报告核心观点 - 软件成分分析（SCA）工具可帮助软件开发团队从许可合规性和安全漏洞角度跟踪和分析引入项目的开源代码 但缺乏标准方法比较和评估此类工具 本文旨在推荐评估多个SCA工具的一系列比较指标 [3] 评估指标 知识库 - 衡量知识库大小 包括开源项目数量和跟踪文件数量 列出主要跟踪的存储库、生态系统、源语言 区分包级别检测和特定语言支持 明确知识库更新频率、客户请求添加到知识库的时间和流程 [7] 检测能力 - 具备校正/配置分析器的能力 说明检测方法 处理部分代码片段 提供校正和验证结果的选项 支持对结果进行排名 能够自动识别代码的来源和许可 减少误报 支持多种类型的分析 明确支持的语言及分析类型 [10] 易用性 - 具有直观的设计和用户界面 提供本地客户端、浏览器插件或移动客户端 运行所需培训极少或无需培训 但提供结果检查和评估的培训 [11] 操作能力 - 提高源代码扫描速度 确保工具可用于并购活动且无使用模式的许可限制 支持不同的审计模型 具备编程语言无关性 能够在组织内复用扫描说明 与构建系统无关 提供API和命令行界面（CLI） [13] 集成能力 - 支持用户界面集成 能够将组织的合规政策集成到工具中 并根据声明的政策和规则标记代码 [14] 安全漏洞数据库 - 关注漏洞数据库的大小、更新频率和漏洞信息来源 了解工具提供商为验证漏洞警报所做的额外研究 评估漏洞检测的精度、召回率和上下文漏洞优先级排序能力 [14] 高级漏洞发现 - 支持高级漏洞发现 能够识别复制到新组件中的漏洞代码 [15] 相关成本 - 考虑基础设施成本、运营成本、年度许可成本、与现有工程/IT工具和基础设施集成的初始成本、导出项目和其他信息的能力、锁定成本以及工程定制成本 [15] 支持的部署模型 - 支持现场部署、云部署或混合部署 明确代码和项目信息离开网络的情况 [16] 报告能力 - 能够生成所需的合规通知 明确通知的依据和包含的内容 支持多种报告格式和开放标准格式 [16] 相关项目 - 开放合规计划 为开发者和律师提供开源合规工具和最佳实践的学习起点 [21] - ACT（自动化合规工具） 旨在改进检测和遵守开源许可证的软件工具 提高开源合规工具的互操作性 [21] - OpenChain 定义组织开源合规计划的关键要求 建立一致性计划 使公司能够自我认证 [21] - SPDX（软件包数据交换） 以标准化、人机可读的格式传达软件物料清单信息 促进组织间信息沟通和合规工具的互操作性 [22] - 面向软件开发人员的开源许可基础培训 为开发者提供免费的在线开源许可和合规培训 [22] - 白皮书和博客文章 定期发布关于解决日常实践中出现的开源法律问题的内容 [22]

报告核心观点 - 开源并购评估清单可评估组织开源实践 需坦诚评估开源项目优缺点 组织应根据自身情况调整合规方法 [7][9][10] 评估类别 开源软件发现 - 产品开发周期早期进行开源软件发现 系统识别需合规分析的软件和材料 [13][17] - 第三方供应商披露交付物中的开源软件 组织审查披露内容准确性和完整性 [19] - 组织定期审计开源软件使用情况 准备开源物料清单 [19] 开源软件使用的审查和批准 - 组织审查所有产品和服务中使用的开源软件 定义触发重新批准的情况 [21] - 采用系统方法识别代码基线变化 有效进行增量合规 [21] - 开源审查委员会审查和批准开源软件使用 定义相关程序并记录审议情况 [23] 义务履行 - 组织验证第三方供应商提供满足开源许可义务的信息 定义触发许可义务的软件传输模式 [27] - 组织以一致和规范的方式履行义务 提供许可证文本和义务要求的存储库 [27] - 开发团队按要求提供完整源代码 进行验证活动确保源代码可构建和符合要求 [29] 社区贡献 - 社区贡献按定义流程审查和批准 确定员工贡献是否与工作相关 [34] - 明确计划贡献的版权归属 跟踪公司对开源社区的贡献 [34] 政策 - 制定政策使公司能够在产品和服务中使用开源软件 由高级管理人员倡导并传达给整个公司 [35] - 政策涵盖合规行动的角色和职责、开源软件使用的审查和批准流程等内容 [38] 合规人员配置 - 提供有技能和知识的人员参与合规工作 明确合规职能的工作描述 [38] - 从跨职能部门抽调人员参与合规 提供培训和学习机会 [38] 业务流程调整 - 估算合规工作的总工作量和持续时间 制定人员配置计划以满足产品发布周期 [41] - 修改现有业务流程以纳入开源合规活动 进行流程失效模式与影响分析 [42] 培训 - 为接触开源软件的人员提供基本培训 定义培训对象并记录培训情况 [46] - 提供开源相关主题的额外培训 鼓励内部开源用户和贡献者社区的发展 [46] 合规流程管理 - 明确实现组织级开源合规的责任 合规支持团队可获取相关专业资源 [48] - 应用项目管理原则管理合规项目和团队活动 设定合规目标和优先级 [48] 开源软件清单 - 跟踪产品合规活动的进度 系统跟踪开源问题的解决情况 [52] - 维护产品和服务中开源内容的准确记录 开源审查委员会维护审查记录 [52] 自动化和工具支持 - 评估合规流程以确定自动化和工具支持的机会 定期调查相关工具 [56] - 采用系统方法评估工具 计划和执行工具获取或开发项目 [56] 验证 - 使用批准的方法确定产品中开源软件的内容和需合规分析的文件 跟踪开源问题至解决 [59] - 合规团队按定义程序进行验证活动 确保产品发布时满足开源许可义务 [60] 流程遵守审计 - 进行流程遵守审计以确定组织是否遵循定义的合规流程 评估合规结果 [64] - 审计确定组织是否维护准确的开源软件内容和合规活动记录 [64] 收购目标公司的审计准备 了解代码内容 - 维护完整的软件清单 包括软件组件的来源和许可信息 具备识别和跟踪开源组件的流程 [66] - 制定开源合规政策和详细流程 输出开源物料清单 [67][70] - 大型企业的开源合规团队是跨学科团队 小型公司或初创企业可由工程经理和法律顾问组成 [71][73] - 提供开源和合规培训 提高员工对开源政策和策略的认识 [74] - 使用工具自动化源代码审计、发现开源代码和识别许可证 [75] 保持合规 - 跟踪所有开源软件的使用 编制最终的开源物料清单 履行开源许可义务 [76] - 每次发布软件更新时重复合规流程 及时认真响应合规查询 [79] 使用最新版本以确保安全 - 利用合规计划查找并替换不安全的开源组件版本 升级时确保组件许可证不变 [77][78] - 企业开发者应订阅并监控相关邮件列表 关注安全漏洞和修复信息 [78] 评估合规工作 - 参与OpenChain项目并获得“OpenChain Conformant”状态 确认组织有开源软件合规流程或政策 [79] 收购公司的审计准备 选择合适的审计方法 - 传统审计模型由第三方审计公司的合规审计员远程或现场扫描源代码 按流程执行并交付报告 [82][87] - 盲审计模型由FOSSID AB利用专有技术在不查看源代码的情况下进行审计 提供高度保密性 [89] - 自行审计方法使收购方或目标公司可使用开源合规云工具自行扫描 适合有内部经验的公司 [92] 明确关注重点 - 确定关键的许可证和用例 关注相关信息 [97] 提出正确问题 - 利用清单中的问题与目标公司沟通 澄清或确认合规相关问题 [98] 确定交易前需解决的事项 - 识别开源审计中发现的不可接受的许可证或合规实践 要求目标公司解决 [99][100] 制定收购后合规改进计划 - 收购大公司收购小初创企业时 帮助目标公司建立正式合规政策和流程 提供培训和支持 [101] 推荐的合规相关开发实践 推荐实践 - 使用开源软件前请求批准 链接代码时遵循相关规定 [104] - 更新修改日志 记录代码与开源软件的接口信息 [104] - 保存开源软件包的许可证信息 升级时验证许可证是否变化 [104] 避免常见错误 - 不删除或干扰现有许可或版权信息 不重命名开源组件 [107] - 未经批准不复制粘贴代码 不将开源或第三方代码提交到内部产品源代码树 [107] - 未经批准不合并不同许可证的源代码 不与公司外部人员讨论合规实践 [107] 结论 - 开源尽职调查是并购交易中重要的一部分 若双方做好准备并与高效的合规服务提供商合作 可快速完成 [108] - 目标公司应保持良好的开源合规实践 收购公司应明确关注重点并具备解决问题的能力 [109] - 开源合规是持续过程 公司应投资建设和改进开源合规计划 [110]

报告核心观点 - 开源发展能实现跨边界协作 透明公开且跨越组织和地域界限 促使全球人员和组织共同成就伟大开源技术 开源发展是全球性活动 涉及软件跨国界分享 一些国家出口管制法规可能要求开源项目采取额外措施确保遵守当地法律 美国《出口管制条例》一般不会对开源模式造成影响 公开发布的开源技术通常不受制于该条例 [4][5][8] 美国《出口管制条例》（EAR）介绍 - EAR是美国联邦政府限制出口的主要条例 由美国商务部下的产业与安全局发布并定期修订 适用于所有“受制于EAR”的物品 管制其出口、再出口或境内转让 EAR下“出口”定义宽泛 包括多种行为 但公开发布给全世界的开源技术通常不受制于EAR [10][11][14] 将EAR应用于开源软件 - EAR界定可能受出口限制事项范围 并为不同物品提供ECCN编码 有些物品受制于EAR 需满足一定条件才能出口 开源技术优势在于EAR明确豁免大多数开源软件和技术 公开发布且无传播限制的开源技术被视为“已发布” 不受EAR管辖 欧盟也有类似可公开获取软件和技术不受出口管制的政策 与EAR范围内事项无关的活动不受EAR限制 若项目含非标准加密技术 开源社区可能需额外措施满足“已发布”要求 [16][17][26] 实施非标准加密技术进行加密 - 2021年后EAR的电子邮件通知要求仅适用于实施“非标准加密”的可公开获取加密软件 “非标准加密”指结合或使用专有或未公布加密功能 软件开发者关注的加密技术是EAR重要内容 EAR管理特定加密软件和技术出口 “加密软件”定义广泛 具备标准加密功能的软件常见ECCN类别是5D002 加密软件若受制于EAR 出口到加拿大以外国家需确认例外适用或获取出口许可证 但首先要确定其是否在EAR管辖范围内 [28][29][30] - 属于ECCN 5D002的加密源代码满足“可公开获取”且实施标准加密技术或实施非标准加密技术并发送邮件通知两个条件 则不受EAR管辖 相应目标代码也不受EAR管辖 开源软件项目中发现非标准加密罕见 使用此类加密应咨询法律顾问 [32][33] - Linux基金会项目源代码包括加密软件均可公开获取 多数为标准加密 且提供邮件通知并公开通知内容 所以其项目源代码及对应目标代码不受EAR加密限制 但修改项目代码或其衍生产品的下游再分销商在源码未公开时 仍需评估是否符合EAR规定 [36][38] 神经网络驱动的地理空间分析训练 - 2020年1月6日BIS宣布的新EAR规定 对专门训练深度卷积神经网络自动分析地理空间图像和点云的地理空间图像软件进行管控 “点云”指坐标系统界定的数据点集合 规定虽立即生效但可能发展变化 可公开获取的软件如开源软件不受EAR管辖 [40][42] - 新规定适用范围狭窄 软件需同时具备提供图形用户界面识别物体、对阳性样本进行归一化、训练深度卷积神经网络、利用训练好的网络识别物体等功能才受管辖 不具备所有功能的软件不受新规定管辖 现有或新创建的可公开获取开源项目不受EAR管辖 [41][42][46] 开源软件社区的最佳实践 - 公开化和公众化 社区应保持技术交流开放公开 公开社区决策和结果 安全问题信息交换可在修复后公开 公开交流虽有时不适但利于建立透明信任社区 [49][50][53] - 使用标准加密法加密 避免在开源项目中使用未公开的非标准加密技术 若项目提供ECCN 5D002项下加密功能并实施非标准加密 需按EAR要求向BIS和NSA发送通知 还可采取公开通知、附加联系方式和负责方名称、建立证据保留系统等措施 [56][58][62] - 确保相应的加密源代码是能够公开获取的 以目标代码形式公开分享加密软件时 要确保源代码可公开获取 项目维护者应审查加密功能分发形式 必要时确保对应源代码公开 除人工审核外 扫描工具可辅助识别大型代码库中的加密软件 [63][64][66]

报告核心观点 - 提出向Linux基金会构建并运营名为信任与安全倡议（TSI）的项目的提案，及其他需投资和帮助的安全问题的建议 [4] - TSI包含八项最佳实践及认证计划，旨在提升开源项目的安全性，且该提案基于此前行业大规模实施软件安全的工作，借鉴微软的可信计算（TWC）和安全开发生命周期（SDL），并针对开源社区和现代软件开发团队进行调整 [5][6] - 实施TSI最佳实践虽不能完全避免安全问题，但能提升软件安全性和用户信心，且该方案会根据反馈和采用情况不断更新和完善 [8] 各部分总结 概述 - 软件安全面临挑战，但有解决的希望，此前已有实现软件安全的经验，且可根据团队文化匹配技术和工具，减少对开发的影响 [11][12] - 文档分为八项最佳实践、认证计划和其他需投资和帮助的安全问题三个主要部分，各部分采用先说明意图和目标，再以表格形式描述具体实践的结构，且该方案可灵活实施 [13][14] 八项最佳实践 角色与职责 - 明确团队安全计划中各角色的职责，缺乏明确角色和职责是导致安全问题的重要原因 [22] - 包括指定首席安全官、首席安全工程师、首席安全架构师等角色，确保每个人了解自己的安全职责，并参加相关培训，大型项目可设立专职安全团队 [23][25] 安全策略 - 定义团队安全计划的内容，组织应发布安全策略，包括组织级和项目级的策略，并确保相关人员阅读和确认 [27][28] 了解贡献者 - 目的是让组织信任贡献者，消费者信任软件，可通过验证贡献者身份、使用强认证、基于角色的访问控制、实施贡献者许可协议和公布贡献者列表等措施实现 [30][31][33] 软件供应链 - 软件供应链攻击常见，需锁定工具链并验证其中的内容，如仅接受拉取请求、使用受保护分支、数字签名提交、立即处理安全问题等 [35][36] 技术安全指南 - 技术安全指南可缩小安全解决方案范围，Linux基金会可维护核心技术指南并允许组织扩展和定制，包括应用安全、操作系统安全配置、云安全配置等指南 [42][43] 安全剧本 - 定义特定安全流程的执行方式，如事件响应和漏洞管理流程，Linux基金会可开发和维护集中的剧本并允许组织定制 [47][48] 安全测试 - 描述多种安全测试技术，优先推荐自动化测试，也包括一些手动测试，如安全检查、威胁建模、静态分析安全测试等 [50][51] 安全发布和更新 - 对最终用户很重要，组织应定义安全发布标准，对发布进行数字签名，发布安全构建证书，公布不安全版本信息并实施自动安全更新系统 [58][59] 认证计划 - 可基于云安全联盟（CSA）的STAR计划模式构建和运营认证计划，该计划对软件生产者、消费者和安全咨询行业都有好处，Linux基金会可提供相关资源和优惠 [63][64][66] 其他需投资和帮助的安全问题 安全构建证书 - 行业面临难以了解产品安全性的问题，建议Linux基金会构建规范和工具，生成可附加到软件发布的安全构建证书，以提高开源软件和互联网的安全质量 [69][70] 缺乏优秀的开源安全测试工具 - 缺乏可信的免费开源安全测试工具阻碍了安全测试的广泛应用，建议Linux基金会投资开发，可参考一些有前景的项目，并推荐Jacob West领导该工作 [73][74][77] 开源软件包分发对互联网构成风险 - 开源软件包分发存在问题，建议Linux基金会开发和运营中央库分发系统，并内置适当的安全功能 [79] 漏洞披露存在问题 - 通用漏洞披露（CVE）系统存在格式、披露流程、规模和商业冲突等问题，需要重新思考适用于DevOps和开源时代的漏洞披露方式 [82][83][85]

报告行业投资评级 未提及相关内容 报告的核心观点 - 报告研究欧盟私营企业政治参与模式，发现企业政治参与模式差异大，政治影响力得分高的企业绩效更好，且存在政治竞争现象 [1] - 企业政治参与形式多样，包括加入商业协会和建立政治联系等，不同形式的参与受多种因素影响，且对企业绩效有不同作用 [1][23] - 企业政治参与行为受同行影响，政治影响力高的企业比同行表现更优，未来企业政治参与的复杂性可能持续 [64][65] 根据相关目录分别进行总结 欧盟是分析企业集体和政治行动参与的关键焦点 - 欧盟许多国家商业协会、贸易团体和工会等参与政治行动历史悠久，私营企业政治参与持续存在，公私利益在多层次复杂互动 [2][3] - 虽有研究探索企业集体参与公共产品及利用政治联系的方式，但不清楚企业如何结合现有政治参与手段，报告用WBES数据探索欧盟27国企业政治参与和影响模式 [4] 商业协会成员差异主要由跨国差异驱动 - 欧洲政治组织历史悠久且多样，不同国家政治制度、文化和价值观使商业协会发展轨迹不同，现代欧盟结构为商业组织影响政治提供更多途径 [9] - 欧盟27国超半数私营企业属于商业或贸易协会，但各国差异大，部分国家成员率超75%，部分国家低于25%，且成员率在国家间差异大于次国家区域 [10][11][12] 企业对商业协会服务的重视程度取决于成员性质 - 商业协会可为成员提供游说、信息、网络建设和认证等服务，企业加入集体协会取决于边际收益与成本，克服搭便车问题可提高非成员成本或强制成员资格 [13][15] - 多数企业认为商业协会服务“有用”，但克罗地亚、匈牙利和希腊等强制成员制国家多数企业认为服务无用，“公法”国家成员企业认为服务有用的比例低于“私法”国家 [16][18][22] 不同地区的各类企业保持政治联系 - 商业协会成员是欧盟私营企业常见政治参与形式，但存在搭便车和委托代理问题，企业可能寻求更直接政治参与，如利用政治联系，政治联系能为企业带来物质利益 [23][26][27] - WBES调查显示，欧盟4%企业有政治联系，低于商业协会成员率，不同国家和地区政治联系率不同，可能与公私部门工资吸引力有关 [32][33][34] 政治影响力也因政治和商业环境而异 - Francis和Kubinec开发的“政治影响力”指数综合多种企业与官员互动因素，可分析政治参与方式的替代或互补关系，发现政治联系与商业协会成员互补，与腐败经历替代 [37][38][39] - 欧盟27国政治影响力指数差异大，部分国家地区间差异明显，指数高意味着企业需政治参与获更多利益，制度质量弱的地区政治活动收益可能更高 [40][43] 政治影响力在企业绩效方面似乎有明显回报 - 商业协会成员与企业销售和劳动生产率正相关，政治联系与企业固定资产投资正相关，“政治影响力”得分与企业多项绩效指标显著相关 [44][47][49] - 政治影响力高的企业更易受政治活动影响，但并非因贿赂请求增加，可能是对政治交换更敏感或因环境需要而参与政治 [49][50][55] 企业政治参与行为受同行影响 - 企业商业协会成员行为与同行关系不显著，但同行政治影响力高时，企业更可能建立政治联系和提高政治影响力指数 [62][63][64] - 企业政治影响力高于同行时，其销售、规模、生产率和投资等绩效指标表现更好 [64] 私营部门政治参与的复杂性可能持续 - 欧洲政治制度复杂多样，私营企业集体和个体政治行动将继续，商业协会参与历史悠久，但强制成员制国家企业参与度或对服务认可度低 [65][66] - 许多企业会寻求多种政治参与形式，政治影响力在制度环境弱的地区回报明显，同行政治参与会引发类似行为，政策制定受制度环境、企业对集体行动的重视和回报影响 [67]

报告行业投资评级 未提及 报告的核心观点 - 欧盟27国企业认为缺乏受过充分教育的员工是最大障碍，经济发展难以自动解决该问题 [1][65] - 企业提供培训能有效提升员工技能，且不替代外部教育，高层管理者高学历对提升管理质量和劳动生产率很重要 [1][65] - 提升员工和管理者教育与技能的政策，针对特定企业实施会更有效 [66] 各部分总结 可能原因 - 欧盟27国企业将缺乏受过充分教育的员工列为首要障碍，约27%的企业认为这是运营的最大阻碍，该问题在不同规模、行业、地区和年龄的企业中普遍存在，尤其在大中型企业、制造业企业、较发达地区企业和老企业中更为突出 [2] - 同一国家内不同NUTS2地区企业提及该问题的比例差异大，需考虑地区因素来理解问题 [3] - 经济发展水平通常影响受过充分教育员工的可获得性，但数据显示，随着人均收入增加，更多企业将缺乏受过充分教育的员工列为首要障碍，不过超过一定收入门槛后，这种关联不显著，政策上，较富裕地区应更关注确保此类员工的相对供给，且随着经济发展，政策重点应向此转移，经济充分发展后可稳定 [9][12] 其他衡量指标 - 分析选取15个指标研究熟练和受过教育的员工及高层管理者的使用和可获得性与人均收入的关系，结果不一 [13] - 高收入与制造业中熟练生产工人占比高、半熟练和低技能工人占比低相关 [13] - 较富裕的NUTS2地区在企业提供培训比例、难找到外语技能和特定技术技能工人比例方面表现更好 [14] - 较富裕地区企业难找到自然科学、数学和工程技能工人的比例更高 [15] - 其余8个指标与收入水平无显著关联，部分变量在高收入水平下有显著关联 [16][17] 培训、教育和技能差异及其影响 培训 - 欧盟27国企业常为员工提供培训，典型NUTS2地区43%的企业提供培训，提供培训的企业比例随地区收入增加而上升，但主要由低收入地区推动，超过临界收入后无进一步增加，大企业更倾向提供培训，且报告该问题严重的企业更可能提供培训，培训旨在解决技能短缺问题 [18][22][25] - 无证据表明存在“培训流失”，培训与企业中大学学历员工占比呈正相关，说明二者是互补关系 [26] - 提供培训的企业平均劳动生产率比不提供的高约48%，且对低生产率企业的提升更大，有助于缩小企业间劳动生产率差距 [27] 教育和技能水平 - 欧盟27国约十分之一的员工有大学学位，分布不均，大企业、出口企业和外资企业更可能雇佣大学学历员工，中小企业雇佣此类员工比例低，多数企业使用熟练生产工人，熟练工人占比随企业规模下降，半熟练和低技能工人占比上升，熟练工人与中学学历员工互补，使用手动生产流程的企业熟练工人占比低，但考虑企业规模后关系不显著 [28][39] 就业增长 - 关于熟练和高学历员工使用与就业增长的关系，实证证据不一，控制企业初始就业水平后，熟练和半熟练工人占比上升，企业过去三年就业增长率显著下降，该结果由NUTS2地区内企业差异导致，与大学学位或中学学历员工占比无显著关系 [41][42] 劳动生产率 - 大学和中学学历员工占比与劳动生产率正相关，但在低生产率分位数下关系弱且不显著，在高生产率分位数下显著，较贫困地区增加大学学历员工更能受益，企业层面熟练工人占比与劳动生产率关系不显著，但NUTS2地区层面呈强正相关，半熟练和低技能工人占比与劳动生产率负相关，熟练工人和大学学历员工并非完全替代关系 [43][45] 工资 - 分析以企业总劳动成本对数作为工资率代理，比较不同企业和NUTS2地区使用熟练生产工人情况与工资分布关系，结果表明更多使用熟练工人不会导致企业间工资不平等加剧 [46][50] 管理者教育 - NUTS2地区成年人高等教育比例高，企业高层管理者拥有学士或更高学位的可能性大，与人均收入无显著关联，一个标准差的高等教育成年人口比例增加，企业有高学历高层管理者的概率增加5.5个百分点 [51] - 大企业、出口企业、外资企业、大学和中学学历员工占比高的企业更可能有高学历高层管理者，与熟练、半熟练或低技能工人占比无显著关系，企业有高学历高层管理者的可能性随企业年龄下降，女性高层管理者更可能高学历，该结果由高等教育成年人口比例高的地区驱动，高学历可消除女性高层管理者相对男性的劣势，家族持股或管理职位占比高的企业，高学历高层管理者可能性低 [52][57][59] - 高层管理者高学历与管理质量正相关，对中等管理质量企业影响更大，对大企业不显著，有高学历高层管理者的企业劳动生产率高约14%，对高生产率企业更有利，还与更多出口、更多就业创造和更高研发活动可能性相关，但难以确定高学历管理者改善企业绩效的渠道 [60][63][64]

报告行业投资评级 未提及相关内容 报告的核心观点 - 利用世界银行企业调查（WBES）数据，分析欧盟27国私营部门管理实践的采用情况，发现管理实践指数在国家内部和国家之间存在显著差异 [2] - 企业规模越大、高层管理非家族成员、高层管理者教育程度越高，管理实践指数越高 [2] - 管理实践与企业生产率呈正相关且关系稳健 [2] 根据相关目录分别进行总结 管理实践指数构建 - 基于WBES问卷中关于管理实践的问题，选取八个变量构建管理实践指数，分为监控、目标设定和激励三个类别 [5] - 计算企业管理得分时，取八个管理实践指标的平均值，得分范围为0 - 100，得分越高管理实践越好 [10] 管理实践的分布 - 国家层面上，管理得分在欧盟国家间差异显著，国家层面得分在34 - 64之间，欧盟27国均值略高于47，马耳他和保加利亚排名靠前，葡萄牙和意大利靠后 [19] - 多数国家中，监控类管理实践得分高于激励和目标类，目标类对管理实践指数贡献通常较少 [19] - 地区层面上，北欧地区得分高于南欧地区，国家间异质性比国家内异质性更显著，国家间异质性解释了8.4%的得分差异，国家内NUT2地区间差异解释了7% [21][24] - 国家内，行政首都或重要经济中心所在地区管理得分往往较高，部分高得分地区集群跨越国家 [25][26] - 高于欧盟27国平均得分的国家，NUTS2层面指数离散程度较低，反之则较高，各国至少有一个地区得分高于欧盟27国平均水平 [27] 管理实践的驱动因素 - 企业层面，家族企业中高层管理为家族成员时，管理得分低于高层为外部人员的企业，家族所有权对管理得分影响较小 [36] - 企业规模是与更好管理实践最相关的因素，企业规模每增加1%，管理实践采用得分约增加6点；出口企业和竞争环境更激烈的企业管理实践得分更高 [47] - 高层管理者为女性对管理得分有积极作用，高层管理者教育程度越高，采用更好管理实践的可能性越大 [47] 管理实践与生产率的关系 - 生产率以“人均销售额”衡量，西欧和斯堪的纳维亚国家生产率较高，部分国家内部差异大，东欧和南欧生产率滞后 [48] - 生产率和管理实践得分在国家和地区层面均有显著差异，生产率较高地区在采用更好管理实践方面的同质性较低，生产率的差异相对小于管理实践得分的差异 [50][51] - 管理实践指标得分越高，与更好的经济表现相关，监控、设定目标和创造激励有助于明确企业目标、提高销售和生产率 [52] - 管理实践得分与生产率呈正相关，国家层面管理得分每提高10个百分点，生产率约提高26%；NUTS2层面管理得分每提高10个百分点，人均销售额提高20% [54] - 控制其他因素后，管理得分每增加1个百分点，人均销售额对数增加0.7% - 2.2%，使用“人均增加值”衡量生产率时结论相似 [58]

报告核心观点 - 采购已从单纯的成本中心转变为战略职能 有效管理尾支是企业优化成本和提高运营效率的潜在机会 报告探讨尾支管理挑战并提出创新策略和技术干预措施 以帮助企业释放潜在价值[6][7][8] 分组1：尾支管理的重要性 - 尾支管理常被讨论但很少被优化 尾支占总交易量可达80% 主要是低价值、一次性或不频繁的采购[11] - 尾支可分为隐藏尾、尾头、尾中和尾尾四个部分 各部分有不同特点[14] - 尾支采购存在诸多组织挑战 如违规、价值侵蚀、数据质量和可见性差、内部利益相关者满意度低等 直接尾支管理还存在额外复杂性[15][18][20] 分组2：现代采购设计原则 - 许多组织为解决尾支挑战采取了一些举措 但效果不佳 领先组织正采用现代尾支管理策略 嵌入合规性到工作流程 采用现代购买渠道等[21][22][24] - B2B市场是电子商务平台 提供类似亚马逊的体验 连接买家和多个供应商 管理整个采购过程 确保透明度和可见性[25] - 支出聚合商模型将采购整合到单个供应商下 该供应商管理多个供应商的采购过程 企业可节省成本并专注核心运营[26][30] 分组3：技术在尾支管理中的价值 - ERP和S2P平台处理尾支存在局限性 领先组织正采用先进解决方案 包括数据管理、高级分析、传统AI/ML、生成式AI等[31][33][34] - 数据管理需实施强大系统和策略 数字化手动采购 整合系统 确保数据质量 以利用新兴技术[35][36] - 高级分析可分析尾支数据 提供供应商、类别等方面的见解 帮助优化成本和降低风险[37][38] - 传统AI/ML可提供支出模式的深入见解 增强决策和预测能力 优化供应商选择和工作流程[39][40][41] - 生成式AI可用于自动文档创建、虚拟协助和决策支持等 提高尾支管理效率[42][43] - 最佳实践组织采用生成式AI驱动的IVA和自主采购工具 IVA可简化采购流程 协助沟通和成本控制 自主采购工具可帮助企业与最佳供应商合作[48][49][52] 分组4：成功尾支计划的关键因素 - 组织在选择尾支管理方案时需考虑业务目标 制定深思熟虑的采用计划 明确范围、角色和责任 简化流程 促进协作和用户参与[57][58] - 成功的尾支管理计划包括明确支出分类、确保政策和流程合规、采用多种购买渠道策略、提高数字成熟度和加强协作等措施[61][62] 分组5：结论 - 尾支管理因分散性和决策分散而具有挑战性 但现代组织策略和新兴技术为其带来变革机会 可提供成本节省之外的更多好处[63][64] - 采购技术的快速发展提供了多种解决方案 组织需根据自身成熟度和运营准备情况选择和集成合适的技术 以实现尾支管理的价值最大化[65][66]

报告核心观点 - 证据支持将增强版ACT考试分数解读为高中学习成绩和大学入学准备程度的衡量标准 该解读支持将其用于大学招生决策、奖学金评定等多个方面 增强版ACT与旧版ACT的分数解释具有延续性 且ACT综合分数包含或不包含科学部分在规范性解释上具有较强可比性 [7] 增强版ACT与旧版ACT对比 考试设计 - 增强版ACT与旧版ACT一样包含英语、数学、阅读和科学的选择题测试 但增强版考试更短 每题答题时间更多 还包含不计入分数的实地测试题目 [2] - 增强版ACT在题目数量、时间和测试设计上与旧版存在差异 [3] 可靠性 - 预计增强版ACT的各部分测试分数和综合分数的可靠性低于旧版ACT 但降低幅度较小 相关分数与其他变量的相关性预计也会略低 [10][14] 分数相关性 - 增强版ACT各部分测试分数之间的相关性与旧版ACT类似 但因可靠性降低 相关性略低 [19] 同时效度 - 增强版ACT分数与高中成绩和之前旧版ACT测试分数相关 预计其相关性与旧版ACT相当但略低 且未发现不同学生群体之间存在显著的差异效度 [20][24] 预测效度 - 由于增强版ACT 2024年6月才首次实施 目前尚无相关大学成果数据 利用历史数据模拟的增强版ACT分数与大学成果的相关性与旧版ACT相比下降可忽略不计 但该预测效度证据是临时的 [29][33] 综合分数包含与不包含科学部分的比较 规范性解释 - EMR（不含科学）和EMRS（含科学）分数高度相关 对其他学业成绩衡量指标的关系相似 分数在14 - 36时两者具有可比性 低分段EMR通常比EMRS低1分 [99][103] 个体差异 - 因四舍五入逻辑和科学分数的影响 部分学生的EMR和EMRS分数会有差异 但多数学生的EMR分数在EMRS分数的测量标准误差范围内 且EMR分数低于EMRS分数的情况更常见 [113][117] 分布和统计数据 - EMR和EMR分数分布有95.7%的重叠 但EMR分布峰值更平坦 低分端学生更多 多数群体的平均EMR分数略低于平均EMRS分数 [136] 对大学申请者数据的影响 - 去除科学分数对大学申请者平均ACT分数影响很小 远小于不同学生群体间的差异 且申请者群体成绩水平越高 两者差异越小 [145][149]

报告核心观点 - 家庭式儿童保育（HBC）是重要但常被忽视的儿童保育方式 ，具有可用性、可负担性、灵活性等优势 ，但常缺乏认可和支持 [6] - 提高HBC质量对改善儿童发展成果、增加女性劳动力参与和提高生产力至关重要 [6] - HBC提供者需要支持和认可 ，应将HBC视为公共产品并纳入政策、项目和融资中 ，以确保其可持续性和影响力 [6] 全球HBC概述 选择HBC的原因 - 可负担性：HBC通常是低收入家庭最实惠的选择 ，在南非、孟加拉国和肯尼亚等国 ，低收入非正式工人倾向选择 [19] - 灵活性和便利性：在许多情况下 ，HBC在营业时间、年龄组和离家距离方面比中心设施更具优势 ，如孟加拉国的HBC [20] - 家庭环境：HBC类似家庭氛围 ，能让照顾者更关注每个孩子的需求 ，如爱尔兰的情况 [21] - 与提供者的信任关系：HBC提供者长期服务社区 ，与家庭建立了深厚信任 ，这是全球偏好HBC的关键因素 [22] HBC的现状规模 - 全球HBC规模呈上升趋势 ，美国近30%的婴儿主要由家庭式保育提供者照顾 ，哥伦比亚的HCB项目惠及近130万高危儿童 [23] 创造有利环境的要素 - 培训机会：HBC提供者常缺乏培训 ，OneSky、Kidogo等组织通过培训、指导和辅导等方式提升其技能 [27] - 融资渠道：HBC提供者面临财务挑战 ，一些国家通过创新金融机制支持HBC ，如哥伦比亚政府补贴75%的相关费用 [28] - 质量保证体系：HBC面临注册、质量标准和监测等挑战 ，哥伦比亚、美国等国的组织致力于推动注册和认证工作 [29] - 营养支持：营养对儿童成长至关重要 ，HBC提供者可能缺乏相关知识和能力 ，许多项目通过培训和提供膳食等方式提供支持 [32] 国家案例研究 孟加拉国 - HBC成为城市低收入母亲的新兴儿童保育解决方案 ，但面临服务质量低等问题 [40] - BRAC开发了基于综合护理方法的HBC支持模式 ，支持556名提供者 ，提升环境和护理实践 ，并与小额信贷项目挂钩 [46] 肯尼亚 - 肯尼亚对负担得起的优质儿童保育需求高 ，但供应不足 ，影响经济和妇女赋权 [52] - Kidogo、Tiny Totos、NurtureFirst等组织支持HBC提供者 ，改善儿童发展、健康和教育成果 [55] 哥伦比亚 - 哥伦比亚的HCB是经测试和推广的HBC模式 ，由国家政策、项目和资金支持 ，65000个注册站点服务超100万儿童 [67] - HCB提供综合护理 ，包括健康、营养和早期教育 ，由非营利组织管理 ，资金来自公共融资和家长费用 [70][72] 关键建议和考虑 发展HBC劳动力 - 为HBC提供者提供短期初始课程和后续培训、辅导机会 ，包括认证培训、示范中心、指导和同伴小组等 [80][84] 提供营养支持 - 通过国家支持的社区厨房、学校供餐计划、培训提供者等方式为儿童提供营养支持 [82][85] 建立质量保证体系 - 通过政府或非政府机构将非正式HBC企业纳入正式系统 ，制定灵活的质量标准 ，并发挥非国家组织和社区的作用 [87][91] 提供融资渠道 - 探索公私伙伴关系、基于赠款的融资、合作模式和小额信贷等融资模式 ，确保HBC的可持续性和可负担性 [92][95]