安永：人力资源管理实务中的科技风险应对

内容导航：

安永：人力资源管理实务中的科技风险应对

在人力资源管理实践中，如何有效规避风险，请谈谈你的认识

对人力资源存在的风险采取什么控制措施

人力资源管理有哪些风险

一、安永：人力资源管理实务中的科技风险应对

人力资源管理（Human Resource Management，“HRM”）科技已是当今商业社会的重要组成部分。仅就近年日益兴起的HRM SaaS (Software as a Service) 市场而言，2019年国内HRM SaaS市场规模为3.151亿美元，较上年增长52%，而该细分市场规模预计在2024年将会达到12亿美元[1]。此外，每年有超过三分之一的劳动力在流动，创造了一个活跃的涉及招聘、面试、评估、人事管理、培训发展等领域的人力资源管理市场，而对应支持这些企业人力资源管理工作的信息技术也应运而生。

人类社会正在经历的这场疫情也对人力资源管理市场产生了巨大的影响。不同规模、类型的企业都在鼓励员工采用电子签、云面试、智能排班等手段，减少线下流程或人工投入，增强人力资源管理工作中的信息化技术。企业原来可能为尝试而采购的IT系统、技术服务或外包服务等，目前已成为在日常工作的关键使用工具，在每一个环节中人力资源管理技术正在从“有了更好”转变为“至关重要”。

在发生的诸多变化中，人力资源管理正在更多地向生态化员工体验及员工生命周期管理进行转变，这意味着人力资源管理技术将在企业员工的工作和生活等方方面面进行渗透。因此，企业购置的HR系统软件、HR服务的可靠性、安全性及内部控制管理，或提供这些IT系统和服务的供应商，都正在面临且须持续关注对企业数据及员工个人信息的有效保护。

人力资源管理和信息化的关系

传统人力资源管理实务中，没有形成系统化管理，可能存在诸多痛点，比如存在大量重复性工作、员工数据缺失等，又如在员工薪酬处理环节，薪酬计算源数据来源多样且不准确、薪资计算类别复杂、手工计算薪资工作量大、存在人为失误等情况，不仅影响人力资源部门工作效率，更影响企业的运营管理效率。

随着90年代人力资源管理理念的逐渐成熟，IT技术的同步发展，人力资源信息化是指以信息技术为手段，以信息系统为工具，对企业的人力资源实务进行管理、调整、分析等，使人力资源职能更有效地服务于企业目标。使用信息系统支持业务，信息系统的功能是否能符合企业管理需求是最基础的要求。企业需了解其自身内部人力资源管理的痛点，包括内部开发、外购、或是选择对应的人力资源管理外包商，对症下药，实施适用的信息系统，而非简单复制纸质流程。

同时，企业可以通过信息系统支持过往难以实现、难以管理的业务需求，通过技术赋能，优化管理流程，加速用工需求处理，例如可借助信息化手段管理灵活用工，在开放的第三方人员资源平台上，灵活用工需求方可发布用工任务，符合用工条件的候选人可直接对接用工需求方，并通过该平台实现用工结算等。

人力资源管理科技发展历程

在用工需求、员工发展、职业路径更加多元化的当今商业社会，人力资源管理行业的特性和科技发展互相交错，相辅相成，仍在不断扩充和发展过程中。人力资源管理经历了从基于线下流程和主机运行的人力资源信息系统，到整合至企业资源管理（ERP）的人力资源管理系统，再到集成的人才管理软件，最后发展到更关注员工体验的云上人力资源管理平台。

不论人力资源管理是企业内部团队负责还是将人力资源管理外包，不论是使用企业内部自我管理的信息系统还是借助外包或SaaS服务，在人力资源管理实务中信息科技都占非常重要的支持作用，同时信息科技带来的内生和外在风险也不容忽视。

图为安永内部整理

风险与应对

业务流程的合理有效性

人力资源管理系统在开发或是外购选型过程中主要存在以下风险：业务部门即人力资源部门人员可能未充分参与，而主要依靠IT部门的投入；人力资源部门可能未定期与相关部门同步系统建设进展，系统测试计划、步骤或用例不完整，特别是缺少最终用户测试，而未及时发现不能满足业务需求的情况，导致无法实现需求功能的风险；企业可能未及时与外部供应商沟通项目开发的计划和执行情况，导致实施内容与建设目标偏离，造成开发工作无法满足企业需求的开发风险。

企业需要明确信息系统开发流程，对信息系统开发中的需求分析、架构设计、软件实现、开发测试、用户测试、系统验收、系统上线与数据迁移等过程进行规范。开发过程中人力资源部门需要充分参与，清晰阐述项目需求说明书的业务范围和内容，定期监控开发计划和实施情况。

此外，企业需要从整体层面思考人力资源管理系统在企业整体信息化战略和实施中的定位，是数据源头也是数据使用者，需要从人力资源管理系统是否员工主数据中心、是否其他内部管理系统的数据来源、与其他内外部系统的数据交互是否安全可靠、公司整体数据安全策略是否适用高度敏感的人力资源信息等方面进行系统规划。

信息系统的稳定可用性

针对员工日常使用频繁的人力资源管理系统，尤其是在企业算薪周期及发薪日等时间节点，人力资源管理系统将需要承载大量并发访问需求，企业应从信息系统运维和服务的日常管理、故障管理、日志管理、容量管理、变更管理等方面关注人力资源信息系统的运行稳定及安全可用。

企业也需要监控并掌握系统容量需求，预测未来所需资源，制定容量规划，并在尽量减少对业务影响的前提下，通过规范的容量变更流程合理扩充系统容量；通过人工与自动化监控相结合的方式加强安全检查，及时发现系统运行问题并采取适当的措施跟进解决。运行事故应及时响应，逐级上报，并在事故应急处理完成后及时复盘，直至彻底改正并完成根本原因分析。此外，企业需要针对人力资源管理系统实施有效的备份、定期进行备份恢复性测试、制定完备的业务连续性计划，演练、更新，并对相关人员进行培训，以降低突发灾难的破坏及保证业务支持的稳定可靠性。

数据安全保密性

在当前数据时代，虽然员工对随时随地、快速获取信息的需求越来越高，但人力资源管理系统承载了企业组织架构、员工个人身份、薪资等各类信息，因此也更应在保护数据安全获取的基础上，提升系统反应速度及性能。企业可从访问、数据管理及合规等各角度进行考量：

► 为防止信息资源未经授权的访问，借助有效的身份识别及访问控制策略，对身份和权限进行管理，特别当存在用户远程接入时，重点对其进行安全管理，包括物理安全；

► 对网络与通信安全、传输安全、访问控制、网络入侵防范、恶意代码防范以及安全审计等方面进行检查；

► 充分考虑职责分离要求，如开发人员不持有生产环境账号；算薪、审批及付薪人员不为同一人等；

► 离职人员，如为接触公司机密信息、产品资产等核心人员，可考虑签订竞业和保密协议等，减少泄密的风险；

► 从制度及实操层面对数据全生命周期进行管理

了解企业员工个人信息流转、存储及处理所在的系统、服务器和终端，对完整性和保密性等方面进行检查；采取必要的技术工具，防范数据完整性遭受破环、数据泄露的风险；对数据存储进行加密保护，对本地存储的数据进行完整性校验；关注离线数据库中的数据安全管控是否执行到位。

► 信息安全策略制定须符合有关国家法律法规、主管部门的要求，及时、周期性地回顾是否切实、有效地执行；

► 可考虑根据信息资产重要性等因素，建立和实施分类分级的保护措施；

► 持续对信息安全风险进行评估，及时发现风险漏洞并制定整改计划，落实整改责任。

企业可通过权限控制、加密技术、网络设置等，在确保存储安全和访问安全的前提下，实现人力资源信息的快速安全共享。

人力资源外包及相应SaaS服务的可靠性

综合来看，人力资源外包可分为产品外包和服务外包。产品外包指仅外购人力资源管理信息系统，系统可为定制化开发系统，也可为部署在公有云、私有云等的企业内建系统，也可以是由外包服务商提供的SaaS系统，但人力资源管理职能仍在企业内部；服务外包指包括人力资源外包，如招聘、人事代理及派遣、薪酬计算及支付外包、人力资源管理咨询服务外包等多种形式。在人力资源外包过程中，直接用户是企业人力资源管理部门，信息系统管理由企业IT部门负责，供应商管理是其他部门，如采购或质量部门的工作范畴，可能存在管理责任不明确，监督缺失的问题。

在选择外包服务商时，需要考察服务商的综合能力，包括但不限于内部控制与管理能力、持续经营能力、技术与服务能力等；确认外包商后，须与外包商签订服务水平协议、数据处理协议等规范服务要求及双方数据处理的责任和义务；针对外包商的日常管理，企业需要制定明确的外包商管理要求，并对其进行阶段性评估，对异常情况及时纠正，以防止外包服务商因经营不善、合同纠纷等中断服务，导致企业生产和运营风险、服务中断的风险。

企业可采取多种监督机制，本文推荐使用体系和机构控制（“SOC”）报告。SOC报告是独立的第三方会计师事务所针对外包服务商为客户提供的产品或服务执行检查并出具的独立鉴证报告。通过阅读服务商提供的SOC报告，企业及其审计师能获取充分信息以评估该外包服务商的内控机制和安全能力，并有效地管理其外包风险。

员工数据隐私性

自GDPR正式生效以来，各国陆续出台了针对个人信息保护的相关法律法规，企业在这方面的合规及风险管理意识不断被加强。在企业与员工交互的场景中，以GDPR为例，强调数据主体对个人隐私数据的控制权利以及企业收集员工隐私数据的保护要求，特别是在招聘、雇佣合同的履行等多个环节，企业需要事先让员工知晓会收集哪些个人信息、个人信息的保留期限、个人信息的使用范围和目的、个人信息是否会被运用于决策制定以及这些决策是否与员工本人有关等。

总体而言，企业作为员工个人信息的控制者，须规范在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为，遏制员工个人信息非法收集、滥用、泄露的乱象，最大程度保障员工合法权益和社会公共利益。针对个人信息的传输和存储，企业须确保符合个人信息境内存储和离境前安全与风险评估的合规要求，并确保个人敏感信息不被泄露；在完成收集个人信息的使用目的后，须规范个人信息的删除流程和途径。若使用外包服务或平台，企业需要确保数据处理者会采取适当技术性和管理性措施，以确保其作为数据主体的权利得到保障。

未来趋势

随着智能科技的发展，移动应用和大数据也在人力资源领域运用越来越广泛。员工可使用人力资源管理系统在企业协同办公等第三方平台的小程序或是独立APP的移动化呈现方式，实现在线交流、敏捷协同，提高工作效率；企业人力资源部门也可使用人才画像、简历推优、趋势分析等典型大数据使用场景，从人力资源的日常业务中解放出来，着力于企业战略层面的考虑。同时，企业也需要从移动端应用的安全性、画像和自动化决策的合法性等角度关注人力资源管理实务中的合规风险。

结语

企业着眼于人力资源管理实务的现状，随着互联网的发展，大数据的不断被使用，人们的信息安全意识、个人信息保护意识已在逐步提高，企业对员工数据使用和保护的监管也将变得越来越严格。企业需要在人力资源管理实务中对其中的科技风险管理理念及应对措施不断研究、积累经验、持续迭代，使得人力资源数据可为企业人才管理赋能更大的价值。

安永科技风险咨询服务团队可提供多项人力资源管理实务中的风险应对服务，包含信息系统安全审计、SOC报告、第三方风险管理及合规评估、IT系统上线评估等，欢迎联系。

注：[1]. IDC，《中国企业应用软件SaaS市场解读，2019》，2021.2

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。

一、在人力资源管理实践中，如何有效规避风险，请谈谈你的认识

人力资源工作实质上是利他、然后利己的工作，注重团队、个人对整体局面的认识。
从人力资源管理着的角度为公司节约成本以及规避风险的要点：
1、首先是法律的风险，遵守法规是企业应尽的职责，但也为公司提升了竞争力和节约成本，因为法规有很多的处罚等等，这些看似微不足道，可是对于公司来讲，一旦疏忽风险极大。而且会大大降低企业的竞争力，因为对于员工和招聘市场上看，应聘者会因为企业不遵守法律而缺乏安全感，无法为公司尽力或者不应聘，降低企业的招聘竞争力；其次，新客户范围受限，很多外企对于供应商的选择评估非常繁琐，其中对于企业社会责任以及法规的遵守方面审查颇多，如果因为这个失掉潜在客户，无疑对企业发展非常不利。
2、企业氛围亦可影响公司的业绩，我们经常会遇到同样一件事情在不同企业的处理方法不同，例如员工违纪，企业氛围好的企业即使采取非常简单的处理方法来，只是教育一下效果就会很好，可有的企业却不然，这其中对于企业氛围（也可说是企业文化），对于员工违纪却上纲上线，直接伤害员工感情和心理承受能力，疏远与员工之间距离，降低员工归属感，最终导致员工只是为完成工作而工作，工作质量可想而知，长此以往，企业竞争力无形被降低，是无论出多少规章制度都挽回不了的，损失无法计算，因为太多了。

二、对人力资源存在的风险采取什么控制措施

1.制度性风险的防范措施
　　针对制度性风险的存在原因和主要表现，我们可以从以下几方面采取防范措施：
　　一是在制度制定前，作为人力资源管理者必须认真学习相关劳动法律法规及特殊员工权益保护法律法规，充分理解各条款的内容，对禁止性、强制性规定、特殊性条款必须熟悉并掌握，对相关政策的历史沿革有所了解。
　　二是在制度制定过程中，作为人力资源管理者必须做好相关政策的宣传解释工作，与工会或职工充分沟通，特别是要做好对企业经营管理者的政策宣传解释工作，将现行劳动法律法规和规定及政策全面如实地向企业经营管理者汇报并提示可能存在风险，以争取他们的理解和支持，保证法律法规禁止性、强制性、特殊性条款的贯彻实施。
　　三是制度的制定要坚持原则性和灵活性相结合。制度的制定既要符合企业实际，又要符合劳动法律法规的规定，在法律法规许可范围内，尽可能地满足企业生产经营需要，充分利用劳动法律法规政策，提高用工的灵活性和主动性，降低人员成本，优化人才结构。
　　四是跟踪最新的法律法规政策，定期审查现有规章制度，及时更新修订现有规章制度。对涉及到员工工资、福利等权益性的政策法规及时评估影响，根据实际修订相关的管理制度。
　　2.流程性风险的防范措施
　　针对流程性风险的存在的原因和主要体现，我们可以采取以下防范措施：
　　第一，在流程设计初期，人力资源管理者必须充分理解和掌握相关劳动政策法律法规有关时效和流程的规定，理清不同人力资源管理模块所涉及的不同条款规定内容，特别是涉及员工权益的合同签订、变更、解除、工资计发、经济补偿、培训、休息休假等有关的流程及时效规定。
　　第二，在流程设计过程中，人力资源管理者对政策法律法规的强制性、规范性条款必须严格执行，并在业务流程中体现。同时根据本企业的规章制度，设计相关的业务流程，明确核心业务流程，细化工作步骤，做到有制度、有流程，制度明确，流程清晰。
　　第三，明确业务流程参与主体及其责任。人力资源管理业务流程必须有明确的参与主体，每个主体承担相应的责任，做到主体明确，责任清晰。
　　第四，定期审查业务流程，不断根据政策法律法规的变化和企业规章制度的调整修订业务流程，根据企业人力资源管理的实际需要，抓住核心业务，简化业务流程，提高工作效率。
　　3.管理性风险的防范措施
　　管理性风险主要来自日常管理行为，风险的控制要从日常管理工作中去实施。针对管理性风险产生的原因和主要表现，我们可以采取相应的控制措施：
　　第一，明确人力资源管理行为记录资料及主要内容，对人力资源管理中形成的记录资料进行分类、建档。日常人力资源管理行为形成的记录资料主要分为：规章制度类（包括各项人力资源管理制度及通过职工大会或工会审核的原始资料）、劳动关系类（包括人事工作档案、劳动合同文本、合同签订意向书、变更通知书、解除合同通知书、劳动合同签收表、公示表、员工花名册、岗位、职务调整文件等）、工资福利类（包括工资调整文件、绩效考核表、工资条签收表、工资发放表度、各类补贴津贴发放表、考勤记录等）、奖惩类（包括奖惩文件、处罚通知书及签收表等）、其他（包括保密协议、培训协议等）。
　　第二，在日常管理工作中，注重相关记录的形成、收集和归档,保存好相关资料。涉及员工切身利益的管理行为，如合同签订、变更、解除，工资调整、岗位职务变动、奖惩、培训等必须做好记录并建立档案资料。
　　第三，建立健全员工工作档案制度，完善员工工作档案。工作档案与人事档案相关，但不完全相同。工作档案更注重员工工作期间与企业各种人力资源管理行为之间形成的工作记录，既是员工工作表现的记录，也是人力资源管理工作的记录。完善员工工作档案，能有效地防范人力资源日常管理工作的风险。

三、人力资源管理有哪些风险

人力资源的风险管理人力资源管理中的风险管理是指在招聘、工作分析、职业计划、绩效考评、工作评估、薪金管理、福利、员工培训、员工管理等各个环节中进行风险管理，防范人力资源管理中的风险发生。 在进行人力资源管理时，我们往往重视招聘、培训、考评、薪资等各个具体内容的操作，而忽视了其中的风险管理问题。其实，每个企业在人事管理中都可能遇到风险，如招聘失败、新政策引起员工不满、技术骨干突然离职等等，这些事件会影响公司的正常运转，甚至会对公司造成致命的打击。如何防范这些风险的发生，是我们应该研究的问题。特别是高新技术企业，由于对人的依赖更大，所以更需要重视人力资源管理中的风险管理。 风险分类 一般我们可以按人力资源管理中的各环节对风险进行分类，如招聘风险、绩效考评风险、工作评估风险、薪金管理风险、员工培训风险、员工管理风险等等。对高新技术企业来讲，招聘风险、绩效考评风险、薪金管理风险、员工管理风险等显得更为重要。 另外我们也可从已知风险、可预知风险、不可预知风险的角度对风险进行分类。对于已知风险和可预知风险我们要采取积极地措施进行防范。 风险识别 要想防范风险，首先要进行风险识别。识别风险就是主动地去寻找风险。比如员工管理中，技术骨干离职风险可能会由以下几个方面产生： 1、待遇：他是否对他的待遇满意？ 2、工作成就感：他是否有工作成就感？ 3、自我发展：他是否在工作中提高了自己的能力？ 4、人际关系：他在公司是否有良好的人际关系？ 5、公平感：他是否感到公司对他与别人是公平的？ 6、地位：他是否认为他在公司的地位与他对公司的贡献成正比？ 7、信心：他是否对公司的发展和个人在公司的发展充满了信心？ 8、沟通：他是否有机会与大家沟通、交流？ 9、关心：他是否能得到公司和员工的关心？ 10、认同：他是否认同企业的管理方式、企业文化、发展战略？ 11、其他：他是否有可能因为结婚、出国留学、继续深造等原因离职？ 人事经理要认真了解客观情况，对可能发生的风险进行有效识别，这是防范风险的第一步。 风险评估 风险评估是对风险可能造成的灾害进行分析。主要通过以下几个步骤进行评估： 1、根据风险识别的类型有针对性的进行调研； 2、根据调研结果和经验，预测发生的可能性，并用百分比表示发生可能性的程度； 3、根据程度排定优先队列。 比如说，人事经理可以通过与当事人交谈、发调查表等形式进行调研，并根据调研结果和经验，确定该员工在各风险识别条目中离职的可能性。结果如下： （1）10％（2）20％（3）10％（4）0％（5）50％（6）20％（7）0％（8）30％（9）0％（10）0％（11）0％。 优先队列是：（5）、（8）、（2）、（6）、（1）、（3）、（4）、（7）、（9）、（10）、（11）。 人事经理可以发现，该员工对公平、沟通较为不满，由于公平问题而离职的可能性最大，其次是沟通问题。 风险驾驭 风险驾驭是解决风险评估中发现的问题，从而消除预知风险。它一般由以下几个步骤构成： 1、针对预知风险进行进一步调研； 2、根据调研结果，草拟消除风险方案； 3、将该方案与相关人员讨论，并报上级批准； 4、实施该方案。 人事经理可针对公平问题和沟通问题，进行专项交谈或调查，找出问题的根源，并草拟相应的方案。如解决公平问题的方案如下： 1、在制定公司规章制度时，广泛征求员工的意见； （通过调查发现，由于没有参与制度的制定，误认为制度本身不公平） 2、向各部门发放公司制度合订本，方便员工了解公司制度； （通过调查发现，由于对某些制度的细节不很清楚，误以为制度执行不公平） 3、将工资晋升标准公开，使工资晋升透明化； （通过调查发现，由于公司工资晋升标准不明确，容易产生待遇不公平感） 4、增加部门间交流； （通过调查发现，误认为其他部门工作轻松，而自己是最辛苦的，也容易产生不公平感） 人事经理可以将上述建议与大家讨论，最后由办公例会或总经理批准通过。 通过上述方案的实施，可能会增加大家的公平感，具体效果如何，还要进行调查得出结论。 风险监控 当旧的风险消除后，可能又会出现新的风险，所以风险识别、风险评估、风险驾驭这几个环节要连续不断的进行下去，形成有效的监控机制。 在一段时间以后，要对风险进行再分析，确保对风险制定的驾驭方案能够切实有效的进行。并且要对执行中的问题进行再评估。 另外要注意总结经验，为将来的风险管理提供数据。