基于AHP的高校財務(wù)信息化風險綜合模糊評價*

鄭小翠

南方醫(yī)科大學財務(wù)處 廣東 廣州

一、引言

2016年，財政部發(fā)文《會計改革與發(fā)展“十三五”規(guī)劃綱要》，要求在不斷提高企業(yè)財務(wù)信息化水平的同時，積極探索推動行政事業(yè)單位財務(wù)信息化工作。高等院校積極響應(yīng)號召，探索搭建財務(wù)信息化平臺，逐步實現(xiàn)網(wǎng)絡(luò)環(huán)境下的電子化財務(wù)報銷，推進財務(wù)信息化平臺與其他業(yè)務(wù)系統(tǒng)的融合，推動會計工作從傳統(tǒng)核算型向現(xiàn)代管理型轉(zhuǎn)變。財務(wù)信息通過信息化平臺實時傳遞、適時處理，提高財務(wù)服務(wù)質(zhì)量與業(yè)務(wù)處理效率。但是財務(wù)信息化平臺在實際運行時，存在著錯綜復(fù)雜、難以量化且普遍存在的風險，如何識別風險、規(guī)避風險成為財務(wù)信息化建設(shè)需要關(guān)注的問題。

本文以N高校為例，識別多層次、多影響因素的財務(wù)信息化風險指標，采用層次分析法對風險指標賦予權(quán)重，通過模糊綜合評判法綜合評價信息化風險，即賦予一個唯一的評價值。評價的目的不僅給N高校一個綜合評價分值，更重要的是識別出信息化平臺的薄弱環(huán)節(jié)，對風險進行有針對性得防控規(guī)避，為國內(nèi)高校財務(wù)信息化風險管理工作提供經(jīng)驗。

二、高校財務(wù)信息化風險評價與基于層次分析的模糊綜合評價法

高校財務(wù)信息化風險評價，是指在識別和衡量風險的基礎(chǔ)上，綜合全面評估高校財務(wù)信息化建設(shè)過程中可能發(fā)生損失的程度。高校財務(wù)信息化風險，是指高校財務(wù)信息化建設(shè)過程中可能存在影響信息化實現(xiàn)目標的各種不確定因素，包括了組織管理風險、設(shè)施及環(huán)境風險、軟件應(yīng)用風險、信息管理風險等。其中，組織管理風險、設(shè)施及環(huán)境風險屬于外部因素影響，軟件應(yīng)用風險、信息管理風險屬于內(nèi)部因素影響。所以，實務(wù)界和理論界都嘗試對高校信息化風險的組成部分和風險程度進行評價。但由于高校信息化風險組成部分通常不可度量，造成各因素之間常無法比較，所以對高校財務(wù)信息化風險進行評價有一定的困難。

高校財務(wù)信息化風險評價通常是以文字描述、專家歸納等定性方法為主。定性分析較大程度依賴于評價人員的主觀判斷，主觀判斷可能出現(xiàn)紕漏和失誤，難以被修正，而且風險指標之間不能進行比較，風險權(quán)重也無法確定?？傮w來說，該方法缺乏科學嚴謹?shù)臄?shù)學思維。

層次分析法（TheAnalyticHierarchyProcess,下文簡記AHP）是美國著名的運籌學家T.L.Satty等人在20世紀70年代提出的一種定性與定量分析相結(jié)合的多準則決策方法。它將待分析問題的本質(zhì)、影響因素及內(nèi)在關(guān)系等進行深入分析之后，構(gòu)建一個層次結(jié)構(gòu)模型，然后利用較少的定量信息把待分析問題的思維過程數(shù)學化，從而為求解多目標、多準則或無結(jié)構(gòu)特性的復(fù)雜問題提供一種簡便的決策判斷方法。對于高校財務(wù)信息化平臺這個復(fù)雜系統(tǒng)來說，采用AHP可以解決層次結(jié)構(gòu)模型中各層次指標相對于評價對象的權(quán)重問題。權(quán)重確定后，則需要通過模糊綜合評價法為信息化風險給與綜合評價。

模糊綜合評價法，是借助模糊數(shù)學的一些概念對實際的綜合評價問題提供一些評價的方法。針對信息化風險，可以將其作為一個整體，從風險構(gòu)成因素的角度出發(fā)，對各個因素分別評價賦分，然后綜合各部分的評價分值，實現(xiàn)對信息化風險整體的評價。

基于AHP的模糊綜合評價法的具體步驟如下。首先，把高校財務(wù)信息化風險解構(gòu)成不同因子，并將因子依據(jù)相互關(guān)系和隸屬關(guān)系分類，從而形成層次分析結(jié)構(gòu)模型。然后，專家團由下而上地給各層次因子的重要性給予賦值評判，確定最底層次因子相對于最高層次目標的相對重要性權(quán)值。最后，通過因子權(quán)數(shù)和專家評分，算出該風險的最終評價，即風險程度的整體評價。

三、N高校財務(wù)信息化風險基于AHP的模糊綜合評價法應(yīng)用

1.高校財務(wù)信息化風險評價指標體系的設(shè)計

考慮到目前我國高校財務(wù)信息化評價指標體系尚不完善，本文主要根據(jù)較為成熟并在信息安全領(lǐng)域普遍得到應(yīng)用的《信息安全風險綜合評價指標體系》，再結(jié)合國內(nèi)高校財務(wù)信息化風險的特點，確立了既有硬件又有軟件，既有外部影響又有內(nèi)部影響，各因素相互影響、互相制約的指標體系，包括組織管理、設(shè)施及環(huán)境、軟件應(yīng)用、信息管理四個方面，并分別為每個方面設(shè)立對應(yīng)的評價指標，形成一個多層次、多準測層的財務(wù)信息化風險評價指標層級體系，如圖1。

圖1 財務(wù)信息化風險評價體系

2.運用AHP確定指標權(quán)重

指標權(quán)重是指標評價過程中相對于評價對象的重要程度的一種主觀客觀度量的反映。目前傳統(tǒng)確定權(quán)重的方法主要是依靠個人經(jīng)驗，該方法主要缺點是主觀隨意性較大。為了提高科學性，本文采用層次分析法，在數(shù)據(jù)處理方面使用算術(shù)平均值代表專家們的集中意見。這樣所確定的權(quán)數(shù)能正確反映各指標的重要程度，保證評價結(jié)果的準確性。

（1）構(gòu)建層次分析結(jié)構(gòu)模型。對于高校財務(wù)信息化風險這個問題來說，層次分析模型主要分為三層，詳情見圖1。最高目標層即高校財務(wù)信息化風險防控；中間為準則層，即為風險防控四方面的準則組織管理風險、設(shè)施及環(huán)境風險、軟件應(yīng)用風險、信息管理風險；最下一層為方案層，即為解決問題的基本構(gòu)成單位。

（2）確定評價指標權(quán)重及一致性檢驗。建立層次分析模型之后，本文邀請專家對每一層次中的各元素進行兩兩比較，就各因素的相對重要性給出主觀判斷，這些判斷通過1-9分的賦值表示出來，形成判斷矩陣，本文運算過程以準則層A和基準層A1為例?，F(xiàn)需確定評價指標對評價對象的權(quán)重，并進行一致性檢驗，數(shù)據(jù)結(jié)果見表1、表2。

表1 A財務(wù)信息化風險綜合評價（準則層）判斷矩陣及一致性檢驗結(jié)果

表2 A1組織管理風險的判斷矩陣及一致性檢驗結(jié)果

最高目標層和準則層判斷矩陣的CR值均低于0.10，具有滿意的一致性。從上述結(jié)果可以看出，高校財務(wù)信息化風險相關(guān)因素的重要性排序結(jié)果為：決策人員的重視程度（0.1606），供應(yīng)商服務(wù)級別（0.1544），用戶訪問權(quán)限授權(quán)（0.0850），設(shè)施的安全保護（0.0768），系統(tǒng)使用者安全教育、培訓(xùn)和意識提升（0.0767），用戶訪問身份鑒別（0.0689），機房的人員訪問控制（0.0651），機房的環(huán)境安全保護（0.0617），周期性或不定期風險評估管理措施（0.0527），網(wǎng)絡(luò)安全級別（0.0495），與供應(yīng)商合同的控制和管理能力（0.0489），數(shù)據(jù)存儲加密（0.0362），系統(tǒng)恢復(fù)能力（0.0329），信息資產(chǎn)分類（0.0170），系統(tǒng)訪問日志審計（0.0135）。

3.構(gòu)建風險評價集和隸屬度矩陣

（1）建立風險評價集。風險評價集是對各層次風險指標的一種語言描述，它是評價人對各評價指標所給出的風險程度的集合。本模型的風險共分為五個等級。具體的風險集為：

F=(F1，F(xiàn)2，F(xiàn)3，F(xiàn)4，F(xiàn)5)={高風險，較高風險，中等風險，較低風險，低風險}

（2）構(gòu)造評價對象的隸屬度矩陣。選取10名包括財務(wù)領(lǐng)域、系統(tǒng)工程領(lǐng)域及有關(guān)專家組成評審團，以問卷調(diào)查的形式讓他們對圖1中財務(wù)信息化風險指標體系的方案層各元素進行風險程度評價，得出對該項目所面臨的各種風險及其驅(qū)動因素綜合評價結(jié)果。

根據(jù)十名專家給出的風險評價數(shù)值，得出基準層A1隸屬度矩陣，如下所示：

4.對評價對象進行模糊綜合評價

由AHP確定的權(quán)重和隸屬度矩陣，進行綜合評價，本文算子采用加權(quán)平均法。

根據(jù)權(quán)重數(shù)據(jù)A1和隸屬度矩陣R1，得出基準層綜合評價：

B1=A1R1=（0.016，0.129，0.268，0.332，0.225）

將上述基準層綜合評價向量作為上層指標評價矩陣R，如下所示。

由表1可知，基準層對評價對象的權(quán)重A=(0.4406，0.2036，0.2364，0.1194)，便可算得“信息化風險”的綜合評價向量：

B=A R=（0.073，0.19，0.215，0.23，0.292）

以上的計算結(jié)果B為N高校信息化風險的綜合評判結(jié)果，其表明“風險高”的成分為7.3%，“風險較高”的成分為19%，“風險中等”的成分為21.5%，“風險較低”的成分為23%，“風險低”的成分為29.2%。根據(jù)最大隸屬度原則，N高校的財務(wù)信息化風險屬于“低風險”水平。

四、N高校財務(wù)信息化風險防控的經(jīng)驗

通過分析可以看出，基于AHP的模糊綜合評價法為高校財務(wù)信息化風險的防控提供了有效的工具，實現(xiàn)對N高校財務(wù)信息化風險的整體評價，總體呈現(xiàn)低風險水平，說明N高校財務(wù)信息化安全建設(shè)成果較好。在控制財務(wù)信息化風險方面，N高校主要有以下幾個方面的經(jīng)驗。

第一，高校決策人員重視程度是風險防控的關(guān)鍵所在。在信息化風險諸因素中，排名第一為高校決策人員的重視程度（16.06%）。決策人員的重視意味著足夠的資金投入與積極的人員調(diào)動，這些都有利于信息化建設(shè)更安全地落地。

第二，選擇能力強的供應(yīng)商是風險防控的重要保障。供應(yīng)商服務(wù)級別占信息化風險各因素比重為15.44%。系統(tǒng)供應(yīng)商服務(wù)級別高能力強則能夠?qū)崿F(xiàn)更安全地更個性化地將信息系統(tǒng)應(yīng)用于高校。

第三，系統(tǒng)用戶的權(quán)限授權(quán)和身份鑒別是風險防控的重要抓手。在信息化風險諸因素中，用戶訪問權(quán)限授權(quán)占比8.50%、用戶訪問身份鑒別占比6.89%。提高系統(tǒng)應(yīng)用安全性，需做好用戶身份授權(quán)與身份鑒別。授權(quán)用戶在何時何地如何訪問何種信息或信息系統(tǒng)，控制力度越大風險值越小。

第四，系統(tǒng)設(shè)備及環(huán)境的保護是風險防控的最后一道防線。設(shè)施的安全保護占信息化風險各因素比重為7.68%。設(shè)施及環(huán)境的安全，尤為注意設(shè)施安全保護。設(shè)施包括了網(wǎng)絡(luò)線路安全、計算機安全、網(wǎng)絡(luò)設(shè)備安全等。做好定期檢查線路計算機等設(shè)施，減少硬件損壞造成系統(tǒng)崩潰的風險。