发布时间:2023-09-07 18:08:55
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的信息化风险管理样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
关键词:风险识别;风险评估;风险应对
湖南中烟工业有限公司随着重组的完成,整个企业的业务运作模式发生了巨大的变化,从原来的单一卷烟厂管理模式转变成集团化管理模式,新的业务模式对企业的信息化建设提出了新的要求,原来卷烟厂的信息化架构已经不能满足集团化的管理要求。同时,公司重组之初。为了保证整个集团日常业务开展,采用了“上移下推”的信息化建设策略,将各卷烟厂中使用效果较好的应用系统拿到中烟层面进行一定的改造后迅速投入使用,依靠应用系统基本支撑起公司日常业务和管理。
一、风险识别
风险识别实际上是一种预测分别。就是确定风险事件及其来源,目的是做到有备无患,当实际风险发生时能有效应对。项目风险的识别是一个非常复杂的过程,尤其风险的范围、种类和严重程度经常容易被主观夸大或缩小,使项目的风险评估分析和处置发生差错,造成不必要的损失。常用的方法包括:调查问卷法;头脑风暴法;理论分析法;专家判断法和经验总结法等等。
根据湖南中烟项目实施经验,项目风险识别可以从客观信息源出发的方法包括:
1.核对表法。核对表一般根据项目环境、产品或技术资料、团队成员的技能或缺陷等风险要素,把经历过的风险事件及来源列成一张核对表。核对表的内容可包括:以前项目成功或失败的原因;项目范围、成本、质量、进度、采购与合同、人力资源与沟通等情况;项目产品或服务说明书;项目管理成员技能;项目可用资源等。项目经理对照核对表,对本项目的潜在风险进行联想相对来说简单易行。这种方法也许揭示风险的绝对量要比别的方法少一些,但是这种方法可以识别其他方法不能发现的某些风险。
2.流程图法。流程图方法首先要建立一个工程项目的总流程图与各分流程图,它们要展示项目实施的全部活动。流程图可用网络图来表示,也可利WBS来表示。它能统一描述项目工作步骤;显示出项目的重点环节;能将实际的流程与想象中的状况进行比较;便于检查工作进展情况。这是一种非常有用的结构化方法,它可以帮助分析和了解项目风险所处的具体环节及各环节之间存在的风险。运用这种方法完成的项目风险识别结果,可以为项目实施中的风险控制提供依据。
3.财务报表法。通过分析资产负债表、营业报表,以及财务记录,项目风险经理就能识别本企业或项目当前的所有财产、责任和人身损失风险。将这些报表和财务预测、经费预算联系起来,风险经理就能发现未来的风险。这是因为,项目或企业的经营活动要么涉及货币。要么涉及项目本身,这些都是风险管理最主要的考虑对象。项目在信息化项目风险因素中。很低、较低、一般、较高、很高表示了对应风险因素发生的严重程度。为了量化项目风险因素,要对湖南中烟项目风险因素表赋值,效益型变量的备选很低、较低、一般、较高、很高,分别赋值0.1、0.3、0.5、0.7、0.9;成本型变量,对应很低、较低、一般、较高、很高分别赋值0.9、0.7、0.5、0.3、0.1。模型中的变量包括:信息化项目风险程度,即产出指标得分的和为被解释变量,项目风险因素量表中的风险因素为解释变量。
二、风险评估
风险评估又称作风险量化,就是比较风险的大小,从而决定是否需要采取相应的应对措施。风险评估的方法很多。归纳起来主要包括以下几种:用风险发生的概率来评估风险发生的可能性;用风险带来的损失来评估风险发生的严重性;用现有的手段能否控制风险的发生来评估风险发生的可控性;用风险影响的地域大小、对象多少等来评估风险影响的范围;用风险发生在项目生命周期的阶段来评估风险发生的时间。
实际项目风险管理过程中,常常用逐项评分的方法来量化风险的大小,即事先确定评分的标准,然后由项目小组一起,对预先识别的项目风险一一打分,然后得出不同风险的大小。
三、风险应对
风险应对就是针对已识别的项目风险制订行动策略,确定执行方案,使信息系统实施能够按照预定的计划执行。常见的处理方法包括:①风险控制法。即主动采取措施避免风险,消灭风险,中和风险或采用紧急方案降低风险。②风险自留。当风险量不大时可以自留风险。③风险转移。
风险应对的方法具体如下:
1.加强制度建设,建立风险管理体系。行业高层管理积极参与并大力支持,组织强有力的实施团队,技术部门、业务部门积极地参与到实施过程当中,及时预防、分析、研究及化解信息化项目实施中潜在的风险,并进行风险管理定期检查,重点关注管理上的死角,及时发现工作中的疏漏和问题,督促采取处理措施。
2.制定合理的风险管理流程,并且贯彻坚持下去。严格执行项目管理中的时间、成本、质量控制等标准流程,能够有助于控制项目风险。
3.加强技术培训。加强项目培训能够提高参与项目的IT人员和业务人员甚至管理人员、决策者对信息化项目的认知,对规避项目的实施风险有良好的效果。
关键词:信息化环境;供电企业;风险管理
中图分类号: TB 文献标识码:A 文章编号:16723198(2014)17017301
1 前言
供电企业在信息化环境下的运营模式由传统方式转向信息化管理,供电企业在享受着运营效率提高的同时,也必然面临着组织结构调整、管理方式、营销模式和信息安全等方面的严峻挑战。此外信息化还使供电企业在原有风险的基础上,增加了因组织变革、管理变革和技术变革所带来的新的风险,这些新风险与原有的风险的交织,将影响到企业的运营管理。
2 供电企业的风险
(1)组织变革产生的风险。供电企业的信息化在推进过程中,因为新的信息技术与传统的企业文化和技术产生日益突出的矛盾而必须进行组织变革,这也是为了平衡的需要。供电企业的组织变革由于涉及到核心的业务、核心的企业文化,甚至是企业员工的个人利益,于是也就必然的产生了风险。供电企业组织变革是企业的结构由金字塔结构发展成扁平化,虽然这样转变能够使信息的交流得到提高,但是也消弱了传统组织结构中中间层的管理功能。企业结构的变革因为涉及到企业的决策层,就需要多方面考虑,不能因为结构变革的失误而阻碍企业的信息化进程。企业结构的变革会一定程度上影响企业的文化,如果处理不当也会给供电企业带来风险。供电企业的信息化过程需要那些具备技术和管理才能的特殊人才,如果供电企业无法自己培养就只能通过招聘方式从外面聘请以维持企业运营,但外聘的人才能否融入企业无法确定。而供电企业花费大量精力自己培养的人才,如果缺少有效激励政策,很容易导致人才流失。
(2)信息技术变革产生的风险。信息技术在日新月异发展的同时所产生的硬件、技术、系统安全和运营及维护风险也使供电企业面临着风险。硬件作为供电企业信息化的骨架更新换代的速度很快,供电企业在进行信息化的时候不仅要满足当前的需要,还要考虑到以后系统升级的需要,但是先进的硬件设备也意味着高昂的成本,也会给供电企业带来风险。此外保证供电企业日常数据的准确安全和系统网络的安全是整个信息化的核心,否则信息化就会失去意义,最终将影响供电企业的日常运营和管理工作。
(3)管理变革产生的风险。供电企业必须在管理方面做出适当变革以适应企业的信息化的需要,在战略层面上决策层对供电企业未来的发展方向、前景的态度决定着企业成败,供电企业对信息化的动机关乎企业的发展高度,而供电企业是否有一个清晰而明确的规划是企业能走多远的关键。从战术层面来看供电企业的具体而细微的各项业务虽不能直接影响到企业的存亡,但仍不容忽视。
3 供电企业的风险管理对策
(1)供电企业对重大风险加强识别和对风险的评估力度。对风险管理关键是通过对风险进行识别,对供电企业信息化环境下的各种影响因素汇总并重新分类,从而筛选出会给企业带来风险的因素,预计会向风险转变的潜在因素。供电企业通过信息化的技术手段对可能造成损失的因素进行密切的跟踪、观测和分析,总结出这些风险因素的变化规律,根据可能带来的损失大小和重要程度并结合风险因素的当前状态进行分析、判断,找出引起风险的原因。
对风险进行评估是供电企业风险管理的一个非常重要的环节,可以为企业的风险程度的判断提供依据,有利于企业的风险决策,能够有效的预防风险的发生和降低其发生的概率,防止风险的接连发生,以免造成更大的损失。
(2)供电企业对重点风险加强管理。信息化环境下供电企业的自动化水平更高,随之而来的就是风险带来的损失也非常巨大,因此供电企业要加强对重点风险的管理。供电企业通过参考历史数据、发挥信息技术的优势、采用高效合理的预测方法对用户的用电量进行测算,解决电力需求产生的风险。随着企业信息化进程的加快,供电企业需要把信息系统的安全性放在重要位置,注重对信息系统的维护和升级,构建一个安全、高效的信息管理系统。提高供电的稳定性和供电质量,加快供电故障的解决的及时性,营造一个良好的供电、用电平台,满足用户的用电需求,提高用户的满意度。
(3)供电企业建立一个完善的风险管理支持系统。供电企业通过从组织结构、企业制度、企业文化和企业的信息系统几个方面构建一个比较完善的风险管理系统。以企业的组织结构为后盾,建立完善的企业管理制度和法律机制,明确相关部门和个人的权责和风险处置流程。企业文化中应树立风险意识,让员工时刻充满危机意识,危机来临时能够从容处理。同时还需要加强培养和建设信息人才队伍,定期进行系统培训,使他们在工作始终能以一种暂新的面貌去投入。除了重视业务能力外,还需要建立和谐充满良性竞争的工作氛围和学习环境,能够保证信息技术人员队伍保持稳定,使他们能够带着愉悦的心情投入工作,提高工作效率。
信息化管理应经成为企业现代管理的趋势,信息化技术在供电企业的推广和应用,提高信息的共享力度,也提高了电力企业职工的工作效率,大大增强了企业的竞争力,同时也使供电企业面临巨大的挑战,如果不能很好的处理,将严重阻碍供电企业的做大做强,因此对风险管理进行分析研究具有重大意义。
参考文献
关键词:内控信息化 风险管理 内部审计
1.ERP系统背景介绍
ERP通过将企业的各方面资源进行科学地计划、管理和控制,为企业加强财务管理、提高资金运营水平、建立高效率供应链、减少库存、提高生产效率、降低成本、提高客户服务水平等方面提供一种管理手段。ERP系统能够系统、实时地提供与各项业务相关的数据,包括以前难以及时获取的数据,向领导和管理层提供企业经营状况信息,反映企业的盈利水平和各项业务活动情况。所有业务处理和活动通过统一的数据库进行及时更新,以改善用户存取、提高业务信息质量、减少数据校验和重复加工处理。
2.ERP实施形成业务风险与其内部控制
2.1ERP实施形成新业务风险
ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成,实现了跨职能部门业务处理。在这种情况下,ERP系统中单一的数据库,使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是,用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时,企业过去基于文件审批的内部控制机制,也无法适应ERP基于流程的管理需要。更重要的是,由于企业的业务运作更加依赖于ERP系统,这种依赖和信息系统本身特点所导致的脆弱性,形成了企业新的业务风险。
2.2ERP环境下风险管理
2.2.1制定内部控制目标
利用风险评估手段重新确定企业中关键的业务流程;
对整个流程和控制的设计进行评估,确定这些控制是否很好地满足和支持最终业务目标的实现;
对岗位职责分离的评估,确保在整个流程中存在正确的稽核点和平衡点,对敏感业务交易给出足够的访问限制;
评估控制方式是否合理,比如基于手工流程的控制和基于系统的自动控制是否搭配合理。
2.2.2确定评估范围
ERP系统的控制评估必须基于风险管理的原则,通过风险评估寻找对主要业务运作中影响最大的领域。可以通过访谈等,确定评估范围。
2.2.3评估控制方案
基于ERP系统的控制,是由软件来完成的,通过控制数据的有效性和合理性来限制和核查动作的合法性。ERP系统的参数设置将决定这个领域的控制级别。这些控制包括用户访问、字段验证、工作流和许多其他用于确保数据处理一致性的控制。例如,系统会自动拒绝生成一张与前一次序号相同的发票。这样就自动降低了差错发生的可能性和应付帐款处理的混乱。值得注意的是,在ERP系统实施过程中,某些二次开发工作会削弱在系统中已经设置好的控制,从而产生新的风险因子。针对产生新的风险因子,必须要用手工控制来弥补。
3.ERP环境下企业风险管理审计的主要内容
企业风险管理审计就是要对企业风险管理过程及其内容的适当性和有效性进行审查和评价,并提出改进建议。在ERP环境下,要重点考虑对以下几方面进行审计。
3.1对风险管理机制的审计。
对ERP环境下企业风险管理的审计,首先必须对风险管理机制进行审计,审查企业及其下属单位是否建立了风险管理机制,风险的识别、评价和应对机制的适应性和有效性如何,实际运行情况怎样,是否有利于企业管理的持续改善等。在审计中,我们还应当专门对业务流程、关键控制点、系统监控等方面的风险管理机制进行重点审计。
3.2对业务流程的审计。
对业务流程的风险管理审计大体包括以下几个方面:应该在系统中运行的业务是否全部通过系统运行;信息是否及时录入系统;录入的信息是否真实、准确;系统运行是否正确,有无系统错误;流程是否通畅,有无缺陷或舞弊的可能,能否进行进一步的优化;识别、评价和应对流程风险的效果如何等。
3.3对关键控制点的审计。
ERP系统是由采购、仓储、生产、销售、财务、设备管理、人力资源等多个模块高度集成起来的,每一模块都有相应的关键控制点,对企业的生产经营起着至关重要的作用。因此,对关键控制点的风险管理审计应作为审计的重点。审计时要主要关注以下问题:是否对关键控制点进行了识别,识别是否全面;是否建立了关键控制点的风险评价体系;是否建立了关键控制点的预警机制和应对机制;关键控制点的识别、评价、预警和应对机制的适应性和有效性如何;控制方法和手段是否可进一步优化;有无控制不严或失控的现象和可能等。
3.4对系统监控的审计。
对系统监控的风险管理进行审计,审查和评价企业及其下属单位是否利用ERP系统进行了业务和绩效的动态监控、监控点及其风险如何识别和评价、监控的权威性及其效果如何、发现问题的处理方式以及应对风险的效果如何、有无监控盲区或监控不力的区域、监控结果的利用情况如何等。
3.5对信息系统的审计。
从系统本身来说,无论是硬件还是软件,都有产生故障的可能,软件功能的完备与否也是系统运行的风险之一,ERP系统与其他系统的连接则是影响系统运行的关键因素。要保证ERP系统的正常运行,降低经营风险,对ERP系统以及与其相联接的其他信息系统的风险管理与审计也是必不可少的,这包括对系统的开发与设计、软件的程序、系统的控制、功能的划分、硬件的架构、备份模式及效果、故障处理方案及风险应对措施、系统风险识别与评价体系等进行审计。
4. ERP环境下企业风险管理审计的主要对策
在ERP环境下,审计人员应该适应环境的变化,根据ERP环境的特点和要求,利用先进的信息技术手段,开拓思路,积极探讨审计对策。
4.1充分利用系统数据集成的优势
ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成,实现了跨职能部门的业务处理。在这种系统数据高度集成的条件下,效益审计的审计线索来源单一、清晰明了,杜绝了多个数据源数据不一致的现象,审计人员不需要再从多个系统获取数据,而是仅由一个系统就能得到所有数据。
4.2加强对内部控制风险的评估,完善内部控制体系
企业经营活动及内部控制中依然存在重大差异或缺陷的可能性。如ERP系统各职能岗位职责是否分离,权限范围设置是否合理,有些控制既可以选择人工控制,也可以选择由系统来控制,这些控制是否得到始终如一的执行,控制的标准是否前后保持一致。这些都会影响控制的效果,甚至产生重大差异。因此,必须对ERP环境下的内部控制体系进行测试和评估,对内部控制风险进行正确评价,进一步完善内部控制体系。
4.3注重对参数设置的审计
ERP系统有很多参数,这些参数既影响内部控制的效果,又影响财务数据的准确性和一致性,特别是集成财务数据,除了要从数据源头控制数据的正确性之外,还应该关注中间环节中的财务集成参数的设置,以确保集成财务数据的有效性。因此,系统的参数设置是审计的一个重点,要检查系统参数的设置是否符合企业的实际情况和行业特点,系统参数的设置是否符合一贯性、有效性,是否存在随意改变参数设置的情况。
4.4提高审计人员对ERP系统的应用能力
ERP系统功能强大,业务模块众多,必须熟悉ERP系统,才能更好地开展效益审计。这就需要审计人员加强对ERP系统的学习,最好是从ERP系统实施开始就有审计人员参与项目,实践证明,参与ERP项目实施的人员往往是对ERP系统掌握程度最高的一批人。并且,学习不能仅仅局限于财务模块,还要熟悉其他模块的内容,如物料管理、销售分销、人力资源、系统管理等。只有这样,在ERP环境下,审计人员才能更大限度地开展效益审计。
5.结论
综上所述,随着ERP系统的实施,企业的经营管理模式和业务流程以及相应的内部控制发生了重大改变,这促使了内部审计的工作发生了本质的变革。因此,内部审计人员应主动参与ERP系统的实施与应用等进程,熟悉ERP系统各个模块的功能与应用,充分利用ERP系统各模块的集成性以及系统对流程和业务的动态监控功能,对优化后的流程进行内部控制风险评估,加强完善内部控制体系,以促进公司ERP的有效应用,提高公司的全面风险管理能力。
参考文献:
[1] 杨律青;《基于SAP的ERP项目风险管理》;数字石油和化工; 2007年1期;95-98
[2] 梁伦腾;《ERP环境下企业的风险管理审计》;涟钢科技与管理;2005(4);58
[3] 刘汝元,边金良;《浅谈ERP项目的风险管理》;中国科技信息;2007年09期;162-163
【摘要】 在当今信息化建设正在普及的时代,对于医院如何利用现有的信息化条件实现对医疗风险的预控,已成为医院信息化建设的发展方向和医疗风险的研究方向。本文探讨了信息化建设在医院医疗风险管理中应用的技术支持条件,并从风险信息管理平台设计上提出了信息集成与查询、风险评估与报警、决策支持与维护的操作流程。
【关键词】 医疗风险;信息化;管理
【Abstract】 Nowadays informationbased construction is being popularized, thus, how a hospital makes use of an existing informationbased condition to preventively control medical risk has become a developing direction of informationbased hospital construction and a research direction of medical risk management. This study explored the technically supportive condition of informationbased construction in the medical risk management in a hospital. From the management platform of risk information, we also designed the operational process of putting forward information integration and search, risk valuation and priorwarning, decision support and maintenance.
【Key words】 medical risk; informationbased construction; management
随着信息技术在医疗行业应用的不断深入,利用网络及数字技术有机整合医院业务信息和管理信息来实现医院内部资源有效利用和业务流程最大优化的数字化医院已成为我国医疗信息化发展的方向,并取得了长足的进步。但是,面对当今激烈的市场竞争,以及在门诊、住院、出院等环节和诊断、治疗、康复等行为的全过程中时刻面临着的医疗风险,医院管理者必须树立风险管理理念,研究当前医院所面临的新形势,借助开展信息化建设来科学地预测和处理医疗风险,达到维护医患双方共同利益的最终目标。
1 研究背景
信息化建设是现代化医院的基础[1]。我国医院信息化经历了20余年的发展,已初具规模并取得了长足的进步。有关数据表明:90%以上的大中型医院已经实现了科室的信息化管理,40%的大中型医院正在建设全院的管理信息系统、打造数字化医院[2]。据资料显示,全国有20家医院首批成为了数字化试点示范医院。
近年来,医院信息化建设正在从"三级"大医院向基层医院推进,并拟投入30亿元成立利用数字化改善基层医院落后现状的"中国千家农村医院数字化扶持工程"。但是,医疗事故和医疗差错呈现出逐年上升的趋势,根据2005年中华医院管理学会调查统计:三级甲等医院平均每年每家发生医疗纠纷中要求赔偿的有100例左右,到法院诉讼的有20~30例左右,而赔偿数额一年达100万左右。此外,目前在风险管理上还没有业内公认的、完善的、全国性的医疗风险监控网络信息体系、数据库或调控系统,因此也难以及时准确地对医疗风险程度进行评估,更无法实现通过相应的预警机制预警信号[3]。
因此,我们应加强对医院的信息化建设,试图通过打造数字化医院来加强医疗风险的监控管理,形成集数字化的管理、医疗、服务为一体的现代医院经营管理模式,并及时准确地收集、传递、存储各种风险信息,做好各部门的沟通反馈和协调合作,从而来维持医院的经营稳定,提高医院的工作效率和经济效益,减少因医疗风险所致的所有损失,同时还助于减少医务人员对医疗风险的恐惧与忧虑,为医院管理者制定工作计划或决策提供重要依据[4]。
2 技术支持
数字化医院的信息系统主要由两大部分组成,即以医院管理业务为核心的医院管理信息系统和以临床医疗为核心的临床信息系统。医院信息管理系统,是医院信息化建设的重要组成部分,包括门诊、住院病房、药品、检查、器材等管理分系统,且部分医院建成了覆盖全院的影像存档与传输系统(PACS)、检验信息系统(LIS)、合理用药监测系统(PASS)以及医疗质控网络化和综合管理查询系统等临床信息系统[5]。同时,正在兴起的电子病历系统是以病人为中心的,整合了管理信息系统数据和临床信息系统数据的,反映患者医疗信息的诊疗系统。
在硬件支持上,目前大部分医院拥有较先进、小到科室和个人的计算机设备,并建有成千上万个终端信息点的网络系统,配有防雷击、防停电设施。同时,大中型医院还拥有各类大型数字化设备,包括多种类型的CT、MRI、全自动生化分析仪等先进的检查设备,均有完备的标准化数据传输接口,确保实现风险管理的信息化。另外,从有些医院的经济实力来看,有能力完成对硬件和软件系统的升级或改造。
3 平台设计
根据医院的信息化建设需要和总体规划,在已组建信息化领导小组和机构部门的基础上,我们应增加对医疗风险信息化管理模块,设置专职机构和人员与制定相应的管理制度。并结合医疗风险的自身特点和管理流程,自主开发医疗风险管理信息平台,集成和监测医院信息系统的数据,通过查询并分析评估可能存在的风险,并及时按层次级别发出风险警报和提供可供参考的处理对策(见图1)。
3.1 信息集成与查询
医院业务种类繁多,信息类型复杂。既有特有的各类医疗业务,也有常见的人、财、物的管理。所涉及的信息,有结构化的文字、自由文本,还有图形、图像等多媒体信息。而风险管理首先必须完成对医疗风险的识别,也就是从大量的信息中识别出医疗风险的类别、根源及影响。其中完成大量信息的集成是整个医疗风险信息化管理的第一步。以往这些主要信息来源于自我发现、他人提醒、内部检查和上级监督等。如今,我们可以通过组建风险管理信息平台对医疗、护理、经费、药品、物资及科研、教学等活动中的所有信息进行分散收集、统一管理,也通过综合管理查询系统了解单个病人的诊治信息和工作人员业务信息,从而快速、准确地实现对信息的数字化采集和查询。
3.2 风险评估与报警
医疗过程专业性强,对信息的分析处理工具的需求具有专业化、知识化、智能化的特点。在信息集成的基础上,我们可利用信息技术的快速、准确、便捷的特点,根据医院的工作要求和病历的书写规定,开发一套能衡量和评估各类潜在医疗风险发生的概率及其潜在损失程度的风险分析处理软件和风险预警信息系统,设想将医疗风险监测的指标输入到信息系统中,确认这些指标的数据处理模型和预警界线值。同时,根据定性分析和事实,剖析问题的性质与发生根源,确认风险性质;根据定量分析和描述,对风险危害程度进行重要性排序,确认风险等级,最终发出相对应的警报,显示风险的指示图与态势图。
3.3 决策支持与维护
一旦出现医疗风险就必须采取针对性预控策略。如消除和缓解风险、转移风险及分担和回避风险等。不同的风险策略显然效果也不同,因而医院需要对风险策略进行最适合、最优化的选择,其目的是将医疗风险损失成本控制到最低。我们可以在风险预警信息系统的基础上组建智能决策支持系统,由定量分析为主的决策支持系统和定性分析为主的专家系统结合组成,主要通过对数据库中的数据进行处理和挖掘使其辅助决策能力从运筹学、管理科学的单模型辅助决策发展到多模型综合决策。另外,我们还必须建立一套安全机制,实行对风险管理信息系统的维护。
4 实现目标
4.1 提高管理能力,确保病人满意
我们可以利用医疗风险管理网络平台及时获取所发生的各类风险信息,及时、准确地掌握医疗风险的动态情况,促进医院内部的信息流动和传递,便于管理者和政府机构对医院的监管,使医院风险预警更具有针对性和可行性,从而可以提高医院经营的决策能力与管理水平,使医院管理向正规化、现代化、科学化方向发展。同时,随着医疗风险的降低,病人满意度也会逐渐得到提高。
4.2 加强过程控制,提高医疗质量
医疗活动中产生的各种信息具有很强的动态性、连续性和实时性,原始的人工管理方法很难从环节管理机制上加以控制。通过医疗风险管理网络信息工程,我们可随时从终端上很方便地掌握全院的风险动态信息,及时发现医疗、护理过程中各环节存在的问题,使医院管理从过去的终末质量管理深入到环节控制管理,将事后管理变成事前预测或事中监督管理,使医院医疗质量得到明显提高。
4.3 优化工作流程,提高工作效率
医疗风险网络信息化管理的应用,对医院原有的管理模式和工作流程进行了重大的改革和重组,促进了医疗活动规范、有序进行,保证了整个医疗工作的连续性和信息组成的完整性。同时,使风险管理过程由繁变简,从杂乱走向统一,减少重复劳动,由过去的经验型管理向科学型管理方式转换,可以提高信息的共享和利用水平以及预警预报和快速反应能力,使医院工作效率明显上升。
参考文献
[1] 连斌,许苹.医院核心竞争力[M]. 上海:第二军医大学出版社,2008:180205.
[2] 陈钧.打造数字医院[J]. 中国信息界(医疗),2008,4:2635.
[3] 许苹,孔令曼,秦婷,等.建立医疗风险预警机制的若干构想[J]. 中国卫生质量管理,2006,13(1):911.
关键词:华兴综合管理信息系统需求进度CMMI(软件能力成熟度模型) 风险管理
中图分类号:C931.6文献标识码: A
一、前言
华兴综合管理信息系统于2011年11月5日正式通过了住建部专家对我公司特级资质就位信息化实地考核,公司的信息化建设终于取得了阶段性的成果。作为一个华兴综合管理信息系统开发的全程参与及经历者,深感在华兴综合管理信息系统的开发中,对整个开发过程的风险控制弥足重要。
二、华兴综合管理信息系统开发过程的简要回顾
第一阶段:2006年2月,公司启动了华兴综合管理信息系统的开发,选定了软件开发商,成立了软件开发小组,进入了实质性的开发。并制定了需要开发的子系统为:项目信息管理子系统、人力资源管理子系统、设备管理子系统、OA办公四个子系统,在华兴综合管理信息系统开发的过程中,由于种种原因产生了初期的需求调研不充分,致使系统开发进展不顺,因而开发出来的项目信息、设备管理、OA办公几个子系统的功能有限,没有达到预期的使用效果。
第二阶段:2009年6月,根据公司的实际需求,要求软件开发商对2006年开发的华兴综合管理信息系统进行升级改造,并对其中的OA办公、协同门户、物资管理、成本管理、进度管理、设备管理、风险管理等进行符合公司的适应性开发,虽然取得了一些效果,但是由于开发过程中的需求变更频繁,致使开发工作进展缓慢,成本增加。
第三阶段:2010年12月,公司成立了信息化建设的软件开发组,成员由软件开发商以及我方的自有的软件开发人员组成,同时成立了信息化建设的推进组,成员由科研部信息化专业人员组成,负责华兴综合管理信息系统的需求分析确定、与各业务部门的协调、各子系统上线的培训、各子系统的数据核查等,两个小组分工协同,在开发的过程中充分识别和评估了可能存在的风险,并制定了相应的应对措施,使华兴综合管理信息系统得以顺利的开发和完善,并在不到一年的时间内上线运行。
三、华兴综合管理信息系统开发的风险管理
风险管理是软件开发过程中减少失败的重要手段,在软件开发过程中的风险管理,即是在软件开发之前,通过识别出潜在风险,并对风险进行分析,判断出风险的危害程度,并采取相应的应对措施进行控制和管理,从而规避或缓解风险带来的不利影响。由此可见,有效的风险管理可以提前发现那些潜在的问题,提前对风险制定对策就,并在风险发生的时候迅速做出反应,将工作方式从被动救火方式转变为主动防范,使软件开发的进程更加平稳,获得很高的跟踪和掌控软件开发过程的能力。
软件开发过程中的风险管理是一个动态的管理过程,是风险识别、风险评估、风险控制的循环管理过程。
通过对华兴综合管理信息系统开发过程三个阶段的回顾可以看出,风险管理在华兴综合管理信息系统开发过程中控制起着举足轻重的作用,风险控制的好坏直接影响着系统开发的成败。
因此,我们在华兴综合管理信息系统第三阶段的开发的同时加强了对开发过程的风险,识别和评估出我们主要的风险有:系统需求方面的风险、软件开发人员方面的风险、软件开发进度的风险等。
下面就华兴综合管理信息系统第三阶段开发过程中遇到的风险及解决和预防措施做简要分析:
1、初期需求风险
华兴综合管理信息系统在确定需求时都面临着一些不确定性和混乱,当早期如果忽视了这些不确定性,并在进展过程中得不到解决这些问题就会对华兴综合管理信息系统造成很大的威胁。
初期需求风险因素主要表现在以下方面:
对华兴综合管理信息系统缺少清晰的认识
对华兴综合管理信息系统需求缺少认同
在做需求中各业务人员参与深度不够
针对以上可能存在的风险因素,我们采取了以下初期需求风险防范对策
(1)需求分析是整个华兴综合管理信息系统开发中需要重点控制的几个关键节点之一,首先我们在各种讨论会或是合适的场合,给需求提出者宣传需求分析的重要意义,使其在在思想上重视。
(2)需求分析报告的编写者参与到需求的搜集工作中,准确领会各个业务管理部门的意图,并转化成软件能够实现的功能。对于说不清楚需求的相关业务人员,我们抓住关键问题进行提问,或开发用户界面原型,引导相关业务人员提出自己的需求,并组织业务人员多次召开需求讨论会,详细讨论业务人员的需求。
(3)对各项需求进行了深入分析,区别出哪些需求存在日后变更的可能,哪些需求属于相对固定的,哪些需求能够实现,哪些需求需要变通才能实现,以便于指导后面的功能设计。
(4)在需求分析报告中对功能细节的描述确保全面、准确,防止歧义。
(5)需求报告的每个关乎功能的描述都让业务人员明白和理解,只有业务人员在理解之上的确认才能够保证日后一旦出现问题不致出现双方互相推托责任纠缠不清的情况。
(6)需求报告经过了由软件开发小组人员、相关业务人员及信息化推进小组相关人员参加的评审,充分发挥了团队的力量,重视每个人的才智,一个模块一个功能的逐一的过,让大家来共同找出需求报告里不合理的、有歧义的、不完善的、遗漏等问题。
通过上述策略,我们达到了初期需求阶段的主要目的:确定了华兴综合管理信息系统中每一个子系统的明确目标和清晰的范围,并通过提高公司高层的认识,强化公司对开发华兴综合管理信息系统的支持力度,为日后系统的顺利开发打下良好的基础。
2、开发过程中的需求变更风险
随着软件开发的进展,原始的初步的需求已经转化为看得见的软件内容,用户已经可以看到软件的雏形,用户的逐渐成熟,对于软件的具体要求也越来越清晰,此时不单是对原有需求的细化,而且对于软件功能提出了新的更高层次的需求,对软件的未来功能充满了期待,甚至出现了不切实际的需求。有时虽然对用户看起来是很小的需求变动,然而对程序来讲可能要做结构上的调整,这对于整个软件开发小组来讲无疑是场噩梦。另外,需求的变更还会使项目的进程可能远远地偏离了原有的计划,打乱安排好的进度,原来已经完成的工作不得不重来,项目进程陷入了反复拉锯的状态。由于时间的延期项目成本也将增加可能会是惊人的。例如在华兴综合管理信息系统开发的第二阶段的开发过程中,就产生了上述问题,需求变更频繁,致使系统开发一度处于停滞阶段,并且众多的需求变更累计的金额也十分巨大,如第二阶段中的设备变更单累计金额就多达36.6万元。
因此,我们总结了第一、第二阶段的经验和教训,需要避免上诉的问题再次发生,在第三阶段的开发过程中,我们意识到了如何正确处理需求变动风险十分重要的,并采取了如下的应对措施:
(1)大的需求的变更不但要经过需求变更提出者的书面确认,而且还需要其相关领导的确认。
(2)小的需求变更也要经过正规的需求管理流程。
(3)组织需求提出方与软件开发方进行充分的交流和沟通,达到一个双方都能接受的平衡点。因为精确的需求与范围定义并不会阻止需求的变更,并非对需求定义的越细,越能避免需求的渐变,太细的需求定义对需求渐变没有任何效果,因为需求的变化是永恒的,并非由于需求写细了,它就不会变化了。
3、人力资源风险
华兴综合管理信息系统不同于其他工程,它是智力密集型、劳动密集型项目,主要是靠人来完成,因此合理的配置使用人力资源成为华兴综合管理信息系统成败的关键之一。
在华兴综合管理信息系统中人力资源的风险主要表现在以下几个方面:
开发人员的技术水平是否达到要求
开发人员的数量是否足够
开发人员是否能够自始至终地参加软件开发工作。
开发人员是否能够集中全部精力投入软件开发工作。
开发人员的流动是否能够保证工作的连续性。
为了消除以上风险因素,在华兴综合管理信息系统的开发过程中,采取了以下应对措施:
(1)与软件开发商鉴定了战略性的合作协议,使华兴综合管理信息系统开发成功能达到双赢的效果,从而保证了软件开发商的积极性,使软件开发商在其软件开发人员的数量、质量及软件开发人员的稳定得以充分的保障。
(2)采用联合开发的方式,将我公司自有的软件开发人员参与其中,预防在非常时期软件开发人员不会断档。
(3)在华兴综合管理信息系统开发过程中,所有的过程都要形成正式的文档,这些文档包括数据库设计的文档、源代码、源代码说明、概要设计说明书、用户手册等等文档。在三阶段的开发中,我们验收了华兴综合管理信息系统源代码一份、数据库完整ER图一份、需求报告12份,用户手册11份,有了这些资料,即便软件开发商退场,我们自己的软件开发人员也能接手。
4、进度风险
华兴综合管理信息系统看了第三阶段的开发,事实上从2010年12月开始正式启动,共计要完善和开发14个子系统,并要符合公司实际业务需要,还要达到特级资质考核的标准,时间特别紧迫,此时进度是最大潜在的风险,如果不加以控制,那华兴综合管理信息系统将不能按时上线交付,那么公司的就位考核将不能通过考核,那将给公司带来的后果是灾难性的。因此,在华兴综合管理信息系统的开发中,控制进度风险尤为重要,我们采取了以下措施进行了进度风险的控制:
(1)我们首先制定了总计划,在总体计划中明确各个阶段的任务完成时间,然后在总计划的基础上进行细化分解,分解为较为精确周计划,计划的实施时间精确到天。
(2)每周一开例会,开会期间总结上周的任务完成情况,如有问题,分析原因,及时解决。
(3)如果入到突发事件,及时调整计划,总之保证计划的如期完成。
(4)提高开发人员的主动性和积极性,在人性化管理的基础上,加班加点地工作,保证实际进度不晚于计划进度。
5、华兴综合管理信息系统上线运行的风险
华兴综合管理信息系统开发完成只是完成了第一步,,成败的关键还看上线运行及推广应用,在华兴中核管理信息系统初期运行阶段中,通过评估,我们认为存在以下几点风险因素:
传统工作习惯的阻力
用户掌握系统使用熟练程度
繁琐的数据初始化工作
系统不可预见性的问题
为了有效控制上述风险,我们采取了以下几点措施:
(1)领导的关注和决策是软件应用效果的重要保障,因此,在召开系统上线推广会议时,邀请了公司高层主管领导、各事业部相关领导、各业务部门负责人共同参与,共同明确后续需要配合的事项及系统应用策略,如系统上线启用时间点、功能模块上线范围、相关业务人员使用范围,并建立业务基础数据的责任部门及责任人。由于领导的参与,传统的工作习惯的阻力能很顺利的化解,保证的整改系统的推广及应用。
(2)制定了信息的用户培训计划,充分利用公司视频会议的便利条件,对用户进行了大规模的轮番培训,以用户熟练掌握系统应用为原则,同时组建了多个QQ答疑群,随时回答用户在使用系统过程中存在的问题,使用户能在比较短的时间内熟练掌握了系统的应用。
(3)对于繁琐的数据初始化的问题,我们采用后台数据库导入的方式进行,这样既方便了用户,又保证了需要迁移的历史数据或初始化数据的快速、准确地录入到系统中。
(4)在华兴综合管理信息系统运行的初期,我们也遇到了意料之外的情况,在众多用户登录到系统后,由于并发数量过大,超出了服务器的承载,是整个系统的应用响应速度非常的慢,当我们找到原因以后,立即采用的服务器负载均衡的方式解决了这一问题。
四、总结与展望
华兴综合管理信息系统第三阶段的开发,由于在开发之前,对开发过程中可能产生的风险因素进行了充分的识别、评估及控制,使系统的开发及上线运行得以顺利进行,使公司特级资质就位信息化的考核得以顺利通过,获得了好评。
但是,华兴综合管理信息系统开发过程中的风险管理,是我们凭着经验而为,还没有升华到系统的、精细化的软件开发的风险管理,因此,我们在今后的软件开发过程中的风险管理,应在理论的指导下,与公司的具体实际情况相结合,建立一套符合公司实际情况的软件开发的风险管理体系,我对今后公司软件开发的风险管理展望如下:
建立基于CMMI(软件能力成熟度模型)的软件开发的风险管理体系,基于CMMI软件开发风险管理是强调过程管理,可以通过图一中的流程来说明。
图一:风险管理流程
风险规划:
在进行风险管理的过程中,风险规划的环节十分重要,可以通过以下模型(图二)进行风险规划:
图二:风险规划
在风险规划阶段,我们需要做的工作是:
确定风险来源:了解风险来源,将为系统地检查不断变化的风险情况打下基础,以揭示那些在软件开发过程中造成不利影响的风险。
确定风险类别:确定风险类别是为收集的风险分门别类,标识风险类别有助于风险缓解计划中整合将来的缓解活动。
定义风险参数:风险参数是评价风险的标准,使得在管理不同级别风险的时候,确保最终结果的一致性。
风险标识:
图三:风险标识
风险的标识需要软件开发项目经理和项目成员共同完成,以识别任何可能对工作或工作计划造成不利影响的潜在问题、危害、威胁等。
风险识别的依据是:项目计划、风险管理总计划、历史经验信息、项目内部的不确定性、外部风险等因素来加以判断。
风险识别的过程,风险识别是将项目的不确定性转变为风险的陈述过程,它包括三个步骤:
集记录资料
②风险定义及分类
③将风险编写为文档
识别出来的风险需要简明地表述出来,为下一步风险管理提供参考的依据。通过编写风险陈述和详细说明风险场景来记录已知风险。
风险分析:
图四:风险分析
项目经理负责运用风险类别和参数对所识别的风险进行评估并且对其赋值。这些参数包括可能性(概率)、后果(严重性或影响)以及时间框架(预计风险可能发生的时间关系)。如何确定该风险发生的可能性、后果和时间是需要评估人员根据经验或者历史数据的。这个值可以根据公司的实际情况来定,也可以根据项目的具体情况进行适当的调整。
风险分析过程包括如下步骤:
①确定风险类别:对已辨识的风险进行归类,同一类风险在一定程度上反映了风险的重要属性,对冗余的风险应该排除。
②判定风险来源及风险驱动因素:风险来源是引起风险的内在因素,由于风险识别确定的风险来源可能不太准确,因此需要通过风险分析更进一步判别,使得风险的来源更加简明、准确,便于进行下一步风险管理。
③定义风险度量准则:风险度量准则是进行风险优先级的基础,它是用来确定各风险对项目影响的相对重要性的依据。它包括可能性、后果和行动时间框架。可能性的定性度量简单定义为:高、中、低,定量度量一般用概率表示;后果的度量也可以分定性和定量的度量,这就需要根据不同的风险类型,来具体选用度量的方法;行动时间框架是指采取有效措施规避风险的时限,阻止风险发生的行动时间也随项目的不同而不同。
④预测风险影响:根据风险度量准则,用风险发生的可能性与风险后果的乘积度量风险的影响,在进度的影响中预测风险的影响是通过时间的延长来度量的。
⑤风险优先级:项目的风险很多,由于项目资源有限,不能处理每一个风险,只能集中有效资源,对高风险进行有效的管理,因此需要对已识别度量的风险进行排序,以便保证风险管理的有效性。
风险控制:
风险控制是采取各种措施和方法,消灭或减少风险事件发生的各种可能性,或者减少风险事件发生时造成的损失。风险控制图如下图所示:
图五:风险控制
控制是指风险负责人以跟踪报告中提供的数据为基础,做出有关风险的决定。控制活动包括分析、决策和采取行动。
分析是使用跟踪数据来考察项目风险的趋势、偏差和异常情况,以此来标识风险状态中的显著变化,评估缓解计划的有效性,使决策者准确地决定最佳的行动路线。
决策是为了保证继续有效地管理项目风险,使用跟踪数据来决定如何继续进行项目风险管理,如:重新计划、关闭风险、启用应急计划、继续跟踪和控制活动等。当出现阈值超出了设定的限制、当前计划不起作用、发生了意外事件,使用趋势向相反方面发展时都应该重新制定计划。当出现风险发生的概率已经降低到或风险的影响已经减小到一个特定值以下、风险已经变成了问题并且对这个问题正在进行跟踪时,可以关闭该风险。启用风险应急计划是当出现已经超出触发条件或需要采取有关的行动时,可以启动风险应急计划。通过分析跟踪数据,发现一切都是按计划在进行,项目人员决定继续像以前一样跟踪风险。
采取行动是指执行那些关系风险和缓解计划中所作的决定,并保证将其文档化,存入公司过程财富库中,以便作为历史纪录和将来参考之用。
有效的控制能监督计划执行的质量、检测风险状态中的明显变化,同时能够对风险适时地做出以信息为基础的决策。
风险控制可分为四个步骤进行:
对触发事件做出反应
触发器提出风险警报时,收到警报的人立即对触发事件做出反应,安排有关负责人(风险应对者)负责做好风险应对的准备。
执行风险行动计划
风险应对行动应该落实到相应的风险应对的实施人员,实施者根据风险应对计划和风险事件的实际情况,执行相应风险应对的措施。
对照计划报告进展
在执行风险行动计划的同时,必须将风险应对的实施结果与风险应对计划进行对照,及时发现两者的偏差。
④修正与计划的偏差
一般应对计划和实际情况有一定的差别,因此需要对应对计划进行及时地调整修正,使得风险应对措施更为有效,并且需要将改进的内容记录在案,以便在将来制定风险应对计划能考虑到类似问题。
由此可见,通过建立基于CMMI的软件开发风险管理体系,能够实现软件开发的风险管理精细化、规范化,能对软件开发中的风险进行定性和定量的管控,提高公司软件开发的风险管理水平,将软件开发中出现的风险降低到可接受的范围。
参考文献:
[1]《软件项目管理与敏捷方法》
【关键词】内部控制;风险管理;信息化
目前,随着国家《企业内部控制基本规范》、《企业内部控制应用指引》等一系列文件的颁布和实施,企业内部控制和风险管理工作的影响不断扩大。公司各级领导非常重视企业内部控制体系各项工作的开展情况,为了提高内部控制的管理水平,真正将内部控制贯穿于企业经营决策、执行和监督的全过程,覆盖到企业各种业务和事项,公司按照内部控制“管理制度化、制度流程化、流程表单化、表单电子化”的工作思路,充分利用信息技术促进信息的集成与共享,运用信息化技术来强化内部控制的设计和执行,从业务的关键环节和关键控制点出发,在公司比较成熟、高效、透明的业务率先开展电子化应用,以点带面,循序渐进,全面深化公司内部控制体系电子化应用进程。
本文着重从内控信息化、成果利用等两个方面谈谈如何提高内控信息化工作。
一、提高对内部控制及风险管理信息化的认识
内部控制信息化的工作原理就是促进企业内部控制流程与信息系统的有机结合,在企业信息系统的开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面实现对业务和事项的自动控制,尽量减少或消除人为操纵因素。公司内控主管部门按照国家有关规定和上级部署,经过多次调研和沟通,提出内控信息化建设的总体目标是规范透明、工作可控、业务留痕。
二、确定内控信息化工作重点,逐步开展信息化推进工作
公司根据经营规模和管控模式的特点,有针对性地开展内部控制信息化工作,通过建立专项业务控制的工作办理模块,实现业务流程自动提示、自动流转,实现工作内容与内控要求的全面融合,确保权责分明、工作受控,责任落实到位。目前,公司在合同管理系统、存货管理系统、成本控制管理系统、生产精细化管理系统等领域开展信息化应用,通过程序控制、细化相关控制环节和要点。
1.在“合同管理”信息化工作中,通过对公司合同管理流程进行全面优化,积极推进合同管理电子化应用
根据《企业内部控制应用指引》“第16 号――合同管理”的有关要求,公司对合同管理中涉及物资采购类的合同率先开展电子化应用,把实施信息化管理作为公司加强内部控制的重要手段之一,目前已通过对采购类合同的合同文本、合同条款等内容进行固化,并对采购价格、采购数量、合同审核、合同审批权限等具体环节进行电子化控制,从而达到有效防范法律风险,维护公司合法权益,提高公司经营管理水平的目的和作用。
2.在“资产管理”信息化工作中,通过对管理流程、管理规范中存在的缺陷进行分析和梳理,通过添加相应的、必要的管控模块,持续提高信息系统在存货、固定资产、在建工程等资产管理中的利用效果
根据《企业内部控制应用指引》“第8 号――资产管理”的有关要求,公司在存货管理中开始逐步提高信息化的利用效果,由于公司以前缺少对于存货库存账龄进行有效分析的管理,缺乏自主性分析等判定程序,主要因为公司财务系统无法直接取得存货的账龄信息,不能实现对存货账龄进行定期的统计和分析,缺少对账龄较长或残次冷背等存货的定期报告制度,公司统计存货账龄主要通过手工进行,不仅工作量大,而且编制出的存货账龄分析表也不够准确,在一定程度上影响了对存货跌价的判断。目前,公司有关部门充分利用计算机系统自动计算运行出存货的账龄,重点提高计算机系统的利用效果,持续改善用友系统功能,添加相应账龄分析模块,通过充分利用计算机系统自动计算出存货的账龄信息,保证了存货账龄分析更加准确,同时,建立定期统计分析制度,对存货的跌价风险提供准确分析判断依据,确保长期呆滞存货得到逐步有效处理。
3.在办公系统信息化工作中,通过对公司内部信息网及OA系统功能深入进行开发,积极推进无纸化办公
根据《企业内部控制应用指引》“第17号――内部信息传递”的有关要求,公司积极建设内部信息网,提高各业务系统工作效率。以前,由于公司内部各部门之间信息孤立,沟通、查询困难,工作效率低,且各业务系统精益管理的成果需要以信息化为手段进行固化和持续改善。为了便于沟通、查询信息、应用系统集成以及固化精益管理成果,从提高工作效率,促进企业生产经营管理信息在内部各管理层级之间的有效沟通和充分利用,公司以组织框架和职能系统为主线,设计开发内部信息网站平台,实现各业务系统的数据充分共享,提高了公司各业务系统的工作效率。目前OA系统已实施发文管理、收文管理、通知通告、办公信息、宣传报道五个模块,实现了文件、通知的起草、审核、签发、传阅等流程的无纸化和规范化。
以上是公司利用信息化手段加强企业内部控制,提高风险管控的具体实例,下一步公司将根据企业发展目标规划、生产经营管理实际情况、机构职能调整情况,以及关键业务风险控制点出现新变化的情况等,逐步扩大信息化综合利用的广度和深度,大力推进管理工作的规范化、标准化和程序化运行,最终实现内部控制关键业务流程信息化的全覆盖。通过持续利用信息化手段进行业务流程优化,不断提高公司整体管理水平及风险防范意识,保障公司内部控制体系运行更加良好、有效,更好地为增加组织价值服务。
参考文献:
信息技术以及信息产业的飞速发展,给档案管理信息化建设带来了机会,同时也给其带来了巨大的冲击和新的挑战。信息系统自身所处的网络环境的特点以及信息系统自身的局限性会导致信息系统的发展过程中会受到一些因素的影响。而且,在使用的过程中也会遇到一些认为破坏或者是木马等方面的破坏。所以,档案管理信息化的过程中会遇到一些信息安全隐患,这严重影响信息的安全可靠性。但是,随着时代的快速发展,人们在不断的探索和研究防止信息系统遭受到破坏的措施,而且在杀毒软件和入侵检测技术方面获得了很大的成就。虽然这些检测手段的使用在一定程度上可以防止恶意程序对信息系统的破坏,但是并没有从根本上解决档案信息系统的安全问题。因为随着信息技术的发展,信息系统受到的威胁也在逐渐向着多样化的趋势发展变化,而且更加的隐蔽化,对于信息系统的破坏性越来越大。随着信息技术的广泛使用,信息安全的内涵也在不断的丰富,已经不再是最开始的单单对信息保密,而是向着保证信息的完整性、准确性方向发展,使档案信息变得更加的实用而且具有不可否认性。进而实现多方面的防控实施技术。
二、档案管理信息化中安全风险评估的作用
人们在进行档案信息管理的过程中受到认识能力以及实践能力的限制,不能够保证信息管理的完全安全性,所以档案信息管理系统在一定程度上存在着脆弱性,这种情况导致在使用档案信息的过程中面临着一些人为或者是自然条件的破坏,所以档案信息管理存在安全风险具有必然性。因此,对档案信息管理进行安全风险评估具有重要的意义,信息安全建设的前提是,基于对综合成本以及效益的考虑,采取有效的安全方法对风险进行控制,保证残余风险降低在最小的程度。因为,人们追求实际的信息系统的安全,是指对信息系统实施了风险控制之后,接受残余风险的存在,但是残余风险应该控制在最小的程度。所以,要保证档案信息系统的安全可靠性,就应该实施全面、系统的安全风险评估,将安全风险评估的思想以及观念贯穿到整个信息管理的过程中。通常情况下,信息安全风险主要指的是在整个信息管理的过程中,信息的安全属性所面临的危害发生的可能性。产生这种可能性的原因是系统脆弱性、人为因素或者是其他的因素造成的威胁。用来衡量安全事件发生的概率以及造成的影响的指标主要有两种。然而,危害的程度并不只取决于安全事件发展的概率,还与其造成的后果的严重性的大小有着直接的关系。安全风险评估具有很多的特点。首先,它具有决策支持性,这个特点在整个安全风险评估周期中都存在,只是内容不相同,因为安全评估的真正目的是供给安全管理支持以及服务的。在系统生命周期中都存在着安全隐患,所以整个生命周期中都离不开安全风险评估。其次,比较分析性,这个特点主要体现在对安全管理和运营的不同的方案能够进行有效的比较以及分析;能够对不同背景情况下使用的科学技术以及资金投入进行比较分析;还能够对产生的结果进行有效的比较分析。最后,前提假设性,对档案信息进行管理的过程中所使用的风险评估会涉及到各种评估数据,这些数据能够被分为两种。其中一种数据的功能是对档案信息实际情况的描述,通过这些数据就可以了解整个档案管理信息中的情况;另一种数据是指预测数据,主要是根据系统各种假设前提条件确定的,因为在信息管理的整个过程中,都要对一些未知的情况进行事先的预测,然后做出必要的假设,得出相关的预测数据,再根据这些预测数据对系统进行风险评估。
三、档案管理不同阶段
进行不同的风险评估信息系统的开发涉及到很多的模型,而且随着科学技术的快速发展,各种模型都在不断的升级。从最早期的线性模型到螺旋式模型再到后来的并发式的模型,这些系统模型的开发都是为了满足不同的系统需求。然而,风险评估却存在于整个信息系统的生命周期中,但是由于信息系统的生命周期中有很多的阶段,而且每一个阶段活动的内容都有所差别,因此信息管理的安全目标以及对安全风险评估的要求也是不同的。
(一)对于分析阶段的风险评估。其真正的目的是为了实现规划中的档案信息系统安全风险的获得,这样才能够根据获得的信息来满足安全建设的具体需求。分析阶段的风险评估的重点是抓住系统初期的安全风险评估,从而有效的满足对安全性的需求,然后从宏观的角度来分析和评估档案信息管理系统中可能存在的危险因素。
(二)设计阶段的安全风险评估。这个阶段涉及到的安全目标比较多,所以能够有效的确定安全目标具有重要的意义。应该采取有效的措施,通过安全风险评估,保证档案信息管理系统中安全目标的明确。
(三)集成实现阶段。这个阶段的主要目的是要验证系统安全要求的实现效果与符合性是否一致,所以,应该通过有效的风险评估对其进行验证。需要注意的是,在进行资产评估的时候,如果在分析阶段以及设计阶段已经对资产进行了评估,那么在这个阶段就不需要再重新做资产评估的工作,防止重复性工作的发生。所以,可以直接用前两个阶段得出的资产评估的结果,但是如果在分析阶段和设计阶段都没有进行资产评估,则需要在此阶段先进行这项工作。威胁评估依然着重威胁环境,而且要对真实环境中的具体威胁进行有效的分析。除此之外,还应该对档案信息管理系统进行实际环境的脆弱性的有效分析,重点放在信息的运行环境以及管理环境中的脆弱性的分析。
(四)运行维护阶段。对档案管理系统不断的进行有效的风险评估,从而确保系统的安全、可靠性,这样才能够保证档案管理系统在整个生命周期中都处于安全的环境。
四、档案信息安全风险评估存在的不足
我国在档案信息安全风险评估方面已经取得了很大的成就,积累了一些宝贵的经验。但是,由于我国档案信息安全风险评估工作起步晚,还存在一些不足之处,主要表现在以下几点。
(一)管理层对于信息安全风险评估缺乏一定的重视,而且缺少一些专业评估技术人员。当前评估技术人员的专业技能不高也是现阶段存在的问题。所以,应该对评估人员进行定期的培训,提高他们的专业技能,保证风险评估工作有效的进行,同时还应该采取有效的措施来提高工作人员对于风险评估的重视,是档案管理信息化环境处于安全的运行环境中。
(二)风险评估的工作流程还不够完善,而且一些风险技术标准也需要进一步的更新。档案信息化管理的风险评估,不仅仅是一个管理的过程,也是一个技术性的过程,所以应该根据实际情况来科学合理地制定工作流程和技术标准。如果所有的环境和情况都套用一种工作流程和一个技术标准,就会导致不匹配现象的出现,不仅影响风险评估的效果,而且在一定程度上还影响信息系统的安全性。
(三)评估工具的发展比较滞后,随着科学技术的快速发展,信息安全漏洞会逐渐显露出来,所以对信息系统的威胁逐渐增加。应该采用先进的评估工具对其进行风险评估,从而满足档案管理信息化的需求。
五、结语
关键词:信息管理 风险 控制
中图分类号:F224.0 文献标识码:A
文章编号:1004-4914(2010)10-236-02
煤炭企业提高企业利润、加强科学管理、推动技术创新、提升核心竞争力必然要走信息化道路,其管理信息化水平已成为企业现代管理的一个重要组成部分,是企业赢得竞争优势不可或缺的重要手段和基础平台。所谓企业管理信息化是指将企业的生产过程、物料移动、事务处理、现金流动、客户交互等业务过程数字化,通过各种信息系统网络加工生成新的信息资源,提供给各层次的人们掌握各类动态业务中的一切信息,从而作出有利于生产要素组合优化的决策,使煤炭企业资源合理配置并能适应瞬息万变的市场竞争环境,以求得最大的经济效益。企业管理信息化的实质是企业全面实现业务流程数字化和网络化,是适应煤炭企业信息化的管理、生产和经营等活动的变化、转换煤炭企业经营模式、建立现代煤炭企业管理制度的过程。企业信息化挖掘了先进的管理理念,在应用先进的计算机网络技术基础上,整合煤炭企业现有的生产、经营、设计、制造、管理,及时地为煤炭企业的“三层决策”系统(战术层、战略层、决策层)提供准确而有效的数据信息,以便对市场需求作出迅速反应,加强煤炭企业“核心竞争力”的目的。
一、煤炭企业管理信息化的风险类型
1.环境风险。煤炭企业管理信息化的环境风险是指信息系统实施或运行中,由于内、外部环境的变化而导致信息系统未达到预期目标进而招致失败的可能性。具体表现为:(1)煤炭企业管理软件产品蕴含不符合当前宏观环境运行要求的应用模块,与政府的政策、法律、法规或行业的要求相抵触。(2)经营环境恶化使煤炭企业经营出现大面积滑坡,煤炭企业难以筹集足够的资金继续投入管理信息化的建设,使前期的工作半途而废。(3)煤炭企业因外部市场竞争环境变化,重新调整战略规划、内部组织结构、业务处理流程,而原先花巨资构建的煤炭企业管理软件系统刚性强,不能适应新的经营环境,致使原有投资付诸东流。
2.决策风险。煤炭企业管理信息化的决策风险主要指选择管理软件或软件供应商的失误而造成系统实施的失败。引发决策风险的原因在于煤炭企业决策层不能结合煤炭企业实际状况,充分客观地进行项目可行性分析,选择适合煤炭企业的管理信息化解决方案。面对当前市场上林林总总的管理软件,品质参差不齐,一些软件供应商为了能得到企业的定单,在给客户介绍软件产品时,往往扩张自己的实力和软件的功能,甚至以次充好。而一部分煤炭企业的领导不清楚自己煤炭企业的信息化目标,缺乏全面评估软件适应性的经验,在管理软件的选型与软件供应商的选择时容易受到商家的诱导,致使所选购的软件质量存在缺陷,软件功能不适合煤炭企业的实际需求,软件公司的实力不足,缺乏煤炭企业管理信息化建设的驾驭能力,致使信息系统实施出现问题。
3.实施风险。实施风险是指煤炭企业在实施管理软件过程中由于组织失误导致项目不能按计划完成、成本超过原有的预算、软件的运行质量不能达到理想要求。引发实施风险的一个原因是项目没得到煤炭企业全体员工的理解与配合,致使项目进程的组织遇到障碍。一般来说,业务部门的主管人员会认为煤炭企业计算机应用是一项技术性十分强的工作,应由煤炭企业信息管理专业人员和软件开发商负责,业务部门只管使用就行了,往往将自己处于旁观者位置,却不知计算机技术应用仅是煤炭企业管理信息化的一部分内容,核心是管理软件所蕴含的先进的管理思想与方法能否得到有效应用。
4.运行风险。煤炭企业管理信息化的运行风险包括营运风险、授权风险、信息风险、系统安全风险等。
(1)营运风险:在煤炭企业管理信息化环境下,信息处理流程集成一体化,任何一个环节出现问题将影响整个系统的后续运行和信息输出的质量。管理软件运行过程中,如果管理人员、业务人员对新的业务流程的本质了解不透彻,没有做好管理思想转变的准备工作,很难有效操作管理软件,这些将直接影响信息系统的数据处理流程连续性和工作质量,最终将出现管理混乱状况。
(2)授权风险:在新系统运行后,原有手工信息处理方式下所设置的岗位分离、相互牵制、授权控制的制度与控制方法在新的运行环境下将发生变化,有些功能会丧失作用,如果没能及时建立一套与新的信息系统运行环境相配套的内部控制制度,由于数据存储的集中性,数据修改的便捷性和不留痕迹,可能给内部人员营私舞弊提供机会,造成煤炭企业资产损失。
(3)信息风险:信息风险产生于煤炭企业的管理软件开发未经过严密的可靠测试,数据结构、程序结构隐含的问题会在后期系统运行中被触发,从而产生诸如计算结果错误等问题,由于煤炭企业信息化使得业务处理与财务处理、计划管理、过程控制融为一体,失真的数据在流经各流程后被不断加工处理,错误被不断放大,影响输出报表的真实性,误导信息使用者经营决策与过程控制。
(4)系统安全的风险:在煤炭企业管理信息化条件下,煤炭企业所有的数据都将以电子数据形式集中存储在计算机数据库系统中,在信息化后煤炭企业许多经营活动依赖于计算机系统,可以说离开了计算机煤炭企业系统就很难正常运行。煤炭企业管理信息化安全风险主要由两方面引起:一是技术因素。如网络系统本身存在的安全脆弱性,软件系统内部缺陷没被测试出来。二是管理因素。组织内部没有建立相应的信息安全管理制度,使用人员操作缺乏操作规范,无控制标准与安全防范标准,如操作人员可以随意下载程序和数据文件,在工作站上安装非正规渠道获得各类软件。
二、煤炭企业管理信息化过程的风险控制
为确保煤炭企业管理信息化目标实现,从源头上防范信息化风险,规避风险给煤炭企业带来的危害,建立煤炭企业管理信息化过程的风险控制体系,应着重考虑下列五个方面的工作:
1.构建与管理信息化相协调的煤炭企业营运环境。构建与信息化相协调的煤炭企业营运环境是防范信息化风险、保证管理软件实施与运行的基础。煤炭企业领导以及各部门的员工都应清楚地认识到,信息化意义在于应用信息技术实现煤炭企业管理科学化、现代化。在新的信息技术面前,煤炭企业管理者与员工都面临观念转变、方法变革的问题,需要营造一个基于数字化的运营环境,使煤炭企业所有成员的思维、品性、价值观、能力与信息化要求相一致。
营造这种煤炭企业环境需要全体员工的共同努力,它涉及下列工作内容:(1)结合煤炭企业管理信息化建设,组织员工进行各层次的现代管理理论、方法、信息技术的培训工作,使煤炭企业具有良好的信息化的氛围。(2)鼓励内部员工积极参与煤炭企业管理信息化过程的各类活动。(3)建立与信息系统环境相适应的组织结构,减少中间层级和环节,强调内部团队的重要作用,使员工能充分认识到煤炭企业信息化变革依赖于团队的凝聚力。
2.完善煤炭企业管理信息化风险评估工作。煤炭企业(下转第238页)(上接第236页)信息化过程的风险评估就是要求评估人员仔细分析煤炭企业内、外部经营环境,针对煤炭企业的实现目标类型,如财务报告目标、业务运行目标、符合性目标和其他目标,评估煤炭企业信息化进程中各类风险出现的可能性、影响的程度,并结合具体情况制定防范措施。风险评估的要点在于它的客观性。在信息系统开发初期,评估人员应进行细致的调研工作,收集煤炭企业人、财、物、管理水平、技术水平、人员素质、业务流程、煤炭企业实力等方面信息,结合研究对象的实际状况,按煤炭企业信息化进程的计划内容,评估各阶段可能出现的风险种类与概率,设立可辨别、分析和控制相关风险的机制,并以此提出防范风险的方法。
3.加强煤炭企业管理信息化过程的控制。加强煤炭企业管理信息化过程控制是降低信息化风险的主要手段,过程控制由信息系统开发过程控制、信息系统使用过程控制组成。信息系统开发控制主要针对开发阶段而言,具体控制措施包括项目的可行性研究和需求分析,项目组织机构和各类人员的构成,明确组织中人员分工和在系统实施过程中承担的责任。建立内部控制规则,保证系统按实施计划进行,建立严格的系统测试与验收程序,保证信息系统软件质量指标实现。
信息系统使用过程控制包括操作权限控制、操作规程控制、安全控制和信息处理流程控制。操作权限控制是指每个岗位的人员只能按照所授予的权限对系统进行作业,不得超越权限接触系统。煤炭企业应制定操作人员的权限标准体系,保证系统的安全。操作规程控制是指系统操作必须遵循一定的标准操作规程进行。标准操作规程包括:软硬件操作规程、作业运行规程、用机时间记录规程等。安全控制包括数据和程序安全控制和网络安全控制。程序的安全与否直接影响着系统的运行,而数据的安全关系到系统输出信息的质量,网络的安全控制包括数据保密、访问控制、身份识别等。信息处理流程的控制包括输入控制、处理控制和输出控制。输入控制通过对数据输入端施加诸如数据的静态较验、逻辑较验、界限较验、平衡较验、总量较验等措施,尽可能保证操作人员在数据输入过程中减少出错的可能性。处理控制是将控制规则嵌入在计算机程序内,通过系统内部设置来实现内部控制。
4.促进人员的信息交流与沟通。煤炭企业管理信息化是一个复杂的系统工程,涉及面广,各部门、各成员之间的信息交流与沟通对于信息化的建设有着重要的作用,它能使信息化进程的隐患被及时发现,有效降低信息化风险。因此,煤炭企业在信息系统建设过程中,可通过定期举行研讨会、座谈会等方式,让研发人员、煤炭企业管理者、员工有机会进行平等沟通,使煤炭企业各阶层的员工能深入具体了解煤炭企业信息化的目标与要求,消除部分员工对信息化过程的误解而带来的抵触情绪,保证系统的实施与运行能够顺利进行。不同部门的业务人员、管理人员、软件开发人员能通过及时信息沟通,能从煤炭企业全局上识别传统手工业务过程的作业瓶颈问题。另外,通过建立组织内部上情下达、下情上传的有效信息交流与沟通渠道,组织中的每个成员能及时分享组织中的信息,明确各自的不同角色和所承担的责任,理解自己的活动如何与他人的工作有关,以及例外情况如何报告给上层管理人员,从何处获取相关的信息支持决策行动。信息交流与沟通促进内部沟通机制完善,使员工充分认识自己的工作结果对信息化建设、对组织经营业绩的贡献,员工也乐意从这种信息分享中提供对煤炭企业管理信息化建设过程的全面支持。
5.煤炭企业管理信息化的监控。监控是评估一段时期内部控制质量的过程。监控过程包括及时评估控制的设计和运行,并在需要的时候采取必要的行动。煤炭企业管理信息化的监控包括:(1)信息系统建设过程的监控。定期对实施计划的执行情况的检查与分析,及时处理实施过程中出现的各类问题,防范信息化风险,保证系统能达到预定的设计目标。(2)信息系统正常运行时的监控。定期对所建立的操作规程的执行程度进行检查,评价系统的信息安全政策,考察个人信息安全、物理和环境安全、通信和操作安全、数据存取控制等措施是否达到理想状况。检查系统业务开展过程中建立各种的相关文档、文件,出现的各种事件是否进行严格的纪录。(3)信息系统的业务流程处理的监控。包括是否严格按照业务流程约定的规则进行数据记录、处理、维护、输出工作,信息系统能否有效防止舞弊现象出现,信息系统是否能及时输出例外情况的分析报告,这些报告反馈渠道是否畅通。通过对信息系统的监控,不断改进系统存在的问题。