【项目管理知识】信息系统应用中的风险控制

信息系统应用中的风险控制

当前各个行业的企业内部各项信息化工作开展的如火如荼，ERP、电子商务、CRM，建设工作由点到面，从业务运营到企业管理、从单一应用到综合治理，在企业内部各个层面逐步展开。系统建设大多已初具规模，企业的信息化框架也逐步确立。可以看到，信息化为企业经营带来了明显的经济效益，为企业管理改革提供了有力的支持。

凡事都具有两面性，企业在收获信息化成果的同时，也应该看到信息化带来的巨大风险，应该对这类风险安排适当的控制措施。但是在我的工作经历中，大多数客户，特别是IT建设刚刚起步的一些企业，对此风险问题都表现出不同程度的漠视，或者错误的认识。归纳一下，主要有以下几种错误观点：

1、认为信息系统应该达到安全可靠，否则就是开发商的水平不高；

2、要求系统提供商承诺软件系统功能无差错；

3、要求系统提供商承担系统错误造成的损失和影响；

信息系统风险分析：

上面提到的几种观点，其根本，还在于认为“信息系统可以做到安全可靠”，这实际是对信息系统风险问题的错误认识。

信息系统本身具有很大的“脆弱性”，信息系统依赖的硬件、信息系统应用的IT技术（软件方面）、信息系统的建设和使用过程都存在着大量的风险因素，这类风险客观长期存在，既有有形的风险（设备、环境）、也有无形的风险（行为、道德）。

下面，将从这些角度分析一下信息系统常见的风险因素：

1、系统硬件环境风险

信息系统的运用，依赖于特定的硬件环境，例如服务器、网络等等，这些环境依赖大量的硬件设备，这些设备自身都存在一定的故障率，这类故障发生时必然影响信息系统正常运行。这类故障比较常见，大多数人也都能理解。

2、信息系统技术带来的风险

信息系统的建设总是利用一定的技术手段进行实现，例如DotNET、J2EE、VB、数据库、应用服务器等，这些技术手段虽然都是商业化的，但其自身也是一个信息产品，受制于信息系统建设的客观因素，依然不可能根除出现错误的可能，这些产品的厂商在推广中强调的“安全性”、“可靠性”，更多的表现为一种营销宣传，根本不可能在购买合同中进行明确的承诺（这些供应商都会在合同中采用“责任限制”的条款对这样的风险进行规避）。那么在这些技术手段之上构建的信息系统自然会受到这些风险的影响。

3、信息系统建设过程中隐藏的风险

信息系统建设的过程，无论是自建还是采购，都必然经历需求调研分析、系统规划设计、系统开发测试、系统实施等几个过程，这些过程中都存在导致日后系统出现错误造成损失的风险。例如：

需求调研阶段，技术人员对需求认识的局限性，将造成未来系统的局限性。在日后系统应用过程中，当这种局限性的条件满足时，可能对系统的使用产生影响；

系统开发测试阶段，每一项功能都是由技术人员编写程序代码实现，此项工作繁琐且复杂，人非机器，错误是不可避免，开发的质量需要测试工作来保证。测试工作只是模拟未来的使用方式来验证系统，不可能对系统进行全方位

的验证，系统出错的可能性永远存在。另外，作为这项工作主要的参与者，人的责任心这样的道德风险也不能小视；

4、信息系统使用、维护过程中“人”的风险

信息系统的终价值是通过人的使用发挥出来的，在系统的使用中，操作人员不当操作可能造成错误；系统维护中，维护人员的能力、经验的欠缺，可能对系统引入新的错误，这些都是导致损失发生的风险。

5、信息系统应用集中，自动化程度提高，风险扩大

信息系统经过这些年的发展，从初的单机、单点应用，演变到现在的网络化应用，数据集中、逻辑集中；应用方式从早期的简单记录功能，到目前的自动化处理，这些既是技术发展的方向，也是企业管理变革的要求。集中降低了信息化建设的成本、增强了系统的灵活性，自动化降低了企业的运营成本，但也不可否认，风险也相应增大了，一个小小的错误，可能会影响到整个企业正常经营。

6、网络风险

信息技术发展到今天，网络是伟大的技术创新，目前企业几乎所有的应有系统都基于网络进行构建，从内部办公网到电子商务、从财务系统到网上结算，网络也成为保险公司提升服务质量、扩宽营销渠道的一个重要的手段。网络的大量应用，也带来了大量的风险，例如黑客、病毒等等。

综合上面的分析，信息系统的建设过程、使用过程、以及相关的环境因素中都存在着大量的导致损失的风险因素，这些风险大多都是信息系统建设自身的特点所决定的，客观的讲，风险不可能完全消除。对待信息系统风险，科学的态度应当是怎样去降低风险发生的概率？怎样去控制风险带来的损失？如果

损失发生怎样偿付、冲减损失？这三个方面同保险领域中风险管理的思路是一致的，是风险管理的三个基本面：风险防范、损失控制、风险融资。

风险防范策略和方法：