企业信息化风险汇编(三篇)

绪论：一篇引人入胜的企业信息化风险，需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文，供您参考和学习。

篇1

提到企业信息化的风险，大家普遍会联想到病毒、黑客攻击，认为只需要使用杀毒软件、防火墙等安全产品就可以了，但这只是信息化安全方面的风险，是对企业信息化风险的狭义、局限性认识，这种认识暴露出我们长期以来在风险防范、管理意识方面的薄弱。而真正广义的企业信息化风险是指在信息化实施过程中，由于各种因素导致结果与最初的信息化战略目标存在偏差，有偏差即是有风险，不管这种风险是否给企业带来经济损失。我们只有通过合理的方法辨识风险、分析风险、控制风险，找出风险来源，区分风险因素对信息化产生的影响，并且针对不同的风险采取相应的防范与化解的措施，力争将损失和威胁降到最低，才能使企业信息化的效能最大化。

2 企业信息化风险的原因

信息化系统相对于一般的项目而言在管理、技术、时间、资金、实施和维护等方面存在更多的风险因素,但归纳起来主要是三个方面：管理层风险、执行层风险、操作层风险。

2.1 管理层战略风险 俗话说：“站得越高，看得越远”，只有对信息化做出正确、长期、准确的战略发展规划，信息化系统成功的机率、对企业做出的贡献才会越大。首先，需要企业管理层对信息化的价值理解透彻，不能急于求成、盲目跟风，抱着“别人都有，我也要有，要用就用最好的”等错误思想，而要从信息化的实用性、功能性、安全性等方面进行全面统筹和权衡，必须要以支持企业经营管理、提高工作效率为最终目标，可采取分步实施、重点突破、逐步完善的信息化部署战略。其次，企业信息化是对管理观念的一种转变和突破，企业高层必须要理解和接纳这种管理思想，必须要在人力、物力、财力上给予信息化建设高度重视，领导的重视和亲身参与，势必带动各级员工的积极性和参与意识，为信息化项目的实施奠定良好的基础。

但是，不少企业高层管理人员尚未认识到这一点，对信息化的认识和管理理念比较落后，在有些领导看来，信息化只是个面子工程，是个无底洞，需要不断的投入，还不能直接给企业创造经济效益。因此在进行信息化规划时目标不明确，动机不纯，或者干脆没有规划，为以后信息化实施埋下了隐患。比如：某企业2008年花费十几万购买了一套公文流转系统，该系统功能强大，完全能满足企业无纸化办公需要。但是领导长期在外，常年不用电脑,再加上领导无法适应传统的领导圈阅方式一子被电子签名所取代，所以长时间采用公文流转和领导纸质圈阅并行方式。这就是典型的管理层战略风险，管理层观念落后，实施信息化动机不纯，单纯的为上信息化而信息化。最终的结果只能是企业投入了大量资金却并没有提高工作效率，信息化系统形同虚设，无法发挥应有的作用，造成资金浪费。

2.2 执行层风险 有了信息化战略规划，具体执行部门就要根据规划实施信息化项目，在具体实施过程中，可能存在来自于技术落后、资金短缺、管理低下、人才缺乏等方面的风险。

2.2.1 信息化系统选择风险。如今市场上各种信息化软件、硬件产品众多，不同应用平台和开发工具，不同的硬件集成，都将决定企业信息化未来的效益、维护成本和转移成本。一旦系统或设备选型不当，将限制企业信息化的长远发展。因此选择信息化系统时要兼顾功能和技术要求，功能上既满足当前的业务需求，也要考虑未来的业务发展。技术并不是追求越先进越好，而应该选择现阶段技术比较成熟，可升级、兼容更新技术的产品。比如：某国有大型企业2005年耗资上百万在全公司自上而下部署了一套电子档案管理系统，但在使用中发现该系统存在诸如操作不方便，与协同办公平台不兼容等问题，导致系统使用不到半年就夭折了，2010年公司又重新研发了一套全新的电子档案系统。这就是信息化系统选择失败的典型案例，这种情况在现在的企业尤其是国有企业相当普通。

2.2.2 信息化项目管理风险。信息化系统的实施过程是一个复杂而又艰巨的系统工程，在内部，它渗透到企业经营的不同层次、不同部门之中,是一个全员参与的项目，在外部，它要适应信息化的快速发展，与系统提供商的合作沟通等等。在项目实施过程中，如果各部门沟通不顺畅、协同不力；系统实施人员特别是核心人员的流失或中途调动；实施费用严重超出预算等都可能直接影响信息化的实施结果。因此，项目实施领导小组必须要掌好舵、举好旗，严把项目进度、成本、质量关，负责各级部门的组织和沟通协调，确保实施人员的稳定性。

2.3 操作层风险 操作层是指实际应用信息化系统的部门或人员，这是最容易被人忽视，也是最容易产生风险的环节。

2.3.1 业务流程风险。在应用信息化系统之前，企业必须要根据岗位职责对各岗位的业务流程进行完善和优化，使信息化系统与实际业务工作相匹配，否则就会造成系统与实际脱节，形成信息孤岛，无法发挥作用。

2.3.2 基础数据风险。在利用信息化系统进行数据分析的时候，必须要求数据及时、规范、准确、完整，否则得出的分析结果就可能与实际大相径庭。因此，企业要通过一些规章制度来明确和规范数据的内容，通过督导检查、高额奖惩等手段来确保数据的及时性和准确性。

2.3.3 信息安全风险。其一，要尽量确保信息化系统在安全性上不能有漏洞，发现问题要及时与系统供应商沟通解决；其二，购置相应的安全保护软件或硬件设备，帮助减少系统安全风险，提高系统的运行稳定性。其三，要制定和完善系统安全运行规章制度、数据故障应急预案，确保系统出现故障时可以及时处理。

3 企业信息化风险管理的策略

3.1 建立信息化风险管理机构 随着企业信息化的不断推进，信息化在企业中的地位不断凸显，并且成为企业核心竞争力的组成部分。因此，企业应该及时组建企业信息化风险管理机构，它的职能是建立科学的风险分析、评估体系，定期评估信息化风险，监控信息化实施、运行过程，从企业整体利益出发，根据产生风险的性质和特征，选择不同的风险处置方案。设置企业信息化主管（CIO），直接对企业决策层负责。

3.2 建立科学、规范的业务流程 管理手段的落后和管理流程的混乱，是大多数企业的通病，企业信息化关键的一步，就是建立一个科学、规范、先进、适用的工作业务流程，并且要将管理策略和制度融入业务流程之中。“没有规矩，不成方圆”，企业都制定了一大堆管理制度，涉及到企业管理的方方面面，但这些制度或多或少被束之高阁、有名无实。因此，要将这些管理制度和业务策略信息化，用程序化的手段融入业务流程之中，成为业务处理过程中的决策工具，实现业务流程和业务控制策略、企业管理制度一体化的信息化系统。

3.3 营造一个信息化风险管理的环境 信息化是把“双刃剑”，大家既要认识到信息化给企业带来的积极意义，也要认识到信息化失败给企业带来的危害。因此，营造一个信息化风险管理的文化环境是非常重要的，平时要注意培养大家风险管理的意识，并贯彻到日常工作中去。随着信息化的逐渐深入，当信息化己成为日常工作的必须工具，与自己的业务本职工作息息相关的时候,大家就会意识到自己对于风险防范的责任，加之经常培训员工风险管理的方法和措施，企业整体的风险管理能力就会逐步提升。

篇2

电子信息技术在会计领域的广泛运用，彻底改变了会计信息的储存和处理方式，从而适应了现代企业对会计信息的高标准与高要求。企业信息化是时展的必然，对企业的积极作用是毋庸置疑的，但同时它又是一把“双刃剑”，另一面带来的危害不可忽视。由于企业内部控制体系不完善和有效控制手段的缺失，借助企业信息管理系统舞弊的案件屡见不鲜，而且这种行为具有危害大、隐蔽性强的特点。鉴于此，研究信息化环境下企业内控及风险控制具有十分重要的意义。

一、企业信息化与内部控制的关系

信息化与内部控制相辅相承。企业信息化就是通过对信息数据的合理控制，实现资源高效配置，进而提高企业生产效率和决策水平，为企业获得持续竞争能力提供了有力保障。在实际运作中，企业内部控制在很大程度上依赖于其信息化水平，信息化水平越高，内部控制得到的信息资源就越充分，实施效果就越明显。企业好比是一艘轮船，信息化是推进器，而内部控制则是舵轮，只有两者相互配合才能使行驶畅通无阻。

信息化有助于企业内部结构扁平化。传统企业财务管理是建立在管理层级制度基础之上的金字塔式结构，会计信息传递受到中层财务经理的影响较多。财务管理信息化实现了会计信息的实时采集与更新，企业高层可随时了解基层业务情况，从而避免中层财务经理干预，实现了组织结构的扁平化。

企业信息化给企业经营带来新的风险。首先，风险评估范围拓宽。企业将所有会计信息高度集中于数据处理系统，一旦有不法分子利用病毒等窃取企业信息，可能使企业蒙受损失。企业通过风险识别、评估与防范新风险，这就拓宽了评估范围。其次，设备使用风险加大。会计信息管理系统由硬件和软件构成。硬件存在许多不可抗因素，如跳电、物理损伤、人为误操作等，这些问题的出现增加了内部控制的难度。软件主要指运行风险，如设计缺陷、与企业切合度不高、稳定性不够等都会带来新的潜在风险。第三，增加了道德风险。信息化建设需要企业内部系统与外部网络连接，这会使信息使用者或操作人员通过公用通讯线路干预系统的机会变大，此时如果企业内部人员与黑客合作，很可能产生非授权的访问、篡改等风险。

二、企业信息化环境下内部控制风险问题

(一)授权方式的改变使内部控制风险加大

在传统会计模式下，经济业务形成会计信息需要专门工作人员操作及盖章才可有效。这种方式虽然效率较低，但其它人参与的机会较少，安全性很高。在会计信息模式下，业务权限通过角色授权来完成，授权角色口令虽然由角色人物自行维护，但被窃取或泄露的机会很大，便会给企业带来了巨大的安全隐患。另外，业务人员获得授权后，尤其是信息维护专职人员获得授权后，企业网络数库内其它财务秘密也尽收眼底。

(二)网络开放环境使内部控制壁垒变得脆弱

信息网络技术的发展使会计信息系统发生了质的变化，克服了以前单机信息系统的不足，使信息化会计系统的内控制度更加完善。然而，网络的开放性、共享性、分散性也给计算机会计信息系统内部控制带来新的问题，如会计信息通过网络传输可能被截获，受到病毒及黑客攻击的机率变大等。从理论上讲，置于服务器上的任何信息都是可以被访问的，除非切断物理连接才能避免外来非授权访问者的侵扰。为此，企业必须定期对系统的安全性及内部控制能力进行评估，时时保持系统最新以降低网络环境带来的风险。

(三)会计信息便于伪造

在过去单机电算化环境下，所有会计数据是以单、证、账、表的形式出现，其作为核对凭证，修改困难，修改后留有明显痕迹，所以不便于伪造。网络会计则完全不同，磁介质代替纸张作业，对会计信息篡改后可以轻意抹去任何痕迹。另外，电磁介质易受损坏，所以会计信息也存在丢失或毁坏的危险。因此，如何使磁性介质上的数据安全可靠、防止数据被非法修改是一个非常重要的问题。

(四)舞弊行为带有极强的隐蔽性和危害性

当前，基于计算机网络的各种诈骗、舞弊、贪污等犯罪活动猖獗。一是网络共享环境为犯罪行为提供了有利条件，不法之徒可以在任何时间、任何地点实施作案；二是由于计算机采用磁性存储介质，容易被篡改，而且改后不会留下任何痕迹；三是未经授权人伪造数据后带有极强的隐蔽性，很难被发现；四是一旦出现舞弊行为，往往涉案资金较多，对企业的损伤比传统会计大得多。因此，会计信息化系统的内部控制不仅难度大、复杂，而且还要有各种难以控制的计算机技术手段。

三、企业信息化环境下防范内部控制风险的管理措施

(一)政府应建立完善的会计信息化舞弊案处理法规

当前，我国关于会计信息化舞弊案的相关立法还不够成熟，仅在《公司法》中有一些较为模糊的规定，但由于处罚力度不够，在一定程度上滋长了企业、中介机构或个人的舞弊动机。为此，政府必须完善相关立法，加大制造虚假会计信息的企业、中介机构或个人的处罚力度，从而形成排拆虚假信息的良好会计环境。从实践来看，会计信息造假案的处理必须遵守一定的客观性而不是一蹴而就。不论是上市企业还是中介机构，要逐渐加大处罚力度，争取随着立法的不断完善与成熟，实现内部控制环境的平滑过渡。

(二)加大企业的内部审计力度

内部审计是企业提高内部控制水平的重要保障。应保证内部审计的建立具有权威性和独立性，保证其设置高于其它职能部门。现代内部审计不仅要完成企业查错防弊工作，还要对企业做出具体的分析、评价和管理建议。因此，内部审计发挥作用还要有自身做起。首先，明确审计职能范围。内部审计应以查错防弊为基本前提拓展作业，将合规性效益审计、风险评估与防范、内部控制评审等作为重点发展方向。其次，改进审计方法。在进行事后财务收支审计的同时，注重事前、事中的管理效益审计，并加强审计监督服务。审计报告要客观公正、实事求是，同时重视不断提炼总结有价值的经验，保证审计建议有深度和价值意义。

(三)创新风险管理措施，推行风险在线监控

依托财务信息平台，建立“业务有流程、流程有标准、风险有控制”的内部控制操作体系，开展在线稽核，增强风险管理的针对性和时效性。结合全面风险管理，开展财务风险梳理，建立统一的财务稽核规则库和财务风险预警指标体系，运用不同的业务稽核规则、稽核方案、稽核专题，通过系统的智能运算，寻找各类数据疑点，形成稽核结论，实施风险全过程监控，从而实现财务风险可控在控。

(四)建立起有效的激励机制

首先，塑造企业文化。良好的企业文化可以形成一种无形的抓手，约束员工行为，不断提高员工的职业道德水平和诚信程度，从而减少企业下属部门的个体利益倾向。建立基于企业会计信息化的道德价值观、规章制度、基本信念，从而有效解决信息时代组织结构所产生的负面影响。其次，从信息时代组织特点出发，研究和制定具有可操作性的责任分配与授权制度，设立分享与合作的激励制度，通过激励，使公司会计信息化核心人员更关注公司长远的发展，从根源上消除制造虚假会计信息的动机。

(五)完善风险管理机制

首先，企业应当借助信息化平台，从控制风险出发，针对信息化环境下内部控制风险的新特点，权衡风险与收益，制定出相应的风险防范策略，以保障信息系统数据和信息安全可靠，从而更好地实现内部控制目标。其次，加强会计系统开发、运行和维护的控制。开发前应进行可行性研究和需求分析；开发中要对现有系统设计分析，对企业发展需求评估，更新方案要有可行性研究；后期要对系统的软件及硬件进行完善性维护，维护要做到会计数据的连续和安全，并由有关人员进行监督。第三，加强网络安全控制。重点发展第三方认证机构，企业之间发生业务来往时必须由第三方公证确认才可交易；在会计信息系统中分离出操作与监控两个岗位，通过经济业务多方备份的方式实现岗位间的有效牵制。

参考文献：

篇3

一、立项与软件选择风险

(一)项目立项

立项风险主要表现为信息系统建设目标、约束、总体结构不清，信息战略错误，企业弄不清要建设一个什么样的信息系统；立项时切入点不准确，定位不正确，信息化建设策略不对，追求功能完整、一步到位并在其他企业已经应用成功的建设方案，以致企业管理水平与技术水平无法支持项目实施，造成项目夭折或建成后无法成功运行。避免立项风险的措施是：从企业战略目标出发，通过调查，对企业管理业务中内容分散、含糊不清的问题进行识别，在系统要实现的目标及管理、技术和经济上进行可行性论证，找出实施信息化的不利因素，研究改进方案，明确项目开发的必要性和可行性，根据可行性分析进行决策。在进行可行性论证时，要防止“一切外包”的现象，把论证工作全部交给供应商或开发商去完成，千万不要做“聘请狐狸给鸡棚看门”的傻事，企业必须自行组织技术、管理人员，通过培训后，在咨询人员的指导下进行可行性论证工作。

(二)企业诊断

企业诊断是根据企业业务流程，运用现代管理技术与方法，找出影响企业竞争优势和制约企业盈利的环节，提出优化解决方案。企业诊断工作难度大、涉及面广、耗时长，是信息化建设非常重要、必不可少的环节，在企业诊断阶段容易出现的问题是蜻蜓点水似的调研，仅从技术角度考虑问题，既没有对企业现有业务处理流程和数据处理流程进行描述，也没有联系企业经常发生的各种矛盾，运用价值链思想对业务流程进行优化，确定企业的管理需求。其结果是系统实施一段时间后，发现企业具体业务流程及管理需求无法得到满足，此时已耗费了大量的人力、物力、财力。企业必须重视诊断的开发基础工作，切记“管理需求永远是导向”的信条，对自身的行业特征和独特的需求与业务处理过程进行深入调查分析，研究企业存在的关键管理问题，明确系统要做什么、具有什么功能、要解决什么问题，并形成系统分析报告。系统分析报告是项目实施各阶段的技术支持资料，最后，应组织有关专家对它进行评审。

(三)软件选择

企业在软件选择的决策中很容易掉入“说客陷阱”，偏重选择知名度高、技术先进的管理软件，不能把企业自身的实际需求和业务处理过程与管理软件进行匹配，导致选择的软件不能适应企业的需求，难以实施成功。即使实施成功，但运行成本高，更新换代困难，企业管理模式的调整受到限制。事实上，当前商品化管理软件名目纷繁，各种软件可能存在功能不足或潜在的缺陷，企业必须根据诊断分析，有针对性地选择几家在本行业有成功案例与经验的管理软件，由项目实施小组对各种管理软件的功能及其组合的灵活性、二次开发的能力、软件商的技术支持能力、售后服务等方面进行综合评价和比较，以满足企业实际需求和未来发展需要为第一要务。

二、实施风险

(一)人员组织

企业信息化建设涉及到软件工程、信息技术、管理技术，企业必须整合内外部人力资源，成立项目建设队伍，完成从项目立项到系统上线的各个环节的工作。在组织队伍时，企业易犯的两种错误：其一，以企业缺乏IT技术人员为由，将项目外包给软件供应商或商，企业只是组织力量进行验收评估。殊不知一方面，有些商技术力量单簿，甚至对软件功能根本不熟悉。笔者前几年曾遇到这样一桩怪事：某国内知名度非常高的ERP软件商，售给一家国有企业部分软件模块，软件安装与初始化后，系统居然无法集成运行，原因是购买软件时少买了一个前序模块。另一方面，即使商有较强的技术力量，但对企业的业务处理流程缺乏深入了解，难以按照企业需求进行系统配置与二次开发。其二，完全由企业内部的IT技术人员单独进行系统实施，没有看到内部技术人员缺乏对软件的了解及项目实施经验，很难从整体上把握好项目的实施。为规避这种风险，项目队伍组织应该考虑到管理、技术、财务等方面的人才，通常最佳组合是：由具有丰富的信息化建设经验的外部顾问和企业内部的管理人员、业务人员、技术人员、财务人员共同组成，由企业信息主管(CIO)直接领导，形成三层项目组织结构(见图－1)。通过项目实施经历，企业内部人员从“了解――熟悉――精通”而成为企业信息化管理专门人才，使得咨询顾问的经验与知识沉淀在企业，系统上线后不再依赖于顾问。

(二)进度控制

实践表明：许多企业信息化建设项目由于各种原因使得工期一拖再拖，无法按照预定工作计划的期限完工，导致项目半途而废或系统上线严重延迟，造成企业各层领导及职员对信息化丧失信心，项目成本失控。这种风险的控制关键在于项目开始时必须制定明确的、切实可行的阶段实施计划，对建设过程中的每一阶段的计划执行进行监督和检查，对计划延迟要查找和分析原因，针对不同情况，或调控计划或采取相应措施进行补救，以实现对项目进度的控制，使整个实施能够按照预定的时间表进行。

(三)质量控制

系统上线后，企业聘请有关专家对系统进行评估验收，但这种验收往往难以控制系统实施质量，因为，即使发现问题，如果问题出在实施初期的基础阶段，要解决问题，工作量大，可能涉及到整个系统，严重的会导致系统大部分重来。造成这种风险的原因是缺乏“过程质量”的控制，因此，在系统实施之前必须定义项目实施各阶段目标和期望，并且尽可能量化，吸收有关专家在信息化评价方面的研究成果，在每个阶段完成后对实施质量作出评价，不达标必须返工；系统上线了不要急于作出结论，必须通过3个月的实践运行，使得系统的各种流程和逻辑通道都基本遍历过，效果良好，达到企业预定目标，才算合格工程。

(四)成本控制

企业信息化在成本控制方面的风险是：费用预算不准确，项目实施中途或结束时大大超过预算，使得企业出现资金困难，陷入进退两难的境地，影响正常运营，迫使项目中断。成本预算中常见的误区是：只看到软件和硬件费用，忽视了培训费用、实施咨询费用、维护费用。事实上，实践经验告诉我们：后三项费用合计往往超过前二项费用之和。因此，成本预算时必须考虑全面，合理概算各项费用，制定详细的费用开支细目，并在项目进程中将成本控制在计划之内，避免发生“金融危机”。

三、管理对接风险

(一)管理理念导入

众所周知，企业信息化系统不仅是一个技术系统，而且还是一个管理系统，在软件中融入了先进管理思想和理念。企业应用系统最容易出现的问题是：系统上线后，日常管理仍保持原系统的惯性，沿用原管理模式，许多管理制度没有更新。生产经营信息不及时输入系统，仍采用手工的批处理方式，各种定额不准确，不能充分利用系统提供的信息辅助管理，提高管理效率，“穿新鞋，走老路”的现象严重。其结果是软件中先进管理思想无法得到体现，系统功能不能发挥作用，投资效益难以实现，久而久之，有关人员感到新系统反而增加了信息录入、日常操作的工作负担，出现消极怠慢和抵触情绪。其根源在于全体员工缺乏对系统内涵的理解，没有用现代管理思想与管理理念武装头脑，观念没有更新。因此，企业必须树立为新系统的运行“销好路、开好渠”的思想，实行“双工程导入”制度：导入系统，导入管理理念。不但要进行管理软件的操作培训，更重要的是针对不同层次人员进行系统原理及现代管理方法、思想、技术的培训，利用各种载体做好宣传工作，只有达成共识、转变思想，才能有统一的行动。