摘要：企业信息化是国家信息化的重点，也是企业实施战略和提高核心竞争力的必由之路。然而，成功率不高困扰着信息化项目的建设，随着软件技术及企业信息化的深入发展，项目复杂程度越高，风险随之也就越来越大。面对高风险的企业信息化项目，科学的风险管理能让我们更好地驾驭风险，提高项目成功率，更好地为企业服务。本文主要以中小企业为研究对象，全面探索企业信息化项目的风险控制。为企业实施信息化项目进行风险识别、风险管理、风险控制提供了参考，有利于中小型企业提升实施信息化项目的成功率。

关键词：企业信息化;风险识别;风险控制

企业信息化风险控制是企业信息化过程一个重要的研究领域，它不仅包括那些被描述为“风险识别”部分的内容，它也关注与企业战略相关的风险的决策的开展、评估，以及如何有效地协调包括企业商业需求、竞争环境、价值体系以及组织规则在内的风险环境。风险控制主要针对企业信息系统潜在的风险进行管理，包括IT风险的识别、风险的影响力分析，涉及到多个部门并且需要采取最经济和有效的措施来规避风险。通过对风险进行控制，使信息系统的风险达到最低，从而提升企业的价值。

1.企业信息化项目实施风险研究现状

1.1企业信息化项目

信息化是一个过程，与工业化、现代化一样，是一个动态变化的过程。动态的变化过程中包含三个层面：信息技术的开发和应用过程，是信息化建设的基础;信息资源的开发和利用过程，是信息化建设的核心与关键;信息产品制造业不断发展的过程，是信息化建设的重要支撑。这其中有涵盖信息网络、信息资源、信息技术、信息产业、信息法规环境与信息人才六大要素。

1.2企业信息化项目风险特点

企业信息化项目建设周期长、投资多、技术要求高、系统复杂的过程，该过程中，未确定因素、随机因素和模糊因素大量存在，由此而造成的风险直接威胁信息化项目的实施和成功。信息化项目的风险有以下特点：

（1）风险存在的普遍性和客观性。在项目的生命周期内，风险是无处不在的，只能降低风险发生的概率和减少风险造成的损失，或是分散转移风险，而不能从根本上完全消除风险。

（2）风险的影响是全局的。甚至有时反常的气候条件造成工程的停滞，会影响整个的工作。

（3）不同的主体对风险的承受能力是不同的。人们的风险承受能力受收益的大小、投入的大小、项目活动的主体的地位和拥有的资源有关。

（4）工程项目的风险变化是复杂的。工程项目的建设是既有确定因素，又有随机因素、模糊因素和未确知因素的复杂系统，风险的性质和造成的后果在工程建设中极有可能发生变化。

2.企业信息化风险控制评价体系

本文建立的企业信息化风险控制体系分为外部控制评价和内部控制评价两个部分。外部控制评价是将企业与同行业中的其他企业进行横向比较，利用定量的成熟度模型，对企业的经营过程和能力进行评价，也可以称为过程评价;内部控制评价是将企业当前生产经营的数据与历史数据进行纵向比较，对关键的信息技术过程的具体实施效果如何进行评价，主要利用的手段是信息技术平衡计分卡，最后将所得的评价结果反汇报到企业决策中心，由企业根据评价结果为企业的生产经营做出正确的决策，内部控制评价是过程评价和结果评价的结合。

2.1外部控制评价

（1）确定评价目标

确定评价目标首先需要确定企业的业务目标，在COBIT框架中，业务目标与信息技术目标和测量方法都是通过信息准则相互联系的，企业在确定具体的业务目标的时候可以从一般业务目标和信息技术目标的关系对照表中得到相应的指导。所以，在我们已经知道业务目标的前提下，利用COBIT框架，发现支持该业务目标的全部的信息技术过程，然后再根据企业的经营管理策略和企业的现实情况在所有的信息技术过程当中选择那些和业务目标有较高相关关系的主要信息技术过程。

（2）确定评价基准

成熟度模型制定了一个基准，利用成熟度模型对上面一部分的主要信息技术过程进行成熟度衡量，通过将本企业与同行业其他企业的对比，确定自己位置，找出那些为了完成既定业务目标。

2.2内部控制评价

在明确关键成功因素的基础之上，利用信息技术平衡计分卡对实施现状进行衡量。

2.2.1建立评价指标体系

信息技术风险评价指标是在COBIT框架中选取的与关键成功因素相对应的关键目标指标，进行内部控制评价。

2.2.2确定指标权重

指标权重是由专家群体运用AHP法进行决策来确定下来的，将系统中的各个因素，根据实际情况，分成相互联系的有条理化的层次，对每一个层次的相对重要性都给一个确定的量，然后再运用数理统计方法计算每一个层次单个元素相对重要性的比例，进行决策，可以克服决策过程当中的主观性的影响。

2.2.3执行评价

在外部控制评价和内部控制评价结束之后，分析比较评价结果和企业之前的相关数据，事先把每个指标显示的最开始的值记录下来，定期考核相關指标，依据评价的结果，找到存在的问题，做出相应的改进。

3.企业信息化风险控制评价体系应用

COBIT框架在企业信息化风险控制评价体系应用借鉴了控制目标框架中成熟完整的指标体系，基于管理控制目标的角度实现了整个评价过程的监控和信息反馈，同时引入了成熟度模型，在一定程度上消除了传统评价体系的主观性的影响，过程评价和结果评价在内部控制评价的过程当中实现了相互统一。

近年来，企业的信息化建设取得了很大的进展，信息化进入了全新的阶段，社会信息化建设的重要组成部分之一和基础就是企业的信息化，是企业增强其竞争力、提高管理水平的重要手段。企业不断增加对信息化资源投入，迫切希望可以使用一个高效科学的方法来评估企业信息化项目的实施风险。中小企业信息化项目实施风险控制可以从本文获得启发和建议。

参考文献：

[1]顾春燕.华明集团实施信息化项目风险控制研究[D].江苏无锡：江南大学，2009.

[2]陈虎，孙彦丛.财务就是IT企业财务信息系统[M].北京：中国财政经济出版社，2017：49- 51

[3]梁丽瑾，房卉.基于 COBIT的企业信息化内部控制绩效评价[J].经济问题，2012，2： 114-119

项目来源：中国商业会计学会课题kj201139《中小企业ERP实施项目风险控制研究》。

作者简介：黄晓莉（1974-），女，浙江诸暨人，现为浙江经济职业技术学院专职教师，硕士研究生，从事企业信息系统、统计学方法的应用研究。