企业IT风险控制框架(二).doc

企业IT风险控制框架（二）二、IT风险控制框架 　　建立信息化的“游戏规则” 　　对企业大量的信息化失败案例和对信息化建设中深层次机制问题的研究，我们发现信息化也像企业管理一样，需要制度创新，在信息化过程中，“制度重于一切”的定律同样适用。例如，建造一个信息系统是容易的，让这个系统正常地运转起来并能实现业务价值，则是现实的难题。虽然采用先进的IT技术与产品、优秀的管理方法在一定的程度上能降低IT风险，但并不十分保险，只有通过为IT引入一定的结构、规则与标准，使IT在“他律”(IT治理)的基础上进行“自律”(IT管理)，才能使得IT风险在一定的框架内上下左右浮动，不超过企业计划中的风险范围。 　　通俗地说，我们在规划信息化的时候，除了要关注IT技术外，还要建立能使IT正常运转的制度，或者称为IT治理机制。正如公司需要治理一样，IT也需要进行治理，就是要从制度、标准、规范的角度来重新认识IT问题并完善IT治理机制，这是目前走出IT建设误区的良方。 IT治理是国际IT领域中的一个新的概念，用于描述企业或政府是否采用有效的机制，使IT的应用能够完成组织赋予它的使命，同时平衡信息技术与过程的风险，确保实现组织的战略目标。 　　根据MIT的研究数据，没有良好的IT治理结构和持之以恒的评估反馈机制，IT资源无法成为公司的有效战略资产，甚至成为巨大的资源损耗。在采用相同战略目标的情况下，具有良好IT治理的企业，其利润要比那些治理低下的企业高出20%。 　　IT治理的目标 　　完善IT治理机制，降低IT成本，实现IT与企业战略、管理、业务、安全的深度融合，使IT为企业持续地创造价值，有效率并有效果地进行信息化。 　　IT治理的内容与框架 　　为完善企业的IT治理，在战略层面上，要综合公司治理结构、企业战略规划，使IT治理作为公司治理的一部分，在治理结构上体现IT的位置与作用，使IT议题要进入最高管理层的决策范围中，建立有效的IT决策机制与职责担当的框架;IT执行与监管要分开，监管机制要独立并持续运行、沟通与反馈机制要持续有效。 　　在战术面上，为保护IT与业务目标一致，有限利用IT资源，提高绩效，降低风险与控制成本，需按照国际普遍接受的企业内部控制标准，建立有效的IT控制框架并监控实施。 　　这个框架也可称为IT治理框架，或称为IT的“游戏规则”，忽略了规则的建立是国内信息化成功率低的根源，我们应当把建立信息化的“游戏规则”看成是信息化的重要内容之一。 　　根据IT风险管理的目标和原则，我们给出IT风险控制框架的一种具体实现，其步骤如图所示： 　　 　　IT风险管理框架的原则 　　在战略层面，建立IT治理机制，使IT治理成为公司治理的一部分，在组织最高决策层上对信息化的进行监管与制衡; 　　在战术面上，为保护IT与业务目标一致，有限利用IT资源，提高绩效，降低风险与控制成本，采用国际上得到普遍认可的IT控制标准(例如：COBIT、ITIL、ISO27001)及行业最佳实践，建立规范化的IT流程。 　　持续地评估IT绩效，可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估，以了解当前IT状况，为及进的调整与改进提供依据; 　　通过PDCD的过程，即计划、实施、调整、改进的循环，使信息化保持在可持续发展的轨道上，阶段性地进行信息系统审计，以发现存在的偏离，及时调整到信息化的最终目标上来。