信息系统应用中的风险控制

引言：

个人从事IT行业多年，早期作开发工作，后来做ERP实施，负责完成了多个大型企业的ERP项目，目前转入到甲方单位做些项目管理的工作。在长期的软件项目工作经历中，接触到的客户中或多或少的表现出对信息系统风险的错误认识，存在误解的既有企业的普通员工，也有企业领导。

信息系统的风险和系统的应用是伴生的，风险是永远客观存在的，怎样防范风险、怎样控制风险，这是企业信息化建设过程中必须应对的问题。本文中结合我个人从事IT行业的经历和经验，面向即将实施信息系统或已经建设了信息系统的企业，对信息系统风险管理中的问题提出我的观点和相应的解决办法。

正文：

当前各个行业的企业内部各项信息化工作开展的如火如荼，ERP、电子商务、CRM，建设工作由点到面，从业务运营到企业管理、从单一应用到综合治理，在企业内部各个层面逐步展开。系统建设大多已初具规模，企业的信息化框架也逐步确立。可以看到，信息化为企业经营带来了明显的经济效益，为企业管理改革提供了有力的支持。

凡事都具有两面性，企业在收获信息化成果的同时，也应该看到信息化带来的巨大风险，应该对这类风险安排适当的控制措施。但是在我的工作经历中，大多数客户，特别是IT建设刚刚起步的一些企业，对此风险问题都表现出不同程度的漠视，或者错误的认识。归纳一下，主要有以下几种错误观点：

1、认为信息系统应该达到安全可靠，否则就是开发商的水平不高；

2、要求系统提供商承诺软件系统功能无差错；

3、要求系统提供商承担系统错误造成的损失和影响；

信息系统风险分析：

上面提到的几种观点，其根本，还在于认为“信息系统可以做到安全可靠”，这实际是对信息系统风险问题的错误认识。

信息系统本身具有很大的“脆弱性”，信息系统依赖的硬件、信息系统应用的IT技术（软件方面）、信息系统的建设和使用过程都存在着大量的风险因素，这类风险客观长期存在，既有有形的风险（设备、环境）、也有无形的风险（行为、道德）。

下面，将从这些角度分析一下信息系统常见的风险因素：

1、系统硬件环境风险

信息系统的运用，依赖于特定的硬件环境，例如服务器、网络等等，这些环境依赖大量的硬件设备，这些设备自身都存在一定的故障率，这类故障发生时必然影响信息系统正常运行。这类故障比较常见，大多数人也都能理解。

2、信息系统技术带来的风险

信息系统的建设总是利用一定的技术手段进行实现，例如Dot NET、J2EE、VB、数据库、应用服务器等，这些技术手段虽然都是商业化的，但其自身也是一个信息产品，受制于信息系统建设的客观因素，依然不可能根除出现错误的可能，这些产品的厂商在推广中强调的“安全性”、“可靠性”，更多的表现为一种营销宣传，根本不可能在购买合同中进行明确的承诺（这些供应商都会在合同中采用“责任限制”的条款对这样的风险进行规避）。那么在这些技术手段之上构建的信息系统自然会受到这些风险的影响。

3、信息系统建设过程中隐藏的风险

信息系统建设的过程，无论是自建还是采购，都必然经历需求调研分析、系统规划设计、系统开发测试、系统实施等几个过程，这些过程中都存在导致日后系统出现错误造成损失的风险。例如：

需求调研阶段，技术人员对需求认识的局限性，将造成未来系统的局限性。在日后系统应用过程中，当这种局限性的条件满足时，可能对系统的使用产生影响；

系统开发测试阶段，每一项功能都是由技术人员编写程序代码实现，此项工作繁琐且复杂，人非机器，错误是不可绝对避免，开发的质量需要测试工作来保证。测试工作只是模拟未来的使用方式来验证系统，不可能对系统进行全方位的验证，系统出错的可能性永远存在。另外，作为这项工作主要的参与者，人的责任心这样的道德风险也不能小视；

4、信息系统使用、维护过程中“人”的风险

信息系统的最终价值是通过人的使用发挥出来的，在系统的使用中，操作人员不当操作可能造成错误；系统维护中，维护人员的能力、经验的欠缺，可能对系统引入新的错误，这些都是导致损失发生的风险。

5、信息系统应用集中，自动化程度提高，风险扩大

信息系统经过这些年的发展，从最初的单机、单点应用，演变到现在的网络化应用，数据集中、逻辑集中；应用方式从早期的简单记录功能，到目前的自动化处理，这些既是技术发展的方向，也是企业管理变革的要求。集中降低了信息化建设的成本、增强了系统的灵活性，自动化降低了企业的运营成本，但也不可否认，风险也相应增大了，一个小小的错误，可能会影响到整个企业正常经营。

6、网络风险

信息技术发展到今天，网络是最伟大的技术创新，目前企业几乎所有的应有系统都基于网络进行构建，从内部办公网到电子商务、从财务系统到网上结算，网络也成为保险公司提升服务质量、扩宽营销渠道的一个重要的手段。网络的大量应用，也带来了大量的风险，例如黑客、病毒等等。

综合上面的分析，信息系统的建设过程、使用过程、以及相关的环境因素中都存在着大量的导致损失的风险因素，这些风险大多都是信息系统建设自身的特点所决定的，客观的讲，风险不可能完全消除。对待信息系统风险，科学的态度应当是怎样去降低风险发生的概率？怎样去控制风险带来的损失？如果损失发生怎样偿付、冲减损失？这三个方面同保险领域中风险管理的思路是一致的，是风险管理的三个基本面：风险防范、损失控制、风险融资。

风险防范策略和方法：

通过上面的分析，信息系统的风险客观长期存在，科学的方法在于建立有效的风险防范、损失控制、风险融资的手段。其中，对于信息系统风险进行融资，手段有限，仅能针对硬件设备的损失风险，例如购买保险、设备托管等等，对此将不作探讨。下面重点从企业自身工作建设的角度来讨论信息系统风险防范、损失控制的方法。

1、加强信息系统建设过程的风险管理

企业的信息化系统建设，即使是通过采购买入，企业作为甲方首先要对自己负责，需要主动承担主持、规划、协调、监控等关键职责，相应的信息系统风险管理措施应首先从自身进行强化。否则，项目最终失败后，企业即使从供应商处得到补偿，也是个两败的结果。

前面分析了，信息系统的建设过程本身存在一系列的风险，开发信息系统的过程是决定系统风险的关键因素，因此加强管理的措施主要就是建立对活动的评审和审计。

系统的建设从立项到最终的投入使用，包含了大量的过程活动，从质量监控的角度，需求整理、项目采购、项目计划、系统规划、应用测试、客户培训六项工作是管理的重心。信息系统自身的特殊性，不同于传统的实物产品，可度量性差，其过程表现的是人的行为和思想活动，因此建立工作过程文档实属必要，这将构成进行质量管理、控制风险的基础。

2、加强信息系统存续阶段的风险控制

信息系统犹如一辆汽车，在其使用过程中需要进行日常保养（纠错性维护），必要时可能还需进行改造（改进性维护），以便能够适应业务发展的要求。

信息系统维护工作是个很有挑战性的工作，难点不是某个错误多么隐蔽，多么难改，而是在这样长期的变化环境中，怎样保持系统的可靠和稳定。在工作中，时常听到IT人员抱怨某某系统又要改了，业务人员抱怨系统改正了老问题又带来新问题，或者是曾经修正了的问题又出现了，这几乎成了维护工作的常见病。