企业信息系统管控的风险分析

论文（设计）题目：企业信息系统管控的风险分析学 院： 专 业： 班 级： 学 号： 5 学生姓名： 指导教师： 年 月 日浅析企业信息系统风险管理方法 【摘要】当今社会信息系统已经全面融入企业的运营，因而风险管理显得愈加重要。本文从对企业信息系统生命周期的角度进行风险分析，提出了风险管理的要求，简述了如何加强企业信息系统的风险管理，并对企业如何提高抗风险能力给出了几点建议。 【关键词】信息系统；风险；风险管理；方法 Analysis on enterprise information system risk management method Abstract：Today, the social information system has been fully integrated into the enterprises operation, so the risk management is becoming more and more important. This article will analyze the risk from the view of the life cycle of enterprise information system, and put forward the requirements of risk management, introduces how to strengthen enterprise risk management of information system, and gives some advice to how to improve the ability to resist risks. Key words: Information system；risk；risk management；method 引言 企业生存需要依靠信息系统来增强运营效率，但随着经济形势的逐日严峻，市场竞争越来越激烈，企业对风险的耐受性变得更差，抗风险能力也更低。危机环境下的企业信息化建设，因此具有了一些新的、特定的、不容忽视的特点，尤其是那些大型的信息系统项目，因为投资规模大、功能复杂、用户众多，并且很多系统还涉及到了业务流程的重整和优化，使得实施的难度和风险更高，因而我们对企业信息系统的风险管理水平夜有了更高的要求。 一、风险管理及信息系统风险的定义 （一）风险和风险管理 风险是指在某一特定环境下，在某一特定时间段内，某种损失发生的可能性。风险是由风险因素、风险事故和风险损失等要素组成。 风险管理又名危机管理，是一个管理过程，其中包括对风险的确定、量度、评估和发展应付风险的策略。目的是把可以避免的风险减至最小，成本及损失极小化。理想的风险管理，是一连串排好优先次序的过程，使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。 （二）信息系统及信息系统风险 信息系统（MIS-ManagementInformationSystem）系统，是一个由人、计算机及其他外围设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统。其主要任务是最大限度的利用现代计算机及网络通讯技术加强企业的信息管理，通过对企业拥有的人力、物力、财力、设备、技术等资源的调查了解，建立正确的数据，加工处理并编制成各种信息资料及时提供给管理人员，以便进行正确的决策，不断提高企业的管理水平和经济效益。 信息系统的风险是指软件开发过程中及软件产品本身可能造成的伤害或损失。在研制和实施信息系统的过程中，项目的商业风险、管理风险以及技术风险等诸多风险均存在，并且，软件不可见等特性使得不确定因素增多，开发和应用风险变大。 二、企业信息系统的生命周期及风险管理目标 （一）初始阶段 在确定新的信息系统概念和早期设计过程中，风险管理的目标是保证业务和信息技术系统的一致性，避免在项目启动初期出现不合理的行为导致返工。因此，必须做好系统的规划和区分，了解其内部的相互依赖关系，明确交付系统的能力、容量和可能的制约因素，按照优先级次序启动不同流程。确认系统方案的可行性对系统方案交付选项进行有效的评估，保证业务和信息系统在理念上的一致性。 （二）系统开发系统采购对于大多数信息系统来说，开发采购阶段比起始阶段更复杂，可以分为以下三个子阶段。1、需求和方案设计在开发，采购阶段的初期，系统计划者定义系统的需求，风险管理的需求也应该与此同时制定，风险管理的目标是保证在系统解决方案开始构建之前，明确方案的优缺点，避免返工。方案架构设计过程应该坚持对方案进行严格的质量评估，同时要积极管理合作伙伴合同和技术采购上可能出现的风险。 2、系统构建(开发采购)如果系统要自行开发，编码工作此时已经开始启动，对采购软件，则需要同步开始进行裁剪和配置工作，这个阶段需要避免的风险主要和系统各个组成部分自身携带的缺陷有关，这些组件集成到整个系统中，也可能引入新的缺陷。 3、系统测试 系统测试阶段主要的风险管理目标是通过测试识别不可接受的缺陷，并确认每个缺陷都得到了解决。我们必须确认系统的正确性和完整性依照系统规范和业务需求，按部就班地对系统实施“肯定性”和“否定性”测试，以保证系统能够正常运作。 （三）系统实施在实施阶段，系统主要的风险管理目标是保持业务的持续运行，避免业务中断。所以，在系统投产前，要组织用户代表进行技术演练，使用户对系统在时问、次序和可能造成的影响等方面都有一个清晰的了解。并准备好一套可以让业务退回原有状态的备用计划，并在实施前进行演练。 （四）运行和维护由于系统的复杂性和资源限制，测试阶段很难对信息系统进行穷尽测试，系统在运行中总会出现新的缺陷，同时业务的发展变化也会对系统提出变更和改进要求，此时风险管理的目标是把系统从故障状态中恢复正常运行，避免系统改进造成新的故障。 （五）退出与废弃 信息系统生命周期的退出和废弃阶段涉及到信息、硬件和软件的处置。在理想情况下，旧应用系统退出计划应该作为新应用系统实施和切换的一部分。应确保废弃的软硬件被正确、安全的处理。 三、企业信息系统风险管理的方法步骤 企业在信息系统运行和帮助生产经营的过程中，应对可能发生的风险进行识别，预测各种风险发生后对资源及生产经营造成的消极影响，使生产能够持续进行。可见，风险的识别、风险的预测、风险监控和风险的处理是企业风险管理的主要步骤和方法。 （一）风险的识别 风险识别就是确定哪些风险可能会对事物产生影响，然后，将这些风险按特征分类记录为文档，系统化地确定对项目的威胁。这是风险管理的第一步，只有识别出这些风险，项目管理者才有可能避免并控制这些风险。 准确的识别出当前项目的风险，是有效管理项目风险的前提，也是后续各步骤的基础，因而风险管理人员要根据企业自身的特点，明确在信息系统中可能遇到的风险，并对不同的风险内容分别制定可行的应对策略。如风险列表分析法，通过把以往项目中曾经发生过的风险整理到一起，并按照项目的类型、规模和特点进行分类，分别编制成适用于不同种类项目的风险列表，供项目组评估和分析当前项目所面临的风险时使用。 在信息化项目当中，不断积累起来的项目经验和组织过程资产，是保证新项目顺利执行的宝贵资产。无论是整理出来的风险识别列表，还是以往曾经采取的处理方法，或是各种不同方法的实施效果，对于新的项目来说都是极珍贵的参考资料，对整个系统的风险管理更是意义非凡。 （二）风险的预测 正确认识企业信息系统可能遇到的各种风险，是加强风险管理的基础，是制定风险应对预案的基础，是及时预警风险信号的基础。既然是基础，其重要性也就不言而喻，然而真正能够做到这一点的却并不多。 许多风险管理计划并不能做到符合企业自身的需求既然有风险列表可以参考，那么随便选出三五个风险因素，然后照抄一下以往的应对措施，再随意琢磨出几个概率和强度，一份有模有样的风险管理计划就新鲜出炉了。至于如此一份“因繁就简”的风险管理计划，对防范和应对当前项目中可能遇到的风险到底有多大的用处，就可想而知了。所以，只有当组织的所有成员都诚恳的意识到风险的破坏性和风险管理的迫切性，充分重视项目风险的识别、监控和应对，风险管理才可能发挥其应有的作用，成为促进信息化项目成功的重要保障。 其次，每种风险发生的概率和造成的损害各不相同。一个项目需要关注的东西很多，不可能对每一个风险都给予同等的注意，必然会对发生概率高、危害大的风险投入更多的关注。 关于风险发生的概率，可以通过历史数据的分析来获得。对历史项目中这类风险发生的频度进行统计，可以大致估算出这类风险发生的概率，当然，在评估具体项目中某个风险的概率时，也要考虑到该项目的特点，只有对具有可比性的项目数据进行统计，才会对风险的概率度量有所帮助。 风险的强度系数，主要依靠对假设的风险发生状态下，可能会给组织造成的直接损失和间接损失。对信息化项目来说，最常用的衡量损失的指标就是进度和质量，这是最直接的损失，当然还会有间接的比如满意度等方面的损失。 无论是概率系数还是强度系数，都是为了衡量某个风险的重要性服务的，并不要求绝对精确，只要能够找到项目中最可能发生的、危害程度最大的风险，并加以重点防范，以避免给项目造成重大损失。 （三）风险监控 罗马不是一天建成的，风险也不是突然出现的。在风险演化为后果严重的危机之前，总会有蛛丝马迹可寻，风险监控的意义就在于此。只要我们足够的细心，给予足够的重视，很多情况下是可以化危机于无形的，或者，至少可以降低所造成的危害。 前面几步明确了风险的内容、概率和强度，接下来我们需要对优先级最高的风险进行重点监控，把有限的精力放在最有价值的工作上。 企业测信息化建的项目有许多信息和指标反映项目的进展状态，比如进度是否落后，项目质量是否波动，需求是否又有变动，功能点完成了多少？系统的风险管理者应该时刻关注这些项目信息，并从各种状态评估报告、项目进展报告等文件中收集所需的信息，利用这些信息拼凑成一幅完整的项目现状图。 掌握了全面的项目状态信息之后，风险管理者需要根据风险管理计划中提供的风险列表，对其中的异常信息进行重点分析，及时发出风险预警，提醒项目组成员确认风险并采取相关的风险应对措施，达到风险管理的目标。 防微杜渐是风险监控的目的，见微知著是风险监控的原则，无论计划制定的多么完美，没有及时准确的风险监控和预警体系，项目的风险管理就实实在在的成了一句空话。 四）风险的处理 最可怕的不是风险本身，而是当风险成为事实后的惊慌失措。风险发生后，我们应将重点放在该怎样面对已成事实的风险，怎样努力降低风险造成的损失。 如果我们认真做到了前面的几个步骤，那么即使风险真的发生，其严重程度也不会太离谱，因为早在风险萌芽之初，已经采取了预防措施。但如果很不幸的，风险来得异乎寻常的猛烈，或者预防措施效果不佳，也没有必要惊慌，还有计划中的应急预案可以帮我们度过难关。 风险应对是当所有预防措施失效之后才采取的，是项目的风险管理计划中的最后一道防线，通过措施得力的风险应对，可以尽量降低风险所造成的损失，避免遭遇致命性的打击，提高风险过后的恢复能力。 风险的一般处理方法有：避免风险、预防风险、自保风险和转移风险等。 四、企业信息系统的风险管理能力 对于企业信息系统的风险管理的成功，除了需要技术人员的努力之外，也需要提高组织的风险管理能力，使整个组织的抗风险系数得到提升，增加整体的成功概率。 提高风险管理能力，可以从以下这几个方面加以尝试。 （一）首先，提高企业组织成员对风险管理的重视程度 思想决定行为。只有让组织成员清醒的认识到缺乏管理的风险和可能给项目造成怎样不可挽回的损失，提高他们的风险管理意识，才能从思想上接受项目风险管理的必要性，进而从行动上支持风险管理的活动。没有思想上的接受，即使被分派了风险管理的任务，也可能敷衍了事，无法取得预期的效果。 （二）其次，制定完备的风险管理制度 制度是保证组织行为稳定和可预见的前提。风险管理作为一项重要和复杂的项目管理任务，只靠个人的热情和某个项目组的努力是不够的，组织必须制定出清晰完备的制度，来保证风险管理的过程可监控、可预测、可管理。有了可遵循的制度，风险管理的行为就会变成组织的标准行为，收到效果显著而且稳定的成效。 （三）再次，建立完善的人员配备 组织的行为是通过合理的角色分配和完善的组织架构来保障的。良好的风险管理需要全面的信息，也需要合适的人员。例如准确度量风险、分析项目信息、 及时发出预警等任务，都需要有能力、有经验的风险管理人员来承担。没有合理的角色分配和组织架构，组织的风险管理能力是无法得到保证的。 （四）最后，积累有价值的过程资产 只有积累下来的才是可用的。每个项目都会面临不同类型的风险，每个风险都会有不同形式的表现，每次处理都会有不同程度的效果，只有当这些流水般的经验在组织里积累和沉淀下来，才能成为有用的组织知识，为以后的项目提供宝贵的风险管理经验。 当组织慢慢的积累了足够的风险管理经验，制定了完备的风险管理制度，配备了恰当的风险管理人员，具备了充分的风险管理意识，组织的风险管理能力也就达到了一个新的台阶。 随着信息系统项目复杂性的增加，要想提高信息系统项目运转效率和可靠性，有效地降低风险，应采用基于持续改进的方法对信息系统项目风险进行管理。我们认为，只有在风险发生之前，准备好应对之策，稳扎稳打的做好风险管理的每一步，才能使企业信息系统的风险变得可控，从而把损失降到可以承受的范围之内。 参考文献： 1卢加元.信息系统风险管理.M.北京：清华大学出版社 2孙强.信息系统审计:安全、风险管理与控制.