信息化風險管理概述

信息化風險管理概述信息化首先是一個管理問題，其次才是技術問題。賽迪顧問研究與咨詢實踐表明：企業(yè)信息化的風險存在于項目建設的整個過程中，如項目動機偏離、系統(tǒng)規(guī)劃不當、系統(tǒng)選購失誤、系統(tǒng)實施控制不力、系統(tǒng)移交不順會導致風險，人員教育培訓、管理變革、系統(tǒng)運行改進等方面也存在風險。信息化風險的原因動機不明導致風險企業(yè)進行信息化建設的目的不明確將導致系統(tǒng)實施后不能發(fā)揮應有作用。信息化動機是企業(yè)信息化建設的指南針，正確的動機不一定能帶來預期結果但錯誤的動機卻肯定不能帶來預期結果。規(guī)劃不周帶來風險有些企業(yè)在信息化建設中僅僅做一個粗略的規(guī)劃或者干脆沒有規(guī)劃就引入軟件廠商來上系統(tǒng)，在系統(tǒng)建設上傾向于大而全、功能完整、一步到位的方案，這些都為企業(yè)信息化埋下了風險的種子。系統(tǒng)選購不當導致風險如今各種軟件、硬件產(chǎn)品日益豐富，系統(tǒng)實施商、軟件提供商和系統(tǒng)集成商為數(shù)眾多，不同應用平臺和開發(fā)工具，不同的硬件集成，將決定企業(yè)信息化未來的效益、維護成本和轉移成本。一旦用戶的系統(tǒng)和設備選型不當，將限制企業(yè)的長遠發(fā)展。系統(tǒng)實施控制不力引發(fā)風險信息系統(tǒng)實施需要甲乙雙方良好的合作，但是在實施過程中，由于實施方和用戶知識背景的差異，在最大化自身利益思想的驅動下，可能導致項目實施控制不力，尤其是項目質量難以保證，而導致最終系統(tǒng)不能發(fā)揮預期作用，常常會引發(fā)實施風險。管理變革推進不適引發(fā)風險信息化建設要從管理變革開始，這必然觸及企業(yè)的核心，其風險性是必然的。所以說不進行管理變革存在信息化效益的風險，進行管理變革引發(fā)企業(yè)穩(wěn)步發(fā)展的風險。系統(tǒng)移交不順產(chǎn)生風險信息系統(tǒng)實施完成后將移交給企業(yè)用戶。在移交過程中，實施方需要就系統(tǒng)使用、管理、維護等方面對用戶進行培訓和知識轉移，進行文檔交接、提供技術支持等。這些服務視用戶的信息化應用水平不同而程度不同，若服務不夠，將導致將來系統(tǒng)使用、維護困難的風險。組織不力的風險企業(yè)信息化建設涉及的范圍廣、知識綜合性強、部門多，是一個全員參與的項目。除了涵蓋企業(yè)內(nèi)部職能部門外，信息化建設往往涉及供應商、客戶、分銷機構等。另外，信息化項目實施需要運用多學科的知識和方法。因此信息化項目組織的難度非常大，項目的組織風險凸顯。如何管理信息化風險信息化風險管理應從組織、規(guī)劃和實施控制3個方面著手。建立切實能推進信息化的組織為使信息系統(tǒng)能切實發(fā)揮作用，企業(yè)自身應該建立相應的信息化組織，參與信息化的全過程。這支隊伍應該由企業(yè)的高層領導掛帥，以信息服務專職人員為主，業(yè)務部門代表參與的人員結構組成。這樣可以有效降低信息化風險。專業(yè)咨詢機構協(xié)助進行信息化規(guī)劃信息化建設的經(jīng)驗表明，大多數(shù)應用不理想的信息化項目都沒有進行科學的規(guī)劃。規(guī)劃缺失對信息化帶來的風險是毀滅性的，所以進行信息化規(guī)劃是完全必要的。相對于企業(yè)和系統(tǒng)實施商、軟件商來說處于中立的地位，能夠根據(jù)企業(yè)的實際情況及企業(yè)發(fā)展戰(zhàn)略目標，做出科學合理的規(guī)劃。監(jiān)理機構承擔系統(tǒng)的實施控制以往的信息化系統(tǒng)實施依賴企業(yè)用戶（甲方）對實施方的監(jiān)督控制和實施方的自覺自律來保證上述3大目標。但是由于甲乙雙方天生的利益沖突性，這種方式很難保證系統(tǒng)實施目標實現(xiàn)，尤其是質量難以控制。這就需要專業(yè)的信息系統(tǒng)工程監(jiān)理來承擔這個任務信息化監(jiān)理機構作為中立第3方向甲乙雙方負責，保障雙方的利益。信息化風險管理（IT風險管理）信息化風險管理是指圍繞業(yè)務戰(zhàn)略目標，通過培育良好的 IT風險管理文化，建立健全IT風險管理體系，包括IT風險管理的組織職能體系、IT風險管理策略、IT風險管理控制