基于IT治理的企業(yè)并購信息系統(tǒng)整合風險研究

摘要:文章基于IT治理模型，研究企業(yè)并購中的信息系統(tǒng)整合風險問題。從企業(yè)并購中信息系統(tǒng)整合的5個階段對信息系統(tǒng)整合風險進行了分析，對各個階段的信息系統(tǒng)整合風險進行了識別與歸類，最后給出各類風險的控制方法。

關(guān)鍵詞:IT治理;企業(yè)并購;信息系統(tǒng)整合;風險

一、 引言

本文在信息及相關(guān)技術(shù)控制目標(Control Objectives For Information and Related Technology-COBIT)模型的基礎(chǔ)上，對企業(yè)并購中信息系統(tǒng)整合活動進行分類，對各種類別下的風險進行識別與分析，對這些風險歸類并給出各類風險的控制方法。

二、 企業(yè)并購中信息系統(tǒng)整合風險分析

1. 考察與評估階段。該階段主要考慮以下兩個方面:

(1)考察與評估雙方的信息系統(tǒng)。該方面的工作站在治理層的高度全面地展開，從管理的維度、技術(shù)的維度、經(jīng)濟的維度、質(zhì)量的維度四個方面考察與評估雙方的管理信息系統(tǒng)。其中，信息系統(tǒng)整合技術(shù)的可行性評估、被并購企業(yè)信息資產(chǎn)的估價、以及整合過程中預(yù)計發(fā)生的成本是這個階段需要密切關(guān)注的問題。這方面的風險有:對技術(shù)可行性估計過于樂觀;對被并購企業(yè)信息資產(chǎn)的估價過高;整合過程中預(yù)計發(fā)生的成本估計過低。

(2)定義IT戰(zhàn)略。企業(yè)的并購必然涉及到企業(yè)發(fā)展戰(zhàn)略的變化。如何通過并購后的信息系統(tǒng)整合來支撐企業(yè)并購的戰(zhàn)略，對企業(yè)來說面臨著不小的風險。企業(yè)并購可謂是企業(yè)對一個巨大商業(yè)機會的把握，想從信息技術(shù)上面獲得戰(zhàn)略利益就要有一個偉大的信息技術(shù)戰(zhàn)略。在這個過程中，企業(yè)面臨的信息系統(tǒng)整合風險主要是IT戰(zhàn)略不明確。

2. 計劃與組織階段。

(1)結(jié)合企業(yè)并購整合日程制定信息系統(tǒng)整合日程。此時信息系統(tǒng)整合小組需要充分了解整個企業(yè)并購整合的日程，不能將信息系統(tǒng)整合工作孤立成一個獨立的工作。對企業(yè)并購日程了解不充分會導(dǎo)致項目完成的時間被忽略，導(dǎo)致項目被推遲，服務(wù)連續(xù)性中斷被延展等風險。

(2)了解公司其他業(yè)務(wù)的整合方案。信息系統(tǒng)整合小組還需要主動與其他業(yè)務(wù)整合小組溝通，了解他們的方案，協(xié)調(diào)好信息系統(tǒng)整合與其他業(yè)務(wù)的整合。如果不了解其他業(yè)務(wù)的整合，IT戰(zhàn)略無法配合企業(yè)整體戰(zhàn)略的實施，即會導(dǎo)致IT戰(zhàn)略無法實施風險。

(3)制定具體的信息系統(tǒng)整合方案。由于企業(yè)的信息系統(tǒng)不僅僅是企業(yè)的一項固定資產(chǎn)，所以在計劃階段，信息系統(tǒng)整合小組應(yīng)該制定好信息系統(tǒng)整合方案。同時為了防備后期的意外，企業(yè)應(yīng)該制定備選方案。在這個過程中存在的風險有:①信息結(jié)構(gòu)取向不合理;②技術(shù)取向錯誤，使用了落后或者過于超前的技術(shù);③IT過程、組織和關(guān)系不明確;④缺乏人力資源管理，原企業(yè)的信息人才離職導(dǎo)致信息泄露;⑤項目成本估計不合理，實際花費高于預(yù)計支出;⑥在危機時刻，無備選方案和應(yīng)急措施導(dǎo)致項目失敗。

3. 整合實施階段。這是企業(yè)信息系統(tǒng)整合最為實質(zhì)性的一個階段，主要工作有以下幾個方面:

(1)人員整合。在軟、硬件整合之前，企業(yè)首先要做的是兩個企業(yè)相關(guān)人員的整合。人員整合過程中存在的風險有:由于被并購企業(yè)的人員意見得不到重視，導(dǎo)致人才流失，信息泄露。同時缺乏熟悉被并購企業(yè)信息系統(tǒng)的人員，導(dǎo)致項目失敗。

(2)硬件整合。由于企業(yè)建設(shè)管理信息系統(tǒng)的時間不同，所采用的硬件和軟件的差異會有很大的區(qū)別，再加上軟件升級換代的周期較短這一特點，企業(yè)需要考慮兩個企業(yè)的硬件設(shè)備能否支持所使用的軟件。硬件整合還要注意前瞻性，如果預(yù)計不久的將來要采用新的軟件，那么企業(yè)就必須在硬件整合時提前做好準備。硬件整合階段隱藏的風險有:對硬件花費估計不準確，項目成本過大;硬件落后于整合后的軟件，導(dǎo)致基礎(chǔ)設(shè)施薄弱，整合過程中硬件被毀壞導(dǎo)致重要數(shù)據(jù)丟失，信息資產(chǎn)被損壞。

(3)軟件整合。它是企業(yè)并購信息系統(tǒng)整合中核心的一步。軟件整合階段企業(yè)會面臨許多技術(shù)問題，其中軟件不兼容問題是幾乎所有企業(yè)都面臨的問題。由于軟件產(chǎn)業(yè)目前還未出現(xiàn)統(tǒng)一的國際標準，所以使用不同供應(yīng)商的軟件產(chǎn)品會導(dǎo)致軟件整合難度變大;即使是使用同一供應(yīng)商的產(chǎn)品，也存在著由于二次開發(fā)而導(dǎo)致系統(tǒng)不完全兼容的問題。而一旦企業(yè)原有的信息系統(tǒng)無法實現(xiàn)軟件整合，這將意味著企業(yè)必須重新開發(fā)部分甚至全部應(yīng)用模塊，導(dǎo)致企業(yè)信息系統(tǒng)整合支出大大超出預(yù)計，提高了企業(yè)并購成本。另外，由于軟件整合導(dǎo)致了整合人員越權(quán)訪問了機密信息，導(dǎo)致信息資產(chǎn)泄密。這種情況在實行信息系統(tǒng)整合外包服務(wù)的企業(yè)尤其應(yīng)該引起重點關(guān)注。在該進程中存在的風險有:軟件整合成本超出項目預(yù)算，服務(wù)連續(xù)性中斷，信息泄露。

4. 交付與測試階段。

(1)信息系統(tǒng)內(nèi)部測試。通常當信息系統(tǒng)整合結(jié)束后，企業(yè)需要對其進行系統(tǒng)功能測試。這個階段的目的是發(fā)現(xiàn)系統(tǒng)本身的缺陷，而不應(yīng)把系統(tǒng)與其他業(yè)務(wù)掛鉤。它只是由信息系統(tǒng)整合技術(shù)人員內(nèi)部實施，可以采用軟件工程中常用的測試方法，如白盒測試、黑盒測試等。在這個階段，企業(yè)應(yīng)該通過內(nèi)部測試暴露新系統(tǒng)中隱藏的錯誤和缺陷，以考慮是否接受該整合后的信息系統(tǒng)。

這個階段存在的風險有:技術(shù)人員選擇了導(dǎo)致系統(tǒng)失效概率小的測試用例，回避那些易于暴露程序錯誤的測試用例，從而導(dǎo)致后期運行錯誤頻繁發(fā)生，基礎(chǔ)設(shè)施薄弱，服務(wù)連續(xù)性被中斷。

(2)結(jié)合公司整體業(yè)務(wù)測試。這階段與其他業(yè)務(wù)整合試運營同時進行，目的在于發(fā)現(xiàn)整合后的信息系統(tǒng)能否有助于新公司業(yè)務(wù)的開展，能否使得信息流在兩個公司間順利傳遞，能否支持企業(yè)為客戶提供統(tǒng)一連續(xù)的服務(wù)。

這個階段存在的風險有:交付的項目質(zhì)量差;整合后的新系統(tǒng)無法支持企業(yè)其他業(yè)務(wù)的開展;業(yè)務(wù)服務(wù)連續(xù)性被中斷。

5. 監(jiān)控與評價階段。

(1)在交付與測試階段，如果項目被認為是成功的，此時考慮到測試工作并不能發(fā)現(xiàn)全部錯誤，因此需要監(jiān)控與評價做以下工作:監(jiān)控新系統(tǒng)的運行，防止系統(tǒng)臨時崩潰，導(dǎo)致服務(wù)連續(xù)性中斷;監(jiān)控新系統(tǒng)是否有黑客利用系統(tǒng)漏洞竊取信息資產(chǎn);評價整合過程中發(fā)生成本的合理性;評價整合過程中是否發(fā)生了IT戰(zhàn)略的改變;評價新系統(tǒng)的性能等。以上過程面臨的風險有:系統(tǒng)臨時崩潰，導(dǎo)致服務(wù)連續(xù)性中斷;黑客利用系統(tǒng)漏洞竊取信息資產(chǎn);IT戰(zhàn)略偏離。

(2)在交付與測試階段，如果項目被認為是失敗的，則監(jiān)控與評價的主要工作有:評價項目失敗的原因;評價在技術(shù)上繼續(xù)該項目的可行性;評價整合過程中已經(jīng)發(fā)生的成本，以及將要發(fā)生的成本;評價是否需要繼續(xù)該項目;評價繼續(xù)該項目IT戰(zhàn)略對整個公司戰(zhàn)略的影響。以上過程面臨的風險有:技術(shù)人員隱瞞繼續(xù)該項目的不可行性，繼續(xù)了技術(shù)上不可行的項目;信息系統(tǒng)服務(wù)連續(xù)性中斷被延長;項目成本估計不足，項目支出成為無底洞;IT戰(zhàn)略未得到落實。

三、 企業(yè)并購中信息系統(tǒng)整合風險控制

1. 風險的識別與歸類。上一節(jié)對企業(yè)并購中信息系統(tǒng)整合風險按不同階段進行了分析，在此基礎(chǔ)上，我們對風險按不同類別進行識別與歸類，見表1。

2. 風險的控制。以下針對五大類風險論述企業(yè)并購中信息系統(tǒng)整合風險的控制方法與措施。

(1)戰(zhàn)略風險的控制。參與該類風險控制的主要人員有:首席執(zhí)行官(CEO)對風險控制負全責并擁有風險控制執(zhí)行的批準權(quán);首席信息官(CIO)獲得CEO的授權(quán)去執(zhí)行批準該類風險的控制;業(yè)務(wù)過程所有者和項目管理經(jīng)理(PMO)應(yīng)該實時地被告知風險控制的進程。同時，該類風險的控制還涉及到首席財務(wù)官(CFO)、業(yè)務(wù)執(zhí)行經(jīng)理、首席運營官、首席架構(gòu)師、首席開發(fā)官、IT行政經(jīng)理、服務(wù)管理者等。要規(guī)避戰(zhàn)略風險需要注意以下問題:

第一，CIO應(yīng)該在并購委員會中爭取自己的席位，以便讓IT戰(zhàn)略能夠納入整個并購戰(zhàn)略中去。CIO要讓公司的治理層和管理層都知道IT在企業(yè)并購整合中的作用。

第二，使得已經(jīng)明確的IT戰(zhàn)略得到逐步落實。企業(yè)應(yīng)該讓全體員工都明白IT戰(zhàn)略，特別是IT戰(zhàn)略的作用。IT戰(zhàn)略是公司整體戰(zhàn)略的一部分，應(yīng)該成為企業(yè)文化的一部分。需要企業(yè)各個部門協(xié)力落實。所以在企業(yè)并購整合中應(yīng)該將IT戰(zhàn)略作為一種企業(yè)文化加以宣傳和貫徹。

(2)項目風險的控制。

第一，時間管理。為了做好項目的時間管理，信息系統(tǒng)整合團隊應(yīng)該將整個項目分解為各類子項目，并對子項目進行排序和估算子項目的歷時，制定計劃，并根據(jù)計劃控制好進度。

第二，費用管理。這里的費用管理是指信息系統(tǒng)整合項目的直接費用管理。首先，信息系統(tǒng)并購小組應(yīng)該制定一個項目財務(wù)管理框架。該框架根據(jù)投資、服務(wù)和資產(chǎn)的投資組合來編制預(yù)算、分析成本收益。確定好項目預(yù)算內(nèi)的優(yōu)先級，充分保證最有助于企業(yè)核心業(yè)務(wù)開展的信息系統(tǒng)整合子項目首先得到投資，以便盡量提高信息系統(tǒng)整合項目對企業(yè)投資組合收益的貢獻。編制項目預(yù)算，建立起各個子項目預(yù)算和管理過程，并對整體方案和單個方案預(yù)算的適時加以評審、優(yōu)化和建立批準。做好監(jiān)控與成本報告工作，比較實際成本與預(yù)算。

第三，質(zhì)量管理。要確立有效的質(zhì)量標準體系，這是建立適當?shù)馁|(zhì)量衡量標準是進行信息系統(tǒng)整合項目質(zhì)量管理的前提性工作。可以利用CMM模型(Capability Maturity Model for Software，軟件能力成熟度模型)作為質(zhì)量標準。要在項目執(zhí)行過程中采取有效措施來監(jiān)控項目的實際運行。比較項目實施過程中的實際表現(xiàn)與項目質(zhì)量衡量標準，分析出差異及其成因。

第四，技術(shù)管理。企業(yè)在考察與評估階段就要對技術(shù)的選擇有個大概的輪廓，在計劃與組織階段則要對技術(shù)的定向進行規(guī)劃，分析現(xiàn)有的和即將出現(xiàn)的計劃。制定技術(shù)性基礎(chǔ)設(shè)施計劃。這個計劃有利于同時控制好戰(zhàn)略風險和基礎(chǔ)設(shè)施薄弱的風險，充分考慮在信息技術(shù)變化劇烈的環(huán)境下，整合后系統(tǒng)的協(xié)同性。在整合實施階段，還應(yīng)該做好監(jiān)視工作。監(jiān)視企業(yè)業(yè)務(wù)部分、技術(shù)、基礎(chǔ)設(shè)施的變化趨勢，以及對信息系統(tǒng)整合的影響。

(3)服務(wù)連續(xù)性風險的控制。參與該類風險控制的主要人員有:服務(wù)管理者和首席開發(fā)官共同對該風險控制負全責;業(yè)務(wù)過程所有者和服務(wù)管理者是該風險控制執(zhí)行的批準者。同時，該類風險的控制還涉及到首席運營官、PMO、業(yè)務(wù)執(zhí)行經(jīng)理、CIO、首席架構(gòu)師等。

該類風險可從兩個階段考慮風險控制。第一，信息系統(tǒng)整合完成前的服務(wù)連續(xù)性風險控制。首先，在信息系統(tǒng)整合計劃與組織期間應(yīng)該開發(fā)一個服務(wù)連續(xù)性框架，協(xié)助決定基礎(chǔ)設(shè)施必須的恢復(fù)能力和推動災(zāi)難恢復(fù)和應(yīng)急計劃的制定。第二，信息系統(tǒng)整合完成后的服務(wù)連續(xù)性風險控制。一旦信息系統(tǒng)整合完畢后，選取合適的切換系統(tǒng)方式有助于控制服務(wù)連續(xù)性風險。直接切換風險較大，采用并行切換和分段切換都有助于降低服務(wù)連續(xù)性風險。

(4)信息資產(chǎn)風險的控制。參與該類風險控制的主要人員有:CFO對該風險控制負全責;CEO和CIO批準該類風險控制的執(zhí)行;業(yè)務(wù)執(zhí)行經(jīng)理應(yīng)該被告知該風險的控制情況。同時，該類風險的控制還涉及到業(yè)務(wù)過程所有者、首席運營官、首席架構(gòu)師、首席開發(fā)官、IT行政經(jīng)理、PMO等。

信息資產(chǎn)風險的控制的整體目標是:安全性、完整性、可用性。

從安全性角度看，主要的風險是由于信息系統(tǒng)整合期間涉及的人員比較多而產(chǎn)生的，應(yīng)該特別加強對信息資產(chǎn)訪問授權(quán)的控制。只有得到授權(quán)的人才能訪問對應(yīng)級別的數(shù)據(jù)，特別是在整合業(yè)務(wù)外包的情況下更應(yīng)該注意信息資產(chǎn)安全性問題。

完整性與可用性常常是相關(guān)的，完整的信息資產(chǎn)才是可用的。單純從完整性角度看，應(yīng)該確保重要信息資產(chǎn)在信息系統(tǒng)整合期間得到完整保存。對數(shù)據(jù)進行備份是通常的做法也是較為理想的做法。可用性是指應(yīng)該確保整合后的信息資產(chǎn)能可被正常獲取，支持公司業(yè)務(wù)活動。信息系統(tǒng)可用性被破壞發(fā)生在信息資產(chǎn)風險內(nèi)，卻表現(xiàn)在服務(wù)連續(xù)性，而服務(wù)連續(xù)性由將風險輸出到信息系統(tǒng)的外部，從而影響整個并購整合業(yè)務(wù)。

(5)基礎(chǔ)設(shè)施風險的控制。參與該類風險控制的主要人員有:首席構(gòu)架師對該風險控制負全責;CIO批準風險控制的執(zhí)行;業(yè)務(wù)執(zhí)行經(jīng)理應(yīng)該實時地被告知風險控制的進程;同時，該類風險的控制還涉及到CFO、業(yè)務(wù)過程所有者、首席開發(fā)官、IT行政經(jīng)理、服務(wù)管理者等。

在信息系統(tǒng)整合過程中，為了控制基礎(chǔ)設(shè)施風險，企業(yè)應(yīng)該注意以下方面:首先在計劃與組織階段要做好軟件和硬件基礎(chǔ)設(shè)施的信息收集，包括:部門、物理位置、描述、制造商、型號、序列號、產(chǎn)品成本、控制編號等，并做好標簽和登記工作。對軟件和硬件進行測試。注意尋找主要的瓶頸部件(如數(shù)據(jù)庫)，確定其性能的臨界點(可用的數(shù)據(jù)庫容量)，并進行密切監(jiān)視。軟件硬件產(chǎn)品變化要嚴格審核。做好服務(wù)器安全工作。做好人力資源工作是控制基礎(chǔ)設(shè)施風險及其他四類風險的關(guān)鍵。

四、 總結(jié)

企業(yè)并購中信息系統(tǒng)整合風險已經(jīng)成為企業(yè)并購整合能否成功的重要影響因素之一。本文參照IT治理的COBIT模型，對企業(yè)并購中信息系統(tǒng)整合風險的進行了分類，對各種類別下的風險進行了分析，對這些風險歸結(jié)為五大類，并從這五大類風險出發(fā)，給出各類風險的控制方法。后續(xù)的研究將探討企業(yè)并購中信息系統(tǒng)整合風險模型、風險的度量及相關(guān)性等。

參考文獻:

1. 郭家堂. 基于IT治理的企業(yè)并購中信息系統(tǒng)整合風險問題研究.上海:上海外國語大學碩士論文，2009.

2.Ernie Jordan， Luke Silcock著.湯大馬譯.IT風險. 北京:清華大學出版社，2006.

3.Information System Audit and Control Foundations. COBIT 4THEdition. 2005.

4.胡克瑾. IT審計(第二版). 北京:清華大學出版社，2003.

基金項目:教育部人文社會科學研究一般項目(06JA8 70006)。

作者簡介:韓耀軍，同濟大學計算機應(yīng)用專業(yè)博士，上海外國語大學國際工商管理學院教授、碩士生導(dǎo)師;郭家堂，碩士，上海外國語大學語言研究院教師;崔紹棟，山東肥城礦業(yè)集團公司運銷處經(jīng)濟師。

收稿日期:2009-12-13。