信息化风险的评估模型构建
来源:e-works 更新时间:2013-08-29


    风险的评估是在识别出风险的基础上。通过系统的评估方法和评估指标,确定风险发生的概率和可能损失的金额。只有经过风险评估后,才能确定企业所面临的重大风险,并针对重大风险采取相应的应对措施。根据对企业信息化风险的分类,本文采用层次分析法建立企业信息化风险评估模型,信息化风险的总目标层如图1所示。

    图1 信息化风险总目标层
    1.信息化风险因素的识别
    (1)信息系统风险因素识别。
    对于一般企业而言,信息系统的构建通常是外聘专业的系统设计团队来进行。那么对信息系统内部缺陷的风险程度的评估,外部因素可以评估系统设计团队成员的专业胜任能力、成功经验、专长领域以及对企业业务流程和财务流程的理解程度,团队与企业之间的沟通效果,系统设计进度安排;内部因素可以评估系统的出错频率,例外报告,以及出错后的修改质量与效率。而信息系统的安全性则通过使用的防病毒软件的厂商信誉,数据信息备份情况,信息系统灾难恢复能力,信息传输加密情况进行评估。
    (2)控制人员风险因素识别。
    操作人员风险因素的识别,控制人员风险中的人员错误,无论是操作人员错误还是管理人员错误,可以通过培训的次数,培训考试成绩,结合人员的学历水平,人员的信息安全意识,操作人员或管理人员的错误频率等指标进行评估。而管理制度的有效性,可用针对信息化的内部控制范围合理性,内部控制流程完备性,违规操作或使用信息的情况,内控的出错频率等指标进行评估。
    (3)信息战略风险因素识别。
    信息战略风险无论是信息化失败还是信息孤岛或重复建设,都是由于管理层的信息战略规划不合理,因此评估信息战略风险可以将信息化失败和信息孤岛或重复建设合并为一个问题进行。评估战略风险可以通过信息化战略目标,管理人员自身风险认识,可行性分析报告,信息化项目进度计划,资金预算,资金监控,信息化效果评估来完成。
    2.信息化风险因素的评估
    在对信息化风险进行评估时,可以借用德尔菲法对层次分析法中的各影响因素权重进行打分,对不同层次的子问题权重进行打分,并综合两项打分结果计算各因素相对于总问题X的总权重,并在获得权重的基础上评估各影响因素的得分,乘以权重数,计算企业信息化风险得分(见图2)。

    图2  信息化风险评估图
    (1)对于各因素权重的打分。
    在本文中所对各因素权重打分时,需要对所有因素进行两两比较,将比较的结果按重要性大小,用表1的得分形式予以量化,量化值越大,说明前一个因素相比后一个因素越重要。
    将两两比较结果用判断矩阵Y列出,便于计算各因素相对权重,其中uij表示第i个因素相对于第J个因素的重要性得分。

    表1 因素权重分值表
    (2)对于同层次各子问题权重的打分。
    对不同层次各子问题权重的打分方法与对于各因素权重的打分方法相同,可以直接进行,只不过将两两因素之间打分替换成对同层次两两子问题之间打分。
    (3)总权重的计算。
    在本文中所运用层次分析法分析信息化风险时,凡处于同一层次的所有子问题或子问题下属因素,全部是不相关的,因此可以直接用最底层影响因素的自身权重乘以该因素所对应上一层次子问题的权重。举例:假设为评估信息化风险X,根据德尔菲法对各层次问题进行评分,根据层次分析法分配权重(见图3)。那么对于“数据备份”这一因素在企业信息化风险中所占比重为30%×60%×20%=3.6%。

    图3 性息化风险评分体系
    (4)各影响因素得分及总得分的计算。
    按照德尔菲法,参评专家按照其自身经验、企业的现状以及行业的现状综合考虑,将影响企业信息化风险的各因素予以评价,评价与对应分值如表2所示。

    表2  因素评价分值
    将各因素得分乘以各因素占企业信息化风险的总权重再相加,计算出企业信息化风险的最终得分如图3所示。
    构建企业信息化风险评估模型,从而为企业对自身信息化风险进行动态监测提供借鉴。