信息系统应用中的风险控制 wxh zt

wxhwhmanshan

联盟会员：杨荣（项目管理者联盟） 原创
引言：

个人从事IT行业多年，早期作开发工作，后来做ERP实施，负责完成了多个大型企业的ERP项目，目前转入到甲方单位做些项目管理的工作。在长期的软件项目工作经历中，接触到的客户中或多或少的表现出对信息系统风险的错误认识，存在误解的既有企业的普通员工，也有企业领导。
信息系统的风险和系统的应用是伴生的，风险是永远客观存在的，怎样防范风险、怎样控制风险，这是企业信息化建设过程中必须应对的问题。本文中结合我个人从事IT行业的经历和经验，面向即将实施信息系统或已经建设了信息系统的企业，对信息系统风险管理中的问题提出我的观点和相应的解决办法。

正文：

当前各个行业的企业内部各项信息化工作开展的如火如荼，ERP、电子商务、CRM，建设工作由点到面，从业务运营到企业管理、从单一应用到综合治理，在企业内部各个层面逐步展开。系统建设大多已初具规模，企业的信息化框架也逐步确立。可以看到，信息化为企业经营带来了明显的经济效益，为企业管理改革提供了有力的支持。

凡事都具有两面性，企业在收获信息化成果的同时，也应该看到信息化带来的巨大风险，应该对这类风险安排适当的控制措施。但是在我的工作经历中，大多数客户，特别是IT建设刚刚起步的一些企业，对此风险问题都表现出不同程度的漠视，或者错误的认识。归纳一下，主要有以下几种错误观点：

1、    认为信息系统应该达到安全可靠，否则就是开发商的水平不高；
2、    要求系统提供商承诺软件系统功能无差错；
3、    要求系统提供商承担系统错误造成的损失和影响；

信息系统风险分析：

上面提到的几种观点，其根本，还在于认为“信息系统可以做到安全可靠”，这实际是对信息系统风险问题的错误认识。

信息系统本身具有很大的“脆弱性”，信息系统依赖的硬件、信息系统应用的IT技术（软件方面）、信息系统的建设和使用过程都存在着大量的风险因素，这类风险客观长期存在，既有有形的风险（设备、环境）、也有无形的风险（行为、道德）。

下面，将从这些角度分析一下信息系统常见的风险因素：

1、    系统硬件环境风险

信息系统的运用，依赖于特定的硬件环境，例如服务器、网络等等，这些环境依赖大量的硬件设备，这些设备自身都存在一定的故障率，这类故障发生时必然影响信息系统正常运行。这类故障比较常见，大多数人也都能理解。

2、    信息系统技术带来的风险

信息系统的建设总是利用一定的技术手段进行实现，例如Dot NET、J2EE、VB、数据库、应用服务器等，这些技术手段虽然都是商业化的，但其自身也是一个信息产品，受制于信息系统建设的客观因素，依然不可能根除出现错误的可能，这些产品的厂商在推广中强调的“安全性”、“可靠性”，更多的表现为一种营销宣传，根本不可能在购买合同中进行明确的承诺（这些供应商都会在合同中采用“责任限制”的条款对这样的风险进行规避）。那么在这些技术手段之上构建的信息系统自然会受到这些风险的影响。

3、    信息系统建设过程中隐藏的风险

信息系统建设的过程，无论是自建还是采购，都必然经历需求调研分析、系统规划设计、系统开发测试、系统实施等几个过程，这些过程中都存在导致日后系统出现错误造成损失的风险。例如：
需求调研阶段，技术人员对需求认识的局限性，将造成未来系统的局限性。在日后系统应用过程中，当这种局限性的条件满足时，可能对系统的使用产生影响；

系统开发测试阶段，每一项功能都是由技术人员编写程序代码实现，此项工作繁琐且复杂，人非机器，错误是不可绝对避免，开发的质量需要测试工作来保证。测试工作只是模拟未来的使用方式来验证系统，不可能对系统进行全方位的验证，系统出错的可能性永远存在。另外，作为这项工作主要的参与者，人的责任心这样的道德风险也不能小视；

4、    信息系统使用、维护过程中“人”的风险

信息系统的最终价值是通过人的使用发挥出来的，在系统的使用中，操作人员不当操作可能造成错误；系统维护中，维护人员的能力、经验的欠缺，可能对系统引入新的错误，这些都是导致损失发生的风险。

5、    信息系统应用集中，自动化程度提高，风险扩大

信息系统经过这些年的发展，从最初的单机、单点应用，演变到现在的网络化应用，数据集中、逻辑集中；应用方式从早期的简单记录功能，到目前的自动化处理，这些既是技术发展的方向，也是企业管理变革的要求。集中降低了信息化建设的成本、增强了系统的灵活性，自动化降低了企业的运营成本，但也不可否认，风险也相应增大了，一个小小的错误，可能会影响到整个企业正常经营。

6、    网络风险

信息技术发展到今天，网络是最伟大的技术创新，目前企业几乎所有的应有系统都基于网络进行构建，从内部办公网到电子商务、从财务系统到网上结算，网络也成为保险公司提升服务质量、扩宽营销渠道的一个重要的手段。网络的大量应用，也带来了大量的风险，例如黑客、病毒等等。

综合上面的分析，信息系统的建设过程、使用过程、以及相关的环境因素中都存在着大量的导致损失的风险因素，这些风险大多都是信息系统建设自身的特点所决定的，客观的讲，风险不可能完全消除。对待信息系统风险，科学的态度应当是怎样去降低风险发生的概率？怎样去控制风险带来的损失？如果损失发生怎样偿付、冲减损失？这三个方面同保险领域中风险管理的思路是一致的，是风险管理的三个基本面：风险防范、损失控制、风险融资。

风险防范策略和方法：

    通过上面的分析，信息系统的风险客观长期存在，科学的方法在于建立有效的风险防范、损失控制、风险融资的手段。其中，对于信息系统风险进行融资，手段有限，仅能针对硬件设备的损失风险，例如购买保险、设备托管等等，对此将不作探讨。下面重点从企业自身工作建设的角度来讨论信息系统风险防范、损失控制的方法。

1、    加强信息系统建设过程的风险管理

企业的信息化系统建设，即使是通过采购买入，企业作为甲方首先要对自己负责，需要主动承担主持、规划、协调、监控等关键职责，相应的信息系统风险管理措施应首先从自身进行强化。否则，项目最终失败后，企业即使从供应商处得到补偿，也是个两败的结果。

前面分析了，信息系统的建设过程本身存在一系列的风险，开发信息系统的过程是决定系统风险的关键因素，因此加强管理的措施主要就是建立对活动的评审和审计。

系统的建设从立项到最终的投入使用，包含了大量的过程活动，从质量监控的角度，需求整理、项目采购、项目计划、系统规划、应用测试、客户培训六项工作是管理的重心。信息系统自身的特殊性，不同于传统的实物产品，可度量性差，其过程表现的是人的行为和思想活动，因此建立工作过程文档实属必要，这将构成进行质量管理、控制风险的基础。

2、    加强信息系统存续阶段的风险控制

信息系统犹如一辆汽车，在其使用过程中需要进行日常保养（纠错性维护），必要时可能还需进行改造（改进性维护），以便能够适应业务发展的要求。

信息系统维护工作是个很有挑战性的工作，难点不是某个错误多么隐蔽，多么难改，而是在这样长期的变化环境中，怎样保持系统的可靠和稳定。在工作中，时常听到IT人员抱怨某某系统又要改了，业务人员抱怨系统改正了老问题又带来新问题，或者是曾经修正了的问题又出现了，这几乎成了维护工作的常见病。

个人在专业IT公司长期从事软件产品的管理工作，IT公司软件产品管理和企业维护信息系统的工作面临的挑战是相同的，产品管理同样面临怎样保证产品适应市场的变化、客户的需求，同时还要在长期的应用中保持稳定。要达到这样的要求，从本质上讲，规划是根本，但从日常管理上讲，完备的配置管理是保障。

软件配置管理的目的是在软件系统的整个生存周期过程中建立和维护软件项目产品的完整性和一致性。具体讲，涉及三个方面：版本管理、变更管理和过程支持，有效地版本管理要能够的标示系统的变化，变化要可追溯；变更管理要记录每次变化的原因，或是Bug，或是需求，建立变更和系统版本之间的联系，保证系统的变更是受控的。

3、    信息系统建设中应规划风险控制支持功能

企业在引入信息系统时，应将信息系统作为一个风险源，对业务流程规划时，应考虑其影响，根据效益原则进行风险控制。在建设信息系统时，需明确提出建立必要的风险控制措施，或从制度、或从信息系统自身。例如：系统对外报出的数据，在报出前完成和原始数据的核对；自动处理的业务，阶段性的进行核查。相应的信息系统要提供合适的功能支持完成此类工作。

有了这样的手段，在各部门岗位中再辅以恰当的岗位职责认定，业务岗位工作职责中纳入风险控制要求，业务部门对业务执行结果负责。信息系统建设和业务部门日常工作之间建立责任推动机制，相互配合，相互促进，实现信息系统风险控制工作的良性发展。

4、    建立企业信息安全审计制度

上面讨论的方法仅仅是一些针对性的办法、措施，上升到整个企业的高度，依然无法有效地保证企业的信息安全。因为这些办法都体现为部门的行为，行为的选择具有主观性、灵活性的特征，只有通过企业的制度建设来约束行为，才能够保证行为方向的一致和有效，因此企业的信息安全保障需要通过建立一套有效的控制制度来实现。

在制度建设上，企业信息系统审计制度是个比较好的选择，其中就包括了信息安全的审计。企业可在适当的时机，逐步引入审计制度，通过第三方或内部独立的审计机构对企业的信息安全工作周期性的进行审计，出具审计报告，形成对信息安全的客观评价，根据评价来指导、监督信息安全的建设。

这个方面业界已经有了成熟的信息管理审计的标准和方法，影响力比较大主要有COBIT和ISO17799。COBIT是信息系统审计与控制协会公布的标准，全称叫“Control Objectives for Information and Related Technology”。COBIT将IT过程、IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构。ISO17799的前身是英国国家标准局制定的BS7799-1《信息安全管理实践规范》和BS7799-2《信息安全管理体系规范》，目的是帮助银行在组织中建立一个初步的、易于实施和维护的安全管理框架。后来BS7799-1已被国际标准化组织采纳成为ISO17799。该标准包含100多个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素。这100多个控制措施被分成10个方面，成为组织实施信息安全管理的实用指南，这10个方面分别是：方针、安全组织、信息分类与控制、人事安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、商务可持续运营、法律符合。

这些相关标准对系统安全管理分析得比较透彻。个人观点，全面引入标准在企业中实施，难度非常大，可行的办法是：参照标准，基于企业现状，又针对性的选择加强管理的措施，由点及面，逐步推行应用。大家有兴趣的话，可以学习一下。

总结：

    信息化是企业改革的一把利器，可以制敌，同样也可伤己。企业在引入信息系统同时，迫切需要加强自身能力的建设，唯此才可达到信息化建设的目的——推动企业发展。