企业信息化过程风险控制与管理.docVIP

企业信息化过程的风险控制与管理 　　[摘 要] 信息化风险依赖于信息化过程而存在,并随着信息化过程的进展而不断呈现出来。本文在分析企业信息化风险因子的基础上,建立了信息化风险的评估模型、控制模型和风险管理策略模型,以期企业在信息化过程与风险管理之间取得平衡,最终取得信息化建设的成功。 　　[关键词] 信息化;信息化项目;风险管理;风险策略 　　doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 09 . 033 　　[中图分类号]F270.7 [文献标识码]A [文章编号]1673 - 0194(2010)09- 0086 - 04 　　 　　0引言 　　 　　经过十几年的发展和努力,我国的企业信息化取得了可喜的成果,但从总体上看,企业信息化仍处于初级阶段,国内信息化建设依然存在着令人堪忧的、带有共性的薄弱环节,不少企业没有充分了解信息化实施过程中的各种风险,将信息化的投资与建设作为一般项目来处理,忽视风险因素可能造成的损失。据统计,在实施信息化的企业当中,对其效果感到满意的企业仅占总数的6%,较满意的企业占52%,不满意的企业占26%[1]。如何有效治理企业信息化风险,保证企业信息化的成功实施,保护企业投资并使企业获得价值提升,是国内外理论界和实务界要解决的重要课题。 　　目前国内对企业信息化风险的研究建立在ISO 13335[2]之上,主要方法包括基于树结构的风险分析、基于层次分析的方法[3]、OCTAVE方法[4]、风险矩阵法[2]和调查问卷法等,这些方法都是定性地分析企业信息化的风险。本文建立一个基于信息化过程的风险控制模型,对信息化风险的监控管理贯穿于整个过程风险控制模型体系,使企业能够及时改善和加强对企业信息化过程的控制,降低企业信息化风险。 　　 　　1企业信息化过程中的风险因子分析 　　 　　风险是在追求利益过程中出现的与利益相背离的价值取向,是可能影响组织目标实现的事件发生的不确定性,是一种遭受损失的可能性,是一种介于确定性和不确定性之间、无知和完整知识之间的状态[5]。企业信息化风险是指企业在实行信息化项目过程中,由于外部环境和信息本身的原因,使得企业不能有效地保护自身重要信息或不能充分地获取、利用外部信息或影响了企业内外部信息的传递、交流等[6],以至造成企业难以确保其所拥有的信息的完整性、安全性、真实性、及时性和有效性,进而对企业的正常经营活动带来危险,甚至可能对企业实现其目标或成功实施其战略的能力产生负面的影响,使企业遭受损失。 　　1.1项目规划阶段的风险因子分析 　　企业信息化项目规划阶段是企业信息化中的一个至关重要的阶段,为企业信息化的实施明确方向和目标,通过企业信息化规划和组织,制定总体战略规划,确定信息技术结构,选择信息技术方案,管理企业信息化投资预算,设立信息化组织架构,合理安排人力资源,制订企业信息化的进度计划,建立有效的沟通机制和质量保证体系。本阶段的基本风险可以从技术、经济、管理、企业的战略方针、内外部经营环境等方面来识别[7],主要包括以下风险因子:(1)项目需求分析的风险;(2)环境与资源支持度的风险;(3)开发方式与项目代理方选择的风险;(4)项目合同的风险;(5)项目建设组织的风险。 　　1.2项目实施阶段的风险因子分析 　　项目实施阶段要确保企业需求的一致性,按计划获取信息化所需的软硬件资源,通过自行开发或外包的方式获得满足企业需求的应用系统,在用户的积极参与下,进行相关的功能和性能测试,并完成整个系统的安装、调试和授权。本阶段的基本风险可以从管理变革、项目进度、成本和质量等方面来识别,主要包括以下风险因子:(1)项目质量控制的风险;(2)项目进度与成本控制的风险;(3)项目相关工作规范化与标准化的风险;(4)项目组成员流失风险;(5)项目文档管理的风险。 　　1.3项目应用阶段的风险因子分析 　　在项目应用阶段,信息化项目被交付使用,通过对用户进行相关的培训,并在用户使用期间为用户提供相应的技术支持,保证系统的正常运作、服务连续性和系统安全。本阶段的基本风险可以从系统性能、系统安全、系统维护与管理等方面来识别,主要包括以下风险因子:(1)需求膨胀的风险;(2)项目应用人员管理的风险;(3)对项目平台/环境/方法不熟悉的风险;(4)工作量估计不准确的风险;(5)缺乏高层管理者的承诺和支持的风险;(6)系统安全风险。 　　 　　2企业信息化过程的风险评估模型 　　 　　信息化风险评估是企业掌握信息化风险信息,确定信息化风险级别,以决定是否需要加强对风险的控制以及如何加强控制的一个重要途径。企业可能根据实际的情况,对企业信息化的重点过程设置预警监控,以及时跟踪、监测、发现和控制风险。