科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全管理企业信息化风险管理全剖析

企业信息化风险管理全剖析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

信息化项目的实施是企业提高管理水平的重要途径,信息化管理系统为企业提供人力资源、财务、销售、制造、分销和供应链管理等诸多方面的重要信息以及这些方面的智能化的决策支持服务。

来源:畅享网 2010年1月14日

关键字: 企业IT风险管理 风险 风险管理 风险评估

  • 评论
  • 分享微博
  • 分享邮件

  信息化项目的实施是企业提高管理水平的重要途径,信息化管理系统为企业提供人力资源、财务、销售、制造、分销和供应链管理等诸多方面的重要信息以及这些方面的智能化的决策支持服务。这种支持可以帮助决策者动态地优化企业的资源配置,对市场竞争和市场机会作出迅速反应,为企业带来巨大的经济效益。在信息化的时代,企业要在竞争的环境中生存、发展、领先,必须发掘、借助和利用有效信息。

  目前一些典型的信息化产品或模型,如企业资源计划(ERP)、物料需求计划(MRP)、制造资源计划(MRPII)、计算机辅助制造(CAM)等,已经在技术上成熟,成为有效的管理模式和重要的技术手段,用的得当可以使企业实现对业务流程中的资源进行有效利用,从而达到改善管理水平与管理效率目标。在注意到信息化项目的优点的同时,我们也要看到信息化项目相对于一般的项目而言在管理、技术、时间、资金、实施和维护等方面存在更多的风险因素。以ERP为例,据统计,在其实施项目中,一般只有15%左右的能按期、按预算成功实施,实现系统集成;约一半左右的实施项目遭到失败。

  我国中小企业明显存在着人才缺乏、资金短缺、技术落后、信息滞后、管理水平低和协同能力差等一系列问题,严重影响着中小企业的快速、稳定和持续发展。一些企业由于对信息化的认识和管理理念上的落后,不能够适应信息化管理,不能有效地发挥信息整合的效能。另外,企业部门之间缺乏有效的沟通与联系,信息缺乏合理的规范性,不能够有效共享。与信息化相匹配的业务流程再造的失败通常是信息化项目失败的重要原因。

  为了进一步提高中小企业的生存与发展能力,中小企业必须理性的面对和把握当今世界经济全球化和全球信息化环境,以及中国企业缺乏有效管理带来的挑战和压力,并从企业发展战略高度审视企业信息化建设的作用与价值,尽快、科学的做出应用协同商务、供应链管理、企业资源计划、业务模式重组、产品协同研发和信息技术的决策,并逐步落到实处。具体而言,就是将企业的管理技术、研发技术、制造技术、信息技术和网络技术有机的结合起来,通过有效的应用,推动供应链协同商务模式、相互信任和双赢机制的创新、企业管理模式和业务流程的创新、产品研发模式和设计理念的创新、产品制造模式和方法的创新,从而全面提升中小企业竞争力。

  增强风险意识,积极地防范风险,是实施信息化项目中必须认真考虑的事项。风险管理是一种特殊的管理功能,它通过对风险的识别、评估与控制,以较低的成本获得较多的安全保障。由于人们对于信息化项目的认知不够完整,另外,信息技术的载体不容易被人们直接感知,以至人们对于包括技术、沟通、管理的一些重要因素的变化情况很难预先完全把握,在项目实施的过程中容易造成对于企业组织架构的损害和经济上的损失。进行有效的风险管理是减少损失的重要手段。在实际的风险管理的过程中,除了要有较强的风险意识和按照科学的方法有步骤地提出系统防范风险和解决问题的措施之外,更重要的是通过合理的方法辨识风险、分析风险、控制风险,找出不同的风险来源,区分风险因索对项目实施的影响,并且对于不同的风险采取相应的防范与化解的措施。

  企业风险管理的目的是让相关人员提出合适的问题,在风险和收益的平衡上作出恰当的判断与选择。那么,中小企业开展信息化应如何降低或规避风险呢?笔者将从以下几个方面与中小企业主和广大读者朋友们进行交流:

  1、公司内部管理部门存在的风险

  成功的信息化系统的建设首先需要管理层对信息化的价值透彻理解,不能急于求成,不能为上信息化而信息化。企业高层必须要在人力、物力、财力及战略发展规划上给予信息化建设高度重视,并明确项目管理机构和职能。领导的重视,势必带动各级员工的积极性和参与意识,为信息化项目的实施奠定良好的基础,确保信息建设的顺利实施。

  信息化是一个管理理念上的改变,而不仅仅是一个项目。不少中小企业高层管理人员尚未认识到这一点。项目实施的过程中仅由技术主管负责,缺少管理人员和业务人员的积极参与,项目经理由技术部门的领导担任。管理观念的转变还体现在信息化系统实施过程对企业原有的管理思想的调整上。信息化不仅仅是用一个系统或买一套软件,更重要的是带来了整套先进的管理思想。只有深刻理解、全面消化吸收了新的管理思想,并结合企业实际情况加以运用,才能充分发挥系统带来的效益。因此,在实施过程中中小企业管理人员和业务人员转变管理思想是一个必不可少的痛苦过程。顺利转变管理思想,在某种意义上是信息化成功推行的最关键的因素。企业的领导层要站在企业整体战略规划的高度来考虑信息化。站的越高看得越远,做出的规划实施成功的把握就越大,信息化为企业做出的贡献也将越大。

  许多企业投入大量资金却并没有提高效率,往往是专注与如何用软件实现现有的业务,其结果往往不如人意,没有把软件的实施真正同管理的改进结合起来。信息化的过程涉及到企业管理方法、经营机制、生产组织方式、人员素质、管理基础和国家经济管理体制等诸多因素,是一项系统工程,具有典型的项目管理的特征,需要有一套规范的实施原则和方法来对项目实施过程进行有效的组织和管理,需要各相关部门问的紧密配合与相互协调。

  在制定信息化战略时,首先,企业要对安全性、实用性、先进性等方面进行全面统筹和权衡,把企业信息系统依据操作层、运营层和决策层三个层次来规划,紧紧围绕企业中长期发展战略,以支持企业实现使命为主要目标,建设和不断完善相应的硬件系统和软件系统。其次,制定具体实施推进策略是,在做好整体规划的前提下,分步实施、重点突破、持续改进。最后,在关键环节、关键机构、关键业务进行实施,实现企业内关键点的信息化,然后连点成线,织线成面,接面成体,最终构成立体化、高度集成、高度集中的企业级智能信息应用系统。

  2、选择信息化系统时存在的风险

  随着我们国信息化号角的吹响,众多企业已经认识到,引用先进的信息化管理,成为提高竞争力、提高企业管理主要方式之一。当然,面对来自各个方面、各个层次的态度和说明均有差异,为正面临着信息化革命的中小型制造业企业带来疑问:企业到底该如何正确选择信息化产品呢?系统的选择是一项十分复杂的工作。每个实施信息化的企业必须开发或选用一套大型的软件系统。软件系统的实现方案有三种,即自行开发、购买现成产品和租赁。

  至于选择自行开发还是购买现成软件包;如果选择购买现成软件包,又应当如何挑选软件,这些抉择直接影响实施的时问、成本、风险及其对业务流程的影响程度。自行开发软件可以根据自己的业务流程和需求度身定做,理论上对流程的支持和满足实际需求比较理想。但是自行开发软件弊病不少。

  弊端一、开发时间周期长。开发工作加上其他方面的工作,实现的周期长。这不仅影响开发成本,还要推延信息化系统的实施时间。

  弊端二、开发风险大结果难以预料。购买现成软件可以预先了解它的功能和实施成功机率,而自行开发软件却做不到这一点。即使投资已经作出,时间已经花费,而结果却是未知的。信息化实施的要素有很多,软件仅是其中一个。

  弊端三、开发质量也许不稳定通用性较差。自行开发软件往往着眼于当前的业务环境和需求,设计局限于当前管理人员的管理思想,技术水平则局限于有限的软件开发人员,因而往往起点比较低,经验不足;软件质量不够稳定,通用性较差,可能经不起时间的考验。一旦业务发展规律突破原来的框架,软件可能不再适用。另外,由于企业自身是非软件开发专业的,往往没有采用统一的标准和规范,对开发人员的依赖性较强,程序的修改和检查往往需要由原开发人员进行。

  弊端四、软件维护和版本更新比较困难后期将会投入更大的人力和财力。自行开发的软件需要自行维护和更新,这些工作需要巨大的人力、财力的投入,经常是得不偿失的。购买现成软件的维护更新工作由软件开发商统一进行,用户只需要每年交付一定的费用。

  选择信息化软件时要顾及功能和技术,软件的功能反映为软件对业务流程支持的程度、灵活性等,不仅要满足当前的业务流程需求,也要考虑未来的业务发展。同时要考虑费用和需求的平衡。

  总体上来说,中小型企业管理模式较为简单,管理幅度也不是很大,从实施难度和成本的方面考虑,可以选择软件供应商直接提供实施。对于大型企业来说,由于其管理模式和内部关系较为复杂,而信息化项目可能会牵涉到多方利益,包括企业业务流程的变更和权利的再分配等,这就需要先进行管理体系的优化,而后再通过信息化的实施将其固化。因此对实施方要求很高。参照国际经验来讲,大型企业其信息化项目一般都由咨询公司担当实施顾问。在确定了由管理咨询公司担任实施商的前提下,是否将软件商与咨询公司进行捆绑式选择也许要进行慎重考虑。对于条件许可的大型企业来说,分步选择的做法对其更加适合。 

   “拿来主义”模式存在的风险

  信息化的传统应用集中在大型企业,我国的信息化实施也是从大型企业开始。但是在管理成为各类企业普遍需要的今天,在激烈的市场竞争和内外环境的压力下,企业若要达到预期的市场占有率和预期的经济效益,提高企业的应变能力和竞争能力,就必须在产品的质量、性能、交货期、价格等方面具有自己的优势。在当今市场的大环境之下,提高竞争力的主要方法就是加强管理,在管理、模式、手段和工具方面进行切实可行的改革。信息化作为一种先进的管理体系,不仅大型企业需要,中小型企业同样需要。根据不同规模的企业的运营和管理的模式不同,灵活实施信息化,使信息化具有中国特色。这样中小企业同样可以共享信息化的盛餐。

  同时,我们也必须认识到,最终创造效益的还是靠产品,信息化充其量不过是一个信息手段。对于企业而言,长期利益,是效率的提高与成本的降低,最根本的是一条企业管理会产生根本性的变化,走上结构化的自我优化之路。由于大企业已经越过求生存的阶段而进入稳固、扩大发展的阶段,所以无论从环境还是管理都相对比较成熟,并且有较强大的资金保证。所以在实施信息化的过程中,只要对企业进行正确的分析,选择合适的信息化系统软件,进行规范合理的管理和应用,信息化的实施成功可能性很大。

  而作为处于求生存阶段的中小企业来说,没有办法照搬大型企业或国外企业成功案例。

  信息化软件有一个本土化和对具体企业的适应要求。一些国外的著名软件供应商的系统软件功能强大,性能稳定,包括了一些标准的通用模块和比较方便的调整接口。

  以企业取得的实际效果为目标,才是企业信息化的正确道路。信息化建设不要追求技术水平如何高,而是要解泱企业的实际问题,让企业真正见效益,否则就没有生命力。信息化过程中的资金、人员、设备的投入都要以提高企业竞争力和企业效益为依归。实施企业信息化首先应该管理先行,要站在企业管理的角度建立模型,进行业务流程的优化。

  防范信息化项目失败风险除了按照一般项目风险管理的基本步骤做好风险管理规划与计划编制以外,还要采取一系列相应的措施:措施一、企业高层管理积极地参与并大力支持;措施二、组织强有力的实施团队,技术部门、业务部门积极地参与到实施过程当中,充分地沟通;措施三、注重企业与信息产品供应商、咨询服务商等方面的合作和沟通,借鉴他人的经验教训;措施四、从企业的战略发展高度出发,明确实施该项目的目标是什么。

  经费预算中存在的风险

  实施信息化系统不仅仅是购买一套软件,也不是简单实施一套先进的管理方法,他是企业发展的重大投资项目,需要投入巨大的资金、人力物力,并且投入时间长,投资风险大。所以,企业在准备启用信息化系统之前,必须理智的进行投资决策分析。例如,企业是不是到了该应用信息化系统的阶段,信息化系统带给企业的收益分析,信息化系统总体成本的投资预算,信息化系统的投资回报率(ROI)或投资效益分析等,这些问题必须先弄清楚,否则会给以后的实施与应用带来很大的偏差。

  信息化项目投资弹性大并且经费的估计比较软性,资金的风险也需要特殊考虑。另外外部环境的变化也会对资金的需求产生一些预定计划之外的风险。信息化实施过程中需要投入较大的成本,实际资金支出往往远远超出当初的预算。咨询、维护、调整、升级等许多意想不到的开支往往使成本急剧增加,因此应有很好的成本控制计划。软件使用许可证的一次性费用约为几百万元人民币甚至过千万,每年的软件支持维护费在几十万元,一些品牌软件系统的维护费用是按照发达国家的人工和服务费标准收取的。支持系统运行的硬件投入和人员费用也是很大的。很多企业在支出过大而效益又不明显的情况下,只能后悔或放弃一些信息化的项目。

  业务流程进行重组存在的风险

  在信息化的过程中,自然地要对企业的业务流程进行重组。当企业实施业务流程重组时,必然牵涉到岗位调整、职位变动、权限更改等一系列组织架构重组的热点问题。这使得BPR(业务流程重组)实施的难度大增。比如国内某南方化工集团,在长达两年的业务流程重组过程中,多数时间花在了人事安排和调整上,并天真地认为只要人的问题解决了,BPR就基本实施完毕。其实这严重违背了BPR的核心理念——通过把大家的注意力聚焦到流程改造上来,用基于流程的绩效管理体系做到人员到位;而不应当靠“息事宁人”或化解人事矛盾来重组流程。客户流程、生产流程、研发流程、人力资本流程、信息汇集和分析流程、财务报告流程等多方面的重组不可能通过调整班子实现毕其功于一役。

  系统的成熟、先进的业务流程模板值得借鉴。但是业务流程的重组牵涉到人员的变动、权力的重新分配、组织机构的改变,会触动某些人的既得利益,形成很大的阻力。没有充分的思想准备和物质准备,往往由于可能造成企业不愿或不能承担的损失,会迫使领导者半途止步,保留原有低效但运作平稳的流程。实施信息化系统不是一个简单的更新软件系统的事情,而是对企业的重新定位以及业务重组的事情。

  各层之间的沟通存在的风险

  信息化项目的实施是一个复杂而艰巨的系统工程,它涉及到软件公司的产品成熟与否、实施人员对产品的熟悉程度、用户的所有制体制、上层领导对项目的重视程度、中层干部对信息化流程认可程度、业务人员对操作的熟悉程度等因素。

  企业的实施队伍对于信息管理系统的成功实施至关重要,通常要由项目经理、流程指导顾问、技术支持顾问、项目组核心成员构成。项目实施小组要由具有丰富信息化系统项目实施和企业流程管理经验的咨询人员和企业内部的管理人员、业务人员以及技术人员一起组成。经常发生的情况是各方人员不到位,实施小组完全由计算机专业背景的技术人员组成,然而业务部门往往是决定项目正常运作的关键,缺少业务部门的积极参与与沟通将使项目的实施隐藏巨大的风险。

  信息与系统安全存在的风险

  对于一个典型的信息化系统,主要的依赖网络安全,操作系统安全,数据库安全和应用安全、病毒的预防、非法入侵的监督、数据更改的追踪、数据的安全备份与存档、主机房的安全管理规章、系统管理员的监督等等来保证系统的安全性。目前,普遍存在着不重视系统安全的现象,诸如用户口令泄密、超级用户授权过多等。缺乏安全意识的直接后果是系统在安全设计上出现漏洞和缺陷,它将导致系统的瘫痪。对系统软件过多的更改可能会影响程序和数据的一致性和完整性,也给将来的软件版本升级增加了难度和成本。

  系统实施人员的变动存在的风险

  人员的跳槽是非常普遍的现象。人员的频繁变动对一个正在运行的项目来说是很大的风险。现实生活中有很多这样的例子:某个公司的信息化项目非常依赖于某个具体的人,一旦这个人因为某种原因离开这个公司,那么这个公司的信息化项目会受到非常大的影响,甚至可能会是毁灭性的打击。一方面,如果系统的普适性较差,会使得系统对专业技术人员的依赖性太强,骨干人员的流失会造成系统的不稳定或无效。即便软件商或其他机构有一些服务的承诺,也时常会有令人很不愉快的事情发生。另一方面,一个不可忽视的情况是,由于信息化的过程弱化了一些不再重要的业务流程的骨干人员的作用,在不预先进行适当的考虑和统筹安排的情况下,这会挫伤他们的积极性并且可能直接影响到企业的长期发展。

  系统的二次开发和维护方面存在的风险

  二次开发的时间,根据需求的复杂程度、软件提供商的实力问题,有长有短。短则几天,长则半月、一月。企业要考虑这个时间成本,看看企业是否耽搁的起。是先用系统呢,还是等到二次开发完成以后再用。

  一般来说,企业若时间允许的话,最好等二次开发完毕后,再进行实施。这有两方面的好处。一是顾问由于项目时间的限制,他会主动的帮企业去催二次开发的进度,因为在规定时间内完不成项目,会扣他们的奖金。二是二次开发的需求是信息化有机的组成部分,只有二次开发的需求完成了,员工看到自己的问题解决了,可以减少在实施过程中来自员工的阻力,增强他们对系统的信心。

  企业先前各自分离的部门开发的一些信息系统在集成时会发生很多接口上的问题,要深入了解各独立模块之间的内部机制,将其有机地集成并非一件易事。数据库的共享需要数据的规范和利益各方的协调,如果考虑不周,很难将系统集成起来。软件版本需要经常性更新以积极运用日新月异的技术水平和容纳先进的管理思想,但各个软件商的发展方向、策略和版本更换步调不一致,它们之间的合作很松散,许多软件商在激烈的竞争中被淘汰,将来产品更新时新软件商未必能顾及与企业先前曾经合作的伙伴的软件产品的接口问题,因而会造成软件组合无法更新换代。业务流程在发展,对系统的要求不能一成不变,这最终导致企业不得不摈弃原有软件系统。因此选用信息化软件时最好不要同时选用多个厂家的产品组合。

  后续维护时,若对方先前负责你企业的顾问离职时,新的顾问不一定清楚。此时,企业若遇到问题,找对方公司解决问题时,有时候,他们也会理不清头绪,因为不是标准功能,他们不是每个人都对此了解的非常清楚,解决问题的效率也不会这么快。

  项目实施后的评估存在的风险

  风险识别后,接着要做的是风险评估,就是对确认后所存在的风险作分析,并作定量和定性分析,包括损失概率和损失程度,针对每种损失选择不同的方法,从而将公司的损失减到最低。因此,对风险进行评估,就是要确定它们对信息化项目的影响程度,制定相应的控制措施,并评估这些控制措施的成本,决定是否采用,最后在考虑控制措施成本基础上对风险进行综合评估。

  虽然项目评估是信息化实施过程的最后一个环节,但这并不意味着项目评估不重要。相反,项目评估的结果是信息化实施效果的直接反映。正确地评价实施成果,离不开清晰的实施目标、客观的评价标准和科学的评价方法。目前普遍存在着忽视项目评估的问题,忽视项目评估将带来实施小组不关心实施成果这一隐患,这正是信息化项目的巨大风险所在。根据评估的量化指数可以对薄弱环节进行相应的改进,以提高系统的运行效果。

  总结

  信息化项目是一种风险投资,实施信息化过程会遇到各种风险。信息化系统实施成功率不高有多种原因,企业需要对从信息化系统选型开始到系统上线的实施过程中存在的种种主要风险有系统性的认识,从而建立起一整套行之有效的项目和风险管理机制,提高信息化系统的实施成功率,最终达到提高企业管理水平。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章