企业信息化风险与风险管理教案资料.doc
《企业信息化风险与风险管理教案资料.doc》由会员分享,可在线阅读,更多相关《企业信息化风险与风险管理教案资料.doc(7页珍藏版)》请在咨信网上搜索。
1、联系地址:福建省闽候县上街镇溪源宫路2号江夏学院(筹)会计系 林建雄收邮政编码:350108 联系电话:13055278384Email:LJX9918 QQ:450147869 企业信息化风险与风险管理 收稿日期:20091108; 修回日期:2009123林建雄 作者简介:林建雄(1971年8月),男,福建仙游人,福建财会管理干部学院会计系副教授、研究生,主要从事会计信息化教学与研究工作。Email:ljx9918。,(福建财会管理干部学院,福建 福州,350108)内容摘要:企业信息化中的存在各种风险问题,如何提高企业信息化风险能力成为当务之急。应充分利用网络信息技术,开展信息化风险管理
2、的创新工作,明确信息化风险全面管理的目标,加强对企业信息系统内部系统关键点的控制,构建信息化全面风险管理控制体系,以满足企业管理的需要,提升竞争力,实现更大的经济效益。关键词:企业信息化;信息化战略;信息化风险;全面风险管理;控制体系Enterprise Informationization Risk and Risk ManagementLin Jian Xiong,(Fujian Finance and Accounting Administrator College,Fu-Zhou, Fu-Jian,350108)Abstracts: The enterprise information
3、ization exists various risk problem and how to improve the enterprise informationization risk ability to become the urgent matter. Should use the network information technology fully, the development informationization risk management innovation work, is clear about the informationization risk compr
4、ehensive management the goal, strengthens to the enterprise information system internal system key point control, the construction informationization comprehensive risk management control system, satisfies the business management the need, promotes the competitive power, realizes a greater economic
5、efficiency. Key words: Enterprise informationization; Informationization strategy; Informationization risk; Comprehensive risk management; Control system企业信息化作为推动和实现企业体制创新、技术创新、管理创新,增强企业核心竞争力的重要手段和必由之路,已为我国许多企业普遍认同,并成为他们的战略选择。同时企业信息化又是一场高风险的管理革命,据统计,在企业信息化的实施项目中,只有15%左右能按期按预算成本进行项目实施和系统集成;约一半的项目会在实施
6、中流产或失败。1企业信息化的建设是一个不断发展变化的过程,信息化的实施过程是一个长期不断的过程,随着时间的推移,对企业的相关人员,尤其是领导的积极性是一个很大的考验。同时随着市场经济的逐步深入,企业需要面对的内外部不确定性因素在日益增多, 企业管理水平已经难以跟上环境的瞬息万变,在企业的信息化过程中存在不可避免的问题发展中的风险问题。一、企业信息化的风险信息化的风险被界定为信息化可能或者实际带来的消极威胁,企业实施信息化工程一般存在着较大风险。风险管理泛指确认风险、评价风险、回应风险的过程。风险管理涉及复杂的结构、机制、过程和制度安排,其目的在于尽可能地降低风险的发生以及风险发生以后所带来的损
7、失和威胁。(一)社会环境风险社会环境风险是指企业遇到的来自其经营环境的法律、社会、政治和经济等各方面的风险。如政策、法律的改变,使企业的生产经营受到冲击,环境风险包括系统安全风险、关联方业务合作风险等。(二)战略规划风险在由传统管理企业向信息企业转变的过程中,企业缺乏整体的信息应用规划,特别是符合企业发展战略和管理现状的,与企业资源适度配合的整体规划。这样在企业信息化整体应用的推进过程中,势必会造成资源分散、信息孤岛林立,最终难以发挥系统的整体效益。(三)组织管理风险企业信息化建设知识综合性强、涉及的范围广、部门多,除了涵盖企业内部职能部门外,信息化建设往往涉及供应商、客户、分销机构等。企业实
8、施信息化存在组织管理风险,管理风险包括组织结构不合理、管理思想混乱、管理职能虚化、员工凝聚力下降等方面。管理风险存在于企业信息化实施工作的全过程,轻则增加成本、延长进程,重则导致企业信息化实施失败。信息化首先是一个管理问题,其次才是技术问题。(四)人力资源风险信息化建设归根到底是要人来完成的,信息化项目需要企业建立自己的信息化建设梯队,而信息化人才又是既懂业务、又懂管理、还要懂计算机的复合性人才,这就需要我们的企业培养人,而且更要留住人才。目前导致我国企业信息化项目实施失败的主要原因之一便是专业化复合性人才匮乏。一方面,作为信息化主导之一的软件厂商缺少信息化管理的咨询专家和实施人才,无法准确地
9、向企业推荐自己的信息化管理软件。另一方面,作为信息化实施主体的企业,人才匮乏不仅影响了当前信息化实施的进程,更重要的是长远地对信息化工程产生的危害:其一,企业奇缺CIO(首席信息官),其二,缺乏信息管理师,进而导致企业信息化缺乏内动力,无法正常、高效地运行下去。(五)流程风险流程风险包括营运风险、授权风险、信息技术风险和财务风险。财务风险,信息化项目投资少则上百万,多则数千万,包括信息化软件费、网络硬件费、实施服务费(费用比大致为1:2:3)。由于企业的业务不可能是一成不变的,如果企业的发展战略、组织结构、业务流程发生了较大的变化,整个信息系统也要作相应的调整,系统的投入会更大,这些隐含的成本
10、由于其本身存在较大的不确定性而容易被忽视,最终形成所谓的IT黑洞。(六)执行控制风险执行控制风险包括信息化软件选择、实施服务商选择、实施进度控制、实施成本控制等方面。上述企业信息化实施工作不当,轻则增加成本、延长进程,重则导致企业信息化实施失败。实施过程中,服务方缺乏相应的实施规范,忽视或者不深入进行项目的可行性研究、需求分析、系统分析等前期工作,导致企业信息化系统的功能、实用程度都不够理想;实施过程中的监控力度不够,使信息化实施项目不能按计划完成;实施结束,没有相应的验收,或是验收的标准出现分歧,使企业的信息化项目成为“难楼工程”。(七)监督考核风险通常,企业和政府部门在IT规划过程会对信息
11、化需求的分析和系统选型的实施给予足够的关注,然而往往忽视了与之相配合的IT管制体系的建设和优化。一方面,信息化建设并不以系统的上线为止,相反,更多的工作在于系统的推广、维护和优化;另一方面,随着企业对信息化应用的不断深入,企业对其依赖也越强,而企业在提高效率的同时,管制缺乏所隐藏的风险也将越来越突出,如信息安全的隐患、无形资产流失的风险、系统故障给业务带来的影响等等。企业进行内部控制的建设成本几乎全由企业自行承担,如果没有外部监管,内部控制也就只能是纸上谈兵而不能够真正发挥作用。二、企业信息化风险的成因企业应用信息化系统,存在一定的风险,分析风险的目的不是要企业放弃实施信息化系统,而是要企业充
12、分估计风险,正确对待风险,认识到信息化的实施是管理项目而不仅仅是IT项目,并通过项目管理有针对性地管理风险,从而成功实施信息化。在当前的新形势下,我国企业的信息安全实践仍然面临着许多问题:第一,绝对安全的观念依然束缚着风险管理思想的树立。一味追求“绝对安全”使一些企业在信息安全建设中存在着人力物力等资源上的严重浪费,也使大多数中小型企业无力承担相应的费用。第二,主观上风险意识淡薄影响着对我国在信息安全上面临高风险形势的认识。大多数企业的最高管理层对信息资户所面临威胁的严重性认识不足,或者仅局限于TI方面的安全,没有形成一个合理的信息安全方针来指导企业的信息安全管理工作,这表现为缺乏完整的信息安
13、全管理制度,缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训,现有的安全规章不能严格执行,目前发生的安全事件许多是由于安全意识差所导致。第三,重视安全技术、轻视安全管理的情况依然存在。仍有相当一部分企业认为信息安全就是信息安全产品的堆砌,仅仅依赖安全产品。目前企业普遍采用现代通信技术、计算机和网络技术来构建企业的信息系统,以提高企业效率与竞争能力,但是相应的管理措施不到位。据有关资料显示,信息安全大约70%以上的问题是由管理方面的原因造成的,也就是说信息安全问题不仅应从技术方面着手,同时更应该加强信息安全的管理工作。第四,认为信息安全仅仅是信息技术部门的事,义务和责任都是TI部门的,
14、导致信息技术部门不能和企业内部的其他部门互动,从而形成一个孤岛。然而,信息安全的实现尤其是许多规章制度、规范标准的贯彻落实,涉及到企业的每一位员工,需要企业各个部门的全员行动。第五,信息安全管理缺乏系统管理的思想。大多数企业现有的安全管理模式仍是传统的管理方法,即出现了问题才去想如何补救,是一种就事论事、静态的管理,不是建立在信息安全风险评估基础之上的动态、持续改进的管理。第六,现代信息系统在规模上日益庞大,网络结构越来越复杂,因此现有的风险管理理论和手段难以完全满足有关要求,企业应当以国际上先进的信息安全风险管理理论和最佳实践为指导,并结合实际情况和需求,实现自身的信息安全。2信息化风险的生
15、成机理是复杂的,一方面是内因,由信息化自身的特点所决定:第一,信息化的无疆界特征;第二,信息化的低成本特征;第三,信息化的开放性特征;第四,信息化的匿名性特征。另一方面是外因,是信息化的风险源;我们把其中重要的归纳为十个方面:第一,自然灾害;第二,安全生产事故;第三,网络攻击;第四,借助信息化手段进行欺诈;第五,病毒和蠕虫;第六,内部泄密;第七,使用不当;第八,因内部因素而造成的信息、数据的修改和丢失;第九,因外部因素造成信息、数据的泄露、篡改和丢失;第十,安全防范措施不到位的高端技术。要解决这些问题,必须要在系统管理思想的指导下,以保证企业业务目标为最终目的,通过风险评估确定企业的安全状况,
16、发现安全隐患和问题;结合企业的安全需求,按照等级保护的原则选择保护方式;在整个企业的范围内,整合各方面的资源,建立风险意识的文化等等。归根到底,这些问题都是要通过信息安全风险管理来解决。三、构建企业信息化全面风险管理体系2006 年国资委正式出台了中央企业全面风险管理指引, 全面系统地阐述了风险管理流程和风险管理体系的构成。从国有资产出资人的角度, 对中央企业提出了风险管理的要求, 对企业风险管理的精细化, 包括内部控制等风险管理基础体系的建设做出了明确的指导和要求。企业全面风险管理体系由风险战略、风险管理职能、综合内控、风险理财及风险管理信息系统五个模块组成。风险战略是指导企业风险管理活动的
17、指导方针和行动纲领,是针对企业面临的主要风险设计的一整套风险处理方案;风险管理组织职能是风险管理的具体实施者,通过合理的组织结构设计和职能安排,可以有效管理和控制企业风险;内部控制作为全面管理体系的一部分,是通过针对企业的各个主要业务流程设计和实施一系列政策、制度、规章和措施,对影响业务流程目标实现的各种风险进行管理和控制;风险理财是指企业运用金融手段来管理、转移风险的一整套措施、政策和方法;风险管理信息系统是传输企业风险和风险管理状况的信息系统,其包括企业信息和运营数据的存储、分析、模型、传送及内部报告和外部的披露系统。(一)明确企业信息化中全面风险管理的目标全面风险管理体系的总体目标就是为
18、企业实现其经营目标提供合理的保证,也就是为了保证企业经营目标的实现,将企业的风险控制在由企业战略决定的范围之内。同时,企业建立全面风险管理体系还可以确保企业遵守有关法律法规,确保企业内外部尤其是企业与股东之间实现真实、可靠的信息沟通,保障企业经营管理的有效性,提高经营效率,保护企业不至于因灾害性事件或人为失误而遭受重大损失。企业整合风险管理体系将达到以下目标:(1)从企业战略出发,统一风险度量,建立风险预警机制和应对策略;(2)明确企业不同层面的风险管理职责,保证风险管理体系的落实;(3)形成风险信息的收集、分析、报告系统,为风险的实时有效监控和应对提供依据;(4)有效地规避可能给企业造成重大
19、损失的风险,保证企业战略目标的实现;(5)企业利益相关者能够了解企业的风险,满足股东、债权人以及监管机构的要求;(6)形成一套自我运行、自我完善的风险管理机制。(二)设置信息化全面风险管理关键点1.风险评估与诊断系统地辨识企业所面临的风险,并对辨识出的风险进行定性和定量的分析,评价风险对企业目标的影响。评估企业风险管理体系的整体水平,诊断对于重大风险管理的应对手段,把握企业了解当前的风险管理现状,提出改进的建议方案。2.风险管理战略及其实施方案依据企业的整体战略,并结合企业的管理能力,明确企业的风险管理目标;针对不同的关键风险,引入量化分析工具,确定风险偏好和承受度;制订保证企业整体战略目标实
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 信息化 风险 管理 教案 资料
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。