引言：

    個人從事IT行業(yè)多年，早期作開發(fā)工作，后來做ERP實施，負(fù)責(zé)完成了多個大型企業(yè)的ERP項目，目前轉(zhuǎn)入到甲方單位做些項目管理的工作。在長期的軟件項目工作經(jīng)歷中，接觸到的客戶中或多或少的表現(xiàn)出對信息系統(tǒng)風(fēng)險的錯誤認(rèn)識，存在誤解的既有企業(yè)的普通員工，也有企業(yè)領(lǐng)導(dǎo)。
 
    信息系統(tǒng)的風(fēng)險和系統(tǒng)的應(yīng)用是伴生的，風(fēng)險是永遠(yuǎn)客觀存在的，怎樣防范風(fēng)險、怎樣控制風(fēng)險，這是企業(yè)信息化建設(shè)過程中必須應(yīng)對的問題。本文中結(jié)合我個人從事IT行業(yè)的經(jīng)歷和經(jīng)驗，面向即將實施信息系統(tǒng)或已經(jīng)建設(shè)了信息系統(tǒng)的企業(yè)，對信息系統(tǒng)風(fēng)險管理中的問題提出我的觀點和相應(yīng)的解決辦法。

    正文：

    當(dāng)前各個行業(yè)的企業(yè)內(nèi)部各項信息化工作開展的如火如荼，ERP、電子商務(wù)、CRM，建設(shè)工作由點到面，從業(yè)務(wù)運營到企業(yè)管理、從單一應(yīng)用到綜合治理，在企業(yè)內(nèi)部各個層面逐步展開。系統(tǒng)建設(shè)大多已初具規(guī)模，企業(yè)的信息化框架也逐步確立。可以看到，信息化為企業(yè)經(jīng)營帶來了明顯的經(jīng)濟(jì)效益，為企業(yè)管理改革提供了有力的支持。

    凡事都具有兩面性，企業(yè)在收獲信息化成果的同時，也應(yīng)該看到信息化帶來的巨大風(fēng)險，應(yīng)該對這類風(fēng)險安排適當(dāng)?shù)目刂拼胧５窃谖业墓ぷ鹘?jīng)歷中，大多數(shù)客戶，特別是IT建設(shè)剛剛起步的一些企業(yè)，對此風(fēng)險問題都表現(xiàn)出不同程度的漠視，或者錯誤的認(rèn)識。歸納一下，主要有以下幾種錯誤觀點：

    1、認(rèn)為信息系統(tǒng)應(yīng)該達(dá)到安全可靠，否則就是開發(fā)商的水平不高；

    2、要求系統(tǒng)提供商承諾軟件系統(tǒng)功能無差錯；

    3、要求系統(tǒng)提供商承擔(dān)系統(tǒng)錯誤造成的損失和影響；

    信息系統(tǒng)風(fēng)險分析：

    上面提到的幾種觀點，其根本，還在于認(rèn)為“信息系統(tǒng)可以做到安全可靠”，這實際是對信息系統(tǒng)風(fēng)險問題的錯誤認(rèn)識。

    信息系統(tǒng)本身具有很大的“脆弱性”，信息系統(tǒng)依賴的硬件、信息系統(tǒng)應(yīng)用的IT技術(shù)（軟件方面）、信息系統(tǒng)的建設(shè)和使用過程都存在著大量的風(fēng)險因素，這類風(fēng)險客觀長期存在，既有有形的風(fēng)險（設(shè)備、環(huán)境）、也有無形的風(fēng)險（行為、道德）。

    下面，將從這些角度分析一下信息系統(tǒng)常見的風(fēng)險因素：

    1、系統(tǒng)硬件環(huán)境風(fēng)險

    信息系統(tǒng)的運用，依賴于特定的硬件環(huán)境，例如服務(wù)器、網(wǎng)絡(luò)等等，這些環(huán)境依賴大量的硬件設(shè)備，這些設(shè)備自身都存在一定的故障率，這類故障發(fā)生時必然影響信息系統(tǒng)正常運行。這類故障比較常見，大多數(shù)人也都能理解。

    2、信息系統(tǒng)技術(shù)帶來的風(fēng)險

    信息系統(tǒng)的建設(shè)總是利用一定的技術(shù)手段進(jìn)行實現(xiàn)，例如Dot NET、J2EE、VB、數(shù)據(jù)庫、應(yīng)用服務(wù)器等，這些技術(shù)手段雖然都是商業(yè)化的，但其自身也是一個信息產(chǎn)品，受制于信息系統(tǒng)建設(shè)的客觀因素，依然不可能根除出現(xiàn)錯誤的可能，這些產(chǎn)品的廠商在推廣中強調(diào)的“安全性”、“可靠性”，更多的表現(xiàn)為一種營銷宣傳，根本不可能在購買合同中進(jìn)行明確的承諾（這些供應(yīng)商都會在合同中采用“責(zé)任限制”的條款對這樣的風(fēng)險進(jìn)行規(guī)避）。那么在這些技術(shù)手段之上構(gòu)建的信息系統(tǒng)自然會受到這些風(fēng)險的影響。

    3、信息系統(tǒng)建設(shè)過程中隱藏的風(fēng)險

    信息系統(tǒng)建設(shè)的過程，無論是自建還是采購，都必然經(jīng)歷需求調(diào)研分析、系統(tǒng)規(guī)劃設(shè)計、系統(tǒng)開發(fā)測試、系統(tǒng)實施等幾個過程，這些過程中都存在導(dǎo)致日后系統(tǒng)出現(xiàn)錯誤造成損失的風(fēng)險。例如：
需求調(diào)研階段，技術(shù)人員對需求認(rèn)識的局限性，將造成未來系統(tǒng)的局限性。在日后系統(tǒng)應(yīng)用過程中，當(dāng)這種局限性的條件滿足時，可能對系統(tǒng)的使用產(chǎn)生影響；

    系統(tǒng)開發(fā)測試階段，每一項功能都是由技術(shù)人員編寫程序代碼實現(xiàn)，此項工作繁瑣且復(fù)雜，人非機(jī)器，錯誤是不可絕對避免，開發(fā)的質(zhì)量需要測試工作來保證。測試工作只是模擬未來的使用方式來驗證系統(tǒng)，不可能對系統(tǒng)進(jìn)行全方位的驗證，系統(tǒng)出錯的可能性永遠(yuǎn)存在。另外，作為這項工作主要的參與者，人的責(zé)任心這樣的道德風(fēng)險也不能小視；

    4、信息系統(tǒng)使用、維護(hù)過程中“人”的風(fēng)險

    信息系統(tǒng)的最終價值是通過人的使用發(fā)揮出來的，在系統(tǒng)的使用中，操作人員不當(dāng)操作可能造成錯誤；系統(tǒng)維護(hù)中，維護(hù)人員的能力、經(jīng)驗的欠缺，可能對系統(tǒng)引入新的錯誤，這些都是導(dǎo)致?lián)p失發(fā)生的風(fēng)險。

    5、信息系統(tǒng)應(yīng)用集中，自動化程度提高，風(fēng)險擴(kuò)大

    信息系統(tǒng)經(jīng)過這些年的發(fā)展，從最初的單機(jī)、單點應(yīng)用，演變到現(xiàn)在的網(wǎng)絡(luò)化應(yīng)用，數(shù)據(jù)集中、邏輯集中；應(yīng)用方式從早期的簡單記錄功能，到目前的自動化處理，這些既是技術(shù)發(fā)展的方向，也是企業(yè)管理變革的要求。集中降低了信息化建設(shè)的成本、增強了系統(tǒng)的靈活性，自動化降低了企業(yè)的運營成本，但也不可否認(rèn)，風(fēng)險也相應(yīng)增大了，一個小小的錯誤，可能會影響到整個企業(yè)正常經(jīng)營。

    6、網(wǎng)絡(luò)風(fēng)險

    信息技術(shù)發(fā)展到今天，網(wǎng)絡(luò)是最偉大的技術(shù)創(chuàng)新，目前企業(yè)幾乎所有的應(yīng)有系統(tǒng)都基于網(wǎng)絡(luò)進(jìn)行構(gòu)建，從內(nèi)部辦公網(wǎng)到電子商務(wù)、從財務(wù)系統(tǒng)到網(wǎng)上結(jié)算，網(wǎng)絡(luò)也成為保險公司提升服務(wù)質(zhì)量、擴(kuò)寬營銷渠道的一個重要的手段。網(wǎng)絡(luò)的大量應(yīng)用，也帶來了大量的風(fēng)險，例如黑客、病毒等等。

    綜合上面的分析，信息系統(tǒng)的建設(shè)過程、使用過程、以及相關(guān)的環(huán)境因素中都存在著大量的導(dǎo)致?lián)p失的風(fēng)險因素，這些風(fēng)險大多都是信息系統(tǒng)建設(shè)自身的特點所決定的，客觀的講，風(fēng)險不可能完全消除。對待信息系統(tǒng)風(fēng)險，科學(xué)的態(tài)度應(yīng)當(dāng)是怎樣去降低風(fēng)險發(fā)生的概率？怎樣去控制風(fēng)險帶來的損失？如果損失發(fā)生怎樣償付、沖減損失？這三個方面同保險領(lǐng)域中風(fēng)險管理的思路是一致的，是風(fēng)險管理的三個基本面：風(fēng)險防范、損失控制、風(fēng)險融資。

    風(fēng)險防范策略和方法：

    通過上面的分析，信息系統(tǒng)的風(fēng)險客觀長期存在，科學(xué)的方法在于建立有效的風(fēng)險防范、損失控制、風(fēng)險融資的手段。其中，對于信息系統(tǒng)風(fēng)險進(jìn)行融資，手段有限，僅能針對硬件設(shè)備的損失風(fēng)險，例如購買保險、設(shè)備托管等等，對此將不作探討。下面重點從企業(yè)自身工作建設(shè)的角度來討論信息系統(tǒng)風(fēng)險防范、損失控制的方法。

    1、加強信息系統(tǒng)建設(shè)過程的風(fēng)險管理

    企業(yè)的信息化系統(tǒng)建設(shè)，即使是通過采購買入，企業(yè)作為甲方首先要對自己負(fù)責(zé)，需要主動承擔(dān)主持、規(guī)劃、協(xié)調(diào)、監(jiān)控等關(guān)鍵職責(zé)，相應(yīng)的信息系統(tǒng)風(fēng)險管理措施應(yīng)首先從自身進(jìn)行強化。否則，項目最終失敗后，企業(yè)即使從供應(yīng)商處得到補償，也是個兩敗的結(jié)果。

    前面分析了，信息系統(tǒng)的建設(shè)過程本身存在一系列的風(fēng)險，開發(fā)信息系統(tǒng)的過程是決定系統(tǒng)風(fēng)險的關(guān)鍵因素，因此加強管理的措施主要就是建立對活動的評審和審計。

    系統(tǒng)的建設(shè)從立項到最終的投入使用，包含了大量的過程活動，從質(zhì)量監(jiān)控的角度，需求整理、項目采購、項目計劃、系統(tǒng)規(guī)劃、應(yīng)用測試、客戶培訓(xùn)六項工作是管理的重心。信息系統(tǒng)自身的特殊性，不同于傳統(tǒng)的實物產(chǎn)品，可度量性差，其過程表現(xiàn)的是人的行為和思想活動，因此建立工作過程文檔實屬必要，這將構(gòu)成進(jìn)行質(zhì)量管理、控制風(fēng)險的基礎(chǔ)。

    2、加強信息系統(tǒng)存續(xù)階段的風(fēng)險控制

    信息系統(tǒng)猶如一輛汽車，在其使用過程中需要進(jìn)行日常保養(yǎng)（糾錯性維護(hù)），必要時可能還需進(jìn)行改造（改進(jìn)性維護(hù)），以便能夠適應(yīng)業(yè)務(wù)發(fā)展的要求。

    信息系統(tǒng)維護(hù)工作是個很有挑戰(zhàn)性的工作，難點不是某個錯誤多么隱蔽，多么難改，而是在這樣長期的變化環(huán)境中，怎樣保持系統(tǒng)的可靠和穩(wěn)定。在工作中，時常聽到IT人員抱怨某某系統(tǒng)又要改了，業(yè)務(wù)人員抱怨系統(tǒng)改正了老問題又帶來新問題，或者是曾經(jīng)修正了的問題又出現(xiàn)了，這幾乎成了維護(hù)工作的常見病。

    個人在專業(yè)IT公司長期從事軟件產(chǎn)品的管理工作，IT公司軟件產(chǎn)品管理和企業(yè)維護(hù)信息系統(tǒng)的工作面臨的挑戰(zhàn)是相同的，產(chǎn)品管理同樣面臨怎樣保證產(chǎn)品適應(yīng)市場的變化、客戶的需求，同時還要在長期的應(yīng)用中保持穩(wěn)定。要達(dá)到這樣的要求，從本質(zhì)上講，規(guī)劃是根本，但從日常管理上講，完備的配置管理是保障。

    軟件配置管理的目的是在軟件系統(tǒng)的整個生存周期過程中建立和維護(hù)軟件項目產(chǎn)品的完整性和一致性。具體講，涉及三個方面：版本管理、變更管理和過程支持，有效地版本管理要能夠的標(biāo)示系統(tǒng)的變化，變化要可追溯；變更管理要記錄每次變化的原因，或是Bug，或是需求，建立變更和系統(tǒng)版本之間的聯(lián)系，保證系統(tǒng)的變更是受控的。

    3、信息系統(tǒng)建設(shè)中應(yīng)規(guī)劃風(fēng)險控制支持功能

    企業(yè)在引入信息系統(tǒng)時，應(yīng)將信息系統(tǒng)作為一個風(fēng)險源，對業(yè)務(wù)流程規(guī)劃時，應(yīng)考慮其影響，根據(jù)效益原則進(jìn)行風(fēng)險控制。在建設(shè)信息系統(tǒng)時，需明確提出建立必要的風(fēng)險控制措施，或從制度、或從信息系統(tǒng)自身。例如：系統(tǒng)對外報出的數(shù)據(jù)，在報出前完成和原始數(shù)據(jù)的核對；自動處理的業(yè)務(wù)，階段性的進(jìn)行核查。相應(yīng)的信息系統(tǒng)要提供合適的功能支持完成此類工作。

    有了這樣的手段，在各部門崗位中再輔以恰當(dāng)?shù)膷徫宦氊?zé)認(rèn)定，業(yè)務(wù)崗位工作職責(zé)中納入風(fēng)險控制要求，業(yè)務(wù)部門對業(yè)務(wù)執(zhí)行結(jié)果負(fù)責(zé)。信息系統(tǒng)建設(shè)和業(yè)務(wù)部門日常工作之間建立責(zé)任推動機(jī)制，相互配合，相互促進(jìn)，實現(xiàn)信息系統(tǒng)風(fēng)險控制工作的良性發(fā)展。

    4、建立企業(yè)信息安全審計制度

    上面討論的方法僅僅是一些針對性的辦法、措施，上升到整個企業(yè)的高度，依然無法有效地保證企業(yè)的信息安全。因為這些辦法都體現(xiàn)為部門的行為，行為的選擇具有主觀性、靈活性的特征，只有通過企業(yè)的制度建設(shè)來約束行為，才能夠保證行為方向的一致和有效，因此企業(yè)的信息安全保障需要通過建立一套有效的控制制度來實現(xiàn)。

    在制度建設(shè)上，企業(yè)信息系統(tǒng)審計制度是個比較好的選擇，其中就包括了信息安全的審計。企業(yè)可在適當(dāng)?shù)臅r機(jī)，逐步引入審計制度，通過第三方或內(nèi)部獨立的審計機(jī)構(gòu)對企業(yè)的信息安全工作周期性的進(jìn)行審計，出具審計報告，形成對信息安全的客觀評價，根據(jù)評價來指導(dǎo)、監(jiān)督信息安全的建設(shè)。

    這個方面業(yè)界已經(jīng)有了成熟的信息管理審計的標(biāo)準(zhǔn)和方法，影響力比較大主要有COBIT和ISO17799。COBIT是信息系統(tǒng)審計與控制協(xié)會公布的標(biāo)準(zhǔn)，全稱叫“Control Objectives for Information and Related Technology”。COBIT將IT過程、IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來，形成一個三維的體系結(jié)構(gòu)。ISO17799的前身是英國國家標(biāo)準(zhǔn)局制定的BS7799-1《信息安全管理實踐規(guī)范》和BS7799-2《信息安全管理體系規(guī)范》，目的是幫助銀行在組織中建立一個初步的、易于實施和維護(hù)的安全管理框架。后來BS7799-1已被國際標(biāo)準(zhǔn)化組織采納成為ISO17799。該標(biāo)準(zhǔn)包含100多個安全控制措施來幫助組織識別在運作過程中對信息安全有影響的元素。這100多個控制措施被分成10個方面，成為組織實施信息安全管理的實用指南，這10個方面分別是：方針、安全組織、信息分類與控制、人事安全、物理與環(huán)境安全、通信與運營安全、訪問控制、系統(tǒng)開發(fā)與維護(hù)、商務(wù)可持續(xù)運營、法律符合。

    這些相關(guān)標(biāo)準(zhǔn)對系統(tǒng)安全管理分析得比較透徹。個人觀點，全面引入標(biāo)準(zhǔn)在企業(yè)中實施，難度非常大，可行的辦法是：參照標(biāo)準(zhǔn)，基于企業(yè)現(xiàn)狀，又針對性的選擇加強管理的措施，由點及面，逐步推行應(yīng)用。大家有興趣的話，可以學(xué)習(xí)一下。

    總結(jié)：

    信息化是企業(yè)改革的一把利器，可以制敵，同樣也可傷己。企業(yè)在引入信息系統(tǒng)同時，迫切需要加強自身能力的建設(shè)，唯此才可達(dá)到信息化建設(shè)的目的——推動企業(yè)發(fā)展。