企業信息化過程的風險控制與管理

[摘 要] 信息化風險依賴于信息化過程而存在，并隨著信息化過程的進展而不斷呈現出來。本文在分析企業信息化風險因子的基礎上，建立了信息化風險的評估模型、控制模型和風險管理策略模型，以期企業在信息化過程與風險管理之間取得平衡，最終取得信息化建設的成功。

[關鍵詞] 信息化;信息化項目;風險管理;風險策略

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 09 . 033

[中圖分類號]F270.7 [文獻標識碼]A [文章編號]1673 - 0194(2010)09- 0086 - 04

0引言

經過十幾年的發展和努力，我國的企業信息化取得了可喜的成果，但從總體上看，企業信息化仍處于初級階段，國內信息化建設依然存在著令人堪憂的、帶有共性的薄弱環節，不少企業沒有充分了解信息化實施過程中的各種風險，將信息化的投資與建設作為一般項目來處理，忽視風險因素可能造成的損失。據統計，在實施信息化的企業當中，對其效果感到滿意的企業僅占總數的6%，較滿意的企業占52%，不滿意的企業占26%[1]。如何有效治理企業信息化風險，保證企業信息化的成功實施，保護企業投資并使企業獲得價值提升，是國內外理論界和實務界要解決的重要課題。

目前國內對企業信息化風險的研究建立在ISO 13335[2]之上，主要方法包括基于樹結構的風險分析、基于層次分析的方法[3]、OCTAVE方法[4]、風險矩陣法[2]和調查問卷法等，這些方法都是定性地分析企業信息化的風險。本文建立一個基于信息化過程的風險控制模型，對信息化風險的監控管理貫穿于整個過程風險控制模型體系，使企業能夠及時改善和加強對企業信息化過程的控制，降低企業信息化風險。

1企業信息化過程中的風險因子分析

風險是在追求利益過程中出現的與利益相背離的價值取向，是可能影響組織目標實現的事件發生的不確定性，是一種遭受損失的可能性，是一種介于確定性和不確定性之間、無知和完整知識之間的狀態[5]。企業信息化風險是指企業在實行信息化項目過程中，由于外部環境和信息本身的原因，使得企業不能有效地保護自身重要信息或不能充分地獲取、利用外部信息或影響了企業內外部信息的傳遞、交流等[6]，以至造成企業難以確保其所擁有的信息的完整性、安全性、真實性、及時性和有效性，進而對企業的正常經營活動帶來危險，甚至可能對企業實現其目標或成功實施其戰略的能力產生負面的影響，使企業遭受損失。

1.1項目規劃階段的風險因子分析

企業信息化項目規劃階段是企業信息化中的一個至關重要的階段，為企業信息化的實施明確方向和目標，通過企業信息化規劃和組織，制定總體戰略規劃，確定信息技術結構，選擇信息技術方案，管理企業信息化投資預算，設立信息化組織架構，合理安排人力資源，制訂企業信息化的進度計劃，建立有效的溝通機制和質量保證體系。本階段的基本風險可以從技術、經濟、管理、企業的戰略方針、內外部經營環境等方面來識別[7]，主要包括以下風險因子:(1)項目需求分析的風險;(2)環境與資源支持度的風險;(3)開發方式與項目代理方選擇的風險;(4)項目合同的風險;(5)項目建設組織的風險。

1.2項目實施階段的風險因子分析

項目實施階段要確保企業需求的一致性，按計劃獲取信息化所需的軟硬件資源，通過自行開發或外包的方式獲得滿足企業需求的應用系統，在用戶的積極參與下，進行相關的功能和性能測試，并完成整個系統的安裝、調試和授權。本階段的基本風險可以從管理變革、項目進度、成本和質量等方面來識別，主要包括以下風險因子:(1)項目質量控制的風險;(2)項目進度與成本控制的風險;(3)項目相關工作規范化與標準化的風險;(4)項目組成員流失風險;(5)項目文檔管理的風險。

1.3項目應用階段的風險因子分析

在項目應用階段，信息化項目被交付使用，通過對用戶進行相關的培訓，并在用戶使用期間為用戶提供相應的技術支持，保證系統的正常運作、服務連續性和系統安全。本階段的基本風險可以從系統性能、系統安全、系統維護與管理等方面來識別，主要包括以下風險因子:(1)需求膨脹的風險;(2)項目應用人員管理的風險;(3)對項目平臺/環境/方法不熟悉的風險;(4)工作量估計不準確的風險;(5)缺乏高層管理者的承諾和支持的風險;(6)系統安全風險。

2企業信息化過程的風險評估模型

信息化風險評估是企業掌握信息化風險信息，確定信息化風險級別，以決定是否需要加強對風險的控制以及如何加強控制的一個重要途徑。企業可能根據實際的情況，對企業信息化的重點過程設置預警監控，以及時跟蹤、監測、發現和控制風險。

2.1企業信息化過程風險評估模型

企業信息化過程風險威脅程度的評價是在信息化風險過程風險控制模型的基礎上，對信息化過程的各個風險點進行分析和評估，并考慮過程風險特性和企業風險監控狀況，確定信息化過程風險控制風險等級。

企業信息化過程風險評估模型表述為:

TP(pi) = ri × (1 + ci) × (1 - di)

其中，pi為第i個過程，ri為第i個過程的控制風險度，ci為第i個過程的風險特征系數，di為第i個過程的修正因子。風險特征系數表示信息化過程與企業風險目標的相關程度，是信息化過程對風險目標的貢獻率大小，其取值在0～1之間，信息化過程與風險目標相關程度越高，取值越大，反之，取值越小。修正因子根據信息化過程是否被列為監控對象，企業過程是否被有效監控而定，其取值在為0～1之間，若企業過程被列為監控對象，并分配了合適的企業資源，制訂了詳細的風險監控計劃，能夠在風險成為真正的威脅之前被有效地監測，則風險對企業的影響就小，修正因子的值就大;反之，修正因子的值就小。

企業信息化過程對目標風險的貢獻度評估表述為:

TPG(pi，gi) = TP(pi) × aj

其中，aj為過程pi的第j個風險目標的風險特征系數。

2.1.1項目規劃階段風險評估矩陣

假設在企業信息化項目規劃階段的企業過程有n個，且這n個信息化過程的風險因子分別為:WPO = (WPO1，WPO2，…，WPOn)，其中WPOi(i = 1，2，…，n)表示項目規劃階段的第i個過程的影響因子值。由此，在項目規劃階段的風險評估表述為:

2.1.3項目應用階段風險評估矩陣

假設在企業信息化項目應用階段的企業過程有l個，且這l個信息化過程的影響因子分別為:WDO = (WDO1，WDO2，…，WDOl)，其中WDOi(i = 1，2，…，l)表示項目應用階段的第i個過程的影響因子。由此，項目應用階段的風險評估表述為:

2.1.4企業信息化總體風險評估

企業信息化總體風險評價是根據企業戰略目標和企業關鍵業務的側重點，對可能影響企業戰略目標實現的目標風險設置優先級水平，結合企業對各目標風險的評價結果，確定企業信息化的總體風險水平。假設企業信息化識別的風險目標有n個，且這n個目標風險的優先級因子分別為:WG = (WG1，WG2，…，WGn)，其中，WGj(j = 1，2，…，n)表示企業信息化的第j個風險目標的優先級因子值。

由此，企業信息化總體風險水平評估表示為:

2.2風險級別評分標準

信息化風險控制模型對風險通過劃分級別進行量化，抽取信息化的關鍵過程，把企業信息化轉變為一個成熟的、可測量的的模型結構。風險級別劃分的優點在于可以使企業相對容易地依據等級標準將自己定位，明確企業信息化管理的缺陷，找出需要改善管理的地方，減少控制風險也就意味過程控制得到了加強，減少了風險，提高了效果。

通過采用相對量化的方式進行無量綱處理，可以避免量綱不統一以及絕對值計算的困難。通過定義控制活動的風險級別，我們可以得到一組基于“0”到“5”等級控制風險遞增的評分標準:

0:可忽略風險。過程控制已被提煉到最實際的層次上，通過借鑒行業最佳經驗，結合企業實際，控制程序不斷地被改進和完善，使用了自動化的工具來提高控制的質量和有效性，故障情況很少發生。

1:低風險。具有正式的控制程序和標準化的流程，并嚴格執行，建立了監控和和反饋機制，信息共享是充分的，部分使用自動化的工具。

2:較低風險。建立了正式的控制程序和標準化處理流程，但基本是采用人工控制和管理方式，沒有使用自動化的輔助工具，處理效率較低。

3:較高風險。建立了正式的控制程序，但是沒有規范的處理標準，也沒有強制要求實施，職權分配不明確，對個體有較高的依賴性，故障出現的概率不高，但是故障處理的效率低下，成本較高，可能導致其他的問題的產生。

4:高風險。企業對信息化過程控制具有一定的認識，但是沒有建立正式的控制程序，也沒有標準化的處理，使用了一些非常規的方法，往往根據具體情況的不同依賴于有經驗的個體。過程控制是基于個人的非正式的活動，故障發生的可能性大，僅以解決故障為目的，無法進行問題原因追溯。

5:最高風險。企業通常對過程控制的重要性認識不足，控制行為處于失控或嚴重缺位狀態。由于過程控制不力，經常會發生問題和故障，導致系統中斷。

3企業信息化過程的風險控制模型

企業信息化風險貫穿于企業信息化生命周期中，風險控制模型要以信息化過程為立足點，覆蓋企業信息化的全生命周期，通過定義和檢查企業過程中的關鍵目標指標，提供準確、及時的風險預警信息，使企業能夠及時改善和加強對企業信息化過程的控制，減少企業風險。

美國信息系統審計與控制協會(ISACA)提出的“信息及相關技術的控制對象”(COBIT)是IT治理的一個開放性標準，目前已成為國際上公認的最先進、最權威的安全與信息技術管理和控制的標準。本文在借鑒COBIT基本框架體系的基礎上，結合國內企業信息化的特點，建立企業信息化過程風險控制模型結構，如圖1所示。

企業信息化過程風險控制模型以企業信息化過程為基礎，具有以下特點:(1)開放性，該風險控制模型提供了一個基礎的模型架構，包含了企業信息化的共性的、基本的過程和活動，隨著企業信息化的不斷發展，可以根據企業信息化的個性特點，對模型使用的過程進行不斷的優化、擴展和完善;(2)動態適應性，根據企業戰略目標、關鍵業務和企業資源等諸多因素的差異性，以及企業和行業的標桿不同，對企業信息化過程的評價結果不是一成不變的，而是動態變化的。

4企業信息化過程的風險管理策略模型

4.1風險管理的關聯模型

企業信息化風險管理在企業信息化的全生命周期中，基于企業信息化的過程，結合企業戰略目標，綜合考慮企業資源的利用和相關的環境影響因子，使用相關的模型和方法，對核心風險進行分析和評價，并根據評價結果，優化企業資源配置，對企業過程的關鍵控制點實施控制，減少風險，使企業信息化滿足企業戰略目標要求[8]。因此，完整的風險管理應該包括風險識別、風險評估、風險控制3個環節，并有著相互關聯的意義和內涵。企業信息化風險管理的關聯模型如圖2所示。若以Ai表示通過風險識別得出的風險源，以Bi表示風險評估后得出的風險級別，以Ci表示相應采取的風險控制策略，則企業信息化風險管理的關聯模型為:

Bi = tfi(Ai)

Ci = gi(Ai，Bi) = gi(Ai，tfi(Ai))

式中，tfi為風險評估函數，基于這個函數，管理者可以確定各個風險源的風險級別;gi為風險控制函數，基于這個函數，管理者可以制定出相應的風險控制策略。

4.2風險管理策略的機理模型

信息化項目的風險管理從方法論上包括風險識別、風險評估、風險控制3個環節，從項目生命周期上又包括項目規劃、項目實施和項目應用3個階段的風險控制策略，并且彼此作用、相互影響，存在相互耦合的矩陣關系，從而形成如圖3所示的風險管理策略二維矩陣模型。根據風險管理的關聯模型，項目規劃階段的風險控制策略為C1，則C1 = gi(A1，tf1(A1))。

鑒于風險的時間累計效應，若在項目規劃階段時風險控制得當、措施到位，到了項目實施階段風險壓力會隨之降低，風險控制也會變得相對容易;反之，若規劃階段風險控制不到位，導致階段性風險沒有及時控制而往后累積，將使實施階段的風險控制難度明顯增加。同樣，項目實施階段和應用階段之間的風險控制策略也存在這種此消彼長的關系。也就是說，信息化項目后兩個階段的風險控制策略，不僅取決本階段的風險源以及對其評估得出的風險級別，也和上一階段的風險控制策略存在反向依存的關系，從模型上可表示為:

C2 = g2(A2，tf2(A2)) + h2(C1)

C3 = g3(A3，tf3(A3)) + h3(C2)

式中，h2、h3分別表示項目實施階段和應用階段的風險控制策略和前一階段風險控制策略的關系函數。進一步推導后，有如下關系:

C2 = g2(A2，tf2(A2)) + h2(gi(A1，tf1(A1)))

C3 = g3(A3，tf3(A3)) + h3(g2(A2，tf2(A2) ) ) + h2(gi(A1，tf1(A1)))

將C1、C2和C3簡化，可以得到企業信息化項目風險管理策略的機理模型:

C1C2C3 = g1(A1)g2(A1，A2)g3(A1，A2，A3)

簡化后的風險管理策略機制模型，不僅能夠應用于企業信息化項目風險管理，也可以推廣應用于具有相似結構和復雜性項目的風險管理。

5總結

企業信息化建設的風險貫穿于信息化的整個生命周期，風險管理應當看作是信息化項目管理整體中的一個不可分割的部分，只有嚴格遵循“大處著眼，小處著手”的基本原則，才能有效地規避信息化過程中的各種風險。本文沒有拘泥于單個企業，而是從整體需要建設信息化的企業出發，具體分析了企業在信息化過程中所遇到的各種風險，提出了信息化風險的評估模型、控制模型和風險管理策略模型，力求對正在實施和準備實施信息化戰略的企業有所幫助，最終取得信息化建設的成功。

主要參考文獻

[1] 陳亮，王燕.企業信息化實施過程中的風險及其防范[J].現代情報，2006，26(9):175-178.

[2] 柴曉路. Web服務架構與開放互操作技術[M].北京:清華大學出版社，2002.

[3] [美]W H Inmon. Building the Data Warehouse[M]. 王志海，譯. 北京:機械工業出版社，2000.

[4] Han J W， Kamber M. Data Mining Concepts and Techniques[M]. Beijing:Higher Education Press，2001.

[5] Gary Stoneburner. Risk Management Guide for Information Technology Systems[M]. National Institute of Standards and Technology， 2002.

[6] 肖榮.企業信息化風險治理研究[D]. 上海:同濟大學，2005.

[7] 冷曉彥，馬哲明.企業信息化項目的風險因素分析[J].經濟縱橫，2005，21(10):72-74.

[8] 王然，馬智宏，衷愛東，楊贊.信息化項目風險管理策略的機理模型和應用分析[J].交通與計算機，2005，23(2):72-75.