序言:寫作是分享個人見解和探索未知領域的橋梁�����,我們?yōu)槟x了8篇的信息化風險管理樣本,期待這些樣本能夠為您提供豐富的參考和啟發(fā),請盡情閱讀����。
第1篇
關鍵詞:風險識別�;風險評估;風險應對
湖南中煙工業(yè)有限公司隨著重組的完成���,整個企業(yè)的業(yè)務運作模式發(fā)生了巨大的變化�����,從原來的單一卷煙廠管理模式轉變成集團化管理模式�����,新的業(yè)務模式對企業(yè)的信息化建設提出了新的要求����,原來卷煙廠的信息化架構已經不能滿足集團化的管理要求��。同時���,公司重組之初����。為了保證整個集團日常業(yè)務開展���,采用了“上移下推”的信息化建設策略����,將各卷煙廠中使用效果較好的應用系統(tǒng)拿到中煙層面進行一定的改造后迅速投入使用,依靠應用系統(tǒng)基本支撐起公司日常業(yè)務和管理��。
一��、風險識別
風險識別實際上是一種預測分別��。就是確定風險事件及其來源�,目的是做到有備無患,當實際風險發(fā)生時能有效應對�。項目風險的識別是一個非常復雜的過程,尤其風險的范圍����、種類和嚴重程度經常容易被主觀夸大或縮小,使項目的風險評估分析和處置發(fā)生差錯���,造成不必要的損失���。常用的方法包括:調查問卷法;頭腦風暴法��;理論分析法�����;專家判斷法和經驗總結法等等。
根據湖南中煙項目實施經驗��,項目風險識別可以從客觀信息源出發(fā)的方法包括:
1.核對表法�����。核對表一般根據項目環(huán)境�、產品或技術資料����、團隊成員的技能或缺陷等風險要素,把經歷過的風險事件及來源列成一張核對表��。核對表的內容可包括:以前項目成功或失敗的原因��;項目范圍��、成本�、質量、進度��、采購與合同���、人力資源與溝通等情況�;項目產品或服務說明書;項目管理成員技能����;項目可用資源等。項目經理對照核對表�����,對本項目的潛在風險進行聯想相對來說簡單易行�����。這種方法也許揭示風險的絕對量要比別的方法少一些��,但是這種方法可以識別其他方法不能發(fā)現的某些風險�����。
2.流程圖法����。流程圖方法首先要建立一個工程項目的總流程圖與各分流程圖,它們要展示項目實施的全部活動�����。流程圖可用網絡圖來表示,也可利WBS來表示�。它能統(tǒng)一描述項目工作步驟;顯示出項目的重點環(huán)節(jié)�;能將實際的流程與想象中的狀況進行比較;便于檢查工作進展情況�����。這是一種非常有用的結構化方法,它可以幫助分析和了解項目風險所處的具體環(huán)節(jié)及各環(huán)節(jié)之間存在的風險���。運用這種方法完成的項目風險識別結果�,可以為項目實施中的風險控制提供依據�。
3.財務報表法���。通過分析資產負債表、營業(yè)報表���,以及財務記錄����,項目風險經理就能識別本企業(yè)或項目當前的所有財產�����、責任和人身損失風險�����。將這些報表和財務預測��、經費預算聯系起來�����,風險經理就能發(fā)現未來的風險���。這是因為���,項目或企業(yè)的經營活動要么涉及貨幣���。要么涉及項目本身,這些都是風險管理最主要的考慮對象����。項目在信息化項目風險因素中。很低��、較低�、一般��、較高�、很高表示了對應風險因素發(fā)生的嚴重程度���。為了量化項目風險因素����,要對湖南中煙項目風險因素表賦值,效益型變量的備選很低���、較低、一般����、較高�����、很高,分別賦值0.1�、0.3、0.5�����、0.7�、0.9��;成本型變量�,對應很低�、較低����、一般、較高���、很高分別賦值0.9����、0.7�����、0.5�、0.3����、0.1���。模型中的變量包括:信息化項目風險程度�,即產出指標得分的和為被解釋變量,項目風險因素量表中的風險因素為解釋變量�。
二、風險評估
風險評估又稱作風險量化�����,就是比較風險的大小,從而決定是否需要采取相應的應對措施��。風險評估的方法很多���。歸納起來主要包括以下幾種:用風險發(fā)生的概率來評估風險發(fā)生的可能性�����;用風險帶來的損失來評估風險發(fā)生的嚴重性����;用現有的手段能否控制風險的發(fā)生來評估風險發(fā)生的可控性���;用風險影響的地域大小���、對象多少等來評估風險影響的范圍;用風險發(fā)生在項目生命周期的階段來評估風險發(fā)生的時間��。
實際項目風險管理過程中�,常常用逐項評分的方法來量化風險的大小,即事先確定評分的標準���,然后由項目小組一起�����,對預先識別的項目風險一一打分���,然后得出不同風險的大小��。
三���、風險應對
風險應對就是針對已識別的項目風險制訂行動策略,確定執(zhí)行方案�,使信息系統(tǒng)實施能夠按照預定的計劃執(zhí)行。常見的處理方法包括:①風險控制法����。即主動采取措施避免風險,消滅風險���,中和風險或采用緊急方案降低風險��。②風險自留�����。當風險量不大時可以自留風險�����。③風險轉移���。
風險應對的方法具體如下:
1.加強制度建設,建立風險管理體系��。行業(yè)高層管理積極參與并大力支持���,組織強有力的實施團隊��,技術部門���、業(yè)務部門積極地參與到實施過程當中,及時預防�、分析、研究及化解信息化項目實施中潛在的風險����,并進行風險管理定期檢查,重點關注管理上的死角�,及時發(fā)現工作中的疏漏和問題,督促采取處理措施。
2.制定合理的風險管理流程���,并且貫徹堅持下去�。嚴格執(zhí)行項目管理中的時間�、成本、質量控制等標準流程�,能夠有助于控制項目風險。
3.加強技術培訓�。加強項目培訓能夠提高參與項目的IT人員和業(yè)務人員甚至管理人員、決策者對信息化項目的認知��,對規(guī)避項目的實施風險有良好的效果��。
第2篇
關鍵詞:信息化環(huán)境��;供電企業(yè)�;風險管理
中圖分類號: TB 文獻標識碼:A 文章編號:16723198(2014)17017301
1 前言
供電企業(yè)在信息化環(huán)境下的運營模式由傳統(tǒng)方式轉向信息化管理,供電企業(yè)在享受著運營效率提高的同時�,也必然面臨著組織結構調整、管理方式�����、營銷模式和信息安全等方面的嚴峻挑戰(zhàn)�����。此外信息化還使供電企業(yè)在原有風險的基礎上,增加了因組織變革�、管理變革和技術變革所帶來的新的風險���,這些新風險與原有的風險的交織����,將影響到企業(yè)的運營管理�����。
2 供電企業(yè)的風險
(1)組織變革產生的風險���。供電企業(yè)的信息化在推進過程中�,因為新的信息技術與傳統(tǒng)的企業(yè)文化和技術產生日益突出的矛盾而必須進行組織變革����,這也是為了平衡的需要。供電企業(yè)的組織變革由于涉及到核心的業(yè)務��、核心的企業(yè)文化�����,甚至是企業(yè)員工的個人利益,于是也就必然的產生了風險���。供電企業(yè)組織變革是企業(yè)的結構由金字塔結構發(fā)展成扁平化�����,雖然這樣轉變能夠使信息的交流得到提高��,但是也消弱了傳統(tǒng)組織結構中中間層的管理功能����。企業(yè)結構的變革因為涉及到企業(yè)的決策層�,就需要多方面考慮,不能因為結構變革的失誤而阻礙企業(yè)的信息化進程�����。企業(yè)結構的變革會一定程度上影響企業(yè)的文化�,如果處理不當也會給供電企業(yè)帶來風險。供電企業(yè)的信息化過程需要那些具備技術和管理才能的特殊人才�,如果供電企業(yè)無法自己培養(yǎng)就只能通過招聘方式從外面聘請以維持企業(yè)運營,但外聘的人才能否融入企業(yè)無法確定�。而供電企業(yè)花費大量精力自己培養(yǎng)的人才���,如果缺少有效激勵政策,很容易導致人才流失���。
(2)信息技術變革產生的風險�。信息技術在日新月異發(fā)展的同時所產生的硬件�����、技術����、系統(tǒng)安全和運營及維護風險也使供電企業(yè)面臨著風險����。硬件作為供電企業(yè)信息化的骨架更新換代的速度很快,供電企業(yè)在進行信息化的時候不僅要滿足當前的需要��,還要考慮到以后系統(tǒng)升級的需要�,但是先進的硬件設備也意味著高昂的成本����,也會給供電企業(yè)帶來風險���。此外保證供電企業(yè)日常數據的準確安全和系統(tǒng)網絡的安全是整個信息化的核心�����,否則信息化就會失去意義�,最終將影響供電企業(yè)的日常運營和管理工作�。
(3)管理變革產生的風險。供電企業(yè)必須在管理方面做出適當變革以適應企業(yè)的信息化的需要��,在戰(zhàn)略層面上決策層對供電企業(yè)未來的發(fā)展方向�、前景的態(tài)度決定著企業(yè)成敗��,供電企業(yè)對信息化的動機關乎企業(yè)的發(fā)展高度�����,而供電企業(yè)是否有一個清晰而明確的規(guī)劃是企業(yè)能走多遠的關鍵。從戰(zhàn)術層面來看供電企業(yè)的具體而細微的各項業(yè)務雖不能直接影響到企業(yè)的存亡�����,但仍不容忽視���。
3 供電企業(yè)的風險管理對策
(1)供電企業(yè)對重大風險加強識別和對風險的評估力度���。對風險管理關鍵是通過對風險進行識別,對供電企業(yè)信息化環(huán)境下的各種影響因素匯總并重新分類��,從而篩選出會給企業(yè)帶來風險的因素�����,預計會向風險轉變的潛在因素���。供電企業(yè)通過信息化的技術手段對可能造成損失的因素進行密切的跟蹤、觀測和分析�,總結出這些風險因素的變化規(guī)律,根據可能帶來的損失大小和重要程度并結合風險因素的當前狀態(tài)進行分析��、判斷,找出引起風險的原因�。
對風險進行評估是供電企業(yè)風險管理的一個非常重要的環(huán)節(jié)���,可以為企業(yè)的風險程度的判斷提供依據�����,有利于企業(yè)的風險決策��,能夠有效的預防風險的發(fā)生和降低其發(fā)生的概率,防止風險的接連發(fā)生��,以免造成更大的損失�。
(2)供電企業(yè)對重點風險加強管理。信息化環(huán)境下供電企業(yè)的自動化水平更高����,隨之而來的就是風險帶來的損失也非常巨大���,因此供電企業(yè)要加強對重點風險的管理�����。供電企業(yè)通過參考歷史數據�����、發(fā)揮信息技術的優(yōu)勢、采用高效合理的預測方法對用戶的用電量進行測算��,解決電力需求產生的風險��。隨著企業(yè)信息化進程的加快�����,供電企業(yè)需要把信息系統(tǒng)的安全性放在重要位置���,注重對信息系統(tǒng)的維護和升級���,構建一個安全、高效的信息管理系統(tǒng)�����。提高供電的穩(wěn)定性和供電質量�����,加快供電故障的解決的及時性,營造一個良好的供電、用電平臺���,滿足用戶的用電需求�,提高用戶的滿意度。
(3)供電企業(yè)建立一個完善的風險管理支持系統(tǒng)����。供電企業(yè)通過從組織結構、企業(yè)制度、企業(yè)文化和企業(yè)的信息系統(tǒng)幾個方面構建一個比較完善的風險管理系統(tǒng)。以企業(yè)的組織結構為后盾��,建立完善的企業(yè)管理制度和法律機制,明確相關部門和個人的權責和風險處置流程��。企業(yè)文化中應樹立風險意識,讓員工時刻充滿危機意識,危機來臨時能夠從容處理��。同時還需要加強培養(yǎng)和建設信息人才隊伍���,定期進行系統(tǒng)培訓��,使他們在工作始終能以一種暫新的面貌去投入����。除了重視業(yè)務能力外,還需要建立和諧充滿良性競爭的工作氛圍和學習環(huán)境��,能夠保證信息技術人員隊伍保持穩(wěn)定�,使他們能夠帶著愉悅的心情投入工作,提高工作效率��。
信息化管理應經成為企業(yè)現代管理的趨勢�,信息化技術在供電企業(yè)的推廣和應用,提高信息的共享力度���,也提高了電力企業(yè)職工的工作效率���,大大增強了企業(yè)的競爭力,同時也使供電企業(yè)面臨巨大的挑戰(zhàn)�����,如果不能很好的處理��,將嚴重阻礙供電企業(yè)的做大做強���,因此對風險管理進行分析研究具有重大意義����。
參考文獻
第3篇
關鍵詞:內控信息化 風險管理 內部審計
1.ERP系統(tǒng)背景介紹
ERP通過將企業(yè)的各方面資源進行科學地計劃、管理和控制�,為企業(yè)加強財務管理、提高資金運營水平�����、建立高效率供應鏈��、減少庫存���、提高生產效率���、降低成本���、提高客戶服務水平等方面提供一種管理手段��。ERP系統(tǒng)能夠系統(tǒng)�、實時地提供與各項業(yè)務相關的數據��,包括以前難以及時獲取的數據��,向領導和管理層提供企業(yè)經營狀況信息,反映企業(yè)的盈利水平和各項業(yè)務活動情況�����。所有業(yè)務處理和活動通過統(tǒng)一的數據庫進行及時更新���,以改善用戶存取����、提高業(yè)務信息質量�����、減少數據校驗和重復加工處理��。
2.ERP實施形成業(yè)務風險與其內部控制
2.1ERP實施形成新業(yè)務風險
ERP系統(tǒng)實現了從采購到付款�����、訂單的獲取到發(fā)票的開出等業(yè)務集成��,實現了跨職能部門業(yè)務處理�����。在這種情況下,ERP系統(tǒng)中單一的數據庫��,使過去跨部門的審批流程得到簡化和壓縮���。壓縮所造成的一個結果是����,用于企業(yè)內部控制的許多審計線索在ERP系統(tǒng)的引入后消失了��。同時���,企業(yè)過去基于文件審批的內部控制機制���,也無法適應ERP基于流程的管理需要���。更重要的是���,由于企業(yè)的業(yè)務運作更加依賴于ERP系統(tǒng),這種依賴和信息系統(tǒng)本身特點所導致的脆弱性���,形成了企業(yè)新的業(yè)務風險�。
2.2ERP環(huán)境下風險管理
2.2.1制定內部控制目標
利用風險評估手段重新確定企業(yè)中關鍵的業(yè)務流程;
對整個流程和控制的設計進行評估��,確定這些控制是否很好地滿足和支持最終業(yè)務目標的實現����;
對崗位職責分離的評估,確保在整個流程中存在正確的稽核點和平衡點����,對敏感業(yè)務交易給出足夠的訪問限制;
評估控制方式是否合理���,比如基于手工流程的控制和基于系統(tǒng)的自動控制是否搭配合理���。
2.2.2確定評估范圍
ERP系統(tǒng)的控制評估必須基于風險管理的原則,通過風險評估尋找對主要業(yè)務運作中影響最大的領域�����?����?梢酝ㄟ^訪談等��,確定評估范圍。
2.2.3評估控制方案
基于ERP系統(tǒng)的控制����,是由軟件來完成的,通過控制數據的有效性和合理性來限制和核查動作的合法性�。ERP系統(tǒng)的參數設置將決定這個領域的控制級別。這些控制包括用戶訪問�、字段驗證、工作流和許多其他用于確保數據處理一致性的控制����。例如,系統(tǒng)會自動拒絕生成一張與前一次序號相同的發(fā)票���。這樣就自動降低了差錯發(fā)生的可能性和應付帳款處理的混亂���。值得注意的是,在ERP系統(tǒng)實施過程中�,某些二次開發(fā)工作會削弱在系統(tǒng)中已經設置好的控制,從而產生新的風險因子���。針對產生新的風險因子,必須要用手工控制來彌補�����。
3.ERP環(huán)境下企業(yè)風險管理審計的主要內容
企業(yè)風險管理審計就是要對企業(yè)風險管理過程及其內容的適當性和有效性進行審查和評價,并提出改進建議�����。在ERP環(huán)境下��,要重點考慮對以下幾方面進行審計�。
3.1對風險管理機制的審計。
對ERP環(huán)境下企業(yè)風險管理的審計���,首先必須對風險管理機制進行審計���,審查企業(yè)及其下屬單位是否建立了風險管理機制,風險的識別��、評價和應對機制的適應性和有效性如何���,實際運行情況怎樣�,是否有利于企業(yè)管理的持續(xù)改善等�。在審計中,我們還應當專門對業(yè)務流程�����、關鍵控制點、系統(tǒng)監(jiān)控等方面的風險管理機制進行重點審計�����。
3.2對業(yè)務流程的審計��。
對業(yè)務流程的風險管理審計大體包括以下幾個方面:應該在系統(tǒng)中運行的業(yè)務是否全部通過系統(tǒng)運行���;信息是否及時錄入系統(tǒng)����;錄入的信息是否真實�����、準確�����;系統(tǒng)運行是否正確�,有無系統(tǒng)錯誤;流程是否通暢,有無缺陷或舞弊的可能�,能否進行進一步的優(yōu)化���;識別���、評價和應對流程風險的效果如何等。
3.3對關鍵控制點的審計���。
ERP系統(tǒng)是由采購���、倉儲、生產���、銷售�、財務��、設備管理���、人力資源等多個模塊高度集成起來的��,每一模塊都有相應的關鍵控制點�,對企業(yè)的生產經營起著至關重要的作用。因此���,對關鍵控制點的風險管理審計應作為審計的重點���。審計時要主要關注以下問題:是否對關鍵控制點進行了識別,識別是否全面�����;是否建立了關鍵控制點的風險評價體系��;是否建立了關鍵控制點的預警機制和應對機制���;關鍵控制點的識別�、評價��、預警和應對機制的適應性和有效性如何�����;控制方法和手段是否可進一步優(yōu)化�;有無控制不嚴或失控的現象和可能等。
3.4對系統(tǒng)監(jiān)控的審計�。
對系統(tǒng)監(jiān)控的風險管理進行審計���,審查和評價企業(yè)及其下屬單位是否利用ERP系統(tǒng)進行了業(yè)務和績效的動態(tài)監(jiān)控、監(jiān)控點及其風險如何識別和評價�����、監(jiān)控的權威性及其效果如何����、發(fā)現問題的處理方式以及應對風險的效果如何����、有無監(jiān)控盲區(qū)或監(jiān)控不力的區(qū)域、監(jiān)控結果的利用情況如何等��。
3.5對信息系統(tǒng)的審計��。
從系統(tǒng)本身來說���,無論是硬件還是軟件��,都有產生故障的可能���,軟件功能的完備與否也是系統(tǒng)運行的風險之一�,ERP系統(tǒng)與其他系統(tǒng)的連接則是影響系統(tǒng)運行的關鍵因素���。要保證ERP系統(tǒng)的正常運行��,降低經營風險����,對ERP系統(tǒng)以及與其相聯接的其他信息系統(tǒng)的風險管理與審計也是必不可少的��,這包括對系統(tǒng)的開發(fā)與設計�����、軟件的程序�����、系統(tǒng)的控制��、功能的劃分���、硬件的架構��、備份模式及效果��、故障處理方案及風險應對措施��、系統(tǒng)風險識別與評價體系等進行審計��。
4. ERP環(huán)境下企業(yè)風險管理審計的主要對策
在ERP環(huán)境下�����,審計人員應該適應環(huán)境的變化�����,根據ERP環(huán)境的特點和要求�,利用先進的信息技術手段��,開拓思路�����,積極探討審計對策�����。
4.1充分利用系統(tǒng)數據集成的優(yōu)勢
ERP系統(tǒng)實現了從采購到付款���、訂單的獲取到發(fā)票的開出等業(yè)務集成���,實現了跨職能部門的業(yè)務處理���。在這種系統(tǒng)數據高度集成的條件下,效益審計的審計線索來源單一�����、清晰明了���,杜絕了多個數據源數據不一致的現象��,審計人員不需要再從多個系統(tǒng)獲取數據���,而是僅由一個系統(tǒng)就能得到所有數據。
4.2加強對內部控制風險的評估��,完善內部控制體系
企業(yè)經營活動及內部控制中依然存在重大差異或缺陷的可能性�。如ERP系統(tǒng)各職能崗位職責是否分離,權限范圍設置是否合理�,有些控制既可以選擇人工控制,也可以選擇由系統(tǒng)來控制���,這些控制是否得到始終如一的執(zhí)行�,控制的標準是否前后保持一致。這些都會影響控制的效果��,甚至產生重大差異��。因此�,必須對ERP環(huán)境下的內部控制體系進行測試和評估,對內部控制風險進行正確評價��,進一步完善內部控制體系�����。
4.3注重對參數設置的審計
ERP系統(tǒng)有很多參數�����,這些參數既影響內部控制的效果���,又影響財務數據的準確性和一致性,特別是集成財務數據�,除了要從數據源頭控制數據的正確性之外,還應該關注中間環(huán)節(jié)中的財務集成參數的設置�����,以確保集成財務數據的有效性。因此����,系統(tǒng)的參數設置是審計的一個重點,要檢查系統(tǒng)參數的設置是否符合企業(yè)的實際情況和行業(yè)特點�����,系統(tǒng)參數的設置是否符合一貫性����、有效性,是否存在隨意改變參數設置的情況�����。
4.4提高審計人員對ERP系統(tǒng)的應用能力
ERP系統(tǒng)功能強大��,業(yè)務模塊眾多���,必須熟悉ERP系統(tǒng)�����,才能更好地開展效益審計��。這就需要審計人員加強對ERP系統(tǒng)的學習�����,最好是從ERP系統(tǒng)實施開始就有審計人員參與項目�����,實踐證明����,參與ERP項目實施的人員往往是對ERP系統(tǒng)掌握程度最高的一批人。并且��,學習不能僅僅局限于財務模塊����,還要熟悉其他模塊的內容���,如物料管理�����、銷售分銷�����、人力資源���、系統(tǒng)管理等��。只有這樣��,在ERP環(huán)境下�����,審計人員才能更大限度地開展效益審計����。
5.結論
綜上所述��,隨著ERP系統(tǒng)的實施���,企業(yè)的經營管理模式和業(yè)務流程以及相應的內部控制發(fā)生了重大改變�,這促使了內部審計的工作發(fā)生了本質的變革。因此��,內部審計人員應主動參與ERP系統(tǒng)的實施與應用等進程��,熟悉ERP系統(tǒng)各個模塊的功能與應用�,充分利用ERP系統(tǒng)各模塊的集成性以及系統(tǒng)對流程和業(yè)務的動態(tài)監(jiān)控功能,對優(yōu)化后的流程進行內部控制風險評估�,加強完善內部控制體系,以促進公司ERP的有效應用�,提高公司的全面風險管理能力。
參考文獻:
[1] 楊律青�����;《基于SAP的ERP項目風險管理》�����;數字石油和化工�����; 2007年1期�����;95-98
[2] 梁倫騰�;《ERP環(huán)境下企業(yè)的風險管理審計》;漣鋼科技與管理���;2005(4)����;58
[3] 劉汝元,邊金良���;《淺談ERP項目的風險管理》��;中國科技信息�����;2007年09期����;162-163
第4篇
【摘要】 在當今信息化建設正在普及的時代�,對于醫(yī)院如何利用現有的信息化條件實現對醫(yī)療風險的預控,已成為醫(yī)院信息化建設的發(fā)展方向和醫(yī)療風險的研究方向�����。本文探討了信息化建設在醫(yī)院醫(yī)療風險管理中應用的技術支持條件,并從風險信息管理平臺設計上提出了信息集成與查詢�����、風險評估與報警�、決策支持與維護的操作流程。
【關鍵詞】 醫(yī)療風險;信息化;管理
【Abstract】 Nowadays informationbased construction is being popularized�, thus, how a hospital makes use of an existing informationbased condition to preventively control medical risk has become a developing direction of informationbased hospital construction and a research direction of medical risk management. This study explored the technically supportive condition of informationbased construction in the medical risk management in a hospital. From the management platform of risk information�, we also designed the operational process of putting forward information integration and search, risk valuation and priorwarning���, decision support and maintenance.
【Key words】 medical risk; informationbased construction; management
隨著信息技術在醫(yī)療行業(yè)應用的不斷深入�����,利用網絡及數字技術有機整合醫(yī)院業(yè)務信息和管理信息來實現醫(yī)院內部資源有效利用和業(yè)務流程最大優(yōu)化的數字化醫(yī)院已成為我國醫(yī)療信息化發(fā)展的方向���,并取得了長足的進步。但是�����,面對當今激烈的市場競爭�����,以及在門診、住院�����、出院等環(huán)節(jié)和診斷�����、治療�、康復等行為的全過程中時刻面臨著的醫(yī)療風險��,醫(yī)院管理者必須樹立風險管理理念��,研究當前醫(yī)院所面臨的新形勢���,借助開展信息化建設來科學地預測和處理醫(yī)療風險���,達到維護醫(yī)患雙方共同利益的最終目標。
1 研究背景
信息化建設是現代化醫(yī)院的基礎[1]��。我國醫(yī)院信息化經歷了20余年的發(fā)展���,已初具規(guī)模并取得了長足的進步�����。有關數據表明:90%以上的大中型醫(yī)院已經實現了科室的信息化管理�,40%的大中型醫(yī)院正在建設全院的管理信息系統(tǒng)、打造數字化醫(yī)院[2]�����。據資料顯示����,全國有20家醫(yī)院首批成為了數字化試點示范醫(yī)院。
近年來��,醫(yī)院信息化建設正在從"三級"大醫(yī)院向基層醫(yī)院推進�����,并擬投入30億元成立利用數字化改善基層醫(yī)院落后現狀的"中國千家農村醫(yī)院數字化扶持工程"���。但是����,醫(yī)療事故和醫(yī)療差錯呈現出逐年上升的趨勢,根據2005年中華醫(yī)院管理學會調查統(tǒng)計:三級甲等醫(yī)院平均每年每家發(fā)生醫(yī)療糾紛中要求賠償的有100例左右���,到法院訴訟的有20~30例左右����,而賠償數額一年達100萬左右��。此外����,目前在風險管理上還沒有業(yè)內公認的����、完善的、全國性的醫(yī)療風險監(jiān)控網絡信息體系�����、數據庫或調控系統(tǒng)�����,因此也難以及時準確地對醫(yī)療風險程度進行評估��,更無法實現通過相應的預警機制預警信號[3]。
因此���,我們應加強對醫(yī)院的信息化建設���,試圖通過打造數字化醫(yī)院來加強醫(yī)療風險的監(jiān)控管理,形成集數字化的管理����、醫(yī)療、服務為一體的現代醫(yī)院經營管理模式���,并及時準確地收集���、傳遞、存儲各種風險信息��,做好各部門的溝通反饋和協(xié)調合作�,從而來維持醫(yī)院的經營穩(wěn)定,提高醫(yī)院的工作效率和經濟效益�,減少因醫(yī)療風險所致的所有損失,同時還助于減少醫(yī)務人員對醫(yī)療風險的恐懼與憂慮���,為醫(yī)院管理者制定工作計劃或決策提供重要依據[4]����。
2 技術支持
數字化醫(yī)院的信息系統(tǒng)主要由兩大部分組成,即以醫(yī)院管理業(yè)務為核心的醫(yī)院管理信息系統(tǒng)和以臨床醫(yī)療為核心的臨床信息系統(tǒng)�����。醫(yī)院信息管理系統(tǒng)�����,是醫(yī)院信息化建設的重要組成部分���,包括門診、住院病房��、藥品����、檢查、器材等管理分系統(tǒng)�,且部分醫(yī)院建成了覆蓋全院的影像存檔與傳輸系統(tǒng)(PACS)、檢驗信息系統(tǒng)(LIS)���、合理用藥監(jiān)測系統(tǒng)(PASS)以及醫(yī)療質控網絡化和綜合管理查詢系統(tǒng)等臨床信息系統(tǒng)[5]����。同時,正在興起的電子病歷系統(tǒng)是以病人為中心的�����,整合了管理信息系統(tǒng)數據和臨床信息系統(tǒng)數據的��,反映患者醫(yī)療信息的診療系統(tǒng)����。
在硬件支持上,目前大部分醫(yī)院擁有較先進�、小到科室和個人的計算機設備,并建有成千上萬個終端信息點的網絡系統(tǒng)�����,配有防雷擊�����、防停電設施����。同時��,大中型醫(yī)院還擁有各類大型數字化設備��,包括多種類型的CT���、MRI、全自動生化分析儀等先進的檢查設備���,均有完備的標準化數據傳輸接口��,確保實現風險管理的信息化���。另外,從有些醫(yī)院的經濟實力來看�,有能力完成對硬件和軟件系統(tǒng)的升級或改造���。
3 平臺設計
根據醫(yī)院的信息化建設需要和總體規(guī)劃�,在已組建信息化領導小組和機構部門的基礎上�,我們應增加對醫(yī)療風險信息化管理模塊,設置專職機構和人員與制定相應的管理制度�。并結合醫(yī)療風險的自身特點和管理流程,自主開發(fā)醫(yī)療風險管理信息平臺,集成和監(jiān)測醫(yī)院信息系統(tǒng)的數據�����,通過查詢并分析評估可能存在的風險���,并及時按層次級別發(fā)出風險警報和提供可供參考的處理對策(見圖1)����。
3.1 信息集成與查詢
醫(yī)院業(yè)務種類繁多�����,信息類型復雜�����。既有特有的各類醫(yī)療業(yè)務���,也有常見的人�、財���、物的管理�����。所涉及的信息�,有結構化的文字、自由文本�,還有圖形、圖像等多媒體信息�。而風險管理首先必須完成對醫(yī)療風險的識別,也就是從大量的信息中識別出醫(yī)療風險的類別���、根源及影響���。其中完成大量信息的集成是整個醫(yī)療風險信息化管理的第一步。以往這些主要信息來源于自我發(fā)現�、他人提醒、內部檢查和上級監(jiān)督等�����。如今�����,我們可以通過組建風險管理信息平臺對醫(yī)療���、護理���、經費、藥品���、物資及科研�����、教學等活動中的所有信息進行分散收集�、統(tǒng)一管理�,也通過綜合管理查詢系統(tǒng)了解單個病人的診治信息和工作人員業(yè)務信息,從而快速���、準確地實現對信息的數字化采集和查詢��。
3.2 風險評估與報警
醫(yī)療過程專業(yè)性強��,對信息的分析處理工具的需求具有專業(yè)化�����、知識化����、智能化的特點。在信息集成的基礎上���,我們可利用信息技術的快速�����、準確�����、便捷的特點�,根據醫(yī)院的工作要求和病歷的書寫規(guī)定���,開發(fā)一套能衡量和評估各類潛在醫(yī)療風險發(fā)生的概率及其潛在損失程度的風險分析處理軟件和風險預警信息系統(tǒng)����,設想將醫(yī)療風險監(jiān)測的指標輸入到信息系統(tǒng)中�����,確認這些指標的數據處理模型和預警界線值�。同時,根據定性分析和事實�����,剖析問題的性質與發(fā)生根源���,確認風險性質;根據定量分析和描述���,對風險危害程度進行重要性排序,確認風險等級����,最終發(fā)出相對應的警報,顯示風險的指示圖與態(tài)勢圖���。
3.3 決策支持與維護
一旦出現醫(yī)療風險就必須采取針對性預控策略���。如消除和緩解風險、轉移風險及分擔和回避風險等���。不同的風險策略顯然效果也不同��,因而醫(yī)院需要對風險策略進行最適合�����、最優(yōu)化的選擇����,其目的是將醫(yī)療風險損失成本控制到最低。我們可以在風險預警信息系統(tǒng)的基礎上組建智能決策支持系統(tǒng)����,由定量分析為主的決策支持系統(tǒng)和定性分析為主的專家系統(tǒng)結合組成,主要通過對數據庫中的數據進行處理和挖掘使其輔助決策能力從運籌學����、管理科學的單模型輔助決策發(fā)展到多模型綜合決策。另外�,我們還必須建立一套安全機制,實行對風險管理信息系統(tǒng)的維護����。
4 實現目標
4.1 提高管理能力,確保病人滿意
我們可以利用醫(yī)療風險管理網絡平臺及時獲取所發(fā)生的各類風險信息����,及時、準確地掌握醫(yī)療風險的動態(tài)情況,促進醫(yī)院內部的信息流動和傳遞�,便于管理者和政府機構對醫(yī)院的監(jiān)管,使醫(yī)院風險預警更具有針對性和可行性�����,從而可以提高醫(yī)院經營的決策能力與管理水平����,使醫(yī)院管理向正規(guī)化�����、現代化�����、科學化方向發(fā)展��。同時�,隨著醫(yī)療風險的降低,病人滿意度也會逐漸得到提高�。
4.2 加強過程控制,提高醫(yī)療質量
醫(yī)療活動中產生的各種信息具有很強的動態(tài)性�、連續(xù)性和實時性,原始的人工管理方法很難從環(huán)節(jié)管理機制上加以控制。通過醫(yī)療風險管理網絡信息工程��,我們可隨時從終端上很方便地掌握全院的風險動態(tài)信息����,及時發(fā)現醫(yī)療、護理過程中各環(huán)節(jié)存在的問題�,使醫(yī)院管理從過去的終末質量管理深入到環(huán)節(jié)控制管理,將事后管理變成事前預測或事中監(jiān)督管理�����,使醫(yī)院醫(yī)療質量得到明顯提高���。
4.3 優(yōu)化工作流程�����,提高工作效率
醫(yī)療風險網絡信息化管理的應用����,對醫(yī)院原有的管理模式和工作流程進行了重大的改革和重組��,促進了醫(yī)療活動規(guī)范�����、有序進行,保證了整個醫(yī)療工作的連續(xù)性和信息組成的完整性���。同時�,使風險管理過程由繁變簡����,從雜亂走向統(tǒng)一�,減少重復勞動,由過去的經驗型管理向科學型管理方式轉換��,可以提高信息的共享和利用水平以及預警預報和快速反應能力���,使醫(yī)院工作效率明顯上升�����。
參考文獻
[1] 連斌�,許蘋.醫(yī)院核心競爭力[M]. 上海:第二軍醫(yī)大學出版社�����,2008:180205.
[2] 陳鈞.打造數字醫(yī)院[J]. 中國信息界(醫(yī)療),2008���,4:2635.
[3] 許蘋�����,孔令曼����,秦婷��,等.建立醫(yī)療風險預警機制的若干構想[J]. 中國衛(wèi)生質量管理�,2006,13(1):911.
第5篇
關鍵詞:華興綜合管理信息系統(tǒng)需求進度CMMI(軟件能力成熟度模型) 風險管理
中圖分類號:C931.6文獻標識碼: A
一��、前言
華興綜合管理信息系統(tǒng)于2011年11月5日正式通過了住建部專家對我公司特級資質就位信息化實地考核�,公司的信息化建設終于取得了階段性的成果。作為一個華興綜合管理信息系統(tǒng)開發(fā)的全程參與及經歷者��,深感在華興綜合管理信息系統(tǒng)的開發(fā)中���,對整個開發(fā)過程的風險控制彌足重要�。
二���、華興綜合管理信息系統(tǒng)開發(fā)過程的簡要回顧
第一階段:2006年2月���,公司啟動了華興綜合管理信息系統(tǒng)的開發(fā)��,選定了軟件開發(fā)商���,成立了軟件開發(fā)小組,進入了實質性的開發(fā)��。并制定了需要開發(fā)的子系統(tǒng)為:項目信息管理子系統(tǒng)��、人力資源管理子系統(tǒng)�����、設備管理子系統(tǒng)���、OA辦公四個子系統(tǒng),在華興綜合管理信息系統(tǒng)開發(fā)的過程中�����,由于種種原因產生了初期的需求調研不充分�����,致使系統(tǒng)開發(fā)進展不順,因而開發(fā)出來的項目信息�、設備管理、OA辦公幾個子系統(tǒng)的功能有限����,沒有達到預期的使用效果。
第二階段:2009年6月��,根據公司的實際需求��,要求軟件開發(fā)商對2006年開發(fā)的華興綜合管理信息系統(tǒng)進行升級改造�,并對其中的OA辦公、協(xié)同門戶���、物資管理���、成本管理、進度管理�����、設備管理�����、風險管理等進行符合公司的適應性開發(fā),雖然取得了一些效果�,但是由于開發(fā)過程中的需求變更頻繁,致使開發(fā)工作進展緩慢�,成本增加。
第三階段:2010年12月�,公司成立了信息化建設的軟件開發(fā)組,成員由軟件開發(fā)商以及我方的自有的軟件開發(fā)人員組成�����,同時成立了信息化建設的推進組�,成員由科研部信息化專業(yè)人員組成,負責華興綜合管理信息系統(tǒng)的需求分析確定��、與各業(yè)務部門的協(xié)調�、各子系統(tǒng)上線的培訓�����、各子系統(tǒng)的數據核查等��,兩個小組分工協(xié)同�,在開發(fā)的過程中充分識別和評估了可能存在的風險��,并制定了相應的應對措施�,使華興綜合管理信息系統(tǒng)得以順利的開發(fā)和完善���,并在不到一年的時間內上線運行��。
三���、華興綜合管理信息系統(tǒng)開發(fā)的風險管理
風險管理是軟件開發(fā)過程中減少失敗的重要手段,在軟件開發(fā)過程中的風險管理���,即是在軟件開發(fā)之前�����,通過識別出潛在風險���,并對風險進行分析,判斷出風險的危害程度�,并采取相應的應對措施進行控制和管理,從而規(guī)避或緩解風險帶來的不利影響��。由此可見�,有效的風險管理可以提前發(fā)現那些潛在的問題�����,提前對風險制定對策就�����,并在風險發(fā)生的時候迅速做出反應�����,將工作方式從被動救火方式轉變?yōu)橹鲃臃婪?��,使軟件開發(fā)的進程更加平穩(wěn),獲得很高的跟蹤和掌控軟件開發(fā)過程的能力���。
軟件開發(fā)過程中的風險管理是一個動態(tài)的管理過程�,是風險識別�����、風險評估����、風險控制的循環(huán)管理過程。
通過對華興綜合管理信息系統(tǒng)開發(fā)過程三個階段的回顧可以看出�,風險管理在華興綜合管理信息系統(tǒng)開發(fā)過程中控制起著舉足輕重的作用,風險控制的好壞直接影響著系統(tǒng)開發(fā)的成敗�。
因此,我們在華興綜合管理信息系統(tǒng)第三階段的開發(fā)的同時加強了對開發(fā)過程的風險�,識別和評估出我們主要的風險有:系統(tǒng)需求方面的風險、軟件開發(fā)人員方面的風險�����、軟件開發(fā)進度的風險等��。
下面就華興綜合管理信息系統(tǒng)第三階段開發(fā)過程中遇到的風險及解決和預防措施做簡要分析:
1���、初期需求風險
華興綜合管理信息系統(tǒng)在確定需求時都面臨著一些不確定性和混亂���,當早期如果忽視了這些不確定性,并在進展過程中得不到解決這些問題就會對華興綜合管理信息系統(tǒng)造成很大的威脅��。
初期需求風險因素主要表現在以下方面:
對華興綜合管理信息系統(tǒng)缺少清晰的認識
對華興綜合管理信息系統(tǒng)需求缺少認同
在做需求中各業(yè)務人員參與深度不夠
針對以上可能存在的風險因素��,我們采取了以下初期需求風險防范對策
(1)需求分析是整個華興綜合管理信息系統(tǒng)開發(fā)中需要重點控制的幾個關鍵節(jié)點之一�����,首先我們在各種討論會或是合適的場合,給需求提出者宣傳需求分析的重要意義�,使其在在思想上重視。
(2)需求分析報告的編寫者參與到需求的搜集工作中���,準確領會各個業(yè)務管理部門的意圖����,并轉化成軟件能夠實現的功能�����。對于說不清楚需求的相關業(yè)務人員�����,我們抓住關鍵問題進行提問���,或開發(fā)用戶界面原型���,引導相關業(yè)務人員提出自己的需求,并組織業(yè)務人員多次召開需求討論會����,詳細討論業(yè)務人員的需求。
(3)對各項需求進行了深入分析�����,區(qū)別出哪些需求存在日后變更的可能�,哪些需求屬于相對固定的,哪些需求能夠實現��,哪些需求需要變通才能實現�,以便于指導后面的功能設計。
(4)在需求分析報告中對功能細節(jié)的描述確保全面����、準確,防止歧義�。
(5)需求報告的每個關乎功能的描述都讓業(yè)務人員明白和理解,只有業(yè)務人員在理解之上的確認才能夠保證日后一旦出現問題不致出現雙方互相推托責任糾纏不清的情況���。
(6)需求報告經過了由軟件開發(fā)小組人員��、相關業(yè)務人員及信息化推進小組相關人員參加的評審�,充分發(fā)揮了團隊的力量��,重視每個人的才智,一個模塊一個功能的逐一的過��,讓大家來共同找出需求報告里不合理的���、有歧義的�、不完善的�、遺漏等問題。
通過上述策略�,我們達到了初期需求階段的主要目的:確定了華興綜合管理信息系統(tǒng)中每一個子系統(tǒng)的明確目標和清晰的范圍,并通過提高公司高層的認識��,強化公司對開發(fā)華興綜合管理信息系統(tǒng)的支持力度����,為日后系統(tǒng)的順利開發(fā)打下良好的基礎。
2�����、開發(fā)過程中的需求變更風險
隨著軟件開發(fā)的進展����,原始的初步的需求已經轉化為看得見的軟件內容����,用戶已經可以看到軟件的雛形��,用戶的逐漸成熟�����,對于軟件的具體要求也越來越清晰,此時不單是對原有需求的細化��,而且對于軟件功能提出了新的更高層次的需求�����,對軟件的未來功能充滿了期待��,甚至出現了不切實際的需求�。有時雖然對用戶看起來是很小的需求變動,然而對程序來講可能要做結構上的調整�����,這對于整個軟件開發(fā)小組來講無疑是場噩夢。另外���,需求的變更還會使項目的進程可能遠遠地偏離了原有的計劃���,打亂安排好的進度,原來已經完成的工作不得不重來�,項目進程陷入了反復拉鋸的狀態(tài)���。由于時間的延期項目成本也將增加可能會是驚人的��。例如在華興綜合管理信息系統(tǒng)開發(fā)的第二階段的開發(fā)過程中�����,就產生了上述問題���,需求變更頻繁��,致使系統(tǒng)開發(fā)一度處于停滯階段��,并且眾多的需求變更累計的金額也十分巨大����,如第二階段中的設備變更單累計金額就多達36.6萬元。
因此���,我們總結了第一���、第二階段的經驗和教訓�,需要避免上訴的問題再次發(fā)生,在第三階段的開發(fā)過程中��,我們意識到了如何正確處理需求變動風險十分重要的��,并采取了如下的應對措施:
(1)大的需求的變更不但要經過需求變更提出者的書面確認����,而且還需要其相關領導的確認。
(2)小的需求變更也要經過正規(guī)的需求管理流程��。
(3)組織需求提出方與軟件開發(fā)方進行充分的交流和溝通,達到一個雙方都能接受的平衡點�����。因為精確的需求與范圍定義并不會阻止需求的變更�����,并非對需求定義的越細���,越能避免需求的漸變��,太細的需求定義對需求漸變沒有任何效果�����,因為需求的變化是永恒的�,并非由于需求寫細了���,它就不會變化了�����。
3��、人力資源風險
華興綜合管理信息系統(tǒng)不同于其他工程��,它是智力密集型�����、勞動密集型項目�����,主要是靠人來完成����,因此合理的配置使用人力資源成為華興綜合管理信息系統(tǒng)成敗的關鍵之一�����。
在華興綜合管理信息系統(tǒng)中人力資源的風險主要表現在以下幾個方面:
開發(fā)人員的技術水平是否達到要求
開發(fā)人員的數量是否足夠
開發(fā)人員是否能夠自始至終地參加軟件開發(fā)工作����。
開發(fā)人員是否能夠集中全部精力投入軟件開發(fā)工作。
開發(fā)人員的流動是否能夠保證工作的連續(xù)性��。
為了消除以上風險因素�,在華興綜合管理信息系統(tǒng)的開發(fā)過程中�����,采取了以下應對措施:
(1)與軟件開發(fā)商鑒定了戰(zhàn)略性的合作協(xié)議�����,使華興綜合管理信息系統(tǒng)開發(fā)成功能達到雙贏的效果�,從而保證了軟件開發(fā)商的積極性�����,使軟件開發(fā)商在其軟件開發(fā)人員的數量���、質量及軟件開發(fā)人員的穩(wěn)定得以充分的保障�����。
(2)采用聯合開發(fā)的方式���,將我公司自有的軟件開發(fā)人員參與其中,預防在非常時期軟件開發(fā)人員不會斷檔���。
(3)在華興綜合管理信息系統(tǒng)開發(fā)過程中���,所有的過程都要形成正式的文檔���,這些文檔包括數據庫設計的文檔、源代碼��、源代碼說明���、概要設計說明書�、用戶手冊等等文檔���。在三階段的開發(fā)中��,我們驗收了華興綜合管理信息系統(tǒng)源代碼一份�、數據庫完整ER圖一份�����、需求報告12份��,用戶手冊11份����,有了這些資料��,即便軟件開發(fā)商退場�����,我們自己的軟件開發(fā)人員也能接手�����。
4�����、進度風險
華興綜合管理信息系統(tǒng)看了第三階段的開發(fā)����,事實上從2010年12月開始正式啟動,共計要完善和開發(fā)14個子系統(tǒng)�,并要符合公司實際業(yè)務需要,還要達到特級資質考核的標準�,時間特別緊迫����,此時進度是最大潛在的風險���,如果不加以控制�����,那華興綜合管理信息系統(tǒng)將不能按時上線交付,那么公司的就位考核將不能通過考核�����,那將給公司帶來的后果是災難性的���。因此�����,在華興綜合管理信息系統(tǒng)的開發(fā)中���,控制進度風險尤為重要,我們采取了以下措施進行了進度風險的控制:
(1)我們首先制定了總計劃�,在總體計劃中明確各個階段的任務完成時間,然后在總計劃的基礎上進行細化分解�����,分解為較為精確周計劃�,計劃的實施時間精確到天。
(2)每周一開例會���,開會期間總結上周的任務完成情況�����,如有問題���,分析原因��,及時解決��。
(3)如果入到突發(fā)事件��,及時調整計劃����,總之保證計劃的如期完成�。
(4)提高開發(fā)人員的主動性和積極性�,在人性化管理的基礎上,加班加點地工作��,保證實際進度不晚于計劃進度���。
5��、華興綜合管理信息系統(tǒng)上線運行的風險
華興綜合管理信息系統(tǒng)開發(fā)完成只是完成了第一步�,�,成敗的關鍵還看上線運行及推廣應用,在華興中核管理信息系統(tǒng)初期運行階段中���,通過評估��,我們認為存在以下幾點風險因素:
傳統(tǒng)工作習慣的阻力
用戶掌握系統(tǒng)使用熟練程度
繁瑣的數據初始化工作
系統(tǒng)不可預見性的問題
為了有效控制上述風險����,我們采取了以下幾點措施:
(1)領導的關注和決策是軟件應用效果的重要保障����,因此,在召開系統(tǒng)上線推廣會議時�����,邀請了公司高層主管領導��、各事業(yè)部相關領導�、各業(yè)務部門負責人共同參與,共同明確后續(xù)需要配合的事項及系統(tǒng)應用策略�����,如系統(tǒng)上線啟用時間點、功能模塊上線范圍��、相關業(yè)務人員使用范圍�,并建立業(yè)務基礎數據的責任部門及責任人。由于領導的參與����,傳統(tǒng)的工作習慣的阻力能很順利的化解,保證的整改系統(tǒng)的推廣及應用�。
(2)制定了信息的用戶培訓計劃,充分利用公司視頻會議的便利條件�����,對用戶進行了大規(guī)模的輪番培訓��,以用戶熟練掌握系統(tǒng)應用為原則,同時組建了多個QQ答疑群�����,隨時回答用戶在使用系統(tǒng)過程中存在的問題,使用戶能在比較短的時間內熟練掌握了系統(tǒng)的應用����。
(3)對于繁瑣的數據初始化的問題,我們采用后臺數據庫導入的方式進行�,這樣既方便了用戶,又保證了需要遷移的歷史數據或初始化數據的快速�����、準確地錄入到系統(tǒng)中����。
(4)在華興綜合管理信息系統(tǒng)運行的初期���,我們也遇到了意料之外的情況��,在眾多用戶登錄到系統(tǒng)后����,由于并發(fā)數量過大�����,超出了服務器的承載,是整個系統(tǒng)的應用響應速度非常的慢�,當我們找到原因以后,立即采用的服務器負載均衡的方式解決了這一問題��。
四�����、總結與展望
華興綜合管理信息系統(tǒng)第三階段的開發(fā)�,由于在開發(fā)之前,對開發(fā)過程中可能產生的風險因素進行了充分的識別���、評估及控制�,使系統(tǒng)的開發(fā)及上線運行得以順利進行�,使公司特級資質就位信息化的考核得以順利通過,獲得了好評����。
但是,華興綜合管理信息系統(tǒng)開發(fā)過程中的風險管理����,是我們憑著經驗而為,還沒有升華到系統(tǒng)的����、精細化的軟件開發(fā)的風險管理�,因此��,我們在今后的軟件開發(fā)過程中的風險管理��,應在理論的指導下�,與公司的具體實際情況相結合,建立一套符合公司實際情況的軟件開發(fā)的風險管理體系�,我對今后公司軟件開發(fā)的風險管理展望如下:
建立基于CMMI(軟件能力成熟度模型)的軟件開發(fā)的風險管理體系,基于CMMI軟件開發(fā)風險管理是強調過程管理���,可以通過圖一中的流程來說明。
圖一:風險管理流程
風險規(guī)劃:
在進行風險管理的過程中��,風險規(guī)劃的環(huán)節(jié)十分重要��,可以通過以下模型(圖二)進行風險規(guī)劃:
圖二:風險規(guī)劃
在風險規(guī)劃階段�,我們需要做的工作是:
確定風險來源:了解風險來源,將為系統(tǒng)地檢查不斷變化的風險情況打下基礎�,以揭示那些在軟件開發(fā)過程中造成不利影響的風險。
確定風險類別:確定風險類別是為收集的風險分門別類��,標識風險類別有助于風險緩解計劃中整合將來的緩解活動��。
定義風險參數:風險參數是評價風險的標準,使得在管理不同級別風險的時候�����,確保最終結果的一致性����。
風險標識:
圖三:風險標識
風險的標識需要軟件開發(fā)項目經理和項目成員共同完成,以識別任何可能對工作或工作計劃造成不利影響的潛在問題�、危害、威脅等�����。
風險識別的依據是:項目計劃�、風險管理總計劃、歷史經驗信息�����、項目內部的不確定性��、外部風險等因素來加以判斷�����。
風險識別的過程,風險識別是將項目的不確定性轉變?yōu)轱L險的陳述過程�,它包括三個步驟:
集記錄資料
②風險定義及分類
③將風險編寫為文檔
識別出來的風險需要簡明地表述出來,為下一步風險管理提供參考的依據�。通過編寫風險陳述和詳細說明風險場景來記錄已知風險。
風險分析:
圖四:風險分析
項目經理負責運用風險類別和參數對所識別的風險進行評估并且對其賦值�。這些參數包括可能性(概率)、后果(嚴重性或影響)以及時間框架(預計風險可能發(fā)生的時間關系)��。如何確定該風險發(fā)生的可能性�、后果和時間是需要評估人員根據經驗或者歷史數據的。這個值可以根據公司的實際情況來定��,也可以根據項目的具體情況進行適當的調整����。
風險分析過程包括如下步驟:
①確定風險類別:對已辨識的風險進行歸類,同一類風險在一定程度上反映了風險的重要屬性����,對冗余的風險應該排除��。
②判定風險來源及風險驅動因素:風險來源是引起風險的內在因素����,由于風險識別確定的風險來源可能不太準確���,因此需要通過風險分析更進一步判別,使得風險的來源更加簡明����、準確,便于進行下一步風險管理�����。
③定義風險度量準則:風險度量準則是進行風險優(yōu)先級的基礎����,它是用來確定各風險對項目影響的相對重要性的依據。它包括可能性����、后果和行動時間框架?���?赡苄缘亩ㄐ远攘亢唵味x為:高、中���、低��,定量度量一般用概率表示����;后果的度量也可以分定性和定量的度量,這就需要根據不同的風險類型�����,來具體選用度量的方法�;行動時間框架是指采取有效措施規(guī)避風險的時限,阻止風險發(fā)生的行動時間也隨項目的不同而不同����。
④預測風險影響:根據風險度量準則,用風險發(fā)生的可能性與風險后果的乘積度量風險的影響��,在進度的影響中預測風險的影響是通過時間的延長來度量的����。
⑤風險優(yōu)先級:項目的風險很多,由于項目資源有限����,不能處理每一個風險��,只能集中有效資源,對高風險進行有效的管理�����,因此需要對已識別度量的風險進行排序����,以便保證風險管理的有效性。
風險控制:
風險控制是采取各種措施和方法�,消滅或減少風險事件發(fā)生的各種可能性,或者減少風險事件發(fā)生時造成的損失�。風險控制圖如下圖所示:
圖五:風險控制
控制是指風險負責人以跟蹤報告中提供的數據為基礎,做出有關風險的決定����。控制活動包括分析�、決策和采取行動。
分析是使用跟蹤數據來考察項目風險的趨勢�、偏差和異常情況,以此來標識風險狀態(tài)中的顯著變化��,評估緩解計劃的有效性�,使決策者準確地決定最佳的行動路線。
決策是為了保證繼續(xù)有效地管理項目風險�,使用跟蹤數據來決定如何繼續(xù)進行項目風險管理��,如:重新計劃�����、關閉風險�����、啟用應急計劃�、繼續(xù)跟蹤和控制活動等����。當出現閾值超出了設定的限制、當前計劃不起作用����、發(fā)生了意外事件,使用趨勢向相反方面發(fā)展時都應該重新制定計劃�����。當出現風險發(fā)生的概率已經降低到或風險的影響已經減小到一個特定值以下�����、風險已經變成了問題并且對這個問題正在進行跟蹤時�,可以關閉該風險。啟用風險應急計劃是當出現已經超出觸發(fā)條件或需要采取有關的行動時����,可以啟動風險應急計劃。通過分析跟蹤數據��,發(fā)現一切都是按計劃在進行�,項目人員決定繼續(xù)像以前一樣跟蹤風險。
采取行動是指執(zhí)行那些關系風險和緩解計劃中所作的決定��,并保證將其文檔化����,存入公司過程財富庫中,以便作為歷史紀錄和將來參考之用�����。
有效的控制能監(jiān)督計劃執(zhí)行的質量���、檢測風險狀態(tài)中的明顯變化�,同時能夠對風險適時地做出以信息為基礎的決策。
風險控制可分為四個步驟進行:
對觸發(fā)事件做出反應
觸發(fā)器提出風險警報時�����,收到警報的人立即對觸發(fā)事件做出反應����,安排有關負責人(風險應對者)負責做好風險應對的準備。
執(zhí)行風險行動計劃
風險應對行動應該落實到相應的風險應對的實施人員����,實施者根據風險應對計劃和風險事件的實際情況,執(zhí)行相應風險應對的措施��。
對照計劃報告進展
在執(zhí)行風險行動計劃的同時��,必須將風險應對的實施結果與風險應對計劃進行對照�,及時發(fā)現兩者的偏差。
④修正與計劃的偏差
一般應對計劃和實際情況有一定的差別�,因此需要對應對計劃進行及時地調整修正,使得風險應對措施更為有效��,并且需要將改進的內容記錄在案���,以便在將來制定風險應對計劃能考慮到類似問題��。
由此可見����,通過建立基于CMMI的軟件開發(fā)風險管理體系,能夠實現軟件開發(fā)的風險管理精細化���、規(guī)范化,能對軟件開發(fā)中的風險進行定性和定量的管控���,提高公司軟件開發(fā)的風險管理水平��,將軟件開發(fā)中出現的風險降低到可接受的范圍��。
參考文獻:
[1]《軟件項目管理與敏捷方法》
第6篇
【關鍵詞】內部控制����;風險管理����;信息化
目前,隨著國家《企業(yè)內部控制基本規(guī)范》���、《企業(yè)內部控制應用指引》等一系列文件的頒布和實施�,企業(yè)內部控制和風險管理工作的影響不斷擴大。公司各級領導非常重視企業(yè)內部控制體系各項工作的開展情況�����,為了提高內部控制的管理水平��,真正將內部控制貫穿于企業(yè)經營決策�����、執(zhí)行和監(jiān)督的全過程���,覆蓋到企業(yè)各種業(yè)務和事項�����,公司按照內部控制“管理制度化�、制度流程化�����、流程表單化�、表單電子化”的工作思路,充分利用信息技術促進信息的集成與共享��,運用信息化技術來強化內部控制的設計和執(zhí)行,從業(yè)務的關鍵環(huán)節(jié)和關鍵控制點出發(fā)�,在公司比較成熟、高效����、透明的業(yè)務率先開展電子化應用,以點帶面�,循序漸進,全面深化公司內部控制體系電子化應用進程�����。
本文著重從內控信息化����、成果利用等兩個方面談談如何提高內控信息化工作�。
一、提高對內部控制及風險管理信息化的認識
內部控制信息化的工作原理就是促進企業(yè)內部控制流程與信息系統(tǒng)的有機結合�,在企業(yè)信息系統(tǒng)的開發(fā)與維護、訪問與變更����、數據輸入與輸出、文件儲存與保管�����、網絡安全等方面實現對業(yè)務和事項的自動控制,盡量減少或消除人為操縱因素����。公司內控主管部門按照國家有關規(guī)定和上級部署,經過多次調研和溝通�,提出內控信息化建設的總體目標是規(guī)范透明、工作可控�����、業(yè)務留痕�����。
二���、確定內控信息化工作重點�����,逐步開展信息化推進工作
公司根據經營規(guī)模和管控模式的特點��,有針對性地開展內部控制信息化工作����,通過建立專項業(yè)務控制的工作辦理模塊,實現業(yè)務流程自動提示��、自動流轉�����,實現工作內容與內控要求的全面融合��,確保權責分明���、工作受控,責任落實到位�����。目前����,公司在合同管理系統(tǒng)、存貨管理系統(tǒng)�����、成本控制管理系統(tǒng)、生產精細化管理系統(tǒng)等領域開展信息化應用��,通過程序控制����、細化相關控制環(huán)節(jié)和要點。
1.在“合同管理”信息化工作中����,通過對公司合同管理流程進行全面優(yōu)化,積極推進合同管理電子化應用
根據《企業(yè)內部控制應用指引》“第16 號――合同管理”的有關要求���,公司對合同管理中涉及物資采購類的合同率先開展電子化應用�����,把實施信息化管理作為公司加強內部控制的重要手段之一�����,目前已通過對采購類合同的合同文本��、合同條款等內容進行固化����,并對采購價格、采購數量��、合同審核�����、合同審批權限等具體環(huán)節(jié)進行電子化控制�,從而達到有效防范法律風險,維護公司合法權益��,提高公司經營管理水平的目的和作用����。
2.在“資產管理”信息化工作中,通過對管理流程�����、管理規(guī)范中存在的缺陷進行分析和梳理��,通過添加相應的����、必要的管控模塊�����,持續(xù)提高信息系統(tǒng)在存貨、固定資產����、在建工程等資產管理中的利用效果
根據《企業(yè)內部控制應用指引》“第8 號――資產管理”的有關要求,公司在存貨管理中開始逐步提高信息化的利用效果�,由于公司以前缺少對于存貨庫存賬齡進行有效分析的管理,缺乏自主性分析等判定程序��,主要因為公司財務系統(tǒng)無法直接取得存貨的賬齡信息����,不能實現對存貨賬齡進行定期的統(tǒng)計和分析,缺少對賬齡較長或殘次冷背等存貨的定期報告制度��,公司統(tǒng)計存貨賬齡主要通過手工進行���,不僅工作量大���,而且編制出的存貨賬齡分析表也不夠準確,在一定程度上影響了對存貨跌價的判斷�����。目前,公司有關部門充分利用計算機系統(tǒng)自動計算運行出存貨的賬齡��,重點提高計算機系統(tǒng)的利用效果��,持續(xù)改善用友系統(tǒng)功能�,添加相應賬齡分析模塊,通過充分利用計算機系統(tǒng)自動計算出存貨的賬齡信息����,保證了存貨賬齡分析更加準確,同時���,建立定期統(tǒng)計分析制度�,對存貨的跌價風險提供準確分析判斷依據����,確保長期呆滯存貨得到逐步有效處理。
3.在辦公系統(tǒng)信息化工作中����,通過對公司內部信息網及OA系統(tǒng)功能深入進行開發(fā)����,積極推進無紙化辦公
根據《企業(yè)內部控制應用指引》“第17號――內部信息傳遞”的有關要求�����,公司積極建設內部信息網�����,提高各業(yè)務系統(tǒng)工作效率����。以前��,由于公司內部各部門之間信息孤立��,溝通��、查詢困難�,工作效率低,且各業(yè)務系統(tǒng)精益管理的成果需要以信息化為手段進行固化和持續(xù)改善���。為了便于溝通�、查詢信息�����、應用系統(tǒng)集成以及固化精益管理成果,從提高工作效率�,促進企業(yè)生產經營管理信息在內部各管理層級之間的有效溝通和充分利用,公司以組織框架和職能系統(tǒng)為主線��,設計開發(fā)內部信息網站平臺��,實現各業(yè)務系統(tǒng)的數據充分共享�����,提高了公司各業(yè)務系統(tǒng)的工作效率�。目前OA系統(tǒng)已實施發(fā)文管理、收文管理���、通知通告�����、辦公信息�����、宣傳報道五個模塊����,實現了文件�、通知的起草、審核�、簽發(fā)、傳閱等流程的無紙化和規(guī)范化�。
以上是公司利用信息化手段加強企業(yè)內部控制,提高風險管控的具體實例��,下一步公司將根據企業(yè)發(fā)展目標規(guī)劃�、生產經營管理實際情況、機構職能調整情況����,以及關鍵業(yè)務風險控制點出現新變化的情況等,逐步擴大信息化綜合利用的廣度和深度����,大力推進管理工作的規(guī)范化、標準化和程序化運行��,最終實現內部控制關鍵業(yè)務流程信息化的全覆蓋����。通過持續(xù)利用信息化手段進行業(yè)務流程優(yōu)化�,不斷提高公司整體管理水平及風險防范意識���,保障公司內部控制體系運行更加良好��、有效��,更好地為增加組織價值服務�。
參考文獻:
第7篇
信息技術以及信息產業(yè)的飛速發(fā)展�,給檔案管理信息化建設帶來了機會,同時也給其帶來了巨大的沖擊和新的挑戰(zhàn)����。信息系統(tǒng)自身所處的網絡環(huán)境的特點以及信息系統(tǒng)自身的局限性會導致信息系統(tǒng)的發(fā)展過程中會受到一些因素的影響。而且�����,在使用的過程中也會遇到一些認為破壞或者是木馬等方面的破壞��。所以��,檔案管理信息化的過程中會遇到一些信息安全隱患��,這嚴重影響信息的安全可靠性��。但是,隨著時代的快速發(fā)展�����,人們在不斷的探索和研究防止信息系統(tǒng)遭受到破壞的措施�����,而且在殺毒軟件和入侵檢測技術方面獲得了很大的成就�。雖然這些檢測手段的使用在一定程度上可以防止惡意程序對信息系統(tǒng)的破壞�����,但是并沒有從根本上解決檔案信息系統(tǒng)的安全問題�����。因為隨著信息技術的發(fā)展�����,信息系統(tǒng)受到的威脅也在逐漸向著多樣化的趨勢發(fā)展變化����,而且更加的隱蔽化�,對于信息系統(tǒng)的破壞性越來越大��。隨著信息技術的廣泛使用��,信息安全的內涵也在不斷的豐富�����,已經不再是最開始的單單對信息保密�����,而是向著保證信息的完整性���、準確性方向發(fā)展��,使檔案信息變得更加的實用而且具有不可否認性��。進而實現多方面的防控實施技術�����。
二�、檔案管理信息化中安全風險評估的作用
人們在進行檔案信息管理的過程中受到認識能力以及實踐能力的限制,不能夠保證信息管理的完全安全性���,所以檔案信息管理系統(tǒng)在一定程度上存在著脆弱性�,這種情況導致在使用檔案信息的過程中面臨著一些人為或者是自然條件的破壞�,所以檔案信息管理存在安全風險具有必然性。因此�����,對檔案信息管理進行安全風險評估具有重要的意義����,信息安全建設的前提是����,基于對綜合成本以及效益的考慮,采取有效的安全方法對風險進行控制�,保證殘余風險降低在最小的程度。因為����,人們追求實際的信息系統(tǒng)的安全,是指對信息系統(tǒng)實施了風險控制之后�,接受殘余風險的存在,但是殘余風險應該控制在最小的程度。所以��,要保證檔案信息系統(tǒng)的安全可靠性����,就應該實施全面、系統(tǒng)的安全風險評估�����,將安全風險評估的思想以及觀念貫穿到整個信息管理的過程中����。通常情況下,信息安全風險主要指的是在整個信息管理的過程中��,信息的安全屬性所面臨的危害發(fā)生的可能性���。產生這種可能性的原因是系統(tǒng)脆弱性��、人為因素或者是其他的因素造成的威脅�。用來衡量安全事件發(fā)生的概率以及造成的影響的指標主要有兩種�����。然而,危害的程度并不只取決于安全事件發(fā)展的概率��,還與其造成的后果的嚴重性的大小有著直接的關系�。安全風險評估具有很多的特點。首先�,它具有決策支持性,這個特點在整個安全風險評估周期中都存在���,只是內容不相同�,因為安全評估的真正目的是供給安全管理支持以及服務的����。在系統(tǒng)生命周期中都存在著安全隱患,所以整個生命周期中都離不開安全風險評估�。其次�,比較分析性,這個特點主要體現在對安全管理和運營的不同的方案能夠進行有效的比較以及分析����;能夠對不同背景情況下使用的科學技術以及資金投入進行比較分析;還能夠對產生的結果進行有效的比較分析�。最后,前提假設性�����,對檔案信息進行管理的過程中所使用的風險評估會涉及到各種評估數據,這些數據能夠被分為兩種��。其中一種數據的功能是對檔案信息實際情況的描述�����,通過這些數據就可以了解整個檔案管理信息中的情況�;另一種數據是指預測數據,主要是根據系統(tǒng)各種假設前提條件確定的�,因為在信息管理的整個過程中,都要對一些未知的情況進行事先的預測���,然后做出必要的假設�����,得出相關的預測數據���,再根據這些預測數據對系統(tǒng)進行風險評估。
三�����、檔案管理不同階段
進行不同的風險評估信息系統(tǒng)的開發(fā)涉及到很多的模型,而且隨著科學技術的快速發(fā)展��,各種模型都在不斷的升級�。從最早期的線性模型到螺旋式模型再到后來的并發(fā)式的模型,這些系統(tǒng)模型的開發(fā)都是為了滿足不同的系統(tǒng)需求�����。然而�����,風險評估卻存在于整個信息系統(tǒng)的生命周期中����,但是由于信息系統(tǒng)的生命周期中有很多的階段,而且每一個階段活動的內容都有所差別��,因此信息管理的安全目標以及對安全風險評估的要求也是不同的�。
(一)對于分析階段的風險評估�。其真正的目的是為了實現規(guī)劃中的檔案信息系統(tǒng)安全風險的獲得,這樣才能夠根據獲得的信息來滿足安全建設的具體需求����。分析階段的風險評估的重點是抓住系統(tǒng)初期的安全風險評估��,從而有效的滿足對安全性的需求����,然后從宏觀的角度來分析和評估檔案信息管理系統(tǒng)中可能存在的危險因素��。
(二)設計階段的安全風險評估�。這個階段涉及到的安全目標比較多,所以能夠有效的確定安全目標具有重要的意義�。應該采取有效的措施,通過安全風險評估�,保證檔案信息管理系統(tǒng)中安全目標的明確。
(三)集成實現階段�。這個階段的主要目的是要驗證系統(tǒng)安全要求的實現效果與符合性是否一致,所以����,應該通過有效的風險評估對其進行驗證。需要注意的是�����,在進行資產評估的時候��,如果在分析階段以及設計階段已經對資產進行了評估�����,那么在這個階段就不需要再重新做資產評估的工作,防止重復性工作的發(fā)生��。所以��,可以直接用前兩個階段得出的資產評估的結果��,但是如果在分析階段和設計階段都沒有進行資產評估����,則需要在此階段先進行這項工作。威脅評估依然著重威脅環(huán)境��,而且要對真實環(huán)境中的具體威脅進行有效的分析����。除此之外,還應該對檔案信息管理系統(tǒng)進行實際環(huán)境的脆弱性的有效分析�,重點放在信息的運行環(huán)境以及管理環(huán)境中的脆弱性的分析。
(四)運行維護階段��。對檔案管理系統(tǒng)不斷的進行有效的風險評估���,從而確保系統(tǒng)的安全����、可靠性����,這樣才能夠保證檔案管理系統(tǒng)在整個生命周期中都處于安全的環(huán)境。
四�����、檔案信息安全風險評估存在的不足
我國在檔案信息安全風險評估方面已經取得了很大的成就���,積累了一些寶貴的經驗�。但是�,由于我國檔案信息安全風險評估工作起步晚,還存在一些不足之處����,主要表現在以下幾點。
(一)管理層對于信息安全風險評估缺乏一定的重視��,而且缺少一些專業(yè)評估技術人員�。當前評估技術人員的專業(yè)技能不高也是現階段存在的問題。所以��,應該對評估人員進行定期的培訓,提高他們的專業(yè)技能��,保證風險評估工作有效的進行����,同時還應該采取有效的措施來提高工作人員對于風險評估的重視,是檔案管理信息化環(huán)境處于安全的運行環(huán)境中��。
(二)風險評估的工作流程還不夠完善�,而且一些風險技術標準也需要進一步的更新。檔案信息化管理的風險評估�����,不僅僅是一個管理的過程�����,也是一個技術性的過程�,所以應該根據實際情況來科學合理地制定工作流程和技術標準。如果所有的環(huán)境和情況都套用一種工作流程和一個技術標準����,就會導致不匹配現象的出現,不僅影響風險評估的效果,而且在一定程度上還影響信息系統(tǒng)的安全性�����。
(三)評估工具的發(fā)展比較滯后����,隨著科學技術的快速發(fā)展�����,信息安全漏洞會逐漸顯露出來�����,所以對信息系統(tǒng)的威脅逐漸增加�����。應該采用先進的評估工具對其進行風險評估����,從而滿足檔案管理信息化的需求。
五�����、結語
第8篇
關鍵詞:信息管理 風險 控制
中圖分類號:F224.0 文獻標識碼:A
文章編號:1004-4914(2010)10-236-02
煤炭企業(yè)提高企業(yè)利潤、加強科學管理����、推動技術創(chuàng)新、提升核心競爭力必然要走信息化道路,其管理信息化水平已成為企業(yè)現代管理的一個重要組成部分,是企業(yè)贏得競爭優(yōu)勢不可或缺的重要手段和基礎平臺��。所謂企業(yè)管理信息化是指將企業(yè)的生產過程�、物料移動、事務處理����、現金流動、客戶交互等業(yè)務過程數字化,通過各種信息系統(tǒng)網絡加工生成新的信息資源,提供給各層次的人們掌握各類動態(tài)業(yè)務中的一切信息,從而作出有利于生產要素組合優(yōu)化的決策,使煤炭企業(yè)資源合理配置并能適應瞬息萬變的市場競爭環(huán)境,以求得最大的經濟效益�����。企業(yè)管理信息化的實質是企業(yè)全面實現業(yè)務流程數字化和網絡化,是適應煤炭企業(yè)信息化的管理�����、生產和經營等活動的變化�����、轉換煤炭企業(yè)經營模式、建立現代煤炭企業(yè)管理制度的過程���。企業(yè)信息化挖掘了先進的管理理念,在應用先進的計算機網絡技術基礎上,整合煤炭企業(yè)現有的生產����、經營����、設計�����、制造�����、管理,及時地為煤炭企業(yè)的“三層決策”系統(tǒng)(戰(zhàn)術層�����、戰(zhàn)略層��、決策層)提供準確而有效的數據信息,以便對市場需求作出迅速反應,加強煤炭企業(yè)“核心競爭力”的目的����。
一����、煤炭企業(yè)管理信息化的風險類型
1.環(huán)境風險����。煤炭企業(yè)管理信息化的環(huán)境風險是指信息系統(tǒng)實施或運行中,由于內、外部環(huán)境的變化而導致信息系統(tǒng)未達到預期目標進而招致失敗的可能性�����。具體表現為:(1)煤炭企業(yè)管理軟件產品蘊含不符合當前宏觀環(huán)境運行要求的應用模塊,與政府的政策�����、法律����、法規(guī)或行業(yè)的要求相抵觸。(2)經營環(huán)境惡化使煤炭企業(yè)經營出現大面積滑坡,煤炭企業(yè)難以籌集足夠的資金繼續(xù)投入管理信息化的建設,使前期的工作半途而廢�。(3)煤炭企業(yè)因外部市場競爭環(huán)境變化,重新調整戰(zhàn)略規(guī)劃、內部組織結構�、業(yè)務處理流程,而原先花巨資構建的煤炭企業(yè)管理軟件系統(tǒng)剛性強,不能適應新的經營環(huán)境,致使原有投資付諸東流。
2.決策風險�����。煤炭企業(yè)管理信息化的決策風險主要指選擇管理軟件或軟件供應商的失誤而造成系統(tǒng)實施的失敗。引發(fā)決策風險的原因在于煤炭企業(yè)決策層不能結合煤炭企業(yè)實際狀況,充分客觀地進行項目可行性分析,選擇適合煤炭企業(yè)的管理信息化解決方案��。面對當前市場上林林總總的管理軟件,品質參差不齊,一些軟件供應商為了能得到企業(yè)的定單,在給客戶介紹軟件產品時,往往擴張自己的實力和軟件的功能,甚至以次充好���。而一部分煤炭企業(yè)的領導不清楚自己煤炭企業(yè)的信息化目標,缺乏全面評估軟件適應性的經驗,在管理軟件的選型與軟件供應商的選擇時容易受到商家的誘導,致使所選購的軟件質量存在缺陷,軟件功能不適合煤炭企業(yè)的實際需求,軟件公司的實力不足,缺乏煤炭企業(yè)管理信息化建設的駕馭能力,致使信息系統(tǒng)實施出現問題��。
3.實施風險�����。實施風險是指煤炭企業(yè)在實施管理軟件過程中由于組織失誤導致項目不能按計劃完成、成本超過原有的預算�����、軟件的運行質量不能達到理想要求���。引發(fā)實施風險的一個原因是項目沒得到煤炭企業(yè)全體員工的理解與配合,致使項目進程的組織遇到障礙����。一般來說,業(yè)務部門的主管人員會認為煤炭企業(yè)計算機應用是一項技術性十分強的工作,應由煤炭企業(yè)信息管理專業(yè)人員和軟件開發(fā)商負責,業(yè)務部門只管使用就行了,往往將自己處于旁觀者位置,卻不知計算機技術應用僅是煤炭企業(yè)管理信息化的一部分內容,核心是管理軟件所蘊含的先進的管理思想與方法能否得到有效應用����。
4.運行風險�。煤炭企業(yè)管理信息化的運行風險包括營運風險�����、授權風險�、信息風險、系統(tǒng)安全風險等�����。
(1)營運風險:在煤炭企業(yè)管理信息化環(huán)境下,信息處理流程集成一體化,任何一個環(huán)節(jié)出現問題將影響整個系統(tǒng)的后續(xù)運行和信息輸出的質量�����。管理軟件運行過程中,如果管理人員�����、業(yè)務人員對新的業(yè)務流程的本質了解不透徹,沒有做好管理思想轉變的準備工作,很難有效操作管理軟件,這些將直接影響信息系統(tǒng)的數據處理流程連續(xù)性和工作質量,最終將出現管理混亂狀況�。
(2)授權風險:在新系統(tǒng)運行后,原有手工信息處理方式下所設置的崗位分離、相互牽制�、授權控制的制度與控制方法在新的運行環(huán)境下將發(fā)生變化,有些功能會喪失作用,如果沒能及時建立一套與新的信息系統(tǒng)運行環(huán)境相配套的內部控制制度,由于數據存儲的集中性,數據修改的便捷性和不留痕跡,可能給內部人員營私舞弊提供機會,造成煤炭企業(yè)資產損失。
(3)信息風險:信息風險產生于煤炭企業(yè)的管理軟件開發(fā)未經過嚴密的可靠測試,數據結構�、程序結構隱含的問題會在后期系統(tǒng)運行中被觸發(fā),從而產生諸如計算結果錯誤等問題,由于煤炭企業(yè)信息化使得業(yè)務處理與財務處理��、計劃管理��、過程控制融為一體,失真的數據在流經各流程后被不斷加工處理,錯誤被不斷放大,影響輸出報表的真實性,誤導信息使用者經營決策與過程控制����。
(4)系統(tǒng)安全的風險:在煤炭企業(yè)管理信息化條件下,煤炭企業(yè)所有的數據都將以電子數據形式集中存儲在計算機數據庫系統(tǒng)中,在信息化后煤炭企業(yè)許多經營活動依賴于計算機系統(tǒng),可以說離開了計算機煤炭企業(yè)系統(tǒng)就很難正常運行��。煤炭企業(yè)管理信息化安全風險主要由兩方面引起:一是技術因素�。如網絡系統(tǒng)本身存在的安全脆弱性,軟件系統(tǒng)內部缺陷沒被測試出來。二是管理因素����。組織內部沒有建立相應的信息安全管理制度,使用人員操作缺乏操作規(guī)范,無控制標準與安全防范標準,如操作人員可以隨意下載程序和數據文件,在工作站上安裝非正規(guī)渠道獲得各類軟件。
二�����、煤炭企業(yè)管理信息化過程的風險控制
為確保煤炭企業(yè)管理信息化目標實現,從源頭上防范信息化風險,規(guī)避風險給煤炭企業(yè)帶來的危害,建立煤炭企業(yè)管理信息化過程的風險控制體系,應著重考慮下列五個方面的工作:
1.構建與管理信息化相協(xié)調的煤炭企業(yè)營運環(huán)境��。構建與信息化相協(xié)調的煤炭企業(yè)營運環(huán)境是防范信息化風險����、保證管理軟件實施與運行的基礎����。煤炭企業(yè)領導以及各部門的員工都應清楚地認識到,信息化意義在于應用信息技術實現煤炭企業(yè)管理科學化�、現代化����。在新的信息技術面前,煤炭企業(yè)管理者與員工都面臨觀念轉變、方法變革的問題,需要營造一個基于數字化的運營環(huán)境,使煤炭企業(yè)所有成員的思維����、品性、價值觀���、能力與信息化要求相一致�����。
營造這種煤炭企業(yè)環(huán)境需要全體員工的共同努力,它涉及下列工作內容:(1)結合煤炭企業(yè)管理信息化建設,組織員工進行各層次的現代管理理論�����、方法��、信息技術的培訓工作,使煤炭企業(yè)具有良好的信息化的氛圍�����。(2)鼓勵內部員工積極參與煤炭企業(yè)管理信息化過程的各類活動����。(3)建立與信息系統(tǒng)環(huán)境相適應的組織結構,減少中間層級和環(huán)節(jié),強調內部團隊的重要作用,使員工能充分認識到煤炭企業(yè)信息化變革依賴于團隊的凝聚力。
2.完善煤炭企業(yè)管理信息化風險評估工作��。煤炭企業(yè)(下轉第238頁)(上接第236頁)信息化過程的風險評估就是要求評估人員仔細分析煤炭企業(yè)內��、外部經營環(huán)境,針對煤炭企業(yè)的實現目標類型,如財務報告目標����、業(yè)務運行目標、符合性目標和其他目標,評估煤炭企業(yè)信息化進程中各類風險出現的可能性��、影響的程度,并結合具體情況制定防范措施�����。風險評估的要點在于它的客觀性�。在信息系統(tǒng)開發(fā)初期,評估人員應進行細致的調研工作,收集煤炭企業(yè)人、財�����、物����、管理水平、技術水平���、人員素質�、業(yè)務流程����、煤炭企業(yè)實力等方面信息,結合研究對象的實際狀況,按煤炭企業(yè)信息化進程的計劃內容,評估各階段可能出現的風險種類與概率,設立可辨別、分析和控制相關風險的機制,并以此提出防范風險的方法����。
3.加強煤炭企業(yè)管理信息化過程的控制。加強煤炭企業(yè)管理信息化過程控制是降低信息化風險的主要手段,過程控制由信息系統(tǒng)開發(fā)過程控制�����、信息系統(tǒng)使用過程控制組成����。信息系統(tǒng)開發(fā)控制主要針對開發(fā)階段而言,具體控制措施包括項目的可行性研究和需求分析,項目組織機構和各類人員的構成,明確組織中人員分工和在系統(tǒng)實施過程中承擔的責任。建立內部控制規(guī)則,保證系統(tǒng)按實施計劃進行,建立嚴格的系統(tǒng)測試與驗收程序,保證信息系統(tǒng)軟件質量指標實現��。
信息系統(tǒng)使用過程控制包括操作權限控制、操作規(guī)程控制��、安全控制和信息處理流程控制����。操作權限控制是指每個崗位的人員只能按照所授予的權限對系統(tǒng)進行作業(yè),不得超越權限接觸系統(tǒng)。煤炭企業(yè)應制定操作人員的權限標準體系,保證系統(tǒng)的安全����。操作規(guī)程控制是指系統(tǒng)操作必須遵循一定的標準操作規(guī)程進行。標準操作規(guī)程包括:軟硬件操作規(guī)程��、作業(yè)運行規(guī)程�����、用機時間記錄規(guī)程等���。安全控制包括數據和程序安全控制和網絡安全控制��。程序的安全與否直接影響著系統(tǒng)的運行,而數據的安全關系到系統(tǒng)輸出信息的質量,網絡的安全控制包括數據保密�����、訪問控制����、身份識別等�。信息處理流程的控制包括輸入控制、處理控制和輸出控制�����。輸入控制通過對數據輸入端施加諸如數據的靜態(tài)較驗�����、邏輯較驗����、界限較驗、平衡較驗�����、總量較驗等措施,盡可能保證操作人員在數據輸入過程中減少出錯的可能性�。處理控制是將控制規(guī)則嵌入在計算機程序內,通過系統(tǒng)內部設置來實現內部控制。
4.促進人員的信息交流與溝通�����。煤炭企業(yè)管理信息化是一個復雜的系統(tǒng)工程,涉及面廣,各部門、各成員之間的信息交流與溝通對于信息化的建設有著重要的作用,它能使信息化進程的隱患被及時發(fā)現,有效降低信息化風險�。因此,煤炭企業(yè)在信息系統(tǒng)建設過程中,可通過定期舉行研討會、座談會等方式,讓研發(fā)人員��、煤炭企業(yè)管理者�、員工有機會進行平等溝通,使煤炭企業(yè)各階層的員工能深入具體了解煤炭企業(yè)信息化的目標與要求,消除部分員工對信息化過程的誤解而帶來的抵觸情緒,保證系統(tǒng)的實施與運行能夠順利進行。不同部門的業(yè)務人員�����、管理人員����、軟件開發(fā)人員能通過及時信息溝通,能從煤炭企業(yè)全局上識別傳統(tǒng)手工業(yè)務過程的作業(yè)瓶頸問題。另外,通過建立組織內部上情下達����、下情上傳的有效信息交流與溝通渠道,組織中的每個成員能及時分享組織中的信息,明確各自的不同角色和所承擔的責任,理解自己的活動如何與他人的工作有關,以及例外情況如何報告給上層管理人員,從何處獲取相關的信息支持決策行動。信息交流與溝通促進內部溝通機制完善,使員工充分認識自己的工作結果對信息化建設����、對組織經營業(yè)績的貢獻,員工也樂意從這種信息分享中提供對煤炭企業(yè)管理信息化建設過程的全面支持。
5.煤炭企業(yè)管理信息化的監(jiān)控�����。監(jiān)控是評估一段時期內部控制質量的過程。監(jiān)控過程包括及時評估控制的設計和運行,并在需要的時候采取必要的行動��。煤炭企業(yè)管理信息化的監(jiān)控包括:(1)信息系統(tǒng)建設過程的監(jiān)控����。定期對實施計劃的執(zhí)行情況的檢查與分析,及時處理實施過程中出現的各類問題,防范信息化風險,保證系統(tǒng)能達到預定的設計目標��。(2)信息系統(tǒng)正常運行時的監(jiān)控����。定期對所建立的操作規(guī)程的執(zhí)行程度進行檢查,評價系統(tǒng)的信息安全政策,考察個人信息安全、物理和環(huán)境安全�����、通信和操作安全�����、數據存取控制等措施是否達到理想狀況���。檢查系統(tǒng)業(yè)務開展過程中建立各種的相關文檔���、文件,出現的各種事件是否進行嚴格的紀錄��。(3)信息系統(tǒng)的業(yè)務流程處理的監(jiān)控�����。包括是否嚴格按照業(yè)務流程約定的規(guī)則進行數據記錄�����、處理���、維護、輸出工作,信息系統(tǒng)能否有效防止舞弊現象出現,信息系統(tǒng)是否能及時輸出例外情況的分析報告,這些報告反饋渠道是否暢通����。通過對信息系統(tǒng)的監(jiān)控,不斷改進系統(tǒng)存在的問題。
