企业信息化风险管理分析

业务流程进行重组存在的风险

在信息化的过程中，自然地要对企业的业务流程进行重组。当企业实施业务流程重组时，必然牵涉到岗位调整、职位变动、权限更改等一系列组织架构重组的热点问题。这使得BPR(业务流程重组)实施的难度大增。比如国内某南方化工集团，在长达两年的业务流程重组过程中，多数时间花在了人事安排和调整上，并天真地认为只要人的问题解决了，BPR就基本实施完毕。其实这严重违背了BPR的核心理念——通过把大家的注意力聚焦到流程改造上来，用基于流程的绩效管理体系做到人员到位；而不应当靠“息事宁人”或化解人事矛盾来重组流程。客户流程、生产流程、研发流程、人力资本流程、信息汇集和分析流程、财务报告流程等多方面的重组不可能通过调整班子实现毕其功于一役。

系统的成熟、先进的业务流程模板值得借鉴。但是业务流程的重组牵涉到人员的变动、权力的重新分配、组织机构的改变，会触动某些人的既得利益，形成很大的阻力。没有充分的思想准备和物质准备，往往由于可能造成企业不愿或不能承担的损失，会迫使领导者半途止步，保留原有低效但运作平稳的流程。实施信息化系统不是一个简单的更新软件系统的事情，而是对企业的重新定位以及业务重组的事情。

各层之间的沟通存在的风险

信息化项目的实施是一个复杂而艰巨的系统工程，它涉及到软件公司的产品成熟与否、实施人员对产品的熟悉程度、用户的所有制体制、上层领导对项目的重视程度、中层干部对信息化流程认可程度、业务人员对操作的熟悉程度等因素。

企业的实施队伍对于信息管理系统的成功实施至关重要，通常要由项目经理、流程指导顾问、技术支持顾问、项目组核心成员构成。项目实施小组要由具有丰富信息化系统项目实施和企业流程管理经验的咨询人员和企业内部的管理人员、业务人员以及技术人员一起组成。经常发生的情况是各方人员不到位，实施小组完全由计算机专业背景的技术人员组成，然而业务部门往往是决定项目正常运作的关键，缺少业务部门的积极参与与沟通将使项目的实施隐藏巨大的风险。

信息与系统安全存在的风险

对于一个典型的信息化系统，主要的依赖网络安全，操作系统安全，数据库安全和应用安全、病毒的预防、非法入侵的监督、数据更改的追踪、数据的安全备份与存档、主机房的安全管理规章、系统管理员的监督等等来保证系统的安全性。目前，普遍存在着不重视系统安全的现象，诸如用户口令泄密、超级用户授权过多等。缺乏安全意识的直接后果是系统在安全设计上出现漏洞和缺陷，它将导致系统的瘫痪。对系统软件过多的更改可能会影响程序和数据的一致性和完整性，也给将来的软件版本升级增加了难度和成本。

系统实施人员的变动存在的风险

人员的跳槽是非常普遍的现象。人员的频繁变动对一个正在运行的项目来说是很大的风险。现实生活中有很多这样的例子：某个公司的信息化项目非常依赖于某个具体的人，一旦这个人因为某种原因离开这个公司，那么这个公司的信息化项目会受到非常大的影响，甚至可能会是毁灭性的打击。一方面，如果系统的普适性较差，会使得系统对专业技术人员的依赖性太强，骨干人员的流失会造成系统的不稳定或无效。即便软件商或其他机构有一些服务的承诺，也时常会有令人很不愉快的事情发生。另一方面，一个不可忽视的情况是，由于信息化的过程弱化了一些不再重要的业务流程的骨干人员的作用，在不预先进行适当的考虑和统筹安排的情况下，这会挫伤他们的积极性并且可能直接影响到企业的长期发展。

系统的二次开发和维护方面存在的风险

二次开发的时间，根据需求的复杂程度、软件提供商的实力问题，有长有短。短则几天，长则半月、一月。企业要考虑这个时间成本，看看企业是否耽搁的起。是先用系统呢，还是等到二次开发完成以后再用。

一般来说，企业若时间允许的话，最好等二次开发完毕后，再进行实施。这有两方面的好处。一是顾问由于项目时间的限制，他会主动的帮企业去催二次开发的进度，因为在规定时间内完不成项目，会扣他们的奖金。二是二次开发的需求是信息化有机的组成部分，只有二次开发的需求完成了，员工看到自己的问题解决了，可以减少在实施过程中来自员工的阻力，增强他们对系统的信心。

企业先前各自分离的部门开发的一些信息系统在集成时会发生很多接口上的问题，要深入了解各独立模块之间的内部机制，将其有机地集成并非一件易事。数据库的共享需要数据的规范和利益各方的协调，如果考虑不周，很难将系统集成起来。软件版本需要经常性更新以积极运用日新月异的技术水平和容纳先进的管理思想，但各个软件商的发展方向、策略和版本更换步调不一致，它们之间的合作很松散，许多软件商在激烈的竞争中被淘汰，将来产品更新时新软件商未必能顾及与企业先前曾经合作的伙伴的软件产品的接口问题，因而会造成软件组合无法更新换代。业务流程在发展，对系统的要求不能一成不变，这最终导致企业不得不摈弃原有软件系统。因此选用信息化软件时最好不要同时选用多个厂家的产品组合。

后续维护时，若对方先前负责你企业的顾问离职时，新的顾问不一定清楚。此时，企业若遇到问题，找对方公司解决问题时，有时候，他们也会理不清头绪，因为不是标准功能，他们不是每个人都对此了解的非常清楚，解决问题的效率也不会这么快。

项目实施后的评估存在的风险

风险识别后，接着要做的是风险评估，就是对确认后所存在的风险作分析，并作定量和定性分析，包括损失概率和损失程度，针对每种损失选择不同的方法，从而将公司的损失减到最低。因此，对风险进行评估，就是要确定它们对信息化项目的影响程度，制定相应的控制措施，并评估这些控制措施的成本，决定是否采用，最后在考虑控制措施成本基础上对风险进行综合评估。

虽然项目评估是信息化实施过程的最后一个环节，但这并不意味着项目评估不重要。相反，项目评估的结果是信息化实施效果的直接反映。正确地评价实施成果，离不开清晰的实施目标、客观的评价标准和科学的评价方法。目前普遍存在着忽视项目评估的问题，忽视项目评估将带来实施小组不关心实施成果这一隐患，这正是信息化项目的巨大风险所在。根据评估的量化指数可以对薄弱环节进行相应的改进，以提高系统的运行效果。

总结

信息化项目是一种风险投资，实施信息化过程会遇到各种风险。信息化系统实施成功率不高有多种原因，企业需要对从信息化系统选型开始到系统上线的实施过程中存在的种种主要风险有系统性的认识，从而建立起一整套行之有效的项目和风险管理机制，提高信息化系统的实施成功率，最终达到提高企业管理水平。

企业信息化风险管理分析

业务流程进行重组存在的风险

在信息化的过程中，自然地要对企业的业务流程进行重组。当企业实施业务流程重组时，必然牵涉到岗位调整、职位变动、权限更改等一系列组织架构重组的热点问题。这使得BPR(业务流程重组)实施的难度大增。比如国内某南方化工集团，在长达两年的业务流程重组过程中，多数时间花在了人事安排和调整上，并天真地认为只要人的问题解决了，BPR就基本实施完毕。其实这严重违背了BPR的核心理念——通过把大家的注意力聚焦到流程改造上来，用基于流程的绩效管理体系做到人员到位；而不应当靠“息事宁人”或化解人事矛盾来重组流程。客户流程、生产流程、研发流程、人力资本流程、信息汇集和分析流程、财务报告流程等多方面的重组不可能通过调整班子实现毕其功于一役。

系统的成熟、先进的业务流程模板值得借鉴。但是业务流程的重组牵涉到人员的变动、权力的重新分配、组织机构的改变，会触动某些人的既得利益，形成很大的阻力。没有充分的思想准备和物质准备，往往由于可能造成企业不愿或不能承担的损失，会迫使领导者半途止步，保留原有低效但运作平稳的流程。实施信息化系统不是一个简单的更新软件系统的事情，而是对企业的重新定位以及业务重组的事情。

各层之间的沟通存在的风险

信息化项目的实施是一个复杂而艰巨的系统工程，它涉及到软件公司的产品成熟与否、实施人员对产品的熟悉程度、用户的所有制体制、上层领导对项目的重视程度、中层干部对信息化流程认可程度、业务人员对操作的熟悉程度等因素。

企业的实施队伍对于信息管理系统的成功实施至关重要，通常要由项目经理、流程指导顾问、技术支持顾问、项目组核心成员构成。项目实施小组要由具有丰富信息化系统项目实施和企业流程管理经验的咨询人员和企业内部的管理人员、业务人员以及技术人员一起组成。经常发生的情况是各方人员不到位，实施小组完全由计算机专业背景的技术人员组成，然而业务部门往往是决定项目正常运作的关键，缺少业务部门的积极参与与沟通将使项目的实施隐藏巨大的风险。

信息与系统安全存在的风险

对于一个典型的信息化系统，主要的依赖网络安全，操作系统安全，数据库安全和应用安全、病毒的预防、非法入侵的监督、数据更改的追踪、数据的安全备份与存档、主机房的安全管理规章、系统管理员的监督等等来保证系统的安全性。目前，普遍存在着不重视系统安全的现象，诸如用户口令泄密、超级用户授权过多等。缺乏安全意识的直接后果是系统在安全设计上出现漏洞和缺陷，它将导致系统的瘫痪。对系统软件过多的更改可能会影响程序和数据的一致性和完整性，也给将来的软件版本升级增加了难度和成本。

系统实施人员的变动存在的风险

人员的跳槽是非常普遍的现象。人员的频繁变动对一个正在运行的项目来说是很大的风险。现实生活中有很多这样的例子：某个公司的信息化项目非常依赖于某个具体的人，一旦这个人因为某种原因离开这个公司，那么这个公司的信息化项目会受到非常大的影响，甚至可能会是毁灭性的打击。一方面，如果系统的普适性较差，会使得系统对专业技术人员的依赖性太强，骨干人员的流失会造成系统的不稳定或无效。即便软件商或其他机构有一些服务的承诺，也时常会有令人很不愉快的事情发生。另一方面，一个不可忽视的情况是，由于信息化的过程弱化了一些不再重要的业务流程的骨干人员的作用，在不预先进行适当的考虑和统筹安排的情况下，这会挫伤他们的积极性并且可能直接影响到企业的长期发展。

系统的二次开发和维护方面存在的风险

二次开发的时间，根据需求的复杂程度、软件提供商的实力问题，有长有短。短则几天，长则半月、一月。企业要考虑这个时间成本，看看企业是否耽搁的起。是先用系统呢，还是等到二次开发完成以后再用。

一般来说，企业若时间允许的话，最好等二次开发完毕后，再进行实施。这有两方面的好处。一是顾问由于项目时间的限制，他会主动的帮企业去催二次开发的进度，因为在规定时间内完不成项目，会扣他们的奖金。二是二次开发的需求是信息化有机的组成部分，只有二次开发的需求完成了，员工看到自己的问题解决了，可以减少在实施过程中来自员工的阻力，增强他们对系统的信心。

企业先前各自分离的部门开发的一些信息系统在集成时会发生很多接口上的问题，要深入了解各独立模块之间的内部机制，将其有机地集成并非一件易事。数据库的共享需要数据的规范和利益各方的协调，如果考虑不周，很难将系统集成起来。软件版本需要经常性更新以积极运用日新月异的技术水平和容纳先进的管理思想，但各个软件商的发展方向、策略和版本更换步调不一致，它们之间的合作很松散，许多软件商在激烈的竞争中被淘汰，将来产品更新时新软件商未必能顾及与企业先前曾经合作的伙伴的软件产品的接口问题，因而会造成软件组合无法更新换代。业务流程在发展，对系统的要求不能一成不变，这最终导致企业不得不摈弃原有软件系统。因此选用信息化软件时最好不要同时选用多个厂家的产品组合。

后续维护时，若对方先前负责你企业的顾问离职时，新的顾问不一定清楚。此时，企业若遇到问题，找对方公司解决问题时，有时候，他们也会理不清头绪，因为不是标准功能，他们不是每个人都对此了解的非常清楚，解决问题的效率也不会这么快。

项目实施后的评估存在的风险

风险识别后，接着要做的是风险评估，就是对确认后所存在的风险作分析，并作定量和定性分析，包括损失概率和损失程度，针对每种损失选择不同的方法，从而将公司的损失减到最低。因此，对风险进行评估，就是要确定它们对信息化项目的影响程度，制定相应的控制措施，并评估这些控制措施的成本，决定是否采用，最后在考虑控制措施成本基础上对风险进行综合评估。

虽然项目评估是信息化实施过程的最后一个环节，但这并不意味着项目评估不重要。相反，项目评估的结果是信息化实施效果的直接反映。正确地评价实施成果，离不开清晰的实施目标、客观的评价标准和科学的评价方法。目前普遍存在着忽视项目评估的问题，忽视项目评估将带来实施小组不关心实施成果这一隐患，这正是信息化项目的巨大风险所在。根据评估的量化指数可以对薄弱环节进行相应的改进，以提高系统的运行效果。

总结

信息化项目是一种风险投资，实施信息化过程会遇到各种风险。信息化系统实施成功率不高有多种原因，企业需要对从信息化系统选型开始到系统上线的实施过程中存在的种种主要风险有系统性的认识，从而建立起一整套行之有效的项目和风险管理机制，提高信息化系统的实施成功率，最终达到提高企业管理水平。