aa-IT风险管理框架应用研究.docVIP

陈伟：IT风险管理框架研究 2008-06-17作者:陈伟来源:CIO时代网 导读:非常荣幸今天有机会来为大家做一次交流，我演讲的题目是IT风险管理框架。 ?? 6月21日下午，由CIO时代网主办的第五届中国软件交易会IT治理与卓越运维论坛在大连世界博览中心成功举办，来自全国各地的专家、学者、CIO及媒体记者们齐聚一堂，共同探讨了中国信息化深入应用的深层次问题。本文根据嘉宾现场演讲整理而成。 ??? 大家下午好，非常荣幸今天有机会来为大家做一次交流，我演讲的题目是IT风险管理框架。 ??? 风险管理是一个比较时髦的词，我们都在讲企业的风险管理，包括赖老师讲的SOX法，实际上就是控制企业的风险，引用一些控制措施，其中里面的控制措施里就有一个非常重要的内容就是IT的，IT如何去控制风险，IT如何为企业的风险做出应用的贡献，实际上这就是我们要研究的内容。实际上也是我们很多信息化管理者正在思考的问题，是到底是从哪里下手去做这个事情，这个事情的题目是一个很大的题目，到底从如何下手，那么我就结何我的实际经验和一些我研究的内容给大家做一些介绍。 ??? 首先给大家介绍一下我国信息化的现状，那么我国信息化是这样从78年到现在大概也就二三十年的时间，力度比较大的信息化建设，那么到今天为止实际上我们已经基本走过了一个基本的阶段，我们以前的信息化是什么呢，注重了对行业的覆盖，对企业的覆盖，硬件的配置等等，把什么建起来，把应用的系统建起来，那么从2000年开始，我们把重点就开始转移了，我们慢慢转移到信息化见效了，要做出贡献了，为业务解决问题了，为业务创造价值了，这是我我们更多的关注的内容。 ??? 至于用什么产品，虽然也很重要，但是已经让位给了IT如何为社会为政府创造价值就这么一个层面上来了，那么这个时候去讲究什么呢，讲究IT如何提供服务，如何控制他的风险，如何更好的来创造更多的本身的价值在里面，这个时候我们更多关注是IT本身更多的风险，这是为什么呢？打个比方，今天我们用电用水一样，政府和企业不可分割的一部分，我们可能平时感觉不到，但是一但没有的话你就会感觉到你可能会受不了，你的企业可能就会停止运转，政府也可能会受影响，所以这种依赖性比较高的风险迫使我们去考虑如何控制IT，如何支持我们企业的组织、社会IT正常的运维。 ??? 从这几十年的IT实践来看，IT的风险其实很大，我们回过头来看，我总结了几条，实际上还远远不只是这些，这里面是几个比较重要的，比如IT治理的风险，刚才赖老师也提到IT治理的风险，我们现在很少提到这个词，但其实是件很重要的事，还有规划和架构的风险，我们也讲规划，但是我们这个规划与真正的标准化的可操作性的规划还是有一定的距离，我们还有项目管理风险，技术设施风险，应用系统风险，应用交互风险，信息安全风险，业务持续风险，IT绩效风险等等，我想随着时间的发展，还会有新的风险还会层出不穷的。 ??? 那么我简单分析一下这里面几个比较重要的风险： ??? 第一IT治理风险，这几年的发展，我们发现我们国内的信息规划特别是我们就看看搞的特别好的企业，我们讲有几大模式，我们讲的斯达造纸厂IT信息化做的特别好，讲巩义电子政务做的好，我们看这些做的好的企业和政府有一个很重要的原因是什么，他的一把手特别重视，他的主要领导特别重视，一个比较懂行，别外一个可能是善于利用社会资源，领导重视做的比较好，有的单位可能做的不太好也有很多原因可能就是把IT当技术去处理了，我们讲实际上这个“人治”的时代，还没有到法制没有到一个真正治理的阶段，还要靠真的领导去认识那他就做的好。 ??? 对我们现在的这个社会来讲，靠人治是远远不够的，不能满足要求的，一定把他变成制度化的东西，不管是换了哪些领导，我们的这个企业还是要往前发展的，那么我们的IT应该是什么样，就是什么样，不因为领导重视不重视而忽略或受到重视，在这个层面上我们国家目前都还基本在人治的层面上，没有建设成这么一个治理的概念。信息化是一个从治理层的关注，把它变成一个制度，需要有一个制度化，规范化，标准化，这里要涉及到许多机制，我们IT不光是技术的问题，实际上还有很多战略问题，管理、业务流程实践都要涵盖在里面，真正把这个制度建立起来，IT才会摆脱现在的状况。这是第一点，也是我们感受比较深的。 ??? 第二个就是规划和架构的风险，我们每个企业实际上政府在做信息化的时候都在做规划，五年规划，三年规划，我们的网络建设规划，应用规划，但好多规划实际上做的层面还是不够具体的，还不够标准化，操作起来还有许多误区在里面，王仰富先生会给规划这方面的内容，他讲的是一种国际上比较流行操作的一种手段，怎么去进行规划，而不是我们现在做的方式，这个问题我不展开讲。 ??? 下面谈项目管理风险，IT最终去实践，如果规划好了一个架构出来，如何去实践