新商业风险管理

新商业风险管理信息技术对企业商务的影响随着网络经济的发展，电子商务的应用，越来越多的公司应用信息技术，并将它们整合到日常的商务流程中去，使信息技术对整个的公司的发展起重要的作用。信息技术对企业商务重要的影响有如下几点：企业的发展战略、战术决策；企业产品和服务的设计；企业成本管理；企业员工的雇用、技能的培养；企业文化、信息的共享；企业的客户服务；企业供应商与合作伙伴的供应链管理；信息技术带来新商业风险企业在投资和应用信息技术的过程中，除了得到效益外，也产生了新的商业风险。所以企业都必须注意投资和应用信息技术时的风险管理。例如，电子商务交易过程中，可以从电子数据交换系统（EDI）、电子资金调拨系统（EFT）、销售点系统（POS）等系统中获得商业上的各种数据，对这些数据的分析可获得市场分布、人口地理学、产品分销、资金结算等等资料，这些资料都是企业战略制定和业务管理的关键。如果这些电子商务系统出现障碍，即使是POS系统或超市的条码扫描系统出现故障，也会使企业的战略实施和业务管理难以进行，给企业商务带来不良的后果。这就是一种网络经济中出现的新的风险——信息技术的商业风险。新商业风险管理的基本内容管理知识：提高企业内部对信息技术风险管理的意识；掌握新商业风险管理知识。管理方案：从整个行业出发来分析企业风险，形成风险管理方案；商务整合：将企业商务战略与信息技术战略整合在一起，形成企业的整体战略，这对信息技术风险管理的成功是非常关键的。如果没有进行商务整合，那么，要确认业务程序与信息技术使用中所产生的业务风险之间的联系将会很困难。必须把信息技术风险看成商业风险就必须进行商务整合。将商业风险管理扩展到企业各个部门内，从而促使所有的雇员对风险管理负责并了解无效技术管理的危害。所以，商务整合对进行完整的、综合的风险管理框架起着重要作用，包括了信息技术相关风险的分析和传统意义上的业务风险的分析；测量评估：对信息技术的作用进行测量，评估。信息技术对核心业务的影响不断增强，信息技术在当今的商业核心业务中处于关键地位；要对信息技术在企业流程中的作用进行必要测量。风险转移：在企业接受现有水平的风险；调整产品和服务的价格以补偿风险损失；进行风险转移，例如：购买保险之前应具备一套适当的、正式的程序来识别和探究信息技术相关风险来源；通过制定和实施风险管理程序，将风险降低到可以承受的水平。重点管理：把握特定类型的新商业风险的管理。主要有以下三种类型：综合性风险：指数据未经批准使用或不完整或不准确而变得不可靠所造成的风险。获得性风险：指不能及时获得所需信息而导致的风险。相关性风险：指无论是自身建立的信息还是由应用系统总结出的信息，都不适用或者不及时而带来的风险。网络安全管理：网络安全也构成新商业风险，例如，通过网络侵入企业系统的计算机“黑客”和计算机病毒，会破坏客户服务系统或导致信息失真甚至全部丢失。分配计算（借助于客户／服务网络进行的信息管理）使信息可以在一定范围内传播。但是，分配计算也给企业安全性带来了风险。一般在同一条网络上的信息所有者并非只有一个。一些信息对企业相当敏感，所以对客户／服务环境的有效管理就显得很重要。新商业风险主要类型

完整性凤险这种风险大多来自应用系统，应用系统可对商业数据的输入、处理、归纳和贮存等。当系统障碍时，就可能造成数据未经授权被使用或数据不完整、不准确而造成风险。接入风险接入网络时，数据或信息存取不当而导致风险。这种风险来自网络和电子商务的不断发展。由于黑客和电子欺诈行为的存在，人们要保护自己的系统免受侵扰。人们就必须设法保护电话线路、网络缆线和计算机，以便尽力对数据和信息进行保密。存取风险可能由于不合理的责任分工造成的风险，如，未经授权的人进入数据库带来了风险，或违反信息保密性法律规则引起的相关风险。基础设施风险指企业不具备完整的信息技术基础设施而造成的风险。这种基础设施是指能够以低成本、高效率的方式，构建信息技术的商业应用模式，它包括信息技术基础。信息技术基础设施主要包括以下几部分：硬件；网络；软件；人员；程序。系统的完整性是要保证定义、开发、维护和运作处理信息环境和应用系统正常运作所必备。所以它对商业运作产生的影响最大，存在风险也最大。获得性风险：这是指企业在获得数据时的风险，如破坏者们经常利用邮件轰炸来阻碍服务，或者对服务系统提出虚假请求，这给提供服务带风险。金融服务业是典型的依赖于准确、及时信息而运作的行业。在这方面的风险较大。所以企业要有一个有效的方式来管理价格风险、流动性风险和信用风险，必须具备特定的系统。这种系统要使需求者对所需信息实时可用、随时可得，并能进行评价。一、完整性凤险（Integrityrisk）完整性凤险大多来自应用系统，应用系统可对商业数据的输入、处理、归纳和贮存等。当系统障碍时，就可能造成数据未经授权被使用或数据不完整、不准确而造成风险。它主要在系统以下部分表现出来：用户界面（Userinterface）:必须给予正确的设定，有足够的限定，以确保只有有效的数据才能进入系统，并且这些数据是完整的。处理（Processing）:使系统有能力控制处理各种数据，以确保数据的处理完整性和及时性。病毒使系统对数据处理的完整性造成特别威胁。这类威胁能对关键业务程序造成巨大的冲击。对错误处理（ErrorProcessing）:系统应用适当的程序和其他系统方法来确保任何进入系统的数据都受到检测，并已作了修正。可以准确地、完整地和及时地处理错误数据。对错误数据的检测在金融业显得十分重要。界面（Interface）：应有系统预警显示，以确保各种数据的准确完整地传输。变化处理（ChangeManagement）：对变化有处理能力的流程，通过这些流程，应用系统的任何改变均能传输并予以实行。数据（Data）:数据管理和控制，既包括处理数据的安全和完整，也包括对数据库和数据结构的有效管理。数据的完整性可能会因为程序错误引起，如对数据用不正确的程序来处理；或发生管理程序错误。二、接入风险（Accessrisk）接入风险是指接入网络时，数据或信息存取不当而导致风险。这种风险来自网络和电子商务的不断发展。由于黑客和电子欺诈行为的存在，人们要保护自己的系统免受侵扰。人们就必须设法保护电话线路、网络缆线和计算机，以便尽力对数据和信息进行保密。存取风险可能由于不合理的责任分工造成的风险，如，未经授权的人进入数据库带来了风险，或违反信息保密性法律规则引起的相关风险。业务流程（BusinessProcess）:企业确定某一业务流程和流程运作方式。应用软件（Application）：采用相应的应用软件，给用户提供完成工作所需要的安全的接入方式。并限制对安全有破坏的接入，如欺骗行为，避免由于员工接触过多的信息导致对数据意外或无意的改动。数据和数据管理（Dataandmanagement）:为用户提供接入特殊数据或数据库通路的网络环境。流程的环境（Processingenvironment）:一般指不恰当地进人主计算机业务流程处理环境和获取该环境中储存的程序和数据。网络（Network）:接入网络联系用户和流程环境。接入风险是由于不恰当地进入网络本身的风险所导致的。硬件设备（Physical）：保护设备不受破坏、偷窃或不恰当地接触。三、基础设施风险（infrastructurerisk）基础设施风险指企业不具备完整的信息技术基础设施而造成的风险。信息技术基础设施主要包括以下几部分：硬件；网络；软件；人员；程序。系统的完整性是要保证定义、开发、维护和运作处理信息环境和应用系统正常运作所必备。所以它对商业运作产生的影响最大，存在风险也最大。基础设施风险有下列内容：组织计划（OrganisationPlanning）:基础设施对在商业流程中所采用的信息技术进行清楚地界定和阐述，确保企业经理层对信息技术的应用计划有足够的支持，并有充足的人才和流程计划，以确保系统实施的成功。应用系统的定义和开发（Applicationsystemsdefinitionanddeployment）：基础设施要保证应用系统满足业务和用户的需要。就必须决定购买整个应用系统解决方案，还是按用客需求开发新的解决方案。应确保应用系统的所有变动应遵守一定的结构，以确保与关键控制点保持连续性和一致性。例如，典型的结构要求所有变化必须在事前被用户所验证和通过。逻辑安全和安全管理（Logicalsecurityandsecurityadministration）：基础设施应确保企业足以应付接入风险。要建立、维护和监督内部安全综合系统，该系统在数据和信息的完整性和保密性方面要符合管理层的政策。计算机和网络操作（Computerandnetworkoperations）：基础设施应确保信息系统和相关的网络环境是在管理层的政策下，在安全和受保护的环境下运作。计算机操作人员对信息处理的责任，应该是被明确界定、衡量和监督。通常计算机技术人员作出的主动性行为，也可衡量与监视计算机和网络运行，确保系统为用户提供满意的、持续的支持。数据和数据管理（Dataanddatabasemanagement）：基础设施应确保那些用于支持应用系统和终端报告所需要的数据和数据库，既有相互的内部统一性，又有定义的连贯性，可满足企业商务需要和减少潜在的闲置。核心业务数据恢复（Businessdatacenterrecovery）：基础设施应确保企业中各种核心业务数据的灾难性恢复，以确保商业计划的充分实施，保证满足用户在需要时可得到相关和技术支持。四、获得性风险（Availabilityrisk）获得性风险是指企业在获得数据时的风险，如破坏者们经常利用邮件轰炸来阻碍服务，或者对服务系统提出虚假请求，这给网络用户提供服务带来了一种危险。金融服务业是典型的依赖于准确、及时信息而运作的行业。在这方面的风险较大。所以企业要有一个有效的方式来管理价格风险、流动性风险和信用风险，必须具备特定的系统。这种系统要使需求者对所需信息实时可用、随时可得，并能进行评价。这种系统应当严格控制数据，防止未经授权的存取改变数据。获得性风险表现在如下三个方面：通过事先对行为的监督和对系统问题的解决，都能够避免此类的风险。如，硬盘的存储能力对信息系统来说是很重要的，这可以不断地予以监督确保它足以支持企业商务流程的运作。获得性风险与系统的短期中断有关联。对此可运用备份和恢复技术使中断影响的范围最小化。如，大多数企业已经认识到每天至少一次对关键数据进行备份的重要性。这样在处理过程中丢失数据的影响能被控制在上一个备份以后的数据投入的范围内。获得性风险与信息处理过程长时间中断有关联，其重点是诸如备份与应急计划等控制手段。五、其他与商务相关的风险（Otherbusinessrisks）信息策略与商务策略整合后，还产生了一些与此相关的风险，这也是作为风险管理应加以注意的部分，因为它们可能对企业商务产生不利的影响。正确性风险（Validityrisk）企业应用系统建立必须合适本企业状况，这种风险包括决策过程中所需信息是否正确性的风险，除此之外还直接涉及到经营运行过程中的信息的正确性风险，如，企业员工不能及时性获得所需要的正确信息的风险。正确性风险问题对金融服务业也及为重要，例如，银行机构通过实时系统运用利息率和风险报告等工具来监控它们的利率波动的风险。如果时间不准确，那么，这些工具所提供的信息就毫无用处。另外信息技术系统提供的管理方面的数据报告，如果不准确，可能导致领导者的决策失误。效率风险（Efficiencyrisk）对应用程序的选择应有效率性。可能有一些程序不能满足客户的需求。如果把技术引人到商务流程中去，而又不能产生出效率，就没有意义。所以规划应考虑到效率的风险。企业系统基础设施应包括商业策略保持一致的信息技术策略，对信息技术策略与商业策略的整合应很明确，以实现管理层的商业目标。周期性风险（Cycletimerisk）这是指商务活动的周期性，如果商务周期性过长，如供应链过长导致商务周期性过长，这样企业效益就会受影响。信息技术策略应用到商务流程中去，应促使商务周期性缩短。但是，在具体实施过程中，可能由于信息技术基础设施不足，或由于系统原因，使商务周期性的延长，达不到原来所希望的商务目标。采用信息技术在商业流程中，对周期性问题应当事先考虑清楚。报废凤险（Obsolescencerisk）企业库存常常是由信息技术系统来管理。为了有效地管理库存和避免报废或过剩，业务上要求数据的完整性、准确性、及时性。由于系统的问题可能影响数据的正确传输，引起库存的报废。这也是信息系统的风险之一。业务中断风险（Businessinterruptionrisk）企业的业务有一个连续的过程，应用软件的操作主要依赖于信息系统。因此，信息系统的应急计划应是整个商业延续计划的一部分，灾难恢复计划应该是商业计划的一部分，以避免业务中断的风险。产品失败风险（Productfailrisk）正确的产品信息来自企业内部网和信息系统，如果一个企业监督和记录次品数据不准确，就可能造成产品的失败。在应用信息系统控制生产流程时，这方面的风险应给予足够的重视。另外，产品销售的反馈信息，企业能发现用户对产品的意见，通过获得这类信息，企业因此可以管理产品失败风险，以及有关顾客服务和声誉的风险。如何何管管理理新新商商业业风风险险有效效的的商商业业风风险险管管理理并并非非仅仅为为一一种种职职能能，，更更是是一一个个过过程程。。所所以以，，只只有有在在商商业业风风险险范范围围内内对对采采用用信信息息技技术术后后的的企企业业进进行行风风险险管管理理，，才才能能有有效效地地回回避避新新商商业业风风险险。。这这里里有有两两个个关关键键点点值值得得注注意意：：在信信息息时时代代的的复复杂杂商商业业环环境境中中，，任任何何一一家家电电子子化化企企业业要要想想获获得得成成功功，，都都必必须须构构造造一一幅幅清清晰晰的的关关于于识识别别、、衡衡量量、、控控制制与与监监测测所所有有类类型型风风险险的的行行车车图图。。有效效的的风风险险管管理理并并不不只只是是一一种种职职能能，，还还是是一一个个过过程程，，是是一一个个识识别别和和管管理理所所有有潜潜在在重重大大风风险险的的过过程程，，它它涵涵盖盖了了所所有有的的企企业业商商务务活活动动以以及及各各层层次次的的企企业业组组织织。。主要要内内容容：：商业业风风险险管管理理程程序序新商商业业IT风风险险管管理理要要素素：：战略略规规划划配置置管管理理流程程监监测测技术术结结构构的的界界定定管理理框框架架一、、商商业业风风险险管管理理程程序序为了了识识别别、、衡衡量量、、控控制制与与监监测测风风险险，，企企业业需需要要有有一一套套恰恰当当的的风风险险管管理理程程序序，，它它包包括括了了六六个个步步骤骤：：确立立管管理理目目的的和和目目标标：：根据据企企业业的的市市场场目目标标，，确确定定商商业业风风险险承承受受限限度度。。评估估商商业业风风险险：：识别别导导致致风风险险的的主主要要因因素素，，这这些些因因素素对对业业务务的的成成功功至至关关重重要要；；研研究究风风险险的的来来源源，，判判断断风风险险是是来来自自企企业业外外部部，，还还是是企企业业内内部部的的商商务务运运作作过过程程。。衡衡量量风风险险的的重重要要性性的的程程度度以以及及发发生生的的可可能能性性。。制定定商商业业风风险险管管理理战战略略：：风险险管管理理战战略略必必须须确确定定风风险险位位置置和和责责任任，，以以便便制制定定和和实实施施相相应应的的管管理理与与控控制制程程序序。。风风险险管管理理战战略略有有可可选选性性，，包包括括：：回回避避不不可可承承受受的的风风险险、、转转嫁嫁风风险险通通过过购购买买保保险险，，与与其其他他企企业业结结成成战战略略同同盟盟、、共共同同投投资资。。与与独独立立的的当当事事人人签签订订契契约约性性风风险险分分担担协协议议等等途途径径。。接接受受现现有有水水平平下下的的风风险险，，即即自自我我保保险险。。接接受受风风险险，，通通过过各各种种监监控控手手段段将将风风险险降降低低到到一一个个可可接接受受的的程程度度，，可可接接受受度度是是管管理理中中的的风风险险限限度度所所确确定定的的。。设置置并并实实施施风风险险控控制制程程序序：：确保保合合适适的的员员工工设设置置和和实实施施风风险险控控制制程程序序。。每每一一道道风风险险承承受受能能力力的的程程序序都都必必须须符符合合企企业业管管理理者者规规定定的的风风险险承承受受度度。。监测测商商业业风风险险管管理理程程序序实实施施效效果果：：监测测风风险险控控制制程程序序实实施施的的效效果果，，对对于于企企业业达达到到市市场场目目标标、、企企业业战战略略具具有有关关键键意意义义。。可可由由企企业业中中高高级级经经理理实实施施监监测测，，由由程程序序和和业业务务的的操操作作者者具具体体实实施施。。改善善商商业业风风险险管管理理程程序序（（见见下下页页））（接接上上页页））改改善善商商业业风风险险管管理理程程序序在实实施施风风险险管管理理过过程程中中，，不不断断完完善善风风险险管管理理程程序序。。通通过过监监测测确确定定在在管管理理过过程程中中出出现现的的不不足足，，以以及及商商业业环环境境变变化化而而需需要要相相应应地地调调整整风风险险管管理理程程序序。。采采用用这这种种不不断断更更新新、、不不断断完完善善的的思思想想是是极极为为重重要要的的。。在在电电子子化化企企业业中中，，在在电电子子商商务务的的过过程程中中，，应应用用信信息息技技术术所所产产生生的的风风险险就就是是一一种种商商业业风风险险。。所所以以，，应应该该把把这这种种当当作作商商业业风风险险的的一一部部分分来来进进行行评评估估。。采采用用一一种种综综合合的的方方案案来来进进行行风风险险管管理理，，就就是是要要领领导导者者识识别别上上面面所所述述的的企企业业应应用用信信息息技技术术时时产产生生新新的的商商业业风风险险。。并并将将这这种种风风险险与与整整体体商商业业风风险险结结合合起起来来考考虑虑。。建建立立一一个个适适合合本本企企业业的的风风险险管管理理程程序序。。例例如如：：一一个个公公司司的的程程序序如如下下·提提供供一一种种领领导导机机制制，，并并由由上上级级部部门门确确定定风风险险管管理理的的基基调调。。·为为整整体体风风险险管管理理进进行行资资源源配配置置。。·建建立立风风险险管管理理框框架架和和总总体体规规划划。。·确确定定目目标标限限度度及及个个人人责责任任。。·确确认认标标准准会会计计分分类类和和业业务务损损失失。。·建建立立风风险险度度量量系系统统和和早早期期预预警警指指示示。。·将将风风险险控控制制管管理理状状况况与与奖奖励励机机制制相相联联系系。。从以以上上可可以以看看出出这这个个公公司司不不仅仅具具备备一一套套整整体体性性的的风风险险管管理理方方案案，，而而且且还还掌掌握握了了风风险险管管理理中中具具有有关关键键作作用用的的因因素素，，包包括括：：高高素素质质的的领领导导才才能能、、个个人人责责任任。。标标准准的的界界定定以以及及业业绩绩的的监监测测等等。。借借助助于于预预警警程程序序和和高高级级经经理理部部门门的的参参与与，，信信诚诚公公司司将将这这种种商商业业风风险险管管理理推推广广到到业业务务运运行行的的各各个个层层次次，，确确保保了了整整个个公公司司内内部部信信用用的的连连贯贯性性。。如如图图所所示示：：新新商商业业风风险险管管理理程程序序。。（（见见下下页页））新商业风风险管理理程序图图解建立管理目的与目标、风险限度、风险承受水平商业风险评估、识别、探究、度量制定商业风险管理战略改善商业风险管理过程商业风险实施效果的监测制定/实施风险控制程序▪规避▪价格▪转嫁▪接受决策信息二、新商商业风险险管理框框架安达信公公司的提提供了一一个信息息技术风风险管理理框架，，可作为为电子化化企业引引入IT技术时时，制定定总体风风险管理理战略的的特殊结结构。风风险控制制程序既既有对经经济环境境的风险险普遍性性适用，，也适用用特定环环境下风风险的特特殊性。。例如，，电子商商务要求求交易双双方采用用CA认认证，这这是控制制风险的的普遍性性的要求求。对于于特殊的的风险控控制，可可以用软软件加密密，防止止密码泄泄露，电电子签名名等，从从而防止止未经授授权的接接入风险险。商业业风险控控制以信信息系统统做预防防性的控控制最为为有效。。当系统统设置好好后，要要比人工工控制的的效果要要好的多多。见下下图信息技术术风险管管理框架架图解硬件设施网络平台数据应用流程战略规划结构界定流程监测配置管理一、战略略规划企业电子子商务总总体战略略，应包包括信息息技术风风险管理理战略和和政策的的制定，，它应包包括企业业信息风风险管理理的内容容，应说说明战略略实施，，相关人人员责任任界定。。同时它它也是企企业商务务流程，，应用程程序设定定基础。。企业中中任何一一个标准准、方针针、方案案都在这这个基础础上设立立。这些些标准、、方针、、方案能能够详细细阐明某某一程序序如何运运行。例例如，系系统安全全问题，，有关政政策就可可以这样样规定：：所有的的用户都都必须经经过授权权，使用用用户身身份认证证和特定定密码。。这个规规定加上上一些具具体的细细则，来来保证企企业用户户在授权权下许可可进入系系统。风险管理理战略和和政策的的制定包包括如下下内容：：程序：1、企业知识识资产保保护程序序；2、、新技术术评估策策略；3、信息息技术相相关凤险险的评估估、管理理和监测测责任；；4、传传达信息息技术和和相关风风险，指指定共同同商业风风险语言言；应用：1、系统更新新生命周周期的标标准；2、设计计与购买买软件的的决策；；数据管理理：1、、数据所有有权；2、数据据库的设设计和管管理；3、专有有数据的的使用与与保护；；4、员员工、客客户及其其他人员员所拥有有数据使使用与保保护；平台：1、支持硬件件和软件件平台的的各项标标准；2、确定定平台规规划、设设计、支支持与保保险的责责任；网络：1、经授权的的卖方与与服务／／产品规规格；2、网络络规划、、设计支支持与保保险的责责任；实际设施施：1、、确定信息息处理地地点和设设备的所所有者责责任；2、电脑脑和业务务范围外外信息内内容的保保护；3、政策策的维护护与支持持；政策制定定还应包包括一些些保证政政策得到到落实的的一些程程序训练和培培养人才才程序对计算机机和网络络技术结结构进行行管理的的程序；；对应用系系统或技技术环境境变化进进行管理理的程序序；增加、改改变或删删除用户户进入系系统的程程序；利用辅助助平台等等支持用用户的程程序；制订和检检验业务务持续性性计划的的程序。。任何商业业风险，，如果是是系统中中的一个个或多个个层次时时，就必必须制定定相应的的策略主主动地采采取相应应程序进进行有效效的管理理。硬件设施网络平台数据应用流程战略规划结构界定流程监测配置管理二、系统统配置的的管理由于信息息技术的的不断发发展，新新技术不不断出现现，企业业要根据据需要，，不断升升级系统统程序，，采用最最新的信信息技术术集成到到现有流流程中，，以保证证企业战战略目标标和政策策的持续续性，这这样才能能确保相相关商务务风险的的控制。。统配置包包括如下下内容：：程序信息技术术风险预预警方案案新雇员在在信息技技术风险险中的地地位及职职责商业持续续性计划划和关键键业务流流程的退退出方案案应用新系统应应用中的的用户定定位程序序批准并实实施应用用系统转转变的权权利界定定数据管理理数据库改改革的程程序与责责任显示、训训练和维维持数据据存储与与数据开开发系统统事态监监测平台促使用户户转用标标准平台台的程序序文本控制制管理程程序和软软件更新新、分配配程序制定保持持和检测测复苏计计划的程程序进入控制制管理程程序与任任务网络网络结构构、运行行及安全全性管理理的程序序实际设施施信息技术术设备工工作地点点的安全全结构必要的能能源设施施和环境境控制设设施的安安置硬件设施网络平台数据应用流程战略规划结构界定流程监测配置管理三、流程程监测系系统动态监测测系统是是用来识识别企业业商务运运作过程程及网络络商业环环境中的的变化，，一些变变化可能能会逐渐渐破坏风风险控制制的有效效性。如如，企业业原有一一个系统统灾难恢恢复计划划，由于于商务的的运作，，商业数数据的增增加，一一年以后后可能就就不能按按原计划划在系统统中恢复复数据库库等。这这可能带带来巨大大的商业业风险。。这就需需要动态态监测系系统来监监测系统统状态，，保证能能及时性性调节系系统程序序。风险险管理动动态监测测系统如如下：程序对外部趋