企業信息化風險匯總十篇
時間:2023-03-13 11:02:11
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇企業信息化風險范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 08-0000-02
隨著信息時代的到來,越來越多的企業經營者已經認識到企業信息化的重要性。企業信息化可以在根本上改變企業的生存和競爭環境,對幫助企業改善內部管理效率,節約成本、提高競爭力等方面具有重要的作用。
目前,我國大型集團企業資金雄厚,管理相對完善,信息化基礎普遍較高。但受資本結構多元化,產業多樣化,以及外部市場環境約束多等方面的限制,在信息化規劃方面存在很多風險。如果不做好信息化規劃工作,就會帶來整個系統的不穩定及巨大的浪費。
一、集團企業信息化規劃中的風險
(一)與企業戰略脫節的風險
企業戰略是未來發展方向的關鍵要素,信息化的根本目的是支持業務戰略的實現,而IT戰略是IT規劃的總綱,它定義了信息化的使命、愿景和原則。集團企業熱衷于制訂企業的戰略,包括成長戰略、創新戰略、經營戰略等等,涵蓋了從內外部環境分析到目標及措施的描述,
在我國集團企業的信息化規劃實施中,最常見的情況就是沒有清晰定義的IT戰略,未能根據企業戰略同步調整信息化規劃,導致信息化規劃和企業發展戰略脫軌,僅僅在形式上給出了與業務戰略相一致的描述,但實際上對企業和電子政務戰略的有效支持自然無從談起,這種將信息化規劃與企業戰略人為剝離的做法,最終使企業信息化規劃IT戰略缺乏與業務戰略相結合。
甚至有一些集團企業盲目認為標桿企業的規劃就代表了信息化趨勢,因此在制訂信息化規劃時完全不顧自己的戰略方向,照抄標桿企業的信息化規劃方案,最終導致信息系統應用無法適應業務和技術的變化。
(二)缺乏專業信息化規劃的風險
目前,我國集團企業前身大多為老企業,其業務比較復雜,信息化建設起步晚,缺乏專業的信息化規劃部門,而直接將信息化規劃交給信息部門負責。企業中的信息部門做規劃時往往會將更多的精力放在技術問題的解決上,卻忽略企業戰略層面宏觀把握。同時企業缺乏既懂企業管理又懂信息技術的綜合性管理人才,給集團企業的信息化規劃造成了一定程度的風險。
也有很多集團企業將信息化規劃工作直接委托咨詢公司,咨詢公司牽頭的規劃雖有成熟方法和豐富經驗,但也存在很多缺陷。由咨詢公司進行的企業信息化規劃往往和企業出現水土不服的現象,其根結在于咨詢公司不易深入企業的實際運作,無法把握癥結所在,導致其制訂的信息化規劃只能從宏觀上把握正確方向,卻無法與企業實際相結合。
(三)缺乏整體性和統一性的風險
目前,我國集團企業的信息化規劃大多僅限于操作層面和單項應用上,由多業務模塊組成的集團企業,由于各子公司的信息化應用水平參差不齊,需求和建設重點也各不相同,缺乏企業信息化發展的整體性和統一性。作為集團層面的信息化規劃很容易忽略集團與子公司,子公司之間互通的整體網絡及系統平臺規劃,從而陷入業務模塊各行其是的誤區。
集團企業的統一信息系統平臺的目標是要整合企業信息資源和應用,建立企業的信息基礎平臺和架構,從而加強企業操作層的應用系統的系統性、管理層的集約性、決策的可控性。如果集團企業層面不能有效地實現在統一的信息系統平臺上監管各分、子公司和項目部,那么集團企業的信息化規劃將成為空談。
(四)信息技術選擇的風險
信息技術選擇風險是導致信息化規劃失敗的重要原因之一。在做信息化規劃時,集團企業大多受市場最低價格中標的思維定勢影響,恪守“少花錢,多辦事”的原則,在軟件選型、硬件選型,機房建設到網絡平臺建設等方面均走低端路線,這是直接導致信息化規劃失敗的原因。一方面,信息技術發展日新月異,盲目追求廉價產品只會導致系統和設備加快被淘汰的速度,增加了企業再次投資的成本;另一方面,作為集團企業的統一信息管理平臺,其數據庫平臺至關重要,一旦發生軟件或者硬件上的泄密,后果不堪設想。因此,最佳的信息技術選擇是要與業務需求相匹配,有效控制成本。
IT管制體系的建設和優化對于集團企業的信息化規劃也非常重要,往往被企業所忽略。集團企業的信息化建設工作并不是系統上線就結束,更多的工作在于系統的推廣、維護和優化。信息系統的風險會隨著企業對信息化應用的不斷深入,以及企業對信息化依賴加強的同時逐漸暴露,如信息安全的隱患、系統故障給業務帶來的影響等等。
二、解決集團企業信息化規劃風險的對策
(一)結合企業戰略制定信息化規劃
信息化規劃是以企業戰略為指針,順利推進集團企業信息化規劃要與企業的戰略規劃結合起來。集團企業的信息化規劃應橫向緊密結合企業內部管理、經營活動管理和工程項目管理三大塊內容。同時,企業信息化是一個漸進的過程,在信息化的過程中也伴隨著企業戰略、管理和業務變革的過程。
結合企業戰略制定信息化規劃需要研究集團企業的發展戰略,包括其品牌措施、經營戰略人才戰略、創新機制等,并對信息化戰略的制訂進行指導;切實做好企業信息化基礎設施的調查工作,從硬件、網絡、安全、人員、技術、資金、制度等方面入手,分析企業內部管理、經營活動管理和工程項目管理三大塊內容對信息系統的依賴程度,并確定最適合企業實際需要的基礎數據、業務需求等;對企業行業發展趨勢及最新的信息技術、產品進行全面了解,根據企業信息化戰略規劃所描繪出的藍圖中各種業務與技術標準,選擇最適合集團企業實際情況的信息化技術。
(二)成立專門的信息化規劃部門
我國的集團企業在信息化規劃上應逐步擺脫對信息部門或咨詢公司的依賴,在企業內部成立專門的信息化規劃部門。信息化規劃部門以集團總經理為中心,以集團各業務部門負責人為主要成員,他們熟悉集團以及各分子公司的職能戰略,并能在方向上把握集團層面的信息化戰略、規劃和預算,因此可以對企業流程進行深入剖析,直接參與制訂信息化規劃,同時負責協調規劃制訂過程中管理層與業務層、集團與各子公司之間等各方面關系;集團企業的信息化規劃部門要不斷通過課堂、網絡培訓、以及大型項目鍛煉等方式,培養既懂信息技術又懂建筑業管理的人才,為集團企業的信息化規劃提供人員技術保障。
(三)通過業務整合完成整體規劃
集團型建筑業企業的信息化規劃目的就是要消除信息孤島,使信息系統在集團統一的框架下進行科學的管理、設計與實施,不可避免的需要對業務流程進行整合,包括重組和優化。受傳統工作方式及觀念影響深,加上信息化管理在建筑企業短期內看不到效益,進行業務整合、消除割裂,必然會受到重重阻力。應堅定以經營管理為方向,以企業內部管理為信息存儲中心,推動集團與各分、子公司及工程項目部打破組織壁壘,提升供應鏈中所有組織的績效水平,達到整體規劃目的。
(四)結合企業實際特點進行規劃
集團企業在做信息化規劃時,要對知名度較高、較為成熟的軟件商進行考察,對軟件的硬件運行環境進行全面了解,并結合集團企業和行業的特點對軟件商提出測試和現場演示的要求。保證每種業務模式的動態數據都能實現實時傳輸、實時監控和預警管理。這些都需要由企業結合本企業的實際特點,培養的專業技術人員,在做好信息化規劃工作。
三、結語
對集團企業來說,信息化建設是企業登上國際舞臺的必由之路。目前,我國集團企業整體信息化水平較低,信息化規劃的重要性還未引起足夠重視。集團企業應遵循科學的方法,成立專門的信息化規劃部門,結合企業戰略制定信息化規劃和企業實際特點,通過業務整合完成整體規劃制定企業長期、中期、近期信息化戰略,合理規避信息化規劃中的風險,有效保證規劃的落地、實施。
參考文獻:
[1]高穎.建筑施工企業信息化建設與管理方案探析[J].科教新報(教育科研),2011,40
[2]何強.煤礦企業信息化建設中存在問題的思考及對策[J].煤炭技術,2008,7
篇(2)
引言
企業信息化是一項復雜的系統工程,在企業信息化過程中存在諸多的不確定風險因素,這些因素往往導致信息化偏離預定目標,使得在企業信息化建設中,系統有的設計不良,信息不準確,有的交付后沒有使用或使用很少,有的超過預算并嚴重拖延工期,甚至造成項目失敗。據統計,在實施信息化的企業當中,對其效果感到滿意的企業僅占總數的6%,較滿意的企業占52%,不滿意的企業占26%。因此,如何有效治理企業信息化風險,保證企業信息化的成功實施,保護企業投資并使企業獲得價值提升,是國內外理論界和實務界要解決的重要課題。本文意在分析企業信息化的風險特征和成因,為企業信息化風險防范提供對策,以促進企業信息化建設的成功和戰略目標的實現。
一、企業信息化風險及其特征
1.企業信息化風險
風險是在追求利益過程中出現的與利益相背離的價值取向,是可能影響組織目標實現的事件發生的不確定性,是一種遭受損失的可能性,是一種介于確定性和不確定性之間、無知和完整知識之間的狀態。企業信息化風險是指企業在實行信息化項目過程中,由于外部環境和信息本身的原因,使得企業不能有效地保護自身重要信息或不能充分地獲取、利用外部信息或影響了企業內外部信息的傳遞、交流等,以至造成企業難以確保其所擁有的信息的完整性、安全性、真實性、及時性和有效性,進而對企業的正常經營活動帶來危險,甚至可能對企業實現其目標或成功實施其戰略的能力產生負面的影響,使企業遭受損失。現階段企業信息化建設已經從單項應用發展到綜合應用,從技術推動發展到變革推動,從戰術層面發展到戰略層面,這一系列的轉變會遭遇信息化過程中各個階段的風險問題。
2.企業信息化項目的風險特征
信息化項目是通過技術應用、需求實現、信息加工、流程優化、業務變革、管理創新等要素的緊密互動、協同作用,不斷提高社會、政府、企業或個人的工作、生活的效率和水平,從而促進社會生產力和現代化發展的過程,存在復雜、復合、涉及面廣、周期長、有形和無形同在的個性化特點,比一般工程項目管理要更為困難和艱巨,項目風險管理有以下特征。
(1)項目規劃階段的風險特征
信息化項目規劃階段主要是根據企業目標制定企業信息化戰略規劃,確定企業信息化的預期目標。通過多視角對企業的經營、技術、業務進行分析,進行信息化的總體設計和規劃,選擇合適的技術方案,通過建立合適的IT組織結構,加強溝通和管理機制,為信息化的實施選擇和配備合理的人員和項目進度計劃安排,以保證信息化的順利實施。在信息化項目規劃時,如果決策層不能對項目風險進行冷靜科學地分析,并對決策方案作出合理選擇,會對后期項目的實施和應用造成不利影響,甚至會因先天不足導致項目推進失敗。
(2)項目實施階段的風險特征
根據國際上通行的項目實施方法論,一個綜合性的重大信息化項目的實施,通常包括資源準備、現狀分析、藍圖設計、系統開發配置、系統上線、成果評估驗收等幾個環節。每個環節都有明確的任務和交付件,并作為下一環節工作的基礎。項目實施階段的風險,一是取決于規劃階段是否準確預見了項目的風險,并采取了有效規避風險的決策方案;二是項目實施過程會涉及到組織、權限和流程的重新調整,極有可能會面臨來自主、客觀方面的各種阻力和挑戰,如果因認識不當、組織不嚴、領導不力、資源不足而盲目推進,會導致項目延誤甚至失敗。
(3)項目應用階段的風險特征
信息化項目完成實施并進入應用階段后,風險并沒有完全解除,還存在影響信息化建設成果能否發揮實際功效的潛在風險,具體表現在:一是因為實施階段不能按預期目標高質量地完成項目實施任務而存在各種隱患,導致項目存在使用問題的風險,比如,因系統測試不深入、配置不完整、初始化不準確或者項目組織和功能調整不到位而使系統不能有效應用的風險;二是因為系統運行環境和支持保障體系的不健全而導致項目成果不能安全、持續、正常的應用風險,比如,因不能向客戶提供滿意的使用培訓,不能有效應對黑客和病毒對系統的攻擊,不能及時解決系統運行中面臨的技術故障等問題使項目應用效果大受影響。
二、企業信息化風險因子分析
1.項目規劃階段的風險因子分析
企業信息化項目規劃階段是企業信息化中的一個至關重要的階段,為企業信息化的實施明確方向和目標,通過企業信息化規劃和組織,制定總體戰略規劃,確定信息技術結構,選擇信息技術方案,管理企業信息化投資預算,設立信息化組織架構,合理安排人力資源,制定企業信息化的進度計劃,建立有效的溝通機制和質量保證體系。本階段的基本風險可以從技術、經濟、管理、企業的戰略方針、內外部經營環境等方面來識別,主要包括以下風險因子:(1)項目需求分析的風險;(2)環境與資源支持度的風險;(3)開發方式與項目方選擇的風險;(4)項目合同的風險;(5)項目建設組織的風險。
2.項目實施階段的風險因子分析
項目實施階段要確保企業需求的一致性,按計劃獲取信息化所需的軟硬件資源,通過自行開發或外包的方式獲得滿足企業需求的應用系統,在用戶的積極參與下,進行相關的功能和性能測試,并完成整個系統的安裝、調試和授權。本階段的基本風險可以從管理變革、項目進度、成本和質量等方面來識別,主要包括以下風險因子:(1)項目質量控制的風險;(2)項目進度與成本控制的風險;(3)項目相關工作規范化與標準化的風險;(4)項目組成員流失風險因子;(5)項目文檔管理的風險。
3.項目應用階段的風險因子分析
在項目應用階段,信息化被交付使用,通過對用戶進行相關的培訓,并在用戶使用期間為用戶提供相應的技術支持,保證系統的正常運作、服務連續性和系統安全。本階段的基本風險可以從系統性能、系統安全、系統維護與管理等方面來識別,主要包括以下風險因子:(1)需求膨脹的風險;(2)項目應用人員管理的風險;(3)對項目平臺/環境/方法不熟悉的風險;(4)工作量估計不準確的風險;(5)缺乏高層管理者的承諾和支持的風險;(6)系統安全的風險。
三、企業信息化風險的防范對策
企業信息化的整體推進過程中,會不可避免地遇到風險問題,它的產生會令企業蒙受巨大的災難和損失,應該重視信息化風險問題的存并做好充分的防范對策。
1.信息化要以企業需求為導向,明確信息化的戰略規劃
從企業的經營戰略、體制、技術、管理、人力資源、行業環境等方面,對企業進行全面的自我診斷,確定本企業信息化建設的關鍵需求,并確立明確的目標。企業處在不同的行業,不同的發展階段和其規模的大小,對信息化的需求就不盡相同[5]。企業信息化包括四個方面的內容,分別是生產作業層的信息化、管理辦公層的信息化、戰略決策層的信息化、協作商務層的信息化,其中,前三者則是基于企業內部的,協作商務層是基于企業與外部聯系的。企業在進行信息化規劃時,對信息化的建設應該做出先后安排,先解決企業的瓶頸問題。原則上,信息化應該自上而下,由里到外,因為這樣數據才取自于源頭,真實、有效。
2.加強企業信息部門建設,認真做好情報收集工作
信息時代的到來要求企業有能力在變化莫測的市場中掌握充分的市場信息,以力求決策的準確性,避免缺乏相關的市場信息而導致決策的失誤。企業要想擺脫信息不完全或不對稱帶來的損失,必須在成本許可的范圍內,努力獲取和掌握企業所需的信息,而要做到這些就必須重視信息情報工作。企業可以組建自己的情報部門,也可以借助于專業性的商業情報機構,來幫助企業獲取有利于自己的重要信息,以減少環境中的不確定因素,使決策更準確,更有相對性。
3.建立健全信息化項目評估體系,提高投資效益和效果
企業投入大量資金要上信息化項目,能否達到預期效果、實施結果如何,就需要對項目的實施績效進行評估。這是企業考核項目建設和經營業績必需的手段。企業信息化實施效益的評估的主要是從定性和定量角度,對信息化建設帶來的直接與間接效益、短期與長期收益進行評估,以提高投資效益和效果,有利于發現信息化中的風險,以避免風險而帶來的市場動蕩。
4.提高企業員工對信息化的認識,主動適應管理環境的變化
企業從上至下對于信息化的認識上的缺失和偏差,是信息化建設中關鍵的風險和阻礙。信息化不光是技術上的、硬件上的,更多是軟件和管理層次的,信息技術可以促進企業經營管理技術的變革,促進企業管理的創新。企業在信息化推進的進程中來自管理觀念、工作習慣、利益分配、企業文化等方面的脫胎換骨的變化,對習慣于傳統管理方式的領導和員工造成強烈的沖擊和反差,如果不主動接受、適應并調整,會出現管理混亂,效益低下,使信息化流于形式。企業要努力提高全體員工對企業信息化管理的認識,要學會適應管理環境的新變化,打破原有的、已固化的思維方式,在思想上首先接納信息化的管理模式,并改變自己的行為方式,通過科學的信息化管理工具,使企業的經營和管理水平上一個臺階。
四、結束語
企業的信息化建設,伴隨著管理模式的深刻變革,是一個漸進的、動態的增效過程,風險與收益始終伴隨著企業。只有充分學習和加強認識,準確識別風險的來源,通過采取有效的風險防范措施,最大限度的降低風險,發揮系統的整體效益,才能促進企業信息化的目標實現。
參考文獻:
[1]陳 亮 王 燕:企業信息化實施過程中的風險及其防范[J].現代情報,2006,26(9):175~178
[2]Gary StoneBurner, Risk Management Guide for Information Technology Systems, National Institute of Standards and Technology, 2002
篇(3)
中小企業在我國經濟構成中占有十分重要的地位,占全部企業總數的99%以上,占國內生產總值的50%。與大型企業乃至世界先進工業國家的中小企業相比,我國中小企業普遍存在著人才缺乏、資金短缺、技術落后、信息滯后、管理水平低和協同能力差等一系列問題。從企業發展而言,沒有信息化的企業是不可能在未來的競爭中生存下來的。所以,即使是本已“捉襟見肘”的中小企業,也一定要在信息化中保留一定的投入,以保證企業未來的發展。如何有效地認識并規避信息化中的風險,用好有限的資金,發揮最大的效益,無疑是中小企業在信息化進程中最關心的話題。
一、中小企業信息化的主要風險
(一)來自于企業信息化建設中的動機風險
有些企業僅僅增加與信息化建設相關的少量設備,就向外宣傳已經實現信息化,但是生產經營效率并未提高。中小企業更多是民營企業,經濟實力比較弱,不像大企業有計劃有預算地實施信息化,對信息化的理解不是很深入,為了信息化而信息化。實施信息化的動機本身就是對“信息化”的曲解,必然不可能從根本上提升管理水平,促進戰略目標的實現,根據這樣的動機來實施信息化,其風險性非常大。
(二)來自于信息化建設中的觀念和認識的風險
企業領導往往關注的是如何把資金用于信息化基礎設施建設方面,而很少去關注信息化建設中潛在的觀念意識與管理等軟件方面的問題。很多中小企業認為信息化就是買機器、建網或開發幾個應用軟件,是IT部門的事。中小企業對信息化的認識不足,表現在:對信息化認識過于簡單化;對信息化項目的實施抱以過高的期望;把信息化等同于技術改造;對實施信息化存在不切合實際的想法,認為信息化可以解決一切問題,信息系統可以代替企業家和管理人員等等。這些觀念方面的差異,使潛在風險存在于項目建設和實施中,很難規避。
(三)來自于信息化管理中的組織與人員的風險
中小企業很難找到一批IT業的高級人才,專職的IT人員薪水又較高,且往往需要更大的空間學習和交流,中小企業本身提供的環境可能留不住這些人才,人才的匱乏引發的項目支持風險,勢必會影響信息化實施的進程和效果。在組織的建設與管理中,企業自身的基礎管理的規范化程度,對管理瓶頸問題的識別,管理人員的素質等等,都是影響信息化成敗的關鍵。信息化風險就是企業轉型的風險,或者說企業面對新時代、新環境的適應性風險。
二、中小企業如何規避信息化中潛在的風險
(一)信息化要以企業需求為導向
作為中小企業,能夠投入信息化建設的資金肯定不會太多,因此要考慮怎樣“少花錢、多辦事”。首先應從企業內部需求著手,即從企業的經營戰略、體制、技術、管理、人力資源、行業環境等方面,對企業進行全面的自我診斷,確定本企業信息化建設的關鍵需求,并確立明確的目標。不同行業的企業,不同發展階段的企業,不同發展規模的企業,對信息化的需求就不盡相同。如信息化基礎較差的中小企業,可考慮先進行企業基礎工作的信息化,如實施OA,財務電算化、產品輔助設計和人力資源管理系統等,切忌貪大求全求新。而對于信息化基礎較好的企業,應根據企業實際需求適時選擇管理軟件,優先解決企業發展的“瓶頸”問題,然后打通上下游,從單一職能的信息化到多職能的信息化,如計算機輔助制造、財務管理到ERP、CRM等的應用,循序漸進,以提高企業管理水平和發展能力,增強企業的競爭力。要著眼于應用,認真分析企業現狀及最迫切需要解決的問題,制訂科學合理的信息化目標,選擇適宜的實施路線,科學、合理地安排實施計劃。
(二)提高全體員工對企業信息化管理的認識,主動適應管理環境的新變化
企業從上至下對于信息化的認識上的缺失和偏差,是信息化建設中關鍵的風險和阻礙。信息化不光是技術上的、硬件上的,更多是軟件和管理層次的,信息技術可以促進企業經營管理技術的變革,促進企業管理的創新。企業在信息化推進的進程中來自管理觀念、工作習慣、利益分配、企業文化等方面的脫胎換骨的變化,對習慣于傳統管理方式的領導和員工造成強烈的沖擊和反差,如果不主動接受、適應并調整,會出現管理混亂,效益低下,使信息化流于形式。企業管理的制度和流程上的重大變革,管理理念的本質的變化,會影響到企業中每一位員工。中小企業要努力提高全體員工對企業信息化管理的認識,要學會適應管理環境的新變化,打破原有的、已固化的思維方式,在思想上首先接納信息化的管理模式,并改變自己的行為方式,通過科學的信息化管理工具,使企業的經營和管理水平上一個臺階。
(三)建立和完善健全的管理制度并有效地執行
企業管理制度的深刻變革和管理模式的再造是企業信息化建設的本質。企業管理制度的建立、改進、完善和實施是信息化管理模型設計、構建、修改、優化的基礎。有了好的管理模型,只通過信息化的管理手段還不能實現真正意義上的企業信息化,健全的管理制度才是企業信息化管理模型重塑和有效運轉的根本保證。同時,還必須堅定不移地執行,才可能適應瞬息萬變的市場。信息化建設通過企業基礎數據的信息化、企業基本業務流程和事務處理的信息化、企業內部控制及實施控制過程的信息化、人的行為規范管理等企業基礎管理信息化工程,確保企業在規模不斷擴大和業務迅速發展的過程中保持堅實的管理基礎,促進企業的可持續發展。
(四)實施信息化的過程就是一個全員學習的過程
企業信息化強調的不僅是計算機軟硬件,更強調人、管理、技術之間的有機集成。其中“人”是第一位的因素,而處于主導地位的企業領導決策層首先要加強自身的學習,了解管理科學與信息技術的最新發展,對信息化給予正確理解和足夠重視。只有中小企業的管理層、決策層掌握了先進的信息化理念和知識,才能順利推進中小企業信息化進程。同時應高瞻遠矚,敢于投入,引進一定數量的信息技術骨干人才,培養企業自己的信息化人才。
企業信息化關鍵的資源是人,開發這一資源的手段是學習和教育,建立學習型組織是知識經濟時代提高企業應變能力最重要的途徑。企業要營造一個良好的學習環境,建立一個有效的學習機制。企業領導、專業技術人員和員工都要通過學習改變傳統管理觀念和習慣,適應新的工作方式和業務流程。在信息化項目啟動前,借助第三方咨詢機構,對上至董事長、總經理,下至普通員工就信息化的意義、必要性、基本知識技能、預期效果等進行全員培訓,以盡快形成全體員工對信息化建設總體思路、步驟等的共識,明確自己所應擔當的角色和發揮的作用,增強員工參與度、積極性和創造性,克服阻力,提高項目成功率。
中小企業的信息化建設是一個漸進的、動態的增效過程,風險與收益始終伴隨著企業。只有充分學習和加強認識,了解其中隱含的風險,有的放矢地對企業的職能組織結構、業務流程中存在的問題進行有效改良,并借助信息技術的平臺,通過完備健全的管理制度和優良的人力資源的協調,發揮系統的整體效益,才能實現中小企業的信息化目標。
參考文獻:
[1]鄭會頌.企業信息化與信息系統[M].北京:人民郵電出版社.2003.
[2]金淀.中小企業信息化建設的問題與對策[J].企業研究.2005(1).
篇(4)
企業信息化作為推動和實現企業體制創新、技術創新、管理創新,增強企業核心競爭力的重要手段和必由之路,已為我國許多企業普遍認同,并成為他們的戰略選擇。同時企業信息化又是一場高風險的管理革命,據統計,在企業信息化的實施項目中,只有15%左右能按期按預算成本進行項目實施和系統集成;約一半的項目會在實施中流產或失敗。
中小企業在我國經濟構成中占有十分重要的地位,占全部企業總數的99%以上,占國內生產總值的50%。與大型企業乃至世界先進工業國家的中小企業相比,我國中小企業普遍存在著人才缺乏、資金短缺、技術落后、信息滯后、管理水平低和協同能力差等一系列問題。從企業發展而言,沒有信息化的企業是不可能在未來的競爭中生存下來的。所以,即使是本已“捉襟見肘”的中小企業,也一定要在信息化中保留一定的投入,以保證企業未來的發展。如何有效地認識并規避信息化中的風險,用好有限的資金,發揮最大的效益,無疑是中小企業在信息化進程中最關心的話題。
一、中小企業信息化的主要風險
1.來自于企業信息化建設中的動機風險
目前存在一種現象,就是企業僅僅增加信息化建設的相關設備,企業就向外宣傳企業已經實現了信息化,而不能真正地提高生產經營效率。很多中小企業實施“信息化”的目的并不是為了用信息化提升管理水平、提升企業的核心競爭能力,而是為了打造所謂的“領導工程”和“面子工程”;或是迫于行政或輿論壓力;或是盲目跟風和攀比。中小企業經濟實力比較弱,更多是民營企業,不像大企業有計劃有預算地實施信息化,特別是在對信息化的理解不是很深入的情況下,很多是為了信息化而信息化。這些實施信息化的動機本身就是對“信息化”的曲解,必然不可能從根本上提升管理水平,促進戰略目標的實現,根據這樣的動機來實施信息化,其風險性非常大。
2.來自于信息化建設中的觀念和認識的風險
在信息化建設中,企業領導往往關注的是如何把投資用于信息化基礎設施和購買軟、硬件產品等,而很少去關心信息化建設中所潛在的來自于企業的觀念意識與管理等軟件方面的問題。很多中小企業認為信息化就是買機器、建網或開發幾個應用軟件,信息化是IT部門的事。中小企業對信息化的認識不足,表現在:對信息化認識過于簡單化;對信息化項目的實施抱以過高的期望;把信息化等同于技術改造;對實施信息化存在不切合實際的想法,認為信息化可以解決一切問題,信息系統可以代替企業家和管理人員等等。觀念導向方面的差異直接影響了企業各個層面對于信息化應用的接受程度,在項目的建設和實施中形成一項關鍵的潛在風險。
3.來自于信息化管理中的組織與人員的風險
中小企業信息化建設首先面臨的就是人才問題。中小企業很難找到一批IT業的高級人才,專職的IT人員薪水又較高,且往往需要更大的空間學習和交流,中小企業本身提供的環境可能留不住這些人才,人才的匱乏引發的項目支持風險,勢必會影響信息化實施的進程和效果。在組織的建設與管理中,企業自身的基礎管理的規范化程度,對管理瓶頸問題的識別,管理人員的素質等等,都是影響信息化成敗的關鍵。信息化會帶來企業流程、管理制度的變革,難免會導致組織結構的調整,影響到部分人員的利益。這些都會給信息化帶來阻力和風險。信息化風險就是企業轉型的風險,或者說企業面對新時代、新環境的適應性風險。
二、中小企業如何規避信息化中潛在的風險
1.信息化要以企業需求為導向
作為中小企業,能夠投入信息化建設的資金肯定不會太多,因此要考慮怎樣“少花錢、多辦事”。首先應從企業內部需求著手,即從企業的經營戰略、體制、技術、管理、人力資源、行業環境等方面,對企業進行全面的自我診斷,確定本企業信息化建設的關鍵需求,并確立明確的目標。企業處在不同的行業,不同的發展階段和其規模的大小,對信息化的需求就不盡相同。如信息化基礎較差的中小企業,可考慮先進行企業基礎工作的信息化,如實施OA,財務電算化、產品輔助設計和人力資源管理系統等,切忌貪大求全求新。而對于信息化基礎較好的企業,應根據企業實際需求適時選擇管理軟件,優先解決企業發展的“瓶頸”問題,然后打通上下游,從單一職能的信息化到多職能的信息化,如計算機輔助制造、財務管理到ERP、CRM等的應用,循序漸進,以提高企業管理水平和發展能力,增強企業的競爭力。
中小企業在由傳統管理企業向信息企業轉變的過程中,不能為了信息化而搞信息化,要著眼于應用,以企業的實際需求為導向,認真分析企業現狀及最迫切需要解決的問題,來制訂科學合理的信息化目標,選擇適宜的實施路線,科學、合理地安排實施計劃。
2.提高全體員工對企業信息化管理的認識,主動適應管理環境的新變化
企業從上至下對于信息化的認識上的缺失和偏差,是信息化建設中關鍵的風險和阻礙。信息化不光是技術上的、硬件上的,更多是軟件和管理層次的,信息技術可以促進企業經營管理技術的變革,促進企業管理的創新。
企業在信息化推進的進程中來自管理觀念、工作習慣、利益分配、企業文化等方面的脫胎換骨的變化,對習慣于傳統管理方式的領導和員工造成強烈的沖擊和反差,如果不主動接受、適應并調整,會出現管理混亂,效益低下,使信息化流于形式。企業管理的制度和流程上的重大變革,管理理念的本質的變化,會影響到企業中每一位員工。中小企業要努力提高全體員工對企業信息化管理的認識,要學會適應管理環境的新變化,打破原有的、已固化的思維方式,在思想上首先接納信息化的管理模式,并改變自己的行為方式,通過科學的信息化管理工具,使企業的經營和管理水平上一個臺階。
3.建立和完善健全的管理制度并有效地執行
企業管理制度的深刻變革和管理模式的再造是企業信息化建設的本質。企業管理制度的建立、改進、完善和實施是信息化管理模型設計、構建、修改、優化的基礎。有了好的管理模型,只通過信息化的管理手段還不能實現真正意義上的企業信息化,健全的管理制度才是企業信息化管理模型重塑和有效運轉的根本保證。同時,有了好的管理制度,還必須堅定不移地執行,而且還要通過管理模型的建立納入企業信息化軌道,才可能適應瞬息萬變的市場。
信息化建設通過企業基礎數據的信息化、企業基本業務流程和事務處理的信息化、企業內部控制及實施控制過程的信息化、人的行為規范管理等企業基礎管理信息化工程,確保企業在規模不斷擴大和業務迅速發展的過程中保持堅實的管理基礎,促進企業的可持續發展。
4.實施信息化的過程就是一個全員學習的過程
企業信息化強調的不僅是計算機軟硬件,更強調人、管理、技術之間的有機集成。其中“人”是第一位的因素,而處于主導地位的企業領導決策層首先要加強自身的學習,了解管理科學與信息技術的最新發展,對信息化給予正確理解和足夠重視。只有中小企業的管理層、決策層掌握了先進的信息化理念和知識,才能順利推進中小企業信息化進程。同時應高瞻遠矚,充分認識到人才資源是企業發展的最重要的資源,敢于投入,引進一定數量的信息技術骨干人才,同時在實施過程中要對員工進行信息化方面的培訓,培養企業自己的信息化人才。
企業信息化關鍵的資源是人,開發這一資源的手段是學習和教育,建立學習型組織是知識經濟時代提高企業應變能力最重要的途徑。企業要營造一個良好的學習環境,建立一個有效的學習機制。企業領導、專業技術人員和員工都要通過學習改變傳統管理觀念和習慣,適應新的工作方式和業務流程。在信息化項目啟動前,借助第三方咨詢機構,對上至董事長、總經理,下至普通員工就信息化的意義、必要性、基本知識技能、預期效果等進行全員培訓,以盡快形成全體員工對信息化建設總體思路、步驟等的共識,明確自己所應擔當的角色和發揮的作用,增強員工參與度、積極性和創造性,克服阻力,提高項目成功率。
中小企業的信息化建設是一個漸進的、動態的增效過程,風險與收益始終伴隨著企業。只有充分學習和加強認識,了解其中隱含的風險,有的放矢地對企業的職能組織結構、業務流程中存在的問題進行有效改良,并借助信息技術的平臺,通過完備健全的管理制度和優良的人力資源的協調,發揮系統的整體效益,才能促進企業信息化的目標實現。
主要參考文獻
[1]鄭會頌.企業信息化與信息系統[M].北京:人民郵電出版社,2003.
[2]金淀.中小企業信息化建設的問題與對策[J].企業研究,2005,(1):70-72.
篇(5)
中圖分類號:TP39 文獻標識碼:A 文章編號:1007-9599 (2012) 11-0000-02
一、鋼鐵企業信息化的必要性
隨著我國經濟的發展和科技的進步,信息化已在越來越多的企業中被得到應用,而鋼鐵企業作為我國的經濟支柱之一,在近年來也逐漸實現了鋼鐵企業的信息化建設。在鋼鐵企業中實施信息化建設,一方面是可以將鋼鐵企業的發展空間擴大,提高企業本身的在市場的競爭力,使其在如今競爭激勵的市場中占有一席之地,對鋼鐵企業實施信息化建設是企業發展的需要;另一方面,由于鋼鐵企業的業務,其所涉及到數據、文檔和圖紙等的數量都是比較多的,想要將這些數據、文檔和圖紙儲存起來是一件不容易的事,操作起來比較復雜,而通過信息化技術的支持則可以大大的簡化了這個儲存操作的過程,便于人員進行操作,使鋼鐵企業的運行效率得到大大的提高,對鋼鐵企業實施信息化建設是企業管理的需要。除此之外,隨著生產鏈全球化和供應鏈全球化的日益緊密,鋼鐵企業作為我國的經濟支柱之一,要求其利用信息化管理加強對鋼鐵生產建設的指導的迫切性已是越來越突出。因此,對鋼鐵企業實施信息化建設是非常有必要的,它不僅僅是鋼鐵企業本身發展的需要,也是鋼鐵企業管理的需要,同時也還是生產鏈全球化和供應鏈全球化對鋼鐵企業生產的要求所在。
二、鋼鐵企業信息化存在的風險
(一)風險的特點
1.風險具有可預測性
風險具有可預測性是指人們可以對以往所發生的一些相類似的事件進行統計,并對統計資料進行分析,對某種風險可能發生的概率和一旦發生風險將會造成的損失的大小進行判斷,繼而對當前可能存在的風險進行風險預測、風險衡量及風險評估。
2.風險具有客觀性
風險具有客觀性是指風險是現實事物中客觀存在的,不會因為人的意志而發生轉移。風險的發生是有不確定性因素存在的,即使人們確定了這些不確定因素,不管項目的主體是否對風險的存在有意識,風險在特定的環境和條件下依然有可能會出現。因此,想要將項目的風險減少或避免,就必須先找出可能致使項目出現風險的因素,繼而對它進行有效地管理和控制。
3.風險具有多變性
風險具有多變性是指風險不會按照特定的模式出現,它是隨著發生的環境、發生的條件及發生的時間的不同而改變的。人們所處的世界,是復雜的也是多變的,而人類的能力卻是有限的,不可能對風險的變化規律做到完全的掌握和控制。同時,也由于客觀條件的變化是不斷進行的,使得風險的不確定性也在不斷的發生變化,就這一點而言,風險是伴隨著各種不確定性而不斷發生變化的,因此,我們說風險具有多變性。
4.風險具有相關性
風險具有相關性指的是人們所面臨的風險同造成風險出現的行為及決策是分不開的,相同的風險對于不同的行為者而言,所產生的風險結果可能是不相同的,即使是同一行為者,由于決策的不同和措施的不同,所產生的風險結果也可能是不相同的。
5.風險具有潛在性
所謂的風險具有潛在性,指的是風險是無時無刻都會存在的,然而這也只是指人們在任何時候、任何地方都可能會遭受到風險,想要將可能存在的變為現實出現的還是需要有一定的條件的。
6.風險具有可控性
人們只需要通過對可能存在的風險進行分析,并采取一定的方法和措施就能夠對風險進行控制和管理,將風險出現的概率減少,將風險帶來的一切損失減輕,所以,我們說風險具有可控性。
(二)鋼鐵企業信息化存在的風險
1.鋼鐵企業信息化缺乏完整的信息系統
就我國目前的大多數鋼鐵企業而言,它們在實現鋼鐵企業信息化時,往往都沒有完整的信息系統作為支持,具體表現為:①在財務管理方面,只是簡單的應用了一些軟件,用于數據的傳輸和儲存,或者只是用于成本的自動核算,同時也沒有與互聯網相連,這就使得在向上級提交財務報表時需要花費較多的人力、物力,程序比較復雜,且存在的風險較大;②在生產方面,一些鋼鐵企業雖然在生產系統中應用了自動控制模式,但也沒有將其應用好,主要還是依靠調度調控來對生產系統進行管理,這就使得生產的效率不是很高;③大多數的鋼鐵企業獲知分廠的信息依靠的是電話方式和報表方式,缺乏對信息獲知的及時性,以至于無法對存在的不足進行及時的補足,也就沒法對存在的風險進行及時的預防和控制。
2.缺乏對信息系統的長遠考慮
有些鋼鐵企業在建設信息系統時,往往會缺乏對信息系統的長遠考慮,而是隨著技術水平的提高和業務發展的需要,才將某個功能增加到原有的系統上。以某鋼鐵企業為例,該鋼鐵企業的老區域系統,則是在需要模型控制時,才增加模型控制,在需要數據采集時,才增加數據采集,在需要用到視頻系統時,才安裝上監控探頭等等,缺乏對信息系統的長遠規劃,沒有為將來的信息化系統做出整體性的建設規劃。
3.對鋼鐵企業的信息化認識不清
篇(6)
(一)組織方面的風險。論文百事通在風險的管理中,與企業高層的溝通是最大的一個風險,也經常是項目經理們容易忽視的,也是項目經理在工作時最大的一塊兒心病,如何獲取高層的持續支持,比如在規劃階段,在實施階段,在后續的應用階段,經常是剛開始時,企業老總很支持,但隨著實施的投入,由于溝通與信息化成效的問題,管理層可能會越來越有疑慮;另外,公司進行信息系統項目的實施,可能對員工的日常工作造成一系列影響,從而引起員工的抵觸。比如,員工需要為信息系統項目的實施加班,有的員工可能因為信息系統項目的實施而失業。
(二)進度方面的風險。在信息系統項目實施過程中,由于對任務工作量,人員能力估計不足,資源配置不當,需求變更甚至是突如其來的風險等,項目有可能會延期交付。
(三)人員方面的風險。企業信息化項目涉及軟件工程、信息技術、管理技術,企業必須整合內外部人力資源,成立項目建設隊伍,完成從項目立項到系統交付的各個環節的工作。在組成項目團隊時,企業主要容易犯兩個錯誤:其一,以企業缺乏IT技術人員為由,將項目外包給軟件供應商,企業只是組織力量進行驗證評估,而忽略了商可能技術力量單薄,對軟件功能不熟悉。另一方面,即使商有較強的技術力量,但由于對企業的業務流程缺乏深入了解,難以按照企業需求進行系統配置與二次開發;其二,完全由企業內部IT技術人員單獨進行系統實施,很難從整體上把握好項目的實施。
(四)資金方面的風險。據有關統計表明,全國獨立核算的中小型企業平均擁有資本金23萬元,約為大型企業的1/65,中小企業平均年產值401萬元,約為大型企業的1/80,中小企業資金實力有限。信息化投資主要包括方案的咨詢與規劃費用,硬件和網絡建設費用,軟件費用和軟件的實施、服務、升級、維護等費用;硬件和網絡建設風險相對較小,軟件選型風險最大,不僅包括一次性購買標準的或定制的管理軟件費用還包括后期維護升級以及二次開發等持續追加費用。在進行投資決策時如何選擇在合適的時間階段,選擇合適管理軟件以及運用的重點等,其間任何一方面出問題都可能導致投資失敗。另外,信息化建設是一項很難產生直接收益的投資。投資的受益更多地間接來自于管理效率、生產效率的提升及成本下降,所以在短期內可能使企業陷入財務困境,危及企業生存。
二、中小企業信息化項目風險應對方案
(一)加強與高層以及底層員工的溝通。項目經理應從信息化的機遇和挑戰,信息化的需求、信息化產生的價值,到可能產生的風險,風險規避的措施,讓老總充分的了解,多溝通、多交流,建立一個定期的溝通機制,在有效的管理前提下不斷地溝通,獲取企業老總與高層持續的支持與理解。
(二)在實施信息化之前,項目經理以及高層需要做好員工的動員工作。公司要使員工認識到:企業信息化建設是指企業利用計算機技術、網絡技術等一系列現代化技術,通過對信息資源的深度開發和廣泛利用,不斷提高生產、經營、管理、決策的效率和水平,從而提高企業經濟效益和企業競爭力的過程。從內容上看,企業信息化主要包括企業產品設計的信息化、企業生產過程的信息化、企業產品銷售的信息化、經營管理信息化、決策信息化以及信息化人才隊伍的培養等多個方面。因此,我們要把信息化放在一定的高度上,信息化項目的實施需要全員的共同參與和努力。信息化所能實現的不再僅僅是IT部門的一項資產,而是整個企業的資產。因此,信息化項目的實施不能僅僅是新成立的“信息中心”或“IT項目部”來完成。可以說IT部門主要完成功能的技術實現;而企業信息化的需求分析,必須要讓全員來參與。這樣既可以提高員工的積極性,還給他們打了“預防針”,讓他們有一個思想準備,企業可能要“動大手術”。這樣也就讓他們對“動大手術”時的“疼痛”有所準備。
(三)在進度的控制方面
首先,樹立綜合協調觀念。從本質上講,項目管理是從全局出發,以項目整體利益最大化為目標,以項目范圍、成本、質量等各專項管理的協調、統一為內容,所開展的綜合性管理過程。因此,開展項目管理就要有項目各要素及各專項管理,進行綜合協調的觀念。IT項目的范圍會影響IT項目的進度。一般來講(指假設其他要素不變),項目范圍越大,項目所要完成的任務越多,項目耗時越長;反過來,項目范圍越少,項目所要完成的任務越少,項目耗時越短。因此,如果項目進度很緊,或者進度拖延非常嚴重,就可以考慮與客戶討論,是否能夠將范圍進行收縮。如果客戶同意縮小范圍,那么進度能得到有效縮短。同樣,IT項目的成本、質量也會影響進度。一般來講,追加成本,可以增加更多的資源,比如設備和人力,從而使某些工作能夠并行完成或者加班完成。如果項目不能按進度完成,可以考慮有些原定任務是否可以外包出去,這是項目采購管理與進度管理的協調內容之一。
其次,公司高層以及項目經理應有效的設置項目里程碑。一個有效的里程碑應該包含項目團隊所需完成的一系列活動,當一個里程碑事件難以按時完成時,項目團隊應找出原因,采取應對措施,并且總結經驗以杜絕此類事件再度發生。同時,項目團隊應對里程碑進行及時的回顧,審視。據調查顯示,項目里程碑回顧頻率至少要每半個月一次。如果對一個里程碑回顧的時間間隔超過8個周,項目就很可能會遇到麻煩。
最后,項目經理要縮短團隊組建和磨合的時間。任何一個項目組從接受任務到任務完成、團隊解散,一般都會經歷五個階段:組建階段,磨合階段,正規階段,表現階段,解散階段。在五個階段中,解散階段由于項目任務已經完成,對于項目的影響不大。對于一個項目經理來講,真正工作的階段是正規和表現階段。因而,項目經理的重要職責,就是使項目團隊組建和磨合階段的耗時盡量短,這樣,項目團隊的正規和表現階段的歷時就會越長,在布置任務和執行任務時,就更加從容。為使項目團隊組建階段的時間縮短,項目經理一定要向團隊說明IT項目的目標,并設想出項目成功的美好前景,以及成功所產生的好處,公布有關IT項目的工作范圍、質量標準、預算及進度計劃的標準和限制。項目經理應公開討論項目團隊的組成、選擇團隊成員的原因、他們的互補能力和專門知識,以及每個人為協助完成項目目標所充當的角色。這樣,公開的信息就構成一項重要的激勵——信息激勵,團隊意識就會加快形成;為使項目團隊磨合階段的時間縮短,在這個階段,IT項目經理要引導所有成員參與到IT項目計劃的制定、規章制度的制定和任務的分配中來,同時允許成員表達他們所關注的問題。這樣,主動參與對成員來講就構成一項重要的激勵——參與激勵,團隊成員就會更加容易接受團隊的規章制度以及分配到的工作,團隊意識就能得到進一步強化。新晨
(四)針對人員方面的風險,項目經理應從團隊的組成上來考慮。在組建團隊時,應選擇那些相信信息化項目會成功,有相關管理技能,技術能力的企業人員,同時應盡可能找到信息化領域的專家做團隊顧問;另外,項目經理應注意項目實施過程中與團隊成員和軟件外包商的溝通,及時掌握團隊成員以及外包商的情況。
篇(7)
二、企業信息化項目實施中的管理風險分析
(一)管理風險的概念
管理風險是指管理運作過程中因信息不對稱、管理不善、判斷失誤等影響管理的水平。它由管理者素質、組織結構、企業文化和管理過程四方面構成。
(二)企業信息化項目實施中的管理風險分析
(1)管理者的素質。管理者個人素質因素包括品德、知識水平和能力三方面。品德是推動管理者行為的主導力量,決定其工作愿望和努力程度及外界對他的價值評價,影響著人際關系,對管理效果和效率有直接影響。品德也是管理者個人魅力的主要來源。知識水平對管理者的影響體現在管理者對管理過程的理解和支持上,影響著他與其他人員交流和溝通。能力反映管理者干好本職工作的本領,包括應具備的管理知識、心理特征和適當的工作方式。
(2)組織結構因素。組織結構是組織的全體成員為實現組織目標,在管理工作中進行分工協作,在職務范圍、責任、權利方面所形成的結構體系。其構成了組織內部各級職務職位的權責范圍、聯系方式和分工協作關系的整體框架,是組織得以持續運轉、完成經營管理任務的體制基礎。組織結構制度制約著組織內部人員、資金、物資、信息的流,影響著組織目標的實現。為了保證企業信息化建設的質量,最高管理者需要在企業內部構建負責信息化建設的組織架構,包括企業信息主管、信息系統應用管理和規劃人員以及技術系統的應用與維護人員等這是企業信息化建設的重要條件。在構建組織結構的時候,處于某種利益的考慮,部分管理者會因人設崗,并沒有綜合分析信息化建設的實際需求。
(3)企業文化因素。企業文化是一個組織由其價值觀、信念、儀式、符號、處事方式等組成的其特有的文化形象,是企業員工較長時間形成的共同價值觀、信念、態度和行為準則,是一個組織持有的傳統和風尚,制約著全部管理的政策和措施。企業信息化是建立在現代企業管理模式基礎之上,并按照物流、資金流、信息流等業務流程而設計的,其實是過程中會對現有企業工作方式產生重大影響,必然會影響部分人的個人利益。其順利實施需要組織成員之間合作、信任和團結,產生親近感、信任感和歸屬感,實現文化認同和融合,使組織具有向心力和凝聚力,從而形成共同行動和齊心協力。
(4)管理過程因素。管理過程一般有相互關聯的計劃、組織、領導、協調、控制五個因素。計劃是對未來的安排,應根據實際情況,通過科學、準確的預測,提出在未來一定時期內的目標及實現目標的方法。計劃制定后,企業對如何實現目標已經明晰。為了保證計劃的實現,必須嚴密組織組織結構要為創新活動的運行提供基本框架,必須有相應的合適的人員配備,才能有效地運作。領導的作用體現在兩方面:協調作用和激勵作用。正確處理組織內外各種關系,為組織正常運轉創造良好的條件和環境,促進組織目標的實現。管理控制的必要性主要是由下述原因決定的:環境的變化;管理權力的分散;工作能力的差異。
三、企業信息化項目實施中的管理風險規避的策略
(1)運用約束和激勵機制,提高管理者素質。管理者對信息化建設的不重視或短期行為主要是由于管理者不愿打破原有工作機制,為此,應積極運用約束和激勵機制,提高管理者對信息化的重視,并自愿提高個人素質以迎接新工作的挑戰。例如主管部門可將企業信息化的發展水平和經營者的業績考核掛鉤,并據此進行獎懲;將信息化帶來的企業效益與管理者的利益分配相聯系,進而不斷增強企業管理者的信息化意識,并促使其采取積極的行動。
篇(8)
doi:10.3969/j.issn.1673 - 0194.2016.06.040
[中圖分類號]F276.44 [文獻標識碼]A [文章編號]1673-0194(2016)06-00-02
網絡時代的企業信息化建設對高新技術企業在管理效率、風險管控、市場響應、產品研發等核心競爭力和企業績效方面產生了前所未有的推動和提升作用,企業通過引入線上辦公系統(OA)、企業資源計劃系統(ERP)、全面風險管理系統(TBS)等信息化手段提高各部門工作效率,從而有效提高企業的管理水平,通過電子商務平臺、分銷管理系統等提高其銷售貿易能力,實現企業的可持續發展。但隨著高新企業信息化程度的快速擴展和IT投入不斷增加所帶來的風險及隱患也呈上升趨勢。如何進一步規避信息化風險,控制信息化損失成為亟待解決的問題。
本文旨在為高新技術企業研究一種信息化風險評價方法。根據高新技術企業的特征,識別高新技術企業在信息化建設過程中存在的風險,運用專家評分法對可能存在的風險因素進行評分排序,并將專家的打分表現在帕累托圖中,根據帕累托法則的“二八原則”,找出關鍵的風險因素。高新技術企業可依據本文提出的方法對其信息化建設過程中的風險進行識別及評價,并據此提出有針對性的管控措施。
1 高新技術企業信息化風險識別
高新技術企業具有高投入、高創新、高收益、高人才擁有、高風險等區別于傳統企業的特征,如互聯網、電子商務等企業,基于其發展初期往往需要構建一套需要較高人力、資金和技術投入的信息系統,即邁出企業信息化這一步,這是高新企業持續發展的必由之路。
依據生命周期模型和諾蘭模型的理論,企業信息化建設過程一般劃分為規劃、分析、設計、實施和系統運行維護5個既相對獨立又密切相關的階段。借鑒前人的研究思路,本文將從信息化生命周期的上述5個階段來識別高新企業信息化風險的類型和影響因素,以便更好地實施分析評估。規劃階段風險主要包括IT戰略計劃風險、資金供給風險、人力資源風險三個方面;分析階段風險包括開發制度風險、需求分析風險、流程再造風險三個方面;設計階段在概要和詳細設計、設計方案審核兩個方面存在風險;實施階段風險包括軟硬件采購風險、系統測試風險、人員培訓風險;在運行維護階段會出現職責分工風險、權限管理風險、備份風險三個方面的風險因素。各階段的具體風險表現在表1中進行列示。
2 高新技術企業信息化風險評價
高新技術企業信息化風險評估首先通過專家評分對企業的信息化風險進行評價,隨后使用帕累托圖對各風險因素進行排序,根據帕累托法則的“二八原則”評價出關鍵的風險因素。
2.1 專家評分法
在識別出高新技術企業信息化風險后,企業應組建專家團隊對本企業信息化風險進行具體評價打分。企業應建立專家組對風險進行匿名打分。為保證評估的權威性和客觀性,專家團隊應由熟悉企業業務流程和功能的信息化建設方面的人員組成,包括有內部專家和外部專家。內部專家至少應該包括公司總經理、各部門負責人、企業信息化建設技術人員,外部專家包括注冊信息系統審計師、咨詢機構專家等。專家團隊人數應當控制在適當的比例范圍內,可根據企業信息化規模確定。
組織專家評分主要分為5個步驟。第一,發放資料。應先向評分專家提供企業信息化規劃、設計及運行方面的資料,專家應在足夠了解企業信息化各方面情況的基礎上進行專業判讀和評價。第二,專家打分。將評分表發放給選定的的專家,專家團隊成員應根據自己的專業知識以及被評價企業信息化建設和運行情況,對每項風險發生的概率、預期損失值進行評價打分,同時在備注中給出治理措施建議。第三,匯總分析。評價企業統一收集整理評分表,計算每位專家針對每一風險因素打分的統計指標,包括平均數、方差、中位數、極值等,并將結果反饋給各位專家,若需修正可二次打分一次。第四,召開討論會。邀請個人評分與最終匯總分數差異較大的專家發表意見,從專家的個人視角給出合理解釋或反駁意見,專家根據反饋結果再修正自己的意見。第五,經過多輪匿名征詢和意見反饋,形成最終得分及治理意見集合。
2.2 帕累托排序
高新技術企業的IT風險符合帕累托法則的“二八原則”,即80%的企業風險由20%的風險點引起。通過專家的匿名打分和意見反饋,形成了最終評分結果。高新技術企業需按照專家評分分數高低,運用帕累托圖對風險進行排序評價處對企業威脅最大的風險因素。對專家評分的結果進行排序,并繪制帕累托圖,則前20%的風險點即為高新技術企業IT風險中的關鍵風險因素,應進行重點控制和關注。為說明問題,本文在小范圍內進行模擬打分,得到如表1所示的數據,據此得到圖1所示的對應帕累托直方圖,通過要素排序的遞進累計,當累計風險達到80%左右時(本文為81.33%),落入考察區間的考察量為X1、X2和X10,說明該3項要素的存在導致了企業絕大部分(80%)風險的后果,因此治理時應抓住主要矛盾,重點對這三項最可能的誘因實施風險治理。
圖1 高新技術企業IT風險專家評分帕累托圖
3 措施建議
眾所周知,信息化在給企業帶來高效便利的同時,也夾裹著諸多風險,關鍵是如何快速識別出致險因素,并在排序中尋找關鍵風險因素,然后有針對性地制定風險治理方案。高新技術企業是信息化建設的典型代表,運用上述風險識別和評估方法,可以重點防控企業最可能出現重大風險,保證信息化建設和運行順利。同時企業還應慎重選擇信息化時機、節奏和規模,并注重企業中人的作用,適度引入“人機治理模式”,將“人因”與“機因”有機結合起來。
主要參考文獻
[1]李志,唐波,張慶林.高新技術企業特征與管理對策研究[J].重慶大學學報,2009(7).
[2]吳炎太,林斌,孫燁.基于生命周期的信息系統內部控制風險管理研究[J].審計研究,2009(6).
[3]彭超然.大數據時代下會計信息化的風險因素及防范措施[J].財政研究,2014(4).
[4]王凡林.企業信息化風險的內部控制與治理研究[M].北京:首都經濟貿易大學出版社,2014.
[5]周娟,杜棟.企業信息化水平評價系統的研制[J].河海大學常州分校學報.2004(2).
篇(9)
制造企業信息化建設建設主要是采用CAD/CAM/CAPP等現代化的信息技術,使得制造企業生產過程信息化;采用MEP/ERP等現代化的管理技術,則是為了制造企業的管理水平科學化,管理流程信息化;采用CMS等、等進行制造企業信息的搜集,逐漸形成集設計、制造以及管理為一體的計算機綜合集成制造系統,并采用計算機技術,將制造企業內部的信息資料整合起來,并將其擴展到制造企業外部。從制造企業信息化建設本質來看,就是實現制造企業各個層面的信息化,使得企業整體運營逐漸高效化、科學化、合理化。由此可見,制造企業信息化建設并不是一個企業信息化的建立,它是一個信息化系統的革新,對制造企業而來,更像是一場信息化革命[1]。然而,對于制造企業信息化建設而言,雖然信息化建設有利于當下企業管理格局的改善,但是在制造企業信息化建設中必然會遇到各種風險因素,這就要求企業在信息化建設的過程中,除了關注信息化建設之外,還需要對周圍的風險源進行及時的偵查,分析風險源的源頭,做出最佳的風險處理措施。
(一)制造企業信息化建設技術風險。高制造企業信息化建設屬于高科技的信息化應用,這類信息化技術對于制造企業的管理和信息搜集大有幫助,但是該類型的技術牽扯信息內容過多,是多種綜合技術的結合,因此存在很多不確定因素,對于初步建立信息化的制造企業而言,這種不確定的風險因素在短時間內難以做到合理化的有效控制,無法預測信息化系統在運行過程中的偶然現象,對于風險的發生不能做到及時的防范,進而給制造企業帶來經濟損失。
(二)制造企業信息化建設資金風險。制造企業信息化建設中必然會投入大量的資金,用于各種軟硬件設備的購買、軟件系統和信息支付企業的服務費用等等。除此之外,還涉及一些隱藏費用,例如制造企業信息化建設后的信息系統應用培訓、信息化系統安全維護費用等,致使制造企業耗費大量的資金費用,給企業的資金流轉造成阻礙。此外,由于制造企業信息化建設投入資金預算和實際花費資金差距過大,會造成制造企業運營的資金短缺[2]。此外,在制造企業信息化建設后,需要花費幾十萬或是幾百萬資金用于整個制造企業信息系統維護和調整,使其滿足制造企業信息化發展需求。
(三)制造企業信息化建設安全風險。制造企業信息化建設之前,由于對信息化的陌生,使得企業管理人員安全防范意識匱乏,忽略了制造企業信息化建設安全風險,導致客戶信息資料的泄漏,外來病毒入侵,引發整個信息系統的癱瘓。
二、制造企業信息化建設中風險防范措施
制造企業信息化建設風險防范措施的應用是信息化建設中必不可少的關鍵環節,它對于制造企業信息化系統安全運營大有裨益。此外,加強制造企業信息化建設中的風險防范,還能減少因風險因素造成的經濟損失[3]。以下則是筆者結合制造企業信息化建設中出現的風險因素,在查閱多方資料后總結出的風險防范措施。
(一)制造企業信息化建設技術風險防范措施。一個完整的信息系統,必然離不開多項技術的綜合應用。對于制造企業信息化建設而言,其應用的信息化技術都是按照信息系統建設的總規劃,按部就班的采用制造企業信息化建設技術。因而,在制造企業信息化建設風險防范中,需要根據制造企業信息化建設整體目標和階段性計劃,找準技術的切入點,按照制造企業信息化建設層次,進行風險防范。
(二)制造企業信息化建設資金防范措施。制造企業信息化建設風險因素的發生,必然造成制造企業的經濟損失,治愈資金損失額度大小,則完全取決于制造企業信息化的風險管理。比如,在制造企業信息化建設之處就制定好嚴密的風險管理計劃,并安排管理人員對制造企業信息化建設資金進行預算統計和管理。在此基礎上,加強制造企業信息化建設的日常監控,一旦發現隱藏風險源及時進行處理解決,降低制造企業信息化建設中額外的風險資金投入[4]。
篇(10)
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2016. 13. 037
[中圖分類號] F270.7;TP309 [文獻標識碼] A [文章編號] 1673 - 0194(2016)13- 0074- 03
0 引 言
隨著互聯網技術、通信技術、虛擬化技術和SOA技術的發展,以服務形式向用戶提供計算資源的云計算,正在改變人們的工作方式和企業運營模式。基于云計算進行企業信息化建設,能有效降低成本、提高效益和促進創新,許多企業已經投入到云計算的信息化浪潮中,實施了自己的云平臺戰略。目前,云服務商在提供云計算服務時,雖然絕大部分都采用了國際先進的信息安全保障技術,但云環境中的信息安全風險仍不容忽視。
1 公有云
“云”在網絡拓撲圖中常用來表示Internet,是對復雜的互聯網的一種抽象。因此把這種基于Internet的計算方式形象地稱為“云計算”。一般來說,云計算提供的服務有三種類型:軟件即服務(Software as a Service,SaaS)、平臺即服務(Platform as a Service,PaaS)、基礎設施即服務(Infrastructure as a Service,IaaS)。公有云是云計算的重要模式之一,通常由第三方云服務商為用戶提供。公有云的一般框架如圖1所示。
2 基于公有云的企業信息安全分析
企業信息化過程中,云計算已受到眾多企業的追捧,云計算可使企業將部分計算處理工作外包云服務商,企業可以通過互聯網來訪問云數據。與此同時云計算中的數據安全風險也不容忽視。一方面,云計算中的數據對于數據所有者以外的用戶是保密的,但是對于提供服務的云服務商而言是透明的。另一方面,云數據在存儲、傳輸與使用過程中,會不斷遭遇不法行為的攻擊。總得來說,云數據安全風險主要有三大來源:云計算中心數據丟失與泄露、數據傳輸竊取、終端數據泄露。從公有云安全風險所涉及的不同網絡層次考慮,可以將安全風險主要歸納為 :云計算中心數據存儲安全、云數據傳輸安全、云端用戶安全、云數據審計安全、管理維護安全等,如表1所示。
3 云數據安全風險控制策略
為了更好地研究企業信息化過程中基于公有云的安全風險,下文提出了一種“三位一體”安全風險控制策略,如圖2所示。要解決云計算環境下的數據安全問題,僅僅在云計算中心實施保護是不夠的,必須要通過融合云中心數據安全技術、終端數據安全技術、網絡安全技術為一體,實現對云數據的一體化控制策略。在云計算中心,重點完成用戶身份認證、多租戶模式下的數據隔離、用戶異常行為檢測、數據封裝加密。在終端,重點完成用戶密鑰生成、終端環境安全、終端外設安全、終端文件加密保護。在網絡傳輸過程,重點完成終端與云計算中心之間建立虛擬安全通道。
3.1 云計算中心數據存儲安全策略
企業在使用云計算服務時,數據的存儲是非常重要的一環,其中包括數據的存儲位置、數據的災難恢復、數據的隔離等。然而,云計算服務商為企業提供存儲空間服務時,云端用戶并不清楚自己的數據儲存位置;云數據存儲地是否存在信息安全問題、是否遵循當地的隱私協議、是否能確保企業數據不被泄露等安全因素。
3.1.1 數據安全隔離
基于分布式數據存儲的思想,可以將數據中心的共享存儲劃分為不同區域,在不同區域之間配置安全策略,防止非授權的跨區域數據訪問。在數據中心運行時,動態監測數據中心中的用戶行為,根據采集到的行為數據進行識別。結合數據遷移策略,將受到威脅的數據遷移至其他區域,并停止惡意用戶對于該部分數據的訪問授權,使得惡意用戶無法攻擊該部分數據,從而防范云計算中數據隔離和攻擊的問題,保護云計算中用戶的數據與隱私安全。
3.1.2 數據庫加密
傳統的數據庫、操作系統安全和物理安全訪問控制機制,為數據庫提供了一定的安全措施和技術,但并不能保證在云計算環境下數據庫的安全需求,尤其是一些重要部門數據和敏感數據的安全。造成不安全的主要因素是數據庫中的原始數據以可讀形式存放,如果對數據庫中的數據,采用安全數據庫、可搜索加密等技術,對數據庫系統及密文進行加密處理,即使受到非法入侵或者盜取數據存儲介質,若沒有相應的解密密鑰,依然不可獲取所需數據。
3.2 云數據網絡安全策略
一般情況,企業數據中心存有大量的重要數據,如企業客戶信息、商業秘密、財務數據、重要的業務流程等。在云計算環境下,企業將數據通過網絡傳輸到云計算中心進行處理時,就會面臨著網絡傳輸數據的安全問題。目前,云計算服務商主要采用加密算法的安全通信協議與超文本傳輸安全協議,雖然這些協議具有完整性與認證性等特征,但也并不能確保云數據傳輸不被竊聽或截取。
3.2.1 文件透明加密
云計算終端數據絕大多數以電子文件形式存在,系統提供文件透明加密,確保終端用戶在操作方式不發生改變的情況下,電子文件以密文方式存儲。采用驅動層透明動態加解密技術,自動對存儲到磁盤的數據做加密運算,對從磁盤讀取的數據做解密操作。通過指定文件類型或者處理進程,進行強制加密、強制訪問控制和離線管理等技術手段,達到所有存儲介質上存在的該類型文件全部加密,可以有效防止機密信息泄漏。
3.2.2 虛擬安全網絡
構建先進的虛擬安全域網絡,使用戶可以同時訪問多個應用的虛擬安全域,但相互之間是隔離的,用戶終端無法使用來實現兩個虛擬安全域之間的路由。并且根據權限和安全策略,動態地將被訪問的各種應用系統資源劃分到不同的虛擬安全網中,實現具體業務應用系統環境的動態專用性,并且從安全管理角度上對網絡數據進行精細化的安全管理。
3.3 云端用戶數據安全策略
云端用戶存取云計算數據的途徑方式多樣,不同用戶終端的安全防護措施差異也較大,云服務商難以有效監控云端用戶的諸多安全風險。云服務商為吸引龐大的客戶群,開辟了大量的外鏈接通道,嚴重威脅云數據安全。其次,部分云服務商的內部員工通過云管理平臺的特權接口,隱蔽地訪問云數據或通過旁路通道獲取部分運行信息推演數據,造成云數據泄露或損毀。
3.3.1 身份認證管理
基于PKI安全體系,可以將安全策略、安全認證、安全管理等多應用深度整合,形成一個統一、堅強的安全防護體系,包含安全事件收集、事件分析、狀態監視、資源管理、用戶管理以及授權策略管理,并通過流程優化、系統聯動、事件管理等方式深層次、全方位地整合各應用系統資源,最高效率地處理安全問題,保護系統資源整體安全。系統以核心安全服務中間件為引擎,以應用資源為中心,按照集中認證、統一授權、統一審計、統一管理的原則,深度整合系統資源,達到全面的安全目標,同時通過異地認證達到更廣范圍的跨區域整合。
3.3.2 終端桌面安全
在終端區域,可以通過遠程監控、補丁推送、軟硬件資產統計、終端程序控制策略、本地虛擬運行環境、進程安全管理、桌面資源管理和軟件和補丁分發等技術,保障終端桌面工作環境安全。
3.4 云數據審計安全策略
用戶對自己數據的完整性和安全性負有最終的責任。傳統服務提供商需要通過外部審計和安全認證,但一些云計算提供商卻拒絕接受這樣的審查。為了保證數據的準確性和有效性往往會引入第三方的認證機構進數據審計。在實施審計的過程中,還需保證審計機構不泄漏相關企業的敏感數據。
4 結 語
文中通過分析云計算環境下的云數據儲存、網絡傳輸及云端數據處理三方面存在的數據安全風險,結合云服務商數據資源管理和企業信息化過程,提供了針對云計算環境下的“云計算中心+數據傳輸+云端”的三位一體的數據安全控制策略,確保云計算數據的保密、完整、可用,為基于云計算的企業信息化建設提供參考。所采用的方法能夠結合云計算服務提供商的需求進行擴展。
主要參考文獻
[1]Peter Mell,Timothy Granee.The NIST Definition of Cloud Computing[R].Nation Institute of Standards & Technology,2011.
