基于生命周期理論的企業信息系統風險管理研究

金泰渙 浙江財經大學東方學院

一、信息系統的生命周期相關理論概述

生命周期從理論意義上來說指的是在生物界存在的應用詞匯，隨著詞匯的快速發展也開始在非生物領域中得到廣泛應用，比如生產產品的生命周期、工藝技術的生命周期以及工程項目的生命周期等，生命周期從一定意義上來說指的是某一種事物在不同的生命階段所表現出來的特征和規律性發展趨勢。信息系統從時間的角度來看也可以將生命周期理論引入其中，實現生命周期理論在信息系統領域的重新植入，從而最終呈現出企業信息系統的生命周期發展規律。

一般情況之下，企業的信息系統生命周期可以分為如下幾個生命階段:一是信息系統規劃階段，這個階段系統的主要任務在于提出項目、給項目做出概念定義以及做出相應的項目決策等；二是信息系統需求分析階段，這個階段系統需要將用戶對信息系統的相關要求服務等變為系統開發人員的技術方面的規格說明；三是信息系統設計階段，這個階段需要根據上述的說明書將信息系統的構架結構、開發思路和執行計劃等進行全面的梳理整合；四是信息系統實施階段，這個階段需要在上述基礎之上進行信息系統的軟硬件環境構建和軟件開發實施；五是對信息系統進行測試驗收，并進行后期的運行維護，保障信息系統能夠在相應的環境下正常運行，發揮最大價值。基于生命周期理論的企業信息系統風險模型如下圖所示:

圖 基于生命周期理論的企業信息系統風險模型圖

二、基于生命周期理論的企業信息系統風險因素分析

從企業信息系統生命周期理論的角度來看，企業信息系統在不同的生命階段所面臨的風險和挑戰是截然不同的:

一是在企業信息系統規劃階段所面臨的風險。企業信息系統在系統規劃階段主要有如下幾個方面的風險:（1）系統立項風險，信息系統開發是一個長期的動態變化過程，往往需要投入大量的資金、物力和人力資源，同時開發周期也是非常長的，因此企業信息系統的規模、成本、進度安排、資源投入以及成本預算等都是無法進行精確的估算，從而使得企業信息系統在項目立項階段存在著較大的風險。（2）領導風險，企業信息系統在規劃的時候往往都是需要一些大領導進行牽頭，一個重要的技術領導和領導對整個項目的規劃對項目的成敗有著至關重要的影響。（3）信息系統外界環境的影響，信息系統構建需要有一定穩定可觀的外界政治環境、社會環境以及法律環境的支持，但是這些環境是不能人為控制的，給項目的規劃進行帶來潛在的環境風險。

二是在企業信息系統需求分析階段所面臨的風險。企業信息系統在需求分析規劃階段主要有如下幾個方面的風險:（1）信息系統項目隊伍的組建風險，信息系統開發一般都需要一支技術強硬、管理得到的團隊，才能保障信息系統的順利開發，如果項目隊伍專業知識不深、管理錯位等都將給信息系統的構建帶來潛在的風險。（2）信息系統用戶的風險，在信息系統開發的過程中，用戶往往都需要將所有的信息傳達給開發團隊，同時項目團隊也不可能準確無誤地受到信息和理解信息，這就容易使得信息系統存在一定的缺陷，導致系統需求分析無法全方位地表現用戶的需求。（3）現實脫離計劃的風險，信息系統項目團隊往往無法很好地把控用戶的需求，脫離實際，最終可以導致信息系統的計劃需求分析與實際需求脫軌。

三是在企業信息系統設計階段所面臨的風險。企業信息系統在系統設計階段主要有如下幾個方面的風險:（1）個人設計偏好引發用戶需求偏離風險，企業信息系統在設計階段如果與用戶缺乏合理的溝通，系統設計團隊往往會從自我偏好著手進行系統設計，很容易與用戶需求偏離。（2）缺乏長遠的設計眼光引發風險，信息系統設計人員往往只會考慮到用戶的短期需求，沒有從長遠的視角出發進行設計，最終導致信息系統難以實現可持續的利用。（3）系統設計技術方面的風險，信息系統的設計規模大、技術復雜，技術的成熟變革給信息系統的設計帶來一系列的技術風險。（4）信息系統說明書引發的風險，在系統設計的基礎之上成稿說明書，如果沒有充分理解用戶的流程需求等，可能導致說明書不全面等問題。

四是在企業信息系統實施階段所面臨的風險。企業信息系統在系統實施階段主要有如下幾個方面的風險:（1）信息系統項目施工進度控制方面的風險，系統開發小組有時候花太多的時間寫程序，卻忽略了系統開發的進度把控。（2）信息系統質量控制風險，由于系統開發面臨著不斷變化的環境、用戶需求以及技術變革等，這將給信息系統的質量帶來嚴重的隱患。（3）信息系統程序開發風險。信息系統在開發過程之中沒有使用面向對象的結構化模式開發，導致信息系統后期難以修改完善和運行維護。

五是在企業信息系統測試驗收和后期維護階段所面臨的風險。企業信息系統測試驗收的時候可能存在驗收質量把控不到位的風險。企業信息系統在后期維護階段主要有如下幾個方面的風險:（1）信息系統在轉換方面的風險，由于經費、時間以及技術方面的限制，導致信息系統以及相關數據轉換困境，最終不利于信息系統的良性循環運行。（2）信息安全風險，信息系統在運轉過程中會引發信息安全性和準確性等方面的風險。（3）信息系統導致企業流程出現一定的風險，信息系統在企業管理中植入必然會引起企業內部一系列的流程重組，可能會帶來人員抵制、流程重組不合理以及信息系統無法適應流程等方面的問題。

三、基于生命周期理論的企業信息系統風險管理政策建議

1.樹立企業信息系統風險防范的意識

在任何系統中風險都是客觀存在的，因此企業在進行信息系統構建的時候需要全員樹立信息系統風險防范的意識。首先企業的管理層應該對企業信息系統構建過程中的風險管理控制給予高度的重視，充分認識到在企業信息系統的不同生命周期階段潛在的風險因素，并提前針對各種類型的風險做好應急預案準備，但信息系統風險因素超乎警戒范圍的時候，及時采取相關措施將風險所帶來的損失最小化。除此之外，企業信息系統的開發人員應該時刻樹立強烈的風險防范意識，做好時刻預防潛在風險的準備，一旦出現任何風險事故都應該采用科學合理的措施對風險進行相應的引導和規避。

2.強化企業信息系統風險識別技術和水平

根據當前企業信息系統風險中的理論研究與實踐研究，比較成熟并廣泛應用的風險識別技術主要有頭腦風暴法、SWOT風險分析法、因果分析法、情景分析法以及德爾菲法等，針對企業信息系統不同生命周期中的風險，可以綜合采取上述風險識別方法對各類風險進行實時的識別，從而提升企業信息系統風險的綜合識別能力。比如在企業信息系統規劃的階段，可以綜合采用德爾菲法、頭腦風暴法、SWOT風險分析法以及訪談法等方式對企業信息系統規劃階段潛在的領導風險、項目確定風險以及環境風險等進行科學合理的識別分析；在企業信息系統實施的階段，可以綜合采用頭腦風暴法、影響因素分析法、文件審查法以及流程圖分析法等對企業信息系統實施階段潛在的進度把控風險、程序開發風險以及質量管控風險進行科學合理的識別分析。

3.制定科學合理的企業信息系統風險管理機制和策略

一般情況之下，往往可以使用如下幾種類型的策略來應對企業信息系統風險:一是風險規避策略，指的是可以通過有針對性的計劃制定和變更對企業信息系統風險發生的條件進行控制消除，從而將潛在的風險及時規避；二是風險降低的策略，指的是針對一些潛在的信息系統風險，采用相應的措施將企業信息系統風險損失最小化；三是風險轉移策略，指的是通過合同或者法定約定的方式將企業信息系統風險轉移給另一個單位；四是風險接受策略，指的是當企業信息系統風險所帶來的損失小于風險防范成本的時候，可以使用風險接受策略減少負面影響。因此在企業信息系統風險對應策略之中，需要根據不同生命周期中的不同類型風險，制定科學合理的企業信息系統風險管理機制和策略，保障信息系統價值最大化。

4.基于生命周期理論實行全過程的風險管理控制理念

企業信息系統風險控制管理需要從生命周期理論出發做好全過程的風險控制:一是在信息系統規劃階段需要明確系統目標，做好資源和領導參與，綜合分析系統規劃的外界環境，保障信息系統在良好的環境和合理的目標定位范圍內進行規劃設計；二是在信息系統需求分析的階段，爭取各種類型人員的參與，充分理解用戶的需求，保障信息系統需求分析與實際、用戶需求無縫對接；三是在信息系統設計階段應該實現設計小組與用戶的良性溝通，做好技術及時跟蹤、客觀系統設計等方面的規范要求；四是在信息系統實施過程中規范技術采購流程、系統開發人員技術保障，有效控制信息系統的質量和技術方面的風險；五是在信息系統后期維護過程中重視用戶技術和維護培訓、明確崗位職責和系統使用說明等工作，保障信息系統在后期的運行維護中有效防范安全風險、流程重組風險等。

四、基于生命周期理論的企業信息系統風險管理案例分析

1.A企業概況

A企業作為一家民營企業集團，為家電行業中的領頭羊，在快速發展過程中面臨著如下幾個方面的問題:一是隨著企業業務的快速發展，訂單增加迅速，個性化的訂單給庫存、銷售以及生產等各個方面帶來了多種壓力；其次，生產產量的快速攀升對生產的準確度和速度提出了越來越高的要求；三是隨著企業規模的日益擴大，管理層級增加，管理難度加大；四是績效考核在大規模企業之下難以準確到位。針對這些問題，A企業選擇了符合社會潮流和自身發展的信息化道路，投資構建了集團信息管理系統，實現整個公司在管理層、生產層以及銷售層的信息化管理。

2.基于生命周期理論的A企業信息系統風險管理實踐

在生命周期理論指導之下，面對A企業信息系統可能存在的風險，制定相應的風險管理計劃:制定信息系統項目實施計劃——項目狀態報告——項目例會——問題跟蹤——技術監督管控——文檔管理和審查等。將信息系統風險監督貫穿于整個項目的實施過程，從信息系統規劃、需求分析、系統設計、系統實行以及后期的維護階段都有相對應的風險管理機制，并根據實際情況進行實時的調整，確認各個階段風險管理的有效進展。A企業成功的ERP實施項目和有效的風險控制，給企業帶來了良好的企業運營和利潤回報，進一步提升了A企業的綜合競爭力。

[1]吳紹艷，汪傳雷.基于生命周期的農機企業危機信息管理研究[J].中國農機化，2010，(03):153-154.

[2]李建芳.基于生命周期理論的企業內部控制體系建設[J].河北農業大學學報(農林教育版)，2013，(10):18-19.

[3]靳志軍.基于生命周期理論的房地產項目開發風險管理研究[D].河北工業大學，2010.

[4]劉洪德，王宏宇.基于生命周期理論的創新型組織的內生風險管理[J].科技和產業，2008，(12):88-89.

[5]吳炎太，林斌，孫燁.基于生命周期的信息系統內部控制風險管理研究[J].審計研究，2009，(11):21-23.