IT項目風險管理框架研究[1]

風險管理是一個比較時髦的詞，我們都在講企業的風險管理，包括賴老師講的SOX法，實際上就是控制企業的風險，引用一些控制措施，其中里面的控制措施里就 有一個非常重要的內容就是IT的，IT如何去控制風險，IT如何為企業的風險做出應用的貢獻，實際上這就是我們要研究的內容。實際上也是我們很多信息化管理者正在思考的問題，是到底是從哪里下手去做這個事情，這個事情的題目是一個很大的題目，到底從如何下手，那么我就結何我的實際經驗和一些我研究的內容給大家做一些介紹。

　　首先給大家介紹一下我國信息化的現狀，那么我國信息化是這樣從78年到現在大概也就二三十年的時間，力度比較大的信息化建設，那么到今天為止實際上我們已經基本走過了一個基本的階段，我們以前的信息化是什么呢，注重了對行業的覆蓋，對企業的覆蓋，硬件的配置等等， 把什么建起來，把應用的系統建起來，那么從2000年開始，我們把重點就開始轉移了，我們慢慢轉移到信息化見效了，要做出貢獻了，為業務解決問題了，為業務創造價值了，這是我我們更多的關注的內容。

　　至于用什么產品，雖然也很重要，但是已經讓位給了IT如何為社會為政府創造價值就這么一個層面上來了，那么這個時候去講究什么呢，講究IT如何提供服務，如何控制他的風險，如何更好的來創造更多的本身的價值在里面，這個時候我們更多關注 是IT本身更多的風險，這是為什么呢?打個比方，今天我們用電用水一樣，政府和企業不可分割的一部分，我們可能平時感覺不到，但是一但沒有的話你就會感覺 到你可能會受不了，你的企業可能就會停止運轉，政府也可能會受影響，所以這種依賴性比較高的風險迫使我們去考慮如何控制IT，如何支持我們企業的組織、社會IT正常的運維。

　　從這幾十年的IT實踐來看，IT的風險其實很大，我們回過頭來看，我總結了幾條，實際上還遠遠不只是這些，這里面是幾個比較重要的，比如IT治理的風險，剛才賴老師也提到IT治理的風險，我們現在很少提到這個詞，但其實是件很重要的事，還有規劃和架構的風險，我們也講規劃，但是我們這個規劃與真正的標準化的可操作性的規劃還是有一定的距離，我們還有項目管理風險，技術設施風險，應用系統風險，應用交互風險，信息 安全風險，業務持續風險，IT績效風險等等，我想隨著時間的發展，還會有新的風險還會層出不窮的。

　　那么我簡單分析一下這里面幾個比較重要的風險：