基于聚类分析的信息化项目风险评估

i i聞V ie w p o in t I栏目编辑:李明富
基于聚类分析的信息化项目M险评估文II中国人民银行长春中心支行周海刘舒野
怎周海
管理学硕士，高级经济师。

现任中国人民银行 长春中心支行党§§员、副行长。

曾任中国人 民银行哈尔丨宾中心支行党耍耍员、工会主任、副行长、国家外汇管理局黑龙江省分局副局长。

主持《黑龙i工省金融业“十二五”期间友展战 略研究》等省级以上研究课题20余项；在《金 融研究》《中国金融》《中国外汇》等刊物上友 表研究成果50余篇；组织出版《区域金融与 地方经济发展縛3部近200万字的字朮专著。

年是中国人民银行全面推进“三集 ^■中”改革的汗局之屮，范一飞副ff 长在全国人民银行科技工作会议上指出，分支机构耍以“二集中”原则统领信息科 技工作，统筹规划，结合信息系统自身特 点，以业务需求制定全辖信息化速设与信 以系统规划蓝图，増加项n储济，加强项
h绩效管埋，提高资金使爪效益,中国人
民银行科技司在今年出台的《关于加强分
支机构信总化项目管理的指导意见》中明
确指出，要通过风险监控及制定预防措施，
优化信息化项目管埋工作时序，提高组织
规划能力如何科学研判全辖信总化项目
风险，并采取有效应对措施Q成为现阶段
M层央行亟耑解决的问题
本文将聚类分析方法引入基层央行
信息化项H的风险识别和防控工作中，M
过对建设类、运维类、网络租赁类项目中
的计划合理性、需求一致性、预算与执行
出入差额、质M达标性、变更严格性、验
收规范性等朮要参数的聚类分析来定M
判定出信a化项目的风险级别，为科学应
对信息化项目风险提供决策支持，有效弥
补现行依据信息安全检查列表、年度信总
化项目绩效评价进行信怠化项目风险判定
时，所表现出的缺乏针对性、客观性不强、
时效性差、不够全面等不足，实现信息化
项目风险的提早预防和及时应对，切实捉
升基层央行信息化项目风险防控水平。

应用步骤
为有效弥补现行依椐信息安全检查
列表、年度信息化项目绩效评价进行信息
化项目风险分析时表现出的不足，使风险
评判更具针对性、客观性、时效性和全面
性，我们引入聚类分析方法，通过对可能
彩响或导致裨级、地市级、接级央行位总
化项目风险的数据实行聚类分析，挖掘数
据与风险之间的内在联系，预测可能出现
的风险问题，对提高信息化项目风险管理
和防控水有TE嬰意义
聚类是一个将数据划分为若干组或
类的过程，并使得冏一个组内的数据对象
具有较高的相似度，而不同组中的数据对
象是不相似的聚类分析是研究样品或指
标（变M)之间存在矜程度不同的扪似性
(亲疏关系)根据一批样品的多个观测指
标，具体找出一些能够度W样品或指标之
间扪似程度的统计以这些统汁W为划
分类型的依据。

关系密切的聚合到一个小
的分类单位，关系疏远的聚合到一个大的
分类单位.直到把所有的样品（或指标）
都聚合完毕，把不同的类别一一划分出来，
形成一个由小到大的分类系统。

聚类法分
析的基本h标是发现项目（或变m)的n
然分组法运用聚类分析方法进行站层央
行信息化项丨！风险评估工作主要包括以下
4个步骤.，
步骤1:获取原始数据。

甄別出夼
价值的基层央行信总化项0数据是确保聚
类分析有效进行的基础。

根据目前基层央
行信息化项目的数据特征，基于信息化项
目全生命周期的视/r],可以获得各个阶段
的有效原始数据例如：在项目计划编制
及立项审批阶段，可以从项目计划与总行
金融科技发展规划的匹配程度、项目可行
性研究分析报告的科学性、审批流程的规
范化程度、项目立项的优先级排序的合理
性、预算申报调研依据的充分度等方面获
取数据;又如：在项目执行实施及变更跟
踪
阶段，可以从预钚与实际执行的出入程
，2D20.31 Viewpoint國篇
度、合同要素的执行程度、实施进度与计 划进度的偏差、质M标准的达标程度、变 更帘核的规范化程度等方面获取数据；再 如：在项目移交验收及结项绩效阶段，可 以从验收结项的及时性、验收标准的规范 性、相关干系人的参与度、绩效评价的合 理性、移交档案资料的完整性等方面获取 数据。

上述这些数据都是客观、可得的数 据来源，可结合基层央行实际需要筛选原 始数据。

步骤2:数据标准化处理。

通常获取的大量原始数据包括两类数据.一类是已 经M化的数据，比如：实施进度与计划进 度的偏差、质量标准的达标程度等数据: 另一类是需要进一步量化的数据，比如：预算与实际执行的差值、实施进度与计划 进度的时间差等。

这第二类数据就需耍进 行标准化处理，即对各聚类指标进行无量 纲化处理，通常可以通过M ax-M in标准 化、离费标准化、标准差标准化等方法进 行数据的标准化处理，消除M纲影响和变 M广彳身变异大小和数值大小的影响
步骤3:实施聚类分析。

基层央行信 息化项目数据具有信息量大、类型繁杂、涵盖面广等特点，该特点适宜选用K均 值聚类分析方法，其基本思想是对于给定 的聚类数目K,首先随机创建一个初始划 分，然后采用迭代的方式，通过聚类中心 的不断移动来尝试改进划分，达到鉍优 结合基层央行信息化项目风险评判的工作 实际，可以将K值设为3,通过聚类分析得到高、中、低三类风险；亦可以将K 值设为4,通过聚类分析得到四级风险，A级、B级、C级、D级；甚至将K值设 为更大数值，得出更加精细化的风险分类步骤4 :风险评估与控制。

对通过 第三步聚类分析得出的不同类别的风险结 果.进行进一步归纳梳理，并制定风险控 制措施，再结合制度规范、巡视检查、内外部审计等定性风险分析方法，通过定
性与定M相结合的方法，对每个风险点和
每种控制措施赋以相应的数值计算剩余风
P佥，即:剩余风险=固有风险-控制措施。

根据剩余风险情况，完善控制措施，进一
步降低风险的影响程度如：搭建信息化
项目风险库、经验库，建立健全常态化信
息化项目风险预测与评估制度，完善信息
化项目风险管理流程，设定时间窗口定期
进行全生命周期的风险识别与跟踪，将信
息化项目风险管理与三道防线建设有机结
合，有针对性地研究提出防范措施.强化
内部控制，提高风险防控工作效能。

预期成效
1. 提供制度依据。

在运用聚类分析
对基层央行信息化项目进行风险评估的过
程中，各数据指标的提取来自于省级、地
市及县级人民银行，充分遵循“三集中”
指导原则，具备科学性、普适性、规范性、
合理性和可操作性等，识别出的高风险因
素可以最大程度为制度的制定提供重要决
策参考。

此外也可将一些政府、企事业单
位信息化项目风险管理的评估指标，纳入
聚类分析范畴，探索制定出更完善、更符
合基层央行信息化项目风险管理制度。

2.针对性较强。

通过聚类分析对基
层央行信息化项目实施风险评估，得到的
全部风险分析结果，及形成的风险库，均
具有较强的针对性，可以从中总结提炼出
适用于全国各分支机构开展信息化项目
风险评估的经验库，为各单位开展信息化
项目风险自查、交叉检查提供重要决策支
持：也可为总行洋细了解基层央行信息化
项目风险情况并进行精准施策提供重要
保障。

3.更具客观性。

运用聚类分析方法
进行基层央行信息化项目风险评判时，主
要是从数字层面对各类风险进行分析，能
够反映出大M数据的真实特征，及M化的
风险评判结果，较依据信息安金检查列表、
年度信总化项目绩效评价进行信息化项目
风险定性分析方法评判更具客观性,，
4.时效性高。

使用聚类分析方法进
行基层央行信息化项目风险评判不受时
间、人员、环境等外界条件因素制约，可
以随时进行分析，随时调整分析指标，较
依据信息安全检查列表、年度信息化项目
绩效评价进行风险定性分析方法更灵活、
更便捷、更高效。

5. 周期全覆盖。

运用统汁聚类分析
方法进行基层央行信息化项目风险评估，
能够做到从信息化项目的计划、立项、审
批、跟踪、变更、移交、验收等全生命周
期来判定风险，能够揭示出风险与绩效之
间的内在联系和相互影响，使风险分析更
具全面性，从而达到推动风险全面防控的
预期效果
后续工作
以上捉出了一种在“三柒中”指导原
则下通过聚类分析方法提升基层央行信息
化项H风险管理的思想，在基层央行实际
的信息化项目风险评判工作中，可根据实
际需要灵活综合运用聚类分析方法和其他
定性、定量风险评判方法，确保对风险的
整体把握：“三集中”指导原则下基层央
行信息化项目风险管理是一项长期复杂的
任务.在今后的工作中，将借鉴COSO《企
业风险管理框架》模型和方法，从风险的
内部环境、目标制定、事项识别、风险评
估、风险反应、控制活动、信息和沟通、
监控等方面做进一步的研究和探讨S
0参考资料
^刘红：《RCSA方法在A寿险分公
司的应用研究》，吉林大学，201丨。