“在未来十年的某个时候，你的企业将遭遇以一种前所未有的方式进行变革的挑战。”着名的战略管理大师加里·哈默曾在他的《The Future of Management》一书中发出过如此警告。在过去十年中，随着全球化的业务大集中、数据大集中趋势，信息化越来越渗透到企业运营的每一个环节和流程，成为公司内每项业务流程的支柱。与此同时，各家公司也日益依赖于信息系统的不间断运行，因此企业面临的信息化风险也越来越高。尤其是2009年以来，来势汹涌的金融危机浪潮使全球经济环境发生了剧烈变化，在经济动荡时期，很多企业经营状况举步维艰，更加无法承受信息化风险所带来的问题。因此，如何进行有效的信息化风险管理，是所有企业都必须直接面对的问题。

　　危机带来的风险管理

　　21世纪第二个十年开始的几年将是世界经济谋求复苏成功的关键时期。这个时期也正是很多企业通过引入信息化，借助信息化东风和信息技术实现跨越式发展的良好时机，毋庸置疑，信息化的引入将使企业面临一定的风险。经济危机所带来的挑战和风险，已经使众多企业苦不堪言，那么，为何还要硬闯信息化这座暗礁？

　　发展才是硬道理，危机时代更是如此。信息化对企业进行深度改造，引领企业发展走出危机时代的重围，企业何乐而不为呢？但在企业上信息化之前，确实需要更加理性地看待和分析企业信息化中的风险，并重新认识企业的风险管理这一关键问题。风险管理来源于危机时代，作为第一次世界大战的衍生产物，最早起源于美国1929—1933年卷入那场20世纪最严重的经济危机，美国约有40%左右的银行和企业破产，经济倒退了约20年。经济危机造成的损失促使管理者注意采取措施来消除、控制、处置风险，以减少风险给生产经营活动带来的影响，1931年，美国管理协会保险部首先提出了风险管理的概念。

　　风险管理在50年代得到推广并受到了普遍重视，美国企业界在这一时期发生的两件大事对风险管理的蓬勃发展更是起到了促进作用：其一为美国通用汽车公司的自动变速装置厂引发火灾，造成了巨额经济损失;其二为美国钢铁行业因团体人身保险福利问题诱发长达半年的工人罢工，给国民经济带来了难以估量的损失。这两件事发生以后，风险管理在企业界得以迅速推广。此后，美国企业为应对经营上的危机，许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目。可见，当时的风险管理主要依赖保险手段，而这一手段显然带有单纯的依赖“侥幸”的特征。

　　因为牵涉到机会成本(opportunity cost)，风险管理同时也要面对如何运用有效资源的难题。把资源用于风险管理可能会减少运用在其他具有潜在报酬之活动的资源;而理想的风险管理正是希望以最少的资源化解最大的危机。

　　当中国开始对风险管理进行研究时已经是上个世纪80年代，改革开放大门才刚刚打开，国企为主的单一企业形态便开始了对风险管理的注重。随后风险管理在中国获得了一定发展，一些学者将风险管理和安全系统工程理论引入中国，在少数企业试用中感觉比较满意。但是，目前中国大部分企业依然缺乏对风险管理的认识，也没有建立专门的风险管理机构。作为一门学科，目前风险管理学在中国仍旧处于起步阶段。也就是说，今天的大多数企业在经济危机中生存既没有建立完备的风险管理企业机制，也没有一个完善的中国化的风险管理理论可做支撑，这种“雪地里裸体舞蹈”的状态是极其危险的。我们希望本轮危机能够把中国企业带进一个完善的风险管理体系建设时期，在未来的十年里建立起中国企业的风险管理体系。

　　探索新的识别体系

　　当前，信息化与工业化融合成为以中国为代表的发展中国家实现现代化的必由之路。在我国政府全面实施信息化强国发展战略的背景下，企业信息化建设如火如荼。然而在这场信息化建设的大潮中，信息化建设的风险问题也逐渐显露。根据Standish Group对《财富》500强企业的信息化项目连续6年的调查，发现只有26%的信息化项目完全成功，而28%的项目则完全失败，其余46%的项目则超过了预算或工期。可见信息化项目是一项高风险的系统工程，要确保信息化建设的成功，就必须强化信息化建设的风险管理。

　　对于现代企业而言，风险管理是透过辨识、衡量(含预测)、监控、报告来管理风险。而风险识别是进行风险管理评估的基础和前提，也是风险管理的核心所在。风险识别就是将项目风险的因子要素归类并分层地查找出来，仔细分析考察企业信息化建设成败史，我们发现大多数风险因素具有共性原则。

　　观念和认识风险。在企业信息化建设中，一方面企业对信息化认识过于简单，将企业信息化等同于技术改造，认为企业信息化建设就是购买软、硬件、建网络或开发几个应用软件，结果大部分企业虽然建立起计算机与网络系统，但信息化效果却收效甚微。另一方面，企业认为信息化可以解决企业发展中的一切问题，树立“信息化神话论”，直接误导企业信息化建设。

　　投资风险。企业信息化建设是一项高投入的系统工程，从软、硬件到信息网络，再到系统平台与信息资源建设和维护都需要高额的投入。按理说，高投入就应该有高回报，但由于企业信息化建设投入与产出没有一个明确指标，使得企业信息化建设投资成为一个无底的“黑洞”。此外，相当一部分企业没有从本企业发展战略高度出发，制订出一个切实可行的企业信息化建设规划，致使企业信息化建设重复投资现象十分严重。

　　业务流程重组的风险。在信息化的过程中，自然要对企业的业务流程进行重组，成熟的系统、先进的业务流程模板值得借鉴。但是业务流程的重组牵涉到人员的变动、权力的重新分配、组织机构的改变，会触动某些人的既得利益，形成很大的阻力。没有充分的思想准备和物质准备，往往由于可能造成企业不愿或不能承担的损失，会迫使领导者半途止步，保留原有低效但运作平稳的流程。实施信息化系统不是一个简单的更新软件系统的事情，而是对企业的重新定位以及业务重组的事情，高层管理的实际支持与参与是根本保障。另外，不正视企业的特殊环境，以满足软件要求而进行业务流程重组，难免“削足适履”，因小失大。

　　管理风险。俗话说“三分技术，七分管理”。信息化引发的管理观念的转变体现在信息化系统实施过程对企业原有的管理思想的调整上。企业信息化的实质，应该是信息化项目的实施是企业提高管理水平的重要途径，信息化管理系统为企业提供人力资源、财务、销售、制造、分销和供应链管理等诸多方面的重要信息以及这些方面的智能化的决策支持服务。目前，许多企业投入大量资金却并没有提高效率，往往是专注于如何用软件实现现有的业务，其结果可能是“一叶障目”，没有把软件的实施真正同管理的改进结合起来。

　　人才风险。据国家信息化测评中心统计，我国信息化指数为38.46时，信息化人才资源指数仅为13.43。信息化人才匮乏是导致信息化项目实施失败的主要原因之一，尤其是专业性复合型人才的缺乏，致使企业很难真正开展企业信息化建设。