能性永远存在。另外,作为这项工作主要的参与者,人的责任心这样的道德风险也不能小视;
4、 信息系统使用、维护过程中“人”的风险
信息系统的最终价值是通过人的使用发挥出来的,在系统的使用中,操作人员不当操作可能造成错误;系统维护中,维护人员的能力、经验的欠缺,可能对系统引入新的错误,这些都是导致损失发生的风险。
5、 信息系统应用集中,自动化程度提高,风险扩大
信息系统经过这些年的发展,从最初的单机、单点应用,演变到现在的网络化应用,数据集中、逻辑集中;应用方式从早期的简单记录功能,到目前的自动化处理,这些既是技术发展的方向,也是企业管理变革的要求。集中降低了信息化建设的成本、增强了系统的灵活性,自动化降低了企业的运营成本,但也不可否认,风险也相应增大了,一个小小的错误,可能会影响到整个企业正常经营。
6、 网络风险
信息技术发展到今天,网络是最伟大的技术创新,目前企业几乎所有的应有系统都基于网络进行构建,从内部办公网到电子商务、从财务系统到网上结算,网络也成为保险公司提升服务质量、扩宽营销渠道的一个重要的手段。网络的大量应用,也带来了大量的风险,例如黑客、病毒等等。
综合上面的分析,信息系统的建设过程、使用过程、以及相关的环境因素中都存在着大量的导致损失的风险因素,这些风险大多都是信息系统建设自身的特点所决定的,客观的讲,风险不可能完全消除。对待信息系统风险,科学的态度应当是怎样去降低风险发生的概率?怎样去控制风险带来的损失?如果损失发生怎样偿付、冲减损失?这三个方面同保险领域中风险管理的思路是一致的,是风险管理的三个基本面:风险防范、损失控制、风险融资。
风险防范策略和方法:
通过上面的分析,信息系统的风险客观长期存在,科学的方法在于建立有效的风险防范、损失控制、风险融资的手段。其中,对于信息系统风险进行融资,手段有限,仅能针对硬件设备的损失风险,例如购买保险、设备托管等等,对此将不作探讨。下面重点从企业自身工作建设的角度来讨论信息系统风险防范、损失控制的方法。
1、 加强信息系统建设过程的风险管理
企业的信息化系统建设,即使是通过采购买入,企业作为甲方首先要对自己负责,需要主动承担主持、规划、协调、监控等关键职责,相应的信息系统风险管理措施应首先从自身进行强化。否则,项目最终失败后,企业即使从供应商处得到补偿,也是个两败的结果。
前面分析了,信息系统的建设过程本身存在一系列的风险,开发信息系统的过程是决定系统风险的关键因素,因此加强管理的措施主要就是建立对活动的评审和审计。
系统的建设从立项到最终的投入使用,包含了大量的过程活动,从质量监控的角度,需求整理、项目采购、项目计划、系统规划、应用测试、客户培训六项工作是管理的重心。信息系统自身的特殊性,不同于传统的实物产品,可度量性差,其过程表现的是人的行为和思想活动,因此建立工作过程文档实属必要,这将构成进行质量管理、控制风险的基础。
2、 加强信息系统存续阶段的风险控制
信息系统犹如一辆汽车,在其使用过程中需要进行日常保养(纠错性维护),必要时可能还需进行改造(改进性维护),以便能够适应业务发展的要求。
信息系统维护工作是个很有挑战性的工作,难点不是某个错误多么隐蔽,多么难改,而是在这样长期的变化环境中,怎样保持系统的可靠和稳定。在工作中,时常听到IT人员抱怨某某系统又要改了,业务人员抱怨系统改正了老问题又带来新问题,或者是曾经修正了的问题又出现了,这几乎成了维护工作的常见病。
个人在专业IT公司长期从事软件产品的管理工作,IT公司软件产品管理和企业维护信息系统的工作