導語：IT投資風險警示一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

以往的IT投資風險分析主要是基于風險清單和項目實施的，通常是基于個人經驗和信息系統實施階段的基礎之上來分析IT投資風險因素。這與IT投資目標關聯性不夠，忽視投資者關注的重點。同時IT投資還涉及到組織戰略、管理流程和持續改進等多方面的問題，若脫離了環境和組織的實際，可能遺漏IT投資的重大風險因素。本文試圖建立一個多維的IT投資風險域，并在此基礎上進行IT投資風險預警的研究。

1IT投資風險域的三維框架

進行IT投資風險預警的基礎是分析IT投資風險域。本文提出在IT投資管理流程、企業架構框架以及COBIT框架的基礎上，建立一個包括目標、企業架構以及生命周期的三維框架用以分析IT投資風險域，如圖1所示。

1.1目標維

業務的目標或商業的需求需要企業IT相關的系統能夠提供其所需要的信息服務，因此企業需要進行IT投資。企業IT投資管理的目標是確保且持續的提升IT投資的效率和效果，為企業的運作提供高質量、受信、安全的信息服務，提升業務流程的功能,使得企業的經營從中獲益。

1.2生命周期

傳統上，一般將企業信息化的生命周期劃分為四個域：規劃、開發、運行及監控。COBIT框架在此基礎上比較全面、準確地定義了企業信息化的生命周期和過程，分為四個域：規劃與組織、獲取與實現、交付與支持、監督與評估。這個四個域帶有明顯的時間特征，同時也是一個循環的過程。

1.3企業架構維

企業架構維主要包括兩個元素：一是企業架構框架，包括應用層、信息層及IT基礎設施層；二是企業架構引導IT投資及企業信息化建設的過程。這三個維度存在相互作用的關系。企業架構描繪了用于實現企業業務目標的IT資源，分為應用、信息以及IT基礎設施三個層次；為了實現IT投資目標，企業架構引導信息化建設，并建立包含在規劃與組織、獲取與實現、交付與支持、監督與評估的循環的生命周期中的投資管理流程。

2IT投資風險域的分析

在三維的IT投資風險域框架基礎上，我們進行IT投資風險事件及成因的分析。在規劃與組織階段，主要的IT投資風險域包括幾種。IT規劃與計劃。主要的風險是IT規劃和計劃可能不能滿足現在及將來業務的需求。在實務中，通常表現為IT規劃滯后。IT投資組合管理。主要的風險是IT投資組合未能按業務的重要性及優先級別進行排序。定義架構模型。主要風險是業務所需要的信息的不一致、不可靠，業務和系統流程不吻合。定義技術方向。主要風險是IT基礎設施計劃，不能滿足應用系統的現在及將來的要求。IT價值管理。其風險是未能清晰、客觀的定義投資的可行性。IT和業務的一致性。主要的風險在于業務需求、架構模型以及IT投資的項目之間不一致。IT預算。主要的風險是預測的準確性，以及分配的合理性。IT組織。IT組織及崗位，不能夠及時響應業務的要求。IT風險評估。不能識別出重要風險，并設定恰當的風險管理和控制措施。在獲取與實現階段，IT投資風險域主要包括幾種。設計解決方案。主要的風險是設計的解決方案與業務功能和控制的需求不匹配以及技術可行性風險。系統購買與配置。主要的風險在于系統的高層設計及詳細設計與需求不匹配，以及軟件包質量的風險。變更管理。導致系統的穩定性、完整性的風險。在交付與支持階段，IT投資風險域主要包括幾種。IT連續性。在信息服務中，中斷對業務帶來重大損失的風險。信息安全管理。信息和處理的完整性，未經授權的訪問的風險。在監督與評估階段，IT投資風險域主要包括幾種。IT績效評價。未能及時發現IT投資效果與目標之間的差距，為后續的IT投資活動埋下隱患。

3IT投風險預警模型的建立及案例分析

3.1基于貝葉斯網絡的IT投資風險預警模型

利用貝葉斯網絡進行風險預警的原理是貝葉斯網絡將貝葉斯規則和有向無環圖的網絡拓撲結構有機結合起來，可以從不完全、不精確或不確定的知識或信息中推理。如果網絡中任一節點的狀態確定時，網絡本身就可以利用貝葉斯規則在網絡中進行正向或逆向推理，從而得出網絡中任一節點的后驗概率，這是其可以建立IT投資風險預警系統的關鍵機理。將貝葉斯網絡因果模型引入IT投資風險預警的建模，則模型的三個組成部分分別具有不同的意義：結點代表風險因子和風險帶來的損失，即關鍵風險指標。通過聯結各個結點的有向邊來分析風險損失事件對IT投資效果的總體影響。

3.2案例分析

某公司根據以往的IT投資風險事件及成因，選擇了以下主要的風險域，并設定了關鍵風險指標。IT規劃與計劃。kri1：主要考察IT規劃、計劃以及IT投資建議之間匹配程度。定義架構模型。kri2:主要考察架構模型是否能全面的覆蓋業務運行所需的信息元素。IT和業務的一致性。kri3:主要考察架構是否對業務需求的變化的靈敏性。IT預算。kri4:主要考察投資資金的預測和分配。設計解決方案。kri5:主要考察系統設計的效果，以及可行性研究的準確性等。系統購買與配置。kri6:主要考察購買軟件包的質量，其反映了高層及詳細設計的準確性。項目管理。kri7:主要考察項目管理的水平和成熟度。變更控制。kri8:主要考察變更控制程序是否對變更后的影響進行充分的評估。按照貝葉斯網絡模塊化的要求、企業架構各個層次之間關鍵風險指標的邏輯關系，繪制了貝葉斯網絡拓撲結構的例圖，如圖2所示。我們根據圖2所示的貝葉斯網絡結構圖，使用Hugin軟件進行貝葉斯網絡的運算。每一節點旁的方框顯示了該節點操作風險損失的先驗分布值。為便于研究，假設該企業在IT投資過程中，每個風險域相關的損失分布服從對數正態分布。初始各結點的均值-方差數據如下。

4結論

IT投資風險的識別和控制需要考慮到企業的環境、組織、管理及其技術等多方面的因素，尤其對于大型信息系統的IT投資，其風險域遠遠超出軟件、項目或項目組合的范疇。建立IT投資風險預警機制才能更好的防范IT投資風險，提高IT投資效果。同時，建立IT投資風險的預警機制，需要進行全過程、多層面的監控，并收集和分析多年、多行業的IT投資損失數據，風險防范措施等，才能夠不斷健全IT投資風險預警機制。