IT应用系统全生命周期的风险管理(1)

信息化进程中企业的运营越来越多依靠各种IT应用系统，应用系统可以给企业带来管理上的提高和竞争力的改善，但我们也应该看到，信息化之路上充满风险，更多的应用系统规划、实施和运行过程充满了的各种艰难和实施效果的差强人意，甚至是失败等惨痛教训。据麦肯锡公司最近公布的一项研究报告称，在最近10多年，美国经济确实得到了提高，但促成这一转变的能量主要来自少数几个商业领域，与人们普遍预料的相反，对IT行业的高额投资并不是创造美国生产力增长“神话”的主要力量。在我国也面临着这样的困境：信息化已经发展了近20年，给人更多的感受是政府和企业热度很高，但最终实施各类应用系统的企业并没有体验到很多成功的喜悦，达到预期目标的更是寥寥无几。

信息化之路上充满风险，这些风险包括哪些方面？有什么方法可以有效地管理这些风险，使企业能预先将风险尽可能降低？

1、IT应用系统中的风险

所谓风险，是事件发生的不确定性及其后果的综合。这可能是一个希望出现的事情，一个具有潜在的积极影响的机会，或是一个不希望出现的事情或具有潜在消极结果的威胁。一般来说，更需要引起注意的是后者。应用系统的风险主要是指由于各种因素导致应用系统没有达到预期效果的各种情形。

IT应用系统中的风险有各种不同的分类方法，可以分为不同类型，例如技术风险和管理风险等，目前应用系统中主要面临和经常可能发生的风险主要有：

◆缺乏规划或规划不合理； 

◆项目预准备不充分,如硬件及软件选型错误、合作伙伴能力不足等；

◆设计流程缺乏有效的控制环节；

◆系统内各个子系统之间不能很好衔接；

◆实施计划不完善，过程控制不严格，阶段成果未达标；

◆新系统和组织内其它系统有冲突；

◆实施效果未做评估或评估不合理；

◆系统安全设计不完善；

◆灾难防范措施不当或不完整，容易造成系统崩溃；

◆系统退役后的处理不当引起的泄密等。

2、将风险管理集成到应用系统生命周期中的好处

虽然可以在任何时刻制定风险管理计划，但人们往往着重于对系统运行中风险的管理和维护，往往忽视系统启动前，开发和退出后的潜在风险,在系统生命周期的开始阶段制定计划是一个值得推荐的做法。风险管理与系统的其它方面一样，在整个系统生命周期各阶段都进行计划是最好的管理方式。计算机界长期以来认同的原则就是，系统设计完成后在其中增加特性比在系统初始的设计阶段包含该特性要多花费十倍的时间和费用。在系统规划初期尽早进行风险管理部署主要是因为后期部署更困难（通常成本会更高），而且还很可能影响系统的持续运行。风险管理也需要融入到系统生命周期的后期，以协助确保系统能适应环境、技术、规程和人员的变化。

进行全生命周期的风险管理除了帮助确保管理活动在所有阶段都充分考虑到各种风险问题以外，还可以帮助记录应对风险的相关决策。这种记录文档对于系统管理人员以及督察和独立审计人员是有用的。系统管理人员将文档用于自我检查和决策理由的提示，这样就可以更容易地对系统和环境更改的影响进行评估。督察和独立审计人员在检查中可以使用文档来验证系统管理工作的充分性，并用来突出风险可能被忽视的领域。

3、应用系统生命周期概述

和其他产品、系统一样，IT应用系统生命周期可以分为以下5个阶段：

◆起始：在起始阶段，表述系统的需要并记录应用系统的目的。

◆开发/采购：在这个阶段对应用系统进行设计、购买、编程、开发、测试或其它形式的构建。这个阶段经常包含所定义的其它周期，如应用系统开发或采购、测试等。

◆实施：在经过初期的系统测试后，系统被安装到位。

◆运行和维护：在这个阶段应用系统执行其工作。几乎总是要对应用系统进行修改，增加硬件、软件或发生其它变更等。

◆退出与废弃：向新应用系统转移的工作完成后，原有的应用系统被废弃。每个应用系统又可以分为若干子系统，也有自己的生命周期。

4、在IT应用系统的全生命周期中管理风险

随着系统所处生存阶段的变化，应用风险的种类也会改变，对其管理也有不同的要求。

4.1 起始阶段

在确定新的应用系统概念和早期设计过程中，风险管理的目标是保证业务和信息技术应用系统的一致性，避免在项目启动初期出现不合理的行为导致返工。

◆制定计划——区分系统各部分交付的优先次序，了解其内部的相互依赖关系，明确交付系统的能力、容量和可能的制约因素，按照优先级次序启动不同流程；

◆确认系统方案的可行性——对系统方案交付选项进行有效的评估，保证业务和IT在理念上的一致性，确认真正的需求范围和交付内容，保证预算在各个子目标之间的合理分配，利用原型法把模拟的应用转换为实际的应用；

◆系统影响分析——考虑新的应用系统对组织现有系统、流程和利益相关者的影响；

◆考虑所有可能的方案——权衡是购买还是进行自己开发系统，考虑每种选择所包含的风险并进行分析；