IT投资风险警示

IT 投资风险警示 以往的 IT 投资风险分析主要是基于风险清单和项目实施的，通常是基于个人经验和信息系统实施阶段的基础之上来分析 IT 投资风险因素。这与 IT 投资目标关联性不够，忽视投资者关注的重点。同时 IT 投资还涉及到组织战略、管理流程和持续改进等多方面的问题，若脱离了环境和组织的实际，可能遗漏 IT 投资的重大风险因素。本文试图建立一个多维的 IT 投资风险域，并在此基础上进行 IT 投资风险预警的讨论。 1IT 投资风险域的三维框架 进行 IT 投资风险预警的基础是分析 IT 投资风险域。本文提出在 IT 投资管理流程、企业架构框架以及 COBIT 框架的基础上，建立一个包括目标、企业架构以及生命周期的三维框架用以分析 IT 投资风险域，如图 1 所示。 1.1 目标维 业务的目标或商业的需求需要企业 IT 相关的系统能够提供其所需要的信息服务，因此企业需要进行 IT 投资。企业 IT 投资管理的目标是确保且持续的提升 IT 投资的效率和效果，为企业的运作提供高质量、受信、安全的信息服务，提升业务流程的功能,使得企业的经营从中获益。 1.2 生命周期 传统上，一般将企业信息化的生命周期划分为四个域：规划、开发、运行及监控。COBIT 框架在此基础上比较全面、准确地定义了企业信息化的生命周期和过程，分为四个域：规划与组织、猎取与实现、交付与支持、监督与评估。这个四个域带有明显的时间特征，同时也是一个循环的过程。 1.3 企业架构维 企业架构维主要包括两个元素：一是企业架构框架，包括应用层、信息层及 IT 基础设施层；二是企业架构引导 IT 投资及企业信息化建设的过程。这三个维度存在相互作用的关系。企业架构描绘了用于实现企业业务目标的 IT 资源，分为应用、信息以及 IT 基础设施三个层次；为了实现 IT 投资目标，企业架构引导信息化建设，并建立包含在规划与组织、猎取与实现、交付与支持、监督与评估的循环的生命周期中的投资管理流程。 2IT 投资风险域的分析 在三维的 IT 投资风险域框架基础上，我们进行 IT 投资风险事件及成因的分析。在规划与组织阶段，主要的 IT 投资风险域包括几种。IT 规划与计划。主要的风险是 IT 规划和计划可能不能满足现在及将来业务的需求。在实务中，通常表现为 IT 规划滞后。IT 投资组合管理。主要的风险是 IT 投资组合未能按业务的重要性及优先级别进行排序。定义架构模型。主要风险是业务所需要的信息的不一...