文 / 中国人民银行长春中心支行  周海  刘舒野

今年是中国人民银行全面推进“三集中”改革的开局之年，范一飞副行长在全国人民银行科技工作会议上指出，分支机构要以“三集中”原则统领信息科技工作，统筹规划，结合信息系统自身特点，以业务需求制定全辖信息化建设与信息系统规划蓝图，增加项目储备，加强项目绩效管理，提高资金使用效益。中国人民银行科技司在今年出台的《关于加强分支机构信息化项目管理的指导意见》中明确指出，要通过风险监控及制定预防措施，优化信息化项目管理工作时序，提高组织规划能力。如何科学研判全辖信息化项目风险，并采取有效应对措施已成为现阶段基层央行亟需解决的问题。

本文将聚类分析方法引入基层央行信息化项目的风险识别和防控工作中，通过对建设类、运维类、网络租赁类项目中的计划合理性、需求一致性、预算与执行出入差额、质量达标性、变更严格性、验收规范性等重要参数的聚类分析来定量判定出信息化项目的风险级别，为科学应对信息化项目风险提供决策支持，有效弥补现行依据信息安全检查列表、年度信息化项目绩效评价进行信息化项目风险判定时，所表现出的缺乏针对性、客观性不强、时效性差、不够全面等不足，实现信息化项目风险的提早预防和及时应对，切实提升基层央行信息化项目风险防控水平。

中国人民银行长春中心支行副行长  周海

应用步骤

为有效弥补现行依据信息安全检查列表、年度信息化项目绩效评价进行信息化项目风险分析时表现出的不足，使风险评判更具针对性、客观性、时效性和全面性，我们引入聚类分析方法，通过对可能影响或导致省级、地市级、县级央行信息化项目风险的数据实行聚类分析，挖掘数据与风险之间的内在联系，预测可能出现的风险问题，对提高信息化项目风险管理和防控水平具有重要意义。

聚类是一个将数据划分为若干组或类的过程，并使得同一个组内的数据对象具有较高的相似度，而不同组中的数据对象是不相似的。聚类分析是研究样品或指标（变量）之间存在着程度不同的相似性（亲疏关系）。根据一批样品的多个观测指标，具体找出一些能够度量样品或指标之间相似程度的统计量，以这些统计量为划分类型的依据。关系密切的聚合到一个小的分类单位，关系疏远的聚合到一个大的分类单位，直到把所有的样品（或指标）都聚合完毕，把不同的类型一一划分出来，形成一个由小到大的分类系统。聚类法分析的基本目标是发现项目（或变量）的自然分组法。运用聚类分析方法进行基层央行信息化项目风险评估工作主要包括以下4个步骤。

步骤1：获取原始数据。甄别出有价值的基层央行信息化项目数据是确保聚类分析有效进行的基础。根据目前基层央行信息化项目的数据特征，基于信息化项目全生命周期的视角，可以获得各个阶段的有效原始数据。例如：在项目计划编制及立项审批阶段，可以从项目计划与总行金融科技发展规划的匹配程度、项目可行性研究分析报告的科学性、审批流程的规范化程度、项目立项的优先级排序的合理性、预算申报调研依据的充分度等方面获取数据；又如：在项目执行实施及变更跟踪阶段，可以从预算与实际执行的出入程度、合同要素的执行程度、实施进度与计划进度的偏差、质量标准的达标程度、变更审核的规范化程度等方面获取数据；再如：在项目移交验收及结项绩效阶段，可以从验收结项的及时性、验收标准的规范性、相关干系人的参与度、绩效评价的合理性、移交档案资料的完整性等方面获取数据。上述这些数据都是客观、可得的数据来源，可结合基层央行实际需要筛选原始数据。

步骤2：数据标准化处理。通常获取的大量原始数据包括两类数据，一类是已经量化的数据，比如：实施进度与计划进度的偏差、质量标准的达标程度等数据。另一类是需要进一步量化的数据，比如：预算与实际执行的差值、实施进度与计划进度的时间差等。这第二类数据就需要进行标准化处理，即对各聚类指标进行无量纲化处理，通常可以通过Max-Min标准化、离差标准化、标准差标准化等方法进行数据的标准化处理，消除量纲影响和变量自身变异大小和数值大小的影响。

步骤3：实施聚类分析。基层央行信息化项目数据具有信息量大、类型繁杂、涵盖面广等特点，该特点适宜选用K均值聚类分析方法，其基本思想是对于给定的聚类数目K，首先随机创建一个初始划分，然后采用迭代的方式，通过聚类中心的不断移动来尝试改进划分，达到最优。结合基层央行信息化项目风险评判的工作实际，可以将K值设为3，通过聚类分析得到高、中、低三类风险；亦可以将K值设为4，通过聚类分析得到四级风险，A级、B级、C级、D级；甚至将K值设为更大数值，得出更加精细化的风险分类。

步骤4：风险评估与控制。对通过第三步聚类分析得出的不同类别的风险结果，进行进一步归纳梳理，并制定风险控制措施，再结合制度规范、巡视检查、内外部审计等定性风险分析方法，通过定性与定量相结合的方法，对每个风险点和每种控制措施赋以相应的数值计算剩余风险，即：剩余风险=固有风险-控制措施。根据剩余风险情况，完善控制措施，进一步降低风险的影响程度。如：搭建信息化项目风险库、经验库，建立健全常态化信息化项目风险预测与评估制度，完善信息化项目风险管理流程，设定时间窗口定期进行全生命周期的风险识别与跟踪，将信息化项目风险管理与三道防线建设有机结合，有针对性地研究提出防范措施，强化内部控制，提高风险防控工作效能。

预期成效

1.提供制度依据。在运用聚类分析对基层央行信息化项目进行风险评估的过程中，各数据指标的提取来自于省级、地市及县级人民银行，充分遵循“三集中”指导原则，具备科学性、普适性、规范性、合理性和可操作性等，识别出的高风险因素可以最大程度为制度的制定提供重要决策参考。此外也可将一些政府、企事业单位信息化项目风险管理的评估指标，纳入聚类分析范畴，探索制定出更完善、更符合基层央行信息化项目风险管理制度。

2.针对性较强。通过聚类分析对基层央行信息化项目实施风险评估，得到的全部风险分析结果，及形成的风险库，均具有较强的针对性，可以从中总结提炼出适用于全国各分支机构开展信息化项目风险评估的经验库，为各单位开展信息化项目风险自查、交叉检查提供重要决策支持。也可为总行详细了解基层央行信息化项目风险情况并进行精准施策提供重要保障。

3.更具客观性。运用聚类分析方法进行基层央行信息化项目风险评判时，主要是从数字层面对各类风险进行分析，能够反映出大量数据的真实特征，及量化的风险评判结果，较依据信息安全检查列表、年度信息化项目绩效评价进行信息化项目风险定性分析方法评判更具客观性。

4.时效性高。使用聚类分析方法进行基层央行信息化项目风险评判不受时间、人员、环境等外界条件因素制约，可以随时进行分析，随时调整分析指标，较依据信息安全检查列表、年度信息化项目绩效评价进行风险定性分析方法更灵活、更便捷、更高效。

5.周期全覆盖。运用统计聚类分析方法进行基层央行信息化项目风险评估，能够做到从信息化项目的计划、立项、审批、跟踪、变更、移交、验收等全生命周期来判定风险，能够揭示出风险与绩效之间的内在联系和相互影响，使风险分析更具全面性，从而达到推动风险全面防控的预期效果。

后续工作

以上提出了一种在“三集中”指导原则下通过聚类分析方法提升基层央行信息化项目风险管理的思想，在基层央行实际的信息化项目风险评判工作中，可根据实际需要灵活综合运用聚类分析方法和其他定性、定量风险评判方法，确保对风险的整体把握。“三集中”指导原则下基层央行信息化项目风险管理是一项长期复杂的任务，在今后的工作中，将借鉴COSO《企业风险管理框架》模型和方法，从风险的内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等方面做进一步的研究和探讨。

参考资料

刘红：《RCSA方法在A寿险分公司的应用研究》，吉林大学，2011

推荐阅读

（点击图片查看精彩内容）

精彩内容回顾

■ 实战丨以高质量数字金融帮扶，确保脱贫攻坚决战决胜

■ 一图读懂 |《个人金融信息保护技术规范》（JR/T 0171-2020）

■ 报道 | 数领先机，智慧金融——2020华为金融创新数据基础设施峰会成功举办

■ 实战丨稳敏合一前瞻架构，区域银行创新突破之路

■ 发布 | “金融密码杯”2020全国密码技术大赛报名正式启动

关于仿冒我刊收费的声明

我刊自创刊以来，从未向投稿人收取过任何费用。任何以刊发文章为名向投稿人收取费用的行为，均属于对投稿人的欺诈行为。

我刊官网地址为 www.fcmag.com.cn。

我刊投稿邮箱为 fcmag@fcmag.com.cn。

对于仿冒我刊网站、网页的违法行为，我社将追究其侵权责任，以维护我社和投稿人的合法权益。仿冒网站、网页举报电话：010-88232443