新商业风险管理信息技术对企业商务的影响随着网络经济的发展,电子商务的应用,越来越多的公司应用信息技术,并将它们整合到日常的商务流程中去,使信息技术对整个的公司的发展起重要的作用。信息技术对企业商务重要的影响有如下几点:企业的发展战略、战术决策;企业产品和服务的设计;企业成本管理;企业员工的雇用、技能的培养;企业文化、信息的共享;企业的客户服务;企业供应商与合作伙伴的供应链管理;信息技术带来新商业风险企业在投资和应用信息技术的过程中,除了得到效益外,也产生了新的商业风险。所以企业都必须注意投资和应用信息技术时的风险管理。例如,电子商务交易过程中,可以从电子数据交换系统(EDI)、电子资金调拨系统(EFT)、销售点系统(POS)等系统中获得商业上的各种数据,对这些数据的分析可获得市场分布、人口地理学、产品分销、资金结算等等资料,这些资料都是企业战略制定和业务管理的关键。如果这些电子商务系统出现障碍,即使是POS系统或超市的条码扫描系统出现故障,也会使企业的战略实施和业务管理难以进行,给企业商务带来不良的后果。这就是一种网络经济中出现的新的风险——信息技术的商业风险。新商业风险管理的基本内容管理知识:提高企业内部对信息技术风险管理的意识;掌握新商业风险管理知识。管理方案:从整个行业出发来分析企业风险,形成风险管理方案;商务整合:将企业商务战略与信息技术战略整合在一起,形成企业的整体战略,这对信息技术风险管理的成功是非常关键的。如果没有进行商务整合,那么,要确认业务程序与信息技术使用中所产生的业务风险之间的联系将会很困难。必须把信息技术风险看成商业风险就必须进行商务整合。将商业风险管理扩展到企业各个部门内,从而促使所有的雇员对风险管理负责并了解无效技术管理的危害。所以,商务整合对进行完整的、综合的风险管理框架起着重要作用,包括了信息技术相关风险的分析和传统意义上的业务风险的分析;测量评估:对信息技术的作用进行测量,评估。信息技术对核心业务的影响不断增强,信息技术在当今的商业核心业务中处于关键地位;要对信息技术在企业流程中的作用进行必要测量。风险转移:在企业接受现有水平的风险;调整产品和服务的价格以补偿风险损失;进行风险转移,例如:购买保险之前应具备一套适当的、正式的程序来识别和探究信息技术相关风险来源;通过制定和实施风险管理程序,将风险降低到可以承受的水平。重点管理:把握特定类型的新商业风险的管理。主要有以下三种类型:综合性风险:指数据未经批准使用或不完整或不准确而变得不可靠所造成的风险。获得性风险:指不能及时获得所需信息而导致的风险。相关性风险:指无论是自身建立的信息还是由应用系统总结出的信息,都不适用或者不及时而带来的风险。网络安全管理:网络安全也构成新商业风险,例如,通过网络侵入企业系统的计算机“黑客”和计算机病毒,会破坏客户服务系统或导致信息失真甚至全部丢失。分配计算(借助于客户/服务网络进行的信息管理)使信息可以在一定范围内传播。但是,分配计算也给企业安全性带来了风险。一般在同一条网络上的信息所有者并非只有一个。一些信息对企业相当敏感,所以对客户/服务环境的有效管理就显得很重要。新商业风险主要类型完整性凤险这种风险大多来自应用系统,应用系统可对商业数据的输入、处理、归纳和贮存等。当系统障碍时,就可能造成数据未经授权被使用或数据不完整、不准确而造成风险。接入风险接入网络时,数据或信息存取不当而导致风险。这种风险来自网络和电子商务的不断发展。由于黑客和电子欺诈行为的存在,人们要保护自己的系统免受侵扰。人们就必须设法保护电话线路、网络缆线和计算机,以便尽力对数据和信息进行保密。存取风险可能由于不合理的责任分工造成的风险,如,未经授权的人进入数据库带来了风险,或违反信息保密性法律规则引起的相关风险。基础设施风险指企业不具备完整的信息技术基础设施而造成的风险。这种基础设施是指能够以低成本、高效率的方式,构建信息技术的商业应用模式,它包括信息技术基础。信息技术基础设施主要包括以下几部分:硬件;网络;软件;人员;程序。系统的完整性是要保证定义、开发、维护和运作处理信息环境和应用系统正常运作所必备。所以它对商业运作产生的影响最大,存在风险也最大。获得性风险:这是指企业在获得数据时的风险,如破坏者们经常利用邮件轰炸来阻碍服务,或者对服务系统提出虚假请求,这给提供服务带风险。金融服务业是典型的依赖于准确、及时信息而运作的行业。在这方面的风险较大。所以企业要有一个有效的方式来管理价格风险、流动性风险和信用风险,必须具备特定的系统。这种系统要使需求者对所需信息实时可用、随时可得,并能进行评价。一、完整性凤险(Integrityrisk)完整性凤险大多来自应用系统,应用系统可对商业数据的输入、处理、归纳和贮存等。当系统障碍时,就可能造成数据未经授权被使用或数据不完整、不准确而造成风险。它主要在系统以下部分表现出来:用户界面(Userinterface):必须给予正确的设定,有足够的限定,以确保只有有效的数据才能进入系统,并且这些数据是完整的。处理(Processing):使系统有能力控制处理各种数据,以确保数据的处理完整性和及时性。病毒使系统对数据处理的完整性造成特别威胁。这类威胁能对关键业务程序造成巨大的冲击。对错误处理(ErrorProcessing):系统应用适当的程序和其他系统方法来确保任何进入系统的数据都受到检测,并已作了修正。可以准确地、完整地和及时地处理错误数据。对错误数据的检测在金融业显得十分重要。界面(Interface):应有系统预警显示,以确保各种数据的准确完整地传输。变化处理(ChangeManagement):对变化有处理能力的流程,通过这些流程,应用系统的任何改变均能传输并予以实行。数据(Data):数据管理和控制,既包括处理数据的安全和完整,也包括对数据库和数据结构的有效管理。数据的完整性可能会因为程序错误引起,如对数据用不正确的程序来处理;或发生管理程序错误。二、接入风险(Accessrisk)接入风险是指接入网络时,数据或信息存取不当而导致风险。这种风险来自网络和电子商务的不断发展。由于黑客和电子欺诈行为的存在,人们要保护自己的系统免受侵扰。人们就必须设法保护电话线路、网络缆线和计算机,以便尽力对数据和信息进行保密。存取风险可能由于不合理的责任分工造成的风险,如,未经授权的人进入数据库带来了风险,或违反信息保密性法律规则引起的相关风险。业务流程(BusinessProcess):企业确定某一业务流程和流程运作方式。应用软件(Application):采用相应的应用软件,给用户提供完成工作所需要的安全的接入方式。并限制对安全有破坏的接入,如欺骗行为,避免由于员工接触过多的信息导致对数据意外或无意的改动。数据和数据管理(Dataandmanagement):为用户提供接入特殊数据或数据库通路的网络环境。流程的环境(Processingenvironment):一般指不恰当地进人主计算机业务流程处理环境和获取该环境中储存的程序和数据。网络(Network):接入网络联系用户和流程环境。接入风险是由于不恰当地进入网络本身的风险所导致的。硬件设备(Physical):保护设备不受破坏、偷窃或不恰当地接触。三、基础设施风险(infrastructurerisk)基础设施风险指企业不具备完整的信息技术基础设施而造成的风险。信息技术基础设施主要包括以下几部分:硬件;网络;软件;人员;程序。系统的完整性是要保证定义、开发、维护和运作处理信息环境和应用系统正常运作所必备。所以它对商业运作产生的影响最大,存在风险也最大。基础设施风险有下列内容:组织计划(OrganisationPlanning):基础设施对在商业流程中所采用的信息技术进行清楚地界定和阐述,确保企业经理层对信息技术的应用计划有足够的支持,并有充足的人才和流程计划,以确保系统实施的成功。应用系统的定义和开发(Applicationsystemsdefinitionanddeployment):基础设施要保证应用系统满足业务和用户的需要。就必须决定购买整个应用系统解决方案,还是按用客需求开发新的解决方案。应确保应用系统的所有变动应遵守一定的结构,以确保与关键控制点保持连续性和一致性。例如,典型的结构要求所有变化必须在事前被用户所验证和通过。逻辑安全和安全管理(Logicalsecurityandsecurityadministration):基础设施应确保企业足以应付接入风险。要建立、维护和监督内部安全综合系统,该系统在数据和信息的完整性和保密性方面要符合管理层的政策。计算机和网络操作(Computerandnetworkoperations):基础设施应确保信息系统和相关的网络环境是在管理层的政策下,在安全和受保护的环境下运作。计算机操作人员对信息处理的责任,应该是被明确界定、衡量和监督。通常计算机技术人员作出的主动性行为,也可衡量与监视计算机和网络运行,确保系统为用户提供满意的、持续的支持。数据和数据管理(Dataanddatabasemanagement):基础设施应确保那些用于支持应用系统和终端报告所需要的数据和数据库,既有相互的内部统一性,又有定义的连贯性,可满足企业商务需要和减少潜在的闲置。核心业务数据恢复(Businessdatacenterrecovery):基础设施应确保企业中各种核心业务数据的灾难性恢复,以确保商业计划的充分实施,保证满足用户在需要时可得到相关和技术支持。四、获得性风险(Availabilityrisk)获得性风险是指企业在获得数据时的风险,如破坏者们经常利用邮件轰炸来阻碍服务,或者对服务系统提出虚假请求,这给网络用户提供服务带来了一种危险。金融服务业是典型的依赖于准确、及时信息而运作的行业。在这方面的风险较大。所以企业要有一个有效的方式来管理价格风险、流动性风险和信用风险,必须具备特定的系统。这种系统要使需求者对所需信息实时可用、随时可得,并能进行评价。这种系统应当严格控制数据,防止未经授权的存取改变数据。获得性风险表现在如下三个方面:通过事先对行为的监督和对系统问题的解决,都能够避免此类的风险。如,硬盘的存储能力对信息系统来说是很重要的,这可以不断地予以监督确保它足以支持企业商务流程的运作。获得性风险与系统的短期中断有关联。对此可运用备份和恢复技术使中断影响的范围最小化。如,大多数企业已经认识到每天至少一次对关键数据进行备份的重要性。这样在处理过程中丢失数据的影响能被控制在上一个备份以后的数据投入的范围内。获得性风险与信息处理过程长时间中断有关联,其重点是诸如备份与应急计划等控制手段。五、其他与商务相关的风险(Otherbusinessrisks)信息策略与商务策略整合后,还产生了一些与此相关的风险,这也是作为风险管理应加以注意的部分,因为它们可能对企业商务产生不利的影响。正确性风险(Validityrisk)企业应用系统建立必须合适本企业状况,这种风险包括决策过程中所需信息是否正确性的风险,除此之外还直接涉及到经营运行过程中的信息的正确性风险,如,企业员工不能及时性获得所需要的正确信息的风险。正确性风险问题对金融服务业也及为重要,例如,银行机构通过实时系统运用利息率和风险报告等工具来监控它们的利率波动的风险。如果时间不准确,那么,这些工具所提供的信息就毫无用处。另外信息技术系统提供的管理方面的数据报告,如果不准确,可能导致领导者的决策失误。效率风险(Efficiencyrisk)对应用程序的选择应有效率性。可能有一些程序不能满足客户的需求。如果把技术引人到商务流程中去,而又不能产生出效率,就没有意义。所以规划应考虑到效率的风险。企业系统基础设施应包括商业策略保持一致的信息技术策略,对信息技术策略与商业策略的整合应很明确,以实现管理层的商业目标。周期性风险(Cycletimerisk)这是指商务活动的周期性,如