信息化風險管理

出自 MBA智库百科(https://wiki.mbalib.com/)

　　信息化首先是一個管理問題，其次才是技術問題。賽迪顧問研究與咨詢實踐表明：企業信息化的風險存在於項目建設的整個過程中，如項目動機偏離、系統規劃不當、系統選購失誤、系統實施控制不力、系統移交不順會導致風險，人員教育培訓、管理變革、系統運行改進等方面也存在風險。

　　1.動機不明導致風險

　　企業進行信息化建設的目的不明確將導致系統實施後不能發揮應有作用。信息化動機是企業信息化建設的指南針，正確的動機不一定能帶來預期結果，但錯誤的動機卻肯定不能帶來預期結果。

　　2.規劃不周帶來風險

　　有些企業在信息化建設中僅僅做一個粗略的規劃或者乾脆沒有規劃就引入軟體廠商來上系統，在系統建設上傾向於大而全、功能完整、一步到位的方案，這些都為企業信息化埋下了風險的種子。

　　3.系統選購不當導致風險

　　如今各種軟體、硬體產品日益豐富，系統實施商、軟體提供商和系統集成商為數眾多，不同應用平臺和開發工具，不同的硬體集成，將決定企業信息化未來的效益、維護成本和轉移成本。一旦用戶的系統和設備選型不當，將限制企業的長遠發展。

　　4.系統實施控制不力引發風險

　　信息系統實施需要甲乙雙方良好的合作，但是在實施過程中，由於實施方和用戶知識背景的差異，在最大化自身利益思想的驅動下，可能導致項目實施控制不力，尤其是項目質量難以保證，而導致最終系統不能發揮預期作用，常常會引發實施風險。

　　5.管理變革推進不適引發風險

　　信息化建設要從管理變革開始，這必然觸及企業的核心，其風險性是必然的。所以說不進行管理變革存在信息化效益的風險，進行管理變革引發企業穩步發展的風險。

　　6.系統移交不順產生風險

　　信息系統實施完成後將移交給企業用戶。在移交過程中，實施方需要就系統使用、管理、維護等方面對用戶進行培訓和知識轉移，進行文檔交接、提供技術支持等。這些服務視用戶的信息化應用水平不同而程度不同，若服務不夠，將導致將來系統使用、維護困難的風險。

　　7.組織不力的風險

　　企業信息化建設涉及的範圍廣、知識綜合性強、部門多，是一個全員參與的項目。除了涵蓋企業內部職能部門外，信息化建設往往涉及供應商、客戶、分銷機構等。另外，信息化項目實施需要運用多學科的知識和方法。因此信息化項目組織的難度非常大，項目的組織風險凸顯。

　　信息化風險管理應從組織、規劃和實施控制3個方面著手。

　　1.建立切實能推進信息化的組織

　　為使信息系統能切實發揮作用，企業自身應該建立相應的信息化組織，參與信息化的全過程。這支隊伍應該由企業的高層領導掛帥，以信息服務專職人員為主，業務部門代表參與的人員結構組成。這樣可以有效降低信息化風險。

　　2.專業咨詢機構協助進行信息化規劃

　　信息化建設的經驗表明，大多數應用不理想的信息化項目都沒有進行科學的規劃。規劃缺失對信息化帶來的風險是毀滅性的，所以進行信息化規劃是完全必要的。相對於企業和系統實施商、軟體商來說處於中立的地位，能夠根據企業的實際情況及企業發展戰略目標，做出科學合理的規劃。

　　3.監理機構承擔系統的實施控制

　　以往的信息化系統實施依賴企業用戶（甲方）對實施方的監督控制和實施方的自覺自律來保證上述3大目標。但是由於甲乙雙方天生的利益衝突性，這種方式很難保證系統實施目標實現，尤其是質量難以控制。這就需要專業的信息系統工程監理來承擔這個任務。信息化監理機構作為中立第3方向甲乙雙方負責，保障雙方的利益。