IT投资风险警示

以往的IT投资风险分析主要是基于风险清单和项目实施的，通常是基于个人经验和信息系统实施阶段的基础之上来分析IT投资风险因素。这与IT投资目标关联性不够，忽视投资者关注的重点。同时IT投资还涉及到组织战略、管理流程和持续改进等多方面的问题，若脱离了环境和组织的实际，可能遗漏IT投资的重大风险因素。本文试图建立一个多维的IT投资风险域，并在此基础上进行IT投资风险预警的研究。

1IT投资风险域的三维框架

进行IT投资风险预警的基础是分析IT投资风险域。本文提出在IT投资管理流程、企业架构框架以及COBIT框架的基础上，建立一个包括目标、企业架构以及生命周期的三维框架用以分析IT投资风险域，如图1所示。

1.1目标维

业务的目标或商业的需求需要企业IT相关的系统能够提供其所需要的信息服务，因此企业需要进行IT投资。企业IT投资管理的目标是确保且持续的提升IT投资的效率和效果，为企业的运作提供高质量、受信、安全的信息服务，提升业务流程的功能,使得企业的经营从中获益。

1.2生命周期

传统上，一般将企业信息化的生命周期划分为四个域：规划、开发、运行及监控。COBIT框架在此基础上比较全面、准确地定义了企业信息化的生命周期和过程，分为四个域：规划与组织、获取与实现、交付与支持、监督与评估。这个四个域带有明显的时间特征，同时也是一个循环的过程。

1.3企业架构维

企业架构维主要包括两个元素：一是企业架构框架，包括应用层、信息层及IT基础设施层；二是企业架构引导IT投资及企业信息化建设的过程。这三个维度存在相互作用的关系。企业架构描绘了用于实现企业业务目标的IT资源，分为应用、信息以及IT基础设施三个层次；为了实现IT投资目标，企业架构引导信息化建设，并建立包含在规划与组织、获取与实现、交付与支持、监督与评估的循环的生命周期中的投资管理流程。

2IT投资风险域的分析

在三维的IT投资风险域框架基础上，我们进行IT投资风险事件及成因的分析。在规划与组织阶段，主要的IT投资风险域包括几种。IT规划与计划。主要的风险是IT规划和计划可能不能满足现在及将来业务的需求。在实务中，通常表现为IT规划滞后。IT投资组合管理。主要的风险是IT投资组合未能按业务的重要性及优先级别进行排序。定义架构模型。主要风险是业务所需要的信息的不一致、不可靠，业务和系统流程不吻合。定义技术方向。主要风险是IT基础设施计划，不能满足应用系统的现在及将来的要求。IT价值管理。其风险是未能清晰、客观的定义投资的可行性。IT和业务的一致性。主要的风险在于业务需求、架构模型以及IT投资的项目之间不一致。IT预算。主要的风险是预测的准确性，以及分配的合理性。IT组织。IT组织及岗位，不能够及时响应业务的要求。IT风险评估。不能识别出重要风险，并设定恰当的风险管理和控制措施。在获取与实现阶段，IT投资风险域主要包括几种。设计解决方案。主要的风险是设计的解决方案与业务功能和控制的需求不匹配以及技术可行性风险。系统购买与配置。主要的风险在于系统的高层设计及详细设计与需求不匹配，以及软件包质量的风险。变更管理。导致系统的稳定性、完整性的风险。在交付与支持阶段，IT投资风险域主要包括几种。IT连续性。在信息服务中，中断对业务带来重大损失的风险。信息安全管理。信息和处理的完整性，未经授权的访问的风险。在监督与评估阶段，IT投资风险域主要包括几种。IT绩效评价。未能及时发现IT投资效果与目标之间的差距，为后续的IT投资活动埋下隐患。

3IT投风险预警模型的建立及案例分析

3.1基于贝叶斯网络的IT投资风险预警模型

利用贝叶斯网络进行风险预警的原理是贝叶斯网络将贝叶斯规则和有向无环图的网络拓扑结构有机结合起来，可以从不完全、不精确或不确定的知识或信息中推理。如果网络中任一节点的状态确定时，网络本身就可以利用贝叶斯规则在网络中进行正向或逆向推理，从而得出网络中任一节点的后验概率，这是其可以建立IT投资风险预警系统的关键机理。将贝叶斯网络因果模型引入IT投资风险预警的建模，则模型的三个组成部分分别具有不同的意义：结点代表风险因子和风险带来的损失，即关键风险指标。通过联结各个结点的有向边来分析风险损失事件对IT投资效果的总体影响。

3.2案例分析

某公司根据以往的IT投资风险事件及成因，选择了以下主要的风险域，并设定了关键风险指标。IT规划与计划。kri1：主要考察IT规划、计划以及IT投资建议之间匹配程度。定义架构模型。kri2:主要考察架构模型是否能全面的覆盖业务运行所需的信息元素。IT和业务的一致性。kri3:主要考察架构是否对业务需求的变化的灵敏性。IT预算。kri4:主要考察投资资金的预测和分配。设计解决方案。kri5:主要考察系统设计的效果，以及可行性研究的准确性等。系统购买与配置。kri6:主要考察购买软件包的质量，其反映了高层及详细设计的准确性。项目管理。kri7:主要考察项目管理的水平和成熟度。变更控制。kri8:主要考察变更控制程序是否对变更后的影响进行充分的评估。按照贝叶斯网络模块化的要求、企业架构各个层次之间关键风险指标的逻辑关系，绘制了贝叶斯网络拓扑结构的例图，如图2所示。我们根据图2所示的贝叶斯网络结构图，使用Hugin软件进行贝叶斯网络的运算。每一节点旁的方框显示了该节点操作风险损失的先验分布值。为便于研究，假设该企业在IT投资过程中，每个风险域相关的损失分布服从对数正态分布。初始各结点的均值-方差数据如下。

4结论

IT投资风险的识别和控制需要考虑到企业的环境、组织、管理及其技术等多方面的因素，尤其对于大型信息系统的IT投资，其风险域远远超出软件、项目或项目组合的范畴。建立IT投资风险预警机制才能更好的防范IT投资风险，提高IT投资效果。同时，建立IT投资风险的预警机制，需要进行全过程、多层面的监控，并收集和分析多年、多行业的IT投资损失数据，风险防范措施等，才能够不断健全IT投资风险预警机制。