大型信息系统实施风险分析模型构建.docVIP

大型信息系统实施风险分析模型构建 　　中图分类号:F276 文献标识码:A 　　内容摘要:大型信息系统实施风险分析具有相当大的难度和复杂性,需要设计适当的风险分析模型。本文在社会技术系统理论的指导下,采用风险矩阵分析方法,参照COBIT标准重新设计分析矩阵,进而构建大型信息系统实施风险分析模型,为重要风险的识别和后续风险控制打好基础。 　　关键词:大型信息系统 实施风险 分析模型 　　 　　大型信息系统实施风险是指对大型信息系统目标产生负面影响的事件发生的可能性,具有客观性、普遍性、多样性和多层次性,以及单一风险事件发生的偶然性和大量风险事件发生的必然性等特点。大型信息系统作为一个社会技术系统,它涉及到组织运营的各个层面,实施周期长、难度大、对象复杂,因此实施过程中存在大量不确定性。本文在社会技术系统理论的指导下,采用风险矩阵分析方法,参照COBIT标准重新设计分析矩阵,进而构建大型信息系统实施风险分析模型。 　　 　　大型信息系统实施风险的矩阵分析方法 　　 　　大型信息系统实施风险识别是风险管理的前期工作,如果不能对大型信息系统进行充分、准确的风险分析,就很难全面把握风险种类及其影响程度,难以完成风险评价、风险控制等风险管理的后续工作。传统上风险分析多采用核对表、风险清单等方法,由于这些方法要依赖于个人风险管理经验,因此用于大型信息系统实施风险分析就显得过于简化。此外,风险分析还可以采用分类结构、阶段风险报告等方法或项目风险分析工具,但是由于分类结构对项目状态和分类方法极为敏感,如果分类结构覆盖不全面,则无法得出正确结果,反之,大而全的分类结构则可能会因过于细致而可能漏掉一些重要风险。 　　风险矩阵分析方法是识别大型信息系统实施风险的一种重要的结构化方法。采用这种方法分析大型信息系统实施风险时,风险沿两个维度进行分类,即大型信息系统实施阶段(时间维)和大型信息系统实施相关因素(领域维),以此表示风险在大型信息系统实施的不同阶段有不同的表现,并分属不同的领域。 　　(一)基于时间维度的大型信息系统实施阶段划分 　　基于时间维度的风险分析体现了大型???息系统实施所处的阶段不同,所对应的风险也有所不同。 　　大型信息系统实施阶段的划分有多种方法。SAP在R/ 3过程参考模型基础上于1996年提出大型信息系统实施过程划分为项目准备、业务蓝图、系统实现、最后准备、投入运行和支持五个阶段。金蝶公司提出大型信息系统实施分为项目组织、系统培训、系统定义、数据准备、系统切换、运行维护六个阶段。许多学者提出了大型信息系统实施的过程模型,包括四阶段模型、五阶段模型和六阶段模型。Rose在研究大量大型信息系统案例的基础上提出的五阶段模型,包括设计、实施、稳定、提高和提升;M.Lynne.Markus和C.Tanis提出的四阶段模型包括准备、执行、调整和上升;通过整合上述两个模型,G.Shanks等提出四阶段模型,即计划、实施、稳定和提高。也有的将大型信息系统实施阶段按照IT项目生命周期划分为:需求分析、系统设计、系统开发、系统测试、运行维护五个阶段,或者IT规划、需求分析、软件设计、软件测试、系统集成、系统运行和系统维护七个阶段。 　　上述划分方法从划分角度和涵盖范围上来看,具有明显的不足之处。首先,以上划分方法大多是从软件开发商的角度划分大型信息系统的实施阶段。然而,大型信息系统实施所涉及的不仅仅是信息技术的应用,往往还涉及到组织战略、管理流程和持续改进等多方面的问题,这些划分方法忽略了大型信息系统实施业主的主导地位,脱离了实施环境和组织的实际,并有可能遗漏大型信息系统实施的风险因素。其次,上述划分方法大多依据IT项目管理的过程,从范围上没有包括IT战略实施、IT监控、IT评估等大型信息系统实施的必要组成部分。 　　IT治理研究院提出的COBIT标准把IT工作流程分为四个域(Domains),分别是规划与组织(Plan Organise)、获取与实施(Acquire Implement)、交付与支持(Deliver Support)、监控与评估(Monitor Evaluate),从系统实施业主的角度,从全面IT治理的范围比较全面、准确地定义了IT系统实施过程,避免了上述缺陷,为大型信息系统实施阶段的划分提供了参照标准。因此,采用这一定义进行基于时间维的大型信息系统实施阶段的划分,能为分析大型信息系统实施风险确立良好基础。 　　(二)基于领域维的大型信息系统实施风险因素的设定 　　此文中的领域是指整个大型信息系统实施所涉及的范围,是大型信息系统实施风险因素的来源和产生主体。 　　相关研究成果表明,信息系统建设的风险因素分析在经历了技术系统理论、人机系统理论和社会技术系统理论。在技术系统理论的阶段,