引言:
个人从事IT行业多年,早期作开发工作,后来做ERP实施,负责完成了多个大型企业的ERP项目,目前转入到甲方单位做些项目管理的工作。在长期的软件项目工作经历中,接触到的客户中或多或少的表现出对信息系统风险的错误认识,存在误解的既有企业的普通员工,也有企业领导。
信息系统的风险和系统的应用是伴生的,风险是永远客观存在的,怎样防范风险、怎样控制风险,这是企业信息化建设过程中必须应对的问题。本文中结合我个人从事IT行业的经历和经验,面向即将实施信息系统或已经建设了信息系统的企业,对信息系统风险管理中的问题提出我的观点和相应的解决办法。
正文:
当前各个行业的企业内部各项信息化工作开展的如火如荼,ERP、电子商务、CRM,建设工作由点到面,从业务运营到企业管理、从单一应用到综合治理,在企业内部各个层面逐步展开。系统建设大多已初具规模,企业的信息化框架也逐步确立。可以看到,信息化为企业经营带来了明显的经济效益,为企业管理改革提供了有力的支持。
凡事都具有两面性,企业在收获信息化成果的同时,也应该看到信息化带来的巨大风险,应该对这类风险安排适当的控制措施。但是在我的工作经历中,大多数客户,特别是IT建设刚刚起步的一些企业,对此风险问题都表现出不同程度的漠视,或者错误的认识。归纳一下,主要有以下几种错误观点:
1、 认为信息系统应该达到安全可靠,否则就是开发商的水平不高;
2、 要求系统提供商承诺软件系统功能无差错;
3、 要求系统提供商承担系统错误造成的损失和影响;
信息系统风险分析:
上面提到的几种观点,其根本,还在于认为“信息系统可以做到安全可靠”,这实际是对信息系统风险问题的错误认识。
信息系统本身具有很大的“脆弱性”,信息系统依赖的硬件、信息系统应用的IT技术(软件方面)、信息系统的建设和使用过程都存在着大量的风险因素,这类风险客观长期存在,既有有形的风险(设备、环境)、也有无形的风险(行为、道德)。
下面,将从这些角度分析一下信息系统常见的风险因素:
1、 系统硬件环境风险
信息系统的运用,依赖于特定的硬件环境,例如服务器、网络等等,这些环境依赖大量的硬件设备,这些设备自身都存在一定的故障率,这类故障发生时必然影响信息系统正常运行。这类故障比较常见,大多数人也都能理解。
2、 信息系统技术带来的风险
信息系统的建设总是利用一定的技术手段进行实现,例如Dot NET、J2EE、VB、数据库、应用服务器等,这些技术手段虽然都是商业化的,但其自身也是一个信息产品,受制于信息系统建设的客观因素,依然不可能根除出现错误的可能,这些产品的厂商在推广中强调的“安全性”、“可靠性”,更多的表现为一种营销宣传,根本不可能在购买合同中进行明确的承诺(这些供应商都会在合同中采用“责任限制”的条款对这样的风险进行规避)。那么在这些技术手段之上构建的信息系统自然会受到这些风险的影响。
3、 信息系统建设过程中隐藏的风险
信息系统建设的过程,无论是自建还是采购,都必然经历需求调研分析、系统规划设计、系统开发测试、系统实施等几个过程,这些过程中都存在导致日后系统出现错误造成损失的风险。例如:
需求调研阶段,技术人员对需求认识的局限性,将造成未来系统的局限性。在日后系统应用过程中,当这种局限性的条件满足时,可能对系统的使用产生影响;
系统开发测试阶段,每一项功能都是由技术人员编写程序代码实现,此项工作繁琐且复杂,人非机器,错误是不可绝对避免,开发的质量需要测试工作来保证。测试工作只是模拟未来的使用方式来验证系统,不可能对系统进行全方位的验证,系统出错的可