企業信息化風險管理“鉆石模型”

摘要：企業信息化風險研究的必要性和迫切性已成為不爭的事實。文章針對現有研究的不足，提出一種新的企業信息化風險研究框架“鉆石模型”體系，力求用一種更為系統、清晰的思路去重新審視企業信息化風險，以增強理論研究的系統性和實際應用的可行性。

關鍵詞：企業信息化；風險管理；風險控制；模型

中圖分類號：F270

文獻標識碼：A

文章編號：1673－0461(2010)04－0033－06

企業信息化是將信息技術、現代管理技術和制造技術相結合，并應用到企業產品生命周期全過程和企業運行管理的各環節，從而提高企業市場競爭能力的過程。企業信息化是增強企業的綜合實力和市場競爭能力的一個十分有效的手段。尤其在當前經濟全球化和我國加入WTO的形勢下，企業面臨國際國內兩個市場的激烈競爭，迫切需要與國際市場接軌。只有推進企業信息化，提高企業的綜合實力和市場競爭力，才能在激烈的市場競爭中立于不敗之地。具體來講，企業信息化建設可以推動業務流程重組、有效降低成本、加快產品和技術創新，同時提高企業的整體管理水平。

我國從上世紀80年代開始探索企業信息化道路，但是絕大部分企業均以失敗告終。“信息化成功率僅為20％”的論斷并非危言聳聽，而是存在一定事實根據的，于是便有了“不上信息化等死，上了信息化找死”的說法。從目前來看，我國企業的信息化水平仍然令人堪憂。因此，研究出一套有效的企業信息化風險管理方法迫在眉睫。

一、問題的提出

我國與發達國家的信息化歷程有很大差異。發達國家的信息化是穩步漸進式發展，有成熟的市場經濟環境為基礎，在完成工業革命的基礎上，進入信息化時代，其后在信息化得到相當普及的基礎上，再進入經濟全球化和互聯網時代。而我國由于長期處于計劃經濟體制下，工業革命還沒有完成就遇上經濟全球化和網絡時代。加入WTO后，企業面臨著全球市場的激烈競爭，必須用信息技術改造傳統產業，以信息化帶動工業化，才能實現跨越式發展。另外。國內市場形勢也已從賣方市場轉向買方市場，企業面臨復雜多變、需求苛刻、競爭激烈的市場環境。傳統的企業特別是國有企業管理模式與運作方式已難以適應市場和社會經濟進一步發展的需要。經濟形態的變革和市場形態的發展要求一切新的管理革命。既然是革命，就必然潛伏著風險。因此，從某種意義上可以說，我國信息化歷程的特殊性決定了信息化風險的必然性。要想保障我國信息化建設順利進行，就必須對風險予以充分重視，加以系統研究。

Standish Group對《財富》500強企業的信息化項目連續6年的調查數據顯示：只有26％的信息化項目完全成功，而28％的項目完全失敗，其余46％的項目則超過了預算或工期。之所以會產生這樣的結果，其主要原因是企業對信息化建設的風險認識不足。雖然，企業信息化的成功實施會給企業發展帶來巨大的飛躍，但是，如果沒有充分認識到信息化建設中存在的風險并采取相應的防范措施就草率地實施信息化，勢必會適得其反。相比之下，我國的情況更為令人擔憂。來自企業信息化風險管理高峰會的調查數據顯示：在經歷了MIS和MRPⅡ兩次管理信息化熱潮之后，我國企業在MRPⅡ應用方面已投資80多億元人民幣，但是應用成功率不到10％，達到預期目標的更是廖廖無幾。在被調查的企業中，80％-90％的信息技術投資并未達到預定目標，40％以上部分以失敗告終或最終放棄，不足25％完全符合企業和技術的目標，只有10％-20％滿足所有既定工作標準。因此，分析研究企業信息化建設過程中存在的風險及解決之道，不僅是值得深入研究的學術課題，更是一個值得各個相關領域高度關注的現實問題。

二、現有研究的不足

近些年來，我國企業信息化風險已逐步得到重視，

“大躍進”式的企業信息化建設在一定程度上得到了遏制。從作者可得的相關文獻來看，目前我國學者對企業信息化風險的研究仍然處于起步階段，還未形成明顯的理論派別。

首先，現有研究更多注重技術方面的風險，主要集中在信息風險、網絡風險、信息系統風險等方面，而對于實施信息化給企業原有組織結構、管理方式、員工構成等帶來的變革未能給予足夠的重視。當然，這種狀況正在轉變，許多人已經意識到了信息化建設是“三分技術，七分管理”。作者分析，這主要是因為技術的風險是“冰山”之上的部分，是最顯而易見、最容易引起注意的。相反，一些“隱性風險”是在實施過程中才慢慢顯現出來的，剛開始未必能引起充分的重視。但是，這些隱藏于“冰山”之下的潛在風險造成的損失卻遠遠超過之上的部分。

其次，現有研究還未形成較為完整的邏輯體系，許多都是一家之言，不免有“盲人摸象”之嫌。大家都是從不同的側面分析企業信息化風險問題，研究思路及分類方式不盡相同。最具代表性的有以下幾種分析思路：第一，按信息化建設階段劃分風險，主要包括規劃階段、建設階段和應用階段。第二，按外因和內因兩方面來分析信息化風險，外因主要包括產品市場競爭情況、金融市場是否完善、政策是否有利等；內因主要包括企業自身資源和能力、基礎管理水平、員工整體素質、一把手的關注程度等。第三，從信息系統提供商的實施能力、企業自身存在的問題、雙方合作過程中的障礙三個方面來分析風險。除此之外，有許多分析并無規范的風險分類，而是直接列舉十幾、二十種風險，邏輯性較差。現在也有一些研究是專門針對某一行業的，尤以紡織業等制造業為主，或者冠以“中小企業信息化風險研究”的標題，但是大部分研究是針對所有企業的，并沒能充分體現研究對象的特殊性。作者認為，各種行業、各種規模的企業信息化風險分析在很大程度上是可以相互借鑒的，既可以分開詳細研究，也可以從宏觀高度加以指導。

最后，在搜尋企業信息化案例過程中發現，在文獻中可查的絕大多數都是成功案例，統計數字中大量的失敗案例卻無從尋覓。這種“失敗案例缺席”的現象背后有許多復雜的深層次原因，在此不予深究。但是，這種現象并不利于我國企業信息化建設的健康成長，只有敢于直面失敗，從失敗中吸取經驗和教訓，才能真正走向成功。

針對現有研究的不足，作者力求從一種較為科學的分類方法人手，對目前研究中提到的各種風險進行整合，形成一個“鉆石模型”體系，以提高研究的系統性和實用性。

三、企業信息化風險管理“鉆石模型”的提出

針對企業信息化風險的錯綜復雜性，本文提出了一種新的研究思路——企業信息化風險管理“鉆石模型”

(如圖1所示)。該模型按照風險來源將企業信息化風險歸為以下四類：來自服務提供商的風險、來自組織及變革的風險、來自管理及變革的風險、來自技術及變革的風險。另外，還包括來自外界環境的風險，以及其他一些不確定因素帶來的風險。需要指出的是，這四類主要風險并不是孤立存在的，它們彼此聯系、相互影響，必須從整體進行系統把握。

1.服務提供商與企業信息化風險

(1)服務提供商選擇風險

由于軟件業不發達，我國早期的信息化建設基本采用兩種模式：企業成立專門隊伍自主開發或直接引進國外軟件。隨著國產管理軟件商品化程度的提高，越來越多的企業轉向將IT方面的服務外包，這樣軟件開發商就成為影響信息化工程成敗的重要因素。軟件商的實施能力差以及軟件的選型不當是導致信息化項目失敗最直接的原因。目前信息化軟件市場良莠混雜，一些實力不強的軟件公司迫于競爭的壓力，以很低的價格承諾給企業搞信息化工程，迎合了部分企業少花錢的心理，通過模糊合同條款和技術要求、不進行個性化開發等方法來應付，結果企業不僅花了冤枉錢，又耗費了時間，非但不能實現信息化建設目標，反而帶來負面的影響。

(2)委托—代理風險

企業與軟件廠商在信息化方面所掌握的知識是不對稱的，而雙方又要在建立合約的基礎上進行合作，這就容易產生委托一代理問題。從企業的角度來說，由于掌握的信息技術知識遠遠少于軟件廠商，因此面臨的風險是無法判斷哪個開發商最為合適。這時，它只能根據開發商過去的業績，或者業內企業的介紹，或者根據某些信譽方面的認證來判斷開發商的實力。但是，這些信息和認證并不能提供法律上和技術上的保證。即使企業選擇的開發商是有實力的，但如果開發商有利潤更大的項目，為了自身利益，它為企業提供的服務也將大打折扣。這也就是說：代理人可能在損害委托人利益的前提下實現自己的效用最大化。這時企業的問題是無法控制開發商，因為在整個項目實施過程中，它與開發商的知識處于不對稱狀態，因而無法了解和控制開發商的工作狀態。從開發商的角度來說，雖然從掌握信息技術知識的角度來說處于有利地位，但是其風險在于能否在合約規定的條件下真正完成用戶委托的任務。從現實情況來看，由于許多項目要求無法在事前詳盡地說明，開發商往往為了拿到項目而作出過高的承諾，結果卻只能交出一個低質量的系統。另外，企業在與開發商合作的過程中，通過對信息化的逐漸了解，也會越來越明確自己的需求。這時，企業有可能不斷提出新的要求，也就是委托人不顧代理人的能力和其他條件的約束，不斷提高對代理人的任務要求，這樣代理人也無法實現當初的承諾。因此，通過嚴格和詳細的合同條約來約束雙方的行為，是一種必要而有效的方法。

2.組織及變革與企業信息化風險

(1)結構變革風險

適應工業經濟社會生產狀況和技術基礎的組織結構方式，是傳統組織理論下形成的金字塔式的管理組織形式，即等級組織結構。這種強調專業分工、經濟規模、順序傳遞、等級森嚴的組織結構在信息時代卻暴露出越來越多的問題，如：割裂了部門和職能間的聯系、交流與學習，束縛了員工的創造性、主動性和積極性；延遲了信息的傳遞，歪曲了信息的真實性；阻礙了整個組織系統的靈活性和反應能力等。為了適應信息時代的特點，作為管理基礎的企業組織結構必須進行相應的變革，即在企業計算機化和網絡化之前，應該依據信息技術的特點，對組織結構進行重新設計。在我國，一些信息化建設較早的企業也采取了相應的組織結構變革，如海爾集團為適應國際化戰略的需求，根據信息技術的特點，對組織結構進行了全面調整。不可否認，組織結構變革過程中蘊藏著風險。

(2)文化變革風險

孤立地把技術看成是與意識、文化不相關的“純技術”，是一種錯誤的觀念。企業文化在信息技術引入中起著頭等重要的作用，觀念和文化阻力是最可怕的。從許多企業信息化實施的案例中人們已普遍認識到，信息化的阻力往往不只是來自技術問題，更多的是來自員工和企業文化的慣性。企業要為信息技術的引入建立文化基礎。跟蹤雀巢股票走勢的恒生銀行分析師指出雀巢實施ERP系統形勢不樂觀的原因是，這個試圖實行集權化管理的項目觸及原來分散式的企業文化。這樣做的風險很大。一旦觸及企業文化的深層，風險就會不期而至。成功的企業信息化必須與組織文化相協調，否則必將困難重重。然而，組織文化越強，在組織中越是根深蒂固，就越難以改變。因此造成的信息化風險也就越大。

(3)人力資源風險

企業信息化建設涉及到軟件工程、信息技術和管理技術。這就要求企業必須具備既懂管理又懂軟件系統的復合型專業人才。企業如果缺少這種人才，不僅會影響信息化實施的進程，而且會導致企業信息化缺乏內在動力，在實施過程中只能被動地依賴軟件開發商，甚至運行之后也始終離不開軟件開發商，從而導致企業信息化無法正常、高效地運行下去。

(4)員工阻力風險

企業員工對信息化的威脅主要體現在兩個方面：一是決策層和各級員工對信息化建設存在消極態度。決策層信心不足會直接影響信息化項目的資金和人力投入，一些企業信息化工程半途夭折的直接原因就是領導的態度發生了變化。由于信息化要進行企業業務流程重組，人員裁減與崗位調整必然涉及部分員工的切身利益，這部分人員就會對信息化建設抱消極抵觸的態度甚至故意不予配合，使信息化難以推行。二是信息管理人員流失。從系統開發到實施都需要企業有自己的信息技術人員，他們是信息化過程中聯系軟件開發商和企業內部人員的紐帶和橋梁。由于歷史原因，我國大多數企業都把信息技術人員看作一般技術人員，對信息管理人員沒有明確的定位，加之信息技術人才的社會平均薪酬較高，使得這類人才流動頻繁。不少企業通過信息化培養出一批既懂業務、會管理又熟悉管理軟件的人才，但由于沒有相應的激勵機制，使得這部分人才頻頻流失，極大地影響了企業信息化的有效實施，重新培訓相關人員無形中加大了信息系統的實施成本。

3.管理及變革與企業信息化風險

(1)戰略層風險

①引入動機風險。企業引入信息化的動機。也即企業進行信息化的目的，是企業進行信息化建設的風向標。目前，很多企業實施信息化，其目的并不是為了用信息化提升管理、促進戰略目標的實現，而是為了所謂的“領導工程、面子工程”.迫于行政或輿論壓力；或者為了炒作，以期在資本市場獲利；或者為了向老總或高層邀功。很顯然，這些實施信息化的動機本身就是對信息化的曲解，其帶來的風險性是顯而易見的。因此企業在實施信息化之前一定要擺正動機，并且在實施的過程中不斷地審視是否偏離了初衷。

②引入時機風險。什么時候啟動企業的信息化建設?從戰略上講當然是時不我待，但從戰術上看，并非所有的企業都適合立即上馬信息化項目。當企業在體制、管理、觀念、員工素質、資金預算等方面準備尚不充分時，都會成為信息化建設的阻力。企業在啟動信息化項目時要搞清楚信息系統建設的目標、約束和總體結構。立項時切入點不準確，定位不正確，信息化建設策略不對，追求功能完整、一步到位，盲目照搬其他企業已經應用成功的建設方案，都可能造成項目夭折或建成后無法成功運行。

③領導認知風險。作為企業的管理者，必須真正領會信息化的內涵和重要性，全力支持信息化建設工作。企業信息化建設投資大、周期長、涉及企業內部機構的調整、管理程序的變更等許多敏感性的問題，不可避免地會導致一些機構和人員的地位、作用及工作內容、工作方式的變化，從而引起相關人員的抵制和不合作。企業的決策者、主要管理人員如果沒有長遠的戰略眼光，不重視甚至不支持，必然造成信息化建設的失敗。只有企業各層領導均對企業信息化有了明確的認識，才能產生巨大的推動力，在整合各方資源的前提下，使得企業信息化成功實施。

④項目規劃風險。目前，許多企業信息化建設的效果并不理想，有些甚至中途夭折，造成了巨大的損失。究其原因，主要是事前缺乏規劃造成的。項目規劃失誤主要表現為：信息系統建設目標約束、總體結構不清，信息戰略錯誤，立項時切入點不準確，定位不正確，缺乏科學的信息化建設策略，追求功能完整、一步到位，盲目照搬其他企業已經應用成功的建設方案，以致企業現有的管理水平與技術水平無法支持項目實施，造成項目夭折或建成后無法正常運行。企業信息化建設缺乏整體、長遠的規劃是信息化建設過程中最應該引起人們重視的問題，也是最大的風險來源。

(2)戰術層風險

①管理變革風險。信息化首先是一個管理問題，其次才是技術問題。信息技術和管理技術的不斷發展將使企業的經營管理理念發生本質的變化。目前，有的企業應用信息化時，不是從理順企業的管理人手，而是寄希望于信息化帶動以往的手工操作，其結果并不能給企業帶來本質性的變革，而且企業在實施信息化的過程中由于不能面面俱到，實施的結果往往是局部的效率提高了，但是整體的效率沒有任何改變。因此信息化建設要從管理變革開始，而管理變革必然涉及企業各層次人員，其風險性是必然的。管理對接風險主要表現在管理理念導入和業務流程重組過程中。

②管理制度風險。企業在信息化建設中除建立與體現企業現代管理思想的應用軟件相適應的先進管理制度和管理機制外，還應重視配合信息化實施的適合本單位特點的激勵制度、協調制度、約束制度的建立。企業中各項管理制度是否能夠與信息系統合理匹配、協調運作，是否能對企業員工起到應有的激勵和約束作用，在這之中無疑也隱藏著風險。

(3)作業層風險

①基礎管理風險。科學的基礎管理是信息化的前提。只有在合理的體制。完善的規章制度、穩定的生產秩序、科學的管理方法和程序，以及完整、準確的原始數據基礎上，才能建成有效的信息系統。為了適應信息化的要求，企業必須逐步實現管理工作的程序化、管理業務的標準化、報表文件的統一化、數據資料的完整化和代碼化。

②進度質量風險。企業信息化項目實施過程中。參與這項工作的部門較多，涉及面廣，時間跨度大，項目執行進度難以保證，不能及時產生效益，影響了企業員工對信息化項目的積極性，由此可能產生各種負面作用，對企業的生產經營帶來不良影響。同時，由于信息技術更新快，信息產品的價值與時間成反比，若不能按計劃進度完成信息化項目，企業此前投入的資源(時間、資金、人力等)便不能達到預期的效果，甚至等到系統建成時就已經落后了。此外，員工積極性不足也使信息化項目的質量難以保證。

③成本控制風險。企業信息化在成本控制方面的風險是：費用預算不準確，項目實施中途或結束時大大超過預算，使得企業出現資金困難，陷入進退兩難的境地，影響正常運營，迫使項目中斷。成本預算中常見的誤區是：只看到軟件和硬件費用，忽視了培訓費用、實施咨詢費用、維護費用等。事實上，實踐經驗告訴我們：后三項費用合計往往超過前兩項費用之和。因此，成本預算時必須考慮全面，合理估算各項費用，制定詳細的費用開支細目，并在項目進程中將成本控制在計劃之內，避免發生“財務危機”。

4.技術及變革與企業信息化風險

(1)硬件風險

實施信息化，合適的配套硬件環境是系統運行的基礎條件。在系統的硬件配置中，既要考慮滿足現有系統需要，又要有一定的超前意識。無論是為了節約項目總體成本而降低了硬件建設標準，還是只揀最高檔的買，都是不恰當的硬件配置方案。

(2)技術風險

信息化的技術風險，一方面是指企業對所引進的信息技術在吸收能力、應用能力方面承擔的風險。吸收能力主要包括技術的監測及評價能力、技術獲得、學習和轉化能力。應用能力是指將信息技術投入到實際應用中并取得商業價值的能力。企業不應盲目引進信息技術，要綜合考慮自身對技術的消化能力。技術風險的另一方面來源于IT行業技術的高速發展。IT行業技術日新月異，原來采用的先進設備，三五年以后，就不能滿足新的應用要求，不符合行業的新標準，原生產廠商也不再生產，備品備件難以尋找，甚至原來的生產廠商早已不復存在。以前采用的操作系統、應用系統軟件已成為過時產品，失去了普遍性，無法與新的技術無縫連接等等。這些技術的未來發展前景，在某種程度上很難預測。規避技術變革風險很難。無論是哪一個企業都無法從根本上解決。宜采用的辦法是“逐步更新、持續改進”，這樣能在一定程度上減少因系統突然變化造成的巨大影響與損失，尤其是系統數據的不兼容所造成的損失。

(3)系統安全風險

對信息化建設過程中引進的計算機信息系統，企業要注重相應的安全防范，確保系統的正常運轉。在整個信息化建設過程中，尤其要重視以下幾個方面的安全預防：信息系統的實體安全、軟件安全、數據安全以及運行安全。

(4)使用和維護風險

企業信息化是實實在在的事情，需要企業里的每一個員工和實際操作者切實掌握新的業務流程、養成新的使用習慣。而要做到這一點就需要制定相應的制度，強制推行。企業信息化不是一朝一夕的事，并不是信息系統建成就算大功告成了，實際上，更多的工作是在后期的使用和維護過程中，使用和維護的風險同樣也值得引起重視。

5.環境與企業信息化風險

企業外部環境包括經濟政策與經濟周期、市場條件、競爭對手、政治環境等，這些因素對企業來說都是不可控因素，因而帶來的風險程度相對較高。

(1)經濟政策風險

經濟政策如產業政策、信貸政策、稅收政策的變動會影響企業的投資方向及投資力度，從而影響信息化投入。不同的信息化政策，對原有的信息化投資會產生很大的影響，可能產生重復投資。政策風險是企業自身無法避免的，關鍵是制定政策的部門應該考慮到相關因素，并給出指導性的意見。以盡可能減少因政策因素而產生的影響。

(2)市場條件風險

市場條件包括顧客的需求、企業的需求、銷售渠道、價格、產品生命周期等，這些因素的變化會影響企業的目標市場定位、產品種類與結構的調整，進而影響信息系統的需求變化，從而導致信息系統不能滿足企業的需求而造成信息系統失敗。

(3)競爭對手風險

競爭對手的潛在威脅及所進入的領域、所采用的信息化手段等，也會影響企業信息化的方向與目標。如某一證券公司由于采用了網上交易手段而降低了交易成本，其他的證券公司也會改變其交易手段從而改變整個行業信息系統的構成狀況，加劇市場競爭。

(4)政治環境風險

政治環境對企業的發展戰略也有很大的影響，會給企業帶來新的機會或威脅，從而影響企業的信息化建設進程。

四、小 結

我國企業信息化建設已經取得了一定的成績.這是應該予以充分肯定的。但是，我國信息化“重建設、輕應用”的問題仍然沒有得到很好的解決。目前取得的成就大部分來自于硬件方面，而一些“軟”的因素(如領導重視程度、管理水平、人員素質等)卻沒能跟上硬件發展的步伐。信息化建設不是簡單的技術變革，它涉及面廣，不僅要投入大量的人力和物力，還涉及企業的組織機構、管理體制、工作方法等一系列重大問題。特別是在中國當前的情況下，企業信息化將影響部門和人員之間的工作關系、權力關系，進而引起部門之間、人員之間、部門與人員之間的利益沖突。這些問題的解決，沒有企業各級管理層的計劃、領導、協調、控制，僅靠技術人員的努力是不可能的。實踐使人們充分認識到信息化建設不只是一場技術變革，更重要的是一個由信息技術引起的組織變革和管理創新過程。信息化的主體是人而不是技術，人才是信息化的社會生產力中最積極、最活躍的因素。技術進步的幅度愈大，組織變革就愈深刻，對人才的素質要求也就愈高。所以說在信息化建設過程中，信息技術不是唯一的成功因素，甚至不是主要的成功因素，其成功因素還有組織管理、人力資源等多種。由此可見.企業信息化實施過程中的風險管理應更多關注非技術層面的風險，為實現企業信息化的目標，提高企業信息資源的利用效率保駕護航。

本文在已有研究的基礎上，提出了一種新的企業信息化風險研究框架體系——“鉆石模型”，把企業信息化風險來源主要歸結為以下四類：來自服務提供商的風險；來自組織及變革的風險；來自管理及變革的風險；來自技術及變革的風險。此外，還有來自環境的風險，以及其他不確定因素帶來的風險。建立這一研究體系的目的在于，對現有的比較零散的研究成果進行整合，用一種更為系統、更為清晰的思路去重新審視企業信息化風險，希望能為企業信息化建設的順利發展助一臂之力。

在整個風險管理體系中，本文只完成了風險識別這一步驟，而接下來的風險評價、風險控制和風險監督等一系列工作未能加以討論，這使得本文體系不夠完整，今后的研究工作任重而道遠。但是，作者認為，我國企業信息化建設屢屢失敗的根本原因就在于對風險重視程度不夠，不能全面、準確地預測潛在風險，從而招致了慘痛的“血的教訓”。只有從企業領導開始端正態度，實事求是地進行信息化規劃工作，在項目正式開始之前更加關注可能帶來的風險，并制定相應的防范措施，我國企業的信息化建設才會有更大的勝算。