企業(yè)信息化風險匯總十篇

時間：2023-03-13 11:02:11

序論：好文章的創(chuàng)作是一個不斷探索和完善的過程，我們?yōu)槟扑]十篇企業(yè)信息化風險范例，希望它們能助您一臂之力，提升您的閱讀品質(zhì)，帶來更深刻的閱讀感受。

企業(yè)信息化風險

篇（1）

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 (2012) 08-0000-02

隨著信息時代的到來，越來越多的企業(yè)經(jīng)營者已經(jīng)認識到企業(yè)信息化的重要性。企業(yè)信息化可以在根本上改變企業(yè)的生存和競爭環(huán)境，對幫助企業(yè)改善內(nèi)部管理效率，節(jié)約成本、提高競爭力等方面具有重要的作用。

目前，我國大型集團企業(yè)資金雄厚，管理相對完善，信息化基礎普遍較高。但受資本結(jié)構(gòu)多元化，產(chǎn)業(yè)多樣化，以及外部市場環(huán)境約束多等方面的限制，在信息化規(guī)劃方面存在很多風險。如果不做好信息化規(guī)劃工作，就會帶來整個系統(tǒng)的不穩(wěn)定及巨大的浪費。

一、集團企業(yè)信息化規(guī)劃中的風險

（一）與企業(yè)戰(zhàn)略脫節(jié)的風險

企業(yè)戰(zhàn)略是未來發(fā)展方向的關鍵要素，信息化的根本目的是支持業(yè)務戰(zhàn)略的實現(xiàn)，而IT戰(zhàn)略是IT規(guī)劃的總綱，它定義了信息化的使命、愿景和原則。集團企業(yè)熱衷于制訂企業(yè)的戰(zhàn)略，包括成長戰(zhàn)略、創(chuàng)新戰(zhàn)略、經(jīng)營戰(zhàn)略等等，涵蓋了從內(nèi)外部環(huán)境分析到目標及措施的描述，

在我國集團企業(yè)的信息化規(guī)劃實施中，最常見的情況就是沒有清晰定義的IT戰(zhàn)略，未能根據(jù)企業(yè)戰(zhàn)略同步調(diào)整信息化規(guī)劃，導致信息化規(guī)劃和企業(yè)發(fā)展戰(zhàn)略脫軌，僅僅在形式上給出了與業(yè)務戰(zhàn)略相一致的描述，但實際上對企業(yè)和電子政務戰(zhàn)略的有效支持自然無從談起，這種將信息化規(guī)劃與企業(yè)戰(zhàn)略人為剝離的做法，最終使企業(yè)信息化規(guī)劃IT戰(zhàn)略缺乏與業(yè)務戰(zhàn)略相結(jié)合。

甚至有一些集團企業(yè)盲目認為標桿企業(yè)的規(guī)劃就代表了信息化趨勢，因此在制訂信息化規(guī)劃時完全不顧自己的戰(zhàn)略方向，照抄標桿企業(yè)的信息化規(guī)劃方案，最終導致信息系統(tǒng)應用無法適應業(yè)務和技術(shù)的變化。

（二）缺乏專業(yè)信息化規(guī)劃的風險

目前，我國集團企業(yè)前身大多為老企業(yè)，其業(yè)務比較復雜，信息化建設起步晚，缺乏專業(yè)的信息化規(guī)劃部門，而直接將信息化規(guī)劃交給信息部門負責。企業(yè)中的信息部門做規(guī)劃時往往會將更多的精力放在技術(shù)問題的解決上，卻忽略企業(yè)戰(zhàn)略層面宏觀把握。同時企業(yè)缺乏既懂企業(yè)管理又懂信息技術(shù)的綜合性管理人才，給集團企業(yè)的信息化規(guī)劃造成了一定程度的風險。

也有很多集團企業(yè)將信息化規(guī)劃工作直接委托咨詢公司，咨詢公司牽頭的規(guī)劃雖有成熟方法和豐富經(jīng)驗，但也存在很多缺陷。由咨詢公司進行的企業(yè)信息化規(guī)劃往往和企業(yè)出現(xiàn)水土不服的現(xiàn)象，其根結(jié)在于咨詢公司不易深入企業(yè)的實際運作，無法把握癥結(jié)所在，導致其制訂的信息化規(guī)劃只能從宏觀上把握正確方向，卻無法與企業(yè)實際相結(jié)合。

（三）缺乏整體性和統(tǒng)一性的風險

目前，我國集團企業(yè)的信息化規(guī)劃大多僅限于操作層面和單項應用上，由多業(yè)務模塊組成的集團企業(yè)，由于各子公司的信息化應用水平參差不齊，需求和建設重點也各不相同，缺乏企業(yè)信息化發(fā)展的整體性和統(tǒng)一性。作為集團層面的信息化規(guī)劃很容易忽略集團與子公司，子公司之間互通的整體網(wǎng)絡及系統(tǒng)平臺規(guī)劃，從而陷入業(yè)務模塊各行其是的誤區(qū)。

集團企業(yè)的統(tǒng)一信息系統(tǒng)平臺的目標是要整合企業(yè)信息資源和應用，建立企業(yè)的信息基礎平臺和架構(gòu)，從而加強企業(yè)操作層的應用系統(tǒng)的系統(tǒng)性、管理層的集約性、決策的可控性。如果集團企業(yè)層面不能有效地實現(xiàn)在統(tǒng)一的信息系統(tǒng)平臺上監(jiān)管各分、子公司和項目部，那么集團企業(yè)的信息化規(guī)劃將成為空談。

（四）信息技術(shù)選擇的風險

信息技術(shù)選擇風險是導致信息化規(guī)劃失敗的重要原因之一。在做信息化規(guī)劃時，集團企業(yè)大多受市場最低價格中標的思維定勢影響，恪守“少花錢，多辦事”的原則，在軟件選型、硬件選型，機房建設到網(wǎng)絡平臺建設等方面均走低端路線，這是直接導致信息化規(guī)劃失敗的原因。一方面，信息技術(shù)發(fā)展日新月異，盲目追求廉價產(chǎn)品只會導致系統(tǒng)和設備加快被淘汰的速度，增加了企業(yè)再次投資的成本；另一方面，作為集團企業(yè)的統(tǒng)一信息管理平臺，其數(shù)據(jù)庫平臺至關重要，一旦發(fā)生軟件或者硬件上的泄密，后果不堪設想。因此，最佳的信息技術(shù)選擇是要與業(yè)務需求相匹配，有效控制成本。

IT管制體系的建設和優(yōu)化對于集團企業(yè)的信息化規(guī)劃也非常重要，往往被企業(yè)所忽略。集團企業(yè)的信息化建設工作并不是系統(tǒng)上線就結(jié)束，更多的工作在于系統(tǒng)的推廣、維護和優(yōu)化。信息系統(tǒng)的風險會隨著企業(yè)對信息化應用的不斷深入，以及企業(yè)對信息化依賴加強的同時逐漸暴露，如信息安全的隱患、系統(tǒng)故障給業(yè)務帶來的影響等等。

二、解決集團企業(yè)信息化規(guī)劃風險的對策

（一）結(jié)合企業(yè)戰(zhàn)略制定信息化規(guī)劃

信息化規(guī)劃是以企業(yè)戰(zhàn)略為指針，順利推進集團企業(yè)信息化規(guī)劃要與企業(yè)的戰(zhàn)略規(guī)劃結(jié)合起來。集團企業(yè)的信息化規(guī)劃應橫向緊密結(jié)合企業(yè)內(nèi)部管理、經(jīng)營活動管理和工程項目管理三大塊內(nèi)容。同時，企業(yè)信息化是一個漸進的過程，在信息化的過程中也伴隨著企業(yè)戰(zhàn)略、管理和業(yè)務變革的過程。

結(jié)合企業(yè)戰(zhàn)略制定信息化規(guī)劃需要研究集團企業(yè)的發(fā)展戰(zhàn)略，包括其品牌措施、經(jīng)營戰(zhàn)略人才戰(zhàn)略、創(chuàng)新機制等，并對信息化戰(zhàn)略的制訂進行指導；切實做好企業(yè)信息化基礎設施的調(diào)查工作，從硬件、網(wǎng)絡、安全、人員、技術(shù)、資金、制度等方面入手，分析企業(yè)內(nèi)部管理、經(jīng)營活動管理和工程項目管理三大塊內(nèi)容對信息系統(tǒng)的依賴程度，并確定最適合企業(yè)實際需要的基礎數(shù)據(jù)、業(yè)務需求等；對企業(yè)行業(yè)發(fā)展趨勢及最新的信息技術(shù)、產(chǎn)品進行全面了解，根據(jù)企業(yè)信息化戰(zhàn)略規(guī)劃所描繪出的藍圖中各種業(yè)務與技術(shù)標準，選擇最適合集團企業(yè)實際情況的信息化技術(shù)。

（二）成立專門的信息化規(guī)劃部門

我國的集團企業(yè)在信息化規(guī)劃上應逐步擺脫對信息部門或咨詢公司的依賴，在企業(yè)內(nèi)部成立專門的信息化規(guī)劃部門。信息化規(guī)劃部門以集團總經(jīng)理為中心，以集團各業(yè)務部門負責人為主要成員，他們熟悉集團以及各分子公司的職能戰(zhàn)略，并能在方向上把握集團層面的信息化戰(zhàn)略、規(guī)劃和預算，因此可以對企業(yè)流程進行深入剖析，直接參與制訂信息化規(guī)劃，同時負責協(xié)調(diào)規(guī)劃制訂過程中管理層與業(yè)務層、集團與各子公司之間等各方面關系；集團企業(yè)的信息化規(guī)劃部門要不斷通過課堂、網(wǎng)絡培訓、以及大型項目鍛煉等方式，培養(yǎng)既懂信息技術(shù)又懂建筑業(yè)管理的人才，為集團企業(yè)的信息化規(guī)劃提供人員技術(shù)保障。

（三）通過業(yè)務整合完成整體規(guī)劃

集團型建筑業(yè)企業(yè)的信息化規(guī)劃目的就是要消除信息孤島，使信息系統(tǒng)在集團統(tǒng)一的框架下進行科學的管理、設計與實施，不可避免的需要對業(yè)務流程進行整合，包括重組和優(yōu)化。受傳統(tǒng)工作方式及觀念影響深，加上信息化管理在建筑企業(yè)短期內(nèi)看不到效益，進行業(yè)務整合、消除割裂，必然會受到重重阻力。應堅定以經(jīng)營管理為方向，以企業(yè)內(nèi)部管理為信息存儲中心，推動集團與各分、子公司及工程項目部打破組織壁壘，提升供應鏈中所有組織的績效水平，達到整體規(guī)劃目的。

（四）結(jié)合企業(yè)實際特點進行規(guī)劃

集團企業(yè)在做信息化規(guī)劃時，要對知名度較高、較為成熟的軟件商進行考察，對軟件的硬件運行環(huán)境進行全面了解，并結(jié)合集團企業(yè)和行業(yè)的特點對軟件商提出測試和現(xiàn)場演示的要求。保證每種業(yè)務模式的動態(tài)數(shù)據(jù)都能實現(xiàn)實時傳輸、實時監(jiān)控和預警管理。這些都需要由企業(yè)結(jié)合本企業(yè)的實際特點，培養(yǎng)的專業(yè)技術(shù)人員，在做好信息化規(guī)劃工作。

三、結(jié)語

對集團企業(yè)來說，信息化建設是企業(yè)登上國際舞臺的必由之路。目前，我國集團企業(yè)整體信息化水平較低，信息化規(guī)劃的重要性還未引起足夠重視。集團企業(yè)應遵循科學的方法，成立專門的信息化規(guī)劃部門，結(jié)合企業(yè)戰(zhàn)略制定信息化規(guī)劃和企業(yè)實際特點，通過業(yè)務整合完成整體規(guī)劃制定企業(yè)長期、中期、近期信息化戰(zhàn)略，合理規(guī)避信息化規(guī)劃中的風險，有效保證規(guī)劃的落地、實施。

參考文獻：

[1]高穎.建筑施工企業(yè)信息化建設與管理方案探析[J].科教新報(教育科研),2011,40

[2]何強.煤礦企業(yè)信息化建設中存在問題的思考及對策[J].煤炭技術(shù),2008,7

篇（2）

引言

企業(yè)信息化是一項復雜的系統(tǒng)工程,在企業(yè)信息化過程中存在諸多的不確定風險因素,這些因素往往導致信息化偏離預定目標,使得在企業(yè)信息化建設中,系統(tǒng)有的設計不良,信息不準確,有的交付后沒有使用或使用很少,有的超過預算并嚴重拖延工期,甚至造成項目失敗。據(jù)統(tǒng)計,在實施信息化的企業(yè)當中,對其效果感到滿意的企業(yè)僅占總數(shù)的6%,較滿意的企業(yè)占52%,不滿意的企業(yè)占26%。因此,如何有效治理企業(yè)信息化風險,保證企業(yè)信息化的成功實施,保護企業(yè)投資并使企業(yè)獲得價值提升,是國內(nèi)外理論界和實務界要解決的重要課題。本文意在分析企業(yè)信息化的風險特征和成因,為企業(yè)信息化風險防范提供對策,以促進企業(yè)信息化建設的成功和戰(zhàn)略目標的實現(xiàn)。

一、企業(yè)信息化風險及其特征

1.企業(yè)信息化風險

風險是在追求利益過程中出現(xiàn)的與利益相背離的價值取向,是可能影響組織目標實現(xiàn)的事件發(fā)生的不確定性,是一種遭受損失的可能性,是一種介于確定性和不確定性之間、無知和完整知識之間的狀態(tài)。企業(yè)信息化風險是指企業(yè)在實行信息化項目過程中,由于外部環(huán)境和信息本身的原因,使得企業(yè)不能有效地保護自身重要信息或不能充分地獲取、利用外部信息或影響了企業(yè)內(nèi)外部信息的傳遞、交流等,以至造成企業(yè)難以確保其所擁有的信息的完整性、安全性、真實性、及時性和有效性,進而對企業(yè)的正常經(jīng)營活動帶來危險,甚至可能對企業(yè)實現(xiàn)其目標或成功實施其戰(zhàn)略的能力產(chǎn)生負面的影響,使企業(yè)遭受損失。現(xiàn)階段企業(yè)信息化建設已經(jīng)從單項應用發(fā)展到綜合應用,從技術(shù)推動發(fā)展到變革推動,從戰(zhàn)術(shù)層面發(fā)展到戰(zhàn)略層面,這一系列的轉(zhuǎn)變會遭遇信息化過程中各個階段的風險問題。

2.企業(yè)信息化項目的風險特征

信息化項目是通過技術(shù)應用、需求實現(xiàn)、信息加工、流程優(yōu)化、業(yè)務變革、管理創(chuàng)新等要素的緊密互動、協(xié)同作用,不斷提高社會、政府、企業(yè)或個人的工作、生活的效率和水平,從而促進社會生產(chǎn)力和現(xiàn)代化發(fā)展的過程,存在復雜、復合、涉及面廣、周期長、有形和無形同在的個性化特點,比一般工程項目管理要更為困難和艱巨,項目風險管理有以下特征。

(1)項目規(guī)劃階段的風險特征

信息化項目規(guī)劃階段主要是根據(jù)企業(yè)目標制定企業(yè)信息化戰(zhàn)略規(guī)劃,確定企業(yè)信息化的預期目標。通過多視角對企業(yè)的經(jīng)營、技術(shù)、業(yè)務進行分析,進行信息化的總體設計和規(guī)劃,選擇合適的技術(shù)方案,通過建立合適的IT組織結(jié)構(gòu),加強溝通和管理機制,為信息化的實施選擇和配備合理的人員和項目進度計劃安排,以保證信息化的順利實施。在信息化項目規(guī)劃時,如果決策層不能對項目風險進行冷靜科學地分析,并對決策方案作出合理選擇,會對后期項目的實施和應用造成不利影響,甚至會因先天不足導致項目推進失敗。

(2)項目實施階段的風險特征

根據(jù)國際上通行的項目實施方法論,一個綜合性的重大信息化項目的實施,通常包括資源準備、現(xiàn)狀分析、藍圖設計、系統(tǒng)開發(fā)配置、系統(tǒng)上線、成果評估驗收等幾個環(huán)節(jié)。每個環(huán)節(jié)都有明確的任務和交付件,并作為下一環(huán)節(jié)工作的基礎。項目實施階段的風險,一是取決于規(guī)劃階段是否準確預見了項目的風險,并采取了有效規(guī)避風險的決策方案;二是項目實施過程會涉及到組織、權(quán)限和流程的重新調(diào)整,極有可能會面臨來自主、客觀方面的各種阻力和挑戰(zhàn),如果因認識不當、組織不嚴、領導不力、資源不足而盲目推進,會導致項目延誤甚至失敗。

(3)項目應用階段的風險特征

信息化項目完成實施并進入應用階段后,風險并沒有完全解除,還存在影響信息化建設成果能否發(fā)揮實際功效的潛在風險,具體表現(xiàn)在:一是因為實施階段不能按預期目標高質(zhì)量地完成項目實施任務而存在各種隱患,導致項目存在使用問題的風險,比如,因系統(tǒng)測試不深入、配置不完整、初始化不準確或者項目組織和功能調(diào)整不到位而使系統(tǒng)不能有效應用的風險;二是因為系統(tǒng)運行環(huán)境和支持保障體系的不健全而導致項目成果不能安全、持續(xù)、正常的應用風險,比如,因不能向客戶提供滿意的使用培訓,不能有效應對黑客和病毒對系統(tǒng)的攻擊,不能及時解決系統(tǒng)運行中面臨的技術(shù)故障等問題使項目應用效果大受影響。

二、企業(yè)信息化風險因子分析

1.項目規(guī)劃階段的風險因子分析

企業(yè)信息化項目規(guī)劃階段是企業(yè)信息化中的一個至關重要的階段,為企業(yè)信息化的實施明確方向和目標,通過企業(yè)信息化規(guī)劃和組織,制定總體戰(zhàn)略規(guī)劃,確定信息技術(shù)結(jié)構(gòu),選擇信息技術(shù)方案,管理企業(yè)信息化投資預算,設立信息化組織架構(gòu),合理安排人力資源,制定企業(yè)信息化的進度計劃,建立有效的溝通機制和質(zhì)量保證體系。本階段的基本風險可以從技術(shù)、經(jīng)濟、管理、企業(yè)的戰(zhàn)略方針、內(nèi)外部經(jīng)營環(huán)境等方面來識別,主要包括以下風險因子:(1)項目需求分析的風險;(2)環(huán)境與資源支持度的風險;(3)開發(fā)方式與項目方選擇的風險;(4)項目合同的風險;(5)項目建設組織的風險。

2.項目實施階段的風險因子分析

項目實施階段要確保企業(yè)需求的一致性,按計劃獲取信息化所需的軟硬件資源,通過自行開發(fā)或外包的方式獲得滿足企業(yè)需求的應用系統(tǒng),在用戶的積極參與下,進行相關的功能和性能測試,并完成整個系統(tǒng)的安裝、調(diào)試和授權(quán)。本階段的基本風險可以從管理變革、項目進度、成本和質(zhì)量等方面來識別,主要包括以下風險因子:(1)項目質(zhì)量控制的風險;(2)項目進度與成本控制的風險;(3)項目相關工作規(guī)范化與標準化的風險;(4)項目組成員流失風險因子;(5)項目文檔管理的風險。

3.項目應用階段的風險因子分析

在項目應用階段,信息化被交付使用,通過對用戶進行相關的培訓,并在用戶使用期間為用戶提供相應的技術(shù)支持,保證系統(tǒng)的正常運作、服務連續(xù)性和系統(tǒng)安全。本階段的基本風險可以從系統(tǒng)性能、系統(tǒng)安全、系統(tǒng)維護與管理等方面來識別,主要包括以下風險因子:(1)需求膨脹的風險;(2)項目應用人員管理的風險;(3)對項目平臺/環(huán)境/方法不熟悉的風險;(4)工作量估計不準確的風險;(5)缺乏高層管理者的承諾和支持的風險;(6)系統(tǒng)安全的風險。

三、企業(yè)信息化風險的防范對策

企業(yè)信息化的整體推進過程中,會不可避免地遇到風險問題,它的產(chǎn)生會令企業(yè)蒙受巨大的災難和損失,應該重視信息化風險問題的存并做好充分的防范對策。

1.信息化要以企業(yè)需求為導向,明確信息化的戰(zhàn)略規(guī)劃

從企業(yè)的經(jīng)營戰(zhàn)略、體制、技術(shù)、管理、人力資源、行業(yè)環(huán)境等方面,對企業(yè)進行全面的自我診斷,確定本企業(yè)信息化建設的關鍵需求,并確立明確的目標。企業(yè)處在不同的行業(yè),不同的發(fā)展階段和其規(guī)模的大小,對信息化的需求就不盡相同[5]。企業(yè)信息化包括四個方面的內(nèi)容,分別是生產(chǎn)作業(yè)層的信息化、管理辦公層的信息化、戰(zhàn)略決策層的信息化、協(xié)作商務層的信息化,其中,前三者則是基于企業(yè)內(nèi)部的,協(xié)作商務層是基于企業(yè)與外部聯(lián)系的。企業(yè)在進行信息化規(guī)劃時,對信息化的建設應該做出先后安排,先解決企業(yè)的瓶頸問題。原則上,信息化應該自上而下,由里到外,因為這樣數(shù)據(jù)才取自于源頭,真實、有效。

2.加強企業(yè)信息部門建設,認真做好情報收集工作

信息時代的到來要求企業(yè)有能力在變化莫測的市場中掌握充分的市場信息,以力求決策的準確性,避免缺乏相關的市場信息而導致決策的失誤。企業(yè)要想擺脫信息不完全或不對稱帶來的損失,必須在成本許可的范圍內(nèi),努力獲取和掌握企業(yè)所需的信息,而要做到這些就必須重視信息情報工作。企業(yè)可以組建自己的情報部門,也可以借助于專業(yè)性的商業(yè)情報機構(gòu),來幫助企業(yè)獲取有利于自己的重要信息,以減少環(huán)境中的不確定因素,使決策更準確,更有相對性。

3.建立健全信息化項目評估體系,提高投資效益和效果

企業(yè)投入大量資金要上信息化項目,能否達到預期效果、實施結(jié)果如何,就需要對項目的實施績效進行評估。這是企業(yè)考核項目建設和經(jīng)營業(yè)績必需的手段。企業(yè)信息化實施效益的評估的主要是從定性和定量角度,對信息化建設帶來的直接與間接效益、短期與長期收益進行評估,以提高投資效益和效果,有利于發(fā)現(xiàn)信息化中的風險,以避免風險而帶來的市場動蕩。

4.提高企業(yè)員工對信息化的認識,主動適應管理環(huán)境的變化

企業(yè)從上至下對于信息化的認識上的缺失和偏差,是信息化建設中關鍵的風險和阻礙。信息化不光是技術(shù)上的、硬件上的,更多是軟件和管理層次的,信息技術(shù)可以促進企業(yè)經(jīng)營管理技術(shù)的變革,促進企業(yè)管理的創(chuàng)新。企業(yè)在信息化推進的進程中來自管理觀念、工作習慣、利益分配、企業(yè)文化等方面的脫胎換骨的變化,對習慣于傳統(tǒng)管理方式的領導和員工造成強烈的沖擊和反差,如果不主動接受、適應并調(diào)整,會出現(xiàn)管理混亂,效益低下,使信息化流于形式。企業(yè)要努力提高全體員工對企業(yè)信息化管理的認識,要學會適應管理環(huán)境的新變化,打破原有的、已固化的思維方式,在思想上首先接納信息化的管理模式,并改變自己的行為方式,通過科學的信息化管理工具,使企業(yè)的經(jīng)營和管理水平上一個臺階。

四、結(jié)束語

企業(yè)的信息化建設,伴隨著管理模式的深刻變革,是一個漸進的、動態(tài)的增效過程,風險與收益始終伴隨著企業(yè)。只有充分學習和加強認識,準確識別風險的來源,通過采取有效的風險防范措施,最大限度的降低風險,發(fā)揮系統(tǒng)的整體效益,才能促進企業(yè)信息化的目標實現(xiàn)。

參考文獻:

[1]陳亮王燕:企業(yè)信息化實施過程中的風險及其防范[J].現(xiàn)代情報,2006,26(9):175～178

[2]Gary StoneBurner, Risk Management Guide for Information Technology Systems, National Institute of Standards and Technology, 2002

篇（3）

中小企業(yè)在我國經(jīng)濟構(gòu)成中占有十分重要的地位，占全部企業(yè)總數(shù)的99%以上，占國內(nèi)生產(chǎn)總值的50%。與大型企業(yè)乃至世界先進工業(yè)國家的中小企業(yè)相比，我國中小企業(yè)普遍存在著人才缺乏、資金短缺、技術(shù)落后、信息滯后、管理水平低和協(xié)同能力差等一系列問題。從企業(yè)發(fā)展而言，沒有信息化的企業(yè)是不可能在未來的競爭中生存下來的。所以，即使是本已“捉襟見肘”的中小企業(yè)，也一定要在信息化中保留一定的投入，以保證企業(yè)未來的發(fā)展。如何有效地認識并規(guī)避信息化中的風險，用好有限的資金，發(fā)揮最大的效益，無疑是中小企業(yè)在信息化進程中最關心的話題。

一、中小企業(yè)信息化的主要風險

（一）來自于企業(yè)信息化建設中的動機風險

有些企業(yè)僅僅增加與信息化建設相關的少量設備，就向外宣傳已經(jīng)實現(xiàn)信息化，但是生產(chǎn)經(jīng)營效率并未提高。中小企業(yè)更多是民營企業(yè)，經(jīng)濟實力比較弱，不像大企業(yè)有計劃有預算地實施信息化，對信息化的理解不是很深入，為了信息化而信息化。實施信息化的動機本身就是對“信息化”的曲解，必然不可能從根本上提升管理水平，促進戰(zhàn)略目標的實現(xiàn)，根據(jù)這樣的動機來實施信息化，其風險性非常大。

（二）來自于信息化建設中的觀念和認識的風險

企業(yè)領導往往關注的是如何把資金用于信息化基礎設施建設方面，而很少去關注信息化建設中潛在的觀念意識與管理等軟件方面的問題。很多中小企業(yè)認為信息化就是買機器、建網(wǎng)或開發(fā)幾個應用軟件，是IT部門的事。中小企業(yè)對信息化的認識不足，表現(xiàn)在：對信息化認識過于簡單化；對信息化項目的實施抱以過高的期望；把信息化等同于技術(shù)改造；對實施信息化存在不切合實際的想法，認為信息化可以解決一切問題，信息系統(tǒng)可以代替企業(yè)家和管理人員等等。這些觀念方面的差異，使?jié)撛陲L險存在于項目建設和實施中，很難規(guī)避。

（三）來自于信息化管理中的組織與人員的風險

中小企業(yè)很難找到一批IT業(yè)的高級人才，專職的IT人員薪水又較高，且往往需要更大的空間學習和交流，中小企業(yè)本身提供的環(huán)境可能留不住這些人才，人才的匱乏引發(fā)的項目支持風險，勢必會影響信息化實施的進程和效果。在組織的建設與管理中，企業(yè)自身的基礎管理的規(guī)范化程度，對管理瓶頸問題的識別，管理人員的素質(zhì)等等，都是影響信息化成敗的關鍵。信息化風險就是企業(yè)轉(zhuǎn)型的風險，或者說企業(yè)面對新時代、新環(huán)境的適應性風險。

二、中小企業(yè)如何規(guī)避信息化中潛在的風險

（一）信息化要以企業(yè)需求為導向

作為中小企業(yè)，能夠投入信息化建設的資金肯定不會太多，因此要考慮怎樣“少花錢、多辦事”。首先應從企業(yè)內(nèi)部需求著手，即從企業(yè)的經(jīng)營戰(zhàn)略、體制、技術(shù)、管理、人力資源、行業(yè)環(huán)境等方面，對企業(yè)進行全面的自我診斷，確定本企業(yè)信息化建設的關鍵需求，并確立明確的目標。不同行業(yè)的企業(yè)，不同發(fā)展階段的企業(yè)，不同發(fā)展規(guī)模的企業(yè)，對信息化的需求就不盡相同。如信息化基礎較差的中小企業(yè)，可考慮先進行企業(yè)基礎工作的信息化，如實施OA，財務電算化、產(chǎn)品輔助設計和人力資源管理系統(tǒng)等，切忌貪大求全求新。而對于信息化基礎較好的企業(yè)，應根據(jù)企業(yè)實際需求適時選擇管理軟件，優(yōu)先解決企業(yè)發(fā)展的“瓶頸”問題，然后打通上下游，從單一職能的信息化到多職能的信息化，如計算機輔助制造、財務管理到ERP、CRM等的應用，循序漸進，以提高企業(yè)管理水平和發(fā)展能力，增強企業(yè)的競爭力。要著眼于應用，認真分析企業(yè)現(xiàn)狀及最迫切需要解決的問題，制訂科學合理的信息化目標，選擇適宜的實施路線，科學、合理地安排實施計劃。

（二）提高全體員工對企業(yè)信息化管理的認識，主動適應管理環(huán)境的新變化

企業(yè)從上至下對于信息化的認識上的缺失和偏差，是信息化建設中關鍵的風險和阻礙。信息化不光是技術(shù)上的、硬件上的，更多是軟件和管理層次的，信息技術(shù)可以促進企業(yè)經(jīng)營管理技術(shù)的變革，促進企業(yè)管理的創(chuàng)新。企業(yè)在信息化推進的進程中來自管理觀念、工作習慣、利益分配、企業(yè)文化等方面的脫胎換骨的變化，對習慣于傳統(tǒng)管理方式的領導和員工造成強烈的沖擊和反差，如果不主動接受、適應并調(diào)整，會出現(xiàn)管理混亂，效益低下，使信息化流于形式。企業(yè)管理的制度和流程上的重大變革，管理理念的本質(zhì)的變化，會影響到企業(yè)中每一位員工。中小企業(yè)要努力提高全體員工對企業(yè)信息化管理的認識，要學會適應管理環(huán)境的新變化，打破原有的、已固化的思維方式，在思想上首先接納信息化的管理模式，并改變自己的行為方式，通過科學的信息化管理工具，使企業(yè)的經(jīng)營和管理水平上一個臺階。

（三）建立和完善健全的管理制度并有效地執(zhí)行

企業(yè)管理制度的深刻變革和管理模式的再造是企業(yè)信息化建設的本質(zhì)。企業(yè)管理制度的建立、改進、完善和實施是信息化管理模型設計、構(gòu)建、修改、優(yōu)化的基礎。有了好的管理模型，只通過信息化的管理手段還不能實現(xiàn)真正意義上的企業(yè)信息化，健全的管理制度才是企業(yè)信息化管理模型重塑和有效運轉(zhuǎn)的根本保證。同時，還必須堅定不移地執(zhí)行，才可能適應瞬息萬變的市場。信息化建設通過企業(yè)基礎數(shù)據(jù)的信息化、企業(yè)基本業(yè)務流程和事務處理的信息化、企業(yè)內(nèi)部控制及實施控制過程的信息化、人的行為規(guī)范管理等企業(yè)基礎管理信息化工程，確保企業(yè)在規(guī)模不斷擴大和業(yè)務迅速發(fā)展的過程中保持堅實的管理基礎，促進企業(yè)的可持續(xù)發(fā)展。

（四）實施信息化的過程就是一個全員學習的過程

企業(yè)信息化強調(diào)的不僅是計算機軟硬件，更強調(diào)人、管理、技術(shù)之間的有機集成。其中“人”是第一位的因素，而處于主導地位的企業(yè)領導決策層首先要加強自身的學習，了解管理科學與信息技術(shù)的最新發(fā)展，對信息化給予正確理解和足夠重視。只有中小企業(yè)的管理層、決策層掌握了先進的信息化理念和知識，才能順利推進中小企業(yè)信息化進程。同時應高瞻遠矚，敢于投入，引進一定數(shù)量的信息技術(shù)骨干人才，培養(yǎng)企業(yè)自己的信息化人才。

企業(yè)信息化關鍵的資源是人，開發(fā)這一資源的手段是學習和教育，建立學習型組織是知識經(jīng)濟時代提高企業(yè)應變能力最重要的途徑。企業(yè)要營造一個良好的學習環(huán)境，建立一個有效的學習機制。企業(yè)領導、專業(yè)技術(shù)人員和員工都要通過學習改變傳統(tǒng)管理觀念和習慣，適應新的工作方式和業(yè)務流程。在信息化項目啟動前，借助第三方咨詢機構(gòu)，對上至董事長、總經(jīng)理，下至普通員工就信息化的意義、必要性、基本知識技能、預期效果等進行全員培訓，以盡快形成全體員工對信息化建設總體思路、步驟等的共識，明確自己所應擔當?shù)慕巧桶l(fā)揮的作用，增強員工參與度、積極性和創(chuàng)造性，克服阻力，提高項目成功率。

中小企業(yè)的信息化建設是一個漸進的、動態(tài)的增效過程，風險與收益始終伴隨著企業(yè)。只有充分學習和加強認識，了解其中隱含的風險，有的放矢地對企業(yè)的職能組織結(jié)構(gòu)、業(yè)務流程中存在的問題進行有效改良，并借助信息技術(shù)的平臺，通過完備健全的管理制度和優(yōu)良的人力資源的協(xié)調(diào)，發(fā)揮系統(tǒng)的整體效益，才能實現(xiàn)中小企業(yè)的信息化目標。

參考文獻：

[1]鄭會頌.企業(yè)信息化與信息系統(tǒng)[M].北京：人民郵電出版社.2003.

[2]金淀.中小企業(yè)信息化建設的問題與對策[J].企業(yè)研究.2005（1）.

篇（4）

企業(yè)信息化作為推動和實現(xiàn)企業(yè)體制創(chuàng)新、技術(shù)創(chuàng)新、管理創(chuàng)新，增強企業(yè)核心競爭力的重要手段和必由之路，已為我國許多企業(yè)普遍認同，并成為他們的戰(zhàn)略選擇。同時企業(yè)信息化又是一場高風險的管理革命，據(jù)統(tǒng)計，在企業(yè)信息化的實施項目中，只有15％左右能按期按預算成本進行項目實施和系統(tǒng)集成；約一半的項目會在實施中流產(chǎn)或失敗。

一、中小企業(yè)信息化的主要風險

1．來自于企業(yè)信息化建設中的動機風險

目前存在一種現(xiàn)象，就是企業(yè)僅僅增加信息化建設的相關設備，企業(yè)就向外宣傳企業(yè)已經(jīng)實現(xiàn)了信息化，而不能真正地提高生產(chǎn)經(jīng)營效率。很多中小企業(yè)實施“信息化”的目的并不是為了用信息化提升管理水平、提升企業(yè)的核心競爭能力，而是為了打造所謂的“領導工程”和“面子工程”；或是迫于行政或輿論壓力；或是盲目跟風和攀比。中小企業(yè)經(jīng)濟實力比較弱，更多是民營企業(yè)，不像大企業(yè)有計劃有預算地實施信息化，特別是在對信息化的理解不是很深入的情況下，很多是為了信息化而信息化。這些實施信息化的動機本身就是對“信息化”的曲解，必然不可能從根本上提升管理水平，促進戰(zhàn)略目標的實現(xiàn)，根據(jù)這樣的動機來實施信息化，其風險性非常大。

2．來自于信息化建設中的觀念和認識的風險

在信息化建設中，企業(yè)領導往往關注的是如何把投資用于信息化基礎設施和購買軟、硬件產(chǎn)品等，而很少去關心信息化建設中所潛在的來自于企業(yè)的觀念意識與管理等軟件方面的問題。很多中小企業(yè)認為信息化就是買機器、建網(wǎng)或開發(fā)幾個應用軟件，信息化是IT部門的事。中小企業(yè)對信息化的認識不足，表現(xiàn)在：對信息化認識過于簡單化；對信息化項目的實施抱以過高的期望；把信息化等同于技術(shù)改造；對實施信息化存在不切合實際的想法，認為信息化可以解決一切問題，信息系統(tǒng)可以代替企業(yè)家和管理人員等等。觀念導向方面的差異直接影響了企業(yè)各個層面對于信息化應用的接受程度，在項目的建設和實施中形成一項關鍵的潛在風險。

3．來自于信息化管理中的組織與人員的風險

中小企業(yè)信息化建設首先面臨的就是人才問題。中小企業(yè)很難找到一批IT業(yè)的高級人才，專職的IT人員薪水又較高，且往往需要更大的空間學習和交流，中小企業(yè)本身提供的環(huán)境可能留不住這些人才，人才的匱乏引發(fā)的項目支持風險，勢必會影響信息化實施的進程和效果。在組織的建設與管理中，企業(yè)自身的基礎管理的規(guī)范化程度，對管理瓶頸問題的識別，管理人員的素質(zhì)等等，都是影響信息化成敗的關鍵。信息化會帶來企業(yè)流程、管理制度的變革，難免會導致組織結(jié)構(gòu)的調(diào)整，影響到部分人員的利益。這些都會給信息化帶來阻力和風險。信息化風險就是企業(yè)轉(zhuǎn)型的風險，或者說企業(yè)面對新時代、新環(huán)境的適應性風險。

二、中小企業(yè)如何規(guī)避信息化中潛在的風險

1．信息化要以企業(yè)需求為導向

作為中小企業(yè)，能夠投入信息化建設的資金肯定不會太多，因此要考慮怎樣“少花錢、多辦事”。首先應從企業(yè)內(nèi)部需求著手，即從企業(yè)的經(jīng)營戰(zhàn)略、體制、技術(shù)、管理、人力資源、行業(yè)環(huán)境等方面，對企業(yè)進行全面的自我診斷，確定本企業(yè)信息化建設的關鍵需求，并確立明確的目標。企業(yè)處在不同的行業(yè)，不同的發(fā)展階段和其規(guī)模的大小，對信息化的需求就不盡相同。如信息化基礎較差的中小企業(yè)，可考慮先進行企業(yè)基礎工作的信息化，如實施OA，財務電算化、產(chǎn)品輔助設計和人力資源管理系統(tǒng)等，切忌貪大求全求新。而對于信息化基礎較好的企業(yè)，應根據(jù)企業(yè)實際需求適時選擇管理軟件，優(yōu)先解決企業(yè)發(fā)展的“瓶頸”問題，然后打通上下游，從單一職能的信息化到多職能的信息化，如計算機輔助制造、財務管理到ERP、CRM等的應用，循序漸進，以提高企業(yè)管理水平和發(fā)展能力，增強企業(yè)的競爭力。

中小企業(yè)在由傳統(tǒng)管理企業(yè)向信息企業(yè)轉(zhuǎn)變的過程中，不能為了信息化而搞信息化，要著眼于應用，以企業(yè)的實際需求為導向，認真分析企業(yè)現(xiàn)狀及最迫切需要解決的問題，來制訂科學合理的信息化目標，選擇適宜的實施路線，科學、合理地安排實施計劃。

2．提高全體員工對企業(yè)信息化管理的認識，主動適應管理環(huán)境的新變化

企業(yè)從上至下對于信息化的認識上的缺失和偏差，是信息化建設中關鍵的風險和阻礙。信息化不光是技術(shù)上的、硬件上的，更多是軟件和管理層次的，信息技術(shù)可以促進企業(yè)經(jīng)營管理技術(shù)的變革，促進企業(yè)管理的創(chuàng)新。

企業(yè)在信息化推進的進程中來自管理觀念、工作習慣、利益分配、企業(yè)文化等方面的脫胎換骨的變化，對習慣于傳統(tǒng)管理方式的領導和員工造成強烈的沖擊和反差，如果不主動接受、適應并調(diào)整，會出現(xiàn)管理混亂，效益低下，使信息化流于形式。企業(yè)管理的制度和流程上的重大變革，管理理念的本質(zhì)的變化，會影響到企業(yè)中每一位員工。中小企業(yè)要努力提高全體員工對企業(yè)信息化管理的認識，要學會適應管理環(huán)境的新變化，打破原有的、已固化的思維方式，在思想上首先接納信息化的管理模式，并改變自己的行為方式，通過科學的信息化管理工具，使企業(yè)的經(jīng)營和管理水平上一個臺階。

3．建立和完善健全的管理制度并有效地執(zhí)行

信息化建設通過企業(yè)基礎數(shù)據(jù)的信息化、企業(yè)基本業(yè)務流程和事務處理的信息化、企業(yè)內(nèi)部控制及實施控制過程的信息化、人的行為規(guī)范管理等企業(yè)基礎管理信息化工程，確保企業(yè)在規(guī)模不斷擴大和業(yè)務迅速發(fā)展的過程中保持堅實的管理基礎，促進企業(yè)的可持續(xù)發(fā)展。

4．實施信息化的過程就是一個全員學習的過程

企業(yè)信息化強調(diào)的不僅是計算機軟硬件，更強調(diào)人、管理、技術(shù)之間的有機集成。其中“人”是第一位的因素，而處于主導地位的企業(yè)領導決策層首先要加強自身的學習，了解管理科學與信息技術(shù)的最新發(fā)展，對信息化給予正確理解和足夠重視。只有中小企業(yè)的管理層、決策層掌握了先進的信息化理念和知識，才能順利推進中小企業(yè)信息化進程。同時應高瞻遠矚，充分認識到人才資源是企業(yè)發(fā)展的最重要的資源，敢于投入，引進一定數(shù)量的信息技術(shù)骨干人才，同時在實施過程中要對員工進行信息化方面的培訓，培養(yǎng)企業(yè)自己的信息化人才。

主要參考文獻

[1]鄭會頌.企業(yè)信息化與信息系統(tǒng)[M].北京:人民郵電出版社，2003.

[2]金淀.中小企業(yè)信息化建設的問題與對策[J].企業(yè)研究，2005，(1)：70-72.

篇（5）

中圖分類號：TP39 文獻標識碼：A 文章編號：1007-9599 (2012) 11-0000-02

一、鋼鐵企業(yè)信息化的必要性

隨著我國經(jīng)濟的發(fā)展和科技的進步，信息化已在越來越多的企業(yè)中被得到應用，而鋼鐵企業(yè)作為我國的經(jīng)濟支柱之一，在近年來也逐漸實現(xiàn)了鋼鐵企業(yè)的信息化建設。在鋼鐵企業(yè)中實施信息化建設，一方面是可以將鋼鐵企業(yè)的發(fā)展空間擴大，提高企業(yè)本身的在市場的競爭力，使其在如今競爭激勵的市場中占有一席之地，對鋼鐵企業(yè)實施信息化建設是企業(yè)發(fā)展的需要；另一方面，由于鋼鐵企業(yè)的業(yè)務，其所涉及到數(shù)據(jù)、文檔和圖紙等的數(shù)量都是比較多的，想要將這些數(shù)據(jù)、文檔和圖紙儲存起來是一件不容易的事，操作起來比較復雜，而通過信息化技術(shù)的支持則可以大大的簡化了這個儲存操作的過程，便于人員進行操作，使鋼鐵企業(yè)的運行效率得到大大的提高，對鋼鐵企業(yè)實施信息化建設是企業(yè)管理的需要。除此之外，隨著生產(chǎn)鏈全球化和供應鏈全球化的日益緊密，鋼鐵企業(yè)作為我國的經(jīng)濟支柱之一，要求其利用信息化管理加強對鋼鐵生產(chǎn)建設的指導的迫切性已是越來越突出。因此，對鋼鐵企業(yè)實施信息化建設是非常有必要的，它不僅僅是鋼鐵企業(yè)本身發(fā)展的需要，也是鋼鐵企業(yè)管理的需要，同時也還是生產(chǎn)鏈全球化和供應鏈全球化對鋼鐵企業(yè)生產(chǎn)的要求所在。

二、鋼鐵企業(yè)信息化存在的風險

（一）風險的特點

1.風險具有可預測性

風險具有可預測性是指人們可以對以往所發(fā)生的一些相類似的事件進行統(tǒng)計，并對統(tǒng)計資料進行分析，對某種風險可能發(fā)生的概率和一旦發(fā)生風險將會造成的損失的大小進行判斷，繼而對當前可能存在的風險進行風險預測、風險衡量及風險評估。

2.風險具有客觀性

風險具有客觀性是指風險是現(xiàn)實事物中客觀存在的，不會因為人的意志而發(fā)生轉(zhuǎn)移。風險的發(fā)生是有不確定性因素存在的，即使人們確定了這些不確定因素，不管項目的主體是否對風險的存在有意識，風險在特定的環(huán)境和條件下依然有可能會出現(xiàn)。因此，想要將項目的風險減少或避免，就必須先找出可能致使項目出現(xiàn)風險的因素，繼而對它進行有效地管理和控制。

3.風險具有多變性

風險具有多變性是指風險不會按照特定的模式出現(xiàn)，它是隨著發(fā)生的環(huán)境、發(fā)生的條件及發(fā)生的時間的不同而改變的。人們所處的世界，是復雜的也是多變的，而人類的能力卻是有限的，不可能對風險的變化規(guī)律做到完全的掌握和控制。同時，也由于客觀條件的變化是不斷進行的，使得風險的不確定性也在不斷的發(fā)生變化，就這一點而言，風險是伴隨著各種不確定性而不斷發(fā)生變化的，因此，我們說風險具有多變性。

4.風險具有相關性

風險具有相關性指的是人們所面臨的風險同造成風險出現(xiàn)的行為及決策是分不開的，相同的風險對于不同的行為者而言，所產(chǎn)生的風險結(jié)果可能是不相同的，即使是同一行為者，由于決策的不同和措施的不同，所產(chǎn)生的風險結(jié)果也可能是不相同的。

5.風險具有潛在性

所謂的風險具有潛在性，指的是風險是無時無刻都會存在的，然而這也只是指人們在任何時候、任何地方都可能會遭受到風險，想要將可能存在的變?yōu)楝F(xiàn)實出現(xiàn)的還是需要有一定的條件的。

6.風險具有可控性

人們只需要通過對可能存在的風險進行分析，并采取一定的方法和措施就能夠?qū)︼L險進行控制和管理，將風險出現(xiàn)的概率減少，將風險帶來的一切損失減輕，所以，我們說風險具有可控性。

（二）鋼鐵企業(yè)信息化存在的風險

1.鋼鐵企業(yè)信息化缺乏完整的信息系統(tǒng)

就我國目前的大多數(shù)鋼鐵企業(yè)而言，它們在實現(xiàn)鋼鐵企業(yè)信息化時，往往都沒有完整的信息系統(tǒng)作為支持，具體表現(xiàn)為：①在財務管理方面，只是簡單的應用了一些軟件，用于數(shù)據(jù)的傳輸和儲存，或者只是用于成本的自動核算，同時也沒有與互聯(lián)網(wǎng)相連，這就使得在向上級提交財務報表時需要花費較多的人力、物力，程序比較復雜，且存在的風險較大；②在生產(chǎn)方面，一些鋼鐵企業(yè)雖然在生產(chǎn)系統(tǒng)中應用了自動控制模式，但也沒有將其應用好，主要還是依靠調(diào)度調(diào)控來對生產(chǎn)系統(tǒng)進行管理，這就使得生產(chǎn)的效率不是很高；③大多數(shù)的鋼鐵企業(yè)獲知分廠的信息依靠的是電話方式和報表方式，缺乏對信息獲知的及時性，以至于無法對存在的不足進行及時的補足，也就沒法對存在的風險進行及時的預防和控制。

2.缺乏對信息系統(tǒng)的長遠考慮

有些鋼鐵企業(yè)在建設信息系統(tǒng)時，往往會缺乏對信息系統(tǒng)的長遠考慮，而是隨著技術(shù)水平的提高和業(yè)務發(fā)展的需要，才將某個功能增加到原有的系統(tǒng)上。以某鋼鐵企業(yè)為例，該鋼鐵企業(yè)的老區(qū)域系統(tǒng)，則是在需要模型控制時，才增加模型控制，在需要數(shù)據(jù)采集時，才增加數(shù)據(jù)采集，在需要用到視頻系統(tǒng)時，才安裝上監(jiān)控探頭等等，缺乏對信息系統(tǒng)的長遠規(guī)劃，沒有為將來的信息化系統(tǒng)做出整體性的建設規(guī)劃。

3.對鋼鐵企業(yè)的信息化認識不清

篇（6）

（一）組織方面的風險。論文百事通在風險的管理中，與企業(yè)高層的溝通是最大的一個風險，也經(jīng)常是項目經(jīng)理們?nèi)菀缀鲆暤模彩琼椖拷?jīng)理在工作時最大的一塊兒心病，如何獲取高層的持續(xù)支持，比如在規(guī)劃階段，在實施階段，在后續(xù)的應用階段，經(jīng)常是剛開始時，企業(yè)老總很支持，但隨著實施的投入，由于溝通與信息化成效的問題，管理層可能會越來越有疑慮；另外，公司進行信息系統(tǒng)項目的實施，可能對員工的日常工作造成一系列影響，從而引起員工的抵觸。比如，員工需要為信息系統(tǒng)項目的實施加班，有的員工可能因為信息系統(tǒng)項目的實施而失業(yè)。

（二）進度方面的風險。在信息系統(tǒng)項目實施過程中，由于對任務工作量，人員能力估計不足，資源配置不當，需求變更甚至是突如其來的風險等，項目有可能會延期交付。

（三）人員方面的風險。企業(yè)信息化項目涉及軟件工程、信息技術(shù)、管理技術(shù)，企業(yè)必須整合內(nèi)外部人力資源，成立項目建設隊伍，完成從項目立項到系統(tǒng)交付的各個環(huán)節(jié)的工作。在組成項目團隊時，企業(yè)主要容易犯兩個錯誤：其一，以企業(yè)缺乏IT技術(shù)人員為由，將項目外包給軟件供應商，企業(yè)只是組織力量進行驗證評估，而忽略了商可能技術(shù)力量單薄，對軟件功能不熟悉。另一方面，即使商有較強的技術(shù)力量，但由于對企業(yè)的業(yè)務流程缺乏深入了解，難以按照企業(yè)需求進行系統(tǒng)配置與二次開發(fā)；其二，完全由企業(yè)內(nèi)部IT技術(shù)人員單獨進行系統(tǒng)實施，很難從整體上把握好項目的實施。

（四）資金方面的風險。據(jù)有關統(tǒng)計表明，全國獨立核算的中小型企業(yè)平均擁有資本金23萬元，約為大型企業(yè)的1/65，中小企業(yè)平均年產(chǎn)值401萬元，約為大型企業(yè)的1/80，中小企業(yè)資金實力有限。信息化投資主要包括方案的咨詢與規(guī)劃費用，硬件和網(wǎng)絡建設費用，軟件費用和軟件的實施、服務、升級、維護等費用；硬件和網(wǎng)絡建設風險相對較小，軟件選型風險最大，不僅包括一次性購買標準的或定制的管理軟件費用還包括后期維護升級以及二次開發(fā)等持續(xù)追加費用。在進行投資決策時如何選擇在合適的時間階段，選擇合適管理軟件以及運用的重點等，其間任何一方面出問題都可能導致投資失敗。另外，信息化建設是一項很難產(chǎn)生直接收益的投資。投資的受益更多地間接來自于管理效率、生產(chǎn)效率的提升及成本下降，所以在短期內(nèi)可能使企業(yè)陷入財務困境，危及企業(yè)生存。

二、中小企業(yè)信息化項目風險應對方案

（一）加強與高層以及底層員工的溝通。項目經(jīng)理應從信息化的機遇和挑戰(zhàn)，信息化的需求、信息化產(chǎn)生的價值，到可能產(chǎn)生的風險，風險規(guī)避的措施，讓老總充分的了解，多溝通、多交流，建立一個定期的溝通機制，在有效的管理前提下不斷地溝通，獲取企業(yè)老總與高層持續(xù)的支持與理解。

（二）在實施信息化之前，項目經(jīng)理以及高層需要做好員工的動員工作。公司要使員工認識到：企業(yè)信息化建設是指企業(yè)利用計算機技術(shù)、網(wǎng)絡技術(shù)等一系列現(xiàn)代化技術(shù)，通過對信息資源的深度開發(fā)和廣泛利用，不斷提高生產(chǎn)、經(jīng)營、管理、決策的效率和水平，從而提高企業(yè)經(jīng)濟效益和企業(yè)競爭力的過程。從內(nèi)容上看，企業(yè)信息化主要包括企業(yè)產(chǎn)品設計的信息化、企業(yè)生產(chǎn)過程的信息化、企業(yè)產(chǎn)品銷售的信息化、經(jīng)營管理信息化、決策信息化以及信息化人才隊伍的培養(yǎng)等多個方面。因此，我們要把信息化放在一定的高度上，信息化項目的實施需要全員的共同參與和努力。信息化所能實現(xiàn)的不再僅僅是IT部門的一項資產(chǎn)，而是整個企業(yè)的資產(chǎn)。因此，信息化項目的實施不能僅僅是新成立的“信息中心”或“IT項目部”來完成。可以說IT部門主要完成功能的技術(shù)實現(xiàn)；而企業(yè)信息化的需求分析，必須要讓全員來參與。這樣既可以提高員工的積極性，還給他們打了“預防針”，讓他們有一個思想準備，企業(yè)可能要“動大手術(shù)”。這樣也就讓他們對“動大手術(shù)”時的“疼痛”有所準備。

（三）在進度的控制方面

首先，樹立綜合協(xié)調(diào)觀念。從本質(zhì)上講，項目管理是從全局出發(fā)，以項目整體利益最大化為目標，以項目范圍、成本、質(zhì)量等各專項管理的協(xié)調(diào)、統(tǒng)一為內(nèi)容，所開展的綜合性管理過程。因此，開展項目管理就要有項目各要素及各專項管理，進行綜合協(xié)調(diào)的觀念。IT項目的范圍會影響IT項目的進度。一般來講（指假設其他要素不變），項目范圍越大，項目所要完成的任務越多，項目耗時越長；反過來，項目范圍越少，項目所要完成的任務越少，項目耗時越短。因此，如果項目進度很緊，或者進度拖延非常嚴重，就可以考慮與客戶討論，是否能夠?qū)⒎秶M行收縮。如果客戶同意縮小范圍，那么進度能得到有效縮短。同樣，IT項目的成本、質(zhì)量也會影響進度。一般來講，追加成本，可以增加更多的資源，比如設備和人力，從而使某些工作能夠并行完成或者加班完成。如果項目不能按進度完成，可以考慮有些原定任務是否可以外包出去，這是項目采購管理與進度管理的協(xié)調(diào)內(nèi)容之一。

其次，公司高層以及項目經(jīng)理應有效的設置項目里程碑。一個有效的里程碑應該包含項目團隊所需完成的一系列活動，當一個里程碑事件難以按時完成時，項目團隊應找出原因，采取應對措施，并且總結(jié)經(jīng)驗以杜絕此類事件再度發(fā)生。同時，項目團隊應對里程碑進行及時的回顧，審視。據(jù)調(diào)查顯示，項目里程碑回顧頻率至少要每半個月一次。如果對一個里程碑回顧的時間間隔超過8個周，項目就很可能會遇到麻煩。

最后，項目經(jīng)理要縮短團隊組建和磨合的時間。任何一個項目組從接受任務到任務完成、團隊解散，一般都會經(jīng)歷五個階段：組建階段，磨合階段，正規(guī)階段，表現(xiàn)階段，解散階段。在五個階段中，解散階段由于項目任務已經(jīng)完成，對于項目的影響不大。對于一個項目經(jīng)理來講，真正工作的階段是正規(guī)和表現(xiàn)階段。因而，項目經(jīng)理的重要職責，就是使項目團隊組建和磨合階段的耗時盡量短，這樣，項目團隊的正規(guī)和表現(xiàn)階段的歷時就會越長，在布置任務和執(zhí)行任務時，就更加從容。為使項目團隊組建階段的時間縮短，項目經(jīng)理一定要向團隊說明IT項目的目標，并設想出項目成功的美好前景，以及成功所產(chǎn)生的好處，公布有關IT項目的工作范圍、質(zhì)量標準、預算及進度計劃的標準和限制。項目經(jīng)理應公開討論項目團隊的組成、選擇團隊成員的原因、他們的互補能力和專門知識，以及每個人為協(xié)助完成項目目標所充當?shù)慕巧＿@樣，公開的信息就構(gòu)成一項重要的激勵——信息激勵，團隊意識就會加快形成；為使項目團隊磨合階段的時間縮短，在這個階段，IT項目經(jīng)理要引導所有成員參與到IT項目計劃的制定、規(guī)章制度的制定和任務的分配中來，同時允許成員表達他們所關注的問題。這樣，主動參與對成員來講就構(gòu)成一項重要的激勵——參與激勵，團隊成員就會更加容易接受團隊的規(guī)章制度以及分配到的工作，團隊意識就能得到進一步強化。新晨

（四）針對人員方面的風險，項目經(jīng)理應從團隊的組成上來考慮。在組建團隊時，應選擇那些相信信息化項目會成功，有相關管理技能，技術(shù)能力的企業(yè)人員，同時應盡可能找到信息化領域的專家做團隊顧問；另外，項目經(jīng)理應注意項目實施過程中與團隊成員和軟件外包商的溝通，及時掌握團隊成員以及外包商的情況。

篇（7）

二、企業(yè)信息化項目實施中的管理風險分析

（一）管理風險的概念

管理風險是指管理運作過程中因信息不對稱、管理不善、判斷失誤等影響管理的水平。它由管理者素質(zhì)、組織結(jié)構(gòu)、企業(yè)文化和管理過程四方面構(gòu)成。

（二）企業(yè)信息化項目實施中的管理風險分析

（1）管理者的素質(zhì)。管理者個人素質(zhì)因素包括品德、知識水平和能力三方面。品德是推動管理者行為的主導力量，決定其工作愿望和努力程度及外界對他的價值評價，影響著人際關系，對管理效果和效率有直接影響。品德也是管理者個人魅力的主要來源。知識水平對管理者的影響體現(xiàn)在管理者對管理過程的理解和支持上，影響著他與其他人員交流和溝通。能力反映管理者干好本職工作的本領，包括應具備的管理知識、心理特征和適當?shù)墓ぷ鞣绞健?/p>

（2）組織結(jié)構(gòu)因素。組織結(jié)構(gòu)是組織的全體成員為實現(xiàn)組織目標，在管理工作中進行分工協(xié)作，在職務范圍、責任、權(quán)利方面所形成的結(jié)構(gòu)體系。其構(gòu)成了組織內(nèi)部各級職務職位的權(quán)責范圍、聯(lián)系方式和分工協(xié)作關系的整體框架，是組織得以持續(xù)運轉(zhuǎn)、完成經(jīng)營管理任務的體制基礎。組織結(jié)構(gòu)制度制約著組織內(nèi)部人員、資金、物資、信息的流，影響著組織目標的實現(xiàn)。為了保證企業(yè)信息化建設的質(zhì)量，最高管理者需要在企業(yè)內(nèi)部構(gòu)建負責信息化建設的組織架構(gòu)，包括企業(yè)信息主管、信息系統(tǒng)應用管理和規(guī)劃人員以及技術(shù)系統(tǒng)的應用與維護人員等這是企業(yè)信息化建設的重要條件。在構(gòu)建組織結(jié)構(gòu)的時候，處于某種利益的考慮，部分管理者會因人設崗，并沒有綜合分析信息化建設的實際需求。

（3）企業(yè)文化因素。企業(yè)文化是一個組織由其價值觀、信念、儀式、符號、處事方式等組成的其特有的文化形象，是企業(yè)員工較長時間形成的共同價值觀、信念、態(tài)度和行為準則，是一個組織持有的傳統(tǒng)和風尚，制約著全部管理的政策和措施。企業(yè)信息化是建立在現(xiàn)代企業(yè)管理模式基礎之上，并按照物流、資金流、信息流等業(yè)務流程而設計的，其實是過程中會對現(xiàn)有企業(yè)工作方式產(chǎn)生重大影響，必然會影響部分人的個人利益。其順利實施需要組織成員之間合作、信任和團結(jié)，產(chǎn)生親近感、信任感和歸屬感，實現(xiàn)文化認同和融合，使組織具有向心力和凝聚力，從而形成共同行動和齊心協(xié)力。

（4）管理過程因素。管理過程一般有相互關聯(lián)的計劃、組織、領導、協(xié)調(diào)、控制五個因素。計劃是對未來的安排，應根據(jù)實際情況，通過科學、準確的預測，提出在未來一定時期內(nèi)的目標及實現(xiàn)目標的方法。計劃制定后，企業(yè)對如何實現(xiàn)目標已經(jīng)明晰。為了保證計劃的實現(xiàn)，必須嚴密組織組織結(jié)構(gòu)要為創(chuàng)新活動的運行提供基本框架，必須有相應的合適的人員配備，才能有效地運作。領導的作用體現(xiàn)在兩方面：協(xié)調(diào)作用和激勵作用。正確處理組織內(nèi)外各種關系，為組織正常運轉(zhuǎn)創(chuàng)造良好的條件和環(huán)境，促進組織目標的實現(xiàn)。管理控制的必要性主要是由下述原因決定的：環(huán)境的變化；管理權(quán)力的分散；工作能力的差異。

三、企業(yè)信息化項目實施中的管理風險規(guī)避的策略

（1）運用約束和激勵機制，提高管理者素質(zhì)。管理者對信息化建設的不重視或短期行為主要是由于管理者不愿打破原有工作機制，為此，應積極運用約束和激勵機制，提高管理者對信息化的重視，并自愿提高個人素質(zhì)以迎接新工作的挑戰(zhàn)。例如主管部門可將企業(yè)信息化的發(fā)展水平和經(jīng)營者的業(yè)績考核掛鉤，并據(jù)此進行獎懲；將信息化帶來的企業(yè)效益與管理者的利益分配相聯(lián)系，進而不斷增強企業(yè)管理者的信息化意識，并促使其采取積極的行動。

篇（8）

doi：10.3969/j.issn.1673 - 0194.2016.06.040

[中圖分類號]F276.44 [文獻標識碼]A [文章編號]1673-0194（2016）06-00-02

網(wǎng)絡時代的企業(yè)信息化建設對高新技術(shù)企業(yè)在管理效率、風險管控、市場響應、產(chǎn)品研發(fā)等核心競爭力和企業(yè)績效方面產(chǎn)生了前所未有的推動和提升作用，企業(yè)通過引入線上辦公系統(tǒng)（OA）、企業(yè)資源計劃系統(tǒng)（ERP）、全面風險管理系統(tǒng)（TBS）等信息化手段提高各部門工作效率，從而有效提高企業(yè)的管理水平，通過電子商務平臺、分銷管理系統(tǒng)等提高其銷售貿(mào)易能力，實現(xiàn)企業(yè)的可持續(xù)發(fā)展。但隨著高新企業(yè)信息化程度的快速擴展和IT投入不斷增加所帶來的風險及隱患也呈上升趨勢。如何進一步規(guī)避信息化風險，控制信息化損失成為亟待解決的問題。

本文旨在為高新技術(shù)企業(yè)研究一種信息化風險評價方法。根據(jù)高新技術(shù)企業(yè)的特征，識別高新技術(shù)企業(yè)在信息化建設過程中存在的風險，運用專家評分法對可能存在的風險因素進行評分排序，并將專家的打分表現(xiàn)在帕累托圖中，根據(jù)帕累托法則的“二八原則”，找出關鍵的風險因素。高新技術(shù)企業(yè)可依據(jù)本文提出的方法對其信息化建設過程中的風險進行識別及評價，并據(jù)此提出有針對性的管控措施。

1 高新技術(shù)企業(yè)信息化風險識別

高新技術(shù)企業(yè)具有高投入、高創(chuàng)新、高收益、高人才擁有、高風險等區(qū)別于傳統(tǒng)企業(yè)的特征，如互聯(lián)網(wǎng)、電子商務等企業(yè)，基于其發(fā)展初期往往需要構(gòu)建一套需要較高人力、資金和技術(shù)投入的信息系統(tǒng)，即邁出企業(yè)信息化這一步，這是高新企業(yè)持續(xù)發(fā)展的必由之路。

依據(jù)生命周期模型和諾蘭模型的理論，企業(yè)信息化建設過程一般劃分為規(guī)劃、分析、設計、實施和系統(tǒng)運行維護5個既相對獨立又密切相關的階段。借鑒前人的研究思路，本文將從信息化生命周期的上述5個階段來識別高新企業(yè)信息化風險的類型和影響因素，以便更好地實施分析評估。規(guī)劃階段風險主要包括IT戰(zhàn)略計劃風險、資金供給風險、人力資源風險三個方面；分析階段風險包括開發(fā)制度風險、需求分析風險、流程再造風險三個方面；設計階段在概要和詳細設計、設計方案審核兩個方面存在風險；實施階段風險包括軟硬件采購風險、系統(tǒng)測試風險、人員培訓風險；在運行維護階段會出現(xiàn)職責分工風險、權(quán)限管理風險、備份風險三個方面的風險因素。各階段的具體風險表現(xiàn)在表1中進行列示。

2 高新技術(shù)企業(yè)信息化風險評價

高新技術(shù)企業(yè)信息化風險評估首先通過專家評分對企業(yè)的信息化風險進行評價，隨后使用帕累托圖對各風險因素進行排序，根據(jù)帕累托法則的“二八原則”評價出關鍵的風險因素。

2.1 專家評分法

在識別出高新技術(shù)企業(yè)信息化風險后，企業(yè)應組建專家團隊對本企業(yè)信息化風險進行具體評價打分。企業(yè)應建立專家組對風險進行匿名打分。為保證評估的權(quán)威性和客觀性，專家團隊應由熟悉企業(yè)業(yè)務流程和功能的信息化建設方面的人員組成，包括有內(nèi)部專家和外部專家。內(nèi)部專家至少應該包括公司總經(jīng)理、各部門負責人、企業(yè)信息化建設技術(shù)人員，外部專家包括注冊信息系統(tǒng)審計師、咨詢機構(gòu)專家等。專家團隊人數(shù)應當控制在適當?shù)谋壤秶鷥?nèi)，可根據(jù)企業(yè)信息化規(guī)模確定。

組織專家評分主要分為5個步驟。第一，發(fā)放資料。應先向評分專家提供企業(yè)信息化規(guī)劃、設計及運行方面的資料，專家應在足夠了解企業(yè)信息化各方面情況的基礎上進行專業(yè)判讀和評價。第二，專家打分。將評分表發(fā)放給選定的的專家，專家團隊成員應根據(jù)自己的專業(yè)知識以及被評價企業(yè)信息化建設和運行情況，對每項風險發(fā)生的概率、預期損失值進行評價打分，同時在備注中給出治理措施建議。第三，匯總分析。評價企業(yè)統(tǒng)一收集整理評分表，計算每位專家針對每一風險因素打分的統(tǒng)計指標，包括平均數(shù)、方差、中位數(shù)、極值等，并將結(jié)果反饋給各位專家，若需修正可二次打分一次。第四，召開討論會。邀請個人評分與最終匯總分數(shù)差異較大的專家發(fā)表意見，從專家的個人視角給出合理解釋或反駁意見，專家根據(jù)反饋結(jié)果再修正自己的意見。第五，經(jīng)過多輪匿名征詢和意見反饋，形成最終得分及治理意見集合。

2.2 帕累托排序

高新技術(shù)企業(yè)的IT風險符合帕累托法則的“二八原則”，即80%的企業(yè)風險由20%的風險點引起。通過專家的匿名打分和意見反饋，形成了最終評分結(jié)果。高新技術(shù)企業(yè)需按照專家評分分數(shù)高低，運用帕累托圖對風險進行排序評價處對企業(yè)威脅最大的風險因素。對專家評分的結(jié)果進行排序，并繪制帕累托圖，則前20%的風險點即為高新技術(shù)企業(yè)IT風險中的關鍵風險因素，應進行重點控制和關注。為說明問題，本文在小范圍內(nèi)進行模擬打分，得到如表1所示的數(shù)據(jù)，據(jù)此得到圖1所示的對應帕累托直方圖，通過要素排序的遞進累計，當累計風險達到80%左右時（本文為81.33%），落入考察區(qū)間的考察量為X1、X2和X10，說明該3項要素的存在導致了企業(yè)絕大部分（80%）風險的后果，因此治理時應抓住主要矛盾，重點對這三項最可能的誘因?qū)嵤╋L險治理。

圖1 高新技術(shù)企業(yè)IT風險專家評分帕累托圖

3 措施建議

眾所周知，信息化在給企業(yè)帶來高效便利的同時，也夾裹著諸多風險，關鍵是如何快速識別出致險因素，并在排序中尋找關鍵風險因素，然后有針對性地制定風險治理方案。高新技術(shù)企業(yè)是信息化建設的典型代表，運用上述風險識別和評估方法，可以重點防控企業(yè)最可能出現(xiàn)重大風險，保證信息化建設和運行順利。同時企業(yè)還應慎重選擇信息化時機、節(jié)奏和規(guī)模，并注重企業(yè)中人的作用，適度引入“人機治理模式”，將“人因”與“機因”有機結(jié)合起來。

主要參考文獻

[1]李志，唐波，張慶林.高新技術(shù)企業(yè)特征與管理對策研究[J].重慶大學學報，2009（7）.

[2]吳炎太，林斌，孫燁.基于生命周期的信息系統(tǒng)內(nèi)部控制風險管理研究[J].審計研究，2009（6）.

[3]彭超然.大數(shù)據(jù)時代下會計信息化的風險因素及防范措施[J].財政研究，2014（4）.

[4]王凡林.企業(yè)信息化風險的內(nèi)部控制與治理研究[M].北京：首都經(jīng)濟貿(mào)易大學出版社，2014.

[5]周娟，杜棟.企業(yè)信息化水平評價系統(tǒng)的研制[J].河海大學常州分校學報.2004（2）.

篇（9）

制造企業(yè)信息化建設建設主要是采用CAD/CAM/CAPP等現(xiàn)代化的信息技術(shù)，使得制造企業(yè)生產(chǎn)過程信息化；采用MEP/ERP等現(xiàn)代化的管理技術(shù)，則是為了制造企業(yè)的管理水平科學化，管理流程信息化；采用CMS等、等進行制造企業(yè)信息的搜集，逐漸形成集設計、制造以及管理為一體的計算機綜合集成制造系統(tǒng)，并采用計算機技術(shù)，將制造企業(yè)內(nèi)部的信息資料整合起來，并將其擴展到制造企業(yè)外部。從制造企業(yè)信息化建設本質(zhì)來看，就是實現(xiàn)制造企業(yè)各個層面的信息化，使得企業(yè)整體運營逐漸高效化、科學化、合理化。由此可見，制造企業(yè)信息化建設并不是一個企業(yè)信息化的建立，它是一個信息化系統(tǒng)的革新，對制造企業(yè)而來，更像是一場信息化革命[1]。然而，對于制造企業(yè)信息化建設而言，雖然信息化建設有利于當下企業(yè)管理格局的改善，但是在制造企業(yè)信息化建設中必然會遇到各種風險因素，這就要求企業(yè)在信息化建設的過程中，除了關注信息化建設之外，還需要對周圍的風險源進行及時的偵查，分析風險源的源頭，做出最佳的風險處理措施。

（一）制造企業(yè)信息化建設技術(shù)風險。高制造企業(yè)信息化建設屬于高科技的信息化應用，這類信息化技術(shù)對于制造企業(yè)的管理和信息搜集大有幫助，但是該類型的技術(shù)牽扯信息內(nèi)容過多，是多種綜合技術(shù)的結(jié)合，因此存在很多不確定因素，對于初步建立信息化的制造企業(yè)而言，這種不確定的風險因素在短時間內(nèi)難以做到合理化的有效控制，無法預測信息化系統(tǒng)在運行過程中的偶然現(xiàn)象，對于風險的發(fā)生不能做到及時的防范，進而給制造企業(yè)帶來經(jīng)濟損失。

（二）制造企業(yè)信息化建設資金風險。制造企業(yè)信息化建設中必然會投入大量的資金，用于各種軟硬件設備的購買、軟件系統(tǒng)和信息支付企業(yè)的服務費用等等。除此之外，還涉及一些隱藏費用，例如制造企業(yè)信息化建設后的信息系統(tǒng)應用培訓、信息化系統(tǒng)安全維護費用等，致使制造企業(yè)耗費大量的資金費用，給企業(yè)的資金流轉(zhuǎn)造成阻礙。此外，由于制造企業(yè)信息化建設投入資金預算和實際花費資金差距過大，會造成制造企業(yè)運營的資金短缺[2]。此外，在制造企業(yè)信息化建設后，需要花費幾十萬或是幾百萬資金用于整個制造企業(yè)信息系統(tǒng)維護和調(diào)整，使其滿足制造企業(yè)信息化發(fā)展需求。

（三）制造企業(yè)信息化建設安全風險。制造企業(yè)信息化建設之前，由于對信息化的陌生，使得企業(yè)管理人員安全防范意識匱乏，忽略了制造企業(yè)信息化建設安全風險，導致客戶信息資料的泄漏，外來病毒入侵，引發(fā)整個信息系統(tǒng)的癱瘓。

二、制造企業(yè)信息化建設中風險防范措施

制造企業(yè)信息化建設風險防范措施的應用是信息化建設中必不可少的關鍵環(huán)節(jié)，它對于制造企業(yè)信息化系統(tǒng)安全運營大有裨益。此外，加強制造企業(yè)信息化建設中的風險防范，還能減少因風險因素造成的經(jīng)濟損失[3]。以下則是筆者結(jié)合制造企業(yè)信息化建設中出現(xiàn)的風險因素，在查閱多方資料后總結(jié)出的風險防范措施。

（一）制造企業(yè)信息化建設技術(shù)風險防范措施。一個完整的信息系統(tǒng)，必然離不開多項技術(shù)的綜合應用。對于制造企業(yè)信息化建設而言，其應用的信息化技術(shù)都是按照信息系統(tǒng)建設的總規(guī)劃，按部就班的采用制造企業(yè)信息化建設技術(shù)。因而，在制造企業(yè)信息化建設風險防范中，需要根據(jù)制造企業(yè)信息化建設整體目標和階段性計劃，找準技術(shù)的切入點，按照制造企業(yè)信息化建設層次，進行風險防范。

（二）制造企業(yè)信息化建設資金防范措施。制造企業(yè)信息化建設風險因素的發(fā)生，必然造成制造企業(yè)的經(jīng)濟損失，治愈資金損失額度大小，則完全取決于制造企業(yè)信息化的風險管理。比如，在制造企業(yè)信息化建設之處就制定好嚴密的風險管理計劃，并安排管理人員對制造企業(yè)信息化建設資金進行預算統(tǒng)計和管理。在此基礎上，加強制造企業(yè)信息化建設的日常監(jiān)控，一旦發(fā)現(xiàn)隱藏風險源及時進行處理解決，降低制造企業(yè)信息化建設中額外的風險資金投入[4]。

篇（10）

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2016. 13. 037

[中圖分類號] F270.7；TP309 [文獻標識碼] A [文章編號] 1673 - 0194（2016）13- 0074- 03

0 引言

隨著互聯(lián)網(wǎng)技術(shù)、通信技術(shù)、虛擬化技術(shù)和SOA技術(shù)的發(fā)展，以服務形式向用戶提供計算資源的云計算，正在改變?nèi)藗兊墓ぷ鞣绞胶推髽I(yè)運營模式。基于云計算進行企業(yè)信息化建設，能有效降低成本、提高效益和促進創(chuàng)新，許多企業(yè)已經(jīng)投入到云計算的信息化浪潮中，實施了自己的云平臺戰(zhàn)略。目前，云服務商在提供云計算服務時，雖然絕大部分都采用了國際先進的信息安全保障技術(shù)，但云環(huán)境中的信息安全風險仍不容忽視。

1 公有云

“云”在網(wǎng)絡拓撲圖中常用來表示Internet，是對復雜的互聯(lián)網(wǎng)的一種抽象。因此把這種基于Internet的計算方式形象地稱為“云計算”。一般來說，云計算提供的服務有三種類型：軟件即服務（Software as a Service，SaaS）、平臺即服務（Platform as a Service，PaaS）、基礎設施即服務（Infrastructure as a Service，IaaS）。公有云是云計算的重要模式之一，通常由第三方云服務商為用戶提供。公有云的一般框架如圖1所示。

2 基于公有云的企業(yè)信息安全分析

企業(yè)信息化過程中，云計算已受到眾多企業(yè)的追捧，云計算可使企業(yè)將部分計算處理工作外包云服務商，企業(yè)可以通過互聯(lián)網(wǎng)來訪問云數(shù)據(jù)。與此同時云計算中的數(shù)據(jù)安全風險也不容忽視。一方面，云計算中的數(shù)據(jù)對于數(shù)據(jù)所有者以外的用戶是保密的，但是對于提供服務的云服務商而言是透明的。另一方面，云數(shù)據(jù)在存儲、傳輸與使用過程中，會不斷遭遇不法行為的攻擊。總得來說，云數(shù)據(jù)安全風險主要有三大來源：云計算中心數(shù)據(jù)丟失與泄露、數(shù)據(jù)傳輸竊取、終端數(shù)據(jù)泄露。從公有云安全風險所涉及的不同網(wǎng)絡層次考慮，可以將安全風險主要歸納為：云計算中心數(shù)據(jù)存儲安全、云數(shù)據(jù)傳輸安全、云端用戶安全、云數(shù)據(jù)審計安全、管理維護安全等，如表1所示。

3 云數(shù)據(jù)安全風險控制策略

為了更好地研究企業(yè)信息化過程中基于公有云的安全風險，下文提出了一種“三位一體”安全風險控制策略，如圖2所示。要解決云計算環(huán)境下的數(shù)據(jù)安全問題，僅僅在云計算中心實施保護是不夠的，必須要通過融合云中心數(shù)據(jù)安全技術(shù)、終端數(shù)據(jù)安全技術(shù)、網(wǎng)絡安全技術(shù)為一體，實現(xiàn)對云數(shù)據(jù)的一體化控制策略。在云計算中心，重點完成用戶身份認證、多租戶模式下的數(shù)據(jù)隔離、用戶異常行為檢測、數(shù)據(jù)封裝加密。在終端，重點完成用戶密鑰生成、終端環(huán)境安全、終端外設安全、終端文件加密保護。在網(wǎng)絡傳輸過程，重點完成終端與云計算中心之間建立虛擬安全通道。

3.1 云計算中心數(shù)據(jù)存儲安全策略

企業(yè)在使用云計算服務時，數(shù)據(jù)的存儲是非常重要的一環(huán)，其中包括數(shù)據(jù)的存儲位置、數(shù)據(jù)的災難恢復、數(shù)據(jù)的隔離等。然而，云計算服務商為企業(yè)提供存儲空間服務時，云端用戶并不清楚自己的數(shù)據(jù)儲存位置；云數(shù)據(jù)存儲地是否存在信息安全問題、是否遵循當?shù)氐碾[私協(xié)議、是否能確保企業(yè)數(shù)據(jù)不被泄露等安全因素。

3.1.1 數(shù)據(jù)安全隔離

基于分布式數(shù)據(jù)存儲的思想，可以將數(shù)據(jù)中心的共享存儲劃分為不同區(qū)域，在不同區(qū)域之間配置安全策略，防止非授權(quán)的跨區(qū)域數(shù)據(jù)訪問。在數(shù)據(jù)中心運行時，動態(tài)監(jiān)測數(shù)據(jù)中心中的用戶行為，根據(jù)采集到的行為數(shù)據(jù)進行識別。結(jié)合數(shù)據(jù)遷移策略，將受到威脅的數(shù)據(jù)遷移至其他區(qū)域，并停止惡意用戶對于該部分數(shù)據(jù)的訪問授權(quán)，使得惡意用戶無法攻擊該部分數(shù)據(jù)，從而防范云計算中數(shù)據(jù)隔離和攻擊的問題，保護云計算中用戶的數(shù)據(jù)與隱私安全。

3.1.2 數(shù)據(jù)庫加密

傳統(tǒng)的數(shù)據(jù)庫、操作系統(tǒng)安全和物理安全訪問控制機制，為數(shù)據(jù)庫提供了一定的安全措施和技術(shù)，但并不能保證在云計算環(huán)境下數(shù)據(jù)庫的安全需求，尤其是一些重要部門數(shù)據(jù)和敏感數(shù)據(jù)的安全。造成不安全的主要因素是數(shù)據(jù)庫中的原始數(shù)據(jù)以可讀形式存放，如果對數(shù)據(jù)庫中的數(shù)據(jù)，采用安全數(shù)據(jù)庫、可搜索加密等技術(shù)，對數(shù)據(jù)庫系統(tǒng)及密文進行加密處理，即使受到非法入侵或者盜取數(shù)據(jù)存儲介質(zhì)，若沒有相應的解密密鑰，依然不可獲取所需數(shù)據(jù)。

3.2 云數(shù)據(jù)網(wǎng)絡安全策略

一般情況，企業(yè)數(shù)據(jù)中心存有大量的重要數(shù)據(jù)，如企業(yè)客戶信息、商業(yè)秘密、財務數(shù)據(jù)、重要的業(yè)務流程等。在云計算環(huán)境下，企業(yè)將數(shù)據(jù)通過網(wǎng)絡傳輸?shù)皆朴嬎阒行倪M行處理時，就會面臨著網(wǎng)絡傳輸數(shù)據(jù)的安全問題。目前，云計算服務商主要采用加密算法的安全通信協(xié)議與超文本傳輸安全協(xié)議，雖然這些協(xié)議具有完整性與認證性等特征，但也并不能確保云數(shù)據(jù)傳輸不被竊聽或截取。

3.2.1 文件透明加密

云計算終端數(shù)據(jù)絕大多數(shù)以電子文件形式存在，系統(tǒng)提供文件透明加密，確保終端用戶在操作方式不發(fā)生改變的情況下，電子文件以密文方式存儲。采用驅(qū)動層透明動態(tài)加解密技術(shù)，自動對存儲到磁盤的數(shù)據(jù)做加密運算，對從磁盤讀取的數(shù)據(jù)做解密操作。通過指定文件類型或者處理進程，進行強制加密、強制訪問控制和離線管理等技術(shù)手段，達到所有存儲介質(zhì)上存在的該類型文件全部加密，可以有效防止機密信息泄漏。

3.2.2 虛擬安全網(wǎng)絡

構(gòu)建先進的虛擬安全域網(wǎng)絡，使用戶可以同時訪問多個應用的虛擬安全域，但相互之間是隔離的，用戶終端無法使用來實現(xiàn)兩個虛擬安全域之間的路由。并且根據(jù)權(quán)限和安全策略，動態(tài)地將被訪問的各種應用系統(tǒng)資源劃分到不同的虛擬安全網(wǎng)中，實現(xiàn)具體業(yè)務應用系統(tǒng)環(huán)境的動態(tài)專用性，并且從安全管理角度上對網(wǎng)絡數(shù)據(jù)進行精細化的安全管理。

3.3 云端用戶數(shù)據(jù)安全策略

云端用戶存取云計算數(shù)據(jù)的途徑方式多樣，不同用戶終端的安全防護措施差異也較大，云服務商難以有效監(jiān)控云端用戶的諸多安全風險。云服務商為吸引龐大的客戶群，開辟了大量的外鏈接通道，嚴重威脅云數(shù)據(jù)安全。其次，部分云服務商的內(nèi)部員工通過云管理平臺的特權(quán)接口，隱蔽地訪問云數(shù)據(jù)或通過旁路通道獲取部分運行信息推演數(shù)據(jù)，造成云數(shù)據(jù)泄露或損毀。

3.3.1 身份認證管理

基于PKI安全體系，可以將安全策略、安全認證、安全管理等多應用深度整合，形成一個統(tǒng)一、堅強的安全防護體系，包含安全事件收集、事件分析、狀態(tài)監(jiān)視、資源管理、用戶管理以及授權(quán)策略管理，并通過流程優(yōu)化、系統(tǒng)聯(lián)動、事件管理等方式深層次、全方位地整合各應用系統(tǒng)資源，最高效率地處理安全問題，保護系統(tǒng)資源整體安全。系統(tǒng)以核心安全服務中間件為引擎，以應用資源為中心，按照集中認證、統(tǒng)一授權(quán)、統(tǒng)一審計、統(tǒng)一管理的原則，深度整合系統(tǒng)資源，達到全面的安全目標，同時通過異地認證達到更廣范圍的跨區(qū)域整合。

3.3.2 終端桌面安全

在終端區(qū)域，可以通過遠程監(jiān)控、補丁推送、軟硬件資產(chǎn)統(tǒng)計、終端程序控制策略、本地虛擬運行環(huán)境、進程安全管理、桌面資源管理和軟件和補丁分發(fā)等技術(shù)，保障終端桌面工作環(huán)境安全。

3.4 云數(shù)據(jù)審計安全策略

用戶對自己數(shù)據(jù)的完整性和安全性負有最終的責任。傳統(tǒng)服務提供商需要通過外部審計和安全認證，但一些云計算提供商卻拒絕接受這樣的審查。為了保證數(shù)據(jù)的準確性和有效性往往會引入第三方的認證機構(gòu)進數(shù)據(jù)審計。在實施審計的過程中，還需保證審計機構(gòu)不泄漏相關企業(yè)的敏感數(shù)據(jù)。

4 結(jié) 語

文中通過分析云計算環(huán)境下的云數(shù)據(jù)儲存、網(wǎng)絡傳輸及云端數(shù)據(jù)處理三方面存在的數(shù)據(jù)安全風險，結(jié)合云服務商數(shù)據(jù)資源管理和企業(yè)信息化過程，提供了針對云計算環(huán)境下的“云計算中心+數(shù)據(jù)傳輸+云端”的三位一體的數(shù)據(jù)安全控制策略，確保云計算數(shù)據(jù)的保密、完整、可用，為基于云計算的企業(yè)信息化建設提供參考。所采用的方法能夠結(jié)合云計算服務提供商的需求進行擴展。

主要參考文獻

[1]Peter Mell，Timothy Granee.The NIST Definition of Cloud Computing[R].Nation Institute of Standards & Technology，2011.

上一篇: 鎮(zhèn)環(huán)境衛(wèi)生工作計劃下一篇: 社會與實踐活動報告