《企业信息系统管控的风险分析》由会员分享,可在线阅读,更多相关《企业信息系统管控的风险分析(12页珍藏版)》请在金锄头文库上搜索。
1、 论文(设计)题目:企业信息系统管控的风险分析学 院: 专 业: 班 级: 学 号: 5 学生姓名: 指导教师: 年 月 日浅析企业信息系统风险管理方法 【摘要】当今社会信息系统已经全面融入企业的运营,因而风险管理显得愈加重要。本文从对企业信息系统生命周期的角度进行风险分析,提出了风险管理的要求,简述了如何加强企业信息系统的风险管理,并对企业如何提高抗风险能力给出了几点建议。 【关键词】信息系统;风险;风险管理;方法 Analysis on enterprise information system risk management method Abstract:Today, the soci
2、al information system has been fully integrated into the enterprises operation, so the risk management is becoming more and more important. This article will analyze the risk from the view of the life cycle of enterprise information system, and put forward the requirements of risk management, introd
3、uces how to strengthen enterprise risk management of information system, and gives some advice to how to improve the ability to resist risks. Key words: Information system;risk;risk management;method 引言 企业生存需要依靠信息系统来增强运营效率,但随着经济形势的逐日严峻,市场竞争越来越激烈,企业对风险的耐受性变得更差,抗风险能力也更低。危机环境下的企业信息化建设,因此具有了一些新的、特定的、不容忽
4、视的特点,尤其是那些大型的信息系统项目,因为投资规模大、功能复杂、用户众多,并且很多系统还涉及到了业务流程的重整和优化,使得实施的难度和风险更高,因而我们对企业信息系统的风险管理水平夜有了更高的要求。 一、风险管理及信息系统风险的定义 (一)风险和风险管理 风险是指在某一特定环境下,在某一特定时间段内,某种损失发生的可能性。风险是由风险因素、风险事故和风险损失等要素组成。 风险管理又名危机管理,是一个管理过程,其中包括对风险的确定、量度、评估和发展应付风险的策略。目的是把可以避免的风险减至最小,成本及损失极小化。理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最可能发生的
5、事情优先处理、而相对风险较低的事情则押后处理。 (二)信息系统及信息系统风险 信息系统(MIS-ManagementInformationSystem)系统,是一个由人、计算机及其他外围设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统。其主要任务是最大限度的利用现代计算机及网络通讯技术加强企业的信息管理,通过对企业拥有的人力、物力、财力、设备、技术等资源的调查了解,建立正确的数据,加工处理并编制成各种信息资料及时提供给管理人员,以便进行正确的决策,不断提高企业的管理水平和经济效益。 信息系统的风险是指软件开发过程中及软件产品本身可能造成的伤害或损失。在研制和实施信息系统的过程中
6、,项目的商业风险、管理风险以及技术风险等诸多风险均存在,并且,软件不可见等特性使得不确定因素增多,开发和应用风险变大。 二、企业信息系统的生命周期及风险管理目标 (一)初始阶段 在确定新的信息系统概念和早期设计过程中,风险管理的目标是保证业务和信息技术系统的一致性,避免在项目启动初期出现不合理的行为导致返工。因此,必须做好系统的规划和区分,了解其内部的相互依赖关系,明确交付系统的能力、容量和可能的制约因素,按照优先级次序启动不同流程。确认系统方案的可行性对系统方案交付选项进行有效的评估,保证业务和信息系统在理念上的一致性。 (二)系统开发系统采购对于大多数信息系统来说,开发采购阶段比起始阶段更
7、复杂,可以分为以下三个子阶段。1、需求和方案设计在开发,采购阶段的初期,系统计划者定义系统的需求,风险管理的需求也应该与此同时制定,风险管理的目标是保证在系统解决方案开始构建之前,明确方案的优缺点,避免返工。方案架构设计过程应该坚持对方案进行严格的质量评估,同时要积极管理合作伙伴合同和技术采购上可能出现的风险。 2、系统构建(开发采购)如果系统要自行开发,编码工作此时已经开始启动,对采购软件,则需要同步开始进行裁剪和配置工作,这个阶段需要避免的风险主要和系统各个组成部分自身携带的缺陷有关,这些组件集成到整个系统中,也可能引入新的缺陷。 3、系统测试 系统测试阶段主要的风险管理目标是通过测试识别
8、不可接受的缺陷,并确认每个缺陷都得到了解决。我们必须确认系统的正确性和完整性依照系统规范和业务需求,按部就班地对系统实施“肯定性”和“否定性”测试,以保证系统能够正常运作。 (三)系统实施在实施阶段,系统主要的风险管理目标是保持业务的持续运行,避免业务中断。所以,在系统投产前,要组织用户代表进行技术演练,使用户对系统在时问、次序和可能造成的影响等方面都有一个清晰的了解。并准备好一套可以让业务退回原有状态的备用计划,并在实施前进行演练。 (四)运行和维护由于系统的复杂性和资源限制,测试阶段很难对信息系统进行穷尽测试,系统在运行中总会出现新的缺陷,同时业务的发展变化也会对系统提出变更和改进要求,此
9、时风险管理的目标是把系统从故障状态中恢复正常运行,避免系统改进造成新的故障。 (五)退出与废弃 信息系统生命周期的退出和废弃阶段涉及到信息、硬件和软件的处置。在理想情况下,旧应用系统退出计划应该作为新应用系统实施和切换的一部分。应确保废弃的软硬件被正确、安全的处理。 三、企业信息系统风险管理的方法步骤 企业在信息系统运行和帮助生产经营的过程中,应对可能发生的风险进行识别,预测各种风险发生后对资源及生产经营造成的消极影响,使生产能够持续进行。可见,风险的识别、风险的预测、风险监控和风险的处理是企业风险管理的主要步骤和方法。 (一)风险的识别 风险识别就是确定哪些风险可能会对事物产生影响,然后,将
10、这些风险按特征分类记录为文档,系统化地确定对项目的威胁。这是风险管理的第一步,只有识别出这些风险,项目管理者才有可能避免并控制这些风险。 准确的识别出当前项目的风险,是有效管理项目风险的前提,也是后续各步骤的基础,因而风险管理人员要根据企业自身的特点,明确在信息系统中可能遇到的风险,并对不同的风险内容分别制定可行的应对策略。如风险列表分析法,通过把以往项目中曾经发生过的风险整理到一起,并按照项目的类型、规模和特点进行分类,分别编制成适用于不同种类项目的风险列表,供项目组评估和分析当前项目所面临的风险时使用。 在信息化项目当中,不断积累起来的项目经验和组织过程资产,是保证新项目顺利执行的宝贵资产
11、。无论是整理出来的风险识别列表,还是以往曾经采取的处理方法,或是各种不同方法的实施效果,对于新的项目来说都是极珍贵的参考资料,对整个系统的风险管理更是意义非凡。 (二)风险的预测 正确认识企业信息系统可能遇到的各种风险,是加强风险管理的基础,是制定风险应对预案的基础,是及时预警风险信号的基础。既然是基础,其重要性也就不言而喻,然而真正能够做到这一点的却并不多。 许多风险管理计划并不能做到符合企业自身的需求既然有风险列表可以参考,那么随便选出三五个风险因素,然后照抄一下以往的应对措施,再随意琢磨出几个概率和强度,一份有模有样的风险管理计划就新鲜出炉了。至于如此一份“因繁就简”的风险管理计划,对防
12、范和应对当前项目中可能遇到的风险到底有多大的用处,就可想而知了。所以,只有当组织的所有成员都诚恳的意识到风险的破坏性和风险管理的迫切性,充分重视项目风险的识别、监控和应对,风险管理才可能发挥其应有的作用,成为促进信息化项目成功的重要保障。 其次,每种风险发生的概率和造成的损害各不相同。一个项目需要关注的东西很多,不可能对每一个风险都给予同等的注意,必然会对发生概率高、危害大的风险投入更多的关注。 关于风险发生的概率,可以通过历史数据的分析来获得。对历史项目中这类风险发生的频度进行统计,可以大致估算出这类风险发生的概率,当然,在评估具体项目中某个风险的概率时,也要考虑到该项目的特点,只有对具有可
13、比性的项目数据进行统计,才会对风险的概率度量有所帮助。 风险的强度系数,主要依靠对假设的风险发生状态下,可能会给组织造成的直接损失和间接损失。对信息化项目来说,最常用的衡量损失的指标就是进度和质量,这是最直接的损失,当然还会有间接的比如满意度等方面的损失。 无论是概率系数还是强度系数,都是为了衡量某个风险的重要服务的,并不要求绝对精确,只要能够找到项目中最可能发生的、危害程度最大的风险,并加以重点防范,以避免给项目造成重大损失。 (三)风险监控 罗马不是一天建成的,风险也不是突然出现的。在风险演化为后果严重的危机之前,总会有蛛丝马迹可寻,风险监控的意义就在于此。只要我们足够的细心,给予足够的重
14、视,很多情况下是可以化危机于无形的,或者,至少可以降低所造成的危害。 前面几步明确了风险的内容、概率和强度,接下来我们需要对优先级最高的风险进行重点监控,把有限的精力放在最有价值的工作上。 企业测信息化建的项目有许多信息和指标反映项目的进展状态,比如进度是否落后,项目质量是否波动,需求是否又有变动,功能点完成了多少?系统的风险管理者应该时刻关注这些项目信息,并从各种状态评估报告、项目进展报告等文件中收集所需的信息,利用这些信息拼凑成一幅完整的项目现状图。 掌握了全面的项目状态信息之后,风险管理者需要根据风险管理计划中提供的风险列表,对其中的异常信息进行重点分析,及时发出风险预警,提醒项目组成员确认风险并采取相关的风险应对措施,达到风险管理的目标。 防微杜渐是风险监控的目的,见微知著是风险监控的原则,无论计划制定的多么完美,没有及时准确的风险监控和预警体系,项目的风险管理就实实在在的成了一句空话。 四)风险的处理 最可怕的不是风险本身,而是当风险成为事实后的惊慌失措。风险发生后,我们应将重点放在该怎样面对已成事实的风险,怎样努力降低风险造成的损失。 如果我们认真做到了前面的
