闫华红,董 旭
(首都经济贸易大学会计学院,北京 100070)
目前关于企业信息化风险研究的热点集中在信息系统安全方面的风险评估,这也与当今世界探讨网络安全的热点相一致[1-2]。企业一旦发生信息安全问题,会给企业带来灾难性后果,这也是企业信息化进程中所重视的“硬件条件”。但对于企业而言,信息化风险不只局限于信息系统的安全风险,而是上升到企业信息化管理层面的风险 (即人员问题的“软件条件”)。因此本文从企业信息化管理的链条出发,识别每一环节可能存在的风险。
信息化风险的识别是进行风险管理的第一步程序,是指采用一种系统的方法,来识别企业信息化过程中各个方面的潜在风险,并识别各个方面较为重大的风险。只有明确识别了信息化的风险点才能有后续的风险评估及应对措施。
信息化风险是指企业实施信息化所带来的风险,企业在实施信息化的进程中,一方面要有足够的“硬件条件”,即先进的设备设施以及安全的防护措施。另一方面,像员工能力、高层管理能力等“软件条件”,同样是确保企业信息化进程顺利实施的保障。按照信息化风险可能对企业造成损失的关键环节,我们将信息化风险分为信息系统风险、控制人员风险和信息战略风险三种。
(1)信息系统风险。
信息系统风险是指企业所依赖的信息管理系统本身存在缺陷,导致系统不能正常运行所造成的损失,它又分为系统缺陷风险和系统安全风险。
信息系统的数据处理流程包括数据的输入、处理和输出。系统内部缺陷风险是在这三个环节中,因系统设计缺陷导致数据处理结果的错误。当企业采用信息系统进行数据处理,替代手工数据处理时,自数据被录入系统开始,之后系统的处理以及结果的输出就取决于系统设计是否正确。一方面,在进行系统设计环节之前,必须要对现有系统以及拟构建系统进行系统分析,了解企业的业务处理流程,并随时与企业人员进行沟通,以确保拟构建系统数据处理、输出的正确性。另一方面,系统在接受用户数据处理请求时,需要设计数据有效性校验模块,确保用户输入数据的正确性,并能够被处理。
随着企业规模的扩大,系统接入用户的逐步增加,系统也越来越依赖企业的intranet网络。如果intranet遭到攻击或者破坏,会导致企业数据处理中断,影响企业的日常运营。信息资产风险面临的主要问题是故障保护和保全[3],而在系统安全中,用户识别和数据加密则是核心。系统将企业业务流程电子化、数据资料电子化、操作人员电子化,增加了无关人员访问的可能性。需要采用用户登录密码实现不相容职责分离,同时对数据资料进行加密,甚至在数据传递前将数据转换为不可读格式,以确保企业经营资料的安全。
(2)控制人员风险。
系统控制人员包括操作企业信息系统的操作人员和使用信息系统报告的管理人员。在企业信息化初期,由于操作人员对信息系统的不了解,错误的操作可能致使系统数据处理错误甚至丢失,无法生成正确的信息,为企业管理造成损失。而管理人员因不信任系统生成的信息,或因不理解系统处理流程造成错误使用信息,同样会导致企业发生损失。但该项风险可能会随着系统使用期限的增长,控制人员的经验曲线效应而逐步降低。此外,控制人员风险还涉及对企业信息化内部控制各方案的设计合理性和执行有效性。如果企业对信息化后系统日常运行、权限管理、灾难恢复等没有制定合理的内部控制制度或者内控执行无效,即使再完备的系统也会导致风险的发生。
(3)信息战略风险。
信息战略风险主要是指企业管理层做出了不恰当的企业信息化战略决策,致使企业信息化失败造成损失或者信息化规划不合理致使管理效率低下[4]。所谓“企业不上信息化是等死,上了信息化是找死”,折射出企业对于信息化期盼与恐惧。信息化是未来企业发展的大趋势,但企业经历信息化的过程,不仅是一项重大的投资,更是一个梳理企业现有业务流程和规划未来业务流程的机遇。稍有不慎会导致企业信息化失败或产生了信息孤岛、重复建设的问题。
若管理层对企业业务不了解,盲目采用信息化,就会使企业的信息化陷入僵局,导致失败。此外,若管理层对企业未来的信息化战略缺乏规划,会导致信息孤岛或重复建设。企业在分阶段实施信息化时,标准不统一是导致信息孤岛的根源[5]。例如各系统间信息编码的关键字不同,导致跨系统信息处理时,需要人工辅助转换,增加了人力成本,降低了信息化的效率。
(1)自身识别方法——头脑风暴法的应用。
对于企业而言,信息化风险的三个部分,即信息系统、控制人员和信息战略,由上涉及企业的高管人员,自下涉及企业的普通员工,企业的全体人员都参与到了企业信息化的进程中,因此对于信息化风险识别的方法首先可以采用集思广益的头脑风暴法。
在实际应用中可以将企业内部各个部门设成集思小组,各部门的成员可以畅所欲言,通过自身在企业信息化进程中的工作,阐述自己对企业信息化应用中风险点的认识;再通过各部门内部集体讨论,形成一致决议上报上级部门。上级部门对下属各部门的观点进行总结提炼,完成对企业信息化风险的识别。
普通员工通过操作信息系统可以发现信息系统中的风险点;中层管理者,通过使用信息系统决策可以发现信息系统中的风险点;高层管理者通过普通员工和中层管理者反馈的信息可以发现原定信息战略的实现情况,并对于未来的信息战略进行规划。因此,采用头脑风暴法,保持顺畅的信息沟通渠道,完成对企业信息化风险的内部识别。
(2)外部识别方法—德尔菲法的应用。
企业自身员工对信息化风险的识别往往只是从表象进行识别,如果要识别风险的本质还需借助专家意见。利用专家对于某领域的了解以及经验,可以更准确地把握企业信息化风险点,专家通常会设计指标,量化风险大小,其识别结果比企业员工的直观认识更有针对性。
不同种类的风险可以聘请专门领域的专家进行评估。针对企业信息化中的信息系统风险,可以聘请注册信息系统审计师 (CISA)进行审计,注册信息系统审计师关注企业信息系统的安全性、稳定性和有效性,通过其审计的经验以及对系统的了解,可以有效识别出企业信息系统的风险点;针对控制人员风险,可以聘请人力资源管理师(HRP),通过考察企业的培训流程,跟踪评价企业员工的学习能力来识别企业信息系统控制人员的风险;针对信息战略风险,可以聘请战略咨询师,通过分析企业管理层制定信息战略的过程以及制定依据,管理层的知识水平和经验能力识别企业信息战略风险。
在具体采用专家意见时,可以将每类专家分成专家小组,为了避免小组中专家意见受权威专家的影响,可以借助德尔菲法,即采用背对背的通信方式征询专家小组成员的预测意见。企业可以聘请相关专家深入企业调研,然后采用函询的方式征求各方面专家的意见,各专家在互不通气的情况下,根据自己的观点和方法进行分析,然后企业把各个专家的意见汇集在一起,通过不记名的方式反馈给各位专家,请他们参考别人的意见修正本人原来的判断,如此反复多次与专家磋商确定最终的专家意见结果[6]。
风险的评估是在识别出风险的基础上,通过系统的评估方法和评估指标,确定风险发生的概率和可能损失的金额。只有经过风险评估后,才能确定企业所面临的重大风险,并针对重大风险采取相应的应对措施。根据对企业信息化风险的分类,本文采用层次分析法建立企业信息化风险评估模型,信息化风险的总目标层如图1所示。
图1 信息化风险总目标层
(1)信息系统风险因素识别。
对于一般企业而言,信息系统的构建通常是外聘专业的系统设计团队来进行。那么对信息系统内部缺陷的风险程度的评估,外部因素可以评估系统设计团队成员的专业胜任能力、成功经验、专长领域以及对企业业务流程和财务流程的理解程度,团队与企业之间的沟通效果,系统设计进度安排;内部因素可以评估系统的出错频率,例外报告,以及出错后的修改质量与效率。而信息系统的安全性则通过使用的防病毒软件的厂商信誉,数据信息备份情况,信息系统灾难恢复能力,信息传输加密情况进行评估。
(2)控制人员风险因素识别。
操作人员风险因素的识别,控制人员风险中的人员错误,无论是操作人员错误还是管理人员错误,可以通过培训的次数,培训考试成绩,结合人员的学历水平,人员的信息安全意识,操作人员或管理人员的错误频率等指标进行评估。而管理制度的有效性,可用针对信息化的内部控制范围合理性,内部控制流程完备性,违规操作或使用信息的情况,内控的出错频率等指标进行评估。
(3)信息战略风险因素识别。
信息战略风险无论是信息化失败还是信息孤岛或重复建设,都是由于管理层的信息战略规划不合理,因此评估信息战略风险可以将信息化失败和信息孤岛或重复建设合并为一个问题进行。评估战略风险可以通过信息化战略目标,管理人员自身风险认识,可行性分析报告,信息化项目进度计划,资金预算,资金监控,信息化效果评估来完成。
在对信息化风险进行评估时,可以借用德尔菲法对层次分析法中的各影响因素权重进行打分,对不同层次的子问题权重进行打分,并综合两项打分结果计算各因素相对于总问题X的总权重,并在获得权重的基础上评估各影响因素的得分,乘以权重数,计算企业信息化风险得分 (见图2)。
图2 信息化风险评估图
表1 因素权重分值表
(1)对于各因素权重的打分。
在本文中所对各因素权重打分时,需要对所有因素进行两两比较,将比较的结果按重要性大小,用表1的得分形式予以量化,量化值越大,说明前一个因素相比后一个因素越重要。
将两两比较结果用判断矩阵Y列出,便于计算各因素相对权重,其中uij表示第i个因素相对于第j个因素的重要性得分。
Y=[┋⋱┋]
(2)对于同层次各子问题权重的打分。
对不同层次各子问题权重的打分方法与对于各因素权重的打分方法相同,可以直接进行,只不过将两两因素之间打分替换成对同层次两两子问题之间打分。
(3)总权重的计算。
在本文中所运用层次分析法分析信息化风险时,凡处于同一层次的所有子问题或子问题下属因素,全部是不相关的,因此可以直接用最底层影响因素的自身权重乘以该因素所对应上一层次子问题的权重。举例:假设为评估信息化风险X,根据德尔菲法对各层次问题进行评分,根据层次分析法分配权重 (见图3)。那么对于“数据备份”这一因素在企业信息化风险中所占比重为30% ×60% ×20%=3.6%。
(4)各影响因素得分及总得分的计算。
按照德尔菲法,参评专家按照其自身经验、企业的现状以及行业的现状综合考虑,将影响企业信息化风险的各因素予以评价,评价与对应分值如表2所示。
表2 因素评价分值
将各因素得分乘以各因素占企业信息化风险的总权重再相加,计算出企业信息化风险的最终得分如图3所示。
图3 信息化风险评分体系
企业在实施信息化的过程中,起点是企业高层管理者的信息战略,成果是企业构建的信息系统,再通过控制人员的日常使用反馈信息,以供高层管理者进行进一步的信息战略决策。因此企业在进行信息化管理中,必然会受到“硬件条件”和“软件条件”两方面影响。从“硬件条件”而言,信息系统本身存在的错误或安全风险是风险因素之一;从容易被忽略的“软件条件”而言,操作或管理人员的风险亦是风险因素之一。因此我们认为企业信息化过程中,信息化风险是企业因为信息系统本身、系统操作人员和信息化战略三方面的问题导致产生损失的可能性。
我们认为应以信息化风险三大分类为基础,再对每一个大类进一步细分,总结出风险的具体影响因素,借助层次分析法构建影响因素判定矩阵,计算各影响因素的分数和相对总风险的权重,构建企业信息化风险评估模型,从而为企业对自身信息化风险进行动态监测提供借鉴。企业在治理信息化风险时,既要重视技术因素又要重视人的因素,信息化风险的控制是技术与制度、软件与硬件、信息与道德等方面的综合控制,需要企业多方面的配合,要注意克服目前有些企业片面重视技术在风险管理中的地位,导致技术越发达,风险损失越居高不下的恶性循环。
[1]Fenz Stefan,Ekelhart Andreas,Neubauer Thomas.Information security risk management:in which security solutions is it worth investing?[J/OL][J].Communications of AIS,2011,(28):329 -356.
[2]金光华.风险管理型会计控制信息系统研究——会计信息化发展的新阶段[J].会计之友.2008,(4)(中):5-12.
[3]Yang,Huanchun.Risk evaluation model on enterprises'complex information system:a study based on the BP neural network[J].Journal of Software,2009,Vol 5,No 1:99 -106.
[4]陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究,2007,(1):30-37.
[5]卞保武.论企业信息化中的“信息孤岛”问题[J].中国管理信息化,2007,(4):22 -25.
[6]孙宏才,田平,王莲芬.网络层次分析法与决策科学[M].北京:国防工业出版社,2011.35-45.