發(fā)布時(shí)間:2023-09-07 18:08:55
序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的信息化風(fēng)險(xiǎn)管理樣本,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā),請盡情閱讀。
關(guān)鍵詞:風(fēng)險(xiǎn)識別;風(fēng)險(xiǎn)評估;風(fēng)險(xiǎn)應(yīng)對
湖南中煙工業(yè)有限公司隨著重組的完成,整個(gè)企業(yè)的業(yè)務(wù)運(yùn)作模式發(fā)生了巨大的變化,從原來的單一卷煙廠管理模式轉(zhuǎn)變成集團(tuán)化管理模式,新的業(yè)務(wù)模式對企業(yè)的信息化建設(shè)提出了新的要求,原來卷煙廠的信息化架構(gòu)已經(jīng)不能滿足集團(tuán)化的管理要求。同時(shí),公司重組之初。為了保證整個(gè)集團(tuán)日常業(yè)務(wù)開展,采用了“上移下推”的信息化建設(shè)策略,將各卷煙廠中使用效果較好的應(yīng)用系統(tǒng)拿到中煙層面進(jìn)行一定的改造后迅速投入使用,依靠應(yīng)用系統(tǒng)基本支撐起公司日常業(yè)務(wù)和管理。
一、風(fēng)險(xiǎn)識別
風(fēng)險(xiǎn)識別實(shí)際上是一種預(yù)測分別。就是確定風(fēng)險(xiǎn)事件及其來源,目的是做到有備無患,當(dāng)實(shí)際風(fēng)險(xiǎn)發(fā)生時(shí)能有效應(yīng)對。項(xiàng)目風(fēng)險(xiǎn)的識別是一個(gè)非常復(fù)雜的過程,尤其風(fēng)險(xiǎn)的范圍、種類和嚴(yán)重程度經(jīng)常容易被主觀夸大或縮小,使項(xiàng)目的風(fēng)險(xiǎn)評估分析和處置發(fā)生差錯(cuò),造成不必要的損失。常用的方法包括:調(diào)查問卷法;頭腦風(fēng)暴法;理論分析法;專家判斷法和經(jīng)驗(yàn)總結(jié)法等等。
根據(jù)湖南中煙項(xiàng)目實(shí)施經(jīng)驗(yàn),項(xiàng)目風(fēng)險(xiǎn)識別可以從客觀信息源出發(fā)的方法包括:
1.核對表法。核對表一般根據(jù)項(xiàng)目環(huán)境、產(chǎn)品或技術(shù)資料、團(tuán)隊(duì)成員的技能或缺陷等風(fēng)險(xiǎn)要素,把經(jīng)歷過的風(fēng)險(xiǎn)事件及來源列成一張核對表。核對表的內(nèi)容可包括:以前項(xiàng)目成功或失敗的原因;項(xiàng)目范圍、成本、質(zhì)量、進(jìn)度、采購與合同、人力資源與溝通等情況;項(xiàng)目產(chǎn)品或服務(wù)說明書;項(xiàng)目管理成員技能;項(xiàng)目可用資源等。項(xiàng)目經(jīng)理對照核對表,對本項(xiàng)目的潛在風(fēng)險(xiǎn)進(jìn)行聯(lián)想相對來說簡單易行。這種方法也許揭示風(fēng)險(xiǎn)的絕對量要比別的方法少一些,但是這種方法可以識別其他方法不能發(fā)現(xiàn)的某些風(fēng)險(xiǎn)。
2.流程圖法。流程圖方法首先要建立一個(gè)工程項(xiàng)目的總流程圖與各分流程圖,它們要展示項(xiàng)目實(shí)施的全部活動。流程圖可用網(wǎng)絡(luò)圖來表示,也可利WBS來表示。它能統(tǒng)一描述項(xiàng)目工作步驟;顯示出項(xiàng)目的重點(diǎn)環(huán)節(jié);能將實(shí)際的流程與想象中的狀況進(jìn)行比較;便于檢查工作進(jìn)展情況。這是一種非常有用的結(jié)構(gòu)化方法,它可以幫助分析和了解項(xiàng)目風(fēng)險(xiǎn)所處的具體環(huán)節(jié)及各環(huán)節(jié)之間存在的風(fēng)險(xiǎn)。運(yùn)用這種方法完成的項(xiàng)目風(fēng)險(xiǎn)識別結(jié)果,可以為項(xiàng)目實(shí)施中的風(fēng)險(xiǎn)控制提供依據(jù)。
3.財(cái)務(wù)報(bào)表法。通過分析資產(chǎn)負(fù)債表、營業(yè)報(bào)表,以及財(cái)務(wù)記錄,項(xiàng)目風(fēng)險(xiǎn)經(jīng)理就能識別本企業(yè)或項(xiàng)目當(dāng)前的所有財(cái)產(chǎn)、責(zé)任和人身損失風(fēng)險(xiǎn)。將這些報(bào)表和財(cái)務(wù)預(yù)測、經(jīng)費(fèi)預(yù)算聯(lián)系起來,風(fēng)險(xiǎn)經(jīng)理就能發(fā)現(xiàn)未來的風(fēng)險(xiǎn)。這是因?yàn)椋?xiàng)目或企業(yè)的經(jīng)營活動要么涉及貨幣。要么涉及項(xiàng)目本身,這些都是風(fēng)險(xiǎn)管理最主要的考慮對象。項(xiàng)目在信息化項(xiàng)目風(fēng)險(xiǎn)因素中。很低、較低、一般、較高、很高表示了對應(yīng)風(fēng)險(xiǎn)因素發(fā)生的嚴(yán)重程度。為了量化項(xiàng)目風(fēng)險(xiǎn)因素,要對湖南中煙項(xiàng)目風(fēng)險(xiǎn)因素表賦值,效益型變量的備選很低、較低、一般、較高、很高,分別賦值0.1、0.3、0.5、0.7、0.9;成本型變量,對應(yīng)很低、較低、一般、較高、很高分別賦值0.9、0.7、0.5、0.3、0.1。模型中的變量包括:信息化項(xiàng)目風(fēng)險(xiǎn)程度,即產(chǎn)出指標(biāo)得分的和為被解釋變量,項(xiàng)目風(fēng)險(xiǎn)因素量表中的風(fēng)險(xiǎn)因素為解釋變量。
二、風(fēng)險(xiǎn)評估
風(fēng)險(xiǎn)評估又稱作風(fēng)險(xiǎn)量化,就是比較風(fēng)險(xiǎn)的大小,從而決定是否需要采取相應(yīng)的應(yīng)對措施。風(fēng)險(xiǎn)評估的方法很多。歸納起來主要包括以下幾種:用風(fēng)險(xiǎn)發(fā)生的概率來評估風(fēng)險(xiǎn)發(fā)生的可能性;用風(fēng)險(xiǎn)帶來的損失來評估風(fēng)險(xiǎn)發(fā)生的嚴(yán)重性;用現(xiàn)有的手段能否控制風(fēng)險(xiǎn)的發(fā)生來評估風(fēng)險(xiǎn)發(fā)生的可控性;用風(fēng)險(xiǎn)影響的地域大小、對象多少等來評估風(fēng)險(xiǎn)影響的范圍;用風(fēng)險(xiǎn)發(fā)生在項(xiàng)目生命周期的階段來評估風(fēng)險(xiǎn)發(fā)生的時(shí)間。
實(shí)際項(xiàng)目風(fēng)險(xiǎn)管理過程中,常常用逐項(xiàng)評分的方法來量化風(fēng)險(xiǎn)的大小,即事先確定評分的標(biāo)準(zhǔn),然后由項(xiàng)目小組一起,對預(yù)先識別的項(xiàng)目風(fēng)險(xiǎn)一一打分,然后得出不同風(fēng)險(xiǎn)的大小。
三、風(fēng)險(xiǎn)應(yīng)對
風(fēng)險(xiǎn)應(yīng)對就是針對已識別的項(xiàng)目風(fēng)險(xiǎn)制訂行動策略,確定執(zhí)行方案,使信息系統(tǒng)實(shí)施能夠按照預(yù)定的計(jì)劃執(zhí)行。常見的處理方法包括:①風(fēng)險(xiǎn)控制法。即主動采取措施避免風(fēng)險(xiǎn),消滅風(fēng)險(xiǎn),中和風(fēng)險(xiǎn)或采用緊急方案降低風(fēng)險(xiǎn)。②風(fēng)險(xiǎn)自留。當(dāng)風(fēng)險(xiǎn)量不大時(shí)可以自留風(fēng)險(xiǎn)。③風(fēng)險(xiǎn)轉(zhuǎn)移。
風(fēng)險(xiǎn)應(yīng)對的方法具體如下:
1.加強(qiáng)制度建設(shè),建立風(fēng)險(xiǎn)管理體系。行業(yè)高層管理積極參與并大力支持,組織強(qiáng)有力的實(shí)施團(tuán)隊(duì),技術(shù)部門、業(yè)務(wù)部門積極地參與到實(shí)施過程當(dāng)中,及時(shí)預(yù)防、分析、研究及化解信息化項(xiàng)目實(shí)施中潛在的風(fēng)險(xiǎn),并進(jìn)行風(fēng)險(xiǎn)管理定期檢查,重點(diǎn)關(guān)注管理上的死角,及時(shí)發(fā)現(xiàn)工作中的疏漏和問題,督促采取處理措施。
2.制定合理的風(fēng)險(xiǎn)管理流程,并且貫徹堅(jiān)持下去。嚴(yán)格執(zhí)行項(xiàng)目管理中的時(shí)間、成本、質(zhì)量控制等標(biāo)準(zhǔn)流程,能夠有助于控制項(xiàng)目風(fēng)險(xiǎn)。
3.加強(qiáng)技術(shù)培訓(xùn)。加強(qiáng)項(xiàng)目培訓(xùn)能夠提高參與項(xiàng)目的IT人員和業(yè)務(wù)人員甚至管理人員、決策者對信息化項(xiàng)目的認(rèn)知,對規(guī)避項(xiàng)目的實(shí)施風(fēng)險(xiǎn)有良好的效果。
關(guān)鍵詞:信息化環(huán)境;供電企業(yè);風(fēng)險(xiǎn)管理
中圖分類號: TB 文獻(xiàn)標(biāo)識碼:A 文章編號:16723198(2014)17017301
1 前言
供電企業(yè)在信息化環(huán)境下的運(yùn)營模式由傳統(tǒng)方式轉(zhuǎn)向信息化管理,供電企業(yè)在享受著運(yùn)營效率提高的同時(shí),也必然面臨著組織結(jié)構(gòu)調(diào)整、管理方式、營銷模式和信息安全等方面的嚴(yán)峻挑戰(zhàn)。此外信息化還使供電企業(yè)在原有風(fēng)險(xiǎn)的基礎(chǔ)上,增加了因組織變革、管理變革和技術(shù)變革所帶來的新的風(fēng)險(xiǎn),這些新風(fēng)險(xiǎn)與原有的風(fēng)險(xiǎn)的交織,將影響到企業(yè)的運(yùn)營管理。
2 供電企業(yè)的風(fēng)險(xiǎn)
(1)組織變革產(chǎn)生的風(fēng)險(xiǎn)。供電企業(yè)的信息化在推進(jìn)過程中,因?yàn)樾碌男畔⒓夹g(shù)與傳統(tǒng)的企業(yè)文化和技術(shù)產(chǎn)生日益突出的矛盾而必須進(jìn)行組織變革,這也是為了平衡的需要。供電企業(yè)的組織變革由于涉及到核心的業(yè)務(wù)、核心的企業(yè)文化,甚至是企業(yè)員工的個(gè)人利益,于是也就必然的產(chǎn)生了風(fēng)險(xiǎn)。供電企業(yè)組織變革是企業(yè)的結(jié)構(gòu)由金字塔結(jié)構(gòu)發(fā)展成扁平化,雖然這樣轉(zhuǎn)變能夠使信息的交流得到提高,但是也消弱了傳統(tǒng)組織結(jié)構(gòu)中中間層的管理功能。企業(yè)結(jié)構(gòu)的變革因?yàn)樯婕暗狡髽I(yè)的決策層,就需要多方面考慮,不能因?yàn)榻Y(jié)構(gòu)變革的失誤而阻礙企業(yè)的信息化進(jìn)程。企業(yè)結(jié)構(gòu)的變革會一定程度上影響企業(yè)的文化,如果處理不當(dāng)也會給供電企業(yè)帶來風(fēng)險(xiǎn)。供電企業(yè)的信息化過程需要那些具備技術(shù)和管理才能的特殊人才,如果供電企業(yè)無法自己培養(yǎng)就只能通過招聘方式從外面聘請以維持企業(yè)運(yùn)營,但外聘的人才能否融入企業(yè)無法確定。而供電企業(yè)花費(fèi)大量精力自己培養(yǎng)的人才,如果缺少有效激勵(lì)政策,很容易導(dǎo)致人才流失。
(2)信息技術(shù)變革產(chǎn)生的風(fēng)險(xiǎn)。信息技術(shù)在日新月異發(fā)展的同時(shí)所產(chǎn)生的硬件、技術(shù)、系統(tǒng)安全和運(yùn)營及維護(hù)風(fēng)險(xiǎn)也使供電企業(yè)面臨著風(fēng)險(xiǎn)。硬件作為供電企業(yè)信息化的骨架更新?lián)Q代的速度很快,供電企業(yè)在進(jìn)行信息化的時(shí)候不僅要滿足當(dāng)前的需要,還要考慮到以后系統(tǒng)升級的需要,但是先進(jìn)的硬件設(shè)備也意味著高昂的成本,也會給供電企業(yè)帶來風(fēng)險(xiǎn)。此外保證供電企業(yè)日常數(shù)據(jù)的準(zhǔn)確安全和系統(tǒng)網(wǎng)絡(luò)的安全是整個(gè)信息化的核心,否則信息化就會失去意義,最終將影響供電企業(yè)的日常運(yùn)營和管理工作。
(3)管理變革產(chǎn)生的風(fēng)險(xiǎn)。供電企業(yè)必須在管理方面做出適當(dāng)變革以適應(yīng)企業(yè)的信息化的需要,在戰(zhàn)略層面上決策層對供電企業(yè)未來的發(fā)展方向、前景的態(tài)度決定著企業(yè)成敗,供電企業(yè)對信息化的動機(jī)關(guān)乎企業(yè)的發(fā)展高度,而供電企業(yè)是否有一個(gè)清晰而明確的規(guī)劃是企業(yè)能走多遠(yuǎn)的關(guān)鍵。從戰(zhàn)術(shù)層面來看供電企業(yè)的具體而細(xì)微的各項(xiàng)業(yè)務(wù)雖不能直接影響到企業(yè)的存亡,但仍不容忽視。
3 供電企業(yè)的風(fēng)險(xiǎn)管理對策
(1)供電企業(yè)對重大風(fēng)險(xiǎn)加強(qiáng)識別和對風(fēng)險(xiǎn)的評估力度。對風(fēng)險(xiǎn)管理關(guān)鍵是通過對風(fēng)險(xiǎn)進(jìn)行識別,對供電企業(yè)信息化環(huán)境下的各種影響因素匯總并重新分類,從而篩選出會給企業(yè)帶來風(fēng)險(xiǎn)的因素,預(yù)計(jì)會向風(fēng)險(xiǎn)轉(zhuǎn)變的潛在因素。供電企業(yè)通過信息化的技術(shù)手段對可能造成損失的因素進(jìn)行密切的跟蹤、觀測和分析,總結(jié)出這些風(fēng)險(xiǎn)因素的變化規(guī)律,根據(jù)可能帶來的損失大小和重要程度并結(jié)合風(fēng)險(xiǎn)因素的當(dāng)前狀態(tài)進(jìn)行分析、判斷,找出引起風(fēng)險(xiǎn)的原因。
對風(fēng)險(xiǎn)進(jìn)行評估是供電企業(yè)風(fēng)險(xiǎn)管理的一個(gè)非常重要的環(huán)節(jié),可以為企業(yè)的風(fēng)險(xiǎn)程度的判斷提供依據(jù),有利于企業(yè)的風(fēng)險(xiǎn)決策,能夠有效的預(yù)防風(fēng)險(xiǎn)的發(fā)生和降低其發(fā)生的概率,防止風(fēng)險(xiǎn)的接連發(fā)生,以免造成更大的損失。
(2)供電企業(yè)對重點(diǎn)風(fēng)險(xiǎn)加強(qiáng)管理。信息化環(huán)境下供電企業(yè)的自動化水平更高,隨之而來的就是風(fēng)險(xiǎn)帶來的損失也非常巨大,因此供電企業(yè)要加強(qiáng)對重點(diǎn)風(fēng)險(xiǎn)的管理。供電企業(yè)通過參考?xì)v史數(shù)據(jù)、發(fā)揮信息技術(shù)的優(yōu)勢、采用高效合理的預(yù)測方法對用戶的用電量進(jìn)行測算,解決電力需求產(chǎn)生的風(fēng)險(xiǎn)。隨著企業(yè)信息化進(jìn)程的加快,供電企業(yè)需要把信息系統(tǒng)的安全性放在重要位置,注重對信息系統(tǒng)的維護(hù)和升級,構(gòu)建一個(gè)安全、高效的信息管理系統(tǒng)。提高供電的穩(wěn)定性和供電質(zhì)量,加快供電故障的解決的及時(shí)性,營造一個(gè)良好的供電、用電平臺,滿足用戶的用電需求,提高用戶的滿意度。
(3)供電企業(yè)建立一個(gè)完善的風(fēng)險(xiǎn)管理支持系統(tǒng)。供電企業(yè)通過從組織結(jié)構(gòu)、企業(yè)制度、企業(yè)文化和企業(yè)的信息系統(tǒng)幾個(gè)方面構(gòu)建一個(gè)比較完善的風(fēng)險(xiǎn)管理系統(tǒng)。以企業(yè)的組織結(jié)構(gòu)為后盾,建立完善的企業(yè)管理制度和法律機(jī)制,明確相關(guān)部門和個(gè)人的權(quán)責(zé)和風(fēng)險(xiǎn)處置流程。企業(yè)文化中應(yīng)樹立風(fēng)險(xiǎn)意識,讓員工時(shí)刻充滿危機(jī)意識,危機(jī)來臨時(shí)能夠從容處理。同時(shí)還需要加強(qiáng)培養(yǎng)和建設(shè)信息人才隊(duì)伍,定期進(jìn)行系統(tǒng)培訓(xùn),使他們在工作始終能以一種暫新的面貌去投入。除了重視業(yè)務(wù)能力外,還需要建立和諧充滿良性競爭的工作氛圍和學(xué)習(xí)環(huán)境,能夠保證信息技術(shù)人員隊(duì)伍保持穩(wěn)定,使他們能夠帶著愉悅的心情投入工作,提高工作效率。
信息化管理應(yīng)經(jīng)成為企業(yè)現(xiàn)代管理的趨勢,信息化技術(shù)在供電企業(yè)的推廣和應(yīng)用,提高信息的共享力度,也提高了電力企業(yè)職工的工作效率,大大增強(qiáng)了企業(yè)的競爭力,同時(shí)也使供電企業(yè)面臨巨大的挑戰(zhàn),如果不能很好的處理,將嚴(yán)重阻礙供電企業(yè)的做大做強(qiáng),因此對風(fēng)險(xiǎn)管理進(jìn)行分析研究具有重大意義。
參考文獻(xiàn)
關(guān)鍵詞:內(nèi)控信息化 風(fēng)險(xiǎn)管理 內(nèi)部審計(jì)
1.ERP系統(tǒng)背景介紹
ERP通過將企業(yè)的各方面資源進(jìn)行科學(xué)地計(jì)劃、管理和控制,為企業(yè)加強(qiáng)財(cái)務(wù)管理、提高資金運(yùn)營水平、建立高效率供應(yīng)鏈、減少庫存、提高生產(chǎn)效率、降低成本、提高客戶服務(wù)水平等方面提供一種管理手段。ERP系統(tǒng)能夠系統(tǒng)、實(shí)時(shí)地提供與各項(xiàng)業(yè)務(wù)相關(guān)的數(shù)據(jù),包括以前難以及時(shí)獲取的數(shù)據(jù),向領(lǐng)導(dǎo)和管理層提供企業(yè)經(jīng)營狀況信息,反映企業(yè)的盈利水平和各項(xiàng)業(yè)務(wù)活動情況。所有業(yè)務(wù)處理和活動通過統(tǒng)一的數(shù)據(jù)庫進(jìn)行及時(shí)更新,以改善用戶存取、提高業(yè)務(wù)信息質(zhì)量、減少數(shù)據(jù)校驗(yàn)和重復(fù)加工處理。
2.ERP實(shí)施形成業(yè)務(wù)風(fēng)險(xiǎn)與其內(nèi)部控制
2.1ERP實(shí)施形成新業(yè)務(wù)風(fēng)險(xiǎn)
ERP系統(tǒng)實(shí)現(xiàn)了從采購到付款、訂單的獲取到發(fā)票的開出等業(yè)務(wù)集成,實(shí)現(xiàn)了跨職能部門業(yè)務(wù)處理。在這種情況下,ERP系統(tǒng)中單一的數(shù)據(jù)庫,使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個(gè)結(jié)果是,用于企業(yè)內(nèi)部控制的許多審計(jì)線索在ERP系統(tǒng)的引入后消失了。同時(shí),企業(yè)過去基于文件審批的內(nèi)部控制機(jī)制,也無法適應(yīng)ERP基于流程的管理需要。更重要的是,由于企業(yè)的業(yè)務(wù)運(yùn)作更加依賴于ERP系統(tǒng),這種依賴和信息系統(tǒng)本身特點(diǎn)所導(dǎo)致的脆弱性,形成了企業(yè)新的業(yè)務(wù)風(fēng)險(xiǎn)。
2.2ERP環(huán)境下風(fēng)險(xiǎn)管理
2.2.1制定內(nèi)部控制目標(biāo)
利用風(fēng)險(xiǎn)評估手段重新確定企業(yè)中關(guān)鍵的業(yè)務(wù)流程;
對整個(gè)流程和控制的設(shè)計(jì)進(jìn)行評估,確定這些控制是否很好地滿足和支持最終業(yè)務(wù)目標(biāo)的實(shí)現(xiàn);
對崗位職責(zé)分離的評估,確保在整個(gè)流程中存在正確的稽核點(diǎn)和平衡點(diǎn),對敏感業(yè)務(wù)交易給出足夠的訪問限制;
評估控制方式是否合理,比如基于手工流程的控制和基于系統(tǒng)的自動控制是否搭配合理。
2.2.2確定評估范圍
ERP系統(tǒng)的控制評估必須基于風(fēng)險(xiǎn)管理的原則,通過風(fēng)險(xiǎn)評估尋找對主要業(yè)務(wù)運(yùn)作中影響最大的領(lǐng)域。可以通過訪談等,確定評估范圍。
2.2.3評估控制方案
基于ERP系統(tǒng)的控制,是由軟件來完成的,通過控制數(shù)據(jù)的有效性和合理性來限制和核查動作的合法性。ERP系統(tǒng)的參數(shù)設(shè)置將決定這個(gè)領(lǐng)域的控制級別。這些控制包括用戶訪問、字段驗(yàn)證、工作流和許多其他用于確保數(shù)據(jù)處理一致性的控制。例如,系統(tǒng)會自動拒絕生成一張與前一次序號相同的發(fā)票。這樣就自動降低了差錯(cuò)發(fā)生的可能性和應(yīng)付帳款處理的混亂。值得注意的是,在ERP系統(tǒng)實(shí)施過程中,某些二次開發(fā)工作會削弱在系統(tǒng)中已經(jīng)設(shè)置好的控制,從而產(chǎn)生新的風(fēng)險(xiǎn)因子。針對產(chǎn)生新的風(fēng)險(xiǎn)因子,必須要用手工控制來彌補(bǔ)。
3.ERP環(huán)境下企業(yè)風(fēng)險(xiǎn)管理審計(jì)的主要內(nèi)容
企業(yè)風(fēng)險(xiǎn)管理審計(jì)就是要對企業(yè)風(fēng)險(xiǎn)管理過程及其內(nèi)容的適當(dāng)性和有效性進(jìn)行審查和評價(jià),并提出改進(jìn)建議。在ERP環(huán)境下,要重點(diǎn)考慮對以下幾方面進(jìn)行審計(jì)。
3.1對風(fēng)險(xiǎn)管理機(jī)制的審計(jì)。
對ERP環(huán)境下企業(yè)風(fēng)險(xiǎn)管理的審計(jì),首先必須對風(fēng)險(xiǎn)管理機(jī)制進(jìn)行審計(jì),審查企業(yè)及其下屬單位是否建立了風(fēng)險(xiǎn)管理機(jī)制,風(fēng)險(xiǎn)的識別、評價(jià)和應(yīng)對機(jī)制的適應(yīng)性和有效性如何,實(shí)際運(yùn)行情況怎樣,是否有利于企業(yè)管理的持續(xù)改善等。在審計(jì)中,我們還應(yīng)當(dāng)專門對業(yè)務(wù)流程、關(guān)鍵控制點(diǎn)、系統(tǒng)監(jiān)控等方面的風(fēng)險(xiǎn)管理機(jī)制進(jìn)行重點(diǎn)審計(jì)。
3.2對業(yè)務(wù)流程的審計(jì)。
對業(yè)務(wù)流程的風(fēng)險(xiǎn)管理審計(jì)大體包括以下幾個(gè)方面:應(yīng)該在系統(tǒng)中運(yùn)行的業(yè)務(wù)是否全部通過系統(tǒng)運(yùn)行;信息是否及時(shí)錄入系統(tǒng);錄入的信息是否真實(shí)、準(zhǔn)確;系統(tǒng)運(yùn)行是否正確,有無系統(tǒng)錯(cuò)誤;流程是否通暢,有無缺陷或舞弊的可能,能否進(jìn)行進(jìn)一步的優(yōu)化;識別、評價(jià)和應(yīng)對流程風(fēng)險(xiǎn)的效果如何等。
3.3對關(guān)鍵控制點(diǎn)的審計(jì)。
ERP系統(tǒng)是由采購、倉儲、生產(chǎn)、銷售、財(cái)務(wù)、設(shè)備管理、人力資源等多個(gè)模塊高度集成起來的,每一模塊都有相應(yīng)的關(guān)鍵控制點(diǎn),對企業(yè)的生產(chǎn)經(jīng)營起著至關(guān)重要的作用。因此,對關(guān)鍵控制點(diǎn)的風(fēng)險(xiǎn)管理審計(jì)應(yīng)作為審計(jì)的重點(diǎn)。審計(jì)時(shí)要主要關(guān)注以下問題:是否對關(guān)鍵控制點(diǎn)進(jìn)行了識別,識別是否全面;是否建立了關(guān)鍵控制點(diǎn)的風(fēng)險(xiǎn)評價(jià)體系;是否建立了關(guān)鍵控制點(diǎn)的預(yù)警機(jī)制和應(yīng)對機(jī)制;關(guān)鍵控制點(diǎn)的識別、評價(jià)、預(yù)警和應(yīng)對機(jī)制的適應(yīng)性和有效性如何;控制方法和手段是否可進(jìn)一步優(yōu)化;有無控制不嚴(yán)或失控的現(xiàn)象和可能等。
3.4對系統(tǒng)監(jiān)控的審計(jì)。
對系統(tǒng)監(jiān)控的風(fēng)險(xiǎn)管理進(jìn)行審計(jì),審查和評價(jià)企業(yè)及其下屬單位是否利用ERP系統(tǒng)進(jìn)行了業(yè)務(wù)和績效的動態(tài)監(jiān)控、監(jiān)控點(diǎn)及其風(fēng)險(xiǎn)如何識別和評價(jià)、監(jiān)控的權(quán)威性及其效果如何、發(fā)現(xiàn)問題的處理方式以及應(yīng)對風(fēng)險(xiǎn)的效果如何、有無監(jiān)控盲區(qū)或監(jiān)控不力的區(qū)域、監(jiān)控結(jié)果的利用情況如何等。
3.5對信息系統(tǒng)的審計(jì)。
從系統(tǒng)本身來說,無論是硬件還是軟件,都有產(chǎn)生故障的可能,軟件功能的完備與否也是系統(tǒng)運(yùn)行的風(fēng)險(xiǎn)之一,ERP系統(tǒng)與其他系統(tǒng)的連接則是影響系統(tǒng)運(yùn)行的關(guān)鍵因素。要保證ERP系統(tǒng)的正常運(yùn)行,降低經(jīng)營風(fēng)險(xiǎn),對ERP系統(tǒng)以及與其相聯(lián)接的其他信息系統(tǒng)的風(fēng)險(xiǎn)管理與審計(jì)也是必不可少的,這包括對系統(tǒng)的開發(fā)與設(shè)計(jì)、軟件的程序、系統(tǒng)的控制、功能的劃分、硬件的架構(gòu)、備份模式及效果、故障處理方案及風(fēng)險(xiǎn)應(yīng)對措施、系統(tǒng)風(fēng)險(xiǎn)識別與評價(jià)體系等進(jìn)行審計(jì)。
4. ERP環(huán)境下企業(yè)風(fēng)險(xiǎn)管理審計(jì)的主要對策
在ERP環(huán)境下,審計(jì)人員應(yīng)該適應(yīng)環(huán)境的變化,根據(jù)ERP環(huán)境的特點(diǎn)和要求,利用先進(jìn)的信息技術(shù)手段,開拓思路,積極探討審計(jì)對策。
4.1充分利用系統(tǒng)數(shù)據(jù)集成的優(yōu)勢
ERP系統(tǒng)實(shí)現(xiàn)了從采購到付款、訂單的獲取到發(fā)票的開出等業(yè)務(wù)集成,實(shí)現(xiàn)了跨職能部門的業(yè)務(wù)處理。在這種系統(tǒng)數(shù)據(jù)高度集成的條件下,效益審計(jì)的審計(jì)線索來源單一、清晰明了,杜絕了多個(gè)數(shù)據(jù)源數(shù)據(jù)不一致的現(xiàn)象,審計(jì)人員不需要再從多個(gè)系統(tǒng)獲取數(shù)據(jù),而是僅由一個(gè)系統(tǒng)就能得到所有數(shù)據(jù)。
4.2加強(qiáng)對內(nèi)部控制風(fēng)險(xiǎn)的評估,完善內(nèi)部控制體系
企業(yè)經(jīng)營活動及內(nèi)部控制中依然存在重大差異或缺陷的可能性。如ERP系統(tǒng)各職能崗位職責(zé)是否分離,權(quán)限范圍設(shè)置是否合理,有些控制既可以選擇人工控制,也可以選擇由系統(tǒng)來控制,這些控制是否得到始終如一的執(zhí)行,控制的標(biāo)準(zhǔn)是否前后保持一致。這些都會影響控制的效果,甚至產(chǎn)生重大差異。因此,必須對ERP環(huán)境下的內(nèi)部控制體系進(jìn)行測試和評估,對內(nèi)部控制風(fēng)險(xiǎn)進(jìn)行正確評價(jià),進(jìn)一步完善內(nèi)部控制體系。
4.3注重對參數(shù)設(shè)置的審計(jì)
ERP系統(tǒng)有很多參數(shù),這些參數(shù)既影響內(nèi)部控制的效果,又影響財(cái)務(wù)數(shù)據(jù)的準(zhǔn)確性和一致性,特別是集成財(cái)務(wù)數(shù)據(jù),除了要從數(shù)據(jù)源頭控制數(shù)據(jù)的正確性之外,還應(yīng)該關(guān)注中間環(huán)節(jié)中的財(cái)務(wù)集成參數(shù)的設(shè)置,以確保集成財(cái)務(wù)數(shù)據(jù)的有效性。因此,系統(tǒng)的參數(shù)設(shè)置是審計(jì)的一個(gè)重點(diǎn),要檢查系統(tǒng)參數(shù)的設(shè)置是否符合企業(yè)的實(shí)際情況和行業(yè)特點(diǎn),系統(tǒng)參數(shù)的設(shè)置是否符合一貫性、有效性,是否存在隨意改變參數(shù)設(shè)置的情況。
4.4提高審計(jì)人員對ERP系統(tǒng)的應(yīng)用能力
ERP系統(tǒng)功能強(qiáng)大,業(yè)務(wù)模塊眾多,必須熟悉ERP系統(tǒng),才能更好地開展效益審計(jì)。這就需要審計(jì)人員加強(qiáng)對ERP系統(tǒng)的學(xué)習(xí),最好是從ERP系統(tǒng)實(shí)施開始就有審計(jì)人員參與項(xiàng)目,實(shí)踐證明,參與ERP項(xiàng)目實(shí)施的人員往往是對ERP系統(tǒng)掌握程度最高的一批人。并且,學(xué)習(xí)不能僅僅局限于財(cái)務(wù)模塊,還要熟悉其他模塊的內(nèi)容,如物料管理、銷售分銷、人力資源、系統(tǒng)管理等。只有這樣,在ERP環(huán)境下,審計(jì)人員才能更大限度地開展效益審計(jì)。
5.結(jié)論
綜上所述,隨著ERP系統(tǒng)的實(shí)施,企業(yè)的經(jīng)營管理模式和業(yè)務(wù)流程以及相應(yīng)的內(nèi)部控制發(fā)生了重大改變,這促使了內(nèi)部審計(jì)的工作發(fā)生了本質(zhì)的變革。因此,內(nèi)部審計(jì)人員應(yīng)主動參與ERP系統(tǒng)的實(shí)施與應(yīng)用等進(jìn)程,熟悉ERP系統(tǒng)各個(gè)模塊的功能與應(yīng)用,充分利用ERP系統(tǒng)各模塊的集成性以及系統(tǒng)對流程和業(yè)務(wù)的動態(tài)監(jiān)控功能,對優(yōu)化后的流程進(jìn)行內(nèi)部控制風(fēng)險(xiǎn)評估,加強(qiáng)完善內(nèi)部控制體系,以促進(jìn)公司ERP的有效應(yīng)用,提高公司的全面風(fēng)險(xiǎn)管理能力。
參考文獻(xiàn):
[1] 楊律青;《基于SAP的ERP項(xiàng)目風(fēng)險(xiǎn)管理》;數(shù)字石油和化工; 2007年1期;95-98
[2] 梁倫騰;《ERP環(huán)境下企業(yè)的風(fēng)險(xiǎn)管理審計(jì)》;漣鋼科技與管理;2005(4);58
[3] 劉汝元,邊金良;《淺談ERP項(xiàng)目的風(fēng)險(xiǎn)管理》;中國科技信息;2007年09期;162-163
【摘要】 在當(dāng)今信息化建設(shè)正在普及的時(shí)代,對于醫(yī)院如何利用現(xiàn)有的信息化條件實(shí)現(xiàn)對醫(yī)療風(fēng)險(xiǎn)的預(yù)控,已成為醫(yī)院信息化建設(shè)的發(fā)展方向和醫(yī)療風(fēng)險(xiǎn)的研究方向。本文探討了信息化建設(shè)在醫(yī)院醫(yī)療風(fēng)險(xiǎn)管理中應(yīng)用的技術(shù)支持條件,并從風(fēng)險(xiǎn)信息管理平臺設(shè)計(jì)上提出了信息集成與查詢、風(fēng)險(xiǎn)評估與報(bào)警、決策支持與維護(hù)的操作流程。
【關(guān)鍵詞】 醫(yī)療風(fēng)險(xiǎn);信息化;管理
【Abstract】 Nowadays informationbased construction is being popularized, thus, how a hospital makes use of an existing informationbased condition to preventively control medical risk has become a developing direction of informationbased hospital construction and a research direction of medical risk management. This study explored the technically supportive condition of informationbased construction in the medical risk management in a hospital. From the management platform of risk information, we also designed the operational process of putting forward information integration and search, risk valuation and priorwarning, decision support and maintenance.
【Key words】 medical risk; informationbased construction; management
隨著信息技術(shù)在醫(yī)療行業(yè)應(yīng)用的不斷深入,利用網(wǎng)絡(luò)及數(shù)字技術(shù)有機(jī)整合醫(yī)院業(yè)務(wù)信息和管理信息來實(shí)現(xiàn)醫(yī)院內(nèi)部資源有效利用和業(yè)務(wù)流程最大優(yōu)化的數(shù)字化醫(yī)院已成為我國醫(yī)療信息化發(fā)展的方向,并取得了長足的進(jìn)步。但是,面對當(dāng)今激烈的市場競爭,以及在門診、住院、出院等環(huán)節(jié)和診斷、治療、康復(fù)等行為的全過程中時(shí)刻面臨著的醫(yī)療風(fēng)險(xiǎn),醫(yī)院管理者必須樹立風(fēng)險(xiǎn)管理理念,研究當(dāng)前醫(yī)院所面臨的新形勢,借助開展信息化建設(shè)來科學(xué)地預(yù)測和處理醫(yī)療風(fēng)險(xiǎn),達(dá)到維護(hù)醫(yī)患雙方共同利益的最終目標(biāo)。
1 研究背景
信息化建設(shè)是現(xiàn)代化醫(yī)院的基礎(chǔ)[1]。我國醫(yī)院信息化經(jīng)歷了20余年的發(fā)展,已初具規(guī)模并取得了長足的進(jìn)步。有關(guān)數(shù)據(jù)表明:90%以上的大中型醫(yī)院已經(jīng)實(shí)現(xiàn)了科室的信息化管理,40%的大中型醫(yī)院正在建設(shè)全院的管理信息系統(tǒng)、打造數(shù)字化醫(yī)院[2]。據(jù)資料顯示,全國有20家醫(yī)院首批成為了數(shù)字化試點(diǎn)示范醫(yī)院。
近年來,醫(yī)院信息化建設(shè)正在從"三級"大醫(yī)院向基層醫(yī)院推進(jìn),并擬投入30億元成立利用數(shù)字化改善基層醫(yī)院落后現(xiàn)狀的"中國千家農(nóng)村醫(yī)院數(shù)字化扶持工程"。但是,醫(yī)療事故和醫(yī)療差錯(cuò)呈現(xiàn)出逐年上升的趨勢,根據(jù)2005年中華醫(yī)院管理學(xué)會調(diào)查統(tǒng)計(jì):三級甲等醫(yī)院平均每年每家發(fā)生醫(yī)療糾紛中要求賠償?shù)挠?00例左右,到法院訴訟的有20~30例左右,而賠償數(shù)額一年達(dá)100萬左右。此外,目前在風(fēng)險(xiǎn)管理上還沒有業(yè)內(nèi)公認(rèn)的、完善的、全國性的醫(yī)療風(fēng)險(xiǎn)監(jiān)控網(wǎng)絡(luò)信息體系、數(shù)據(jù)庫或調(diào)控系統(tǒng),因此也難以及時(shí)準(zhǔn)確地對醫(yī)療風(fēng)險(xiǎn)程度進(jìn)行評估,更無法實(shí)現(xiàn)通過相應(yīng)的預(yù)警機(jī)制預(yù)警信號[3]。
因此,我們應(yīng)加強(qiáng)對醫(yī)院的信息化建設(shè),試圖通過打造數(shù)字化醫(yī)院來加強(qiáng)醫(yī)療風(fēng)險(xiǎn)的監(jiān)控管理,形成集數(shù)字化的管理、醫(yī)療、服務(wù)為一體的現(xiàn)代醫(yī)院經(jīng)營管理模式,并及時(shí)準(zhǔn)確地收集、傳遞、存儲各種風(fēng)險(xiǎn)信息,做好各部門的溝通反饋和協(xié)調(diào)合作,從而來維持醫(yī)院的經(jīng)營穩(wěn)定,提高醫(yī)院的工作效率和經(jīng)濟(jì)效益,減少因醫(yī)療風(fēng)險(xiǎn)所致的所有損失,同時(shí)還助于減少醫(yī)務(wù)人員對醫(yī)療風(fēng)險(xiǎn)的恐懼與憂慮,為醫(yī)院管理者制定工作計(jì)劃或決策提供重要依據(jù)[4]。
2 技術(shù)支持
數(shù)字化醫(yī)院的信息系統(tǒng)主要由兩大部分組成,即以醫(yī)院管理業(yè)務(wù)為核心的醫(yī)院管理信息系統(tǒng)和以臨床醫(yī)療為核心的臨床信息系統(tǒng)。醫(yī)院信息管理系統(tǒng),是醫(yī)院信息化建設(shè)的重要組成部分,包括門診、住院病房、藥品、檢查、器材等管理分系統(tǒng),且部分醫(yī)院建成了覆蓋全院的影像存檔與傳輸系統(tǒng)(PACS)、檢驗(yàn)信息系統(tǒng)(LIS)、合理用藥監(jiān)測系統(tǒng)(PASS)以及醫(yī)療質(zhì)控網(wǎng)絡(luò)化和綜合管理查詢系統(tǒng)等臨床信息系統(tǒng)[5]。同時(shí),正在興起的電子病歷系統(tǒng)是以病人為中心的,整合了管理信息系統(tǒng)數(shù)據(jù)和臨床信息系統(tǒng)數(shù)據(jù)的,反映患者醫(yī)療信息的診療系統(tǒng)。
在硬件支持上,目前大部分醫(yī)院擁有較先進(jìn)、小到科室和個(gè)人的計(jì)算機(jī)設(shè)備,并建有成千上萬個(gè)終端信息點(diǎn)的網(wǎng)絡(luò)系統(tǒng),配有防雷擊、防停電設(shè)施。同時(shí),大中型醫(yī)院還擁有各類大型數(shù)字化設(shè)備,包括多種類型的CT、MRI、全自動生化分析儀等先進(jìn)的檢查設(shè)備,均有完備的標(biāo)準(zhǔn)化數(shù)據(jù)傳輸接口,確保實(shí)現(xiàn)風(fēng)險(xiǎn)管理的信息化。另外,從有些醫(yī)院的經(jīng)濟(jì)實(shí)力來看,有能力完成對硬件和軟件系統(tǒng)的升級或改造。
3 平臺設(shè)計(jì)
根據(jù)醫(yī)院的信息化建設(shè)需要和總體規(guī)劃,在已組建信息化領(lǐng)導(dǎo)小組和機(jī)構(gòu)部門的基礎(chǔ)上,我們應(yīng)增加對醫(yī)療風(fēng)險(xiǎn)信息化管理模塊,設(shè)置專職機(jī)構(gòu)和人員與制定相應(yīng)的管理制度。并結(jié)合醫(yī)療風(fēng)險(xiǎn)的自身特點(diǎn)和管理流程,自主開發(fā)醫(yī)療風(fēng)險(xiǎn)管理信息平臺,集成和監(jiān)測醫(yī)院信息系統(tǒng)的數(shù)據(jù),通過查詢并分析評估可能存在的風(fēng)險(xiǎn),并及時(shí)按層次級別發(fā)出風(fēng)險(xiǎn)警報(bào)和提供可供參考的處理對策(見圖1)。
3.1 信息集成與查詢
醫(yī)院業(yè)務(wù)種類繁多,信息類型復(fù)雜。既有特有的各類醫(yī)療業(yè)務(wù),也有常見的人、財(cái)、物的管理。所涉及的信息,有結(jié)構(gòu)化的文字、自由文本,還有圖形、圖像等多媒體信息。而風(fēng)險(xiǎn)管理首先必須完成對醫(yī)療風(fēng)險(xiǎn)的識別,也就是從大量的信息中識別出醫(yī)療風(fēng)險(xiǎn)的類別、根源及影響。其中完成大量信息的集成是整個(gè)醫(yī)療風(fēng)險(xiǎn)信息化管理的第一步。以往這些主要信息來源于自我發(fā)現(xiàn)、他人提醒、內(nèi)部檢查和上級監(jiān)督等。如今,我們可以通過組建風(fēng)險(xiǎn)管理信息平臺對醫(yī)療、護(hù)理、經(jīng)費(fèi)、藥品、物資及科研、教學(xué)等活動中的所有信息進(jìn)行分散收集、統(tǒng)一管理,也通過綜合管理查詢系統(tǒng)了解單個(gè)病人的診治信息和工作人員業(yè)務(wù)信息,從而快速、準(zhǔn)確地實(shí)現(xiàn)對信息的數(shù)字化采集和查詢。
3.2 風(fēng)險(xiǎn)評估與報(bào)警
醫(yī)療過程專業(yè)性強(qiáng),對信息的分析處理工具的需求具有專業(yè)化、知識化、智能化的特點(diǎn)。在信息集成的基礎(chǔ)上,我們可利用信息技術(shù)的快速、準(zhǔn)確、便捷的特點(diǎn),根據(jù)醫(yī)院的工作要求和病歷的書寫規(guī)定,開發(fā)一套能衡量和評估各類潛在醫(yī)療風(fēng)險(xiǎn)發(fā)生的概率及其潛在損失程度的風(fēng)險(xiǎn)分析處理軟件和風(fēng)險(xiǎn)預(yù)警信息系統(tǒng),設(shè)想將醫(yī)療風(fēng)險(xiǎn)監(jiān)測的指標(biāo)輸入到信息系統(tǒng)中,確認(rèn)這些指標(biāo)的數(shù)據(jù)處理模型和預(yù)警界線值。同時(shí),根據(jù)定性分析和事實(shí),剖析問題的性質(zhì)與發(fā)生根源,確認(rèn)風(fēng)險(xiǎn)性質(zhì);根據(jù)定量分析和描述,對風(fēng)險(xiǎn)危害程度進(jìn)行重要性排序,確認(rèn)風(fēng)險(xiǎn)等級,最終發(fā)出相對應(yīng)的警報(bào),顯示風(fēng)險(xiǎn)的指示圖與態(tài)勢圖。
3.3 決策支持與維護(hù)
一旦出現(xiàn)醫(yī)療風(fēng)險(xiǎn)就必須采取針對性預(yù)控策略。如消除和緩解風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)及分擔(dān)和回避風(fēng)險(xiǎn)等。不同的風(fēng)險(xiǎn)策略顯然效果也不同,因而醫(yī)院需要對風(fēng)險(xiǎn)策略進(jìn)行最適合、最優(yōu)化的選擇,其目的是將醫(yī)療風(fēng)險(xiǎn)損失成本控制到最低。我們可以在風(fēng)險(xiǎn)預(yù)警信息系統(tǒng)的基礎(chǔ)上組建智能決策支持系統(tǒng),由定量分析為主的決策支持系統(tǒng)和定性分析為主的專家系統(tǒng)結(jié)合組成,主要通過對數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行處理和挖掘使其輔助決策能力從運(yùn)籌學(xué)、管理科學(xué)的單模型輔助決策發(fā)展到多模型綜合決策。另外,我們還必須建立一套安全機(jī)制,實(shí)行對風(fēng)險(xiǎn)管理信息系統(tǒng)的維護(hù)。
4 實(shí)現(xiàn)目標(biāo)
4.1 提高管理能力,確保病人滿意
我們可以利用醫(yī)療風(fēng)險(xiǎn)管理網(wǎng)絡(luò)平臺及時(shí)獲取所發(fā)生的各類風(fēng)險(xiǎn)信息,及時(shí)、準(zhǔn)確地掌握醫(yī)療風(fēng)險(xiǎn)的動態(tài)情況,促進(jìn)醫(yī)院內(nèi)部的信息流動和傳遞,便于管理者和政府機(jī)構(gòu)對醫(yī)院的監(jiān)管,使醫(yī)院風(fēng)險(xiǎn)預(yù)警更具有針對性和可行性,從而可以提高醫(yī)院經(jīng)營的決策能力與管理水平,使醫(yī)院管理向正規(guī)化、現(xiàn)代化、科學(xué)化方向發(fā)展。同時(shí),隨著醫(yī)療風(fēng)險(xiǎn)的降低,病人滿意度也會逐漸得到提高。
4.2 加強(qiáng)過程控制,提高醫(yī)療質(zhì)量
醫(yī)療活動中產(chǎn)生的各種信息具有很強(qiáng)的動態(tài)性、連續(xù)性和實(shí)時(shí)性,原始的人工管理方法很難從環(huán)節(jié)管理機(jī)制上加以控制。通過醫(yī)療風(fēng)險(xiǎn)管理網(wǎng)絡(luò)信息工程,我們可隨時(shí)從終端上很方便地掌握全院的風(fēng)險(xiǎn)動態(tài)信息,及時(shí)發(fā)現(xiàn)醫(yī)療、護(hù)理過程中各環(huán)節(jié)存在的問題,使醫(yī)院管理從過去的終末質(zhì)量管理深入到環(huán)節(jié)控制管理,將事后管理變成事前預(yù)測或事中監(jiān)督管理,使醫(yī)院醫(yī)療質(zhì)量得到明顯提高。
4.3 優(yōu)化工作流程,提高工作效率
醫(yī)療風(fēng)險(xiǎn)網(wǎng)絡(luò)信息化管理的應(yīng)用,對醫(yī)院原有的管理模式和工作流程進(jìn)行了重大的改革和重組,促進(jìn)了醫(yī)療活動規(guī)范、有序進(jìn)行,保證了整個(gè)醫(yī)療工作的連續(xù)性和信息組成的完整性。同時(shí),使風(fēng)險(xiǎn)管理過程由繁變簡,從雜亂走向統(tǒng)一,減少重復(fù)勞動,由過去的經(jīng)驗(yàn)型管理向科學(xué)型管理方式轉(zhuǎn)換,可以提高信息的共享和利用水平以及預(yù)警預(yù)報(bào)和快速反應(yīng)能力,使醫(yī)院工作效率明顯上升。
參考文獻(xiàn)
[1] 連斌,許蘋.醫(yī)院核心競爭力[M]. 上海:第二軍醫(yī)大學(xué)出版社,2008:180205.
[2] 陳鈞.打造數(shù)字醫(yī)院[J]. 中國信息界(醫(yī)療),2008,4:2635.
[3] 許蘋,孔令曼,秦婷,等.建立醫(yī)療風(fēng)險(xiǎn)預(yù)警機(jī)制的若干構(gòu)想[J]. 中國衛(wèi)生質(zhì)量管理,2006,13(1):911.
關(guān)鍵詞:華興綜合管理信息系統(tǒng)需求進(jìn)度CMMI(軟件能力成熟度模型) 風(fēng)險(xiǎn)管理
中圖分類號:C931.6文獻(xiàn)標(biāo)識碼: A
一、前言
華興綜合管理信息系統(tǒng)于2011年11月5日正式通過了住建部專家對我公司特級資質(zhì)就位信息化實(shí)地考核,公司的信息化建設(shè)終于取得了階段性的成果。作為一個(gè)華興綜合管理信息系統(tǒng)開發(fā)的全程參與及經(jīng)歷者,深感在華興綜合管理信息系統(tǒng)的開發(fā)中,對整個(gè)開發(fā)過程的風(fēng)險(xiǎn)控制彌足重要。
二、華興綜合管理信息系統(tǒng)開發(fā)過程的簡要回顧
第一階段:2006年2月,公司啟動了華興綜合管理信息系統(tǒng)的開發(fā),選定了軟件開發(fā)商,成立了軟件開發(fā)小組,進(jìn)入了實(shí)質(zhì)性的開發(fā)。并制定了需要開發(fā)的子系統(tǒng)為:項(xiàng)目信息管理子系統(tǒng)、人力資源管理子系統(tǒng)、設(shè)備管理子系統(tǒng)、OA辦公四個(gè)子系統(tǒng),在華興綜合管理信息系統(tǒng)開發(fā)的過程中,由于種種原因產(chǎn)生了初期的需求調(diào)研不充分,致使系統(tǒng)開發(fā)進(jìn)展不順,因而開發(fā)出來的項(xiàng)目信息、設(shè)備管理、OA辦公幾個(gè)子系統(tǒng)的功能有限,沒有達(dá)到預(yù)期的使用效果。
第二階段:2009年6月,根據(jù)公司的實(shí)際需求,要求軟件開發(fā)商對2006年開發(fā)的華興綜合管理信息系統(tǒng)進(jìn)行升級改造,并對其中的OA辦公、協(xié)同門戶、物資管理、成本管理、進(jìn)度管理、設(shè)備管理、風(fēng)險(xiǎn)管理等進(jìn)行符合公司的適應(yīng)性開發(fā),雖然取得了一些效果,但是由于開發(fā)過程中的需求變更頻繁,致使開發(fā)工作進(jìn)展緩慢,成本增加。
第三階段:2010年12月,公司成立了信息化建設(shè)的軟件開發(fā)組,成員由軟件開發(fā)商以及我方的自有的軟件開發(fā)人員組成,同時(shí)成立了信息化建設(shè)的推進(jìn)組,成員由科研部信息化專業(yè)人員組成,負(fù)責(zé)華興綜合管理信息系統(tǒng)的需求分析確定、與各業(yè)務(wù)部門的協(xié)調(diào)、各子系統(tǒng)上線的培訓(xùn)、各子系統(tǒng)的數(shù)據(jù)核查等,兩個(gè)小組分工協(xié)同,在開發(fā)的過程中充分識別和評估了可能存在的風(fēng)險(xiǎn),并制定了相應(yīng)的應(yīng)對措施,使華興綜合管理信息系統(tǒng)得以順利的開發(fā)和完善,并在不到一年的時(shí)間內(nèi)上線運(yùn)行。
三、華興綜合管理信息系統(tǒng)開發(fā)的風(fēng)險(xiǎn)管理
風(fēng)險(xiǎn)管理是軟件開發(fā)過程中減少失敗的重要手段,在軟件開發(fā)過程中的風(fēng)險(xiǎn)管理,即是在軟件開發(fā)之前,通過識別出潛在風(fēng)險(xiǎn),并對風(fēng)險(xiǎn)進(jìn)行分析,判斷出風(fēng)險(xiǎn)的危害程度,并采取相應(yīng)的應(yīng)對措施進(jìn)行控制和管理,從而規(guī)避或緩解風(fēng)險(xiǎn)帶來的不利影響。由此可見,有效的風(fēng)險(xiǎn)管理可以提前發(fā)現(xiàn)那些潛在的問題,提前對風(fēng)險(xiǎn)制定對策就,并在風(fēng)險(xiǎn)發(fā)生的時(shí)候迅速做出反應(yīng),將工作方式從被動救火方式轉(zhuǎn)變?yōu)橹鲃臃婪叮管浖_發(fā)的進(jìn)程更加平穩(wěn),獲得很高的跟蹤和掌控軟件開發(fā)過程的能力。
軟件開發(fā)過程中的風(fēng)險(xiǎn)管理是一個(gè)動態(tài)的管理過程,是風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)控制的循環(huán)管理過程。
通過對華興綜合管理信息系統(tǒng)開發(fā)過程三個(gè)階段的回顧可以看出,風(fēng)險(xiǎn)管理在華興綜合管理信息系統(tǒng)開發(fā)過程中控制起著舉足輕重的作用,風(fēng)險(xiǎn)控制的好壞直接影響著系統(tǒng)開發(fā)的成敗。
因此,我們在華興綜合管理信息系統(tǒng)第三階段的開發(fā)的同時(shí)加強(qiáng)了對開發(fā)過程的風(fēng)險(xiǎn),識別和評估出我們主要的風(fēng)險(xiǎn)有:系統(tǒng)需求方面的風(fēng)險(xiǎn)、軟件開發(fā)人員方面的風(fēng)險(xiǎn)、軟件開發(fā)進(jìn)度的風(fēng)險(xiǎn)等。
下面就華興綜合管理信息系統(tǒng)第三階段開發(fā)過程中遇到的風(fēng)險(xiǎn)及解決和預(yù)防措施做簡要分析:
1、初期需求風(fēng)險(xiǎn)
華興綜合管理信息系統(tǒng)在確定需求時(shí)都面臨著一些不確定性和混亂,當(dāng)早期如果忽視了這些不確定性,并在進(jìn)展過程中得不到解決這些問題就會對華興綜合管理信息系統(tǒng)造成很大的威脅。
初期需求風(fēng)險(xiǎn)因素主要表現(xiàn)在以下方面:
對華興綜合管理信息系統(tǒng)缺少清晰的認(rèn)識
對華興綜合管理信息系統(tǒng)需求缺少認(rèn)同
在做需求中各業(yè)務(wù)人員參與深度不夠
針對以上可能存在的風(fēng)險(xiǎn)因素,我們采取了以下初期需求風(fēng)險(xiǎn)防范對策
(1)需求分析是整個(gè)華興綜合管理信息系統(tǒng)開發(fā)中需要重點(diǎn)控制的幾個(gè)關(guān)鍵節(jié)點(diǎn)之一,首先我們在各種討論會或是合適的場合,給需求提出者宣傳需求分析的重要意義,使其在在思想上重視。
(2)需求分析報(bào)告的編寫者參與到需求的搜集工作中,準(zhǔn)確領(lǐng)會各個(gè)業(yè)務(wù)管理部門的意圖,并轉(zhuǎn)化成軟件能夠?qū)崿F(xiàn)的功能。對于說不清楚需求的相關(guān)業(yè)務(wù)人員,我們抓住關(guān)鍵問題進(jìn)行提問,或開發(fā)用戶界面原型,引導(dǎo)相關(guān)業(yè)務(wù)人員提出自己的需求,并組織業(yè)務(wù)人員多次召開需求討論會,詳細(xì)討論業(yè)務(wù)人員的需求。
(3)對各項(xiàng)需求進(jìn)行了深入分析,區(qū)別出哪些需求存在日后變更的可能,哪些需求屬于相對固定的,哪些需求能夠?qū)崿F(xiàn),哪些需求需要變通才能實(shí)現(xiàn),以便于指導(dǎo)后面的功能設(shè)計(jì)。
(4)在需求分析報(bào)告中對功能細(xì)節(jié)的描述確保全面、準(zhǔn)確,防止歧義。
(5)需求報(bào)告的每個(gè)關(guān)乎功能的描述都讓業(yè)務(wù)人員明白和理解,只有業(yè)務(wù)人員在理解之上的確認(rèn)才能夠保證日后一旦出現(xiàn)問題不致出現(xiàn)雙方互相推托責(zé)任糾纏不清的情況。
(6)需求報(bào)告經(jīng)過了由軟件開發(fā)小組人員、相關(guān)業(yè)務(wù)人員及信息化推進(jìn)小組相關(guān)人員參加的評審,充分發(fā)揮了團(tuán)隊(duì)的力量,重視每個(gè)人的才智,一個(gè)模塊一個(gè)功能的逐一的過,讓大家來共同找出需求報(bào)告里不合理的、有歧義的、不完善的、遺漏等問題。
通過上述策略,我們達(dá)到了初期需求階段的主要目的:確定了華興綜合管理信息系統(tǒng)中每一個(gè)子系統(tǒng)的明確目標(biāo)和清晰的范圍,并通過提高公司高層的認(rèn)識,強(qiáng)化公司對開發(fā)華興綜合管理信息系統(tǒng)的支持力度,為日后系統(tǒng)的順利開發(fā)打下良好的基礎(chǔ)。
2、開發(fā)過程中的需求變更風(fēng)險(xiǎn)
隨著軟件開發(fā)的進(jìn)展,原始的初步的需求已經(jīng)轉(zhuǎn)化為看得見的軟件內(nèi)容,用戶已經(jīng)可以看到軟件的雛形,用戶的逐漸成熟,對于軟件的具體要求也越來越清晰,此時(shí)不單是對原有需求的細(xì)化,而且對于軟件功能提出了新的更高層次的需求,對軟件的未來功能充滿了期待,甚至出現(xiàn)了不切實(shí)際的需求。有時(shí)雖然對用戶看起來是很小的需求變動,然而對程序來講可能要做結(jié)構(gòu)上的調(diào)整,這對于整個(gè)軟件開發(fā)小組來講無疑是場噩夢。另外,需求的變更還會使項(xiàng)目的進(jìn)程可能遠(yuǎn)遠(yuǎn)地偏離了原有的計(jì)劃,打亂安排好的進(jìn)度,原來已經(jīng)完成的工作不得不重來,項(xiàng)目進(jìn)程陷入了反復(fù)拉鋸的狀態(tài)。由于時(shí)間的延期項(xiàng)目成本也將增加可能會是驚人的。例如在華興綜合管理信息系統(tǒng)開發(fā)的第二階段的開發(fā)過程中,就產(chǎn)生了上述問題,需求變更頻繁,致使系統(tǒng)開發(fā)一度處于停滯階段,并且眾多的需求變更累計(jì)的金額也十分巨大,如第二階段中的設(shè)備變更單累計(jì)金額就多達(dá)36.6萬元。
因此,我們總結(jié)了第一、第二階段的經(jīng)驗(yàn)和教訓(xùn),需要避免上訴的問題再次發(fā)生,在第三階段的開發(fā)過程中,我們意識到了如何正確處理需求變動風(fēng)險(xiǎn)十分重要的,并采取了如下的應(yīng)對措施:
(1)大的需求的變更不但要經(jīng)過需求變更提出者的書面確認(rèn),而且還需要其相關(guān)領(lǐng)導(dǎo)的確認(rèn)。
(2)小的需求變更也要經(jīng)過正規(guī)的需求管理流程。
(3)組織需求提出方與軟件開發(fā)方進(jìn)行充分的交流和溝通,達(dá)到一個(gè)雙方都能接受的平衡點(diǎn)。因?yàn)榫_的需求與范圍定義并不會阻止需求的變更,并非對需求定義的越細(xì),越能避免需求的漸變,太細(xì)的需求定義對需求漸變沒有任何效果,因?yàn)樾枨蟮淖兓怯篮愕模⒎怯捎谛枨髮懠?xì)了,它就不會變化了。
3、人力資源風(fēng)險(xiǎn)
華興綜合管理信息系統(tǒng)不同于其他工程,它是智力密集型、勞動密集型項(xiàng)目,主要是靠人來完成,因此合理的配置使用人力資源成為華興綜合管理信息系統(tǒng)成敗的關(guān)鍵之一。
在華興綜合管理信息系統(tǒng)中人力資源的風(fēng)險(xiǎn)主要表現(xiàn)在以下幾個(gè)方面:
開發(fā)人員的技術(shù)水平是否達(dá)到要求
開發(fā)人員的數(shù)量是否足夠
開發(fā)人員是否能夠自始至終地參加軟件開發(fā)工作。
開發(fā)人員是否能夠集中全部精力投入軟件開發(fā)工作。
開發(fā)人員的流動是否能夠保證工作的連續(xù)性。
為了消除以上風(fēng)險(xiǎn)因素,在華興綜合管理信息系統(tǒng)的開發(fā)過程中,采取了以下應(yīng)對措施:
(1)與軟件開發(fā)商鑒定了戰(zhàn)略性的合作協(xié)議,使華興綜合管理信息系統(tǒng)開發(fā)成功能達(dá)到雙贏的效果,從而保證了軟件開發(fā)商的積極性,使軟件開發(fā)商在其軟件開發(fā)人員的數(shù)量、質(zhì)量及軟件開發(fā)人員的穩(wěn)定得以充分的保障。
(2)采用聯(lián)合開發(fā)的方式,將我公司自有的軟件開發(fā)人員參與其中,預(yù)防在非常時(shí)期軟件開發(fā)人員不會斷檔。
(3)在華興綜合管理信息系統(tǒng)開發(fā)過程中,所有的過程都要形成正式的文檔,這些文檔包括數(shù)據(jù)庫設(shè)計(jì)的文檔、源代碼、源代碼說明、概要設(shè)計(jì)說明書、用戶手冊等等文檔。在三階段的開發(fā)中,我們驗(yàn)收了華興綜合管理信息系統(tǒng)源代碼一份、數(shù)據(jù)庫完整ER圖一份、需求報(bào)告12份,用戶手冊11份,有了這些資料,即便軟件開發(fā)商退場,我們自己的軟件開發(fā)人員也能接手。
4、進(jìn)度風(fēng)險(xiǎn)
華興綜合管理信息系統(tǒng)看了第三階段的開發(fā),事實(shí)上從2010年12月開始正式啟動,共計(jì)要完善和開發(fā)14個(gè)子系統(tǒng),并要符合公司實(shí)際業(yè)務(wù)需要,還要達(dá)到特級資質(zhì)考核的標(biāo)準(zhǔn),時(shí)間特別緊迫,此時(shí)進(jìn)度是最大潛在的風(fēng)險(xiǎn),如果不加以控制,那華興綜合管理信息系統(tǒng)將不能按時(shí)上線交付,那么公司的就位考核將不能通過考核,那將給公司帶來的后果是災(zāi)難性的。因此,在華興綜合管理信息系統(tǒng)的開發(fā)中,控制進(jìn)度風(fēng)險(xiǎn)尤為重要,我們采取了以下措施進(jìn)行了進(jìn)度風(fēng)險(xiǎn)的控制:
(1)我們首先制定了總計(jì)劃,在總體計(jì)劃中明確各個(gè)階段的任務(wù)完成時(shí)間,然后在總計(jì)劃的基礎(chǔ)上進(jìn)行細(xì)化分解,分解為較為精確周計(jì)劃,計(jì)劃的實(shí)施時(shí)間精確到天。
(2)每周一開例會,開會期間總結(jié)上周的任務(wù)完成情況,如有問題,分析原因,及時(shí)解決。
(3)如果入到突發(fā)事件,及時(shí)調(diào)整計(jì)劃,總之保證計(jì)劃的如期完成。
(4)提高開發(fā)人員的主動性和積極性,在人性化管理的基礎(chǔ)上,加班加點(diǎn)地工作,保證實(shí)際進(jìn)度不晚于計(jì)劃進(jìn)度。
5、華興綜合管理信息系統(tǒng)上線運(yùn)行的風(fēng)險(xiǎn)
華興綜合管理信息系統(tǒng)開發(fā)完成只是完成了第一步,,成敗的關(guān)鍵還看上線運(yùn)行及推廣應(yīng)用,在華興中核管理信息系統(tǒng)初期運(yùn)行階段中,通過評估,我們認(rèn)為存在以下幾點(diǎn)風(fēng)險(xiǎn)因素:
傳統(tǒng)工作習(xí)慣的阻力
用戶掌握系統(tǒng)使用熟練程度
繁瑣的數(shù)據(jù)初始化工作
系統(tǒng)不可預(yù)見性的問題
為了有效控制上述風(fēng)險(xiǎn),我們采取了以下幾點(diǎn)措施:
(1)領(lǐng)導(dǎo)的關(guān)注和決策是軟件應(yīng)用效果的重要保障,因此,在召開系統(tǒng)上線推廣會議時(shí),邀請了公司高層主管領(lǐng)導(dǎo)、各事業(yè)部相關(guān)領(lǐng)導(dǎo)、各業(yè)務(wù)部門負(fù)責(zé)人共同參與,共同明確后續(xù)需要配合的事項(xiàng)及系統(tǒng)應(yīng)用策略,如系統(tǒng)上線啟用時(shí)間點(diǎn)、功能模塊上線范圍、相關(guān)業(yè)務(wù)人員使用范圍,并建立業(yè)務(wù)基礎(chǔ)數(shù)據(jù)的責(zé)任部門及責(zé)任人。由于領(lǐng)導(dǎo)的參與,傳統(tǒng)的工作習(xí)慣的阻力能很順利的化解,保證的整改系統(tǒng)的推廣及應(yīng)用。
(2)制定了信息的用戶培訓(xùn)計(jì)劃,充分利用公司視頻會議的便利條件,對用戶進(jìn)行了大規(guī)模的輪番培訓(xùn),以用戶熟練掌握系統(tǒng)應(yīng)用為原則,同時(shí)組建了多個(gè)QQ答疑群,隨時(shí)回答用戶在使用系統(tǒng)過程中存在的問題,使用戶能在比較短的時(shí)間內(nèi)熟練掌握了系統(tǒng)的應(yīng)用。
(3)對于繁瑣的數(shù)據(jù)初始化的問題,我們采用后臺數(shù)據(jù)庫導(dǎo)入的方式進(jìn)行,這樣既方便了用戶,又保證了需要遷移的歷史數(shù)據(jù)或初始化數(shù)據(jù)的快速、準(zhǔn)確地錄入到系統(tǒng)中。
(4)在華興綜合管理信息系統(tǒng)運(yùn)行的初期,我們也遇到了意料之外的情況,在眾多用戶登錄到系統(tǒng)后,由于并發(fā)數(shù)量過大,超出了服務(wù)器的承載,是整個(gè)系統(tǒng)的應(yīng)用響應(yīng)速度非常的慢,當(dāng)我們找到原因以后,立即采用的服務(wù)器負(fù)載均衡的方式解決了這一問題。
四、總結(jié)與展望
華興綜合管理信息系統(tǒng)第三階段的開發(fā),由于在開發(fā)之前,對開發(fā)過程中可能產(chǎn)生的風(fēng)險(xiǎn)因素進(jìn)行了充分的識別、評估及控制,使系統(tǒng)的開發(fā)及上線運(yùn)行得以順利進(jìn)行,使公司特級資質(zhì)就位信息化的考核得以順利通過,獲得了好評。
但是,華興綜合管理信息系統(tǒng)開發(fā)過程中的風(fēng)險(xiǎn)管理,是我們憑著經(jīng)驗(yàn)而為,還沒有升華到系統(tǒng)的、精細(xì)化的軟件開發(fā)的風(fēng)險(xiǎn)管理,因此,我們在今后的軟件開發(fā)過程中的風(fēng)險(xiǎn)管理,應(yīng)在理論的指導(dǎo)下,與公司的具體實(shí)際情況相結(jié)合,建立一套符合公司實(shí)際情況的軟件開發(fā)的風(fēng)險(xiǎn)管理體系,我對今后公司軟件開發(fā)的風(fēng)險(xiǎn)管理展望如下:
建立基于CMMI(軟件能力成熟度模型)的軟件開發(fā)的風(fēng)險(xiǎn)管理體系,基于CMMI軟件開發(fā)風(fēng)險(xiǎn)管理是強(qiáng)調(diào)過程管理,可以通過圖一中的流程來說明。
圖一:風(fēng)險(xiǎn)管理流程
風(fēng)險(xiǎn)規(guī)劃:
在進(jìn)行風(fēng)險(xiǎn)管理的過程中,風(fēng)險(xiǎn)規(guī)劃的環(huán)節(jié)十分重要,可以通過以下模型(圖二)進(jìn)行風(fēng)險(xiǎn)規(guī)劃:
圖二:風(fēng)險(xiǎn)規(guī)劃
在風(fēng)險(xiǎn)規(guī)劃階段,我們需要做的工作是:
確定風(fēng)險(xiǎn)來源:了解風(fēng)險(xiǎn)來源,將為系統(tǒng)地檢查不斷變化的風(fēng)險(xiǎn)情況打下基礎(chǔ),以揭示那些在軟件開發(fā)過程中造成不利影響的風(fēng)險(xiǎn)。
確定風(fēng)險(xiǎn)類別:確定風(fēng)險(xiǎn)類別是為收集的風(fēng)險(xiǎn)分門別類,標(biāo)識風(fēng)險(xiǎn)類別有助于風(fēng)險(xiǎn)緩解計(jì)劃中整合將來的緩解活動。
定義風(fēng)險(xiǎn)參數(shù):風(fēng)險(xiǎn)參數(shù)是評價(jià)風(fēng)險(xiǎn)的標(biāo)準(zhǔn),使得在管理不同級別風(fēng)險(xiǎn)的時(shí)候,確保最終結(jié)果的一致性。
風(fēng)險(xiǎn)標(biāo)識:
圖三:風(fēng)險(xiǎn)標(biāo)識
風(fēng)險(xiǎn)的標(biāo)識需要軟件開發(fā)項(xiàng)目經(jīng)理和項(xiàng)目成員共同完成,以識別任何可能對工作或工作計(jì)劃造成不利影響的潛在問題、危害、威脅等。
風(fēng)險(xiǎn)識別的依據(jù)是:項(xiàng)目計(jì)劃、風(fēng)險(xiǎn)管理總計(jì)劃、歷史經(jīng)驗(yàn)信息、項(xiàng)目內(nèi)部的不確定性、外部風(fēng)險(xiǎn)等因素來加以判斷。
風(fēng)險(xiǎn)識別的過程,風(fēng)險(xiǎn)識別是將項(xiàng)目的不確定性轉(zhuǎn)變?yōu)轱L(fēng)險(xiǎn)的陳述過程,它包括三個(gè)步驟:
集記錄資料
②風(fēng)險(xiǎn)定義及分類
③將風(fēng)險(xiǎn)編寫為文檔
識別出來的風(fēng)險(xiǎn)需要簡明地表述出來,為下一步風(fēng)險(xiǎn)管理提供參考的依據(jù)。通過編寫風(fēng)險(xiǎn)陳述和詳細(xì)說明風(fēng)險(xiǎn)場景來記錄已知風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)分析:
圖四:風(fēng)險(xiǎn)分析
項(xiàng)目經(jīng)理負(fù)責(zé)運(yùn)用風(fēng)險(xiǎn)類別和參數(shù)對所識別的風(fēng)險(xiǎn)進(jìn)行評估并且對其賦值。這些參數(shù)包括可能性(概率)、后果(嚴(yán)重性或影響)以及時(shí)間框架(預(yù)計(jì)風(fēng)險(xiǎn)可能發(fā)生的時(shí)間關(guān)系)。如何確定該風(fēng)險(xiǎn)發(fā)生的可能性、后果和時(shí)間是需要評估人員根據(jù)經(jīng)驗(yàn)或者歷史數(shù)據(jù)的。這個(gè)值可以根據(jù)公司的實(shí)際情況來定,也可以根據(jù)項(xiàng)目的具體情況進(jìn)行適當(dāng)?shù)恼{(diào)整。
風(fēng)險(xiǎn)分析過程包括如下步驟:
①確定風(fēng)險(xiǎn)類別:對已辨識的風(fēng)險(xiǎn)進(jìn)行歸類,同一類風(fēng)險(xiǎn)在一定程度上反映了風(fēng)險(xiǎn)的重要屬性,對冗余的風(fēng)險(xiǎn)應(yīng)該排除。
②判定風(fēng)險(xiǎn)來源及風(fēng)險(xiǎn)驅(qū)動因素:風(fēng)險(xiǎn)來源是引起風(fēng)險(xiǎn)的內(nèi)在因素,由于風(fēng)險(xiǎn)識別確定的風(fēng)險(xiǎn)來源可能不太準(zhǔn)確,因此需要通過風(fēng)險(xiǎn)分析更進(jìn)一步判別,使得風(fēng)險(xiǎn)的來源更加簡明、準(zhǔn)確,便于進(jìn)行下一步風(fēng)險(xiǎn)管理。
③定義風(fēng)險(xiǎn)度量準(zhǔn)則:風(fēng)險(xiǎn)度量準(zhǔn)則是進(jìn)行風(fēng)險(xiǎn)優(yōu)先級的基礎(chǔ),它是用來確定各風(fēng)險(xiǎn)對項(xiàng)目影響的相對重要性的依據(jù)。它包括可能性、后果和行動時(shí)間框架。可能性的定性度量簡單定義為:高、中、低,定量度量一般用概率表示;后果的度量也可以分定性和定量的度量,這就需要根據(jù)不同的風(fēng)險(xiǎn)類型,來具體選用度量的方法;行動時(shí)間框架是指采取有效措施規(guī)避風(fēng)險(xiǎn)的時(shí)限,阻止風(fēng)險(xiǎn)發(fā)生的行動時(shí)間也隨項(xiàng)目的不同而不同。
④預(yù)測風(fēng)險(xiǎn)影響:根據(jù)風(fēng)險(xiǎn)度量準(zhǔn)則,用風(fēng)險(xiǎn)發(fā)生的可能性與風(fēng)險(xiǎn)后果的乘積度量風(fēng)險(xiǎn)的影響,在進(jìn)度的影響中預(yù)測風(fēng)險(xiǎn)的影響是通過時(shí)間的延長來度量的。
⑤風(fēng)險(xiǎn)優(yōu)先級:項(xiàng)目的風(fēng)險(xiǎn)很多,由于項(xiàng)目資源有限,不能處理每一個(gè)風(fēng)險(xiǎn),只能集中有效資源,對高風(fēng)險(xiǎn)進(jìn)行有效的管理,因此需要對已識別度量的風(fēng)險(xiǎn)進(jìn)行排序,以便保證風(fēng)險(xiǎn)管理的有效性。
風(fēng)險(xiǎn)控制:
風(fēng)險(xiǎn)控制是采取各種措施和方法,消滅或減少風(fēng)險(xiǎn)事件發(fā)生的各種可能性,或者減少風(fēng)險(xiǎn)事件發(fā)生時(shí)造成的損失。風(fēng)險(xiǎn)控制圖如下圖所示:
圖五:風(fēng)險(xiǎn)控制
控制是指風(fēng)險(xiǎn)負(fù)責(zé)人以跟蹤報(bào)告中提供的數(shù)據(jù)為基礎(chǔ),做出有關(guān)風(fēng)險(xiǎn)的決定。控制活動包括分析、決策和采取行動。
分析是使用跟蹤數(shù)據(jù)來考察項(xiàng)目風(fēng)險(xiǎn)的趨勢、偏差和異常情況,以此來標(biāo)識風(fēng)險(xiǎn)狀態(tài)中的顯著變化,評估緩解計(jì)劃的有效性,使決策者準(zhǔn)確地決定最佳的行動路線。
決策是為了保證繼續(xù)有效地管理項(xiàng)目風(fēng)險(xiǎn),使用跟蹤數(shù)據(jù)來決定如何繼續(xù)進(jìn)行項(xiàng)目風(fēng)險(xiǎn)管理,如:重新計(jì)劃、關(guān)閉風(fēng)險(xiǎn)、啟用應(yīng)急計(jì)劃、繼續(xù)跟蹤和控制活動等。當(dāng)出現(xiàn)閾值超出了設(shè)定的限制、當(dāng)前計(jì)劃不起作用、發(fā)生了意外事件,使用趨勢向相反方面發(fā)展時(shí)都應(yīng)該重新制定計(jì)劃。當(dāng)出現(xiàn)風(fēng)險(xiǎn)發(fā)生的概率已經(jīng)降低到或風(fēng)險(xiǎn)的影響已經(jīng)減小到一個(gè)特定值以下、風(fēng)險(xiǎn)已經(jīng)變成了問題并且對這個(gè)問題正在進(jìn)行跟蹤時(shí),可以關(guān)閉該風(fēng)險(xiǎn)。啟用風(fēng)險(xiǎn)應(yīng)急計(jì)劃是當(dāng)出現(xiàn)已經(jīng)超出觸發(fā)條件或需要采取有關(guān)的行動時(shí),可以啟動風(fēng)險(xiǎn)應(yīng)急計(jì)劃。通過分析跟蹤數(shù)據(jù),發(fā)現(xiàn)一切都是按計(jì)劃在進(jìn)行,項(xiàng)目人員決定繼續(xù)像以前一樣跟蹤風(fēng)險(xiǎn)。
采取行動是指執(zhí)行那些關(guān)系風(fēng)險(xiǎn)和緩解計(jì)劃中所作的決定,并保證將其文檔化,存入公司過程財(cái)富庫中,以便作為歷史紀(jì)錄和將來參考之用。
有效的控制能監(jiān)督計(jì)劃執(zhí)行的質(zhì)量、檢測風(fēng)險(xiǎn)狀態(tài)中的明顯變化,同時(shí)能夠?qū)︼L(fēng)險(xiǎn)適時(shí)地做出以信息為基礎(chǔ)的決策。
風(fēng)險(xiǎn)控制可分為四個(gè)步驟進(jìn)行:
對觸發(fā)事件做出反應(yīng)
觸發(fā)器提出風(fēng)險(xiǎn)警報(bào)時(shí),收到警報(bào)的人立即對觸發(fā)事件做出反應(yīng),安排有關(guān)負(fù)責(zé)人(風(fēng)險(xiǎn)應(yīng)對者)負(fù)責(zé)做好風(fēng)險(xiǎn)應(yīng)對的準(zhǔn)備。
執(zhí)行風(fēng)險(xiǎn)行動計(jì)劃
風(fēng)險(xiǎn)應(yīng)對行動應(yīng)該落實(shí)到相應(yīng)的風(fēng)險(xiǎn)應(yīng)對的實(shí)施人員,實(shí)施者根據(jù)風(fēng)險(xiǎn)應(yīng)對計(jì)劃和風(fēng)險(xiǎn)事件的實(shí)際情況,執(zhí)行相應(yīng)風(fēng)險(xiǎn)應(yīng)對的措施。
對照計(jì)劃報(bào)告進(jìn)展
在執(zhí)行風(fēng)險(xiǎn)行動計(jì)劃的同時(shí),必須將風(fēng)險(xiǎn)應(yīng)對的實(shí)施結(jié)果與風(fēng)險(xiǎn)應(yīng)對計(jì)劃進(jìn)行對照,及時(shí)發(fā)現(xiàn)兩者的偏差。
④修正與計(jì)劃的偏差
一般應(yīng)對計(jì)劃和實(shí)際情況有一定的差別,因此需要對應(yīng)對計(jì)劃進(jìn)行及時(shí)地調(diào)整修正,使得風(fēng)險(xiǎn)應(yīng)對措施更為有效,并且需要將改進(jìn)的內(nèi)容記錄在案,以便在將來制定風(fēng)險(xiǎn)應(yīng)對計(jì)劃能考慮到類似問題。
由此可見,通過建立基于CMMI的軟件開發(fā)風(fēng)險(xiǎn)管理體系,能夠?qū)崿F(xiàn)軟件開發(fā)的風(fēng)險(xiǎn)管理精細(xì)化、規(guī)范化,能對軟件開發(fā)中的風(fēng)險(xiǎn)進(jìn)行定性和定量的管控,提高公司軟件開發(fā)的風(fēng)險(xiǎn)管理水平,將軟件開發(fā)中出現(xiàn)的風(fēng)險(xiǎn)降低到可接受的范圍。
參考文獻(xiàn):
[1]《軟件項(xiàng)目管理與敏捷方法》
【關(guān)鍵詞】內(nèi)部控制;風(fēng)險(xiǎn)管理;信息化
目前,隨著國家《企業(yè)內(nèi)部控制基本規(guī)范》、《企業(yè)內(nèi)部控制應(yīng)用指引》等一系列文件的頒布和實(shí)施,企業(yè)內(nèi)部控制和風(fēng)險(xiǎn)管理工作的影響不斷擴(kuò)大。公司各級領(lǐng)導(dǎo)非常重視企業(yè)內(nèi)部控制體系各項(xiàng)工作的開展情況,為了提高內(nèi)部控制的管理水平,真正將內(nèi)部控制貫穿于企業(yè)經(jīng)營決策、執(zhí)行和監(jiān)督的全過程,覆蓋到企業(yè)各種業(yè)務(wù)和事項(xiàng),公司按照內(nèi)部控制“管理制度化、制度流程化、流程表單化、表單電子化”的工作思路,充分利用信息技術(shù)促進(jìn)信息的集成與共享,運(yùn)用信息化技術(shù)來強(qiáng)化內(nèi)部控制的設(shè)計(jì)和執(zhí)行,從業(yè)務(wù)的關(guān)鍵環(huán)節(jié)和關(guān)鍵控制點(diǎn)出發(fā),在公司比較成熟、高效、透明的業(yè)務(wù)率先開展電子化應(yīng)用,以點(diǎn)帶面,循序漸進(jìn),全面深化公司內(nèi)部控制體系電子化應(yīng)用進(jìn)程。
本文著重從內(nèi)控信息化、成果利用等兩個(gè)方面談?wù)勅绾翁岣邇?nèi)控信息化工作。
一、提高對內(nèi)部控制及風(fēng)險(xiǎn)管理信息化的認(rèn)識
內(nèi)部控制信息化的工作原理就是促進(jìn)企業(yè)內(nèi)部控制流程與信息系統(tǒng)的有機(jī)結(jié)合,在企業(yè)信息系統(tǒng)的開發(fā)與維護(hù)、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡(luò)安全等方面實(shí)現(xiàn)對業(yè)務(wù)和事項(xiàng)的自動控制,盡量減少或消除人為操縱因素。公司內(nèi)控主管部門按照國家有關(guān)規(guī)定和上級部署,經(jīng)過多次調(diào)研和溝通,提出內(nèi)控信息化建設(shè)的總體目標(biāo)是規(guī)范透明、工作可控、業(yè)務(wù)留痕。
二、確定內(nèi)控信息化工作重點(diǎn),逐步開展信息化推進(jìn)工作
公司根據(jù)經(jīng)營規(guī)模和管控模式的特點(diǎn),有針對性地開展內(nèi)部控制信息化工作,通過建立專項(xiàng)業(yè)務(wù)控制的工作辦理模塊,實(shí)現(xiàn)業(yè)務(wù)流程自動提示、自動流轉(zhuǎn),實(shí)現(xiàn)工作內(nèi)容與內(nèi)控要求的全面融合,確保權(quán)責(zé)分明、工作受控,責(zé)任落實(shí)到位。目前,公司在合同管理系統(tǒng)、存貨管理系統(tǒng)、成本控制管理系統(tǒng)、生產(chǎn)精細(xì)化管理系統(tǒng)等領(lǐng)域開展信息化應(yīng)用,通過程序控制、細(xì)化相關(guān)控制環(huán)節(jié)和要點(diǎn)。
1.在“合同管理”信息化工作中,通過對公司合同管理流程進(jìn)行全面優(yōu)化,積極推進(jìn)合同管理電子化應(yīng)用
根據(jù)《企業(yè)內(nèi)部控制應(yīng)用指引》“第16 號――合同管理”的有關(guān)要求,公司對合同管理中涉及物資采購類的合同率先開展電子化應(yīng)用,把實(shí)施信息化管理作為公司加強(qiáng)內(nèi)部控制的重要手段之一,目前已通過對采購類合同的合同文本、合同條款等內(nèi)容進(jìn)行固化,并對采購價(jià)格、采購數(shù)量、合同審核、合同審批權(quán)限等具體環(huán)節(jié)進(jìn)行電子化控制,從而達(dá)到有效防范法律風(fēng)險(xiǎn),維護(hù)公司合法權(quán)益,提高公司經(jīng)營管理水平的目的和作用。
2.在“資產(chǎn)管理”信息化工作中,通過對管理流程、管理規(guī)范中存在的缺陷進(jìn)行分析和梳理,通過添加相應(yīng)的、必要的管控模塊,持續(xù)提高信息系統(tǒng)在存貨、固定資產(chǎn)、在建工程等資產(chǎn)管理中的利用效果
根據(jù)《企業(yè)內(nèi)部控制應(yīng)用指引》“第8 號――資產(chǎn)管理”的有關(guān)要求,公司在存貨管理中開始逐步提高信息化的利用效果,由于公司以前缺少對于存貨庫存賬齡進(jìn)行有效分析的管理,缺乏自主性分析等判定程序,主要因?yàn)楣矩?cái)務(wù)系統(tǒng)無法直接取得存貨的賬齡信息,不能實(shí)現(xiàn)對存貨賬齡進(jìn)行定期的統(tǒng)計(jì)和分析,缺少對賬齡較長或殘次冷背等存貨的定期報(bào)告制度,公司統(tǒng)計(jì)存貨賬齡主要通過手工進(jìn)行,不僅工作量大,而且編制出的存貨賬齡分析表也不夠準(zhǔn)確,在一定程度上影響了對存貨跌價(jià)的判斷。目前,公司有關(guān)部門充分利用計(jì)算機(jī)系統(tǒng)自動計(jì)算運(yùn)行出存貨的賬齡,重點(diǎn)提高計(jì)算機(jī)系統(tǒng)的利用效果,持續(xù)改善用友系統(tǒng)功能,添加相應(yīng)賬齡分析模塊,通過充分利用計(jì)算機(jī)系統(tǒng)自動計(jì)算出存貨的賬齡信息,保證了存貨賬齡分析更加準(zhǔn)確,同時(shí),建立定期統(tǒng)計(jì)分析制度,對存貨的跌價(jià)風(fēng)險(xiǎn)提供準(zhǔn)確分析判斷依據(jù),確保長期呆滯存貨得到逐步有效處理。
3.在辦公系統(tǒng)信息化工作中,通過對公司內(nèi)部信息網(wǎng)及OA系統(tǒng)功能深入進(jìn)行開發(fā),積極推進(jìn)無紙化辦公
根據(jù)《企業(yè)內(nèi)部控制應(yīng)用指引》“第17號――內(nèi)部信息傳遞”的有關(guān)要求,公司積極建設(shè)內(nèi)部信息網(wǎng),提高各業(yè)務(wù)系統(tǒng)工作效率。以前,由于公司內(nèi)部各部門之間信息孤立,溝通、查詢困難,工作效率低,且各業(yè)務(wù)系統(tǒng)精益管理的成果需要以信息化為手段進(jìn)行固化和持續(xù)改善。為了便于溝通、查詢信息、應(yīng)用系統(tǒng)集成以及固化精益管理成果,從提高工作效率,促進(jìn)企業(yè)生產(chǎn)經(jīng)營管理信息在內(nèi)部各管理層級之間的有效溝通和充分利用,公司以組織框架和職能系統(tǒng)為主線,設(shè)計(jì)開發(fā)內(nèi)部信息網(wǎng)站平臺,實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)充分共享,提高了公司各業(yè)務(wù)系統(tǒng)的工作效率。目前OA系統(tǒng)已實(shí)施發(fā)文管理、收文管理、通知通告、辦公信息、宣傳報(bào)道五個(gè)模塊,實(shí)現(xiàn)了文件、通知的起草、審核、簽發(fā)、傳閱等流程的無紙化和規(guī)范化。
以上是公司利用信息化手段加強(qiáng)企業(yè)內(nèi)部控制,提高風(fēng)險(xiǎn)管控的具體實(shí)例,下一步公司將根據(jù)企業(yè)發(fā)展目標(biāo)規(guī)劃、生產(chǎn)經(jīng)營管理實(shí)際情況、機(jī)構(gòu)職能調(diào)整情況,以及關(guān)鍵業(yè)務(wù)風(fēng)險(xiǎn)控制點(diǎn)出現(xiàn)新變化的情況等,逐步擴(kuò)大信息化綜合利用的廣度和深度,大力推進(jìn)管理工作的規(guī)范化、標(biāo)準(zhǔn)化和程序化運(yùn)行,最終實(shí)現(xiàn)內(nèi)部控制關(guān)鍵業(yè)務(wù)流程信息化的全覆蓋。通過持續(xù)利用信息化手段進(jìn)行業(yè)務(wù)流程優(yōu)化,不斷提高公司整體管理水平及風(fēng)險(xiǎn)防范意識,保障公司內(nèi)部控制體系運(yùn)行更加良好、有效,更好地為增加組織價(jià)值服務(wù)。
參考文獻(xiàn):
信息技術(shù)以及信息產(chǎn)業(yè)的飛速發(fā)展,給檔案管理信息化建設(shè)帶來了機(jī)會,同時(shí)也給其帶來了巨大的沖擊和新的挑戰(zhàn)。信息系統(tǒng)自身所處的網(wǎng)絡(luò)環(huán)境的特點(diǎn)以及信息系統(tǒng)自身的局限性會導(dǎo)致信息系統(tǒng)的發(fā)展過程中會受到一些因素的影響。而且,在使用的過程中也會遇到一些認(rèn)為破壞或者是木馬等方面的破壞。所以,檔案管理信息化的過程中會遇到一些信息安全隱患,這嚴(yán)重影響信息的安全可靠性。但是,隨著時(shí)代的快速發(fā)展,人們在不斷的探索和研究防止信息系統(tǒng)遭受到破壞的措施,而且在殺毒軟件和入侵檢測技術(shù)方面獲得了很大的成就。雖然這些檢測手段的使用在一定程度上可以防止惡意程序?qū)π畔⑾到y(tǒng)的破壞,但是并沒有從根本上解決檔案信息系統(tǒng)的安全問題。因?yàn)殡S著信息技術(shù)的發(fā)展,信息系統(tǒng)受到的威脅也在逐漸向著多樣化的趨勢發(fā)展變化,而且更加的隱蔽化,對于信息系統(tǒng)的破壞性越來越大。隨著信息技術(shù)的廣泛使用,信息安全的內(nèi)涵也在不斷的豐富,已經(jīng)不再是最開始的單單對信息保密,而是向著保證信息的完整性、準(zhǔn)確性方向發(fā)展,使檔案信息變得更加的實(shí)用而且具有不可否認(rèn)性。進(jìn)而實(shí)現(xiàn)多方面的防控實(shí)施技術(shù)。
二、檔案管理信息化中安全風(fēng)險(xiǎn)評估的作用
人們在進(jìn)行檔案信息管理的過程中受到認(rèn)識能力以及實(shí)踐能力的限制,不能夠保證信息管理的完全安全性,所以檔案信息管理系統(tǒng)在一定程度上存在著脆弱性,這種情況導(dǎo)致在使用檔案信息的過程中面臨著一些人為或者是自然條件的破壞,所以檔案信息管理存在安全風(fēng)險(xiǎn)具有必然性。因此,對檔案信息管理進(jìn)行安全風(fēng)險(xiǎn)評估具有重要的意義,信息安全建設(shè)的前提是,基于對綜合成本以及效益的考慮,采取有效的安全方法對風(fēng)險(xiǎn)進(jìn)行控制,保證殘余風(fēng)險(xiǎn)降低在最小的程度。因?yàn)椋藗冏非髮?shí)際的信息系統(tǒng)的安全,是指對信息系統(tǒng)實(shí)施了風(fēng)險(xiǎn)控制之后,接受殘余風(fēng)險(xiǎn)的存在,但是殘余風(fēng)險(xiǎn)應(yīng)該控制在最小的程度。所以,要保證檔案信息系統(tǒng)的安全可靠性,就應(yīng)該實(shí)施全面、系統(tǒng)的安全風(fēng)險(xiǎn)評估,將安全風(fēng)險(xiǎn)評估的思想以及觀念貫穿到整個(gè)信息管理的過程中。通常情況下,信息安全風(fēng)險(xiǎn)主要指的是在整個(gè)信息管理的過程中,信息的安全屬性所面臨的危害發(fā)生的可能性。產(chǎn)生這種可能性的原因是系統(tǒng)脆弱性、人為因素或者是其他的因素造成的威脅。用來衡量安全事件發(fā)生的概率以及造成的影響的指標(biāo)主要有兩種。然而,危害的程度并不只取決于安全事件發(fā)展的概率,還與其造成的后果的嚴(yán)重性的大小有著直接的關(guān)系。安全風(fēng)險(xiǎn)評估具有很多的特點(diǎn)。首先,它具有決策支持性,這個(gè)特點(diǎn)在整個(gè)安全風(fēng)險(xiǎn)評估周期中都存在,只是內(nèi)容不相同,因?yàn)榘踩u估的真正目的是供給安全管理支持以及服務(wù)的。在系統(tǒng)生命周期中都存在著安全隱患,所以整個(gè)生命周期中都離不開安全風(fēng)險(xiǎn)評估。其次,比較分析性,這個(gè)特點(diǎn)主要體現(xiàn)在對安全管理和運(yùn)營的不同的方案能夠進(jìn)行有效的比較以及分析;能夠?qū)Σ煌尘扒闆r下使用的科學(xué)技術(shù)以及資金投入進(jìn)行比較分析;還能夠?qū)Ξa(chǎn)生的結(jié)果進(jìn)行有效的比較分析。最后,前提假設(shè)性,對檔案信息進(jìn)行管理的過程中所使用的風(fēng)險(xiǎn)評估會涉及到各種評估數(shù)據(jù),這些數(shù)據(jù)能夠被分為兩種。其中一種數(shù)據(jù)的功能是對檔案信息實(shí)際情況的描述,通過這些數(shù)據(jù)就可以了解整個(gè)檔案管理信息中的情況;另一種數(shù)據(jù)是指預(yù)測數(shù)據(jù),主要是根據(jù)系統(tǒng)各種假設(shè)前提條件確定的,因?yàn)樵谛畔⒐芾淼恼麄€(gè)過程中,都要對一些未知的情況進(jìn)行事先的預(yù)測,然后做出必要的假設(shè),得出相關(guān)的預(yù)測數(shù)據(jù),再根據(jù)這些預(yù)測數(shù)據(jù)對系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估。
三、檔案管理不同階段
進(jìn)行不同的風(fēng)險(xiǎn)評估信息系統(tǒng)的開發(fā)涉及到很多的模型,而且隨著科學(xué)技術(shù)的快速發(fā)展,各種模型都在不斷的升級。從最早期的線性模型到螺旋式模型再到后來的并發(fā)式的模型,這些系統(tǒng)模型的開發(fā)都是為了滿足不同的系統(tǒng)需求。然而,風(fēng)險(xiǎn)評估卻存在于整個(gè)信息系統(tǒng)的生命周期中,但是由于信息系統(tǒng)的生命周期中有很多的階段,而且每一個(gè)階段活動的內(nèi)容都有所差別,因此信息管理的安全目標(biāo)以及對安全風(fēng)險(xiǎn)評估的要求也是不同的。
(一)對于分析階段的風(fēng)險(xiǎn)評估。其真正的目的是為了實(shí)現(xiàn)規(guī)劃中的檔案信息系統(tǒng)安全風(fēng)險(xiǎn)的獲得,這樣才能夠根據(jù)獲得的信息來滿足安全建設(shè)的具體需求。分析階段的風(fēng)險(xiǎn)評估的重點(diǎn)是抓住系統(tǒng)初期的安全風(fēng)險(xiǎn)評估,從而有效的滿足對安全性的需求,然后從宏觀的角度來分析和評估檔案信息管理系統(tǒng)中可能存在的危險(xiǎn)因素。
(二)設(shè)計(jì)階段的安全風(fēng)險(xiǎn)評估。這個(gè)階段涉及到的安全目標(biāo)比較多,所以能夠有效的確定安全目標(biāo)具有重要的意義。應(yīng)該采取有效的措施,通過安全風(fēng)險(xiǎn)評估,保證檔案信息管理系統(tǒng)中安全目標(biāo)的明確。
(三)集成實(shí)現(xiàn)階段。這個(gè)階段的主要目的是要驗(yàn)證系統(tǒng)安全要求的實(shí)現(xiàn)效果與符合性是否一致,所以,應(yīng)該通過有效的風(fēng)險(xiǎn)評估對其進(jìn)行驗(yàn)證。需要注意的是,在進(jìn)行資產(chǎn)評估的時(shí)候,如果在分析階段以及設(shè)計(jì)階段已經(jīng)對資產(chǎn)進(jìn)行了評估,那么在這個(gè)階段就不需要再重新做資產(chǎn)評估的工作,防止重復(fù)性工作的發(fā)生。所以,可以直接用前兩個(gè)階段得出的資產(chǎn)評估的結(jié)果,但是如果在分析階段和設(shè)計(jì)階段都沒有進(jìn)行資產(chǎn)評估,則需要在此階段先進(jìn)行這項(xiàng)工作。威脅評估依然著重威脅環(huán)境,而且要對真實(shí)環(huán)境中的具體威脅進(jìn)行有效的分析。除此之外,還應(yīng)該對檔案信息管理系統(tǒng)進(jìn)行實(shí)際環(huán)境的脆弱性的有效分析,重點(diǎn)放在信息的運(yùn)行環(huán)境以及管理環(huán)境中的脆弱性的分析。
(四)運(yùn)行維護(hù)階段。對檔案管理系統(tǒng)不斷的進(jìn)行有效的風(fēng)險(xiǎn)評估,從而確保系統(tǒng)的安全、可靠性,這樣才能夠保證檔案管理系統(tǒng)在整個(gè)生命周期中都處于安全的環(huán)境。
四、檔案信息安全風(fēng)險(xiǎn)評估存在的不足
我國在檔案信息安全風(fēng)險(xiǎn)評估方面已經(jīng)取得了很大的成就,積累了一些寶貴的經(jīng)驗(yàn)。但是,由于我國檔案信息安全風(fēng)險(xiǎn)評估工作起步晚,還存在一些不足之處,主要表現(xiàn)在以下幾點(diǎn)。
(一)管理層對于信息安全風(fēng)險(xiǎn)評估缺乏一定的重視,而且缺少一些專業(yè)評估技術(shù)人員。當(dāng)前評估技術(shù)人員的專業(yè)技能不高也是現(xiàn)階段存在的問題。所以,應(yīng)該對評估人員進(jìn)行定期的培訓(xùn),提高他們的專業(yè)技能,保證風(fēng)險(xiǎn)評估工作有效的進(jìn)行,同時(shí)還應(yīng)該采取有效的措施來提高工作人員對于風(fēng)險(xiǎn)評估的重視,是檔案管理信息化環(huán)境處于安全的運(yùn)行環(huán)境中。
(二)風(fēng)險(xiǎn)評估的工作流程還不夠完善,而且一些風(fēng)險(xiǎn)技術(shù)標(biāo)準(zhǔn)也需要進(jìn)一步的更新。檔案信息化管理的風(fēng)險(xiǎn)評估,不僅僅是一個(gè)管理的過程,也是一個(gè)技術(shù)性的過程,所以應(yīng)該根據(jù)實(shí)際情況來科學(xué)合理地制定工作流程和技術(shù)標(biāo)準(zhǔn)。如果所有的環(huán)境和情況都套用一種工作流程和一個(gè)技術(shù)標(biāo)準(zhǔn),就會導(dǎo)致不匹配現(xiàn)象的出現(xiàn),不僅影響風(fēng)險(xiǎn)評估的效果,而且在一定程度上還影響信息系統(tǒng)的安全性。
(三)評估工具的發(fā)展比較滯后,隨著科學(xué)技術(shù)的快速發(fā)展,信息安全漏洞會逐漸顯露出來,所以對信息系統(tǒng)的威脅逐漸增加。應(yīng)該采用先進(jìn)的評估工具對其進(jìn)行風(fēng)險(xiǎn)評估,從而滿足檔案管理信息化的需求。
五、結(jié)語
關(guān)鍵詞:信息管理 風(fēng)險(xiǎn) 控制
中圖分類號:F224.0 文獻(xiàn)標(biāo)識碼:A
文章編號:1004-4914(2010)10-236-02
煤炭企業(yè)提高企業(yè)利潤、加強(qiáng)科學(xué)管理、推動技術(shù)創(chuàng)新、提升核心競爭力必然要走信息化道路,其管理信息化水平已成為企業(yè)現(xiàn)代管理的一個(gè)重要組成部分,是企業(yè)贏得競爭優(yōu)勢不可或缺的重要手段和基礎(chǔ)平臺。所謂企業(yè)管理信息化是指將企業(yè)的生產(chǎn)過程、物料移動、事務(wù)處理、現(xiàn)金流動、客戶交互等業(yè)務(wù)過程數(shù)字化,通過各種信息系統(tǒng)網(wǎng)絡(luò)加工生成新的信息資源,提供給各層次的人們掌握各類動態(tài)業(yè)務(wù)中的一切信息,從而作出有利于生產(chǎn)要素組合優(yōu)化的決策,使煤炭企業(yè)資源合理配置并能適應(yīng)瞬息萬變的市場競爭環(huán)境,以求得最大的經(jīng)濟(jì)效益。企業(yè)管理信息化的實(shí)質(zhì)是企業(yè)全面實(shí)現(xiàn)業(yè)務(wù)流程數(shù)字化和網(wǎng)絡(luò)化,是適應(yīng)煤炭企業(yè)信息化的管理、生產(chǎn)和經(jīng)營等活動的變化、轉(zhuǎn)換煤炭企業(yè)經(jīng)營模式、建立現(xiàn)代煤炭企業(yè)管理制度的過程。企業(yè)信息化挖掘了先進(jìn)的管理理念,在應(yīng)用先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)上,整合煤炭企業(yè)現(xiàn)有的生產(chǎn)、經(jīng)營、設(shè)計(jì)、制造、管理,及時(shí)地為煤炭企業(yè)的“三層決策”系統(tǒng)(戰(zhàn)術(shù)層、戰(zhàn)略層、決策層)提供準(zhǔn)確而有效的數(shù)據(jù)信息,以便對市場需求作出迅速反應(yīng),加強(qiáng)煤炭企業(yè)“核心競爭力”的目的。
一、煤炭企業(yè)管理信息化的風(fēng)險(xiǎn)類型
1.環(huán)境風(fēng)險(xiǎn)。煤炭企業(yè)管理信息化的環(huán)境風(fēng)險(xiǎn)是指信息系統(tǒng)實(shí)施或運(yùn)行中,由于內(nèi)、外部環(huán)境的變化而導(dǎo)致信息系統(tǒng)未達(dá)到預(yù)期目標(biāo)進(jìn)而招致失敗的可能性。具體表現(xiàn)為:(1)煤炭企業(yè)管理軟件產(chǎn)品蘊(yùn)含不符合當(dāng)前宏觀環(huán)境運(yùn)行要求的應(yīng)用模塊,與政府的政策、法律、法規(guī)或行業(yè)的要求相抵觸。(2)經(jīng)營環(huán)境惡化使煤炭企業(yè)經(jīng)營出現(xiàn)大面積滑坡,煤炭企業(yè)難以籌集足夠的資金繼續(xù)投入管理信息化的建設(shè),使前期的工作半途而廢。(3)煤炭企業(yè)因外部市場競爭環(huán)境變化,重新調(diào)整戰(zhàn)略規(guī)劃、內(nèi)部組織結(jié)構(gòu)、業(yè)務(wù)處理流程,而原先花巨資構(gòu)建的煤炭企業(yè)管理軟件系統(tǒng)剛性強(qiáng),不能適應(yīng)新的經(jīng)營環(huán)境,致使原有投資付諸東流。
2.決策風(fēng)險(xiǎn)。煤炭企業(yè)管理信息化的決策風(fēng)險(xiǎn)主要指選擇管理軟件或軟件供應(yīng)商的失誤而造成系統(tǒng)實(shí)施的失敗。引發(fā)決策風(fēng)險(xiǎn)的原因在于煤炭企業(yè)決策層不能結(jié)合煤炭企業(yè)實(shí)際狀況,充分客觀地進(jìn)行項(xiàng)目可行性分析,選擇適合煤炭企業(yè)的管理信息化解決方案。面對當(dāng)前市場上林林總總的管理軟件,品質(zhì)參差不齊,一些軟件供應(yīng)商為了能得到企業(yè)的定單,在給客戶介紹軟件產(chǎn)品時(shí),往往擴(kuò)張自己的實(shí)力和軟件的功能,甚至以次充好。而一部分煤炭企業(yè)的領(lǐng)導(dǎo)不清楚自己煤炭企業(yè)的信息化目標(biāo),缺乏全面評估軟件適應(yīng)性的經(jīng)驗(yàn),在管理軟件的選型與軟件供應(yīng)商的選擇時(shí)容易受到商家的誘導(dǎo),致使所選購的軟件質(zhì)量存在缺陷,軟件功能不適合煤炭企業(yè)的實(shí)際需求,軟件公司的實(shí)力不足,缺乏煤炭企業(yè)管理信息化建設(shè)的駕馭能力,致使信息系統(tǒng)實(shí)施出現(xiàn)問題。
3.實(shí)施風(fēng)險(xiǎn)。實(shí)施風(fēng)險(xiǎn)是指煤炭企業(yè)在實(shí)施管理軟件過程中由于組織失誤導(dǎo)致項(xiàng)目不能按計(jì)劃完成、成本超過原有的預(yù)算、軟件的運(yùn)行質(zhì)量不能達(dá)到理想要求。引發(fā)實(shí)施風(fēng)險(xiǎn)的一個(gè)原因是項(xiàng)目沒得到煤炭企業(yè)全體員工的理解與配合,致使項(xiàng)目進(jìn)程的組織遇到障礙。一般來說,業(yè)務(wù)部門的主管人員會認(rèn)為煤炭企業(yè)計(jì)算機(jī)應(yīng)用是一項(xiàng)技術(shù)性十分強(qiáng)的工作,應(yīng)由煤炭企業(yè)信息管理專業(yè)人員和軟件開發(fā)商負(fù)責(zé),業(yè)務(wù)部門只管使用就行了,往往將自己處于旁觀者位置,卻不知計(jì)算機(jī)技術(shù)應(yīng)用僅是煤炭企業(yè)管理信息化的一部分內(nèi)容,核心是管理軟件所蘊(yùn)含的先進(jìn)的管理思想與方法能否得到有效應(yīng)用。
4.運(yùn)行風(fēng)險(xiǎn)。煤炭企業(yè)管理信息化的運(yùn)行風(fēng)險(xiǎn)包括營運(yùn)風(fēng)險(xiǎn)、授權(quán)風(fēng)險(xiǎn)、信息風(fēng)險(xiǎn)、系統(tǒng)安全風(fēng)險(xiǎn)等。
(1)營運(yùn)風(fēng)險(xiǎn):在煤炭企業(yè)管理信息化環(huán)境下,信息處理流程集成一體化,任何一個(gè)環(huán)節(jié)出現(xiàn)問題將影響整個(gè)系統(tǒng)的后續(xù)運(yùn)行和信息輸出的質(zhì)量。管理軟件運(yùn)行過程中,如果管理人員、業(yè)務(wù)人員對新的業(yè)務(wù)流程的本質(zhì)了解不透徹,沒有做好管理思想轉(zhuǎn)變的準(zhǔn)備工作,很難有效操作管理軟件,這些將直接影響信息系統(tǒng)的數(shù)據(jù)處理流程連續(xù)性和工作質(zhì)量,最終將出現(xiàn)管理混亂狀況。
(2)授權(quán)風(fēng)險(xiǎn):在新系統(tǒng)運(yùn)行后,原有手工信息處理方式下所設(shè)置的崗位分離、相互牽制、授權(quán)控制的制度與控制方法在新的運(yùn)行環(huán)境下將發(fā)生變化,有些功能會喪失作用,如果沒能及時(shí)建立一套與新的信息系統(tǒng)運(yùn)行環(huán)境相配套的內(nèi)部控制制度,由于數(shù)據(jù)存儲的集中性,數(shù)據(jù)修改的便捷性和不留痕跡,可能給內(nèi)部人員營私舞弊提供機(jī)會,造成煤炭企業(yè)資產(chǎn)損失。
(3)信息風(fēng)險(xiǎn):信息風(fēng)險(xiǎn)產(chǎn)生于煤炭企業(yè)的管理軟件開發(fā)未經(jīng)過嚴(yán)密的可靠測試,數(shù)據(jù)結(jié)構(gòu)、程序結(jié)構(gòu)隱含的問題會在后期系統(tǒng)運(yùn)行中被觸發(fā),從而產(chǎn)生諸如計(jì)算結(jié)果錯(cuò)誤等問題,由于煤炭企業(yè)信息化使得業(yè)務(wù)處理與財(cái)務(wù)處理、計(jì)劃管理、過程控制融為一體,失真的數(shù)據(jù)在流經(jīng)各流程后被不斷加工處理,錯(cuò)誤被不斷放大,影響輸出報(bào)表的真實(shí)性,誤導(dǎo)信息使用者經(jīng)營決策與過程控制。
(4)系統(tǒng)安全的風(fēng)險(xiǎn):在煤炭企業(yè)管理信息化條件下,煤炭企業(yè)所有的數(shù)據(jù)都將以電子數(shù)據(jù)形式集中存儲在計(jì)算機(jī)數(shù)據(jù)庫系統(tǒng)中,在信息化后煤炭企業(yè)許多經(jīng)營活動依賴于計(jì)算機(jī)系統(tǒng),可以說離開了計(jì)算機(jī)煤炭企業(yè)系統(tǒng)就很難正常運(yùn)行。煤炭企業(yè)管理信息化安全風(fēng)險(xiǎn)主要由兩方面引起:一是技術(shù)因素。如網(wǎng)絡(luò)系統(tǒng)本身存在的安全脆弱性,軟件系統(tǒng)內(nèi)部缺陷沒被測試出來。二是管理因素。組織內(nèi)部沒有建立相應(yīng)的信息安全管理制度,使用人員操作缺乏操作規(guī)范,無控制標(biāo)準(zhǔn)與安全防范標(biāo)準(zhǔn),如操作人員可以隨意下載程序和數(shù)據(jù)文件,在工作站上安裝非正規(guī)渠道獲得各類軟件。
二、煤炭企業(yè)管理信息化過程的風(fēng)險(xiǎn)控制
為確保煤炭企業(yè)管理信息化目標(biāo)實(shí)現(xiàn),從源頭上防范信息化風(fēng)險(xiǎn),規(guī)避風(fēng)險(xiǎn)給煤炭企業(yè)帶來的危害,建立煤炭企業(yè)管理信息化過程的風(fēng)險(xiǎn)控制體系,應(yīng)著重考慮下列五個(gè)方面的工作:
1.構(gòu)建與管理信息化相協(xié)調(diào)的煤炭企業(yè)營運(yùn)環(huán)境。構(gòu)建與信息化相協(xié)調(diào)的煤炭企業(yè)營運(yùn)環(huán)境是防范信息化風(fēng)險(xiǎn)、保證管理軟件實(shí)施與運(yùn)行的基礎(chǔ)。煤炭企業(yè)領(lǐng)導(dǎo)以及各部門的員工都應(yīng)清楚地認(rèn)識到,信息化意義在于應(yīng)用信息技術(shù)實(shí)現(xiàn)煤炭企業(yè)管理科學(xué)化、現(xiàn)代化。在新的信息技術(shù)面前,煤炭企業(yè)管理者與員工都面臨觀念轉(zhuǎn)變、方法變革的問題,需要營造一個(gè)基于數(shù)字化的運(yùn)營環(huán)境,使煤炭企業(yè)所有成員的思維、品性、價(jià)值觀、能力與信息化要求相一致。
營造這種煤炭企業(yè)環(huán)境需要全體員工的共同努力,它涉及下列工作內(nèi)容:(1)結(jié)合煤炭企業(yè)管理信息化建設(shè),組織員工進(jìn)行各層次的現(xiàn)代管理理論、方法、信息技術(shù)的培訓(xùn)工作,使煤炭企業(yè)具有良好的信息化的氛圍。(2)鼓勵(lì)內(nèi)部員工積極參與煤炭企業(yè)管理信息化過程的各類活動。(3)建立與信息系統(tǒng)環(huán)境相適應(yīng)的組織結(jié)構(gòu),減少中間層級和環(huán)節(jié),強(qiáng)調(diào)內(nèi)部團(tuán)隊(duì)的重要作用,使員工能充分認(rèn)識到煤炭企業(yè)信息化變革依賴于團(tuán)隊(duì)的凝聚力。
2.完善煤炭企業(yè)管理信息化風(fēng)險(xiǎn)評估工作。煤炭企業(yè)(下轉(zhuǎn)第238頁)(上接第236頁)信息化過程的風(fēng)險(xiǎn)評估就是要求評估人員仔細(xì)分析煤炭企業(yè)內(nèi)、外部經(jīng)營環(huán)境,針對煤炭企業(yè)的實(shí)現(xiàn)目標(biāo)類型,如財(cái)務(wù)報(bào)告目標(biāo)、業(yè)務(wù)運(yùn)行目標(biāo)、符合性目標(biāo)和其他目標(biāo),評估煤炭企業(yè)信息化進(jìn)程中各類風(fēng)險(xiǎn)出現(xiàn)的可能性、影響的程度,并結(jié)合具體情況制定防范措施。風(fēng)險(xiǎn)評估的要點(diǎn)在于它的客觀性。在信息系統(tǒng)開發(fā)初期,評估人員應(yīng)進(jìn)行細(xì)致的調(diào)研工作,收集煤炭企業(yè)人、財(cái)、物、管理水平、技術(shù)水平、人員素質(zhì)、業(yè)務(wù)流程、煤炭企業(yè)實(shí)力等方面信息,結(jié)合研究對象的實(shí)際狀況,按煤炭企業(yè)信息化進(jìn)程的計(jì)劃內(nèi)容,評估各階段可能出現(xiàn)的風(fēng)險(xiǎn)種類與概率,設(shè)立可辨別、分析和控制相關(guān)風(fēng)險(xiǎn)的機(jī)制,并以此提出防范風(fēng)險(xiǎn)的方法。
3.加強(qiáng)煤炭企業(yè)管理信息化過程的控制。加強(qiáng)煤炭企業(yè)管理信息化過程控制是降低信息化風(fēng)險(xiǎn)的主要手段,過程控制由信息系統(tǒng)開發(fā)過程控制、信息系統(tǒng)使用過程控制組成。信息系統(tǒng)開發(fā)控制主要針對開發(fā)階段而言,具體控制措施包括項(xiàng)目的可行性研究和需求分析,項(xiàng)目組織機(jī)構(gòu)和各類人員的構(gòu)成,明確組織中人員分工和在系統(tǒng)實(shí)施過程中承擔(dān)的責(zé)任。建立內(nèi)部控制規(guī)則,保證系統(tǒng)按實(shí)施計(jì)劃進(jìn)行,建立嚴(yán)格的系統(tǒng)測試與驗(yàn)收程序,保證信息系統(tǒng)軟件質(zhì)量指標(biāo)實(shí)現(xiàn)。
信息系統(tǒng)使用過程控制包括操作權(quán)限控制、操作規(guī)程控制、安全控制和信息處理流程控制。操作權(quán)限控制是指每個(gè)崗位的人員只能按照所授予的權(quán)限對系統(tǒng)進(jìn)行作業(yè),不得超越權(quán)限接觸系統(tǒng)。煤炭企業(yè)應(yīng)制定操作人員的權(quán)限標(biāo)準(zhǔn)體系,保證系統(tǒng)的安全。操作規(guī)程控制是指系統(tǒng)操作必須遵循一定的標(biāo)準(zhǔn)操作規(guī)程進(jìn)行。標(biāo)準(zhǔn)操作規(guī)程包括:軟硬件操作規(guī)程、作業(yè)運(yùn)行規(guī)程、用機(jī)時(shí)間記錄規(guī)程等。安全控制包括數(shù)據(jù)和程序安全控制和網(wǎng)絡(luò)安全控制。程序的安全與否直接影響著系統(tǒng)的運(yùn)行,而數(shù)據(jù)的安全關(guān)系到系統(tǒng)輸出信息的質(zhì)量,網(wǎng)絡(luò)的安全控制包括數(shù)據(jù)保密、訪問控制、身份識別等。信息處理流程的控制包括輸入控制、處理控制和輸出控制。輸入控制通過對數(shù)據(jù)輸入端施加諸如數(shù)據(jù)的靜態(tài)較驗(yàn)、邏輯較驗(yàn)、界限較驗(yàn)、平衡較驗(yàn)、總量較驗(yàn)等措施,盡可能保證操作人員在數(shù)據(jù)輸入過程中減少出錯(cuò)的可能性。處理控制是將控制規(guī)則嵌入在計(jì)算機(jī)程序內(nèi),通過系統(tǒng)內(nèi)部設(shè)置來實(shí)現(xiàn)內(nèi)部控制。
4.促進(jìn)人員的信息交流與溝通。煤炭企業(yè)管理信息化是一個(gè)復(fù)雜的系統(tǒng)工程,涉及面廣,各部門、各成員之間的信息交流與溝通對于信息化的建設(shè)有著重要的作用,它能使信息化進(jìn)程的隱患被及時(shí)發(fā)現(xiàn),有效降低信息化風(fēng)險(xiǎn)。因此,煤炭企業(yè)在信息系統(tǒng)建設(shè)過程中,可通過定期舉行研討會、座談會等方式,讓研發(fā)人員、煤炭企業(yè)管理者、員工有機(jī)會進(jìn)行平等溝通,使煤炭企業(yè)各階層的員工能深入具體了解煤炭企業(yè)信息化的目標(biāo)與要求,消除部分員工對信息化過程的誤解而帶來的抵觸情緒,保證系統(tǒng)的實(shí)施與運(yùn)行能夠順利進(jìn)行。不同部門的業(yè)務(wù)人員、管理人員、軟件開發(fā)人員能通過及時(shí)信息溝通,能從煤炭企業(yè)全局上識別傳統(tǒng)手工業(yè)務(wù)過程的作業(yè)瓶頸問題。另外,通過建立組織內(nèi)部上情下達(dá)、下情上傳的有效信息交流與溝通渠道,組織中的每個(gè)成員能及時(shí)分享組織中的信息,明確各自的不同角色和所承擔(dān)的責(zé)任,理解自己的活動如何與他人的工作有關(guān),以及例外情況如何報(bào)告給上層管理人員,從何處獲取相關(guān)的信息支持決策行動。信息交流與溝通促進(jìn)內(nèi)部溝通機(jī)制完善,使員工充分認(rèn)識自己的工作結(jié)果對信息化建設(shè)、對組織經(jīng)營業(yè)績的貢獻(xiàn),員工也樂意從這種信息分享中提供對煤炭企業(yè)管理信息化建設(shè)過程的全面支持。
5.煤炭企業(yè)管理信息化的監(jiān)控。監(jiān)控是評估一段時(shí)期內(nèi)部控制質(zhì)量的過程。監(jiān)控過程包括及時(shí)評估控制的設(shè)計(jì)和運(yùn)行,并在需要的時(shí)候采取必要的行動。煤炭企業(yè)管理信息化的監(jiān)控包括:(1)信息系統(tǒng)建設(shè)過程的監(jiān)控。定期對實(shí)施計(jì)劃的執(zhí)行情況的檢查與分析,及時(shí)處理實(shí)施過程中出現(xiàn)的各類問題,防范信息化風(fēng)險(xiǎn),保證系統(tǒng)能達(dá)到預(yù)定的設(shè)計(jì)目標(biāo)。(2)信息系統(tǒng)正常運(yùn)行時(shí)的監(jiān)控。定期對所建立的操作規(guī)程的執(zhí)行程度進(jìn)行檢查,評價(jià)系統(tǒng)的信息安全政策,考察個(gè)人信息安全、物理和環(huán)境安全、通信和操作安全、數(shù)據(jù)存取控制等措施是否達(dá)到理想狀況。檢查系統(tǒng)業(yè)務(wù)開展過程中建立各種的相關(guān)文檔、文件,出現(xiàn)的各種事件是否進(jìn)行嚴(yán)格的紀(jì)錄。(3)信息系統(tǒng)的業(yè)務(wù)流程處理的監(jiān)控。包括是否嚴(yán)格按照業(yè)務(wù)流程約定的規(guī)則進(jìn)行數(shù)據(jù)記錄、處理、維護(hù)、輸出工作,信息系統(tǒng)能否有效防止舞弊現(xiàn)象出現(xiàn),信息系統(tǒng)是否能及時(shí)輸出例外情況的分析報(bào)告,這些報(bào)告反饋渠道是否暢通。通過對信息系統(tǒng)的監(jiān)控,不斷改進(jìn)系統(tǒng)存在的問題。
