王凡林，郑红丽，郑红杰

(首都经济贸易大学 会计学院，北京 100070)

高新企业信息化风险的识别与治理

王凡林，郑红丽，郑红杰

(首都经济贸易大学 会计学院，北京 100070)

高新企业实施信息化建设是一把“双刃剑”，一旦成功会给企业带来巨大的收益，能够极大地提高企业的管理水平、经营效率乃至核心竞争力；反之则可能会给企业带来额外的风险，对其造成不可估量的经济损失。通过对高新企业目前所处的经济环境及时代背景进行深入地剖析，总结出高新企业在信息化实施过程中可能会遇到的各种内部风险和外部风险,并通过Logistics回归模型分别从内部、外部及整体三个角度找出影响高新企业信息化风险的主要因素，同时提出如风险意识培育、引入第三方评价机制、构建和谐人机治理模式等防范措施，希望能够对高新企业信息化的实施提供帮助。

高新企业；信息化风险；风险治理

随着信息时代的到来，以IT技术为代表的高新技术得到广泛应用，高新技术企业(以下称高新企业)逐渐成为中国经济迅速发展的重要推动力。与传统产业中的普通企业相比，高新企业投资巨大、技术先进、员工素质较高、与企业信息化的联系也显得更加密切。“信息化”与“高新企业”的合理结合将成为现代企业竞争发展的必然选择。然而，不得不承认，企业信息技术系统的建设及实施在提高企业的管理和经营效率的同时，也给企业增加了前所未有的风险。信息化风险的增加，不但决定着企业信息化实施的成败、影响着着企业战略部署的实施和管理目标的实现,更可能会对企业自身带来不可估量的经济损失，这方面的事例不胜枚举。为了有效避免损失的发生，企业必须针对信息化实施过程中可能出现的各种风险提出相应的控制措施，尽可能将企业损失降到最低，确保企业信息化过程高效、顺利地进行。如何在信息化环境下识别出企业实施该工程的风险并将其控制在适度范围内是理论界和实务界亟待解决的问题。

一、文献综述

近年来，随着信息技术应用普遍升温，企业信息化风险问题也引起了国内外学者的广泛关注，克里斯汀(Christine P R，2001)[1]指出，在商业经济迅速发展的今天，信息化观念融合至高新企业的发展将成为这个时代的主旋律，联姻后产生的信息化生存模式将彻底改变公司管理层的决策、报告和收益构成。较传统环境中的企业而言，应用信息系统的企业收集的数据将更加广泛、准确和易量化。此外，阿曼等(Artman et al.，2012)[2]提出，应认识到传统理论在实际应用过程中的不足、评估风险及其影响，及时识别信息化项目较高的风险，并提出有效治理方案，以解决企业实施信息化项目的不确定性、复杂性和模糊性。侯姆奎斯特(Holmquist，2007)[3]指出，企业信息化风险并不是完全或专门存在于企业的IT或运营部门，设计一个专门的信息管理系统来监督企业实施信息化过程中可能产生的技术风险是十分必要的。珀特尔(Purtell，2013)[4]认为越来越多的企业已经认识到需要扩大包括信息技术(IT)风险在内的风险管理的范围，因此设计一个集执行、管理、衡量、控制和报告信息化风险问题于一身的IT风险管理(ITRM)体系是十分必要的。在风险类别确定后,就可以识别关键风险指标和关键控制指标。

相对于西方研究而言，国内学者也注意到了企业信息化的治理与全面风险管理的发展趋势，并开展了卓有成效的研究。孟秀转等(2009)[5]认为公司为增强自身核心竞争力来规避风险，是抓住了风险管理的要害，因为战略定位的准确性和强大的执行力有利于风险的降低，这一切均需要强大的核心竞争力作保障。王仰富等(2009)[6]将企业信息化风险从三方面进行说明，首先是信息系统的风险，其次是实施过程的整体战略风险，最后要考虑信息人员的控制风险。另外，可以通过德尔菲法等专业方法分解相应的信息化风险和因素，这在企业的信息化建设进程中可以起到一个引导性作用。王凡林(2014)[7]认为考虑企业绩效的同时，不能忽视企业的信息化风险，企业在实施信息化的过程中，要全面关注可能出现的人为风险，尽量避免并制定相应的对策来加以防范，作者提出的信息化风险度量的“人机关系评价法”和风险治理的“人机模型”在一定程度上填补了传统风险管理、公司治理等理论的相关空白，使其更具有时代特色和环境适应性，同时也为公司治理、信息化管理等后续发展提供理论支撑。

综上所述，尽管国内外学者的研究取得了相当丰富的成果，但现实中暴露出的信息化风险和巨额损失事件仍层出不穷，其原因可能是理论与实际的脱节、研究成果的可操作性不强、针对企业信息化风险的系统性研究不足、以及对高新企业信息化风险的针对性的指导流程不够完善具体。本文以高新企业为研究对象，对此类企业信息化过程中的风险表现、动因和治理措施等进行探讨，以期对企业实践有所裨益。

二、信息化风险分类

所谓信息化风险，是指在企业实施信息化过程及实施后的运行过程中，与此有关的可能导致某种隐患，进而给企业带来损失的可能性。国际信息系统控制审计学会(ISACA)很早就认识到信息化风险问题，因此在其下属机构所制定的各类技术管理标准中更加关注信息化风险问题，其中信息系统和技术控制目标体系5.0版(COBIT5)便是最有代表性和指导意义的一种。该模型对信息系统风险管理和控制目标进行了七方面的界定：(1)原则、政策和框架；(2)流程；(3)组织结构；(4)文化、伦理道德和行为；(5)信息；(6)服务、基础设施和应用；(7)人、技能和竞争力。参考该框架及高新企业经营特点和经济环境，本文将其信息化风险进行如下分类，如表1所示。

表1 高新企业信息化风险类型

三、实证分析

(一)数据来源

本文数据主要来源于高新企业信息公开披露的公司官方网站、问卷调查、学者访谈等渠道，从而获得60家比较典型的成功实施信息化的高新企业数据资料，一些具体指标信息来自企业网页消息。在中国，公开披露信息化失败的高新企业资料不足，所以60家实施信息化的失败企业数据资料只能从相关案例资料中来收集；此外，在实际调查及案例收集数据的基础上，本文根据高新企业的特点及经营环境模式整理了110家企业的信息化实施情况来进行logistics回归分析。

(二)指标选取

根据前面对高新企业信息化风险类型的识别以及COBIT模型的分类标准，本文选取20个量化指标，由于这20个变量均为分类变量，所以笔者构建模型时将这些变量用虚拟变量来表示，如表1所示。

(三)分析模型

Logistic回归分析与多重线性回归分析最大的不同在于他们的因变量性质不同，前者适用于因变量为虚拟变量的形式。因本文指标的选取均为分类变量且预期选用迭代的方法剔除不显著的影响因素，故运用软件SPSS16.0对数据进行Logistic回归分析，并采用马尔科夫前向算法模型(Forward LR)选择分类变量。待估计 Logistic 模型的形式为：

ln[]=α+β1X1+β2X2+β3X3+β4X4+… +β20X20(i=0,1)

其中，令因变量Y服从二项分布，取值“0”表示企业实施信息化失败,取值“1”表示企业实施信息化成功，P为考察变量出现的概率，其区间值在0～1之间。

根据研究需要和经验值，本文将进入回归方程的自变量的显著性水平设定为0.05。

首先，从高新企业组织内部提炼影响企业信息化风险的主要因素，如表2所示。

经过3次迭代，显著性均小于0.05，已经可以得出影响结果的关键变量，结合上表，它们分别是X1(规范制度风险)、X4(专业技术培训风险)、X6(业务流程重组风险)。

其次，从外部角度找出影响高新企业信息化风险的主要因素，如表3所示。

表2 因素迭代分析(内部)

表3 因素迭代分析(外部)

经过3次迭代，显著性均小于0.05，因此可以得出影响结果的关键变量，结合上表，它们分别是X12(资金风险)、X17(软件开发项目合同制约风险)、X18(竞争对手风险)。

最后，从综合整体角度找出影响高新企业信息化风险的主要因素，如表4所示。

表4 因素迭代分析(综合)

经过7次迭代，显著性均小于0.1，已经可以得出影响结果的关键变量，结合上表，它们分别是X2(软、硬件风险)、X3(信息部门人员风险)、X4(专业技术培训风险)、X5(企业组织架构风险)、X10(系统安全风险)、X12(资金风险)、X15(软件开发商选择风险)。

上述实证结果显示：从内、外部整体考虑，影响高新企业信息化成败的主要因素有：X2(软、硬件风险)、X3(信息部门人员风险)、X4(专业技术培训风险)、X5(企业组织架构风险)、X10(系统安全风险)、X12(资金风险)、X15(软件开发商选择风险)。

(四)动因分析

上述分析过程所获得的风险要素结论，其实存在客观的必然性及合理性，且符合当前高新技术企业信息化的现状。首先从信息系统设施配置方面分析，软件是系统的核心，硬件是运行的基础，如果一个企业不能根据其信息化需求特点选择适合本组织的信息化软件，并根据其相应的硬件设施使软件更顺利地安装并使用，就不能保证企业后期信息化项目的顺利开展；其次，在IT人员配置方面，如果一个企业没有对其信息化建设引起足够的重视，更没有意识到壮大信息化建设队伍的必要性，便可能会产生软件操作风险、二次开发或升级失败风险，影响企业信息化的成功实施；再次，在技术培训方面，在企业实施信息化的过程中，对于企业员工进行专业化的技术培训是十分必要的，如果企业在信息化实施的过程中，缺乏配套同步的培训规划和实施保障，面对云计算、大数据分析、数据挖掘等高端应用，员工必然无所适从，即使再先进的系统和技术，也会增加信息化实施失败的风险。另外是“组织架构调整”，信息化建设看似只涉及IT部门，实际上需要多个部门的全力配合，战略上要有IT规划，那么在战术上要有组织架构的支撑和配合，否则信息化目标不易成功。因此组织架构也可能存在一个潜移默化的风险。此外在资金预算方面，企业如果决定实施信息化建设，必将要投入大量的人力和物力，此外，一些隐含成本的出现会给企业的整体运营带来不能估计的影响，甚至可能会形成所谓的“IT黑洞”，所以如果企业在建立信息化系统之前不能做好充分、合理、严密的资金预算工作、得不到充分的资金支持加以保障，便会由于资金不足而导致信息化工作的进度、质量等目标无法如期完成。最后是软件开发商选择方面的影响因素，如果企业在选择开发商之前，没有充分调查软件开发商的资质、信誉或成功案例客户等信息，便不能确保所选择的信息系统能充分满足本企业业务、管理需求，故此可能由于软件产品的不当选择而影响企业信息化目标的实现。

四、治理对策

经过上述对影响高新企业信息化风险的因素识别及原因分析，笔者认为规避风险有以下几个方面的建议和措施。

(一)规范信息化制度

在整个信息化实施的过程中，规范的制度是基础和保障，它会明晰每个部门、岗位和员工的职责、目标和权利，也是保证信息系统中运行的数据符合某种标准的约束力量，消除了随意组合信息的不确定性，从而可以使信息化建设的风险降到最低。

(二)建立“三位一体”信息化推进机制

首先要保证有合理的资金预算和支持，尤其在信息化项目即将接近尾声的阶段，需要不断投入大量的人力和物力，其成本之巨大毋庸置疑。所以企业不仅要在建立信息化系统之前获得充分的资金支持加以保障，并且要在信息化系统实施的整个过程中做好充分、合理、严密的资金预算工作，避免由于资金不足而带来的信息化风险。另外，信息化目标质量和实施进度同样是衡量信息化是否成功的关键，三要素处于“三角形”的三个顶点，共同“围成”的三角形面积被看成信息化的内容和功能，必须做到“三位一体”，方能成功。

(三)谨慎选择软件开发商

前文分析显示，不恰当的开发商极易导致信息化风险，因此在企业选择软件开发商之前，应对可能由开发商带来的风险进行估计，充分调查软件开发商的资质、信誉状况、业务经验等。仔细斟酌对方在系统开发方面是否经验丰富、信誉优良，并且对于将要实施信息化建设的企业所处的行业背景等是否充分了解，通过对其全方位的分析，确保所选择的信息系统能充分满足本企业业务、管理需求，避免因选错开发商或软件产品而带来风险。

(四)再造组织架构

信息化建设看似只涉及IT部门，实际上需要多个部门的全力配合。企业在实施信息化建设之前，需要根据企业的特点及信息化软件的功能等，重新调整企业的组织架构和业务流程，使其更合理地配合信息化建设的实施，并且在调整的过程中，使企业各部门人员的职责权限得到更清楚明晰的界定。

(五)成立信息化风险治理委员会

企业信息化建设和运行过程是一个创造价值、提高效率的过程，同时伴随着的信息化风险也处于变化之中，企业应建立一个专门机构来关注和治理信息化风险，不断关注和评估影响信息化目标的风险因素，将风险的治理与公司治理和IT治理有机结合起来，基于人机两种视角，采取技术和管理两种手段，加强高新企业信息化风险的管控。

[1]CHRISTINE P R.Enterprise risk management:applications of economic modeling and information technology[J].Mind & Society,2001,2(2):1-8.

[2]ARTMAN E,WOELFER J P,TAYLOR H.Information technology project risk management:bridging the gap between research and practice[J].Journal of Information Technology,2012,27(1):17-34.

[3]HOLMQUIST E.Operational risk management and information technology[J].The RMA Journal,2007,90(1):9,42-45,47-51.

[4]PURTELL T.A new view on IT risk:building a successful information technology risk management program[J].Risk Management,2007,54(10):9,55-56,58-59.

[5]孟秀转,等. 企业IT控制能力与绩效关系的实证研究[J].经济管理，2009(8):31-38.

[6]王仰富,等.中国企业的IT治理之道[M].北京：清华大学出版社，2009.

[7]王凡林.企业信息化风险的内部控制与治理研究[M].北京：首都经济贸易大学出版社，2014.

(责任编辑：李 叶)

The Measurement and Control of the Informationization Risk of High-tech Enterprises

WANG Fanlin,ZHENG Hongli,ZHENG Hongjie

(Accounting School,Capital University of Economics and Business,Beijing 100070,China)

The informationization new high-tech enterprise is a “double-edged sword”.Successful implements can bring huge income to the enterprise,enormously improve the management level,the management efficiency and even the core competitive power.Otherwise it can bring risk to the enterprise and creates the inestimable economic loss.This paper focuses on the new high-tech enterprise,analyzes the economic environment and the background,summarizes each kind of internal and external risk which can appear in the informationization process,and discovers the influence factors of the risk through the logistics return model separately from the internal,external and the overall angle,gives advice on cultivation of risk consciousness,the introduction of third party appraisal mechanism,the construction of harmonious man-machine government pattern and so on in order to provide some help to the high new enterprise on informationization.

new high-tech enterprise;informationization risk;risk management

2015-06-01

北京市教育委员会社会科学重点项目“北京高新企业实施信息化管理的风险度量和治理研究”(SZ201510038019)；北京社会科学基金项目“北京高新企业实施信息化管理的风险度量和治理研究”(14JGB130)；首都经济贸易大学研究生科技创新项目“高新企业信息化风险的度量与治理”

王凡林(1970—)，男，首都经济贸易大学会计学院教授，管理学博士，研究方向为会计信息化方向；郑红丽(1989—),女，首都经济贸易大学会计学院硕士研究生，研究方向为会计信息化；郑红杰(1989—)，女，首都经济贸易大学会计学院硕士研究生，研究方向为会计信息化。

F279.23

A

1008-2700(2015)06-0084-06