高職院校信息化建設項目風險分析
——以廣西衛生職業技術學院為例

勞甄妮

(廣西衛生職業技術學院，廣西　南寧　530021)

高職院校信息化建設項目風險分析
——以廣西衛生職業技術學院為例

勞甄妮

(廣西衛生職業技術學院，廣西南寧530021)

摘要：以廣西衛生職業技術學院信息化項目現狀分析為基礎，在了解廣西衛生職業技術學院信息化項目的現狀和主要內容及特點后，找出高校信息化建設項目目前所存在的問題，運用高校信息化項目的風險管理方法，對高職院校信息化項目進行風險識別與風險評估，找出信息化項目的風險類型及各風險重要程度。

關鍵詞：廣西衛生職業技術學院；信息化項目；風險管理

校園信息化是一項周期長、過程復雜的系統工程，在校園信息化建設的過程中使用了大量的校園內部和外部資源，校內資源的分配及使用不當，信息化過程控制不力，都會導致風險的產生，并影響信息化建設的最終結果。信息化建設中的風險可能使信息化建設被拖延，會導致信息化建設質量低劣，項目預算未能有效使用或超支，最終不能有效地支撐信息化項目的建設，無法實現預期的目標，甚至導致失敗。大量的數據和案例表明，對學校信息化的風險進行治理是非常必要的。

廣西衛生職業技術學院對項目風險進行管理的前提是對風險充分識別。學院信息化是一個非常復雜的項目，其項目規模大、投入資金多，建設周期長，并且管理也具有特殊性。由于信息化建設中造成風險的因素錯綜復雜，所以我們需要對這些風險產生的根源、背景、特點和產生的影響進行細致的研究識別。

一、校園信息化項目風險的含義

風險是一種可能與利益相背離，可能影響組織目標完成的一種不確定性。風險大致有兩種含義，一種是行為結果的不確定性，另一種是損失的不確定性。狹義的風險是指沒有可能從中獲利的風險，只能表現出損失，而廣義的風險，其結果有可能是獲益的，也有可能是損失或者無獲利。風險的定義告訴我們，要站在更廣泛的角度來認識廣西衛生職業技術學院信息化的風險和管理，所以我們將信息化風險定義為信息化實施活動偏離目標的一系列活動過程。

二、廣西衛生職業技術學院信息化項目風險的性質和特點

1.廣西衛生職業技術學院信息化項目的性質

高校與企業單位最大的不同之處是，企業對日常經營管理自負盈虧，而學校則不是。校園信息化建設是在校園范圍內進行信息交流和協同工作的計算機信息系統。我們說的廣西衛生職業技術學院信息化建設是針對學校內部的網絡，它有自己的特點及規律，為的是給學生提供學習平臺，為學校的教育教學實現資源共享、信息交流、網上輔助教學及各部門信息交互等功能，是非贏利的信息系統，而企業網的服務對象有可能是社會大眾且以贏利為目的。

2.廣西衛生職業技術學院信息化項目風險特點

廣西衛生職業技術學院信息化項目的特點和性質，決定了它具有與其他項目不同的風險特點。

(1)風險復雜性

廣西衛生職業技術學院的信息化系統涉及到兩個校區以及教學教務、財務部門、學工處等各個相關部門，涉及到的職能部門數量很多，涉及到的人員的信息化技術知識水平也大相徑庭，出現的問題也錯綜復雜，學院信息化項目的風險管理不僅工作量大，而且風險復雜多樣，難以掌控。

(2)風險多變性

廣西衛生職業技術學院信息化建設的系統數據庫經常需要大更新，在招生就業、學籍管理等各項工作中工作量很大，在招生就業、學籍管理為代表的網絡辦公平臺中數據容量要求就會較高，信息采集、處理過程復雜，需求聯動變動較大，要求信息系統協同性好。

(3)風險突發性

廣西衛生職業技術學院信息化項目的建設涉及面較廣，影響風險發生的因素較多，多種風險因素還可能相互影響，最終導致風險發生。高校信息化項目的風險因素中，有因為兩校區相距較遠的因素,有校內人員使用不當的因素，也有外部各種突發狀況例如服務器遭受病毒攻擊等因素，這些因素的存在都可能導致風險隨即發生，使得信息化項目的風險具有突發性。

三、廣西衛生職業技術學院信息化項目的風險識別

1.廣西衛生職業技術學院風險識別方法

項目風險識別是項目風險管理過程的第一步,是項目后續步驟正常進行的基礎和保證。人們只有在準確認識了項目自身所面臨的可能造成影響的各類風險的前提下,才能夠主動、預先選取好風險管理應對措施。由于風險具有可變性，所以風險管理是一個持續的、不斷調整的過程。一方面可以依靠個人主觀判定和相關經驗來判斷，一方面可以通過掌握的歷史資料以及必要時的專家打分方法來分析各種明顯的和潛在的風險因素。識別風險的常用方法包括：

(1)頭腦風暴法

頭腦風暴法又稱為BS法、自由思考法，它是管理上為了提高決策質量、改善群體決策的較為典型的方法之一，一般組織5-10個人，多為不同類型或不同崗位的人組成，由一名主持人只負責組織會議，不對與會人員言論進行評判，采用集體自由發言的方式，鼓勵與會人員目標集中，獨立思考，暢所欲言，相互啟發和激勵，但禁止惡意評論和干擾，其目的在于產生新觀念和鼓勵創新。

(2)德爾菲法

德爾菲法又稱為專家調查法，是指依照預定的系統程序，向目標專家群里的各個專家分別采用信函等方式匿名征求專家意見的方式，即只允許調查人員和各個專家之間產生接觸，而不允許各個專家之間產生橫向的交流。最后通過多輪次往來反復征詢、修改、歸納專家意見，最后匯總成所有不同專家之間共同保持基本一致的看法意見。

(3)核對表法

核對表是項目主體根據自身曾經經歷過的類似項目建設工作，或者是常見的風險事件及其對應的風險要素、風險來源做成一張覆蓋全面的風險要素核對表，其中考慮到的風險要素包括項目的外部因素、內部因素等。項目管理者對照核對表對本項目的潛在風險進行比對分析，這種方法的主要特點是很全面，可以識別其他方法不能發現的某些風險。

2.廣西衛生職業技術學院信息化項目風險的識別過程

我們結合廣西衛生職業技術學院信息化項目的自身特點，由信息化項目領導小組進行組織，包括信息中心主任、審計處長、財務處長及監理人員在內的評分小組，對廣西衛生職業技術學院校園網項目信息化建設運用項目風險識別方法對該項目的風險進行識別，具體識別過程主要分為三個步驟如下所示：

第一步：運用核對表法，明確主要常見風險。根據廣西衛生職業技術學院信息化項目的內、外部環境，項目管理者將所有風險要素和風險事件進行歸集和整理，通過分析明確常見風險和潛在風險。

第二步：運用頭腦風暴法，進一步發掘風險。廣西衛生職業技術學院信息化項目管理者召集審計處長、財務處長、信息科成員及招標采購小組成員，邀請教師、學生以及其他信息化項目受用者，運用頭腦風暴法，對信息化項目開展過程中所存在的風險漏洞進行發散思考，各抒己見，在第一步的基礎上進一步找出各類風險，綜合第一步形成一份更加完整的風險清單。

第三步：運用德爾菲法確認風險清單。將通過核對表法和頭腦風暴法后列出的風險清單發至目標專家，再將各個專家的意見匯總，對原先的風險清單進行整理和補充，為風險評估做好準備。

3.廣西衛生職業技術學院信息化項目風險類型

經過上述的風險識別過程，我們將廣西衛生職業技術學院信息化項目分為四大類：決策風險、人力資源風險、技術風險、開發風險，表1是經過風險識別后分類整理形成的高校信息化項目常見風險清單。

表1　高校信息化項目常見風險清單

(1)決策風險

①規劃風險

在廣西衛生職業技術學院信息化項目建設過程中，大多數子項目的建設由信息中心主要負責，學院由于剛成立,事務繁多,所以領導對信息化項目建設缺乏應有的重視和領導，這就容易導致學校各部門重復購買軟硬件，分散建設，設備利用率低等問題，不同部門之間對軟件的投入也呈分散狀態，各個部門的軟件信息系統無法進行聯通和統一，例如財務軟件、排課軟件、學籍管理軟件就沒有和學校的辦公系統很好地融合,產生了漏洞和缺口，同時由于缺乏專業的技術維護，這些系統都面臨更大的風險。

②決策風險

由于廣西衛生職業技術學院各部門都是新成立或重組而成，所以在信息化建設過程中協作水平較低，沒有一個部門具有相關的管理權限和戰略決策能力，將所有的部門統一協調起來。大多數高校將信息中心設置為信息化建設的關鍵部門，信息中心無法勝任這個重要的職位，因此，沒有一個領導部門，形成一個統一規劃和機制，就無法劃清各部門的任務和責任，也無法讓各部門實現資源共享，協調溝通，化解團隊建設中的沖突與矛盾，降低成本。

(2)人力資源風險

①人員素質風險

廣西衛生職業技術學院從事信息化建設的工作人員結構、組織協調能力以及專業技術水平，直接影響著信息化建設項目的規劃、實施以及維護。在信息化項目完工之后需要專業技術人員對其進行長期的維護和更新，可是信息化建設專業技術人員不夠充足，知識結構也不同,原有的人員在三校合并重組時都重新擇崗到了新的崗位，現信息中心內部人員一共五名,其中一位是信息科長,原專業為生物化學,因為興趣愛好才慢慢自學進入了這個行業,所以在專業知識結構上存在缺陷,另外4名干事,平時由于身兼數職,所以在信息化建設時技術無法及時跟進,且崗位流動，沒能對系統進行及時完善和維護，所以當系統出現突發風險例如數據庫服務器崩潰等時，只能等待售后解決。

②組織協調風險

除此之外，學院信息化項目部門和人員間的交流不暢也帶來項目失調、延誤工期的風險。信息化項目的領導隊伍主要由校領導和相關人員組成，而項目施工隊伍主要由具有信息化系統項目實施管理經驗的業務人員和技術人員組成，若這兩支隊伍不能很好地組織協調，就容易導致流程失誤、資源和機會錯誤匹配，最終使得項目失調，延誤工期。在廣西衛生職業技術學院要求將學分制納入辦公系統時，由于開發方對學校需求分析不清，就導致了流程失誤的經歷。

③激勵風險

激勵機制的缺乏也在一定程度上削減了信息化項目的建設動力。廣西衛生職業技術學院行政管理層次較多，用人機制和淘汰機制不靈活，缺乏競爭和考核，無法對信息化相關人員做出合理的績效評價和獎懲機制。使得信息中心士氣低下，人員流失，也使相關工作人員缺乏進取心，而信息化風險主要是人的風險，如果相關工作人員沒有足夠的責任心和工作能力，也會影響到信息化的質量和效率。

(3)開發風險

①項目進度風險

在廣西衛生職業技術學院信息化項目建設的過程中，建設進度控制對整個項目的成敗至關重要。信息化項目是由許多子項目組成的，每個項目之間環環相扣，一個項目若沒有控制項目進度，沒有指定明確可行的實施計劃，就不能確保整個建設過程按照預期的步驟和實踐進行，這會使得整個項目開展無序，而工程進度的延時也會使得下一個項目無法正常進行，給下一個項目的開展帶來新的問題。年初在批量協議采購教學用電腦及相關IT設備時,由于廣西政府采購中心內部相關審批領導出差,耽誤了原定的采購時間,導致時間拖延,影響了正常的教學秩序。也正是因為IT設備沒有及時購買到位，導致了學院網絡部署沒有按時開工，影響了后續工程。

②質量風險

信息化項目在開展時，若沒有考察清楚原有管理系統和硬件設施的情況，沒有考慮到項目規模、專業人員素質以及業務的復雜程度等，就可能導致選擇實施的方式不正確，實施過程中所使用的技術不成熟，更新不夠及時，開發工具與數據系統不能很好地匹配，其開發的模塊和功能就無法有效集成，很可能面臨著重復開發無法集成統一的系統，子系統相互間無法實現數據聯動，硬件設備選型不匹配，使得最終可能會增加系統的復雜程度和不穩定性，甚至會導致系統失敗。

③財務風險

在開發中財務風險也不能忽視，廣西衛生職業技術學院信息化項目受各方影響投資彈性比較大，對經費的預算無法做到非常精確。在施工過程中，隨著廣西衛生職業技術學院三校合并的到來，項目需要投入的資金也隨之變化，實際投入資金往往會遠遠超過預算，在系統的維護、調整、升級、完善等后續工作中需要更多的資金投入，這都隱含著巨大的財務風險。

(4)技術風險

①信息技術風險

廣西衛生職業技術學院信息化建設中，信息化技術是推動建設的關鍵因素，信息化技術有別于其他技術，它難度大、更新快，需要專業人員進行操縱管理，若信息技術更新不及時，會造成系統與系統之間無法有效銜接和集成，也無法實現數據資源的同步共享與流通。

②外包風險

由于學院缺乏系統開發的技術人員，所以信息化項目中的一些子項目的建設采取了項目外包的形式。這種形式可以在一定程度上節約成本，獲取一部分經濟效益，由于項目承包者擁有更多的專業技術人員和更高的專業技術素質，所以不僅可以保證項目質量，帶來新技術新服務，而且還可以縮短項目建設時間。但是項目外包存在兩個較大的技術風險：第一，外包供應商的技術團隊對學校的管理工作沒有足夠了解，開發出來的項目與校方對信息系統的要求很難保持一致，容易出現系統實用性不夠，互聯性和擴展性不足等問題。而在項目建設的過程中使用的技術若是沒有經過試驗和檢驗，開發的項目可能會面臨系統與數據庫不能很好匹配，造成系統失敗的風險。第二，在項目外包過程中，外包供應商幾乎能接觸到全部的學校信息資源，如果信息資源泄漏，將給學校帶來無法挽回的損失。

③信息安全風險

信息安全也是學院信息化建設不可忽視的風險因素，信息安全是指保證學院信息資源的保密性、真實性、可靠性和完整性。我們將信息安全風險分為三個部分，第一個部分是數據中心的安全風險，第二是主要職能部門的安全風險，第三是教學區和宿舍區的安全風險。

數據中心的安全風險，主要包括信息設備風險、網絡風險、應用軟件風險、數據庫風險等。自然災害，自然老化或者人為破壞會導致信息設備的損壞并造成整個信息系統的破壞。網絡作為信息傳輸渠道也容易遭受到外部網絡的攻擊和計算機病毒的破壞，而路由器和交換機自身也存在著眾多的安全漏洞。目前廣西衛生職業技術學院的信息應用主要是WEB應用，WEB容易出現不完善的訪問控制、跨站點腳本攻擊等風險，再加上數據庫缺乏統一的數據備份和容災策略，這也將帶來數據庫管理風險[1]。

學院主要職能部門的工作人員一般將資料信息放置在辦公電腦上，容易遭到病毒破壞、黑客入侵等風險，信息就會丟失和泄漏直接將威脅到數據中心的安全。

教學區和宿舍區主要面臨著病毒入侵造成網絡故障的風險。計算機病毒出現的形式越來越多，據調查國內73%的用戶曾經受到病毒感染，其中有一半的數據用戶遭到了破壞。教師和學生在利用INTERNET進行工作和學習時，病毒很有可能會從網頁中破壞到整個信息化，造成數據的泄露和丟失。

由以上分析可知，廣西衛生職業技術學院信息化項目進行風險識別的結果主要包括決策風險、人力資源風險、開發風險和技術風險四種類型，如表2所示。

表2　高校信息化項目風險識別結果

四、廣西衛生職業技術學院信息化項目的風險評估

1.風險評估過程

風險評估就是在風險識別的基礎上，進一步綜合地進行風險分析。在風險評估這一步驟中，各風險管理主體關注的主要問題是如何對信息化建設中的風險進行度量評估。綜合考慮風險發生概率和風險影響程度兩方面可以對該項目風險進行評分。即可以用以下公式計算出具體風險的風險評分(R)：

風險評分(R)= 風險發生概率(P) × 風險影響程度(I)

在上述公式的基礎上，采用概率-影響(P-I)矩陣研究方法，對廣西衛生職業技術學院信息化項目風險評估的一般步驟如下：

第一步，風險發生概率分級賦值。如表3所示。

表3　風險發生概率(P)分值表

第二步，風險影響嚴重程度分級賦值。如表4所示。

表4　風險影響嚴重程度(I)分值表

第三步，項目風險管理評分組確定了參照廣西衛生職業技術學院信息化項目風險概率-影響(P-I)矩陣的各分值，運用矩陣分析法判定風險大小(見表5)。

表5概率-影響(P-I)矩陣

風險發生的概率和風險的影響是確定風險等級的基礎。通常將風險發生概率的分級數值和風險影響的分級數值代入風險概率-影響(P-I)矩陣來確定風險等級，表5顏色越深代表風險級別越高，將風險等級劃分為“很高、高、中、低、很低”5檔，其風險等級對照的劃分表6如表所示。

表6　風險等級的劃分

表7　對風險評分不同分值風險事件的基本應對措施

2.廣西衛生職業技術學院校園網信息化項目的風險評估結果

廣西衛生職業技術學院校園網項目風險管理小組參照項目風險概率-影響(P-I)矩陣的各分值，運用矩陣分析法判定風險大小，采用上面介紹的度量分析方法，依據信息化項目風險的不確定程度和對應每類風險造成損害程度的量化。由信息化項目評分小組對廣西衛生職業技術學院校園網項目信息化建設中形成風險發生的概率和損失進行評分分級，各專家評分詳情見表7，確定風險的具體影響程度并最后進行風險排序。最后，將各主要風險的風險評分形成的風險評估報告提交項目學院領導審閱。綜合考慮風險損失及其概率打分后統計得出有關廣西衛生職業技術學院校園網信息化項目的風險評估結果，如表8：

表8　廣西衛生職業技術學院校園網信息化項目風險評估結果

所以在廣西衛生職業技術學院校園網信息化項目風險中，風險重要性排序為財務風險、規劃風險、質量風險、項目進度風險、信息技術風險、領導風險、組織協調風險、外包風險、人員素質風險、信息安全風險、激勵機制風險。在廣西衛生職業技術學院校園網信息化項目建設中，我們可以參考對風險重要性的排序，有針對、有主次地實施風險應對措施，盡量使得項目實施的風險降至最低。

(責任編輯：梁京章)

參考文獻：

[1]吳海燕，戚麗，沈立強.數字校園信息安全保障體系的設計與實現[J].實驗技術與管理，2008(8)：1-6.

Research on the Risk Management of Informatization at Guangxi Health Vocational Technology College——Taking Guangxi Health Vocational Technology as an Example

LAO zhen-ni

(Guangxi Health Vocational Technology College,Nanning 530021,China)

Abstract：Taking the information program of Guangxi Health Vocational Technology College for example, we use the risk management approach to discern and assess the various risk of information program of Guangxi Health Vocational Technology College.Meanwhile, in view of the university informatization projects various risks type, this paper proposes some measures of risk ,such as establishing reacting mechanism of risk, the risk transfer, risk monitoring,which aims to provide further information construction of guidance, and for other university informatization construction project to provide experience for reference.

Key Words：Guangxi Health Vocational Technology College;informatization projects;risk management

中圖分類號：R197.323

文獻標識碼：A

文章編號：1671-9719(2016)6-0102-05

作者簡介：勞甄妮(1983- ),女，壯族，廣西南寧人，講師，研究方向為計算機教學。

收稿日期：2016-04-12修稿日期：2016-04-30