基于IT治理的企业并购信息系统整合风险研究

■现代管理科学 ■2010年第 2期 一、 引言 本文在信息及相关技术控制目标 （Control Objectives For Information and Related Technology-COBIT）模型的基 础上，对企业并购中信息系统整合活动进行分类，对各种 类别下的风险进行识别与分析，对这些风险归类并给出各 类风险的控制方法。 二、 企业并购中信息系统整合风险分析 1． 考察与评估阶段。 该阶段主要考虑以下两个方面： （1）考察与评估双方的信息系统。 该方面的工作站在 治理层的高度全面地展开，从管理的维度、技术的维度、经 济的维度、质量的维度四个方面考察与评估双方的管理信 息系统。其中，信息系统整合技术的可行性评估、被并购企 业信息资产的估价、以及整合过程中预计发生的成本是这 个阶段需要密切关注的问题。 这方面的风险有：对技术可 行性估计过于乐观； 对被并购企业信息资产的估价过高； 整合过程中预计发生的成本估计过低。 （2）定义 IT 战略。 企业的并购必然涉及到企业发展战 略的变化。如何通过并购后的信息系统整合来支撑企业并 购的战略，对企业来说面临着不小的风险。 企业并购可谓 是企业对一个巨大商业机会的把握，想从信息技术上面获 得战略利益就要有一个伟大的信息技术战略。在这个过程 中，企业面临的信息系统整合风险主要是 IT 战略不明确。 2. 计划与组织阶段。 （1）结合企业并购整合日程制定信息系统整合日程。 此时信息系统整合小组需要充分了解整个企业并购整合 的日程， 不能将信息系统整合工作孤立成一个独立的工 作。对企业并购日程了解不充分会导致项目完成的时间被 忽略，导致项目被推迟，服务连续性中断被延展等风险。 （2）了解公司其他业务的整合 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 。 信息系统整合小 组还需要主动与其他业务整合小组沟通， 了解他们的方 案，协调好信息系统整合与其他业务的整合。 如果不了解 其他业务的整合，IT 战略无法配合企业整体战略的实施， 即会导致 IT 战略无法实施风险。 （3）制定具体的信息系统整合方案。 由于企业的信息 系统不仅仅是企业的一项固定资产， 所以在计划阶段，信 息系统整合小组应该制定好信息系统整合方案。 同时为了 防备后期的意外，企业应该制定备选方案。在这个过程中存 在的风险有：①信息结构取向不合理；②技术取向错误，使 用了落后或者过于超前的技术；③IT过程、组织和关系不明 确；④缺乏人力资源管理，原企业的信息人才离职导致信息 泄露；⑤项目成本估计不合理，实际花费高于预计支出；⑥ 在危机时刻，无备选方案和应急措施导致项目失败。 3. 整合实施阶段。这是企业信息系统整合最为实质性 的一个阶段，主要工作有以下几个方面： （1）人员整合。 在软、硬件整合之前，企业首先要做的 是两个企业相关人员的整合。人员整合过程中存在的风险 有：由于被并购企业的人员意见得不到重视，导致人才流 失，信息泄露。 同时缺乏熟悉被并购企业信息系统的人员， 导致项目失败。 （2）硬件整合。 由于企业建设管理信息系统的时间不 同，所采用的硬件和软件的差异会有很大的区别，再加上 软件升级换代的周期较短这一特点，企业需要考虑两个企 业的硬件设备能否支持所使用的软件。硬件整合还要注意 前瞻性，如果预计不久的将来要采用新的软件，那么企业 就必须在硬件整合时提前做好准备。硬件整合阶段隐藏的 风险有：对硬件花费估计不准确，项目成本过大；硬件落后 于整合后的软件，导致基础设施薄弱，整合过程中硬件被 毁坏导致重要数据丢失，信息资产被损坏。 （3）软件整合。 它是企业并购信息系统整合中核心的 一步。 软件整合阶段企业会面临许多技术问题，其中软件 不兼容问题是几乎所有企业都面临的问题。由于软件产业 目前还未出现统一的国际 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ，所以使用不同供应商的软 件产品会导致软件整合难度变大；即使是使用同一供应商 的产品，也存在着由于二次开发而导致系统不完全兼容的 问题。 而一旦企业原有的信息系统无法实现软件整合，这 将意味着企业必须重新开发部分甚至全部应用模块，导致 企业信息系统整合支出大大超出预计，提高了企业并购成 本。 另外，由于软件整合导致了整合人员越权访问了机密 信息，导致信息资产泄密。 这种情况在实行信息系统整合 外包服务的企业尤其应该引起重点关注。在该进程中存在 基于 IT治理的企业并购 信息系统整合风险研究 ●韩耀军 郭家堂 崔绍栋 摘要：文章基于IT治理模型，研究企业并购中的信息系统整合风险问题。从企业并购中信息系统整合的5个阶段对 信息系统整合风险进行了分析，对各个阶段的信息系统整合风险进行了识别与归类，最后给出各类风险的控制方法。 关键词：IT治理；企业并购；信息系统整合；风险 ■管理创新 84- - ■现代管理科学■2010年第 2期 风险类别 面临的风险 所属阶段 战略风险 IT 战略不明确 考察与评估 IT 战略无法实施 计划与组织 IT 战略未得到落实 监控与评价 项目风险 对技术可行性估计过于乐观；项目成本估计过低 考察与评估 日程了解不充分； 技术取向错误； 项目成本预算不 足；无备选方案和应急措施 计划与组织 软、硬件整合实际成本过大；服务中断机会成本过大 整合与实施 交付的项目质量差；服务中断机会成本过大 交付与测试 继续了技术上不可行的项目；项目支出成为无底洞； 项目无法交付 监控与评价 信息资产 风险 对被并购企业信息资产的估价过高 考察与评估 信息泄露（人员流动）；信息资产被破损 计划与组织 信息资产被（黑客）盗取 监控与评价 服务连续 性风险 服务中断被延展 计划与组织 服务连续被中断 整合与实施 新系统无法支持企业其他业务 交付与测试 服务中断（系统临时崩溃）；服务连续性中断被延长 监控与评价 基础设施 风险 信息结构取向不合；IT 过程、组织和关系不明确 计划与组织 硬件落后；软件不兼容；硬件被破损 整合与实施 基础设施薄弱 交付与测试 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 1 风险的识别与归类 的风险有：软件整合成本超出项目预算，服务连续性中断， 信息泄露。 4. 交付与测试阶段。 （1）信息系统内部测试。 通常当信息系统整合结束后， 企业需要对其进行系统功能测试。这个阶段的目的是发现 系统本身的缺陷，而不应把系统与其他业务挂钩。 它只是 由信息系统整合技术人员内部实施，可以采用软件工程中 常用的测试方法，如白盒测试、黑盒测试等。 在这个阶段， 企业应该通过内部测试暴露新系统中隐藏的错误和缺陷， 以考虑是否接受该整合后的信息系统。 这个阶段存在的风险有：技术人员选择了导致系统失 效概率小的测试用例，回避那些易于暴露程序错误的测试 用例，从而导致后期运行错误频繁发生，基础设施薄弱，服 务连续性被中断。 （2）结合公司整体业务测试。 这阶段与其他业务整合 试运营同时进行，目的在于发现整合后的信息系统能否有 助于新公司业务的开展，能否使得信息流在两个公司间顺 利传递，能否支持企业为客户提供统一连续的服务。 这个阶段存在的风险有：交付的项目质量差；整合后 的新系统无法支持企业其他业务的开展；业务服务连续性 被中断。 5. 监控与评价阶段。 （1）在交付与测试阶段，如果项目被认为是成功的，此 时考虑到测试工作并不能发现全部错误，因此需要监控与 评价做以下工作： 监控新系统的运行， 防止系统临时崩溃，导致服务连续性中 断；监控新系统是否有黑客利用系统漏 洞窃取信息资产；评价整合过程中发生 成本的合理性；评价整合过程中是否发 生了 IT 战略的改变； 评价新系统的性 能等。 以上过程面临的风险有：系统临 时崩溃，导致服务连续性中断；黑客利 用系统漏洞窃取信息资产 ；IT 战略偏 离。 （2）在交付与测试阶段 ，如果项目 被认为是失败的，则监控与评价的主要 工作有：评价项目失败的原因；评价在 技术上继续该项目的可行性；评价整合 过程中已经发生的成本，以及将要发生 的成本； 评价是否需要继续该项目；评 价继续该项目 IT 战略对整个公司战略 的影响。 以上过程面临的风险有：技术 人员隐瞒继续该项目的不可行性，继续 了技术上不可行的项目；信息系统服务 连续性中断被延长； 项目成本估计不 足， 项目支出成为无底洞；IT 战略未得 到落实。 三、 企业并购中信息系统整合风 险控制 1. 风险的识别与归类。上一节对企业并购中信息系统 整合风险按不同阶段进行了分析，在此基础上，我们对风 险按不同类别进行识别与归类，见表 1。 2. 风险的控制。以下针对五大类风险论述企业并购中 信息系统整合风险的控制方法与措施。 （1）战略风险的控制。 参与该类风险控制的主要人员 有：首席执行官（CEO）对风险控制负全责并拥有风险控制 执行的批准权；首席信息官（CIO）获得 CEO 的授权去执行 批准该类风险的控制； 业务过程所有者和项目管理经理 （PMO）应该实时地被告知风险控制的进程。 同时，该类风 险的控制还涉及到首席财务官（CFO）、业务执行经理、首 席运营官、首席架构师、首席开发官、IT 行政经理、服务管 理者等。 要规避战略风险需要注意以下问题： 第一，CIO 应该在并购委员会中争取自己的席位，以 便让 IT 战略能够纳入整个并购战略中去。CIO 要让公司的 治理层和管理层都知道 IT 在企业并购整合中的作用。 第二，使得已经明确的 IT 战略得到逐步落实。 企业应 该让全体员工都明白 IT 战略， 特别是 IT 战略的作用。 IT 战略是公司整体战略的一部分，应该成为企业文化的一部 分。 需要企业各个部门协力落实。 所以在企业并购整合中 应该将 IT 战略作为一种企业文化加以宣传和贯彻。 （2）项目风险的控制。 第一，时间管理。 为了做好项目的时间管理，信息系统 整合团队应该将整个项目分解为各类子项目，并对子项目 ■管理创新 85- - ■现代管理科学 ■2010年第 2期 进行排序和估算子项目的历时，制定计划，并根据计划控 制好进度。 第二，费用管理。 这里的费用管理是指信息系统整合 项目的直接费用管理。 首先，信息系统并购小组应该制定 一个项目财务管理框架。 该框架根据投资、服务和资产的 投资组合来编制预算、分析成本收益。 确定好项目预算内 的优先级，充分保证最有助于企业核心业务开展的信息系 统整合子项目首先得到投资，以便尽量提高信息系统整合 项目对企业投资组合收益的贡献。 编制项目预算，建立起 各个子项目预算和管理过程，并对整体方案和单个方案预 算的适时加以评审、优化和建立批准。 做好监控与成本报 告工作，比较实际成本与预算。 第三，质量管理。 要确立有效的质量标准体系，这是建 立适当的质量衡量标准是进行信息系统整合项目质量管 理的前提性工作。 可以利用 CMM 模型（Capability Matu- rity Model for Software，软件能力成熟度模型）作为质量标 准。要在项目执行过程中采取有效措施来监控项目的实际 运行。比较项目实施过程中的实际表现与项目质量衡量标 准，分析出差异及其成因。 第四，技术管理。 企业在考察与评估阶段就要对技术 的选择有个大概的轮廓，在计划与组织阶段则要对技术的 定向进行规划，分析现有的和即将出现的计划。 制定技术 性基础设施计划。这个计划有利于同时控制好战略风险和 基础设施薄弱的风险，充分考虑在信息技术变化剧烈的环 境下，整合后系统的协同性。在整合实施阶段，还应该做好 监视工作。 监视企业业务部分、技术、基础设施的变化趋 势，以及对信息系统整合的影响。 （3）服务连续性风险的控制。 参与该类风险控制的主 要人员有：服务管理者和首席开发官共同对该风险控制负 全责；业务过程所有者和服务管理者是该风险控制执行的 批准者。 同时， 该类风险的控制还涉及到首席运营官 、 PMO、业务执行经理、CIO、首席架构师等。 该类风险可从两个阶段考虑风险控制。 第一，信息系 统整合完成前的服务连续性风险控制。 首先，在信息系统 整合计划与组织期间应该开发一个服务连续性框架，协助 决定基础设施必须的恢复能力和推动灾难恢复和应急计 划的制定。 第二，信息系统整合完成后的服务连续性风险 控制。 一旦信息系统整合完毕后，选取合适的切换系统方 式有助于控制服务连续性风险。 直接切换风险较大，采用 并行切换和分段切换都有助于降低服务连续性风险。 （4）信息资产风险的控制。 参与该类风险控制的主要人 员有：CFO对该风险控制负全责；CEO和 CIO批准该类风险 控制的执行；业务执行经理应该被告知该风险的控制情况。 同时，该类风险的控制还涉及到业务过程所有者、首席运营 官、首席架构师、首席开发官、IT行政经理、PMO等。 信息资产风险的控制的整体目标是：安全性、完整性、 可用性。 从安全性角度看，主要的风险是由于信息系统整合期 间涉及的人员比较多而产生的，应该特别加强对信息资产 访问授权的控制。只有得到授权的人才能访问对应级别的 数据，特别是在整合业务外包的情况下更应该注意信息资 产安全性问题。 完整性与可用性常常是相关的，完整的信息资产才是 可用的。 单纯从完整性角度看，应该确保重要信息资产在 信息系统整合期间得到完整保存。对数据进行备份是通常 的做法也是较为理想的做法。可用性是指应该确保整合后 的信息资产能可被正常获取，支持公司业务活动。 信息系 统可用性被破坏发生在信息资产风险内，却表现在服务连 续性， 而服务连续性由将风险输出到信息系统的外部，从 而影响整个并购整合业务。 （5）基础设施风险的控制。 参与该类风险控制的主要 人员有： 首席构架师对该风险控制负全责；CIO 批准风险 控制的执行；业务执行经理应该实时地被告知风险控制的 进程；同时，该类风险的控制还涉及到 CFO、业务过程所有 者、首席开发官、IT 行政经理、服务管理者等。 在信息系统整合过程中， 为了控制基础设施风险，企 业应该注意以下方面：首先在计划与组织阶段要做好软件 和硬件基础设施的信息收集，包括：部门、物理位置、描述、 制造商、型号、序列号、产品成本、控制编号等，并做好标签 和登记工作。 对软件和硬件进行测试。 注意寻找主要的瓶 颈部件（如数据库），确定其性能的临界点（可用的数据库 容量），并进行密切监视。 软件硬件产品变化要严格审核。 做好服务器安全工作。做好人力资源工作是控制基础设施 风险及其他四类风险的关键。 四、 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf 企业并购中信息系统整合风险已经成为企业并购整 合能否成功的重要影响因素之一 。 本文参照 IT 治理的 COBIT 模型，对企业并购中信息系统整合风险的进行了分 类，对各种类别下的风险进行了分析，对这些风险归结为 五大类，并从这五大类风险出发，给出各类风险的控制方 法。 后续的研究将探讨企业并购中信息系统整合风险模 型、风险的度量及相关性等。 参考文献： 1. 郭家堂. 基于IT治理的企业并购中信息系统整 合风险问题研究.上海:上海外国语大学硕士论文,2009. 2．Ernie Jordan, Luke Silcock著. 汤大马译.IT 风险. 北京:清华大学出版社，2006. 3．Information System Audit and Control Foun- dations. COBIT 4TH Edition. 2005. 4．胡克瑾. IT审计(第二版). 北京：清华大学出版 社,2003. 基金项目：教育部人文社会科学研究一般项目（06JA8 70006）。 作者简介：韩耀军，同济大学计算机应用专业博士，上 海外国语大学国际工商管理学院教授、硕士生导师；郭家 堂，硕士，上海外国语大学语言研究院教师；崔绍栋，山东 肥城矿业集团公司运销处经济师。 收稿日期：2009-12-13。 ■管理创新 86- -