信息化风险管理范文

导语：想要提升您的写作水平，创作出令人难忘的文章？我们精心为您整理的13篇信息化风险管理范例，将为您的写作提供有力的支持和灵感！

篇1

风险管理信息化存在的问题

据调查，目前中央企业全面风险管理信息化建设仍处于起步阶段，仅有少数企业建立了独立的整体或专项风险管理信息系统。信息技术在企业各项风险管理工作中的应用仍不充分，无法满足企业对信息收集、风险评估、预警监测、沟通报告等工作的信息化要求，也未能发挥其对提高风险管理效率的促进作用。

笔者认为风险管理信息化之所以开展缓慢，应用不顺，可能与如下因素有关：

首先是定位不够清晰。一部分企业在建立内控或风险管理体系的同时或之后，实施了风险管理信息系统，但是这样一个系统是作为内控或全面风险管理牵头部门的工作信息平台，用于推动企业内控和全面风险管理管理体系运行？还是希望在各专项业务管理中通过风险管理信息化手段评估和管控业务风险？不少企业对于系统的操作主体、应用范围、管理目标往往不够清晰，导致信息系统效能难以发挥。

其次是不能与业务管理融合。有些企业虽然已经构建了风险管理信息系统，但是业务管理和风险管理在信息化应用中几乎没有交集，在信息系统中难以体系集成与信息共享，使得风险管理变成“管理孤岛”。现代企业已经制定了各种各样足够多的规章制度、流程手册、程序文件、工作指南等；还有各种管理体系，包括质量管理、安全管理、六西格玛、全面预算管理、全面风险管理、HSE、内控规范等。理论上讲，不管引入并建立了多少种管理理念和体系，企业都应当将它们整合成一套制度和流程，而企业的员工只要严格按照这套制度和流程中所规定的要求开展工作即可以满足所有管理体系的要求。如果不能发挥风险管理的整合价值，如果不通过IT技术构建统一的信息化应用平台，实现多个体系的整合和管理的融合，就会不断形成“管理体系孤岛”和“信息孤岛”，也就失去了内控和风险管理的价值和意义。

风险管理信息化的原动力

企业风险管理信息化主要应满足以下两个层面的管理需要：

一方面是建立内控和全面风险管理体系的信息化运行平台，帮助企业开展定期的风险评估、日常风险监控改进和内控评价，编制风险管理和内控评价报告，落实公司层面风险的集中管理，实现风险管理体系的运转。这项业务对于大多数企业来讲，与企业其他业务管理相比较，是企业的“新业务”。因此，有必要建立—套信息系统作为落实该业务的工作平台，便于内控和风险管理职能部门或团队更有效地开展公司层面风险管理工作的组织、沟通、协调和报告，解决风险管理工作推动、监督、评价考核；目前市场上绝大多数产品都是为了满足内控和全面风险管理体系的建设和运行而设计的，已经实施风险管理信息化建设的中央企业多数也是应用的此类产品。此外，在构建此类信息系统时，最好结合中国企业的实际情况，尽可能考虑内控和全面风险管理在信息流（包括风险库、指标库、流程库、控制措施等）、管理过程和评价考核等方面的融合。

另一方面就是企业中作为风险管理第一道防线的业务管理部门，需要将风险管理与企业业务管理相融合，使得风险管理充分融入企业的各项日常工作实践，应用风险管理的手段，评估并管控业务中的风险，体现在业务管理的信息化应用中，支持业务管理的有效风险分析和决策支持，这是业务管理部门所必备的工具手段。

这两个方面既体现企业管理的全局与局部，又体现风险管理的集中与分类，构成了企业风险管理信息化的原动力。

风险管理与业务管理信息化的融合

如何体现管理融合是企业信息化建设的重点和难点。如果一个企业有自己的协同办公管理系统，又有一套ERP，企业的各项业务的管理实践如何既能在执行业务流程的同时有效地评估和管控风险，又不出现“管理体系二张皮”的情况呢？显然，一套业务系统、一套风险管理系统的模式难以适应企业管理应用，换句话说，构建一套风险管理系统既作为企业内控和全面风险管理体系的运行平台，又希望承载风险管理与业务管理的融合要求是很困难的。

《指引》第五十八条明确提出：“已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。”

根据《指引》的要求，对于尚未进行业务信息化建设的企业，应该应用内控和风险管理体系作为管理整合的管理依据和基础保障，将风险管理要素嵌入各项管理业务流程，统一设计一套整合的业务管理信息系统，在业务管理实践中开展并重复风险管理的闭环。

而对于已经构建ERP等信息化应用的企业，可以考虑将风险管理要素分解并构造成较细颗粒度且相对独立的“服务”。若企业具备修改、调整原有管理系统条件的，可以在各业务流程的不同环节中“嵌入”所需要的风险管理服务，根据服务运行的结果，决定下一步流程走向，形成“强控制”。比如，可以提供多个定性和定量的风险分析服务以及风险评价和查询服务，用于在各项业务中开展风险评估和动态查询，并在信息系统中根据风险分析和评价结果确定下一步应对策略和操作环节。

篇2

提到企业信息化的风险，大家普遍会联想到病毒、黑客攻击，认为只需要使用杀毒软件、防火墙等安全产品就可以了，但这只是信息化安全方面的风险，是对企业信息化风险的狭义、局限性认识，这种认识暴露出我们长期以来在风险防范、管理意识方面的薄弱。而真正广义的企业信息化风险是指在信息化实施过程中，由于各种因素导致结果与最初的信息化战略目标存在偏差，有偏差即是有风险，不管这种风险是否给企业带来经济损失。我们只有通过合理的方法辨识风险、分析风险、控制风险，找出风险来源，区分风险因素对信息化产生的影响，并且针对不同的风险采取相应的防范与化解的措施，力争将损失和威胁降到最低，才能使企业信息化的效能最大化。

2 企业信息化风险的原因

信息化系统相对于一般的项目而言在管理、技术、时间、资金、实施和维护等方面存在更多的风险因素,但归纳起来主要是三个方面：管理层风险、执行层风险、操作层风险。

2.1 管理层战略风险 俗话说：“站得越高，看得越远”，只有对信息化做出正确、长期、准确的战略发展规划，信息化系统成功的机率、对企业做出的贡献才会越大。首先，需要企业管理层对信息化的价值理解透彻，不能急于求成、盲目跟风，抱着“别人都有，我也要有，要用就用最好的”等错误思想，而要从信息化的实用性、功能性、安全性等方面进行全面统筹和权衡，必须要以支持企业经营管理、提高工作效率为最终目标，可采取分步实施、重点突破、逐步完善的信息化部署战略。其次，企业信息化是对管理观念的一种转变和突破，企业高层必须要理解和接纳这种管理思想，必须要在人力、物力、财力上给予信息化建设高度重视，领导的重视和亲身参与，势必带动各级员工的积极性和参与意识，为信息化项目的实施奠定良好的基础。

但是，不少企业高层管理人员尚未认识到这一点，对信息化的认识和管理理念比较落后，在有些领导看来，信息化只是个面子工程，是个无底洞，需要不断的投入，还不能直接给企业创造经济效益。因此在进行信息化规划时目标不明确，动机不纯，或者干脆没有规划，为以后信息化实施埋下了隐患。比如：某企业2008年花费十几万购买了一套公文流转系统，该系统功能强大，完全能满足企业无纸化办公需要。但是领导长期在外，常年不用电脑,再加上领导无法适应传统的领导圈阅方式一子被电子签名所取代，所以长时间采用公文流转和领导纸质圈阅并行方式。这就是典型的管理层战略风险，管理层观念落后，实施信息化动机不纯，单纯的为上信息化而信息化。最终的结果只能是企业投入了大量资金却并没有提高工作效率，信息化系统形同虚设，无法发挥应有的作用，造成资金浪费。

2.2 执行层风险 有了信息化战略规划，具体执行部门就要根据规划实施信息化项目，在具体实施过程中，可能存在来自于技术落后、资金短缺、管理低下、人才缺乏等方面的风险。

2.2.1 信息化系统选择风险。如今市场上各种信息化软件、硬件产品众多，不同应用平台和开发工具，不同的硬件集成，都将决定企业信息化未来的效益、维护成本和转移成本。一旦系统或设备选型不当，将限制企业信息化的长远发展。因此选择信息化系统时要兼顾功能和技术要求，功能上既满足当前的业务需求，也要考虑未来的业务发展。技术并不是追求越先进越好，而应该选择现阶段技术比较成熟，可升级、兼容更新技术的产品。比如：某国有大型企业2005年耗资上百万在全公司自上而下部署了一套电子档案管理系统，但在使用中发现该系统存在诸如操作不方便，与协同办公平台不兼容等问题，导致系统使用不到半年就夭折了，2010年公司又重新研发了一套全新的电子档案系统。这就是信息化系统选择失败的典型案例，这种情况在现在的企业尤其是国有企业相当普通。

2.2.2 信息化项目管理风险。信息化系统的实施过程是一个复杂而又艰巨的系统工程，在内部，它渗透到企业经营的不同层次、不同部门之中,是一个全员参与的项目，在外部，它要适应信息化的快速发展，与系统提供商的合作沟通等等。在项目实施过程中，如果各部门沟通不顺畅、协同不力；系统实施人员特别是核心人员的流失或中途调动；实施费用严重超出预算等都可能直接影响信息化的实施结果。因此，项目实施领导小组必须要掌好舵、举好旗，严把项目进度、成本、质量关，负责各级部门的组织和沟通协调，确保实施人员的稳定性。

2.3 操作层风险 操作层是指实际应用信息化系统的部门或人员，这是最容易被人忽视，也是最容易产生风险的环节。

2.3.1 业务流程风险。在应用信息化系统之前，企业必须要根据岗位职责对各岗位的业务流程进行完善和优化，使信息化系统与实际业务工作相匹配，否则就会造成系统与实际脱节，形成信息孤岛，无法发挥作用。

2.3.2 基础数据风险。在利用信息化系统进行数据分析的时候，必须要求数据及时、规范、准确、完整，否则得出的分析结果就可能与实际大相径庭。因此，企业要通过一些规章制度来明确和规范数据的内容，通过督导检查、高额奖惩等手段来确保数据的及时性和准确性。

2.3.3 信息安全风险。其一，要尽量确保信息化系统在安全性上不能有漏洞，发现问题要及时与系统供应商沟通解决；其二，购置相应的安全保护软件或硬件设备，帮助减少系统安全风险，提高系统的运行稳定性。其三，要制定和完善系统安全运行规章制度、数据故障应急预案，确保系统出现故障时可以及时处理。

3 企业信息化风险管理的策略

3.1 建立信息化风险管理机构 随着企业信息化的不断推进，信息化在企业中的地位不断凸显，并且成为企业核心竞争力的组成部分。因此，企业应该及时组建企业信息化风险管理机构，它的职能是建立科学的风险分析、评估体系，定期评估信息化风险，监控信息化实施、运行过程，从企业整体利益出发，根据产生风险的性质和特征，选择不同的风险处置方案。设置企业信息化主管（CIO），直接对企业决策层负责。

3.2 建立科学、规范的业务流程 管理手段的落后和管理流程的混乱，是大多数企业的通病，企业信息化关键的一步，就是建立一个科学、规范、先进、适用的工作业务流程，并且要将管理策略和制度融入业务流程之中。“没有规矩，不成方圆”，企业都制定了一大堆管理制度，涉及到企业管理的方方面面，但这些制度或多或少被束之高阁、有名无实。因此，要将这些管理制度和业务策略信息化，用程序化的手段融入业务流程之中，成为业务处理过程中的决策工具，实现业务流程和业务控制策略、企业管理制度一体化的信息化系统。

3.3 营造一个信息化风险管理的环境 信息化是把“双刃剑”，大家既要认识到信息化给企业带来的积极意义，也要认识到信息化失败给企业带来的危害。因此，营造一个信息化风险管理的文化环境是非常重要的，平时要注意培养大家风险管理的意识，并贯彻到日常工作中去。随着信息化的逐渐深入，当信息化己成为日常工作的必须工具，与自己的业务本职工作息息相关的时候,大家就会意识到自己对于风险防范的责任，加之经常培训员工风险管理的方法和措施，企业整体的风险管理能力就会逐步提升。

篇3

湖南中烟工业有限公司随着重组的完成，整个企业的业务运作模式发生了巨大的变化，从原来的单一卷烟厂管理模式转变成集团化管理模式，新的业务模式对企业的信息化建设提出了新的要求，原来卷烟厂的信息化架构已经不能满足集团化的管理要求。同时，公司重组之初。为了保证整个集团日常业务开展，采用了“上移下推”的信息化建设策略，将各卷烟厂中使用效果较好的应用系统拿到中烟层面进行一定的改造后迅速投入使用，依靠应用系统基本支撑起公司日常业务和管理。

一、风险识别

风险识别实际上是一种预测分别。就是确定风险事件及其来源，目的是做到有备无患，当实际风险发生时能有效应对。项目风险的识别是一个非常复杂的过程，尤其风险的范围、种类和严重程度经常容易被主观夸大或缩小，使项目的风险评估分析和处置发生差错，造成不必要的损失。常用的方法包括：调查问卷法；头脑风暴法；理论分析法；专家判断法和经验总结法等等。

根据湖南中烟项目实施经验，项目风险识别可以从客观信息源出发的方法包括：

1.核对表法。核对表一般根据项目环境、产品或技术资料、团队成员的技能或缺陷等风险要素，把经历过的风险事件及来源列成一张核对表。核对表的内容可包括：以前项目成功或失败的原因；项目范围、成本、质量、进度、采购与合同、人力资源与沟通等情况；项目产品或服务说明书；项目管理成员技能；项目可用资源等。项目经理对照核对表，对本项目的潜在风险进行联想相对来说简单易行。这种方法也许揭示风险的绝对量要比别的方法少一些，但是这种方法可以识别其他方法不能发现的某些风险。

2.流程图法。流程图方法首先要建立一个工程项目的总流程图与各分流程图，它们要展示项目实施的全部活动。流程图可用网络图来表示，也可利WBS来表示。它能统一描述项目工作步骤；显示出项目的重点环节；能将实际的流程与想象中的状况进行比较；便于检查工作进展情况。这是一种非常有用的结构化方法，它可以帮助分析和了解项目风险所处的具体环节及各环节之间存在的风险。运用这种方法完成的项目风险识别结果，可以为项目实施中的风险控制提供依据。

3.财务报表法。通过分析资产负债表、营业报表，以及财务记录，项目风险经理就能识别本企业或项目当前的所有财产、责任和人身损失风险。将这些报表和财务预测、经费预算联系起来，风险经理就能发现未来的风险。这是因为，项目或企业的经营活动要么涉及货币。要么涉及项目本身，这些都是风险管理最主要的考虑对象。项目在信息化项目风险因素中。很低、较低、一般、较高、很高表示了对应风险因素发生的严重程度。为了量化项目风险因素，要对湖南中烟项目风险因素表赋值，效益型变量的备选很低、较低、一般、较高、很高，分别赋值0.1、0.3、0.5、0.7、0.9；成本型变量，对应很低、较低、一般、较高、很高分别赋值0.9、0.7、0.5、0.3、0.1。模型中的变量包括：信息化项目风险程度，即产出指标得分的和为被解释变量，项目风险因素量表中的风险因素为解释变量。

二、风险评估

风险评估又称作风险量化，就是比较风险的大小，从而决定是否需要采取相应的应对措施。风险评估的方法很多。归纳起来主要包括以下几种：用风险发生的概率来评估风险发生的可能性；用风险带来的损失来评估风险发生的严重性；用现有的手段能否控制风险的发生来评估风险发生的可控性；用风险影响的地域大小、对象多少等来评估风险影响的范围；用风险发生在项目生命周期的阶段来评估风险发生的时间。

实际项目风险管理过程中，常常用逐项评分的方法来量化风险的大小，即事先确定评分的标准，然后由项目小组一起，对预先识别的项目风险一一打分，然后得出不同风险的大小。

三、风险应对

风险应对就是针对已识别的项目风险制订行动策略，确定执行方案，使信息系统实施能够按照预定的计划执行。常见的处理方法包括：①风险控制法。即主动采取措施避免风险，消灭风险，中和风险或采用紧急方案降低风险。②风险自留。当风险量不大时可以自留风险。③风险转移。

风险应对的方法具体如下：

1.加强制度建设，建立风险管理体系。行业高层管理积极参与并大力支持，组织强有力的实施团队，技术部门、业务部门积极地参与到实施过程当中，及时预防、分析、研究及化解信息化项目实施中潜在的风险，并进行风险管理定期检查，重点关注管理上的死角，及时发现工作中的疏漏和问题，督促采取处理措施。

2.制定合理的风险管理流程，并且贯彻坚持下去。严格执行项目管理中的时间、成本、质量控制等标准流程，能够有助于控制项目风险。

篇4

在我国企业不断发展的背景下，各企业各部门由于考评指标不科学、贷款质量不佳等因素，企业经济效益逐渐下降。新时期，企业要高度重视财务管理信息化的主要问题，提出相应的解决对策，确保企业财务管理信息化制度水平得到有效提高，为我国社会经济的发展作出重要保障。在企业财务管理信息化开展过程中，要完善财务管理信息化机制，转变思想观念，营造更加科学高效的财务管理信息化环境，通过加大对财务人员的科学培训，提高企业财务管理信息化总体效果，真正推动企业财务管理信息化全面发展。

1.企业财务管理信息化的主要不足

1.1市场经营主体观念缺乏财务管理信息化意识

当前我国大多数企业的财务人员存在着专业素养不高、对财务管理信息化知识了解不深的问题[1]。大多数企业经营者将财务管理信息化等同于记账、算账，忽略了财务信息的重要指导性作用，使得企业缺乏科学高效的财务信息指导，致使财务管理信息化工作无法全面开展。企业不够重视财务管理信息化工作，致使财务管理信息化的开展不理想，无法作为独立第三方对企业的经营发展状况进行全面分析，使得财务管理信息化工作无法满足企业发展要求。部分企业没有转变自身的经济管理经验，甚至还没有适应现代社会市场经济体制发展，对财务管理信息化工作的重点不够了解，与市场发展观念不符，导致企业财务管理信息化人员没有对市场发展变化趋势进行有效把握，无法制定科学高效的财务管理信息化政策，导致企业财务管理信息化水平无法全面提高。

1.2财务管理信息化在企业管理中的地位不高

当前很多企业忽视了财务管理信息化的重要作用，在企业财务管理信息化开展时，没有对会计凭证、财务报表等重要事项进行重点处理。对于企业经营管理活动没有准确分析，致使市场的财务资源利用效率不高，使得企业财务管理信息化工作无法发挥应有的作用。目前很多企业都采取集中管理模式，各个层次对经营全面核算，而这种多层次的管理模式，也会使企业的银行网点财务管理信息化无法实现集约化，致使财务管理信息化效率显著降低，在经营管理阶段缺乏必要的分析与判断[2]。部分部门成本开支显著增大，甚至会出现财务管理信息化跑冒滴漏的情况，不利于企业的经济发展。部分企业网点在财务管理信息化工作开展中依然停留在初级阶段，没有严格地对企业的财务管理信息化进行准确划分，在企业财务管理信息化制度发展背景下，成本控制过于简单，对收入与支出也没有进行整个流程的管理，无法实现全覆盖，造成对核算管理不够重视，影响了企业的发展。

1.3财务预算存在许多突出问题

目前，在企业财务预算管理中，由于大都忽视了财务预算编制的科学性和适应性方面的知识，在预算编制中依然对成本费用和经营环节进行控制，造成预算编制的集权体制存在明显漏洞，存在着低估投入或者高估投入等不良情况，还有部分企业预算管理执行效果无法达到预期要求，致使银行忽视了预算执行的有效监控，在预算管理编制中存在明显的形式化问题，最终使得企业投资成本过度浪费，在经济分析中没有起到事前预算的重要作用[3]。

1.4企业信贷风险防范意识不足

目前，大多数企业在开展信贷业务中，由于忽略了对信贷风险的防范控制策略，没有根据市场发展变化情况对信贷信息进行深入调查，使得企业自身的贷款资金利用效率不高，无法确保资金的充足使用。在贷款期限内，如果不把银行贷款返还，只利用法律赋予的强制手段，督促企业归还贷款，会造成企业的信贷风险显著，而且受到经济因素、信贷工作者业务素质和监管因素等多方面影响，企业潜在风险存在极高敏感性，尤其是在风险抵御能力方面比较差，出现大量银行不良贷款记录。我国目前对于信用环境的建设还不够完善，这会对银行信贷风险评估水平造成一定干扰，使得信贷风险问题处理效率无法达到预期要求。

2.完善企业财务管理信息化的主要对策

2.1建立科学高效的大数据财务管理信息化平台

在传统的企业财务管理信息化中，通常以集中控制为主要手段，这样就使得传统的财务管理信息化模式与现代财务管理信息化市场发展相脱节。针对这一情况，必须要积极打造大数据处理平台，通过去中心化来减少集中控制的中心权限，重点对平台数据信息进行充分合理的应用，确保资源利用效率达到全面提高[4]。在平台资源建设中，最主要的就是充分增强对企业信息化建设处理工作，提高数据处理整体效果，保证对表格、流程图等典型模式进行有效的分析与判断，形成良好沟通交流机制，增强信息处置整体水平。还应加大对信息处理的综合效果，确保信息管理现代化建设质量全面提高。工作人员在开展大数据平台建设中，需要运用云计算技术对云端的数据信息进行远程监控，确保企业整体的管理效果大幅度提高，也能够增强对企业信息处理的质量控制，提高信息管理的规范性和安全性，保证对财务信息数据的有效共享。

2.2完善企业财务管理信息化制度

在企业内部要构建强有力的财务监控和预警体系，对财务的经济指标进行合理选择，确保在复杂的经济环境下，也能够对企业财务经济运行各方面的特征进行综合判断，确保企业会计系统的管理效果，还应该对财务银行的经济变量进行预处理，对不同特征经济变量进行全面观察，做好预警机制，对可能出现误差的经济变量进行全面控制，采用数量分析等多种方式对逻辑关系进行准确测量和筛选，保证财务变量作为特征变量。企业信息化建设对内部运行条件的要求较高，企业不能满足相应标准时，信息化管理系统难以顺利实施，因此内部运行必须严格按照规定的系统实施标准[5]。此外，相关人员还需要根据企业的实际情况和金融环境进行金融业务评估和风险评估。企业可以从以下两个方面入手：一方面，由于财务管理信息的普及，许多企业实现了信息管理平台从传统型向最新型的转换，但财务数据既带来了企业管理的便利，也增加了企业财务数据泄露的风险。因此，企业必须注意数据安全，建立更安全有效的保证体系和更严格的财务管理方法，有效地确保企业的信息安全，防止发生信息泄露和非法操作现象。另一方面，推进财务信息管理的基础是建立更加科学合理的安全体系，这就需要企业开展面向财务人员的财务信息安全教育，指导财务部门在安全管理和预防方面做好相关工作。在企业内部定期开展安全培训和教育，持续提高财务信息的可靠性和安全性。

2.3加强内部控制

在企业财务管理信息化的背景下，需要全面提高成本管理控制方法。加大市场营销管理力度，对于企业内部组织进行合理优化，将成本分摊到不同部门和个人，并制定完善的奖惩措施，提高对企业财务资金管理预算的安排效果。在企业建设中，提高财务管理信息化，需要全面落实成本控制，以成本的持续降低来合理提高成本管理的整体效果。我国的企业财务风险管理还要积极借鉴国外的先进经验，对内部控制方面存在的主要问题和不足进行深入探究并制定完善的管理策略，确保企业财务控制的整体效果得到有效增强。此外，企业要尽量加大对风险的防控，目前我国很多企业缺乏足够的风险防范意识，尤其是没有建立完善的信用管理平台，企业管理存在明显的漏洞。加强我国信用评级体系建设，为每一位用户制定合理的信用评级指标，形成完善的数据库，加强对指标的处理效果，增强信用评级的整体水平。财务管理信息化机构可予以协助，一定要由事后管理方面往事先控制方面拓展，正确把握企业重大的经营工作与决策，以业务经营工作重点为着手点，将工作重点由事后处理提至事先谋划方面和预测方面[6]。

2.4加大培训力度，保证财务人员的综合素质显著提高

新时期，我国企业财务管理信息化发展需要大量人才支持，而整个财务管理信息化活动的流动性比较大，对财务人员的综合素质要求更高，通过加大对财务人员的综合素质管理，能够保证整体的专业水平。全面提升财务管理信息化工作是企业财务管理信息化的重要组成，如果财务管理信息化人员自身缺乏财务管理信息化意识，也无法推动财务管理信息化工作的有效开展。相关人员要积极合理地运用用人观念，加强对候选职位人员的全面管理。采取岗前考核机制，提高财务管理信息化的控制效果。要尽量构建完善的考核培训机制，对企业财务管理信息化相关人员进行专业技能培训，让他们加大对财务管理信息化风险的控制，提高自身的责任意识和职业道德，保证财务管理信息化工作的整体效果得到全面提升。

篇5

【中图分类号】G420 【文献标识码】A【论文编号】1009―8097（2009）06―0023―05

以信息化带动现代化，以教育信息化助力教育现代化，促进教育的快速发展，这是我国教育进入新世纪后的一项战略选择。教育信息化促进了教育领域在多个层面发生变革，但同时教育信息化也是一项复杂的系统工程，涉及巨额资金、复杂技术、多方面人才等问题。当前，研究者对教育信息化效益的关注，从侧面反映出教育信息化进程中同时存在着风险。因为风险是与效益紧密联系的两个概念，期待的效益没有出现，就意味着风险发生了作用。作为事物发展的不确定性，风险的概率性发生对计划造成的影响，既始料不及又无从回避。不幸的是，风险往往为人们所忽视[1]，教育领域尤其如此。对教育信息化进程中的风险进行科学分析与合理评估，寻求有效的策略以降低风险、规避风险，充分发挥教育资源的作用，最大限度地提高教育效益，这将构成教育信息化中风险管理研究的主要内容。

一 风险与风险管理

1 风险释义

人们对风险开展研究已逾上千年的历史。风险一词最早被认为来自阿拉伯语risq或者是拉丁语risicum[2]，risq意指任何给予并能从中获益的东西，内含不确定的、有利的结果；risicum原指挑战，呈现于水手面前的暗礁[3] 。也有文献认为，风险这个词来源于古意大利语risicare，意为“害怕”[4]。很显然，风险里面包含意外的不利事件。一个普遍使用的定义是Rowe给出的――风险是事件未料及的负面结果实现的潜能[5]。虽然对风险的解释不同，风险内涵指向却近于一致，风险就是“负面结果出现的机会”[6]，就是“决策或行动过程未经预期的结果”[7]。对风险的词源考证虽是众说纷纭，但文献表明了共同的一点：风险存在于生活的方方面面，人类很早就开始尝试管理风险的可能。

风险与不确定性越来越受到关注，有关它们的研究日渐深入。风险更多时候与不确定性联系在一起，但这并不是说可以将风险与不确定性混同起来，风险与不确定性是两个不同的概念。Norman Schultz认为，不确定性包含了完全不确知的东西；风险则可以通过算得概率进行理解[8]。这与奈特的看法是一致的，不确定性指不可预测的变化及其结果，而风险是可以被计量的[9]。在这个基础上，Schultz的进一步推演便易于理解了：风险通常与不确定性携手而行，但是不确定性并非必然意味着风险，尽管这是少数的情形。生活中经常见到类似的事例。十天后是否下雨，是不确定的事件，除非其它事件与之耦合，否则这一事件的不确定性本身并不意味着风险。另外，不确定性可以是发生于过去、现在和未来中的事件，比如一个人的身世，如果缺少某种合适方式予以记录，便会带有不确定性；风险则通常指向现在或未来发生的各种可能，尤其是负面结果的产生。但通常我们难以将风险与不确定性分离开来，因为无可否认的是，许多情况下不确定性是风险的重要来源。

2 风险管理理论

尽管人们很早就意识到风险的存在，但真正“打破衡量和控制风险的界限”却是几千年后人类进入文艺复兴时期 [10]。概率这一概念的出现，让人们对隐含风险的种种不确定性有了新的认识。概率理论在十七世纪中叶获得迅速发展，并最终演变为一种迄今为止最有力的风险管理工具[11]。概率是通常用以衡量风险发生的可能性的指标，波拉克以概率语言对这种可能性进行了描述[12]，源于统计理论计算获得的描述与通常人们对生活中可能事件及其程度的认识是吻合的。

除了概率以外，可能结果的严重性也应列入风险考虑[13]，这成为风险研究的又一进展。近年来，风险值（涉险值或在险值，Value at Risk，VaR）成为风险管理的标杆，财务金融界最重要的革命性议题[14]。风险值被定义为在正常的市场环境下，给定一定的时间区间和置信水平，某一资产或资产组合可能遭遇到的最大潜在损失[15]。至此，风险被视为概率与结果的函数，可以用下面的公式表示[16][17]:

R=f(P,C) 其中R表示风险，P（Probability）表示不利事件发生的概率，C（Consequence）表示该事件发生的后果。

从消遣性活动赌博（伯恩斯坦认为，赌博是承受风险的本质[18]）开始，人类对风险所开展的研究经历了漫长的过程，相继提出大量可行的风险理论和方法，设计出许多实用的风险管理与评估工具，取得了卓越的研究成果。这些成果被广泛应用于金融、商业、航天、工程规划设计、军事、软件设计等众多领域，为社会创造出难以估量的财富与效益。如今，全球经济快速发展对风险管理提出了新的要求，风险管理理论与方法在不断的实践过程中得到深化。在充满风险与机遇的生产活动中，人类社会必将凭借自身的智慧优势，从风险管理中寻求更多收益。

风险管理在不同领域发挥作用，产生影响，创造效益，已经决定了这一管理思想与方法会被引入更多的领域。因为风险无处不在，凡是风险存在的地方，就是风险管理理论与方法可能发挥作用的地方。只要将风险管理的思想针对性地与领域的实际情况相结合，创造出适合这一领域的管理方法和流程，就有可能完成对该领域风险某种程度的科学管理，实现对这一领域管理在思想与方法上的双重更新，教育领域存在风险，自然也不该例外。在网络信息技术对教育日益产生深刻影响的今天，将风险管理引入教育领域既存在理论的需要，也存在实践的可能。

二 教育信息化风险

我国自1982年开展计算机教育试点，1993年中国科学院高能物理研究所第一个接入互联网，20世纪90年代中期部分地区开始基础教育信息化；2001年我国全面启动教育信息化工作，同年校校通工程启动，信息技术教育课程列入中小学生必修课程。我国的教育信息化起步与同期欧美国家及亚洲发达国家和地区相比，无论是投资经费还是计算机网络信息技术的推广程度都存在明显差距[19]。纵向看来，随着计算机与网络教育应用的普及，尤其是近十年来，我国的教育信息化获得了较快发展。具体表现在四个方面[20]：基础设施建设发展迅速；配套项目进展顺利；信息化教育持续发展；规制建设日趋完善。

虽然在国家相关政策的带动下，教育信息化获得迅速推进，但从总体水平上看，我国的基础教育信息化仍旧处于起步阶段，许多问题尚待解决。比较显著的问题有[21][22]：观念陈旧、师资短缺、发展不均、整合困难、效益低下、资源匮乏、安全隐患、教材泛滥、应用不深。这些问题，有的是由政府的宏观决策带来的，有的是由社会经济发展相对滞后引起的，有的是由思想观念落后造成的，有的则因为旧的制度与习惯不能与信息化教育相适应而产生的等等。问题的根源是多方面的。这些问题，需要政府、教育部门与社会各界合力支持，综合多方面力量逐步解决。

无论是教育信息化已经取得的成绩，还是目前尚未解决的问题，教育信息化从规划到实施与应用，过程中蕴含着诸如决策风险、技术风险、质量风险等。这些风险究其类型、数量而言是既多且杂，风险发生的概率不一样，产生的后果也各不相同。这些风险如得以适当管理，也许产生的问题会少一些，取得的成绩会多一些。令人深思的是，无论是各地教育信息化规划，还是教育信息化的建设、应用与管理过程，对这些风险鲜有缜密的规划与评估管理，各种风险都与技术风险一样，往往以诸如“建立信息安全体系”之类的语句一笔带过，缺少细致的分析与严密的控制。这使得风险几乎处于无人问津的自然存在状态。主观上人为的忽略，客观上风险发生的不确定性，导致这些隐藏的风险对教育信息化的深入开展形成潜在的威胁，影响了人们从教育信息化中获得更多机遇与效益。教育信息化进程中风险的存在，已经事实地关联着我国教育现代化的发展进程。

三 教育信息化中的风险管理

1 教育信息化中开展风险管理的理论可能

在不同历史时期，人们对管理目的有不同的认识。管理目的在于产生最大的利润（1930年以前），最大的利益（20世纪30年代到40年代），追求工作的效率（20世纪40年代以后）[23] ；管理目的在于产生效益，管理要讲究价值化[24]。实际上，尽管在不同时期对管理目的的表述存在差异，管理创造价值一直是管理的核心理念。如何通过有效管理实现价值最大化，这构成了现代管理的研究重点。当常规管理日益显示出自身的局限时，通过技术辅助以弥补其不足是一种可行的方法。绩效技术用于管理过程，以技术的优势优化管理的功能，形成颇有影响的绩效管理理论，应该说对管理实践是一种有力的推动。但这种优化的效果只能表现于一定程度。当常规管理难以为“管理实现价值最大化”创造可能时，原有管理方法与技术的局限便显现出来，需有新的管理理论介入，促成常规管理的升级与完善。

风险管理是管理的较高层次[25]，教育实践中风险现象的存在，同样呼唤风险管理的介入。常规管理走向风险管理是教育管理的可能发展方向。在教育领域中，管理学以其独有的优势与教育相结合，形成教育领域中丰富的特色教育管理门类。教育行政管理学、教育经济管理学、教育信息管理学、体育管理学等已成为与教育相关的各院校的特色专业；教育技术管理学、公共管理学、实验管理学等都以课程的形式在教育类院系中得以开设，经过若干年建设，也表现出良好的发展前景。纵观上述各专业与课程，无不因其独特作用而在教育领域中获得长足发展。风险管理以其独有的功能，用最小的风险投资为企业创造最大价值，“为企业发展营建价值空间”[26]。教育中的决策风险令教育投资回报无力，技术风险令教学秩序遭受破坏，道德风险令教育面临尴尬……既然教育领域也不乏风险存在，教育就不该漠视风险的存在，将风险一如既往地纳入常规教育管理。事实一再证明，以传统的教育管理方法与策略去应对纷繁复杂的风险现象、解决各种风险问题，只会导致风险的频频发生，令教育蒙受损失，让受教育者及其利益相关者承担本可避免的风险后果。

为教育创造最大价值的发展理念呼唤教育中的风险管理。事实上，非但由教育信息化引发的风险，教育中的风险问题都应当由风险管理的思路去解决。做这样的扩展，旨在将教育信息化中开展风险管理的理论依据，放在教育这一大背景中进行考察。教育管理依赖其理论与技术作为实践的支撑，在很长一段时期内，为教育的发展作出了重要贡献。但教育管理面临越来越多现实的局限，这种局限已经对教育的发展产生制约，必须转变其领域范畴，拓展其功能作用。将风险管理作为教育管理高级阶段的组成，是教育管理发展的一种可能转向。图1揭示了教育管理与教育、教育风险管理与信息化教育之间的关系。

教育过程原本并不缺少风险，教育信息化的迅速推进，没有减少风险，反而令风险涌现的速度加快，“各种新技术在教育教学中的应用，一如企业引入的一项新项目，带来收益可能的同时也孕生着风险”[27]。这种变化同时表现在风险的种类和数量两个方面，凸显出研究风险管理的迫切需要。因循守旧并非人们的主观意愿，而是出于对创新缺乏了解。创新不像常规的操作流程，创新意味着风险蕴含其中。应该对风险进行研究、控制和管理，降低其对教育信息化发展的制约性影响。经过经济发展的洗礼，工程领域的应用，风险管理在思想、方法与技术等各方面渐趋成熟，为科学分析教育信息化中的风险现象提供理论基础，以此为突破口，寻找风险成因，提出有效解决方案，开展评估与监控，将风险发生的概率降低至最小，将风险发生后形成的损失降至最低。在教育向信息化教育转型的关键历史时期，存在这样的必要，即由风险管理来担当保障教育信息化扎实推进、为教育管理理论与实践的发展提供创新路径的这一重要角色。

2 教育信息化中开展风险管理的实践可能

（1） 在教育信息化进程中逐渐建立风险意识

当前正是教育信息化发展的开端几年，人们对这一大型的社会化教育工程的认识尚存在多方面不足，由此也引发了各种各样的问题，对教育信息化进程产生了一定的影响[28]。在这一阶段适当地开展风险宣传，强化风险意识，尝试风险管理过程，既有助于增加人们对这项巨型工程复杂性的理解，也有利于这项教育工程效益的提高。

（2） 促进教育信息化进程中风险管理机制的完善

将风险管理落到实处，使得管理方法具体化、管理方案可行化、管理操作日常化，还有待于风险管理制度的完善。风险评估需要领军人物[29]。国外企业推行首席风险官（Chief Risk Officer，CRO）制度，由专门人员对风险进行规划、分析、控制、处理、评估等系列管理过程进行研究，提出风险管理方案，并对方案实施的各个环节进行跟踪评价。我国也有部分管理意识领先的行业在这方面开展了尝试[30]。高等教育领域已经提出并尝试建立首席信息官（Chief Information Officer，CIO）制度[31]，对于学校教育信息化开展、信息安全制度、信息化教育改革的实施起到了保障与促进作用。目前情况下，首席信息官应担当起风险管理的责任，配合教育管理部门一同开展风险管理制度的完善及其它各项起步工作。

（3）推动风险管理知识在教育信息化相关项目中的应用

教育过程中存在各种风险，教育信息化工程中也存在各种风险。在工程的项目管理中应用风险管理的方法，开展风险管理的实践，会为其它教育过程的风险管理起到推广示范作用。实际上，企业的项目管理发展中早就把风险管理作为企业管理的重要组成部分。经过相当长一段时间的发展与检验，企业的风险管理已经积累了丰富的理论知识与实践方法。从学校教育与企业发展两者的相通之处不难看出，风险管理在教育项目管理中运用存在科学基础，在教育信息化进程中以及在教育管理中，推动风险管理知识的应用具备现实的条件。然而，这并不就是说，可以原本地将经济领域使用卓有成效的风险管理方法直接移植到教育管理中。教育的发展有自身独特的规律，教育中的风险当然也不可以套用其它领域的风险管理理论解决。如何选择、整合一套适合于教育领域的风险控制体系，对教育中的风险进行有效的管理与评估，是须要建立在长期的实践探索基础之上。鉴于教育本身的特殊性与复杂性以及人们对教育的认识的现实状态，教育中的风险管理所要走的路，也许比经济或其它领域中风险管理走过的历程更为漫长。

3 教育信息化风险管理的过程实现

教育信息化是通过一系列具体过程实现的，风险管理也体现并落实于教育信息化的规划、建设、管理、应用等具体的过程之中，这种做法一定是渐进的、渗透的，毕竟教育领域人士尚缺少开展风险管理的意识。在适当区域选择部门或机构，进行小范围的风险管理试验应该是可行的。对这些部门或机构所涉及的过程开展如下步骤：1）风险识别；2）风险分析；3）风险控制；4）风险监控与评价。

试验所形成的技术、方法与工具，连同经验与教训都可以成为在类似过程中推广应用的借鉴与依据。事实上，教育信息化中风险管理与其它领域风险管理一样，不可能终止于某一个阶段，而是在过程中不断地循环往复。因为只要过程在持续，风险就会存在，一个风险被处理了，另一个风险已经悄悄生成了。风险总处于动态变化的过程中，因此，风险管理也只能是一个动态循环的过程。

这三个步骤也是一种概括的描述，我们可以将其过程细化为若干个子步骤，并为每一子步骤寻找合适的工具作为技术方面的支持。这样的框架模型实现将涉及到更多现实的操作，我们将另文予以研究。

四 教育风险管理的价值与意义

教育信息化并非教育风险的始作俑者，也不是教育风险形成的唯一因素。然而毫无疑问，作为一项前所未有的工程，教育信息化已经发展成为衍生教育风险的一个重要原因，这是由教育信息化的发展及其在教育中的地位与发挥的作用共同决定的。教育信息化进程中的风险管理研究，表现为如下几方面意义。

首先，为教育信息化进程中的种种风险提供预防机制和解决措施。在教育信息化的规划、建设、管理、应用的一系列过程中，建立与完善风险预防机制，将风险事件发生概率控制于满意水平，或有效地建立风险应对方案，降低其导致的不利后果的影响。这有利于让有限的教育资源更好地发挥作用创造更多价值，增进人们对技术促进教育变革的信心，为教育发展提供助力。

其次，有助于促进教育管理水平与管理效益的双重提高。教育在变化，服务于教育的管理必然要作相应的调整，只有运用增强的技术与方法才能为变革中的教育创造适当的条件，从而有力地保障教育快速稳定地发展。风险管理发端于教育信息化发展的需要，发轫于信息化教育变革转折之际，发展于教育管理产生飞跃之时，在教育管理中获得推广应用，会以自身的成熟理论与方法，促进教育管理水平的改善与教育管理效益的双重提高。

最后，将有力地推动教育管理学的学科发展。在教育信息化迅速发展的今天，风险管理通过介入教育信息化的各个过程，发挥作用，改变人们的管理思想、观念与方法。融入风险管理这样一种全新思维的教育管理理论一旦出现，就有可能促成教育管理学作为一门学科的理论升级，为教育管理学能够在教育中发挥更大作用制造契机。

注：文献[32]从项目的视角对教育信息化中的风险开展了研究，认为风险管理应遵循如下步骤：风险识别、风险分析、风险计划、风险跟踪、风险应对。本文所提出的步骤与其具有内在的一致性。

参考文献

[1] Mohamed Noordin Yusuff.Contemporary approaches to project risk management: assessment & recommendations [OL].省略/text_resources/pdf/IS_Project_Risk_Mgmt.pdf,2007-03-01.>

[2][3][7] Jake Ansell,Frank Wharton. Risk: analysis, assessment and management [M]. Chichester:John Wiley & Sons Ltd, 1992:4,4,5.

[4][10][11][18]彼得.伯恩斯坦.与天为敌――风险探索传奇[M].清华大学出版社,1999:绪言,2,4965,2.

[5] William D. Rowe. An Anatomy of Risk, Florida:Robert E. Krieger Publishing Co.,1988.

[6] Rescher, N. Risk. A Philosophical Introduction to the Theory of Risk Evaluation and Management[M], Boston:University Press of America, 1983.

[8] Norman Schultz. Uncertainty[OL].

[9]唐寿宁.风险、不确定性与秩序[A].北京奥尔多投资研究中心.风险、不确定性与秩序[M].中国财政经济出版社,2001:106.

[12] [美]亨利.N.波拉克.李萍萍译.不确定的科学与不确定的世界[M].上海:上海科技教育出版社,2005:87.

[13][14]周大庆,沈大白,张大成等.风险管理前沿――风险价值理论与应用[M].中国人民大学出版社,2004:4,1.

[15]王乃生,茆诗松.Bayes风险值[J].数量经济技术经济研究,2004,(3):9199.

[16]王维凤,陈小鸿,林航飞,等.崇明越江通道流量预测风险分析[J].2003,(1):4043.

[17]田德录,卢凤君.风险管理要素分析[J].中国农业大学学报,1998,(6):610.

[19]祝智庭.世界各国的教育信息化进程[J].外国教育资料,1999,(2):7980.

[20][21] 祝智庭.中国基础教育信息化进展报告[J].中国电化教育,2003,(9):612.

[22]《信息技术教育》对邓立言、王吉庆、李三立、何克抗、余胜泉、蔡耘、葛柯的采访.纵论教育信息化历程[J].信息技术教育,2004,(12):610.

[23]许激.效率管理现代管理理论的统一[M].经济管理出版社,2004.

[24]刘积仁.建立价值化的知识管理人生[J].软件工程师,2000,(11):4044.

[25]丁元竹.从常规管理走向风险管理[J].望,2003,(28):8.

[26] Enterprise Risk Management Specialty Guide[OL],

[27]谢同祥.风险管理:向教育信息化要效益[J].中小学信息技术教育,2008,(1):53-55.

[28],蒋志诚.基础教育信息化进程中面临的问题及思考[J].电化教育研究,2005,(4):4952.

[29]H.Felix Kloman. Integrated risk assessment[ED/OL].

[30] 建行创设“首席风险官”[OL].

[31]甘永成.高校教育信息化建设呼唤[J].科学学与科学技术管理,2003,(7):7578.

[32]张明,忻瑞婵,周华,等.教育信息化项目建设的风险管理研究[J].中国教育信息化,2007,(1):26-28.

Risk Management: a New Challenge in Pursuing Education Informatization

XIE Tong-xiang1ZHU Zhi-ting2

(1．Huaiyin Teachers College ,Huaian Jiangsu 223000,China;

篇6

中图分类号： TB 文献标识码：A 文章编号：16723198（2014）17017301

1 前言

供电企业在信息化环境下的运营模式由传统方式转向信息化管理，供电企业在享受着运营效率提高的同时，也必然面临着组织结构调整、管理方式、营销模式和信息安全等方面的严峻挑战。此外信息化还使供电企业在原有风险的基础上，增加了因组织变革、管理变革和技术变革所带来的新的风险，这些新风险与原有的风险的交织，将影响到企业的运营管理。

2 供电企业的风险

（1）组织变革产生的风险。供电企业的信息化在推进过程中，因为新的信息技术与传统的企业文化和技术产生日益突出的矛盾而必须进行组织变革，这也是为了平衡的需要。供电企业的组织变革由于涉及到核心的业务、核心的企业文化，甚至是企业员工的个人利益，于是也就必然的产生了风险。供电企业组织变革是企业的结构由金字塔结构发展成扁平化，虽然这样转变能够使信息的交流得到提高，但是也消弱了传统组织结构中中间层的管理功能。企业结构的变革因为涉及到企业的决策层，就需要多方面考虑，不能因为结构变革的失误而阻碍企业的信息化进程。企业结构的变革会一定程度上影响企业的文化，如果处理不当也会给供电企业带来风险。供电企业的信息化过程需要那些具备技术和管理才能的特殊人才，如果供电企业无法自己培养就只能通过招聘方式从外面聘请以维持企业运营，但外聘的人才能否融入企业无法确定。而供电企业花费大量精力自己培养的人才，如果缺少有效激励政策，很容易导致人才流失。

（2）信息技术变革产生的风险。信息技术在日新月异发展的同时所产生的硬件、技术、系统安全和运营及维护风险也使供电企业面临着风险。硬件作为供电企业信息化的骨架更新换代的速度很快，供电企业在进行信息化的时候不仅要满足当前的需要，还要考虑到以后系统升级的需要，但是先进的硬件设备也意味着高昂的成本，也会给供电企业带来风险。此外保证供电企业日常数据的准确安全和系统网络的安全是整个信息化的核心，否则信息化就会失去意义，最终将影响供电企业的日常运营和管理工作。

（3）管理变革产生的风险。供电企业必须在管理方面做出适当变革以适应企业的信息化的需要，在战略层面上决策层对供电企业未来的发展方向、前景的态度决定着企业成败，供电企业对信息化的动机关乎企业的发展高度，而供电企业是否有一个清晰而明确的规划是企业能走多远的关键。从战术层面来看供电企业的具体而细微的各项业务虽不能直接影响到企业的存亡，但仍不容忽视。

3 供电企业的风险管理对策

（1）供电企业对重大风险加强识别和对风险的评估力度。对风险管理关键是通过对风险进行识别，对供电企业信息化环境下的各种影响因素汇总并重新分类，从而筛选出会给企业带来风险的因素，预计会向风险转变的潜在因素。供电企业通过信息化的技术手段对可能造成损失的因素进行密切的跟踪、观测和分析，总结出这些风险因素的变化规律，根据可能带来的损失大小和重要程度并结合风险因素的当前状态进行分析、判断，找出引起风险的原因。

对风险进行评估是供电企业风险管理的一个非常重要的环节，可以为企业的风险程度的判断提供依据，有利于企业的风险决策，能够有效的预防风险的发生和降低其发生的概率，防止风险的接连发生，以免造成更大的损失。

（2）供电企业对重点风险加强管理。信息化环境下供电企业的自动化水平更高，随之而来的就是风险带来的损失也非常巨大，因此供电企业要加强对重点风险的管理。供电企业通过参考历史数据、发挥信息技术的优势、采用高效合理的预测方法对用户的用电量进行测算，解决电力需求产生的风险。随着企业信息化进程的加快，供电企业需要把信息系统的安全性放在重要位置，注重对信息系统的维护和升级，构建一个安全、高效的信息管理系统。提高供电的稳定性和供电质量，加快供电故障的解决的及时性，营造一个良好的供电、用电平台，满足用户的用电需求，提高用户的满意度。

（3）供电企业建立一个完善的风险管理支持系统。供电企业通过从组织结构、企业制度、企业文化和企业的信息系统几个方面构建一个比较完善的风险管理系统。以企业的组织结构为后盾，建立完善的企业管理制度和法律机制，明确相关部门和个人的权责和风险处置流程。企业文化中应树立风险意识，让员工时刻充满危机意识，危机来临时能够从容处理。同时还需要加强培养和建设信息人才队伍，定期进行系统培训，使他们在工作始终能以一种暂新的面貌去投入。除了重视业务能力外，还需要建立和谐充满良性竞争的工作氛围和学习环境，能够保证信息技术人员队伍保持稳定，使他们能够带着愉悦的心情投入工作，提高工作效率。

信息化管理应经成为企业现代管理的趋势，信息化技术在供电企业的推广和应用，提高信息的共享力度，也提高了电力企业职工的工作效率，大大增强了企业的竞争力，同时也使供电企业面临巨大的挑战，如果不能很好的处理，将严重阻碍供电企业的做大做强，因此对风险管理进行分析研究具有重大意义。

篇7

中图分类号：F270.7 文献标识码：A 文章编号：1001-828X（2012）07-0-02

项目有着临时性、独特性和渐近明细性的特点，作为项目的一种，信息系统项目还有着目标不明确、需求变化频繁、智力密集型、项目涉众繁杂等特点，软件行业的信息化项目建设不像某些传统生产制造业那样成熟稳定，项目生命周期内充满着诸多不确定性因素，风险也无处不在，会影响项目的实施过程和建设结果。如何面对和应对项目风险，避免和减少损失、将威胁化为机会，更顺利地实现项目预期目标，必须重视项目风险管理。

笔者于2007年-2010年主持的某市审计局审计信息化建设工程(一期)项目的建设，该项目是某市审计局重点工程，合同总额约2300万，涵盖系统集成、应用系统开发、支撑体系建设等内容，项目建设周期为3年。笔者在担任该项目的项目经理的过程中，负责了项目的整体规划、组织实施和管理控制工作。对信息化项目风险管理的重要性，尤其是要通过制定风险管理计划、及时进行风险识别和分析、制定合理的风险应对计划、并持续进行风险监控等几方面来落实项目风险管理工作以来保障项目总体目标顺利实现有一些心得体会，与同业共享。

此项目是典型的大型信息化项目，系统集成主要任务是搭建审计局办公网络、主机、存储、系统软件、系统安全等系统运行基础环境；应用系统开发包括审计局审计业务、行政办公及门户网站系统的设计开发；支撑体系包括审计信息化标准体系、安全体系、运维体系建设。系统基于J2EE架构，采用面向服务的体系结构(SOA)，结合Web Service技术、XML技术、消息中间件等主流技术，运用工作流、报表管理、内容管理、检索服务、数据交换等成熟组件及第三方产品，实现应用系统构件化开发。经过3年的建设，该项目于2010年初竣工验收，目前系统处于运行维护期，运行情况稳定良好。

对于这样一个建设内容多，建设周期长，涉及范围广的大型电子政务项目，项目实施过程中出现过很多难以预料的困难和问题，笔者作为项目经理，在项目中重点抓住项目风险管理，将理论知识与实践相结合，分别从制定风险管理计划、风险识别和分析、制定合理的风险应对计划、并持续进行风险监控等几方面来落实风险管理工作，保障项目进程顺利开展。通过有效的项目风险管理不仅可以防患未然，把各种不利后果减少到最低程度，还能够争取到一定的商业机会，为业主和公司赢得利益。下面对几项管理工作内容和实践经验分别进行阐述。

一、重视风险管理计划编制，明确风险管理任务，提高风险防范意识

笔者本次参与的项目是某市审计局“十一五规划”的重大工程，局方领导在项目伊始就以“献礼”工程的高度来要求项目建设目标。笔者所在公司高度重视项目顺利实施的各方面保障工作，在项目初期就将项目风险管理计划作为项目总体计划的重要内容加以规范，并指定项目核心成员作为项目风险管理的主要负责人。笔者作为项目经理，与项目主要负责人共同定义了项目风险类别，综合考虑技术、管理、内外部环境等方面的因素，并结合公司多年大型电子政务项目的实施经验，对风险类别进行了细化定义，本项目的风险分解结构，如下所示：

业务方面：业务流程、业务规则、用户等；

应用方面：系统功能、UI交互界面、功能接口等；

数据方面：数据模型、数据存储、数据分布、数据量等；

技术方面：技术路线、支撑平台、构件组件、关键技术、性能、非功能特性、安全等；

项目实施方面：时间、资源、资金、质量、协作、培训等；

环境方面：社会环境、政策法规、市场等；

此项目也通过制定风险管理计划，提高了项目组成员对风险的重视度，加强了风险防范意识。

二、紧抓风险识别与分析，“尽早尽多尽量尽力”发现项目潜在风险

项目建设的风险无处不在，特别是项目建设初期，不确定性最大，主动识别或发现潜在风险显得尤其重要。风险管理并不只是管理者的事情，关系到项目的所有成员。因此，笔者与相关负责人在项目初期，通过召集会议，采用头脑风暴方法，发挥项目组成员的主动性，共同讨论识别风险的来源，收集到了涉及各个层面、各个角度的风险因素，还对公司多位资深行业专家及项目经理进行访谈，使用检查表收集类似项目的历史经验，找出容易导致项目失败的原因。通过多种形式和手段，“尽早尽多尽量尽力”识别了很多风险因素，为后续制定风险应对策略，做好风险防范打好了基础。

本次信息化项目建设要实现推动审计工作模式转变和管理制度创新变革的重要战略目标，因而，在项目范围和软件需求方面存在着很大的风险，对项目需求和项目范围方面的风险控制显得尤其重要，本项目把对范围变化影响等级划分为“低、中、高”等级，以风险概率及影响矩阵来表示，对风险发生的可能性、影响度、定义风险等级进行定性分析。本项目初期需求方面的风险主要表现在用户对新业务模式下的系统功能尚存在探索尝试，与之配套的系统功能需求范围存在不确定性；在系统建设过程中可能存在制度变化引起的业务流程或规则、数据等方面的变化会而带来需求变更、新业务模式没成成功经验可借鉴也会存在技术实现风险等方面。

篇8

中图分类号：TE144 文献标识码： A

引言

随着社会发展的加快和人们对于职业健康安全要求的提升，油田企业在市场竞争日趋激烈和国家油田开采标准日益严格的条件下，油田企业推行HSE管理制度已得到许多企业的认同和落实。HSE管理体系和方法已成为油田企业确保施工安全、健康和环境保护的最主要手段，但是由于油田企业作业的特殊性，目前大多数油田企业还未认识到HSE管理重要性和必要性，也没有建立完善的HSE管理体系及其运行机制，HSE管理还未真正在油田企业得到推广。

1、HSE管理与油气田地面建设

HSE管理体系是企业安全、环境与健康三位一体的现代管理体系。其核心是风险识别及控制。在油田地面建设过程中应用HSE管理体系能够实现对风险的有效管理。把HSE管理体系引入到石油化工企业油气田地面建设工程中具有重要意义。通常情况下油田地面建设包含转接站、油田联合站、气田天然气处理厂以及集气站等工程。油田地面建设过程中还包含道路、输油（气）管线和输变电站等项目。这些项目在施工过程中一旦出现风险就会严重影响到整个工程的施工状况。因此在实际工作过程中需要进行专业的风险管理，而HSE管理体系的引入能够提升企业的风险管理水平，能够实现对企业各种风险的有效控制。HSE管理体系的落实首先需要建立起专门的管理委员会，之后要逐步落实安全生产责任，要把安全生产的责任落实到每一个员工身上，实现谁主管，谁负责。

2、HSE管理系统的新理念与模式

以健康（Health-H）、安全（Safety-S）和环境（Environment-E）三位一体的HSE管理系统，在中国石油化工企业领域，逐渐被认可并推广实施。多年实施结果表明，HSE管理系统在“以人为本、预防为主、全员参与和持续改进”方针指引下，追求零伤害、零污染、零事故，使中石化各企业包括大型地下油库建设施工企业在内的所有单位，在健康、安全和环境管理方面达到国内领先和达到国际先进水平，而HSE管理系统模式一般HSE管理系统模式可由图1来描述；

图1 HSE管理系统模式示意图

2、HSE管理在油田企业的重要性

油田企业施工过程存在的许多危害和事故隐患，要采取有效措施对其进行控制和防范才能确保施工过程安全进行，进而确保油田企业稳定良好发展。而要减小危害影响程度和事故发生概率，施行HSE管理是当前公认的一项有效措施。HSE管理是对安全、健康、环境保护综合一体的系统管理方法，是油田企业普遍认可和验证的管理模式，它主要通过危险源识别、风险评价、控制措施落实、应急救援等手段把现场风险降到最低，以达到减少人员油田企业酸化压裂施工过程中大多数工艺阶段都处于高压作业阶段，存在许许多多危险因素和意外安全隐患，如何有效识别伤亡、身体损坏、环境污染的目的。制这些危害因素，如何采取有效的保护措施，降低风险降到最低，是HSE工作在酸化压裂施工管理中的重点。实施HSE管理不仅可以降低酸化压裂施工的事故发生概率，保护人员健康和环境，也是油田企业扩大和国家可持续发展的要求。

3、HSE管理信息系统的构建

随着信息化技术的快速发展，信息技术的应用范围也越来越广。在油田地面建设过程中为了实现对各种风险的有效控制需要加强HSE管理信息系统建设。这一管理系统的构建是时展的必然要求。HSE管理信息系统通常是由基础资料管理、事故风险防范、监督管理、装置管理等子系统构成，每个子系统承担着不同的功能。监督管理系统是其中最为重要的子系统，其主要功能是实现行为安全管理、监督检查、环保管理及隐患管理。行为安全管理是其中的主要内容，行为安全管理就是要对油田地面建设过程中那些不符合规范的行为进行针对性的管理，同时还要对不安全因素有针对性地进行处理。行为管理能够有效减少人为因素产生的风险。装置管理同样非常重要。油田地面建设过程中涉及的装置和设备非常多。装置管理分成4个模块：风险选项、装置基本工艺介绍、风险管理检修以及应急反应。这4个模块的构建有助于全面了解建设过程中涉及的装置。事故风险防范是信息系统的重要内容。油田地面建设过程中会遇到各种各样的风险，这些风险一旦爆发就会给整个工程带来意想不到的后果。因而在实际工作过程中需要做好事故风险的防范措施。这个子系统通常由变更与应急管理、防患治理与风险评价以及事故预防与处理措施制定等三方面措施组成。

4、油田地面建设风险管理的要点

4.1、油田地面工程项目风险评估

油田地面工程项目的施工风险隐藏在工程施工的各个阶段之中，而且，油田地面工程项目的顺利实施受到多种因素的影响。所以，对油田地面工程项目进行风险评估工作是极其必要的。在实践过程中发现，油田地面工程项目的风险发生概率较高，且通常都是随机发生，如果管理不善，就会对公共财产及人们的生命造成威胁。基于此，进行适当的风险评估工作能够有效避免损失发生。油

4.2、风险识别

从保障油田地面工程项目安全性的角度来对其潜在的风险进行判断，从而找出干扰油田地面建设工程项目施工的目标达成的风险因素，并且，能够分析出每种风险可能对油田地面工程项目施工造成的影响，这便是风险评估体系中风险识别的意义。

4.3、风险评估

通过第一阶段的风险识别过程，将收集到的油田地面工程项目施工过程中所可能发生的风险信息集中起来，进行甄别与分析，进而估算出风险发生的概率及可能造成的损失情况。这一评估过程较为复杂，而且需要借助科学化的管理手段来执行。

4.4、风险应对

在油田地面工程项目的现场施工过程中，即便是做足的准备，也难免会发生一些不可预估的风险情况，所以项目的整体风险评估方案要有风险应对的部分内容，并对已经发生的风险进行适当转移与消化，进而保障工程施工环节的有序进行。4.风险监控对于油田地面工程的施工过程而言，风险监控贯穿在整个施工环节，每一环节的落实都不能缺少风险监控。风险监控最重要的职能作用就是，一旦发生风险问题，就必须进行及时处理，进而将风险所带来的损失降低到最小。

4.5、完善地面工程基础安全保障措施

从油田地面工程系统的实施情况来看，完善地面工程基础安全保障工作是极为重要的防范风险措施，而且，需要循序渐进来落实，一步一步将项目的风险隐患禁锢在可控范围之内。对于施工过程而言，要尽量采用新技术、新工艺、新设备来进行施工，不仅可以体现出现代工艺技术水平的先进性，还能有效降低能耗，保障施工安全。

4.6、加强风险评估管理的力度

对于油田地面工程项目的施工过程而言，很多风险都来自于风险评估环节的疏漏与管理执行不善，给油田地面工程项目的施工带来诸多麻烦，进而影响到整个油田开发的效益。所以，需要项目负责人构建合理的风险评估机制，提高对于风险管理环节的重视程度。在具体的执行过程中，可以构建独立的风险评估管理部门，落实每个管理者的责任，而同时，总的项目负责人负责风险评估内容的统筹管理工作。该项目团队可以在钻井技术、采油技术、设计管理、生产以及基建技术管理方面于一体的全方位、协调项目的运行，确保项目顺利完成。其中，油田地面工程的施工质量最为重要。

5、结语

油田地面建设工程HSE风险管理体系的建设是一项非常重要的工作，本文重点分析了该信息系统主要的子系统以及风险管理的要点。

参考文献

[1]朱文利.油田地面建设信息化系统的设计与实现[D].电子科技大学，2013.

篇9

1.ERP系统背景介绍

ERP通过将企业的各方面资源进行科学地计划、管理和控制，为企业加强财务管理、提高资金运营水平、建立高效率供应链、减少库存、提高生产效率、降低成本、提高客户服务水平等方面提供一种管理手段。ERP系统能够系统、实时地提供与各项业务相关的数据，包括以前难以及时获取的数据，向领导和管理层提供企业经营状况信息，反映企业的盈利水平和各项业务活动情况。所有业务处理和活动通过统一的数据库进行及时更新，以改善用户存取、提高业务信息质量、减少数据校验和重复加工处理。

2.ERP实施形成业务风险与其内部控制

2.1ERP实施形成新业务风险

ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成，实现了跨职能部门业务处理。在这种情况下，ERP系统中单一的数据库，使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是，用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时，企业过去基于文件审批的内部控制机制，也无法适应ERP基于流程的管理需要。更重要的是，由于企业的业务运作更加依赖于ERP系统，这种依赖和信息系统本身特点所导致的脆弱性，形成了企业新的业务风险。

2.2ERP环境下风险管理

2.2.1制定内部控制目标

利用风险评估手段重新确定企业中关键的业务流程；

对整个流程和控制的设计进行评估，确定这些控制是否很好地满足和支持最终业务目标的实现；

对岗位职责分离的评估，确保在整个流程中存在正确的稽核点和平衡点，对敏感业务交易给出足够的访问限制；

评估控制方式是否合理，比如基于手工流程的控制和基于系统的自动控制是否搭配合理。

2.2.2确定评估范围

ERP系统的控制评估必须基于风险管理的原则，通过风险评估寻找对主要业务运作中影响最大的领域。可以通过访谈等，确定评估范围。

2.2.3评估控制方案

基于ERP系统的控制，是由软件来完成的，通过控制数据的有效性和合理性来限制和核查动作的合法性。ERP系统的参数设置将决定这个领域的控制级别。这些控制包括用户访问、字段验证、工作流和许多其他用于确保数据处理一致性的控制。例如，系统会自动拒绝生成一张与前一次序号相同的发票。这样就自动降低了差错发生的可能性和应付帐款处理的混乱。值得注意的是，在ERP系统实施过程中，某些二次开发工作会削弱在系统中已经设置好的控制，从而产生新的风险因子。针对产生新的风险因子，必须要用手工控制来弥补。

3.ERP环境下企业风险管理审计的主要内容

企业风险管理审计就是要对企业风险管理过程及其内容的适当性和有效性进行审查和评价，并提出改进建议。在ERP环境下，要重点考虑对以下几方面进行审计。

3.1对风险管理机制的审计。

对ERP环境下企业风险管理的审计，首先必须对风险管理机制进行审计，审查企业及其下属单位是否建立了风险管理机制，风险的识别、评价和应对机制的适应性和有效性如何，实际运行情况怎样，是否有利于企业管理的持续改善等。在审计中，我们还应当专门对业务流程、关键控制点、系统监控等方面的风险管理机制进行重点审计。

3.2对业务流程的审计。

对业务流程的风险管理审计大体包括以下几个方面：应该在系统中运行的业务是否全部通过系统运行；信息是否及时录入系统；录入的信息是否真实、准确；系统运行是否正确，有无系统错误；流程是否通畅，有无缺陷或舞弊的可能，能否进行进一步的优化；识别、评价和应对流程风险的效果如何等。

3.3对关键控制点的审计。

ERP系统是由采购、仓储、生产、销售、财务、设备管理、人力资源等多个模块高度集成起来的，每一模块都有相应的关键控制点，对企业的生产经营起着至关重要的作用。因此，对关键控制点的风险管理审计应作为审计的重点。审计时要主要关注以下问题：是否对关键控制点进行了识别，识别是否全面；是否建立了关键控制点的风险评价体系；是否建立了关键控制点的预警机制和应对机制；关键控制点的识别、评价、预警和应对机制的适应性和有效性如何；控制方法和手段是否可进一步优化；有无控制不严或失控的现象和可能等。

3.4对系统监控的审计。

对系统监控的风险管理进行审计，审查和评价企业及其下属单位是否利用ERP系统进行了业务和绩效的动态监控、监控点及其风险如何识别和评价、监控的权威性及其效果如何、发现问题的处理方式以及应对风险的效果如何、有无监控盲区或监控不力的区域、监控结果的利用情况如何等。

3.5对信息系统的审计。

从系统本身来说，无论是硬件还是软件，都有产生故障的可能，软件功能的完备与否也是系统运行的风险之一，ERP系统与其他系统的连接则是影响系统运行的关键因素。要保证ERP系统的正常运行，降低经营风险，对ERP系统以及与其相联接的其他信息系统的风险管理与审计也是必不可少的，这包括对系统的开发与设计、软件的程序、系统的控制、功能的划分、硬件的架构、备份模式及效果、故障处理方案及风险应对措施、系统风险识别与评价体系等进行审计。

4. ERP环境下企业风险管理审计的主要对策

在ERP环境下，审计人员应该适应环境的变化，根据ERP环境的特点和要求，利用先进的信息技术手段，开拓思路，积极探讨审计对策。

4.1充分利用系统数据集成的优势

ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成，实现了跨职能部门的业务处理。在这种系统数据高度集成的条件下，效益审计的审计线索来源单一、清晰明了，杜绝了多个数据源数据不一致的现象，审计人员不需要再从多个系统获取数据，而是仅由一个系统就能得到所有数据。

4.2加强对内部控制风险的评估，完善内部控制体系

企业经营活动及内部控制中依然存在重大差异或缺陷的可能性。如ERP系统各职能岗位职责是否分离，权限范围设置是否合理，有些控制既可以选择人工控制，也可以选择由系统来控制，这些控制是否得到始终如一的执行，控制的标准是否前后保持一致。这些都会影响控制的效果，甚至产生重大差异。因此，必须对ERP环境下的内部控制体系进行测试和评估，对内部控制风险进行正确评价，进一步完善内部控制体系。

4.3注重对参数设置的审计

ERP系统有很多参数，这些参数既影响内部控制的效果，又影响财务数据的准确性和一致性，特别是集成财务数据，除了要从数据源头控制数据的正确性之外，还应该关注中间环节中的财务集成参数的设置，以确保集成财务数据的有效性。因此，系统的参数设置是审计的一个重点，要检查系统参数的设置是否符合企业的实际情况和行业特点，系统参数的设置是否符合一贯性、有效性，是否存在随意改变参数设置的情况。

4.4提高审计人员对ERP系统的应用能力

ERP系统功能强大，业务模块众多，必须熟悉ERP系统，才能更好地开展效益审计。这就需要审计人员加强对ERP系统的学习，最好是从ERP系统实施开始就有审计人员参与项目，实践证明，参与ERP项目实施的人员往往是对ERP系统掌握程度最高的一批人。并且，学习不能仅仅局限于财务模块，还要熟悉其他模块的内容，如物料管理、销售分销、人力资源、系统管理等。只有这样，在ERP环境下，审计人员才能更大限度地开展效益审计。

5.结论

综上所述，随着ERP系统的实施，企业的经营管理模式和业务流程以及相应的内部控制发生了重大改变，这促使了内部审计的工作发生了本质的变革。因此，内部审计人员应主动参与ERP系统的实施与应用等进程，熟悉ERP系统各个模块的功能与应用，充分利用ERP系统各模块的集成性以及系统对流程和业务的动态监控功能，对优化后的流程进行内部控制风险评估，加强完善内部控制体系，以促进公司ERP的有效应用，提高公司的全面风险管理能力。

参考文献:

[1] 杨律青；《基于SAP的ERP项目风险管理》；数字石油和化工； 2007年1期；95-98

[2] 梁伦腾；《ERP环境下企业的风险管理审计》；涟钢科技与管理；2005(4)；58

篇10

1.风险管理在信息化建设中系统开发的必要性

在经济飞速发展，环境纷繁复杂的今天，为提升企业管理水平，带动企业各项创新能力的提高，各大型企业都在投入大量的人力、物力、财力来进行自己的信息化建设。一个高效可靠的信息化系统不但能够提升管理水平和竞争力，同时也可以把先进的管理思想落实到具体的生产经营管理过程中，带来企业的组织结构创新、流程优化和管理变革。信息化建设的目的就是固化企业规范，提高管理水平，提升工作效率。在信息化建设中存在大量的系统开发工作，在系统开发过程中往往遇到开发进度与预算、系统应用与预期目标之间的矛盾问题。因此，在企业信息化建设中对系统开发项目实施风险管理就显得尤为重要。

2.风险管理在企业信息化系统开发中的应用分析

所谓风险管理即指如何在一个存在风险的环境里将风险降低到最小的管理过程，风险管理是一个过程。风险管理的内容包括风险识别、风险衡量和风险处理。风险管理就是不断地将可能引起风险的因素排队、优化，排除或降低风险因素，使其引起的损失最小，用最小的资源来化解最大的危机。文中对企业信息化建设中系统开发的四种风险管理进行分析。

2.1系统建设需求分析阶段的风险

系统开发是建立在需求部门的需求之上，需求分析是系统开发的基础，需求分析的准确与否，将直接关系到系统上线后能否满足需求部门使用需要。为降低风险，需求分析阶段必须做好以下工作。首先是需求调研摸底的全面性，在此阶段要面向使用者特别是管理层了解其要达到的预期目标，在只言片语中寻找、总结、提炼出要素。第二是勤于交流，在摸底调研的基础上拿出初步方案后，再与需求部门进行交流，改进流程和方案，此项工作要反复多次，直至达到认识上的统一。第三要注意需求的变化，因受固有工作习惯和思维方式的影响，经常会遇到需求部门需求变化的情况，在需求调研的初期阶段往往会出现需求变化，甚至前期需求。因此为规避风险必须充分考虑需求变化的因素。

2.2企业流程再造的风险

企业信息化是企业提高工作效率、降低运营成本的手段，是运用信息化技术对企业进行全面、系统和科学的管理。系统的开发建设打破了企业固有的观念和传统的管理方法。目前许多企业在观念上、内部组织结构和管理流程上，都有许多不适应信息化建设要求的地方，成为企业推进信息化建设的制约因素。因此，企业信息化建设必然会对原有的规章制度、观念、管理方式进行改变，对流程进行再造，否则，信息化管理难以推进。在流程再造过程中必然要受到来自各方面的阻碍，所以在流程再造的过程中一定要有企业决策层参与，流程再造必须得到管理层的认同，否则流程再造的风险极大，造成开发阶段出现系统大范围的修改和大量重复性工作产生，既影响项目开发的进度又浪费了资源。

2.3一体化平台建设的风险

大部分企业开始建设办公、财务、营销、人力资源系统始于上世纪90年代末至本世纪初期，由于受到当时信息技术和管理模式的制约，一般来说上述系统都为独立运行的系统，各系统间无法实现横向的数据共享，导致产生许多“信息孤岛”、“信息烟囱”的现象，数据难以实现集中管理。同时由于信息系统的分散及系统缺乏集成也造成资源的极大浪费。

因此，企业在信息化建设中自然而然地要遇到将诸多已经独立运行的系统进行整合即“一体化平台”建设的问题，门户系统建设是实现用户单点登录，通过门户系统实现各个应用系统的数据集成，使用户在查看其关注的数据和内容变为可能，并更加方便和快捷。由于涉及到多系统的整合并实现数据横向互通，就必然会为平台门户建设带来很大的开发风险，

为了减少开发风险，就要采取措施来减少风险发生的因素，主要从以下几个方面入手。首先，充分了解已经运行的各系统的架构和数据结构，弄清用户数据现状，找出用户数据的“基准”，将其它系统的用户数据均由“基准”中同步，实现统一用户数据。其二，选用适合的开发工具，构建合理、科学的门户架构。其三，统一授权。一部分内容可以通过控制列表（ACL）策略进行授权。对于需要认证后才能访问的内容，首先对用户能够访问的Dortlet进行授权，访问权限相同的用户进行分组，避免大用户数的授权。不同的用户只能浏览和使用该权限的数据业务内容。

2.4数据中心建设的风险

数据中心是企业的业务系统与数据资源进行集中、集成、共享、分析的场地、工具等的有机组合。许多企业在信息化建设初期不重视数据管理，没有对数据中心进行统筹规划，导致企业的数据都分布在不同的信息系统中，海量数据难以整合，并生成合理的数据报表，难以对企业的决策提供数据支撑。因此，对数据中心建设的风险管理尤为重要，主要从一下几个方面入手。第一，建立企业整体数据模型，实现统一数据元素标准和信息编码。通过对数据的规范化定义，保证数据的唯一性、准确性、完整性和实效性，实现数据的共享共用，解决数据层面的孤岛问题。第二，完善数据体系。第三建设企业统一的开放数据模式（ODS），充分共享各系统软硬件资源。第四，管理并制定信息资源的建设、管理标准，规范各子系统建设，第五，建立统一的安全防护体系，保证数据及子系统的访问安全。

3.总结

篇11

前言：

从客观性的角度来讲，信息化项目监理在一定程度上决定了公路建设的成功与否，也对工程产生了深刻的影响。虽然我国在不断建设信息化的风险评估模式，试图将公路建设过程变得更加完善。但由于建设时间过短，缺少相关的具体实践，在内容上还是存在着一些弊端。所以，若想要将整体工作变得相对健全，要信息化技术与当前的管理模式结合到一起，以保障风险管理的全面性。

一、公路交通信息化项目监理的风险管理

（一）项目风险管理

首先，了解项目风险管理的含义是必不可少的。它是指以公路建设项目为目标，将其中的各类风险进行分类，以主动识别的方式对项目的全过程进行评估，通过监控等手段，最终达到降低或者是消除风险的目的。如图一所示，该图是项目风险管理结构图。从图中我们可以看出，公路项目风险管理的过程是

非常严谨的。它首先要建立一个项目风险的控制体系，通过风险的相关等级对项目进行识别，进而达到全面性评价的目的[1]。

（二）信息化项目风险管理

信息化项目风险管理主要分为两大部分，分别是评估风险和控制风险。这两方面同等重要。为了使信息化过程建立的更加完善，我们可以在这两类结构中进行细化，在评估风险方面细化为识别、分类、排序三个过程。在控制风险下面分为整合、归类、应对风险、解决风险、整合体系几个方面。这样，一个完善的信息评估方式就形成了。信息化风险管理是将先进的技术手段与目前公路建设方式相结合的一种有效措施，有利于减少建设过程中的一系列问题，将风险扼杀在无形之中[2]。

二、公路交通信息化项目监理风险管理内容

（一）制定风险管理计划

交通信息化项目监理的风险管理内容包括几个方面，其中对风险计划的制定是必不可少的。第一，要根据公路建设的实际情况将管理范围进行锁定。在明确范围的前提下作出具体化的方针政策。由于风险的类型分为不同种，所以制定人员要根据等级进行详细的说明，说明的内容主要包括识别风险的过程、控制风险的过程以及如何对消除风险。另外，在对等级进行制定时，不能是相关人员单方面的商议，应该与利益相关者进行沟通，以确保整个过程的稳定性。第二，对风险的大纲进行制定。大纲的主要内容包括执行风险中所会出现的突况、执行人员操作过程的细节、组织单位内实施人员的任务划分、风险控制的时间与费用[3]。

（二）风险识别措施

识别风险是评估过程中一个非常重要的步骤，也是公路稳定发展的首要前提。风险识别的方式主要分为以下几步：第一，按照国家所规定的相关政策、评估方式、管理体系进行相关活动的制定。将制定的内容以电子文档的形式进行记录，在整体化过程中进行风险识别。最重要的是，电子文档形成后应该打印出来，交由国家相关部门的管理者签字，最后执行。第二，将国家规定的具体标准按照类别的不同进行划分，将其作为理论任务下发到各部门，使部门的每位员工都能够仔细阅读，进而作为风险识别的基础。第三，将识别过后的风险交由监理议事部门进行仔细的讨论，将风险中存在的每一细节都进行分析，小组成员中制定出一个相关的风险专题报告，将报告通知到每位业主，进行相关的预警工作。第四，风险识别不是一蹴而就的，它需要反复的审核、推敲才能够完成。所以，识别人员要在发现新问题的基础上进行方式创新，在反复推敲计划的同时对管理方针进行研究，以达到发现问题，及时解决的目的[4]。

（三） 风险控制措施

以招标阶段的风险控制方法为例，探讨其具体化措施。第一，在风险质量方面，监理人员要按照投标书的具体计划目标对业务进行分配。以等级制定的方式评估投资方的品质。第二，风险投资方面，在风险范围内做出相关性计划，对整体费用进行重新规划，运用第三方测评系统扩大服务质量，提升服务渠道。第三，就相关合同方面，操作者要将投资方、建设方的任务加以明确，将质量、工程变更要求都制定信息任务等级，在加密的状态下运维和发展。第四，安全风险评估方面。在此方面，信息化系统结构性约束是非常重要的。主要是按照招标的详细要求对安全系统进行测评，对公路场地的相关环境进行整理。例如：对机房的消防装置进行定期查看，在擦拭机房地板的同时要注意将一些线路接口部分避免，以防止安全事故的出现[5]。

结论：综上所述，基于公路交通的信息化项目监理风险评估模式是适合时展的新方法。在公路交通的信息化风险测评过程中，监理单位对风险预案的制定、风险类别的识别、风险设计过程与结构的调整都是必不可少的。只有在明确风险的前提下，才能够将风险控制进行有效控制，规避其中的不良因素，实现信息化项目评估的全面发展。

参考文献：

[1]陈剑伟.公路建设项目工程环境监理及其决策支持系统研究[D].中南大学，2007.

[2]李俊松.基于影响分区的大型基坑近接建筑物施工安全风险管理研究[D].西南交通大学，2012.

[3]石少帅.深长隧道充填型致灾构造渗透失稳突涌水机理与风险控制及工程应用[D].山东大学，2014.

[4]李松真.公路施工期滑坡、土壤环境风险评价及评价系统研究[D].中南大学，2008.

篇12

【关键词】 医疗风险;信息化;管理

【Abstract】 Nowadays informationbased construction is being popularized， thus， how a hospital makes use of an existing informationbased condition to preventively control medical risk has become a developing direction of informationbased hospital construction and a research direction of medical risk management. This study explored the technically supportive condition of informationbased construction in the medical risk management in a hospital. From the management platform of risk information， we also designed the operational process of putting forward information integration and search， risk valuation and priorwarning， decision support and maintenance.

【Key words】 medical risk; informationbased construction; management

随着信息技术在医疗行业应用的不断深入，利用网络及数字技术有机整合医院业务信息和管理信息来实现医院内部资源有效利用和业务流程最大优化的数字化医院已成为我国医疗信息化发展的方向，并取得了长足的进步。但是，面对当今激烈的市场竞争，以及在门诊、住院、出院等环节和诊断、治疗、康复等行为的全过程中时刻面临着的医疗风险，医院管理者必须树立风险管理理念，研究当前医院所面临的新形势，借助开展信息化建设来科学地预测和处理医疗风险，达到维护医患双方共同利益的最终目标。

1 研究背景

信息化建设是现代化医院的基础[1]。我国医院信息化经历了20余年的发展，已初具规模并取得了长足的进步。有关数据表明：90%以上的大中型医院已经实现了科室的信息化管理，40%的大中型医院正在建设全院的管理信息系统、打造数字化医院[2]。据资料显示，全国有20家医院首批成为了数字化试点示范医院。

近年来，医院信息化建设正在从"三级"大医院向基层医院推进，并拟投入30亿元成立利用数字化改善基层医院落后现状的"中国千家农村医院数字化扶持工程"。但是，医疗事故和医疗差错呈现出逐年上升的趋势，根据2005年中华医院管理学会调查统计：三级甲等医院平均每年每家发生医疗纠纷中要求赔偿的有100例左右，到法院诉讼的有20～30例左右，而赔偿数额一年达100万左右。此外，目前在风险管理上还没有业内公认的、完善的、全国性的医疗风险监控网络信息体系、数据库或调控系统，因此也难以及时准确地对医疗风险程度进行评估，更无法实现通过相应的预警机制预警信号[3]。

因此，我们应加强对医院的信息化建设，试图通过打造数字化医院来加强医疗风险的监控管理，形成集数字化的管理、医疗、服务为一体的现代医院经营管理模式，并及时准确地收集、传递、存储各种风险信息，做好各部门的沟通反馈和协调合作，从而来维持医院的经营稳定，提高医院的工作效率和经济效益，减少因医疗风险所致的所有损失，同时还助于减少医务人员对医疗风险的恐惧与忧虑，为医院管理者制定工作计划或决策提供重要依据[4]。

2 技术支持

数字化医院的信息系统主要由两大部分组成，即以医院管理业务为核心的医院管理信息系统和以临床医疗为核心的临床信息系统。医院信息管理系统，是医院信息化建设的重要组成部分，包括门诊、住院病房、药品、检查、器材等管理分系统，且部分医院建成了覆盖全院的影像存档与传输系统(PACS)、检验信息系统(LIS)、合理用药监测系统(PASS)以及医疗质控网络化和综合管理查询系统等临床信息系统[5]。同时，正在兴起的电子病历系统是以病人为中心的，整合了管理信息系统数据和临床信息系统数据的，反映患者医疗信息的诊疗系统。

在硬件支持上，目前大部分医院拥有较先进、小到科室和个人的计算机设备，并建有成千上万个终端信息点的网络系统，配有防雷击、防停电设施。同时，大中型医院还拥有各类大型数字化设备，包括多种类型的CT、MRI、全自动生化分析仪等先进的检查设备，均有完备的标准化数据传输接口，确保实现风险管理的信息化。另外，从有些医院的经济实力来看，有能力完成对硬件和软件系统的升级或改造。

3 平台设计

根据医院的信息化建设需要和总体规划，在已组建信息化领导小组和机构部门的基础上，我们应增加对医疗风险信息化管理模块，设置专职机构和人员与制定相应的管理制度。并结合医疗风险的自身特点和管理流程，自主开发医疗风险管理信息平台，集成和监测医院信息系统的数据，通过查询并分析评估可能存在的风险，并及时按层次级别发出风险警报和提供可供参考的处理对策(见图1)。

3.1 信息集成与查询

医院业务种类繁多，信息类型复杂。既有特有的各类医疗业务，也有常见的人、财、物的管理。所涉及的信息，有结构化的文字、自由文本，还有图形、图像等多媒体信息。而风险管理首先必须完成对医疗风险的识别，也就是从大量的信息中识别出医疗风险的类别、根源及影响。其中完成大量信息的集成是整个医疗风险信息化管理的第一步。以往这些主要信息来源于自我发现、他人提醒、内部检查和上级监督等。如今，我们可以通过组建风险管理信息平台对医疗、护理、经费、药品、物资及科研、教学等活动中的所有信息进行分散收集、统一管理，也通过综合管理查询系统了解单个病人的诊治信息和工作人员业务信息，从而快速、准确地实现对信息的数字化采集和查询。

3.2 风险评估与报警

医疗过程专业性强，对信息的分析处理工具的需求具有专业化、知识化、智能化的特点。在信息集成的基础上，我们可利用信息技术的快速、准确、便捷的特点，根据医院的工作要求和病历的书写规定，开发一套能衡量和评估各类潜在医疗风险发生的概率及其潜在损失程度的风险分析处理软件和风险预警信息系统，设想将医疗风险监测的指标输入到信息系统中，确认这些指标的数据处理模型和预警界线值。同时，根据定性分析和事实，剖析问题的性质与发生根源，确认风险性质;根据定量分析和描述，对风险危害程度进行重要性排序，确认风险等级，最终发出相对应的警报，显示风险的指示图与态势图。

3.3 决策支持与维护

一旦出现医疗风险就必须采取针对性预控策略。如消除和缓解风险、转移风险及分担和回避风险等。不同的风险策略显然效果也不同，因而医院需要对风险策略进行最适合、最优化的选择，其目的是将医疗风险损失成本控制到最低。我们可以在风险预警信息系统的基础上组建智能决策支持系统，由定量分析为主的决策支持系统和定性分析为主的专家系统结合组成，主要通过对数据库中的数据进行处理和挖掘使其辅助决策能力从运筹学、管理科学的单模型辅助决策发展到多模型综合决策。另外，我们还必须建立一套安全机制，实行对风险管理信息系统的维护。

4 实现目标

4.1 提高管理能力，确保病人满意

我们可以利用医疗风险管理网络平台及时获取所发生的各类风险信息，及时、准确地掌握医疗风险的动态情况，促进医院内部的信息流动和传递，便于管理者和政府机构对医院的监管，使医院风险预警更具有针对性和可行性，从而可以提高医院经营的决策能力与管理水平，使医院管理向正规化、现代化、科学化方向发展。同时，随着医疗风险的降低，病人满意度也会逐渐得到提高。

4.2 加强过程控制，提高医疗质量

医疗活动中产生的各种信息具有很强的动态性、连续性和实时性，原始的人工管理方法很难从环节管理机制上加以控制。通过医疗风险管理网络信息工程，我们可随时从终端上很方便地掌握全院的风险动态信息，及时发现医疗、护理过程中各环节存在的问题，使医院管理从过去的终末质量管理深入到环节控制管理，将事后管理变成事前预测或事中监督管理，使医院医疗质量得到明显提高。

4.3 优化工作流程，提高工作效率

医疗风险网络信息化管理的应用，对医院原有的管理模式和工作流程进行了重大的改革和重组，促进了医疗活动规范、有序进行，保证了整个医疗工作的连续性和信息组成的完整性。同时，使风险管理过程由繁变简，从杂乱走向统一，减少重复劳动，由过去的经验型管理向科学型管理方式转换，可以提高信息的共享和利用水平以及预警预报和快速反应能力，使医院工作效率明显上升。

参考文献

[1] 连斌，许苹.医院核心竞争力[M]. 上海：第二军医大学出版社，2008：180205.

[2] 陈钧.打造数字医院[J]. 中国信息界(医疗)，2008，4：2635.

篇13

中小型企业信息化的过程实质上就是运用信息技术手段，对中小型企业各种资源、组织机构、工艺流程等进行重新梳理、构造的过程。其目标是使中小型企业各种资源得到更加合理的利用，提高组织效率，从而提高中小型企业的市场竞争力。然而，中小型企业信息化进程中不可避免的存在着风险，对于信息化过程中存在的各种风险，中小型企业应该采取正确态度认识和识别风险，同时采取有效手段控制和降低风险。高新技术中小型企业作为国民经济中较早进行信息化的行业，应充分发挥自身知识密集、技术密集的优势，对信息化风险加以控制。

1.中小型企业信息化建设过程中存在的风险

中小型企业信息化的风险集中体现在以下方面：

1.1项目规划失误风险

目前，许多中小型企业信息化建设的效果并不理想，有些甚至中途夭折，造成了巨大的损失。究其原因，主要是事前缺乏规划造成的。项目规划失误主要表现为信息系统建设目标、约束、总体结构不清，信息战略错误；立项时切入点不准确，定位不正确，缺乏科学的信息化建设策略，追求功能完整、一步到位，盲目照搬其他中小型企业已经应用成功的建设方案，以致中小型企业现有的管理水平与技术水平无法支持项目实施，造成项目夭折或建成后无法成功运行。中小型企业信息化建设缺乏整体、长远的规划是信息化建设过程中最应该引起人们重视的问题，也是最大的风险所在。

1.2软件开发商风险

我国大多数中小型企业由于缺乏信息化人才，在实施信息化过程中所使用的软件大都是交由专业的计算机软件开发商开发或选择与专业软件公司合作开发的，软件开发商成为影响信息化工程成败的重要因素。软件商的实施能力差以及软件的选型不当是导致信息化项目失败最直接的原因。目前，信息化软件市场良莠不齐，一些实力不强的软件公司迫于竞争压力，往往以很低的价格承揽中小型企业的信息化工程，而在实际操作中常通过模糊合同条款和技术要求、不进行个性化开发等方法来应付，结果中小型企业不但不能实现信息化建设目标，反而带来较大的负面影响。

1.3中小型企业员工风险

中小型企业员工风险主要体现在两个方面：一是决策层和各级员工对信息化建设存在消极态度。决策层信心不足会直接影响信息化项目的资金和人力投入，一些中小型企业信息化工程半途夭折的直接因素就是领导的态度发生了变化。由于信息化要进行中小型企业业务流程重组，人员裁减与岗位调整必然涉及部分员工的切身利益，这部分人员就会对信息化建设抱消极抵触的态度甚至故意不予配合，使信息化难以推行。二是信息管理人员流失。从系统开发到实施都需要中小型企业有自己的信息技术人员，他们是信息化中软件开发商和中小型企业内部人员的纽带和桥梁。由于历史的原因，我国大多数中小型企业都把信息技术人员看作一般技术人员，对信息管理人员没有明确的定位，加之信息技术人才的社会平均薪酬较高，使得这类人才流动频繁。不少中小型企业通过信息化培养出一批既懂业务、会管理又熟悉管理软件的人才，但由于没有相应的激励机制，使得这部分人才频频流失，从而极大地影响了中小型企业信息化的有效实施。

2.中小型企业信息化风险的防范对策

中小型企业信息化的整体推进过程中，会不可避免地遇到风险问题，它的产生会令中小型企业蒙受巨大的灾难和损失，应该重视信息化风险问题的存并做好充分的防范对策。

2.1信息化要以中小型企业需求为导向，明确信息化的战略规划

从中小型企业的经营战略、体制、技术、管理、人力资源、行业环境等方面，对中小型企业进行全面的自我诊断，确定本中小型企业信息化建设的关键需求，并确立明确的目标。中小型企业处在不同的行业，不同的发展阶段和其规模的大小，对信息化的需求就不尽相同。中小型企业信息化包括四个方面的内容，分别是生产作业层的信息化、管理办公层的信息化、战略决策层的信息化、协作商务层的信息化，其中，前三者则是基于中小型企业内部的，协作商务层是基于中小型企业与外部联系的。中小型企业在进行信息化规划时，对信息化的建设应该做出先后安排，先解决中小型企业的瓶颈问题。原则上，信息化应该自上而下，由里到外，因为这样数据才取自于源头，真实、有效。

2.2软件开发商风险的防范

在选择开发商之前，应对由于开发商而产生的各种可能存在的风险进行分析。要参照软件过程能力成熟度模型对软件开发商本身的质量水平进行评价，考虑软件中小型企业是否熟悉本中小型企业所属行业的基本知识，是否开发过类似的系统、开发的质量如何，其服务能否满足中小型企业的需要，软件开发商的持续发展能力如何。通过这些方面的分析，确保信息系统能高质量地满足中小型企业需求，解决中小型企业信息系统持续发展的后顾之忧，避免由于软件开发商带来的信息系统质量风险、服务风险及升级换代风险。

2.3提高中小型企业员工对信息化的认识，主动适应管理环境的变化

中小型企业从上至下对于信息化的认识上的缺失和偏差，是信息化建设中关键的风险和阻碍。信息化不光是技术上的、硬件上的，更多是软件和管理层次的，信息技术可以促进中小型企业经营管理技术的变革，促进中小型企业管理的创新。中小型企业在信息化推进的进程中来自管理观念、工作习惯、利益分配、中小型企业文化等方面的脱胎换骨的变化，对习惯于传统管理方式的领导和员工造成强烈的冲击和反差，如果不主动接受、适应并调整，会出现管理混乱，效益低下，使信息化流于形式。中小型企业要努力提高全体员工对中小型企业信息化管理的认识，要学会适应管理环境的新变化，打破原有的、已固化的思维方式，在思想上首先接纳信息化的管理模式，并改变自己的行为方式，通过科学的信息化管理工具，使中小型企业的经营和管理水平上一个台阶。

3.结束语

中小型企业的信息化建设，伴随着管理模式的深刻变革，是一个渐进的、动态的增效过程，风险与收益始终伴随着中小型企业。只有充分学习和加强认识，准确识别风险的来源，通过采取有效的风险防范措施，最大限度的降低风险，发挥系统的整体效益，才能促进中小型企业信息化的目标实现。