IT投資風(fēng)險警示

時間:2022-05-22 11:31:00

導(dǎo)語:IT投資風(fēng)險警示一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

IT投資風(fēng)險警示

以往的IT投資風(fēng)險分析主要是基于風(fēng)險清單和項(xiàng)目實(shí)施的,通常是基于個人經(jīng)驗(yàn)和信息系統(tǒng)實(shí)施階段的基礎(chǔ)之上來分析IT投資風(fēng)險因素。這與IT投資目標(biāo)關(guān)聯(lián)性不夠,忽視投資者關(guān)注的重點(diǎn)。同時IT投資還涉及到組織戰(zhàn)略、管理流程和持續(xù)改進(jìn)等多方面的問題,若脫離了環(huán)境和組織的實(shí)際,可能遺漏IT投資的重大風(fēng)險因素。本文試圖建立一個多維的IT投資風(fēng)險域,并在此基礎(chǔ)上進(jìn)行IT投資風(fēng)險預(yù)警的研究。

1IT投資風(fēng)險域的三維框架

進(jìn)行IT投資風(fēng)險預(yù)警的基礎(chǔ)是分析IT投資風(fēng)險域。本文提出在IT投資管理流程、企業(yè)架構(gòu)框架以及COBIT框架的基礎(chǔ)上,建立一個包括目標(biāo)、企業(yè)架構(gòu)以及生命周期的三維框架用以分析IT投資風(fēng)險域,如圖1所示。

1.1目標(biāo)維

業(yè)務(wù)的目標(biāo)或商業(yè)的需求需要企業(yè)IT相關(guān)的系統(tǒng)能夠提供其所需要的信息服務(wù),因此企業(yè)需要進(jìn)行IT投資。企業(yè)IT投資管理的目標(biāo)是確保且持續(xù)的提升IT投資的效率和效果,為企業(yè)的運(yùn)作提供高質(zhì)量、受信、安全的信息服務(wù),提升業(yè)務(wù)流程的功能,使得企業(yè)的經(jīng)營從中獲益。

1.2生命周期

傳統(tǒng)上,一般將企業(yè)信息化的生命周期劃分為四個域:規(guī)劃、開發(fā)、運(yùn)行及監(jiān)控。COBIT框架在此基礎(chǔ)上比較全面、準(zhǔn)確地定義了企業(yè)信息化的生命周期和過程,分為四個域:規(guī)劃與組織、獲取與實(shí)現(xiàn)、交付與支持、監(jiān)督與評估。這個四個域帶有明顯的時間特征,同時也是一個循環(huán)的過程。

1.3企業(yè)架構(gòu)維

企業(yè)架構(gòu)維主要包括兩個元素:一是企業(yè)架構(gòu)框架,包括應(yīng)用層、信息層及IT基礎(chǔ)設(shè)施層;二是企業(yè)架構(gòu)引導(dǎo)IT投資及企業(yè)信息化建設(shè)的過程。這三個維度存在相互作用的關(guān)系。企業(yè)架構(gòu)描繪了用于實(shí)現(xiàn)企業(yè)業(yè)務(wù)目標(biāo)的IT資源,分為應(yīng)用、信息以及IT基礎(chǔ)設(shè)施三個層次;為了實(shí)現(xiàn)IT投資目標(biāo),企業(yè)架構(gòu)引導(dǎo)信息化建設(shè),并建立包含在規(guī)劃與組織、獲取與實(shí)現(xiàn)、交付與支持、監(jiān)督與評估的循環(huán)的生命周期中的投資管理流程。

2IT投資風(fēng)險域的分析

在三維的IT投資風(fēng)險域框架基礎(chǔ)上,我們進(jìn)行IT投資風(fēng)險事件及成因的分析。在規(guī)劃與組織階段,主要的IT投資風(fēng)險域包括幾種。IT規(guī)劃與計(jì)劃。主要的風(fēng)險是IT規(guī)劃和計(jì)劃可能不能滿足現(xiàn)在及將來業(yè)務(wù)的需求。在實(shí)務(wù)中,通常表現(xiàn)為IT規(guī)劃滯后。IT投資組合管理。主要的風(fēng)險是IT投資組合未能按業(yè)務(wù)的重要性及優(yōu)先級別進(jìn)行排序。定義架構(gòu)模型。主要風(fēng)險是業(yè)務(wù)所需要的信息的不一致、不可靠,業(yè)務(wù)和系統(tǒng)流程不吻合。定義技術(shù)方向。主要風(fēng)險是IT基礎(chǔ)設(shè)施計(jì)劃,不能滿足應(yīng)用系統(tǒng)的現(xiàn)在及將來的要求。IT價值管理。其風(fēng)險是未能清晰、客觀的定義投資的可行性。IT和業(yè)務(wù)的一致性。主要的風(fēng)險在于業(yè)務(wù)需求、架構(gòu)模型以及IT投資的項(xiàng)目之間不一致。IT預(yù)算。主要的風(fēng)險是預(yù)測的準(zhǔn)確性,以及分配的合理性。IT組織。IT組織及崗位,不能夠及時響應(yīng)業(yè)務(wù)的要求。IT風(fēng)險評估。不能識別出重要風(fēng)險,并設(shè)定恰當(dāng)?shù)娘L(fēng)險管理和控制措施。在獲取與實(shí)現(xiàn)階段,IT投資風(fēng)險域主要包括幾種。設(shè)計(jì)解決方案。主要的風(fēng)險是設(shè)計(jì)的解決方案與業(yè)務(wù)功能和控制的需求不匹配以及技術(shù)可行性風(fēng)險。系統(tǒng)購買與配置。主要的風(fēng)險在于系統(tǒng)的高層設(shè)計(jì)及詳細(xì)設(shè)計(jì)與需求不匹配,以及軟件包質(zhì)量的風(fēng)險。變更管理。導(dǎo)致系統(tǒng)的穩(wěn)定性、完整性的風(fēng)險。在交付與支持階段,IT投資風(fēng)險域主要包括幾種。IT連續(xù)性。在信息服務(wù)中,中斷對業(yè)務(wù)帶來重大損失的風(fēng)險。信息安全管理。信息和處理的完整性,未經(jīng)授權(quán)的訪問的風(fēng)險。在監(jiān)督與評估階段,IT投資風(fēng)險域主要包括幾種。IT績效評價。未能及時發(fā)現(xiàn)IT投資效果與目標(biāo)之間的差距,為后續(xù)的IT投資活動埋下隱患。

3IT投風(fēng)險預(yù)警模型的建立及案例分析

3.1基于貝葉斯網(wǎng)絡(luò)的IT投資風(fēng)險預(yù)警模型

利用貝葉斯網(wǎng)絡(luò)進(jìn)行風(fēng)險預(yù)警的原理是貝葉斯網(wǎng)絡(luò)將貝葉斯規(guī)則和有向無環(huán)圖的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有機(jī)結(jié)合起來,可以從不完全、不精確或不確定的知識或信息中推理。如果網(wǎng)絡(luò)中任一節(jié)點(diǎn)的狀態(tài)確定時,網(wǎng)絡(luò)本身就可以利用貝葉斯規(guī)則在網(wǎng)絡(luò)中進(jìn)行正向或逆向推理,從而得出網(wǎng)絡(luò)中任一節(jié)點(diǎn)的后驗(yàn)概率,這是其可以建立IT投資風(fēng)險預(yù)警系統(tǒng)的關(guān)鍵機(jī)理。將貝葉斯網(wǎng)絡(luò)因果模型引入IT投資風(fēng)險預(yù)警的建模,則模型的三個組成部分分別具有不同的意義:結(jié)點(diǎn)代表風(fēng)險因子和風(fēng)險帶來的損失,即關(guān)鍵風(fēng)險指標(biāo)。通過聯(lián)結(jié)各個結(jié)點(diǎn)的有向邊來分析風(fēng)險損失事件對IT投資效果的總體影響。

3.2案例分析

某公司根據(jù)以往的IT投資風(fēng)險事件及成因,選擇了以下主要的風(fēng)險域,并設(shè)定了關(guān)鍵風(fēng)險指標(biāo)。IT規(guī)劃與計(jì)劃。kri1:主要考察IT規(guī)劃、計(jì)劃以及IT投資建議之間匹配程度。定義架構(gòu)模型。kri2:主要考察架構(gòu)模型是否能全面的覆蓋業(yè)務(wù)運(yùn)行所需的信息元素。IT和業(yè)務(wù)的一致性。kri3:主要考察架構(gòu)是否對業(yè)務(wù)需求的變化的靈敏性。IT預(yù)算。kri4:主要考察投資資金的預(yù)測和分配。設(shè)計(jì)解決方案。kri5:主要考察系統(tǒng)設(shè)計(jì)的效果,以及可行性研究的準(zhǔn)確性等。系統(tǒng)購買與配置。kri6:主要考察購買軟件包的質(zhì)量,其反映了高層及詳細(xì)設(shè)計(jì)的準(zhǔn)確性。項(xiàng)目管理。kri7:主要考察項(xiàng)目管理的水平和成熟度。變更控制。kri8:主要考察變更控制程序是否對變更后的影響進(jìn)行充分的評估。按照貝葉斯網(wǎng)絡(luò)模塊化的要求、企業(yè)架構(gòu)各個層次之間關(guān)鍵風(fēng)險指標(biāo)的邏輯關(guān)系,繪制了貝葉斯網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的例圖,如圖2所示。我們根據(jù)圖2所示的貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)圖,使用Hugin軟件進(jìn)行貝葉斯網(wǎng)絡(luò)的運(yùn)算。每一節(jié)點(diǎn)旁的方框顯示了該節(jié)點(diǎn)操作風(fēng)險損失的先驗(yàn)分布值。為便于研究,假設(shè)該企業(yè)在IT投資過程中,每個風(fēng)險域相關(guān)的損失分布服從對數(shù)正態(tài)分布。初始各結(jié)點(diǎn)的均值-方差數(shù)據(jù)如下。

4結(jié)論

IT投資風(fēng)險的識別和控制需要考慮到企業(yè)的環(huán)境、組織、管理及其技術(shù)等多方面的因素,尤其對于大型信息系統(tǒng)的IT投資,其風(fēng)險域遠(yuǎn)遠(yuǎn)超出軟件、項(xiàng)目或項(xiàng)目組合的范疇。建立IT投資風(fēng)險預(yù)警機(jī)制才能更好的防范IT投資風(fēng)險,提高IT投資效果。同時,建立IT投資風(fēng)險的預(yù)警機(jī)制,需要進(jìn)行全過程、多層面的監(jiān)控,并收集和分析多年、多行業(yè)的IT投資損失數(shù)據(jù),風(fēng)險防范措施等,才能夠不斷健全I(xiàn)T投資風(fēng)險預(yù)警機(jī)制。