（管理科学与工程专业论文）信息化项目风险评估的研究.pdf

北京变通人学硕j ：学位论文 摘要 随着信息技术的飞速发展，信息化已经渗透到社会的每个角落。 作为信息化的重要组成部分各种信息化项目特别是信息系统已 经被广泛应用到各个高技术领域和组织的生产、经营、管理等过程， 组织的管理效率在很大程度上得到提高。然而，也应该看到，信息化 项目的成功率仍然很低，大量的人力物力被浪费，信息化社会高速发 展的需求无法得到满足。换句话说，信息化。方面具有诱人的前景， 但另一方面也存在着很高的风险，相当部分的信息化项目存在着失败 的危险。 本文以信息化项目的风险评估为目标，探索信息化项目中存在的 风险因素及其影响程度，在定性分析的基础上对各种风险因素进行量 化并建立起定量的风险评估模型。 论文的第一部分为研究背景、研究方法、研究内容和目标，该部 分主要介绍了国内外风险管理特别是信息化风险管理的研究现状：第 二部分结合信息化项目的特点分析了项目风险识别的几种方法，并对 信息化项目的几种风险进行较为系统的剖析；第三部分对比分析了信 息化项目风险估计的几种方法，同时通过实例对这几种方法的应用做 了进一步的论述，归纳了各种方法的适用条件：论文的第四部分详细 地介绍了风险评估的几种方法在信息化项目风险评估中的应用情况， 在总结前人研究成果的基础上，本文构建起具有6 0 多个风险因素指 标的信息化项目风险评估指标体系，并结合信息化项目的实际，提出 了信息化项目风险评估的多层次模糊综合评估模型。 论文的最后一部分展示了基于多层次模糊综合评估模型的信息化 项目风险评估决策支持系统的开发思路，介绍了该决策支持系统的总 体结构并简单阐述了模型库子系统、用户界面和数据库系统的设计理 念。 关键词：信息化项目、风险评估、决策支持系统 北京交通大学硕上学位论文 a b s t r a c t i n f o r m a t i o n t e c h n o l o g yd e v e l o p s a ta n u n i m a g i n a b l es p e e d a n d i n f o r m a t i z a t i o nh a si n t e r p e n e t r a t e di n t oe v e r yc o r n e ro fo u rs o c i e t y a s t h em o s t i m p o r t a n tp a r t o f i n f o r m a t i z a t i o n ，v a r i o u s k i n d so l 、 i n f o r m a t i z a t i o np r o j e c t s ( o ri tp r o j e c t s ) h a v eb e e nw i d e l ya d o p t e di na l l h i g h - t e e h f i e l d sa sw e l la si na l l p r o c e s s e si n c l u d i n gm a n u f a c t u r i n g ， o p e r a t i n ga n dm a n a g e m e n to fo r g a n i z a t i o n s t h em a n a g e r i a le f f i c i e n c i e s o fo r g a n i z a t i o n sh a v eb e e ne n h a n c e dt oal a r g ee x t e n t h o w e v e r , w e s h o u l dh a v et oa d m i tt h a tt h es u c c e s sr a t e so l i n f o r m a t i z a t i o np r o j e c t sa r e s t i l lv e r yl o w al a r g ea m o u n to fm a n p o w e ra n dm a t e r i a lr e s o u r c e sh a v e b e e nw a s t e d i n f o r m a t i z a t i o np r o j e c t sc o u l dn o ts a t i s l 、yt h eh i g h s p e e d d e v e l o p m e n t o f o u l s o c i e t y ，i no t h e rw o r d s ，a l t h o u g h i n f o r m a t i z a t i o nh a s i t sa t t r a c t i v e p e r s p e c t i v e ，t h e r e i ss t i l l h i g hr i s k f o ri t ；q u i t eaf e wo f i l f f o r m a t i z a t i o np r o j e c t sa r ef a c i n gt h ed a n g e ro ff a i l u r e t h i st h e s i ss e t su pr i s ka s s e s s m e n tf o ri n f o r m a t i z a t i o np r o j e c t sa si t s o b j e c t i v e i te x p l o r e st h ee x i s t i n gr i s k f a c t o r sa n dt h e i ri m p a c t si nt h e s e p r o j e c t s b a s e do nq u a l i t a t i v ea n a l y s i sf o ra l l t h er i s kt h c t o r s ，t h i st h e s i s b u i l d s u p a q u a n t i t a t i v e r i s ka s s e s s m e n tm o d e lf o ri n f o r m a t i z a t i o n p r o j e c t s t h ef i r s ts e c t i o no ft h i st h e s i si n c l u d e sr e s e a r c hb a c k g r o u n d ，r e s e a r c h m e t h o d o l o g i e s r e s e a r c hs c o p ea n dc o n t e n ta sw e l la st h eo b j e c t i v e s i n t h i ss e c t i o n ，t h ea u t h o ra n a l y z e st h ec u r r e n tr e s e a r c hs i t u a t i o nf o rr i s k m a n a g e m e n t i nc h i n aa n d a b r o a d ，e s p e c i a l r i s k m a n a g e m e n t f o r i n f o m m t i z a t i o n i nt h es e c o n ds e c t i o n t h ea u t h o rc o m b i n e st h e c h a r a c t e r i s t i c so fi n f o m l a t i z a t i o n p r o j e c t s w i t ht h ei d e n t i f i c a t i o n m e t h o d o l o g i e s f o rp r o j e c tr i s k sa n dd i s c u s s e so ns e v e r a lk i n d so fr i s k sf o r i n f o r m a t i z a t i o n p r o j e c t s i n t h et h i r d s e c t i o n ，t h e a u t h o r g i v e s a p r e s e n t a t i o n a n d c o m p a r i s o n o ns o m er i s ka s s e s s m e n tm e t h o d s 南r i n f o r m a t i z a t i o np r o j e c t s a sw e l l ，t h ea u t h o rg i v e sf u r t h e ri n t r o d u c t i o nf o r a d o p t i o no ft h e s em e t h o d sw i t hs o m es p e c i f i ce x a m p l e s i n t h ef o u r t h s e c t i o no ft h i st h e s i s ，t h ea u t h o r g i v e s d e t a i l e d p r e s e n t a t i o n f o rt h e a d o p t i o no ft h e s e v e r a lr i s ka s s e s s m e n tm e t h o d si n i n f o r m a t i z a t i o n 北京变通人学颁i j 学位论文 p r o j e c t s b a s e do nt h ee x i s t i n gr e s e a r c ha c h i e v e m e n t so f o t h e rs c h o l a r s ， t 1 1 i st h e s i ss e t su pa ni n d e xs y s t e mf o rr i s ka s s e s s m e n to fi n f o r m a t i z a t i o n p r o j e c t s ，w h i c hi n c l u d e s m o r et h a n6 0i t e m so fi n d e x c o m b i n i n gt h e r e a l i t i e so fi n f o r m a t i z a t i o np r o j e c t s ，t h ea u t h o rp u t sf o r w a r dam u l t i t i e r e d f u z z yc o m p r e h e n s i v e a s s e s s m e n t m o d e lf o rr i s ka s s e s s m e n to f i n f o r m a t i z a t i o n p r o j e c t s i nt h el a s ts e c t i o no ft h i st h e s i s ，t h ea u t h o rg i v e sas h o r tp r e s e n t a t i o n o nt h ed e v e l o p i n gt h o u g h t w a yo ft h er i s ka s s e s s m e n td e c i s i o ns u p p o r t s y s t e mf o ri n f o r m a t i z a t i o np r o j e c t s ( r a d s s ) l i m i t e dt o s p a c eo ft h e t h e s i s ，t h ea u t h o rm a i n l yi n t r o d u c e st h eo v e r a l la r c h i t e c t u r e ，m o d e lb a s e d s u b s y s t e m ，u s e ri n t e r f a c ea n dd a t a b a s es y s t e mo ft h e r i s ka s s e s s m e n t d e c i s i o ns u p p o r ts y s t e m k e y w o r d s ：l n f o r m a t i z a t i o n p m i e c t s ，r i s ka s s e s s m e n t d e c i s i o n s u p p o r ts y s t e m ( d s s ) 北京交通大学硕士学位论义 独创性声明 本人声明，所呈交的学位论文是我个人在导师指导f 进行的研究 工作及取得的研究成果。尽本人所知，除了文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得北京交通大学或其他教学机构的学位或证书而使用过的 材料。与我一起工作的同志对本研究所做的任何贡献已在论文中作了 明确的说明并表示了谢意。 本人签名：逊丝 日期：z ! 堕二- 年之月上一日 前言 1 前言 1 1 选题背景及意义 信息化就是利用现代信息技术( 包括网络技术、计算机技术、通 信技术等) 把组织的各种业务、内部及外部管理事务等过程数字化、 计算机化，通过各种信息系统和网络加工成新的信息资源，为各层次 的人们提供各类动态业务信息，以有利于做出正确的决策，提高效率， 使组织的各种资源得到合理配置，从而使组织适应社会瞬息万变的要 求，以达到效益最大化。对于企业来说，信息化就是通过现代信息技 术，挖掘先进的管理理念，为企业决策者提供准确而有效的数据信息， 以便对市场需求做出迅速的反应，其本质是加强企业的“核心竞争 力”。信息化主要包括城市信息化、企业信息化、教育信息化和政府 信息化等。 目前，信息化已经从单项应用发展到综合应用，从技术推动发展 到变革推动，从战术层面发展到战略层面。这种情况一方面说明了信 息化建设已经成为组织特别是企业业务发展的有效支撑手段，另一方 面也说明更多的组织面临着进一步深化改革、再造管理的任务。只有 构筑信息化组织才能适应现代社会的发展，因此，如何在降低风险和 变革阻力的前提下，成功构筑“信息组织”成为许多人特别是那些追 求管理创新和永续经营的企业家们思考的重要问题。 信息化的实施，固然能够为组织尤其是企业开创更加广阔的发展 空间和创造更加广阔的收益( 包括社会效益和经济效益) 。但实施信 息化，需要占用组织( 企业) 的大量资金和人员投入，同时亦对组织 ( 企业) 原有的架构和业务流程产生激烈的冲击，因此存在巨大的风 险，如果对这些风险处理不当将适得其反，甚至为组织( 企业) 带来 灭顶之灾。 信息化的实施是一个漫长的过程，它涉及到组织( 企业) 大量的 人、财、物等资源的利用和调配。因此我们在实施信息化时一般都会 划分若干阶段，每个阶段又有若干项目组成。无论是集成还是开发。 信息化项目总会给实施者带来确定项目的投资价值、评估利益大小、 分析不确定因素和决定投资回收时间等问题。同时，信息化项目无论 北京交通大学硕士学位论文 规模大小都会给用户带来经营管理上的变革，这就使信息化项目必然 具有高风险性的特点。 早在1 9 9 5 年，享有声望的s t a n d i s h 集团就发表了题为“c h a o s ” ( 中文意思：“混乱”) 的调查报告。该报告以全美管理着超过8 3 8 0 多个信息化应用系统的3 6 5 位信息化执行经理为调查对象。正如报告 的题目所说的，美国的信息化项目处于混乱状态。根据s t a n d i s h 咨询 集团调查发现，“在美国，大型企业在一个信息化开发项目上平均要 投入2 3 0 万美元：中型企业要花费1 3 0 万美元以上；小型企业也要花 费4 3 4 万美元以上”。同时，他们的研究还表明，所有信息化项目的 平均成功率只有1 6 2 。调查报告同时还发现，1 9 9 5 年全美有超过 3 1 的信息化项目在完成之前被取消，因此致使美国企业和政府机构 遭受超过8 1 0 亿美元的损失。 在中国，企业的信息化运用有了一定的深度和广度，但由于没有 建立健全的实施保障措施，很多企业的信息化项目投入没有看到成 效，或收效甚微，根据原国家经贸委2 0 0 1 年底调查统计的数据显示： 对本企业信息化项目实施的效果满意的企业仅占总数的6 ，较满意 的企业占5 2 ，不满意的企业占2 6 。可以说，接近1 3 的企业信息 化建设效果不理想，是不成功的。 上述资料表明，信息化项目的开发普遍存在着风险，信息化项目 的实施有相当大的比例是不成功的，不能达到预期效果的。如果不引 入风险管理的机制，那么当风险发生时，必然会给项目造成重大损失， 甚至会造成整个项目失败的恶果。本文认为：风险管理是信息化项目 开发中减少失败的一个重要手段。 在信息化项目开发中，风险管理就象保险的一种形式，它是为了 减轻潜在的不利事件对项目的影响而采取的一项活动。从总体上来 看，信息化项目的风险管理主要包括风险评估和风险控制两部分内 容。 本文认为：信息化项目的风险评估是指依据有关信息技术标准， 对信息化项目从预立项到项目设计、实施、完成到投入使用等环节所 存在的不确定因素进行科学、公正的综合评估的活动过程，它要评估 信息化项目开发各个环节的脆弱性、项目所面临的威胁以及脆弱性被 威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性 前言 和负面影响的程度来识剐信息化项目的风险。 我国信息化建设特别是企业信息化建设经历过许多风险和挫折， 反思一些不成功的企业信息化案例，使得人们认识到了一个真理：在 进行信息化建设时必须未雨稠缪，谨防风险，这也是本文研究的出发 点之一。 研究信息化项目的风险管理问题，特别是风险评估问题，成为了 减少项目失败可能性的一种重要手段。当不能很确定地预测将来事情 的时候，可以采用风险识别与风险评估的方法束发现计划中的缺陷， 同时采取行动来减少潜在问题发生的可能性和影响。信息化项目风险 管理的理论意味着危机还没有发生之前就对它进行处理，这就提高了 项目成功的机会和减少了不可避免风险所产生的后果。因此，研究信 息化项目风险问题，特别是研究各项针对风险而进行的风险识别、风 险评估、风险控制等一系列的风险管理内容，将对信息化建设有着重 要的意义。 1 2 国内外研究现状综述 1 2 1 风险及凤除警理问题的研究 风险，迄今为止还没有一个统一的说法。美国学者海恩斯在他的 著作( ( r i s ka sa ne c o n o m i cf a c t o r y ( 19 6 4 年) 一书中最早提出了风险 的概念并加以分类，他认为“风险一词在经济学中和其他学术领域中， 并无任何技术上的内容，它意味着损失或损失的可能性( c h a n c eo f d a m a g e o rl o s s ) ，偶然性的因素是用以划分风险的不同性质，某种行 为能否产生有害的后果应以其不确定性来确定。如果某种行为具有不 确定性时，其行为就反映了风险的负担。” 在保险学的许多教科书中，风险通常被解释为“损失的不确定性” ( u n c e r t a i n t yo f l o s s ) ，美国学者罗伯特梅尔( r o b e r t i m e h r ) 在 其著作保险学基本原理( f u n d a m e n t a l so fi n s u r a n c e ) f 1 9 8 6 年版1 把风险定义为“风险即损失的不确定性”( r i s k i su n c e r t a i n t yc o n c e r n i n g l o s s ) ；我国大陆的保险教科书，多数也把风险定义为“损失的不确定 性”。我国台湾学者宋明哲把这个定义归为“主观说”。他认为，主观 ! ! 塞奎垄查堂堡主堂堕垫壅 说的特点是强调“损失”和“不确定性”。事实上，“自然灾害和意外 事故所造成的损失其本身是确定的，而所谓的不确定性，则是指人们 对每次事故所造成的损失在认识上或估计上的差别”i l 5 。 也有入认为风险与不确定性应当加以区分。美国学者佩弗而 ( i r v i n gp f e f i e r ) 认为，风险是一种客观存在，不论人们是否已经觉 察到，它是以客观的概率来测定的；而不确定性则是由个人的心理状 态而产生的，不确定性的大小，是与个人了解与估计风险的能力有关。 小阿瑟威廉斯和理查德m 汉斯在他们的著作r i s km a n a g e m e n t & i n s u r a n c e ) ) f 风险管理与保险) ( 1 9 8 5 年第五版) 中提出“风险是在 给定情况下和特定时间内，那些可能发生的结果阳】的差异”睇i ，这种 观点强调：风险是客观存在的事物，因而可以用客观尺度来衡量。按 照宋明哲的方法，这种观点被划分为“客观说”。 风险管理是一门新兴的管理学科，在其形成和发展的过程中，由 于对风险管理出发点、目标、手段和管理范围等强调的侧重点不同， 学者们对风险管理提出了不同的学说。其中较有代表性的学说有美国 和英国两种学说。 美国学者通常狭义地解释风险管理，他们把风险管理的对象局限 予纯粹风险，重点也放在风险处理上。巴格利尔( b a g l i n i n o r m a n a ，) 在其著作跨国公司的风险管理( r i s km a n a g e m e n ti ni n t e r n a t i o n a l c o r p o r a t i o n s ，1 9 7 6 ，n e wy o r k ) 中提出“风险管理的目的是在保持 公司财务状况稳定的同时，尽量减少因各种风险损害支出的总费用”。 梅尔和赫奇斯在他们的著作风险管理：概念与应用( r i s k m a n a g e m e n t ：c o n c e p t sa n da p p l i c a t i o n s ，1 9 7 4 ，h o m ew o o d ) 书中 提出，风险管理的目的与经营( 运作) 的目的是一致的，经营( 运作) 的目的包括生存、效益、发展、摆脱困境和履行社会责任等；风险管 理的目的是控制实际的损失( 包括非潜在的和潜在的损失) 。 英国学者关于风险管理的定义则把侧重点放在经济控制方面。迪 泰克在他的文章“鼬s km a n a g e m e n ti nu n i t e dk i n g d o mc o m p a n i e s ”中 认为“风险管理就是确认、评估和经济控制威胁企业( 组织) 的资产 何文炯主编。风险管理，东北财经大学出版社1 9 9 9 年，第2 页 【“c a r t h u rw i l l i a m s , j r , r i c h a r dmh e n s r i s km a n a g e m e n ta f i di l l s t t r a n c e 、f i i f 【he d i t i o r t ， m c g r a w - l i 川t j o o kc o m p a n g1 9 8 5 4 前言 和收益能力的一切因素的行为”。英国伦敦保险学会的风险管理教材 中把风险管理定义为“为了减少不定事件的影响，计划、安排和控制 各种业务活动和资源。” 在我国，学者们强调风险管理是一种管理的活动。我国学者何文 炯认为：风险管理( r i s km a n a g e m e n t ) 是指经济单位( e c o n o m i cu n i t ) 通过对风险的识别、衡量，采用合计的经济和技术手段对风险加以处 理，以最小的成本获得最大的安全保障的一种管理活动。于川和潘 振锋在他们的著作风险经济学导论中提出“风险管理是风险主体 旨在避免和减少风险的一种认识风险、分析风险、决定冒风险的程度、 控制风险和处理风险损失的管理活动的总称州“。 本文比较倾向于最早由美国学者威廉斯和汉斯提出的一个关于风 险管理较为全面而确切的定义。他们不仅把风险管理看作一门技术、 一种方法或一种管理过程，而是将其看作一门新兴的管理科学。他们 在其著作风险管理与保险( r i s km a n a g e m e n t i n s u r a n c e ，1 9 6 4 ) 中指出：风险管理是通过对风险的识别、衡量和控制，以最小的成本 使风险所造成的损失达到最低程度的管理方法i j j 。 1 2 2 信息化项目及其风睑瞥理 项目作为一种复杂的系统工程活动，往往需要耗费大量的人力、 物力和财力。项目管理就是“以项目为对象的系统管理方法，通过一 个临时性的专门的柔性组织，对项目进行高效率的计划、组织、指导 和控制，以实现项目全过程的动态管理和项目目标的综合协调与优 化”【4 1 a 对于信息化建设来说，为了在预定的时间内实现特定的目标，同 样必须推行各种信息化项目的科学管理。信息化项目管理也称为i t ( i n f o r m a t i o nt e c h n o l o g y ) 项目管理，从字面上理解应该是对信息化 项目进行管理，它属于项目管理理论的范畴，同时也指明了管理的对 i 。1 何文炯主编，风险管理，东北财经大学出版杜，1 9 9 9 年第1 5 贞 2 1 十川、潘振锋台著，风险经济学导论，中国铁道出版社，1 9 9 4 年，第6 3 负 川ca r t h u rw i l l i a m s j rr i c h a r dmi l e i n s r i s km a n a g e m e n ta n di l l g u r a t l c e ，f i r s te d i t i o n ， m c g r a w - h i l lb o o kc o m p a n y , 1 9 6 4 1 4 l 中国项目管理国际研讨会学术委员会，中国项目管理知识体系纲要，电予工业出版社 2 0 0 2 北京交通大学硕士学位论文 象是信息化项目。 项目管理既有一般管理具有的共同内涵，又有自身的个性需求。 结合信息化项目本来的特征来讲，信息化项目管理有两种不同的含 义，一是指一种管理活动，即一种有意识地按照信息化项目规律特点， 对信息化项目进行组织管理的活动；二是指信息化项目管理构成了一 种管理科学专业特别是项目管理专业的内容，即以信息化项目管理活 动为研究对象的一门学科专业，该专业的研究将成为探求项目活动科 学组织管理的一系列理论与方法。 在信息化建设中特别是信息系统开发过程中，引入项目管理的原 理、方法和手段，可以有效地降低失败率，提高组织( 企业) 资源的 赡合和利用率。 在国外和港澳台地区，学者和一些机构对信息亿项目( 包括电子 商务项目) 的风险研究不仅重视理论体系，更侧重于把风险进行量化 研究。美国商业部下属的国家标准与技术研究院( n a t i o n a li n s t i t u t eo f s t a n d a r d sa n dt e c h n o l o g y ，n i s t ) 在2 0 0 1 年发布了题为信息技术系 统风险管理指南( r i s km a n a g e m e n tg u i d e sf o ri n f o r m a t i o nt e c h n o l o g y s y s t e m s n i s ts p e c i a l p u b l i c a t i o n8 0 0 3 0 ，o c t o b e r2 0 0 1 ) 。该指南提 出了针对信息技术系统风险管理的“生命周期方法”，即如何“把风 险管理的思想、方法渗透或集成到信息技术系统开发生命周期( s y s t e m d e v e l o p m e n t l i f e c y c l e ) 中去”l “。该指南采用定性分析与定量分析 相结合的方法，首先定性地分析了各种脆弱性与威胁，再利用概率论 的方法分析这些脆弱性与威胁在各种“安全领域”( s e c u r i t y a r e a ) 。同 时，该指南还采用“9 步法”( n i n es t e p s ) 对信息技术系统进行风险分 析与评估。值得指出的是，该指南着重于从信息技术系统硬件建设的 角度( 硬件安全、自然灾害影响、黑客入侵等) 研究风险管理，对于 信息技术系统开发的软件管理工作，该指南并未有太多的篇幅去强 调。除了该指南以外，n i s t 就计算机系统安全与风险管理还发布了一 系列的报告口1 。香港理工大学教授d r n g a i 在他的文章电子商务开发 t l ln i s t r i s k m a n a g e m e n t g u i d ef o ri n f o r m a t i o nt e c h n o t o g ，s y s t e m s ，t sg o v e r n m e n tp r i n t i n g o 饿c e ，2 0 0 i 这些报告包括：( 所有报告均可从谚机构的删站w w w n i s t g o 欹得) n i s ii n t e r a g e n c yr e p o r t s4 7 4 9s a m p l es t a t e m e n t so f w o r kf o rf e d e r a lc o m p u t e rs e c u r i t y 6 前苦 风险模糊决策支持系统文中对电子商务开发的风险分析进行了量 化与定性的研究。并在此基础上建立了针对电子商务开发的模糊决策 支持系统，他的文章着重于“电子商务开发项目的风险识别、风险分 析和风险分级：对于风险管理计划、风险确定和赡控则研究得比较少” 。 在信息化项目风险案例与实证研究方面，美国通用会计事物所 ( u sg e n e r a la c c o u n t i n go f f i c e ) 在1 9 9 9 年1 1 月曾发布题为信息安全 风险评估一几大领头组织的实践 2 的报告。该报告选择了跨国石油 公司、金融服务公司、控股公司和计算机硬件软件公司作为研究对象， 系统地分析了这些机构的信息安全风险状况，用风险评估矩阵、风险 评估流程图、标准调查问卷等方法和工具，对这些机构的信息安全风 险进行评估，并结合这些机构的实际，提出了相应的风险规避政策。 香港理工大学f k t w a r 等人在2 0 0 1 年采用调查问卷的方式，对香 港上市的2 0 0 0 家企业的电子商务情况展开调查，利用“探查因素分析” ( e x p l o r a t o r yf a c t o ra n a l y s i s ) 的方法对电子商务开发中的潜在风险进 行分析。该项调查选取了5 1 项不同的指标，对电子商务开发过程中潜 在的l o 种不同风险( 包括：资源风险、需求风险、供应商风险、法律 风险、外包风险、管理风险、物理安全风险、重组风险、客户服务器 风险、文化风险等) 进行了定性和定量的分析i j 】。 s e r v i c e s ：f o r u s e l n - h o u s eo r c o n t r a c t i n g o t i td a c e m b e r1 9 9 i n 1 s ts p e c i a lp u b l i c a t i o n8 0 0 1 2a ni n t r o d u c t i o nt oc o m p u t e rs e c u r i t y ：t h en i s th a n d b o o k o c t o b e rl9 9 5 n i s ts p e c i a lp u b l i c a t i o n8 0 0 - 1 4 g e n e r a l l ya c c e p t e dp r i n c i p l e sa n dp r a c t i c e sf o rs e c u r i n g i n f o r m a t i o nt e c h n o l o g ys y s t e m s s e p t e m b e r1 9 9 6 c o a u t h o r e dw i t hb a r b a r a g u n | n n i s ts p e c i a lp u b l i c a t i o n8 0 0 - i8 g u i d ef o rd e v e l o p i n gs e c u r i t yp l a n si b ri n f o r m a t i o n t e c h n o l o g ys y s t e m sd e c e m b e r1 9 9 8c o - a u t h o r e dw i t hf e d e r a lc o m p u t e rs e e u r i b m a n a g e r s f o r u mw o r k i n gg r o u p n i s t s p e c i a lp u b l i c a t i o n8 0 0 2 6 ，s e c u r i t ys e l f - a s s e s s m e n t g u i d ef o ri n f o r m a t i o nt e c h n o l o g y s y s t e m s a u g u s t 2 0 0 1 n i s r s p e c i a lp u b l i c a t i o n8 0 0 - 2 7 e n g i n e e r i n gp r i n c i p l e s i b r i qs e c u r i t y , j u n e2 0 0 l u ie r i c w t n g a i f k 1 2 w a k f u z z yd e c i s i o ns u p p o r ts y s t e m f o r r i s ka n a l y s i s i ne - c o m m e r c e d e v e l o p m e n t ，d e c i s i o ns u p p o r ts y s t e m d e c e m b e r2 0 0 4 v o l1 2 2 1 2 1 原题为：i n i b r m a t i o ns e c u r i t y r i s ka s s e s s m e n t ：p r a c t i c e so t i ，e n d i n go r g a n i z a t i o n s l ”详见e k t w a lew z e r i c l cec b e n g , p o t e n t i a lr i s k s1 0c - c o m m e r c ed e v e l o p m e n tu s i n g 北京交通大学预士学位论文 在我国大陆，关于信息化项目风险管理、风险评估方面的专著和 文章比较少，而从量化的角度进行的研究就更加少了。华侨大学余坚、 郑跃斌在他们的文章信息系统开发过程风险管理的实施模型( 计 算机工程与应用，2 0 0 2 年1 2 月，第1 5 3 1 5 6 页) 采用“实体联系模 型”的方法建立了信息系统开发过程的各部件的实体模型，同时构建 了信息系统开发过程风险管理的实施模型，文章首次把数据库理论中 的实体关系模型引入到信息系统开发风险管理过程中来，为信息化项 目风险管理找出一条新思路。就信息化项目风险识别与分析来说。青 岛海洋大学学者李劲华在2 0 0 3 年9 月曾发表文章信息化风险的识 别和定量分析方法，文章通过列举当前项目管理的风险识别过程中 经常使用的方法，并以e r p 项目为倒，通过多维表格打分的方法1 1 1 与德菲尔法( d e l p h i ) 结合，形成e r p 项目风险管理记录表，为下一 步进行e r p 项目风险评估和控制提供了数量的基础。 在定性分析方面，学者们对信息化项目或信息化建设的风险问题 大同小异，一般地，学者们认为信息化项目的风险包括有观念风险、 投资风险、技术风险和决策风险四大类l z j 。大部分学者认为，信息化 项目( 或信息化建设) 的风险问题，都离不开研究计算机系统安全和 信息安全问题，因此更有些学者专门研究计算机网络、计算机硬件软 件、信息的安全和风险管理等【j j 。 本文对信息化项目风险管理的研究，从定性与定量相结合的角度 出发去研究如何识别信息化项目的风险，同时研究如何把这些风险用 数学的方法或量化的方法表示出来。在归纳前人在这方面的研究成果 的基础上，本文建立起专门针对信息化项目风险评估的综合评估模 型，并通过信息系统和决策支持系统的基本思想把该模型表达出来。 e x p l o r a t o r yf a c t o ra n a l y s i s i n l c r n a t i o n a lj o u r n a lo f s e r v i c e sl e c h n o l o g y m a n a g e m e n kv 0 1 4 n o l3 ，2 0 0 4 具体请到以下蚓站鲥读该文章h 卸：w w u c w o r k sc o i bc n 1 2 1 胡宁，我国企业信息化成防范的风险撵析，学术论坛，2 0 0 3 年第二期 1 3 1 舒尚奇，计算机网络的风险管理，渭南师范学院学撤，2 0 0 1 年7 月 前言 1 3 研究目标、内容及方法分析 1 3 1 研究的目标 本文对国内外既有的关于信息化项目管理、风险管理及风险评估 相关理论、方法进行系统分析，利用现代管理科学、模糊数学、决策 支持系统等多学科的分析框架和思路，并根据当前信息化项目风险的 现实情况，对信息化项目管理中关于风险方面的理论与方法进行补充 与创新。本文特别地要从理论上解决如下问题： 1 ) 信息化项目风险的识别( 定性和定量两个方面) ； 2 ) 信息化项目风险的估计； 3 ) 信息化项目风险评估的模型体系； 4 ) 基于模型体系的信息化项目风险评估决策支持系统的理论框 架： 1 3 2 研究内窖范圈 根据设定的研究目标，论文的研究从对信息化、i t 项目风险管理 的既有文献分析着手，首先考察国内外的研究状况，从分析信息化项 目风险的定义、特征、特点着手，就如何从定性和定量两个角度去识 别信息化项目的风险展开讨论，在此基础上，论文分析了评估信息化 项目风险的几种方法，并提出了关于信息化项目风险评估的多层次综 合模型。最后，本文依据此综合模型提出了信息化项目风险评估决策 支持系统的理论模型。 本文从项目管理与风险管理相结合的角度，针对信息化项目的风 险问题，分析了如何用数学模型去识别、评估信息化项目中的风险， 以帮助信息化项目的成功实施。最后部分，作者总结了一系列的分析 论述，对信息化项目风险评估及风险管理需要进一步研究问腻提出自 己的看法。 1 3 3 研究方法 归纳法。对于项目风险管理、风险评估问题的研究己经持续多年 北京交通大学硕士学位论文 而任何一项新的研究成果必须在充分归纳总结前人研究成果的基础 上才能有所创新，本文在多个部分都充分利用了归纳分析的方法，对 已有研究成果进行系统的梳理。 演绎法。针对信息化项目风险这一特定的研究对象，并没有太多 现成的理论与方法可以直接应用，因此必须在已有理论的基础上，利 用演绎分析的方法，实现基础理论在信息化或信息产业领域的创新性 研究。 模糊数学的方法。本文的研究中对信息化项目风险识别和评估用 到了模糊数学相关的方法和模型。 1 4 论文的体系结构 本文一共分为六章，第一章为前言部分，主要介绍论文的研究背 景、研究目标和方法：第二章分析了信息化项目风险产生的原因及其 识别过程；第三章主要介绍了风险的估计过程和方法；第四章首先介 绍了风险评估的原理，同时对各种评估方法进行了对比分析，在这些 分析总结的基础上，论文建立了面向信息化项目的多层次模糊综合风 险评估模型：论文的第五章结合第四章建立的风险评估模型，提出了 风险评估决策支持系统的开发思路；最后，论文褥出结论，同时并总 了一些需要进一步 理论基础 圈i - 1 ：论文技术路线圈 0 结f 信息化项日风险的产生蟓凶吁识别过程 2 信息化项目风险的产生原因与识别过程口1 2 1 风险产生的原因及表现 信息化项目风险产生的原因有多种多样，有些是人为的，有些是 非人为的；有主观要素产生的，也有客观存在的。信息化项目越来越 大，也越来越复杂，因此在实施过程中的风险也越来越大。 本文结合作者近年来所参加的信息化研究课题( 包括信息系统开 发项目、电子商务项目等) 的研究实践，对当前信息化项目常见的几 种风险逐一分析总结。本文认为，信息化项目风险包括以下： 1 管理风险 信息化涉及的不止是技术问题，更关键的问题是管理。信息技术 和管理技术的不断发展推动了整个信息化的变革，从恧使组织( 企业) 的运作( 经营) 管理理念发生了本质的变化。它的变革如同“工业革命” 一样是历史发展的必然。信息化项目的成功实施与否，或者说信息化 项目的风险能否得到克服或规避，很大程度决定于是否能最大程度地 克服项目的管理风险因素即管理上的不确定性和脆弱性( 或威胁) 。 换句话说，信息化项目本身的技术特点给组织带来新的管理风险外， 信息化项目的实旋同样也对组织的运作与管理带来了新的挑战。这些 挑战如果处理不好，同样使组织面临风险。 首先，信息化项目特别是信息系统项目( 例如企业的e r p 系统、 管理信息系统等) 往往会实行流程化管理，会打破组织原来的条块分 割，势必导致组织的结构发生改变，甚至会引起业务流程重组( b p r ， b u s i n e s sp r o c e s sr e e n g i n e e r i n g ) 。业务流程重组就是减少或合并流程 中熏复的、不增值的环节。这对组织(