2 将风险管理集成到应用系统生命周期中的好处 

    虽然可以在任何时刻制定风险管理计划，但人们往往着重于对系统运行中风险的管理和维护，往往忽视系统启动前，开发和退出后的潜在风险,在系统生命周期的开始阶段制定计划是一个值得推荐的做法。风险管理与系统的其它方面一样，在整个系统生命周期各阶段都进行计划是最好的管理方式。计算机界长期以来认同的原则就是，系统设计完成后在其中增加特性比在系统初始的设计阶段包含该特性要多花费十倍的时间和费用。在系统规划初期尽早进行风险管理部署主要是因为后期部署更困难（通常成本会更高），而且还很可能影响系统的持续运行。风险管理也需要融入到系统生命周期的后期，以协助确保系统能适应环境、技术、规程和人员的变化。 

    进行全生命周期的风险管理除了帮助确保管理活动在所有阶段都充分考虑到各种风险问题以外，还可以帮助记录应对风险的相关决策。这种记录文档对于系统管理人员以及督察和独立审计人员是有用的。系统管理人员将文档用于自我检查和决策理由的提示，这样就可以更容易地对系统和环境更改的影响进行评估。督察和独立审计人员在检查中可以使用文档来验证系统管理工作的充分性，并用来突出风险可能被忽视的领域。 

    3 应用系统生命周期概述 

    和其他产品、系统一样， IT应用系统生命周期可以分为以下5个阶段：

•  起始 ：在起始阶段，表述系统的需要并记录应用系统的目的。
•  开发/采购： 在这个阶段对应用系统进行设计、购买、编程、开发、测试或其它形式的构建。这个阶段经常包含所定义的其它周期，如应用系统开发或采购、测试等。
•  实施： 在经过初期的系统测试后，系统被安装到位。
•  运行和维护： 在这个阶段应用系统执行其工作。几乎总是要对应用系统进行修改，增加硬件、软件或发生其它变更等。
•  退出与废弃： 向新应用系统转移的工作完成后，原有的应用系统被废弃。每个应用系统又可以分为若干子系统，也有自己的生命周期。