专家详解企业信息化中的风险管理战略

——中国管理科学院企业风险研究主任王炜

企业风险管理随着金融危机的出现，越来受到企业的重视，当一个企业处于成长期或者是中小企业的时候，所面临的风险相对于大型的企业来讲并不是很大。但风险依然存在于企业中。现阶段，如果只是从企业的风险防范角度来看，就IT本身来讲，更多的是在人的行为管理、以及计算机的外围设备上进行防御，并没有上升到一个企业的战略层面。

随着经济的恢复，后危机时代的企业开始重视信息化当中的风险管理，越来越多的企业开始把信息化中的风险管理由过去只是技术层提升到了企业的战略层。 然而，现阶段的的企业信息化风险管理战略还存在许多的不足，一方面由于企业信息化风险管理战略提上日程的时间不是很久，另一方面， 企业信息化风险管理战略的成熟方案较少，导致了现阶段的企业信息化风险管理战略存在很多的问题。我们知道，企业实施信息化进程中会遇到各种各样问题，面临多重风险不可避免，面对这些风险作为CIO怎么规避，怎么解决？在近日召开的科博会下属的中国制造业信息化峰会上，来自中国管理科学院企业风险研究主任王炜就企业信息化中的风险管理战略话题，详细的介绍了目前现阶段企业信息化风险管理的现状、问题以及解决办法，以飨读者。

一、企业信息化与自身风险

王炜从“ 信息化与企业自身的发展，带来思考的问题”、“企业信息化建设进程中的风险要实现什么样的管理”、“企业信息化的风险控制”等几个方面详细的进行了介绍。

王炜指出，在企业管理当中什么样的问题是信息化解决不了的？第一、系统型风险。

第二、结构性风险。什么叫结构性风险？除了涉及到企业的行业结构、资金资产的结构，还涉及到很多企业自身结构特点产生的风险，这些风险也很难避免。

第三、风险的预测与预防，企业在做管理时，用百年多的来管理理念告诉我们，西方人管理理念核心有两点，量化和控制，在这两点基础上不说人性的问题，关键从证据到证据的过程，现在来看，管理理念上更需要预测和预防。

企业信息化实现四大目标

企业的信息分为内部信息和外部信息，内部信息现在可以共享，在外部信息上企业往往各个部门之间获取的信息都不同。每个企业都有战略部门、销售部门、采购部门，但是每个部门对行业发展，对客户，对自己相关利益群体的信息所获得的渠道和途径不一样，造成企业内部在很多共识上很难统一，这造成很多事情在执行过程中会有问题。既使是同样的外部数据，在不同部门也有不同的分析方法。而现在做信息化时，这个问题希望能够在做管理和做企业软件的专家之间有一个共同的交流。 站在企业自身的角度，企业信息化到底为了实现什么？王炜强调企业信息化实现了几个目标：

第一、战略目标的实现。在信息化过程中，现在企业在信息化过程中，大型国有企业和普通的中小企业它们之间几乎没有相关性。企业目标实现的时候，中小企业往往是三到五年的规划，现在的企业中国和外国唯一的差异就是文化历史渊源的一点差别。在企业管理目标实现的过程中，中小企业在信息化目标实现过程中主要存在的问题是管理层，由于发展速度太快，自身知识与经验结构跟不上企业发展的节奏和社会发展的节奏。

第二，大型国有企业集团中有很大一部分他们的安危已经涉及到国家安全。

还有新的领域：

1、现在的产能结合的问题。目前在全球出过大的企业集团收购地方性银行之后，以银行作为自己的资金融资平台，然后实现自己的目标，造成更大的，由产业风险引发金融系统的风险。

2、经营效率与效果，是企业信息化最重要的一点，信息化过程中固化了企业很多工作节奏、流程和授权体系，但目前来讲从反面这方面的风险，主要是人与适应性的问题。

3、第三、财务报告可靠性；

4、第四、法律。

从这四个角度来看，法律是最基础的依据，之后是财务，然后是经营效率，最后是目标。信息化首先要固化法律和财务，必须要遵守的规则或者制度。

王炜强调，美国的COBIT是关于信息化成功的评价标准体系，主要是借助这个理念促进对企业信息化风险的共识。

第一、强调的是项目是否达到预期目标。信息化为什么失败的机率比较高？项目达到预期目标，就信息化项目实施而言，这是典型的项目风险管理的特征，所以，做预期目标设计时，在风险预测上就需要有更多更完善的数据。

第二、项目实施是否使工作效率得到提升，还有很重要的因素。在企业，尤其是中小企业实施信息化的时，由于自身的知识结构的局限性，造成希望的目标很难实现。

第三、从应用的角度软件来看，使用者是有良好的感受。

第四、项目的成本和工期是否控制在计划之内。

二、企业信息化的风险的现状

资料显示，在企业信息化的现状中依然是80%到90%信息化没有达到预期的目标，有部分原因是需要信息化的企业自身的愿望太美好了，是很难实现的状况。第二，80%的信息化项目超预算、超时间。第三，40%失败的信息化项目。这40%失败代表着与预期目标有不可容忍的偏差之内，只有25%能够完全实现。为什么实施信息化会出现这么多的失误或者偏差呢？王炜认为，有几方面局限性：

第一、企业自身的局限性，中小型企业或者大部分企业对管理优化的知识与实践经验不足。

第二、对信息技术的发展知识不足。

专业机构的咨询机构，它在信息技术上的知识与应用也存在不足，而信息化服务提供商在管理技术上的发展也有待发展。在当今，管理和信息技术两个领域的主流技术，这两个技术目前都没有完全成熟，但是基于这两个技术对管理的发展会有很多变化。

信息化的具体风险，站在管理的角度，主要有以下几方面思路。

第一，管理优化的风险。企业做信息化的时候，自身的憧憬是非常美好的，但是要实现公司预期的管理提升，无论是战略还是市场营销，或者其他层面的都是一种望的提升，但是这个提升的路径和效果，和最终的结果往往很难达成。

第二、流程变革的风险。“人”的问题，“人”到底怕不怕变革？你发现每一项新的潮流，新的产品推出的时候，都喜欢变革。比如苹果的IPHONE，都主动变革，为什么？因为“人”怕的是被变革，而不是变革，也就是说，在信息化的过程中他主要是通过优化和固化了很多的企业管理程序，造成企业现有的工作流程和工作模式被变革，所以每个人，每个企业中的每个分子在感受信息化的过程中，他存在着潜在的抗拒心理。

第三、资金与规划的风险。有时候企业愿景过于美好或者信息化企业描述的愿景过于美好所造成资金与规划，时间规划的不足。

第四、技术与设备风险。就目前企业管理与信息化发展速度与结构来讲，企业确实需要更多的外部信息沟通。

第五、信息系统的安全风险。这个风险是非常重视的风险，在信息系统的安全风险上，希望引起管理层高度重视。

第六、系统升级与维护风险。

第七，专业人才的风险。

现在企业人员流动性非常强，企业上一个项目，上完之后第一负责人当时项目的懂IT的人才不久就走了，新来的人员可以懂软件，但是不懂得软件背后的管理理念。所以，人才流失也会造成很多风险。

信息化系统难以被审计，美国已经有了一个基于的管理理念标准的审计体系，目前中国财政部刚刚新出内部控制的标准，会对信息化的审计和应用有一些支持。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友