基于AHP的高校財務信息化風險綜合模糊評價*

鄭小翠

南方醫科大學財務處 廣東 廣州

一、引言

2016年，財政部發文《會計改革與發展“十三五”規劃綱要》，要求在不斷提高企業財務信息化水平的同時，積極探索推動行政事業單位財務信息化工作。高等院校積極響應號召，探索搭建財務信息化平臺，逐步實現網絡環境下的電子化財務報銷，推進財務信息化平臺與其他業務系統的融合，推動會計工作從傳統核算型向現代管理型轉變。財務信息通過信息化平臺實時傳遞、適時處理，提高財務服務質量與業務處理效率。但是財務信息化平臺在實際運行時，存在著錯綜復雜、難以量化且普遍存在的風險，如何識別風險、規避風險成為財務信息化建設需要關注的問題。

本文以N高校為例，識別多層次、多影響因素的財務信息化風險指標，采用層次分析法對風險指標賦予權重，通過模糊綜合評判法綜合評價信息化風險，即賦予一個唯一的評價值。評價的目的不僅給N高校一個綜合評價分值，更重要的是識別出信息化平臺的薄弱環節，對風險進行有針對性得防控規避，為國內高校財務信息化風險管理工作提供經驗。

二、高校財務信息化風險評價與基于層次分析的模糊綜合評價法

高校財務信息化風險評價，是指在識別和衡量風險的基礎上，綜合全面評估高校財務信息化建設過程中可能發生損失的程度。高校財務信息化風險，是指高校財務信息化建設過程中可能存在影響信息化實現目標的各種不確定因素，包括了組織管理風險、設施及環境風險、軟件應用風險、信息管理風險等。其中，組織管理風險、設施及環境風險屬于外部因素影響，軟件應用風險、信息管理風險屬于內部因素影響。所以，實務界和理論界都嘗試對高校信息化風險的組成部分和風險程度進行評價。但由于高校信息化風險組成部分通常不可度量，造成各因素之間常無法比較，所以對高校財務信息化風險進行評價有一定的困難。

高校財務信息化風險評價通常是以文字描述、專家歸納等定性方法為主。定性分析較大程度依賴于評價人員的主觀判斷，主觀判斷可能出現紕漏和失誤，難以被修正，而且風險指標之間不能進行比較，風險權重也無法確定。總體來說，該方法缺乏科學嚴謹的數學思維。

層次分析法（TheAnalyticHierarchyProcess,下文簡記AHP）是美國著名的運籌學家T.L.Satty等人在20世紀70年代提出的一種定性與定量分析相結合的多準則決策方法。它將待分析問題的本質、影響因素及內在關系等進行深入分析之后，構建一個層次結構模型，然后利用較少的定量信息把待分析問題的思維過程數學化，從而為求解多目標、多準則或無結構特性的復雜問題提供一種簡便的決策判斷方法。對于高校財務信息化平臺這個復雜系統來說，采用AHP可以解決層次結構模型中各層次指標相對于評價對象的權重問題。權重確定后，則需要通過模糊綜合評價法為信息化風險給與綜合評價。

模糊綜合評價法，是借助模糊數學的一些概念對實際的綜合評價問題提供一些評價的方法。針對信息化風險，可以將其作為一個整體，從風險構成因素的角度出發，對各個因素分別評價賦分，然后綜合各部分的評價分值，實現對信息化風險整體的評價。

基于AHP的模糊綜合評價法的具體步驟如下。首先，把高校財務信息化風險解構成不同因子，并將因子依據相互關系和隸屬關系分類，從而形成層次分析結構模型。然后，專家團由下而上地給各層次因子的重要性給予賦值評判，確定最底層次因子相對于最高層次目標的相對重要性權值。最后，通過因子權數和專家評分，算出該風險的最終評價，即風險程度的整體評價。

三、N高校財務信息化風險基于AHP的模糊綜合評價法應用

1.高校財務信息化風險評價指標體系的設計

考慮到目前我國高校財務信息化評價指標體系尚不完善，本文主要根據較為成熟并在信息安全領域普遍得到應用的《信息安全風險綜合評價指標體系》，再結合國內高校財務信息化風險的特點，確立了既有硬件又有軟件，既有外部影響又有內部影響，各因素相互影響、互相制約的指標體系，包括組織管理、設施及環境、軟件應用、信息管理四個方面，并分別為每個方面設立對應的評價指標，形成一個多層次、多準測層的財務信息化風險評價指標層級體系，如圖1。

圖1 財務信息化風險評價體系

2.運用AHP確定指標權重

指標權重是指標評價過程中相對于評價對象的重要程度的一種主觀客觀度量的反映。目前傳統確定權重的方法主要是依靠個人經驗，該方法主要缺點是主觀隨意性較大。為了提高科學性，本文采用層次分析法，在數據處理方面使用算術平均值代表專家們的集中意見。這樣所確定的權數能正確反映各指標的重要程度，保證評價結果的準確性。

（1）構建層次分析結構模型。對于高校財務信息化風險這個問題來說，層次分析模型主要分為三層，詳情見圖1。最高目標層即高校財務信息化風險防控；中間為準則層，即為風險防控四方面的準則組織管理風險、設施及環境風險、軟件應用風險、信息管理風險；最下一層為方案層，即為解決問題的基本構成單位。

（2）確定評價指標權重及一致性檢驗。建立層次分析模型之后，本文邀請專家對每一層次中的各元素進行兩兩比較，就各因素的相對重要性給出主觀判斷，這些判斷通過1-9分的賦值表示出來，形成判斷矩陣，本文運算過程以準則層A和基準層A1為例。現需確定評價指標對評價對象的權重，并進行一致性檢驗，數據結果見表1、表2。

表1 A財務信息化風險綜合評價（準則層）判斷矩陣及一致性檢驗結果

表2 A1組織管理風險的判斷矩陣及一致性檢驗結果

最高目標層和準則層判斷矩陣的CR值均低于0.10，具有滿意的一致性。從上述結果可以看出，高校財務信息化風險相關因素的重要性排序結果為：決策人員的重視程度（0.1606），供應商服務級別（0.1544），用戶訪問權限授權（0.0850），設施的安全保護（0.0768），系統使用者安全教育、培訓和意識提升（0.0767），用戶訪問身份鑒別（0.0689），機房的人員訪問控制（0.0651），機房的環境安全保護（0.0617），周期性或不定期風險評估管理措施（0.0527），網絡安全級別（0.0495），與供應商合同的控制和管理能力（0.0489），數據存儲加密（0.0362），系統恢復能力（0.0329），信息資產分類（0.0170），系統訪問日志審計（0.0135）。

3.構建風險評價集和隸屬度矩陣

（1）建立風險評價集。風險評價集是對各層次風險指標的一種語言描述，它是評價人對各評價指標所給出的風險程度的集合。本模型的風險共分為五個等級。具體的風險集為：

F=(F1，F2，F3，F4，F5)={高風險，較高風險，中等風險，較低風險，低風險}

（2）構造評價對象的隸屬度矩陣。選取10名包括財務領域、系統工程領域及有關專家組成評審團，以問卷調查的形式讓他們對圖1中財務信息化風險指標體系的方案層各元素進行風險程度評價，得出對該項目所面臨的各種風險及其驅動因素綜合評價結果。

根據十名專家給出的風險評價數值，得出基準層A1隸屬度矩陣，如下所示：

4.對評價對象進行模糊綜合評價

由AHP確定的權重和隸屬度矩陣，進行綜合評價，本文算子采用加權平均法。

根據權重數據A1和隸屬度矩陣R1，得出基準層綜合評價：

B1=A1R1=（0.016，0.129，0.268，0.332，0.225）

將上述基準層綜合評價向量作為上層指標評價矩陣R，如下所示。

由表1可知，基準層對評價對象的權重A=(0.4406，0.2036，0.2364，0.1194)，便可算得“信息化風險”的綜合評價向量：

B=A R=（0.073，0.19，0.215，0.23，0.292）

以上的計算結果B為N高校信息化風險的綜合評判結果，其表明“風險高”的成分為7.3%，“風險較高”的成分為19%，“風險中等”的成分為21.5%，“風險較低”的成分為23%，“風險低”的成分為29.2%。根據最大隸屬度原則，N高校的財務信息化風險屬于“低風險”水平。

四、N高校財務信息化風險防控的經驗

通過分析可以看出，基于AHP的模糊綜合評價法為高校財務信息化風險的防控提供了有效的工具，實現對N高校財務信息化風險的整體評價，總體呈現低風險水平，說明N高校財務信息化安全建設成果較好。在控制財務信息化風險方面，N高校主要有以下幾個方面的經驗。

第一，高校決策人員重視程度是風險防控的關鍵所在。在信息化風險諸因素中，排名第一為高校決策人員的重視程度（16.06%）。決策人員的重視意味著足夠的資金投入與積極的人員調動，這些都有利于信息化建設更安全地落地。

第二，選擇能力強的供應商是風險防控的重要保障。供應商服務級別占信息化風險各因素比重為15.44%。系統供應商服務級別高能力強則能夠實現更安全地更個性化地將信息系統應用于高校。

第三，系統用戶的權限授權和身份鑒別是風險防控的重要抓手。在信息化風險諸因素中，用戶訪問權限授權占比8.50%、用戶訪問身份鑒別占比6.89%。提高系統應用安全性，需做好用戶身份授權與身份鑒別。授權用戶在何時何地如何訪問何種信息或信息系統，控制力度越大風險值越小。

第四，系統設備及環境的保護是風險防控的最后一道防線。設施的安全保護占信息化風險各因素比重為7.68%。設施及環境的安全，尤為注意設施安全保護。設施包括了網絡線路安全、計算機安全、網絡設備安全等。做好定期檢查線路計算機等設施，減少硬件損壞造成系統崩潰的風險。