第二个就是规划和架构的风险,我们每个企业实际上政府在做信息化的时候都在做规划,五年规划,三年规划,我们的网络建设规划,应用规划,但好多规划实际上做的层面还是不够具体的,还不够标准化,操作起来还有许多误区在里面,王仰富先生会给规划这方面的内容,他讲的是一种国际上比较流行操作的一种手段,怎么去进行规划,而不是我们现在做的方式,这个问题我不展开讲。
下面谈项目管理风险,IT最终去实践,如果规划好了一个架构出来,如何去实践就变成一个项目,项目周期很长, 比如去开发一个ERP软件,这个项目需要很长时间,这个风险就非常大,这么长的一个软件项目投资那么大,如果这个项目控制不好,风险非常大,这里面有几个统计数字,就是在美国信息化这么发达的国家,他的成功率也不是很高。我们国家呢,大家可能感受到这个就更不用说了,项目控制项目的审计,项目的监理,我们有一些有效的控制手段,但是这里面风险依然很大。
还有基础设施的风险,大家都知道现在的网络是越来越复杂,补丁露洞越来越多,开发层度越来越深,但是风险越来越高。这是为什么呢?因为系统越来越复杂,这是一个非常自然的、信息化固有的风险。另外一方面我们对这个IT设施依赖性特别 强,我们是不可忍受的,有人做过统计银行对IT的依赖最多不超过两天,证券公司网络停机不能超过半个小时,半个小时以上就是事故了。商企企业,实际上我们对他的依赖性是很强的,不能容忍任何的失误,经济发展的更新化越来越快,基础设施上的风险依然在加大。
另一个风险是应用系统的风险,想到风险把目标放在安全上,实际上我们应用软件应用系统在开发过程当中,充满着风险,就是比如需求是不是清楚呀,我们现在开发出的软件不是我们想要的 东西,因为经常是搞技术的人弄来一些人,在那做调研,软件开发公司来公司做调查,弄很多人在开发软件,搞软件的人不太懂业务,懂业务的人不太弄技术,有很 大的脱节在里面,这只是一个风险。实际上还有一个风险就是我们在做软件开发的时候,很少把安全的控制做在软件的本身里面,举个例子去年的时候发生在日本的 一个证券公司叫瑞穗证券,他是接受委脱人的指令操盘,进行证券买卖,结果他在接受指令的时候,操盘员敲错了,本来应该是一股61万日元一股,结果他敲反 了,造成很大的损失,几分钟证券公司损失了270亿日元,相当于16亿人民币,大家都在说这个操盘员臭手,实际上我们作为风险管理人员审视这件事发现不是 那个人手臭,你去操作你可能某一天也会出错,他实际上是一种控制的趋势,特别在应用开发方面上,很显然的错误没有在业务方面加强控制在软件上表现出来,这是一个巨大的缺陷,软件开发商不会主动的去给你业务部门搞这个事,太麻烦了,如果你自己不提,但是我们业务部门又很少提这样的风险上的要求,我们很多软件 开发有这样的趋势在里面,除了供用需求以外,我们将来还需要功能需要,软件开发功能需求加在一起做出软件开发的需求。