浅谈企业信息化的风险管理

浅谈企业信息化的风险管理

摘要: 信息技术逐渐成熟并应用到企业管理中。企业信息化建设，极大地提高企业管理效率，减低管理成本，推动企业健康发展。同时，由于企业信息化建设过程中存在一定风险因素，必须要加强防范，避免对企业发展造成影响。本文对企业信息化风险管理进行简单探讨。

关键词：企业管理；信息化；信息化管理；风险管理；信息化风险 一．引言

近几年来，我国企业的信息化建设取得较大成绩。信息技术在企业管理中的全面开展，促使企业管理水平逐渐提升，管理成本逐渐下降，为企业创造较好的经济效益。当前，我国大部分企业信息化管理过程中，还存在较多风险，导致实际管理效果不佳。针对企业信息化中存在的风险，采取针对性改善措施，切实提高企业信息化管理水平，防范风险，促进企业健康发展。

二．企业信息化条件下风险类型及产生风险的原因

1. 业务流程优化重组风险

一是过于细分的结构，使各个核算子系统之间，彼此分割，缺乏数据传输的实时性、一致性、系统性，各核算模块是彼此独立的“孤岛”。顺序化的流程带来的结果，虽然在内部牵制方面能发挥一定的作用，但是会延长相互等候时间、降低报告的及时性、单一化信息的内容（工作量的限制使财务一般只提供以原始成本表示的货币性信息）。二是难以满足信息实时性的需求。传统的业务流程下，部门在经济业务发生后收到有关凭证时才进行处理，这就使得企业的信息滞后于物流信息，这种滞后性首先体现在凭证的收集即数据的采集的滞后上。由于业务流程远离其他业务过程，因此伴随着其他业务发生而产生的原始凭证要经过一段时间才开始被整理，造成凭证收集的滞后性。

2.资金成本管理风险

自全面推行项目法施工管理以来，部分企业虽然在生产经营管理和队伍素质等方面都有很大的进步，但项目成本控制仍存在不少问题，仍有相当一部分项目部重点放在生产任务的完成上，成本意识淡薄，对效益的考核不足，成本管理存在较大风险，主要表现在：

（1）成本控制总目标没有制定，或者虽然有，但却没有严格执行，而使项目成本处于失控状态。

（2）材料管理制度不健全或不重视。材料成本在施工企业工程成本中占有相当重的比例，材料成本管理的成败关系着工程项目成本管理的成败。在亏损的项目中，购买材料无计划、超定额购买、高价购买的现象比比皆是，其结果是材

料的积压、超支；进出库数量、质量把关不严，使用浪费、丢失现象严重。

（3）分包工程存在漏洞。对劳务分包队伍，没有实行严格的定额发料制度，造成材料超支；对分包队伍施工的工程数量存在重复计价现象；不考虑中标价格，把工程以高于中标价的价格分包出去，形成巨额亏损；让多个外部单位挂靠，仅象征性地收取一点管理费，最后挂靠单位一走了之，而所有的善后费用全部由被挂靠项目部承担，形成巨额损失。

3. 数据库管理风险

首先，管理方面面临的威胁：一是人员的威胁。计算机系统的发展，自动化设备的提高，使人们对信息处理过程的参与越来越少，人员降低安全意识、蓄意破坏、误操作等行为严重影响了信息的安全。二是信息安全组织的不完善。信息的安全组织不完善不能建立有效管理体系，不能有效地协调资源，也就不能够对管理体系实施有效地监督和维护，就会给信息的安全造成危害。应该规划维护、部署，建立信息安全组织管理系统。三是政策和措施的不完善。信息安全组织需要制度相应的政策、信息安全策略和高素质人才。政策指导人员按照制度进行相应的日常工作。如果缺少了安全政策就会导致滥用或误用信息处理设备，缺乏合理的使用控制和对信息系统的维护，信息的安全性也极容易受到相应危害。其次，是技术上的威胁：一是对系统的威胁。由于技术有限，传输设备、处理和信息存储系统中的漏洞很容易被木马、病毒、黑客侵入，造成损失。二是对应用的威胁。不适当的应用程序本身就存在安全隐患，误用、滥用都会是信息的安全受到威胁。三是对数据的威胁。篡改、伪造、窃取等手段造成数据泄露和失效，其损失也是不言而喻的。四是对物理面造成威胁。信息的存储、传输、产生、使用、处理等的环节离不开物理环境。物理环境就是信息的载体，没有物理环境信息也将荡然无存。 4.计算机病毒的危害

伴随着计算机和网络信息技术的快速发展，计算机病毒的传播也越来越普遍，已不仅仅是依靠传统的磁性介质传播，扩展到网络传播层面。计算机病毒的传播范围越来越广，计算机在遭受病毒感染后，不仅会影响到信息系统，而且可以依靠远程控制继而感染其他管理系统，造成大范围的传播。病毒的传播速度也极快，往往会造成短时间内大范围感染。而且越来越隐蔽，在特定环境下会潜伏起来，在收到某些刺激时就会自动激发，激活病毒并产生连锁反应，感染数台电脑，很难清除干净。

5.黑客攻击风险

企业信息对于企业管理者具有重要意义，是管理人员生产经营决策的重要依据，其中的信息常会被竞争者或者咨询公司所觊觎。因此，存在黑客非法侵入企业信息系统的现象，以此窃取数据信息，对企业正常的生产经营造成危害，影响正常运营。企业信息化建设的大背景给黑客行为提供了便利条件，加之互联网的广泛传播，极易造成企业信息被篡改或者泄露。

6.产生风险的原因

（1）是定位不够清晰。一部分企业在建立内控或风险管理体系的同时或之后，实施了风险管理信息系统，但是这样一个系统是作为内控或全面风险管理牵头部门的工作信息平台，用于推动企业内控和全面风险管理管理体系运行？还是希望在各专项业务管理中通过风险管理信息化手段评估和管控业务风险？不少企业对于系统的操作主体、应用范围、管理目标往往不够清晰，导致信息系统效能难以发挥。

（2）不能与业务管理融合。有些企业虽然已经构建了风险管理信息系统，但是业务管理和风险管理在信息化应用中几乎没有交集，在信息系统中难以体系集成与信息共享，使得风险管理变成“管理孤岛”。现代企业已经制定了各种各样足够多的规章制度、流程手册、程序文件、工作指南等；还有各种管理体系，包括质量管理、安全管理、六西格玛、全面预算管理、全面风险管理、HSE、内控规范等。理论上讲，不管引入并建立了多少种管理理念和体系，企业都应当将它们整合成一套制度和流程，而企业的员工只要严格按照这套制度和流程中所规定的要求开展工作即可以满足所有管理体系的要求。如果不能发挥风险管理的整合价值，如果不通过IT技术构建统一的信息化应用平台，实现多个体系的整合和管理的融合，就会不断形成“管理体系孤岛”和“信息孤岛”，也就失去了内控和风险管理的价值和意义。

三.企业信息化风险管理

1.风险管理流程

风险管理是一个连续的、循环的、动态的过程，主要包括建立风险管理目标、风险分析、风险控制、风险处理等几个基本步骤。

（1）确定风险管理目标，包括损失前目标和损失后目标。损失前避免或减少由于各种风险因素引发损失的几率，损失后尽快恢复到损失前的状态。

（2）风险分析是指分析企业面临的和潜在的风险，包括风险识别和风险评价。煤矿企业的风险分析是对煤矿企业各部门或各系统的工作活动和任务中的不安全因素的识别，识别对系统目标有危害或威胁的潜在危险源和事故隐患是否存在及其所在位置，确定其等级、数量、规模及其潜在的后果，从而确定是否要采取风险控制措施，以及控制措施采取的程度。

（3）风险控制就是选择以及优化组合风险管理技术，防止风险发生以及减少风险发生带来的损失，以达到风险管理目标的过程，一般包括选择风险管理技术和风险管理决策两个步骤。风险管理决策就是根据风险评价的结果，为实现风险管理目标，通过风险管理技术的优化组合，选择投资少，安全保障大的方案的过程。

（4）风险处理是指风险管理计划的实施和风险管理效果的评价。通过定期或不定期地检查安全生产方针的贯彻、目标和指标的实现、重大风险的控制、员

工安全生产意识与技能的提高、自我完善机制的建立等情况，明确安全生产方针和目标是否适应风险管理的需要，资源是否充分，以及安全生产风险管理计划是否有效并得到实施。将成功的部分保留下来予以发扬，形成后续安全生产活动的准则；将出现的事故、事件予以控制改进，对煤矿企业风险进行全系统、全过程审计监督，以确保规范性和有效反馈；从而形成一个全面、动态、完善、循环的风险管理流程。

2.建立相应防病毒措施

对于企业信息系统来讲，计算机病毒是最大的威胁之一，在信息系统病毒方面，我国做出了重大的努力，研发出了较多的病毒杀毒软件，这些杀毒软件对于信息系统起到了安全防护作用。同时，杀毒软件还可以对网络环境下的信息系统进行监督管理，保证信息系统的健康稳定运行。除此之外，对于系统维护人员来说，对于一些重要的数据库以及软件磁盘，需要对其进行相应的加密和备份。尤其要注意，千万不要随便打开来历不明的电子软件以及其他一些网站，这些电子软件以及网站是病毒、木马的重要来源。对于出现的计算机病毒、木马，系统维护人员还需要对其定期进行安全测试以及清除处理。

3.健全信息系统内控制度

信息化是伴随着计算机互联网技术的运用与发展，在企业运作中逐步发展与成熟的。健全信息系统内控制度，主要从两个方面进行入手：一是实行操作监控职责分离，二是明确数据操作以及管理权限。首先，对于操作监控职责分离，其目的是实现系统内部相互之间的牵制。对于每一笔业务的办理，都是有专门的操作人员进行操作的，他们所进行的数据操作，会直接在监控人的电脑上显示，同时对于该数据，监督人员也会对其进行备份，避免出现数据丢失而导致意外事故。例如，对于审计部门怀疑的数据，监督人员还需要为审计部门提供帮助，通过职责分权，使得各职位相互牵制。其次，明确数据操作以及管理权限。对于人员来讲，企业必须对人员的软件的使用权限进行规定，做到对于软件的操作密码严格保密，尤其是对于一些数据安全，也要加强这方面的教育与培训。除此之外，不断提高人员的职业道德，提高他们软件运用以及计算机维护的安全意识，对于发现的软件安全问题，需要及时做好相应的准备，以备不时之需。最后，在核算过程中，整个财务系统控制内部之间牵制联系，所以在岗位设置上，充分考虑到这些方面，设立操作和审计岗位，及时更新数据，监督操作过程的规范和安全，防止意外事故的发生。

4. 强化网络维护，避免病毒的破坏

在信息系统的使用过程中，应强化对网络环境和系统软件运行环境的维护。可以使用硬件防火墙或IPS（入侵防御系统）设备作为保障局域网网络安全的屏障，同时择优使用可靠的安全防护软件，对系统运行环境进行清理与保护。此外，信息系统维护人员应定期做好数据库资料的备份工作，有条件的还应做到定期异地备份，以便在数据库受到破坏后能够及时地恢复数据资料。

5.做好各项硬件设施的维护管理

齐全的硬件设施是确保企业信息化管理工作正常开展的基础条件，为确保安全必须做好硬件设施的维护管理。首先，应该在企业内部完善硬件设施管理制度，对于办公计算机、服务器、存储数据库的使用管理进行明确规定，明确设备管理岗位责任。其次，为了避免由于断电或者其他原因造成数据的损失，对于计算机等重要的硬件设备应该提供稳压电源或UPS为计算机持续供电。最后，对于重要的网络设备、服务器、存储设备，建议做冷备或双机热备，在遇到网络通信故障或设备硬件故障的时候能确保在最短的时间内恢复网络通信或信息系统通信。通过强化硬件设施的管理，避免信息数据的安全受到威胁。

6.加强企业信息化人才的培养

人才的缺乏是制约企业信息化工作发展的关键环节。为此，企业首先要通过各种培训提高人员的计算机业务水平和职业道德水准，增强遵守各项法规及企业内部规章制度的自觉性，实行考核合格才准上岗的制度；涉及企业信息系统的企业各部门业务主管应当熟悉并能运用整个企业信息系统处理业务，才能对系统业务工作流程进行监控和指导。因此，企业一方面应立足于国际水准，培养或聘用一批高级技术人才，应积极组织企业人员学习和提高企业信息化知识，维护软件正常运行，同时加大对企业信息化人才的培养力度，培养更多的企业信息化复合型人才。另一方面同时要整合企业资源，推进企业信息系统与其他系统的整合，实现财务管理工作的规范化和高效化，从而提高企业信息化的整体应用水平。

7.加强企业信息化的网络安全建设

为了全面、快速、安全的推进企业信息化，企业应从软硬件管理和维护控制、组织机构和人员的管理控制、系统环境的管理控制、企业数据和企业档案的保护控制、计算机病毒的预防等各方面建立行之有效的制度，从制度上保证企业信息化系统能够安全、准确、可靠地运行。一方面要增强网络安全防范能力，采用防火墙技术、网络防毒、信息加密存储通讯、身份识别、授予权等措施，防止系统数据被修改和窃取。另一方面使用正版的企业软件，防止数据的丢失，为企业信息化的发展提供一个良好的外部环境。此外，要加强对外来设备，例如：移动硬盘、U盘……等设备的安全管控，杜绝未经安全检测就接入局域网或服务器的现象

8.完善信息档案资料管理

企业信息化管理必然要面对如何加强档案资料的问题，为了实现信息资料保管的安全性与统一性。企业需要采购正版的、适合企业业务特点管理软件，要学会正确使用升级软件，使用标准的软件数据转换接口，保证企业信息资料保管的安全性。软件升级一般可以放在每个年度之初，这时企业上一个年度刚刚结束，业务工作量较少，可以及时对系统进行检查、维护和更新，也便于及时更新和优化。同时也要将传统的手工管理与信息化管理方式有机结合起来，对于一些重要的信息资料，一方面可以保存在U盘、移动硬盘等载体，妥善保管。另一方面，

也要将其打印出来，整理归档。这样可以避免由于各种故障导致资料无法读取的问题。

四．结束语

信息化是现代企业发展的必然趋势，随着信息化技术的不断发展，信息安全问题是企业信息化建设中不断出现的问题。对此，企业要提高对信息安全工作的重视程度，积极采用多种有效方法和手段来提高信息化管理水平，保证企业信息化数据的真实性与可靠性，促进企业长远健康发展。

参考文献：

[1]卢新元,张金隆,陈涛等.企业信息化及风险管理实证分析与研究——以湖北省问卷调查为实证研究[J].科研管理,2006,27(5):77-86.

[2]巫江,欧阳峰.企业信息化的风险管理探讨[J].企业经济,2006,(2):34-35.

[3]王黎虹.企业信息化的风险管理[J].管理科学文摘,2003,(6):54-56

[4]赵明霞.管理模式级企业信息化风险管理[D].首都经济贸易大学,2009.

[5]胡勇.浅谈企业信息化的风险管理[J].中小企业管理与科技,2012,(15):298-299.

[6]马运来.企业信息化项目集成风险管理研究[J].生产力研究,2008,(1):127-128,131.

[7]骆良彬,张白.企业信息化过程中内部控制问题研究[J].会计研究,2008,(5):69-75.

[8]陈宪宇.企业信息化:风险与控制[J].科技管理研究,2013,33(11):197-200