it风险管理综述.pdfVIP

IT 风险管理 1 信息化的风险 目前中国的信息化建设仍然属于“人治时代”，信息化的随意性较大，一方面组织缺乏 对信息化进行整体规划、实施与控制的决策机制和责任担当框架，也没有形成信息化相关的 制度；另一方面组织在信息化过程中所涉及 IT规划、实施、运行、检查的一系统 IT 流程， 缺乏制度化与标准化的约束，缺乏部门之间及流程之间协调、沟通的机制，造成 IT 系统与 业务需求的“逻辑错位”。这就导致组织在信息化过程中存在很多风险，诸如技术标准不兼 容的架构风险，信息化投资无法得到回报的绩效风险，开发的应用系统脆弱的风险或满足不 了业务需要的风险等等。因而建立较完善的 IT 治理机制来解决信息化面临的风险，己是迫 切地摆在我们面前的任务。 2 风险管理框架 谷安天下通过对企业大量的信息化失败案例和对信息化建设中深层次机制问题的研 究，发现信息化也像企业管理一样，需要制度创新，在信息化过程中，“制度重于一切”的 定律同样适用。例如，建造一个信息系统是容易的，让这个系统正常地运转起来并能实现业 务价值，则是现实的难题。因而我们在规划信息化的时候，除了要关注 IT 技术外，还要建 立 IT 治理机制使企业能达到信息化的目标。而进行 IT 风险管理是进行 IT 治理的最有效手 段之一。 谷安天下根据组织在信息化中存在的多方面的风险，结合 COSO 风险控制原理，对 IT 治理的内容进行合理扩充并增加控制的粒度，提出了一套适应我国 IT 风险实际情况的综合 性风险管理框架。  IT 风险管理框架的目标 完善 IT 风险控制体系，降低 IT 成本，实现 IT 与企业战略、管理、业务、安全的深度 融合，使 IT真正满足业务发展的需求，为企业持续创造价值。  IT 风险管理框架的原则 在战略层面，要综合公司治理结构和企业战略规划来建立 IT 治理机制，使 IT 治 理成为公司治理的一部分，在组织最高决策层上对信息化进行监管与制衡，使沟 通与反馈机制持续有效； 在战术面上，为保护 IT与业务目标一致，有限利用 IT 资源，提高绩效，降低风 险与控制成本，需按照国际普遍接受的企业内部控制标准； 对 IT 进行规划，确保 IT战略与业务战略的一致，信息化一定要为业务所想、为 业务所用，IT 与业务的分离是信息化面临的最大风险； 采用国际上得到普遍认可的 IT 控制标准（例如：COBIT、ITIL、ISO27001）及行 业最佳实践，为信息化管理提供标准或规范； 识别组织中的重要 IT 过程，确定其目标、活动与职责。梳理出纵向的技术管理过 程和横向的客户服务过程，推行过程管理的思想； 通过 PDCD 的过程，即计划、实施、调整、改进的循环，使信息化保持在可持续发 展的轨道上，阶段性地进行信息系统审计和过程目标评估，以发现存在的偏离并 及时调整到 IT 治理的目标上来； 持续地评估 IT 绩效，可以从整体信息化绩效、IT项目绩效及 IT 人员绩效等多个 方面进行评估，以了解当前 IT 状况，为及时的调整与改进提供依据。  IT 风险管理框架的内容 根据 IT 风险管理的目标和原则，我们给出 IT 风险管理框架的一种具体实现，其步骤 如图所示： 3 IT 风险管理框架的建立过程 在组织中建立完整的 IT 风险管理框架是一项长期的工作，不可能一蹴而就，应当从基础 到高级，从容易到复杂一步步分阶段实现，最终使 IT 成为组织的核心竞争力。 第一阶段：IT 规划与架构设计 目标：进行信息化基础建设，构筑支撑业务运行的 IT 基础平台，建立完善的技术框架和 管理流程。 主要措施：  业务流程调查，识别主要业务流程，并进行初步建模；  为企业的业务活动建立标准的数据体系，并具有快速识别新的业务需求和进行业务 建模的能力；  审视业务战略，建立 IT 愿景目标，进行 IT 规划与架构设计，建立规范的 IT 技术标