引言：

    個人從事IT行業(yè)多年，早期作開發(fā)工作，后來做ERP實施，負責完成了多個大型企業(yè)的ERP項目，目前轉入到甲方單位做些項目管理的工作。在長期的軟件項目工作經(jīng)歷中，接觸到的客戶中或多或少的表現(xiàn)出對信息系統(tǒng)風險的錯誤認識，存在誤解的既有企業(yè)的普通員工，也有企業(yè)領導。
 
    信息系統(tǒng)的風險和系統(tǒng)的應用是伴生的，風險是永遠客觀存在的，怎樣防范風險、怎樣控制風險，這是企業(yè)信息化建設過程中必須應對的問題。本文中結合我個人從事IT行業(yè)的經(jīng)歷和經(jīng)驗，面向即將實施信息系統(tǒng)或已經(jīng)建設了信息系統(tǒng)的企業(yè)，對信息系統(tǒng)風險管理中的問題提出我的觀點和相應的解決辦法。

    正文：

    當前各個行業(yè)的企業(yè)內部各項信息化工作開展的如火如荼，ERP、電子商務、CRM，建設工作由點到面，從業(yè)務運營到企業(yè)管理、從單一應用到綜合治理，在企業(yè)內部各個層面逐步展開。系統(tǒng)建設大多已初具規(guī)模，企業(yè)的信息化框架也逐步確立。可以看到，信息化為企業(yè)經(jīng)營帶來了明顯的經(jīng)濟效益，為企業(yè)管理改革提供了有力的支持。

    凡事都具有兩面性，企業(yè)在收獲信息化成果的同時，也應該看到信息化帶來的巨大風險，應該對這類風險安排適當?shù)目刂拼胧?。但是在我的工作?jīng)歷中，大多數(shù)客戶，特別是IT建設剛剛起步的一些企業(yè)，對此風險問題都表現(xiàn)出不同程度的漠視，或者錯誤的認識。歸納一下，主要有以下幾種錯誤觀點：

    1、認為信息系統(tǒng)應該達到安全可靠，否則就是開發(fā)商的水平不高；

    2、要求系統(tǒng)提供商承諾軟件系統(tǒng)功能無差錯；

    3、要求系統(tǒng)提供商承擔系統(tǒng)錯誤造成的損失和影響；

    信息系統(tǒng)風險分析：

    上面提到的幾種觀點，其根本，還在于認為“信息系統(tǒng)可以做到安全可靠”，這實際是對信息系統(tǒng)風險問題的錯誤認識。

    信息系統(tǒng)本身具有很大的“脆弱性”，信息系統(tǒng)依賴的硬件、信息系統(tǒng)應用的IT技術（軟件方面）、信息系統(tǒng)的建設和使用過程都存在著大量的風險因素，這類風險客觀長期存在，既有有形的風險（設備、環(huán)境）、也有無形的風險（行為、道德）。

    下面，將從這些角度分析一下信息系統(tǒng)常見的風險因素：

    1、系統(tǒng)硬件環(huán)境風險

    信息系統(tǒng)的運用，依賴于特定的硬件環(huán)境，例如服務器、網(wǎng)絡等等，這些環(huán)境依賴大量的硬件設備，這些設備自身都存在一定的故障率，這類故障發(fā)生時必然影響信息系統(tǒng)正常運行。這類故障比較常見，大多數(shù)人也都能理解。

    2、信息系統(tǒng)技術帶來的風險

    信息系統(tǒng)的建設總是利用一定的技術手段進行實現(xiàn)，例如Dot NET、J2EE、VB、數(shù)據(jù)庫、應用服務器等，這些技術手段雖然都是商業(yè)化的，但其自身也是一個信息產(chǎn)品，受制于信息系統(tǒng)建設的客觀因素，依然不可能根除出現(xiàn)錯誤的可能，這些產(chǎn)品的廠商在推廣中強調的“安全性”、“可靠性”，更多的表現(xiàn)為一種營銷宣傳，根本不可能在購買合同中進行明確的承諾（這些供應商都會在合同中采用“責任限制”的條款對這樣的風險進行規(guī)避）。那么在這些技術手段之上構建的信息系統(tǒng)自然會受到這些風險的影響。

    3、信息系統(tǒng)建設過程中隱藏的風險

    信息系統(tǒng)建設的過程，無論是自建還是采購，都必然經(jīng)歷需求調研分析、系統(tǒng)規(guī)劃設計、系統(tǒng)開發(fā)測試、系統(tǒng)實施等幾個過程，這些過程中都存在導致日后系統(tǒng)出現(xiàn)錯誤造成損失的風險。例如：
需求調研階段，技術人員對需求認識的局限性，將造成未來系統(tǒng)的局限性。在日后系統(tǒng)應用過程中，當這種局限性的條件滿足時，可能對系統(tǒng)的使用產(chǎn)生影響；

    系統(tǒng)開發(fā)測試階段，每一項功能都是由技術人員編寫程序代碼實現(xiàn)，此項工作繁瑣且復雜，人非機器，錯誤是不可絕對避免，開發(fā)的質量需要測試工作來保證。測試工作只是模擬未來的使用方式來驗證系統(tǒng)，不可能對系統(tǒng)進行全方位的驗證，系統(tǒng)出錯的可能性永遠存在。另外，作為這項工作主要的參與者，人的責任心這樣的道德風險也不能小視；

    4、信息系統(tǒng)使用、維護過程中“人”的風險

    信息系統(tǒng)的最終價值是通過人的使用發(fā)揮出來的，在系統(tǒng)的使用中，操作人員不當操作可能造成錯誤；系統(tǒng)維護中，維護人員的能力、經(jīng)驗的欠缺，可能對系統(tǒng)引入新的錯誤，這些都是導致?lián)p失發(fā)生的風險。

    5、信息系統(tǒng)應用集中，自動化程度提高，風險擴大

    信息系統(tǒng)經(jīng)過這些年的發(fā)展，從最初的單機、單點應用，演變到現(xiàn)在的網(wǎng)絡化應用，數(shù)據(jù)集中、邏輯集中；應用方式從早期的簡單記錄功能，到目前的自動化處理，這些既是技術發(fā)展的方向，也是企業(yè)管理變革的要求。集中降低了信息化建設的成本、增強了系統(tǒng)的靈活性，自動化降低了企業(yè)的運營成本，但也不可否認，風險也相應增大了，一個小小的錯誤，可能會影響到整個企業(yè)正常經(jīng)營。

    6、網(wǎng)絡風險

    信息技術發(fā)展到今天，網(wǎng)絡是最偉大的技術創(chuàng)新，目前企業(yè)幾乎所有的應有系統(tǒng)都基于網(wǎng)絡進行構建，從內部辦公網(wǎng)到電子商務、從財務系統(tǒng)到網(wǎng)上結算，網(wǎng)絡也成為保險公司提升服務質量、擴寬營銷渠道的一個重要的手段。網(wǎng)絡的大量應用，也帶來了大量的風險，例如黑客、病毒等等。

    綜合上面的分析，信息系統(tǒng)的建設過程、使用過程、以及相關的環(huán)境因素中都存在著大量的導致?lián)p失的風險因素，這些風險大多都是信息系統(tǒng)建設自身的特點所決定的，客觀的講，風險不可能完全消除。對待信息系統(tǒng)風險，科學的態(tài)度應當是怎樣去降低風險發(fā)生的概率？怎樣去控制風險帶來的損失？如果損失發(fā)生怎樣償付、沖減損失？這三個方面同保險領域中風險管理的思路是一致的，是風險管理的三個基本面：風險防范、損失控制、風險融資。

    風險防范策略和方法：

    通過上面的分析，信息系統(tǒng)的風險客觀長期存在，科學的方法在于建立有效的風險防范、損失控制、風險融資的手段。其中，對于信息系統(tǒng)風險進行融資，手段有限，僅能針對硬件設備的損失風險，例如購買保險、設備托管等等，對此將不作探討。下面重點從企業(yè)自身工作建設的角度來討論信息系統(tǒng)風險防范、損失控制的方法。

    1、加強信息系統(tǒng)建設過程的風險管理

    企業(yè)的信息化系統(tǒng)建設，即使是通過采購買入，企業(yè)作為甲方首先要對自己負責，需要主動承擔主持、規(guī)劃、協(xié)調、監(jiān)控等關鍵職責，相應的信息系統(tǒng)風險管理措施應首先從自身進行強化。否則，項目最終失敗后，企業(yè)即使從供應商處得到補償，也是個兩敗的結果。

    前面分析了，信息系統(tǒng)的建設過程本身存在一系列的風險，開發(fā)信息系統(tǒng)的過程是決定系統(tǒng)風險的關鍵因素，因此加強管理的措施主要就是建立對活動的評審和審計。

    系統(tǒng)的建設從立項到最終的投入使用，包含了大量的過程活動，從質量監(jiān)控的角度，需求整理、項目采購、項目計劃、系統(tǒng)規(guī)劃、應用測試、客戶培訓六項工作是管理的重心。信息系統(tǒng)自身的特殊性，不同于傳統(tǒng)的實物產(chǎn)品，可度量性差，其過程表現(xiàn)的是人的行為和思想活動，因此建立工作過程文檔實屬必要，這將構成進行質量管理、控制風險的基礎。

    2、加強信息系統(tǒng)存續(xù)階段的風險控制

    信息系統(tǒng)猶如一輛汽車，在其使用過程中需要進行日常保養(yǎng)（糾錯性維護），必要時可能還需進行改造（改進性維護），以便能夠適應業(yè)務發(fā)展的要求。

    信息系統(tǒng)維護工作是個很有挑戰(zhàn)性的工作，難點不是某個錯誤多么隱蔽，多么難改，而是在這樣長期的變化環(huán)境中，怎樣保持系統(tǒng)的可靠和穩(wěn)定。在工作中，時常聽到IT人員抱怨某某系統(tǒng)又要改了，業(yè)務人員抱怨系統(tǒng)改正了老問題又帶來新問題，或者是曾經(jīng)修正了的問題又出現(xiàn)了，這幾乎成了維護工作的常見病。

    個人在專業(yè)IT公司長期從事軟件產(chǎn)品的管理工作，IT公司軟件產(chǎn)品管理和企業(yè)維護信息系統(tǒng)的工作面臨的挑戰(zhàn)是相同的，產(chǎn)品管理同樣面臨怎樣保證產(chǎn)品適應市場的變化、客戶的需求，同時還要在長期的應用中保持穩(wěn)定。要達到這樣的要求，從本質上講，規(guī)劃是根本，但從日常管理上講，完備的配置管理是保障。

    軟件配置管理的目的是在軟件系統(tǒng)的整個生存周期過程中建立和維護軟件項目產(chǎn)品的完整性和一致性。具體講，涉及三個方面：版本管理、變更管理和過程支持，有效地版本管理要能夠的標示系統(tǒng)的變化，變化要可追溯；變更管理要記錄每次變化的原因，或是Bug，或是需求，建立變更和系統(tǒng)版本之間的聯(lián)系，保證系統(tǒng)的變更是受控的。

    3、信息系統(tǒng)建設中應規(guī)劃風險控制支持功能

    企業(yè)在引入信息系統(tǒng)時，應將信息系統(tǒng)作為一個風險源，對業(yè)務流程規(guī)劃時，應考慮其影響，根據(jù)效益原則進行風險控制。在建設信息系統(tǒng)時，需明確提出建立必要的風險控制措施，或從制度、或從信息系統(tǒng)自身。例如：系統(tǒng)對外報出的數(shù)據(jù)，在報出前完成和原始數(shù)據(jù)的核對；自動處理的業(yè)務，階段性的進行核查。相應的信息系統(tǒng)要提供合適的功能支持完成此類工作。

    有了這樣的手段，在各部門崗位中再輔以恰當?shù)膷徫宦氊熣J定，業(yè)務崗位工作職責中納入風險控制要求，業(yè)務部門對業(yè)務執(zhí)行結果負責。信息系統(tǒng)建設和業(yè)務部門日常工作之間建立責任推動機制，相互配合，相互促進，實現(xiàn)信息系統(tǒng)風險控制工作的良性發(fā)展。

    4、建立企業(yè)信息安全審計制度

    上面討論的方法僅僅是一些針對性的辦法、措施，上升到整個企業(yè)的高度，依然無法有效地保證企業(yè)的信息安全。因為這些辦法都體現(xiàn)為部門的行為，行為的選擇具有主觀性、靈活性的特征，只有通過企業(yè)的制度建設來約束行為，才能夠保證行為方向的一致和有效，因此企業(yè)的信息安全保障需要通過建立一套有效的控制制度來實現(xiàn)。

    在制度建設上，企業(yè)信息系統(tǒng)審計制度是個比較好的選擇，其中就包括了信息安全的審計。企業(yè)可在適當?shù)臅r機，逐步引入審計制度，通過第三方或內部獨立的審計機構對企業(yè)的信息安全工作周期性的進行審計，出具審計報告，形成對信息安全的客觀評價，根據(jù)評價來指導、監(jiān)督信息安全的建設。

    這個方面業(yè)界已經(jīng)有了成熟的信息管理審計的標準和方法，影響力比較大主要有COBIT和ISO17799。COBIT是信息系統(tǒng)審計與控制協(xié)會公布的標準，全稱叫“Control Objectives for Information and Related Technology”。COBIT將IT過程、IT資源及信息與企業(yè)的策略與目標聯(lián)系起來，形成一個三維的體系結構。ISO17799的前身是英國國家標準局制定的BS7799-1《信息安全管理實踐規(guī)范》和BS7799-2《信息安全管理體系規(guī)范》，目的是幫助銀行在組織中建立一個初步的、易于實施和維護的安全管理框架。后來BS7799-1已被國際標準化組織采納成為ISO17799。該標準包含100多個安全控制措施來幫助組織識別在運作過程中對信息安全有影響的元素。這100多個控制措施被分成10個方面，成為組織實施信息安全管理的實用指南，這10個方面分別是：方針、安全組織、信息分類與控制、人事安全、物理與環(huán)境安全、通信與運營安全、訪問控制、系統(tǒng)開發(fā)與維護、商務可持續(xù)運營、法律符合。

    這些相關標準對系統(tǒng)安全管理分析得比較透徹。個人觀點，全面引入標準在企業(yè)中實施，難度非常大，可行的辦法是：參照標準，基于企業(yè)現(xiàn)狀，又針對性的選擇加強管理的措施，由點及面，逐步推行應用。大家有興趣的話，可以學習一下。

    總結：

    信息化是企業(yè)改革的一把利器，可以制敵，同樣也可傷己。企業(yè)在引入信息系統(tǒng)同時，迫切需要加強自身能力的建設，唯此才可達到信息化建設的目的——推動企業(yè)發(fā)展。