信息化系统权限管理风险

肖遥　经理

德勤深圳事务所企业风险管理服务

工业化通常被定义为工业或第二产业产值在国民生产总值中比重不断上升的过程，以及工业就业人数在总就业人数中比重不断上升的过程。

（一）工业化阶段理论

美国经济学家钱纳里将一国的工业经济发展分为准工业化阶段、工业化实现阶段和后工业化阶段三个阶段。

在准工业化阶段，农业等初级产品生产占统治地位，资本积累低速至中速增长，劳动力加速增长，全要素生产率缓慢增长，而经济增长速度较慢。在工业化实现阶段，初级产品生产份额大幅度下降，制造业份额和社会基础设施份额上升，成为经济增长的主导，服务业的份额几乎不变，资本在经济增长贡献中占主要地位，经济快速增长。在后工业化阶段，制造业在经济和就业中的比重下降，经济增长和就业主要依赖于服务业，资本和人口增长趋缓，全要素生产率（技术进步）成为经济增长的主要来源。

（二）我国工业化发展阶段

中国自“十二五”起，开始逐步进入后工业化阶段，图1展示了2010-2014年我国三大产业在GDP中的占比，其中第一产业占全国GDP比重趋于平稳状态，第二产业占全国GDP比重逐年减少，第三产业占全国GDP比重逐年增加。

图1　2010-2014年我国三大产业在GDP中的占比

数据来源：国家统计局。

（三）后工业化发展阶段的潜在风险

1.产能过剩风险

产能过剩风险是指在计划期内，企业参与生产的全部固定资产在既定的组织技术条件下，所能生产的产品数量，或者能够处理的原材料数量超出市场消费能力的风险。

产能过剩风险产生的原因主要是投资主导型的经济增长模式使得供给能力的提升与消费能力增长失衡以及全球经济衰退、复苏缓慢导致资源需求增长减弱。产能过剩会导致物价总水平明显下降，形成通缩压力，增加宏观经济的不确定性；产能过剩会导致企业投资收益下降，消费预期降低，企业实际持有资产缩水，从而产生企业债务危机。

2.工业经济增长失速风险

工业经济增长失速风险是指工业增速不断下滑的风险。

工业经济增长失速风险产生的原因主要是工业增长动力，即技术进步、产业机构升级带来的供给动力和城市发展而产生的需求动力不足或趋弱。一旦经济增速下滑出可以接受的底线，就会造成大量失业，甚至诱发经济危机。

3.需求结构失衡风险

需求结构失衡风险是指内需与外需、投资与消费、政府消费与居民消费失衡的风险。需求结构失衡会导致产业结构转型升级难以实现，环境与资源问题依然突出，科技创新能力得不到有效提升，工业发展方式不能转变，最终影响到工业的协调可持续发展。

信息化是指培养、发展以计算机为主的智能化工具为代表的新生产力，并使之造福于社会的历史过程。企业信息化是国民经济信息化的基础，指企业在产品的设计、开发、生产、管理、经营等多个环节中广泛利用信息技术，通过信息系统自动控制，减少手工操作风险，提升运营效率，并大力培养信息人才，完善信息服务，加速建设企业信息系统。

（一）企业信息化的价值

（1）实现信息的高效流通。企业通过实施信息化，可以建立起一个贯穿企业内部各个部门和员工的信息通道，消除了信息传播壁垒，提高了信息沟通的效率。

（2）提高工作效率。企业通过建立公文、表单自动流转信息系统，避免了传统公文流转时由于手工递送而带来的工作延误以及人员、时间的浪费，保证了工作能够快捷、准确地被处理。

（3）实现有效管理及资源共享。企业管理层可以通过信息系统，实现实时工作任务的监督与催办；共享信息资源，为管理层提供决策依据，为员工提供经验技术支持。

（4）降低企业运营成本。企业通过实施信息化，实现在线办公，节约了时间、纸张、通信、差旅等办公开支。

（二）企业信息化风险

信息化风险是指企业实施信息化所带来的风险。企业在实施信息化的进程中，一方面，要配备先进的设备设施以及安全的防护措施等“硬件条件”；另一方面，还需要员工能力、高层管理能力等“软件条件”以确保企业信息化进程的顺利实施。按照阻碍信息化成功的主要因素，我们将信息化风险分为信息系统风险、信息化人力资源风险和信息化战略风险三种。

1.信息系统风险

信息系统风险是指企业所依赖的信息管理系统本身存在缺陷，导致系统不能正常运行所造成的损失，又分为系统缺陷风险和系统安全风险。

系统缺陷风险存在于信息的输入、处理和输出过程中，系统缺陷使得信息的处理结果失真，从而影响企业决策。因此，在系统设计之前，必须充分了解企业流程运作以及管理层决策所需的数据信息，以确保在构建信息系统时数据处理流转程序的顺畅以及数据输出的真实准确性。

系统安全风险主要表现为信息系统接入互联网时，遭受攻击或破坏，从而使得企业经营资料泄露或是影响企业正常运营。在系统安全中，用户识别和数据加密是核心。需要采用用户登录密码实现不相容职责分离，通过密码复杂程度的要求实现账户不被轻易盗用，同时对数据资料进行加密以保证数据资料不被非法访问。

2.信息化人力资源风险

信息化建设需要专业团队来完成并实现，对这类人才的要求是要同时懂业务、懂管理、懂信息技术。目前导致企业信息化进程实施失败的主要原因之一便是缺少专业化复合型人才。一方面，作为信息化主导之一的软件厂商缺少信息化管理的咨询专家，不了解企业的流程运作，无法准确地评估并了解企业的管理需求，开发适用于企业管理的系统；另一方面，作为信息化实施主体的企业，人才匮乏不仅影响了当前信息化实施的进程，长远来看，由于信息系统管理人员的缺失，进而导致企业信息化缺乏内动力，无法正常、高效地运行下去。

3.信息化战略风险

在由传统管理企业向信息企业转变的过程中，企业缺乏整体的信息应用规划，特别是符合企业发展战略和管理现状的，与企业资源适度配合的整体规划。这样在企业信息化整体应用的推进过程中，势必会造成资源分散、信息孤岛林立，最终难以发挥系统的整体效益。

（三）企业信息化风险成因分析

企业信息化被认为是推动企业创新、增强企业核心竞争力的重要手段，然而企业信息化不可避免地会面临风险，这些风险主要是出于以下几点原因：

（1）认为企业信息化只是信息技术部门的工作，导致信息技术部门在实施信息化时，无法与企业其他部门有效沟通，获得企业实际的信息化需求，从而形成信息孤岛。

（2）重视安全技术，忽略安全管理，导致信息安全管理仅仅停留在靠软件防护的阶段，却忽略了密钥管理、权限限制等安全管理内容。

（3）企业缺乏信息化知识，缺乏完整的信息化建设和安全管理概念，导致企业高层无法做出正确的企业信息化战略决策，企业员工在企业信息化过程中无法充分利用信息化成果来提升工作效率。

为减少、规避信息化带来的风险，应在信息化设计阶段就引入风险管理理念，构建全面风险管理体系，制定企业的风险管理战略，建设企业风险管理的架构，明确风险管理组织的结构及职能，完善优化内控流程体系，从而使企业建立起全面风险管理的长效机制，从根本上提升风险管理的效率和效果，才能保证信息化进程中的风险得到有效化解。