陈伟风险管理，从人治到机制-it风险管理研究探究框架.pdfVIP

2009 年版 IT 风险管理研究框架 谷安天下 陈伟 作者简介： 陈伟，前某著名国际咨询公司合伙人，清华大学EMBA 班、北京大学CIO 班特聘教授，在IT 行业服务管理、系统集成、软件开发、信息安全与控 制领域有十八年工作经验，著有《信息安全管理——全球最佳实务与实 施指南》、《经营分析与信息技术》、《国际认证信息系统审计师认证 指南》能，参与翻译《索耶内部审计》，《中国计算机用户》CSO 专栏 作假，发表多篇IT 治理论文。 1 信息化的风险 目前中国的信息化建设仍然属于 “人治时代”，信息化的随意性较大，一方 面组织缺乏对信息化进行整体规划、实施与控制的决策机制和责任担当框架，也 没有形成信息化相关的制度；另一方面组织在信息化过程中所涉及IT 规划、实 施、运行、检查的一系统 IT 流程，缺乏制度化与标准化的约束，缺乏部门之间 及流程之间协调、沟通的机制，造成IT 系统与业务需求的“逻辑错位”。这就导 致组织在信息化过程中存在很多风险，诸如技术标准不兼容的架构风险，信息化 投资无法得到回报的绩效风险，开发的应用系统脆弱的风险或满足不了业务需要 的风险等等。因而建立较完善的 IT 治理机制来解决信息化面临的风险，己是迫 切地摆在我们面前的任务。 2 风险管理框架 谷安天下通过对企业大量的信息化失败案例和对信息化建设中深层次机制 问题的研究，发现信息化也像企业管理一样，需要制度创新，在信息化过程中， “制度重于一切”的定律同样适用。例如，建造一个信息系统是容易的，让这个 系统正常地运转起来并能实现业务价值，则是现实的难题。因而我们在规划信息 化的时候，除了要关注IT 技术外，还要建立IT 治理机制使企业能达到信息化的 目标。而进行IT 风险管理是进行IT 治理的最有效手段之一。 谷安天下根据组织在信息化中存在的多方面的风险，结合COSO 风险控制原 理，对IT 治理的内容进行合理扩充并增加控制的粒度，提出了一套适应我国IT 风险实际情况的综合性风险管理框架。  IT 风险管理框架的目标 完善IT 风险控制体系，降低IT 成本，实现IT 与企业战略、管理、业务、 安全的深度融合，使IT 真正满足业务发展的需求，为企业持续创造价值。 第1 页 共5 页  IT 风险管理框架的原则 在战略层面，要综合公司治理结构和企业战略规划来建立IT 治理机制， 使IT 治理成为公司治理的一部分，在组织最高决策层上对信息化进行 监管与制衡，使沟通与反馈机制持续有效； 在战术面上，为保护IT 与业务目标一致，有限利用IT 资源，提高绩效， 降低风险与控制成本，需按照国际普遍接受的企业内部控制标准； 对IT 进行规划，确保IT 战略与业务战略的一致，信息化一定要为业务 所想、为业务所用，IT 与业务的分离是信息化面临的最大风险； 采用国际上得到普遍认可的IT 控制标准（例如：COBIT、ITIL、ISO27001） 及行业最佳实践，为信息化管理提供标准或规范； 识别组织中的重要IT 过程，确定其目标、活动与职责。梳理出纵向的 技术管理过程和横向的客户服务过程，推行过程管理的思想； 通过PDCD 的过程，即计划、实施、调整、改进的循环，使信息化保持 在可持续发展的轨道上，阶段性地进行信息系统审计和过程目标评估， 以发现存在的偏离并及时调整到IT 治理的目标上来； 持续地评估IT 绩效，可以从整体信息化绩效、IT 项目绩效及IT 人员绩 效等多个方面进行评估，以了解当前IT 状况，为及时的调整与改进提 供依据。  IT 风险管理框架的内容 根据IT风险管理的目标和原则，我们给出IT风险管理框架的一种具体实现， 其步骤如图所示：