信息化项目中的风险管理
信息化项目中的风险管理
年级:西南交大2006级工程管理班学号:20061632
姓名:杨凯
专业:工程管理
日期:2010 年 11 月
信息化项目中的风险管理
【摘要】风险管理一直是项目管理中的重点和难点问题。本文对风险识别、风险评估及风险应对进行研究,对项目管理过程中的风险问题做了全面的阐述,希望能对广大项目管理人员起到抛砖引玉的作用。
【关键词】风险识别风险评估风险应对
实施任何项目都有风险,即在企业投入相应资源后没有如期实现项目目标。项目风险管理,就是在项目实施过程中对项目可能出现的问题进行主动而系统的识别、评估并及时采取相应的应对措施和行动,减少风险带来的损失。
一、风险识别
风险识别就是确定风险事件及其来源,是项目风险管理中一项经常性的工作。由于风险的不确定性,风险识别实际上只能算是一种预测分析,是对可能会给项目目标实现带来负面影响的环节和因素所进行的假想。目的是做到有备无患,当实际风险发生时能有效应对。
风险因素可能来自需求、技术、资金、实施方等各个方面,但项目实施最根本的目标是实现项目的期望,因此风险识别也应重点关注影响项目期望的因素。同时在风险识别过程中,也需要辩证地分析风险因素的负面效应(即风险带来的威胁)和正面效应(即潜在的机会)。
具体的项目风险识别方法,主要有:1.调查问卷法,即事先设计相应的表格、问卷,然后选取特定的调查对象,然后总结出项目的风险;另外,询问项目组成员也非常有帮助,问问他们以前做过的项目里曾发生过哪些意料不到的问题。2.头脑风暴法,就是由项目小组成员在一起,反复假设“如果……,那就会……”,充分预测信息化项目中出现的各种情况,从而尽可能多的找出影响项目成功实施的因素。3.理论分析法,即通过建立数学模型等方法从理论上来分析信息化项目
的风险,比如决策树、敏感性分析、蒙特卡罗模拟等。4.专家判断法,即请教擅长信息化项目实施的专家、学者、教授,经验丰富的项目经理、实施顾问等,从理论与实践多方面来判断项目风险因素的正面效应和负面效应。5.经验总结法,就是借助以往企业信息化项目实施的经验教训,来类推、联想这个信息化项目中的风险因素。
二、风险评估
风险评估就是估算风险的性质,估算风险事件发生的概率及其后果的大小,以降低项目的不确定性。风险评估又称作风险量化,就是比较风险的大小,从而决定是否需要采取相应的应对措施。风险评估的方法很多,归纳起来主要包括以下几种:用风险发生的概率来评估风险发生的可能性;用风险带来的损失来评估风险发生的严重性;用现有的手段能否控制风险的发生来评估风险发生的可控性;用风险影响的地域大小、对象多少等来评估风险影响的范围;用风险发生在项目生命周期的阶段来评估风险发生的时间。
实际项目风险管理过程中,常常用逐项评分的方法来量化风险的大小,即事先确定评分的标准,然后由项目小组一起,对预先识别的项目风险一一打分,然后得出不同风险的大小。
三、风险应对
针对风险评估的结果,制定相应的应对措施去响应风险,就是风险应对,其目的是创造机会,回避威胁。风险应对中,需要对风险的正面效应(即潜在的机会)制定增强措施,对风险的负面效应(即可能的威胁)制定应付方法。对于不同的风险,需要根据其重要性、影响大小,以及已经确定的处理优先次序,采取相应的措施加以控制,对负面风险的反应可以是尽量避免、努力减小或设法接收。另外,在处理风险时需要注意应对的“及时性”和“反复性”,即在第一时间对各种突发的风险做出判断并采取措施;对已经发生或已经得到控制的风险经常进行回顾,确保风险能够得到稳定长期的控制。
项目风险应对的措施主要有:1.修正项目目标或范围。尽管有深入的项目调研和详尽的项目规划,但信息化项目过程中的需求改变常常难以避免,因此为保
证项目的实施效果,对项目的目标或范围加以必要修正,能够有效应对项目偏离需求的风险。2.加强培训。加强项目培训能够提高参与项目的IT人员和业务人员甚至管理人员、决策者对信息化项目的认知,对规避项目的实施风险有良好的效果。3.加长模拟阶段的周期。信息化项目中最重要的是信息系统与企业业务流程的结合,因此加长系统模拟业务流程的周期,使之充分适应企业业务流程,能够保证项目对企业的适应性,从而降低项目的实施风险。4.引入第三方咨询和监理。信息化项目初期尤其是刚刚开展信息化项目的企业,在信息化项目实施中引入第三方咨询和监理,能够利用第三方的专家优势和对项目实施的经验来应对项目风险。5.始终贯彻项目管理的标准流程。严格执行项目管理中的时间、成本、质量控制等标准流程,能够有助于控制项目风险。6.准备风险保证金,适当预留项目计划时间。信息化实施往往周期较长,在项目预算中预留一定数量的风险保证金,时间计划中预留一定的时间,能够有效应对由于项目需求改变或者范围增加而造成的时间和成本风险。7.行政强制手段。对于项目中的某些难点,采用行政强制手段能够起到很好的效果。8.终止项目。这是一种极端的做法,往往由于项目目标没有明确所致,采用这种做法虽然会导致项目的彻底失败,但也是万不得已,能够避免企业更大的损失。
在信息化项目开发过程中,一个成功的风险管理可以防止和减少项目中潜在问题的影响,它是处理危机的有效处方。在项目生命周期内,一个优秀的项目管理人员应在风险反应和风险预防之间达到一种平衡:当风险没有出现时,风险管理有助于你通过科学的分析和方法,降低风险发生的概率或转移风险,减小风险损失;当风险出现时,风险管理有助于你采用一种经过深思熟虑的解决方法去快速的做出反应,从而减小风险对整个项目所造成的影响。
参考文献:
[1]邱菀华:现代项目风险管理方法与实践.北京:科学出版社,2003
[2]乔明:项目管理中的风险管理分析.工程建设与设计,2003(12):29~31
[3]吴康:项目管理中的风险管理探讨.建筑经济与管理,2005(6):163~164
【项目管理知识】信息化项目中的风险管理
信息化项目中的风险管理 实施任何项目都有风险,即在企业投入相应资源后没有如期实现项目目标。出现项目风险的根源在于,在项目实施过程中会发生很多意想不到的某些事件,这些事件导致实际结果偏离预期目标。和工程项目相比,信息化项目的实施风险更大,因为信息化项目是看不见、摸不着的项目。如何规避信息化项目的风险呢? 项目风险管理,就是在项目实施过程中对项目可能出现的问题进行主动而系统的识别、评估并及时采取相应的应对措施和行动,减少风险带来的损失。风险管理由风险识别、风险评估和风险应对三个部分组成。 风险识别 风险识别就是确定风险事件及其来源。由于风险的不确定性,风险识别实际上只能算是一种预测分析,是对可能会给项目目标实现带来负面影响的环节和因素所进行的假想。目的是做到有备无患,当实际风险发生时能有效应对。 需要注意的是,风险识别将贯穿于项目实施的全过程,而不仅仅是项目的开始阶段。风险因素可能来自需求、技术、资金、实施方等各个方面,但项目实施根本的目标是实现项目的期望,因此风险识别也应重点关注影响项目期望的因素。同时在风险识别过程中,也需要辩证地分析风险因素的负面效应(即风险带来的威胁)和正面效应(即潜在的机会)。 具体的项目风险识别方法,主要有: ①头脑风暴法,就是由项目小组成员在一起,反复假设“如果……,那就会……”,充分预测信息化项目中出现的各种情况,从而尽可能多的找出影响项目成功实施的因素。
②专家判断法,即请教擅长信息化项目实施的专家、学者、教授,经验丰富的项目经理、实施顾问等,从理论与实践多方面来判断项目风险因素的正面效应和负面效应。 ③调查问卷法,即事先设计相应的表格、问卷,然后选取特定的调查对象,然后总结出项目的风险;另外,询问项目组成员也非常有帮助,问问他们以前做过的项目里曾发生过哪些意料不到的问题。也许管理部门又提出了新的优先项目,也许的成员突然不能参加进来了,也许预算减少了,也许其中的一项任务完成拖期了,也许另一个小组超出了预算,或者也许出现了未预见到的技术问题……要把进度(包括可能延误项目的因素)、人员(包括威胁到位的因素)、财务(包括威胁预算的因素)以及范围(包括导致终产品的难以完成的因素)等各方面的风险一一区分开来。 ④经验总结法,就是借助以往企业信息化项目实施的经验教训,来类推、联想这个信息化项目中的风险因素。 ⑤理论分析法,即通过建立数学模型等方法从理论上来分析信息化项目的风险,比如决策树、敏感性分析、蒙特卡罗模拟等。 风险评估 风险评估又称作风险量化,就是比较风险的大小,从而决定是否需要采取相应的应对措施。风险评估的方法很多,归纳起来主要包括以下几种:用风险发生的概率来评估风险发生的可能性;用风险带来的损失来评估风险发生的严重性;用现有的手段能否控制风险的发生来评估风险发生的可控性;用风险影响的地域大小、对象多少等来评估风险影响的范围;用风险发生在项目生命周期的阶段来评估风险发生的时间。
2017年度全面风险管理报告,企业全面风险管理工作回顾
2017年度全面风险管理报告 【最新资料,WORD文档,可编辑修改】 2015年度全面风险管理报告 一、2011年度企业全面风险管理工作回顾 (一)企业全面风险管理工作计划完成情况 在上年开展企业全面风险管理工作基础上,进一步加强公司全面风险管理体系的建设,制订了公司全面风险管理制度和办法,公司根据上市要求和集团公司关于加强内部控制要求以及公司实际需要成立了审计部,审计部为全面风险管理的专职部门。按照集团公司要求,
结合公司的经营运作、岗位设置等实际情况,在全公司范围内对各部门积极开展全面风险管理的各项工作,各部门查找提出自身存在的风险点,并对其加以识别,再组织各部门领导汇总、归纳、整理出公司风险点,对其进行识别、评估,经过对风险成因分析,找出策略和解决方案。并将各类风险管理责任落实到相应部门及个人。编制了风险管理网络图,把公司所有风险点纳入到管理体系中。明确公司全面风险管理职责分工,相关问题由部门提出,专职部门提出审核意见,报总经理办公会讨论,进一步细化了各层级和各部门的职责分工。 从全年全面风险管理工作计划执行情况来看都较好的完成了目标任务,全年没有出现一般以上的风险因素,全面完成了公司经济效益和预算目标任务。 (二)企业重大风险管理情况 2011年公司全年整体运行良好,公司在不影响正常生产经营的前提下,采取多种措施,加大管理力度,出台一系列政策、办法、措施,有针对性的解决,把问题消灭在萌芽状态,坚决杜绝各类事故、问题的发生,通过对重大、重要风险辨识、评估,采取应对措施,对防止风险、稳定质量、提高效率、减少损失、增加效益,促进公司又好又快发展起到了积极作用。全年没有发生重大风险事故。 (三)重大风险管理解决方案的监督检查情况 通过对重大风险管理解决方案的实施情况进行监督,并对风险管理有效性进行检验。公司每年根据公司实际生产经营中存在的风险种类根据类别、轻重来重新划分等级或重点,有针对性的加以重点控制和管理,根据新发生风险的可能性采取措施,进行监督检查落实,以
信息化项目风险应对措施
信息化项目风险应对措施 针对风险评估的结果,制定相应的应对措施去响应风险,就是风险应对,其目的是创造机会,回避威胁。风险应对中,需要对风险的正面效应(即潜在的机会)制定增强措施,对风险的负面效应(即可能的威胁)制定应付方法。对于不同的风险,需要根据其重要性、影响大小以及已经确定的处理优先次序,采取相应的措施加以控制,对负面风险的反应可以是尽量避免、努力减小或设法接收。另外,在处理风险时需要注意应对的“及时性”和“反复性”,即在第一时间对各种突发的风险作出判断并采取措施;对已经发生或已经得到控制的风险经常进行回顾,确保风险能够得到稳定长期的控制。信息系统项目风险应对的措施主要有:①修正项目目标或范围。尽管有深入的项目调研和详尽的项目规划,但信息化项目过程中的需求改变常常难以避免,因此为保证项目的实施效果,对项目的目标或范围加以必要修正,能够有效应对项目偏离需求的风险。 ②加强培训。加强项目培训能够提高参与项目的IT人员和业务人员甚至管理人员、决策者对信息化项目的认知,对规避项目的实施风险有良好的效果。③准备风险保证金,适当预留项目计划时间。信息化实施往往周期较长,在项目预算中预留一定数量的风险保证金,时间计划中预留一定的时间,能够有效应对由于项目需求改变或者范围增加而造成的时间和成本风险。④始终贯彻项目管理的标准流程。严格执行项目管理中的时间、成本、质量控制等标准流程,能够有助于控制项目风险。⑤引入第三方咨询和监理。信息化项目初期尤其是刚刚开展信息化项目的企业,在信息化项目实施中引入第三方咨询和监理,能够利用第三方的专家优势和对项目实施的经验来应对项目风险。⑥加长模拟阶段的周期。信息化项目中最重要的是信息系统与企业业务流程的结合,因此
(完整版)2019年度XXX公司全面风险管理报告
2019年度企业全面风险管理报告 一、企业全面风险管理工作基本情况 (一)全面风险管理组织体系 机构设置情况: 风险管理领导小组及工作组成员 组长: 成员: 领导小组下设办公室,办公室设在AAA部,全面贯彻执行风险管理领导小组的各项决策,组织协调工作,及其他联络事项。 办公室主任: 成员: 以上人员岗位变动时,由原岗位接替人员自动递补。 二、2018年度企业全面风险管理工作回顾 (一)企业全面风险管理工作计划完成情况。 1.简要说明本企业2018年度全面风险管理工作计划完
成情况。 2.企业董事会开展全面风险管理工作主要情况。 2018年度XXX公司全面风险管理工作在XXXXX集团的正确领导下,XXX公司明确党政职责,认真贯彻落实相关管理工作任务和要求,通过党总支前置程序、总经理办公会充分研判生产经营过程中发生风险的可能性,并对可能性进行预案准备,根据企业风险管控现状和企业改革发展需要,摸索与实践,为企业建立全面风险管理体系和运行机制提供具体参考,同时促进企业经营方式、管理方式、控制手段转变。 总经理办公会充分重视企业全面风险管理体系建设,开展“两金管理”、企业安全生产管理、企业“双控”体系建设等专项风险管理制工作;修订水电气应收账款风险管理办法及考核办法;制定全面风险管理体系建设的工作计划与工作目标;组织召开全面风险管理专题会议;加强风险防控学习与风险管理交流,树立风险意识和危机意识,提前做好重大风险的预防工作,管理效果明显。 3.企业董事会对年度工作的评价。 2018年度XXX公司对重大风险管理采取提前预防、重
点控制、专人监控、专项处理的管理策略。全年对风险控制措施得当,运行有效,未发生合同管理、生产经营、安全事故、财务、信用、法律、廉洁风险事件。 2018年度XXX公司企业全面风险管理有效。 (二)企业重大风险的管理情况。 1. 2018年度本企业重大风险的管理情况。 2. 2017年XXX公司报送的企业重大风险事件的后续。 QQQ公司多年来水电应收账款???余万元,2017年底公司向当地法院提出起诉,2018年7月调解结案,XXX公司胜诉。法院判决:QQQ分两年(第一年还欠款总金额的一半,第二年到期前还完全部欠款)偿还XXX公司全部水电欠款。
企业信息化系列风险篇
企业信息化系列―风险篇 “信息化带动工业化,发挥后发优势,实现国民经济的跳跃式发展”是我国当前的建设重点,企业的信息化建设经过“八五”、“九五”的推广、普及取得了很好的成效,企业的信息化运用有了一定的深度和广度,同时我们也发现,由于没有建立健全的实施保障措施,很多企业的信息化投入没有看到成效,或收效甚微,根据国家经贸委2001年底调查统计的数据显示:企业对本企业信息化效果满意的企业仅占总数的6%,较满意的企业占52%,不满意的企业占26%(如图1示)。可以说,接近1/3的企业信息化建设效果不理想,是不成功的。 图1:企业信息化建设的满意度分析 此外,由于企业信息化建设的项目越来越大,越来越复杂,因此建设过程中的风险越来越大,主要表现在: 一、动机风险 所谓动机风险,即企业引入信息化的动机,也是企业进行信息的目的,是企业进行信息化建设的风向标,正确的动机不一定能带来正确的结果,但是错误的动机肯定不能带来正确的结果。 目前很多企业实施“信息化”的目的并不是为了用信息化提升管理、促进战略目标的实现,而是: 1、为了所谓的“领导工程/面子工程”,迫于行政或舆论压力; 2、为了炒作,以期在资本市场获利; 3、为了向老总或者高层提供“信息简报”。 很显然,这些实施信息化的动机本身就是对“信息化”的曲解,必然不能达到从根本上提升管理水平,促进战略目标实现的理想结果,根据这样的动机来实施信息化的结果的风险性是非常大的,因此企业在实施信息化之前一定要摆正企业实施信息化的动机,并且在实施的过程中不断的审视是否偏离了原始的初衷。 二、管理变革风险 信息化文首先是一个管理问题,其次才是技术问题。
XXXX年度全面风险管理报告
2012年度全面风险管理报告填报单位名称:(公章)
填报日期:2012 年月日
目录 一、2011年度全面风险管理工作回顾 (1) (一)全面风险管理工作计划完成情况 (1) (二)重大风险管理情况 (2) (三)重大风险管理解决方案的监督检查情况 (5) (四)内部控制系统建设情况 (6) (五)风险管理信息系统有关情况 (7) (六)建立健全全面风险管理体系其他有关情况 (8) 二、2012年度企业风险评估情况 (13) (一)对未来风险总体形势的研判 (13) (二)风险管理初始信息收集情况 (13) (三)风险评估情况 (15) (四)重大风险关键成因量化分析 (16) (五)风险坐标图 (18) 三、2012年度全面风险管理工作有关情况及重大风险管理情况.19 (一)2012年度风险管理工作计划 (19) (二)2012年度重大风险管理情况 (21) 四、有关意见和建议 (24) (一)需要公司协调解决的重大风险问题 (24) (二)对推动全面风险管理工作的建议 (24) 附件1:2012年度风险评估信息表 (25) 附件2:企业风险分类示例 (26) 附件3:风险评估标准 (27)
2012年度**公司全面风险管理报告 一、2011年度全面风险管理工作回顾 (一)全面风险管理工作计划完成情况 主要从全面风险管理体系建设、2011年度全面风险管理工作计划执行情况、本单位决策层对年度工作的评价以及全面风险管理工作取得的成效等方面进行说明(1500字以上)。 【示例】: 2011年,****公司(以下简称“公司”)继续深入贯彻落实国资委对中央企业加强全面风险管理工作的要求,借鉴国内外企业开展全面风险管理工作的成功经验,服务于公司战略发展需要,立足于公司风险管控现状,大胆实践,不断创新,逐步形成了具有电网企业特色的全面风险管理体系和运行机制,各项工作取得了较好的成效。 1、全面风险管理体系建设及全面风险管理工作执行情况 2011年,公司全面完成计划安排的X项工作,即开展风险评估、制定全面风险管理体系建设整体方案、推进风险管理信息系统建设、……等工作。各项工作完成情况如下: (1)建立健全全面风险管理“三道防线” …… (2)科学制定全面风险管理体系建设整体方案 ……
信息化项目中的风险管理
信息化项目中的风险管理 年级:西南交大2006级工程管理班学号:20061632 姓名:杨凯 专业:工程管理 日期:2010 年 11 月
信息化项目中的风险管理 【摘要】风险管理一直是项目管理中的重点和难点问题。本文对风险识别、风险评估及风险应对进行研究,对项目管理过程中的风险问题做了全面的阐述,希望能对广大项目管理人员起到抛砖引玉的作用。 【关键词】风险识别风险评估风险应对 实施任何项目都有风险,即在企业投入相应资源后没有如期实现项目目标。项目风险管理,就是在项目实施过程中对项目可能出现的问题进行主动而系统的识别、评估并及时采取相应的应对措施和行动,减少风险带来的损失。 一、风险识别 风险识别就是确定风险事件及其来源,是项目风险管理中一项经常性的工作。由于风险的不确定性,风险识别实际上只能算是一种预测分析,是对可能会给项目目标实现带来负面影响的环节和因素所进行的假想。目的是做到有备无患,当实际风险发生时能有效应对。 风险因素可能来自需求、技术、资金、实施方等各个方面,但项目实施最根本的目标是实现项目的期望,因此风险识别也应重点关注影响项目期望的因素。同时在风险识别过程中,也需要辩证地分析风险因素的负面效应(即风险带来的威胁)和正面效应(即潜在的机会)。 具体的项目风险识别方法,主要有:1.调查问卷法,即事先设计相应的表格、问卷,然后选取特定的调查对象,然后总结出项目的风险;另外,询问项目组成员也非常有帮助,问问他们以前做过的项目里曾发生过哪些意料不到的问题。2.头脑风暴法,就是由项目小组成员在一起,反复假设“如果……,那就会……”,充分预测信息化项目中出现的各种情况,从而尽可能多的找出影响项目成功实施的因素。3.理论分析法,即通过建立数学模型等方法从理论上来分析信息化项目
企业信息化建设中系统开发的风险管理
课程设计 课程名称: 学院:专业: 姓名:学号: 年级:任课教师: 20 年月日
目录 摘要 (3) 一、企业信息化建设的特点及发展 (3) 二、企业信息化建设所面临的风险 (3) 1.需求不确定风险 (4) 2.技术上的风险 (4) 3.人员流失风险 (4) 三、信息系统中风险分析以及解决方案 (5) 1.根据项目的特点。编制风险管理计划 (5) 2.依据《风险来源及分类表》进行风险识别 (5) 3.定性、定量风险分析 (6) 4.根据风险分析,制定风险应对计划 (6) 5.持续对项目的风险进行监控 (6) 6.综合布线管理 (6) 四、企业信息化建设中的软件风险和自然风险 (7) 1.软件风险 (7) 2.自然风险 (8) 五、总结分析 (9)
企业信息化建设中系统开发的风险管理 摘要:2010年1月某铁路公安局信息系统专网建设项目。该项目以铁路公安网为依托Internet为载体。铁路公安处各派出所(队)的四级网络建设并进行身份证查询。相关的软件接口的设计和数据库的建立。预计建成是某铁路公安局至今为止最大的“金盾工程”电子政务项目之一。在项目中风险控制是项目管理组织对可能遇到的风险进行风险识别、风险估计和风险评价,并以此为基础合理地使用多种方法对风险实行有效控制的过程 关键字:信息系统;金盾工程;风险管理; 一、企业信息化建设的特点及发展 在经济飞速发展和科学技术不断更新的今天,新的犯罪形式和手段也不断的出现,利用科技的手段进行犯罪己成为一种新的趋势。面对这种形式,公安系统必须利用现代化信息通信技术,实现信息共享,提高企业的工作效率和业务水平。正因如此,信息化建设工程作为了电子政务12个重要业务系统建设项目之一。 企业信息化建设要求采用先进的计算机,网络,通信技术,以企业网为依托,Internet为载体,实现企业各部门网络建设,并进行身份证查询“大站相关的软件接口的设计和数据库的建立。项目包括网络布线,网络工程,软件开发三个部分,涉及某企业管辖的各部门,一个直属企业的部门。线路全部租用企业专线,达到全部计算机实现2M宽带上网,以此来更好的完成与企业相关的信息共享。 二、企业信息化建设所面临的风险 风险是一种概率事件,具有并发性。任何项目都有风险,由于项目中总是有
信息化项目“监理”究竟“监理”什么
信息化项目“监理”究竟“监理”什么 什么是三十六个管理目标、哪些是一百二十七个控制措施。不懂得ISO17799国际标准中关于风险控制和风险管理、风险评估的管理理念和管理方法。以至监而不理,见而不问,应见而不见;应理而不理的情况大量存在,经常发生。 信息化建设项目必须引进监理机制,这已经成为了政府部门和企业的共识。“十五”期间,信息产业改造传统产业的市场规模大约是5000亿元。这其中,装备制造业信息化和企业信息化将是工作的重点和突破口。 面对5000亿元的市场规模,国内外的信息产品提供商窥伺已久,都看好了这碗肥肉。但是,大量中国企业信息化的进程表明:大约70%的企业IT项目超出预定的开发周期,许多制造业的大型信息化项目平均超出计划交付时间20%-50%是常有的事,软件项目开发费用超出预算的达到90%以上,并且项目越大,超项目计划的支出越高。不仅如此,还有相当一批ERP项目花钱打了水瓢。沦为豆腐渣工程和半拉子工程的信息化项目也比比皆是。 人们不禁要问:信息化究竟是金钥匙,还是黑洞? 正是基于此认识,2002年11月28日,信息产业部正式颁布了《信息系统工程监理暂行规定》。其中规定投资在200万元以上的信息化项目必须有第三方的监理。这在制度上拉开了规范我国信息化建设项目的序幕。不仅是提高信息化项目投资效益的重要手段,而且对于加快我国信息化建设进程,预防和规避信息化项目风险,无疑将具有重要的意义。 长期以来,我们在信息化的建设中,多是强调了信息化建设的重要性,先进性和紧迫性而忽视了信息系统建设的风险性。据报道,一家咨询集团曾对美国24家大型企业开发的客户服务器系统进行了调查,结果表明,其中68%的项目超过了预定的开发周期,55%的项目其费用超过预算,88%的项目必须进行系统再设计。另有一家美国著名的调查公司SPR对美英两国的企业信息系统工程进行了类似的调查,报告显示,有30%~50%的客户/服务器项目中途放弃开发。 福克斯?梅亚曾经是美国最大的药品分销商之一,年营业收入超过50亿美元。该公司投入了两年半的时间和一亿美元资金,建立的ERP系统,不但没有使营销业务取得改进,还带来了信息处理上无尽的问题,以至于公司最后不得不宣告破产,留下的只是合作双方未结的官司。 我国的情况也并不乐观。资料显示:当前,ERP软件的平均调试周期在10个月到39个月。这样长的调试过程,已经接近或超过了该软件的生产过程。突出的反映和表现了ERP软件的不成熟性。长春市某汽配厂,曾经是中国一汽集团最大的零配件供应商之一,年产值超过12 亿人民币。在历经了18个月的时间,耗费了近千万元的资金,引进一套ERP系统后,即陷入了调试的“马拉松”之中,不但没有改善经营,反而使产值、利润下降了39%。以至在破产清算时,该厂领导人叹息地说:“是ERP拖垮了我们”。 国内外无数鲜活的案例说明:加强信息化建设中的监理,对于规避信息化建设中的风险加快信息化的进程,将具有重要的意义和作用。 但是,随着一些信息化工程监理的实施,效果并不理想。人们期待的可喜局面并没有到来。一些信息化项目监理公司在具体操作层面上遇到了诸多棘手问题。不拿监理公司当棵葱,是个较普遍的问题。如某监理公司接到一个项目后,根据工程的不同子系统撰写了《监理大纲》、《监理规划》、《专业监理的分配计划》等文件,力图规范整个项目的进程和质量。但在“乙方”交付工程之前,项目“监理”根本无法看到“乙方”真实的“工程现场”。监理方坚持的“五控制,两管理,一协调”完全成了一句漂亮话。整个监理过程完全陷入了“监理黑洞”,进度拖延、资金超支等问题不仅依然如此,而且更多了一个监理给当挡箭牌。这种情况在电子政务项目中表现得更加明显和突出。由于多数电子政务项目没有成型的主体框架,没有定型的规范要求,没有可借鉴的成熟经验,处在“三无”的状况,电子政务工程监理工作究竟如何开展?
会计信息化管理中数据安全的风险与防范定稿版
会计信息化管理中数据安全的风险与防范 摘要 在会计信息化管理中, 数据安全无疑是重中之重。本文结合当前会计信息化管理工作中的存在的问题, 详细分析了影响会计信息化管理中数据安全的因素, 并提出了相应的防范措施, 具有较强的针对性和可操作性。 会计信息系统的安全是指系统保持正常稳定运行状态的能力。会计电算化发展的必然趋势是网络会计, 会计信息系统建立在网络环境的基础上, 并且成为电子商务的重要组成部分。在这种情况下, 会计信息系统的安全风险比以往大大提高。由于人为的或非人为的因素使得会计信息系统保护安全的能力减弱, 从而造成系统硬件、软件无法正常运行, 系统的信息失真, 企业资金财产损失。本文将着重分析会计信息系统中数据安全的风险及其防范对策。 1 信息系统中数据安全风险概述 数据安全是指防止信息系统中的数据被故意地或偶然地泄露、破坏、更改, 保证信息使用完整、有效、合法。数据安全的破坏主要表现在以下几个方面: 1. 1 数据可用性遭到破坏 数据的可用性是指用户的应用程序能够利用相应的数据进行正确的处理。计算机程序与数据文件之间都有约定的存放磁盘、文件夹、文件名的关系, 如果改变数据文件的名称或路径, 对于它的处理程序来说, 这个数据文件就变成了不可用, 因为处理程序不能找到要处理的文件。另一种情况是在数据文件中加入一些错误的或应用程序不能识别的信息代码, 导致程序不能正常运行或得到错误的结果。 1. 2 数据完整性的破坏 数据的完整性包括信息数据的数量、正确与否、排列顺序等几个方面。任何一个方面遭破坏, 均会破坏数据的完整性。数据完整性的破坏可能来自多个方面, 包括人为因素、设备因素、自然因素及计算机病毒等。 1. 3 数据保密性的破坏 对保密性的破坏一般包括非法访问、信息泄露、非法拷贝、盗窃以及非法监视、监听等方面。非法访问指盗用别人的口令或密码等对超出自己权限的信息进行访问、查询、浏览。信息泄露包括人为泄露和设备、通信线路的泄露。 2 影响会计信息系统中数据安全的主要因素 2. 1 操作人员的误操作 由于部分人员实际操作水平不高所产生的误删除、误格式化、误更改, 不正当开、关机, 使用U盘等存储设备方法不当, 操作员或其他人员不按操作规程或非法操作系统, 改变计算机系统的执行路径, 从而破坏了数据的安全改、泄露机密等安全风险。如何有效地防范这些安全隐患,是推广XBRL面临的重要问题。 2. 2 安全意识淡薄, 防范意识不强 主要表现在: 对会计系统专用计算机的旧设备处理不当, 如淘汰的旧机器、磁盘、硬盘
全面风险管理指引学习资料
全面风险管理体系指引 目录 第一章总则 第二章风险管理组织体系 第三章风险信息的收集和识别 第四章风险评估 第五章风险应对 第六章内部控制管理 第七章全面风险风险管理信息系统 第八章风险管理文化 第九章全面风险管理考核与责任追究 第十章附则
第一章总则 第一条为指导集团各中心及各分子公司落实《天明全面风险管理制度》,实施开展集团全面风险管理工作,增强企业竞争力,提高投资回 报,促进企业持续、健康、稳健发展,根据《中国人民共和国公 司法》、《全面风险管理制度》等相关法律法规,制定本指引第二条集团各中心及分子公司根据自身情况贯彻执行本指引。由集团决策委员会负责督导本指引的实施 第三条本指引所称的企业风险,是指未来的内外部不确定性对企业实现经营目标的影响 第四条本指引所称呼的集团为XXXXX集团有限责任公司 第五条本指引所称的全面风险管理,是指集团围绕总体战略经营目标,通过在各个管理环节和日常经营过程中执行风险管理的基本流 程;培育良好的风险管理文化;建立健全全面风险管理体系 第六条本指引所称的风险管理基本流程指: 1收集风险管理的初始信息 2对风险信息的识别 3进行风险评估 4制定风险管理策略 5提出和实施风险管理解决方案 6风险管理的监督和改进 第七条本指引所称的内部控制系统,是指根据风险管理策略目标以及集团相关规定,针对集团战略、投融资、财务、审计监察、法律事 务、人力资源、招采、加工制造、销售、物流、质量、安全生产、 环境保护等各项业务管理及其重要业务流程,以及其他外部可能 影响企业的因素等,通过执行风险管理基本流程,制定并执行的 规章制度、程序和措施 第八条集团开展全面风险管理要实现的风险管理目标如下: 1确保将风险控制在与总体目标相适应并可承受的范围内 2确保企业内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告确保遵守
信息化风险管理概述
信息化风险管理概述 信息化首先是一个管理问题,其次才是技术问题。赛迪顾问研究与咨询实践表明:企业信息化的风险存在于项目建设的整个过程中,如项目动机偏离、系统规划不当、系统选购失误、系统实施控制不力、系统移交不顺会导致风险,人员教育培训、管理变革、系统运行改进等方面也存在风险。 信息化风险的原因 1.动机不明导致风险 企业进行信息化建设的目的不明确将导致系统实施后不能发挥应有作用。信息化动机是企业信息化建设的指南针,正确的动机不一定能带来预期结果,但错误的动机却肯定不能带来预期结果。 2.规划不周带来风险 有些企业在信息化建设中仅仅做一个粗略的规划或者干脆没有规划就引入软件厂商来上系统,在系统建设上倾向于大而全、功能完整、一步到位的方案,这些都为企业信息化埋下了风险的种子。 3.系统选购不当导致风险 如今各种软件、硬件产品日益丰富,系统实施商、软件提供商和系统集成商为数众多,不同应用平台和开发工具,不同的硬件集成,将决定企业信息化未来的效益、维护成本和转移成本。一旦用户的系统和设备选型不当,将限制企业的长远发展。 4.系统实施控制不力引发风险 信息系统实施需要甲乙双方良好的合作,但是在实施过程中,由于实施方和用户知识背景的差异,在最大化自身利益思想的驱动下,可能导致项目实施控制不力,尤其是项目质量难以保证,而导致最终系统不能发挥预期作用,常常会引发实施风险。 5.管理变革推进不适引发风险 信息化建设要从管理变革开始,这必然触及企业的核心,其风险性是必然的。所以说不进行管理变革存在信息化效益的风险,进行管理变革引发企业稳步发展的风险。 6.系统移交不顺产生风险
信息系统实施完成后将移交给企业用户。在移交过程中,实施方需要就系统使用、管理、维护等方面对用户进行培训和知识转移,进行文档交接、提供技术支持等。这些服务视用户的信息化应用水平不同而程度不同,若服务不够,将导致将来系统使用、维护困难的风险。 7.组织不力的风险 企业信息化建设涉及的范围广、知识综合性强、部门多,是一个全员参与的项目。除了涵盖企业内部职能部门外,信息化建设往往涉及供应商、客户、分销机构等。另外,信息化项目实施需要运用多学科的知识和方法。因此信息化项目组织的难度非常大,项目的组织风险凸显。 如何管理信息化风险 信息化风险管理应从组织、规划和实施控制3个方面着手。 1.建立切实能推进信息化的组织 为使信息系统能切实发挥作用,企业自身应该建立相应的信息化组织,参与信息化的全过程。这支队伍应该由企业的高层领导挂帅,以信息服务专职人员为主,业务部门代表参与的人员结构组成。这样可以有效降低信息化风险。 2.专业咨询机构协助进行信息化规划 信息化建设的经验表明,大多数应用不理想的信息化项目都没有进行科学的规划。规划缺失对信息化带来的风险是毁灭性的,所以进行信息化规划是完全必要的。相对于企业和系统实施商、软件商来说处于中立的地位,能够根据企业的实际情况及企业发展战略目标,做出科学合理的规划。 3.监理机构承担系统的实施控制 以往的信息化系统实施依赖企业用户(甲方)对实施方的监督控制和实施方的自觉自律来保证上述3大目标。但是由于甲乙双方天生的利益冲突性,这种方式很难保证系统实施目标实现,尤其是质量难以控制。这就需要专业的信息系统工程监理来承担这个任务。信息化监理机构作为中立第3方向甲乙双方负责,保障双方的利益。
学习先进 科技引领全面推进风险管理信息化建设
学习先进科技引领全面推进风险管理信息化建设 时间:2012-09-04 文章来源:中国远洋运输(集团)总公司 风险的不确定性是当今信息时代和后工业社会的基本特征,只有有效地管理不确定性才能使企业良性发展。国资委《中央企业全面风险管理指引》(以下简称《指引》)对中央企业风险管理工作提出了明确要求。中国远洋运输(集团)总公司(以下简称“中远集团”)认识到企业管理理念和体系发展到今天已经进入以全面风险管理为核心的可持续发展时代,鉴于风险管理的全面性、复杂性和技术性,传统的依靠人力推动和运作方式进行管理创新的方法已经不能满足推行全面风险管理的要求,而且全面风险管理体系建设是一项需要企业投入大量资源并且持之以恒的复杂系统工程,需要通过现代技术手段——全面风险管理信息系统支持。 由于全面风险管理的开展不仅会引发企业价值观念的改变,需要有强大的决策策略推动力、科学管理和技术服务的支撑,需要深入理解风险的内涵、正确使用工具和测评技术以及评价方法、合理配置资源、有效控制风险,才能够真正将企业风险管理的要求与企业的战略和运营相结合。用全面风险管理的理念推动企业战略转换,推动企业经营模式转换,推动企业业务流程再造,引发企业“业态”变革,从而实现公司价值、环境和自然资源的发展与和谐。所以这项工作并非能够一蹴而就取得成功的,而是需要一个长期不断积累和发展的过程。企业实施全面风险管理必须依托现代的信息和网络技术,才能更好地支持自身战略的发展。 同时,由于中远集团为大型企业集团,全面风险管理是一项自上而下,战略层面到操作层面贯通的复杂的系统工程,要使整个集团上下各级,多家企业,共同实施全面风险管理,就要形成并依托推行的载体和手段,要先期统一风险语言、评价标准和业务风险控制流程,开发上下贯通信息系统将总部的要求固化形成人机对话系统,减少人为干扰和信息衰减,提高效率。 因此必须结合企业自身特点,通过信息化手段将全面风险管理理念加以实现,以支持企业风险管理体系的实施和落地。中远集团在借助全面风险管理信息系统,科学实施《指引》,实现可持续发展方面做出了有益的探索并取得了显著成效。 一、结合国内外先进管理经验,持续推进全面风险管理管理工作 中远集团一直高度重视管理建设与完善工作,并结合集团发展实际不断引进、学习、应用先进的管理理念和方法进行管理改革与创新,提升全集团的综合管理水平,保障集团风险得到全面有效的控制。2003年,中远集团在国内率先引入AS4360和COSO的ERM风险管理标准相关理论和概念,与公司的质量、环境和职业健康安全管理体系充分结合,建设完整的管理系统。2004年,中远集团积极配合国资委开展“企业全面风险管理研究课题组”的
信息化对于企业内控与风险管理的作用
信息化对于企业内控与风险管理的作用 企业的日常运行是基于由一套套制度和流程所构成的管理体系展开的。因此,内控和风险管理所要控制的对象是企业现有的管理体系。但是,当企业规模达到一定程度时,离开IT技术的支持,要真正搞清楚自已的管理体系却并不容易。 IT 技术对于企业有效进行“管理体系梳理”的价值 设想一下,如果在某企业内随便找一个员工,问他是否知道在其职责范围内的某件事应该如何操作,他可能随口就可以说出个一、二、三来。但是,如果我们再追问一句,“你是否确认这样做一定满足了企业的各种管理要求,包括ISO9001、六西格玛、精益化管理、平衡计分卡、HSE、风险控制以及公司有史以来颁发的所有规章制度?”,绝大部分情况下这个员工是不敢确认的。 类似上述情况还可以举出很多事例,我们将此称为“管理体系孤岛”的现象。一个企业在发展过程中往往会不断地引入并应用各种先进的管理理念和方法,这些理念和方法的引进一般都以项目实施的形式展开,并随着项目的结束给企业留下一套套的管理制度和流程。由于这些制度和流程之间并没有进行过有效的整合,从而造成各体系之间存在相互脱节甚至相互冲突的情况,这种现象给企业造成的直接问题就是各种管理要求不能被真正全面地执行。
总之,不管引入并建立了多少种管理理念,企业都必须将他们整合成一套制度和流程,而企业的员工只要严格按照这套制度和流程中所规定的要求开展工作即可以满足所有管理体系的要求。本来,企业制定各种各样的规章制度、流程手册、程序文件、工作指南就是为了明确和规范做事的方法,但纷繁复杂的“管理体系孤岛”最后却反而让具体的执行者搞不清方向了。如果连应该怎样做都讲不清楚又怎么能指望员工认真全面地执行呢?如果连被执行的管理体系究竟是什么都搞不清楚,那就更谈不上真正意义上的内控和风险管理了。 解决之道是企业可以供助于IT技术建立统一的信息化的制度和流程管理平台。所有的制度和流程都必须在此平台上进行建立、修改和发布。企业所有的制度文件、流程手册、岗位职责也必须通过这个平台自动生成。这样可以借助IT技术有效地避免不同管理体系之间的不协调和冲突,并实现管理体系的整合。事实上,没有信息化管理平台加以支撑,全凭人工管理来实现上述所谓的管理理念是非常困难的。信息化技术的优势就是可以通过功能、权限和工作流的设置来固化流程管理本身的各种制度和流程,并且可以大大提高管理体系整合的效率和精确程度。另外,信息化技术还能使相关人员方便高效地进行流程的设计、更改和查询。西门子、中石油等公司就建立了这样的信息化管理平台并取得了不错的成效。过去几年,众多企业都实施了全面预算管理、项目管理、合同管理、招投标管理、资产管理等信息
全面风险管理报告办法
全面风险管理报告办法 第一章总则 第一条为建立畅通的全面风险管理信息传递与沟通(报告)机制,及时掌控集团所属各分子公司风险变化趋势、重大风险管控进展和成效,为集团风险管理决策提供信息支撑,根据国务院国资委《中央企业全面风险管理指引》,结合集团实际情况,制定本办法。 第二条本办法适用于集团本部及各分子公司的全面风险管理报告工作。 第三条本办法所称风险管理报告,是指集团职能部门及分子公司动态识别风险点、评估风险状况,将相关风险信息按照规定流程传递,使管理层、决策层及时、全面掌握风险状况并做出相应决策的风险管理活动及相应记录文件。 第四条风险管理报告要集中反映集团及分子公司总体风险状况和管理情况,为各级领导层管理决策提供依据,应遵循以下原则: 1、全面性原则。风险管理报告工作要完整覆盖集团所有部门以及分子公司全部业务的各类风险。 2、重要性原则。风险管理报告工作要重点突出可能影响集团及分子公司战略目标实现的重大风险点,重点反映当前亟待管控的重要风险因素。 3、及时性原则。在事前和事中反映风险状况,在规定的时间内履行报告责任。
4、规范性原则。风险管理报告工作要按各类风险管理报告的流程及模板要求逐层报告,规范传递各种风险信息。 第五条风险管理报告体系覆盖集团及分子公司的各类风险及风险管理工作,是全面风险管理体系的重要组成部分。按报告的内容可分为以下类别:全面风险管理报告(即全面风险评估报告)、专项风险评估报告、重大风险监测报告(包含重大风险应对进展报告、重大突发事件报告)、风险管理评价报告等。 按照报告的频率,风险管理报告可分为:定期风险管理报告和不定期风险管理报告。全面风险管理报告、风险管理评价报告为年度报告,每年报送一次;重大风险应对进展报告为季度报告,每季报送一次。专项风险评估报告、重大突发事件报告等为不定期报告,随事项发生即时报送。 第二章管理职责 第六条集团审计与风险管理委员会负责审议、批准集团《全面风险管理报告》、《风险管理评价报告》、《专项风险评估报告》、《重大突发事件报告》、《风险监测报告》,并批准相应的风险应对方案,形成执行决议,责成有关部门落实与整改。 第七条审计部是集团风险管理的归口管理部门,负责集团风险管理决议执行的协调、督导、落实和报告工作,定期开展风险管理评价,强化风险报告成果对集团决策和业务发展的服务职能。 审计部对集团各分子公司的风险管理报告工作进行监督和评价。
信息化项目风险控制
信息化项目的风险控制 实施任何项目都有风险,即在企业投入相应资源后没有如期实现项目目标。项目风险管理,就是在项目实施过程中对项目可能出现的问题进行主动而系统的识别、评估并及时采取相应的应对措施和行动,减少风险带来的损失。风险管理由风险识别、风险评估和风险应对三个部分组成。 一、风险识别 风险识别就是确定风险事件及其来源,是项目风险管理中一项经常性的工作。由于风险的不确定性,风险识别实际上只能算是一种预测分析,是对可能会给项目目标实现带来负面影响的环节和因素所进行的假想。目的是做到有备无患,当实际风险发生时能有效应对。 风险因素可能来自需求、技术、资金、实施方等各个方面,但项目实施最根本的目标是实现项目的期望,因此风险识别也应重点关注影响项目期望的因素。同时在风险识别过程中,也需要辩证地分析风险因素的负面效应(即风险带来的威胁)和正面效应(即潜在的机会)。 具体的项目风险识别方法,主要有:1.调查问卷法,即事先设计相应的表格、问卷,然后选取特定的调查对象,然后总结出项目的风险;另外,询问项目组成员也非常有帮助,问问他们以前做过的项目里曾发生过哪些意料不到的问题。2.头脑风暴法,就是由项目小组成员在一起,反复假设“如果……,那就会……”,充分预测信息化项目中出现的各种情况,从而尽可能多的找出影响项目成功实施的因素。3.理论分析法,即通过建立数学模型等方法从理论上来分析信息化项目的风险,比如决策树、敏感性分析、蒙特卡罗模拟等。4.专家判断法,即请教擅长信息化项目实施的专家、学者、教授,经验丰富的项目经理、实施顾问等,从理论与实践多方面来判断项目风险因素的正面效应和负面效应。5.经验总结法,就是借助以往企业信息化项目实施的经验教训,来类推、联想这个信息化项目中的风险因素。 二、风险评估 风险评估就是估算风险的性质,估算风险事件发生的概率及其后果的大小,以降低项目的不确定性。风险评估又称作风险量化,就是比较风险的大小,从而决定是否需要采取相应的应对措施。风险评估的方法很多,归纳起来主要包括以下几种:用风险发生的概率来评估风险发生的可能性;用风险带来的损失来评估风险发生的严重性;用现有的手段能否控制风险的发生来评估风险发生的可控性;用风险影响的地域大小、对象多少等来评估风险影响的范围;用风险发生在项目生命周期的阶段来评估风险发生的时间。 实际项目风险管理过程中,常常用逐项评分的方法来量化风险的大小,即事先确定评分
企业信息化风险管理全剖析
信息化项目的实施是企业提高管理水平的重要途径,信息化管理系统为企业提供人力资源、财务、销售、制造、分销和供应链管理等诸多方面的重要信息以及这些方面的智能化的决策支持服务。这种支持可以帮助决策者动态地优化企业的资源配置,对市场竞争和市场机会作出迅速反应,为企业带来巨大的经济效益。在信息化的时代,企业要在竞争的环境中生存、发展、领先,必须发掘、借助和利用有效信息。 目前一些典型的信息化产品或模型,如企业资源计划(ERP)、物料需求计划(MRP)、制造资源计划(MRPII)、计算机辅助制造(CAM)等,已经在技术上成熟,成为有效的管理模式和重要的技术手段,用的得当可以使企业实现对业务流程中的资源进行有效利用,从而达到改善管理水平与管理效率目标。在注意到信息化项目的优点的同时,我们也要看到信息化项目相对于一般的项目而言在管理、技术、时间、资金、实施和维护等方面存在更多的风险因素。以ERP为例,据统计,在其实施项目中,一般只有15%左右的能按期、按预算成功实施,实现系统集成;约一半左右的实施项目遭到失败。 我国中小企业明显存在着人才缺乏、资金短缺、技术落后、信息滞后、管理水平低和协同能力差等一系列问题,严重影响着中小企业的快速、稳定和持续发展。一些企业由于对信息化的认识和管理理念上的落后,不能够适应信息化管理,不能有效地发挥信息整合的效能。另外,企业部门之间缺乏有效的沟通与联系,信息缺乏合理的规范性,不能够有效共享。与信息化相匹配的业务流程再造的失败通常是信息化项目失败的重要原因。 为了进一步提高中小企业的生存与发展能力,中小企业必须理性的面对和把握当今世界经济全球化和全球信息化环境,以及中国企业缺乏有效管理带来的挑战和压力,并从企业发展战略高度审视企业信息化建设的作用与价值,尽快、科学的做出应用协同商务、供应链管理、企业资源计划、业务模式重组、产品协同研发和信息技术的决策,并逐步落到实处。具体而言,就是将企业的管理技术、研发技术、制造技术、信息技术和网络技术有机的结合起来,通过有效的应用,推动供应链协同商务模式、相互信任和双赢机制的创新、企业管理模式和业务流程的创新、产品研发模式和设计理念的创新、产品制造模式和方法的创新,从而全面提升中小企业竞争力。 增强风险意识,积极地防范风险,是实施信息化项目中必须认真考虑的事项。风险管理是一种特殊的管理功能,它通过对风险的识别、评估与控制,以较低的成本获得较多的安全保障。由于人们对于信息化项目的认知不够完整,另外,信息技术的载体不容易被人们直接
信息化项目风险管理
信息化项目风险管理 攀钢托日信息工程公司张中元 2005年2月 摘要:本文从国外企业信息化统计资料出发,简要叙述了国内冶金企业信息化项目发展情况。根据信息化项目特征,叙述了信息化项目风险构成、管理及一种简单的分析评估的方法,并给出了分析实例。 关键字:企业信息化风险管理 一、问题的提出 1、国外企业信息化情况 1)美国S P R公司的调查30%以上的企业I T项目在中途放弃开发; ●60%超出了原定的开发期限; ●46%的项目超出了原计划的费用预算; ●52%的项目没有达到预期的目标 2)美国S t a n d i s h G r o u p信息咨询公司1995年资料美国公司每年大约要在17.5万个I T 项目上花费2500多亿美元,其中大型公司在一个信息化项目上平均要投入230 万美元;中型公司要花费130万美元以上;而小公司也要花费43.4万美元以 上。 ●该公司在1998年的报告中显示,28%的没有成功案例大约花费750万美元,超 出经费预算近220亿美元;只有26%的信息化项目成功地实现了系统功能、开 发时间和成本目标;有约46%的信息化项目超出费用预算和最后期限。 2、我国34家冶金企业信息化情况
1)第一轮(88年到98年)信息化项目大多数投资未达到应有的效果。比如攀钢投入约800万建立的P M I S,宝钢投入约2个亿建立的第一代信息系统就是例子。 2)信息技术、网络技术及数据处理技术有了长足的发展,为新一轮企业信息化项目的实施创造了有利条件。 3)第二轮(89年到04年)信息化项目正在蓬勃开展。据34家冶金企业信息化情况统计,8家企业开发了较完整的信息系统,6家企业取得阶段成果,7家企业正在实施,13家企业正在规划或有实施意向。 4)新一轮信息化热潮具有以下特点: ●企业对信息化的需求正由被动变为主动,其中外资企业、国有大中型企业最为明 显。 ●管理流程的优化、信息资源的开发和利用再一次引起重视,企业信息化投入变得 更加理性。 ●企业对信息化的投入明显增加,信息化基础设施明显改善。 ●信息化项目的开发和服务市场正在逐渐走向成熟,主要体现在项目的规划设计、 招标投标、监理服务等正为人们接受。 5)由于传统束缚、理念守旧,组织不利、产品选择等原因,企业信息化项目仍然存在较大风险。一些企业信息化项目启动后难以进行下去,中途夭折;有的运行后因企业环境变化等原因导致系统难以继续运行,等等。 信息化项目的实施及实现过程重存在着很大的不确定性,这些不确定性导致信息化项目管理过程重存在各种各样的风险,如果不能管理和控制这些风险,就会给信息化项目带来很大的损失,因此必须了解信息化项目的各种不确定性,对风险进行控制和管理,以使信息化项目获得成功。