信息化项目的风险及其控制

第１１章

信息化项目的风险及其控制

第一页，共二十八页。风险：指预期结果偏离期望值的可能性。风险管理四步骤：风险识别、风险分析、制定对策和风险监控。风险对策：指制定应对风险的程序和方法。●规避。●转移。●弱化。●接受。风险监控常用的方法有：●风险审计●偏差分析●技术指标节比较第二页，共二十八页。１１.１信息化项目的风险

据统计，我国企业信息化实施成功的比例为15％，没有实现系统集成或部分实现系统集成的比例为35％，实施失败的比例为50％。根据美国史坦迪公司的调查数据，企业信息化的成功率为26％。不成功的因素包括：“撤项”、“降低项目目标”、“资金超出预算(平均超178％)”、“项目周期无限拖长(平均超230％)”。由于国内后两项通常不判定为失败，因此按国内标准美国信息化的成功率为60％左右。因此，企业实施信息化工程存在着较大风险。主要风险有：第三页，共二十八页。1．财务风险信息化项目投资少则上百万，多则数千万，包括ERP软件费、网络硬件费、实施服务费(费用比大致为1：2：3)。如果企业信息化实施失败，会带来较大财务损失。第四页，共二十八页。2．实施风险实施风险包括ERP软件选型、实施服务商选择、实施进度控制、实施成本控制等方面。上述企业信息化实施工作不当，轻则增加成本、延长进程，重则导致企业信息化实施失败。第五页，共二十八页。3．业务风险业务风险包括业务量增加、业务流程混乱、业务数据混乱、业务处理错误等方面。业务风险常发生在新系统上线初期，不仅影响企业业务工作的开展，导致企业业务损失，而且会增加企业信息化实施工作的成本和进程。第六页，共二十八页。4．管理风险管理风险包括组织结构不合理、管理思想混乱、管理职能虚化、员工凝聚力下降等方面。管理风险存在于企业信息化实施工作的全过程，轻则增加成本、延长进程，重则导致企业信息化实施失败。第七页，共二十八页。5．环境风险环境风险包括系统安全风险、关联方业务合作风险等。企业信息化不仅是对企业内部的一场革命，而且会影响到外部与企业业务相关的方方面面。从某种意义上讲，一个企业的信息化与社会信息化相辅相成。第八页，共二十八页。11.2信息化项目风险的控制

导致企业信息化失败的原因很多，常见因素有：项目定位不合理；软件选型与实施咨询商选择不当、实施方案不科学；企业领导不重视、项目组成员组成不科学、缺乏有效的制度规范和激励机制；企业缺乏信息化项目管理的知识、方法；基础数据混乱等等。以下经验是从大多数成功企业中总结出来的。第九页，共二十八页。1．清晰准确的项目目标

企业要结合自身内外部的实际情况和企业的发展战略制定出清晰准确的项目目标。对于计算机应用基础薄弱的中小企业必须坚持效益优先，不能盲目追求“高大全”。企业实施信息化不能简单地把ERP理解为现有业务流程的电子化。信息化首先是一场管理变革，借助外脑如专业咨询机构参与项目目标的评估与制定。第十页，共二十八页。

2．强有力的项目团队

企业信息化绝对不能单纯依靠IT部门，应成立项目领导小组、项目实施小组和项目关键用户三级项目组织。尤其是项目实施小组成员应业务经验丰富、IT素质高、富有创新思维，并赋予其部门业务与流程改造的权利。要注意三级项目组织之间的工作联结。对项目的实施应实行规范的项目管理与业绩考核制度。第十一页，共二十八页。

3．变革管理体制

要按照整体流程最优的原则，结合企业的实际情况，对企业的组织结构、业务流程、管理模式进行改造。4．实行项目监理制度

项目监理作为建设方授权的代表，对项目实施发挥监督、控制、协调和建议作用，确保项目实施质量、进度和成本三个方面的控制目标。建设方通过引入项目监理，监督和指导承建方与建设方密切配合并确保项目业务需求的完整性，整体解决方案的先进性、合理性和实用性。项目监理在项目实施过程中，同时扮演参谋和顾问角色。第十二页，共二十八页。

5.改造企业IT部门

企业信息化环境下的IT部门已不再是单纯的系统维护部门，根据企业及其信息化规模的大小，可按以下两种模式改造企业IT部门：(1)初级模式。把ERP项目组成员部分地纳入IT部门，成立企业专门的ERP／BPR团队，直接参与项目的需求分析、流程优化、系统开发工作，逐渐积累经验，减少对外部顾问的依赖。(2)高级模式。将企业IT部门独立出来，不仅为本企业提供企业化服务，同时也为外部客户提供服务，变成本中心为利润中心。第十三页，共二十八页。6．实施企业信息化要循序渐进

实施企业信息化是一项系统工程，涉及资金、技术、管理、人员、环境等各个方。要实现企业基础管理的规范化，尤其是基础数据的规范。要不断提高各级管理人员和全体员工的IT素质。要注意流程和机构改造对项目实施的影响。企业信息化要遵循全面规划、分步实施的原则。第十四页，共二十八页。三\

ERP实施风险

一般认为企业信息化过程中存在着两方面的风险。第一是企业外部风险，即企业赖以存在的外部环境条件所引起的风险，也称环境风险。企业必须适应外部环境，企业的运作必须符合法律法规、文化道德、地理位置等方面的要求。同样，企业信息化的程度，即信息化的深度和广度，和信息系统本身，也必须适应企业外部环境的要求，才能产生应有的效果和效益，风险最小。

第十五页，共二十八页。第二是企业内部风险，即在企业经营管理上存在的风险，也称管理风险。主要有企业文化、组织结构、计划决策、控制、人事等，也包括营运风险、授权风险、信息技术风险、财务风险等。第十六页，共二十八页。综合国内外企业ERP项目的实施情况，可将阻碍ERP项目成功的因素归结为以下十大风险：对变革的抵抗（Resistancetochange）；领导支持不足（InadequateSponsorship）；变革原因说不清（Caseforchangenotcompelling）、不实际的期待（UnrealisticExpectatios）、项目管理不强（PoorProjectManagement）、项目队伍技能不足（Projectteamlackskills）、范围失去控制（ScopeExpansion/Uncertainty）、缺乏变革管理策划（NoChangeManagementProgram）、没有以流程为本（NotHorizontalProcessView）、以及信息要领脱节（ITPerspectiveNotIntergrated）等。第十七页，共二十八页。所面临的新问题

主要内容

改善第十八页，共二十八页。一、E时代会计信息系统

内部控制的所面临的新问题1、错误的系统性、反复性发生。

在手工系统中，发生差错往往是个别现象，且由于不相容职责的相互分离，数据处理缓解分散于多个部门、由多个人员完成，一个部门或人员的差错往往可以在下一个环节中发现和改正。在E时代会计信息系统中，①计算机系统处理的集中化，加之计算机运算的高速性；②会计人员对计算机专业知识所知甚少，很难及时发现这些漏洞。

第十九页，共二十八页。一、E时代会计信息系统

内部控制的所面临的新问题2、数据的安全性受到威胁网络下的会计信息系统很有可能遭受非法访问甚至黑客或病毒的侵扰；对工作环境的要求较高；处理和存储的集中化；原始凭证数字化，易于伪造，甚至伪造而不留任何痕迹。

第二十页，共二十八页。一、E时代会计信息系统

内部控制的所面临的新问题3、程序被非法调用篡改

计算机程序不能满足用户的需要；操作人员利用工作之便篡改程序达到非法目的的事件一直屡见不鲜

第二十一页，共二十八页。一、E时代会计信息系统

内部控制的所面临的新问题4、会计业务缺乏有效控制

丧失了人类所具有的对不合逻辑、不合理的及例外事项的判断和处理能力

；可视审计线索减少；不能像手工方式那样相互牵制，成为内控隐患。

第二十二页，共二十八页。总之，计算机会计信息系统中的风险有其特殊性，加强其内部控制的建设，比之手工系统更为迫切。并且国内外的事实说明，虽然计算机系统中出现错误和舞弊的次数有所减少，但其每次所造成的损失程度有所增加。如美国的一项研究表明：一般的银行舞弊案，每次造成的损失为10.4万美元，而计算机系统的银行舞弊案的平均损失为61.7万美元，计算机系统的每次舞弊案的平均损失是一般手工系统的6倍以上。第二十三页，共二十八页。二、E时代会计信息系统

内部控制的主要内容

一般控制：任何电算化会计信息系统普遍适用、为系统的安全可靠而对系统构成要素（人、硬件、软件）及环境实施的控制

应用控制：对会计电算化系统中具体的数据处理活动所进行的控制。第二十四页，共二十八页。（一）一般控制组织与管理控制

系统开发和操作控制

系统软件控制

数据和程序控制

网络的安全控制

第二十五页，共二十八页。（二）应用控制输入控制

计算机处理与数据文件控制

输出控制

第二十六页，共二十八页。三、E时代会计信息系统

内部控制的改善

网27公证由三方牵制的形成

在线测试的实现使软件内部可能存在的漏洞能够得到及时解决

第二十七页，共二十八页。内容总结第１１章

信息化项目的风险及其控制。第１１章

信息化项目的风险及其控制。１１.１信息化项