信息系统应用中的风险控制.doc

信息系统应用中的风险控制 引言： 个人从事 IT 行业多年，早期作开发工作，后来做 ERP 实施，负责完成了多个大型企业的 ERP 项目，目前转入到甲方单位做些项目管理的工作。在长期的软件项目工作经历中，接触到的客户中或多或少的表现出对信息系统风险的错误认识，存在误解的既有企业的普通员工，也有企业领导。 信息系统的风险和系统的应用是伴生的，风险是永远客观存在的，怎样防范风险、怎样控制风险，这是企业信息化建设过程中必须应对的问题。本文中结合我个人从事 IT 行业的经历和经验，面向即将实施信息系统或已经建设了信息系统的企业，对信息系统风险管理中的问题提 出我的观点和相应的解决办法。 正文： 当前各个行业的企业内部各项信息化工作开展的如火如荼， ERP、电子商务、 CRM，建设工作由点到面，从业务运营到企业管理、从单一应用到综合治理，在企业内部各个层面逐步展开。系统建设大多已初具规模，企业的信息化框架也逐步确立。可以看到，信息化为企业经营带来了明显的经济效益，为企业管理改革提供了有力的支持。 凡事都具有两面性，企业在收获信息化成果的同时，也应该看到信息化带来的巨大风险，应该对这类风险安排适当的控制措施。但是在我的工作经历中，大多数客户，特别是 IT 建设刚刚起步的一 些企业，对此风险问题都表现出不同程度的漠视，或者错误的认识。归纳一下，主要有以下几种错误观点： 1、认为信息系统应该达到安全可靠，否则就是开发商的水平不高； 2、要求系统提供商承诺软件系统功能无差错； 3、要求系统提供商承担系统错误造成的损失和影响； 信息系统风险分析： 上面提到的几种观点，其根本，还在于认为“信息系统可以做到安全可靠”，这实际是对信息系统风险问题的错误认识。 信息系统本身具有很大的“脆弱性”，信息系统依赖的硬件、信息系统应用的 IT 技术（软件方面）、信息系统的建设和使用过程都存在着大量的风险 因素，这类风险客观长期存在，既有有形的风险（设备、环境）、也有无形的风险（行为、道德）。 下面，将从这些角度分析一下信息系统常见的风险因素： 1、系统硬件环境风险 信息系统的运用，依赖于特定的硬件环境，例如服务器、网络等等，这些环境依赖大量的硬件设备，这些设备自身都存在一定的故障率，这类故障发生时必然影响信息系统正常运行。这类故障比较常见，大多数人也都能理解。 2、信息系统技术带来的风险 信息系统的建