中小企業信息化項目實施風險控制研究

摘要：企業信息化是國家信息化的重點，也是企業實施戰略和提高核心競爭力的必由之路。然而，成功率不高困擾著信息化項目的建設，隨著軟件技術及企業信息化的深入發展，項目復雜程度越高，風險隨之也就越來越大。面對高風險的企業信息化項目，科學的風險管理能讓我們更好地駕馭風險，提高項目成功率，更好地為企業服務。本文主要以中小企業為研究對象，全面探索企業信息化項目的風險控制。為企業實施信息化項目進行風險識別、風險管理、風險控制提供了參考，有利于中小型企業提升實施信息化項目的成功率。

關鍵詞：企業信息化;風險識別;風險控制

企業信息化風險控制是企業信息化過程一個重要的研究領域，它不僅包括那些被描述為“風險識別”部分的內容，它也關注與企業戰略相關的風險的決策的開展、評估，以及如何有效地協調包括企業商業需求、競爭環境、價值體系以及組織規則在內的風險環境。風險控制主要針對企業信息系統潛在的風險進行管理，包括IT風險的識別、風險的影響力分析，涉及到多個部門并且需要采取最經濟和有效的措施來規避風險。通過對風險進行控制，使信息系統的風險達到最低，從而提升企業的價值。

1.企業信息化項目實施風險研究現狀

1.1企業信息化項目

信息化是一個過程，與工業化、現代化一樣，是一個動態變化的過程。動態的變化過程中包含三個層面：信息技術的開發和應用過程，是信息化建設的基礎;信息資源的開發和利用過程，是信息化建設的核心與關鍵;信息產品制造業不斷發展的過程，是信息化建設的重要支撐。這其中有涵蓋信息網絡、信息資源、信息技術、信息產業、信息法規環境與信息人才六大要素。

1.2企業信息化項目風險特點

企業信息化項目建設周期長、投資多、技術要求高、系統復雜的過程，該過程中，未確定因素、隨機因素和模糊因素大量存在，由此而造成的風險直接威脅信息化項目的實施和成功。信息化項目的風險有以下特點：

（1）風險存在的普遍性和客觀性。在項目的生命周期內，風險是無處不在的，只能降低風險發生的概率和減少風險造成的損失，或是分散轉移風險，而不能從根本上完全消除風險。

（2）風險的影響是全局的。甚至有時反常的氣候條件造成工程的停滯，會影響整個的工作。

（3）不同的主體對風險的承受能力是不同的。人們的風險承受能力受收益的大小、投入的大小、項目活動的主體的地位和擁有的資源有關。

（4）工程項目的風險變化是復雜的。工程項目的建設是既有確定因素，又有隨機因素、模糊因素和未確知因素的復雜系統，風險的性質和造成的后果在工程建設中極有可能發生變化。

2.企業信息化風險控制評價體系

本文建立的企業信息化風險控制體系分為外部控制評價和內部控制評價兩個部分。外部控制評價是將企業與同行業中的其他企業進行橫向比較，利用定量的成熟度模型，對企業的經營過程和能力進行評價，也可以稱為過程評價;內部控制評價是將企業當前生產經營的數據與歷史數據進行縱向比較，對關鍵的信息技術過程的具體實施效果如何進行評價，主要利用的手段是信息技術平衡計分卡，最后將所得的評價結果反匯報到企業決策中心，由企業根據評價結果為企業的生產經營做出正確的決策，內部控制評價是過程評價和結果評價的結合。

2.1外部控制評價

（1）確定評價目標

確定評價目標首先需要確定企業的業務目標，在COBIT框架中，業務目標與信息技術目標和測量方法都是通過信息準則相互聯系的，企業在確定具體的業務目標的時候可以從一般業務目標和信息技術目標的關系對照表中得到相應的指導。所以，在我們已經知道業務目標的前提下，利用COBIT框架，發現支持該業務目標的全部的信息技術過程，然后再根據企業的經營管理策略和企業的現實情況在所有的信息技術過程當中選擇那些和業務目標有較高相關關系的主要信息技術過程。

（2）確定評價基準

成熟度模型制定了一個基準，利用成熟度模型對上面一部分的主要信息技術過程進行成熟度衡量，通過將本企業與同行業其他企業的對比，確定自己位置，找出那些為了完成既定業務目標。

2.2內部控制評價

在明確關鍵成功因素的基礎之上，利用信息技術平衡計分卡對實施現狀進行衡量。

2.2.1建立評價指標體系

信息技術風險評價指標是在COBIT框架中選取的與關鍵成功因素相對應的關鍵目標指標，進行內部控制評價。

2.2.2確定指標權重

指標權重是由專家群體運用AHP法進行決策來確定下來的，將系統中的各個因素，根據實際情況，分成相互聯系的有條理化的層次，對每一個層次的相對重要性都給一個確定的量，然后再運用數理統計方法計算每一個層次單個元素相對重要性的比例，進行決策，可以克服決策過程當中的主觀性的影響。

2.2.3執行評價

在外部控制評價和內部控制評價結束之后，分析比較評價結果和企業之前的相關數據，事先把每個指標顯示的最開始的值記錄下來，定期考核相關指標，依據評價的結果，找到存在的問題，做出相應的改進。

3.企業信息化風險控制評價體系應用

COBIT框架在企業信息化風險控制評價體系應用借鑒了控制目標框架中成熟完整的指標體系，基于管理控制目標的角度實現了整個評價過程的監控和信息反饋，同時引入了成熟度模型，在一定程度上消除了傳統評價體系的主觀性的影響，過程評價和結果評價在內部控制評價的過程當中實現了相互統一。

近年來，企業的信息化建設取得了很大的進展，信息化進入了全新的階段，社會信息化建設的重要組成部分之一和基礎就是企業的信息化，是企業增強其競爭力、提高管理水平的重要手段。企業不斷增加對信息化資源投入，迫切希望可以使用一個高效科學的方法來評估企業信息化項目的實施風險。中小企業信息化項目實施風險控制可以從本文獲得啟發和建議。

參考文獻：

[1]顧春燕.華明集團實施信息化項目風險控制研究[D].江蘇無錫：江南大學，2009.

[2]陳虎，孫彥叢.財務就是IT企業財務信息系統[M].北京：中國財政經濟出版社，2017：49- 51

[3]梁麗瑾，房卉.基于 COBIT的企業信息化內部控制績效評價[J].經濟問題，2012，2： 114-119

項目來源：中國商業會計學會課題kj201139《中小企業ERP實施項目風險控制研究》。

作者簡介：黃曉莉（1974-），女，浙江諸暨人，現為浙江經濟職業技術學院專職教師，碩士研究生，從事企業信息系統、統計學方法的應用研究。