基于信息系統(tǒng)項目中的風險管理研究

吳平

【摘 要】對于企業(yè)整個信息化建設，信息系統(tǒng)項目的風險管理有著非常關(guān)鍵的作用，卻往往容易被忽視，甚至淡忘。在快速發(fā)展的信息技術(shù)下，各種信息系統(tǒng)項目的發(fā)展也非?？?。但是在發(fā)展的過程中，信息系統(tǒng)項目也存在著許多的問題。在整個項目周期里，風險因素隨時都有可能出現(xiàn)。因此，我們就更要做好信息系統(tǒng)項目的風險管理。

【關(guān)鍵詞】信息系統(tǒng)；項目；風險管理；研究

【中圖分類號】TP393.07 【文獻標識碼】A 【文章編號】1672-5158（2013）03-0162-02

引言：近年來，我國的信息技術(shù)不斷發(fā)展，各類信息系統(tǒng)被迅速的應用和推廣，已深入到人們?nèi)粘９ぷ骱蜕畹拿恳粋€部分。大數(shù)據(jù)時代的日益臨近，受到了更多企業(yè)的關(guān)注。一些傳統(tǒng)型企業(yè)迫于競爭和發(fā)展的雙重壓力，不斷爭先組建自己的信息系統(tǒng)體系，這就在很大程度上誘發(fā)了大大小小的信息系統(tǒng)，會在同一個時期內(nèi)井噴式涌現(xiàn)出來這種現(xiàn)象。在不斷倡導“六統(tǒng)一”管理模式的背景下，很多問題得到了有效的控制。但是即使僅在項目實施的過程中，風險因素仍然時時伴隨著，這就導致信息系統(tǒng)項目的安全和使用受到了很大的威脅。因此，做好項目風險管理，掌握項目在實施過程中可能發(fā)生的風險，從而能采取有效的應對措施，就顯得尤為重要。

一、信息系統(tǒng)項目中存在的風險

目前，在應用系統(tǒng)中經(jīng)常出現(xiàn)的風險包括：①規(guī)劃不合理或者缺乏規(guī)劃：主要由于系統(tǒng)架構(gòu)設計者未能與逐級用戶深入溝通引發(fā)；②在設計流程中，有效的控制環(huán)節(jié)不足：以至于在試點階段仍需對主業(yè)務流程進行頻繁的改動；③組織內(nèi)的其他系統(tǒng)和新系統(tǒng)之間存在矛盾：例如數(shù)據(jù)制式不兼容，或系統(tǒng)之間業(yè)務有重疊，無法找到最優(yōu)的對接點進行雙向融合，導致最終操作需要頻繁的同步數(shù)據(jù)大大降低效率，增加故障風險；④系統(tǒng)內(nèi)的子系統(tǒng)銜接不好：以至于需要再投入建立中繼的集成平臺或編碼對譯系統(tǒng)；⑤對于系統(tǒng)的安全設計還不完善：表現(xiàn)在不包含PKI技術(shù)的口令模塊流于形式，隱在出口留有數(shù)據(jù)泄露隱患，權(quán)限管理混亂等；⑥在項目的準備階段不夠充分：例如合作伙伴缺乏足夠的能力、軟件和硬件的選型存在錯誤；⑦對于風險的防范不合理或者不完整：如對GCC（信息系統(tǒng)總體控制）落實不到位；⑧當系統(tǒng)退出后，會由于處理不當而造成泄密：缺乏系統(tǒng)下線后的處置機制，管理制度極易出現(xiàn)空白；⑨沒有評估或者不合理的評估實施的效果。這些問題的存在，都可歸結(jié)于設計階段沒有進行有效的風險控制活動，實施階段沒有有效的做好信息系統(tǒng)集成項目管理中的“四控、三管、一協(xié)調(diào)”。

二、建立項目風險過程中的管理循環(huán)

1、風險標識

在風險管理中，對系統(tǒng)的連續(xù)識別和潛在的風險評估是首要的任務。而風險標識是指對未來可能要發(fā)生的風險事件進行猜測和設想。所以，在一般的風險標識結(jié)果中，應將風險的來源、分類、表現(xiàn)、后果以及相關(guān)項目管理的要求都涵蓋。

2、規(guī)劃風險管理

在進行信息系統(tǒng)項目風險管理的過程中，要對其風險管理進行規(guī)劃和設計。對于這個過程中所包括的成員和定義項目組織的風險管理行動方案，應采用合理的風險管理方法，為風險判斷提供科學的依據(jù)。風險管理規(guī)劃的流程圖下如下圖1所示。

3.1評估威脅

識別威脅和它的性質(zhì)、特征，并標識項目風險威脅的特征是評估威脅的根本任務。由于威脅發(fā)生的變化，因此，我們因?qū)ζ溥M行定期的監(jiān)視，從而使項目風險能夠得到始終的維持。引起評估威脅的因素有很多，例如自然因素所引起的適當威脅、人為因素引起的偶然或故意的適當威脅、可能出現(xiàn)的評估威脅事件等。

3.2評估脆弱性

在評估脆弱性環(huán)節(jié)中，它的目的在于將項目中存在的特征化的薄弱環(huán)節(jié)進行識別，這包括定義特殊的脆弱性、項目資產(chǎn)的脆弱性以及對整個項目的脆弱環(huán)節(jié)進行評估。

3.3評估影響

識別與項目有關(guān)的影響，進而對發(fā)生影響的可能性進行評估，是評估影響的真正目的。在評估影響中，有有形影響和無形的影響。一般來說，影響都是意外事件造成的后果，而對項目資產(chǎn)產(chǎn)生的影響，可能是由于偶然的原因引起，也有可能是應為故意的行為。這些后果有可能會直接毀滅一些資產(chǎn)，從而產(chǎn)生間接的后果，這包括市場份額、財政損失、公司的形象損失。

3.4評估暴露

一旦評估暴露，應及時采取識別措施，認識該區(qū)域的威脅和脆弱性的厲害關(guān)系，并會造成一定的影響，是識別暴露的目的。暴露對今后采取的風險規(guī)避措施有關(guān)鍵的作用，因此，要列出項目的暴露清單。

4、核查風險評估

為了是項目風險評估得到正式的認可，因此，我們要進行核查風險評估。核查風險評估是否具有充分性，從而決定是否要對其發(fā)展、修改或取消風險活動。對于這種核查，應包括潛在的成功性和降低風險。采取晦氣的方式進行交流控制風險的措施，從而提出降低每種風險的策略，并得到與會者的認可，如果風險評估具有合理性、科學性，并沒有將降低風險的其他策略遺漏。

5、跟蹤、監(jiān)視風險降低活動

在監(jiān)視風險活動的過程中，要對其進行跟蹤識別，將剩余風險和所出現(xiàn)的風險進行識別，從而得出一個相對完善的風險管理計劃，從而使風險技術(shù)的實施和評估的風險效果得到保障。監(jiān)視風險特征和風險頻譜的變化，但是由于任何位置和狀態(tài)的風險頻譜都處于動態(tài)中，因此，就會出現(xiàn)新的風險，而且現(xiàn)有的風險也可能出現(xiàn)變化。因此，要對風險和其特征進行監(jiān)視，并有規(guī)律的檢查新的風險。