引言:
個(gè)人從事IT行業(yè)多年���,早期作開發(fā)工作,后來做ERP實(shí)施���,負(fù)責(zé)完成了多個(gè)大型企業(yè)的ERP項(xiàng)目����,目前轉(zhuǎn)入到甲方單位做些項(xiàng)目管理的工作�。在長(zhǎng)期的軟件項(xiàng)目工作經(jīng)歷中,接觸到的客戶中或多或少的表現(xiàn)出對(duì)信息系統(tǒng)風(fēng)險(xiǎn)的錯(cuò)誤認(rèn)識(shí)�,存在誤解的既有企業(yè)的普通員工�,也有企業(yè)領(lǐng)導(dǎo)�。
信息系統(tǒng)的風(fēng)險(xiǎn)和系統(tǒng)的應(yīng)用是伴生的�����,風(fēng)險(xiǎn)是永遠(yuǎn)客觀存在的����,怎樣防范風(fēng)險(xiǎn)、怎樣控制風(fēng)險(xiǎn)��,這是企業(yè)信息化建設(shè)過程中必須應(yīng)對(duì)的問題�����。本文中結(jié)合我個(gè)人從事IT行業(yè)的經(jīng)歷和經(jīng)驗(yàn)��,面向即將實(shí)施信息系統(tǒng)或已經(jīng)建設(shè)了信息系統(tǒng)的企業(yè)�,對(duì)信息系統(tǒng)風(fēng)險(xiǎn)管理中的問題提出我的觀點(diǎn)和相應(yīng)的解決辦法。
正文:
當(dāng)前各個(gè)行業(yè)的企業(yè)內(nèi)部各項(xiàng)信息化工作開展的如火如荼���,ERP�����、電子商務(wù)�����、CRM�,建設(shè)工作由點(diǎn)到面,從業(yè)務(wù)運(yùn)營(yíng)到企業(yè)管理�����、從單一應(yīng)用到綜合治理��,在企業(yè)內(nèi)部各個(gè)層面逐步展開�。系統(tǒng)建設(shè)大多已初具規(guī)模,企業(yè)的信息化框架也逐步確立��?��?梢钥吹?��,信息化為企業(yè)經(jīng)營(yíng)帶來了明顯的經(jīng)濟(jì)效益,為企業(yè)管理改革提供了有力的支持��。
凡事都具有兩面性���,企業(yè)在收獲信息化成果的同時(shí)��,也應(yīng)該看到信息化帶來的巨大風(fēng)險(xiǎn)�,應(yīng)該對(duì)這類風(fēng)險(xiǎn)安排適當(dāng)?shù)目刂拼胧5窃谖业墓ぷ鹘?jīng)歷中����,大多數(shù)客戶����,特別是IT建設(shè)剛剛起步的一些企業(yè),對(duì)此風(fēng)險(xiǎn)問題都表現(xiàn)出不同程度的漠視�,或者錯(cuò)誤的認(rèn)識(shí)。歸納一下���,主要有以下幾種錯(cuò)誤觀點(diǎn):
1�����、 認(rèn)為信息系統(tǒng)應(yīng)該達(dá)到安全可靠���,否則就是開發(fā)商的水平不高;
2�、 要求系統(tǒng)提供商承諾軟件系統(tǒng)功能無差錯(cuò)��;
3�����、 要求系統(tǒng)提供商承擔(dān)系統(tǒng)錯(cuò)誤造成的損失和影響����;
信息系統(tǒng)風(fēng)險(xiǎn)分析:
上面提到的幾種觀點(diǎn)��,其根本����,還在于認(rèn)為“信息系統(tǒng)可以做到安全可靠”,這實(shí)際是對(duì)信息系統(tǒng)風(fēng)險(xiǎn)問題的錯(cuò)誤認(rèn)識(shí)�。
信息系統(tǒng)本身具有很大的“脆弱性”,信息系統(tǒng)依賴的硬件����、信息系統(tǒng)應(yīng)用的IT技術(shù)(軟件方面)、信息系統(tǒng)的建設(shè)和使用過程都存在著大量的風(fēng)險(xiǎn)因素����,這類風(fēng)險(xiǎn)客觀長(zhǎng)期存在,既有有形的風(fēng)險(xiǎn)(設(shè)備、環(huán)境)����、也有無形的風(fēng)險(xiǎn)(行為、道德)���。
下面�����,將從這些角度分析一下信息系統(tǒng)常見的風(fēng)險(xiǎn)因素:
1、 系統(tǒng)硬件環(huán)境風(fēng)險(xiǎn)
信息系統(tǒng)的運(yùn)用���,依賴于特定的硬件環(huán)境�����,例如服務(wù)器���、網(wǎng)絡(luò)等等,這些環(huán)境依賴大量的硬件設(shè)備�,這些設(shè)備自身都存在一定的故障率,這類故障發(fā)生時(shí)必然影響信息系統(tǒng)正常運(yùn)行�。這類故障比較常見,大多數(shù)人也都能理解。
2�、 信息系統(tǒng)技術(shù)帶來的風(fēng)險(xiǎn)
信息系統(tǒng)的建設(shè)總是利用一定的技術(shù)手段進(jìn)行實(shí)現(xiàn),例如Dot NET�����、J2EE�、VB、數(shù)據(jù)庫��、應(yīng)用服務(wù)器等�,這些技術(shù)手段雖然都是商業(yè)化的,但其自身也是一個(gè)信息產(chǎn)品�,受制于信息系統(tǒng)建設(shè)的客觀因素,依然不可能根除出現(xiàn)錯(cuò)誤的可能�,這些產(chǎn)品的廠商在推廣中強(qiáng)調(diào)的“安全性”、“可靠性”��,更多的表現(xiàn)為一種營(yíng)銷宣傳���,根本不可能在購(gòu)買合同中進(jìn)行明確的承諾(這些供應(yīng)商都會(huì)在合同中采用“責(zé)任限制”的條款對(duì)這樣的風(fēng)險(xiǎn)進(jìn)行規(guī)避)�����。那么在這些技術(shù)手段之上構(gòu)建的信息系統(tǒng)自然會(huì)受到這些風(fēng)險(xiǎn)的影響��。
3�、 信息系統(tǒng)建設(shè)過程中隱藏的風(fēng)險(xiǎn)
信息系統(tǒng)建設(shè)的過程,無論是自建還是采購(gòu)�����,都必然經(jīng)歷需求調(diào)研分析���、系統(tǒng)規(guī)劃設(shè)計(jì)��、系統(tǒng)開發(fā)測(cè)試���、系統(tǒng)實(shí)施等幾個(gè)過程,這些過程中都存在導(dǎo)致日后系統(tǒng)出現(xiàn)錯(cuò)誤造成損失的風(fēng)險(xiǎn)�����。例如:
需求調(diào)研階段��,技術(shù)人員對(duì)需求認(rèn)識(shí)的局限性����,將造成未來系統(tǒng)的局限性���。在日后系統(tǒng)應(yīng)用過程中�,當(dāng)這種局限性的條件滿足時(shí),可能對(duì)系統(tǒng)的使用產(chǎn)生影響����;
系統(tǒng)開發(fā)測(cè)試階段,每一項(xiàng)功能都是由技術(shù)人員編寫程序代碼實(shí)現(xiàn)����,此項(xiàng)工作繁瑣且復(fù)雜,人非機(jī)器�����,錯(cuò)誤是不可絕對(duì)避免����,開發(fā)的質(zhì)量需要測(cè)試工作來保證。測(cè)試工作只是模擬未來的使用方式來驗(yàn)證系統(tǒng)�����,不可能對(duì)系統(tǒng)進(jìn)行全方位的驗(yàn)證����,系統(tǒng)出錯(cuò)的可