引言:
個(gè)人從事IT行業(yè)多年�,早期作開發(fā)工作��,后來做ERP實(shí)施�,負(fù)責(zé)完成了多個(gè)大型企業(yè)的ERP項(xiàng)目,目前轉(zhuǎn)入到甲方單位做些項(xiàng)目管理的工作�。在長期的軟件項(xiàng)目工作經(jīng)歷中,接觸到的客戶中或多或少的表現(xiàn)出對(duì)信息系統(tǒng)風(fēng)險(xiǎn)的錯(cuò)誤認(rèn)識(shí)���,存在誤解的既有企業(yè)的普通員工,也有企業(yè)領(lǐng)導(dǎo)��。
信息系統(tǒng)的風(fēng)險(xiǎn)和系統(tǒng)的應(yīng)用是伴生的�,風(fēng)險(xiǎn)是永遠(yuǎn)客觀存在的����,怎樣防范風(fēng)險(xiǎn)�����、怎樣控制風(fēng)險(xiǎn)����,這是企業(yè)信息化建設(shè)過程中必須應(yīng)對(duì)的問題��。本文中結(jié)合我個(gè)人從事IT行業(yè)的經(jīng)歷和經(jīng)驗(yàn)��,面向即將實(shí)施信息系統(tǒng)或已經(jīng)建設(shè)了信息系統(tǒng)的企業(yè)����,對(duì)信息系統(tǒng)風(fēng)險(xiǎn)管理中的問題提出我的觀點(diǎn)和相應(yīng)的解決辦法���。
正文:
當(dāng)前各個(gè)行業(yè)的企業(yè)內(nèi)部各項(xiàng)信息化工作開展的如火如荼,ERP�����、電子商務(wù)���、CRM���,建設(shè)工作由點(diǎn)到面�����,從業(yè)務(wù)運(yùn)營到企業(yè)管理�、從單一應(yīng)用到綜合治理����,在企業(yè)內(nèi)部各個(gè)層面逐步展開���。系統(tǒng)建設(shè)大多已初具規(guī)模,企業(yè)的信息化框架也逐步確立�����?��?梢钥吹?��,信息化為企業(yè)經(jīng)營帶來了明顯的經(jīng)濟(jì)效益�����,為企業(yè)管理改革提供了有力的支持。
凡事都具有兩面性����,企業(yè)在收獲信息化成果的同時(shí)�����,也應(yīng)該看到信息化帶來的巨大風(fēng)險(xiǎn)��,應(yīng)該對(duì)這類風(fēng)險(xiǎn)安排適當(dāng)?shù)目刂拼胧5窃谖业墓ぷ鹘?jīng)歷中���,大多數(shù)客戶,特別是IT建設(shè)剛剛起步的一些企業(yè)��,對(duì)此風(fēng)險(xiǎn)問題都表現(xiàn)出不同程度的漠視�����,或者錯(cuò)誤的認(rèn)識(shí)��。歸納一下,主要有以下幾種錯(cuò)誤觀點(diǎn):
1����、 認(rèn)為信息系統(tǒng)應(yīng)該達(dá)到安全可靠�,否則就是開發(fā)商的水平不高��;
2、 要求系統(tǒng)提供商承諾軟件系統(tǒng)功能無差錯(cuò)����;
3����、 要求系統(tǒng)提供商承擔(dān)系統(tǒng)錯(cuò)誤造成的損失和影響�����;
信息系統(tǒng)風(fēng)險(xiǎn)分析:
上面提到的幾種觀點(diǎn)�,其根本����,還在于認(rèn)為“信息系統(tǒng)可以做到安全可靠”�����,這實(shí)際是對(duì)信息系統(tǒng)風(fēng)險(xiǎn)問題的錯(cuò)誤認(rèn)識(shí)�。
信息系統(tǒng)本身具有很大的“脆弱性”���,信息系統(tǒng)依賴的硬件�����、信息系統(tǒng)應(yīng)用的IT技術(shù)(軟件方面)����、信息系統(tǒng)的建設(shè)和使用過程都存在著大量的風(fēng)險(xiǎn)因素,這類風(fēng)險(xiǎn)客觀長期存在�����,既有有形的風(fēng)險(xiǎn)(設(shè)備�、環(huán)境)、也有無形的風(fēng)險(xiǎn)(行為��、道德)�����。
下面����,將從這些角度分析一下信息系統(tǒng)常見的風(fēng)險(xiǎn)因素:
1�、 系統(tǒng)硬件環(huán)境風(fēng)險(xiǎn)
信息系統(tǒng)的運(yùn)用,依賴于特定的硬件環(huán)境���,例如服務(wù)器����、網(wǎng)絡(luò)等等����,這些環(huán)境依賴大量的硬件設(shè)備,這些設(shè)備自身都存在一定的故障率��,這類故障發(fā)生時(shí)必然影響信息系統(tǒng)正常運(yùn)行����。這類故障比較常見��,大多數(shù)人也都能理解�。
2�����、 信息系統(tǒng)技術(shù)帶來的風(fēng)險(xiǎn)
信息系統(tǒng)的建設(shè)總是利用一定的技術(shù)手段進(jìn)行實(shí)現(xiàn)�,例如Dot NET�����、J2EE����、VB����、數(shù)據(jù)庫��、應(yīng)用服務(wù)器等��,這些技術(shù)手段雖然都是商業(yè)化的���,但其自身也是一個(gè)信息產(chǎn)品�,受制于信息系統(tǒng)建設(shè)的客觀因素,依然不可能根除出現(xiàn)錯(cuò)誤的可能����,這些產(chǎn)品的廠商在推廣中強(qiáng)調(diào)的“安全性”�、“可靠性”����,更多的表現(xiàn)為一種營銷宣傳�����,根本不可能在購買合同中進(jìn)行明確的承諾(這些供應(yīng)商都會(huì)在合同中采用“責(zé)任限制”的條款對(duì)這樣的風(fēng)險(xiǎn)進(jìn)行規(guī)避)�。那么在這些技術(shù)手段之上構(gòu)建的信息系統(tǒng)自然會(huì)受到這些風(fēng)險(xiǎn)的影響。
3��、 信息系統(tǒng)建設(shè)過程中隱藏的風(fēng)險(xiǎn)
信息系統(tǒng)建設(shè)的過程�����,無論是自建還是采購����,都必然經(jīng)歷需求調(diào)研分析、系統(tǒng)規(guī)劃設(shè)計(jì)�����、系統(tǒng)開發(fā)測(cè)試����、系統(tǒng)實(shí)施等幾個(gè)過程,這些過程中都存在導(dǎo)致日后系統(tǒng)出現(xiàn)錯(cuò)誤造成損失的風(fēng)險(xiǎn)�����。例如:
需求調(diào)研階段,技術(shù)人員對(duì)需求認(rèn)識(shí)的局限性�����,將造成未來系統(tǒng)的局限性����。在日后系統(tǒng)應(yīng)用過程中,當(dāng)這種局限性的條件滿足時(shí)����,可能對(duì)系統(tǒng)的使用產(chǎn)生影響;
系統(tǒng)開發(fā)測(cè)試階段����,每一項(xiàng)功能都是由技術(shù)人員編寫程序代碼實(shí)現(xiàn),此項(xiàng)工作繁瑣且復(fù)雜���,人非機(jī)器���,錯(cuò)誤是不可絕對(duì)避免���,開發(fā)的質(zhì)量需要測(cè)試工作來保證���。測(cè)試工作只是模擬未來的使用方式來驗(yàn)證系統(tǒng)���,不可能對(duì)系統(tǒng)進(jìn)行全方位的驗(yàn)證,系統(tǒng)出錯(cuò)的可