企業信息化風險評估

何秋燕 楊珍 趙明霞

鎮江船艇學院 江蘇 212003

0 引言

在信息技術迅猛發展的今天，企業的信息化已經成為企業提高自身競爭力的一個重要途徑。雖然我國的企業信息化已經取得了一定的成果，但從總體上看，我國的企業信息化仍處于初級階段，國內企業信息化的建設依然存在著各種各樣的問題。信息化是高投入高回報的項目，這就意味著信息化的高風險性，在信息化的過程中，識別和評估出會發生的風險并相應控制，會使得企業信息化成功的可能性大大增加。在識別出信息化的相關風險后，在風險發生之前，對風險進行全面綜合的分析和評估，量化風險發生的可能性和對信息化最終目標的影響程度，據此對風險進行排序，為后期的風險控制提供依據。

1 原始風險矩陣方法

原始風險矩陣方法主要從項目需求與技術可能兩個方面來考察，并以此為基礎來分析辨識項目是否存在風險或是采取某種方法是否會出現風險(如圖1)。

圖1 原始風險矩陣圖

具體運用于企業信息化項目的風險評估，首先要識別出項目的潛在風險，識別之后，要進一步分析：評估風險本身對信息化的潛在影響，評估風險發生的概率，找出該風險在風險矩陣圖中所處的位置，進而設定相應的防范措施或是應急方案。

2 Borda序值法

Borda方法由法國數學家Jean Charles de Borda提出。將Borda序值法引入風險矩陣，可以通過對風險矩陣中風險的排序，來確定風險的等級，由于該方法將風險等級量化，會使得最后產生的結果中處于同一等級的風險結果會明顯少于原始風險矩陣中同一等級的風險結果。而風險結果的減少有利于對于關鍵風險的識別，這樣處理風險問題更為科學。為此，Borda序值法被提出以使得原始風險矩陣更為科學和實用。

Borda序值法的優越性還表現在它可以根據多個評價標準來對風險的重要性進行排序，即對風險進行跨類別的等級評定，其原理如下：

假設一共有N個風險，假設i為某個風險，k為準則中的一項(具體使用于原始矩陣中，有兩個風險準則：風險影響準則和風險概率準則)，用rik表示風險i在準則k下的風險等級，則風險i的Borda數為：

得出的Borda數則得出了風險的等級，某風險的Borda序值是比這個風險的Borda數大的風險的個數，則Borda序數越大，說明風險的等級越低。

3 層次分析法

層次分析法(AHP,the Analytic Hierarchy Process)是一種定性與定量相結合的多目標評價決策方法。該方法的基本思想是將一個復雜的問題先分解成若干層次和若干組成部分，在各組成部分間進行比較和計算，以獲得不同組成部分的權重，從而為側重于哪個組成部分提供決策的依據。它通過將決策過程數學化而實現定性與定量的結合，使得思路更為直觀。層次分析法的主要步驟如下。

3.1 建立模型

在用 AHP分析問題時，為了使問題更有條理，需要構造有層次的模型。該模型可以清晰地展現出復雜問題的組成部分。模型的層次可以分為三類：

一類是最高層，也稱目標層，這層只有一個元素，是指要分析的最終目標，在風險評估中，這個元素是指信息化的最終風險。

第二類是中間層，也稱為準則層，該層次包括為了實現最終目標而會涉及的中間環節，中間層本身也由若干個層次組成。

第三類是最底層，也稱為措施層，該層包括為了實現目標而用來實施的措施和方案。

在對企業信息化的風險評估中，建立的層次分析模型的最高層是企業信息化的綜合風險權重，中間層與最底層即為評估信息化風險的指標體系。

3.2 構建判斷矩陣

在層次分析模型建立后，需要確定出各要素的重要性，通過對二級和三級指標的重要性確定，可以得出它們對于上一層次的相對重要性，即權重，進而得出一級指標的權重和信息化項目的整體風險權重。具體操作是評價者對各風險指標進行兩兩相互比較，用 1—9的數字將判斷結果量化，形成判斷矩陣，量化標準如表1。

表1 重要性量化標準表

構造的判斷矩陣如下：

判斷矩陣A由n個風險因素兩兩比較而形成，矩陣元素aij就是元素i與j的重要性理量化值。

在根據專家的打分數據建立了相應的判斷矩陣以后，需要對各專家的判斷矩陣分別做一致性檢驗，如果不符合一致性檢驗，需對該矩陣作調整，最后還需按照專家的權威等級對專家數據做平均。

3.3 單級風險因素排序及一致性檢驗

單級風險因素的排序通過各風險因素的權重可以確定各因素對上一層次風險的重要程度，并據其排序。具體方法是根據矩陣理論，先求出判斷矩陣的特征向量W，然后進行歸一化處理，求出權重。

特征向量：

進行歸一化處理：

在計算出判斷矩陣的特征向量后，用特征向量來表示風險因素對上層風險的影響程度。并且對判斷矩陣進行一致性檢驗，以保證層次分析法的結論的合理性。

對于判斷矩陣的一致性檢驗方法如下：首先計算出判斷矩陣的最大特征值λmax，然后計算一致性指標CI=(λmax-n)/(n-1)，如果所得CI為零，則表明該判斷矩陣具有完全一致性，檢驗結束；如果CI不為零，則要接著計算隨機一致性比率CR=CI/RI，其中，RI值判斷矩陣的平均隨機一致性指標。通過計算，如果所得CR值小于0.1，則認為判斷矩陣和風險因素排序結果的一致性是可以接受的；如果所得CR大于等于0.1時，我們則認為判斷矩陣和風險因素排序結果的一致性不可接受，需要對判斷矩陣進行適當的修改。

3.4 總風險因素排序

總風險因素排序是指利用上文中提及的單級風險因素排序結果，即各級風險元素對上一級的風險元素的重要性權重，計算出每一級中的所有元素相對于最終的總目標的組合權重。這一步驟是由上而下進行的，最終可以得到位于最低級別的企業信息化風險對于企業整體信息化風險的組合權重。

4 總結

筆者認為在考慮到Borda序值法和AHP均具有一定的不足的情況下，可以將兩種方法融合使用，從而使得風險評估更實用，更合理，進而為下一步進行風險控制提供更科學的依據。具體方法是：綜合考慮風險發生的可能性大小和風險影響程度，先使用風險矩陣法，讓專家對風險的影響程度和發生可能性概率進行打分，評出風險等級，然后運用Borda序值法將風險因素進行重要性排序，并將排序結果告知專家，專家在了解風險相對重要性的情況下，再對風險進行兩兩比較，獲得判斷矩陣，再運用傳統的 AHP方法對企業信息化風險進行層次分析，綜合評估企業信息化風險。

當前我國大部分企業的信息化已日益深入，隨著信息化的日趨復雜化，相應產生的風險也就越來越大，正確的評估企業信息化進程中的各種風險，能夠使得決策層對于企業的發展作出迅速而準確的決策，通過減少風險的發生或是減少風險發生會帶來的負面效應，使企業更大可能地進行成功的信息化。

[1]劉鈞.風險管理概論[M].清華大學出版社.2008.

[2]范玉順等.企業信息化整體解決方案[M].科學出版社.2004.

[3]財政部企業司.企業信息化管理[M].經濟科學出版社.2004.