一种新的企业管理信息系统风险量化评价模型

董莉莉

（郑州职业技术学院现代管理系，河南 郑州 450121）

随着信息技术的发展，市场竞争日益激烈，环境的不确定性显著增加。这些因素都决定了其在企业管理信息系统（management information system，MIS）的风险评估中起着越来越重要的作用。目前，关于企业信息系统风险性的研究有风险管理［1－3］、风险因素分析［4－6］、风险评估等方面，其中关于MIS风险性的评估方法有灰色评估法［7－8］、基于层次分析的方法［9－10］、模糊综合评价法［11－12］，以及基于概率统计的方法［13］等。例如，文献［2］分析了企业在不同的生命周期阶段建设信息系统的需求及风险，并提出相应的对策；文献［4］基于信息系统项目实践以及软件工程原理分析了信息系统项目风险的来源，在此基础上进一步分析了信息系统项目开发中存在的7大类、36项风险因素；文献［7］提出了基于模糊分析的信息系统风险灰色评估模型，但该模型没有将管理因素考虑在内。总体来说，这些研究都能在一定程度上指导风险管理，但多属于定性分析且没有形成一个完整的指标体系，风险评价的方法对指标取值的依赖较强，尚不足以辅助企业对信息系统进行风险管理。

笔者结合项目的生命周期性建立一套企业信息系统风险评价指标体系，在此基础上，建立了风险性评价模型，并通过逐层分析评价的方法对风险性进行评价，为如何降低企业信息系统的风险性提供定量依据。

1 风险性评价指标体系

企业信息系统的构建被视为一项耗资巨大、技术复杂的工程项目，是企业信息化的重要组成部分。结合实施项目的程序，企业风险识别可以划分为前期准备、项目实施和事后评价3个阶段。基于上述划分，企业信息系统的风险性评价指标体系如图1所示。指标体系的具体内容如下:

图1 企业信息系统风险评价指标体系

（1）系统建设需求动力风险。企业内部环境的动力和外部环境的推力是影响信息系统是否成功的重要因素。该指标可通过业务管理需求动力以及外部环境的推动力这两个指标来衡量。其中，业务管理的需求动力可通过企业提高管理水平的迫切性、管理人员工作负荷的饱满度，以及业务流程重组的迫切性这3个指标来衡量。外部环境的推动力包括各级政府的推动力和外部市场的牵引力。各级政府的推动力通过各级政府政策的扶持力度、政策的稳定性两个指标来衡量；外部市场的牵引力通过企业主要竞争对手实施信息系统成功的比例、企业与供应链上下游企业信息的衔接度，以及行业受到的市场关注度这3个指标来衡量。

（2）人力资源风险。人是信息系统项目中最能动的因素，人员对管理信息系统的理解和使用情况直接影响企业实施信息系统的难易程度。该指标可通过高层领导的支持度、管理人员的控制力，以及技术员工的素质这3个指标来衡量。其中，高层领导的支持度通过高层领导对管理信息系统理念的认同度、对系统建设的参与度、对建设系统实施风险的认识程度，以及对项目的支持力度和推动力这4个指标来衡量；管理人员的控制力通过管理人员学历构成的比例、管理者的经验和管理人员的平均流动率这3个指标来衡量；技术员工素质通过技术人员学历构成比例、IT专业人才的储备率，以及技术人员的平均流动率这3个指标来衡量。

（3）企业信息化基础风险。信息化的基础是信息系统赖以生存的环境，主要通过企业信息化的战略地位、信息化的基础建设，以及信息化的应用状况这3个指标来衡量。其中，企业信息化战略地位通过首席信息官职位的级别设置和信息化规划制定情况这两个指标来衡量；信息化的基础建设通过企业对信息化的投入总额占固定总资产投资的比例、每百名管理人员计算机拥有量和网络性能水平等指标来衡量；信息化的应用状况主要通过信息化管理覆盖的部门情况来衡量。

（4）管理基础风险。管理基础是企业实施管理信息系统时需要慎重考虑的方面。主要从企业的基本情况、企业的生产特点、关键数据的可用性、企业文化的适应性、产品的市场竞争力，以及预期投资的可获性这6个指标来衡量。其中，企业的基本情况主要通过企业的总资产来衡量；企业的生产特点主要通过产品工艺的复杂性来衡量；关键数据的可用性主要通过现有物料编码体系的完整性和企业库存数据的准确率这两个指标来衡量；企业文化的适应性主要通过企业管理制度的合理性和现有企业文化与企业信息系统的文化磨合程度这两个指标来衡量；产品的市场竞争力主要通过产品的市场占有率来衡量；预期投资的可获性主要通过总资产周转率和净资产收益率来衡量。

（5）软件风险。软件开发设计是企业信息系统的重要组成部分。该指标主要通过软件选型风险和软件功能风险等指标来衡量。其中，软件选型风险主要通过企业能否清晰定义自己的需求和期望、是否制定了明确的整体选择目标、是否缺少专门技术人员和管理人员的参与等定性指标来衡量；软件功能风险主要通过软件功能与企业需求的满足程度、系统的集成性、操作者满意度、系统安全性、系统可靠性与稳定性，以及系统运行效率等指标来衡量。其中系统可靠性与稳定性和系统运行效率是定量指标，分别通过平均无故障时间和故障恢复时间、响应时间来衡量。

（6）实施风险。系统在实施过程中，存在一定的不确定因素。该指标主要通过项目的时间和进度控制、实施成本控制、质量控制，以及实施文档的完备性这4个指标来衡量。其中，项目的时间进度控制主要通过现有进度与预期进度的相符度来衡量；实施成本控制主要通过软硬件费用、培训费用，以及咨询费用等指标来衡量；质量的控制是对实施效果的评价，主要通过对已经实施的模块进行评价，包括已实施模块运行的正确度和用户对已实施模块的满意度两个方面；实施文档的完备性主要通过用户文档的完备程度、文档内容的描述与实际内容的一致性，以及用户文档的易理解程度这3个指标来衡量。

（7）转变风险。为更好地适应新系统，在管理和组织上的转变是难免的。它主要包括管理观念的转变、组织架构的调整，以及业绩考评体系的改革3个方面。为此，笔者主要通过企业资源利用率、业务瓶颈数量的改变、管理沟通模式的便利性，以及服务时间的改变这4个定量指标来衡量。

（8）效益风险。企业建立信息系统的最终目的是提高企业的效益，由此分析信息系统带来的效益风险十分必要。它包括4个方面:①直接经济效益，又称有形经济效益，主要通过收入的增加、成本的降低和生产效率的提高来体现；②间接经济效益，又称无形经济效益，主要通过加速效益、重组效益和创新效益来体现；③社会效益主要通过改善周边关系、提高劳动素质、提高社会信息化水平，以及促进生产自动化来体现；④战略效益主要通过领先新技术、提高竞争优势，以及提高市场份额来体现。

2 指标体系评价方法

2.1 评价模型的建立

根据企业信息系统风险性评价的指标体系，提出了一种新的企业信息系统风险评价模型，其主要的构成如图2所示。

图2 风险性评价模型

以企业信息系统的需求动力风险为例说明该模型的构成:①左墙由指标层构成。它包括业务管理需求动力和外部环境推动力；②屋顶由指标层的细化指标构成。它包括企业提高管理水平的迫切性、管理人员工作负荷的饱满度、业务流程重组的迫切性、各级政府政策的扶持力度、政策的稳定性、企业主要竞争对手实施MIS成功的比例、企业与供应链上下游企业信息的衔接度，以及行业受到的市场关注度；③房间由指标层与其细化指标之间的关系矩阵、各细化指标标准值及企业的实际值构成；④地下室由各细化指标的重要度、风险度，以及指标层对应准则层的风险性指数构成。

2.2 评价算法

根据已建立的风险性评价指标体系和评价模型，提出了一种新的细化高层指标（refining high indexes，RHI）算法，具体步骤如下:

（1）构建左墙。假设各指标层对应指标的重要度ki（i=1，2，…，m）有以下5个等级:① 1为重要度很小，是指标的最低分；②2为有一定的重要度；③3为较重要；④4为相当重要；⑤5为特别重要，是指标的最高分。

（2）构建屋顶。屋顶主要由各指标层的细化指标构成。

（3）构建房间。设各指标层的指标与各细化指标之间的关系度 rij（i=1，2，…，m；j=1，2，…，n）有以下6个等级:①0为该交点随对应的指标层指标与细化指标之间不存在关系；②1为该交点随对应的指标层指标与细化指标之间存在微弱的关系；③3为该交点随对应的指标层指标与细化指标之间存在较弱的关系；④5为该交点随对应的指标层指标与细化指标之间存在一般的关系；⑤7为该交点随对应的指标层指标与细化指标之间存在密切的关系；⑥9为该交点随对应的指标层指标与细化指标之间存在非常密切的关系。根据实际情况，必要时也可以采用中间等级。各细化指标的标准值及企业的实际值可以通过调查获得。

（4）明确细化指标之间的关系（同级评价指标具有相互独立性）。

（5）计算各细化指标的重要性评分hj及重要度h'j。其中，h'j取值越大，细化指标j越重要。各细化指标的重要性评分hj和重要度h'j的计算式如下:

（6）获得各细化指标的风险度wj。各细化指标风险度wj（j=1，2，…，n）采用当前风险指标值与标准值之间的差距与标准值之间的比值来衡量。

（7）计算各细化指标的风险指数Rj。根据各细化指标的重要度和风险度，风险指数的计算式如下:

（8）计算准则层指标的风险值（weighted average risk value，WARV）。

（9）各准则层指标的风险指数计算完毕后，转步骤（1）。根据以上步骤即可获得企业管理信息系统的最终风险指数。

此外，对于仍未能完全量化的指标，笔者采用A、B、C、D、E 这5个等级进行评估。A为非常满足条件；B为满足条件；C为较满足条件；D为一般满足条件；E为不满足条件。进而对各风险指标进行定量评价。

3 案例分析

现以某企业的信息系统为例说明评价指标体系、评价模型及算法的应用。通过调查企业中各相关部门人员，根据获得的数据确定重要性评分和关系度。然后建立评价模型，依据RHI算法最终获得该企业信息系统的风险性指数。首先对指标层（即业务需求动力和外部环境推力）的重要程度进行评分，其中，业务需求动力为5分，外部环境推力为1分。具体计算结果如图3所示。

准则层的其他指标值类同。其计算结果如表1所示。根据准则层的风险指标值，可以获得该企业MIS的风险指数，如图4所示。

通过逐层细化和定量与定性相结合的评估，计算出该企业MIS的风险指数为0.157。其含义是该企业建设MIS失败的概率为15.7%，同时通过图4中的数据可以看到实施风险的风险指数最高，因此在建设过程中应该积极采取措施规避其风险。

图3 企业信息系统的需求动力风险

表1 准则层风险指标值

图4 企业信息系统的风险指数

4 结论

信息技术的快速发展对企业而言，既意味着机遇也意味着挑战。如何降低由此带来的风险成为企业面临的艰巨任务。笔者在企业信息系统风险性分析的基础上，结合项目实施阶段，提出了一套企业信息系统风险性评价指标体系。根据建立的评价模型，通过提出的RHI算法实现了对企业信息系统风险性的评价，并通过实例进行了说明。研究丰富了企业信息系统的风险性评价理论，同时为如何降低企业的风险性奠定了理论基础。

［1］李志伟.信息系统风险评估及风险管理对策研究［D］.北京:北京交通大学图书馆，2010.

［2］李海莉.基于生命周期理论的企业信息系统建设风险与对策研究［D］.长春:吉林大学图书馆，2006.

［3］王英梅，刘增良，程湘云.信息系统风险评估与管理的定量化方法研究［J］.计算机工程与应用，2005（22）:8－10.

［4］常金玲.信息系统项目的风险因素分析［J］.情报理论与实践，2006，29（3）:318 －320.

［5］郭捷，刘淑芹.信息系统建设项目风险因素识别探讨［J］.中国管理信息化，2008，11（23）:70 －72.

［6］胡勇，漆刚，陈麟，等.信息系统风险量化评估指标体系［J］.四川大学学报:自然科学版，2006，43（5）:1048－1052.

［7］黄剑雄，丁建立.基于模糊分析的信息系统风险灰色评估模型［J］.计算机工程与设计，2012，33（4）:1285－1289.

［8］胡勇，吴少华，胡朝浪，等.信息系统风险灰色评估方法［J］.计算机应用研究，2008，25（8）:2477 －2479.

［9］付沙，肖叶枝，宋丹.一种信息系统风险评估的灰色多层次综合评估方法［J］.现代情报，2012，32（12）:40－43.

［10］王甲生，付钰，吴晓平.基于改进FAHP法的信息系统安全风险评估［J］.火力与指挥控制，2011，36（4）:33－36.

［11］梁丁相，陈曦.基于模糊综合评判理论的电力信息系统安全风险评估模型及应用［J］.电力系统保护与控制，2009，37（5）:61 －64.

［12］周广平.一种新的信息系统安全风险概率评估技术研究［J］.计算机仿真，2012，29（6）:149 －153.

［13］XUE C G，LIU J J，CAO H W.Study on risk evaluation of enterprise information systems［C］∥2011 International Conference on Advanced in Control Engineering and Information Science.［S.l.］:［s.n.］，2011:1889－1893.