網絡企業信息技術風險管理體系研究

[摘要] 在現代網絡企業中，信息技術占據舉足輕重的地位，成為網絡經濟環境下企業發展的支柱，但是，信息技術所引發的風險也常常給網絡企業造成損失，因此建立完善的風險管理體系非常重要。本文從信息技術對網絡企業的影響入手，深入分析了企業在信息技術風險管理中出現的問題，并提出了相應的改善建議。

[關鍵詞] 網絡企業 信息技術 風險 管理

網絡經濟是人類社會發展的高級經濟形態，它向人們揭示了社會先進生產力發展的主要形式和方向。在網絡經濟環境下，信息技術起到了關鍵性的作用，它不僅深刻地改變了整個經濟系統的資源基礎，同時改變著經濟系統的結構，有史以來人類文明進步所取得的知識和經驗被信息技術廣泛地開發出來，這一過程又使人類文明得到了新的超越。

一、信息技術風險對網絡企業的影響

1.網絡企業的界定

網絡企業是在網絡經濟環境下產生的一類新型經濟主體，它以信息技術為依托，創造出許多新的市場運作方式。根據互聯網公司經營領域的不同，網絡企業可以分成網絡基礎設施業務、網絡應用服務、網絡接入服務、網絡信息服務四種類型。

（1)網絡基礎設施業務，即網絡硬件業務，包括互聯網基礎設施設備制造業、網絡服務器制造業、網絡安全設備和光傳輸設備制造業。

（2)網絡應用，即網絡軟件業務，包括網上開展各種活動所需的產品和服務，如Web開發軟件、Web服務軟件、搜索引擎多媒體軟件等。

（3）網絡接入服務，即ISP業務，包括利用公共電話網（PSTN）和有線網絡（Cablenet）為用戶上網提供接入服務的公司。

（4)網絡信息服務，即ICP業務，主要指為提高互聯網效率和利用互聯網提高效率而開展的各種中介服務。

2.信息技術的風險效應

網絡企業具有全球化、速度化、虛擬化、數字化等特征，信息技術是網絡經濟的支柱，也是網絡企業發展的根本要素。然而，信息技術的發展過程具有兩面性：一方面，信息技術在經濟發展中起著越來越重要的作用，網絡企業對信息技術的依賴日益加深；另一方面，信息技術在給網絡企業帶來巨大助益的同時，也帶來了巨大的風險。

信息技術運用中所產生的風險，不僅僅是安全性和一些單純的信息技術本身的風險，還包括企業在應用信息技術進行業務運作的過程中所產生的其它相關的風險，包括網絡企業自身業務產生的風險以及遭遇外部攻擊的風險。信息技術風險給企業造成的損失往往是不可估量的，主要影響以下方面：

（1)經濟損失。信息技術風險一旦發生，往往會給網絡企業造成巨大的經濟損失，例如信息資產的丟失或毀損，而有些具有歷史意義的原始資料的丟失，其損失甚至超越了經濟價值的衡量限度，就如同遭受火災的人家，損失最為重大的往往不是財物，而是珍貴的紀念照片一樣。

（2)客戶流失。由于網絡的互聯性，使得網絡企業的信息技術風險常常會波及客戶，如果客戶在網上交易、網上拍賣、股票操作等過程中，由于信息技術風險造成網絡服務中斷，即使在短時間內恢復，也會使客戶的利益遭受損失。風險的頻繁發生會讓客戶對企業的安全性失去信心，從而造成客戶流失。

（3)競爭失利。網絡企業所處的經濟環境競爭非常激烈，信息技術風險給企業造成損害，常常會導致業務中斷，而恢復運營需要花費的時間和金錢，與此同時，正常經營的競爭對手就會占據領先的地位。

二、網絡企業信息技術風險管理中存在的問題

對于以現代信息技術為主要支撐的網絡企業來說，信息技術風險為企業的經營帶來了極大的不確定性，因此，信息技術風險管理問題顯得猶為突出。但是，企業在信息技術風險管理的過程中，存在著許多問題，使得信息技術風險管理的各項標準、措施難以發揮最佳效果。

1.企業高層管理者的風險意識淡薄

高層管理者的風險意識淡薄是影響信息技術風險體系難以有效發揮的重要因素，一般企業的管理者往往是由于對信息技術風險缺乏了解而導致對其不夠重視，而網絡企業的情形有時與之相反，網絡企業是信息技術要素非常集中的行業，其高層管理者通常都有著足夠的技術知識和管理能力，正因為如此，他們往往會由于自信心較足而輕視信息技術風險的危害性。

更為重要的是，信息技術風險管理需要花費大量的成本，而往往不能給企業帶來直接的效益，這使得在企業高層管理者對于風險管理方面的投資態度并不明朗。加之風險危害的發生很難準確預計，高層管理者便會報有一種僥幸心理，有意無意地忽視風險管理。

2.不良的風險文化

隱藏風險是人類的本性，一些企業高層管理者為了維護企業形象、營造樂觀氣氛而有意回避風險問題，而企業中重視風險隱患的人反而被視為保守和怯懦。一方面是風險技術管理人員小心翼翼地為風險擔憂，另一方面則是企業管理層對風險諱疾忌醫，這種回避風險的氛圍使企業的風險管理陷入一個尷尬的境地。在風險危機發生時，企業卻往往忽略首先預警風險的人，而是更推崇那些挺身而出、力挽狂瀾的“英雄”。

這種不良的風險文化極易波及整個企業，員工會對細微的風險隱患會采取隱瞞或忽略的態度，而往往一些看似無害的行為最終卻釀成巨大的風險災難。曾有100萬個信用卡賬號在40多個電子銀行和電子商務站點被竊，盡管這40個網站都部署了防火墻及其他安全基礎設施，仍無濟于事，造成此次大型災害的主要原因還是來自于企業內部員工缺乏必要的警惕性，使得外部攻擊得以輕松成功。

3.缺乏系統的風險管理體系

在信息技術風險管理中，多數企業存在著重技術、輕管理的現象，認為信息技術風險管理主要是技術人員的任務，使得風險管理常常出現脫節現象。風險技術管理人員所發現的風險隱患，經常不能順暢地傳達到有效管理層，造成風險預警的延遲。當風險造成危害時，只好采取亡羊補牢式的補救措施，并常常因未能及早預防風險危害的發生而問責于相關技術人員。這正是一些網絡企業建立了信息技術風險管理體系，但并不能發揮其最優效果的原因。

目前，雖然有一些成型的風險管理理論體系，但是具體應用到某個企業時，還應當根據企業自身的特點對其加以改造，照搬來的風險管理體系常常不能適應企業的實際情況，而要想將風險管理體系全面改造，為我所用，卻并不是一件容易的事，這也是目前困擾一些企業的難題。

三、完善網絡企業信息技術風險管理體系的措施

1.提高風險防范意識，普及風險管理知識

網絡企業對信息技術的依賴性很強，因此信息技術風險發生的幾率也大大增加。在網絡企業中，提高全員風險防范意識非常重要。這樣做絕非杞人憂天，雖然風險防范不能給企業帶來直接效益，但高度的風險警惕性有助于網絡企業及早發現風險，采取相應的控制措施，避免風險擴散給企業造成更大的損失。

然而，在企業中，并非所有的員工都是技術人員，有些情況下，盡管有些人具備了風險意識，但由于缺乏必要的風險管理技能，也會導致嚴重的后果，因此，對全體員工，特別是非技術人員需要進行普及性的風險管理知識培訓。通過培訓，可以使全體員工認識到風險管理的重要程度，理解各項安全管理措施的必要性，掌握基本的風險管理知識。這樣，各位員工就會主動配合風險管理人員的工作，在日常工作中盡量避免由于個人疏忽而造成的風險危機，當風險隱患出現時，準確做出判斷，能夠采取基本的處理措施，并將情況及時而準確地報告風險管理部門。

2.營造良好風險文化，完善風險管理體系

在風險管理體系中，建立良好的溝通渠道是非常重要的，當風險隱患被發現時，信息能夠及時而順暢地自下而上到達管理層，而管理層對此也能夠迅速做出反應。在企業中營造一種良性的風險管理文化，大家對于風險不再采取回避的態度，及時發現風險隱患的行為應當得到肯定。

信息技術風險不僅僅是一個“技術”問題，同時也是一個“管理”問題，風險管理的各個階段是環環相扣的，有了完善的管理體系和良好的風險文化，才能保障風險管理體系順利實施，及早發現風險隱患，采取相應的措施，將風險的負面影響降到最低。

參考文獻:

[1]周朝民:網絡經濟學[M].上海人民出版社，2004

[2]（英）Ernie Jordan:Luke Silcock.IT風險——基于IT治理的風險管理之道[M].清華大學出版社，2006

[3]陳慧勤:企業信息安全風險管理的框架研究[D].上海:同濟大學，2006

[4]陳愛平:網絡經濟的風險應對機制及發展對策[J].經濟與管理，2006（3）

[5]孟麗莎:網絡企業技術經濟特點及評價方法探析[J].技術經濟，2005（9）