实施大型管理信息系统建设风险管理

胡云峰

根据美国巴林顿软件生产调查公司（SPR）对美英两国企业进行的调查*，35—50%的客户/服务器项目中途放弃了开发，而且越先进的大型项目失败的比例越大，其中5000个功能模块以上的大项目，中途夭折的占24%；10000个功能模块以上的大项目，失败的比率超过50%，已经运行的系统2/3超过原定的开发期限；另据IBM咨询集团对美国24个大型项目的调查表明，68%的项目超过原定的开发期限，55%的项目费用超出预算，88%的项目必须进行系统再设计（Reengineering）。根据作者的说法，这些系统建设发生问题的原因，主要是用户企业在系统的建设管理上出现了问题，笔者认为这里说的管理在很大程度上可以归结为对风险的管理。再次列举这些统计数字，就是为了说明企业在建设大型管理信息系统过程中加强风险管理的必要性和重要性。

系统的成功与否是以它投入运行后所产生的实际效果来衡量的。下面根据风险管理的有关理论，谈谈大型管理信息系统建设的风险管理实施方面的有关问题。

关于风险管理的组织形式

企业的领导者在行使管理职能的过程中已经在进行一定的风险管理，只是没有从系统、科学的角度考虑对成功风险的全方位管理。大型管理信息系统建设要避免失败的风险，应该采取一定的风险管理组织形式。

在管理系统的项目组织中，应该有人负责对系统建设的风险进行有效的管理，如果不能设置专职的风险管理人员，兼职的风险管理者是必不可少的。项目的风险管理人员的职责包括如下几个方面：

1.      完成项目风险管理的总体规划与方案制订；

2.      在有关人员的协助下，完成这个项目各种风险因素的识别；

3.      对各种风险因素进行科学系统的分析、估计与评价，拿出详细的风险分析、估计与风险评价报告；

4.      组成专门的小组，在上述报告的基础上作出风险决策；

5.      负责在项目建设过程中对风险决策的执行。

风险管理人员或组织在项目组织中应该处于较高的位置，以便实施对风险的有效管理，建议采用如下的组织形式：

管理信息系统建设风险管理的组织机构图

管理系统建设风险的识别

管理信息系统建设的风险存在它自身的特点。本文在第三、第四和第五章中分别从企业战略管理与管理基础、管理信息系统建设立项与合同签定，系统在设计与开发过程中的风险这三个方面，对大型管理系统建设的一些在笔者看来比较主要的风险因素作了识别，这仅仅代表笔者自己的一些观点，并且并不系统和全面。

管理信息系统建设的风险的识别应该站在全局的高度，按照一定的系统结构和总体布局开展工作。笔者建议在系统建设风险管理的风险识别方面可以采用三层的层次结构，前两层的结构如下：

       A       B         C         D        E          F        G        H          I

管理系统建设风险识别结构层次图

在上述结构中的基础上，对第二层中的每一个风险方面，又可以进行不同程度的分解，下面对可分解的风险因素进一步分解如下：

一、            网络设备配置的风险分解：

	网络设备风险		信息网络建设与运行的风险   A1

                                                               

大型数据库服务器运行风险   A2

                    A

其它设备运行的风险    A3

                                                               

                                                             

网络设备配置的风险分解图

   

二、企业员工素质的风险分解：

企业高层领导的素质风险D1

                                                                                                  

	企业员工素质

企业中层领导的素质风险D2

                                     D

                                                                                                           

                                                                                                  

企业员工素质的风险分解：

三、系统开发阶段的风险分解：

	开发阶段风险

开发步骤控制的风险    H2

                                                                                            

		开发工具选择的风险    H3

                                     H

系统开发阶段的风险举例

四、系统建设项目项目管理阶段的风险分解：

	项目管理阶段风险

                                     F

		合同变更索赔的风险     F4

系统建设项目项目管理阶段的风险分解

五、外部环境因素的风险分解

	外部环境风险				来自政府或政策的风险  E1

来自其它单位的风险    E2

                                            E

外部环境因素的风险分解

六、系统需求分析与设计方面的风险分解

	系统需求分析与设计风险

                                          G

系统需求分析与设计方面的风险分解

风险的估计与风险评价

在管理信息系统建设的风险管理中，对风险的估计和风险评价是一个敏感而又很难把握的问题，可以采取一定的形式进行量化分析。

一、风险估计

风险估计是在风险识别的基础上，对管理系统建设存在的风险进行量化，确定这些风险的影响程度，以便进一步对风险进行评价和决策，正确选择风险处理的方法。风险估计的任务包括：

1、           收集整理国内外管理系统建设风险损失的历史资料；

2、           选择适当的风险估计方法，估计风险发生的概率；

3、           结合风险产生的原因分析及具体情况，估计风险后果或损失程度。

管理系统建设的风险损失的历史资料十分有限，对风险的估计目前也没有建立起十分有效的模型，这是一个较大的题目，但可以对风险的影响程度进行一定的加权处理，以便进行量化计算。

二、风险评价

风险评价是管理系统建设风险管理的一个重要步骤，是对项目整体风险水平作出合理评价的过程，以便项目的管理层对这些评价结果进行决策。风险评价的方法有很多，但对于管理信息系统建设的风险普评价来说，这些方法不一定都合适，下面将这些方法列举出来，仅供参考：

1、层次分析法：以模糊数学法作为分析基础

2、统计方法：这种方法的理论基础是概率和数理统计；

3、模糊数学方法：其理论基础是模糊数学；

4、人工智能方法：理论基础是人工智能理论；

5、神经网络方法：理论基础是神经网络理论。

下面以层次分析法的原理为依据，在前一节进行的风险识别的基础上，对管理信息系统建设的风险评估进行一定程度的量化分析。为了便于进行方案比较，将管理信息系统开发商分为国内开发商（方案I）和国外开发商两种（方案II）。

 一、确定管理信息系统建设风险中各因素所占的权重

      （1）、在对系统风险因素进行层次结构分解，以便按照层次对各个风险因素进行层次量化处理；

      （2）、对各层的风险因素的权重取值

根据专家判定，管理系统建设各风险因素的权重值如下：

表2、二层结构的风险权重

代号	风险因素描述	权重（I）	权  重 (II)
A	网络设备配置与运行风险	0.12	0.08
B	企业战略制订与管理的风险	0.08	0.17
C	企业管理规范化的风险	0.08	0.14
D	企业员工素质的风险	0.10	0.15
E	企业外部环境因素风险	0.10	0.05
F	系统项目管理过程中的风险	0.13	0.06
G	系统需求分析与设计的风险	0.20	0.16
H	系统开发阶段的风险	0.17	0.08
I	系统维护阶段的风险	0.02	0.11

结构第三层风险权重如下各表：

企业战略管理的风险的权重分别为： 0.08, 0.17

企业管理规范化的风险各因素的权重分别为:0.08,0.14

系统维护阶段的风险各因素的权重分别为：0.02,0.11

表3、网络设备配置与运行风险各因素的权重

代号	风险因素描述	权重（I）	权重(II)
A1	信息网络建设与运行的风险	0.40	0.40
A2	大型数据库服务器运行风险	0.40	0.50
A3	其它设备运行的风险	0.20	0.10

表4、企业员工素质的风险各因素的权重

代号	风险因素描述	权重（I）	权重（II）
D1	高层领导的素质	0．50	0.60
D2	中层领导的素质	0．40	0.30
D3	基层人员的素质	0．10	0.10

表5、企业外部环境因素风险各因素的权重

代号	风险因素描述	权重（I）	权重（II）
E1	来自政策或政府的风险	0.50	0.40
E2	来自合同单位的风险	0.30	0.40
E3	其它环境风险	0.20	0.20

表6、系统项目管理过程中的风险各因素的权重

代号	风险因素描述	权重(I)	权重(II)
F1	选择开发商的风险	0.35	0.25
F2	签定开发合同的风险	0.10	0.20
F3	选择分包商的风险	0.25	0.05
F4	合同变更索赔的风险	0.13	0.13
F5	系统建设融资的风险	0.07	0.07
F6	进度、质量成本控制的风险	0.10	0.30

表7、系统需求分析与设计的风险各因素的权重

代号	风险因素描述	权重（I）	权重（II）
G1	系统需求分析的风险	0.45	0.45
G2	系统设计的风险	0.40	0.40
G3	其它风险	0.15	0.15

表8、系统开发阶段的风险各因素的权重

代号	风险因素描述	权重(I)	权重(II)
H1	开发方式选择的风险	0.10	0.10
H2	开发步骤控制的风险	0.15	0.15
H3	开发工具选择的风险	0.05	0.05
H4	系统功能测试的风险	0.10	0.10
H5	用户意见反馈与修改的风险	0.30	0.30
H6	系统验收过程的风险	0.30	0.30

       （3）、对风险进行排序评价

下面结合方案（I）和方案（II）进行风险大小的排序

表9、二层、三层总权重表(II，即对外国承包商)

	A	B	C	D	E	F	G	H	I	权重	排序
A1	0.4	0	0	0	0	0	0	0	0	0.032	9
A2	0.5	0	0	0	0	0	0	0	0	0.040	8
A3	0.1	0	0	0	0	0	0	0	0	0.008	13
B	0	.17	0	0	0	0	0	0	0	0.17	1
C	0	0	.14	0	0	0	0	0	0	0.14	2
D1	0	0	0	0.6	0	0	0	0	0	0.090	4
D2	0	0	0	0.3	0	0	0	0	0	0.045	7
D3	0	0	0	0.1	0	0	0	0	0	0.015	11
E1	0	0	0	0	0.4		0	0	0	0.002	16
E2	0	0	0	0	0.4	0	0	0	0	0.002	16
E3	0	0	0	0	0.2	0	0	0	0	0.001	17
F1	0	0	0	0	0	.25	0	0	0	0.015	11
F2	0	0	0	0	0	.20	0	0	0	0.012	12
F3	0	0	0	0	0	.05	0	0	0	0.003	15
F4	0	0	0	0	0	.13	0	0	0	0.008	13
F5	0	0	0	0	0	.07	0	0	0	0.004	14
F6	0	0	0	0	0	0.3	0	0	0	0.002	16
G1	0	0	0	0	0		.45	0	0	0.072	5
G2	0	0	0	0	0	0	.40	0	0	0.064	6
G3	0	0	0	0	0	0	.15	0	0	0.024	10
H1	0	0	0	0	0	0	0	0.1	0	0.008	13
H2	0	0	0	0	0	0	0	.15	0	0.012	12
H3	0	0	0	0	0	0	0	.05	0	0.004	14
H4	0	0	0	0	0	0	0	0.1	0	0.008	13
H5	0	0	0	0	0	0	0	0.3	0	0.024	10
H6	0	0	0	0	0	0	0	0.3	0	0.024	10
I	0	0	0	0	0	0	0	0	.11	0.11	3

表10、二层、三层总权重表(I，即对国内内承包商)

	A	B	C	D	E	F	G	H	I	权重	排序
A1	0.4	0	0	0	0	0	0	0	0	0.005
A2	0.4	0	0	0	0	0	0	0	0	0.005
A3	0.2	0	0	0	0	0	0	0	0	0.003
B	0	.08	0	0	0	0	0	0	0	0.08	2
C	0	0	.08	0	0	0	0	0	0	0.08	2
D1	0	0	0	0.5	0	0	0	0	0	0.05	4
D2	0	0	0	C	0	0	.08	0	0	0.04	6
D3	0	0	0	D1	0	0	0	0	0	0.01
E1	0	0	0	0	0.5		0	0	0	0.05	4
E2	0	0	0	0	0.3	0	0	0	0	0.03
E3	0	0	0	0	0.2	0	0	0	0	0.02
F1	0	0	0	0	0	.35	0	0	0	0.046	5
F2	0	0	0	0	0	.10	0	0	0	0.013
F3	0	0	0	0	0	.25	0	0	0	0.033	7
F4	0	0	0	0	0	.13	0	0	0	0.017
F5	0	0	0	0	0	.07	0	0	0	0.009
F6	0	0	0	0	0	.10	0	0	0	0.013
G1	0	0	0	0	0		.45	0	0	0.090	1
G2	0	0	0	0	0	0	.40	0	0	0.080	2
G3	0	0	0	0	0	0	.15	0	0	0.030
H1	0	0	0	0	0	0	0	0.1	0	0.017
H2	0	0	0	0	0	0	0	.15	0	0.025
H3	0	0	0	0	0	0	0	.05	0	0.008
H4	0	0	0	0	0	0	0	0.1	0	0.017
H5	0	0	0	0	0	0	0	0.3	0	0.051	3
H6	0	0	0	0	0	0	0	0.3	0	0.051	3
I	0	0	0	0	0	0	0	0	.02	0.02

以上是两种方案的风险评估结果。

对方案（I），前九位排序为：

G1、G2、C、B、H5、H6、D1、E1、F1

对方案（II），前九位排序为：

B、C、I、D1、G1、G2、D2、A2、A1

第四节 风险决策

在对管理系统建设项目进行风险评价的基础上，下面要面临的问题就是寻找有效的手段和措施来处理风险的问题，即进行管理系统建设的风险决策。

风险决策是在充分认识所面临的风险的基础上，有目的、有意识地通过计划、组织实施和控制等活动，对风险进行处理，以最小的风险处理成本谋求最大保障的过程。

风险一般经历三个阶段：潜在阶段、实际出现阶段和造成后果阶段，风险决策就是在风险的潜在阶段，正确预见和及时发现风险隐患，制定和实施各种风险控制手段和措施，以阻止风险损失的发生，削弱损失的影响程度，消除各种隐患。在风险实际发生阶段，积极实施抢救与补救措施，将风险导致的损失减小到最低程度。当损失发生后，运用风险管理的手段和措施，迅速对损失进行充分有效的补偿。在尽可能短的时间内，排除直接损失对项目正常运行的干扰，从而减少间接损失。

风险决策主要有以下三种方法：

1、     风险控制：包括所有为避免或减少项目风险发生的可能性及其潜在损失的各种措施。

2、     风险保留：是对一些无法回避、难以控制和转移的风险或因冒风险可能获得较大利益时，采取现实的态度，在不影响大局利益的前提下，自己承担风险所致的损失

3、     风险转移：是风险管理中重要而且广泛实用的一种决策，是指风险管理人员有意识地采取某些措施将风险转移到其它方面。

下面根据风险评估阶段采用层次分析法得出的结果：即选择国外开发商（方案II）表9以及选择国内开发商（方案I）表10 ，进行两个方案的详细列表对照如下：

表11、排序列前九位的风险因素列表(外国开发商)

序号	风险因素描述	总权重	累计权重
B	企业战略管理的风险	0.170	17%
C	企业管理规范化的风险	0.140	31%
I	系统维护阶段的风险	0.110	42%
D1	高层领导的素质	0.090	51%
G1	系统需求分析的风险	0.072	58.2%
G2	系统设计的风险	0.064	64.6%
D2	中层领导的素质	0.045	69.1%
A2	大型数据库服务器运行风险	0.040	73.1%
A1	信息网络建设与运行的风险	0.032	76.3%

    

表12、排序列前九位的风险因素列表(外内开发商)

序号	风险因素描述	总权重	累计权重
G1	系统需求分析的风险	0.09	9%
G2	系统设计的风险	0.08	17%
C	企业管理规范化的风险	0.08	25%
B	企业战略制订与管理的风险	0.08	33%
H5	用户意见反馈与修改的风险	0.051	38.1%
H6	系统验收过程的风险	0.051	43.2%
D1	高层领导的素质	0.05	48.2%
E1	来自政策或政府的风险	0.05	53.2%
F1	选择开发商的风险	0.046	57.8%

由表11和表12可以看出哪些风险因素是影响企业管理信息系统建设成功的主要风险因素。表11中排序列前九位的九个风险因素占总权重的76.3%，表12中排序列前九位的九个风险因素占总权重的57.8%，都是企业在系统建设过程中进行风险管理的风险决策时，应该优先解决的风险问题。这里还有一个值得注意的现象，在选用国内开发商方案后，由于将系统设计开发阶段以及开发单位选择等风险因素的权重增加，同时将系统维护阶段风险和企业战略、管理规范化等风险因素的权重减少的结果，使得采取选择国内开发商方案的前九项风险的权重累加量显著减小，这表明，选择国内开发商方案的风险被分散了。