信息化項目的風險及其控制

第１１章

信息化項目的風險及其控制

第一頁，共二十八頁。風險：指預期結果偏離期望值的可能性。風險管理四步驟：風險識別、風險分析、制定對策和風險監(jiān)控。風險對策：指制定應對風險的程序和方法?！褚?guī)避。●轉移?！袢趸??！窠邮堋ｏL險監(jiān)控常用的方法有：●風險審計●偏差分析●技術指標節(jié)比較第二頁，共二十八頁。１１.１信息化項目的風險

據(jù)統(tǒng)計，我國企業(yè)信息化實施成功的比例為15％，沒有實現(xiàn)系統(tǒng)集成或部分實現(xiàn)系統(tǒng)集成的比例為35％，實施失敗的比例為50％。根據(jù)美國史坦迪公司的調(diào)查數(shù)據(jù)，企業(yè)信息化的成功率為26％。不成功的因素包括：“撤項”、“降低項目目標”、“資金超出預算(平均超178％)”、“項目周期無限拖長(平均超230％)”。由于國內(nèi)后兩項通常不判定為失敗，因此按國內(nèi)標準美國信息化的成功率為60％左右。因此，企業(yè)實施信息化工程存在著較大風險。主要風險有：第三頁，共二十八頁。1．財務風險信息化項目投資少則上百萬，多則數(shù)千萬，包括ERP軟件費、網(wǎng)絡硬件費、實施服務費(費用比大致為1：2：3)。如果企業(yè)信息化實施失敗，會帶來較大財務損失。第四頁，共二十八頁。2．實施風險實施風險包括ERP軟件選型、實施服務商選擇、實施進度控制、實施成本控制等方面。上述企業(yè)信息化實施工作不當，輕則增加成本、延長進程，重則導致企業(yè)信息化實施失敗。第五頁，共二十八頁。3．業(yè)務風險業(yè)務風險包括業(yè)務量增加、業(yè)務流程混亂、業(yè)務數(shù)據(jù)混亂、業(yè)務處理錯誤等方面。業(yè)務風險常發(fā)生在新系統(tǒng)上線初期，不僅影響企業(yè)業(yè)務工作的開展，導致企業(yè)業(yè)務損失，而且會增加企業(yè)信息化實施工作的成本和進程。第六頁，共二十八頁。4．管理風險管理風險包括組織結構不合理、管理思想混亂、管理職能虛化、員工凝聚力下降等方面。管理風險存在于企業(yè)信息化實施工作的全過程，輕則增加成本、延長進程，重則導致企業(yè)信息化實施失敗。第七頁，共二十八頁。5．環(huán)境風險環(huán)境風險包括系統(tǒng)安全風險、關聯(lián)方業(yè)務合作風險等。企業(yè)信息化不僅是對企業(yè)內(nèi)部的一場革命，而且會影響到外部與企業(yè)業(yè)務相關的方方面面。從某種意義上講，一個企業(yè)的信息化與社會信息化相輔相成。第八頁，共二十八頁。11.2信息化項目風險的控制

導致企業(yè)信息化失敗的原因很多，常見因素有：項目定位不合理；軟件選型與實施咨詢商選擇不當、實施方案不科學；企業(yè)領導不重視、項目組成員組成不科學、缺乏有效的制度規(guī)范和激勵機制；企業(yè)缺乏信息化項目管理的知識、方法；基礎數(shù)據(jù)混亂等等。以下經(jīng)驗是從大多數(shù)成功企業(yè)中總結出來的。第九頁，共二十八頁。1．清晰準確的項目目標

企業(yè)要結合自身內(nèi)外部的實際情況和企業(yè)的發(fā)展戰(zhàn)略制定出清晰準確的項目目標。對于計算機應用基礎薄弱的中小企業(yè)必須堅持效益優(yōu)先，不能盲目追求“高大全”。企業(yè)實施信息化不能簡單地把ERP理解為現(xiàn)有業(yè)務流程的電子化。信息化首先是一場管理變革，借助外腦如專業(yè)咨詢機構參與項目目標的評估與制定。第十頁，共二十八頁。

2．強有力的項目團隊

企業(yè)信息化絕對不能單純依靠IT部門，應成立項目領導小組、項目實施小組和項目關鍵用戶三級項目組織。尤其是項目實施小組成員應業(yè)務經(jīng)驗豐富、IT素質(zhì)高、富有創(chuàng)新思維，并賦予其部門業(yè)務與流程改造的權利。要注意三級項目組織之間的工作聯(lián)結。對項目的實施應實行規(guī)范的項目管理與業(yè)績考核制度。第十一頁，共二十八頁。

3．變革管理體制

要按照整體流程最優(yōu)的原則，結合企業(yè)的實際情況，對企業(yè)的組織結構、業(yè)務流程、管理模式進行改造。4．實行項目監(jiān)理制度

項目監(jiān)理作為建設方授權的代表，對項目實施發(fā)揮監(jiān)督、控制、協(xié)調(diào)和建議作用，確保項目實施質(zhì)量、進度和成本三個方面的控制目標。建設方通過引入項目監(jiān)理，監(jiān)督和指導承建方與建設方密切配合并確保項目業(yè)務需求的完整性，整體解決方案的先進性、合理性和實用性。項目監(jiān)理在項目實施過程中，同時扮演參謀和顧問角色。第十二頁，共二十八頁。

5.改造企業(yè)IT部門

企業(yè)信息化環(huán)境下的IT部門已不再是單純的系統(tǒng)維護部門，根據(jù)企業(yè)及其信息化規(guī)模的大小，可按以下兩種模式改造企業(yè)IT部門：(1)初級模式。把ERP項目組成員部分地納入IT部門，成立企業(yè)專門的ERP／BPR團隊，直接參與項目的需求分析、流程優(yōu)化、系統(tǒng)開發(fā)工作，逐漸積累經(jīng)驗，減少對外部顧問的依賴。(2)高級模式。將企業(yè)IT部門獨立出來，不僅為本企業(yè)提供企業(yè)化服務，同時也為外部客戶提供服務，變成本中心為利潤中心。第十三頁，共二十八頁。6．實施企業(yè)信息化要循序漸進

實施企業(yè)信息化是一項系統(tǒng)工程，涉及資金、技術、管理、人員、環(huán)境等各個方。要實現(xiàn)企業(yè)基礎管理的規(guī)范化，尤其是基礎數(shù)據(jù)的規(guī)范。要不斷提高各級管理人員和全體員工的IT素質(zhì)。要注意流程和機構改造對項目實施的影響。企業(yè)信息化要遵循全面規(guī)劃、分步實施的原則。第十四頁，共二十八頁。三\

ERP實施風險

一般認為企業(yè)信息化過程中存在著兩方面的風險。第一是企業(yè)外部風險，即企業(yè)賴以存在的外部環(huán)境條件所引起的風險，也稱環(huán)境風險。企業(yè)必須適應外部環(huán)境，企業(yè)的運作必須符合法律法規(guī)、文化道德、地理位置等方面的要求。同樣，企業(yè)信息化的程度，即信息化的深度和廣度，和信息系統(tǒng)本身，也必須適應企業(yè)外部環(huán)境的要求，才能產(chǎn)生應有的效果和效益，風險最小。

第十五頁，共二十八頁。第二是企業(yè)內(nèi)部風險，即在企業(yè)經(jīng)營管理上存在的風險，也稱管理風險。主要有企業(yè)文化、組織結構、計劃決策、控制、人事等，也包括營運風險、授權風險、信息技術風險、財務風險等。第十六頁，共二十八頁。綜合國內(nèi)外企業(yè)ERP項目的實施情況，可將阻礙ERP項目成功的因素歸結為以下十大風險：對變革的抵抗（Resistancetochange）；領導支持不足（InadequateSponsorship）；變革原因說不清（Caseforchangenotcompelling）、不實際的期待（UnrealisticExpectatios）、項目管理不強（PoorProjectManagement）、項目隊伍技能不足（Projectteamlackskills）、范圍失去控制（ScopeExpansion/Uncertainty）、缺乏變革管理策劃（NoChangeManagementProgram）、沒有以流程為本（NotHorizontalProcessView）、以及信息要領脫節(jié)（ITPerspectiveNotIntergrated）等。第十七頁，共二十八頁。所面臨的新問題

主要內(nèi)容

改善第十八頁，共二十八頁。一、E時代會計信息系統(tǒng)

內(nèi)部控制的所面臨的新問題1、錯誤的系統(tǒng)性、反復性發(fā)生。

在手工系統(tǒng)中，發(fā)生差錯往往是個別現(xiàn)象，且由于不相容職責的相互分離，數(shù)據(jù)處理緩解分散于多個部門、由多個人員完成，一個部門或人員的差錯往往可以在下一個環(huán)節(jié)中發(fā)現(xiàn)和改正。在E時代會計信息系統(tǒng)中，①計算機系統(tǒng)處理的集中化，加之計算機運算的高速性；②會計人員對計算機專業(yè)知識所知甚少，很難及時發(fā)現(xiàn)這些漏洞。

第十九頁，共二十八頁。一、E時代會計信息系統(tǒng)

內(nèi)部控制的所面臨的新問題2、數(shù)據(jù)的安全性受到威脅網(wǎng)絡下的會計信息系統(tǒng)很有可能遭受非法訪問甚至黑客或病毒的侵擾；對工作環(huán)境的要求較高；處理和存儲的集中化；原始憑證數(shù)字化，易于偽造，甚至偽造而不留任何痕跡。

第二十頁，共二十八頁。一、E時代會計信息系統(tǒng)

內(nèi)部控制的所面臨的新問題3、程序被非法調(diào)用篡改

計算機程序不能滿足用戶的需要；操作人員利用工作之便篡改程序達到非法目的的事件一直屢見不鮮

第二十一頁，共二十八頁。一、E時代會計信息系統(tǒng)

內(nèi)部控制的所面臨的新問題4、會計業(yè)務缺乏有效控制

喪失了人類所具有的對不合邏輯、不合理的及例外事項的判斷和處理能力

；可視審計線索減少；不能像手工方式那樣相互牽制，成為內(nèi)控隱患。

第二十二頁，共二十八頁?？傊嬎銠C會計信息系統(tǒng)中的風險有其特殊性，加強其內(nèi)部控制的建設，比之手工系統(tǒng)更為迫切。并且國內(nèi)外的事實說明，雖然計算機系統(tǒng)中出現(xiàn)錯誤和舞弊的次數(shù)有所減少，但其每次所造成的損失程度有所增加。如美國的一項研究表明：一般的銀行舞弊案，每次造成的損失為10.4萬美元，而計算機系統(tǒng)的銀行舞弊案的平均損失為61.7萬美元，計算機系統(tǒng)的每次舞弊案的平均損失是一般手工系統(tǒng)的6倍以上。第二十三頁，共二十八頁。二、E時代會計信息系統(tǒng)

內(nèi)部控制的主要內(nèi)容

一般控制：任何電算化會計信息系統(tǒng)普遍適用、為系統(tǒng)的安全可靠而對系統(tǒng)構成要素（人、硬件、軟件）及環(huán)境實施的控制

應用控制：對會計電算化系統(tǒng)中具體的數(shù)據(jù)處理活動所進行的控制。第二十四頁，共二十八頁。（一）一般控制組織與管理控制

系統(tǒng)開發(fā)和操作控制

系統(tǒng)軟件控制

數(shù)據(jù)和程序控制

網(wǎng)絡的安全控制

第二十五頁，共二十八頁。（二）應用控制輸入控制

計算機處理與數(shù)據(jù)文件控制

輸出控制

第二十六頁，共二十八頁。三、E時代會計信息系統(tǒng)

內(nèi)部控制的改善

網(wǎng)27公證由三方牽制的形成

在線測試的實現(xiàn)使軟件內(nèi)部可能存在的漏洞能夠得到及時解決

第二十七頁，共二十八頁。內(nèi)容總結第１１章

信息化項目的風險及其控制。第１１章

信息化項目的風險及其控制。１１.１信息化項