周枰蔺琛企业信息化项目管理中的风险管理探讨.doc

企业信息化项目管理中的风险管理探讨【摘要】企业信息化是企业在市场竞争中生存的一个重要之路。企业在实现信息化发展道路的过程中项目的复杂性程度也越来越高。在高风险的企业信息化项目中，进行科学化的风险管理有利于企业驾驭风险以提高项目的成功率。本文在正确认识企业信息化项目风险管理的基础上，对风险管理的特点进行阐述，进而提出了企业如何实施风险管理的建议。【关键词】企业信息化；项目管理；风险管理0、 引言全球信息化的浪潮促使着信息技术在企业经营管理中的渗透，对企业各种业务领域都产生了重大的影响。企业的信息化建设已然成为了企业生产和发展的保障。信息化项目属于高风险和高投资项目，其成功是由很多因素决定的，在整个项目中也是充满着风险1。因而，企业应该对这些风险有更加深入的认识，要建立风险管理控制的机制，以提高信息化项目的成功率，保障企业发展。1、 风险管理的概念信息化项目风险管理针对的是企业的内部风险，在等级保护和适度安全的思想下平衡企业的成本与效益之间的关系，确保安全措施的合适性以保障企业具备应有的保障能力2。对信息化项目进行风险管理应先对项目有个清晰的认识，对其潜在的风险加以识别和评估，确定风险的危害程度以及后果，然后有层次的加以处理。最后对项目的实施过程还要进行监控，并且加以改进。企业风险管理的的内容有三个部分，一个是风险评估，一个是风险处理以及风险监控。风险评估是企业实施风险管理的基础阶段，是确定项目是否存在风险的过程。风险评估的方法主要有两种，一种是定量评估，一种是定性评估。定量评估是从数字上对风险进行评估，定性评估则是依据分析者的经验以及知觉或者以行业的规范为准对其中的各个要素进行评估的过程。两种评估方法都有各自的优劣势，企业在进行风险评估时可以根据自己的实际情况制定相关的评估方案。风险处理是通过选择和执行措施来处理风险的过程，包含了对风险评估中提出的安全控制措施的排序以及平等等。风险处理包括了规避、转移、弱化和接受四种方式。避免风险是在改变项目方案的基础上来消除风险，避免出现漏洞被利用，使得目标受影响。例如，使用熟悉的工作方法，施工方等；转移风险是通过把风险转移到其他机构上来降低项目风险率的风险处理方法，诸如保险以及项目外包等等；弱化风险是指通过降低风险事件概率以及其程度来进行风险处理的方式，诸如进行备份设计等等；接受风险是在不改变原来项目计划的基础上对时候如何处理和应对的考虑，例如制定风险应急计划等等。风险监控促使着整个风险管理过程形成一个周而复始的周期，对于整个风险管理系统的运行情况进行监控，对风险的对策有效性加以检查，识别新的风险以制定相应的对策。2、 企业信息化风险管理模式的构建 企业信息化项目容易被很多问题影响，最终会导致项目误期、超支等现象。这些问题虽然不能够全部解除，但是如果采用合适的预防方法还是能够对一些问题加以控制的。风险管理存在的意义就在于能够对项目管理中威胁加以预防和控制。一个组织在项目建设初期以及整个过程中如果持续通过风险管理技术是能够避免大量问题的出现的。企业信息化项目风险管理模式要如何构建还需要依据一定的原则进行。2.1 风险管理模式构建原则 信息化项目风险管理的目的不是消除风险，因为风险存在是有一定的客观性，风险管理的目的是要对这些风险的处理提出决策和方案，最大程度的减少项目中的不确定性。在构建项目风险管理模式时要首先应该对风险进行全面的描述，把风险同项目的目标紧密的联系在一起，并且对不同干系人的利益以及风险偏好进行考虑3。制定一个可以调整的管理过程，在具体操作的过程中可以依据其灵活性进行伸缩，风险管理模式容易应用到实践中，因此有一定的成本效益。最大程度的对关键风险进行识别，在企业信息化过程中要坚持实施风险管理。企业在构建风险管理模式时应该同项目管理相互融合。风险管理同项目管理的目标从本质上来说是一致的，只不过项目管理的出发点是如何才能成功，而风险管理的出发点则是如何规避失败。最后，风险管理是不能一劳永逸的，因为环境和技术是时刻在变化的，因而风险管理模式也要对这些变化有适应性。2.2 风险管理模式的框架设计风险管理模式的过程包括了以下几个部分。第一，风险管理规划。企业信息化项目风险管理是从规划开始的，制定风险管理的计划包括其方案以及方式，选择合理的风险管理方法是判定风险的一个主要依据。在这个过程中，输出的计划书则是信息化项目风险管理的指导纲领。第二，项目目标定义。风险管理同项目目标是相互联系的，项目目标同其相关的干系人也是相联系的。因此，在规划好风险管理后，就要对项目目标进行定义，这个过程中应该对项目目标进行定义和提炼，建立干系人和目标优先排序表。在完成两个阶段后就要进入闭环流程，闭环是指对风险分析、技术以及监控等循环进行的过程，尽管企业的风险管理规划和目标定义都不属于闭环的过程，但是在满意一定的条件下，还是会重新启动这两个过程的。第三，风险识别。对于项目中潜在的威胁要加以识别，而且还要对这些威胁的来源和可能导致的危害加以分析。第四，风险分析。通过建立评估标准对风险进行分析。对于风险发生的可能性意思后果在已知风险中评估可能风险的价值。第五，风险计划。制定相应的风险应对方案，同时制定加护，建立触发机制以作为风险计划执行的一个起点。第五，风险跟踪。风险跟踪是对风险计划起点以及状态的监视，以为了在今后的风险计划更好的执行。第五，风险控制。风险控制是对于触发事件通知作出的回应，在执行风险行动计划的时候，对风险进行报告，一直到风险降到能接受的级别为止。风险管理活动中的两个主要组成部分是评估和控制。在风险评估中识别和分析是其主要的过程元素。计划和跟踪则是风险控制过程中的元素。企业通过风险控制来解除企业存在的风险，对企业的风险状态以及计划进行纠正应对。3、 企业信息化风险管理策略3.1 明确项目风险管理目标 企业信息化风险管理目标在设定时要同企业的信息化目标一致。信息化项目风险管理需要企业的部门和部门之间能够相互协调合作，在制定总规划后对企业的信息化风险管理目标明确定位。同时，还要避免片面信息化风险管理被分割成不同部门的分散的职能活动4。企业信息化风险管理的目标在信息化总目标变化的同时也应该加以调整。3.2 建立风险管理机构在企业信息化发展的过程中，任何一个项目都是有一定的风险的。因为信息化项目间存在的关联性和交叉性会导致在应对某个风险的过程中产生出新的风险。有的单个项目的风险管理活动不能和企业的信息化风险管理相互协调时，企业就应该建立企业级的风险管理机构，而且这个机构应该是同项目组独立的，由企业的CIO来负责而不是项目经理来控制。在这个机构中，其成员要包含企业的审计、IT技术人员等。企业设置的信息化风险管理机构主要是对企业的信息化风险管理目标进行完善，对风险进行评估，同时对企业信息化项目的进度加以监控。风险管理机构对于企业中的每一个信息化风险项目都应该实施监控，确保企业的信息化风险管理能统一、连续。3.3 利用第三方控制信息化风险 在企业进入信息化经营之前，对于系统的信息化知识还缺乏系统的判断力，因为信息化知识的欠缺和项目信息的部队称，大多时候都很容易由着实施方的方向走，进而使得信息化项目变得更加的盲目。通过使用第三方控制信息化风险是企业对信息化项目进行风险管理的一个有效的方法。在信息化前期，企业可以通过委托管理咨询公司对企业的战略咨询以及信息管理进行诊断，从企业的实际情况出发，制定合理的规划和信息化业务流程。在实施信息化项目的过程当中，企业还可以外聘信息工程监理机构来对系统进行控制。信息化工程监理依据客观的标准对其质量进行评估和监控，以规避项目双方因为认识不一致而出现冲突，确保系统目标能实现。有的企业具备一定的条件还可以委托专业的风险评估公司进行评估，风险评估公司可以在了解企业信息化项目实际情况的基础上提供完善的评估修补方案。3.4 建设企业防范信息化风险文化 在执行风险管理策略的过程中，企业应该要在领导的认可下执行，还应该得到企业员工的理解，这样就需要企业能够建立信息化风险防范文化。随着信息化的深入，信息技术在企业的各项事务中都渗透到了，信息安全不仅是企业技术人员的工作，也同企业业务活动的信息化风险管理息息相关。所以说，信息化风险管理的问题从根本上说就是管理的问题。因而，建立一个利于企业信息化项目风险管理的文化环境十分重要，这也是信息化风险管理的一个重要内容。企业在建立风险防范文化时的目的就是要是的企业的员工能够具备风险防范的意识，而且在进行业务活动中能自觉的贯彻进去。作为企业的风险管理机构应该为企业的员工提供风险教育培训，把企业或者其他企业信息化项目风险管理中的成功或者是失败的案例提供给员工，让员工认识到作为企业一员对信息化项目风险防范的责任。经常性的对企业员工进行风险评估和识别教育，对于不同项目风险的应对措施要让员工加以了解，提升整个企业的员工对信息化项目风险管理和认识能力。3.5 适时转变和调整风险信息化项目的实施不仅仅企业要购买和安装设别，还要多个方面进行调整和转变。企业的人员在不断学习现代管理思想和信息技术的基础上还要对原来传统的工作方式进行转变。信息化项目建立的信息系统也会产生数据标准的改变，企业的业务流程和组织机构也因此要作出调整。4、结论 信息化项目的风险管理是企业进行信息化建设成败的关键，因而，企业应该重视风险管理的工作，投入一定的人力和物力、财力对企业的信息化项目进行风险评估、控制和监控等工作，确保企业的信息化项目能够顺利进行，以推动企业信息化建设，确保企业的各项业务以及经营目标得以实现。总而言之，在开发项目的过程中，风险存在是不可避免的，但是成功的风险