信息系统应用中的风险控制.doc
信息系统应用中的风险控制 引言: 个人从事 IT 行业多年,早期作开发工作,后来做 ERP 实施,负责完成了多个大型企业的 ERP 项目,目前转入到甲方单位做些项目管理的工作。在长期的软件项目工作经历中,接触到的客户中或多或少的表现出对信息系统风险的错误认识,存在误解的既有企业的普通员工,也有企业领导。 信息系统的风险和系统的应用是伴生的,风险是永远客观存在的,怎样防范风险、怎样控制风险,这是企业信息化建设过程中必须应对的问题。本文中结合我个人从事 IT 行业的经历和经验,面向即将实施信息系统或已经建设了信息系统的企业,对信息系统风险管理中的问题提 出我的观点和相应的解决办法。 正文: 当前各个行业的企业内部各项信息化工作开展的如火如荼, ERP、电子商务、 CRM,建设工作由点到面,从业务运营到企业管理、从单一应用到综合治理,在企业内部各个层面逐步展开。系统建设大多已初具规模,企业的信息化框架也逐步确立。可以看到,信息化为企业经营带来了明显的经济效益,为企业管理改革提供了有力的支持。 凡事都具有两面性,企业在收获信息化成果的同时,也应该看到信息化带来的巨大风险,应该对这类风险安排适当的控制措施。但是在我的工作经历中,大多数客户,特别是 IT 建设刚刚起步的一 些企业,对此风险问题都表现出不同程度的漠视,或者错误的认识。归纳一下,主要有以下几种错误观点: 1、认为信息系统应该达到安全可靠,否则就是开发商的水平不高; 2、要求系统提供商承诺软件系统功能无差错; 3、要求系统提供商承担系统错误造成的损失和影响; 信息系统风险分析: 上面提到的几种观点,其根本,还在于认为“信息系统可以做到安全可靠”,这实际是对信息系统风险问题的错误认识。 信息系统本身具有很大的“脆弱性”,信息系统依赖的硬件、信息系统应用的 IT 技术(软件方面)、信息系统的建设和使用过程都存在着大量的风险 因素,这类风险客观长期存在,既有有形的风险(设备、环境)、也有无形的风险(行为、道德)。 下面,将从这些角度分析一下信息系统常见的风险因素: 1、系统硬件环境风险 信息系统的运用,依赖于特定的硬件环境,例如服务器、网络等等,这些环境依赖大量的硬件设备,这些设备自身都存在一定的故障率,这类故障发生时必然影响信息系统正常运行。这类故障比较常见,大多数人也都能理解。 2、信息系统技术带来的风险 信息系统的建