金泰涣 浙江财经大学东方学院

一、信息系统的生命周期相关理论概述

生命周期从理论意义上来说指的是在生物界存在的应用词汇，随着词汇的快速发展也开始在非生物领域中得到广泛应用，比如生产产品的生命周期、工艺技术的生命周期以及工程项目的生命周期等，生命周期从一定意义上来说指的是某一种事物在不同的生命阶段所表现出来的特征和规律性发展趋势。信息系统从时间的角度来看也可以将生命周期理论引入其中，实现生命周期理论在信息系统领域的重新植入，从而最终呈现出企业信息系统的生命周期发展规律。

一般情况之下，企业的信息系统生命周期可以分为如下几个生命阶段:一是信息系统规划阶段，这个阶段系统的主要任务在于提出项目、给项目做出概念定义以及做出相应的项目决策等；二是信息系统需求分析阶段，这个阶段系统需要将用户对信息系统的相关要求服务等变为系统开发人员的技术方面的规格说明；三是信息系统设计阶段，这个阶段需要根据上述的说明书将信息系统的构架结构、开发思路和执行计划等进行全面的梳理整合；四是信息系统实施阶段，这个阶段需要在上述基础之上进行信息系统的软硬件环境构建和软件开发实施；五是对信息系统进行测试验收，并进行后期的运行维护，保障信息系统能够在相应的环境下正常运行，发挥最大价值。基于生命周期理论的企业信息系统风险模型如下图所示:

图 基于生命周期理论的企业信息系统风险模型图

二、基于生命周期理论的企业信息系统风险因素分析

从企业信息系统生命周期理论的角度来看，企业信息系统在不同的生命阶段所面临的风险和挑战是截然不同的:

一是在企业信息系统规划阶段所面临的风险。企业信息系统在系统规划阶段主要有如下几个方面的风险:（1）系统立项风险，信息系统开发是一个长期的动态变化过程，往往需要投入大量的资金、物力和人力资源，同时开发周期也是非常长的，因此企业信息系统的规模、成本、进度安排、资源投入以及成本预算等都是无法进行精确的估算，从而使得企业信息系统在项目立项阶段存在着较大的风险。（2）领导风险，企业信息系统在规划的时候往往都是需要一些大领导进行牵头，一个重要的技术领导和领导对整个项目的规划对项目的成败有着至关重要的影响。（3）信息系统外界环境的影响，信息系统构建需要有一定稳定可观的外界政治环境、社会环境以及法律环境的支持，但是这些环境是不能人为控制的，给项目的规划进行带来潜在的环境风险。

二是在企业信息系统需求分析阶段所面临的风险。企业信息系统在需求分析规划阶段主要有如下几个方面的风险:（1）信息系统项目队伍的组建风险，信息系统开发一般都需要一支技术强硬、管理得到的团队，才能保障信息系统的顺利开发，如果项目队伍专业知识不深、管理错位等都将给信息系统的构建带来潜在的风险。（2）信息系统用户的风险，在信息系统开发的过程中，用户往往都需要将所有的信息传达给开发团队，同时项目团队也不可能准确无误地受到信息和理解信息，这就容易使得信息系统存在一定的缺陷，导致系统需求分析无法全方位地表现用户的需求。（3）现实脱离计划的风险，信息系统项目团队往往无法很好地把控用户的需求，脱离实际，最终可以导致信息系统的计划需求分析与实际需求脱轨。

三是在企业信息系统设计阶段所面临的风险。企业信息系统在系统设计阶段主要有如下几个方面的风险:（1）个人设计偏好引发用户需求偏离风险，企业信息系统在设计阶段如果与用户缺乏合理的沟通，系统设计团队往往会从自我偏好着手进行系统设计，很容易与用户需求偏离。（2）缺乏长远的设计眼光引发风险，信息系统设计人员往往只会考虑到用户的短期需求，没有从长远的视角出发进行设计，最终导致信息系统难以实现可持续的利用。（3）系统设计技术方面的风险，信息系统的设计规模大、技术复杂，技术的成熟变革给信息系统的设计带来一系列的技术风险。（4）信息系统说明书引发的风险，在系统设计的基础之上成稿说明书，如果没有充分理解用户的流程需求等，可能导致说明书不全面等问题。

四是在企业信息系统实施阶段所面临的风险。企业信息系统在系统实施阶段主要有如下几个方面的风险:（1）信息系统项目施工进度控制方面的风险，系统开发小组有时候花太多的时间写程序，却忽略了系统开发的进度把控。（2）信息系统质量控制风险，由于系统开发面临着不断变化的环境、用户需求以及技术变革等，这将给信息系统的质量带来严重的隐患。（3）信息系统程序开发风险。信息系统在开发过程之中没有使用面向对象的结构化模式开发，导致信息系统后期难以修改完善和运行维护。

五是在企业信息系统测试验收和后期维护阶段所面临的风险。企业信息系统测试验收的时候可能存在验收质量把控不到位的风险。企业信息系统在后期维护阶段主要有如下几个方面的风险:（1）信息系统在转换方面的风险，由于经费、时间以及技术方面的限制，导致信息系统以及相关数据转换困境，最终不利于信息系统的良性循环运行。（2）信息安全风险，信息系统在运转过程中会引发信息安全性和准确性等方面的风险。（3）信息系统导致企业流程出现一定的风险，信息系统在企业管理中植入必然会引起企业内部一系列的流程重组，可能会带来人员抵制、流程重组不合理以及信息系统无法适应流程等方面的问题。

三、基于生命周期理论的企业信息系统风险管理政策建议

1.树立企业信息系统风险防范的意识

在任何系统中风险都是客观存在的，因此企业在进行信息系统构建的时候需要全员树立信息系统风险防范的意识。首先企业的管理层应该对企业信息系统构建过程中的风险管理控制给予高度的重视，充分认识到在企业信息系统的不同生命周期阶段潜在的风险因素，并提前针对各种类型的风险做好应急预案准备，但信息系统风险因素超乎警戒范围的时候，及时采取相关措施将风险所带来的损失最小化。除此之外，企业信息系统的开发人员应该时刻树立强烈的风险防范意识，做好时刻预防潜在风险的准备，一旦出现任何风险事故都应该采用科学合理的措施对风险进行相应的引导和规避。

2.强化企业信息系统风险识别技术和水平

根据当前企业信息系统风险中的理论研究与实践研究，比较成熟并广泛应用的风险识别技术主要有头脑风暴法、SWOT风险分析法、因果分析法、情景分析法以及德尔菲法等，针对企业信息系统不同生命周期中的风险，可以综合采取上述风险识别方法对各类风险进行实时的识别，从而提升企业信息系统风险的综合识别能力。比如在企业信息系统规划的阶段，可以综合采用德尔菲法、头脑风暴法、SWOT风险分析法以及访谈法等方式对企业信息系统规划阶段潜在的领导风险、项目确定风险以及环境风险等进行科学合理的识别分析；在企业信息系统实施的阶段，可以综合采用头脑风暴法、影响因素分析法、文件审查法以及流程图分析法等对企业信息系统实施阶段潜在的进度把控风险、程序开发风险以及质量管控风险进行科学合理的识别分析。

3.制定科学合理的企业信息系统风险管理机制和策略

一般情况之下，往往可以使用如下几种类型的策略来应对企业信息系统风险:一是风险规避策略，指的是可以通过有针对性的计划制定和变更对企业信息系统风险发生的条件进行控制消除，从而将潜在的风险及时规避；二是风险降低的策略，指的是针对一些潜在的信息系统风险，采用相应的措施将企业信息系统风险损失最小化；三是风险转移策略，指的是通过合同或者法定约定的方式将企业信息系统风险转移给另一个单位；四是风险接受策略，指的是当企业信息系统风险所带来的损失小于风险防范成本的时候，可以使用风险接受策略减少负面影响。因此在企业信息系统风险对应策略之中，需要根据不同生命周期中的不同类型风险，制定科学合理的企业信息系统风险管理机制和策略，保障信息系统价值最大化。

4.基于生命周期理论实行全过程的风险管理控制理念

企业信息系统风险控制管理需要从生命周期理论出发做好全过程的风险控制:一是在信息系统规划阶段需要明确系统目标，做好资源和领导参与，综合分析系统规划的外界环境，保障信息系统在良好的环境和合理的目标定位范围内进行规划设计；二是在信息系统需求分析的阶段，争取各种类型人员的参与，充分理解用户的需求，保障信息系统需求分析与实际、用户需求无缝对接；三是在信息系统设计阶段应该实现设计小组与用户的良性沟通，做好技术及时跟踪、客观系统设计等方面的规范要求；四是在信息系统实施过程中规范技术采购流程、系统开发人员技术保障，有效控制信息系统的质量和技术方面的风险；五是在信息系统后期维护过程中重视用户技术和维护培训、明确岗位职责和系统使用说明等工作，保障信息系统在后期的运行维护中有效防范安全风险、流程重组风险等。

四、基于生命周期理论的企业信息系统风险管理案例分析

1.A企业概况

A企业作为一家民营企业集团，为家电行业中的领头羊，在快速发展过程中面临着如下几个方面的问题:一是随着企业业务的快速发展，订单增加迅速，个性化的订单给库存、销售以及生产等各个方面带来了多种压力；其次，生产产量的快速攀升对生产的准确度和速度提出了越来越高的要求；三是随着企业规模的日益扩大，管理层级增加，管理难度加大；四是绩效考核在大规模企业之下难以准确到位。针对这些问题，A企业选择了符合社会潮流和自身发展的信息化道路，投资构建了集团信息管理系统，实现整个公司在管理层、生产层以及销售层的信息化管理。

2.基于生命周期理论的A企业信息系统风险管理实践

在生命周期理论指导之下，面对A企业信息系统可能存在的风险，制定相应的风险管理计划:制定信息系统项目实施计划——项目状态报告——项目例会——问题跟踪——技术监督管控——文档管理和审查等。将信息系统风险监督贯穿于整个项目的实施过程，从信息系统规划、需求分析、系统设计、系统实行以及后期的维护阶段都有相对应的风险管理机制，并根据实际情况进行实时的调整，确认各个阶段风险管理的有效进展。A企业成功的ERP实施项目和有效的风险控制，给企业带来了良好的企业运营和利润回报，进一步提升了A企业的综合竞争力。

[1]吴绍艳，汪传雷.基于生命周期的农机企业危机信息管理研究[J].中国农机化，2010，(03):153-154.

[2]李建芳.基于生命周期理论的企业内部控制体系建设[J].河北农业大学学报(农林教育版)，2013，(10):18-19.

[3]靳志军.基于生命周期理论的房地产项目开发风险管理研究[D].河北工业大学，2010.

[4]刘洪德，王宏宇.基于生命周期理论的创新型组织的内生风险管理[J].科技和产业，2008，(12):88-89.

[5]吴炎太，林斌，孙烨.基于生命周期的信息系统内部控制风险管理研究[J].审计研究，2009，(11):21-23.