术水平,经营能力、深厚的行业经验、优质的客户群体等
也是衡量公司核心竞争力的关键指标。多年来公司与包括国家电网、南方电网、能源集团、东方电
子、积成电子、云南港电、林洋能源等诸多行业知名企业建立良好的合作关系。此外,公司扎根电
力行业的基础上,积极向石油石化、轨道交通、水务等非电力行业拓展,这些优质客户自身具有雄
厚的实力并在业界拥有良好的信誉,极大降低了公司的经营风险和财务风险。
公司依托于产品的卓越性能以及服务的优良品质,下游用户已经分布在全国大部分省份,在客
户中树立了良好的企业形象,并且建立起了良好口碑和品牌。来自电力关键基础设施领域的广大用
户以及国家相关部门对公司的认可,体现出公司已经建立了在工业控制信息安全行业的知名品牌。
(4)行业经验优势
行业经验的积累对于电力及通用工业控制信息安全厂商至关重要。公司通过与上述主要领域客
户的密切合作,积累信息安全项目实施经验,完善信息安全产品性能,满足其信息安全业务的发展
规划及建设思路,动态把握主要领域客户对于信息安全的技术需求及发展趋势。在此基础上,公司
对主要领域客户需求深入分析和总结,将实践经验应用于其他行业,从而可以为客户提供更为全面
的优质服务,有效拓展市场空间。
(5)产品认证优势
公司作为电力及通用工业控制信息安全行业的深耕者,公司旗下多项信息安全产品取得了公安
部颁发的 11项计算机信息系统安全专用产品销售许可证,国家密码管理局颁发的商用密码产品型
号证书、国家密码管理局商用密码检测中心颁发的商用密码产品认证证书,并分别取得了国家网络
工业控制信息安全企业内部控制策略研究报告
31
与信息系统安全产品质量监督检验中心、公安部计算机信息系统安全产品质量监督检验中心、公安
部信息产业信息安全测评中心、中国电力科学研究院有限公司、南方电网科学研究院有限责任公司
实验检测中心、广东电网有限责任公司电力科学研究院、中国电子信息产业集团有限公司第六研究
所/工业控制系统信息安全技术国家工程实验室等权威机构出具的检测报告。
三、公司的竞争劣势
(1)公司规模仍然偏小,发展资金不足
电力及通用工业控制信息安全行业整体处于快速发展期,公司面临较大的发展机遇。为进一步
增强市场竞争力,把握行业高速发展的机遇,公司需要进行前瞻性技术的预研、现有技术、产品的
更新换代、高端技术人才的引进和培养等工作,这些都需要大量的资金投入。
然而,目前公司规模仍然较小,资金实力较弱,长期以来主要依靠自有资金发展,融资渠道较
为单一。争取早日上市融资成为弥补本身劣势、增强公司竞争实力的重要途径。
(2)高端人才储备相对不足
电力及通用工业控制信息安全行业是典型的知识、技术、人才密集型企业,综合性高端人才储
备是公司竞争力的重要体现。目前随着行业应用领域的不断拓展、新业务模式的出现以及新产业形
态带来的产业变革,公司业务规模也随之不断扩大,业务线和产品线的不断丰富,对高端人才的需
求持续增长。但公司在项目管理、技术研发、市场拓展等方面的综合性人才储备已经相对不足,成
为制约公司快速发展的主要问题。公司一方面需要不断完善内部人才培养机制,通过内部培训来满
足对综合性高端人才的需求,另一方面需要加大外部人才的引进力度,以快速充实综合性高端人才
储备。
第六节 2023-2028年我国工业控制信息安全行业发展前景及趋势预测
一、政策利好,产业基础得到夯实,产品供给多样化
随着工业互联网战略的推进和国家层面的财政支持,工业互联网创新发展工程、工业互联网试
点示范等工作的开展,促进企业在工业互联网安全技术方向进一步加大投入,加快和推进工业互联
网安全技术研发和产业化。
为满足工业企业用户不断升级的安全需求,工业控制信息安全产品的数量逐渐增多,且产品种
类更加丰富和多样化。其中,边界安全和终端安全产品,如工业防火墙、工业网闸、应用白名单等
产品已逐步应用于新建工业控制信息安全项目的建设中。另外,为满足工业企业用户的合规需求,
工业控制信息安全管理类产品如态势感知、合规管理、安全运维管理等的供给市场将日益扩大。
工业控制信息安全企业内部控制策略研究报告
32
二、安全服务市场将快速增长
自我国工业控制信息安全行业发展以来,工业控制信息安全服务市场保持缓慢的发展,行业整
体产业结构呈现出“重产品、轻服务”的特点。近年来,随着工业控制信息安全事件频发和政策标准
的落地,单纯的工业控制信息安全防护产品已无法满足工业企业用户的需求。同时,工业企业普遍
缺乏对工业控制信息安全防护策略的执行能力,促使了安全体系设计和规划服务需求的产生。尤其
是 2018年台积电遭勒索病毒攻击的事件发生,进一步催化了工业企业对风险评估、应急处置、攻
防演练等工业控制信息安全服务价值的认可。因此,未来工业控制信息安全服务市场将快速发展,
市场份额将进一步扩大,并进一步提供更加完善的服务。
三、产业生态逐渐形成
2018年以来,工业企业、工业控制系统厂商、安全企业、研究机构、行业主管部门等配合密
切,大力开展具有行业特性的工业控制信息安全风险研究、安全产品的推广和解决方案的试点示
范。未来,工业控制信息安全厂商与工业控制系统厂商、IT系统集成商将针对工业领域各行业的
生产运营特征,加快开展多层次、多维度的合作,形成有效的业务安全实践,共同打造协同发展的
生态系统,以业务为核心的工业控制信息安全产业生态将日渐完善。
第七节 2023-2028年我国工业控制信息安全行业面临的机遇与挑战
一、机遇
(1)国家安全需求增强
随着“互联网+”的推动,大数据、人工智能、5G等新兴信息技术在各个行业的广泛应用,工业
控制设备接入量加速增长,工业互联网已纳入新基建范畴,国家对工业控制信息安全的需求日益增
长,尤其是电力、石油石化、轨道交通、水务等重点行业,工业控制信息安全已经成为建设信息系
统的关键组成部分,成为国家安全战略重要组成部分。各关键行业的相关保护政策相继出台,针对
行业特点推进信息安全建设。随着未来国家对信息安全建设要求的增强,将会有越来越多企业强化
自身的信息安全设施,为公司发展提供了更多的潜在机会。
(2)国家产业政策支持
工业控制信息安全行业作为国家安全体系中的重要战略发展产业,近年来得到了国家的重点发
展和大力扶持,为了促进其发展,国家颁布实施了《密码法》《网络安全法》《网络安全等级保护
基本要求》《等保 》等一系列法规政策和标准,在投融资、税收、产业技术、收入分配、人才
和知识产权保护等方面提供了政策扶持和保障。
工业控制信息安全企业内部控制策略研究报告
33
二、挑战
(1)国内工业控制信息安全防护基础相对薄弱,安全投入不足
虽然工业控制信息安全建设已经上升到国家战略高度,并出台了一系列的法规政策,力图推动
该领域的发展,但目前我国工业控制网络化程度仍相对较低,与工业控制信息安全相关的整体投资
水平仍有待进一步提升,企业对工业控制信息设备的安全防护意识较弱,对工业控制信息安全企业
开展业务提出了挑战。
(2)信息技术的快速迭代带来新挑战
近年来,信息技术快速发展,信息系统迭代频繁,基础硬件、软件、网络结构日新月异,在不
断满足应用发展的同时,新型信息系统的安全性备受考验。有关部门公布的信息系统漏洞大量增
加,系统防护难度日益加大,工业控制信息安全企业必须紧跟信息技术的发展,及时掌握系统漏洞
和威胁情报,才能有效防范潜在的攻击。
第三章 工业控制信息安全企业内部控制策略及建议
第一节 实施内部控制的必要性
企业内部控制是其能否预期实现战略目标,减低企业生产成本、提高企业生产效率的关键。内
部控制可以认为是企业经营的“中枢”,对企业经营管理具有约束和控制作用,是确保企业合法经
营的重要基础条件。企业实施内部控制可及时发现经营过程中的问题,并及时采取有效措施解决问
题,规范企业的经营管理,同时在内部控制支持下,企业的财务信息的准确性和真实性得以保障,
并且控制企业的经营风险,进一步优化企业的资源配置,实现企业经济利益最大化。
加强企业内部控制对企业具有如下意义。
一、内部控制的重要性
企业开展内部控制能够有效提升各方面工作的效率与质量,确保企业资产安全,对企业的生存
与发展具有非常重要的作用,具体体现如下:第一,内部控制能够有效监管与控制科技企业每个部
门及每个工作环节,确保企业运營管理等活动均根据相应规范要求来进行,促使企业完成预定目
标;而且,内部控制通过对企业进行动态检查,可以将决策执行情况真实地反映出来,并且揭示企
业规章制度的遵循情况,一旦发现偏差能够及时进行调整,确保企业运营得以高效开展。第二,开
工业控制信息安全企业内部控制策略研究报告
34
展内部控制工作能够确保企业采集、分类、筛选、记录、整理及分析会计信息的规范性与有效性,
将企业财务及运营情况真实地反映出来,为企业领导人员制定决策提供可靠的数据支撑,防止会计
信息失真而造成决策失误的现象[1]。第三,开展内部控制工作可以通过加强财务活动管控,构建
完善的风险控制体系,由事前、事中及事后进行企业风险防控,有效提高企业风险管理水平及风险
抵抗能力。
二、更好执行法律法规,提升企业财务管理水平
强化企业生产内部控制管理,首先,会增加企业对相关法律法规的认知与了解。企业在内部控
制方面,需要加强相关与企业会计和内部控制相关法律的学习,根据法律法规制定相关会计信息管
理制度,从而使器械生产过程中符合国家各项经济行为的监管要求。其次,内部统一控制制度的有
效的执行,能够是生产企业的股东和高层管理人员,更加有效管理企业所有的业务,增强企业文化
的形成,并帮助新进员工尽快融入企业,适应自身岗位,了解岗位职责。再次,在企业实际运行期
间,内部控制水平的提升意味着包括预算控制、绩效考核控制、运营分析控制、授权审批控制等一
系列控制活动的加强,这有助于企业各项财务管理工作,在运行过程中更加合规、高效。最后,企
业的各项财务数据与信息将更加健全,其对企业实际经营状况将得以更加真实反映。上述要点必然
能够帮助企业减少经营风险,逐步提升财务管理水平。
三、降低生产经营风险,保障企业资产管理安全
加强企业内部控制,其一,能够帮助企业加强对流动资产的管理和控制。在生产过程中,存在
着一些流动资产运转不合理的问题。借助内部控制既可以对生产中的资产运行进行更安全合理的控
制,还能够对既有的会计控制制度进行查漏补缺,进而及时加以补充,以防发生资产危险。其二,
有助于防范企业决策风险。生产企业经营管理过程中面临的风险要远远高于规范性的国有企业,其
管理者在决策过程中要做好业务发展决策、管理授权决策、战略决策等多个层次、多个维度的决
策,面临的内外压力也十分巨大,在这种条件下,经营管理过程中一旦发生决策风险,其所引发的
影响将是全局性的,甚至是毁灭性的后果。而在企业经营管理过程中加强内部控制,可以对各项决
策风险加大防范及控制力度。其三,有助于控制企业经营风险。加强生产企业内部控制,能够全面
分析生产过程中其所存在以及潜在的各项经营风险。在此基础上,通过构建规范、科学的风险控制
体系,建立健全内部控制制度,能够进一步控制并规范经营活动,针对性地制定相关应急预案,控
制企业经营风险。
四、扩大发展利润空间,保障企业生产经营效益
首先,实现科学有效的内部控制。借助生产企业的内部控制,能有效保障企业基础的效益,通
过严格的会计准则控制,能够有助于减少企业经济损失,提高企业效益。其次,能够密切联系企业
工业控制信息安全企业内部控制策略研究报告
35
各个环节控制。通过加强内部管理控制,有助于帮助生产企业经营管理环节的理顺,借助各大环节
的管控,有助于确保各项经营活动顺畅、高效、合理开展,同时在高效率的运作中赢取更好经济效
益。最后,企业发展利润空间的扩大需要在有效的内部控制下对各种存在或潜在问题进行及时有效
的解决,才能真正保障和维护生产企业效益。
第二节 企业内部控制现状和存在的问题
由于企业逐渐增多,使得单个企业所占有的市场份额开始逐渐减少,而企业为了能够在有限的
市场份额下获取足够的利润空间,开始将目光放在内部费用成本控制上。有的企业通过裁员、一人
身兼多岗的人力成本管控方式来缩减成本费用;有的企业通过费用成本预算的方式对成本费用支出
进行管控压缩;而有的企业开始借鉴一些成功企业的管理模式,但是由于不专业或没有考虑企业自
身的独特性,使得企业中高层管理人才不适应频繁流失或者在企业养老不作为等。不管企业采取哪
一种方式,由于对内部控制认识不够以及内部控制体系不健全,导致企业内部人员工作积极性差,
效率低;人员之间、部门之间相互推诿扯皮;更有甚者,企业出现内盗等资产舞弊流失的情况;而单
纯的成本费用管控也会使企业的生产条件及产品质量上出现不符合国家法律法规的情况。以上内部
控制所存在的问题使得企业不仅面临着市场竞争压力,也面临着企业内外部的风险。当前,企业存
在的问题具体主要体现在以下方面:
一、内部控制体系建设重点不明确
内部控制体系在企业发展过程中发挥着非常重要的作用,然而该体系涉及较多内容,部分企业
由于自身经验和可使用资源比较有限,因此建设该体系过程中会存在一定缺陷,导致工作人员无法
明确内部控制的侧重点。此外,在建设内部控制体系的过程中,部分管理人员会采取借鉴同行内部
控制经验的方式,但是企业未全面考虑自身所处环境及运营情况,使得构建的内部控制体系与企业
实际发展不相符[2]。而且部分管理人员在制订内部控制体系建设方案的过程中,由于自身专业能
力不足而导致方案缺乏可行性与合理性,影响到企业内部控制工作的开展。
二、缺乏良好的内部控制环境
与发达国家相比,我国一些行业的内部控制理论应用水平仍存在一定差距,并且许多企业的管
理人员都是技术性人才,其管理水平有限;很多企业经营都将重心放在研发技术及产品销售上,忽
略内部控制工作;部分企业规模较小,没有完善董事会职能,没能均衡分配控制权,导致投资决策
出现“一言堂”的问题,内部监管效用难以得到有效发挥。
工业控制信息安全企业内部控制策略研究报告
36
三、风险管控力度不足
第一,风险评估不够完善。风险评估是企业内部控制中的一项重要内容,主要是由专业人员采
用合理的方式来辨识、评估及处理企业在战略、投资、运营及管理等各个环节中的风险。因为企业
投入大,成果转换率低,所以风险系数较高,这就要求企业关注风险评估与管理的过程。但是,部
分企业并未设置完善的风险评估体系,或是仅对部分环节实施风险评估,而且存在专业人员匮乏、
风险管控方式不合理等问题,使得其风险抵抗能力下降[3]。第二,风险管控不到位。当前,许多
企业主要是进行技术产品研发及电子产品销售,从研发到销售各个环节中存在政策、投资、信用、
税务、销售、市场及客户满意度等多方面风险,如果没能采取有效风险管控策略或企业风险抵御能
力较差,就会导致企业经济损失。
四、关键业务活动管控不严
一些企业没有把销售、资金及固定资产等控制工作融入经营管理活动中。具体表现如下:第
一,部分企业并未构建并落实资金支出授权审批制度,通常由管理人员掌握资金支出审批权,导致
资金支出不规范、审批效率偏低等现象,对企业的运营与管理产生较大影响。第二,未有效管控企
业存货及固定资产,由于企业没有设置定期盘点资产货物制度,导致账实不符的问题时常发生,会
计信息数据不全面、不准确。第三,一些企业为了达到业绩要求而盲目使用赊销方式,没有落实应
收账款的管理工作,导致较多挂账及欠款,对自身发展产生巨大威胁[4]。
五、监督管理制度存在缺陷
一些企业在运营管理过程中,通常只是将工作流程及目标下达到基层,而没有开展落实内部控
制执行情况的监管工作,从而在较大程度上影响到内部控制工作的效果。部分企业在实际监管过程
中并未科学制定内部审计制度,从而影响到内部审计工作的独立性。加上没能投入充足的人力与资
金到审计工作当中,使得审计工作难以正常推进,在一定程度上降低了内部控制监管力度。此外,
在开展内部审计工作的过程中,企业内部各部门之间缺乏有效的交流与沟通,导致其难以互相配
合,即便出现问题也不能及时处理。
六、全面预算制度不完善
1.内部控制制度体系不健全,缺乏良好的生存土壤。由于我国经济发展过于迅猛,绝大部分企
业的内部控制制度体系是不健全的。一些企业管理者对于内部控制的认识仅仅停留在表面,导致内
部控制在公司没能得到认可,形同虚设;一些公司地内部控制在建立和执行过程中遇到了不利的环
境影响,使得内部控制的效果大打折扣。总的来说,内部控制制度体系缺乏良好地生存土壤。首先
是企业文化的弱化,道德和行为标准不明确,不能有效地将他们传递给员工并在实践中使之得到传
工业控制信息安全企业内部控制策略研究报告
37
播,导致企业的诚信和道德观的缺失;其次,员工能力素质的提升跟不上企业的发展速度。很多企
业的管理层是随着公司创业一起发展起来,管理相关专业知识提升程度跟不上企业发展的速度,随
着企业的发展,管理上会出现力不从心地感觉从而导致管理漏洞层出不穷,企业的控制环境被一定
程度的弱化。
2.全面预算制度不完善,在内控制度中体现地不够明显。随着企业的发展壮大,多数企业的利
润率反而在逐渐降低。而在如此激烈的竞争中如何保证足够的利润,需要企业建立全面预算管理制
度。而从当前企业的情况来看,部分企业没有建立全面预算,而部分企业建立的全面预算制度不完
善,或已建立的全面预算设计框架的科学性不足或者独特性不足,甚至两者兼有。主要体现在多数
企业依葫芦画瓢或者完全照搬某些成功企业的全面预算相关制度和规则,没有考虑到企业自身的独
特性、经营对象以及企业内部环境,导致盲目照搬的全面预算制度根本无法适应企业自身形势需要
的情况。这不仅不能降低企业成本风险,保证企业利润,相反会增大企业成本风险,流失企业利
润。
七、内控管理流于形式化
在我国有着内部控制制度体系的企业,在实际执行过程中各种问题层出不穷,甚至有些问题解
决难度很大,主要是因为内部控制环节较为薄弱,内控管理流于形式化。从人工成本控制角度考
虑,多数企业根本没有按照企业实际岗位需求进行人员招聘,出现岗多人少的情况,很多内控岗位
都被兼任,使得内控工作始终浮在表面不能有效落地执行。并且,岗位人员职责不明确也会导致部
门之间,员工之间出现相互推诿的情况,使得企业需解决的问题始终无法得到及时有效解决。部分
企业虽然内部岗位职责明确,但是在执行落地上效果大打折扣,主要是因为缺少监督考核以及相应
的考评制度,使得内部控制的目标不能从制度层面落实到相关责任人或责任部门,也不能积极调动
员工的主观能动性。员工主动不作为就使得内部控制活动很难在实际工作中顺利开展,从而使内控
管理流于形式化。
八、公司治理结构不完善
股权结构集中但过于单一,公司治理结构不完善,缺乏科学决策、良性运行机制。企业的真实
股权结构相对简单,公司实际控制人往往都是自然人,股权非常集中;大部分公司未设置真正意义
上的董事会和监事会,即使在形式上有符合公司法的公司治理结构,但一般都很难有效发挥其在决
策、执行、监督等方面的职责权限,大部分企业属于控股股东治理。在这种治理结构下,企业的权
利过于集中,治理机构之间无法形成相互监督、相互制约的机制,在重大决策、重大事项、重要人
事任免及大额资金支付业务等方面很难实行集体决策,为企业的长期健康发展埋下隐患。
工业控制信息安全企业内部控制策略研究报告
38
九、内部控制措施缺失
目前,大多数的企业未实行全面预算管理办法,公司领导层的全面预算管理意识缺乏,积极性
不高。这跟该行业现阶段的行业特征息息相关:
(1)行业发展迅速,企业竞争激烈,销售目标、产品产量、管理、销售费用等关键要素因招
标价格调整频繁。
(2)研发周期长,投资大风险大,不可控因素较多。
(3)生产过程复杂,质控体系要求高。这些特点给企业实行全面预算带来困难。
但实行全面预算管理是企业实现既定发展战略的有效途径之一,通过预算管理不仅可控制企业
的成本,提高企业的经营效益,使企业从众多竞争者中脱颖而出;而且预算管理还可以规范公司的
业务流程,通过将风险管理融入到具体的业务流程中,使风险管理落到实处,提高对风险管控的有
效性。另外,通过预算管理的评价机制,分析对比预算目标值与实际完成情况的差距,有助于企业
发现并堵塞管理漏洞,提高企业的运营效率。因此,企业应克服现有的困难,逐步引入全面预算管
理,完善内部控制措施。
第三节 完善企业内部控制的对策建议
一、明确内部控制体系建设主次
企业在对内部控制体系进行建设之前要对自身实际情况进行充分考虑,在此基础上开展相应的
建设工作,在这个过程中还要避免工作的盲目性,特别是企业资源有限的时候,管理人员不仅要明
确该工作的基本方向和侧重点,还要对工作的主次关系进行有效辨别。企业明确内部控制建设工作
主次内容,可以在一定程度上对各种资源进行科学配置,并且内部控制建设效率也会得到进一步提
高。其中,财务管理工作在企业管理工作中占据非常重要的地位,管理人员要结合时代发展的特点
对财务管理工作进行重点改进和完善,只有这样,才可以将内部控制体系建设的效果充分发挥出
来。
二、营造优良的内部控制环境
要想打造一个良好的内部控制环境,构建完善的内部控制组织体系是关键。首先,企业管理人
员应注重自身综合素养的提高,树立新型内部控制管理理念,不但要关注经营业务的发展,也要重
工业控制信息安全企业内部控制策略研究报告
39
视内部控制管理的革新。其次,应切实坚持“产权清晰、权责明确、科学管理”的原则,注重企业
中董事会的主体地位,将财务决策权交由董事会及股东会共同把控,经理人员则具有财务执行权、
监事会具有财务监督权,对于企业内部所有重大人事调动、投资决策均要采取联签制度。细化企业
内部管理人员职能,不但可以提高相关决策的合理性与可行性、财务收支活动的规范性,而且还可
以建设起系统、完善的内部控制管理体系,为今后内部控制的高效推进夯实基础。
三、强化企业风险管控力度
因为企业在运营与管理过程中不可避免会遇到不同类型风险,所以必须强化企业风险管控力
度。首先,要构建合理的风险评估制度,主要涉及风险的辨识、分析与处理等内容。具体可以采取
等级量表评估方式进行风险评估,采取抓大放小的方式,根据等级高低将企业实际面临的风险进行
排序,以便于工作人员正确掌握主要风险,同时采用有效的处理策略,最大限度地降低风险对企业
造成的影响。其次,做好风险的控制工作。对于企业而言,其较常面对的风险主要有财务风险、市
场风险及研发风险这几种类型。其中,财务风险主要出现在企业的资金营运阶段。所以在实施风险
防控时,企业可以有效运用当前我国对科研企业所出台的相关融资优惠政策,积极申请挂牌“新三
板”“高新技术企业认定”企业,以拓展融资途径。此外,还需要做好运营资金的统筹管理与规划
工作,严格管控研发资金投入,确保专款专用,避免不必要的资金浪费。对于企业的应收账款需要
设置合理的资金回收制度,切实提升资金周转率[7]。对于市场风险,则需要增进内部技术及营销
部门间的交流与联系,动态留意市场变动及有关竞品情况,掌握自身产品销售收入、销售增长率、
市场占有份额、产品使用寿命等情况,尽可能实现产品投入与产出的平衡,最大限度地减小企业的
市场风险。对于研发风险,因为在企业运营过程中产品研发与技术创新是风险系数较高的环节,所
以要求企业能够充分落实研发项目的事前调查工作,如市场调研、项目可行性分析、风险预估及成
本预算等,编制项目评估报告,切实按照项目投资计划进行相关资源配置。同时,需要加强内外部
信息的沟通,不但要与供应厂家保持密切联系,实现采购成本降低,而且要尽可能地掌握竞争环
境、客户需求等相关信息,增进企业与市场间的联系,最大限度地减小研发风险。
四、注重业务活动关键点的管控
业务活动控制可从以下几个方面着手:第一,强化货币资金的管控工作,明确企业资金支出的
审批权责及流程,并且严格坚持不相容岗位相互分离的原则进行会计岗位的设置。同时,科学制定
账户设立、银行存款等的核对、审批及清理规程,定期核对银行账单并盘点现金。安排专员保管企
业票据,保证票据及相关记录的完整与可靠。第二,注重内部资产的管控工作,科技企业应当要科
学设置固定资产的管理制度,逐一明确其获取、验收、入库、使用、维护及报废处理等环节的规
程;并且,在核算固定资产成本、减值准备、折旧计提等工作中均要与国家规定相符[8]。第三,注
重存货的内部管控工作,制定存货预算、采购、验收、存储、盘点及处理等工作的管理规程,而且
实际采用的核算、计提跌价准备等方式均要与国家规定相符。第四,科学管控销售及收款等工作。
工业控制信息安全企业内部控制策略研究报告
40
企业应根据市场变化、产品特点制定针对性的信用管理体制及销售政策,全方位考量客户资信情
况,切实根据实际签订的合同组织相关管理工作。不仅如此,还需要合理确定结转销售成本的方
法、确认销售收入的节电、销售记录凭证管理及坏账核销审批流程,并采取有针对性的手段定期清
理挂账、欠账,做好应收账款风险金计提准备,达到降低资金回收风险的目的。
五、健全内部控制监督管理制度
內部控制监督管理制度能够在企业发展运营过程中发挥出良好的作用,所以相关管理人员要对
内部控制监督予以足够重视,企业管理层领导要对内部审计部门进行直接领导,在完善内部控制监
督管理制度的同时,确保内部审计工作可以正常开展。企业还要将最高管理层纳入内部控制体系范
围之内,相关工作人员也要对要求和标准进行分析和了解,严格按照这些要求和标准,定期或者不
定期地开展企业内部控制工作和预算管理工作,并进行相应的追踪和监督。此外,企业可单独设置
审计部门,下放相应的监管权力,保证审计部门具有权威性与独立性,以便能够有效监管企业内部
控制落实情况,发现内部控制薄弱之处,从而及时强化相关管理。
此外,企业还要对时代发展的特点进行充分了解,适当地将部分内部控制审计和评价工作委托
给专业化程度较高的第三方审计事务所,只有这样,才能够对企业不同阶段的财务报表、研发费用
进行全方位监督。在通常的情况下,审计事务所出具的审计报告有着较高的专业性特点,企业要对
这些审计报告进行充分分析和了解,并且从中找到自身经营管理当中存在的问题,及时采取有效措
施对这些问题进行处理。此外,科技企业还要从实际角度出发,根据企业发展运营情况对内部控制
有效性的评价标准进行合理制定,从而提高内部控制评价体系的公平性和正确性,确保内控制工作
落实到每一个部门的日常工作中。
内部控制在企业发展过程中占据着非常重要的地位,要求相关管理人员要对其予以足够重视,
还要对应用过程中存在的问题进行充分分析和了解,结合实际情况采取相应的措施进行处理。此
外,管理人员还要结合时代特点对内部控制相关制度进行改进完善,在企业内部营造良好的工作环
境。
六、建立全面预算管理制度
首先,需要树立现代企业价值观念,统一企业文化,明确企业道德和行为标准,并在企业内部
建立积极的内控文化,形成良好的文化氛围。其次,将现代企业价值观定期进行全员培训推广,使
现代企业价值观念深入企业每一位员工心中,并以物质、精神进行双激励,增强员工集体荣誉感和
责任心,确保企业从上至下人人尽职尽责,以便更好地落地企业内控治理机制;最后,企业中高层
管理人员要不断地学习充电,并时刻关注市场经济动态,以便更好地满足企业内控需要。
工业控制信息安全企业内部控制策略研究报告
41
企业要建立全面预算管理制度。首先,该制度不能脱离企业自身实际情况而进行搭建,一定要
考虑到更多的科学性以及企业独特性方面的内容。其次,全面预算管理制度一定要考虑企业资源配
置,有效地利用企业资源;考虑管理协调,用制度管理代替人的管理,有效规避舞弊行为;考虑预算
编制全员参与,使企业员工明确岗位职责和工作目标,提高主观能动性;最后要考虑战略支持,这
样才能更好地实现企业目标。
七、强化对内部控制的检查与考核
首先,需要明确员工的岗位职责,专人专岗,并制定员工定期轮岗、竞争上岗制度,建立员工
长效培训机制,不断提升企业团队人员的专业素质和素养。其次,需要建立和完善与之相配套的绩
效激励约束机制。通过绩效激励约束机制不仅保证员工具有足够的能力及专业技能,留住企业高端
人才,确保企业人员流动在合理的范围内,并能提高团队人员的工作积极性和责任心。第三,需要
设置科学的业绩考核评价体系,对各个层级的员工进行严格考核和评价,奖惩结合。这些考评活动
不仅能强化内控环节的执行能力,更能够促进企业员工及部门之间积极开展内控相关工作,真正使
得企业的内控管理有效落地执行。最后,落地企业内部控制,离不开企业信息化地建设,尤其是在
成本控制以及内耗控制上,信息化建设显得尤为重要。企业属于制造业,也属于人口密集型企业,
企业信息化建设,不仅可以大大降低由有人工失误导致地不合格产品率,还可以大大降低企业人工
成本;企业信息化建设,可以减少由部门人员之间传递过程中产生的时间以及工作中的无形内耗,
提高人员的办公效率;企业信息化建设,能更好地做到内部控制事中的管控环节,能大大降低企业
舞弊现象地出现;
八、建立健全监督评价机制
为保障企业内控制度的落地执行以及修正完善,需要定期对企业内控制度进行分析评价,而这
就需要建立健全的监督评价机制。首先,需完善优秀人才的引进机制,在企业建立内部审计机构的
同时引进专业的内部审计人员,定期对企业内部控制制度地设计与运行管理进行有效的审计。其
次,保证审计监察机构和审计人员的独立性,明确其权责利范畴,使其能独立客观地进行内部审
计。最后,还要建立内部监督评价机制,明确企业最高责任人或权力机构来整体调度内部评价活
动,逐级落实内部控制评价责任部门或责任人,并在企业内部不定期开展员工自我评价,使企业内
部控制管理制度不断根据企业的发展修订完善。
企业内部控制地完善是一项相对系统的科学工程,而企业在建立企业内部控制的过程中一定要
建立对内部控制管理的有效认知,并将整个内控管理运用到整个生产和运营活动中,形成完整的事
前、事中、事后闭环的监督管理评价机制,降低人为主观因素的损耗以及舞弊现象。企业如果能建
立相对比较完善的内部控制体系,才能在残酷激烈的竞争压力环境下脱颖而出,抢占市场份额,提
高企业营运效率以及盈利能力。
工业控制信息安全企业内部控制策略研究报告
42
九、完善企业的治理结构
(1)调整目前的股权结构,可以通过股权激励方式适当增加高层管理人员和关键人员的持
股,并引进一些具有先进管理经验的风险投资机构和其他股东,前提是这种调整以不威胁现有股东
的控股权。随着股东的增加,股东间的沟通机制就显得尤为重要,所以应进一步建立与完善股东会
的运作机制,以保障股东会对企业的领导职能。
(2)健全董事会,建设一支精通技术、擅长销售管理、财务管理、内控管理的高素质董事团
队,并在董事会下设全面预算委员会和风险管理委员会。
(3)组建内部审计监督机构,以独立专业的方式对企业的内部控制、风险管理和财务信息进
行监督与评价,并提出整改意见提交董事会,目的是为发现并预防错误和舞弊、提高企业的经营效
率、增加企业的价值,以帮助企业实现既定的目标。
十、建立内部审计监督部门
内审部门以财务内部审计与内控体系监督并重,企业董事应对其充分授权以保持其独立性,定
期对相关部门进行监督考核,并提出整改建议,最终出具报告呈送董事会。在全面审计监督的基础
上,适当开展专项监督检查,特别是对风险较大的产品的注册、研发、生产、营销等环节的法规遵
从性、资金使用、质控效果、信用政策等方面加强监督,尽可能地降低风险。
综上所述,在行业大发展大跃进的时代,一套行之有效的内部控制体系不仅是企业面对激烈竞
争能够脱颖而出的有利武器之一,而且是能够为从容应对改革所产生的各种风险增加砝码。希望企
业的决策者能够从自身企业的实际出发,综合分析企业面临的各种风险,建立起适合自己的内控体
系,达到有效管控风险的目的,为企业的长期健康发展打下坚实基础。
第四节 企业内部控制不同层面存在的问题
一、生产企业内部控制存在的问题
从行业发展的实际运行情况看,生产企业在内部控制中还普遍存在着以下问题。
(1)制度层面:相关内控制度不健全
工业控制信息安全企业内部控制策略研究报告
43
从行业发展现实情况看,部分企业发展规模不大,运行制度不健全,部分高级管理人员来源于
业务人员或是兼任,上述人员对内控制度管理业务不重视。公司内部控制制度的不健全,比如生产
会议制度的缺失,会导致公司会议成本的直线增长,同时也无法充分发挥会议集中讨论、科学决策
和预测的功能。如对于产业生产额、销售额的确立需要各个部门之间多加讨论,但是会议制度的不
健全,极容易导致入不敷出。换言之,内部控制制度的不健全,导致生产企业在管理过程中难以实
现管理效率的最大化。
(2)执行层面:控制执行存在偏差
生产企业在制定预算——统筹规划——具体执行中,往往存在一定的偏差。生产管理者也会采
取“仅此一次、下不为例”的方式进行变通。然而,企业的内部控制制度在很大程度上是通过企业
年初的预算保障执行的[2]。因此,预算执行的不到位,或是对预算执行的重要性与严肃性关注不
足,必然会使得企业相关的预算制度难以在后续的过程中得以有效执行,长此以往会导致原本制定
的正确制度缺乏制度刚性,预算超标等现象时常出现。等到年度后期就会发现内部控制执行不到
位,企业成本急剧增长,进而影响企业的整体经营效益。
(3)评价层面:缺乏制度考评分析
生产企业内部控制制度的执行需要进行严密而有效的制度考核,及时对制度执行前后的差异进
行跟踪、考评、分析和总结。如果在上述过程中出现偏差,需要对其进行及时调整,确保制度执行
过程中的不合理得到修正。一旦出现与制度制定初衷相违背的现象,要予以及时调整或制止。内部
控制是事前–事中–事后不断调整与修正的动态过程,如若缺乏对其运行过程的考核与评价,会导
致相关人员忽视制度执行的必要性,进而对内部控制制度缺乏敬畏之心。更有甚者,会觉得违反公
司内部控制制度或超预算,都对自身没有影响。一旦出现这种苗头,生产企业的经营发展就会遭遇
重大危机和困难。
二、改进企业内部控制的对策与建议
推动生产企业不断发展,大力提升其内部控制的管理水平,需要从以下方面着手。
(1)建立健全与业务匹配的内控制度,提升员工管理积极性
从内部控制的阶段过程看,生产企业这一过程包含制度制定与执行两大阶段。具体说来,一是
生产企业管理层要树立内部控制的理念。管理层要明确规章制度和生产流程的重要性,将其与和企
业的实际业务相匹配,建立健全生产企业制度规则。二是要提升员工参与内部管理制度制定的积极
性。内部控制制度在执行时要让员工更容易接受、更容易落实,对与员工息息相关的内部管理制度
工业控制信息安全企业内部控制策略研究报告
44
要发挥其民主积极性,提高其对制度执行的认可度与自觉性。
(2)加强企业内控预算制度执行管理,提升企业制度刚性
制度的有效执行是企业内控管理成功的关键。确保企业制度执行刚性,一是需要领导者身先士
卒,率先执行,带头支持、维护和确保制度有序、有效执行,不让领导者在执行过程中存在特殊待
遇。二是要以制度制衡权力。内部管理控制的执行离不开权力的制约与监督,要明确内部控制过程
中的权责利分配,规范好权力的执行使用边界。对制度的有效执行,需要以权力的合理规范运用为
基础,务必确保权力的使用在一定的边界范围内,避免在内部控制过程中出现权力滥用、以权谋私
等问题。
(3)构建企业内控考评监督体系,实现企业良好管理
内部控制离不开考核评价与有效监督。具体说来,一是要建立阶段考核监督体系。确保企业在
事前、事中和事后都有相应的分析考核评价体系,并在每一个阶段都能给予奖励和处罚措施。二是
要适时调整内部控制目标。既要确保内部控制制度执行刚性的一面,又要保持其柔性,在特殊需要
时能够灵活应变;在进行绩效考核时做到奖惩分明;在有效监督中实现良好管理;在具体实践中,
可以通过建立起信息化管理控制监督系统,实现重大风险的实时管控,以确保生产企业健康发展。
伴随着越来越多的民营资本参与到生产中来,加强对其进行外部管控的同时,提高生产企业内
部控制水平,确保这一类企业能够做到及时诊断、及时修正、及时化解风险,是行业发展共同的期
望。
三、从管理层面完善企业内部控制体系
(1)完善企业治理结构
企业需完善企业治理结构,科学的治理结构是内部控制体系落实的基础,企业应该根据内部控
制评价报告以及企业的实际经营需求,对治理结构进行梳理,如部分企业的内部审计部门缺失,企
业则应该快速建立内部审计部门,落实审计监督职能。在实际建设内部控制体系期间,企业需高度
重视建立组织架构,设置关键部门岗位,如战略委员会、预算管理委员会,同时,企业还应强化监
事会的监督权,保证企业和利益相关者的经济利益。企业在完善治理结构过程中需要注意以下几
点:第一,信息披露,重大决策和事项的披露工作应当及时;第二,权限设置,明确规定董事会权
限、各岗位权限,提高企业决策效率;第三,严格审核监事会的专业技术能力,确保其专业素质过
关。
工业控制信息安全企业内部控制策略研究报告
45
(2)加强内部控制宣传和培训
在内部控制体系建设过程中,体系设计、规划以及相关决策执行都需要所有部门的参与,全体
员工积极配合。企业应加强内部控制宣传,并加大对内部人员的培训力度,提高其对内部控制的重
视。关于宣传内部控制企业可以通过加深企业文化的方式,企业以优秀的内部控制文化增强员工的
使命感和责任感,使其在日常工作中能够具备较强的内部控制意识,清楚认识到内部控制的重要
性,以及自身承担的职责。此外,企业还应加大力度对内部员工进行内部控制培训,针对内部控制
要求制定个性化培训方案,定期分批组织员工参加培训,而且在培训活动告一段落后,企业有必要
开展抽样考核,评估员工在培训中的对内部控制相关内容的实际掌握情况,针对考核中显示的问
题,集中调整培训计划,并继续扩大宣传,加强员工对内部控制决策的吸收率。在内部控制体系建
设和实行期间,不同员工的适应能力不相同,企业应适度给予过渡期,既要向员工传输抽象的理念
原则,也需要培训导师总结实践经验和方法,精准指导企业员工响应内部控制。
(3)完善绩效考核制度
企业建设和执行内部控制体系离不开各部门员工的支持,因此,企业应当完善绩效考核制度,
以严格的考核制度配以奖惩机制,约束员工,促使员工以更加严谨和认真的态度完成内部控制任
务。以销售部门为例,企业对销售业务人员实施绩效考核,针对工作优秀、经销商签约数量多、回
款率高、新客户开拓多的业务人员给予绩效奖励,针对信息反馈滞后、客户投诉频繁的业务人员按
比例扣除一定的绩效奖励,使员工深刻认识到个人工作成果与所得成正比,工作不规范将面临处
罚,从而保证员工的工作质量,达成上级下发的任务目标。企业可针对销售部门的具体情况,对绩
效考核指标进行调整,从工作态度、工作绩效、关键事项三个方面入手优化内部控制指标,并将其
纳入考核范围,定期对销售业务人员开展绩效考核,检查其工作情况。
(4)建立审计监督部门
审计监督是内部控制中必不可少的内容,企业在完善内部控制体系过程中,应当注意构建监督
机制,立足于企业审计业务,设立专业性强、业务能打的审计监督部门,统筹负责企业的内部控制
审计监督工作。审计监督工作应全面覆盖企业的经营流程,不只是针对某一个部门或是业务环节,
而是对企业经营管理进行全方位的检查监督以及风险评估。审计监督部门从企业经营层面出发,对
经营风险、财务风险进行评估分析,编制企业年报,在年报中指出企业发展重点,揭示企业的实际
经营情况。企业可应用 PDCA 原理开展审计工作,在多次循环中定位内部控制执行有效性弱的问
题,对问题的实际原因进行分析,从而制定精准措施解决问题,弥补内部控制缺陷。
企业建立审计监督部门,应当给予其一定的职权,避免审计监督工作流于形式,企业管理层指
导审计部门对内部控制体系建设和运行过程进行监督,要求审计部门把控审计结果的准确性和参考
工业控制信息安全企业内部控制策略研究报告
46
性。在实际工作中,审计部门提高审计质量应当做好以下几点:第一,全面分析审计资料,对重点
审查领域内的部门进行实地调查走访,了解其真实情况,规避弄虚作假风险;第二,审计期间注意
与被审对象保持沟通,以便于获取更加详细的信息资料;第三,审计人员必须如实记录审计过程中
的信息和关键点,将内部审计方法和过程转换成书面文字形式交由企业领导审核;第四,审计结束
后,将审计项目相关资料整理归档。
四、从业务层面完善企业内部控制体系
从业务层面完善企业的内部控制体系,应当遵循不相容岗位相互分离原则,在内部控制制度中
明确业务流程,以及业务活动的审批权限和控制重点。在制度指导下明确业务活动中内部控制监督
检查关键环节,敦促各部门员工在既定权限范围内,按照规定处理业务,严格约束业务人员的工作
行为。
(1)优化采购与付款业务
采购与付款业务是企业内部核心业务,对其进行优化,企业应该加强归口管理和监督约束,具
体可以从以下几方面着手:第一,细化采购预算,企业的采购预算可以细分为需求、采购预算,其
中需求预算是指物资需求部门采购材料和需求物资总体费用,采购部门按照需求预算数据和当前的
库存情况,筹划采购预算。提出采购需求的部门必须是立足于实际,在不夸大事实的前提下准确编
制需求预算。在材料流通使用过程中,设备维修部门以及使用部门必须对其进行定期维修养护,减
少机械损耗。第二,构建严格的采购机制,尤其是采购验收环节,企业必须按照要求,对原材料的
品质、规格进行验收,验收无误后由相关负责人开具证明,验收不合格的材料则要进行退货操作,
严重者则要进入索赔程序,并且调整供应商数据库中的信息。第三,付款业务中,企业应明确付款
人的责任和义务,要求业务人员按照既定的程序付款,不允许随意调整付款程序。同时会计人员对
采购预算和票据进行审核,审核无误后方可进入付款程序。在实际经营过程中,定金和付款额的管
理尤为重要,特别是金额庞大的付款业务,相关业务员必须对付款业务进行动态跟踪分析,判断付
款时间和款项的合法性,一旦发现付款业务中存在问题,立即终止付款业务,确保企业资金安全。
(2)规范销售与收款活动
1.规范销售业务
销售业务活动是企业经营重心,直接影响企业利润,一直以来企业对销售业务的重视较高,但
是内部控制措施滞后于销售业务,未能对销售业务进行严格控制,导致销售业务中频频发生风险,
如销售规模大但回款率低,企业利润增长慢;客户拓展情况不理想等。结合实际情况来看,企业必
须加大力度规范销售业务,调整内部控制措施细化对销售业务活动的管控,
工业控制信息安全企业内部控制策略研究报告
47
首先,企业看从预算入手,规范销售业务预算编制,在正式编制销售预算之前,财务人员应该
收集往期编制数据、销售盈利分析结果、年度经营规划、生产计划、市场调研报告、市场开发计
划、上年度销售总结等数据资料,立足于完整的数据预测本预算期内的销售价格、数量、回款率,
以业财融合为基准提升销售业务预算编制的准确性。预算编制完成后经预算组织审批,批复后下达
销售预算指标任务,销售业务部门按照具体计划和指标执行预算计划,并且定期反馈预算执行进度
和问题,由预算组织分析预算差异原因,决定是否进行预算调整。
其次,销售业务部门按照合规程序进行产品销售,一是制定准确的销售目标和预计销售额,贴
合实际设计销售方案。企业可根据客户订单数据、生产力、上期销售业绩等以年、月为单位制定销
售计划,并且在计划实施期间及时调整。二是准确把握市场动态变化,一旦市场发生重大变化则要
立即调整销售策略,紧跟市场变化,保证企业定价和信用体系合理。三是选择合适的营销方式,企
业可通过折扣折让方式吸引客户,也可借助互联网媒体力量扩大销售范围,但是无论何种营销方式
必须保证合法真实。四是严格把关合作客户,在与客户正式签订合同之前,企业应该与其进行沟
通,了解客户的资产情况和财务情况,确保其有能力支付销售款,减少回款风险。
最后,加强经销商信用管理,销售部门在确定经销商的合作意图之后,应该对其展开调查,全
方位掌握其资料信息,并且将收集的信息填报在 OA系统内,经系统发送至经销商负责人处进行初
步审核。审核结束后继续分析评估经销商的销售能力,如市场规模、销售业绩等,而且企业的综合
管理部门要及时建立经销商信用档案,审查经销商信用资质,从源头控制销售风险。
2.规范收款活动
企业为客户提供现购和赊购两种付款方式,现购方式是指客户填写交款单据,将预付款转给财
务部门,财务人员根据交款单据和实收款项核对收款,编制收款单据由销售人员确认,发票管理员
填写销售发票和产品销售单据,反馈至物资供应部门完成发货操作。客户选择赊购付款方式时,销
售业务员应当与客户签订销售合同之后,还需继续签订销售款回款责任书,并且经过销售负责人、
综合管理部、财务部门的审批,多方审批无误后开具销售业务发票,物资供应部门按照发票信息发
货。销售业务人员在规定时间内需对客户欠款进行催收,定期总结客户回款到账情况,对于逾期未
还的款项查明原因后追责,必要时可进入法律程序追款。
(3)重视资产安全与完整
资产是企业经营基础之一,企业应规范资产管理,保证资产安全和完整,在资产管理过程中,
企业需坚持不相容岗位相互分离原则,资产收付和记账由出纳人员负责,而资产管理和进出核算必
须交由其他会计人员,避免资产管理业务由同一人办理导致资产流失风险。关于资产管理企业应当
工业控制信息安全企业内部控制策略研究报告
48
注意以下几点:第一,严格管理固定资产,资产管理部门主要负责固定资产管理的进出,资产管理
部门需严格验收资产,按照制度要求退回不合格的资产设备,不进行验收操作,而且重视验收资产
外形和性能。对于价值高昂的设备资产需要聘请外部专业机构进行验收,由其出具验收合格意见。
第二,合理分配闲置资产,企业内部闲置资产数量不在少数,为减少资产设备空转而造成的不必要
损耗,企业应当归集长期不适用的资产设备,将设备放入共享平台再次投入使用。企业每年对生产
车间、各个职能部门的设备进行检查,向上级汇总闲置设备信息,由管理人员决定如何处置闲置资
产。而且企业也可搭建闲置资产管理平台,将完整无损的设备资产按照类型、用途登记,在后续经
营期间采购需求内有相似性能的资产需求,可直接从闲置资产管理平台中划拨,避免重复采购,将
现有的资产设备价值最大化。第三,定期清查盘点企业资产,企业可组建资产清查小组,并且在资
产使用部门中设置联络员岗位,定期审查内部资产,检查资产使用情况、实际损耗情况、资产管理
情况等。资产清查人员需将清查盘点结果汇总并形成具体报告,准确反映资产问题,要求相关部门
立即整改,保证资产使用合规和安全完整。
综上所述,企业的经营发展以及转型升级,需要内部控制体系支撑,企业应当加大力度优化内
部控制,健全内部控制体系,细化内部控制措施,从企业实际情况出发,从管理、业务层面完善内
部控制,切实扩大内部控制对企业经营发展的优势作用。行业发展前景较好,但行业容量增加,行
业竞争愈加激烈,企业必须立足实际,加强内部控制,优化内部管理质量,以稳健的内部控制体系
应对多变的内外部环境,切实解决企业经营过程中的风险问题,提高企业的竞争实力,为企业长远
发展奠定坚持基础。
第五节 企业内部控制策略建议
加强内部控制是科技创新型企业有效促进技术创新、有力推动企业变革、有序降低经营风险的
重要举措和有益探索。经济新常态下,科技创新型企业通过加强内部控制,可以聚焦投入产出把
控、赋能企业制度建设、强化经营信息分析,进而促进科技创新型企业高效、稳健、可持续发展。
鉴于此,科技创新型企业应坚持内控制度化与智能化并举、信息化与数字化并重、扁平化与垂直化
并存,真正实现内部控制由“静态控制”向“动态控制”转变、由“局部控制”向“整体控制”转
化、由“外部控制”向“自主控制”转型。
科技创新型企业是经济新常态背景下助力经济结构升级、助推经济驱动转换、助攻经济平稳换
挡的重要支撑与科学尝试,是实现我国科学技术高效发展、人民群众充分就业、经济发展质量持续
提升的关键保证。科技创新型企业在国民经济中的重要性不言而喻,但也必须看到科技创新型企业
较高的经营风险,企业经营管理稍有不慎便可能造成难以挽救的后果,故而加强科技创新型企业的
工业控制信息安全企业内部控制策略研究报告
49
经营管理显得尤为重要。
事实上,由于科技创新型企业的科技属性与创新基因,其经营具有高风险、高投入、长周期、
资金密集型、知识密集型等特征,这给科技创新型企业的经营带来诸多的机遇与挑战,故而科技创
新型企业必须加强自身的经营管理工作,而加强内部控制是科技创新型企业有效促进技术创新、有
力推动企业变革、有序降低经营风险的重要举措与有益探索。因此,科技创新型企业必须要更加重
视内部控制,力争化“危”为“机”,实现自身高质量、跨越式发展。
一、科技创新型企业加强内部控制的价值剖析
厘清科技创新型企业加强内部控制的价值是探究其加强内部控制的基础与前提。因此,本文基
于科技创新型企业的基本经营特征,梳理科技创新型企业加强内部控制的价值与作用,研究显示:
科技创新型企业通过加强内部控制,可以有效地把控科研创新投入产出比、可以有力地推动企业自
身的制度变革、可以有效地控制科技创新型企业的经营风险,进而实现科技创新型企业的高效、稳
健、可持续发展。
(一)聚焦投入产出把控,有效促进科技创新型企业的科研创新
加强内部控制可以高效把控科技创新型企业的研发投入产出比,故而有力促进科技创新型企业
的科研创新,这是科技创新型企业加强内部控制的基础性价值。众所周知,科技创新型企业在研发
领域的投入多,不仅包括财力的投入,还有优质的人力资源投入,这都将给企业带来较大的经营压
力。科技研发与技术创新是一项具有高风险、高回报、长周期的投资,如何平衡风险与收益成为科
技创新型企业管理者必须充分考虑的问题。通过加强内部控制可以实现:第一,有效把控科技研发
的资源投入,包括创新设备及物资的添置、人力资源的配置等,进而优化资源配置;第二,科学形
成激励约束机制,从而实现对研发团队的高效激励与监督,促进科技研究成果的发现;第三,有力
地避免道德风险与逆向选择,避免科技创新型企业科技创新研发资源和机遇的浪费。
(二)赋能企业制度建设,有力推动科技创新型企业的制度变革
加强内部控制可以持续优化科技创新型企业的制度建设,进而有力推动科技创新型企业的制度
变革,这是科技创新型企业加强内部控制的关键性价值。现代企业制度的建立是现代企业高效运转
的关键。科技创新型企业经营具有高风险属性,故而其制度建设要求更科学、更严谨、更务实。通
过加强科技创新型企业的内部控制,可以实现:首先,确保企业制度建设更科学、更灵活,能基于
实际情况与科技创新型企业的发展阶段,不断优化制度内容,真正实现科技创新型企业制度建设与
自身发展阶段的高度契合;其次,使得科技创新型企业的制度建设更加务实,以财务管理的视域来
审慎制度建设对科技创新型企业经营管理的赋能;最后,可以充分吸纳科技创新型企业内外部的制
工业控制信息安全企业内部控制策略研究报告
50
度建设经验,确保制度改革的高效(包括制度改革动能与制度改革效率两个维度),最终赋能企业
发展。
(三)强化经营信息分析,有效防控科技创新型企业的经营风险
加强内部控制可以快速完善科技创新型企业的经营信息分析,继而有效防控科技创新型企业的
经营风险,这是科技创新型企业加强内部控制的重要补充价值。如前所述,有效地把控科技创新型
企业的研发风险是其内部控制的重中之重,那么如何高效的防控风险呢?除了对投入产出和资源配
置的严格把控,还有一个更为重要的关键点就是对科技创新的研发方向进行把关,要梳理清晰各个
技术路线的优劣与发展前景,降低科技创新型企业因为技术研发路线选择失误而造成研发失败。而
要实现对技术方向的精准把握,必须立足于经营信息的高效、科学、可靠分析。既包括技术路线的
研发难度(科学性),也包括技术路线应用的实效性(可行性),更包括技术路线发展的可持续性
(经济性),而要实现这些目标必须基于强有力的内控管理,对企业内外部海量信息的竞争把握。
二、科技创新型企业加强内部控制路径探究
基于前文的理论分析,文章本部分立足于科技创新型企业的经营特征,重点研究科技创新型加
强企业内部控制的路径,结论认为:科技创新型企业应该坚持内控制度化与智能化并举、内控信息
化与数字化并重、内控扁平化与垂直化并存,真正实现内部控制由“静态控制”向“动态控制”转
变、由“局部控制”向“整体控制”转化、由“外部控制”向“自主控制”转型,真正形成自身的
核心竞争力,确保发展的可持续性。
(一)内控制度化与智能化并举,内部控制由“静态控制”向“动态控
制”转变
内控制度化与智能化并举,内部控制由“静态控制”向“动态控制”转变,这是科技创新型加
强企业内部控制的首要路径。传统内部控制体系具有滞后性,往往是事后监督、事后处理、事后控
制,属于一种低效、静态、被动式的内部控制。科技创新型企业不仅面临着复杂多变的宏微观环
境,还需要应对瞬息万变的行业竞争,更需要把握日新月异的技术变革方向,导致科技创新型企业
的日常运营具有诸多的不确定性。要实现高效的内部控制,必须要求内控体系更加智能和科学,确
保内部控制及时、高效,实现实效性与时效性兼具。制度化内部控制是确保科技创新型企业内部制
度管理规范、科学、客观、公正,智能化内部制度是借助科技工具来赋能内部控制体系,从而使得
内控制度更加高效,如智能预算管理执行监测系统等。通过构建制度化与智能化兼顾的内控体系,
可以真正使得科技创新型企业的内部控制不流于形式,从而真正助力科技创新型企业高质量发展。
工业控制信息安全企业内部控制策略研究报告
51
(二)内控信息化与数字化并重,内部控制由“局部控制”向“整体控
制”转化
内控信息化与数字化并重,内部控制由“局部控制”向“整体控制”转化,这是科技创新型加
强企业内部控制的核心路径。首先,必须厘清内控信息化与数字化的内涵与差别,信息化就是将线
下的内部控制流程,由 IT部门(信息部门)开发出软件或者平台,迁移到线上,提高业务内部控
制,降低成本、提高可靠性。信息化不改变科技创新型企业的内部控制的业务流程,但是提高效
率。数字化则不同,数字化是聚焦内控流程的解构与重构,将内部控制的各个主体、各个环节有机
组合,实现内控质量的提升。立足于内控信息化的发展,可以突破内部控制数据信息支撑不足的困
境;借助内控数字化的发展,不仅可以实现内部控制对企业的财务领域进行预算管理与会计核算及
监督,还可以实现对业务部门、中台部门及后台职能服务部门的内部控制与监督,真正使得内部控
制覆盖科技创新型企业的全部组织机构与人员,实现企业内部管理的集约、高效、稳健,最终有利
于提升科技创新型企业的核心竞争力。
(三)内控扁平化与垂直化并存,内部控制由“外部控制”向“自主控
制”转型
内控扁平化与垂直化并存,内部控制由“外部控制”向“自主控制”转型,这是科技创新型加
强企业内部控制的关键路径。人才是科技创新型企业的核心资源与关键要素,而对于科技创新型企
业来说,优质的人才往往具有独特的个性,对于管理的认知也存在极大的差异,如何真正使得科技
创新型企业的内控文化更年轻、更前沿、更科学,这是科技创新型企业必须考虑的问题。笔者认
为,科技创新型企业的内控管理要减少管理层次、压缩职能部门和机构,使企业的决策层和操作层
之间的中间管理层级尽可能减少,以便使企业快速地将决策权延至企业研发、生产、营销的最前
线,从而提高企业内控效率,逐步激发企业内部员工内部控制的自主性。与此同时,为了确保内控
制度的可靠性,适度融合垂直化管理程序,确保内部控制的落实和执行到位,真正实现内控为科技
创新型企业的发展赋能。
总而言之,内部控制强化是科技创新型企业适应复杂多变的宏微观环境、应对瞬息万变的行业
竞争、把握日新月异的技术变革的必然举措。由于内部控制可以有效降低科技创新型企业的研发风
险、有力弥补科技创新型企业的制度缺陷,因此科技创新型企业必须要高度重视内部控制的强化。
由于科技创新型企业与传统企业的经营特征迥异,且应变性要求高,故而笔者建议科技创新型企业
要将内部控制逐步向制度化、智能化、信息化、数字化、扁平化、垂直化等 6个方向发展,实现多
措并举、多维协同,最终提升自身内部控制的效率与效能,真正实现内部控制对企业发展的高效赋
能。
工业控制信息安全企业内部控制策略研究报告
52
第六节 软件企业内部控制研究
随着现代化信息技术的不断发展和进步,我国软件企业得到一定的发展,各软件企业开始重视
自身的内部控制工作。但就目前情况来看,很多软件企业在内部控制工作的过程中都存在些许问
题。本文对其中存在的问题进行分析,并提出相应对策,对软件企业内部控制工作的开展有一定的
借鉴意义。
一、我国软件企业现状分析
现阶段,我国软件企业大部分规模较小,人才结构也不够合理。2016年,我国软件企业资本
规模在 1000万以内的占比约为 75%,在 5000万以上的占比约为 6%。同时,在 2016年,我国软件
研发人员只有 2第五节万人,50人以内的软件企业占比约为 65%,50~200人的软件企业占比约为
20%,而 1000人以上的软件企业更少,这些都影响着我国软件企业的发展[1]。在人才结构方面,
很多软件企业由于内部控制体系不完善,人才流失现象较为严重,企业内编程人才较少,软件开发
项目的管理人员、市场开发人员十分匮乏。另外,有些软件处于初期开发阶段,但是企业雇用了较
多的程序人员,这增大了企业投入的人力成本,影响了企业的长远发展。
二、软件企业在内部控制工作中存在的问题
(一)内部控制制度不完善
就目前情况来看,很多软件企业的内部控制制度都存在些许缺陷,制度的可行性和系统性不
强。有些软件企业虽然制定了自己的内部控制制度,但是该制度与企业的各项业务之间并没有实现
较为有效的融合,制度的针对性不强,制度的可行性也不高。对软件企业而言,内部控制制度的不
完善不仅会影响企业各项经济活动的开展,也会影响相关项目活动的预算管理工作。在这种情况
下,企业各项工作在实施过程中缺少较为有效的保障,企业的风险应对能力也会逐渐下降[2]。与
此同时,有些软件企业在内部控制的過程中,对资金流程的管控也不够严格,相关信息传递不够及
时,这会在一定程度上影响资金使用和资金审批工作的科学性和严谨性。另外,有些企业在开展内
部控制工作时,并没有明确资金控制目标,资金得不到合理的使用。企业管理者在资金管控方面也
没有进行详细的调研,有关大型经济活动的资金审批工作不够严谨,整个资金管控流程不够规范,
财务管理人员也没有担负起管理责任,这也是软件企业内部控制工作不到位的具体体现。
(二)人力资源没有得到有效的控制
第一,有些软件企业受传统观念影响较深,认为只有高技术人才才能胜任软件开发工作,因此
在人才招聘过程中,对软件人才的要求极为严苛,人才录用的门槛极高,导致企业内部高素质软件
工业控制信息安全企业内部控制策略研究报告
53
研发人员较少,企业人力资源的构成缺乏科学性。第二,有些软件企业的职称体系构成也比较单
一,再加上单位考核工作和薪酬分配的影响,企业人才流失现象较为严重,这对企业的后续发展是
十分不利的。第三,在人力资源计划方面,有些软件企业缺乏科学性,在人力资源控制方面没有确
定较为完善的控制内容,企业的内部控制水平极易受到人力资源体系的影响。
(三)内部控制审计监督机制存在缺陷
有些软件企业在内部控制过程中存在审计监督机制不完善的情况,这主要体现在以下两个方
面。第一,软件企业在发展过程中忽略了各部门之间的制衡关系,有些部门在开展部分工作时受联
动部门工作的影响较大,若联动部门相关工作出现问题,则本部门的工作难度会增加,相应工作的
质量和效果得不到保证。第二,企业内部审计体系存在缺陷。在内部控制实施的过程中,其对内部
审计工作的依赖性较高,但就软件企业的实际情况来看,设立专门的审计部门的软件企业的数量并
不多。而且在设立了审计部门的软件企业中,有些审计部门并没有发挥出自身的作用,部分审计部
门甚至是有名无实的。企业的内部审计工作成为了一种形式,审计部门的监督和审计职能并没有发
挥出来,内部控制工作的实施效果也难以得到保证。
三、软件企业加强内部控制工作的对策
(一)完善内部控制制度
在软件企业的内部控制工作中,完善的内部控制制度是其提升自身内部控制水平的重要助力,
因此企业必须对自身现行的内部控制制度进行改进和完善。在此过程中,软件企业要从自身的实际
出发,将企业内部控制规范及配套指引文件等作为完善内部控制制度的主要依据,制定更适合软件
企业这类计算机技术企业发展的内部控制制度[3]。与此同时,软件企业还要对内部控制工作进行
宣传,加深企业全体员工对内部控制工作的认识,在企业内部创造良好的内部控制环境,明确各个
部门的职责和权力,提高员工参与内部控制工作的积极性。在此基础上,软件企业还要对内部控制
目标进行明确,并根据内部控制基本原则进一步对内部控制制度进行完善,保证所选取的关键控制
点可以达到内部控制的目的。另外,软件企业要加强资金流的控制工作,并对与资金管控相关的内
部控制制度进行调整和完善,制定出较为细致、具体的资金控制细则,明确相关部门的职责和权
限,规范各项工作流程及行为。这样一来,软件企业的工作人员在开展内部控制工作时也有相应的
制度作为支撑,能够做到有据可依、有章可循。
(二)健全人力资源机制
对于软件企业而言,完善的人力资源机制不仅可以促进企业经营战略目标的实现,也可以使企
业管理层更好地了解企业当前的人力资源情况,更好地对内部控制工作进行安排和调整。第一,软
工业控制信息安全企业内部控制策略研究报告
54
件企业要对现有的员工考核标准进行改进和完善,提高其科学性和合理性。在考核方法上,软件企
业可以改变传统的直线式考核方法,分别从行业体系和技术体系两个方面对员工进行考核,这不仅
可以考核员工的行业水平,还可以考核员工的技术,可以更好地发挥员工考核工作的作用。与此同
时,企业还要将考核结果与员工的薪酬福利直接挂钩,保证工作的质量和数量与员工个人获得的薪
酬待遇是成正比的,这可以在很大程度上提高员工工作的积极性。第二,软件企业可以在招聘人才
时采用金字塔式的招聘方式。在招聘人才时,软件企业要有较为长远的眼光,不能只关注高级专业
的软件人才,还应该招聘一些综合素质和专业水平较高的博士生和研究生,同时也要加大对本科生
的招聘力度,丰富企业的人才储备。第三,软件企业要制定科学合理的奖励机制。对在内部控制工
作中贡献较大的员工予以适当的奖励,对一些没有完成工作的员工进行相应的处罚,保证内部控制
工作实施的有效性。
(三)用外部监督弥补内部监督的不足
软件企业在发展过程中可以引进外部监督弥补自身内部监督工作的不足。对于软件企业而言,
合理引入外部审计监督可以在一定程度上减少内部审计不完善对企业经营管理工作造成的影响,降
低企业经营的风险。虽然相较于内部监督,外部监督的时效性不高,但是其能弥补企业内部控制工
作中难以避免的独立性的缺失[4]。企业可以通过开展外部监督工作,定期对自身的内部控制工作
进行梳理和分析,以便发现其中存在的问题,并及时解决,尽量降低经营风险。另外,外部监督的
引入也可以为企业内部审计等控制工作的开展提供更多可参考的建议,企业管理者在开展相关的决
策活动时可以将内部审计部门和外部监督机构的建议结合起来,更加全面科学地对自身的经营管理
情况进行分析。在此过程中,软件企业要选择合法合规、专业性较强的外部监督机构或组织,并在
外部监督工作实施的过程中严格把控各项工作,在条件允许的情况下派专业人员跟进工作,保证外
部监督工作的质量和效果,同时企业各部门也要积极配合外部监督机构或组织的工作,共同促进企
业监督审计水平的提升。
本文以软件企业内部控制为中心,首先简述我国软件企业现状,然后提出其在内部控制工作中
存在的问题,最后提出相应的对策,旨在为软件企业内部控制工作的开展提供帮助。
第七节 企业内部控制体系构建及实践
内控是企业为了达成运营管理目标所采取的一系列的如成本管理、财务管理、预算管理等手段
和举措的总称,在企业战略发展过程中发挥着积极作用。构建和完善内控管理体系是企业实现内控
价值最大化的必然路径,因此,企业就必须将内控体系构建作为落实内控的重点内容。基于此,本
文将通过四部分内容展开分析论述,仅供参考。
工业控制信息安全企业内部控制策略研究报告
55
一、软件企业内部控制概述
(一)软件企业内控特征
软件企业内控特征可以从以下三方面内容具体描述:一是软件企业内控的不可控性更强。软件
企业实施内控最根本的目的是以落实各项投资决策为基础,为企业各经济业务的经济性和效率性提
供保障,从而助力企业达成经营目标。无形性,是软件企业产品的突出特性,只能通过光盘等载体
呈现,企业在管理过程中无法就相关软件产品使用实物控制方法。二是安全性是软件企业实施内控
管理的侧重点。软件企业内控的核心内容是确保各项经济资源的完整性和安全性,企业在构建内控
体系中,应加强核心技术、软件等的风险管理。一方面,产品研发环节会涉及到诸多研发人员与技
术人员,企业应注重研发全过程的安全监管;另一方面,软件企业研发的产品具有加强的共享性与
可复制性,产品核心技术的关键性凸显,一旦出现产品复制、核心技术泄露等问题会给企业带来极
大损失。三是更加侧重于人员管控。软件企业隶属于知识密集型企业,研发人员费用在企业产品研
发环节总投入资金中占据较大比例,且研发人员个人素养、能力等对产品有着直接影响。长期性,
是软件企业研发环节和投资环节的显著特征,在研发过程中一旦出现人才流失,亦或是核心人员转
投竞争对手现象,直接会导致技术流失,甚至是商业泄密问题。除此以外,复合型人才缺失,即既
具备较强的专业素养和技能,又有着较好的道德理念和职业操守的人才不足,是软件行业存在的普
遍问题,因此,企业需要注重复合型人才培训,以降低因人才流失所出现的经济损失。
(二)软件企业内部控制体系构建应遵循的基本原则
一是遵纪守法原则。软件企业应立足于企业实际发展现状,严格按照我国现行的相关法规条文
以及企业现有规章制度全面落实内部控制。二是成本效益原则。盈利是软件企业的核心目标,因
此,企业在落实内部控制的过程中必须坚持成本效益原则,充分考量内控的投入产出比,只有当内
控实施成本远低于内控产出效益才可以有序开展内控工作,否则就需要进行相应的调整与改变。三
是全面监控、重点排查原则。内控是一个综合性的企业内部管理模式,在实施过程中对企业各部
门、全体员工、各生产经营环节的配合性有着较高要求,因此,企业需要全面管控内控实施,强化
各部门、各员工之间的配合。同时,企业需要针对内控实施过程中存在的问题和瓶颈针对性的进行
改进,在降低内控实施成本的基础上提升内控实施质量。四是相互牵制原则。软件企业在内控实施
过程中需要确保各主体在充分发挥职能作用和最大化行使权利的基础上,在内部形成相互监督的氛
围和机制,有效规避贪污腐败等违法乱纪现象。
二、软件企业加强内部控制体系构建的重要性
(一)提高财务管理效率
工业控制信息安全企业内部控制策略研究报告
56
持续性是软件企业研发环节的明显特征,离不开大量的资金支出,因此,在企业技术研究、产
品研发、设计实施等环节中,财务管理活动如资金筹资、资金配置等发挥着不可替代的重要作用。
软件企业需要构建完善的内控体系,实现内部财务资源的最优化配置,不断提升企业各项资产、资
源的使用效率,增强企业资金使用的合法性、合规性和合理性,为生产经营管理过程中的各项会计
信息的安全性和精准性提供保障,从而助力企业提升财务管理效率。
(二)增强企业应对风险的意识与能力
风险管理是软件企业内控实施过程中的关键环节之一,软件企业需要在现有内控体系的基础上
构建科学的风险评估系统,实现权利的科学制衡和有效监管,有效杜绝权利滥用现象滋生,为企业
维持良好经营环境奠定基础。完善的内控体系是软件企业降低投资决策盲目性以及重大经营风险不
确定性的重要依据,有利于企业实现降本增益,是企业应对市场竞争风险、客户风险和新技术研发
风险、产品升级风险等的重要保障。
三、软件企业内部控制体系构建步骤
(一)明确控制目标
内控目标是指软件企业实施内控应完成的任务或者是应达到的标准,是促使企业各部门工作效
用充分发挥的重要保障。内控目标既要满足企业各管理活动实际开展需求,同时又是企业构建内控
系统以及评价内控有效性的重要依据。
(二)梳理控制流程
控制流程是贯穿于软件企业各经济业务活动全过程的重要内容,当企业业务流程出现不足与问
题时,企业应以现有运营目标为基础重组业务流程,再以重组后的业务流程为依据制定可行性较强
的控制流程。
(三)识别控制环节,制定控制措施
软件企业应全过程监管内控实施,及时、精准识别内控活动开展中存在的偏差与问题环节,针
对性的制定和落实整改策略。同时,针对内控各控制点的效用制定相关的控制措施,以确保各控制
点效用的最大化发挥与体现。
四、软件企业内部控制体系的构建策略
工业控制信息安全企业内部控制策略研究报告
57
(一)正确认知内控管理的重要性,建立健全内部管理体系
软件企业管理层应提高对内控管理的重视程度,明确内控管理对企业整体发展的重要作用,树
立正确内控管理理念,并不断提升自身内控管理技能。同时,管理层应加大内控管理内部宣传力
度,如定期展开交流大会、内网宣传,并建立完善的奖惩机制,激励员工自发有效参与内控管理工
作中,为企业构建内控体系营造良好环境。
软件企业可以从以下三点健全内部管理体系:第一,软件企业应在内部设立独立的、完善的内
控组织体系、细化岗位权责界限、制定清晰的工作目标、完善约束机制等。同时,由相关部门制定
条例清晰的内控实施规划,上交至董事会审批,董事会审批通过后会指定有关责任部门并授予相应
权利开始实施。第二,基于内外部发展环境变化和企业经营管理需求健全和调整内控制度,并编制
内控手册。软件企业内部控制制度应包含成本管理机制、预算管理机制、财务审批机制、风险管理
机制等多个内容,能够对企业内控行为进行有效的规范和约束。第三,软件企业应建立完善的自我
评价机制。以董事会授权批准为前提,审批部门严格按照企业制定的内控规划和评价标准,在日常
监管的基础上,评价企业年度项目收益、内控实施成效等。同时,还应制定相应的奖惩机制,对操
作不规范以及造成企业出现经济损失的部门和个人予以惩罚,对操作规范、执行效率较高的部门和
个人予以奖励。
(二)加强企业文化建设,加大人才培养力度
企业文化是软件企业经营管理过程中不可缺少的重要要素,良好的企业文化能够助力企业提升
整体管理水平,营造良好工作氛围以及塑造正向的企业精神,因此,软件企业必须将培育企业文化
纳入内控体系构建环节。首先,软件企业管理者应正确、全面认知和了解建设企业文化的必要性,
将建设和完善企业文化作为保证企业有序良性发展的基础条件,刚柔并济的开展管理活动。其次,
软件企业需要持续丰富和拓展企业文化建设内容。具体来讲,软件企业既需要重视如员工凝聚力和
向心力等一般企业文化的培育,又需要重视风险文化的建设,通过加强风险文化建设促使企业员工
树立正确的风险防范理念,增强员工风险防控意识和技能。
人才个人素养直接决定着软件企业内控实施效率,因此,企业需要加大人才培养力度,培养更
多的高精尖与复合型人才。一是软件企业应优化和调整人才选拔机制。在人才选拔过程中,既需要
重视人才学历,又需要重视人才的整体素养和综合表现,引进高素养人才优化现有人才结构,不断
提高管理型人才在整体人才中的占比。二是完善员工培育机制。员工个人素养在一定程度上直接影
响着软件企业内控体系构建成效,因此,企业需要建立健全人才培训机制,定期在内部开展学习培
训专项活动,提升员工综合素养,为企业长远发展奠定人才基石。最后,软件企业需要通过完善奖
惩机制、福利机制等手段增强内部凝聚力,降低人员流动性,为企业提高内控效果奠定基础。
工业控制信息安全企业内部控制策略研究报告
58
(三)完善治理机制,落实预算管理
完善的内部治理机制是软件企业杜绝权责不明问题滋生、确保内控体系构建效果的有效途径,
因此,优化和完善内部治理结构已经成为软件企业强化内控体系构建中不可缺少的环节之一。一方
面,软件企业应健全董事会职能,以企业实际发展需求为出发点和着手点,以《公司法》为依据健
全董事会职能,保证董事会权利的正常实行。另一方面,软件企业需要加强董事会的内部组织建设
力度,优化董事会内部组织架构设置,充分发挥董事会职能,从而提升董事会在企业现行治理结构
中的地位。除此以外,软件企业还应持续完善监事会职能,确保其在经营决策中充分发挥监督作
用,为企业增强信息的公开性和透明度提供保障。
预算管理是内控管理体系中的重要模式之一,企业应按照现行的政策条文以及现有的规章制度
持续完善和调整预算规划,其中,董事会承担预算执行权责,总经理承担组织预算执行权责。现阶
段,在预算管理实施过程中,部分软件企业在内部设立了独立的预算管理委员会,专门负责编制预
算规划、组织预算执行、加强预算管理以及全过程动态监管预算执行等。
(四)加强人资管理,强化人力资本控制
核心技术和人才管理是软件企业构建和完善内控管理体系的核心环节,企业既要不断提升核心
技术、资源使用的安全性,又要持续增强人资控制能力。创造性高、自主意识鲜明、工作成果难以
测量等是软件企业人资普遍存在的问题,因此,管理层在设计和完善人资控制体系中,应立足于企
业实际发展需求,以帮助员工培养正确的思想观念、增强目标执行力、增长知识阅历以及激发员工
潜力为目的,通过现代化管理方法如岗位分析、职业生涯规划,实现各岗位人员的最优化配置,从
而满足企业实际发展需要。在此基础上,软件企业还应建立健全绩效评价机制和激励约束机制,通
过 K P I关键指标评价法,针对项目和相关员工进行公正、公开、客观的评价,并以评价结果为依
据落实奖惩机制。企业在人力资源成本管理过程中,一方面需要通过建立“资金池”实现人资的分
类管理,主要针对于高精尖人才,研发项目结束后这部分人才就会退回资源池,从而降低人力成
本。另一方面,软件企业需建立动态数据库,通过动态数据库实现对技术人员如工作表现的全过程
监管,全面深入掌握人资变动现状,提升企业人才流失风险防范能力,降低因人才流失而带来的经
济损失。
(五)开展内审监督工作,加强风险评估
软件企业应在内部设立独立的审计部门,并赋予审计部门相应权利,健全内审监督机制,严格
按照内审监督机制相关要求定期在内部就内控实施现状进行审计。并动态化监管内控实施全过程,
充分发挥审计监察职能,及时发现内控实施过程中存在的缺陷和薄弱环节,并督促有关部门和员工
展开整改,为内控体系的有序运行奠定基础。为了达成内控目标,软件企业应在内控实施过程中精
工业控制信息安全企业内部控制策略研究报告
59
准识别各类风险、展开合理分析并制定科学的风险应对策略,企业不仅需要识别一般企业发展中需
要面临的风险,更要识别软件企业可能面临的不同于其他企业的风险。技术开发、产品研发、产品
升级、信息安全、核心技术泄露、核心技术人员流失等风险是软件行业的特有风险,因此,软件企
业应在内部设立独立的、专业化的风险评估小组,健全风险识别机制、风险分析机制、风险评估机
制和风险应对机制。在风险评估过程中,企业需要制定明确的业务活动控制目标,立足于内外部环
境变化,梳理业务活动控制过程中的各类不确定因素。在结合自身业务特点的基础上,精准识别和
预测所面临或即将面临的风险类型,分析风险发生的概率并预测风险发生后所造成的影响,将风险
控制在企业可承受的范围之内。
(六)加强信息化建设,健全信息沟通机制
信息技术的快速发展为软件企业加快内控体系构建进程以及提升内控体系构建成效提供依据,
软件企业需要积极利用信息技术,立足于企业整体,有机整合既定发展规划、日常经营管理,从而
构建完善的信息沟通机制,确保内部信息数据顺畅沟通,实现下情上达。同时,企业应健全信息反
馈机制,员工通过信息反馈渠道及时将日常工作中存在的问题,亦或是突发情况及时反馈至相关管
理人员和有关部门,为企业针对性的解决问题或者是及时整改,以应对突发情况提供依据,减少不
必要的经济损失。除此以外,软件企业在产品研发环节会投入大量的资金,且技术服务和销售人员
的工作流动性较大,基于此,充分发挥信息技术的作用与优势,加快业财融合一体化进程,推动企
业财务管理转型,为企业实现长效可持续发展发挥重要助力。
总而言之,信息技术的快速革新为软件企业带来新的发展机遇,而随着市场竞争环境的激烈化
发展,内部控制对企业发展的作用愈发凸显,越来越多的企业认识到内控管理的重要性。软件企业
作为我国知识密集型企业,在构建内控管理体系中可以从以下几方面着手:正确认知构建内控体系
以及落实内控管理的重要性,基于现有管理体系,结合内外部发展环境变化和企业发展需求进行优
化与完善,为企业开展内控工作营造良好氛围;注重企业文化建设,增强企业凝聚力和向心力,减
少核心人才流失,同时加大人才培育力度,降低因核心人才流失而造成的影响;完善内部治理结
构,全面落实预算管理,为企业实现资源的最优化配置奠定基础;加强人资管理,提升人资管理效
率,强化人力资本管控;健全内审监督组织机构和内审监督机制,充分发挥内审检查职能,并健全
风险评估机制,增强企业风险防控能力;积极利用信息技术推动内控信息化建设,健全信息沟通机
制,提升内部信息沟通成效,助力企业推动业财融合一体化,为企业实现长效稳健发展夯实基础。
第八节 软件企业财务内部控制存在的问题及对策探究
软件企业作为社会经济发展进程中的必然产物,也是当前我国倡导“节约、绿色”理念下成立
工业控制信息安全企业内部控制策略研究报告
60
的绿色型产业。对于软件企业来说,主要是向社会提供信息化服务,例如;软件研发、信息平台
等,有助于提升企业经济效益。软件企业发展有助于加强我国经济实力,促进社会经济实现稳定运
行。随着信息化发展,我国软件企业也迎来了全新的机遇与拓展空间。但是就现状而言,软件企业
还需就财务内控存在的问题进行梳理,提出改善措施,从而实现可持续发展。
一、软件企业财务内部控制基本概述
在软件企业中,财务内部控制作为企业内部控制管理具体表现及关键内容,对企业发展具有重
要作用,但是多数软件企业精力集中在产品研发领域,忽视了财务内部控制的重要性及价值。在一
般情况下,软件企业财务内部控制管理工作主要涉及三点内容。
首先,确定业务运行的各节点实操可控性、以及入账的及时性。充分明确业务各方所需承担职
责,结合企业实际情况重新构建与产品匹配度高的内部控制制度。设计合理规范的审批流程,确保
企业各运营环节有据可依;其次,根据软件企业产品分配现有资产,定期审核各项资产的运行情
况,实时掌控具体成本支出,防止出现资产采购重叠、管理不到位等情况,加剧成本支出。同时,
促使职工树立正确成本意识,注重信息的安全性,以防信息泄露事件对企业造成的严重影响;最
后,软件企业财务部门就现有产品进行全面性了解掌握,与各部门形成良好关系,充分明确职工自
身职责及职权,促进企业各部门、各职工之间的协作性,帮助企业财务制度尽快实现普及,并且根
据最新业务特征作出适当调整,从而有助于减少企业成本支出,并且基于企业业务特征,实现长期
性的内部控制管理工作。
二、软件企业财务内部控制存在的问题
(一)现行组织结构不合理
目前,我国大多数软件企业在经营发展过程中,将精力集中于自身软件研发方面,忽视其他各
项管理工作,特别是财务管控工作落实不到位情况很严重。面对这一情况,软件企业财务管理人员
对财务内控缺乏重视,忽视工作基础要求,并未设置科学合理的组织管理机构。软件企业在经营
中,个人管控流程有待完善,加之企业中所涉部门数量较多,尤其是财务管理部门职责划分不清
晰,一旦出现问题,使各部门相互推卸责任,甚至出现恶性竞争现象。另外,当前多数软件企业在
开展财务管理工作过程中,并未结合实际需求,完成相应监管体制的建设及应用工作。基于这一形
势下,软件企业在制定决策后,实操环节中没有严格遵守相关流程进行管控,长此以往,则会不断
降低软件企业财务管控水平。
(二)财务内部控制体系有待完善
工业控制信息安全企业内部控制策略研究报告
61
财务内部控制向来是软件企业经营发展过程中的重点内容,更是核心管理内容所在。只有确保
财务内部控制管控水平持续提升,才能促进软件企业日常发展的稳定性及持续性。但是,就当前软
件企业财务内部控制实行现状来看,财务内部控制管理体系有待完善是极为显著的问题之一,从而
无法向内部控制工作开展提供有力支撑。究其根本,造成这一情况的原则是企业财务管理人员缺少
正确良好的业务风险理念,并且对企业现有产品及实际运营流程缺少全面了解。另外,从业务创新
层面来讲,企业财务部门参与度不足,而业务管理人员缺少相关专业经验,导致在企业产品设计、
运营流程制定环节中出现财务有效性严重降低的情况,面对这一形势,无疑会加剧财务风险的发
生。
(三)风险管控及监管机制不完善
基于软件企业自身具有的特殊性,极易出现产品剽窃事件发生,软件企业风险管控机制与监管
机制缺乏完善性,进而则无法保障研发产品的安全性及保密性。目前,软件企业财务风险管控水平
较低,财务人员未形成良好的风险防范理念,在财务管理中面对的风险均无法第一时间抵御应对。
与此同时,软件企业监管人才的紧缺也是一个重要问题,造成企业监管力度持续降低、弱化。多数
软件企业内并未构建全面的风险评估机制,进而影响不同周期下行风险的评估及分析工作效率及结
果。
(四)信息化建设不到位
软件企业作为现代新型化产业,对推动我国高新技术发展具有重要贡献。随着信息化技术的发
展进步,企业运营无疑对现代化技术手段提出更高要求及标准。软件企业在经营管理中部分机制运
行无法达到理想效果,究其根本在于企业现行财务管理体系有待完善,同时现行体系的实际成效与
预期效果偏差较大。软件企业想要将信息化引进财务内部控制工作,相应人力、物力资源的需求力
度不断加剧,但当前软件企业对信息化建设工作有所忽视,将精力集中于利益创造,导致信息化技
术使用效益不明显,而软件企业自身优势及特殊性也被隐藏,并未充分发挥其价值。
三、软件企业财务内部控制优化措施
(一)完善优化企业内部组织结构
随着信息化时代到来及全面覆盖,部分高新技术应用广泛度及深度都有很大提升,在我国软件
企业中的应用也日渐普遍。软件企业需紧密结合当前時代发展需求,灵活合理的应用现有经营方
式。在实际实施中,为了确保软件企业实现稳定、可持续发展目标,务必从根本出着手,进一步完
善优化企业现行管理结构框架。基于此,科学合理分配企业各部门的职责、职权,同时企业需根据
自身经营现状,认识固有管理模式存在的局限点、滞后点,以新时代发展需求为基准重新提出发展
工业控制信息安全企业内部控制策略研究报告
62
要求。实践过程中,还需不断引进使用更为先进、匹配度高的现代管理技术手段,进而推动软件企
业实现稳定发展。这一过程中,完善内部责任也是必要措施,保障企业各部门与职工形成相互监管
模式,才能提升企业现有组织结构的稳定性、有效性。
(二)完善财务内部控制管理体系
就软件企业财务内部控制管理工作落实情况进行全面分析时,明显可见我国多数软件企业在编
制、执行财务内部控制体系时,仅处于基础设计阶段中。但是,为了实现进一步推动软件企业创新
发展,势必需要有机结合财务内部控制执行现状,更为科学合理地编制内部控制内容。在重新定位
过程中,除了需要对现有内容作出适当调整改善以外,还需重新衡量、分析各项运行机制,基于
此,提出具有针对性、有效性的管控措施。软件企业在实际经营发展过程中,应当根据实际发展要
求,以长远目光看待,将财务内部控制管理工作视为一项必不可少的管理活动实行,这样不仅能够
随着实际情况产生的变化,及时对财务管理定位作出适当调整,而且有利于建立有效管理体系,且
充分满足现代化软件企业的发展要求。
(三)加强风险防范意识,构建监管机制
软件企业需构建规范、科学的风险管控机制,在项目正式建设前阶段全面完成市场实际调研与
预算工作,就合作对象资金、信誉值等要素展开全面性评估,将评估结果进行汇总设计有效合理的
項目建设计划。软件企业需加强合同内控管理力度,深入了解掌握合同不同流程中的要求,创建全
过程的风险管控体系。最大程度地发挥出内外审计在企业财务风险防范及监管工作中的作用,确保
审计独立运行。进一步加强企业职工的风险防范意识,及时做好研发产品相关手续办理工作,完善
企业知识产权机制,防范企业自身权限受到损害,从而有助于进一步提升软件企业风险管控水平。
(四)加强信息化建设
软件企业需根据自身现状,不断完善信息化软件,建立信息化建设管理系统,旨在确保财务信
息的时效性、可靠性。这一基础上,软件企业可考虑是否引进辅助性系统,来提高企业财务内部控
制实施效率。软件企业在财务信息化系统创建中,需统一性规划、管理现有相关资源,设立财务共
享中心,促进软件企业各部门协作性。软件企业通过有机结合财务管理与内部控制两项工作,有效
促进财务内部控制建设。软件企业同时还需注重信息安全管理及后期维护工作的开展,以战略发展
为切入点,将信息管理部门与财务部门达成合作模式,主要负责评估、维护系统的日常运行,进而
财务管理信息化系统的服务功能。另外,软件企业还应当定期组织财务信息系统的专项学习活动,
创建奖惩机制,不断激发职工主动性与积极性,提升企业经济效益[4]。
工业控制信息安全企业内部控制策略研究报告
63
(五)完善人员管控制度与奖惩措施
第一,当前我国企业大多具有委托代理关系,首先针对该项关系提出相应管控措施,形成多层
级管控措施,改善优化企业治理结构。其次建立完善有效的人力资源内控机制,在制度建设过程
中,需强调工作人员的管控。内部控制制度的实施效果与内控职工素养息息相关,为此需形成相应
激励机制,并不断完善考核监管机制来处理管理过程中的问题及不当行为。
第二,利用内部审计机构开展评估工作。内部审计部门各项动态化评价模式,主要针对企业各
项工作展开,评估内控有效性。内部审计还需对不同层级管理活动进行审计,将最终结果交由最高
管理层,作为奖惩实施的参考依据。
综上所述,基于 21世纪不同财务状况的出现,不仅对投资者造成损失,而且对资本市场运行
产生影响,由此可见内部控制重要性愈发显著,并出台了相应法律法规。随着信息化时代进步,软
件企业规模日渐扩大。不同于传统企业,软件企业以知识作为基础内容,将技术、现行管理模式、
创新意识因素作为市场竞争主要因素。为此,软件企业亟需完善财务内部控制,从而保障相关信息
的有效性,提升现有资产的安全性。
第四章 工业控制信息安全企业《内部控制策略》制定手册
在明确“内部控制策略”可执行的情况下,我们首先要动员和组织相关战略制定成员,进行学
习和研究,并做好制定前的准备工作,再根据战略组成和制定流程,做出科学的具体方案。
第一节 动员与组织
在决定制定“内部控制策略”后,就需要开始动员和组织相关人员进行战略规划。设计战略规
划是企业战略规划管理中最为基础的内容,企业必须邀请具有丰富战略规划设计经验且对行业发展
趋势有着深刻了解的专业人员,同时还应抽调对企业实际情况熟悉的一线工作人员,共同组成一支
具有丰富经验、专业互补的战略规划设计小组负责设计战略规划。同时,企业应为小组提供尽可能
齐全的资料,使小组得以综合考虑各种资料对企业外部机遇与挑战进行 SWOT分析,进而有效提升
企业战略规划的科学性和准确性。
一、动员
对于任何一个企业而言,要想真正有效地开展高水平的战略规划管理存在着很大的难度,这就
工业控制信息安全企业内部控制策略研究报告
64
要求企业必须重视提升自身的战略规划管理能力,才可以更好地促进企业的发展。一方面需要不断
加强理论研究,不断丰富战略规划管理研究成果,为企业战略规划管理提供理论支撑。另一方面,
应重视战略规划管理团队的建设工作,吸收各种优秀人才参与战略规划管理,进而为企业战略规划
管理提供团队支撑。
部门
序
号
推动事项 推动要点
责任
人
推动时间
备
注
1
决定在公司推行
“内部控制策
略”
召开专门会议就推行“内部控制
策略”作出决定
2
成立公司“内部
控制策略”建设
领导和制定小组
确定公司“内部控制策略”建设
小组的人员及分工。公司应当在
设立战略委员会,或指定相关机
构负责公司发展战略管理工作,
履行相应职责。
动员
3
进行建立“内部
控制策略”思想
动员
召开公司建立“内部控制策略”
思想动员会
二、组织
战略管理者是企业战略管理的主体,他们是企业内外环境的分析者、企业战略的制定者、战略
实施的领导者和组织者、战略实施过程的监督者和结果的评价者。因此,战略管理者的构成、各自
的参与方式、程度以及相互关系等因素,都对企业成功地实施战略管理有着重大的影响。
由于战略管理者构成了企业战略管理的核心体系并直接参与到企业内外环境的分析的整个过程
中,因此,企业的战略管理者既是分析者又是制定者,既是领导者也是组织者。一般企业的管理层
由公司层管理者、事业层管理者和运营层管理者这三个主要的管理阶层构成。而战略管理者涵盖了
企业这三个层次的管理者。通常战略管理者包括企业的董事会、高层管理者、各事业部经理、职能
部门管理者以及专职计划人员。
成员 职责
(一)董事会 从战略管理的角度,董事会具有三项主要的任务:
(1)提出企业的使命,为企业高层管理者划定战略选择的具体范围。
(2)审批高层管理者的建议、决策、行动,为他们提出忠告和建议,规划出
具体的改进措施。
(3)董事会通过它的委员会监视企业内外环境的变化,注意这些变化将会给
企业造成的影响。
(二)高层管理
者
企业高层管理者负责制定和管理战略规划过程。为了确定企业的使命,建立企
业的目标,制定企业的战略和政策,企业高层管理者必须高瞻远瞩。企业各层
工业控制信息安全企业内部控制策略研究报告
65
管理者分配在企业战略规划上的时间因其在企业内的地位不同而异。
公司层管理者由企业的董事会董事、执行总裁、高级总裁、高级经理和高级顾
问组成。
(三)专职计划
人员
当企业高层管理人员无法应付过于繁重的战略指定工作的时候,通常将其中一
部分工作交给一个由高层管理人员组成的计划委员会,或由一名副总经理负责
的专门的战略计划或规划部门。这种专职的计划人员主要负责收集和分析各种
数据,提出和评价各种可行的战略选择。
第二节 学习与研究
一、学习方案
部门
序
号
推动事项 推动要点
责任
人
推动时间
备
注
1
组织相关人员参
加“内部控制策
略”班学习
领导小组和公司主要干部系统学
习“内部控制策略”的意义与方
法
2
组织员工需求调
查
组织员工满意度调查和需求调查
学习
与准
备
3
组织执行组成员
参加“深化班”
学习
执行员核心成员参加“深化班”
学习,草拟方案
二、研究方案
构建闭环的战略研究体系,一是要开展形势分析,明确“我们在哪里”;二是制定战略策略目
标,明确“我们要去哪里”;三是推动战略实施,明确我们怎么去,包括战略规划与滚动规划的制
定、年度计划的制定、战略实施的手段等;四是提升战略实施的保障水平,确保战略实施效果。
也可以分领域、分区域、分业务持续深入开展研究,形成综合性、专题性研究报告,为公司指
明发展方向,为项目提供决策支持服务。
事项 建议
研究机制 构建了以公司战略发展中心团队为核心,规划计划、财务、企业管理、人力资源等多部
门参加,部门内部多岗位参与,外部支持机构协助的研究机制。
研究团队 形成了由战略发展中心+各部门组成的战略研究团队,充分发挥市场、研发、运营、管
工业控制信息安全企业内部控制策略研究报告
66
理、商务、后勤等多专业结合的优势,同时与项目公司、研究支持部门、总部机关各部
门充分合作,做到跟踪及时、信息充分、数据齐备、研究有据、结论靠实。
优化战略研究
组织架构
建立战略研究与管理工作机制,集中公司内外部战略研究机构及各地区和项目公司为支
持力量,深入系统开展战略研究与管理工作。
构建开放式研
究网络
加强与外部咨询公司、行业协会、政府研究部门的沟通联系,并建立合作关系,形成开
放式的研究平台,开展重大战略课题的联合研究,实现跨部门、跨学科的开放合作。
加快信息、成
果共享与成果
转化
推进基础资料信息、业务信息、战略研究成果共享,拓宽资料和信息来源,构建战略研
究与管理相关数据库,建立定期成果交流机制。形成业务战略研究成果,定期发布《战
略发展报告》《行业要览》,以及《业务战略信息参考》、热点问题专题分析等不定期
报告。
加强战略研究
队伍建设
以战略支持机构研究人员为主体,培养和打造一支战略研究的核心专家团队。通过研讨
培训、出差调研、定期交换、相互挂职等多种形式,大力培养业务战略咨询专家,巩固
和提升业务战略研究队伍水平。
第三节 制定前准备
企业发展战略规划不仅仅只是企业如何在经济市场中发展,而是涉及多方面的规划。企业发展
战略规划人员需要对其包含的内容有清晰的了解,帮助企业制定出全面的发展规划,从而推动企业
在经济市场中不断的发展。
一、制定原则
科学制定发展战略,精心设计流程,突出战略制定的广泛性、层次性和互动性,结合形势分析
找准切入点,发挥比较优势,分阶段差异化制定发展战略。
原则 建议
社会性 战略规划应充分结合外部社会环境,企业在进行战略规划的时候,不能仅仅只能对自身内
部情况进行分析,而应综合考虑包括社会因素、经济因素、文化因素、法律因素、政治因
素等外部社会环境,才可以更加精准地指导企业发展,从而促进企业的可持续发展。
科学性 科学性反映所拟定大战略符合客观规律的程度。换言之,战略是否具有科学性,应该与评
价者的偏好无关。无论是由谁来评价,只要他掌握了理性的和客观的标准,了解了企业的
实际情况以及战略拟定所依据的背景因素,都会得出相同和相似的结论来,就说明战略具
有科学性。
实践性 战略实质上是实践性的东西,而不是单纯思想性的东西。战略的实践性首先就在于它的对
策性。战略对策就是具有根本性、长远性、全局性的大对策。战略的基础是具有这三性的
深谋远虑(包括有关的理论思考),战略的落脚点则就是由此形成的战略对策及其实践。
前瞻性 前瞻性是企业发展战略的根本特性,没有前瞻性就不称其为战略。前瞻性是不能用企业当
工业控制信息安全企业内部控制策略研究报告
67
前发展轨道简单外推的方法保证的,而是需要对拟实施的企业发展战略与未来经营环境互
动结果进行分析和判断来获得。
创新性 创新不仅是保证民族始终具有源源不断的生机和活力的核心,还是提高有效性的关键,创
新的对象包括商品、用途和营销战略,创新的目的是提高消费者对商品的满意度,赋予企
业强大的综合竞争力,为市场份额的抢占奠定基础。综上,对创新创造引起重视是实现企
业可持续发展的前提,基于差异化理念所制定营销战略的有效应用,同样离不开企业的创
新和创造。
全面性 战略目标是一种整体性要求。它虽着眼于未来,但却没有抛弃现在;它虽着眼于全局,但
又不排斥局部。科学的战略目标,总是对现实利益与长远利益,局部利益与整体利益的综
合反映。科学的战略目标虽然总是概括的,但它对人们行动的要求,却又总是全面的,甚
至是相当具体的。
动态性 公司所面临的外部环境一直在变化,随着战略目标的逐步实现及调整,人力资源规划也需
要及时做出相应的调整;不能简单的将人力资源规划理解为静止的数据收集和一劳永逸、
永远不变的应用。
长远性 企业的战略规划管理主要是将利益放在未来的发展阶段,这样才是最为科学的发展措施。
企业在制定战略规划时,必须从自身长期发展目标和长期利益出发,全面分析企业内部条
件和外部环境,从而保证企业战略规划的科学性和合理性。
竞争性 在当前竞争日益激烈的现实情况下,企业只有制定出具有较强竞争性的战略规划,才可以
使企业得以从其他竞争对象中获得更多的市场资源,进而帮助企业在激烈的市场竞争中得
以立足。
全局性 企业在制定战略规划时必须坚持从全局出发,战略规划必须和国家、社会的整体发展战略
相契合,进而使企业在新形势下得以充分发展。
整体性 即企业在进行经营决策的过程中,要将企业作为一个完整的整体对待,方案的实施过程中
也要以全局的角度出发,用发展的眼观对待企业的经营决策。
实事求是 即企业的所有经营决策要以企业的实际情况为基础,要符合企业的实际需求,制定的决策
方案有实施的可能性。
保证信息的准
确性和完整性
企业的经营决策是依靠大量的经济信息为基础实现的决策的,因此掌握经济信息的准确性
和完整性是企业实现科学决策的关键。
对比选优原则 企业在进行经营决策的过程中,要广泛的对比信息,集思广益,制定出多套实施方案,并
在实施方案中择优选择。
减少副产作用
原则
企业在执行经营决策方案的过程中必定会产生一些副作用,因此企业在方案实施前要明确
执行过程中的副作用可能存在哪些,将副作用降低到最低值。
坚持民主原则 企业在制定企业经营决策过程中不能仅凭企业领导的单方面决策,要广泛的听取各专业研
究人员和专家的建议,发挥个人的智慧和力量。
二、注意事项
企业在实施战略时,应该综合考虑多方面,并结合自身实际,采取适合自己的决策,从而在市
场竞争中保持不败之地。
注意事项 分析
企业战略规划 目前,许多企业对于战略规划的制定并没有建立在对企业实际情况、行业竞争情况和社会
工业控制信息安全企业内部控制策略研究报告
68
制定较为随意 整体状况科学分析的基础之上,而是由企业拥有者或者主要管理者仅凭一些片面信息闭门
造车、凭空想象出来的,存在着很大的随意性。这就导致企业制定出来的战略规划严重偏
离于企业实际情况,这就必须使战略规划只能是停留在纸面上、口头上,难以真正将其落
到实处,充分发挥其应有的积极作用。
企业战略规划
实施不够到位
虽然战略规划已经制定出来,但是许多企业却由于各种主客观因素并没有采取有效措施全
力推进战略规划,仅仅只是将战略规划停留于规划层面,难以充分发挥其应有的积极作
用。究其根源,主要在于这些企业并没有制定出科学合理的战略规划实施方案,没有将战
略规划目标、任务进行合理分解,进而导致企业战略规划实施过程中难以到位。
企业战略规划
调整不够及时
许多企业一旦制定完战略规划之后,并没有根据战略规划环境的变化而进行及时有效的调
整,甚至错误地认为企业战略规划必须保持稳定,出于维护其权威性不应随意进行更改。
在这种情况下,很容易导致战略规划难以有效指导企业发展,甚至有可能会导致企业走向
歧途,使企业经营管理面临各种风险和隐患。
缺少消费者视
角
一般竞争战略理论主要是从企业资源和内部组织运营层面提出的理论,其推论的依据是低
成本和差异化两种活动在资源和组织上的不兼容,而没有考虑消费者对产品低价和特色需
求的分布状态。成本领先或者差异化会影响产品的价值形态,而产品的价值最终必须要经
过消费者的认可。
缺少外部协作
视角
一般竞争战略理论提出于 20 世纪 80 年代,当时业务外包尚没有盛行,因此一般竞争战略
理论主要是基于组织内部的资源配置,其视角是内部化的。但是,随着科技的发展,企业
间的分工合作越来越盛行,业务外包越来越普及,企业内的资源和组织冲突可以通过企业
间的分工合作来避免。当把企业间的业务外包,以及新科技的元素考虑在内,一般竞争战
略理论立论的基础就显得太狭隘,使该理论无法适应新时代的环境变化。
不同战略界限
不明
成本和特色是企业战略中的两个基本要素,所不同的是它们的偏重、程度和组合。在骑墙
战略可行之后,原有的成本领先和差异化之间的界定被打破,形成了一个决策的区间,界
限不明。
三、有效战略的关键点
战略的制定过程对企业来说是组织各环节进行目标一致性协调的过程,因此制定中的大量讨
论、沟通工作是非常必要的。很多企业制定了战略,但是在内部确作为高度机密,锁在柜子里或者
只有少数人知道并理解,这种做法是不可取的。现在,很多企业强调战略的透明度,强调战略制定
过程中,组织各层级的充分参与,在制定的过程中达到引领方向、规避风险、达成共识。在这里通
过头脑风暴、战略研讨会、各种宣贯学习活动等方式方法,可以使企业的战略真正做到在内部人所
共知。
另外,战略本身也是随着时间的推移而需要不断的调整变化的。很多企业习惯于制定了战略后
3到 5年内不做任何调整,结果导致战略规划与实际运营脱节,战略失去其应有的价值,是非常值
得防范的。
关键点 内容
可预期的战略
目标
战略目标是对企业战略经营活动预期取得的主要成果的期望值。战略目标的设定,同时也是企
业宗旨的展开和具体化,是企业宗旨中确认的企业经营目的、社会使命的进一步阐明和界定,
也是企业在既定的战略经营领域展开战略经营活动所要达到的水平的具体规定。
工业控制信息安全企业内部控制策略研究报告
69
建立健全战略
决策体系和责
任体系
发展战略和规划管理要实行统一领导,分层管理,子战略和规划纳入整体发展战略体系统一管
理。明确负责战略管理的工作机构,建立工作制度,配备专职工作人员,按照公司统一部署制
定发展战略和规划,子战略和规划方向、目标、行动计划要符合公司整体发展战略和规划。积
极适应新时代、新形势下业务结构复杂、多元化经营的特点,确保公司业务规划、区域规划高
效推进和有效落实;深入探索战略实施机构的一体化运行机制,组成战略实施集群,确保战略
任务的实施承载、规划指标的有效分解和战略资源的优化配置。重点在战略性新兴业务、战略
营销区域试点组建战略实施集群,探索、积累和形成可复制经验后推广应用。
做好市场的调
查、细分、定
位
实施“内部控制策略”,应该建立在科学、缜密的市场调查、市场细分和准确的市场定位基础
上。因为市场调查、市场细分和市场定位能够为企业决策者提供顾客在需要方面的差异性,准
确地把握“顾客需要什么?”在此基础上,分析满足顾客差异需要的条件,要根据企业现实和
未来的内外状况,研究企业是否具有相应的实力去满足顾客的需要。
要实施“内部控制策略”,科学,彻底的市场调研,市场细分和市场定位应成为基础。由于市
场调查,市场细分和市场定位可以为决策者提供客户在物质需求和精神需求方面的具体信息,
并准确理解客户的真实需要。基于此,企业需要分析能够满足客户差异化需求的条件,根据公
司的实际情况及其未来的内部和外部条件,研究公司是否具有适当的实力来满足客户的需求。
战略要有连续
性
任何一个战略必须要实施三至四年,否则就不算是战略,如果每年都对战略进行改变的话,就
等于是没有战略,而是跟时髦。这并不意味着你就永远一成不变,首先你要不断地寻找先进的
做法,第二总是要寻找更好的方式来实施你的战略。如果有了新的技术,那么就要问下我这家
公司如何用这个技术使我的战略变得更有效呢?如果你有一个很清晰的战略的话,实际上,变
化得速度更快,因为有战略你就会确定出优先顺序,确定出哪些是重要的。如果没有战略的
话,所有东西你都会觉得是重要的,这样哪个先做、哪个后做反而搞不清楚了。
环境适应性 差异化战略作为一种战略,首先是寻求对环境的适应而存在的。理性的分析技术是基于环境的
变量,战略的核心在于对环境的适应,战略能够使组织通过确定外部环境中的机会与威胁,获
得组织与环境的协同与适应。
竞争位势与定
位
差异化战略是分析企业的竞争位势基础上,选择合适的定位。企业战略的核心应在于选择正确
的行业,以及在竞争作用力面前寻找进退有据的地位,做出适当的定位。
面对竞争力,企业可采用三种基本的通用战略应对——成本领先、差异化和目标集聚。
实施差异化贵
在创新
随着社会经济和科技的发展,一方面客户的需求会发生变化,昨天的差异化将成为今天的一个
普遍现象。竞争对手也在发生变化,尤其是产品价格、款式、广告、包装和售后服务等,这些
都很容易被一些企业所模仿。因此,任何差异都不会持续,要使公司的差异化战略成为长效
药,唯一的出路就是创新,利用创新来适应客户需求的变化,利用创新去战胜对手的模仿跟
进。
差异化应恰到
好处
引入差异化战略应加强对整个营销过程的管理和控制。最重要的是注意顾客的反馈意见。由于
任何营销策略的成功与否,最终的决定是作为上帝的客户,没有得到客户的认可,理想的策略
就是张纸。只有通过客户的反馈,企业才能准确确定是继续保持,还是加强或撤销企业当钱的
营销策略。只有消费者认可的差异才是有益的,过度的差异可能会带来两方面的负面影响:一
是会引起消费者不满;二是会增加成本,迫使企业提高商品价格,从而抵消了差异带来的价
值。因此,适度差异是差异化营销的重要原则。
难以模仿性 企业差异化战略的成功还在于自身不容易被竞争对手模仿。由于管理资源产生于团队的互动和
通过互动积累的经验,是组织通过长期团队工作、试验、学习和演化而来的组织特殊技能,所
以管理资源是在别处无法简单复制的。
核心能力理论对企业的启示是企业在实施差异化战略过程中,要努力培育出自身的核心竞争
力,使得自身的差异化不会因为竞争对手的模仿或替代而变得“不差异”。
要及时延展和 任何成本差异都取决于时间,因为竞争、技术和需求等其他因素在不断变化,环境或先决条件
工业控制信息安全企业内部控制策略研究报告
70
升级 的变化可能会使公司原本非常有效的差异化的价值变得无效。所以,企业必须与时俱进,继承
过去品牌的无形资产的同时,对企业产品进行适当升级延伸。
动态能力 动态能力理论里所讨论的能力已经不同于前面提到的企业核心能力,而是改变企业能力的能
力。从本质上来说,动态能力论表现出了一种动态的非均衡状态,认识到在一个变化无常的环
境中,企业需要对能力持续不断地维护、培养和开发,从而实现企业持久的竞争优势。
在自身产品上
完善
企业起步后若产品有市场,或遇同业竞争,均需扩大生产规模以提高产品竞争力。而企业仅靠
自身的资金积累是很难在短期内扩大规模的,此时就需要融资来扩大再生产。融资的方式有信
贷、股权融资或发行债券等。若融资渠道通畅,企业还可以通过并购、重组等方式迅速扩大生
产规模。同时,企业应将触角伸向产业链的前端和后端,打造完整的产业链;通过期货市场实
现对原材料和产成品价格和供应的控制,通过外汇市场实现对用汇风险的控制;将富余资金投
资于证券、期货和房地产市场,以期实现资本的增值。
在企业组织管
理上完善
企业规模扩大,人员增加后,提高组织管理效率成为迫切的话题。企业要由大变强,就必须通
过完善公司治理以提高组织管理效率,构建先进、高效的组织管理体系。所谓“大公司病”就
是因为管理不善,导致部门职责不清,甚至互相扯皮,员工军心涣散,企业一盘散沙。公司治
理简单讲就是企业组织管理体系的制度化建设,完善企业各项管理制度,依法管理企业,将员
工积极性和创造性发挥最大化,激励的同时依法监管。只有明确产权关系,制定完善各种法
规,特别是明确部门职责,加强对员工的激励措施和监管措施的制订,公司高管带头遵守法
规。员工上下按制度办事,而非看老板的脸色行事。这样公司治理必然会水到渠成,企业运作
井然有序。
在企业竞争核
心上完善
企业要进一步提高核心竞争力,必须在技术创新和品牌建设方面下功夫。“一流的公司卖技
术、二流的公司卖产品、三流的公司卖力气”就是现代企业获利模式的最好写照!发展战略中
“标准、专利、商标和版权”越来越成为国际大企业获利的法宝。企业在实施技术研发时可参
考上世纪 90 年代美国硅谷科技网络公司对科技人才实施股票期权或送红股等方式。物质的激
励和雄厚资金的支持是技术创新成功的关键。知识产权的立法保护是技术创新的底气和信心源
泉。
加强创新创造
能力
在企业差异化产品战略过程中, 要以差异化竞争为基础进行创新创造能力的改造, 创新是民族
具有生机与活力的保障, 也是企业“内部控制策略”的有效措施, 主要包括产品的创新、用途
的创新、营销战略的创新等, 不断提高顾客满意度, 加强企业的竞争能力, 为企业抢占市场份额
做好准备, 不断增强企业的创新差创造能力, 促进企业的可持续发展。
要有一个独特
的价值诉求
就是你做的事情和其他竞争者相比有很大差异。价值诉求主要有三个重要的方面:准备服务于
什么类型的客户?满足这些客户什么样的需求?你们会寻求什么样的相应价格?这三点构成了
你的价值诉求。你的选择要和对手有所不同。如果你想和跨国公司竞争做同样的事情,就不太
可能成功,因而必须制定一个战略,采取一种独特的视角、满足一种独特的需求。
精心设计的价
值链
要有一个不同的、为客户精心设计的价值链。营销、制造和物流都必须和对手不同,这样才能
有特色否则只能在运营效率上竞争。
要做清晰的取
舍,并且确定
哪些事不去做
制定战略的时候要考虑取舍的问题,这样可以使你的竞争对手很难模仿你的战略。取舍非常之
重要,因为鱼和熊掌不能兼得,只能有所为、有所不为。企业常犯的一個错误就是他们想做的
事情太多,他们不愿意舍弃。如果你有取舍的话,对手学了你就会伤害他自己,这就迫使对手
做出取舍:或者彻底放弃自己已有的核心优势,或者放弃抄袭,或至少不会有效地抄袭你。
在价值链上的
各项活动,必
须是相互匹配
并彼此促进的
西南航空的低成本模式、戴尔的直销和大规模定制模式为什么难以模仿?因为他们的优势不是
某一项活动,而是整个价值链一起作用。竞争对手要想模仿你不能只模仿一件事情而是要把整
个战略都模仿过去才能有效。
工业控制信息安全企业内部控制策略研究报告
71
第四节 战略组成与制定流程
一、战略结构组成
战略目标实际上表现为战略期内的总任务,决定着战略重点的选择、战略阶段的划分和战略对
策的制定。可以说,战略目标的确定是制定发展战略的核心。
项目 具体
总体目标 主要包括战略宗旨、战略目的、战略目标、战略投资方向、战略投资项目(附相关投资项目
的投资模式、商业模式、赢利模式和经营模式纲要)、战略重点、战略措施、战略规划检验
方法和程序等。由董事长组织编制,主要解决企业发展方向和战略投资项目问题。
企业经营战略 配合落实企业总体发展战略的经营管理战略。即公司内部各个经营单位,为配合企业总体
发展战略实施所制订和实施的子战略。经营战略是在企业总体战略的指导和制约下,指
导、管理具体经营单位的计划和行动的战略。由总经理组织编制,配合企业发展总体战
略,将企业发展战略中制定的目标、项目落实到日常经营管理行为中。
企业职能战略 企业职能战略即公司职能部门战略。是企业各职能部门为配合企业总体发展战略实现,而
编制的企业投资运作、研究开发、生产作业、市场营销、财务管理和人事管理等主要职能
部门的战略规划。由总经理指导各职能部门负责人编制,各部门配合企业经营战略,组织
落实经营战略。
二、战略制定流程
第一步:提出企业的初步目标、决策和任务。考虑在今后一段时期内应该完成什么样的任务,
达到怎样的目标。
第二步:分析企业资源。应对资源的有利方面和不利方面作一个实事求是的估价,分析时既要
重视生产和财务方面的资源,也要重视人力的资源,尤其是人的能力和技术。
第三步:估价企业的潜力。主要是两个方面:一是分析企业的技术能力;二是分析企业的竞争
者的情况。把本企业的产品与竞争者的产品作比较,分析其本身的长处和短处。
第四步:调研国内外市场,包括对顾客的调研和市场的调研。
第五步:评价和选择进入市场的报告。进入市场要重视研究企业的顾客、供应者、批发者、零
售者在销售渠道中的分布情况以及怎样得到他们的帮助和合作。
第六步:制定企业发展战略规划。其内容有形势分析,要达到的具体目标、活动日程安排、财
政预算等。
部门 序号 推动事项 推动要点
责任
人
推动时
间
备注
工业控制信息安全企业内部控制策略研究报告
72
1
确定企业的发展
方向及目标
召开专门会议确定公司战略目标。
2
科学编制公司
“内部控制策
略”
战略规划是为了实现发展目标而制定的具体规
划,表明公司在每个发展阶段的具体目标、工作
任务和实施路径。
3
制定相关的约束
和政策
这就是要找到环境和机会与自己组织资源之间的
平衡。要找到一些最好的活动集合,使它们能最
好的发挥组织的长处,并最快地达到组织的目
标。这些政策和约束所考虑的机会是现在还未出
现的机会,所考虑的资源是正在寻找的资源。
这是近期的任务,计划的责任在于进行机会和资
源的匹配。但是这里考虑的是现在的情况,或者
说是不久的将来的情况。由于是短期,有时可以
做出最优的计划,以达到最好的指标。经理或厂
长以为他做到了最好的时间平衡,但这还是主观
的,实际情况难以完全相符。
4
基于公司战略修
订公司相关制度
整理并修订公司人力资源、绩效管理、财务管理
等制度。
5
形成完整“内部
控制策略”方案
将相关准备资料系统整理形成可执行激励方案
方案
制定
6
“内部控制策
略”方案的研讨
和修订定稿
组织公司相关人员对草案进行研讨并按决议修订
第五节 具体方案制定
一、具体方案制定
具体方案根据公司实际情况制定,以下为制定战略考虑因素(参考):
项目 策略
愿景规划 企业的使命、愿景,长期目标或发展期许
战略目标 未来 3-5 年的规划与相关目标,战略的制定方式、参与程度
战略规
划方面
支持能力 目前的资源能否支持战略达成?如何实现战略目标?
商业定位 业务定位、目标市场、客户的选择与需求
商业模
式方面
行业状况 行业态势、竞争格局、行业标杆与竞争对手优劣势对比
工业控制信息安全企业内部控制策略研究报告
73
企业情况
公司的核心竞争力在何处?如何发扬?公司短板在何处?如何有效规
避或优化改善?
盈利能力 业绩与利润来源及占比、发展空间、存在风险等。
新商机 有无新的发展可能/创新机会/提升空间?
目标市场
1、企业现阶段的目标市场是什么?
2、为什么选择该行业和市场?
3、企业的主要消费市场有哪些?如何细分的?
4、目前企业在业务覆盖的市场,市场容量有多少?市场占有率如何?
主要营销策略是什么?
5、我们开发新客户采用的方法有哪些?哪些比较好用?
6、主要竞争对手有没有?有哪些?竞争对手哪方面做的比较好?
客户定位及
价值主张
1、我们的主要客户是哪些?
2、客户的关注点在哪些方面?
3、我们能给客户提供什么样的服务和价值?
4、我们与客户保持粘性的方法?做了什么样的业务动作?
5、客户满意度及老客户的维护情况如何?
6、企业是如何进行客户定位/细分的?
7、客户对产品/服务的关注点在哪里?
8、我们想要传递给消费者的价值是什么?
市场方
面
市场定位及
策略
1、行业市场情况如何?行业竞争程度如何?
2、企业在行业中处于什么水平?主要竞争对手有哪些? 哪方面比我
们更强?
3、行业标杆有哪些? 行业平均利润率是多少?
4、本企业的商业模式是什么样的?主要价值创造过程有哪些?
公司发展战略与与行业发展、竞争态势、经济、社会、文化等外部因
素是否适宜?
与公司的规模、产能、产品特性、公司竞争优劣势等条件是否符合?
营销渠道、
方式、区域
拓展
1、企业是如何开展市场营销的?现在的市场覆盖范围及情况?
2、企业有没有未来的市场拓展规划?若有,是怎样的?
3、企业的产品销售渠道都有哪些?销售方式是什么样的?目前已拓展
区域和即将拓展的区域在哪里?代理商合作的具体方式?
4、营销战略及营销策略是如何制定和执行的?
营销方
面
核心竞争力
1、企业的核心竞争力是什么?有什么样的优势资源?
2、企业是否具备核心壁垒?
3、和竞争对手企业对比,企业的核心竞争力是什么?
4、持续争取或保持核心竞争力的关键因素在哪里?企业如何采取行动
的?
5、如何确保企业核心竞争力的可持续性?其关键点在哪里?
产品方
面
生产方式和
服务
1、生产、研发或服务的方式是怎样的?优化和创新能力如何?
2、对于满足市场需求存在哪些优劣势?
3、企业产品的供应链是如何管理的?关键环节有哪些?在关键环节上
我司是如何应对的,现在或未来打算采取哪些行动?
工业控制信息安全企业内部控制策略研究报告
74
利润来源/盈
利模式
1、现有的核心业务有哪些?
2、主要业绩和利润来源在哪些方面?比例大约是多少?
3、是否有新的利润点可以开发?
成本结构
1、企业成本由哪些方面构成?较大的成本支出在于哪些方面?
2、企业的主要成本是什么?营业成本率是多少?行业的营业成本率大
约是多少?企业的各项业务的毛利是多少?管理成本,产品成本,人
力成本各占多少比例?
3、企业是如何控制和优化成本的?
模式创新规
划
1、核心业务、增长业务及种子业务有无规划?未来准备如何发展及转
型?
2、本行业主要的商业模式有哪些?行业是否有创新型商业模式出现?
3、内部创新关注点在哪里?行业创新关注点在哪里?产业创新机会在
哪里?
企业资源
企业资源是指企业所拥有或控制的有效因素的总合,主要分有形资
源、无形资源和组织资源,包括资产、生产或其他作业程序、技能和
知识等。
公司有强大的战略同盟
公司有很好的社会背景
公司有比较好的社会关系
公司社会关系一般
运营方
面
企业治理
1、我们的创始股东有几人?现在的股东有几人?
2、各股东的股份比例是怎样的? 谁是实际控制人/控股股东?
3、股东们现在是否都参与企业管理?担任什么岗位?股东间都是什么
关系?股东之间是如何沟通与决策的,对企业的发展是否起到了积极
作用?
4、执行效果怎样?建立了哪些制度?运行是否顺畅? 存在什么问题
5、企业是否有引入优秀骨干进入企业股东的想法?
6、如何做财务风险管控?
人员配置是否合理?
公司理念是否形成?定位是否合理?是否真正得到落实?
股权结构是否合理?
二、配套方案制定
分类 项目 具体内容
组织架构 组织架构与公司战略的适配度?如何提升组织效率?组织规
划方面
沟通协调 内部沟通协调情况如何?跨部门协作能力如何?出现问题如何解决?
产业规划 公司以后有无产业整合的机会/计划?如何联动相关产业资源?产融规
划方面
资本规划 公司有无融资规划和上市规划?
工业控制信息安全企业内部控制策略研究报告
75
配置情况 人员配置如何?(适配度、胜任力、流动性、继任计划)
培训发展 培训开展情况及有效性、人才发展体系建设情况
薪酬激励 相关薪酬福利、晋升通道、激励措施执行情况、满意度及优化建议
人力资
源管理
方面
绩效管理 绩效考核目标制定、考核方式、评价体系、反馈机制等实施情况及存
在问题或担心、优化建议
企业文
化方面
文化影响 工作氛围、企业文化的理解程度,相关文化的落地措施、实施情况等
第五章 工业控制信息安全企业《内部控制策略》实施手册
第一节 培训与实施准备
在战略规划实施过程中,企业领导者发挥着团队领头羊的作用,其一言一行都必然会影响企业
员工心理,这就要求他们在战略规划实施过程中必须注重发挥模范带头作用,坚定不移地推进新战
略。与此同时,企业实施战略规划必须具有广泛的群众基础,这就要求企业必须重视加强人力资源
管理,对广大企业员工进行战略规划的培训和教育,使企业每一个员工都能够正确地了解新的战
略,顺利达到企业战略规划执行的需求。
部门
序
号
推动事项 推动要点
责
任
人
推动时间
备
注
1
进行方案培训和
实施动员
分别进行激励对象和全员宣讲方
案并动员做好相关准备
培训
与实
施准
备
2
按方案要求调整
组织分工和配置
资源
对公司的组织架构、职能分工和
人力资源配置等相关资源进行优
化,确保按要求配置到位
第二节 试运行与正式实施
一、试运行与正式实施
当企业顺利完成战略规划设计之后,便开始进入战略规划实践阶段,便应明确这一阶段的重点
目标,清楚战略规划实施过程中需要重点解决的问题以及要达到的预期目标。在明确重点目标之
工业控制信息安全企业内部控制策略研究报告
76
后,企业管理层应将重点目标进行合理分解,然后将目标分散到各个职能部门,使每个职能部门都
得以明确自身要完成的目标。企业通过目标分配,进而使每一个企业员工都承担起相应的任务,从
而使企业得以团结一心,更好的完成企业的战略规划。
部门 序号 推动事项 推动要点 责任人 推动时间
备
注
1 试 运 行
实施
2 正 式 实 施
二、实施方案
结合实际、精心制定工作实施方案
面对每年出现的新形势,结合自身实际和业务特点,逐年印发“内部控制策略”工作实施方案
和具体工作要点,明确工作目标、具体措施和责任分工,各地区公司对目标和举措进行层层细化分
解,落实责任,制定各项目具体实施细则,确保开源节流降本增效工作有计划、高质量、有成效地
开展。
战略实施全过程闭环
管理
公司在科学编制、动态调整战略规划的基础上,推进战略规划的实施落地,逐步建
立包括年度实施要点、战略沟通分解、战略执行落实、战略执行评估、战略绩效考
核、战略监察审计等六个环节的战略规划年度实施程序,有序配套建立相关管理制
度、流程及工作标准。
编制年度实施要点 年度战略规划实施要点是在逐年分解落实公司总体规划的基础上,结合决策层的年
度经济形势分析预判和战略任务部署,形成的对公司年度各项工作的战略指引。各
级战略实施机构应遵循战略指引,强化战略协同,优化资源配置,确保实施要点中
的战略任务列入公司各类年度计划,并同时转化为年度重点工作任务,实现战略管
理嵌入公司整体运营管理流程的管理目标。
强化战略沟通分解 战略沟通分解是在加强内部战略沟通的基础上,运用战略管理工具,将公司战略规
划分解为各战略实施机构的年度战略任务和绩效目标,并转化为全体员工可理解、
可执行的行为的过程。先期选择战略性业务板块和重点骨干子企业进行应用试点,
导出试点机构的年度战略任务与战略绩效指标,形成可复制经验后有序进行推广,
逐步增强业绩考核的战略导向。
推进战略执行落实 战略规划实施过程中,战略决策机构、管理机构和实施机构应严格履行战略职责,
团结一心,协调一致,密切沟通,协同推进年度战略目标的实施落地。战略实施机
构应根据年度战略任务和绩效目标,逐一落实责任,协同推进,遇有重大问题应及
时向战略管理机构报告。
工业控制信息安全企业内部控制策略研究报告
77
第三节 构建执行与推进体系
构建“内部控制策略”推进体系,进一步高效推进战略实施,确保战略稳准落地。
有效推进战略实施,通过设置以业务管理为主导的管控体系,科学编制实施五年规划和年度计
划,实施业绩管理与分级授权等一系列手段,推动战略实施并及时动态跟踪、评估、调整。
对大多数企业来说,战略构画的是一幅长远发展的蓝图,但如果不能有效地通过实施路线图将
战略目标分解到每个年度的重点工作任务上,则会出现战略与执行的脱节。很多企业战略要求摆在
那里,但日常的运营又是另一个模样,你说你的,我做我的,战略无法有效落实。
好的方法是在战略制定之后,详细的讨论战略实施的路径,形成战略实施路线图,并将重点任
务进行细化,落实责任部门、时间以及相关资源。这样公司每个年度的经营计划与预算的编制也就
能够更加有目的性。年度的运营与整体战略目标的实现也就因此而实现了联通。
战略对于身处变化多端、竞争日趋激烈的市场环境中企业来说是至关重要的。制定切合实际的
发展战略既需要决策者的大智慧,也需要内部建立一套坚实的管理体系,任重而道远!
战略落地是连接企业理想与现实的桥梁,是企业实现理想的必经之路。当企业制订出一个清晰
而科学的战略规划之后,应该在能力与资源的基础上,把企业的内部能力与资源转化为现实的战略
竞争力,避免战略规划与企业经营脱节,形成“两张皮”现象。在新时代、新形势、新精神历史背
景下推进企业建设具有长远意义。
加强战略工作组织领导。各地区公司、项目公司总经理亲自抓工作落实,规划计划部、
财务部、企管部等部门明确分工,负责对工作的组织实施、检查指导和整体推进。
加强工作动态督导督办。通过周报、月报对工作开展情况进行督办督导,传递压力,确
保各项措施部署落地。
加强组织领导、建
立动态督导督办机
制
加强季度执行情况分析。各项目按季度上报措施落实情况和实施效果,汇总分析后及时
做好工作部署调整和典型经验的总结和推广。
大力加强宣传引导。充分利用企业报刊、网站、微信公众号等各种宣传媒介,及时宣传
报道工作进展和取得的成效。
组织开展员工合理化建议活动。充分发动广大员工积极参与,征集各类员工合理化建
议,推动形成全员参与的良好氛围。
积极交流推广典型经验。召开战略工作专题推进会,各项目交流分享工作经验,学习推
广典型做法。
营造全员全链条参
与环境
加大考核激励力度。加大工效挂钩力度,对工作取得显著成效的项目,在年度业绩考核
兑现及特殊贡献奖等的评审中予以倾斜,激发各项目工作积极性。
工业控制信息安全企业内部控制策略研究报告
78
第四节 增强实施保障能力
切实加强战略实施保障,通过完善绩效考核体系,优化战略研究组织架构,构建开放式研究网
络,加快信息共享与成果分享,强化成果转化应用,加强战略研究队伍建设等手段确保战略实施效
果。
环境风险识别应对。围绕短、中、长期战略发展目标,紧扣业务管理中的重点和难点,全面辨识
和分析公司经营和新项目开发过程中的重要风险,建立风险数据库,构建公司风险指标体系。
基于情景分析的战略风险评价。把可能对战略产生较大影响的风险因素确定为关键维度,通过专
家调查的方式,对关键维度风险因素进行情景开发,利用战略风险情景分析矩阵,确认最终战略
风险。
注重战略风
险防控
实施战略风险监控与规避。逐步建立健全风险防控体系和应急预案,持续跟踪综合风险度排名靠
前的重点国家,做到预防到位、反应及时、应对有力、损失可控。
找到战略实施的关键节点,理清其中的逻辑关系,科学制定战略地图。基于标准战略地图框架,
结合公司业务特点,定制化设计财务与业务、利益相关者、内部流程、学习与成长四个维度,共
同反应公司业绩情况。
为每个关键节点确定量化目标,实现战略指标化,开发与战略地图相匹配的计分卡。例如,在低
成本战略实施中,在财务与业务方面就设计制定了主营业务税前利润、现金贡献、投资资本回报
率、操作成本、完全成本、付现成本、发现储量有效转化率、产量递减控制率等指标。
加大业绩考
核力度
在公司机关部门和重点单位推广应用基于平衡计分卡的业绩合同。业绩合同由战略地图、计分
卡,以及以关键绩效指标(KPI)为核心内容的传统业绩合同三部分组成。
第五节 动态管理与完善
持续变革是战略执行的精髓
建立常态化经营策略研究与调整机制,以战略为指导,构建项目策略研究体系,比如“一项目
一策略,两年全覆盖,逐年滚动更新”,分层次、有重点、讲落地,提升项目决策支持能力。
对于企业家来说,优秀的战略如果不经过思考,不能融会贯通地去应用,只会适得其反。一定
程度上,优秀的理论自身在经受实践检验的同时,也在检验着实践者的智慧和能力。
要达到企业制定“内部控制策略”的目标,就必须进行持续的变革;只有持续变革,才能真正
形成最适合、最优的战略。
根据竞争环境变化进
行灵活调整
应该说,企业战略规划并非一劳永逸的,而是需要不断根据竞争环境变化进行灵活调整,
这就要求企业必须重视战略规划调整工作,及时掌握战略规划实施情况,全面了解市场环
境变化,进而针对性地进行企业战略规划调整,以便使战略规划更加符合企业发展实际情
况,进而促进企业的良性发展。
战略管理工作应遵循
动态调整原则,保持
总体规划中,三年滚动规划依据五年发展规划编制,同时对五年发展规划的持续优化与修
编。战略决策机构在战略规划期内做出的重大决定,作为战略规划补充或调整,及时列入
工业控制信息安全企业内部控制策略研究报告
79
战略规划体系的科学
性、前瞻性、适用性
和有效性。
规划体系。在贯彻战略规划过程时,坚持战略指引、双向沟通、适度聚焦、优势多元原
则;进一步明确自身战略定位,有针对性地选择符合自身优势与特点的战略策划与引导,
加快差异化发展步伐。
进一步研究完善公司
发展战略
进一步研究完善公司发展战略和中长期规划、业务规划、职能规划和子企业发展规划;加
强战略协调与沟通、任务分解与落实、资源优化与共享,形成清晰的战略导向、时间表、
路线图和保障体系,确保战略规划具有更强的可实施性。
第六节 战略评估、考核与审计
开展战略执行评
估
战略执行后评价是公司重要的战略控制措施,是从公司层面到战略实施机构、从当期业绩到
可持续发展、从重大战略任务到战略绩效指标多个维度进行的全面评估。遇特殊年份,年度
战略执行情况年度评估与五年规划中期或终期评估工作结合进行。
实行战略绩效考
核
公司强力推进战略规划实施,强调绩效考核评价体系的战略导向,先期可在战略实施集群试
点探索经验,逐步推进落实。逐步完善与战略实施和控制相关的组织、制度和文化,渐进推
动对子企业的战略绩效考核,并作为业绩考核评价的组成部分。
加强战略监察审
计
公司监察、审计部门将战略规划执行与战略绩效纳入全面监督范围。对背离公司战略规划方
向、执行公司战略规划不力、延误公司战略实施和导致重大损失的行为,根据公司管理制度
予以责任追究。
第六章 总结:商业自是有胜算
人生和事业有很多相似之处:两者本质上都充满不确定性,但又都具有提升长期胜率的方法。
决定人一生命运的,往往只是几个判断和决定,这很大程度上源自于你的认知;而认知能力的提
升,往往需要你长远的成长和坚持。我们也可能偶尔成功,但各种短期的偶然性终会被时间熨平,
最终的结果基本是公平的。
人与人之间智商的差别并不大,那么为什么人与人之间在人生与事业的成就上会有那么大的差
别呢?有一句话说的好:成功路上并不拥挤,因为坚持的人不多。人生和事业充满了一个又一个挑
战,在前进的路途中,我们需要坚持不懈、勇敢顽强和沉着冷静,才能不断突破自我,超越极限。
做企业也一样,如果没有坚定的信念,没有一种气魄和胆识,注定是无法成功的。
除了坚持,还有什么导致人与人之间最大的差距呢?天道并非一定酬勤,艰苦的坚持和勤劳固
然重要,然而更重要的是认知。你的人生高度,包括你的财富能达到的高度,不会超越你的认知高
度。认知能力的提升,是思维方式、思维层次的提升,是深度思考能力的提升,它能让你具备一眼
洞穿事物本质的能力。花半秒钟就看透事物本质的人,和花一辈子都看不清事物本质的人,注定是
截然不同的命运。而能否抓住行业本质,是企业的一大核心竞争力。
工业控制信息安全企业内部控制策略研究报告
80
人之所以痛苦,常在于追求错误的东西。认知的提升,需要正确的人生观、价值观、世界观指
引。只有正确的人生观、价值观、世界观,才能放大你的格局,才能让你的认知到达足够高的层
次,你的人生才不会偏离方向,你才能获得真正的成就。正如:为客户创造了价值,企业也就从中
分享了价值;为这个社会创造了多少财富,企业就有多么伟大。
亲爱的朋友,人生和事业就如逆水行舟,不进则退。人生和事业最痛苦的不是错过了,而是明
白的时候已太晚。正如开头提及的——人生和事业有很多相似之处:两者本质上都是充满不确定性
的,但又都具有提升长期胜率的方法。而巴菲特之所以这么成功,有个重大的原因就是他悟的早而
且活的久,20多岁就开始积累财富,一直到现在快 90岁了还没有停止。
我们要找到提高胜率的方法,最好还能如巴菲特般早开悟、早积累!
那么如何才能提高胜率?又如何早开悟、早积累呢?
持续的学习和钻研,不断的实践和总结,是切实可行的方法。然而更重要的是如何学习,学什
么?
为此,盛世华研将结合十余年的行业研究、管理咨询等方面的知识体系,持续不断的针对不同
行业开发不同专题报告,供每个热爱学习、研究的人学习,也供企业家、经营者、投资者、行业管
理者、政府等企事业单位参考决策。同时也希望能让每个人都能更早的开悟,更早的理解经济和产
业运行规律,并根据规律制定策略,更早的积累,从而获得伟大的成功。
盛世华研:致力于让每个人都能成为行业专家、管理专家、投资专家,成功企业家……
盛世华研
注 1:此系列报告的撰写我们参考了众多专家、学者、研究机构公开的成果及理论,在此表示
深深感谢。能找到出处的,我们都尽量注明出处;如侵犯了您的权利,请联系我们。
注 2:此系列报告我们仅收取非常低的费用,属于非盈利性产品,相对于一般几千、数万的研
究报告,基本是免费开放供大家学习。在此也希望大家能尊重盛世华研的知识产权,不要盗用,如
需转载部分内容,请联系我们,并注明出处。
工业控制信息安全企业内部控制策略研究报告
81
法律声明
版权声明
本报告由盛世华研调查和制作,报告版权归属于深圳市盛世华研企业管理有限公
司。报告中所有的文字、图片、表格均受知识产权法律法规保护,部分文字和数据采集
于公开信息,所有权为原著者所有。没有经过本公司书面许可,任何组织和个人不得以
任何形式复制或传递。任何未经授权使用本报告的相关商业行为都将违反《中华人民共
和国著作权法》和其他法律法规以及有关国际公约的规定。如需引用、刊发,需注明出
处为“盛世华研”,且不得对本报告进行有悖原意的删节与修改。否则引起的一切法律
后果由该客户自行承担,同时本公司亦认为其行为侵犯了公司著作权,公司有权依法追
究其法律责任。
免责条款
本报告是基于盛世华研公司及其研究员采用桌面研究、行业访谈、市场调查及其他
研究方法,结合盛世华研监测数据,并通过盛世华研知识体系及数据模型研究获得。本
报告中发布的调研数据受调研方法及样本的影响,以及调查资料收集范围的限制,部分
数据可能未必能够完全反映真实市场情况,盛世华研对该等信息的准确性、完整性或可
靠性不作任何保证。因此,本报告仅供个人或单位作为市场参考资料,本公司不承担因
使用本报告而产生的法律责任。
本报告是盛世华研企业管理有限公司服务体系下决策咨询报告系统的重要组成部
分。如对有关信息或问题有深入需求的客户,欢迎使用盛世华研企业管理有限公司之专
项研究咨询服务。
