信息化风险管理概述

信息化风险管理概述

信息化首先是一个管理问题，其次才是技术问题。赛迪顾问研究与咨询实践表明：企业信息化的风险存在于项目建设的整个过程中，如项目动机偏离、系统规划不当、系统选购失误、系统实施控制不力、系统移交不顺会导致风险，人员教育培训、管理变革、系统运行改进等方面也存在风险。

信息化风险的原因

1.动机不明导致风险

企业进行信息化建设的目的不明确将导致系统实施后不能发挥应有作用。信息化动机是企业信息化建设的指南针，正确的动机不一定能带来预期结果，但错误的动机却肯定不能带来预期结果。

2.规划不周带来风险

有些企业在信息化建设中仅仅做一个粗略的规划或者干脆没有规划就引入软件厂商来上系统，在系统建设上倾向于大而全、功能完整、一步到位的方案，这些都为企业信息化埋下了风险的种子。

3.系统选购不当导致风险

如今各种软件、硬件产品日益丰富，系统实施商、软件提供商和系统集成商为数众多，不同应用平台和开发工具，不同的硬件集成，将决定企业信息化未来的效益、维护成本和转移成本。一旦用户的系统和设备选型不当，将限制企业的长远发展。

4.系统实施控制不力引发风险

信息系统实施需要甲乙双方良好的合作，但是在实施过程中，由于实施方和用户知识背景的差异，在最大化自身利益思想的驱动下，可能导致项目实施控制不力，尤其是项目质量难以保证，而导致最终系统不能发挥预期作用，常常会引发实施风险。

5.管理变革推进不适引发风险

信息化建设要从管理变革开始，这必然触及企业的核心，其风险性是必然的。所以说不进行管理变革存在信息化效益的风险，进行管理变革引发企业稳步发展的风险。

6.系统移交不顺产生风险

信息系统实施完成后将移交给企业用户。在移交过程中，实施方需要就系统使用、管理、维护等方面对用户进行培训和知识转移，进行文档交接、提供技术支持等。这些服务视用户的信息化应用水平不同而程度不同，若服务不够，将导致将来系统使用、维护困难的风险。

7.组织不力的风险

企业信息化建设涉及的范围广、知识综合性强、部门多，是一个全员参与的项目。除了涵盖企业内部职能部门外，信息化建设往往涉及供应商、客户、分销机构等。另外，信息化项目实施需要运用多学科的知识和方法。因此信息化项目组织的难度非常大，项目的组织风险凸显。

如何管理信息化风险

信息化风险管理应从组织、规划和实施控制3个方面着手。

1.建立切实能推进信息化的组织

为使信息系统能切实发挥作用，企业自身应该建立相应的信息化组织，参与信息化的全过程。这支队伍应该由企业的高层领导挂帅，以信息服务专职人员为主，业务部门代表参与的人员结构组成。这样可以有效降低信息化风险。

2.专业咨询机构协助进行信息化规划

信息化建设的经验表明，大多数应用不理想的信息化项目都没有进行科学的规划。规划缺失对信息化带来的风险是毁灭性的，所以进行信息化规划是完全必要的。相对于企业和系统实施商、软件商来说处于中立的地位，能够根据企业的实际情况及企业发展战略目标，做出科学合理的规划。

3.监理机构承担系统的实施控制

以往的信息化系统实施依赖企业用户（甲方）对实施方的监督控制和实施方的自觉自律来保证上述3大目标。但是由于甲乙双方天生的利益冲突性，这种方式很难保证系统实施目标实现，尤其是质量难以控制。这就需要专业的信息系统工程监理来承担这个任务。信息化监理机构作为中立第3方向甲乙双方负责，保障双方的利益。

信息化风险管理（IT风险管理）

信息化风险管理是指围绕业务战略目标，通过培育良好的IT风险管理文化，建立健全IT风险管理体系，包括IT风险管理的组织职能体系、IT风险管理策略、IT 风险管理控制体系，在IT规划与组织、开发与实施、运行与维护，监控与评价的各个过程中执行风险管理的基本流程，从而为实现风险管理的总体目标提供合理保证的过程和方法。