（企业管理专业论文）基于内部审计的ERP实施风险管理研究.pdf

摘要 论文题目：基于内部审计的e r p 实施风险管理研究 学科专业：企业管理 研究生：魏云霞 签名：趣当睦 指导教师：朱宗乾副教授 签名：盥垄 摘要 e r p 项目实施由于涉及到业务流程重组、管理模式转变、组织结构调整等一系列变革， 整个项目应用涉及面广、难度大、周期长，从而使项目具有高风险特点。风险管理是项目管 理的重要组成部分，但e r p 项目实施中，由于风险管理工作主体缺失，对项目风险缺乏真 正有效的管理和控制。现实中，企业实施e r p 的项目组成员多是抽调各部门的业务骨干， 他们由于忙于本职工作，再加上分配的实施任务，同时由于项目组成员之间的利益关系，常 常使风险管理工作得不到真正贯彻和落实，导致流于形式，从而形成风险管理盲区。近年来 随着企业经营环境变得日趋复杂，企业面临的各种风险大大增加，仅提供监督职能的内部审 计部门越来越不适应现代企业发展需要，内部审计职能领域向企业风险管理方向发展。作为 企业的一个内部职能部门，内部审计若能在项目实施中进行全程的风险管理，可极大减少项 目风险，促进项目顺利实施，因此，将内部审计与e r p 项目实施风险管理相结合进行研究 具有重要意义。 本文在研究了大量国内外相关文献的基础上，以e r p 项目实施为研究背景，对内部审 计如何参与e r p 实施风险管理进行了深入探讨。论文首先对e r p 项目实施风险审计进行了 总体设计，分析了e r p 实施风险特点，并对内部审计在e r p 实施中的组织位置进行了定位； 其次，在提出e r p 实施风险审计流程的构建原则基础上，设计了流程框架及运行机制，构 建了e r p 项目实施风险审计流程，并详细阐述了流程中的各环节；然后在基于重点审计和 有限目标的考虑下，针对e r p 实施风险审计中的难点关键活动风险的量化，选取了三 项关键活动风险：e r p 立项风险、e r p 软件供应商选择风险以及e r p 实施培训风险建立了 相应风险评估模型，以供审计人员在实施风险审计中应用；最后运用实证验证了e r p 实施 风险审计流程与风险评估模型的有效性与可行性。 关键词：内部审计e r p 项目实施风险审计 本研究得到了陕西省教育厅专项资金资助( 编号0 7 j k 0 8 7 ) 西安理工大学硕士学住论文 t i t l e ：r e s e a r c ho ne r pp r o j e c tr i s km a n a g e m e n t b a s e do ni n t e r n a la u d i t m a j o r ：e n t e r p r i s em a n a g e m e n t n a m e ：y u n x i aw e i s u |z o n g q i a nz h u u p e r v i s o r ：z o n g qa nh u a b s t r a c t s i g n a t u r e ：冱吆i s i g n a t u r e 趣归 e r p p r o j e c ti m p l e m e n t a t i o ni sc h a r a c t e r e dw i t l l1 1 i g hi n v e s t m e n ta n dr i a kb e c a u s et h a tt h e p r o c e s si n v o l v e di nb u s i n e s sp r o c e s sr e e n g i n e e r i n g ，m a n a g e m e n tc h a n g ea n ds oo n 砒s k m a n a g e m e n ti s a l li m p o r t a n tp a r to fp r o j e c tm a n a g e m e n t ，b u td u et ot h ed e f i c i e n t i o no fe r p i m p l e m e n t a t i o nr i s km a n a g e m e n ts u b j e c t ，i ti sl a c k i n ge f f e c t u a lm a n a g e m e n ta n dc o n t r 0 1 i nt h e r e a l i t y , t h em e m b e r so fe r pp r o j e c ti m p l e m e n t a t i o na r eo f t e nt r a n s f e r e db yb u s s i n e s sb a c k b o n k f i o ma l ld e p a r t m e n t s t h e ya r eb u s yd o i n gt h e i rw o r k ，a d d e dt h ei m p l e m e n t a t i o nw o r ka n dt h e b e n e f i t so fm e m b e r so fp r o j e c t , w h i c hm a k et h er i s km a n a g e m e n tw o r kn o tb ed o i n gr i s k m a n a g e m e n tc a n n o tb er e a l l ye o n d u e t e d ，w h i c hl e a d st oam e r ef o r m a l i t ya n db l i n da r e a i nr e s e n t y e a r s ，c o m p o n i e dw i t he n t e r p r i s ee n v i r o m e n tc h a n g i n gc o m p l e x l y , e n t e r p r i s ei sf a c i n gm o r er i s k ， t h ei n t e r n a ld e p a r t m e n ti s n o ts u i t e db yd e v e l o p m e n tn e e d t h ef u n c t i o nf i e l do fi n t e r n a la u d i ti st o c h a n g ed i r e c t i o nf o re n t e r p r i s er i s km a n a g e m e n t t h ei n t e r n a la u d i ta sai n s i d ef u n c t i o n d e p a r t m e n t ，i fi tc a nc a r r yo u tt h ep r o j e c t yr i s km a n a g e m e n t ，t h i sh e l ps u c c e s s f u l l yi m p l e m e n t s o t h i sp a p e rc o m b i n e di n t e r n a la u d i ta n de r p p r o j e c ti m p l e m e n t a t i o nm a n a g e m e n th a ss i g n i f i c a n t m e a n i n g t h i s p a r p e rr e s e a r c h e dl a r g eq u a n t i t yo fi n t e r r e l a t e dw o r k s ，t h e nb a s e do nt h ee r p i m p l e m e n t a t i o n ，t h o r o u g h l yi n v e s t e g a t e dh o wi n t e r n a la u d i tp a r t i c i p a t i n ge r pi m p l e m e n t a t i o nr i s k m a n a g e m e n t f i r s t l y , t o t a l l yd e s i g n e dt h ee r pi m p l e m e n t a t i o nr i s ka u d i t ，t h e na n a l y z e dt h et r a i t s o fr i s ka n dl o c a t e dt h eo r g a n i z i o np o s i t i o no fi n t e r n a la u d i ti nt h ee r p i m p l e m e n t a t i o n ；s e c o n d l y , d e s i g n e dt h ep r o c e s sf r a m ea n di t sr u n n i n gm e c h a n i s m ，t h e nc o n s t r u c t e dt h ea u d i tp r o c e s so fe r p p r o j e c ti m p l e m e n t a t i o n , e l a b o r a t e dt h el i n ki nd e t a i l o nt h ec o n s i d e r a t i o no ff o c a la u d i ta n dl i m i t g o a l s ，s e tu pt h er i s ke v a l u a t i o nm o d e id i r e c t e dt o w a r d st h r e ek e ya c t i v i t i e s , w h i c hc a nb eu s eo f i n t e r n a la u d i t o r a tl a s tt h ev a l i d i t ya n dt h ef e a s i b l ea r ed e m e n s t r a t e db yt h ee m p i r i c a lr e s e a r c h 2 k e yw o r d s ：i n t e r n a la u d i t ；i m p l e m e n t a t i o no fe r pp r o j e c t ；础s ka u d i t 独创性声明 秉承祖国优良道德传统和学校的严谨学风郑重申明：本人所呈交的学位论文是我 个人在导师指导下进行的研究工作及取得的成果。尽我所知，除特别加以标注和致谢 的地方外，论文中不包含其他人的研究成果。与我一同工作的同志对本文所研究的工 作和成果的任何贡献均已在论文中作了明确的说明并已致谢。 本论文及其相关资料若有不实之处，由本人承担一切相关责任 论文作者签名：逮去藿箩年涉月日 学位论文使用授权声明 本人麴茎毽在导师的指导下创作完成毕业论文。本人己通过论文的答辩， 并已经在西安理工大学申请博士硕士学位。本人作为学位论文著作权拥有者，同意 授权西安理工大学拥有学位论文的部分使用权，即：1 ) 已获学位的研究生按学校规定 提交印刷版和电子版学位论文，学校可以采用影印、缩印或其他复制手段保存研究生 上交的学位论文，可以将学位论文的全部或部分内容编入有关数据库进行检索；2 ) 为 教学和科研目的，学校可以将公开的学位论文或解密后的学位论文作为资料在图书馆、 资料室等场所或在校园网上供校内师生阅读、浏览。 本人学位论文全部或部分内容的公布( 包括刊登) 授权西安理工大学研究牛部办 理。 ( 保密的学位论文在解密后，适用本授权说明) 论文作者签名：垃 导师签名：些坌兰 洳s 年 月 日 绪论 1 绪论 1 1 论文研究背景 企业资源计划( e n t e r p r i s er e s o u r c ep l a n n i n g ，e r p ) 已成为提高企业核心竞争力和内部 管理水平的重要工具。根据a m r 的研究统计，e r p 软件产品畅销度为6 7 ，直至2 0 0 9 年， 估计e r p 市场的年收入会以每年7 速度增长。企业实施e r p 系统能为企业提供好的经济 效益，然而e r p 实施的高失败率已成为公认的事实。根据国外s t a n d i s hg r o u pi n t e r n a t i o n a l 的调查研究，9 0 的s a pr 3e r p 项目延期；一项关于7 4 0 0 个i t 项目的研究表明，有3 4 的项目延期或预算超支，3 1 的项目被迫放弃、改变实施范围或修改调整，只有2 4 的项目 按时按预算完成【1 1 1 2 1 。有资料表明：在中国已经实施了e r p 的企业中，一般只有1 0 - 2 0 的 项目能按期、按预算完成，并实现系统集成；约一半左右的实施项目遭到失败【3 】。造成这种 状况的原因虽然是多方面的，但越来越被各方所认同的一个十分突出的问题就是在e r p 项 目实施中，项目管理人员对e r p 实施风险估计不足，缺乏在实施过程中真正有效的风险管 理。大多数项目经理认为风险管理是额外工作并且代价较大，当一个项目的时间比较紧张时， 对风险的管理通常会省略掉i l 】。现实中，企业实施e r p 的项目组成员都是抽调各部门业务骨 干，他们一方面要忙于本职工作，另一方面要从事紧张的系统实施工作，这样很可能由于风 险管理工作主体不明确，导致对项目实施风险的管理和控制流于形式，从而形成风险管理的 盲区，给项目失败结局埋下隐患。同时由于项目组成员之问的利益关系，在具体的风险管理 中往往会从自身的利益出发，采取短期化行为，选取非最有利方案，有时甚至出现逆向选择 问题，使风险识别和评价不客观，影响项目整体的风险管理效果。因此，对风险管理的主体 角色必须是独立的，它的基本职责是监察项目工作组【2 】。 当前内部审计的职能领域在向企业风险管理方面扩展。随着企业经营的外向化和复杂 化、经济全球化、资本市场一体化及网络技术普及化，使企业面临的风险日益复杂。这些风 险可能会使企业遭受灭顶之灾。因而，仅提供监督职能的内部审计已越来越不适应现代企业 发展的需要，内部审计开始围绕企业经营风险的识别、评估和防范，计划和实施审计工作， 以促进并协助企业改进整个控制系统，避免遭受严重损失。风险的识别和监控成为内部审计 的关注重点【4 】。 因此基于以上分析，一方面是e r p 项目实施风险管理实践中存在的问题，另方面是 内部审计向企业风险管理发展的趋势，本论文“基于内部审计的e r p 实施风险管理研究 具有较强的时代背景。 西安理工大学硕士学位论文 1 2 论文研究意义 e r p 项目实施是一项投入大、周期长、管理变革复杂的系统工程。企业有效地应用e r p 必然涉及到传统管理思想的转变、管理模式的改变、业务流程的重组、组织结构的调整、责 权利的再分配等一系列实际问题，整个项目应用涉及面广、难度大、周期长，从而使项目具 有高风险特点。然而现阶段，一方面由于项目实施风险管理主体不明，导致了风险管理工作 流于形式，造成项目最终失败结局。另一方面内部审计作为企业的一个内部职能部门，与风 险有着天然联系，为了给企业增加价值，提供更多服务，内部审计职能领域在向企业风险管 理方向发展。鉴于此，论文以内部审计进行e r p 项目实施风险管理研究具有如下意义： 第一，有利于e r p 项目实施风险管理工作的落实和推进，保障企业信息化项目成功实 施。由内部审计作为e r p 项目实施风险的管理主体，不但可以保障项目实施过程中的风险 管理工作，对于项目运行、维护阶段的风险管理也具有重要意义。同时由于其角色的独立性， 不参与具体实施工作，可保证对项目实施风险识别、评价的客观公正性， 第二，有助于提高企业实施信息化项目风险意识和风险管理水平，对项目实施过程中发 生的各种风险进行主动管理。由于内部审计和风险的天然联系及其职能特色，可利用其敏锐 的风险识别和监控能力，从第三方视角发现e r p 项目实施风险，提示和证实危害，并为企 业高层及时提供有关项目风险信息。e r p 实施风险审计的规范运作，能够让企业高层领导、 项目实施小组成员等随时保持足够的风险意识，形成有效的风险管理机制及进取的风险管理 文化。 第三，拓宽了内部审计的职能领域，深化了内部审计的范围和层次，为内部审计进行信 息化项目风险管理提供实现途径。内部审计发展的动力是为企业提供增值服务。e r p 实施风 险审计的研究将内部审计职能领域拓展到了信息化项目风险管理领域，将内部审计在企业中 的作用提高到一个新水平。 1 3 拟解决的主要问题及研究思路 1 3 1 拟解决的主要问题 如上所述，将内部审计设计为e r p 项目实施风险管理的主体角色有其可行性与必要性。 然而，内部审计经过多年的发展已有其内在的审计程序与工作流程，项目风险管理也有其一 般的管理过程，因此，论文解决的主要问题有： ( 1 ) 针对e r p 项目实施中的风险，如何将内部审计流程与项目风险管理流程相结合，研 究出一套适用于内部审计对e r p 项目实施风险进行审计的工作流程? ( 2 ) 在审计流程中如何实现对风险有效管理和控制? 本文的研究通过将内部审计理论和项目风险管理理论相结合，从审计流程设计角度出 发，研究出一套具有可操作性的适用于内部审计人员进行e r p 实施风险管理的审计流程， 2 绪论 使e r p 实施风险管理不仅有明确的工作主体内部审计，而且有规范的工作流程，通过 内部审计在e r p 项目实施中执行对风险审计的流程，达到降低e r p 实施风险，提高项目实 施成功率的目的。 1 3 2 研究思路 本文立足于企业方，以内部审计的视角，本着实现对项目风险进行有效管理的原则，从 综述理论基础及国内外研究现状开始，充分借鉴内部审计理论与项目风险管理理论，在分析 e r p 项目实施过程及特点基础上，首先进行e r p 项目实施风险审计总体设计，将总体设计 分为两大部分：一部分为e r p 项目实施风险审计流程建立；另一部分为针对审计流程中的 关键活动风险审计点，进行风险评估模型构建。在基于有限目标与重点审计的考虑下，并结 合e r p 项目实施过程中关键活动的顺序性，从中有有针对性地选取适当数量的关键活动建 立风险评估模型，为内部审计人员进行项目风险审计提供对关键活动风险评估量化的工具和 方法。最后通过实证验证本文所建e r p 实施风险审计流程和相应关键活动风险评价模型的 有效性。论文研究思路如图1 1 所示( 见下页) 。 本文采用文献研究与案例研究、定性研究与定量研究相结合的方法，尽量从多方面多角 度研究问题，旨在建立一套可操作性强的可指导内部审计人员进行e r p 项目实施全程风险 审计的工作模式。论文主要内容包括以下方面： 第一章，阐述论文研究背景及意义、论文拟解决关键问题和研究思路，使论文研究有一 个清晰的脉络。 第二章，进行相关理论基础与国内外文献综述。通过对国内外项目风险管理研究现状及 内部审计进行风险管理研究现状等的综述，充分借鉴前期研究成果，为本文奠定理论研究基 础。 第三章，对本文的研究进行总体设计，提出设计框架，并对风险审计对象及内部审计部 门在项目实施中的组织定位进行界定，这也是本文的研究基础和前提。 第四章，通过将项目风险管理理论和内部审计理论相结合，在建立审计流程框架和运行 机制基础上，针对项目实施风险，构建e r p 项目实施全程风险审计流程，并阐述流程中的 各环节。 第五章，针对选择出的关键活动风险建立风险评估模型，包括建立相应风险评价指标体 系、确定指标体系权重计算方法及评价方法。 第六章，实证研究部分，验证所构建的e r p 风险审计流程和关键活动风险评估模型的 有效性。 第七章，总结论文研究成果、创新点及不足，指出未来研究方向。 3 西安理工大学硕士学位论文 4 图1 1 论文研究思路 f i g 1 - 1t h er o u t eo fe s s a y 理论基础及文献综述 2 理论基础及文献综述 2 1 理论基础 2 1 1 内部审计理论 a 内部审计定义 内部审计是相对于注册会计师( 审计师) 事务所对企业组织所进行的外部审计( 习惯称 为社会审计或民间审计) 而言的，它无论是机构设置还是人员配备都是企业内部的。国际内 部审计师协会最新修订的内部审计实务标准是内部审计的权威标准，对内部审计新的定 义：“内部审计是一种独立、客观的保证与咨询活动，它的目的是为机构增加价值并提高机 构的运作效率。它采取一种系统化、规范化的方法来对风险管理、控制及监管过程进行评价 进而提高它们的效率，帮助机构实现它的目标【5 j 。 以上定义考虑了内部审计职业的国际化， 既容纳了传统的保证服务，又增加了咨询服务，强调了内部审计活动要增加价值，突出了介 入风险管理和高层管理过程的要求，将内部审计帮助组织实现其目标与对风险管理过程的评 价相结合，反映出内部审计顺应时势的需要，是现代内部审计的集中体现和重要里程碑，对 促进和推动内部审计的发展具有重要的现实意义。 我国内部审计基本准则第二条：“本准则所称内部审计，是在组织内部的一种独立 客观的监督和评价活动，它通过审查和评价经营活动及内部控制的真实性、合法性和有效性 来促进组织目标的实现【6 】。 内部审计是我国审计组织体系的重要组成部分。在我国内部审 计分为部门内部审计和单位内部审计。前者是政府部门内部设置的内部审计机构，对其管辖 的企业事业单位进行审计。部门内部审计通常在国家未设立派出机构的政府部门中进行。后 者包括企业内部审计和行政事业内部审计。 b 内部审计的主要任务和特点 ( 1 ) 内部审计的任务 内部审计的任务是指内部审计机构和人员，根据本单位的规定和主要领导的要求，所应 当履行的职责。它由内部审计的范围、对象等构成。 1 ) 内部审计的范围是本企业和本企业的所属单位( 含占控股或者主导地位的单位) 。 2 ) 内部审计的客体对象也就是工作内容，总括上说是指被审计单位的经济活动。具体 的审计对象包括：企业的政策、流程和操作；成本中心、利润中心和投资中心；明细帐、总 帐；信息系统；经济合同及方案：部门单位，如产品生产、服务部等；职能，如采购、营销、 生产、财务、会计、人力资源、数据处理等职能；经济活动，如销售、收款、成本会计、资 本性资产等；财务报表；法律和法规等。通常将对上述具体对象中，与企业的财务收支活动 相关的内部审计称为“财务审计”：与企业经营业务活动有关的审计称为“经营审计 ；对管 5 西安理工大学硕士学位论文 理制度和管理工作进行的审计称为“管理审计。由于后两种的目的都是揭示矛盾挖掘企业 内部潜力，以促进提高经济效益的，在国内又统称为“经济效益审计 。 3 ) 企业开展内部审计的目的主要有以下三点：检查评价经营活动的合法性、效益性； 检查、鉴定信息资料的真实性( 国际上习惯称公允性) ，包括会计信息资料、统计、决策、 方案、报告等；检查评价内部控制的健全性、合理性和有效性。 ( 2 ) 内部审计的主要特点 内部审计是相对于外部审计而言的审计类别，它既是本企业的审计监督者，又是本单位 企业在经济管理上的参谋。它与外部审计相比较具有自身的特点： 1 ) 服务的内向性。内部审计与外部审计不同，它是在本单位主要负责人的领导下开展 工作，一般只向本企业主要领导人负责并报告工作，因而具有服务上的内向性，这是内部审 计的基本特征。而外部审计则不同，注册会计师事务所进行的外部审计，依法接受委托办理 审计业务，向委托人出具报告，并为投资人提供一种外向服务。 2 ) 审计范围的广泛性。内部审计的审查范围十分广泛，与外部审计通常只单纯地进行 财务报表审计相比较，内部审计既包括对财务报表的审计，还包括企业经济效益和管理方面 的审计，同时还应当做到本企业需要开展各专项审计以及领导人临时安排的审计任务。因而 内部审计的范围更广泛也更灵活。 3 ) 审计的及时性。由于内部审计是本企业的一个部门，基本上可以做到对本企业的问 题进行及时审查和自查；不像外部审计是依据委托代理关系才能建立审计关系。 c 传统内部审计流程 审计流程指一个项目从开始准备到结束的整个系统化过程的先后顺序和工作内容，它是 审计中的导航图，指导审计人员工作方向。由于内部审计侧重于企业经营管理活动的检查和 评价，目的在于督促和帮助被审计单位堵塞管理漏洞，完善内部控制，提高经营活动的效率、 效果和经济性，而且企业高级管理层还十分关心审计之后的变化，关心对审计中发现的问题 所采取的纠正行动及其结果。因此，内部审计还需要重视后续审计工作。对于完整的内部审 计流程，一般包括准备阶段、实施阶段、报告阶段、后续审计阶段，每一阶段均有与其相适 应的具体工作步骤，如表2 1 所示。 6 表2 - 1 传统内部审计流程 t a b 2 - 1g e n e r a li n t e r n a la u d i tp r o c e s s 阶段步骤 明确审计任务，制定审计计划 委派审计人员，确立审计方式 确定审计重点，制定审计方案 审计准备 发送审计通知 理论基础及文献综述 续表2 1 深入调查，测试分析，找出问题 充分取证，查明真相 审计实施 做成记录，提出意见 汇总分析，综合评价 整理各种记录，酝酿审计意见 集中审查意见，起草审计报告 审计报告 征求被审意见，修改审计报告 上报审计报告，通知贯彻执行 整理审计资料，建立审计档案 定期回访，检查整改情况 后续审计 编写后续审计报告，总结审计效果 ( 1 ) 准备阶段。准备阶段是内部审计的规划阶段，主要是制订内部审计工作计划，包括 调查研究，搜集材料，分析情况，制定计划和审计方案，安排任务，配备人员，发出审计通 知书等审计前的工作。 ( 2 ) 实施阶段。在审计计划制定好以后，实施阶段主要就是对被审计对象的材料进行检 查、取证、分析和评价。主要包括以下内容：1 ) 对内部控制系统进行检查和评价，主要从 有关制度和实际运作方面，对被审计单位的内部控制系统是否健全、合理、有效，进行检查 和评价；2 ) 对审计事项进行实质性的检查，审查所有相关资料，对其合法性、可靠性、相 关性、正确性、充足性和有用性等进行分析判断、鉴定，确保有关证明材料具有证明力。作 为审计评价出具审计意见书，提出审计建议的可靠基础；3 ) 分析、检查和取证；4 ) 对结果 进行评价和总结。 ( 3 ) 报告阶段。内部审计的终结阶段主要工作内容就是撰写审计报告，所以也叫报告阶 段，包括组织撰写审计报告，征求被审计单位对审计报告的意见，向本单位领导报送审计报 告，批准后送达被审计单位，整理审计资料立卷归档等。 ( 4 ) 后续审计阶段。审计后续检查，是指针对被审计单位对审计意见书或审计决定中应 当采取的纠正性、防护性、建设性的措施是否及时、有效执行而进行的跟踪审查。 2 1 2 项目风险管理理论 项目风险管理是指通过风验识别、风险分析和风险评价去认识项目的风险，并以此为基 础合理地使用各种风险应对措施、管理方法技术和手段对项目的风险实行有效的控制，妥善 处理风险事件造成的不利后果，以最少的成本保证项目总体目标实现的管理工作。项目风险 管理理论的成熟和发展是以风险管理流程的建立为标志的。美国项目管理学会制定的 p m b o k ( 2 0 0 0 版) 中描述的风险管理流程为：风险规划、风险识别、风险评估、风险量化、 风险应对计划、风险监视与控制六个阶段。美国国防部根据其丰富的管理实践，建立了相 7 西安理工大学硕士学位论文 对科学的风险管理基本过程和体系结构，将风险管理过程划分为：风险规划、风险评估、风 险应对、风险监控四个阶段。我国的毕星、翟丽f 7 1 主编的项目管理一书把项目风险管理 的阶段划分为风险识别、风险分析与评估、风险处理、风险监视，并对风险管理的方法进行 了总结。从以上可以看出不同主体对风险管理过程的认识是不同的。一般的项目风险管理流 程包括风险规划、风险识别、风险评价、风险应对、风险监控五项活动，如下图2 1 所示。 风险规划风险识别风险评价风险应对风险监控 r i s k _ r i s k r i s k r i s k r i s k p l a n n i n g f d e n t i f i c a t i o n a s s e s s m e n t r e s p o n s e m o n i t o r i n g 图2 一i 典型的项目风险管理过程 f i g 2 1t y p i c a lp r o c e s so fp r o j e c tr i s km a n a g e m e n t a 风险规划 项目风险规划是项目风险管理的一整套计划，通过确定一套系统全面、有机配合、协调 一致的策略和方法，形成风险管理活动计划和实践形式的过程。主要是制定风险管理计划， 包括制定风险管理实施的目标、策略，定义项目组及成员风险管理行动方案及方式，选择适 合的风险管理方法，确定风险判断依据等，用于对风险管理活动的计划和实践形式进行决策。 b 风险识别 风险识别主要是确定风险的来源，有哪几类风险，是否会影响项目本身，并分析风险之 间是否有因果关系。由于风险的随机性和不确定性，不可能一次就把所有的风险都识别出来， 需要随时注意项目环境及项目自身过程的各种因素的变化。 风险识别的基本依据是客观世界的因果关联性和可认识性。基本思路有两种：一是从原 因查结果，就是先找出本项目会有哪些风险因素发生，发生会引起什么样的结果；另一种是 先从结果找原因，如已知项目进度会拖延，查找造成进度拖延的风险因素。 风险识别方法： 在风险的识别分析方面，目前已经有很多比较成熟的方法。常用的方法可以分为两大类， 即分析方法和专家调查方法，列示如下： ( 1 ) 幕景分析法 幕景分析由美国科研人员于1 9 7 2 年提出，它在假定关键影响因素有可能发生的基础上， 构造出多重情景，提出多种未来的可能结果，以便采取措施防患于未然。幕景分析的结果不 仅以人们比较容易明白了解的方式表现最可能的、最好的和最坏的后果，而且详细描绘在这 三种不同的情况下可能发生的事件和风险后果，提供给决策机构。鉴于计算机的高效率性质， 幕景分析一般都在计算机上进行。幕景分析方法特别适用于多目标相互矛盾的风险辨识。幕 景分析方法的优点是它可以扩展人们认识观察事件的视野范围，带给人们一种较为细致的思 维分析程序。但是，由于一切分析都是围绕分析者本人的知识、经验、信息和偏好来进行的， 8 理论基础及文献综述 因此分析结果很可能出现偏差。 ( 2 ) 专家调查法 专家调查法是目前风险识别分析中相当常用的方法。专家调查法有若干种，但以头脑风 暴法和德尔菲法用途最为广泛。 1 ) 头脑风暴法 头脑风暴法( b r a i ns t o r m i n g ) 是美国人奥斯本于1 9 3 9 年首创的一种刺激创造性、产生新 思想的技术。使用过程是：首先根据风险识别的目的和需要，邀请有关专家，通过会议形式 对拟定的项目开展讨论、分析，最后综合专家意见，做出判断，得到结果。为了保证结果的 有效性，使参会的每个人都有充分发表意见的机会，参加这种会议的人数不宜太多，一般只 有五、六个人，多则十来人。会议时间不宜太长，否则会使人疲劳、厌倦，很难产生新思想。 在参加人员的选择上，应注意使参加者不感到有什么压力和约束，如不要有直接领导人参与 等。会议之前应将有关资料预先发给拟定的人员，以便专家有充分的思想准备。将该方法用 于项目风险识别时，要提出类似于这样的问题：项目实施会存在哪些风险? 其危害程度如 何? 此法的优点是能较快地集中专家们的意见，得出项目风险识别的结论。缺点是各专家不 易充分发表意见，易受权威人士左右和能言善辩者的影响。对会议讨论的结果还需经过详细 的分析，既不能轻视，也不能盲目。 2 ) 德尔菲法 德尔菲法( d e l p h im e t h o d ) 是美国著名的咨询机构兰德公司于5 0 年代发明的。当时美国 空军委托该公司研究一个典型的风险识别课题：若苏联向美国发动核袭击，其袭击的目标会 选在什么地方? 后果会怎么样? 由于这个课题很难用数学模型描述，并且很难计算，因此兰 德公司想出采用专家意见方法。出于保密目的，以古希腊的阿波罗神殿所在地德尔菲命名， 表示集中众人智慧预测准确的意见。后来该方法被广泛推广运用于各种风险的预测和识别过 程中。在对项目面临的风险进行识别时，特别是比较复杂、影响比较重大而又无法用定量分。 析的方法加以识别的风险，德尔菲法是一种十分有效的方法。运用德尔菲法识别项目风险的 步骤： 确定调查内容； 聘请若干名专家，以调查表的方式向他们提问，同时提供项目有关资料； 专家们根据调查表所列问题并参考有关资料背靠背地提出自己的意见： 汇集专家们的意见，把这些不同意见及其理由反馈； 让每位专家第二次提出意见； 多次反复使意见逐步收敛，由风险管理人员决定在某一点停止反馈，最后得到基本 上趋于一致的结果。 使用德尔菲法，有时还要考虑专家意见的相对重要性。通常用专家积极性系数和专家权 威程度来表示。积极性系数是指专家对该项目风险调查关心与感兴趣的程度。专家权威程度 是指由于任何一名专家都不可能对调查中的每一个问题都具有足够的专业知识和权威性，这 9 西安理工大学硕士学位论文 应当成为意见评定中的一个参考因素。这一问题可以通过加权系数来解决。德尔菲法也存在 不足之处，例如，它只能反映被调查的专家比较一致意见，但这种意见为什么是正确的却无 法从理论上充分加以证明；运用尔菲法进行项目风险预测与识别时，受项目风险管理者主观 上对调查方法的选择影响较大，使结果可能发生偏差。但不管如何，运用德尔菲法所得出的 结果仍有十分重要的参考价值。德尔菲法近年来在国内外得到了广泛的应用。在应用时，应 根据实际情况，有所创新和发展。 ( 3 ) 故障树分析法 故障树方法的原理是从某一风险结果出发，遵循“以果导因 的原则，运用逻辑演绎推 理，对可能造成损失的各种原因进行分析，画出树状结构逻辑图，从而确定可能导致损失原 因的各种可能组合方式。该方法经常用于直接经验较少的风险辨识，通过对项目风险层层分 解，可使项目管理者对项目风险因素有全面的认识，在此基础上，对风险大的因素进行针对 性的管理。不足之处是该方法在应用于大系统时容易产生遗漏和错误。 ( 4 ) 核对表法 核对表就是根据以往的经验把可能构成项目风险的来源排列成一览表。将本项目的具体 情况与之对照可以直接识别出风险或从中得到启发。核对表可以包含多种内容，例如以前项 目成功或失败的原因、项目其它方面规划的结果( 范围、成本、质量、进度、采购与合同、 人力资源与沟通等计划成果) 、项目产品或服务的说明书、项目组成员的技能、项目可用的 资源等。 风险识别中应注意以下的问题：识别的风险是否全面? 满足辨识要求的数据、资料和实 验结果所需多少费用? 调查的结果有多大的置信度? c 风险评价 风险评价是对风险因素进行量化评估，对风险存在及发生的可能性以及将会给项目造成 的损失范围与程度进行估计和衡量，并确定风险与风险之间的相互作用以及潜在的一系列后 果，为制定风险控制对策提供依据。 风险评价方法： 风险评价的方法经过长期的研究运用，已经有很大的发展。常用的有以下几种： ( 1 ) 主观评分法 主观评分法是一种最常用的、最简单的、易于应用的风险定性分析方法。它的应用由两 步组成：首先，辨识出项目可能遇到的所有风险，列出风险调查表；其次，根据经验，对可 能的风险因素的重要性进行评价，综合成整个项目风险。具体步骤如下： 1 ) 确定每个风险因素的权重，以表征其对项目风险的影响程度； 2 ) 确定每个风险因素的等级值，如按可能性很大、比较大、中等、较小、很小五个对 应等级，分别以1 0 ，0 8 ，0 6 ，0 4 和0 2 打分： 3 ) 将每项风险因素的权数与等级值相乘，求出该风险因素的得分，进而求出此项目的 1 0 理论基础及文献综述 风险度。 这种方法通常还要请专家来进行打分，但由于专家的背景与认识的不同，应该根据具体 项目情况及专家的经验、专业、性格等对专家的权威确定一个权重。最后风险度为：每位专 家评定的风险度乘以各自的权威性的权重值，所得之积合计后再除以全部专家权威性的权重 值之和。 该方法适用于项目初期，缺乏具体项目数据资料的情况，主要依据专家经验和决策者的 意向，得出的结论是一种大致的程度值。 ( 2 ) 风险矩阵方法 风险矩阵是对项目风险( 风险集) 潜在影响进行评估的一套方法论。由美国空军电子系 统中一t l , ( e s c ，e l e c t r o n i cs y s t e m sc e n t e r ) 的采办工程小组于1 9 9 5 年4 月提出的。自1 9 9 6 年以 来，e s c 的大量项目都采用风险矩阵方法对项目风险进行评估。具体步骤：在识别出项目风 险后，填入风险矩阵中。风险矩阵是由风险栏、风险影响栏、风险发生概率、风险等级栏、 风险应对计划五个栏目组成的矩阵表，如表2 - 2 所示。 表2 - 2 风险矩阵样表 t a b 2 - 2r i s km a t r i xs a m p l et a b l e 警j 风险风险影响风险发生概率风险等级风险应对计划 当风险矩阵确定并有了一组输入值之后，接下来就是确定哪一种风险是最关键的，从而 将资源分配在哪里以消除项目最可能产生的风险。但原始风险矩阵中评估风险等级的方法可 能产生出一些风险结( r i s k st i e ，风险结是处于同一等级具有基本相同的属性还可以继续细 分的风险模块) 。为了处理风险结，e s c 的研究人员将投票理论应用到风险矩阵中，提出了 b o r d a 序值方法。使用风险矩阵进行分析时，采用b o r d a 方法根据下面提到的多个评价准则， 将风险按照重要性进行排序。 设n 为风险总个数( 与风险矩阵中的行数相同) ，设i 为某一个特定风险，k 表示某一 准则。风险矩阵只有两个准则：用k = l 表示风险影响i ，k = 2 表示风险概率风。如果7 ；托表示 风险i 在准则k 下的风险等级，则风险i 的b o r d a 数可由下式给出： 6 i = ( n - r , k ) 风险等级就由这些b o r d a 数给出。一个给定风险的b o r d a 序值表示其他关键风险因素的 个数。通过以上方法，可识别出风险因素并对其进行管理优先级排序。 ( 3 ) 模糊数学法 模糊数学评价方法是利用风险的不确定性这一模糊事实，将模糊数学的有限集和模糊子 集等概念引入风险分析中，进行模糊变换算出隶属度，以最大或最小隶属度评价原则或是其 他评价原则来判别风险。这是利用模糊数学的隶属度概念，即事物属于某一性质的程度，给 定指标权重，由专家给出模糊判断矩阵，借用矩阵乘法的运算法则，对所选方案进行综合评 价。当面对的问题较为复杂时，就需要采用多级模糊综合评价，通常是对评判因素进行分析 西安j e r - 大学硕士学位论文 研究，将它们划分为不同的层次，建立一个层次结构模型，之后从最低层次开始进行模糊综 合评价，最高层综合评判的结果就是对被评价对象的总体综合评价。 模糊数学法分析的复杂性与因素的关系不大，较易得出判断的标值，可以用逻辑或代数 的方式来表达人们的判断，有助于区别事物之间细微的差别，并可用日常用语确切表达标值， 但因存在因素数量的限制，不能检测判断其中的不一致。 ( 4 ) 层次分析法 层次分析法是一种解决某些系统性复杂问题的有效工具。这些复杂问题比较难于完全用 定量方法来处理，而层次分析法将它们分层简化，从解决简单问题入手，最后达到解决整个 系统复杂问题的目的。层次分析法本质上是一种决策思维方式，它把复杂的问题分解为各个 组成因素，将这些因素按支配关系分组以形成有序的递阶层次结构，通过两两比较判断的方 式确定每一层次中因素的相对重要性，然后在递阶层次结构内进行合成，得到决策因素相对 于目标的重要性的总顺序。 ( 5 ) 贝叶斯推断方法 贝叶斯一词源于l8 世纪英国的一个牧师t o m a sb a y e s ，由于他的发现使带有主观经 验性的知识信息，被用于统计推断和决策中来。当未来决策因素不完全确定时，必须利用所 有能够获得的信息，包括样本信息和先于样本的所有信息，其中包括来自经验、直觉、判断 的主观信息，来减少未来事物的不确定性，这就是贝叶斯推断原理。贝叶斯定理实质就是根 据先验概率和与先验概率相关的条件概率，推算出所产生后果的某种原因的后验概率。贝叶 斯推断原理用于风险评估时，可在众多的风险因素中抓住主要因素，提高风险分析的效率， 但运用这种方法时，先验概率和条件概率确定难度较大。 ( 6 ) 影晌图方法 影响图是由节点和有向弧组成的无环路的有向图，其中节点代表所研究中的主要变量， 有向弧表示变量间的各种相互关系，它是概率估计和决策的图型表现，是将b a y e s 概率应 用于图论的成果。它用图形表示变量间的关系，突破了传统的风险分析方法中假设每个风险 因素是相互独立，互不相关。利用影响图作为建模工具，可以解决风险因素之间存在的关联 问题。 ( 7 ) 蒙特卡罗模拟法 模拟是运用系统或方案或问题的描述模型进行试验，从而找出它们未来可能发生的变化 和变化规律。蒙特卡罗方法又称随机抽样技巧或统计试验方法，其基本思想是将待求的风险 变量当作某一特征随机变量。通过某一给定分布规律的大量随机数值，解算出该数字特征的 统计量，作为所求风险变量的近似解，具体方法是通过随机变量函数发生器产生一定随机数 的概率模拟，理论上试验次数越多，分布越接近真实值。 ( 8 ) 小组提名技巧 小组提名技巧一般用于计划、质量管理和过程改进等阶段。它是一个优先级系统，将个 人优先级结合为小组优先级，使一个小组在风险的相对重要性上快速达成一致。运用方法为 1 2 理论基础及文献综述 个人先将风险按重要性从l 排至风险的总数( 1 为最重要) ，所有人拟定的对某一风险因素 排名的总和就是风险分数，分数最低的风险便是最重要的风险。 ( 9 ) 人工神经网络 模拟人脑智能化处理过程的人工神经网络技术，通过b p 算法，学习或训练获取知识， 并存储在神经元的权值中，通过联想把相关信息再现，能够“揣摩“提炼”评价对象本身 的客观规律，进行对相同属性评价对象的评价可以模仿人脑的某些智能行为，具有自学习、 自适应和非线性动态处理等