1 引言
目前关于企业信息化风险研究的热点集中在信息系统安全方面的风险评估,这也与当今世界探讨网络安全的热点相一致。企业一旦发生信息安全问题,会给企业带来灾难性后果,这也是企业信息化进程中所重视的“硬件条件”。但对于企业而言,信息化风险不只局限于信息系统的安全风险,而是上升到企业信息化管理层面的风险(即人员问题的“软件条件”)。因此本文从企业信息化管理的链条出发,识别每一环节可能存在的风险。
2 信息化风险的识别
信息化风险的识别是进行风险管理的第一步程序,是指采用一种系统的方法,来识别企业信息化过程中各个方面的潜在风险,并识别各个方面较为重大的风险。只有明确识别了信息化的风险点才能有后续的风险评估及应对措施。
2.1 信息化风险的内容
信息化风险是指企业实施信息化所带来的风险,企业在实施信息化的进程中,一方面要有足够的“硬件条件”,即先进的设备设施以及安全的防护措施。另一方面,像员工能力、高层管理能力等“软件条件”,同样是确保企业信息化进程顺利实施的保障。按照信息化风险可能对企业造成损失的关键环节,我们将信息化风险分为信息系统风险、控制人员风险和信息战略风险三种。
(1)信息系统风险。
信息系统风险是指企业所依赖的信息管理系统本身存在缺陷,导致系统不能正常运行所造成的损失,它又分为系统缺陷风险和系统安全风险。
信息系统的数据处理流程包括数据的输入、处理和输出。系统内部缺陷风险是在这三个环节中,因系统设计缺陷导致数据处理结果的错误。当企业采用信息系统进行数据处理,替代手工数据处理时,自数据被录入系统开始,之后系统的处理以及结果的输出就取决于系统设计是否正确。一方面,在进行系统设计环节之前,必须要对现有系统以及拟构建系统进行系统分析,了解企业的业务处理流程,并随时与企业人员进行沟通,以确保拟构建系统数据处理、输出的正确性。另一方面,系统在接受用户数据处理请求时,需要设计数据有效性校验模块,确保用户输入数据的正确性,并能够被处理。
随着企业规模的扩大,系统接入用户的逐步增加,系统也越来越依赖企业的intranet网络。如果intranet遭到攻击或者破坏,会导致企业数据处理中断,影响企业的日常运营。信息资产风险面临的主要问题是故障保护和保全,而在系统安全中,用户识别和数据加密则是核心。系统将企业业务流程电子化、数据资料电子化、操作人员电子化,增加了无关人员访问的可能性。需要采用用户登录密码实现不相容职责分离,同时对数据资料进行加密,甚至在数据传递前将数据转换为不可读格式,以确保企业经营资料的安全。
(2)控制人员风险。
系统控制人员包括操作企业信息系统的操作人员和使用信息系统报告的管理人员。在企业信息化初期,由于操作人员对信息系统的不了解,错误的操作可能致使系统数据处理错误甚至丢失,无法生成正确的信息,为企业管理造成损失。而管理人员因不信任系统生成的信息,或因不理解系统处理流程造成错误使用信息,同样会导致企业发生损失。但该项风险可能会随着系统使用期限的增长,控制人员的经验曲线效应而逐步降低。此外,控制人员风险还涉及对企业信息化内部控制各方案的设计合理性和执行有效性。如果企业对信息化后系统日常运行、权限管理、灾难恢复等没有制定合理的内部控制制度或者内控执行无效,即使再完备的系统也会导致风险的发生。
(3)信息战略风险。
信息战略风险主要是指企业管理层做出了不恰当的企业信息化战略决策,致使企业信息化失败造成损失或者信息化规划不合理致使管理效率低下。所谓“企业不上信息化是等死,上了信息化是找死”,折射出企业对于信息化期盼与恐惧。信息化是未来企业发展的大趋势,但企业经历信息化的过程,不仅是一项重大的投资,更是一个梳理企业现有业务流程和规划未来业务流程的机遇。稍有不慎会导致企业信息化失败或产生了信息孤岛、重复建设的问题。
若管理层对企业业务不了解,盲目采用信息化,就会使企业的信息化陷入僵局,导致失败。此外,若管理层对企业未来的信息化战略缺乏规划,会导致信息孤岛或重复建设。企业在分阶段实施信息化时,标准不统一是导致信息孤岛的根源。例如各系统间信息编码的关键字不同,导致跨系统信息处理时,需要人工辅助转换,增加了人力成本,降低了信息化的效率。
2.2信息化风险的识别方法
(1)自身识别方法——头脑风暴法的应用。
对于企业而言,信息化风险的三个部分,即信息系统、控制人员和信息战略,由上涉及企业的高管人员,自下涉及企业的普通员工,企业的全体人员都参与到了企业信息化的进程中,因此对于信息化风险识别的方法首先可以采用集思广益的头脑风暴法。
在实际应用中可以将企业内部各个部门设成集思小组,各部门的成员可以畅所欲言,通过自身在企业信息化进程中的工作,阐述自己对企业信息化应用中风险点的认识;再通过各部门内部集体讨论,形成一致决议上报上级部门。上级部门对下属各部门的观点进行总结提炼,完成对企业信息化风险的识别。
普通员工通过操作信息系统可以发现信息系统中的风险点;中层管理者,通过使用信息系统决策可以发现信息系统中的风险点;高层管理者通过普通员工和中层管理者反馈的信息可以发现原定信息战略的实现情况,并对于未来的信息战略进行规划。因此,采用头脑风暴法,保持顺畅的信息沟通渠道,完成对企业信息化风险的内部识别。
(2)外部识别方法一德尔菲法的应用。
企业自身员工对信息化风险的识别往往只是从表象进行识别,如果要识别风险的本质还需借助专家意见。利用专家对于某领域的了解以及经验,可以更准确地把握企业信息化风险点,专家通常会设计指标,量化风险大小,其识别结果比企业员工的直观认识更有针对性。
不同种类的风险可以聘请专门领域的专家进行评估。针对企业信息化中的信息系统风险,可以聘请注册信息系统审计师(CISA)进行审计,注册信息系统审计师关注企业信息系统的安全性、稳定性和有效性,通过其审计的经验以及对系统的了解,可以有效识别出企业信息系统的风险点;针对控制人员风险,可以聘请人力资源管理师(HRP),通过考察企业的培训流程,跟踪评价企业员工的学习能力来识别企业信息系统控制人员的风险;针对信息战略风险,可以聘请战略咨询师,通过分析企业管理层制定信息战略的过程以及制定依据,管理层的知识水平和经验能力识别企业信息战略风险。
在具体采用专家意见时,可以将每类专家分成专家小组,为了避免小组中专家意见受权威专家的影响,可以借助德尔菲法,即采用背对背的通信方式征询专家小组成员的预测意见。企业可以聘请相关专家深入企业调研,然后采用函询的方式征求各方面专家的意见,各专家在互不通气的J隋况下,根据自己的观点和方法进行分析,然后企业把各个专家的意见汇集在一起,通过不记名的方式反馈给各位专家,请他们参考别人的意见修正本人原来的判断,如此反复多次与专家磋商确定最终的专家意见结果。