企业信息化风险汇总十篇

序论：好文章的创作是一个不断探索和完善的过程，我们为您推荐十篇企业信息化风险范例，希望它们能助您一臂之力，提升您的阅读品质，带来更深刻的阅读感受。

篇（1）

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 (2012) 08-0000-02

随着信息时代的到来，越来越多的企业经营者已经认识到企业信息化的重要性。企业信息化可以在根本上改变企业的生存和竞争环境，对帮助企业改善内部管理效率，节约成本、提高竞争力等方面具有重要的作用。

目前，我国大型集团企业资金雄厚，管理相对完善，信息化基础普遍较高。但受资本结构多元化，产业多样化，以及外部市场环境约束多等方面的限制，在信息化规划方面存在很多风险。如果不做好信息化规划工作，就会带来整个系统的不稳定及巨大的浪费。

一、集团企业信息化规划中的风险

（一）与企业战略脱节的风险

企业战略是未来发展方向的关键要素，信息化的根本目的是支持业务战略的实现，而IT战略是IT规划的总纲，它定义了信息化的使命、愿景和原则。集团企业热衷于制订企业的战略，包括成长战略、创新战略、经营战略等等，涵盖了从内外部环境分析到目标及措施的描述，

在我国集团企业的信息化规划实施中，最常见的情况就是没有清晰定义的IT战略，未能根据企业战略同步调整信息化规划，导致信息化规划和企业发展战略脱轨，仅仅在形式上给出了与业务战略相一致的描述，但实际上对企业和电子政务战略的有效支持自然无从谈起，这种将信息化规划与企业战略人为剥离的做法，最终使企业信息化规划IT战略缺乏与业务战略相结合。

甚至有一些集团企业盲目认为标杆企业的规划就代表了信息化趋势，因此在制订信息化规划时完全不顾自己的战略方向，照抄标杆企业的信息化规划方案，最终导致信息系统应用无法适应业务和技术的变化。

（二）缺乏专业信息化规划的风险

目前，我国集团企业前身大多为老企业，其业务比较复杂，信息化建设起步晚，缺乏专业的信息化规划部门，而直接将信息化规划交给信息部门负责。企业中的信息部门做规划时往往会将更多的精力放在技术问题的解决上，却忽略企业战略层面宏观把握。同时企业缺乏既懂企业管理又懂信息技术的综合性管理人才，给集团企业的信息化规划造成了一定程度的风险。

也有很多集团企业将信息化规划工作直接委托咨询公司，咨询公司牵头的规划虽有成熟方法和丰富经验，但也存在很多缺陷。由咨询公司进行的企业信息化规划往往和企业出现水土不服的现象，其根结在于咨询公司不易深入企业的实际运作，无法把握症结所在，导致其制订的信息化规划只能从宏观上把握正确方向，却无法与企业实际相结合。

（三）缺乏整体性和统一性的风险

目前，我国集团企业的信息化规划大多仅限于操作层面和单项应用上，由多业务模块组成的集团企业，由于各子公司的信息化应用水平参差不齐，需求和建设重点也各不相同，缺乏企业信息化发展的整体性和统一性。作为集团层面的信息化规划很容易忽略集团与子公司，子公司之间互通的整体网络及系统平台规划，从而陷入业务模块各行其是的误区。

集团企业的统一信息系统平台的目标是要整合企业信息资源和应用，建立企业的信息基础平台和架构，从而加强企业操作层的应用系统的系统性、管理层的集约性、决策的可控性。如果集团企业层面不能有效地实现在统一的信息系统平台上监管各分、子公司和项目部，那么集团企业的信息化规划将成为空谈。

（四）信息技术选择的风险

信息技术选择风险是导致信息化规划失败的重要原因之一。在做信息化规划时，集团企业大多受市场最低价格中标的思维定势影响，恪守“少花钱，多办事”的原则，在软件选型、硬件选型，机房建设到网络平台建设等方面均走低端路线，这是直接导致信息化规划失败的原因。一方面，信息技术发展日新月异，盲目追求廉价产品只会导致系统和设备加快被淘汰的速度，增加了企业再次投资的成本；另一方面，作为集团企业的统一信息管理平台，其数据库平台至关重要，一旦发生软件或者硬件上的泄密，后果不堪设想。因此，最佳的信息技术选择是要与业务需求相匹配，有效控制成本。

IT管制体系的建设和优化对于集团企业的信息化规划也非常重要，往往被企业所忽略。集团企业的信息化建设工作并不是系统上线就结束，更多的工作在于系统的推广、维护和优化。信息系统的风险会随着企业对信息化应用的不断深入，以及企业对信息化依赖加强的同时逐渐暴露，如信息安全的隐患、系统故障给业务带来的影响等等。

二、解决集团企业信息化规划风险的对策

（一）结合企业战略制定信息化规划

信息化规划是以企业战略为指针，顺利推进集团企业信息化规划要与企业的战略规划结合起来。集团企业的信息化规划应横向紧密结合企业内部管理、经营活动管理和工程项目管理三大块内容。同时，企业信息化是一个渐进的过程，在信息化的过程中也伴随着企业战略、管理和业务变革的过程。

结合企业战略制定信息化规划需要研究集团企业的发展战略，包括其品牌措施、经营战略人才战略、创新机制等，并对信息化战略的制订进行指导；切实做好企业信息化基础设施的调查工作，从硬件、网络、安全、人员、技术、资金、制度等方面入手，分析企业内部管理、经营活动管理和工程项目管理三大块内容对信息系统的依赖程度，并确定最适合企业实际需要的基础数据、业务需求等；对企业行业发展趋势及最新的信息技术、产品进行全面了解，根据企业信息化战略规划所描绘出的蓝图中各种业务与技术标准，选择最适合集团企业实际情况的信息化技术。

（二）成立专门的信息化规划部门

我国的集团企业在信息化规划上应逐步摆脱对信息部门或咨询公司的依赖，在企业内部成立专门的信息化规划部门。信息化规划部门以集团总经理为中心，以集团各业务部门负责人为主要成员，他们熟悉集团以及各分子公司的职能战略，并能在方向上把握集团层面的信息化战略、规划和预算，因此可以对企业流程进行深入剖析，直接参与制订信息化规划，同时负责协调规划制订过程中管理层与业务层、集团与各子公司之间等各方面关系；集团企业的信息化规划部门要不断通过课堂、网络培训、以及大型项目锻炼等方式，培养既懂信息技术又懂建筑业管理的人才，为集团企业的信息化规划提供人员技术保障。

（三）通过业务整合完成整体规划

集团型建筑业企业的信息化规划目的就是要消除信息孤岛，使信息系统在集团统一的框架下进行科学的管理、设计与实施，不可避免的需要对业务流程进行整合，包括重组和优化。受传统工作方式及观念影响深，加上信息化管理在建筑企业短期内看不到效益，进行业务整合、消除割裂，必然会受到重重阻力。应坚定以经营管理为方向，以企业内部管理为信息存储中心，推动集团与各分、子公司及工程项目部打破组织壁垒，提升供应链中所有组织的绩效水平，达到整体规划目的。

（四）结合企业实际特点进行规划

集团企业在做信息化规划时，要对知名度较高、较为成熟的软件商进行考察，对软件的硬件运行环境进行全面了解，并结合集团企业和行业的特点对软件商提出测试和现场演示的要求。保证每种业务模式的动态数据都能实现实时传输、实时监控和预警管理。这些都需要由企业结合本企业的实际特点，培养的专业技术人员，在做好信息化规划工作。

三、结语

对集团企业来说，信息化建设是企业登上国际舞台的必由之路。目前，我国集团企业整体信息化水平较低，信息化规划的重要性还未引起足够重视。集团企业应遵循科学的方法，成立专门的信息化规划部门，结合企业战略制定信息化规划和企业实际特点，通过业务整合完成整体规划制定企业长期、中期、近期信息化战略，合理规避信息化规划中的风险，有效保证规划的落地、实施。

参考文献：

[1]高颖.建筑施工企业信息化建设与管理方案探析[J].科教新报(教育科研),2011,40

[2]何强.煤矿企业信息化建设中存在问题的思考及对策[J].煤炭技术,2008,7

篇（2）

引言

企业信息化是一项复杂的系统工程,在企业信息化过程中存在诸多的不确定风险因素,这些因素往往导致信息化偏离预定目标,使得在企业信息化建设中,系统有的设计不良,信息不准确,有的交付后没有使用或使用很少,有的超过预算并严重拖延工期,甚至造成项目失败。据统计,在实施信息化的企业当中,对其效果感到满意的企业仅占总数的6%,较满意的企业占52%,不满意的企业占26%。因此,如何有效治理企业信息化风险,保证企业信息化的成功实施,保护企业投资并使企业获得价值提升,是国内外理论界和实务界要解决的重要课题。本文意在分析企业信息化的风险特征和成因,为企业信息化风险防范提供对策,以促进企业信息化建设的成功和战略目标的实现。

一、企业信息化风险及其特征

1.企业信息化风险

风险是在追求利益过程中出现的与利益相背离的价值取向,是可能影响组织目标实现的事件发生的不确定性,是一种遭受损失的可能性,是一种介于确定性和不确定性之间、无知和完整知识之间的状态。企业信息化风险是指企业在实行信息化项目过程中,由于外部环境和信息本身的原因,使得企业不能有效地保护自身重要信息或不能充分地获取、利用外部信息或影响了企业内外部信息的传递、交流等,以至造成企业难以确保其所拥有的信息的完整性、安全性、真实性、及时性和有效性,进而对企业的正常经营活动带来危险,甚至可能对企业实现其目标或成功实施其战略的能力产生负面的影响,使企业遭受损失。现阶段企业信息化建设已经从单项应用发展到综合应用,从技术推动发展到变革推动,从战术层面发展到战略层面,这一系列的转变会遭遇信息化过程中各个阶段的风险问题。

2.企业信息化项目的风险特征

信息化项目是通过技术应用、需求实现、信息加工、流程优化、业务变革、管理创新等要素的紧密互动、协同作用,不断提高社会、政府、企业或个人的工作、生活的效率和水平,从而促进社会生产力和现代化发展的过程,存在复杂、复合、涉及面广、周期长、有形和无形同在的个性化特点,比一般工程项目管理要更为困难和艰巨,项目风险管理有以下特征。

(1)项目规划阶段的风险特征

信息化项目规划阶段主要是根据企业目标制定企业信息化战略规划,确定企业信息化的预期目标。通过多视角对企业的经营、技术、业务进行分析,进行信息化的总体设计和规划,选择合适的技术方案,通过建立合适的IT组织结构,加强沟通和管理机制,为信息化的实施选择和配备合理的人员和项目进度计划安排,以保证信息化的顺利实施。在信息化项目规划时,如果决策层不能对项目风险进行冷静科学地分析,并对决策方案作出合理选择,会对后期项目的实施和应用造成不利影响,甚至会因先天不足导致项目推进失败。

(2)项目实施阶段的风险特征

根据国际上通行的项目实施方法论,一个综合性的重大信息化项目的实施,通常包括资源准备、现状分析、蓝图设计、系统开发配置、系统上线、成果评估验收等几个环节。每个环节都有明确的任务和交付件,并作为下一环节工作的基础。项目实施阶段的风险,一是取决于规划阶段是否准确预见了项目的风险,并采取了有效规避风险的决策方案;二是项目实施过程会涉及到组织、权限和流程的重新调整,极有可能会面临来自主、客观方面的各种阻力和挑战,如果因认识不当、组织不严、领导不力、资源不足而盲目推进,会导致项目延误甚至失败。

(3)项目应用阶段的风险特征

信息化项目完成实施并进入应用阶段后,风险并没有完全解除,还存在影响信息化建设成果能否发挥实际功效的潜在风险,具体表现在:一是因为实施阶段不能按预期目标高质量地完成项目实施任务而存在各种隐患,导致项目存在使用问题的风险,比如,因系统测试不深入、配置不完整、初始化不准确或者项目组织和功能调整不到位而使系统不能有效应用的风险;二是因为系统运行环境和支持保障体系的不健全而导致项目成果不能安全、持续、正常的应用风险,比如,因不能向客户提供满意的使用培训,不能有效应对黑客和病毒对系统的攻击,不能及时解决系统运行中面临的技术故障等问题使项目应用效果大受影响。

二、企业信息化风险因子分析

1.项目规划阶段的风险因子分析

企业信息化项目规划阶段是企业信息化中的一个至关重要的阶段,为企业信息化的实施明确方向和目标,通过企业信息化规划和组织,制定总体战略规划,确定信息技术结构,选择信息技术方案,管理企业信息化投资预算,设立信息化组织架构,合理安排人力资源,制定企业信息化的进度计划,建立有效的沟通机制和质量保证体系。本阶段的基本风险可以从技术、经济、管理、企业的战略方针、内外部经营环境等方面来识别,主要包括以下风险因子:(1)项目需求分析的风险;(2)环境与资源支持度的风险;(3)开发方式与项目方选择的风险;(4)项目合同的风险;(5)项目建设组织的风险。

2.项目实施阶段的风险因子分析

项目实施阶段要确保企业需求的一致性,按计划获取信息化所需的软硬件资源,通过自行开发或外包的方式获得满足企业需求的应用系统,在用户的积极参与下,进行相关的功能和性能测试,并完成整个系统的安装、调试和授权。本阶段的基本风险可以从管理变革、项目进度、成本和质量等方面来识别,主要包括以下风险因子:(1)项目质量控制的风险;(2)项目进度与成本控制的风险;(3)项目相关工作规范化与标准化的风险;(4)项目组成员流失风险因子;(5)项目文档管理的风险。

3.项目应用阶段的风险因子分析

在项目应用阶段,信息化被交付使用,通过对用户进行相关的培训,并在用户使用期间为用户提供相应的技术支持,保证系统的正常运作、服务连续性和系统安全。本阶段的基本风险可以从系统性能、系统安全、系统维护与管理等方面来识别,主要包括以下风险因子:(1)需求膨胀的风险;(2)项目应用人员管理的风险;(3)对项目平台/环境/方法不熟悉的风险;(4)工作量估计不准确的风险;(5)缺乏高层管理者的承诺和支持的风险;(6)系统安全的风险。

三、企业信息化风险的防范对策

企业信息化的整体推进过程中,会不可避免地遇到风险问题,它的产生会令企业蒙受巨大的灾难和损失,应该重视信息化风险问题的存并做好充分的防范对策。

1.信息化要以企业需求为导向,明确信息化的战略规划

从企业的经营战略、体制、技术、管理、人力资源、行业环境等方面,对企业进行全面的自我诊断,确定本企业信息化建设的关键需求,并确立明确的目标。企业处在不同的行业,不同的发展阶段和其规模的大小,对信息化的需求就不尽相同[5]。企业信息化包括四个方面的内容,分别是生产作业层的信息化、管理办公层的信息化、战略决策层的信息化、协作商务层的信息化,其中,前三者则是基于企业内部的,协作商务层是基于企业与外部联系的。企业在进行信息化规划时,对信息化的建设应该做出先后安排,先解决企业的瓶颈问题。原则上,信息化应该自上而下,由里到外,因为这样数据才取自于源头,真实、有效。

2.加强企业信息部门建设,认真做好情报收集工作

信息时代的到来要求企业有能力在变化莫测的市场中掌握充分的市场信息,以力求决策的准确性,避免缺乏相关的市场信息而导致决策的失误。企业要想摆脱信息不完全或不对称带来的损失,必须在成本许可的范围内,努力获取和掌握企业所需的信息,而要做到这些就必须重视信息情报工作。企业可以组建自己的情报部门,也可以借助于专业性的商业情报机构,来帮助企业获取有利于自己的重要信息,以减少环境中的不确定因素,使决策更准确,更有相对性。

3.建立健全信息化项目评估体系,提高投资效益和效果

企业投入大量资金要上信息化项目,能否达到预期效果、实施结果如何,就需要对项目的实施绩效进行评估。这是企业考核项目建设和经营业绩必需的手段。企业信息化实施效益的评估的主要是从定性和定量角度,对信息化建设带来的直接与间接效益、短期与长期收益进行评估,以提高投资效益和效果,有利于发现信息化中的风险,以避免风险而带来的市场动荡。

4.提高企业员工对信息化的认识,主动适应管理环境的变化

企业从上至下对于信息化的认识上的缺失和偏差,是信息化建设中关键的风险和阻碍。信息化不光是技术上的、硬件上的,更多是软件和管理层次的,信息技术可以促进企业经营管理技术的变革,促进企业管理的创新。企业在信息化推进的进程中来自管理观念、工作习惯、利益分配、企业文化等方面的脱胎换骨的变化,对习惯于传统管理方式的领导和员工造成强烈的冲击和反差,如果不主动接受、适应并调整,会出现管理混乱,效益低下,使信息化流于形式。企业要努力提高全体员工对企业信息化管理的认识,要学会适应管理环境的新变化,打破原有的、已固化的思维方式,在思想上首先接纳信息化的管理模式,并改变自己的行为方式,通过科学的信息化管理工具,使企业的经营和管理水平上一个台阶。

四、结束语

企业的信息化建设,伴随着管理模式的深刻变革,是一个渐进的、动态的增效过程,风险与收益始终伴随着企业。只有充分学习和加强认识,准确识别风险的来源,通过采取有效的风险防范措施,最大限度的降低风险,发挥系统的整体效益,才能促进企业信息化的目标实现。

参考文献:

[1]陈 亮 王 燕:企业信息化实施过程中的风险及其防范[J].现代情报,2006,26(9):175～178

[2]Gary StoneBurner, Risk Management Guide for Information Technology Systems, National Institute of Standards and Technology, 2002

篇（3）

中小企业在我国经济构成中占有十分重要的地位，占全部企业总数的99%以上，占国内生产总值的50%。与大型企业乃至世界先进工业国家的中小企业相比，我国中小企业普遍存在着人才缺乏、资金短缺、技术落后、信息滞后、管理水平低和协同能力差等一系列问题。从企业发展而言，没有信息化的企业是不可能在未来的竞争中生存下来的。所以，即使是本已“捉襟见肘”的中小企业，也一定要在信息化中保留一定的投入，以保证企业未来的发展。如何有效地认识并规避信息化中的风险，用好有限的资金，发挥最大的效益，无疑是中小企业在信息化进程中最关心的话题。

一、中小企业信息化的主要风险

（一）来自于企业信息化建设中的动机风险

有些企业仅仅增加与信息化建设相关的少量设备，就向外宣传已经实现信息化，但是生产经营效率并未提高。中小企业更多是民营企业，经济实力比较弱，不像大企业有计划有预算地实施信息化，对信息化的理解不是很深入，为了信息化而信息化。实施信息化的动机本身就是对“信息化”的曲解，必然不可能从根本上提升管理水平，促进战略目标的实现，根据这样的动机来实施信息化，其风险性非常大。

（二）来自于信息化建设中的观念和认识的风险

企业领导往往关注的是如何把资金用于信息化基础设施建设方面，而很少去关注信息化建设中潜在的观念意识与管理等软件方面的问题。很多中小企业认为信息化就是买机器、建网或开发几个应用软件，是IT部门的事。中小企业对信息化的认识不足，表现在：对信息化认识过于简单化；对信息化项目的实施抱以过高的期望；把信息化等同于技术改造；对实施信息化存在不切合实际的想法，认为信息化可以解决一切问题，信息系统可以代替企业家和管理人员等等。这些观念方面的差异，使潜在风险存在于项目建设和实施中，很难规避。

（三）来自于信息化管理中的组织与人员的风险

中小企业很难找到一批IT业的高级人才，专职的IT人员薪水又较高，且往往需要更大的空间学习和交流，中小企业本身提供的环境可能留不住这些人才，人才的匮乏引发的项目支持风险，势必会影响信息化实施的进程和效果。在组织的建设与管理中，企业自身的基础管理的规范化程度，对管理瓶颈问题的识别，管理人员的素质等等，都是影响信息化成败的关键。信息化风险就是企业转型的风险，或者说企业面对新时代、新环境的适应性风险。

二、中小企业如何规避信息化中潜在的风险

（一）信息化要以企业需求为导向

作为中小企业，能够投入信息化建设的资金肯定不会太多，因此要考虑怎样“少花钱、多办事”。首先应从企业内部需求着手，即从企业的经营战略、体制、技术、管理、人力资源、行业环境等方面，对企业进行全面的自我诊断，确定本企业信息化建设的关键需求，并确立明确的目标。不同行业的企业，不同发展阶段的企业，不同发展规模的企业，对信息化的需求就不尽相同。如信息化基础较差的中小企业，可考虑先进行企业基础工作的信息化，如实施OA，财务电算化、产品辅助设计和人力资源管理系统等，切忌贪大求全求新。而对于信息化基础较好的企业，应根据企业实际需求适时选择管理软件，优先解决企业发展的“瓶颈”问题，然后打通上下游，从单一职能的信息化到多职能的信息化，如计算机辅助制造、财务管理到ERP、CRM等的应用，循序渐进，以提高企业管理水平和发展能力，增强企业的竞争力。要着眼于应用，认真分析企业现状及最迫切需要解决的问题，制订科学合理的信息化目标，选择适宜的实施路线，科学、合理地安排实施计划。

（二）提高全体员工对企业信息化管理的认识，主动适应管理环境的新变化

企业从上至下对于信息化的认识上的缺失和偏差，是信息化建设中关键的风险和阻碍。信息化不光是技术上的、硬件上的，更多是软件和管理层次的，信息技术可以促进企业经营管理技术的变革，促进企业管理的创新。企业在信息化推进的进程中来自管理观念、工作习惯、利益分配、企业文化等方面的脱胎换骨的变化，对习惯于传统管理方式的领导和员工造成强烈的冲击和反差，如果不主动接受、适应并调整，会出现管理混乱，效益低下，使信息化流于形式。企业管理的制度和流程上的重大变革，管理理念的本质的变化，会影响到企业中每一位员工。中小企业要努力提高全体员工对企业信息化管理的认识，要学会适应管理环境的新变化，打破原有的、已固化的思维方式，在思想上首先接纳信息化的管理模式，并改变自己的行为方式，通过科学的信息化管理工具，使企业的经营和管理水平上一个台阶。

（三）建立和完善健全的管理制度并有效地执行

企业管理制度的深刻变革和管理模式的再造是企业信息化建设的本质。企业管理制度的建立、改进、完善和实施是信息化管理模型设计、构建、修改、优化的基础。有了好的管理模型，只通过信息化的管理手段还不能实现真正意义上的企业信息化，健全的管理制度才是企业信息化管理模型重塑和有效运转的根本保证。同时，还必须坚定不移地执行，才可能适应瞬息万变的市场。信息化建设通过企业基础数据的信息化、企业基本业务流程和事务处理的信息化、企业内部控制及实施控制过程的信息化、人的行为规范管理等企业基础管理信息化工程，确保企业在规模不断扩大和业务迅速发展的过程中保持坚实的管理基础，促进企业的可持续发展。

（四）实施信息化的过程就是一个全员学习的过程

企业信息化强调的不仅是计算机软硬件，更强调人、管理、技术之间的有机集成。其中“人”是第一位的因素，而处于主导地位的企业领导决策层首先要加强自身的学习，了解管理科学与信息技术的最新发展，对信息化给予正确理解和足够重视。只有中小企业的管理层、决策层掌握了先进的信息化理念和知识，才能顺利推进中小企业信息化进程。同时应高瞻远瞩，敢于投入，引进一定数量的信息技术骨干人才，培养企业自己的信息化人才。

企业信息化关键的资源是人，开发这一资源的手段是学习和教育，建立学习型组织是知识经济时代提高企业应变能力最重要的途径。企业要营造一个良好的学习环境，建立一个有效的学习机制。企业领导、专业技术人员和员工都要通过学习改变传统管理观念和习惯，适应新的工作方式和业务流程。在信息化项目启动前，借助第三方咨询机构，对上至董事长、总经理，下至普通员工就信息化的意义、必要性、基本知识技能、预期效果等进行全员培训，以尽快形成全体员工对信息化建设总体思路、步骤等的共识，明确自己所应担当的角色和发挥的作用，增强员工参与度、积极性和创造性，克服阻力，提高项目成功率。

中小企业的信息化建设是一个渐进的、动态的增效过程，风险与收益始终伴随着企业。只有充分学习和加强认识，了解其中隐含的风险，有的放矢地对企业的职能组织结构、业务流程中存在的问题进行有效改良，并借助信息技术的平台，通过完备健全的管理制度和优良的人力资源的协调，发挥系统的整体效益，才能实现中小企业的信息化目标。

参考文献：

[1]郑会颂.企业信息化与信息系统[M].北京：人民邮电出版社.2003.

[2]金淀.中小企业信息化建设的问题与对策[J].企业研究.2005（1）.

篇（4）

企业信息化作为推动和实现企业体制创新、技术创新、管理创新，增强企业核心竞争力的重要手段和必由之路，已为我国许多企业普遍认同，并成为他们的战略选择。同时企业信息化又是一场高风险的管理革命，据统计，在企业信息化的实施项目中，只有15％左右能按期按预算成本进行项目实施和系统集成；约一半的项目会在实施中流产或失败。

中小企业在我国经济构成中占有十分重要的地位，占全部企业总数的99%以上，占国内生产总值的50%。与大型企业乃至世界先进工业国家的中小企业相比，我国中小企业普遍存在着人才缺乏、资金短缺、技术落后、信息滞后、管理水平低和协同能力差等一系列问题。从企业发展而言，没有信息化的企业是不可能在未来的竞争中生存下来的。所以，即使是本已“捉襟见肘”的中小企业，也一定要在信息化中保留一定的投入，以保证企业未来的发展。如何有效地认识并规避信息化中的风险，用好有限的资金，发挥最大的效益，无疑是中小企业在信息化进程中最关心的话题。

一、中小企业信息化的主要风险

1．来自于企业信息化建设中的动机风险

目前存在一种现象，就是企业仅仅增加信息化建设的相关设备，企业就向外宣传企业已经实现了信息化，而不能真正地提高生产经营效率。很多中小企业实施“信息化”的目的并不是为了用信息化提升管理水平、提升企业的核心竞争能力，而是为了打造所谓的“领导工程”和“面子工程”；或是迫于行政或舆论压力；或是盲目跟风和攀比。中小企业经济实力比较弱，更多是民营企业，不像大企业有计划有预算地实施信息化，特别是在对信息化的理解不是很深入的情况下，很多是为了信息化而信息化。这些实施信息化的动机本身就是对“信息化”的曲解，必然不可能从根本上提升管理水平，促进战略目标的实现，根据这样的动机来实施信息化，其风险性非常大。

2．来自于信息化建设中的观念和认识的风险

在信息化建设中，企业领导往往关注的是如何把投资用于信息化基础设施和购买软、硬件产品等，而很少去关心信息化建设中所潜在的来自于企业的观念意识与管理等软件方面的问题。很多中小企业认为信息化就是买机器、建网或开发几个应用软件，信息化是IT部门的事。中小企业对信息化的认识不足，表现在：对信息化认识过于简单化；对信息化项目的实施抱以过高的期望；把信息化等同于技术改造；对实施信息化存在不切合实际的想法，认为信息化可以解决一切问题，信息系统可以代替企业家和管理人员等等。观念导向方面的差异直接影响了企业各个层面对于信息化应用的接受程度，在项目的建设和实施中形成一项关键的潜在风险。

3．来自于信息化管理中的组织与人员的风险

中小企业信息化建设首先面临的就是人才问题。中小企业很难找到一批IT业的高级人才，专职的IT人员薪水又较高，且往往需要更大的空间学习和交流，中小企业本身提供的环境可能留不住这些人才，人才的匮乏引发的项目支持风险，势必会影响信息化实施的进程和效果。在组织的建设与管理中，企业自身的基础管理的规范化程度，对管理瓶颈问题的识别，管理人员的素质等等，都是影响信息化成败的关键。信息化会带来企业流程、管理制度的变革，难免会导致组织结构的调整，影响到部分人员的利益。这些都会给信息化带来阻力和风险。信息化风险就是企业转型的风险，或者说企业面对新时代、新环境的适应性风险。

二、中小企业如何规避信息化中潜在的风险

1．信息化要以企业需求为导向

作为中小企业，能够投入信息化建设的资金肯定不会太多，因此要考虑怎样“少花钱、多办事”。首先应从企业内部需求着手，即从企业的经营战略、体制、技术、管理、人力资源、行业环境等方面，对企业进行全面的自我诊断，确定本企业信息化建设的关键需求，并确立明确的目标。企业处在不同的行业，不同的发展阶段和其规模的大小，对信息化的需求就不尽相同。如信息化基础较差的中小企业，可考虑先进行企业基础工作的信息化，如实施OA，财务电算化、产品辅助设计和人力资源管理系统等，切忌贪大求全求新。而对于信息化基础较好的企业，应根据企业实际需求适时选择管理软件，优先解决企业发展的“瓶颈”问题，然后打通上下游，从单一职能的信息化到多职能的信息化，如计算机辅助制造、财务管理到ERP、CRM等的应用，循序渐进，以提高企业管理水平和发展能力，增强企业的竞争力。

中小企业在由传统管理企业向信息企业转变的过程中，不能为了信息化而搞信息化，要着眼于应用，以企业的实际需求为导向，认真分析企业现状及最迫切需要解决的问题，来制订科学合理的信息化目标，选择适宜的实施路线，科学、合理地安排实施计划。

2．提高全体员工对企业信息化管理的认识，主动适应管理环境的新变化

企业从上至下对于信息化的认识上的缺失和偏差，是信息化建设中关键的风险和阻碍。信息化不光是技术上的、硬件上的，更多是软件和管理层次的，信息技术可以促进企业经营管理技术的变革，促进企业管理的创新。

企业在信息化推进的进程中来自管理观念、工作习惯、利益分配、企业文化等方面的脱胎换骨的变化，对习惯于传统管理方式的领导和员工造成强烈的冲击和反差，如果不主动接受、适应并调整，会出现管理混乱，效益低下，使信息化流于形式。企业管理的制度和流程上的重大变革，管理理念的本质的变化，会影响到企业中每一位员工。中小企业要努力提高全体员工对企业信息化管理的认识，要学会适应管理环境的新变化，打破原有的、已固化的思维方式，在思想上首先接纳信息化的管理模式，并改变自己的行为方式，通过科学的信息化管理工具，使企业的经营和管理水平上一个台阶。

3．建立和完善健全的管理制度并有效地执行

企业管理制度的深刻变革和管理模式的再造是企业信息化建设的本质。企业管理制度的建立、改进、完善和实施是信息化管理模型设计、构建、修改、优化的基础。有了好的管理模型，只通过信息化的管理手段还不能实现真正意义上的企业信息化，健全的管理制度才是企业信息化管理模型重塑和有效运转的根本保证。同时，有了好的管理制度，还必须坚定不移地执行，而且还要通过管理模型的建立纳入企业信息化轨道，才可能适应瞬息万变的市场。

信息化建设通过企业基础数据的信息化、企业基本业务流程和事务处理的信息化、企业内部控制及实施控制过程的信息化、人的行为规范管理等企业基础管理信息化工程，确保企业在规模不断扩大和业务迅速发展的过程中保持坚实的管理基础，促进企业的可持续发展。

4．实施信息化的过程就是一个全员学习的过程

企业信息化强调的不仅是计算机软硬件，更强调人、管理、技术之间的有机集成。其中“人”是第一位的因素，而处于主导地位的企业领导决策层首先要加强自身的学习，了解管理科学与信息技术的最新发展，对信息化给予正确理解和足够重视。只有中小企业的管理层、决策层掌握了先进的信息化理念和知识，才能顺利推进中小企业信息化进程。同时应高瞻远瞩，充分认识到人才资源是企业发展的最重要的资源，敢于投入，引进一定数量的信息技术骨干人才，同时在实施过程中要对员工进行信息化方面的培训，培养企业自己的信息化人才。

企业信息化关键的资源是人，开发这一资源的手段是学习和教育，建立学习型组织是知识经济时代提高企业应变能力最重要的途径。企业要营造一个良好的学习环境，建立一个有效的学习机制。企业领导、专业技术人员和员工都要通过学习改变传统管理观念和习惯，适应新的工作方式和业务流程。在信息化项目启动前，借助第三方咨询机构，对上至董事长、总经理，下至普通员工就信息化的意义、必要性、基本知识技能、预期效果等进行全员培训，以尽快形成全体员工对信息化建设总体思路、步骤等的共识，明确自己所应担当的角色和发挥的作用，增强员工参与度、积极性和创造性，克服阻力，提高项目成功率。

中小企业的信息化建设是一个渐进的、动态的增效过程，风险与收益始终伴随着企业。只有充分学习和加强认识，了解其中隐含的风险，有的放矢地对企业的职能组织结构、业务流程中存在的问题进行有效改良，并借助信息技术的平台，通过完备健全的管理制度和优良的人力资源的协调，发挥系统的整体效益，才能促进企业信息化的目标实现。

主要参考文献

[1]郑会颂.企业信息化与信息系统[M].北京:人民邮电出版社，2003.

[2]金淀.中小企业信息化建设的问题与对策[J].企业研究，2005，(1)：70-72.

篇（5）

中图分类号：TP39 文献标识码：A 文章编号：1007-9599 (2012) 11-0000-02

一、钢铁企业信息化的必要性

随着我国经济的发展和科技的进步，信息化已在越来越多的企业中被得到应用，而钢铁企业作为我国的经济支柱之一，在近年来也逐渐实现了钢铁企业的信息化建设。在钢铁企业中实施信息化建设，一方面是可以将钢铁企业的发展空间扩大，提高企业本身的在市场的竞争力，使其在如今竞争激励的市场中占有一席之地，对钢铁企业实施信息化建设是企业发展的需要；另一方面，由于钢铁企业的业务，其所涉及到数据、文档和图纸等的数量都是比较多的，想要将这些数据、文档和图纸储存起来是一件不容易的事，操作起来比较复杂，而通过信息化技术的支持则可以大大的简化了这个储存操作的过程，便于人员进行操作，使钢铁企业的运行效率得到大大的提高，对钢铁企业实施信息化建设是企业管理的需要。除此之外，随着生产链全球化和供应链全球化的日益紧密，钢铁企业作为我国的经济支柱之一，要求其利用信息化管理加强对钢铁生产建设的指导的迫切性已是越来越突出。因此，对钢铁企业实施信息化建设是非常有必要的，它不仅仅是钢铁企业本身发展的需要，也是钢铁企业管理的需要，同时也还是生产链全球化和供应链全球化对钢铁企业生产的要求所在。

二、钢铁企业信息化存在的风险

（一）风险的特点

1.风险具有可预测性

风险具有可预测性是指人们可以对以往所发生的一些相类似的事件进行统计，并对统计资料进行分析，对某种风险可能发生的概率和一旦发生风险将会造成的损失的大小进行判断，继而对当前可能存在的风险进行风险预测、风险衡量及风险评估。

2.风险具有客观性

风险具有客观性是指风险是现实事物中客观存在的，不会因为人的意志而发生转移。风险的发生是有不确定性因素存在的，即使人们确定了这些不确定因素，不管项目的主体是否对风险的存在有意识，风险在特定的环境和条件下依然有可能会出现。因此，想要将项目的风险减少或避免，就必须先找出可能致使项目出现风险的因素，继而对它进行有效地管理和控制。

3.风险具有多变性

风险具有多变性是指风险不会按照特定的模式出现，它是随着发生的环境、发生的条件及发生的时间的不同而改变的。人们所处的世界，是复杂的也是多变的，而人类的能力却是有限的，不可能对风险的变化规律做到完全的掌握和控制。同时，也由于客观条件的变化是不断进行的，使得风险的不确定性也在不断的发生变化，就这一点而言，风险是伴随着各种不确定性而不断发生变化的，因此，我们说风险具有多变性。

4.风险具有相关性

风险具有相关性指的是人们所面临的风险同造成风险出现的行为及决策是分不开的，相同的风险对于不同的行为者而言，所产生的风险结果可能是不相同的，即使是同一行为者，由于决策的不同和措施的不同，所产生的风险结果也可能是不相同的。

5.风险具有潜在性

所谓的风险具有潜在性，指的是风险是无时无刻都会存在的，然而这也只是指人们在任何时候、任何地方都可能会遭受到风险，想要将可能存在的变为现实出现的还是需要有一定的条件的。

6.风险具有可控性

人们只需要通过对可能存在的风险进行分析，并采取一定的方法和措施就能够对风险进行控制和管理，将风险出现的概率减少，将风险带来的一切损失减轻，所以，我们说风险具有可控性。

（二）钢铁企业信息化存在的风险

1.钢铁企业信息化缺乏完整的信息系统

就我国目前的大多数钢铁企业而言，它们在实现钢铁企业信息化时，往往都没有完整的信息系统作为支持，具体表现为：①在财务管理方面，只是简单的应用了一些软件，用于数据的传输和储存，或者只是用于成本的自动核算，同时也没有与互联网相连，这就使得在向上级提交财务报表时需要花费较多的人力、物力，程序比较复杂，且存在的风险较大；②在生产方面，一些钢铁企业虽然在生产系统中应用了自动控制模式，但也没有将其应用好，主要还是依靠调度调控来对生产系统进行管理，这就使得生产的效率不是很高；③大多数的钢铁企业获知分厂的信息依靠的是电话方式和报表方式，缺乏对信息获知的及时性，以至于无法对存在的不足进行及时的补足，也就没法对存在的风险进行及时的预防和控制。

2.缺乏对信息系统的长远考虑

有些钢铁企业在建设信息系统时，往往会缺乏对信息系统的长远考虑，而是随着技术水平的提高和业务发展的需要，才将某个功能增加到原有的系统上。以某钢铁企业为例，该钢铁企业的老区域系统，则是在需要模型控制时，才增加模型控制，在需要数据采集时，才增加数据采集，在需要用到视频系统时，才安装上监控探头等等，缺乏对信息系统的长远规划，没有为将来的信息化系统做出整体性的建设规划。

3.对钢铁企业的信息化认识不清

篇（6）

（一）组织方面的风险。论文百事通在风险的管理中，与企业高层的沟通是最大的一个风险，也经常是项目经理们容易忽视的，也是项目经理在工作时最大的一块儿心病，如何获取高层的持续支持，比如在规划阶段，在实施阶段，在后续的应用阶段，经常是刚开始时，企业老总很支持，但随着实施的投入，由于沟通与信息化成效的问题，管理层可能会越来越有疑虑；另外，公司进行信息系统项目的实施，可能对员工的日常工作造成一系列影响，从而引起员工的抵触。比如，员工需要为信息系统项目的实施加班，有的员工可能因为信息系统项目的实施而失业。

（二）进度方面的风险。在信息系统项目实施过程中，由于对任务工作量，人员能力估计不足，资源配置不当，需求变更甚至是突如其来的风险等，项目有可能会延期交付。

（三）人员方面的风险。企业信息化项目涉及软件工程、信息技术、管理技术，企业必须整合内外部人力资源，成立项目建设队伍，完成从项目立项到系统交付的各个环节的工作。在组成项目团队时，企业主要容易犯两个错误：其一，以企业缺乏IT技术人员为由，将项目外包给软件供应商，企业只是组织力量进行验证评估，而忽略了商可能技术力量单薄，对软件功能不熟悉。另一方面，即使商有较强的技术力量，但由于对企业的业务流程缺乏深入了解，难以按照企业需求进行系统配置与二次开发；其二，完全由企业内部IT技术人员单独进行系统实施，很难从整体上把握好项目的实施。

（四）资金方面的风险。据有关统计表明，全国独立核算的中小型企业平均拥有资本金23万元，约为大型企业的1/65，中小企业平均年产值401万元，约为大型企业的1/80，中小企业资金实力有限。信息化投资主要包括方案的咨询与规划费用，硬件和网络建设费用，软件费用和软件的实施、服务、升级、维护等费用；硬件和网络建设风险相对较小，软件选型风险最大，不仅包括一次性购买标准的或定制的管理软件费用还包括后期维护升级以及二次开发等持续追加费用。在进行投资决策时如何选择在合适的时间阶段，选择合适管理软件以及运用的重点等，其间任何一方面出问题都可能导致投资失败。另外，信息化建设是一项很难产生直接收益的投资。投资的受益更多地间接来自于管理效率、生产效率的提升及成本下降，所以在短期内可能使企业陷入财务困境，危及企业生存。

二、中小企业信息化项目风险应对方案

（一）加强与高层以及底层员工的沟通。项目经理应从信息化的机遇和挑战，信息化的需求、信息化产生的价值，到可能产生的风险，风险规避的措施，让老总充分的了解，多沟通、多交流，建立一个定期的沟通机制，在有效的管理前提下不断地沟通，获取企业老总与高层持续的支持与理解。

（二）在实施信息化之前，项目经理以及高层需要做好员工的动员工作。公司要使员工认识到：企业信息化建设是指企业利用计算机技术、网络技术等一系列现代化技术，通过对信息资源的深度开发和广泛利用，不断提高生产、经营、管理、决策的效率和水平，从而提高企业经济效益和企业竞争力的过程。从内容上看，企业信息化主要包括企业产品设计的信息化、企业生产过程的信息化、企业产品销售的信息化、经营管理信息化、决策信息化以及信息化人才队伍的培养等多个方面。因此，我们要把信息化放在一定的高度上，信息化项目的实施需要全员的共同参与和努力。信息化所能实现的不再仅仅是IT部门的一项资产，而是整个企业的资产。因此，信息化项目的实施不能仅仅是新成立的“信息中心”或“IT项目部”来完成。可以说IT部门主要完成功能的技术实现；而企业信息化的需求分析，必须要让全员来参与。这样既可以提高员工的积极性，还给他们打了“预防针”，让他们有一个思想准备，企业可能要“动大手术”。这样也就让他们对“动大手术”时的“疼痛”有所准备。

（三）在进度的控制方面

首先，树立综合协调观念。从本质上讲，项目管理是从全局出发，以项目整体利益最大化为目标，以项目范围、成本、质量等各专项管理的协调、统一为内容，所开展的综合性管理过程。因此，开展项目管理就要有项目各要素及各专项管理，进行综合协调的观念。IT项目的范围会影响IT项目的进度。一般来讲（指假设其他要素不变），项目范围越大，项目所要完成的任务越多，项目耗时越长；反过来，项目范围越少，项目所要完成的任务越少，项目耗时越短。因此，如果项目进度很紧，或者进度拖延非常严重，就可以考虑与客户讨论，是否能够将范围进行收缩。如果客户同意缩小范围，那么进度能得到有效缩短。同样，IT项目的成本、质量也会影响进度。一般来讲，追加成本，可以增加更多的资源，比如设备和人力，从而使某些工作能够并行完成或者加班完成。如果项目不能按进度完成，可以考虑有些原定任务是否可以外包出去，这是项目采购管理与进度管理的协调内容之一。

其次，公司高层以及项目经理应有效的设置项目里程碑。一个有效的里程碑应该包含项目团队所需完成的一系列活动，当一个里程碑事件难以按时完成时，项目团队应找出原因，采取应对措施，并且总结经验以杜绝此类事件再度发生。同时，项目团队应对里程碑进行及时的回顾，审视。据调查显示，项目里程碑回顾频率至少要每半个月一次。如果对一个里程碑回顾的时间间隔超过8个周，项目就很可能会遇到麻烦。

最后，项目经理要缩短团队组建和磨合的时间。任何一个项目组从接受任务到任务完成、团队解散，一般都会经历五个阶段：组建阶段，磨合阶段，正规阶段，表现阶段，解散阶段。在五个阶段中，解散阶段由于项目任务已经完成，对于项目的影响不大。对于一个项目经理来讲，真正工作的阶段是正规和表现阶段。因而，项目经理的重要职责，就是使项目团队组建和磨合阶段的耗时尽量短，这样，项目团队的正规和表现阶段的历时就会越长，在布置任务和执行任务时，就更加从容。为使项目团队组建阶段的时间缩短，项目经理一定要向团队说明IT项目的目标，并设想出项目成功的美好前景，以及成功所产生的好处，公布有关IT项目的工作范围、质量标准、预算及进度计划的标准和限制。项目经理应公开讨论项目团队的组成、选择团队成员的原因、他们的互补能力和专门知识，以及每个人为协助完成项目目标所充当的角色。这样，公开的信息就构成一项重要的激励——信息激励，团队意识就会加快形成；为使项目团队磨合阶段的时间缩短，在这个阶段，IT项目经理要引导所有成员参与到IT项目计划的制定、规章制度的制定和任务的分配中来，同时允许成员表达他们所关注的问题。这样，主动参与对成员来讲就构成一项重要的激励——参与激励，团队成员就会更加容易接受团队的规章制度以及分配到的工作，团队意识就能得到进一步强化。新晨

（四）针对人员方面的风险，项目经理应从团队的组成上来考虑。在组建团队时，应选择那些相信信息化项目会成功，有相关管理技能，技术能力的企业人员，同时应尽可能找到信息化领域的专家做团队顾问；另外，项目经理应注意项目实施过程中与团队成员和软件外包商的沟通，及时掌握团队成员以及外包商的情况。

篇（7）

二、企业信息化项目实施中的管理风险分析

（一）管理风险的概念

管理风险是指管理运作过程中因信息不对称、管理不善、判断失误等影响管理的水平。它由管理者素质、组织结构、企业文化和管理过程四方面构成。

（二）企业信息化项目实施中的管理风险分析

（1）管理者的素质。管理者个人素质因素包括品德、知识水平和能力三方面。品德是推动管理者行为的主导力量，决定其工作愿望和努力程度及外界对他的价值评价，影响着人际关系，对管理效果和效率有直接影响。品德也是管理者个人魅力的主要来源。知识水平对管理者的影响体现在管理者对管理过程的理解和支持上，影响着他与其他人员交流和沟通。能力反映管理者干好本职工作的本领，包括应具备的管理知识、心理特征和适当的工作方式。

（2）组织结构因素。组织结构是组织的全体成员为实现组织目标，在管理工作中进行分工协作，在职务范围、责任、权利方面所形成的结构体系。其构成了组织内部各级职务职位的权责范围、联系方式和分工协作关系的整体框架，是组织得以持续运转、完成经营管理任务的体制基础。组织结构制度制约着组织内部人员、资金、物资、信息的流，影响着组织目标的实现。为了保证企业信息化建设的质量，最高管理者需要在企业内部构建负责信息化建设的组织架构，包括企业信息主管、信息系统应用管理和规划人员以及技术系统的应用与维护人员等这是企业信息化建设的重要条件。在构建组织结构的时候，处于某种利益的考虑，部分管理者会因人设岗，并没有综合分析信息化建设的实际需求。

（3）企业文化因素。企业文化是一个组织由其价值观、信念、仪式、符号、处事方式等组成的其特有的文化形象，是企业员工较长时间形成的共同价值观、信念、态度和行为准则，是一个组织持有的传统和风尚，制约着全部管理的政策和措施。企业信息化是建立在现代企业管理模式基础之上，并按照物流、资金流、信息流等业务流程而设计的，其实是过程中会对现有企业工作方式产生重大影响，必然会影响部分人的个人利益。其顺利实施需要组织成员之间合作、信任和团结，产生亲近感、信任感和归属感，实现文化认同和融合，使组织具有向心力和凝聚力，从而形成共同行动和齐心协力。

（4）管理过程因素。管理过程一般有相互关联的计划、组织、领导、协调、控制五个因素。计划是对未来的安排，应根据实际情况，通过科学、准确的预测，提出在未来一定时期内的目标及实现目标的方法。计划制定后，企业对如何实现目标已经明晰。为了保证计划的实现，必须严密组织组织结构要为创新活动的运行提供基本框架，必须有相应的合适的人员配备，才能有效地运作。领导的作用体现在两方面：协调作用和激励作用。正确处理组织内外各种关系，为组织正常运转创造良好的条件和环境，促进组织目标的实现。管理控制的必要性主要是由下述原因决定的：环境的变化；管理权力的分散；工作能力的差异。

三、企业信息化项目实施中的管理风险规避的策略

（1）运用约束和激励机制，提高管理者素质。管理者对信息化建设的不重视或短期行为主要是由于管理者不愿打破原有工作机制，为此，应积极运用约束和激励机制，提高管理者对信息化的重视，并自愿提高个人素质以迎接新工作的挑战。例如主管部门可将企业信息化的发展水平和经营者的业绩考核挂钩，并据此进行奖惩；将信息化带来的企业效益与管理者的利益分配相联系，进而不断增强企业管理者的信息化意识，并促使其采取积极的行动。

篇（8）

doi：10.3969/j.issn.1673 - 0194.2016.06.040

[中图分类号]F276.44 [文献标识码]A [文章编号]1673-0194（2016）06-00-02

网络时代的企业信息化建设对高新技术企业在管理效率、风险管控、市场响应、产品研发等核心竞争力和企业绩效方面产生了前所未有的推动和提升作用，企业通过引入线上办公系统（OA）、企业资源计划系统（ERP）、全面风险管理系统（TBS）等信息化手段提高各部门工作效率，从而有效提高企业的管理水平，通过电子商务平台、分销管理系统等提高其销售贸易能力，实现企业的可持续发展。但随着高新企业信息化程度的快速扩展和IT投入不断增加所带来的风险及隐患也呈上升趋势。如何进一步规避信息化风险，控制信息化损失成为亟待解决的问题。

本文旨在为高新技术企业研究一种信息化风险评价方法。根据高新技术企业的特征，识别高新技术企业在信息化建设过程中存在的风险，运用专家评分法对可能存在的风险因素进行评分排序，并将专家的打分表现在帕累托图中，根据帕累托法则的“二八原则”，找出关键的风险因素。高新技术企业可依据本文提出的方法对其信息化建设过程中的风险进行识别及评价，并据此提出有针对性的管控措施。

1 高新技术企业信息化风险识别

高新技术企业具有高投入、高创新、高收益、高人才拥有、高风险等区别于传统企业的特征，如互联网、电子商务等企业，基于其发展初期往往需要构建一套需要较高人力、资金和技术投入的信息系统，即迈出企业信息化这一步，这是高新企业持续发展的必由之路。

依据生命周期模型和诺兰模型的理论，企业信息化建设过程一般划分为规划、分析、设计、实施和系统运行维护5个既相对独立又密切相关的阶段。借鉴前人的研究思路，本文将从信息化生命周期的上述5个阶段来识别高新企业信息化风险的类型和影响因素，以便更好地实施分析评估。规划阶段风险主要包括IT战略计划风险、资金供给风险、人力资源风险三个方面；分析阶段风险包括开发制度风险、需求分析风险、流程再造风险三个方面；设计阶段在概要和详细设计、设计方案审核两个方面存在风险；实施阶段风险包括软硬件采购风险、系统测试风险、人员培训风险；在运行维护阶段会出现职责分工风险、权限管理风险、备份风险三个方面的风险因素。各阶段的具体风险表现在表1中进行列示。

2 高新技术企业信息化风险评价

高新技术企业信息化风险评估首先通过专家评分对企业的信息化风险进行评价，随后使用帕累托图对各风险因素进行排序，根据帕累托法则的“二八原则”评价出关键的风险因素。

2.1 专家评分法

在识别出高新技术企业信息化风险后，企业应组建专家团队对本企业信息化风险进行具体评价打分。企业应建立专家组对风险进行匿名打分。为保证评估的权威性和客观性，专家团队应由熟悉企业业务流程和功能的信息化建设方面的人员组成，包括有内部专家和外部专家。内部专家至少应该包括公司总经理、各部门负责人、企业信息化建设技术人员，外部专家包括注册信息系统审计师、咨询机构专家等。专家团队人数应当控制在适当的比例范围内，可根据企业信息化规模确定。

组织专家评分主要分为5个步骤。第一，发放资料。应先向评分专家提供企业信息化规划、设计及运行方面的资料，专家应在足够了解企业信息化各方面情况的基础上进行专业判读和评价。第二，专家打分。将评分表发放给选定的的专家，专家团队成员应根据自己的专业知识以及被评价企业信息化建设和运行情况，对每项风险发生的概率、预期损失值进行评价打分，同时在备注中给出治理措施建议。第三，汇总分析。评价企业统一收集整理评分表，计算每位专家针对每一风险因素打分的统计指标，包括平均数、方差、中位数、极值等，并将结果反馈给各位专家，若需修正可二次打分一次。第四，召开讨论会。邀请个人评分与最终汇总分数差异较大的专家发表意见，从专家的个人视角给出合理解释或反驳意见，专家根据反馈结果再修正自己的意见。第五，经过多轮匿名征询和意见反馈，形成最终得分及治理意见集合。

2.2 帕累托排序

高新技术企业的IT风险符合帕累托法则的“二八原则”，即80%的企业风险由20%的风险点引起。通过专家的匿名打分和意见反馈，形成了最终评分结果。高新技术企业需按照专家评分分数高低，运用帕累托图对风险进行排序评价处对企业威胁最大的风险因素。对专家评分的结果进行排序，并绘制帕累托图，则前20%的风险点即为高新技术企业IT风险中的关键风险因素，应进行重点控制和关注。为说明问题，本文在小范围内进行模拟打分，得到如表1所示的数据，据此得到图1所示的对应帕累托直方图，通过要素排序的递进累计，当累计风险达到80%左右时（本文为81.33%），落入考察区间的考察量为X1、X2和X10，说明该3项要素的存在导致了企业绝大部分（80%）风险的后果，因此治理时应抓住主要矛盾，重点对这三项最可能的诱因实施风险治理。

图1 高新技术企业IT风险专家评分帕累托图

3 措施建议

众所周知，信息化在给企业带来高效便利的同时，也夹裹着诸多风险，关键是如何快速识别出致险因素，并在排序中寻找关键风险因素，然后有针对性地制定风险治理方案。高新技术企业是信息化建设的典型代表，运用上述风险识别和评估方法，可以重点防控企业最可能出现重大风险，保证信息化建设和运行顺利。同时企业还应慎重选择信息化时机、节奏和规模，并注重企业中人的作用，适度引入“人机治理模式”，将“人因”与“机因”有机结合起来。

主要参考文献

[1]李志，唐波，张庆林.高新技术企业特征与管理对策研究[J].重庆大学学报，2009（7）.

[2]吴炎太，林斌，孙烨.基于生命周期的信息系统内部控制风险管理研究[J].审计研究，2009（6）.

[3]彭超然.大数据时代下会计信息化的风险因素及防范措施[J].财政研究，2014（4）.

[4]王凡林.企业信息化风险的内部控制与治理研究[M].北京：首都经济贸易大学出版社，2014.

[5]周娟，杜栋.企业信息化水平评价系统的研制[J].河海大学常州分校学报.2004（2）.

篇（9）

制造企业信息化建设建设主要是采用CAD/CAM/CAPP等现代化的信息技术，使得制造企业生产过程信息化；采用MEP/ERP等现代化的管理技术，则是为了制造企业的管理水平科学化，管理流程信息化；采用CMS等、等进行制造企业信息的搜集，逐渐形成集设计、制造以及管理为一体的计算机综合集成制造系统，并采用计算机技术，将制造企业内部的信息资料整合起来，并将其扩展到制造企业外部。从制造企业信息化建设本质来看，就是实现制造企业各个层面的信息化，使得企业整体运营逐渐高效化、科学化、合理化。由此可见，制造企业信息化建设并不是一个企业信息化的建立，它是一个信息化系统的革新，对制造企业而来，更像是一场信息化革命[1]。然而，对于制造企业信息化建设而言，虽然信息化建设有利于当下企业管理格局的改善，但是在制造企业信息化建设中必然会遇到各种风险因素，这就要求企业在信息化建设的过程中，除了关注信息化建设之外，还需要对周围的风险源进行及时的侦查，分析风险源的源头，做出最佳的风险处理措施。

（一）制造企业信息化建设技术风险。高制造企业信息化建设属于高科技的信息化应用，这类信息化技术对于制造企业的管理和信息搜集大有帮助，但是该类型的技术牵扯信息内容过多，是多种综合技术的结合，因此存在很多不确定因素，对于初步建立信息化的制造企业而言，这种不确定的风险因素在短时间内难以做到合理化的有效控制，无法预测信息化系统在运行过程中的偶然现象，对于风险的发生不能做到及时的防范，进而给制造企业带来经济损失。

（二）制造企业信息化建设资金风险。制造企业信息化建设中必然会投入大量的资金，用于各种软硬件设备的购买、软件系统和信息支付企业的服务费用等等。除此之外，还涉及一些隐藏费用，例如制造企业信息化建设后的信息系统应用培训、信息化系统安全维护费用等，致使制造企业耗费大量的资金费用，给企业的资金流转造成阻碍。此外，由于制造企业信息化建设投入资金预算和实际花费资金差距过大，会造成制造企业运营的资金短缺[2]。此外，在制造企业信息化建设后，需要花费几十万或是几百万资金用于整个制造企业信息系统维护和调整，使其满足制造企业信息化发展需求。

（三）制造企业信息化建设安全风险。制造企业信息化建设之前，由于对信息化的陌生，使得企业管理人员安全防范意识匮乏，忽略了制造企业信息化建设安全风险，导致客户信息资料的泄漏，外来病毒入侵，引发整个信息系统的瘫痪。

二、制造企业信息化建设中风险防范措施

制造企业信息化建设风险防范措施的应用是信息化建设中必不可少的关键环节，它对于制造企业信息化系统安全运营大有裨益。此外，加强制造企业信息化建设中的风险防范，还能减少因风险因素造成的经济损失[3]。以下则是笔者结合制造企业信息化建设中出现的风险因素，在查阅多方资料后总结出的风险防范措施。

（一）制造企业信息化建设技术风险防范措施。一个完整的信息系统，必然离不开多项技术的综合应用。对于制造企业信息化建设而言，其应用的信息化技术都是按照信息系统建设的总规划，按部就班的采用制造企业信息化建设技术。因而，在制造企业信息化建设风险防范中，需要根据制造企业信息化建设整体目标和阶段性计划，找准技术的切入点，按照制造企业信息化建设层次，进行风险防范。

（二）制造企业信息化建设资金防范措施。制造企业信息化建设风险因素的发生，必然造成制造企业的经济损失，治愈资金损失额度大小，则完全取决于制造企业信息化的风险管理。比如，在制造企业信息化建设之处就制定好严密的风险管理计划，并安排管理人员对制造企业信息化建设资金进行预算统计和管理。在此基础上，加强制造企业信息化建设的日常监控，一旦发现隐藏风险源及时进行处理解决，降低制造企业信息化建设中额外的风险资金投入[4]。

篇（10）

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2016. 13. 037

[中图分类号] F270.7；TP309 [文献标识码] A [文章编号] 1673 - 0194（2016）13- 0074- 03

0 引 言

随着互联网技术、通信技术、虚拟化技术和SOA技术的发展，以服务形式向用户提供计算资源的云计算，正在改变人们的工作方式和企业运营模式。基于云计算进行企业信息化建设，能有效降低成本、提高效益和促进创新，许多企业已经投入到云计算的信息化浪潮中，实施了自己的云平台战略。目前，云服务商在提供云计算服务时，虽然绝大部分都采用了国际先进的信息安全保障技术，但云环境中的信息安全风险仍不容忽视。

1 公有云

“云”在网络拓扑图中常用来表示Internet，是对复杂的互联网的一种抽象。因此把这种基于Internet的计算方式形象地称为“云计算”。一般来说，云计算提供的服务有三种类型：软件即服务（Software as a Service，SaaS）、平台即服务（Platform as a Service，PaaS）、基础设施即服务（Infrastructure as a Service，IaaS）。公有云是云计算的重要模式之一，通常由第三方云服务商为用户提供。公有云的一般框架如图1所示。

2 基于公有云的企业信息安全分析

企业信息化过程中，云计算已受到众多企业的追捧，云计算可使企业将部分计算处理工作外包云服务商，企业可以通过互联网来访问云数据。与此同时云计算中的数据安全风险也不容忽视。一方面，云计算中的数据对于数据所有者以外的用户是保密的，但是对于提供服务的云服务商而言是透明的。另一方面，云数据在存储、传输与使用过程中，会不断遭遇不法行为的攻击。总得来说，云数据安全风险主要有三大来源：云计算中心数据丢失与泄露、数据传输窃取、终端数据泄露。从公有云安全风险所涉及的不同网络层次考虑，可以将安全风险主要归纳为 ：云计算中心数据存储安全、云数据传输安全、云端用户安全、云数据审计安全、管理维护安全等，如表1所示。

3 云数据安全风险控制策略

为了更好地研究企业信息化过程中基于公有云的安全风险，下文提出了一种“三位一体”安全风险控制策略，如图2所示。要解决云计算环境下的数据安全问题，仅仅在云计算中心实施保护是不够的，必须要通过融合云中心数据安全技术、终端数据安全技术、网络安全技术为一体，实现对云数据的一体化控制策略。在云计算中心，重点完成用户身份认证、多租户模式下的数据隔离、用户异常行为检测、数据封装加密。在终端，重点完成用户密钥生成、终端环境安全、终端外设安全、终端文件加密保护。在网络传输过程，重点完成终端与云计算中心之间建立虚拟安全通道。

3.1 云计算中心数据存储安全策略

企业在使用云计算服务时，数据的存储是非常重要的一环，其中包括数据的存储位置、数据的灾难恢复、数据的隔离等。然而，云计算服务商为企业提供存储空间服务时，云端用户并不清楚自己的数据储存位置；云数据存储地是否存在信息安全问题、是否遵循当地的隐私协议、是否能确保企业数据不被泄露等安全因素。

3.1.1 数据安全隔离

基于分布式数据存储的思想，可以将数据中心的共享存储划分为不同区域，在不同区域之间配置安全策略，防止非授权的跨区域数据访问。在数据中心运行时，动态监测数据中心中的用户行为，根据采集到的行为数据进行识别。结合数据迁移策略，将受到威胁的数据迁移至其他区域，并停止恶意用户对于该部分数据的访问授权，使得恶意用户无法攻击该部分数据，从而防范云计算中数据隔离和攻击的问题，保护云计算中用户的数据与隐私安全。

3.1.2 数据库加密

传统的数据库、操作系统安全和物理安全访问控制机制，为数据库提供了一定的安全措施和技术，但并不能保证在云计算环境下数据库的安全需求，尤其是一些重要部门数据和敏感数据的安全。造成不安全的主要因素是数据库中的原始数据以可读形式存放，如果对数据库中的数据，采用安全数据库、可搜索加密等技术，对数据库系统及密文进行加密处理，即使受到非法入侵或者盗取数据存储介质，若没有相应的解密密钥，依然不可获取所需数据。

3.2 云数据网络安全策略

一般情况，企业数据中心存有大量的重要数据，如企业客户信息、商业秘密、财务数据、重要的业务流程等。在云计算环境下，企业将数据通过网络传输到云计算中心进行处理时，就会面临着网络传输数据的安全问题。目前，云计算服务商主要采用加密算法的安全通信协议与超文本传输安全协议，虽然这些协议具有完整性与认证性等特征，但也并不能确保云数据传输不被窃听或截取。

3.2.1 文件透明加密

云计算终端数据绝大多数以电子文件形式存在，系统提供文件透明加密，确保终端用户在操作方式不发生改变的情况下，电子文件以密文方式存储。采用驱动层透明动态加解密技术，自动对存储到磁盘的数据做加密运算，对从磁盘读取的数据做解密操作。通过指定文件类型或者处理进程，进行强制加密、强制访问控制和离线管理等技术手段，达到所有存储介质上存在的该类型文件全部加密，可以有效防止机密信息泄漏。

3.2.2 虚拟安全网络

构建先进的虚拟安全域网络，使用户可以同时访问多个应用的虚拟安全域，但相互之间是隔离的，用户终端无法使用来实现两个虚拟安全域之间的路由。并且根据权限和安全策略，动态地将被访问的各种应用系统资源划分到不同的虚拟安全网中，实现具体业务应用系统环境的动态专用性，并且从安全管理角度上对网络数据进行精细化的安全管理。

3.3 云端用户数据安全策略

云端用户存取云计算数据的途径方式多样，不同用户终端的安全防护措施差异也较大，云服务商难以有效监控云端用户的诸多安全风险。云服务商为吸引庞大的客户群，开辟了大量的外链接通道，严重威胁云数据安全。其次，部分云服务商的内部员工通过云管理平台的特权接口，隐蔽地访问云数据或通过旁路通道获取部分运行信息推演数据，造成云数据泄露或损毁。

3.3.1 身份认证管理

基于PKI安全体系，可以将安全策略、安全认证、安全管理等多应用深度整合，形成一个统一、坚强的安全防护体系，包含安全事件收集、事件分析、状态监视、资源管理、用户管理以及授权策略管理，并通过流程优化、系统联动、事件管理等方式深层次、全方位地整合各应用系统资源，最高效率地处理安全问题，保护系统资源整体安全。系统以核心安全服务中间件为引擎，以应用资源为中心，按照集中认证、统一授权、统一审计、统一管理的原则，深度整合系统资源，达到全面的安全目标，同时通过异地认证达到更广范围的跨区域整合。

3.3.2 终端桌面安全

在终端区域，可以通过远程监控、补丁推送、软硬件资产统计、终端程序控制策略、本地虚拟运行环境、进程安全管理、桌面资源管理和软件和补丁分发等技术，保障终端桌面工作环境安全。

3.4 云数据审计安全策略

用户对自己数据的完整性和安全性负有最终的责任。传统服务提供商需要通过外部审计和安全认证，但一些云计算提供商却拒绝接受这样的审查。为了保证数据的准确性和有效性往往会引入第三方的认证机构进数据审计。在实施审计的过程中，还需保证审计机构不泄漏相关企业的敏感数据。

4 结 语

文中通过分析云计算环境下的云数据储存、网络传输及云端数据处理三方面存在的数据安全风险，结合云服务商数据资源管理和企业信息化过程，提供了针对云计算环境下的“云计算中心+数据传输+云端”的三位一体的数据安全控制策略，确保云计算数据的保密、完整、可用，为基于云计算的企业信息化建设提供参考。所采用的方法能够结合云计算服务提供商的需求进行扩展。

主要参考文献

[1]Peter Mell，Timothy Granee.The NIST Definition of Cloud Computing[R].Nation Institute of Standards & Technology，2011.