APP下载

高职院校信息化建设项目风险分析
——以广西卫生职业技术学院为例

2016-06-23劳甄妮

高教论坛 2016年6期
关键词:风险管理

劳甄妮

(广西卫生职业技术学院,广西 南宁 530021)

高职院校信息化建设项目风险分析
——以广西卫生职业技术学院为例

劳甄妮

(广西卫生职业技术学院,广西南宁530021)

摘要:以广西卫生职业技术学院信息化项目现状分析为基础,在了解广西卫生职业技术学院信息化项目的现状和主要内容及特点后,找出高校信息化建设项目目前所存在的问题,运用高校信息化项目的风险管理方法,对高职院校信息化项目进行风险识别与风险评估,找出信息化项目的风险类型及各风险重要程度。

关键词:广西卫生职业技术学院;信息化项目;风险管理

校园信息化是一项周期长、过程复杂的系统工程,在校园信息化建设的过程中使用了大量的校园内部和外部资源,校内资源的分配及使用不当,信息化过程控制不力,都会导致风险的产生,并影响信息化建设的最终结果。信息化建设中的风险可能使信息化建设被拖延,会导致信息化建设质量低劣,项目预算未能有效使用或超支,最终不能有效地支撑信息化项目的建设,无法实现预期的目标,甚至导致失败。大量的数据和案例表明,对学校信息化的风险进行治理是非常必要的。

广西卫生职业技术学院对项目风险进行管理的前提是对风险充分识别。学院信息化是一个非常复杂的项目,其项目规模大、投入资金多,建设周期长,并且管理也具有特殊性。由于信息化建设中造成风险的因素错综复杂,所以我们需要对这些风险产生的根源、背景、特点和产生的影响进行细致的研究识别。

一、校园信息化项目风险的含义

风险是一种可能与利益相背离,可能影响组织目标完成的一种不确定性。风险大致有两种含义,一种是行为结果的不确定性,另一种是损失的不确定性。狭义的风险是指没有可能从中获利的风险,只能表现出损失,而广义的风险,其结果有可能是获益的,也有可能是损失或者无获利。风险的定义告诉我们,要站在更广泛的角度来认识广西卫生职业技术学院信息化的风险和管理,所以我们将信息化风险定义为信息化实施活动偏离目标的一系列活动过程。

二、广西卫生职业技术学院信息化项目风险的性质和特点

1.广西卫生职业技术学院信息化项目的性质

高校与企业单位最大的不同之处是,企业对日常经营管理自负盈亏,而学校则不是。校园信息化建设是在校园范围内进行信息交流和协同工作的计算机信息系统。我们说的广西卫生职业技术学院信息化建设是针对学校内部的网络,它有自己的特点及规律,为的是给学生提供学习平台,为学校的教育教学实现资源共享、信息交流、网上辅助教学及各部门信息交互等功能,是非赢利的信息系统,而企业网的服务对象有可能是社会大众且以赢利为目的。

2.广西卫生职业技术学院信息化项目风险特点

广西卫生职业技术学院信息化项目的特点和性质,决定了它具有与其他项目不同的风险特点。

(1)风险复杂性

广西卫生职业技术学院的信息化系统涉及到两个校区以及教学教务、财务部门、学工处等各个相关部门,涉及到的职能部门数量很多,涉及到的人员的信息化技术知识水平也大相径庭,出现的问题也错综复杂,学院信息化项目的风险管理不仅工作量大,而且风险复杂多样,难以掌控。

(2)风险多变性

广西卫生职业技术学院信息化建设的系统数据库经常需要大更新,在招生就业、学籍管理等各项工作中工作量很大,在招生就业、学籍管理为代表的网络办公平台中数据容量要求就会较高,信息采集、处理过程复杂,需求联动变动较大,要求信息系统协同性好。

(3)风险突发性

广西卫生职业技术学院信息化项目的建设涉及面较广,影响风险发生的因素较多,多种风险因素还可能相互影响,最终导致风险发生。高校信息化项目的风险因素中,有因为两校区相距较远的因素,有校内人员使用不当的因素,也有外部各种突发状况例如服务器遭受病毒攻击等因素,这些因素的存在都可能导致风险随即发生,使得信息化项目的风险具有突发性。

三、广西卫生职业技术学院信息化项目的风险识别

1.广西卫生职业技术学院风险识别方法

项目风险识别是项目风险管理过程的第一步,是项目后续步骤正常进行的基础和保证。人们只有在准确认识了项目自身所面临的可能造成影响的各类风险的前提下,才能够主动、预先选取好风险管理应对措施。由于风险具有可变性,所以风险管理是一个持续的、不断调整的过程。一方面可以依靠个人主观判定和相关经验来判断,一方面可以通过掌握的历史资料以及必要时的专家打分方法来分析各种明显的和潜在的风险因素。识别风险的常用方法包括:

(1)头脑风暴法

头脑风暴法又称为BS法、自由思考法,它是管理上为了提高决策质量、改善群体决策的较为典型的方法之一,一般组织5-10个人,多为不同类型或不同岗位的人组成,由一名主持人只负责组织会议,不对与会人员言论进行评判,采用集体自由发言的方式,鼓励与会人员目标集中,独立思考,畅所欲言,相互启发和激励,但禁止恶意评论和干扰,其目的在于产生新观念和鼓励创新。

(2)德尔菲法

德尔菲法又称为专家调查法,是指依照预定的系统程序,向目标专家群里的各个专家分别采用信函等方式匿名征求专家意见的方式,即只允许调查人员和各个专家之间产生接触,而不允许各个专家之间产生横向的交流。最后通过多轮次往来反复征询、修改、归纳专家意见,最后汇总成所有不同专家之间共同保持基本一致的看法意见。

(3)核对表法

核对表是项目主体根据自身曾经经历过的类似项目建设工作,或者是常见的风险事件及其对应的风险要素、风险来源做成一张覆盖全面的风险要素核对表,其中考虑到的风险要素包括项目的外部因素、内部因素等。项目管理者对照核对表对本项目的潜在风险进行比对分析,这种方法的主要特点是很全面,可以识别其他方法不能发现的某些风险。

2.广西卫生职业技术学院信息化项目风险的识别过程

我们结合广西卫生职业技术学院信息化项目的自身特点,由信息化项目领导小组进行组织,包括信息中心主任、审计处长、财务处长及监理人员在内的评分小组,对广西卫生职业技术学院校园网项目信息化建设运用项目风险识别方法对该项目的风险进行识别,具体识别过程主要分为三个步骤如下所示:

第一步:运用核对表法,明确主要常见风险。根据广西卫生职业技术学院信息化项目的内、外部环境,项目管理者将所有风险要素和风险事件进行归集和整理,通过分析明确常见风险和潜在风险。

第二步:运用头脑风暴法,进一步发掘风险。广西卫生职业技术学院信息化项目管理者召集审计处长、财务处长、信息科成员及招标采购小组成员,邀请教师、学生以及其他信息化项目受用者,运用头脑风暴法,对信息化项目开展过程中所存在的风险漏洞进行发散思考,各抒己见,在第一步的基础上进一步找出各类风险,综合第一步形成一份更加完整的风险清单。

第三步:运用德尔菲法确认风险清单。将通过核对表法和头脑风暴法后列出的风险清单发至目标专家,再将各个专家的意见汇总,对原先的风险清单进行整理和补充,为风险评估做好准备。

3.广西卫生职业技术学院信息化项目风险类型

经过上述的风险识别过程,我们将广西卫生职业技术学院信息化项目分为四大类:决策风险、人力资源风险、技术风险、开发风险,表1是经过风险识别后分类整理形成的高校信息化项目常见风险清单。

表1 高校信息化项目常见风险清单

(1)决策风险

①规划风险

在广西卫生职业技术学院信息化项目建设过程中,大多数子项目的建设由信息中心主要负责,学院由于刚成立,事务繁多,所以领导对信息化项目建设缺乏应有的重视和领导,这就容易导致学校各部门重复购买软硬件,分散建设,设备利用率低等问题,不同部门之间对软件的投入也呈分散状态,各个部门的软件信息系统无法进行联通和统一,例如财务软件、排课软件、学籍管理软件就没有和学校的办公系统很好地融合,产生了漏洞和缺口,同时由于缺乏专业的技术维护,这些系统都面临更大的风险。

②决策风险

由于广西卫生职业技术学院各部门都是新成立或重组而成,所以在信息化建设过程中协作水平较低,没有一个部门具有相关的管理权限和战略决策能力,将所有的部门统一协调起来。大多数高校将信息中心设置为信息化建设的关键部门,信息中心无法胜任这个重要的职位,因此,没有一个领导部门,形成一个统一规划和机制,就无法划清各部门的任务和责任,也无法让各部门实现资源共享,协调沟通,化解团队建设中的冲突与矛盾,降低成本。

(2)人力资源风险

①人员素质风险

广西卫生职业技术学院从事信息化建设的工作人员结构、组织协调能力以及专业技术水平,直接影响着信息化建设项目的规划、实施以及维护。在信息化项目完工之后需要专业技术人员对其进行长期的维护和更新,可是信息化建设专业技术人员不够充足,知识结构也不同,原有的人员在三校合并重组时都重新择岗到了新的岗位,现信息中心内部人员一共五名,其中一位是信息科长,原专业为生物化学,因为兴趣爱好才慢慢自学进入了这个行业,所以在专业知识结构上存在缺陷,另外4名干事,平时由于身兼数职,所以在信息化建设时技术无法及时跟进,且岗位流动,没能对系统进行及时完善和维护,所以当系统出现突发风险例如数据库服务器崩溃等时,只能等待售后解决。

②组织协调风险

除此之外,学院信息化项目部门和人员间的交流不畅也带来项目失调、延误工期的风险。信息化项目的领导队伍主要由校领导和相关人员组成,而项目施工队伍主要由具有信息化系统项目实施管理经验的业务人员和技术人员组成,若这两支队伍不能很好地组织协调,就容易导致流程失误、资源和机会错误匹配,最终使得项目失调,延误工期。在广西卫生职业技术学院要求将学分制纳入办公系统时,由于开发方对学校需求分析不清,就导致了流程失误的经历。

③激励风险

激励机制的缺乏也在一定程度上削减了信息化项目的建设动力。广西卫生职业技术学院行政管理层次较多,用人机制和淘汰机制不灵活,缺乏竞争和考核,无法对信息化相关人员做出合理的绩效评价和奖惩机制。使得信息中心士气低下,人员流失,也使相关工作人员缺乏进取心,而信息化风险主要是人的风险,如果相关工作人员没有足够的责任心和工作能力,也会影响到信息化的质量和效率。

(3)开发风险

①项目进度风险

在广西卫生职业技术学院信息化项目建设的过程中,建设进度控制对整个项目的成败至关重要。信息化项目是由许多子项目组成的,每个项目之间环环相扣,一个项目若没有控制项目进度,没有指定明确可行的实施计划,就不能确保整个建设过程按照预期的步骤和实践进行,这会使得整个项目开展无序,而工程进度的延时也会使得下一个项目无法正常进行,给下一个项目的开展带来新的问题。年初在批量协议采购教学用电脑及相关IT设备时,由于广西政府采购中心内部相关审批领导出差,耽误了原定的采购时间,导致时间拖延,影响了正常的教学秩序。也正是因为IT设备没有及时购买到位,导致了学院网络部署没有按时开工,影响了后续工程。

②质量风险

信息化项目在开展时,若没有考察清楚原有管理系统和硬件设施的情况,没有考虑到项目规模、专业人员素质以及业务的复杂程度等,就可能导致选择实施的方式不正确,实施过程中所使用的技术不成熟,更新不够及时,开发工具与数据系统不能很好地匹配,其开发的模块和功能就无法有效集成,很可能面临着重复开发无法集成统一的系统,子系统相互间无法实现数据联动,硬件设备选型不匹配,使得最终可能会增加系统的复杂程度和不稳定性,甚至会导致系统失败。

③财务风险

在开发中财务风险也不能忽视,广西卫生职业技术学院信息化项目受各方影响投资弹性比较大,对经费的预算无法做到非常精确。在施工过程中,随着广西卫生职业技术学院三校合并的到来,项目需要投入的资金也随之变化,实际投入资金往往会远远超过预算,在系统的维护、调整、升级、完善等后续工作中需要更多的资金投入,这都隐含着巨大的财务风险。

(4)技术风险

①信息技术风险

广西卫生职业技术学院信息化建设中,信息化技术是推动建设的关键因素,信息化技术有别于其他技术,它难度大、更新快,需要专业人员进行操纵管理,若信息技术更新不及时,会造成系统与系统之间无法有效衔接和集成,也无法实现数据资源的同步共享与流通。

②外包风险

由于学院缺乏系统开发的技术人员,所以信息化项目中的一些子项目的建设采取了项目外包的形式。这种形式可以在一定程度上节约成本,获取一部分经济效益,由于项目承包者拥有更多的专业技术人员和更高的专业技术素质,所以不仅可以保证项目质量,带来新技术新服务,而且还可以缩短项目建设时间。但是项目外包存在两个较大的技术风险:第一,外包供应商的技术团队对学校的管理工作没有足够了解,开发出来的项目与校方对信息系统的要求很难保持一致,容易出现系统实用性不够,互联性和扩展性不足等问题。而在项目建设的过程中使用的技术若是没有经过试验和检验,开发的项目可能会面临系统与数据库不能很好匹配,造成系统失败的风险。第二,在项目外包过程中,外包供应商几乎能接触到全部的学校信息资源,如果信息资源泄漏,将给学校带来无法挽回的损失。

③信息安全风险

信息安全也是学院信息化建设不可忽视的风险因素,信息安全是指保证学院信息资源的保密性、真实性、可靠性和完整性。我们将信息安全风险分为三个部分,第一个部分是数据中心的安全风险,第二是主要职能部门的安全风险,第三是教学区和宿舍区的安全风险。

数据中心的安全风险,主要包括信息设备风险、网络风险、应用软件风险、数据库风险等。自然灾害,自然老化或者人为破坏会导致信息设备的损坏并造成整个信息系统的破坏。网络作为信息传输渠道也容易遭受到外部网络的攻击和计算机病毒的破坏,而路由器和交换机自身也存在着众多的安全漏洞。目前广西卫生职业技术学院的信息应用主要是WEB应用,WEB容易出现不完善的访问控制、跨站点脚本攻击等风险,再加上数据库缺乏统一的数据备份和容灾策略,这也将带来数据库管理风险[1]。

学院主要职能部门的工作人员一般将资料信息放置在办公电脑上,容易遭到病毒破坏、黑客入侵等风险,信息就会丢失和泄漏直接将威胁到数据中心的安全。

教学区和宿舍区主要面临着病毒入侵造成网络故障的风险。计算机病毒出现的形式越来越多,据调查国内73%的用户曾经受到病毒感染,其中有一半的数据用户遭到了破坏。教师和学生在利用INTERNET进行工作和学习时,病毒很有可能会从网页中破坏到整个信息化,造成数据的泄露和丢失。

由以上分析可知,广西卫生职业技术学院信息化项目进行风险识别的结果主要包括决策风险、人力资源风险、开发风险和技术风险四种类型,如表2所示。

表2 高校信息化项目风险识别结果

四、广西卫生职业技术学院信息化项目的风险评估

1.风险评估过程

风险评估就是在风险识别的基础上,进一步综合地进行风险分析。在风险评估这一步骤中,各风险管理主体关注的主要问题是如何对信息化建设中的风险进行度量评估。综合考虑风险发生概率和风险影响程度两方面可以对该项目风险进行评分。即可以用以下公式计算出具体风险的风险评分(R):

风险评分(R)= 风险发生概率(P) × 风险影响程度(I)

在上述公式的基础上,采用概率-影响(P-I)矩阵研究方法,对广西卫生职业技术学院信息化项目风险评估的一般步骤如下:

第一步,风险发生概率分级赋值。如表3所示。

表3 风险发生概率(P)分值表

第二步,风险影响严重程度分级赋值。如表4所示。

表4 风险影响严重程度(I)分值表

第三步,项目风险管理评分组确定了参照广西卫生职业技术学院信息化项目风险概率-影响(P-I)矩阵的各分值,运用矩阵分析法判定风险大小(见表5)。

表5概率-影响(P-I)矩阵

风险发生的概率和风险的影响是确定风险等级的基础。通常将风险发生概率的分级数值和风险影响的分级数值代入风险概率-影响(P-I)矩阵来确定风险等级,表5颜色越深代表风险级别越高,将风险等级划分为“很高、高、中、低、很低”5档,其风险等级对照的划分表6如表所示。

表6 风险等级的划分

表7 对风险评分不同分值风险事件的基本应对措施

2.广西卫生职业技术学院校园网信息化项目的风险评估结果

广西卫生职业技术学院校园网项目风险管理小组参照项目风险概率-影响(P-I)矩阵的各分值,运用矩阵分析法判定风险大小,采用上面介绍的度量分析方法,依据信息化项目风险的不确定程度和对应每类风险造成损害程度的量化。由信息化项目评分小组对广西卫生职业技术学院校园网项目信息化建设中形成风险发生的概率和损失进行评分分级,各专家评分详情见表7,确定风险的具体影响程度并最后进行风险排序。最后,将各主要风险的风险评分形成的风险评估报告提交项目学院领导审阅。综合考虑风险损失及其概率打分后统计得出有关广西卫生职业技术学院校园网信息化项目的风险评估结果,如表8:

表8 广西卫生职业技术学院校园网信息化项目风险评估结果

所以在广西卫生职业技术学院校园网信息化项目风险中,风险重要性排序为财务风险、规划风险、质量风险、项目进度风险、信息技术风险、领导风险、组织协调风险、外包风险、人员素质风险、信息安全风险、激励机制风险。在广西卫生职业技术学院校园网信息化项目建设中,我们可以参考对风险重要性的排序,有针对、有主次地实施风险应对措施,尽量使得项目实施的风险降至最低。

(责任编辑:梁京章)

参考文献:

[1]吴海燕,戚丽,沈立强.数字校园信息安全保障体系的设计与实现[J].实验技术与管理,2008(8):1-6.

Research on the Risk Management of Informatization at Guangxi Health Vocational Technology College——Taking Guangxi Health Vocational Technology as an Example

LAO zhen-ni

(Guangxi Health Vocational Technology College,Nanning 530021,China)

Abstract:Taking the information program of Guangxi Health Vocational Technology College for example, we use the risk management approach to discern and assess the various risk of information program of Guangxi Health Vocational Technology College.Meanwhile, in view of the university informatization projects various risks type, this paper proposes some measures of risk ,such as establishing reacting mechanism of risk, the risk transfer, risk monitoring,which aims to provide further information construction of guidance, and for other university informatization construction project to provide experience for reference.

Key Words:Guangxi Health Vocational Technology College;informatization projects;risk management

中图分类号:R197.323

文献标识码:A

文章编号:1671-9719(2016)6-0102-05

作者简介:劳甄妮(1983- ),女,壮族,广西南宁人,讲师,研究方向为计算机教学。

收稿日期:2016-04-12修稿日期:2016-04-30

猜你喜欢

风险管理
探讨风险管理在呼吸机维护与维修中的应用
对企业合规风险管理的思考
加强小额贷款企业风险管理与防范探讨
房地产合作开发项目的风险管理
财务会计风险管理研究
税收筹划的风险管理和控制探讨
护理风险管理在冠状动脉介入治疗中的应用
我国商业银行风险管理研究
跌倒风险管理在预防社区老年人群跌倒中的应用
发达国家商业银行操作风险管理的经验借鉴