信息化风险与风险管理.doc

信息化风险与风险管理 林建雄LINJian-xiong （福建江夏学院，福州350108） （FujianJiangxiaUniversity，Fuzhou350108，China） 摘要：企业信息化中的存在各种风险问题，怎样提高企业信息化风险管理能力成为当务之急。应充分利用网络信息技术，开展信息化风险管理的创新工作，明确信息化风险全面管理的目标，加强对企业信息系统内部系统关键点的控制，构建信息化全面风险管理控制体系，以满足企业管理的需要，提升竞争力，实现更大的经济效益。 Abstract：Therearevariousriskproblemsinenterpriseinformatization,sohowtoimprovetheinformatizationofenterpriseriskmanagementabilityhasbeeapressingmatterofthemoment.Theenterpriseshouldmakefulluseofworkinformationtechnology,carryouttheinformationriskmanagementinnovationwork,clearthegoalofprehensiveriskmanagementinformation,strengthenthecontrolofthekeypointsoftheinternalsystemofenterpriseinformationsystem,andconstructtheinformatization-basedprehensiveriskmanagementcontrolsystem,inordertomeettheneedsofenterprisemanagement,enhancepetitivenessandachievegreatereconomicbenefits. 关键词：企业信息化；信息化风险；全面风险管理；控制体系 Keywords：enterpriseinformatization；informatizationrisk；prehensiveriskmanagement；controlsystem ：F49：A：1006-4311（xx）34-0203-03 ：xx年9月8日。 作者简介：林建雄（1971-），男，福建仙游人，福建江夏学院会计学系副教授，主要从事会计信息化教学与研究工作。 0引言 企业信息化的建设是一个不断发展变化的过程，信息化的实施过程是一个长期的工程，随着时间的推移，对企业的相关人员，特别是领导的积极性是极大的考验，因此企业的信息化过程中存在不可避免的问题发展中的风险问题。 1企业信息化的风险 信息化可能或者实际带来的消极威胁是界定信息化的风险的依据，企业实施信息化工程一般存在着较大风险。风险管理泛指确认风险、评价风险、回应风险的过程。尽可能地降低风险的发生以及风险发生以后所带来的损失和威胁，这是风险管理涉及复杂的结构、机制、过程和制度安排的原因。 1.1社会环境风险社会环境风险是指企业遇到的其经营环境的法律、社会、政治和经济等各方面的风险。如政策、法律的改变，使企业的生产经营受到冲击，环境风险包括系统安全风险、关联方业务合作风险等。 1.2战略规划风险在由传统管理企业向信息企业转变的过程中，企业缺乏整体的信息应用规划，特别是符合企业发展战略和管理现状的，与企业资源适度配合的整体规划。这样在企业信息化整体应用的推进过程中，势必会造成资源分散、信息孤岛林立，最终难以发挥系统的整体效益。 1.3组织管理风险信息化首先是一个管理问题，其次才是技术问题。企业信息化建设知识综合性强、涉及的范围广、部门多，除了涵盖企业内部职能部门外，信息化建设往往涉及供应商、客户、分销机构等。企业实施信息化存在组织管理风险，管理风险包括组织结构不合理、管理思想混乱、管理职能虚化、员工凝聚力下降等方面。管理风险存在于企业信息化实施工作的全过程，轻则增加成本、延长进程，重则导致企业信息化实施失败。 1.4人力资源风险信息化建设归根到底是要人来完成的，信息化人才是既懂业务、又懂管理、还要懂计算机的多方面人才，这就需要我们的企业培养人，而且更要留住人才。目前导致我国企业信息化项目实施失败的主要原因之一便是专业化复合性人才匮乏。其一，企业奇缺CIO（首席信息官），其二，缺乏信息管理师，进而导致企业信息化缺乏内动力，无法正常、高效地运行下去。 1.5流程风险营运风险、授权风险、信息技术风险和财务风险共同构成了流程风险。财务风险，信息化项目投资少则上百万，多则数千万，包括信息化软件费、网络硬件费、实施服务费（费用比大致为1：2：3）。由于企业的业务不可能是一成不变的，如果企业的发展战略、组织结构、业务流程发生了较大的变化，整个信息系统也要作相应的调整，系统的投入会更大，这些隐含的成本由于其本身存在较大的不确定性而容易被忽视，最终形成所谓的IT黑洞。 1.6执行控制风险执行控制风险包括信息化软件选择、实施服务商选择、实施进度控制、实施成本控制等方面。上述企业信息化实施工作不当，轻则增加成本、延长进程，重则导致企业信息化实施失败。实施过程中，服务方缺乏相应的实施规范，忽视或者不深入进行项目的可行性研究、需求分析、系统分析等或者监控力度不够，使信息化实施项目不能如期完成；实施结束，缺乏相应的验收，或是验收的标准的差异，导致企业的信息化项目成为“难楼工程”。 1.7监督考核风险企业和政府部门在IT规划过程会对信息化需求的分析和系统选型的实施给予充分的关注，但忽视了与之相配合的IT管制体系的建设和优化。信息化建设并不以系统的上线为止，更多的工作在于系统的推广、维护和优化；随着信息化应用的不断深入，企业对信息化依赖程度越强，管制缺乏，信息化所隐藏的风险将越来越突出，如信息安全的隐患、无形资产流失的风险、系统故障给业务带来的影响等等。企业进行内部控制的建设由企业自行承担，没有外部监管，内部控制也就只能是纸上谈兵而不能够真正发挥作用。 2企业信息化风险形成的原因 企业应用信息化系统，存在一定的风险，分析风险的目的不是要企业放弃实施信息化系统，而是要企业充分估计风险，正确对待风险，从而成功实施信息化。信息化风险的生成机理是复杂的，一方面是内因，由信息化自身的特点所决定：第一，信息化的无疆界特征；第二，信息化的低成本特征；第三，信息化的开放性特征；第四，信息化的匿名性特征。另一方面是外因，是信息化的风险源。重要的归纳为十个方面：自然灾害；安全生产事故；网络攻击；借助信息化手段进行欺诈；病毒和蠕虫；内部泄密；使用不当；因内部因素而造成的信息、数据的修改和丢失；因外部因素造成信息、数据的泄露、篡改和丢失；安全防范措施不到位的高端技术等。 3构建企业信息化全面风险管理体系 3.1明确企业信息化中全面风险管理的目标 企业全面风险管理体系将达到以下主要目标：明确企业不同层面的风险管理职责，保证风险管理体系的落实；统一风险度量，建立风险预警机制和应对策略；提供风险的实时有效监控和依据包括风险信息的收集、分析、报告系统；可能给企业造成重大损失的应该有效的回避，企业战略目标得以实现；企业利益相关者能够了解企业的风险，达到股东、债权人以及监管机构要求的满足；形成一套自我运行、自我完善的风险管理机制。 3.2设置信息化全面风险管理关键点 3.2.1风险评估与诊断 系统地辨识企业所面临的风险，对辨识出的风险进行定性和定量的分析，评价风险对企业目标的影响。 3.2.2风险管理战略及其实施方案 依据企业的整体战略，结合企业的管理能力，明确企业的风险管理目标；针对不同的关键风险，引入量化分析工具，确定风险偏好和承受度；制订保证企业整体战略目标实现的整合风险管理战略。 3.2.3风险管理流程优化与设计 基于企业现有的管理流程和内部控制体系，结合已评估出的风险，找出流程中的关键风险控制点，梳理并细化具体控制内容，优化和完善制度，优化监控指标体系，强化运营和管理流程中的内部风险控制。 3.2.4企业风险管理组织设计与文化建设 优化和设计企业风险管理结构，设计不同层面的风险管理组织职能方案和相应的职责要求、人员能力框架，优化和完善关键的绩效管理体系和薪酬激励机制，构成风险管理有效运行的保障架构。 3.2.5风险管理方案设计 寻找企业风险留存与转移的平衡点，设计相应的风险管理金融工具组合如期货、期权、掉期、保险等产品组合或风险准备金、或有资本、专属保险等，实现对具体风险事项的控制。 3.3构建ERM（EnterpriseRiskManagementFramework）企业风险管理框架 企业应当根据自己的具体情况建立自己的ERM概念性框架：将风险偏好与企业战略相联系；确保风险管理战略与组织的发展战略和股东的价值相一致；利用风险最优化的概念，避免额外的成本支出。应该做到以下七个方面：构造企业风险管理的文化环境、定义风险、评估风险、制定回应风险的措施、控制措施、沟通信息、持续的监控。充分有效地利用风险管理，将风险管理的精神深植于企业的组织文化和员工的心中，并透过一个强有力的全面风险管理框架，将风险管理融入企业日常的作业程序中。 4实施企业信息化全面风险管理 实施企业信息化全面风险管理，构建全面风险管理体系，应从企业整体层面建设企业的风险管理的架构，包括制定企业的风险管理战略、完善企业的内控体系、设计与优化企业的风险管理流程、设计企业风险管理组织结构及其职能，从而是企业建立起全面风险管理的长效机制，从根本上提升风险管理的效率和效果。 4.1重视风险管理 对信息话价值的彻底理解是是信息化建设所需要，不可能立马就成功，不能为上信息化而信息化。人力、物力、财力及战略发展规划上给予信息化建设高度重视是企业所必须达到的，并明确项目管理机构和职能，以带动各级员工的积极性和参与意识，确保信息建设的顺利实施。 4.2建立能切实推进信息化建设的组织，切实防范风险 企业巨额投资进行信息化建设应密切配合企业管理重组。根据现代企业管理“企业过程化、组织扁平化、功能系统化”的要求，进行管理重组，着力进行与信息化相适应的企业文化设计与建设，全面转变和更新企业经营思想观念，注重员工创新意识能力和团队协作精神的培养，为企业成功实施信息建设提供思想基础和文化支撑。 为使信息系统能切实发挥作用，企业应参与信息化的全过程，建立相应的信息化组织。首先，企业要对安全性、实用性、先进性等方面进行全面统筹和权衡，把企业信息系统依据操作层、运营层和决策层三个层次来规划，紧紧围绕企业中长期发展战略，以支持企业实现使命为主要目标，建设和不断完善相应的硬件系统和软件系统。其次，制定具体实施推进策略是，在做好整体规划的前提下，分步实施、重点突破、持续改进。最后，在关键环节、关键机构、关键业务进行实施，实现企业内关键点的信息化，然后连点成线，织线成面，接面成体，最终构成立体化、高度集成、高度集中的企业级智能信息应用系统。 4.3运用信息技术对风险进行定性/定量风险分析 按其对项目的影响程度排出先后级，借助分析者的经验和直觉，为风险管理诸要素的大小或高低程度定性分级，即风险定性分析。定量分析即对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素都被赋值，风险评估的整个过程和结果就都可以被量化了。企业组织根据具体的情况，运用信息技术选择定性或定量的分析方法。 4.4实施风险的监控 风险监控，在整个项目过程中监督已识别风险和残留风险、识别可能出现的新风险、执行风险应对计划、评估计划执行的有效性，应判断：风险应对措施是否按计划实施；风险应对措施是否有效，是否需要制定新的措施；项目假定条件是否依然成立；风险的状态是否在改变；是否出现了风险征兆；正确的项目章程和流程有否被遵从；是否有未识别的风险发生。 4.5加强风险管理系统的测评与反馈 企业的信息化建设是一个渐进的、动态的增效过程，风险与收益始终伴随着企业。加强实时风险管理系统的测评与反馈，增强系统风险管理的效率。我们可以发现风险管理的实质即：识别风险、筛选风险、控制重点风险、最终降低风险。通过业务和过程的实时测评与反馈实时控制子系统，通过对未来事务和行为的反馈控制反馈控制子系统，反馈控制包括内部反馈控制和外部反馈控制两部分。 4.6利用网络信息技术提高企业全面风险管控能力 企业风险管理的各项工作都要用到信息技术，建立一套风险管理信息系统，包括采集、存储、加工、分析、测试、传递、报告、披露等功能。变化的环境、复杂的决策、稍纵即逝的机会都需要有提供及时、有效、准确的信息，风险管理信息系统是提高风险管理效率及可靠性的重要保障，为企业各部门之间的风险沟通架设桥梁。 风险管理信息系统为量化风险提供计算服务，并且可根据管理层的要求就某一事件进行情境分析，有关风险管理的数据库也保存在系统之内，风险管理信息系统也是风险控制和企业风险管理战略的载体。以信息技术为基础的信息系统使一些适于自动化的管理流程必