1 引言
今朝关于企业信息化风险研究的热点集中在信息系统安然方面的风险评估,这也与现当代界切磋收集安然的热点相一致。企业一旦产生信息安然标题问题,会给企业带来灾害性后果,这也是企业信息化过程中所正视的“硬件前提”。但对企业而言,信息化风险不只局限于信息系统的安然风险,而是上升到企业信息化治理层面的风险(即人员标题问题标“软件前提”)。是以本文从企业信息化治理的链条解缆,辨认每环节可能存在的风险。
2 信息化风险的辨认
信息化风险的辨认是进行风险治理的第一步法度,是指采取一种系统的编制,来辨认企业信息化过程中各个方面的暗藏风险,并辨认各个方面较为重大年夜的风险。只有明白辨认了信息化的风险点才能有后续的风险评估及应对办法。
2.1 信息化风险的内容
信息化风险是指企业实施信息化所带来的风险,企业在实施信息化的过程中,一方面要有足够的“硬件前提”,即进步前辈的设备举措措施和安然的防护办法。另外一方面,像员工能力、高层治理能力等“软件前提”,一样是确保企业信息化过程顺利实施的保障。遵循信息化风险可能对企业造成损掉的关头环节,我们将信息化风险分为信息系统风险、节制人员风险和信息计谋风险三种。
(1)信息系统风险。
信息系统风险是指企业所依托的信息治理系统本身存在缺点,导致系统不克不及正常运行所酿成的损掉,它又分为系统缺点风险和系统安然风险。
信息系统的数据措置流程包含数据的输进、措置和输出。系统内部缺点风险是在这三个环节中,因系统设计缺点导致数据措置成果的弊端。当企业采守信息系统进行数据措置,替代手工数据措置时,自数据被录进系统开端,以后系统的措置和成果的输出就取决于系统设计是不是准确。一方面,在进行系统设计环节之前,必需要对现有系统和拟构建系统进行系统阐发,体味企业的营业措置流程,并随时与企业人员进行沟通,以确保拟构建系统数据措置、输出的准确性。另外一方面,系统在接管用户数据措置要求时,需要设计数据有效性校验模块,确保用户输进数据的准确性,并可以或许被措置。
跟着企业范围的扩大年夜,系统接进用户的慢慢增加,系统也愈来愈依托企业的intranet收集。假定intranet遭到报复打击或粉碎,会导致企业数据措置间断,影响企业的平常运营。信息资产风险面对的首要标题问题是故障呵护和保全,而在系统安然中,用户辨认和数据加密则是核心。系统将企业营业流程电子化、数据资料电子化、把持人员电子化,增加了无关人员拜候的可能性。需要采取用户登录暗码实现不相容职责分手,同时对数据资料进行加密,乃至在数据传递前将数据转换为不成读格局,以确保企业经营资料的安然。
(2)节制人员风险。
系统节制人员包含把持企业信息系统的把持人员和利用信息系统陈述的治理人员。在企业信息化初期,因为把持人员对信息系统的不体味,弊端的把持可能导致系统数据措置弊端乃至丢掉,没法生成准确的信息,为企业治理造成损掉。而治理人员因不信赖系统生成的信息,或因不睬解系统措置流程造成弊端利用信息,一样会导致企业产生损掉。但该项风险可能会跟着系统利用刻日的增加,节制人员的经验曲线效应而慢慢降落。别的,节制人员风险还触及对企业信息化内部节制各方案的设计合理性和履行有效性。假定企业对信息化后系统平常运行、权限治理、灾害恢复等没有拟定合理的内部节制轨制或内控履行无效,即便再完全的系统也会导致风险的产生。
(3)信息计谋风险。
信息计谋风险主如果指企业治理层做出了不得当的企业信息化计谋决定计划,导致企业信息化掉败造成损掉或信息化打算不合理导致治理效力低下。所谓“企业不上信息化是等死,上了信息化是找死”,折射出企业对信息化期盼与惊骇。信息化是将来企业成长的大年夜趋势,但企业经历信息化的过程,不可是一项重大年夜的投资,更是一个梳理企业现有营业流程和打算将来营业流程的机缘。稍有掉慎会导致企业信息化掉败或产生了信息孤岛、反复扶植的标题问题。
若治理层对企业营业不体味,盲目采守信息化,就会使企业的信息化陷进僵局,导致掉败。别的,若治理层对企业将来的信息化计谋贫乏打算,会导致信息孤岛或反复扶植。企业在分阶段实施信息化时,尺度不合一是导致信息孤岛的本源。例如各系统间信息编码的关头字不合,导致跨系统信息措置时,需要人工辅助转换,增加了人力成本,降落了信息化的效力。
2.2信息化风险的辨认编制
(1)本身辨认编制——脑筋风暴法的利用。
对企业而言,信息化风险的三个部门,即信息系统、节制人员和信息计谋,由上触及企业的高管人员,自下触及企业的通俗员工,企业的全部人员都介入到了企业信息化的过程中,是以对信息化风险辨认的编制起首可以采取集思广益的脑筋风暴法。
在实际利用中可以将企业内部各个部门设成集思小组,各部门的成员可以畅所欲言,经由过程本身在企业信息化过程中的工作,阐述本身对企业信息化利用中风险点的熟谙;再经由过程各部门内部集体味商,构成一致决定上报上级部门。上级部门对部属各部门的不雅点进行总结提炼,完成对企业信息化风险的辨认。
通俗员工经由过程把持信息系统可以发现信息系统中的风险点;中层治理者,经由过程利用信息系统决定计划可以发现信息系统中的风险点;高层治理者经由过程通俗员工和中层治理者反馈的信息可以发现原定信息计谋的实现环境,并对将来的信息计谋进行打算。是以,采取脑筋风暴法,保持顺畅的信息沟通渠道,完成对企业信息化风险的内部辨认。
(2)外部辨认编制一德尔菲法的利用。
企业本身员工对信息化风险的辨认常常只是从表象进行辨认,假定要辨认风险的本质还需借助专家定见。操纵专家对某范畴的体味和经验,可以更准确地掌控企业信息化风险点,专家凡是会设计指标,量化风险大年夜小,其辨认成果比企业员工的直不雅熟谙更有针对性。
不合种类的风险可以礼聘专门范畴的专家进行评估。针对企业信息化中的信息系统风险,可以礼聘注册信息系统审计师(CISA)进行审计,注册信息系统审计师存眷企业信息系统的安然性、不变性和有效性,经由过程其审计的经验和对系统的体味,可以有效辨认出企业信息系统的风险点;针对节制人员风险,可以礼聘人力资本治理师(HRP),经由过程考查企业的培训流程,跟踪评价企业员工的进修能力来辨认企业信息系统节制人员的风险;针对信息计谋风险,可以礼聘计谋咨询师,经由过程阐发企业治理层拟定信息计谋的过程和拟定根据,治理层的常识水安然安静经验能力辨认企业信息计谋风险。
在具体采取专家定见时,可以将每类专家分成专家小组,为了不小组中专家定见受权势巨子专家的影响,可以借助德尔菲法,即采取背对背的通信编制征询专家小构成员的猜想定见。企业可以礼聘相干专家深进企业调研,然后采取函询的编制收罗各方面专家的定见,各专家在互不通气的J隋况下,按照本身的不雅点和编制进行阐发,然后企业把各个专家的定见堆积在一路,经由过程不记名的编制反馈给各位专家,请他们参考他人的定见批改本人本来的鉴定,如斯几次多次与专家筹议肯定最终的专家定见成果。