企业信息化的风险管理

时间：2020-08-17 11:25:09 企业信息管理师我要投稿

企业信息化的风险管理

　　企业信息化的风险管理可能更多的不是技术问题而是管理问题，不可能一蹴而就，企业信息化的道路任重而道远，下面是由小编为大家分享整理关于企业信息化风险管理的文章，欢迎大家阅读浏览。

　　1 正确认识企业信息化风险和风险管理

　　提到企业信息化的风险，大家普遍会联想到病毒、黑客攻击，认为只需要使用杀毒软件、防火墙等安全产品就可以了，但这只是信息化安全方面的风险，是对企业信息化风险的狭义、局限性认识，这种认识暴露出我们长期以来在风险防范、管理意识方面的薄弱。而真正广义的企业信息化风险是指在信息化实施过程中，由于各种因素导致结果与最初的信息化战略目标存在偏差，有偏差即是有风险，不管这种风险是否给企业带来经济损失。我们只有通过合理的方法辨识风险、分析风险、控制风险，找出风险来源，区分风险因素对信息化产生的影响，并且针对不同的风险采取相应的防范与化解的措施，力争将损失和威胁降到最低，才能使企业信息化的效能最大化。

　　2 企业信息化风险的原因

　　信息化系统相对于一般的项目而言在管理、技术、时间、资金、实施和维护等方面存在更多的风险因素,但归纳起来主要是三个方面：管理层风险、执行层风险、操作层风险。

　　2.1 管理层战略风险俗话说：“站得越高，看得越远”，只有对信息化做出正确、长期、准确的战略发展规划，信息化系统成功的机率、对企业做出的贡献才会越大。首先，需要企业管理层对信息化的价值理解透彻，不能急于求成、盲目跟风，抱着“别人都有，我也要有，要用就用最好的”等错误思想，而要从信息化的实用性、功能性、安全性等方面进行全面统筹和权衡，必须要以支持企业经营管理、提高工作效率为最终目标，可采取分步实施、重点突破、逐步完善的信息化部署战略。其次，企业信息化是对管理观念的一种转变和突破，企业高层必须要理解和接纳这种管理思想，必须要在人力、物力、财力上给予信息化建设高度重视，领导的重视和亲身参与，势必带动各级员工的积极性和参与意识，为信息化项目的实施奠定良好的基础。

　　但是，不少企业高层管理人员尚未认识到这一点，对信息化的认识和管理理念比较落后，在有些领导看来，信息化只是个面子工程，是个无底洞，需要不断的投入，还不能直接给企业创造经济效益。因此在进行信息化规划时目标不明确，动机不纯，或者干脆没有规划，为以后信息化实施埋下了隐患。比如：某企业2008年花费十几万购买了一套公文流转系统，该系统功能强大，完全能满足企业无纸化办公需要。但是领导长期在外，常年不用电脑,再加上领导无法适应传统的领导圈阅方式一子被电子签名所取代，所以长时间采用公文流转和领导纸质圈阅并行方式。这就是典型的管理层战略风险，管理层观念落后，实施信息化动机不纯，单纯的为上信息化而信息化。最终的结果只能是企业投入了大量资金却并没有提高工作效率，信息化系统形同虚设，无法发挥应有的作用，造成资金浪费。

　　2.2 执行层风险有了信息化战略规划，具体执行部门就要根据规划实施信息化项目，在具体实施过程中，可能存在来自于技术落后、资金短缺、管理低下、人才缺乏等方面的风险。

　　2.2.1 信息化系统选择风险。如今市场上各种信息化软件、硬件产品众多，不同应用平台和开发工具，不同的硬件集成，都将决定企业信息化未来的效益、维护成本和转移成本。一旦系统或设备选型不当，将限制企业信息化的长远发展。因此选择信息化系统时要兼顾功能和技术要求，功能上既满足当前的业务需求，也要考虑未来的业务发展。技术并不是追求越先进越好，而应该选择现阶段技术比较成熟，可升级、兼容更新技术的产品。比如：某国有大型企业2005年耗资上百万在全公司自上而下部署了一套电子档案管理系统，但在使用中发现该系统存在诸如操作不方便，与协同办公平台不兼容等问题，导致系统使用不到半年就夭折了，2010年公司又重新研发了一套全新的电子档案系统。这就是信息化系统选择失败的典型案例，这种情况在现在的企业尤其是国有企业相当普通。

　　2.2.2 信息化项目管理风险。信息化系统的实施过程是一个复杂而又艰巨的系统工程，在内部，它渗透到企业经营的不同层次、不同部门之中,是一个全员参与的项目，在外部，它要适应信息化的快速发展，与系统提供商的合作沟通等等。在项目实施过程中，如果各部门沟通不顺畅、协同不力;系统实施人员特别是核心人员的流失或中途调动;实施费用严重超出预算等都可能直接影响信息化的实施结果。因此，项目实施领导小组必须要掌好舵、举好旗，严把项目进度、成本、质量关，负责各级部门的组织和沟通协调，确保实施人员的稳定性。

　　2.3 操作层风险操作层是指实际应用信息化系统的部门或人员，这是最容易被人忽视，也是最容易产生风险的环节。

　　2.3.1 业务流程风险。在应用信息化系统之前，企业必须要根据岗位职责对各岗位的业务流程进行完善和优化，使信息化系统与实际业务工作相匹配，否则就会造成系统与实际脱节，形成信息孤岛，无法发挥作用。

　　2.3.2 基础数据风险。在利用信息化系统进行数据分析的时候，必须要求数据及时、规范、准确、完整，否则得出的分析结果就可能与实际大相径庭。因此，企业要通过一些规章制度来明确和规范数据的内容，通过督导检查、高额奖惩等手段来确保数据的及时性和准确性。

　　2.3.3 信息安全风险。其一，要尽量确保信息化系统在安全性上不能有漏洞，发现问题要及时与系统供应商沟通解决;其二，购置相应的安全保护软件或硬件设备，帮助减少系统安全风险，提高系统的运行稳定性。其三，要制定和完善系统安全运行规章制度、数据故障应急预案，确保系统出现故障时可以及时处理。

　　3 企业信息化风险管理的策略

　　3.1 建立信息化风险管理机构随着企业信息化的不断推进，信息化在企业中的地位不断凸显，并且成为企业核心竞争力的组成部分。因此，企业应该及时组建企业信息化风险管理机构，它的职能是建立科学的风险分析、评估体系，定期评估信息化风险，监控信息化实施、运行过程，从企业整体利益出发，根据产生风险的性质和特征，选择不同的风险处置方案。设置企业信息化主管(CIO)，直接对企业决策层负责。

　　3.2 建立科学、规范的业务流程管理手段的落后和管理流程的混乱，是大多数企业的'通病，企业信息化关键的一步，就是建立一个科学、规范、先进、适用的工作业务流程，并且要将管理策略和制度融入业务流程之中。“没有规矩，不成方圆”，企业都制定了一大堆管理制度，涉及到企业管理的方方面面，但这些制度或多或少被束之高阁、有名无实。因此，要将这些管理制度和业务策略信息化，用程序化的手段融入业务流程之中，成为业务处理过程中的决策工具，实现业务流程和业务控制策略、企业管理制度一体化的信息化系统。

　　3.3 营造一个信息化风险管理的环境信息化是把“双刃剑”，大家既要认识到信息化给企业带来的积极意义，也要认识到信息化失败给企业带来的危害。因此，营造一个信息化风险管理的文化环境是非常重要的，平时要注意培养大家风险管理的意识，并贯彻到日常工作中去。随着信息化的逐渐深入，当信息化己成为日常工作的必须工具，与自己的业务本职工作息息相关的时候,大家就会意识到自己对于风险防范的责任，加之经常培训员工风险管理的方法和措施，企业整体的风险管理能力就会逐步提升。

　　3.4 引入第三方风险检测、评估机构在信息化的风险管理中，很多风险必须通过专业的手段和仪器才能够进行检测和分析，因此还应该引入第三方检测评估机构，通过专业化的检测手段发现系统错误，对系统作一个公正、客观、科学的评价,最大程度地避免信息化的“豆腐渣”工程。在这个过程中，我们要摒弃传统的自我保护思想，害怕被发现问题，要以更加开放的心态去进行信息化建设，内外合作，才能逐步增强抗风险能力。

【企业信息化的风险管理】相关文章：