人力资源管理科技成商业重要部分，疫情下影响几何？

人力资源管理的科技，即常简称为HRM，已经成为当代商业领域中不可或缺的关键要素。针对近年来迅速发展的HRM SaaS（软件即服务）市场，2019年，我国该领域的市场规模达到了3.151亿美元，同比增长了52%。据预测，到2024年，这一细分市场的规模有望攀升至12亿美元。此外，每年都有超过三分之一的劳动力进行流动，这一现象催生了一个充满活力的市场，该市场涵盖了招聘、面试、评估、人事管理以及培训发展等多个领域的人力资源管理。与此同时，为了支持这些企业的人力资源管理工作，相应的信息技术也应运而生。

当前这场疫情对人力资源管理领域造成了显著冲击。众多企业，无论规模大小、行业类型，均积极倡导员工使用电子签名、云端面试、智能排班等新型方式，旨在削减现场操作或人工成本，并提升人力资源管理的数字化水平。企业原先可能出于探索目的而购买的IT系统、提供的技术服务或外包服务，如今已转变为日常运营中的核心工具，在各个流程环节中，人力资源管理技术的地位正从“锦上添花”向“不可或缺”转变。

诸多变化之中，人力资源管理正逐步向生态化员工体验和员工生命周期管理方向演变，这一转变预示着人力资源管理技术将深入到企业员工工作与生活的各个层面。因此，无论是企业所购买的HR系统软件，还是HR服务的可靠性、安全性以及内部控制管理，抑或是提供这些IT系统和服务的供应商，均需持续关注并确保对企业数据及员工个人信息的有效保护。

人力资源管理和信息化的关系

在传统的人力资源管理实践中，尚未建立起一套完整的系统化管理模式，这可能导致诸多问题，诸如工作中存在大量重复劳动、员工信息不完整等。特别是在处理员工薪酬的过程中，薪酬计算的原始数据来源繁杂且存在误差、薪资计算种类繁多、手工计算的工作量巨大，以及可能出现的人为错误等问题，这些问题不仅会降低人力资源部门的工作效率，还会对企业的整体运营管理效率造成负面影响。

90年代，人力资源管理观念日渐完善，信息技术亦同步进步。所谓人力资源信息化，即运用信息技术作为手段，以信息系统为工具，对企业的人力资源具体事务进行管理、调整和分析等工作，从而让人力资源部门能更高效地助力企业达成目标。依托信息系统支撑业务运营，确保信息系统能满足企业管理的需求，这是最基本的要求。企业必须认清自身在人力资源管理工作中的难点，这涉及内部人才培养、外部采购，抑或挑选合适的外包服务商，有针对性地采取对策，引入适宜的信息化系统，而非仅仅照搬传统的纸质操作流程。

企业得以借助信息系统，支持那些以往难以实现和管理的业务需求。通过技术赋予力量，企业得以优化管理流程，并加快对用工需求的处理速度。例如，企业可以利用信息化工具来管理灵活用工，在第三方开放的平台上，用工需求方可以发布任务，而符合条件的候选人则可以直接与用工需求方取得联系，并通过该平台完成用工结算等相关事宜。

人力资源管理科技发展历程

在当前商业环境中，用工需求日益多样，员工发展路径和职业选择更加丰富，人力资源管理领域的特性与科技进步相互交织，相互促进，这一行业正处于持续扩展与进步的阶段。人力资源管理的发展历程涵盖了从依赖线下操作和主机运行的系统，过渡到与企业管理资源系统（ERP）相融合的人力资源管理平台，进而演变为集成的全方位人才管理软件，最终形成了更加注重员工体验的云端人力资源管理解决方案。

无论企业内部团队承担还是选择将人力资源管理外包，无论采用企业内部自行开发的信息系统还是依赖外部或SaaS服务，在人力资源管理实际操作中，信息科技扮演着至关重要的支撑角色；与此同时，信息科技所引发的内部和外部风险同样不容小觑。

图为安永内部整理

风险与应对

业务流程的合理有效性

在开发或采购人力资源管理系统时，主要面临以下几项风险：业务部门，尤其是人力资源部门的人员可能参与度不足，主要依赖IT部门的投入；人力资源部门可能未定期与相关部门同步系统建设的进度，系统测试的计划、步骤或用例存在不完善之处，尤其是缺乏最终用户的测试，未能及时发现系统无法满足业务需求的问题，从而增加了无法实现需求功能的风险；企业可能未能及时与外部供应商沟通项目开发计划和执行情况，导致实施内容与建设目标出现偏差，进而造成开发工作无法满足企业需求的风险。

企业需确立信息系统开发的规范流程，对需求分析、架构设计、软件开发、测试、用户测试、系统验收、上线和数据迁移等环节制定标准。在此过程中，人力资源部门应积极参与，详尽解释项目需求说明书所涵盖的业务领域与具体内容，并定期对开发进度和执行情况进行监督。

此外，企业需从宏观角度审视人力资源管理系统在企业信息化整体战略布局及执行过程中的角色定位。它既是数据的起点，又是数据的消费者。企业需全面规划，包括评估人力资源管理系统是否构成员工主要数据中心、是否为其他内部管理系统提供数据输入、数据在不同内外部系统间的交流是否安全稳定、以及公司整体数据安全策略是否适用于对人力资源信息高度敏感的领域。

信息系统的稳定可用性

对于员工日常高频使用的人力资源管理平台，特别是在企业进行薪资计算和发放的关键时间点，该系统必须应对大量的同时访问请求。因此，企业需要在信息系统运维与日常管理、故障处理、日志记录、资源容量规划以及变更控制等多个层面，重视并确保人力资源信息系统的稳定运行和安全可用。

企业需对系统容量需求进行监控和把握，对未来的资源需求进行预估，并据此制定容量发展计划；在尽可能降低对业务运营影响的情况下，依照规范的容量调整流程，合理增加系统容量；同时，通过将人工监控与自动化监控相结合，强化安全检查，以便能够迅速发现系统运行中的问题，并采取相应措施予以解决。一旦发生运行事故，应迅速作出反应，按照层级进行报告，事故应急处理完毕后，立即进行复盘总结，直至问题得到根本解决并完成根本原因的剖析。同时，企业应对人力资源管理系统进行有效备份，定期执行备份恢复测试，制定详尽的业务连续性预案，并进行演练和更新，同时培训相关人员，以减轻突发灾难的影响并确保业务支持的持续稳定与可靠性。

数据安全保密性

在现今数据密集型时代，尽管员工对即时、便捷地获取信息的期望日益增强，然而，人力资源管理系统承载着企业组织结构、员工个人资料、薪酬等众多信息，因此，在确保数据安全获取的前提下，提高系统的响应速度和性能显得尤为重要。企业可以从访问权限、数据管理以及合规性等多个维度进行深入思考。

为了阻止未经授权的信息资源访问，我们采用高效的身份验证和访问控制措施，对用户身份及权限进行严格管理，尤其是在用户进行远程登录时，我们需特别加强其安全防护，这包括对物理安全的重视。

对网络安全、通信安全、数据传输安全、用户访问控制、网络入侵检测、恶意软件防护以及安全审查等多个领域进行审查。

全面遵循职责分设的原则，例如确保软件开发者不具备生产系统访问权限；薪酬计算、审批流程与发放操作由不同人员负责等。

对于离职员工，尤其是那些曾接触公司机密信息、产品资产等关键信息的核心人员，建议签订竞业禁止和保密协议，以降低信息泄露的可能性。

从制度及实操层面对数据全生命周期进行管理

制定信息安全策略需严格遵守国家相关法律法规及主管部门的规定，同时要定期对其实施情况进行检查，确保其得到切实和有效的执行。

可考虑依据信息资产的价值及关键性等因素，构建并执行相应的分类与等级保护策略。

对信息安全风险进行持续评估，以便及时发现潜在的风险和漏洞，进而制定相应的整改措施，并确保责任得到有效落实。

企业能够通过权限管理、数据加密、网络配置等多种手段，确保数据存储与访问的安全性，进而实现人力资源信息的快速且安全地共享。

人力资源外包及相应SaaS服务的可靠性

综合来看，人力资源外包可分为产品外包和服务外包。产品外包即企业仅购买人力资源管理信息系统，该系统既可以是定制开发的，也可以是部署在公有云、私有云等平台上的企业自建系统，亦或是外包服务商提供的SaaS模式系统，尽管如此，人力资源管理的工作仍由企业内部负责；而服务外包则涵盖了人力资源的多个方面，包括招聘、人事代理与派遣、薪酬计算与支付，以及人力资源管理咨询等服务的外包。在实施人力资源外包业务时，企业的人力资源部门是主要的使用者；信息系统的管理工作则由企业的信息技术部门承担；至于供应商的管理，则通常由采购部门或质量部门等其他部门负责。在这个过程中，可能会出现管理职责界定不清、监管不到位等问题。

挑选外包服务提供商时，必须对其整体实力进行评估，这涵盖了内部控制与管理的效能、持续运营的潜力、技术及服务的能力等多个方面；一旦选定外包商，必须与其签署服务水平协议、数据处理协议等，以规范服务标准和双方在数据处理上的责任与义务；对于外包商的日常运营，企业需确立具体的管理要求，并定期进行评估，对出现的异常问题及时进行调整，避免因外包服务商的运营问题或合同争议而中断服务，从而降低企业生产与运营的风险，以及服务中断带来的潜在影响。

企业可以选择多种监督手段，本文建议采用体系与机构控制（简称SOC）的评估报告。这种报告由独立的第三方会计事务所出具，针对外包服务商提供的产品或服务进行审查，并形成独立的验证文件。企业及其审计人员通过查阅服务商提交的SOC报告，可以获取详实的信息，从而对服务商的内控体系及安全保障水平进行评估，并有效控制外包过程中的风险。

员工数据隐私性

自GDPR正式实施以来，世界各国纷纷制定了一系列有关个人信息保护的法律法规，企业对于在个人信息保护方面的合规性和风险管理的认识与意识持续提升。在企业与员工互动的过程中，以GDPR为参照，着重指出数据主体对自身隐私信息的掌控权，以及企业对搜集员工隐私信息时的保护责任。尤其是在招聘、执行雇佣合同等众多环节，企业必须提前向员工明示将要收集的个人信息内容、信息保存的时间限制、信息使用的范围与目的、信息是否将用于决策制定，以及这些决策是否与员工个人利益相关。

企业作为员工个人信息的掌控主体，必须对信息收集、存储、运用、共享、转售、公开等各个环节的行为进行严格规范，以有效遏制对员工个人信息的不法搜集、不当使用和泄露行为，从而最大限度地维护员工的合法权益以及社会的公共利益。企业在处理个人信息传输与存储时，必须遵守国内存储规定及出境前的安全评估标准，防止敏感信息泄露；在个人信息收集目的达成后，应严格遵循信息删除的规范流程和方法。若企业采用外包服务或平台，还需确保数据处理方实施相应的技术和管理措施，从而保障数据主体的合法权益。

未来趋势

智能科技的进步使得移动应用与大数据在人力资源管理中的应用范围日益扩大。员工可通过人力资源管理系统在第三方平台的小程序或独立APP中实现移动办公，以此达到在线沟通、快速协作的效果，进而提升工作效率；同时，企业的人力资源部门也能借助人才画像、简历推荐、趋势分析等大数据应用场景，从日常人力资源工作中解脱出来，专注于企业战略层面的思考和规划。企业同时需关注人力资源管理实践中可能存在的合规风险，这包括从移动端应用的安全防护、员工画像的准确性以及自动化决策的合法性等多个维度。

结语

企业关注于人力资源管理实际状况，伴随互联网的进步，大数据技术的广泛应用，公众对信息安全和个人隐私保护的意识正逐步增强，因此，企业对员工数据的使用与保护方面的监管要求也将日益严格。企业在人力资源管理实践中需不断深化对科技风险管理的理解，丰富相关经验，并推动其方法论的更新，从而让人力资源信息能够为人才管理提供更丰富的价值支持。

安永科技的风险咨询服务团队擅长于人力资源管理领域的风险应对，这包括但不限于信息系统安全的审计工作、提供SOC报告、进行第三方风险管理和合规性评估，以及IT系统上线的评估服务。如有需求，敬请与我们取得联系。

注：

国际数据公司（IDC）在《中国企业应用软件SaaS市场解读，2019》一书中，于2021年2月进行了详细的分析。

欢迎联系我们。

李敏敏

大中华区科技风险咨询服务主管合伙人

安永（中国）企业咨询有限公司

+86 2228 2383

estella.li@cn.ey.com

赵剑澐

科技风险咨询服务合伙人

安永（中国）企业咨询有限公司

+86 2228 3692

eric-j.zhao@cn.ey.com

徐旸

科技风险咨询服务高级经理

安永（中国）企业咨询有限公司

+86 2228 6593

jessica-y.xu@cn.ey.com

程茗

科技风险咨询服务经理

安永（中国）企业咨询有限公司

+86 2228 8730

ming-c.cheng@cn.ey.com

本篇内容旨在普及常识，并不构成会计、税务、法律等领域可信赖的专业建议。请咨询您的专业顾问以获得针对性的指导。

若需转述本篇文章，请务必保持原文完整，不得进行任何改动，并需明确注明出处为安永官方微信公众号。若对内容进行编辑，须事先取得安永的正式书面同意。