企業信息化的風險管理

企業信息化的風險管理可能更多的不是技術問題而是管理問題，不可能一蹴而就，企業信息化的道路任重而道遠，下面是由小編為大家分享整理關於企業信息化風險管理的文章，歡迎大家閲讀瀏覽。

　　1 正確認識企業信息化風險和風險管理

提到企業信息化的風險，大家普遍會聯想到病毒、黑客攻擊，認為只需要使用殺毒軟件、防火牆等安全產品就可以了，但這只是信息化安全方面的風險，是對企業信息化風險的狹義、侷限性認識，這種認識暴露出我們長期以來在風險防範、管理意識方面的薄弱。而真正廣義的企業信息化風險是指在信息化實施過程中，由於各種因素導致結果與最初的信息化戰略目標存在偏差，有偏差即是有風險，不管這種風險是否給企業帶來經濟損失。我們只有通過合理的方法辨識風險、分析風險、控制風險，找出風險來源，區分風險因素對信息化產生的影響，並且針對不同的風險採取相應的防範與化解的措施，力爭將損失和威脅降到最低，才能使企業信息化的效能最大化。

　　2 企業信息化風險的原因

信息化系統相對於一般的項目而言在管理、技術、時間、資金、實施和維護等方面存在更多的風險因素,但歸納起來主要是三個方面：管理層風險、執行層風險、操作層風險。

2.1 管理層戰略風險 俗話説：“站得越高，看得越遠”，只有對信息化做出正確、長期、準確的戰略發展規劃，信息化系統成功的機率、對企業做出的貢獻才會越大。首先，需要企業管理層對信息化的價值理解透徹，不能急於求成、盲目跟風，抱着“別人都有，我也要有，要用就用最好的”等錯誤思想，而要從信息化的實用性、功能性、安全性等方面進行全面統籌和權衡，必須要以支持企業經營管理、提高工作效率為最終目標，可採取分步實施、重點突破、逐步完善的信息化部署戰略。其次，企業信息化是對管理觀念的一種轉變和突破，企業高層必須要理解和接納這種管理思想，必須要在人力、物力、財力上給予信息化建設高度重視，領導的重視和親身參與，勢必帶動各級員工的積極性和參與意識，為信息化項目的實施奠定良好的.基礎。

但是，不少企業高層管理人員尚未認識到這一點，對信息化的認識和管理理念比較落後，在有些領導看來，信息化只是個面子工程，是個無底洞，需要不斷的投入，還不能直接給企業創造經濟效益。因此在進行信息化規劃時目標不明確，動機不純，或者乾脆沒有規劃，為以後信息化實施埋下了隱患。比如：某企業2008年花費十幾萬購買了一套公文流轉系統，該系統功能強大，完全能滿足企業無紙化辦公需要。但是領導長期在外，常年不用電腦,再加上領導無法適應傳統的領導圈閲方式一子被電子簽名所取代，所以長時間採用公文流轉和領導紙質圈閲並行方式。這就是典型的管理層戰略風險，管理層觀念落後，實施信息化動機不純，單純的為上信息化而信息化。最終的結果只能是企業投入了大量資金卻並沒有提高工作效率，信息化系統形同虛設，無法發揮應有的作用，造成資金浪費。

2.2 執行層風險 有了信息化戰略規劃，具體執行部門就要根據規劃實施信息化項目，在具體實施過程中，可能存在來自於技術落後、資金短缺、管理低下、人才缺乏等方面的風險。

2.2.1 信息化系統選擇風險。如今市場上各種信息化軟件、硬件產品眾多，不同應用平台和開發工具，不同的硬件集成，都將決定企業信息化未來的效益、維護成本和轉移成本。一旦系統或設備選型不當，將限制企業信息化的長遠發展。因此選擇信息化系統時要兼顧功能和技術要求，功能上既滿足當前的業務需求，也要考慮未來的業務發展。技術並不是追求越先進越好，而應該選擇現階段技術比較成熟，可升級、兼容更新技術的產品。比如：某國有大型企業2005年耗資上百萬在全公司自上而下部署了一套電子檔案管理系統，但在使用中發現該系統存在諸如操作不方便，與協同辦公平台不兼容等問題，導致系統使用不到半年就夭折了，2010年公司又重新研發了一套全新的電子檔案系統。這就是信息化系統選擇失敗的典型案例，這種情況在現在的企業尤其是國有企業相當普通。

2.2.2 信息化項目管理風險。信息化系統的實施過程是一個複雜而又艱鉅的系統工程，在內部，它滲透到企業經營的不同層次、不同部門之中,是一個全員參與的項目，在外部，它要適應信息化的快速發展，與系統提供商的合作溝通等等。在項目實施過程中，如果各部門溝通不順暢、協同不力;系統實施人員特別是核心人員的流失或中途調動;實施費用嚴重超出預算等都可能直接影響信息化的實施結果。因此，項目實施領導小組必須要掌好舵、舉好旗，嚴把項目進度、成本、質量關，負責各級部門的組織和溝通協調，確保實施人員的穩定性。

2.3 操作層風險 操作層是指實際應用信息化系統的部門或人員，這是最容易被人忽視，也是最容易產生風險的環節。

2.3.1 業務流程風險。在應用信息化系統之前，企業必須要根據崗位職責對各崗位的業務流程進行完善和優化，使信息化系統與實際業務工作相匹配，否則就會造成系統與實際脱節，形成信息孤島，無法發揮作用。

2.3.2 基礎數據風險。在利用信息化系統進行數據分析的時候，必須要求數據及時、規範、準確、完整，否則得出的分析結果就可能與實際大相徑庭。因此，企業要通過一些規章制度來明確和規範數據的內容，通過督導檢查、高額獎懲等手段來確保數據的及時性和準確性。

2.3.3 信息安全風險。其一，要儘量確保信息化系統在安全性上不能有漏洞，發現問題要及時與系統供應商溝通解決;其二，購置相應的安全保護軟件或硬件設備，幫助減少系統安全風險，提高系統的運行穩定性。其三，要制定和完善系統安全運行規章制度、數據故障應急預案，確保系統出現故障時可以及時處理。

　　3 企業信息化風險管理的策略

3.1 建立信息化風險管理機構 隨着企業信息化的不斷推進，信息化在企業中的地位不斷凸顯，並且成為企業核心競爭力的組成部分。因此，企業應該及時組建企業信息化風險管理機構，它的職能是建立科學的風險分析、評估體系，定期評估信息化風險，監控信息化實施、運行過程，從企業整體利益出發，根據產生風險的性質和特徵，選擇不同的風險處置方案。設置企業信息化主管(CIO)，直接對企業決策層負責。

3.2 建立科學、規範的業務流程 管理手段的落後和管理流程的混亂，是大多數企業的通病，企業信息化關鍵的一步，就是建立一個科學、規範、先進、適用的工作業務流程，並且要將管理策略和制度融入業務流程之中。“沒有規矩，不成方圓”，企業都制定了一大堆管理制度，涉及到企業管理的方方面面，但這些制度或多或少被束之高閣、有名無實。因此，要將這些管理制度和業務策略信息化，用程序化的手段融入業務流程之中，成為業務處理過程中的決策工具，實現業務流程和業務控制策略、企業管理制度一體化的信息化系統。

3.3 營造一個信息化風險管理的環境 信息化是把“雙刃劍”，大家既要認識到信息化給企業帶來的積極意義，也要認識到信息化失敗給企業帶來的危害。因此，營造一個信息化風險管理的文化環境是非常重要的，平時要注意培養大家風險管理的意識，並貫徹到日常工作中去。隨着信息化的逐漸深入，當信息化己成為日常工作的必須工具，與自己的業務本職工作息息相關的時候,大家就會意識到自己對於風險防範的責任，加之經常培訓員工風險管理的方法和措施，企業整體的風險管理能力就會逐步提升。

3.4 引入第三方風險檢測、評估機構 在信息化的風險管理中，很多風險必須通過專業的手段和儀器才能夠進行檢測和分析，因此還應該引入第三方檢測評估機構，通過專業化的檢測手段發現系統錯誤，對系統作一個公正、客觀、科學的評價,最大程度地避免信息化的“豆腐渣”工程。在這個過程中，我們要摒棄傳統的自我保護思想，害怕被發現問題，要以更加開放的心態去進行信息化建設，內外合作，才能逐步增強抗風險能力。