基于IT治理的企業(yè)并購信息系統(tǒng)整合風(fēng)險(xiǎn)研究

摘要:文章基于IT治理模型，研究企業(yè)并購中的信息系統(tǒng)整合風(fēng)險(xiǎn)問題。從企業(yè)并購中信息系統(tǒng)整合的5個階段對信息系統(tǒng)整合風(fēng)險(xiǎn)進(jìn)行了分析，對各個階段的信息系統(tǒng)整合風(fēng)險(xiǎn)進(jìn)行了識別與歸類，最后給出各類風(fēng)險(xiǎn)的控制方法。

關(guān)鍵詞:IT治理;企業(yè)并購;信息系統(tǒng)整合;風(fēng)險(xiǎn)

一、 引言

本文在信息及相關(guān)技術(shù)控制目標(biāo)(Control Objectives For Information and Related Technology-COBIT)模型的基礎(chǔ)上，對企業(yè)并購中信息系統(tǒng)整合活動進(jìn)行分類，對各種類別下的風(fēng)險(xiǎn)進(jìn)行識別與分析，對這些風(fēng)險(xiǎn)歸類并給出各類風(fēng)險(xiǎn)的控制方法。

二、 企業(yè)并購中信息系統(tǒng)整合風(fēng)險(xiǎn)分析

1. 考察與評估階段。該階段主要考慮以下兩個方面:

(1)考察與評估雙方的信息系統(tǒng)。該方面的工作站在治理層的高度全面地展開，從管理的維度、技術(shù)的維度、經(jīng)濟(jì)的維度、質(zhì)量的維度四個方面考察與評估雙方的管理信息系統(tǒng)。其中，信息系統(tǒng)整合技術(shù)的可行性評估、被并購企業(yè)信息資產(chǎn)的估價、以及整合過程中預(yù)計(jì)發(fā)生的成本是這個階段需要密切關(guān)注的問題。這方面的風(fēng)險(xiǎn)有:對技術(shù)可行性估計(jì)過于樂觀;對被并購企業(yè)信息資產(chǎn)的估價過高;整合過程中預(yù)計(jì)發(fā)生的成本估計(jì)過低。

(2)定義IT戰(zhàn)略。企業(yè)的并購必然涉及到企業(yè)發(fā)展戰(zhàn)略的變化。如何通過并購后的信息系統(tǒng)整合來支撐企業(yè)并購的戰(zhàn)略，對企業(yè)來說面臨著不小的風(fēng)險(xiǎn)。企業(yè)并購可謂是企業(yè)對一個巨大商業(yè)機(jī)會的把握，想從信息技術(shù)上面獲得戰(zhàn)略利益就要有一個偉大的信息技術(shù)戰(zhàn)略。在這個過程中，企業(yè)面臨的信息系統(tǒng)整合風(fēng)險(xiǎn)主要是IT戰(zhàn)略不明確。

2. 計(jì)劃與組織階段。

(1)結(jié)合企業(yè)并購整合日程制定信息系統(tǒng)整合日程。此時信息系統(tǒng)整合小組需要充分了解整個企業(yè)并購整合的日程，不能將信息系統(tǒng)整合工作孤立成一個獨(dú)立的工作。對企業(yè)并購日程了解不充分會導(dǎo)致項(xiàng)目完成的時間被忽略，導(dǎo)致項(xiàng)目被推遲，服務(wù)連續(xù)性中斷被延展等風(fēng)險(xiǎn)。

(2)了解公司其他業(yè)務(wù)的整合方案。信息系統(tǒng)整合小組還需要主動與其他業(yè)務(wù)整合小組溝通，了解他們的方案，協(xié)調(diào)好信息系統(tǒng)整合與其他業(yè)務(wù)的整合。如果不了解其他業(yè)務(wù)的整合，IT戰(zhàn)略無法配合企業(yè)整體戰(zhàn)略的實(shí)施，即會導(dǎo)致IT戰(zhàn)略無法實(shí)施風(fēng)險(xiǎn)。

(3)制定具體的信息系統(tǒng)整合方案。由于企業(yè)的信息系統(tǒng)不僅僅是企業(yè)的一項(xiàng)固定資產(chǎn)，所以在計(jì)劃階段，信息系統(tǒng)整合小組應(yīng)該制定好信息系統(tǒng)整合方案。同時為了防備后期的意外，企業(yè)應(yīng)該制定備選方案。在這個過程中存在的風(fēng)險(xiǎn)有:①信息結(jié)構(gòu)取向不合理;②技術(shù)取向錯誤，使用了落后或者過于超前的技術(shù);③IT過程、組織和關(guān)系不明確;④缺乏人力資源管理，原企業(yè)的信息人才離職導(dǎo)致信息泄露;⑤項(xiàng)目成本估計(jì)不合理，實(shí)際花費(fèi)高于預(yù)計(jì)支出;⑥在危機(jī)時刻，無備選方案和應(yīng)急措施導(dǎo)致項(xiàng)目失敗。

3. 整合實(shí)施階段。這是企業(yè)信息系統(tǒng)整合最為實(shí)質(zhì)性的一個階段，主要工作有以下幾個方面:

(1)人員整合。在軟、硬件整合之前，企業(yè)首先要做的是兩個企業(yè)相關(guān)人員的整合。人員整合過程中存在的風(fēng)險(xiǎn)有:由于被并購企業(yè)的人員意見得不到重視，導(dǎo)致人才流失，信息泄露。同時缺乏熟悉被并購企業(yè)信息系統(tǒng)的人員，導(dǎo)致項(xiàng)目失敗。

(2)硬件整合。由于企業(yè)建設(shè)管理信息系統(tǒng)的時間不同，所采用的硬件和軟件的差異會有很大的區(qū)別，再加上軟件升級換代的周期較短這一特點(diǎn)，企業(yè)需要考慮兩個企業(yè)的硬件設(shè)備能否支持所使用的軟件。硬件整合還要注意前瞻性，如果預(yù)計(jì)不久的將來要采用新的軟件，那么企業(yè)就必須在硬件整合時提前做好準(zhǔn)備。硬件整合階段隱藏的風(fēng)險(xiǎn)有:對硬件花費(fèi)估計(jì)不準(zhǔn)確，項(xiàng)目成本過大;硬件落后于整合后的軟件，導(dǎo)致基礎(chǔ)設(shè)施薄弱，整合過程中硬件被毀壞導(dǎo)致重要數(shù)據(jù)丟失，信息資產(chǎn)被損壞。

(3)軟件整合。它是企業(yè)并購信息系統(tǒng)整合中核心的一步。軟件整合階段企業(yè)會面臨許多技術(shù)問題，其中軟件不兼容問題是幾乎所有企業(yè)都面臨的問題。由于軟件產(chǎn)業(yè)目前還未出現(xiàn)統(tǒng)一的國際標(biāo)準(zhǔn)，所以使用不同供應(yīng)商的軟件產(chǎn)品會導(dǎo)致軟件整合難度變大;即使是使用同一供應(yīng)商的產(chǎn)品，也存在著由于二次開發(fā)而導(dǎo)致系統(tǒng)不完全兼容的問題。而一旦企業(yè)原有的信息系統(tǒng)無法實(shí)現(xiàn)軟件整合，這將意味著企業(yè)必須重新開發(fā)部分甚至全部應(yīng)用模塊，導(dǎo)致企業(yè)信息系統(tǒng)整合支出大大超出預(yù)計(jì)，提高了企業(yè)并購成本。另外，由于軟件整合導(dǎo)致了整合人員越權(quán)訪問了機(jī)密信息，導(dǎo)致信息資產(chǎn)泄密。這種情況在實(shí)行信息系統(tǒng)整合外包服務(wù)的企業(yè)尤其應(yīng)該引起重點(diǎn)關(guān)注。在該進(jìn)程中存在的風(fēng)險(xiǎn)有:軟件整合成本超出項(xiàng)目預(yù)算，服務(wù)連續(xù)性中斷，信息泄露。

4. 交付與測試階段。

(1)信息系統(tǒng)內(nèi)部測試。通常當(dāng)信息系統(tǒng)整合結(jié)束后，企業(yè)需要對其進(jìn)行系統(tǒng)功能測試。這個階段的目的是發(fā)現(xiàn)系統(tǒng)本身的缺陷，而不應(yīng)把系統(tǒng)與其他業(yè)務(wù)掛鉤。它只是由信息系統(tǒng)整合技術(shù)人員內(nèi)部實(shí)施，可以采用軟件工程中常用的測試方法，如白盒測試、黑盒測試等。在這個階段，企業(yè)應(yīng)該通過內(nèi)部測試暴露新系統(tǒng)中隱藏的錯誤和缺陷，以考慮是否接受該整合后的信息系統(tǒng)。

這個階段存在的風(fēng)險(xiǎn)有:技術(shù)人員選擇了導(dǎo)致系統(tǒng)失效概率小的測試用例，回避那些易于暴露程序錯誤的測試用例，從而導(dǎo)致后期運(yùn)行錯誤頻繁發(fā)生，基礎(chǔ)設(shè)施薄弱，服務(wù)連續(xù)性被中斷。

(2)結(jié)合公司整體業(yè)務(wù)測試。這階段與其他業(yè)務(wù)整合試運(yùn)營同時進(jìn)行，目的在于發(fā)現(xiàn)整合后的信息系統(tǒng)能否有助于新公司業(yè)務(wù)的開展，能否使得信息流在兩個公司間順利傳遞，能否支持企業(yè)為客戶提供統(tǒng)一連續(xù)的服務(wù)。

這個階段存在的風(fēng)險(xiǎn)有:交付的項(xiàng)目質(zhì)量差;整合后的新系統(tǒng)無法支持企業(yè)其他業(yè)務(wù)的開展;業(yè)務(wù)服務(wù)連續(xù)性被中斷。

5. 監(jiān)控與評價階段。

(1)在交付與測試階段，如果項(xiàng)目被認(rèn)為是成功的，此時考慮到測試工作并不能發(fā)現(xiàn)全部錯誤，因此需要監(jiān)控與評價做以下工作:監(jiān)控新系統(tǒng)的運(yùn)行，防止系統(tǒng)臨時崩潰，導(dǎo)致服務(wù)連續(xù)性中斷;監(jiān)控新系統(tǒng)是否有黑客利用系統(tǒng)漏洞竊取信息資產(chǎn);評價整合過程中發(fā)生成本的合理性;評價整合過程中是否發(fā)生了IT戰(zhàn)略的改變;評價新系統(tǒng)的性能等。以上過程面臨的風(fēng)險(xiǎn)有:系統(tǒng)臨時崩潰，導(dǎo)致服務(wù)連續(xù)性中斷;黑客利用系統(tǒng)漏洞竊取信息資產(chǎn);IT戰(zhàn)略偏離。

(2)在交付與測試階段，如果項(xiàng)目被認(rèn)為是失敗的，則監(jiān)控與評價的主要工作有:評價項(xiàng)目失敗的原因;評價在技術(shù)上繼續(xù)該項(xiàng)目的可行性;評價整合過程中已經(jīng)發(fā)生的成本，以及將要發(fā)生的成本;評價是否需要繼續(xù)該項(xiàng)目;評價繼續(xù)該項(xiàng)目IT戰(zhàn)略對整個公司戰(zhàn)略的影響。以上過程面臨的風(fēng)險(xiǎn)有:技術(shù)人員隱瞞繼續(xù)該項(xiàng)目的不可行性，繼續(xù)了技術(shù)上不可行的項(xiàng)目;信息系統(tǒng)服務(wù)連續(xù)性中斷被延長;項(xiàng)目成本估計(jì)不足，項(xiàng)目支出成為無底洞;IT戰(zhàn)略未得到落實(shí)。

三、 企業(yè)并購中信息系統(tǒng)整合風(fēng)險(xiǎn)控制

1. 風(fēng)險(xiǎn)的識別與歸類。上一節(jié)對企業(yè)并購中信息系統(tǒng)整合風(fēng)險(xiǎn)按不同階段進(jìn)行了分析，在此基礎(chǔ)上，我們對風(fēng)險(xiǎn)按不同類別進(jìn)行識別與歸類，見表1。

2. 風(fēng)險(xiǎn)的控制。以下針對五大類風(fēng)險(xiǎn)論述企業(yè)并購中信息系統(tǒng)整合風(fēng)險(xiǎn)的控制方法與措施。

(1)戰(zhàn)略風(fēng)險(xiǎn)的控制。參與該類風(fēng)險(xiǎn)控制的主要人員有:首席執(zhí)行官(CEO)對風(fēng)險(xiǎn)控制負(fù)全責(zé)并擁有風(fēng)險(xiǎn)控制執(zhí)行的批準(zhǔn)權(quán);首席信息官(CIO)獲得CEO的授權(quán)去執(zhí)行批準(zhǔn)該類風(fēng)險(xiǎn)的控制;業(yè)務(wù)過程所有者和項(xiàng)目管理經(jīng)理(PMO)應(yīng)該實(shí)時地被告知風(fēng)險(xiǎn)控制的進(jìn)程。同時，該類風(fēng)險(xiǎn)的控制還涉及到首席財(cái)務(wù)官(CFO)、業(yè)務(wù)執(zhí)行經(jīng)理、首席運(yùn)營官、首席架構(gòu)師、首席開發(fā)官、IT行政經(jīng)理、服務(wù)管理者等。要規(guī)避戰(zhàn)略風(fēng)險(xiǎn)需要注意以下問題:

第一，CIO應(yīng)該在并購委員會中爭取自己的席位，以便讓IT戰(zhàn)略能夠納入整個并購戰(zhàn)略中去。CIO要讓公司的治理層和管理層都知道IT在企業(yè)并購整合中的作用。

第二，使得已經(jīng)明確的IT戰(zhàn)略得到逐步落實(shí)。企業(yè)應(yīng)該讓全體員工都明白IT戰(zhàn)略，特別是IT戰(zhàn)略的作用。IT戰(zhàn)略是公司整體戰(zhàn)略的一部分，應(yīng)該成為企業(yè)文化的一部分。需要企業(yè)各個部門協(xié)力落實(shí)。所以在企業(yè)并購整合中應(yīng)該將IT戰(zhàn)略作為一種企業(yè)文化加以宣傳和貫徹。

(2)項(xiàng)目風(fēng)險(xiǎn)的控制。

第一，時間管理。為了做好項(xiàng)目的時間管理，信息系統(tǒng)整合團(tuán)隊(duì)?wèi)?yīng)該將整個項(xiàng)目分解為各類子項(xiàng)目，并對子項(xiàng)目進(jìn)行排序和估算子項(xiàng)目的歷時，制定計(jì)劃，并根據(jù)計(jì)劃控制好進(jìn)度。

第二，費(fèi)用管理。這里的費(fèi)用管理是指信息系統(tǒng)整合項(xiàng)目的直接費(fèi)用管理。首先，信息系統(tǒng)并購小組應(yīng)該制定一個項(xiàng)目財(cái)務(wù)管理框架。該框架根據(jù)投資、服務(wù)和資產(chǎn)的投資組合來編制預(yù)算、分析成本收益。確定好項(xiàng)目預(yù)算內(nèi)的優(yōu)先級，充分保證最有助于企業(yè)核心業(yè)務(wù)開展的信息系統(tǒng)整合子項(xiàng)目首先得到投資，以便盡量提高信息系統(tǒng)整合項(xiàng)目對企業(yè)投資組合收益的貢獻(xiàn)。編制項(xiàng)目預(yù)算，建立起各個子項(xiàng)目預(yù)算和管理過程，并對整體方案和單個方案預(yù)算的適時加以評審、優(yōu)化和建立批準(zhǔn)。做好監(jiān)控與成本報(bào)告工作，比較實(shí)際成本與預(yù)算。

第三，質(zhì)量管理。要確立有效的質(zhì)量標(biāo)準(zhǔn)體系，這是建立適當(dāng)?shù)馁|(zhì)量衡量標(biāo)準(zhǔn)是進(jìn)行信息系統(tǒng)整合項(xiàng)目質(zhì)量管理的前提性工作。可以利用CMM模型(Capability Maturity Model for Software，軟件能力成熟度模型)作為質(zhì)量標(biāo)準(zhǔn)。要在項(xiàng)目執(zhí)行過程中采取有效措施來監(jiān)控項(xiàng)目的實(shí)際運(yùn)行。比較項(xiàng)目實(shí)施過程中的實(shí)際表現(xiàn)與項(xiàng)目質(zhì)量衡量標(biāo)準(zhǔn)，分析出差異及其成因。

第四，技術(shù)管理。企業(yè)在考察與評估階段就要對技術(shù)的選擇有個大概的輪廓，在計(jì)劃與組織階段則要對技術(shù)的定向進(jìn)行規(guī)劃，分析現(xiàn)有的和即將出現(xiàn)的計(jì)劃。制定技術(shù)性基礎(chǔ)設(shè)施計(jì)劃。這個計(jì)劃有利于同時控制好戰(zhàn)略風(fēng)險(xiǎn)和基礎(chǔ)設(shè)施薄弱的風(fēng)險(xiǎn)，充分考慮在信息技術(shù)變化劇烈的環(huán)境下，整合后系統(tǒng)的協(xié)同性。在整合實(shí)施階段，還應(yīng)該做好監(jiān)視工作。監(jiān)視企業(yè)業(yè)務(wù)部分、技術(shù)、基礎(chǔ)設(shè)施的變化趨勢，以及對信息系統(tǒng)整合的影響。

(3)服務(wù)連續(xù)性風(fēng)險(xiǎn)的控制。參與該類風(fēng)險(xiǎn)控制的主要人員有:服務(wù)管理者和首席開發(fā)官共同對該風(fēng)險(xiǎn)控制負(fù)全責(zé);業(yè)務(wù)過程所有者和服務(wù)管理者是該風(fēng)險(xiǎn)控制執(zhí)行的批準(zhǔn)者。同時，該類風(fēng)險(xiǎn)的控制還涉及到首席運(yùn)營官、PMO、業(yè)務(wù)執(zhí)行經(jīng)理、CIO、首席架構(gòu)師等。

該類風(fēng)險(xiǎn)可從兩個階段考慮風(fēng)險(xiǎn)控制。第一，信息系統(tǒng)整合完成前的服務(wù)連續(xù)性風(fēng)險(xiǎn)控制。首先，在信息系統(tǒng)整合計(jì)劃與組織期間應(yīng)該開發(fā)一個服務(wù)連續(xù)性框架，協(xié)助決定基礎(chǔ)設(shè)施必須的恢復(fù)能力和推動災(zāi)難恢復(fù)和應(yīng)急計(jì)劃的制定。第二，信息系統(tǒng)整合完成后的服務(wù)連續(xù)性風(fēng)險(xiǎn)控制。一旦信息系統(tǒng)整合完畢后，選取合適的切換系統(tǒng)方式有助于控制服務(wù)連續(xù)性風(fēng)險(xiǎn)。直接切換風(fēng)險(xiǎn)較大，采用并行切換和分段切換都有助于降低服務(wù)連續(xù)性風(fēng)險(xiǎn)。

(4)信息資產(chǎn)風(fēng)險(xiǎn)的控制。參與該類風(fēng)險(xiǎn)控制的主要人員有:CFO對該風(fēng)險(xiǎn)控制負(fù)全責(zé);CEO和CIO批準(zhǔn)該類風(fēng)險(xiǎn)控制的執(zhí)行;業(yè)務(wù)執(zhí)行經(jīng)理應(yīng)該被告知該風(fēng)險(xiǎn)的控制情況。同時，該類風(fēng)險(xiǎn)的控制還涉及到業(yè)務(wù)過程所有者、首席運(yùn)營官、首席架構(gòu)師、首席開發(fā)官、IT行政經(jīng)理、PMO等。

信息資產(chǎn)風(fēng)險(xiǎn)的控制的整體目標(biāo)是:安全性、完整性、可用性。

從安全性角度看，主要的風(fēng)險(xiǎn)是由于信息系統(tǒng)整合期間涉及的人員比較多而產(chǎn)生的，應(yīng)該特別加強(qiáng)對信息資產(chǎn)訪問授權(quán)的控制。只有得到授權(quán)的人才能訪問對應(yīng)級別的數(shù)據(jù)，特別是在整合業(yè)務(wù)外包的情況下更應(yīng)該注意信息資產(chǎn)安全性問題。

完整性與可用性常常是相關(guān)的，完整的信息資產(chǎn)才是可用的。單純從完整性角度看，應(yīng)該確保重要信息資產(chǎn)在信息系統(tǒng)整合期間得到完整保存。對數(shù)據(jù)進(jìn)行備份是通常的做法也是較為理想的做法?？捎眯允侵笐?yīng)該確保整合后的信息資產(chǎn)能可被正常獲取，支持公司業(yè)務(wù)活動。信息系統(tǒng)可用性被破壞發(fā)生在信息資產(chǎn)風(fēng)險(xiǎn)內(nèi)，卻表現(xiàn)在服務(wù)連續(xù)性，而服務(wù)連續(xù)性由將風(fēng)險(xiǎn)輸出到信息系統(tǒng)的外部，從而影響整個并購整合業(yè)務(wù)。

(5)基礎(chǔ)設(shè)施風(fēng)險(xiǎn)的控制。參與該類風(fēng)險(xiǎn)控制的主要人員有:首席構(gòu)架師對該風(fēng)險(xiǎn)控制負(fù)全責(zé);CIO批準(zhǔn)風(fēng)險(xiǎn)控制的執(zhí)行;業(yè)務(wù)執(zhí)行經(jīng)理應(yīng)該實(shí)時地被告知風(fēng)險(xiǎn)控制的進(jìn)程;同時，該類風(fēng)險(xiǎn)的控制還涉及到CFO、業(yè)務(wù)過程所有者、首席開發(fā)官、IT行政經(jīng)理、服務(wù)管理者等。

在信息系統(tǒng)整合過程中，為了控制基礎(chǔ)設(shè)施風(fēng)險(xiǎn)，企業(yè)應(yīng)該注意以下方面:首先在計(jì)劃與組織階段要做好軟件和硬件基礎(chǔ)設(shè)施的信息收集，包括:部門、物理位置、描述、制造商、型號、序列號、產(chǎn)品成本、控制編號等，并做好標(biāo)簽和登記工作。對軟件和硬件進(jìn)行測試。注意尋找主要的瓶頸部件(如數(shù)據(jù)庫)，確定其性能的臨界點(diǎn)(可用的數(shù)據(jù)庫容量)，并進(jìn)行密切監(jiān)視。軟件硬件產(chǎn)品變化要嚴(yán)格審核。做好服務(wù)器安全工作。做好人力資源工作是控制基礎(chǔ)設(shè)施風(fēng)險(xiǎn)及其他四類風(fēng)險(xiǎn)的關(guān)鍵。

四、 總結(jié)

企業(yè)并購中信息系統(tǒng)整合風(fēng)險(xiǎn)已經(jīng)成為企業(yè)并購整合能否成功的重要影響因素之一。本文參照IT治理的COBIT模型，對企業(yè)并購中信息系統(tǒng)整合風(fēng)險(xiǎn)的進(jìn)行了分類，對各種類別下的風(fēng)險(xiǎn)進(jìn)行了分析，對這些風(fēng)險(xiǎn)歸結(jié)為五大類，并從這五大類風(fēng)險(xiǎn)出發(fā)，給出各類風(fēng)險(xiǎn)的控制方法。后續(xù)的研究將探討企業(yè)并購中信息系統(tǒng)整合風(fēng)險(xiǎn)模型、風(fēng)險(xiǎn)的度量及相關(guān)性等。

參考文獻(xiàn):

1. 郭家堂. 基于IT治理的企業(yè)并購中信息系統(tǒng)整合風(fēng)險(xiǎn)問題研究.上海:上海外國語大學(xué)碩士論文，2009.

2.Ernie Jordan， Luke Silcock著.湯大馬譯.IT風(fēng)險(xiǎn). 北京:清華大學(xué)出版社，2006.

3.Information System Audit and Control Foundations. COBIT 4THEdition. 2005.

4.胡克瑾. IT審計(jì)(第二版). 北京:清華大學(xué)出版社，2003.

基金項(xiàng)目:教育部人文社會科學(xué)研究一般項(xiàng)目(06JA8 70006)。

作者簡介:韓耀軍，同濟(jì)大學(xué)計(jì)算機(jī)應(yīng)用專業(yè)博士，上海外國語大學(xué)國際工商管理學(xué)院教授、碩士生導(dǎo)師;郭家堂，碩士，上海外國語大學(xué)語言研究院教師;崔紹棟，山東肥城礦業(yè)集團(tuán)公司運(yùn)銷處經(jīng)濟(jì)師。

收稿日期:2009-12-13。