摘要：信息技术的应用项目（尤其是大型项目），对风险的充分是项目成功的关键之一，而战略风险则又是其中的核心内容。

信息技术应用项目的战略风险分析

陈小新

越来越多的组织正在通过应用信息技术（IT）来提高组织的工作绩效，但在信息技术应用的实施过程中许多组织却遇到了巨大的困难。实际上，信息技术的应用项目（尤其是大型项目），对风险的充分是项目成功的关键之一，而战略风险则又是其中的核心内容。概括起来看，信息技术应用项目的战略风险又可分为：IT战略与组织战略的不协调、信息技术应用对组织结构带来的挑战、开发策略的选择以及对信息技术应用成果的评价等方面。

首先，IT战略与组织总体战略的不协调导致IT战略无法为提高组织核心竞争力作出贡献，甚至会起到相反的作用。组织的总体战略始终是IT应用的最根本的推动力，而实施IT应用的组织经常犯的错误是：

1．“因为这项技术比较先进，所以我要采用”。这里的“先进”其实经常是“时髦”的代名词，即使某项技术确实在实质上先进，先进的技术与适用的技术并不总是一致的，对所谓的“时髦”技术则更是如此。例如，某个企业存在的问题可能是采购管理不善引起诸如产品时而积压、时而脱销，而且由于供应商管理的不善引起产品的质量不稳定，从而影响客户对产品的满意度导致销量下降。此时IT应用应当采用的MRP系列产品，而如果对于企业存在的问题未经认真分析，盲目认为客户满意度的下降是由于客户关系不良导致，从而投入大批资金建立CRM系统，这将导致双重的风险。一方面，良好的客户管理系统的运作强烈依赖于组织文化、相应的组织架构、组织内部人员对客户导向的认同感及相关的业务规范的形成和稳定，脱离了文化、业务和组织架构基础的“呼叫中心”和“客户档案数据库”、“客户喜好分析系统”等是毫无意义的；另一方面，CRM系统的建立需要相应的投入（包括资金、技术和人力资源），该系统的即使能够良好运作，由于其解决的问题并非企业目前销量下降的真正原因，从而导致无法产生所期望的效益，这不仅由于盲目投资消耗了企业的财力和人力，降低企业的竞争能力，而且还会在业务和管理人员中间产生对IT应用的不信任感，从而影响对企业真正急需的IT技术的投资和应用。

2．“因为对手采用，所以我要采用”。这方面的例子举不胜举，但这种态度同样会带来巨大风险。一是你的对手所遇到的问题是否也是你遇到的问题，例如对于商业银行来说，A银行应用网上转帐系统是因为它的客户群主要为中等收入的年轻人，快速且（对年轻人来说）便利的网上转帐系统不仅能为A银行降低网点设置成本，而且有利于提高客户满意度。而B银行的客户主要是高收入的富人，则B银行所需的并非是以降低成本为主要目标的网上转帐系统，而是开发适应高收入客户需求的金融工具和个人化的理财系统。二是如果你的对手和你遇到的问题相同，采用这项技术是否对症下药，如果不是，则不采用该技术反而可以通过减少成本（包括人力、物力和财力成本）而取得竞争上的优势。三是你的对手应用该项技术的目标如何，如果你的对手只是将这项技术的应用作为一种博弈手段，则应当明白，作为博弈手段应用IT作为技术储备和应用IT作为立即投入运行的系统其所投入的资金和需要采取的配套的业务和管理措施是完全不同的。

其次，从IT应用发起者的愿望出发，必然希望IT应用能为组织带来绩效和效率上的提高，但实际上，信息技术的应用可能带来良好的结果，也可能成效不大，从而导致所带来的绩效或效率上的提高无法弥补所投入的资金和其它人力、物力；另一方面，信息技术的应用可能极大地改变组织原有的工作流程和组织结构，甚至导致组织内权力的再分配。

1．一种可能是信息系统促使组织扁平化，从而为减少不必要的管理人员（尤其是中层管理人员）创造了技术条件，因此造成中层管理人员对信息技术应用的不满，而恰恰是中层管理人员在信息技术应用成功与否之中扮演了关键角色。信息技术的应用也会导致某些部门的权力上升，而某些部门的权力下降，从而改变组织内的权力结构。诚然，在一般情况下引起组织变革的主要原因并不是信息技术的应用，但信息技术却往往确实扮演了“助推器”的作用，结果是利益受到损害的员工会自然地将不满发泄到他们看得见的原因——“计算机系统代替人工”之上。

2．另一种可能是信息技术的应用改变了原有的工作流程，造成组织整体结构的变革，从而导致产生新的部门，某些部门的职能消失。例如在IBM信贷公司进行流程改革的过程中，数据库和网络技术的应用使得专门的信贷审核部门的功能由营销人员和若干咨询专家所代替；克莱斯勒公司改革应付款项工作流程的结果导致了应付款工作部门的消失。由于信息技术的应用经常与工作流程改革联系在一起（从另一个方面说，许多成功的工作流程改革确实也得益于信息技术的应用），因此在许多情况下由于工作流程改革而被触及利益的团体或个人会一并反对信息技术的应用（但相反，如果不涉及组织业务和管理流程的改革，许多信息技术的应用项目又无法取得应有的成果）。

3．甚至是信息技术的更新换代也有可能引发组织整体的变革，例如企业信息网和数据仓库技术的应用使得组织内部可以共享所有与组织有关的信息，以往由于部门数据库的存在而形成的各部门的信息的垄断被打破，而信息的垄断在许多情况下是权力的来源之一，信息垄断的打破必然造成组织内权力的再分配。其结果有可能增加上述技术推广的阻力，或者出现尽管从技术上完全有能力实现信息共享，却在实际上又附加相应的行政规定以阻止信息的共享（有时这种规定甚至以“计算机信息安全保护”的面目出现）。

第三，开发策略的选择将极大地影响未来应用的支持和控制体系，也会在很大程度上涉及相应的资金投入、人力资源政策和审计政策，一般的方式有自行开发、外包和合作开发三种形式，但各种形式均存在各自的风险。

1．自行开发是指基本上依赖组织自身的管理、业务和技术力量进行系统设计、软件开发、集成和相关的技术支持工作，一般仅向外购置有关的硬件设备和支撑软件平台（如操作系统、数据库管理系统、通信软件等）。自行开发的风险主要在于：

（1）技术选择：一个组织在应用IT时不可能对其所需要的所有技术均相当熟悉，自行开发可能导致组织采取一个并不适当的技术架构（如数据分布方式、存储处理方式、通信结构等）。

（2）资金投入：自行开发所需的资金投入并不必然小于外包方式，在计算资金投入时不仅应考虑直接的设备、人员投入，还应考虑投入的机会成本、人员培训成本等，一般来说，专业的IT公司由于存在一定的规模效应，其承担同样技术要求的任务的成本一般小于非专业组织的IT部门；同时由于组织内部的IT部门缺乏竞争环境，其提交的资金预算有时反而比专业IT公司高。

（3）人力资源：自行开发方式下的人力资源管理存在两方面的问题，一方面是获得开发和支持所需的人力资源的资金投入（招聘、培训等），另一方面是需要有相当的资源来保证内部开发和支持人员的稳定性。恰恰在后一方面存在较大的风险，完整的文档和开发——支持交接过程可以在一定程度上减少人员缺乏稳定性造成的后果，但如何保证“知晓内幕”的技术人员的稳定性仍是IT部门需要认真对待的重要风险之一。专业IT企业的高收入和创造性强的工作所带来的有吸引力的工作环境对在非IT组织的IT部门的技术骨干的吸引力是毋庸置疑的，在一个非IT组织内部处于服务和保障地位的IT技术人员向往专业IT公司内作为生产和业务主力并获得相适应的收入和地位的情绪也是难以抑制的。

（4）“内部人”问题：一个组织可以有相当严格的对IT应用系统的监控制度，但与外部企业人员相比，内部IT部门的人员更容易接近敏感性数据却是不争的事实，而且由于信息系统的高度的复杂性和专业性，再严格的监控制度在其设计和开发者面前即使不是不堪一击，也是肯定有懈可击的。

（5）风险转移问题：相对于外包方式而言，采用自行开发方式的组织更难通过风险转移手段（如在合同中规定损失赔偿等）来转移风险，由于内部IT部门与组织整体间很难确定法律上的合同关系，源于开发的风险产生后其风险转移手段更少。

2．外包是指将IT应用项目的设计、开发、集成、培训等承包给某家专业公司（可以是专业的IT公司或咨询公司等）。由该公司（承包商）负责应用项目的实施，有时还委托专业公司负责日常应用中的支持工作。外包的风险主要在于：

（1）承包商选择：由于IT应用组织与承包商之间存在信息的不对称，在承包商的招标过程中或多或少地存在不准确性，承包商以不正当手段获取标的的手段很多，例如推荐自己所擅长（但不一定适合客户）的技术以提高自身的竞争力、故意压低投标价格、提供虚假或不准确的背景信息直至商业贿赂等，不当的承包商选择将导致项目无法按预定的进度、成本和/或质量进行，严重的会导致项目失败。

（2）资金投入：正常情况下任何承包商均需要在项目中盈利，正常利润是对承包商在技术、专业、管理等相关资源上投入的补偿，但由于信息的不对称性，尤其在IT领域技术发展的快速性和技术的高度专业化使得承包商获得超额利润的可能性大大增加，而这一超额利润的唯一来源是IT应用组织的资金投入；同时也正是由于信息技术的高度专业化，容易使得IT应用组织对某个承包商形成长期的技术依赖（尽管开放体系结构在一定程度上减轻了这种依赖），并在很大程度上增加了后续项目和未来的支持过程中承包商的谈判能力，从而增加IT应用组织增加资金投入的可能性。

（3）承包商的经营稳定性：由于在外包方式下IT应用组织在技术上强烈地依赖于承包商，承包商的经营稳定性成为重要的风险来源，IT产业的高速发展和环境的复杂多变使得今天成功的IT企业明天可能面临倒闭的困境，而承包商的倒闭对于采取外包形式的IT应用组织来说是致命的。

（4）敏感性信息的控制：承包商在IT应用项目的实施过程中接触敏感性信息有时是不可避免的，而承包商会有意无意地利用这些信息为其本身的利益服务，撇开有意识的信息窃取行为不谈，最典型的就是将某个组织的项目作为其“成功案例”列入其今后的商务活动的宣传资料中或甚至在公开的专业刊物商以提高其商业形象，而这种“案例”更经常地被承包商用于与该IT应用组织相类似的或同一行业的其它组织（因而也往往是竞争对手）的招标活动中（例如以介绍“类似经验“的方式出现），从而造成敏感性信息的泄露。应当指出的是作为承包商对于哪些信息属于敏感性信息的判断标准往往与该组织的判断标准是不一致的，而这些资料的内容和散发渠道又是该组织所难以控制的。

（5）需求理解的不一致：承包商与IT应用组织一般处于不同行业，即使对该行业的IT应用经验十分丰富的承包商对某个组织的特殊业务和管理情况也有一个逐步了解的过程，而组织的业务和管理部门所提供的需求信息往往是不完整的（尤其在项目实施的初期），随着项目的进展有关需求的变化是不可避免的，而承包商则希望一次性的确定需求，并且尽可能不要改变，在固定价格合同（如FFP）情况下，需求的变化意味着大量的谈判工作，而在以费用为基础的合同（如CPIF）情况下，则又可能出现成本失控。

3．合作开发是IT应用组织与专业IT公司（合作商）共同协作完成IT应用的项目实施和技术支持工作，一般形式是应用组织负责提供业务框架，合作商提供技术框架，双方组成开发团队进行项目实施，IT系统的日常支持由应用组织的IT部门和合作商共同承担，IT部门负责内部（一级）支持，合作商负责外部（二级）支持。合作开发的风险主要在于：

（1）合作商选择：在合作方式下IT应用组织与合作商之间同样存在信息的不对称，在合作商的招标过程中也存在不准确性，不当的合作商选择将直接导致合作过程中产生冲突，并导致项目无法按预定的进度、成本和/或质量进行或项目失败。

（2）合作中的冲突：由应用组织与合作商之间形成的开发团队中的冲突是难免的，在开发团队中，来自双方的人员尽管在项目的总体目标上存在一致性，但又必然存在着各自的个性目标，诸如工作范围的变更、进度安排、质量监控、技术问题的解决方案乃至信息的交流等均可成为冲突源，而这种冲突导致的后果往往是团队成员之间产生互不信任感，技术上或细节上的矛盾极易上升为原则上的矛盾，项目进展困难重重，团队负责人乃至应用组织或合作商的负责人忙于调解矛盾，项目质量低劣。

（3）责任不清：信息技术的高度专业化和IT项目的整体性导致在项目合作合同的谈判阶段很难考虑到所有的责任界面，当进入项目执行过程时再进行责任界面的划分会存在很大的阻力。尤其是技术支持界面的划分是很难界定的，经常发生的情形是：当IT系统在日常使用过程中需要提供技术支持时，由于职责不明确，应用组织的IT部门习惯于将所有支持任务委托给合作商完成，而由于支持方式是合作方式，在合作合同中商定的支持费用一般低于外包方式，这就形成了合作商在费用低于外包方式的条件下要完成与外包方式几乎同样的工作量，长此以往合作商对此无论从主观上还是客观上均难以承受，支持质量的持续下降也将是预料之中的。

第四，信息技术的使用效果期望过高往往会造成信息技术应用项目实施过程中的巨大风险。在目前信息技术得到广泛应用的环境下，各组织的高层主管人员（至少从公开态度方面）很少会认为信息技术的应用无关紧要，但同时却容易走向另一种极端：认为信息技术的应用将使得一切都变得容易。这种认识将在几个方面造成风险：

1．对信息技术应用的效果估计过高容易造成信息系统项目范围过大。从一般意义上说，系统的特性（即包括功能、性能、质量、安全可靠性等）与其投入的资源是成正比的，对于购置的项目其资源包括购买费用、操作人员培训费用、维护人员培训费用、供应商技术支持费用等。对于开发的项目其资源则包括整个项目实施费用（设计、开发、测试、培训、相关设施的采购和管理费用等）和未来的维护费用。这一规律从相反来说一般也是对的：一定的投入所获得的信息系统的特性是一定的，而且还存在着各个特性之间对于资源的竞争问题（如为提高安全可靠性所投入的资源可能会削弱投入提高性能的资源，如果资源投入的总量不变，则最终系统的性能会有所下降）。因此，如果对于投入和产出这一关系有个清晰的观念（当然，由于信息系统的复杂性，这种投入产出关系的估算是有相当难度的），极容易造成在给定的投资预算框架下提出范围过大的需求（或者是在项目实施过程中不断扩大需求——这将在分析项目风险时涉及），并在这种需求的误导下形成对信息技术应用项目效果的不切实际的愿望，最终往往是导致应用项目失败的一个重要原因。

2．信息系统的功能一般来说与其灵活性是成正比的，而且在当今“唯一不变的是变化”这样一个环境下，灵活性过低的信息系统是没有生命力的，这不仅表现在缺乏灵活性的信息系统无法迅速跟上业务和管理过程的变化，即使组织内部有相应的技术和管理力量对系统进行及时的修改，其维护成本也是相当高的，因此要求信息系统具备相当的灵活性绝对是必要的。但另一方面，高度灵活的系统不仅造成更高的开发难度，而且对使用者提出了更高的要求。一般而言，前者相对容易解决，只要提供更多的技术资源（包括人员、培训、开发环境等）在目前技术迅猛发展的环境下，开发难度问题还是容易解决的。而后者的解决难度相对要大得多，因为具有更强灵活性的系统至少具有两个特性：一是系统参数（包括安装参数、运行参数、使用参数等）众多，二是参数之间的关系众多。例如，一个简单的制造控制系统采用事先确定的工序进行控制；而一个相对复杂的控制系统可能要求能对各工序的先后次序进行更改，因此工序间的关系成为可变量；更复杂的控制系统可能需要能对每一道工序的组成动作、对象等进行重新定义，因此工序本身及其相互关系均为可变量。系统参数的增加和参数之间关系的增加将提高对系统维护人员和操作人员的要求，而在应用策略制定阶段却可能未考虑到这方面的要求，这可能导致几个后果：一是由于需要对维护人员和操作人员进行更多、更详细的培训而提高了相关的投入，二是当系统的灵活性更多地需要使用者的应用能力时，组织内部可能根本缺乏能够适应系统灵活性的人员，而在短时间内聘用或培训足够数量的使用人员在资金上无法满足，在实际上也很难做到。因此，单纯考虑灵活性而不顾及可能对用户和维护人员的影响可能导致极高的日常运行成本。

3．信息技术的应用并不能改变一项活动对于人的创造性的需求。习惯于传统帐务处理系统的用户会发现自己很难适应财务分析系统，在传统的帐务处理系统中操作人员只要按屏幕上的要求输入相关数据，根据屏幕上的菜单项进行选择就可以获得有关的报表；而当使用先进的财务分析软件时，使用者可能不得不自己建立相关模型、设置参数，然后将有关的参数和模型（参数间的关系）输入软件，然后自行设计输出的格式才能得到相应的结果，有时这种过程是如此繁复以致在使用者的感觉中完全抵消了强大的分析能力和精美的输出结果。实际上，目前大多数信息系统所替代的只是人类智力活动中相对机械化的部分，因此机械化程度越高的工作（如上例中的帐务处理）当采用信息技术后其改善劳动强度的效果就越明显，而本身需要较多创造性劳动的工作（如上例中的财务分析）采用信息技术后的改善效果就稍差。信息技术的应用是从替代机械化的活动开始的，这就造成习惯于传统信息系统的使用者用传统的功能标准衡量新的、帮助人们进行更富有创造性的活动的信息系统（如操作简单性标准、易用性标准等），从而导致对系统进行不必要的操作上的简化，而这种简化又常常是以牺牲灵活性为代价的。

对信息技术的不正确的理解和期望往往是导致应用项目的战略风险的最根本的原因之一，组织高层管理者一厢情愿地认为信息技术的应用必然会带来组织绩效和效率的提高；业务和管理部门的人员急于了解信息技术的使用是否能使他们的工作轻松一些，而不要损害他们在组织中的地位，并不时担心是否能适应新工具的使用；技术人员则完全埋头于技术，满足于技术的先进性和项目的完成。所有的人都希望信息技术为他们带来益处，却或没有想到或不愿正视信息技术可能带来的风险，更不愿为这种潜在的风险承担责任。因此，在项目启动的初期就正视有关的风险并采取有效的对策（至少对可能发生的后果有所准备），对于信息技术应用项目的成功就显得十分必要了。

本文由作者向AMT提供
作者联系方式：xxchen@mail.nbptt.zj.cn