企业信息化风险与风险管理

联系地址：福建省闽候县上街镇溪源宫路2号江夏学院（筹）会计系 林建雄收邮政编码：350108 联系电话：13055278384Email:LJX9918163.com QQ:450147869 企业信息化风险与风险管理 收稿日期：20091108； 修回日期：2009123林建雄 作者简介：林建雄（1971年8月），男，福建仙游人，福建财会管理干部学院会计系副教授、研究生，主要从事会计信息化教学与研究工作。Email：ljx9918163.com。，（福建财会管理干部学院，福建 福州，350108）内容摘要：企业信息化中的存在各种风险问题，如何提高企业信息化风险能力成为当务之急。应充分利用网络信息技术，开展信息化风险管理的创新工作，明确信息化风险全面管理的目标，加强对企业信息系统内部系统关键点的控制，构建信息化全面风险管理控制体系，以满足企业管理的需要，提升竞争力，实现更大的经济效益。关键词：企业信息化；信息化战略；信息化风险；全面风险管理；控制体系Enterprise Informationization Risk and Risk ManagementLin Jian Xiong,（Fujian Finance and Accounting Administrator College，Fu-Zhou, Fu-Jian,350108）Abstracts: The enterprise informationization exists various risk problem and how to improve the enterprise informationization risk ability to become the urgent matter. Should use the network information technology fully, the development informationization risk management innovation work, is clear about the informationization risk comprehensive management the goal, strengthens to the enterprise information system internal system key point control, the construction informationization comprehensive risk management control system, satisfies the business management the need, promotes the competitive power, realizes a greater economic efficiency. Key words: Enterprise informationization; Informationization strategy; Informationization risk; Comprehensive risk management; Control system企业信息化作为推动和实现企业体制创新、技术创新、管理创新，增强企业核心竞争力的重要手段和必由之路，已为我国许多企业普遍认同，并成为他们的战略选择。同时企业信息化又是一场高风险的管理革命，据统计，在企业信息化的实施项目中，只有15%左右能按期按预算成本进行项目实施和系统集成；约一半的项目会在实施中流产或失败。1企业信息化的建设是一个不断发展变化的过程，信息化的实施过程是一个长期不断的过程，随着时间的推移，对企业的相关人员，尤其是领导的积极性是一个很大的考验。同时随着市场经济的逐步深入,企业需要面对的内外部不确定性因素在日益增多, 企业管理水平已经难以跟上环境的瞬息万变,在企业的信息化过程中存在不可避免的问题发展中的风险问题。一、企业信息化的风险信息化的风险被界定为信息化可能或者实际带来的消极威胁，企业实施信息化工程一般存在着较大风险。风险管理泛指确认风险、评价风险、回应风险的过程。风险管理涉及复杂的结构、机制、过程和制度安排，其目的在于尽可能地降低风险的发生以及风险发生以后所带来的损失和威胁。（一）社会环境风险社会环境风险是指企业遇到的来自其经营环境的法律、社会、政治和经济等各方面的风险。如政策、法律的改变，使企业的生产经营受到冲击，环境风险包括系统安全风险、关联方业务合作风险等。（二）战略规划风险在由传统管理企业向信息企业转变的过程中，企业缺乏整体的信息应用规划，特别是符合企业发展战略和管理现状的，与企业资源适度配合的整体规划。这样在企业信息化整体应用的推进过程中，势必会造成资源分散、信息孤岛林立，最终难以发挥系统的整体效益。（三）组织管理风险企业信息化建设知识综合性强、涉及的范围广、部门多，除了涵盖企业内部职能部门外，信息化建设往往涉及供应商、客户、分销机构等。企业实施信息化存在组织管理风险，管理风险包括组织结构不合理、管理思想混乱、管理职能虚化、员工凝聚力下降等方面。管理风险存在于企业信息化实施工作的全过程，轻则增加成本、延长进程，重则导致企业信息化实施失败。信息化首先是一个管理问题，其次才是技术问题。（四）人力资源风险信息化建设归根到底是要人来完成的，信息化项目需要企业建立自己的信息化建设梯队，而信息化人才又是既懂业务、又懂管理、还要懂计算机的复合性人才，这就需要我们的企业培养人，而且更要留住人才。目前导致我国企业信息化项目实施失败的主要原因之一便是专业化复合性人才匮乏。一方面，作为信息化主导之一的软件厂商缺少信息化管理的咨询专家和实施人才，无法准确地向企业推荐自己的信息化管理软件。另一方面，作为信息化实施主体的企业，人才匮乏不仅影响了当前信息化实施的进程，更重要的是长远地对信息化工程产生的危害：其一，企业奇缺CIO(首席信息官)，其二，缺乏信息管理师，进而导致企业信息化缺乏内动力，无法正常、高效地运行下去。（五）流程风险流程风险包括营运风险、授权风险、信息技术风险和财务风险。财务风险，信息化项目投资少则上百万，多则数千万，包括信息化软件费、网络硬件费、实施服务费(费用比大致为1：2：3)。由于企业的业务不可能是一成不变的，如果企业的发展战略、组织结构、业务流程发生了较大的变化，整个信息系统也要作相应的调整，系统的投入会更大，这些隐含的成本由于其本身存在较大的不确定性而容易被忽视，最终形成所谓的IT黑洞。（六）执行控制风险执行控制风险包括信息化软件选择、实施服务商选择、实施进度控制、实施成本控制等方面。上述企业信息化实施工作不当，轻则增加成本、延长进程，重则导致企业信息化实施失败。实施过程中，服务方缺乏相应的实施规范，忽视或者不深入进行项目的可行性研究、需求分析、系统分析等前期工作，导致企业信息化系统的功能、实用程度都不够理想；实施过程中的监控力度不够，使信息化实施项目不能按计划完成；实施结束，没有相应的验收，或是验收的标准出现分歧，使企业的信息化项目成为“难楼工程”。（七）监督考核风险通常，企业和政府部门在IT规划过程会对信息化需求的分析和系统选型的实施给予足够的关注，然而往往忽视了与之相配合的IT管制体系的建设和优化。一方面，信息化建设并不以系统的上线为止，相反，更多的工作在于系统的推广、维护和优化；另一方面，随着企业对信息化应用的不断深入，企业对其依赖也越强，而企业在提高效率的同时，管制缺乏所隐藏的风险也将越来越突出，如信息安全的隐患、无形资产流失的风险、系统故障给业务带来的影响等等。企业进行内部控制的建设成本几乎全由企业自行承担，如果没有外部监管，内部控制也就只能是纸上谈兵而不能够真正发挥作用。二、企业信息化风险的成因企业应用信息化系统，存在一定的风险，分析风险的目的不是要企业放弃实施信息化系统，而是要企业充分估计风险，正确对待风险，认识到信息化的实施是管理项目而不仅仅是IT项目，并通过项目管理有针对性地管理风险，从而成功实施信息化。在当前的新形势下，我国企业的信息安全实践仍然面临着许多问题:第一，绝对安全的观念依然束缚着风险管理思想的树立。一味追求“绝对安全”使一些企业在信息安全建设中存在着人力物力等资源上的严重浪费，也使大多数中小型企业无力承担相应的费用。第二，主观上风险意识淡薄影响着对我国在信息安全上面临高风险形势的认识。大多数企业的最高管理层对信息资户所面临威胁的严重性认识不足，或者仅局限于TI方面的安全，没有形成一个合理的信息安全方针来指导企业的信息安全管理工作，这表现为缺乏完整的信息安全管理制度，缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训，现有的安全规章不能严格执行，目前发生的安全事件许多是由于安全意识差所导致。第三，重视安全技术、轻视安全管理的情况依然存在。仍有相当一部分企业认为信息安全就是信息安全产品的堆砌，仅仅依赖安全产品。目前企业普遍采用现代通信技术、计算机和网络技术来构建企业的信息系统，以提高企业效率与竞争能力，但是相应的管理措施不到位。据有关资料显示，信息安全大约70%以上的问题是由管理方面的原因造成的，也就是说信息安全问题不仅应从技术方面着手，同时更应该加强信息安全的管理工作。第四，认为信息安全仅仅是信息技术部门的事，义务和责任都是TI部门的，导致信息技术部门不能和企业内部的其他部门互动，从而形成一个孤岛。然而，信息安全的实现尤其是许多规章制度、规范标准的贯彻落实，涉及到企业的每一位员工，需要企业各个部门的全员行动。第五，信息安全管理缺乏系统管理的思想。大多数企业现有的安全管理模式仍是传统的管理方法，即出现了问题才去想如何补救，是一种就事论事、静态的管理，不是建立在信息安全风险评估基础之上的动态、持续改进的管理。第六，现代信息系统在规模上日益庞大，网络结构越来越复杂，因此现有的风险管理理论和手段难以完全满足有关要求，企业应当以国际上先进的信息安全风险管理理论和最佳实践为指导，并结合实际情况和需求，实现自身的信息安全。2信息化风险的生成机理是复杂的，一方面是内因，由信息化自身的特点所决定：第一，信息化的无疆界特征；第二，信息化的低成本特征；第三，信息化的开放性特征；第四，信息化的匿名性特征。另一方面是外因，是信息化的风险源；我们把其中重要的归纳为十个方面：第一，自然灾害；第二，安全生产事故；第三，网络攻击；第四，借助信息化手段进行欺诈；第五，病毒和蠕虫；第六，内部泄密；第七，使用不当；第八，因内部因素而造成的信息、数据的修改和丢失；第九，因外部因素造成信息、数据的泄露、篡改和丢失；第十，安全防范措施不到位的高端技术。要解决这些问题，必须要在系统管理思想的指导下，以保证企业业务目标为最终目的，通过风险评估确定企业的安全状况，发现安全隐患和问题;结合企业的安全需求，按照等级保护的原则选择保护方式;在整个企业的范围内，整合各方面的资源，建立风险意识的文化等等。归根到底，这些问题都是要通过信息安全风险管理来解决。三、构建企业信息化全面风险管理体系2006 年国资委正式出台了中央企业全面风险管理指引, 全面系统地阐述了风险管理流程和风险管理体系的构成。从国有资产出资人的角度, 对中央企业提出了风险管理的要求, 对企业风险管理的精细化, 包括内部控制等风险管理基础体系的建设做出了明确的指导和要求。企业全面风险管理体系由风险战略、风险管理职能、综合内控、风险理财及风险管理信息系统五个模块组成。风险战略是指导企业风险管理活动的指导方针和行动纲领，是针对企业面临的主要风险设计的一整套风险处理方案；风险管理组织职能是风险管理的具体实施者，通过合理的组织结