企业信息化风险分析与防范

摘 要 本文建立了一套企业信息化风险评估的指标体系。对于该评估指标体系指 标的评估，采用了模糊评价的方法，将各级指标都划分为五个等级，由专家对 企业的各项指标进行分析，给出各项指标的等级值。在此基础之上，通过模糊 综合评估模型的建立，确定了企业信息化风险的综合评估模型。风险的辨识与 评估，最终都是为风险的控制而服务的。本文最后对企业信息化风险提出了相 应的控制策略。 关键词：风险识别；风险评估， ；风险控制 Abstract A indicator system for evaluating risks of informatization among textile enterprises is established in this paper. We adopted a Puzzle Evaluation Method to divide each index into 5 levels. The levels were sorted by experts who analyze those indicators. Then we designed a comprehensive evaluation model for risks of informatization among textile enterprises.Through identifying and evaluating these risks, at last we proposed some strategies on how to handle with them. KeyWords: risk distinguish；risk evaluate， ；risk contro； 目 录 第 1 章 现有研究成果综述 1 1.1 企业信息化的风险因素分析 .1 1.2 信息化建设的风险防范 .2 1.3 风险应对策略 .4 第 2 章 概念鉴定 5 2.1 我国企业信息化现状 .5 2.2 风险的定义 .5 2.3 企业信息化风险识别 .6 2.4 风险指标的设定 .7 第 3 章 建立模糊评估模型 10 3.1 企业信息化风险指标模糊评估 .10 3.2 风险评估的模糊综合模型 .16 第 4 章 常州市老三集团信息化项目立项与启动阶段风险的评估 20 第 5 章 企业信息化项目的风险控制 24 5.1 风险规避 .24 5.2 风险转移 .25 5.3 风险缓解 .26 5.4 风险自留 .26 总 结 29 参考文献 30 1 第 1 章 现有研究成果综述 以计算机技术、网络技术、通讯技术为代表的信息技术的迅速发展，使得 产业结构调整步伐加快，传统的运营模式受到强烈的冲击。信息资源作为最宝 贵的资源之一，已成为决定企业竞争力的关键因素。 企业信息化就是以现代化的信息处理技术和信息设备、网络技术和我网络 设备，以及自动控制技术和建成现代化的通讯系统等手段，对企业进行全方位、 多角度、高效和安全的改造，以实现通过信息流来控制物质流和能源流。企业 通过实施现代化，可以推动业务流程重组，有效降低成本，扩大企业竞争范围， 加快产品和技术创新，提高企业整体管理水平。 然而，企业信息化也是一把双刃剑。Standish Group 对财富500 强企 业的信息化项目连续 6 年的调查数据显示：只有 26%的信息化项目完全成功， 而 28%的项目完全失败，其余 46 的项目则超过了预算或工期。产生这样的结果， 主要是因为企业对信息化建设的风险认识不足。虽然，企业信息化的成功会给 企业带来巨大的竞争力，但是，如果不充分认识到企业信息化过程中的风险， 并采取相应的防范措施，那么信息化带给企业的影响很可能是反面的。 在这样的背景下，企业要实现信息化，就必须对风险进行系统化分析与量 化评估。论文将详细考察企业信息化过程中的风险，从定量和定性的角度进行 评估，对导致风险的因素控制，减小风险发生的概率。 目前，关于企业信息化风险相关问题的研究，主要集中在企业信息化的风 险因素分析、信息化建设的风险防范两个方面。其中，关于企业信息化的风险 因素分析的研究相对较多。 1.1 企业信息化的风险因素分析 对于企业信息化的风险因素，不同的学者提出了不同的观点。成都电子科 技大学王黎虹将企业信息化的风险概括为：企业文化风险、信息人才资源规划 风险、学习借鉴能力的风险、企业组织结构风险、制度风险、人员培训风险、 企业领导的认知风险、基础管理风险、技术管理风险、系统安全风险十个方面。 西北师范大学经济管理学院巫江将企业信息化的风险概括为：战略决策失误带 来的风险、来自软件开发商的风险、来自企业员工的风险三个方面。赣南师范 学院工商管理系刘福来和江西环境工程职业学院金志芳将企业信息化的风险概 括为立项与软件选择风险、实施风险、管理对接风险。华中科技大学经济学院 徐宗旺将企业信息化的风险概括为软件风险、硬件风险、供应商风险、目标风 险、组织风险、流程风险、控制风险、转变风险、员工风险、人力资源风险、 财务风险十一个方面。福州大学管理学院杨琦将企业信息化的风险概括为环境 风险、决策风险、实施风险、运行风险四个方面。上海烟草公司计算机信息中 心王伟民认为企业信息化的风险主要集中于课题的选择、系统开发的质量、费 用的控制、系统的安全、系统维护的能力五个方面。中山大学岭南学院王燕鸣 将企业信息化的风险归结为管理变革的风险、业务流程重组的风险、技术风险、 部门和人员间沟通不畅的风险、经费预算的风险、信息与信息系统安全的风险、 延误时间的风险、系统的协调升级和维护方面的风险、专业人员流失和变化的 风险、软件系统的选择风险、系统和人员之间误解造成的风险、盲目照搬他人 模式的风险。武汉市制造业信息化工程中心李翔将企业信息化风险概括为动机 风险、管理变革风险、组织风险、技术风险、服务商选择的风险、合同风险、 实施风险、时间风险、人员风险、使用和维护风险、发展中的风险十一个方面。 1.2 信息化建设的风险防范 企业信息化风险因素分析完成之后，下一步的研究往往是关于信息化建设 的风险防范。由于每个人对企业信息化风险因素的认识不同，因此，对于企业 信息化风险的防范也存在一定差异。西北师范大学经济管理学院的巫江将企业 信息化的风险防范归结为五个方面：第一，应当充分重视信息化总体规划，将 3 风险控制在可预见的范围内。信息化的总体规划是防范风险的最重要的手段。 如果把信息化过程中的隐患消除在规划阶段，就会大大降低风险。第二，应当 借助管理咨询的力量。在信息化规划时就找一家有实力的管理咨询机构是非常 必要的。由于目前我国管理咨询业不成熟，信息化咨询工作一般同时由软件商 承担，费用较低，但软件商出于自己的利益考虑，可能会回避或淡化信息化风 险。因此，选择专业的管理咨询机构比较妥当。第三，应当加强项目管理。项 目管理是企业实施信息化工程最有效的管理方法。第四，应当充分发挥信息工 程监理的作用。实施信息监理制度，是确保项目工程质量和进度的有效办法。 第五，应当建立良好的激励机制，调动员工信息化应用的积极性。而另一位学 者王伟民将企业信息化的风险防范归结为八个方面，分别是：风险防范思想、 项目管理规范、应用系统维护规范、组织结构、系统安全措施、人员培训、软 件档案、激励机制。 以上的研究从定性的角度，对企业信息化的风险提出了一系列防范措施， 这些成果可以为后续的研究和企业的实际操作一定的思路与线索。但是，若要 实现风险的防范，系统、合理风险的识别与评估是不可逾越的两个阶段，缺乏 风险识别与风险评估的基础，风险防范的措施就缺乏实际的可操作性。 在风险评估方面，人们已经总结出一些较为典型的定量评估方法： 1.概率树法 概率树是一种用来分析和进行风险估计的方法，它能帮助我们探索问题之 间的联系，简化问题并确定各种概率。 2.外推方法 外推方法是合成估计的一种方法，在预测和信号处理等学科中已大量采用。 对于风险估计来讲也是一种十分有用的方法。外推方法可分为前推、后推和旁 推。 3.MC 法（蒙特卡罗法） 风险管理中应用的 MC 方法，即蒙特卡罗方法，又称统计表试验方法，是 种依据统计理论，利用计算机来研究风险发生概率或风险损失的数值计算方法。 在目前的风险分析中是种应用广泛、相对较精确的方法。MC 方法源于第二次 世界大战期间 Von Neuman 和 Ulam 对裂变物质中子的随机扩散进行模拟的研究。 并以世界闻名的赌城蒙特卡罗作为该项目研究的秘密代号而得名。用赌城名称 作为随机模拟的名称，既反映了该方法的部分内涵，又易记忆，因而很快就得 到人们的普遍接受。 1.3 风险应对策略 风险应对常用的策略和措施有：风险规避、风险转移、风险缓解、风险自 留和风险利用，以及这些策略的组合。对于某一企业信息化风险，可能有多种 应对策略或措施。对于不同的主体所采用的风险应对策略和措施常常是不同的。 因此，从理论上说需要根据企业信息化风险的具体情况以及风险管理者的心里 承受能力及抗风险能力去确定风险的应对策略或措施。 5 第 2 章 概念鉴定 2.1 我国企业信息化现状 行业属劳动密集型产业，大部分是中小企业，其信息化程度普遍不高，据 中国协会对全国 1000 多家企业进行的应用调查，目前企业每年在信息化工作方 面的平均投入仅占其销售收入的 11%左右,这与发达国家大企业信息化的投入占 总资产 8%10%的比例相比，存在较大差距。信息化是一个长期的过程，从策 划、方案选择，到后来的软件实施，上线运行，系统维护和升级，能一条龙服 务的公司很少。在这个过程中，不断会有新的参与者，诸多的因素导致信息化 超出原来的时间和资金预算。信息化在硬件软件和网络上面的投资的是巨大的， 如果企业事前没有全面的考虑实施过程中的风险会导致项目的流产和超支。 目前，我国企业信息化总体程度不高。行业性软件开发力量薄弱，软件产 品少，企业管理软件应用比例低，信息化普及率低，电子商务起步慢，多数企 业管理方式落后，难以真正建立起小批量、多品种、高品质、快交货的市场快 速反应机制。 2.2 风险的定义 所谓风险就是某一特定危险情况发生的可能性和后果的组合。企业信息化 的风险是在实施信息化的过程中，由于外部和内部的不确定因素导致的风险。 从根本上讲，风险就是蒙受损失的可能性，和受损失的程度。 风险因素是指一组项目的基本组成部分，这些基本组成部分的性质、功能、 彼此之间的相互联系和相互作用以及它们组成项目整体的方式能够最终决定项 目的结果。风险驱动因子是指能产生或增加损失概率和损失程度的潜在原因。 风险因素、风险驱动因子与风险之间的关系如下图 1： 图 1 风险因素、风险驱动因子与风险关系图 包含 增加 引起 产生 引发风 险 因 素 风险 驱动 因素 产生 风险 事故 损失 偏离 目标 结果 风险 因素 2.3 企业信息化风险识别 风险识别是进行风险分析的重要要工作，风险识别就是要发现引起风险的 因素，对不同因素导致的不同后果进行分析，然后对风险因素进行控制，从而 减小风险发生的概率。 风险识别的方法有很多，比较常用的主要有以下几种： 1.专家判断。由于在风险识别阶段的主要任务是找出各种潜在的危险并做 出对其后果的定性估量，不要求作定量的估计，又由于有些风险很难在短时间 内用统计的方法、实验分析的方法或因果关系论证得到证实，所以，专家调查 方法就显得很有用处。专家调查方法近年来在国内外受到很大重视并得到大力 开发。以往先例项目积累起来的资料、数据、经验和教训，项目成员个人的常 识、经验和判断在风险识别时非常有用。对于那些采用新技术、无先例可循的 项目更是如此。专家判断不仅适用于风险识别而且适用于预测及决策过程专家 判断有两种方法即 Delphi 方法和问卷调查法。如用 DelPhi 方法，其程序如下: l)挑选专家组成小组，专家们彼此不了解，不会面;2)要求每位专家对所讨论的 问题进行匿名分析;3)所有专家都会收到一份全组专家的集合分析答案，并要求 所有专家在这次反馈的基础上重新分析。如有必要，该程序 2，3 步骤可重复进 行。风险调查问卷方法是一种基于某种风险分类标准识别风险主要来源的方法。 7 Standish GrouP 成功打分表和 McFarlanz 风险调查问卷都属于问卷调查法。一 般来说，当问卷中的问题得到否定的回答或者分值较高的选项，那么通常表明 有某个风险存在。 2.图表法。图表法主要包括因果图法(也称鱼刺图法)和故障树法，这两种 方法都是从结果查找原因。从结果查原因就是先找出项目会有哪些事件发生， 反向分析发生的原因。故障树就是利用图解的形式将大的故障分解成各种小的 故障，或对各种引起故障的原因进行分解。由于图的形状像树枝一样，越分越 多，故名故障树，这是分析方法的有力工具。 3.工作结构分解法。风险识别要减少项目的结构不确定性，就要弄清项目 的组成、各个组成部分的性质、它们之间的关系、项目与所处环境之间的关系 等。工作结构分解法是完成这项任务的有力工具。上面介绍了几种风险识别的 常用方法和工具，这些方法和工具在实践中要根据具体情况加以灵活运用，在 有些时候，不同方法和工具可以组合在一起使用，以获得理想的风险识别的效 果。 这些方法在实践中要根据具体情况加以灵活运用，在有些时候，不同方法 可以组合在一起使用，以获得理想的风险识别的效果。 2.4 风险指标的设定 系统地可以将企业信息化过程分成纵横两方面，横向包括企业信息化所涉 及的各个项目，包括信息及信息技术、管理、业务流程及环境领域，纵向是每 个项目实施信息化的整个过程。本文将从纵向将企业信息化项目分为三个阶段， 然后在每个阶段内逐个对其相关因素进行分析阐释。一般来讲，企业信息化项 目的整个生命周期包括三个部分，即:项目立项与启动项目实施结项。 对于企业信息化风险评估，我们只关注项目生命周期中的前两个阶段。即项目 的立项与启动阶段和项目的实施阶段。企业信息化风险指标体系如下表 1： 一级指标 二级指标 三级指标 信息采集风险 G11 信息不对称风险 G12 信息技术风险 G13 信息及信息 术风险 G1 信息安全风险 G14 流程重组的总体规划风险 G21 信息化项目组对实际流程的了解程度 G22 业务流程领域风 险 G2 信息系统对企业流程的改变风险 G23 信息化成功的关键人物选择风险 G31 信息化项目预先安排的优先度是否有可能发生变 化 G32 是否有规章合同来制约内部运作 G33 项目是否有因为人员的不合作而中止的可能性 G34 项目是否有因为别人的破坏而流产的可能性 G35 是否有合理的资金预算计划 G36 对信息化项目的质量管理 G37 企业战略目标和业务流程客观上对信息化的需要 程度 G38 管 理 领 域 的 风 险 G3 企业领导对信息化的态度 G39 经济环境 G41 社会环境 G42 立 项 与 启 动 阶 段 风 险 G 环境领域风险 G4 政府环境 G43 9 安全性、可靠性需求的合理性 G51项目需求分析风 险 G5 可扩展性需求的合理性 G52 系统运行方面 S11 系统修改方面 S12质量风险 S1 系统转移方面 S13 进度 S21进度与成本的风 险 S2 成本 S22 针对性 S31 精确性与同一性 S32 实 施 阶 段 风 险 S 系统文档的风险 S3 完整性 S33 第 3 章 建立模糊评估模型 3.1 企业信息化风险指标模糊评估 由于企业信息化项目的风险因素很多是主观性的，它们的权重也很难直接 地得到。因而，在对企业信息化建设项目的风险进行评估时，它们权重的确定 也只能运用间接的方法。本文运用层次分析法的思想来确定它们的权重。 层次分析法的基本思想：层次分析法作为一种分析过程，提供了一种因素 测度的基本方法。这种方法采用相对标度的形式，并充分利用了人的经验和判 断能力。在递阶层次结构下，它根据所规定的相对标度比例标度，依靠决 策者的判断，对同一层次有关因素的相对重要性进行两两比较。这种测度统一 了有形与无形、可定量与不可定量的众多因素。它不仅可以作为决策的依据， 而且也是解决许多社会经济系统问题的重要手段。正是这些特点使层次分析法 在处理社会经济系统问题重显示了强大生命力。层次分析法从本质上讲是一种 思维方式。它把复杂问题分解成各个组成因素，又将这些因素按支配关系分组 形成递阶层次结构。通过两两比较的方式确定层次中诸因素的相对重要性。然 后综合分析者的判断，确定决策方案相对重要性的总的顺序。整个过程体现了 人的思维的基本特征，即分解、判断、综合。因此，层次分析法是一种定量与 定性相结合，将人的主观判断用数量形式表达和处理的方法。根据对风险指标 的分析，形成了相应的递阶层次结构。因而可以用层次分析法来确定它们的权 重。 层次分析法的基本步骤：第一步，分析系统中各因素之间的关系，建立系 统的递阶层次结构；第二步，对同一层次的各元素关于上一层次中某一准则的 重要性进行两两比较，构造两两比较判断矩阵；第三步，由判断矩阵计算被比 较元素对于该准则的相对权重；第四步，计算各层元素对系统目标的合成权重， 11 并进行排序。 在确定企业信息化项目各风险因素的权重时，根据各因素之间两两比较的 思想，结合企业信息化项目的风险评估指标，关键是要确定下级因素层在上级 因素层中的权重。假定二级指标上的元素 Gi，作为准则，对三级指标的元素 Gi1,Gi2,.,Gij 具有支配关系，现在目的是在准则 Gi 下按它们的重要性赋予 Gi1,Gi2,.,Gij 相应的权重。对于多数的社会经济问题，直接得到这些权重 并不容易，往往需要通过适当方法来导出它们的权重。在确定各子因素层元素 的权重时，需要专家反复地回答问题：针对准则 Gi,两个元素 Gin 和 Gij 哪一 个更为重要，重要多少，同时对重要多少赋予一定的数值。对于判断两指标相 对重要性的判断尺度与评价规则，采用 19 的比例标度如下表 2： 表 2 判断尺度 评价规则 1 两指标相比，具有同样重要 3 两指标相比，一个比另一个稍微重要 5 两指标相比，一个比另一个明显重要 7 两指标相比，一个比另一个强烈重要 9 两指标相比，一个比另一个极端重要 2、4、6、8 介于上述两相邻判断尺度之间 倒数 指标 i 与 j 比较得判断 ，指标 j 与 i 比较得判断 1/ijaija 利用德尔非法和数据统计法，对处于同一级别的指标进行两两比较打分， 求得比较矩阵。设 n 个被比较的元素Gl，G2，G3，Gn形成一个两两比较 的矩阵为:G= ， 为元素 i 相对于 j 的重要性比例标度。*()ijGij 同层指标相对权重的计算：对处于同一层次的 n 个指标，经过德尔非法比 较，依据相应的准则，得到判断矩阵 G。 （1）计算矩阵 G 的每一行元素的积， ，i=1，2，3，n；1 niijMG （2）计算各行 的 n 次方根值， ，i=1，2，3，n。式中的iMniiW n 为矩阵阶数； （3）将向量归一化处理， 即为所求各指标的权值，计算公式：i ， 为计算权重值,则 W=( ， ， ， )即为所求特征1 /niiiWi 123nW 向量； （4）一致性检验，以上特征向量是否就是合理的权重分配，还需要对判断 矩阵进行一致性检验。其方法如下： 计算判断矩阵的最大特征值 ； max1()niiGW 计算一致性指标： ，查同阶矩阵平均一次性指标ax()/(IC 。 是 Saaty 构造的最不一致的情况值对于不同的比较矩阵中的指标原宿，IRI 采取 1/9，1/7，1，9 随机取数的方式赋予值，并且对不同的比较矩阵 用 100500 个子样，计算其不一致性指标，取得其平均值，记为 ，结果见IR 下表 3： 表 3 指标对照表 阶数 n 1 2 3 4 5 6 7 8 9IR 0 0 0.58 0.90 1.12 1.24 1.32 1.41 1.45 计算一致性比率 =( / )，当 =0 时，G 具有完全一致性，当RCIRC 时，G 具有满意一致性，当 时，G 具有非满意一致性，应当调整或.1RC 0.1 者舍弃不用。通过有目的的分配调整指标的权重，可以灵活的把握评价指标。 （5）根据 AHP 法建立的递阶层次结构，确定每个层次的风险指标的权重。 注意，每层权重要满足归一化条件。 对于目标因素层指标 G 下各指标的权重，依据专家意见构造判断矩阵 G， 13 具体数据处理结果如下表 4： G G1 G2 G3 G4 G5 W 一致性检验 G1 G2 G3 G4 G5 1 1/5 1/4 1/5 1 5 1 2 1 5 4 1/2 1 1/2 4 5 1 2 1 5 1 1/5 1/4 1/5 1 0.061 0.337 0.204 0.337 0.061 0.1RC 对于目标因素层指标 S 下各指标的权重，依据专家意见构造判断矩阵 S， 具体数据处理结果如下表 5： 表 5 S S1 S2 S3 W 一致性检验 S1 S2 S3 1 1/3 1/2 3 1 2 2 1/2 1 0.1634 0.5396 0.2970 0.1RC 对于一级指标 G1 下各二级指标的权重，依据专家意见构造判断矩阵 G1， 具体数据处理结果如下表 6： 表 6 G1 G11 G12 G13 G14 W 一致性检验 G11 G12 G13 G14 1 2 2 2 1/2 1 1 1/2 1/2 1 1 1/2 1/2 2 2 1 0.3925 0.1650 0.1650 0.2775 0.1RC 对于一级指标 G2 下各二级指标的权重，依据专家意见构造判断矩阵 G2， 具体数据处理结果如下表 7： 表 7 G2 G21 G22 G23 W 一致性检验 G21 G22 G23 1 4 8 1/4 1 5 1/8 1/5 1 0.6986 0.2370 0.0644 0.1RC 对于一级指标 G3 下各二级指标的权重，依据专家意见构造判断矩阵 G3， 具体数据处理结果如下表 8： 表 8 G3 G31 G32 G33 G34 G35 G36 G37 G38 G39 w 一致性检验 G31 G32 G33 G34 G35 G36 G37 1 1 1 3 2 3 3 2 1 1 1 1 3 2 3 3 2 1 1 1 1 2 1 2 2 1 1 1/3 1/3 1/3 1 1/2 1 1 1/2 1/3 1/2 1/2 1 2 1 2 2 1 1 1/3 1/3 1/3 1 1/2 1 1 1/2 1/3 1/3 1/3 1/3 1 1/2 1 1 1/2 1/3 0.1748 0.1748 0.1309 0.0547 0.1123 0.0547 0.0547 0.1RC 15 G38 G39 1/2 1/2 1 2 1 2 2 1 1 1 1 1 2 1 2 2 1 1 0.1122 0.1309 对于一级指标 G4 下各二级指标的权重，依据专家意见构造判断矩阵 G4， 具体数据处理结果如下表 9： 表 9 G4 G41 G42 G43 W 一致性检验 G41 G42 G43 1 1/3 1/8 3 1 1/3 8 3 1 0.082 0.244 0.674 0.1RC 由于一级指标 G5 下的二级指标都为两项，故可直接参照专家意见确定权 重如表 10： 表 10 G51 G52 W 0.6 0.4 对于一级指标 S1 下各二级指标的权重，依据专家意见构造判断矩阵 S1， 具体数据处理结果如下表 11： 表 11 S1 S11 S12 S13 W 一致性检验 S11 S12 S13 1 1 3 1 1 3 1/3 1/3 1 0.42857 0.42857 0.14286 0.1RC 由于一级指标 S2 下的二级指标都为两项，故可直接参照专家意见确定权 重如表 12： 表 12 S21 S22 W 0.5 0.5 对于一级指标 S3 下各二级指标的权重，依据专家意见构造判断矩阵 S3， 具体数据处理结果如下表 13： 表 13 S3 S31 S32 S33 W 一致性检验 S31 S32 S33 1 2 1/3 1/2 1 1/5 3 5 1 0.22752 0.12089 0.65159 0.1RC 3.2 风险评估的模糊综合模型 由于企业信息化进程的顺序性，在企业信息化项目的风险评估上，我们采 取对企业信息化项目的立项与项目启动阶段风险（G）与项目实施阶段风险 （S）分别进行独立评估的方法。因此，本文将针对项目的立项与项目启动阶段 风险（G）与项目实施阶段风险（S）分别建立各自的风险评估模糊综合模型。 17 但是，二者在原理与方法上完全相同，所以在下文的具体操作方法上，将以项 目的立项与项目启动阶段风险（G）的风险评估模糊综合模型为例，对于项目实 施阶段风险（S）的风险评估模糊综合模型的建立，其各步骤可同理得出。 1.建立相应的递阶层次结构 首先要把要分析的企业信息化项目的风险问题条理化、层次化，构造出一 个层次分析的结构。在这个结构下，复杂的风险问题被分解形成不同层次。同 一层次的元素作为准则对下一层次的某些元素起支配作用，同时它又受上一层 次元素的支配。 2.建立有关的模糊集 （1）定义主因素层指标集为 G（G1，G2，.，Gi） ；相应的权重集为 W（W1，W2，.，Wi） 。其中 Wk(k=1，2，i)表示指标 Gk 在 G 中的比重。1ikW （2）定义子因素层指标集为 Gk（Gk1，Gk2，.，Gkm） 。相应的权重 集为 Wk（Wk1，Wk2，.，Wkm） 。其中 Wki(i=1，2，m)表示指标 Gki 在 Gk 中的比重。 1 mkiiW （3）定义评语集为 F（F1，F2，Fn） ，其中 Fj 表示由高到低的各 级评语。在本文中，n5，F1，F2，F3，F4，F5 分别代表评语为风险很低、较 低、中等、较高、很高。 3.模糊评价矩阵的确定 定义 Gk 到 G 的模糊评价矩阵为 Rk， ，其中 12112nkmmnrrRrr . rij（i1，2，m；j1，2，n）表示子因素层指标 Gki，对于第 j 级 评语 Fj 的隶属度，也就是说，rij 表示的是从指标 Gki 来看项目属于第 j 级评 语所规定的模糊集的隶属度。rij 的值按照以下方法进行确定：给若干的专家 发放所设计的专家调查表格(见附录)，由专家对要进行风险评估的项目按照各 个影响因素进行评判。然后对专家的评估结果进行统计整理，就可以得到对于 指标 Gki 有 Fi1 个 F1 级评语，Fi2 个 F2 级评语，Fin 个 Fn 级评语，则对 于 i1，2，m 有： （j=1,2,3,n）1 /njijijrw 因此 Rk 是由子因素层到目标层的一个模糊映射。例如，有 10 个专家对某 一指标打分，结果分别是，2 人为风险很低，5 人为风险较低，1 人为风险中等， 另有 2 人打分为风险较高，没有人认为风险很高，则模糊隶属度分别为隶属 F1 是 2/10=0.2，隶属 F2 是 5/10=0.5，隶属 F3 是 1/10=0.1，隶属 F4 是 2/10=0.2，隶属 F5 是 0/10=0。则该指标的评价矩阵为 (0.2，0.5，0.1，0.2，0)。 4.模糊矩阵的复合运算 先对各子因素层指标 Gki 的评价矩阵 Rk 作模糊矩阵运算，得到主因素层 指标 Gk 对于评语集 F 的隶属向量 Bk：12*()kkkknBWRbb， ， ， Wk 在前边通过层次分析法确定，Rk 也由前述方法确定。实质上，Rk 是集 合 Gk 与集合 F 之间的一个模糊关系，根据矩阵的复合运算法则，Rk 确定了一 个模糊映射，它把 Gk 中的一个模糊子集 Wk 映射到 F 上的一个模糊子集 Bk 上。 Wk 是映射的原像，Rk 是映射的像。于是模糊评判实际就是己知原像(权重矩阵) 和映射(模糊评价矩阵)去求像的问题。Wk 中的单行与 Rk 中的第一列的复合运 算表示上一层次的第 k 个指标对 F 中第一个元素的隶属度；Wk 中的单行与 Rk 中的第二列的复合运算表示上一层次的第 k 个指标对 F 中第二个元素的隶属度； 依此类推。 19 记 R= 121ni12bBiin . . 再对 R 进行模糊矩阵计算，即可得到目标层指标 G 对于评语集 F 的隶属向 量 B, B=W*R=(w1,w2,wi)* =(b1,b2,bn) 1iB. 当 不等于 1 时，可作归一化处理。1 njib 因此，企业信息化规划风险总的模糊综合评价模型为： B=W*R=W* =W* 2i.12*iWR . 根据模糊综合评价模型 BWR，可以得到目标层指标 G 对于评语集 F 的 隶属度向量： B=(b1,b2,bn) b1，b2，bn 分别表示 G 对于评语 F1，F2，Fn 的隶属度。对于每 一级评语 Fj（j1，2，n）设定一个权值 fj，用于反映该评语集的重要性 程度，据此求出 B 中各分向量 bj 的加权平均值，即为最终的评价结果（V） V= 1 *njbf 最终评价结果 V 是一个代数值，取值范围在 0 到 100 之间，表示该企业信 息化建设项目信息化规划风险的最终评估结果。分值越低，说明该企业信息化 项目在所建立的所有评估指标上的综合表现越好，从而项目的风险越低；反之， 分值越高，说明该企业信息化项目在所建立的所有评估指标上的综合表现越差， 项目的风险也就较高。 第 4 章 常州市老三集团信息化项目立项与启动阶段风险的评估 老三集团位于江苏省常州市境内，占地面积 12 万平方米，厂房面积 20 万 平方米，固定资产超过 5 亿元，职工 7000 多人。拥有进口的大园织机 200 多台， 染色机 50 多台，多种后整理机 100 多台，绣花机 100 多台，缝纫机 5000 多台 及其他配套设备。该集团设备齐全、工艺完善、产品检测手段先进，是集制造、 染整、印花、绣花、水洗、成衣生产流水线，享有进出口经营权的生产企业。 生产针织，梭织种类面料坯布 25000 吨/年，成衣达 6000 万件（套）/年。年销 售达 1.2 亿美元。产品出口美国、日本、澳大利亚、香港、加拿大、韩国、英 国、法国、意大利、西班牙、印度、蒙古、墨西哥、新西兰、南非等国家和地 区。 企业高速增长的业务对内部管理能力，尤其对信息资源的处理能力、信息 系统的运行能力要求越来越高；与此同时，来自企业外部环境的压力也进一步 加大，信息技术的高速发展、国内外同行业竞争的加剧，使得该企业不可避免 的面临着国内外同类公司的挑战。为了在保持并提升企业在行业中的竞争力， 公司聘请专业信息化咨询公司与企业共同商讨制定了企业的信息化总体规划， 对企业原有的信息系统和局域网进行了改造与完善，本文对该企业 ERP 项目的 立项与启动阶段风险进行了测算和评估。 本文定义的风险等级的评语集 F 为：F（F1，F2，F3，F4，F5） 。其中， F1，F2，F3，F4，F5 分别代表评语为 I，II，III，IV，V，相对于项目各风险 因素，分别代表风险很低、较低、中等、较高、很高，并设定评语 F110 分， F230 分，F350 分，F470 分，F590 分，即： F（10，30，50，70，90） 。 在本项目风险评估中，共有十位专家，分别来自信息化咨询公司和企业信 21 息管理部门。通过向专家们发放设计的专家调查表，由他们对该项目所面临的 各种风险及其驱动因子进行评价。根据专家给出的评价值，可以得到主因素集 G1，G2，G3，G4，G5 的评判矩阵：1R 0. 7.2 0.61.5 4. .3250. . 02. 3 114R. .4 .350. 6. 0. 主因素层和子因素层指标的权重，根据前文层次分析法计算的结果，具体 数值为： W=（0.061 0.337 0.204 0.337 0.061） W1=（0.3925 0.165 0.165 0.2775） W2=（0.6986 0.237 0.0644） W3=（0.1748 0.1748 0.1309 0.0547 0.1123 0.0547 0.0547 0.1122 0.1309） W4=（0.082 0.244 0.674） W5=（0.6 0.4） 进而，建立企业信息化项目立项与启动阶段风险模糊综合评估模型： B=W*R=W* =W* 12iB.12*iWR . 其中： B1=W1*R1=（0.3925 0.165 0.165 0.2775） * =（0.238 0.55075 0.19475 0.0165 0） 0.1 7. 0.261.5 4. .3 B2=W2*R2=（0.6986 0.237 0.0644） * =（0.0064 0.18274 0.23658 0.41082 0. . 0.2151. .4 . 0.16342） B3=W3*R3=（0.1748 0.1748 0.1309 0.0547 0.1123 0.0547 0.0547 0.1122 0.1309）* =（0.36558 0.25089 0.6 3.1 0.25. 4. .0.3 . 0.124.51.0.0. 0.26044 0.1064 0.01669） B4=W4*R4=（0.082 0.244 0.674）* =(0.2592 3.0.24 . . 0.3244 0.4082 0.0082 0) B5=W5*R5=（0.6 0.4）* =(0.72 0.24 0.04 0 1.0. 0.3 6 0) 然后，根据以上所建立起来的模糊综合评价模型 B=W*R 可得到目标指标 G 对于评语级 F 的的隶属向量： B（b1，b2，b3，b4，b5） b1，b2，b3，b4，b5 分别表示 G 对于评语风险低、较低、中等、较高、高 的隶属度。 按照上述方法可以确定总体评价 B。 B=W*R=(0.061 0.337 0.204 0.337 0.061)* =(0.2276 0.348 0.1735 0.2111 0.0398) 0.1 2. 05.41. .3.30.2 .0. 以上的计算结果 B 即为该项目立项与启动阶段风险的综合评判结果，其表 明“风险低”的成分为 22.76， “风险低”的成分为 34.8， “风险中等”的 成分为 17.35， “风险高”的成分为 21.11， “风险高”的成分为 3.98。 最终评价结果 V 为： V= =0.2276*10+0.348*30+0.1735*50+0.2111*70+0.0398*90=39.71 *njbf 5 评估结果 39.75 分表明，该项目立项与启动阶段风险处于风险较低与风险 中等之间。 23 通过对以上计算数据的汇总分析可以发现，该项目立项与启动阶段的风险 处于风险较低与风险中等之间。这说明该阶段工作取得了一定的成绩，同时也 存在很多问题。企业应当对现有工作的漏洞进行反向调查，并采取相关措施进 行治理。从各风险因素的具体情况来看：对于信息及信息术风险， “风险低”的 成分为 23.8， “风险较低”的成分为 55.075， “风险中等”的成分为 19.475， “风险高”的成分为 1.65， “风险高”的成分为 0。这说明，该项 目的工作基本上是成功的，对项目最终结果产生不良影响的概率很小。 对于业务流程领域风险， “风险低”的成分为 0.64， “风险较低”的成分 为 18.274， “风险中等”的成分为 23.658， “风险较高”的成分为 41.082， “风险高”的成分为 16.342。这说明在项目相关问题上，现有工 作还存在着很大漏洞。问题主要集中在对于信息系统对企业流程的改变风险上， 因此，企业需要就相关问题进行进一步协商，同时进行相关调整。 对于管理领域的风险， “风险低”的成分为 36.558， “风险较低”的成分 为 25.089， “风险中等”的成分为 26.044， “风险较高”的成分为 10.64， “风险高”的成分为 1.669%。这说明，企业在管理领域的工作非常成 功，该项工作对项目最终结果产生不良影响的概率非常小。 对于环境领域风险和项目需求分析风险，数据显示这两项的风险比较低， 这说明该项目的工作是成功的。 第 5 章 企业信息化项目的风险控制 通过风险识别，我们可以发现项目存在的风险因素；通过风险评估，我们 可以深化对项目风险的认识，对其进行定量的分析和描述；而真正要达到提高 项目成功率的目的，关键一环是选择相应的风险控制措施，通过对风险驱动因 子的控制以达到减小风险事件发生的概率和降低风险损失程度的目的。 对于不同的风险有不同的风险控制策略。但是总的来说，从风险管理的角 度来看，项目风险控制的策略有四种。 5.1 风险规避 风险规避就是事先估计风险产生的可能程度，判断导致其出现的条件和因 素，并在行动中尽可能予以避免或改变行动的方向。从风险管理的角度来看， 风险规避是一种最彻底的消除风险影响的方法。虽然项目风险是不可能全部消 除的，但是借助于风险规避的一些方法，对一些特定的风险，在它发生之前就 消除它发生的机会或其可能造成的种种损失还是有可能的。 1风险规避的方式 风险规避的方式可以有两种：第一种是规避风险事件发生的概率；第二种 是规避风险事件发生后的损失。在实际操作中，两种方式往往综合使用。 2风险规避的方法 在项目风险管理中，规避风险的方法有：终止法、程序法和教育法等。其 中，终止法、程序法和教育法对于企业信息还建设项目的风险管理具有同样适 用作用。 （1）终止法 终止法是规避风险的基本方法，其是通过终止(或放弃)项目或项目计划的 25 实施来避免风险的一种方法。 （2）程序法 程序法是一种相对无形的风险规避方法，其要求用标准化、制度化、规范 化的方式从事项目的相关工作，以避免可能引发的风险或不必要的损失。 （3）教育法 任何项目的建设实施都离不开人的作用，实践表明，项目管理人员和操作 人员的行为不当是引起风险的重