企業(yè)信息化過程的風(fēng)險控制與管理

[摘 要] 信息化風(fēng)險依賴于信息化過程而存在，并隨著信息化過程的進(jìn)展而不斷呈現(xiàn)出來。本文在分析企業(yè)信息化風(fēng)險因子的基礎(chǔ)上，建立了信息化風(fēng)險的評估模型、控制模型和風(fēng)險管理策略模型，以期企業(yè)在信息化過程與風(fēng)險管理之間取得平衡，最終取得信息化建設(shè)的成功。

[關(guān)鍵詞] 信息化;信息化項目;風(fēng)險管理;風(fēng)險策略

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 09 . 033

[中圖分類號]F270.7 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673 - 0194(2010)09- 0086 - 04

0引言

經(jīng)過十幾年的發(fā)展和努力，我國的企業(yè)信息化取得了可喜的成果，但從總體上看，企業(yè)信息化仍處于初級階段，國內(nèi)信息化建設(shè)依然存在著令人堪憂的、帶有共性的薄弱環(huán)節(jié)，不少企業(yè)沒有充分了解信息化實施過程中的各種風(fēng)險，將信息化的投資與建設(shè)作為一般項目來處理，忽視風(fēng)險因素可能造成的損失。據(jù)統(tǒng)計，在實施信息化的企業(yè)當(dāng)中，對其效果感到滿意的企業(yè)僅占總數(shù)的6%，較滿意的企業(yè)占52%，不滿意的企業(yè)占26%[1]。如何有效治理企業(yè)信息化風(fēng)險，保證企業(yè)信息化的成功實施，保護(hù)企業(yè)投資并使企業(yè)獲得價值提升，是國內(nèi)外理論界和實務(wù)界要解決的重要課題。

目前國內(nèi)對企業(yè)信息化風(fēng)險的研究建立在ISO 13335[2]之上，主要方法包括基于樹結(jié)構(gòu)的風(fēng)險分析、基于層次分析的方法[3]、OCTAVE方法[4]、風(fēng)險矩陣法[2]和調(diào)查問卷法等，這些方法都是定性地分析企業(yè)信息化的風(fēng)險。本文建立一個基于信息化過程的風(fēng)險控制模型，對信息化風(fēng)險的監(jiān)控管理貫穿于整個過程風(fēng)險控制模型體系，使企業(yè)能夠及時改善和加強(qiáng)對企業(yè)信息化過程的控制，降低企業(yè)信息化風(fēng)險。

1企業(yè)信息化過程中的風(fēng)險因子分析

風(fēng)險是在追求利益過程中出現(xiàn)的與利益相背離的價值取向，是可能影響組織目標(biāo)實現(xiàn)的事件發(fā)生的不確定性，是一種遭受損失的可能性，是一種介于確定性和不確定性之間、無知和完整知識之間的狀態(tài)[5]。企業(yè)信息化風(fēng)險是指企業(yè)在實行信息化項目過程中，由于外部環(huán)境和信息本身的原因，使得企業(yè)不能有效地保護(hù)自身重要信息或不能充分地獲取、利用外部信息或影響了企業(yè)內(nèi)外部信息的傳遞、交流等[6]，以至造成企業(yè)難以確保其所擁有的信息的完整性、安全性、真實性、及時性和有效性，進(jìn)而對企業(yè)的正常經(jīng)營活動帶來危險，甚至可能對企業(yè)實現(xiàn)其目標(biāo)或成功實施其戰(zhàn)略的能力產(chǎn)生負(fù)面的影響，使企業(yè)遭受損失。

1.1項目規(guī)劃階段的風(fēng)險因子分析

企業(yè)信息化項目規(guī)劃階段是企業(yè)信息化中的一個至關(guān)重要的階段，為企業(yè)信息化的實施明確方向和目標(biāo)，通過企業(yè)信息化規(guī)劃和組織，制定總體戰(zhàn)略規(guī)劃，確定信息技術(shù)結(jié)構(gòu)，選擇信息技術(shù)方案，管理企業(yè)信息化投資預(yù)算，設(shè)立信息化組織架構(gòu)，合理安排人力資源，制訂企業(yè)信息化的進(jìn)度計劃，建立有效的溝通機(jī)制和質(zhì)量保證體系。本階段的基本風(fēng)險可以從技術(shù)、經(jīng)濟(jì)、管理、企業(yè)的戰(zhàn)略方針、內(nèi)外部經(jīng)營環(huán)境等方面來識別[7]，主要包括以下風(fēng)險因子:(1)項目需求分析的風(fēng)險;(2)環(huán)境與資源支持度的風(fēng)險;(3)開發(fā)方式與項目代理方選擇的風(fēng)險;(4)項目合同的風(fēng)險;(5)項目建設(shè)組織的風(fēng)險。

1.2項目實施階段的風(fēng)險因子分析

項目實施階段要確保企業(yè)需求的一致性，按計劃獲取信息化所需的軟硬件資源，通過自行開發(fā)或外包的方式獲得滿足企業(yè)需求的應(yīng)用系統(tǒng)，在用戶的積極參與下，進(jìn)行相關(guān)的功能和性能測試，并完成整個系統(tǒng)的安裝、調(diào)試和授權(quán)。本階段的基本風(fēng)險可以從管理變革、項目進(jìn)度、成本和質(zhì)量等方面來識別，主要包括以下風(fēng)險因子:(1)項目質(zhì)量控制的風(fēng)險;(2)項目進(jìn)度與成本控制的風(fēng)險;(3)項目相關(guān)工作規(guī)范化與標(biāo)準(zhǔn)化的風(fēng)險;(4)項目組成員流失風(fēng)險;(5)項目文檔管理的風(fēng)險。

1.3項目應(yīng)用階段的風(fēng)險因子分析

在項目應(yīng)用階段，信息化項目被交付使用，通過對用戶進(jìn)行相關(guān)的培訓(xùn)，并在用戶使用期間為用戶提供相應(yīng)的技術(shù)支持，保證系統(tǒng)的正常運(yùn)作、服務(wù)連續(xù)性和系統(tǒng)安全。本階段的基本風(fēng)險可以從系統(tǒng)性能、系統(tǒng)安全、系統(tǒng)維護(hù)與管理等方面來識別，主要包括以下風(fēng)險因子:(1)需求膨脹的風(fēng)險;(2)項目應(yīng)用人員管理的風(fēng)險;(3)對項目平臺/環(huán)境/方法不熟悉的風(fēng)險;(4)工作量估計不準(zhǔn)確的風(fēng)險;(5)缺乏高層管理者的承諾和支持的風(fēng)險;(6)系統(tǒng)安全風(fēng)險。

2企業(yè)信息化過程的風(fēng)險評估模型

信息化風(fēng)險評估是企業(yè)掌握信息化風(fēng)險信息，確定信息化風(fēng)險級別，以決定是否需要加強(qiáng)對風(fēng)險的控制以及如何加強(qiáng)控制的一個重要途徑。企業(yè)可能根據(jù)實際的情況，對企業(yè)信息化的重點(diǎn)過程設(shè)置預(yù)警監(jiān)控，以及時跟蹤、監(jiān)測、發(fā)現(xiàn)和控制風(fēng)險。

2.1企業(yè)信息化過程風(fēng)險評估模型

企業(yè)信息化過程風(fēng)險威脅程度的評價是在信息化風(fēng)險過程風(fēng)險控制模型的基礎(chǔ)上，對信息化過程的各個風(fēng)險點(diǎn)進(jìn)行分析和評估，并考慮過程風(fēng)險特性和企業(yè)風(fēng)險監(jiān)控狀況，確定信息化過程風(fēng)險控制風(fēng)險等級。

企業(yè)信息化過程風(fēng)險評估模型表述為:

TP(pi) = ri × (1 + ci) × (1 - di)

其中，pi為第i個過程，ri為第i個過程的控制風(fēng)險度，ci為第i個過程的風(fēng)險特征系數(shù)，di為第i個過程的修正因子。風(fēng)險特征系數(shù)表示信息化過程與企業(yè)風(fēng)險目標(biāo)的相關(guān)程度，是信息化過程對風(fēng)險目標(biāo)的貢獻(xiàn)率大小，其取值在0～1之間，信息化過程與風(fēng)險目標(biāo)相關(guān)程度越高，取值越大，反之，取值越小。修正因子根據(jù)信息化過程是否被列為監(jiān)控對象，企業(yè)過程是否被有效監(jiān)控而定，其取值在為0～1之間，若企業(yè)過程被列為監(jiān)控對象，并分配了合適的企業(yè)資源，制訂了詳細(xì)的風(fēng)險監(jiān)控計劃，能夠在風(fēng)險成為真正的威脅之前被有效地監(jiān)測，則風(fēng)險對企業(yè)的影響就小，修正因子的值就大;反之，修正因子的值就小。

企業(yè)信息化過程對目標(biāo)風(fēng)險的貢獻(xiàn)度評估表述為:

TPG(pi，gi) = TP(pi) × aj

其中，aj為過程pi的第j個風(fēng)險目標(biāo)的風(fēng)險特征系數(shù)。

2.1.1項目規(guī)劃階段風(fēng)險評估矩陣

假設(shè)在企業(yè)信息化項目規(guī)劃階段的企業(yè)過程有n個，且這n個信息化過程的風(fēng)險因子分別為:WPO = (WPO1，WPO2，…，WPOn)，其中WPOi(i = 1，2，…，n)表示項目規(guī)劃階段的第i個過程的影響因子值。由此，在項目規(guī)劃階段的風(fēng)險評估表述為:

2.1.3項目應(yīng)用階段風(fēng)險評估矩陣

假設(shè)在企業(yè)信息化項目應(yīng)用階段的企業(yè)過程有l(wèi)個，且這l個信息化過程的影響因子分別為:WDO = (WDO1，WDO2，…，WDOl)，其中WDOi(i = 1，2，…，l)表示項目應(yīng)用階段的第i個過程的影響因子。由此，項目應(yīng)用階段的風(fēng)險評估表述為:

2.1.4企業(yè)信息化總體風(fēng)險評估

企業(yè)信息化總體風(fēng)險評價是根據(jù)企業(yè)戰(zhàn)略目標(biāo)和企業(yè)關(guān)鍵業(yè)務(wù)的側(cè)重點(diǎn)，對可能影響企業(yè)戰(zhàn)略目標(biāo)實現(xiàn)的目標(biāo)風(fēng)險設(shè)置優(yōu)先級水平，結(jié)合企業(yè)對各目標(biāo)風(fēng)險的評價結(jié)果，確定企業(yè)信息化的總體風(fēng)險水平。假設(shè)企業(yè)信息化識別的風(fēng)險目標(biāo)有n個，且這n個目標(biāo)風(fēng)險的優(yōu)先級因子分別為:WG = (WG1，WG2，…，WGn)，其中，WGj(j = 1，2，…，n)表示企業(yè)信息化的第j個風(fēng)險目標(biāo)的優(yōu)先級因子值。

由此，企業(yè)信息化總體風(fēng)險水平評估表示為:

2.2風(fēng)險級別評分標(biāo)準(zhǔn)

信息化風(fēng)險控制模型對風(fēng)險通過劃分級別進(jìn)行量化，抽取信息化的關(guān)鍵過程，把企業(yè)信息化轉(zhuǎn)變?yōu)橐粋€成熟的、可測量的的模型結(jié)構(gòu)。風(fēng)險級別劃分的優(yōu)點(diǎn)在于可以使企業(yè)相對容易地依據(jù)等級標(biāo)準(zhǔn)將自己定位，明確企業(yè)信息化管理的缺陷，找出需要改善管理的地方，減少控制風(fēng)險也就意味過程控制得到了加強(qiáng)，減少了風(fēng)險，提高了效果。

通過采用相對量化的方式進(jìn)行無量綱處理，可以避免量綱不統(tǒng)一以及絕對值計算的困難。通過定義控制活動的風(fēng)險級別，我們可以得到一組基于“0”到“5”等級控制風(fēng)險遞增的評分標(biāo)準(zhǔn):

0:可忽略風(fēng)險。過程控制已被提煉到最實際的層次上，通過借鑒行業(yè)最佳經(jīng)驗，結(jié)合企業(yè)實際，控制程序不斷地被改進(jìn)和完善，使用了自動化的工具來提高控制的質(zhì)量和有效性，故障情況很少發(fā)生。

1:低風(fēng)險。具有正式的控制程序和標(biāo)準(zhǔn)化的流程，并嚴(yán)格執(zhí)行，建立了監(jiān)控和和反饋機(jī)制，信息共享是充分的，部分使用自動化的工具。

2:較低風(fēng)險。建立了正式的控制程序和標(biāo)準(zhǔn)化處理流程，但基本是采用人工控制和管理方式，沒有使用自動化的輔助工具，處理效率較低。

3:較高風(fēng)險。建立了正式的控制程序，但是沒有規(guī)范的處理標(biāo)準(zhǔn)，也沒有強(qiáng)制要求實施，職權(quán)分配不明確，對個體有較高的依賴性，故障出現(xiàn)的概率不高，但是故障處理的效率低下，成本較高，可能導(dǎo)致其他的問題的產(chǎn)生。

4:高風(fēng)險。企業(yè)對信息化過程控制具有一定的認(rèn)識，但是沒有建立正式的控制程序，也沒有標(biāo)準(zhǔn)化的處理，使用了一些非常規(guī)的方法，往往根據(jù)具體情況的不同依賴于有經(jīng)驗的個體。過程控制是基于個人的非正式的活動，故障發(fā)生的可能性大，僅以解決故障為目的，無法進(jìn)行問題原因追溯。

5:最高風(fēng)險。企業(yè)通常對過程控制的重要性認(rèn)識不足，控制行為處于失控或嚴(yán)重缺位狀態(tài)。由于過程控制不力，經(jīng)常會發(fā)生問題和故障，導(dǎo)致系統(tǒng)中斷。

3企業(yè)信息化過程的風(fēng)險控制模型

企業(yè)信息化風(fēng)險貫穿于企業(yè)信息化生命周期中，風(fēng)險控制模型要以信息化過程為立足點(diǎn)，覆蓋企業(yè)信息化的全生命周期，通過定義和檢查企業(yè)過程中的關(guān)鍵目標(biāo)指標(biāo)，提供準(zhǔn)確、及時的風(fēng)險預(yù)警信息，使企業(yè)能夠及時改善和加強(qiáng)對企業(yè)信息化過程的控制，減少企業(yè)風(fēng)險。

美國信息系統(tǒng)審計與控制協(xié)會(ISACA)提出的“信息及相關(guān)技術(shù)的控制對象”(COBIT)是IT治理的一個開放性標(biāo)準(zhǔn)，目前已成為國際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。本文在借鑒COBIT基本框架體系的基礎(chǔ)上，結(jié)合國內(nèi)企業(yè)信息化的特點(diǎn)，建立企業(yè)信息化過程風(fēng)險控制模型結(jié)構(gòu)，如圖1所示。

企業(yè)信息化過程風(fēng)險控制模型以企業(yè)信息化過程為基礎(chǔ)，具有以下特點(diǎn):(1)開放性，該風(fēng)險控制模型提供了一個基礎(chǔ)的模型架構(gòu)，包含了企業(yè)信息化的共性的、基本的過程和活動，隨著企業(yè)信息化的不斷發(fā)展，可以根據(jù)企業(yè)信息化的個性特點(diǎn)，對模型使用的過程進(jìn)行不斷的優(yōu)化、擴(kuò)展和完善;(2)動態(tài)適應(yīng)性，根據(jù)企業(yè)戰(zhàn)略目標(biāo)、關(guān)鍵業(yè)務(wù)和企業(yè)資源等諸多因素的差異性，以及企業(yè)和行業(yè)的標(biāo)桿不同，對企業(yè)信息化過程的評價結(jié)果不是一成不變的，而是動態(tài)變化的。

4企業(yè)信息化過程的風(fēng)險管理策略模型

4.1風(fēng)險管理的關(guān)聯(lián)模型

企業(yè)信息化風(fēng)險管理在企業(yè)信息化的全生命周期中，基于企業(yè)信息化的過程，結(jié)合企業(yè)戰(zhàn)略目標(biāo)，綜合考慮企業(yè)資源的利用和相關(guān)的環(huán)境影響因子，使用相關(guān)的模型和方法，對核心風(fēng)險進(jìn)行分析和評價，并根據(jù)評價結(jié)果，優(yōu)化企業(yè)資源配置，對企業(yè)過程的關(guān)鍵控制點(diǎn)實施控制，減少風(fēng)險，使企業(yè)信息化滿足企業(yè)戰(zhàn)略目標(biāo)要求[8]。因此，完整的風(fēng)險管理應(yīng)該包括風(fēng)險識別、風(fēng)險評估、風(fēng)險控制3個環(huán)節(jié)，并有著相互關(guān)聯(lián)的意義和內(nèi)涵。企業(yè)信息化風(fēng)險管理的關(guān)聯(lián)模型如圖2所示。若以Ai表示通過風(fēng)險識別得出的風(fēng)險源，以Bi表示風(fēng)險評估后得出的風(fēng)險級別，以Ci表示相應(yīng)采取的風(fēng)險控制策略，則企業(yè)信息化風(fēng)險管理的關(guān)聯(lián)模型為:

Bi = tfi(Ai)

Ci = gi(Ai，Bi) = gi(Ai，tfi(Ai))

式中，tfi為風(fēng)險評估函數(shù)，基于這個函數(shù)，管理者可以確定各個風(fēng)險源的風(fēng)險級別;gi為風(fēng)險控制函數(shù)，基于這個函數(shù)，管理者可以制定出相應(yīng)的風(fēng)險控制策略。

4.2風(fēng)險管理策略的機(jī)理模型

信息化項目的風(fēng)險管理從方法論上包括風(fēng)險識別、風(fēng)險評估、風(fēng)險控制3個環(huán)節(jié)，從項目生命周期上又包括項目規(guī)劃、項目實施和項目應(yīng)用3個階段的風(fēng)險控制策略，并且彼此作用、相互影響，存在相互耦合的矩陣關(guān)系，從而形成如圖3所示的風(fēng)險管理策略二維矩陣模型。根據(jù)風(fēng)險管理的關(guān)聯(lián)模型，項目規(guī)劃階段的風(fēng)險控制策略為C1，則C1 = gi(A1，tf1(A1))。

鑒于風(fēng)險的時間累計效應(yīng)，若在項目規(guī)劃階段時風(fēng)險控制得當(dāng)、措施到位，到了項目實施階段風(fēng)險壓力會隨之降低，風(fēng)險控制也會變得相對容易;反之，若規(guī)劃階段風(fēng)險控制不到位，導(dǎo)致階段性風(fēng)險沒有及時控制而往后累積，將使實施階段的風(fēng)險控制難度明顯增加。同樣，項目實施階段和應(yīng)用階段之間的風(fēng)險控制策略也存在這種此消彼長的關(guān)系。也就是說，信息化項目后兩個階段的風(fēng)險控制策略，不僅取決本階段的風(fēng)險源以及對其評估得出的風(fēng)險級別，也和上一階段的風(fēng)險控制策略存在反向依存的關(guān)系，從模型上可表示為:

C2 = g2(A2，tf2(A2)) + h2(C1)

C3 = g3(A3，tf3(A3)) + h3(C2)

式中，h2、h3分別表示項目實施階段和應(yīng)用階段的風(fēng)險控制策略和前一階段風(fēng)險控制策略的關(guān)系函數(shù)。進(jìn)一步推導(dǎo)后，有如下關(guān)系:

C2 = g2(A2，tf2(A2)) + h2(gi(A1，tf1(A1)))

C3 = g3(A3，tf3(A3)) + h3(g2(A2，tf2(A2) ) ) + h2(gi(A1，tf1(A1)))

將C1、C2和C3簡化，可以得到企業(yè)信息化項目風(fēng)險管理策略的機(jī)理模型:

C1C2C3 = g1(A1)g2(A1，A2)g3(A1，A2，A3)

簡化后的風(fēng)險管理策略機(jī)制模型，不僅能夠應(yīng)用于企業(yè)信息化項目風(fēng)險管理，也可以推廣應(yīng)用于具有相似結(jié)構(gòu)和復(fù)雜性項目的風(fēng)險管理。

5總結(jié)

企業(yè)信息化建設(shè)的風(fēng)險貫穿于信息化的整個生命周期，風(fēng)險管理應(yīng)當(dāng)看作是信息化項目管理整體中的一個不可分割的部分，只有嚴(yán)格遵循“大處著眼，小處著手”的基本原則，才能有效地規(guī)避信息化過程中的各種風(fēng)險。本文沒有拘泥于單個企業(yè)，而是從整體需要建設(shè)信息化的企業(yè)出發(fā)，具體分析了企業(yè)在信息化過程中所遇到的各種風(fēng)險，提出了信息化風(fēng)險的評估模型、控制模型和風(fēng)險管理策略模型，力求對正在實施和準(zhǔn)備實施信息化戰(zhàn)略的企業(yè)有所幫助，最終取得信息化建設(shè)的成功。

主要參考文獻(xiàn)

[1] 陳亮，王燕.企業(yè)信息化實施過程中的風(fēng)險及其防范[J].現(xiàn)代情報，2006，26(9):175-178.

[2] 柴曉路. Web服務(wù)架構(gòu)與開放互操作技術(shù)[M].北京:清華大學(xué)出版社，2002.

[3] [美]W H Inmon. Building the Data Warehouse[M]. 王志海，譯. 北京:機(jī)械工業(yè)出版社，2000.

[4] Han J W， Kamber M. Data Mining Concepts and Techniques[M]. Beijing:Higher Education Press，2001.

[5] Gary Stoneburner. Risk Management Guide for Information Technology Systems[M]. National Institute of Standards and Technology， 2002.

[6] 肖榮.企業(yè)信息化風(fēng)險治理研究[D]. 上海:同濟(jì)大學(xué)，2005.

[7] 冷曉彥，馬哲明.企業(yè)信息化項目的風(fēng)險因素分析[J].經(jīng)濟(jì)縱橫，2005，21(10):72-74.

[8] 王然，馬智宏，衷愛東，楊贊.信息化項目風(fēng)險管理策略的機(jī)理模型和應(yīng)用分析[J].交通與計算機(jī)，2005，23(2):72-75.