1 引言
目前關于企業信息化風險研究的熱點集中在信息系統安全方面的風險評估,這也與當今世界探討網絡安全的熱點相一致。企業一旦發生信息安全問題,會給企業帶來災難性后果,這也是企業信息化進程中所重視的“硬件條件”。但對于企業而言,信息化風險不只局限于信息系統的安全風險,而是上升到企業信息化管理層面的風險(即人員問題的“軟件條件”)。因此本文從企業信息化管理的鏈條出發,識別每一環節可能存在的風險。
2 信息化風險的識別
信息化風險的識別是進行風險管理的第一步程序,是指采用一種系統的方法,來識別企業信息化過程中各個方面的潛在風險,并識別各個方面較為重大的風險。只有明確識別了信息化的風險點才能有后續的風險評估及應對措施。
2.1 信息化風險的內容
信息化風險是指企業實施信息化所帶來的風險,企業在實施信息化的進程中,一方面要有足夠的“硬件條件”,即先進的設備設施以及安全的防護措施。另一方面,像員工能力、高層管理能力等“軟件條件”,同樣是確保企業信息化進程順利實施的保障。按照信息化風險可能對企業造成損失的關鍵環節,我們將信息化風險分為信息系統風險、控制人員風險和信息戰略風險三種。
(1)信息系統風險。
信息系統風險是指企業所依賴的信息管理系統本身存在缺陷,導致系統不能正常運行所造成的損失,它又分為系統缺陷風險和系統安全風險。
信息系統的數據處理流程包括數據的輸入、處理和輸出。系統內部缺陷風險是在這三個環節中,因系統設計缺陷導致數據處理結果的錯誤。當企業采用信息系統進行數據處理,替代手工數據處理時,自數據被錄入系統開始,之后系統的處理以及結果的輸出就取決于系統設計是否正確。一方面,在進行系統設計環節之前,必須要對現有系統以及擬構建系統進行系統分析,了解企業的業務處理流程,并隨時與企業人員進行溝通,以確保擬構建系統數據處理、輸出的正確性。另一方面,系統在接受用戶數據處理請求時,需要設計數據有效性校驗模塊,確保用戶輸入數據的正確性,并能夠被處理。
隨著企業規模的擴大,系統接入用戶的逐步增加,系統也越來越依賴企業的intranet網絡。如果intranet遭到攻擊或者破壞,會導致企業數據處理中斷,影響企業的日常運營。信息資產風險面臨的主要問題是故障保護和保全,而在系統安全中,用戶識別和數據加密則是核心。系統將企業業務流程電子化、數據資料電子化、操作人員電子化,增加了無關人員訪問的可能性。需要采用用戶登錄密碼實現不相容職責分離,同時對數據資料進行加密,甚至在數據傳遞前將數據轉換為不可讀格式,以確保企業經營資料的安全。
(2)控制人員風險。
系統控制人員包括操作企業信息系統的操作人員和使用信息系統報告的管理人員。在企業信息化初期,由于操作人員對信息系統的不了解,錯誤的操作可能致使系統數據處理錯誤甚至丟失,無法生成正確的信息,為企業管理造成損失。而管理人員因不信任系統生成的信息,或因不理解系統處理流程造成錯誤使用信息,同樣會導致企業發生損失。但該項風險可能會隨著系統使用期限的增長,控制人員的經驗曲線效應而逐步降低。此外,控制人員風險還涉及對企業信息化內部控制各方案的設計合理性和執行有效性。如果企業對信息化后系統日常運行、權限管理、災難恢復等沒有制定合理的內部控制制度或者內控執行無效,即使再完備的系統也會導致風險的發生。
(3)信息戰略風險。
信息戰略風險主要是指企業管理層做出了不恰當的企業信息化戰略決策,致使企業信息化失敗造成損失或者信息化規劃不合理致使管理效率低下。所謂“企業不上信息化是等死,上了信息化是找死”,折射出企業對于信息化期盼與恐懼。信息化是未來企業發展的大趨勢,但企業經歷信息化的過程,不僅是一項重大的投資,更是一個梳理企業現有業務流程和規劃未來業務流程的機遇。稍有不慎會導致企業信息化失敗或產生了信息孤島、重復建設的問題。
若管理層對企業業務不了解,盲目采用信息化,就會使企業的信息化陷入僵局,導致失敗。此外,若管理層對企業未來的信息化戰略缺乏規劃,會導致信息孤島或重復建設。企業在分階段實施信息化時,標準不統一是導致信息孤島的根源。例如各系統間信息編碼的關鍵字不同,導致跨系統信息處理時,需要人工輔助轉換,增加了人力成本,降低了信息化的效率。
2.2信息化風險的識別方法
(1)自身識別方法——頭腦風暴法的應用。
對于企業而言,信息化風險的三個部分,即信息系統、控制人員和信息戰略,由上涉及企業的高管人員,自下涉及企業的普通員工,企業的全體人員都參與到了企業信息化的進程中,因此對于信息化風險識別的方法首先可以采用集思廣益的頭腦風暴法。
在實際應用中可以將企業內部各個部門設成集思小組,各部門的成員可以暢所欲言,通過自身在企業信息化進程中的工作,闡述自己對企業信息化應用中風險點的認識;再通過各部門內部集體討論,形成一致決議上報上級部門。上級部門對下屬各部門的觀點進行總結提煉,完成對企業信息化風險的識別。
普通員工通過操作信息系統可以發現信息系統中的風險點;中層管理者,通過使用信息系統決策可以發現信息系統中的風險點;高層管理者通過普通員工和中層管理者反饋的信息可以發現原定信息戰略的實現情況,并對于未來的信息戰略進行規劃。因此,采用頭腦風暴法,保持順暢的信息溝通渠道,完成對企業信息化風險的內部識別。
(2)外部識別方法一德爾菲法的應用。
企業自身員工對信息化風險的識別往往只是從表象進行識別,如果要識別風險的本質還需借助專家意見。利用專家對于某領域的了解以及經驗,可以更準確地把握企業信息化風險點,專家通常會設計指標,量化風險大小,其識別結果比企業員工的直觀認識更有針對性。
不同種類的風險可以聘請專門領域的專家進行評估。針對企業信息化中的信息系統風險,可以聘請注冊信息系統審計師(CISA)進行審計,注冊信息系統審計師關注企業信息系統的安全性、穩定性和有效性,通過其審計的經驗以及對系統的了解,可以有效識別出企業信息系統的風險點;針對控制人員風險,可以聘請人力資源管理師(HRP),通過考察企業的培訓流程,跟蹤評價企業員工的學習能力來識別企業信息系統控制人員的風險;針對信息戰略風險,可以聘請戰略咨詢師,通過分析企業管理層制定信息戰略的過程以及制定依據,管理層的知識水平和經驗能力識別企業信息戰略風險。
在具體采用專家意見時,可以將每類專家分成專家小組,為了避免小組中專家意見受權威專家的影響,可以借助德爾菲法,即采用背對背的通信方式征詢專家小組成員的預測意見。企業可以聘請相關專家深入企業調研,然后采用函詢的方式征求各方面專家的意見,各專家在互不通氣的J隋況下,根據自己的觀點和方法進行分析,然后企業把各個專家的意見匯集在一起,通過不記名的方式反饋給各位專家,請他們參考別人的意見修正本人原來的判斷,如此反復多次與專家磋商確定最終的專家意見結果。
3 信息化風險的評估模型構建
風險的評估是在識別出風險的基礎上。通過系統的評估方法和評估指標,確定風險發生的概率和可能損失的金額。只有經過風險評估后,才能確定企業所面臨的重大風險,并針對重大風險采取相應的應對措施。根據對企業信息化風險的分類,本文采用層次分析法建立企業信息化風險評估模型,信息化風險的總目標層如圖1所示。
圖1 信息化風險總目標層
3.1信息化風險因素的識別
(1)信息系統風險因素識別。
對于一般企業而言,信息系統的構建通常是外聘專業的系統設計團隊來進行。那么對信息系統內部缺陷的風險程度的評估,外部因素可以評估系統設計團隊成員的專業勝任能力、成功經驗、專長領域以及對企業業務流程和財務流程的理解程度,團隊與企業之間的溝通效果,系統設計進度安排;內部因素可以評估系統的出錯頻率,例外報告,以及出錯后的修改質量與效率。而信息系統的安全性則通過使用的防病毒軟件的廠商信譽,數據信息備份情況,信息系統災難恢復能力,信息傳輸加密情況進行評估。
(2)控制人員風險因素識別。
操作人員風險因素的識別,控制人員風險中的人員錯誤,無論是操作人員錯誤還是管理人員錯誤,可以通過培訓的次數,培訓考試成績,結合人員的學歷水平,人員的信息安全意識,操作人員或管理人員的錯誤頻率等指標進行評估。而管理制度的有效性,可用針對信息化的內部控制范圍合理性,內部控制流程完備性,違規操作或使用信息的情況,內控的出錯頻率等指標進行評估。
(3)信息戰略風險因素識別。
信息戰略風險無論是信息化失敗還是信息孤島或重復建設,都是由于管理層的信息戰略規劃不合理,因此評估信息戰略風險可以將信息化失敗和信息孤島或重復建設合并為一個問題進行。評估戰略風險可以通過信息化戰略目標,管理人員自身風險認識,可行性分析報告,信息化項目進度計劃,資金預算,資金監控,信息化效果評估來完成。
3.2信息化風險因素的評估
在對信息化風險進行評估時,可以借用德爾菲法對層次分析法中的各影響因素權重進行打分,對不同層次的子問題權重進行打分,并綜合兩項打分結果計算各因素相對于總問題X的總權重,并在獲得權重的基礎上評估各影響因素的得分,乘以權重數,計算企業信息化風險得分(見圖2)。
圖2 信息化風險評估圖
(1)對于各因素權重的打分。
在本文中所對各因素權重打分時,需要對所有因素進行兩兩比較,將比較的結果按重要性大小,用表1的得分形式予以量化,量化值越大,說明前一個因素相比后一個因素越重要。
將兩兩比較結果用判斷矩陣Y列出,便于計算各因素相對權重,其中uij表示第i個因素相對于第J個因素的重要性得分。
表1 因素權重分值表
(2)對于同層次各子問題權重的打分。
對不同層次各子問題權重的打分方法與對于各因素權重的打分方法相同,可以直接進行,只不過將兩兩因素之間打分替換成對同層次兩兩子問題之間打分。
(3)總權重的計算。
在本文中所運用層次分析法分析信息化風險時,凡處于同一層次的所有子問題或子問題下屬因素,全部是不相關的,因此可以直接用最底層影響因素的自身權重乘以該因素所對應上一層次子問題的權重。舉例:假設為評估信息化風險X,根據德爾菲法對各層次問題進行評分,根據層次分析法分配權重(見圖3)。那么對于“數據備份”這一因素在企業信息化風險中所占比重為30%×60%×20%=3.6%。
圖3 性息化風險評分體系
(4)各影響因素得分及總得分的計算。
按照德爾菲法,參評專家按照其自身經驗、企業的現狀以及行業的現狀綜合考慮,將影響企業信息化風險的各因素予以評價,評價與對應分值如表2所示。
表2 因素評價分值
將各因素得分乘以各因素占企業信息化風險的總權重再相加,計算出企業信息化風險的最終得分如圖3所示。
4 研究結論
4.1信息化風險的分類
企業在實施信息化的過程中,起點是企業高層管理者的信息戰略,成果是企業構建的信息系統,再通過控制人員的日常使用反饋信息,以供高層管理者進行進一步的信息戰略決策。因此企業在進行信息化管理中,必然會受到“硬件條件”和“軟件條件”兩方面影響。從“硬件條件”而言,信息系統本身存在的錯誤或安全風險是風險因素之一;從容易被忽略的“軟件條件”而言,操作或管理人員的風險亦是風險因素之一。因此我們認為企業信息化過程中,信息化風險是企業因為信息系統本身、系統操作人員和信息化戰略三方面的問題導致產生損失的可能性。
4.2信息化風險評估模型
我們認為應以信息化風險三大分類為基礎,再對每一個大類進一步細分,總結出風險的具體影響因素,借助層次分析法構建影響因素判定矩陣,計算各影響因素的分數和相對總風險的權重,構建企業信息化風險評估模型,從而為企業對自身信息化風險進行動態監測提供借鑒。企業在治定了在特定情境下的界面聯結模式和企業能感知任務互依性的程度,并激發相應的知識流動行為。
5 結束語
本文對基于知識流動的企業間界面組織設計進行了研究,得到的結論主要包括:①不同程度的相互依賴性導致企業間知識流動表現為不同行為,因此,企業應該綜合企業間任務互依性和收益互依性來進行相互依賴性設計,以激發雙方相應的知識流動行為;②不同的界面聯結模式提供了不同的工作情境,從而會引發企業對任務互依性不同程度的感知,進而影響企業間的知識流動行為;③不同形式的界面在空間是可以共存的,需要企業根據具體的任務情境進行相應的界面組織設計,以改變企業對相互依賴性的感知,從而導致相應的知識流動行為。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:企業ERP信息化風險的識別與評估
本文網址:http://www.guhuozai8.cn/html/consultation/10819810475.html