当前位置:文档之家 › 企业信息化的风险管理探讨

企业信息化的风险管理探讨

  • 格式:pdf
  • 大小:44.64 KB
  • 文档页数:2

下载文档原格式

  / 2

合集下载

信息化环境下企业内部控制的风险及策略

信息化环境下企业内部控制的风险及策略

信息化环境下企业内部控制的风险及策略摘要:随着信息化技术的飞速发展与普及,企业管理逐渐向数字化、网络化、信息化方向转变,信息化环境下企业内部控制面临着新的挑战和风险。

本文通过分析信息化环境下企业内部控制的风险点和原因,提出了相应的策略和建议,以提高企业内部控制的有效性和安全性。

关键词:信息化环境、企业内部控制、风险、策略、安全性正文:一、信息化环境下企业内部控制的风险点1. 安全性风险:企业信息化系统遭受网络攻击和外部非法访问的风险增加,数据泄露和机密信息被盗取的风险也随之增加。

2. 技术风险:随着信息技术的迅速发展,技术更新换代的速度非常快,企业内部控制人员技术水平缺乏对应的更新和维护能力,面临技术风险。

3. 人为风险:企业内部员工造成的人为错误和不当操作等因素,也会导致企业内部控制系统存在风险,例如非法操作、内部泄露、蓄意破坏、操作疏忽等。

4. 流程管理风险:信息化环境下企业内部控制的流程管理存在漏洞和缺陷,导致企业内部控制工作不能得到及时的跟进和优化,从而增加了风险。

二、信息化环境下企业内部控制的策略1. 安全防范策略:加强企业信息安全工作,设置安全管控措施,用专业的技术手段和管理制度来保护企业核心信息,防范信息泄露和网络攻击。

2. 技术更新策略:加强信息技术人才队伍建设,提升企业控制人员的专业知识和技能,推行科技创新,更新企业内部控制技术与设备,保持与时俱进。

3. 人员管理策略:加强对企业内部员工的管理与监督,实现内部员工全面教育和培训,提高意识,规范行为,在员工离职等关键时刻对员工进行有针对性的退出管理。

4. 流程优化策略:加强对企业内部控制流程的管理与跟踪,建立有效的内部控制流程管理体系,及时发现企业内部管理过程中的漏洞和不足,并进行及时的优化和改进。

三、结论信息化环境下企业内部控制面临的风险与挑战巨大,企业内部控制人员应该加强对控制风险的管理和防范,并实施相应的策略和措施。

企业应该注重信息安全,加强人员管理和技术更新,优化流程管理,提高企业内部控制的有效性和安全性。

企业信息化风险分析与防范

企业信息化风险分析与防范

企业信息化风险分析与防范近年来,随着信息时代的到来和企业竞争日益激烈,企业信息化已成为一种不可避免的趋势。

但在信息化的同时,也伴随着各种风险。

企业信息化风险分析与防范,已成为企业信息化建设的重要环节之一。

本文将从分析企业信息化风险原因、防范措施和建设流程三个方面来探讨企业信息化风险分析与防范。

一、分析企业信息化风险原因1.技术原因:信息化技术飞速发展,新技术新工具层出不穷,但同时也带来各种各样的技术风险。

比如,因技术问题信息泄露,甚至被黑客攻击,造成重大损失。

2.人员原因:企业信息化需要大量专业人员的支撑。

如果人员素质不高,造成数据错乱,甚至故意破坏公司数据,将直接影响企业的运营和形象。

3.管理原因:企业管理不善、人员配备不当等管理问题,也是企业信息化中必不可少的问题。

如果对企业的信息化管理不严格,信息泄露、故意破坏等高风险行为的出现就是不可避免的。

二、防范措施1.技术防范:第一步应该是保障网络及服务器的安全,使用一些安全认证或加密技术。

同时,对于一些重要信息,可以采用数据加密技术以保证信息的完整性不被泄露。

还可以考虑使用一些企业面向安全防御的产品和服务,通过实时监控来保障数据安全。

2.人员防范:企业可以通过员工教育、严格管理制度等方式来保证员工的管理素质和安全意识。

对于一些重要信息的访问和管理,可以实行多重审核和权限管理,以避免信息泄露、误操作等问题。

3.管理防范:加强对信息化系统的管理,严肃对信息管理和使用等行为的监督,采取必要的措施加强对重要信息的保护和监管。

通过有效的信息管理流程和规范操作流程,避免信息的泄露和滥用。

三、企业信息化建设流程1.企业评估:企业应该对自身情况进行全面的评估,包括在信息化建设方面的现状、需要及预算,以及有哪些信息化风险等。

2.策略规划:在评估基础上,合理规划企业信息化建设,确定需要建设的信息化系统及相关的安全措施。

3.系统建设:根据策略规划,建设各项信息化系统,包括网络、软件、硬件等,同时,还应考虑相关的安全措施,如加密、备份等。

企业信息化建设的风险及对策研究

企业信息化建设的风险及对策研究

企业信息化建设的风险及对策研究在现代企业中,信息化建设已经成为了一项必要的任务。

然而,企业在进行信息化建设的过程中,也会面临着一些风险。

本文将从不同的角度来探讨企业信息化建设的风险及相应的对策。

一、人员风险在进行信息化建设的过程中,人员的素质和理念也是至关重要的。

首先,技术人员的不足可能会导致信息系统的错误和漏洞,影响企业的正常运作。

其次,会计等实施信息化建设的人员需要具备相关的专业知识和技能,否则可能会对企业的管理和决策产生不利影响。

因此,企业需要提高人员的培训和教育,不断提升员工的素质和应对风险的能力。

同时,在招聘和选拔技术人员时,也应该加强对人才的筛选和考察,确保技术人员具备专业素质和责任意识。

二、数据风险随着企业信息化程度的提高,数据的处理和管理也变得越来越重要。

然而,不恰当的数据管理可能会导致企业面临一些风险。

例如,数据泄露和丢失可能会对企业的声誉和利益产生非常大的负面影响。

为了应对这些风险,企业需要制定并执行相关的安全策略和规范,确保数据的安全性和完整性。

这包括加强对数据的备份和保护措施、对重要数据进行加密、建立权限管理制度等。

三、供应商风险尽管企业可以通过外包等方式来降低信息化建设的成本和复杂度,但是选择不良的供应商或承包商可能会带来风险。

例如,非法行为、质量问题等问题可能会导致合同的破裂或法律问题的发生。

因此,企业需要在选择供应商和承包商时,注重对其信誉和资质的鉴定,严格按照合约要求进行管理并建立风险监控机制,尽量降低相关风险的发生。

四、战略风险企业信息化建设的决策和规划是具有重要意义的。

错误的决策或规划可能会导致企业在信息化建设中付出沉重的代价,产生战略风险。

例如,一些不成熟的技术或开发项目等可能会导致项目成本超预算,并对整个企业的运作产生负面影响。

因此,企业应该采取合适的决策和规划方法,确保信息化建设能够支持企业的战略目标,并定期进行评估和审查,及时调整和修改相关决策和规划。

企业信息化建设中的风险与控制

企业信息化建设中的风险与控制

企业信息化建设中的风险与控制随着信息化的深入发展,企业信息化建设成为了企业转型升级的必由之路。

企业信息化建设的发展不仅会极大提升企业效率和核心竞争力,还会让企业在竞争中占据更优势的地位。

但是,企业在信息化建设中也面临着诸多风险和挑战。

本文将探讨企业信息化建设中的风险与控制。

一、技术风险企业信息化建设中的技术风险主要来自于技术方案的选型和实施。

技术方案的选型不合理或实施不当都可能导致信息系统出现问题,甚至直接影响企业的正常经营。

为了避免技术风险,企业需要充分考虑技术方案的可行性和实施方案的合理性,确保技术方案能够满足企业的需求和要求,同时,在实施过程中也要保持高度的注意和精准度。

二、管理风险企业信息化建设对于企业的管理水平和组织架构提出了更高要求。

然而,企业在信息化建设过程中,如果没有一个有效的管理模式和良好的组织架构,就很难实现信息化建设的目标和效果。

因此,企业应该从自身出发,建立完善的管理体系和组织架构。

同时,还需要制定合理的管理政策和制度,营造良好的管理氛围和文化,提高员工对信息化建设的认识和支持度。

三、数据风险随着信息化建设的深入发展,数据风险也逐渐成为了企业信息化建设中极为重要的问题。

数据泄露、丢失、篡改等问题都可能对企业造成巨大的伤害和损失。

为了确保数据的安全,企业应该建立健全的数据管理制度和数据应用规范,确保数据的完整性、真实性和可靠性,并设立专门的信息技术安全保障机构进行数据保护。

四、财务风险企业信息化建设通常需要巨额的投入,而且收益时间比较长,财务风险也是影响企业信息化建设的关键因素。

企业在进行信息化投资时,需要掌握好关键的投资指标,确保投资的可行性和收益率。

同时,企业还需要进行合理的财务规划和预算制定,加强财务管理,降低财务风险。

五、人员风险企业信息化建设的成功与否,除了技术、管理、资金等因素外,人员的素质和能力也是至关重要的。

在进行信息化建设时,企业需要确保人员能够承担相应的职责和任务,具备必要的技能和知识,保证项目的顺利进行。

企业信息化建设过程中的风险与应对策略

企业信息化建设过程中的风险与应对策略

企业信息化建设过程中的风险与应对策略随着信息技术的日益普及,在当今数字化的时代,企业信息化已成为企业重要的战略选择之一。

无论是对于管理成本的优化,还是对于企业发展的提升,都需要借助信息化手段来实现。

但是,在信息化建设过程中,也会伴随着一些风险和挑战。

不同的企业信息化风险类型可以分为技术、管理、人员等不同类别。

其中,技术风险是影响信息化建设最为重要的方面。

因此,企业应该灵活运用各种应对策略,以降低信息化风险、加速企业信息化建设。

一、技术风险与应对策略企业信息化建设过程中的技术风险具有不可预测性、复杂性和高度耗时的特点。

技术风险会直接影响项目的成败,因此降低技术风险是信息化建设过程中的首要任务。

以下是常见的技术风险及应对策略:(一)系统稳定性风险在信息化建设过程中,系统故障是不可避免的。

例如,服务器宕机、系统蓝屏等问题都会严重影响企业信息系统的稳定性和可靠性。

因此,为了避免此类问题的出现,企业应建立强大的系统管理和维护能力。

可以采用以下几种方式来应对系统稳定性风险:1.建立完善的系统管理流程企业在信息化建设之初就应该建立起完善的系统管理流程,确保在系统出现问题时,能够及时处理,避免造成重大损失。

2.加强硬件设备的维护硬件设备的维护是保证系统稳定性的前提。

因此,企业应该加强硬件设备的维护和保养,定期检查和更新设备驱动程序、固件升级等,及时更换老化的硬件设备。

3.使用高可靠性的系统架构企业建立信息系统时应采用高可靠性、高可扩展性的系统架构,从而增加系统的稳定性。

(二)安全性风险信息化建设过程中的安全性风险主要包括黑客攻击、计算机病毒、劫持等问题,这些问题的发生会导致企业的重要信息泄露、网络瘫痪甚至公司破产等。

因此,应对这些安全性风险,保证系统安全是企业信息化建设过程中的关键环节。

1.建立严格的安全管理制度在信息化建设过程中,企业应建立专业的安全管理团队,制定安全管理制度,确保信息安全。

2.增强网络安全能力企业应加强防火墙、入侵检测等措施,保证网络的安全性。

大数据时代企业会计信息化风险与防范探讨

大数据时代企业会计信息化风险与防范探讨

大数据时代企业会计信息化风险与防范探讨1. 引言1.1 大数据时代的背景在大数据时代,信息的爆炸式增长已成为不争的事实。

大数据的定义主要包括“4V”特性,即数据量大(Volume)、数据速度快(Velocity)、数据种类多(Variety)、数据价值高(Value)。

随着互联网、物联网等信息技术的迅猛发展,各类数据源不断增加,企业所面临的信息量庞大且呈指数级增长的趋势愈发明显。

大数据时代的背景下,企业面临的挑战和机遇同样巨大。

对于会计信息化而言,大数据的出现不仅提供了更丰富、更精准的数据资源,也极大地丰富了会计信息处理的手段和方法。

企业可以通过大数据分析技术来实现会计数据的精准、全面分析,为管理决策提供更有力的支持。

与大数据一同而来的是企业会计信息化的风险。

大数据的庞大、复杂和多样性,给企业会计信息系统的安全性、稳定性和数据准确性带来了挑战。

在大数据时代,企业需要更加关注和加强对会计信息化风险的防范和管理,以确保会计数据的准确性、完整性和可靠性。

1.2 企业会计信息化风险的重要性企业会计信息化风险的重要性在大数据时代尤为突出。

随着大数据技术的广泛应用,企业面临的风险也变得更加复杂和多样化。

会计信息是企业的重要资产,而信息化系统的安全与稳定性关乎企业的运营和发展。

防范企业会计信息化风险至关重要。

企业会计信息化风险的重要性体现在多个方面。

信息化系统的漏洞和故障可能导致会计数据的丢失或篡改,给企业的财务管理和监督带来严重影响。

信息泄露和数据安全问题可能导致企业的商业机密被泄露,给企业的竞争力和声誉带来损失。

信息系统的不稳定性也会影响企业的运营效率和客户服务质量,进而影响企业的整体经营绩效。

加强企业会计信息化风险管理,提高信息系统的安全性和可靠性对企业的可持续发展至关重要。

2. 正文2.1 大数据时代企业会计信息化风险在大数据时代,企业面临着诸多风险和挑战,其中包括会计信息化风险。

随着企业数据规模的不断增长,会计信息的处理和管理也变得更加复杂和困难。

企业信息化系列―风险篇

企业信息化系列―风险篇企业信息化已经成为现代企业发展的必然趋势。

随着信息技术的不断发展和应用,企业信息化不仅可以提高企业的工作效率和经营效益,还可以改善企业的管理水平和决策能力。

然而,企业信息化也带来了一系列的风险和挑战。

本文将对企业信息化的风险进行分析和探讨。

首先是信息安全风险。

企业信息化的核心是信息系统和网络,而信息系统和网络的安全问题也是企业信息化面临的最大风险之一。

网络攻击、黑客入侵、病毒传播等安全事件可能导致企业信息的泄漏、篡改或丧失,给企业带来巨大的损失。

为了保障信息的安全,企业需要加强网络安全防护,建立完善的信息安全管理制度,培养专业的信息安全人员,加强对员工的安全意识培训等。

其次是信息质量风险。

企业信息化需要大量的数据支持,而数据的质量直接关系到信息的准确性和可靠性。

如果企业的数据质量低下,那么信息化带来的益处将大打折扣。

为了避免信息质量风险,企业需要建立完善的数据管理体系,加强数据的质量控制,确保数据的准确性、完整性和一致性。

再次是技术更新风险。

信息技术的更新换代速度非常快,新技术的出现往往会使企业原有的信息系统和设备迅速过时。

如果企业不能及时进行技术更新,就会导致企业的信息系统与外界脱节,无法适应市场的变化和需求的不断变化。

为了避免技术更新风险,企业需要关注信息技术的发展动态,定期进行技术升级和替换,及时更新企业的信息系统和设备。

最后是组织与管理风险。

企业信息化需要全面推动企业组织结构和管理模式的变革,但这种变革往往会面临诸多阻力和挑战。

包括组织文化不适应、员工抵触情绪、管理层意识转变等方面的问题。

为了克服这些风险,企业需要制定明确的信息化发展战略和规划,加强组织变革的管理,注重员工的培训和沟通,提高组织适应信息化的能力。

总之,企业信息化虽然带来了许多利益和机遇,但也面临着一系列的风险和挑战。

企业需要全面认识和理解这些风险,采取相应的措施进行应对和管理,才能更好地实现企业的信息化目标,提高企业的竞争力和可持续发展能力。

企业信息化建设过程中需要注意哪些风险

企业信息化建设过程中需要注意哪些风险在当今数字化时代,企业信息化建设已成为提升竞争力、实现可持续发展的关键举措。

然而,在这一进程中,企业也面临着诸多风险,如果不能妥善应对,可能会导致项目延误、成本超支,甚至影响企业的正常运营。

接下来,让我们一起探讨企业信息化建设过程中需要注意的风险。

一、规划与战略风险企业在信息化建设之前,需要制定清晰、合理的规划和战略。

然而,很多企业在这方面存在不足,导致后续出现一系列问题。

缺乏全面的需求分析是常见的风险之一。

企业没有深入了解自身业务流程和发展需求,就盲目跟风选择信息化系统,结果系统与实际业务脱节,无法发挥应有的作用。

例如,某制造企业在未充分评估生产管理需求的情况下,引进了一套复杂的 ERP 系统,最终因为系统无法适应个性化的生产流程,导致效率低下。

另外,目标不明确也是一个重要风险。

企业如果没有明确信息化建设的短期和长期目标,就难以衡量项目的成效,也无法有针对性地进行资源配置和调整。

比如,有些企业只是为了信息化而信息化,没有将其与提升核心竞争力、优化业务流程等目标紧密结合,导致投入大量资金却没有获得预期的回报。

二、技术选型风险选择合适的信息技术是信息化建设成功的基础,但在技术选型过程中,企业容易面临多种风险。

首先是技术过时的风险。

信息技术发展迅速,如果企业选择了即将被淘汰或不再得到支持的技术,可能会面临系统升级困难、维护成本增加等问题。

比如,一些企业选用了老旧的数据库管理系统,随着数据量的增长,系统性能逐渐下降,而升级又面临诸多技术难题。

其次,技术兼容性问题也不容忽视。

不同的信息系统之间如果不能良好兼容,会导致数据交换不畅、业务流程受阻。

例如,企业的财务系统与销售系统无法实现数据共享,需要人工重复录入数据,不仅增加了工作量,还容易出现错误。

此外,对于新技术的盲目追求也是一种风险。

新技术虽然可能带来创新和优势,但往往不够成熟稳定,可能存在未知的缺陷和风险。

企业如果没有充分评估新技术的适用性和风险,就贸然采用,可能会陷入困境。

大数据时代企业会计信息化风险及防范

大数据时代企业会计信息化风险及防范随着大数据时代的到来,企业会计信息化变得更加重要,同时也带来了更多的风险。

本文将从企业会计信息化的风险出发,探讨大数据时代下企业会计信息化的风险及其防范。

1. 数据泄露风险企业会计信息化系统中包含大量的财务数据,如果这些数据泄露出去,将给企业带来极大的损失。

数据泄露可能来自内部员工的不当操作,也可能来自外部的黑客攻击。

一旦数据泄露,企业将面临着信用受损、资金损失等严重后果。

在企业会计信息化系统中,数据的完整性非常重要。

一旦数据被篡改,将导致企业的财务报表不准确,从而严重影响企业的经营决策。

而在大数据时代,通过技术手段对数据进行篡改的方法也变得更加多样化,企业需要更加重视数据完整性的保护。

3. 技术风险企业会计信息化系统依赖于各种技术,包括数据库、网络、软件等。

而这些技术都有可能出现问题,比如数据库系统的崩溃、网络的中断、软件的漏洞等。

这些问题一旦发生,将直接影响企业会计信息化系统的正常运行,带来经济损失和信誉风险。

4. 合规风险企业会计信息化系统中的数据需要符合相关的法律法规和会计准则,一旦数据不符合相关规定,企业将面临着合规风险。

在大数据时代,随着法律法规和会计准则的不断更新,企业需要不断调整会计信息化系统,以确保数据的合规性。

5. 人为失误风险在企业会计信息化系统中,人为失误也是一个常见的风险。

无论是因为员工的不当操作,还是因为管理人员的错误决策,这些人为失误都可能给企业带来不小的损失。

1. 加强数据安全管理企业需要建立完善的数据安全管理制度,包括权限管理、数据加密、数据备份等,以确保财务数据不被泄露。

企业还可以借助先进的安全技术,比如生物识别技术、区块链技术等,来加强对数据安全的保护。

2. 强化数据完整性检验企业需要确保会计信息化系统能够对数据进行完整性检验,及时发现数据篡改和错误,从而保证财务报表的准确性。

企业还可以借助先进的数据监控技术,比如异常检测、审计分析等,来提高数据完整性检验的效率。

企业信息化建设中的风险管理与控制

企业信息化建设中的风险管理与控制在企业信息化建设中,风险管理与控制是非常重要的。

这是因为在信息化建设中,企业面临的风险是非常多的,比如信息安全风险、系统故障风险、项目风险等等。

如何管理和控制这些风险,是企业信息化建设成功的关键之一。

一、风险识别和评估企业在开始信息化建设之前,需要进行风险识别和评估。

这是为了能够充分了解项目所面临的风险,避免在后期出现无法控制的风险。

风险评估需要全面、系统地考虑各种因素,包括外部环境、内部资源、技术水平、生产安全等因素,从而评估风险概率和影响程度。

评估之后,需要确定哪些风险需要管控,哪些可以接受或转移。

二、风险管控风险管控是指对识别出来的风险进行监控和控制。

在信息化建设中,风险管控主要包括以下几个方面:1、信息安全管控信息安全是企业信息化建设中最大的风险之一,因此需要采取措施进行管控。

信息安全措施包括网络安全、数据安全、个人信息保护等多个方面。

企业需要建立信息安全管理体系,明确安全管理职责、安全策略、安全技术等方面的要求。

同时,需要进行安全培训,提高员工的安全意识。

2、项目管理管控信息化建设项目需要进行有效的项目管理,以确保项目按照计划顺利进行。

项目管理需要对项目的进展、成本、质量等方面进行管控,及时发现项目中的问题并及时解决。

同时,还需要建立风险管理机制,识别、评估和管控项目的风险,及时做好应对措施,保证项目成功。

3、服务供应商管理管控企业在进行信息化建设时,需要选择合适的服务供应商,以确保项目顺利实施。

供应商管理需要对服务商进行评估和选择,要求供应商提供有效的技术支持和售后服务保障。

三、风险跟踪和反馈风险跟踪和反馈是企业信息化建设过程中的一个重要环节。

风险跟踪和反馈可以了解项目进展情况并及时发现问题,对于项目的成功实施起到至关重要的作用。

同时,还需要进行风险分析和定期评估,及时调整风险管控策略,保持风险管控的有效性。

总之,在企业信息化建设中,风险管理与控制是至关重要的,只有完善的风险管控措施才能保证信息化建设的顺利实施和成功完成。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
!"#$%&%’($ !)*&4;# 期 &
企业经济
企业信息化的风险管理探讨 就在于信息化早期缺乏规划。 信息化建设并不是以任何系统的 上线运行为目标, 而是以支持企业竞争力的持续改善为根本目 的。 边走边看的信息化建设, 忽视了整个信息化发展的方向, 必 将增大对信息化项目实施、 财务风险识别和控制的难度, 造成 资源分散、 信息孤岛林立, 最终难以发挥系统的整体效益。 事前 管理的目标就是要防患于未然, 增大获益的可能。 企业决策层 的参与对信息化风险的事前管理具有重要的意义。 事中阶段的信息化风险管理就是要保证每一个信息化 项目都能顺利实施。这一阶段的风险主要来自项目实施过程 中的种种不确定因素,也是信息化风险最集中的阶段。企业 内部各阶层对目标的认同与否,即员工的态度成为项目实施 推进的首要风险。其次,软件商的选择和实施能力成为另一 个重要风险因素。这一阶段信息化风险管理就是要通过项目 实施过程中的风险跟踪及风险识别、残余风险监控及潜在风 险识别等活动,保证风险控制计划的执行并评估风险执行效 果, 对突发的风险或出现的不利结果采取适当的权变措施。 事后阶段的信息化风险来自于信息系统运行后影响系 统正常运行的各种因素。如何更好地加强内部控制,保护信 息资产的安全、 完整、 真实, 保证信息系统能有效地实现企业 目标是这一阶段风险管理的中心任务。包括信息系统安全规 章制度的制定与完善、数据安全保护及灾难恢复措施、!" 服 务外包合同的履行监控等。 二、 企业信息化风险管理策略 ( 一) 明确信息化风险管理的战略目标。企业信息化风险 管理战略目标应该与企业信息化目标保持一致。信息化风险 管理需要跨部门协调作为基础,在制定信息化总体发展规划 后明确定位信息化风险管理的目标。防止片面的将信息化风 险管理割裂成不同部门分散的职能活动。信息化风险管理的 战略目标应该随着日后信息化总目标的调整而修正。 ( 二) 建立信息化风险管理机构。 信息化中的每一个阶段、 每一个项目都存在很多风险, 一般是通过单独活动来防范或 处理风险。 但由于信息化项目之间大量存在着关联和交叉, 就 可能会在应对某个风险的同时又产生新的风险, 比如, 软件集 成的问题。 单个项目小组的风险管理活动有时无法与企业信 息化风险管理的战略目标协调一致, 因此, 有必要建立企业级 的风险管理机构, 这个机构能够独立于项目组不受项目经理 成员应该有企业内部 的管控。 这个机构由企业 #!$ 直接负责, 审计人员、 还可以聘请部分外部专家参与, !" 安全技术人员, 直接向决策层汇报。 风险管理机构的职能是制定并完善信息 化风险管理目标, 定期评估信息化风险, 监控信息化项目进 度。 从全局利益出发, 作出风险接受、 转移等决策。 该机构与项 目小组内的风险管理人员一同工作, 对每一个项目都实施风 险监控, 保证企业信息化风险管理的统一性和连续性。 ( 三 ) 将风险识别和风险评估放在信息化风险管理的首 位。简单地将风险描述为高低大小,并不能帮助我们制定出 参考文献: % & ’ 聂兴国,蒋毅一 ( 中小企业信息化的风险及其规避 ( % ) ’ ( 价值工程,*++, , -) ( % * ’ 洪玫文, 丁已 ( 企业信息化的风险问题 % ) ’ ( 科技信 ( 息, *++, , *) ( % . ’ 孙强( 信息系统审计 % / ’ ( 北京: 机械工业出版社, *++0( % 责任编辑: 陈 瑾’ !" 有效的管理策略。有效的信息化风险管理的基础是对风险的 识别以及量化评估。风险识别可以从同角度和层面,针对信 息化不同阶段进行细分,找出一般性风险和单个项目的风 险。风险识别的关键是根据不同的风险特征发现风险事件, 可借助风险识别检查表、鱼刺流程图、访谈等方式来识别风 险。风险评估是分析确定风险的过程。科学分析系统的安全 风险, 综合平衡风险和代价的过程就是风险评估。 ( 四) 培育信息化风险防范文化。企业的安全管理制度和 风险管理策略要贯彻执行,必须得到企业高层领导的许可和 支持,同时得到企业员工的理解,就必须培育信息化风险防 范文化。信息化的逐步深入,信息技术渗透进员工的日常工 作,信息安全不再仅仅是技术人员的事,企业的每个业务活 动都会和信息化风险及其管理相关。信息化风险管理的实质 是管理问题而不是技术问题。因此,营造一个有利于信息化 风险管理的文化环境是非常重要的,也是信息化风险管理的 重要内容。培育信息化风险防范文化就是让企业员工具备风 险防范意识,并能够自觉贯彻到业务活动中。风险管理机构 应该提供形式不同的风险教育培训,提供风险管理中成功和 失败的案例,让每个业务人员认识到自己对于信息化风险防 范的责任,让员工理解网络和业务系统的正常持续运行,就 是信息化风险管理实施的效果。将信息化风险识别和评估结 果告知相关的业务人员。采用经常性的教育和培训教会员工 不同风险的应对措施,进而提升和强化整个企业的安全意识 能力和风险管理能力。 ( 五) 利用第三方控制信息化风险。企业实施信息化前往 往缺乏系统的信息化知识和判断力,知识的欠缺以及与信息 化项目实施方的信息不对称,很容易让实施方牵着鼻子走, 增大了信息化项目的盲目性。利用第三方控制信息化风险是 一个有效策略。在信息化前期可委托管理咨询公司进行战略 咨询和信息化管理诊断,能够根据企业的实际情况及企业发 展战略目标,作出科学合理的规划和信息化前的业务流程重 组。在信息化项目实施过程中可聘请信息工程监理机构来承 担系统的实施控制。信息化工程监理可以凭客观标准进行质 量监控和评估,避免项目双方由于认识不同而产生大的冲 突,保证系统实施目标实现。有实力的企业还可以委托专业 的风险评估公司进行风险评估。他们可以完整地了解组织的 信息基础设施、业务运行和风险威胁,提供完善的安全评估 咨询修补方案。
企业经济
!"#$%&%’($ !)*"*+, !""# 年第 ! 期 $ 总第 %"# 期 &
管理纵横 ! "#$#%&’&$( )*+,-
企业信息化的风险管理探讨
!巫
!摘

欧阳峰
要 " 企业在实施信息化过程中, 应正确认识信息化风险管理, 用系统思维来制定相应的信息化风险管理策略, 主要包括明 确信息化风险管理目标、 建立信息化风险管理机构、 培育信息化风险防范文化以及有效利用第三方控制信息化风险。
欧阳峰, 汕头大学商学院副教授, 研究方向为电子商务。 ( 广东 汕头 ,),&*0 )
企业信息化过程中伴随许多风险,这些风险可能来自资 金投入、 人力资源、 时间和进度、 应用软件和技术方面。据统 计,在企业信息化的实施项目中,只有 ),1 左右能按期按预 算成本进行项目实施和系统集成;约一半左右的项目会在实 施中流产或失败。因此, 要实现有效益的信息化, 避免或少走 弯路, 就必须加强企业信息化的风险管理。 一、 正确认识企业信息化风险管理 ( 一 ) 信息化风险存在的必然性决定了企业必须重视信 息化风险管理。利用信息技术为企业服务正在成为一种普遍 的行动。当单机应用进入部门级和企业级应用之后,信息化 就不是一个部门或几台电脑的事,而是开始触及企业管理的 方方面面,其中既有复杂的技术问题,又有跨部门的管理问 题。多变的内外部环境使得信息化实施的目标不断发生偏 离,而且随着企业对信息化投入的逐步加大,信息系统在经 营管理中的重要性日益显现,这时信息化风险问题开始凸现 出来。信息技术的复杂性和管理需求的灵活性之间的矛盾成 为信息化风险产生的根源。尤其是作为信息化应用趋势的 一方面令众多企业跃跃欲试, 另一方面很低的成功率又 234, 让企业犹豫不决。许多的失败案例让我们认识到信息化风险 从开始就产生了,如果不能进行有效的管理和控制,使得信 息化从始至终在正确的方向上实施, 那么信息化 “ 黑洞 ” 的产 生将不可避免。 ( 二) 正确理解信息化风险管理的概念。 企业信息化风险 管理最早是从信息系统软、 硬件的安全保护开始的。 谈到信息 化风险就会自然联想到病毒、 黑客攻击以及杀毒软件、 防火墙 等安全技术的使用。 后来延伸到信息安全的层面, 比较强调网 络安全、 数据加密等技术的使用, 但主要将信息化风险管理定 位为软硬件和信息安全管理。 因此, 信息化风险管理机构理应 !"
! 关键词 " 企业信息化; 风险管理 ! 中图分类号 " #$%&’ % ! 作者简介 " 巫 ! 文献标识码 " ( ! 文章编号 " )&&* + ,&$- . $&&* / &$ + &&0- + &$ ( 江, 西北师范大学经济管理学院讲师, 研究方向为电子商务; 甘肃 兰州 %0&&%& )
是技术部门的职能。 随着信息化应用的深入, 我们发现这种理 解和做法是非常片面的。 这种看法是将信息化风险定义为企 业遭受损失的可能性, 而从风险本身来讲是一个中性词, 仅仅 描述了可能性的大小, 既包括有害的可能性, 也包括获益的可 能性。 应该从更广泛的角度来看待信息化风险及风险管理。 实 际上与预定的信息化目标产生的任何偏离就是风险, 而风险 管理不仅要降低损失发生的可能及大小, 而且同时要增大获 益的可能及大小。 从广义的范围上看, 信息化风险就是防止信 息化实施活动偏离目标的一系列管理活动。 与信息化实施的 其他活动相比, 它的目标是对可能导致目标偏移因素的分析 和测量, 即风险识别和评估, 并据此制定出相应的风险管理策 略, 以保证最终信息化目标的顺利实现。 ( 三) 信息化风险管理是一个系统工程。信息化风险的产 生不是单个因素导致的结果。在内部,信息技术渗透到企业 经营的不同层次的管理活动中,对不同层次的管理人员产生 影响, 风险就在管理观念、 管理手段、 工作习惯、 利益分配、 企 业文化等方面的根本性变化中产生;在外部,企业信息化要 面临竞争市场的不断变化、信息技术的快速发展、与软件商 的合作关系等因素的影响,这些都使得信息化风险管理不再 是企业某个部门孤立的管理活动或单纯的技术解决方案,而 必须用系统的思维, 从企业整体和全局发展来考虑。 ( 四) 信息化风险管理是一个连续的过程。信息化是由开 发需求、系统建设和持续改进三个阶段不断循环构成的。信 息化风险管理也相应分为事前、 事中、 事后三个阶段, 这三个 阶段随着企业信息化的不断深入也成为一个连续的不断完 善的过程。 事前阶段最大的风险来自于目标的确定。 没有或不正确 的目标是信息化最大的风险。 规划缺失对信息化带来的风险是 毁灭性的。 目前, 企业信息化建设中大量产生信息孤岛, 其根源