IT 投资风险警示 以往的 IT 投资风险分析主要是基于风险清单和项目实施的,通常是基于个人经验和信息系统实施阶段的基础之上来分析 IT 投资风险因素。这与 IT 投资目标关联性不够,忽视投资者关注的重点。同时 IT 投资还涉及到组织战略、管理流程和持续改进等多方面的问题,若脱离了环境和组织的实际,可能遗漏 IT 投资的重大风险因素。本文试图建立一个多维的 IT 投资风险域,并在此基础上进行 IT 投资风险预警的讨论。 1IT 投资风险域的三维框架 进行 IT 投资风险预警的基础是分析 IT 投资风险域。本文提出在 IT 投资管理流程、企业架构框架以及 COBIT 框架的基础上,建立一个包括目标、企业架构以及生命周期的三维框架用以分析 IT 投资风险域,如图 1 所示。 1.1 目标维 业务的目标或商业的需求需要企业 IT 相关的系统能够提供其所需要的信息服务,因此企业需要进行 IT 投资。企业 IT 投资管理的目标是确保且持续的提升 IT 投资的效率和效果,为企业的运作提供高质量、受信、安全的信息服务,提升业务流程的功能,使得企业的经营从中获益。 1.2 生命周期 传统上,一般将企业信息化的生命周期划分为四个域:规划、开发、运行及监控。COBIT 框架在此基础上比较全面、准确地定义了企业信息化的生命周期和过程,分为四个域:规划与组织、猎取与实现、交付与支持、监督与评估。这个四个域带有明显的时间特征,同时也是一个循环的过程。 1.3 企业架构维 企业架构维主要包括两个元素:一是企业架构框架,包括应用层、信息层及 IT 基础设施层;二是企业架构引导 IT 投资及企业信息化建设的过程。这三个维度存在相互作用的关系。企业架构描绘了用于实现企业业务目标的 IT 资源,分为应用、信息以及 IT 基础设施三个层次;为了实现 IT 投资目标,企业架构引导信息化建设,并建立包含在规划与组织、猎取与实现、交付与支持、监督与评估的循环的生命周期中的投资管理流程。 2IT 投资风险域的分析 在三维的 IT 投资风险域框架基础上,我们进行 IT 投资风险事件及成因的分析。在规划与组织阶段,主要的 IT 投资风险域包括几种。IT 规划与计划。主要的风险是 IT 规划和计划可能不能满足现在及将来业务的需求。在实务中,通常表现为 IT 规划滞后。IT 投资组合管理。主要的风险是 IT 投资组合未能按业务的重要性及优先级别进行排序。定义架构模型。主要风险是业务所需要的信息的不一...