1 引言
目前關(guān)于企業(yè)信息化風(fēng)險研究的熱點集中在信息系統(tǒng)安全方面的風(fēng)險評估,這也與當(dāng)今世界探討網(wǎng)絡(luò)安全的熱點相一致。企業(yè)一旦發(fā)生信息安全問題,會給企業(yè)帶來災(zāi)難性后果,這也是企業(yè)信息化進程中所重視的“硬件條件”。但對于企業(yè)而言,信息化風(fēng)險不只局限于信息系統(tǒng)的安全風(fēng)險,而是上升到企業(yè)信息化管理層面的風(fēng)險(即人員問題的“軟件條件”)。因此本文從企業(yè)信息化管理的鏈條出發(fā),識別每一環(huán)節(jié)可能存在的風(fēng)險。
2 信息化風(fēng)險的識別
信息化風(fēng)險的識別是進行風(fēng)險管理的第一步程序,是指采用一種系統(tǒng)的方法,來識別企業(yè)信息化過程中各個方面的潛在風(fēng)險,并識別各個方面較為重大的風(fēng)險。只有明確識別了信息化的風(fēng)險點才能有后續(xù)的風(fēng)險評估及應(yīng)對措施。
2.1 信息化風(fēng)險的內(nèi)容
信息化風(fēng)險是指企業(yè)實施信息化所帶來的風(fēng)險,企業(yè)在實施信息化的進程中,一方面要有足夠的“硬件條件”,即先進的設(shè)備設(shè)施以及安全的防護措施。另一方面,像員工能力、高層管理能力等“軟件條件”,同樣是確保企業(yè)信息化進程順利實施的保障。按照信息化風(fēng)險可能對企業(yè)造成損失的關(guān)鍵環(huán)節(jié),我們將信息化風(fēng)險分為信息系統(tǒng)風(fēng)險、控制人員風(fēng)險和信息戰(zhàn)略風(fēng)險三種。
(1)信息系統(tǒng)風(fēng)險。
信息系統(tǒng)風(fēng)險是指企業(yè)所依賴的信息管理系統(tǒng)本身存在缺陷,導(dǎo)致系統(tǒng)不能正常運行所造成的損失,它又分為系統(tǒng)缺陷風(fēng)險和系統(tǒng)安全風(fēng)險。
信息系統(tǒng)的數(shù)據(jù)處理流程包括數(shù)據(jù)的輸入、處理和輸出。系統(tǒng)內(nèi)部缺陷風(fēng)險是在這三個環(huán)節(jié)中,因系統(tǒng)設(shè)計缺陷導(dǎo)致數(shù)據(jù)處理結(jié)果的錯誤。當(dāng)企業(yè)采用信息系統(tǒng)進行數(shù)據(jù)處理,替代手工數(shù)據(jù)處理時,自數(shù)據(jù)被錄入系統(tǒng)開始,之后系統(tǒng)的處理以及結(jié)果的輸出就取決于系統(tǒng)設(shè)計是否正確。一方面,在進行系統(tǒng)設(shè)計環(huán)節(jié)之前,必須要對現(xiàn)有系統(tǒng)以及擬構(gòu)建系統(tǒng)進行系統(tǒng)分析,了解企業(yè)的業(yè)務(wù)處理流程,并隨時與企業(yè)人員進行溝通,以確保擬構(gòu)建系統(tǒng)數(shù)據(jù)處理、輸出的正確性。另一方面,系統(tǒng)在接受用戶數(shù)據(jù)處理請求時,需要設(shè)計數(shù)據(jù)有效性校驗?zāi)K,確保用戶輸入數(shù)據(jù)的正確性,并能夠被處理。
隨著企業(yè)規(guī)模的擴大,系統(tǒng)接入用戶的逐步增加,系統(tǒng)也越來越依賴企業(yè)的intranet網(wǎng)絡(luò)。如果intranet遭到攻擊或者破壞,會導(dǎo)致企業(yè)數(shù)據(jù)處理中斷,影響企業(yè)的日常運營。信息資產(chǎn)風(fēng)險面臨的主要問題是故障保護和保全,而在系統(tǒng)安全中,用戶識別和數(shù)據(jù)加密則是核心。系統(tǒng)將企業(yè)業(yè)務(wù)流程電子化、數(shù)據(jù)資料電子化、操作人員電子化,增加了無關(guān)人員訪問的可能性。需要采用用戶登錄密碼實現(xiàn)不相容職責(zé)分離,同時對數(shù)據(jù)資料進行加密,甚至在數(shù)據(jù)傳遞前將數(shù)據(jù)轉(zhuǎn)換為不可讀格式,以確保企業(yè)經(jīng)營資料的安全。
(2)控制人員風(fēng)險。
系統(tǒng)控制人員包括操作企業(yè)信息系統(tǒng)的操作人員和使用信息系統(tǒng)報告的管理人員。在企業(yè)信息化初期,由于操作人員對信息系統(tǒng)的不了解,錯誤的操作可能致使系統(tǒng)數(shù)據(jù)處理錯誤甚至丟失,無法生成正確的信息,為企業(yè)管理造成損失。而管理人員因不信任系統(tǒng)生成的信息,或因不理解系統(tǒng)處理流程造成錯誤使用信息,同樣會導(dǎo)致企業(yè)發(fā)生損失。但該項風(fēng)險可能會隨著系統(tǒng)使用期限的增長,控制人員的經(jīng)驗曲線效應(yīng)而逐步降低。此外,控制人員風(fēng)險還涉及對企業(yè)信息化內(nèi)部控制各方案的設(shè)計合理性和執(zhí)行有效性。如果企業(yè)對信息化后系統(tǒng)日常運行、權(quán)限管理、災(zāi)難恢復(fù)等沒有制定合理的內(nèi)部控制制度或者內(nèi)控執(zhí)行無效,即使再完備的系統(tǒng)也會導(dǎo)致風(fēng)險的發(fā)生。
(3)信息戰(zhàn)略風(fēng)險。
信息戰(zhàn)略風(fēng)險主要是指企業(yè)管理層做出了不恰當(dāng)?shù)钠髽I(yè)信息化戰(zhàn)略決策,致使企業(yè)信息化失敗造成損失或者信息化規(guī)劃不合理致使管理效率低下。所謂“企業(yè)不上信息化是等死,上了信息化是找死”,折射出企業(yè)對于信息化期盼與恐懼。信息化是未來企業(yè)發(fā)展的大趨勢,但企業(yè)經(jīng)歷信息化的過程,不僅是一項重大的投資,更是一個梳理企業(yè)現(xiàn)有業(yè)務(wù)流程和規(guī)劃未來業(yè)務(wù)流程的機遇。稍有不慎會導(dǎo)致企業(yè)信息化失敗或產(chǎn)生了信息孤島、重復(fù)建設(shè)的問題。
若管理層對企業(yè)業(yè)務(wù)不了解,盲目采用信息化,就會使企業(yè)的信息化陷入僵局,導(dǎo)致失敗。此外,若管理層對企業(yè)未來的信息化戰(zhàn)略缺乏規(guī)劃,會導(dǎo)致信息孤島或重復(fù)建設(shè)。企業(yè)在分階段實施信息化時,標(biāo)準不統(tǒng)一是導(dǎo)致信息孤島的根源。例如各系統(tǒng)間信息編碼的關(guān)鍵字不同,導(dǎo)致跨系統(tǒng)信息處理時,需要人工輔助轉(zhuǎn)換,增加了人力成本,降低了信息化的效率。
2.2信息化風(fēng)險的識別方法
(1)自身識別方法——頭腦風(fēng)暴法的應(yīng)用。
對于企業(yè)而言,信息化風(fēng)險的三個部分,即信息系統(tǒng)、控制人員和信息戰(zhàn)略,由上涉及企業(yè)的高管人員,自下涉及企業(yè)的普通員工,企業(yè)的全體人員都參與到了企業(yè)信息化的進程中,因此對于信息化風(fēng)險識別的方法首先可以采用集思廣益的頭腦風(fēng)暴法。
在實際應(yīng)用中可以將企業(yè)內(nèi)部各個部門設(shè)成集思小組,各部門的成員可以暢所欲言,通過自身在企業(yè)信息化進程中的工作,闡述自己對企業(yè)信息化應(yīng)用中風(fēng)險點的認識;再通過各部門內(nèi)部集體討論,形成一致決議上報上級部門。上級部門對下屬各部門的觀點進行總結(jié)提煉,完成對企業(yè)信息化風(fēng)險的識別。
普通員工通過操作信息系統(tǒng)可以發(fā)現(xiàn)信息系統(tǒng)中的風(fēng)險點;中層管理者,通過使用信息系統(tǒng)決策可以發(fā)現(xiàn)信息系統(tǒng)中的風(fēng)險點;高層管理者通過普通員工和中層管理者反饋的信息可以發(fā)現(xiàn)原定信息戰(zhàn)略的實現(xiàn)情況,并對于未來的信息戰(zhàn)略進行規(guī)劃。因此,采用頭腦風(fēng)暴法,保持順暢的信息溝通渠道,完成對企業(yè)信息化風(fēng)險的內(nèi)部識別。
(2)外部識別方法一德爾菲法的應(yīng)用。
企業(yè)自身員工對信息化風(fēng)險的識別往往只是從表象進行識別,如果要識別風(fēng)險的本質(zhì)還需借助專家意見。利用專家對于某領(lǐng)域的了解以及經(jīng)驗,可以更準確地把握企業(yè)信息化風(fēng)險點,專家通常會設(shè)計指標(biāo),量化風(fēng)險大小,其識別結(jié)果比企業(yè)員工的直觀認識更有針對性。
不同種類的風(fēng)險可以聘請專門領(lǐng)域的專家進行評估。針對企業(yè)信息化中的信息系統(tǒng)風(fēng)險,可以聘請注冊信息系統(tǒng)審計師(CISA)進行審計,注冊信息系統(tǒng)審計師關(guān)注企業(yè)信息系統(tǒng)的安全性、穩(wěn)定性和有效性,通過其審計的經(jīng)驗以及對系統(tǒng)的了解,可以有效識別出企業(yè)信息系統(tǒng)的風(fēng)險點;針對控制人員風(fēng)險,可以聘請人力資源管理師(HRP),通過考察企業(yè)的培訓(xùn)流程,跟蹤評價企業(yè)員工的學(xué)習(xí)能力來識別企業(yè)信息系統(tǒng)控制人員的風(fēng)險;針對信息戰(zhàn)略風(fēng)險,可以聘請戰(zhàn)略咨詢師,通過分析企業(yè)管理層制定信息戰(zhàn)略的過程以及制定依據(jù),管理層的知識水平和經(jīng)驗?zāi)芰ψR別企業(yè)信息戰(zhàn)略風(fēng)險。
在具體采用專家意見時,可以將每類專家分成專家小組,為了避免小組中專家意見受權(quán)威專家的影響,可以借助德爾菲法,即采用背對背的通信方式征詢專家小組成員的預(yù)測意見。企業(yè)可以聘請相關(guān)專家深入企業(yè)調(diào)研,然后采用函詢的方式征求各方面專家的意見,各專家在互不通氣的J隋況下,根據(jù)自己的觀點和方法進行分析,然后企業(yè)把各個專家的意見匯集在一起,通過不記名的方式反饋給各位專家,請他們參考別人的意見修正本人原來的判斷,如此反復(fù)多次與專家磋商確定最終的專家意見結(jié)果。
3 信息化風(fēng)險的評估模型構(gòu)建
風(fēng)險的評估是在識別出風(fēng)險的基礎(chǔ)上。通過系統(tǒng)的評估方法和評估指標(biāo),確定風(fēng)險發(fā)生的概率和可能損失的金額。只有經(jīng)過風(fēng)險評估后,才能確定企業(yè)所面臨的重大風(fēng)險,并針對重大風(fēng)險采取相應(yīng)的應(yīng)對措施。根據(jù)對企業(yè)信息化風(fēng)險的分類,本文采用層次分析法建立企業(yè)信息化風(fēng)險評估模型,信息化風(fēng)險的總目標(biāo)層如圖1所示。
圖1 信息化風(fēng)險總目標(biāo)層
3.1信息化風(fēng)險因素的識別
(1)信息系統(tǒng)風(fēng)險因素識別。
對于一般企業(yè)而言,信息系統(tǒng)的構(gòu)建通常是外聘專業(yè)的系統(tǒng)設(shè)計團隊來進行。那么對信息系統(tǒng)內(nèi)部缺陷的風(fēng)險程度的評估,外部因素可以評估系統(tǒng)設(shè)計團隊成員的專業(yè)勝任能力、成功經(jīng)驗、專長領(lǐng)域以及對企業(yè)業(yè)務(wù)流程和財務(wù)流程的理解程度,團隊與企業(yè)之間的溝通效果,系統(tǒng)設(shè)計進度安排;內(nèi)部因素可以評估系統(tǒng)的出錯頻率,例外報告,以及出錯后的修改質(zhì)量與效率。而信息系統(tǒng)的安全性則通過使用的防病毒軟件的廠商信譽,數(shù)據(jù)信息備份情況,信息系統(tǒng)災(zāi)難恢復(fù)能力,信息傳輸加密情況進行評估。
(2)控制人員風(fēng)險因素識別。
操作人員風(fēng)險因素的識別,控制人員風(fēng)險中的人員錯誤,無論是操作人員錯誤還是管理人員錯誤,可以通過培訓(xùn)的次數(shù),培訓(xùn)考試成績,結(jié)合人員的學(xué)歷水平,人員的信息安全意識,操作人員或管理人員的錯誤頻率等指標(biāo)進行評估。而管理制度的有效性,可用針對信息化的內(nèi)部控制范圍合理性,內(nèi)部控制流程完備性,違規(guī)操作或使用信息的情況,內(nèi)控的出錯頻率等指標(biāo)進行評估。
(3)信息戰(zhàn)略風(fēng)險因素識別。
信息戰(zhàn)略風(fēng)險無論是信息化失敗還是信息孤島或重復(fù)建設(shè),都是由于管理層的信息戰(zhàn)略規(guī)劃不合理,因此評估信息戰(zhàn)略風(fēng)險可以將信息化失敗和信息孤島或重復(fù)建設(shè)合并為一個問題進行。評估戰(zhàn)略風(fēng)險可以通過信息化戰(zhàn)略目標(biāo),管理人員自身風(fēng)險認識,可行性分析報告,信息化項目進度計劃,資金預(yù)算,資金監(jiān)控,信息化效果評估來完成。
3.2信息化風(fēng)險因素的評估
在對信息化風(fēng)險進行評估時,可以借用德爾菲法對層次分析法中的各影響因素權(quán)重進行打分,對不同層次的子問題權(quán)重進行打分,并綜合兩項打分結(jié)果計算各因素相對于總問題X的總權(quán)重,并在獲得權(quán)重的基礎(chǔ)上評估各影響因素的得分,乘以權(quán)重數(shù),計算企業(yè)信息化風(fēng)險得分(見圖2)。
圖2 信息化風(fēng)險評估圖
(1)對于各因素權(quán)重的打分。
在本文中所對各因素權(quán)重打分時,需要對所有因素進行兩兩比較,將比較的結(jié)果按重要性大小,用表1的得分形式予以量化,量化值越大,說明前一個因素相比后一個因素越重要。
將兩兩比較結(jié)果用判斷矩陣Y列出,便于計算各因素相對權(quán)重,其中uij表示第i個因素相對于第J個因素的重要性得分。
表1 因素權(quán)重分值表
(2)對于同層次各子問題權(quán)重的打分。
對不同層次各子問題權(quán)重的打分方法與對于各因素權(quán)重的打分方法相同,可以直接進行,只不過將兩兩因素之間打分替換成對同層次兩兩子問題之間打分。
(3)總權(quán)重的計算。
在本文中所運用層次分析法分析信息化風(fēng)險時,凡處于同一層次的所有子問題或子問題下屬因素,全部是不相關(guān)的,因此可以直接用最底層影響因素的自身權(quán)重乘以該因素所對應(yīng)上一層次子問題的權(quán)重。舉例:假設(shè)為評估信息化風(fēng)險X,根據(jù)德爾菲法對各層次問題進行評分,根據(jù)層次分析法分配權(quán)重(見圖3)。那么對于“數(shù)據(jù)備份”這一因素在企業(yè)信息化風(fēng)險中所占比重為30%×60%×20%=3.6%。
圖3 性息化風(fēng)險評分體系
(4)各影響因素得分及總得分的計算。
按照德爾菲法,參評專家按照其自身經(jīng)驗、企業(yè)的現(xiàn)狀以及行業(yè)的現(xiàn)狀綜合考慮,將影響企業(yè)信息化風(fēng)險的各因素予以評價,評價與對應(yīng)分值如表2所示。
表2 因素評價分值
將各因素得分乘以各因素占企業(yè)信息化風(fēng)險的總權(quán)重再相加,計算出企業(yè)信息化風(fēng)險的最終得分如圖3所示。
4 研究結(jié)論
4.1信息化風(fēng)險的分類
企業(yè)在實施信息化的過程中,起點是企業(yè)高層管理者的信息戰(zhàn)略,成果是企業(yè)構(gòu)建的信息系統(tǒng),再通過控制人員的日常使用反饋信息,以供高層管理者進行進一步的信息戰(zhàn)略決策。因此企業(yè)在進行信息化管理中,必然會受到“硬件條件”和“軟件條件”兩方面影響。從“硬件條件”而言,信息系統(tǒng)本身存在的錯誤或安全風(fēng)險是風(fēng)險因素之一;從容易被忽略的“軟件條件”而言,操作或管理人員的風(fēng)險亦是風(fēng)險因素之一。因此我們認為企業(yè)信息化過程中,信息化風(fēng)險是企業(yè)因為信息系統(tǒng)本身、系統(tǒng)操作人員和信息化戰(zhàn)略三方面的問題導(dǎo)致產(chǎn)生損失的可能性。
4.2信息化風(fēng)險評估模型
我們認為應(yīng)以信息化風(fēng)險三大分類為基礎(chǔ),再對每一個大類進一步細分,總結(jié)出風(fēng)險的具體影響因素,借助層次分析法構(gòu)建影響因素判定矩陣,計算各影響因素的分數(shù)和相對總風(fēng)險的權(quán)重,構(gòu)建企業(yè)信息化風(fēng)險評估模型,從而為企業(yè)對自身信息化風(fēng)險進行動態(tài)監(jiān)測提供借鑒。企業(yè)在治定了在特定情境下的界面聯(lián)結(jié)模式和企業(yè)能感知任務(wù)互依性的程度,并激發(fā)相應(yīng)的知識流動行為。
5 結(jié)束語
本文對基于知識流動的企業(yè)間界面組織設(shè)計進行了研究,得到的結(jié)論主要包括:①不同程度的相互依賴性導(dǎo)致企業(yè)間知識流動表現(xiàn)為不同行為,因此,企業(yè)應(yīng)該綜合企業(yè)間任務(wù)互依性和收益互依性來進行相互依賴性設(shè)計,以激發(fā)雙方相應(yīng)的知識流動行為;②不同的界面聯(lián)結(jié)模式提供了不同的工作情境,從而會引發(fā)企業(yè)對任務(wù)互依性不同程度的感知,進而影響企業(yè)間的知識流動行為;③不同形式的界面在空間是可以共存的,需要企業(yè)根據(jù)具體的任務(wù)情境進行相應(yīng)的界面組織設(shè)計,以改變企業(yè)對相互依賴性的感知,從而導(dǎo)致相應(yīng)的知識流動行為。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)ERP信息化風(fēng)險的識別與評估
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10819810475.html