探讨CIO如何识别IT风险VIP

? ? ? ? ? 探讨CIO如何识别IT风险 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 　　正如信息系统具有潜在的投资回报一样，信息系统同样具有潜在的风险。IT与业务的融合，在带来企业效率提升和持续竞争力的同时，也加剧了业务可能面临的风险。信息系统任何细微的变故，都有可能导致业务流程完全失效。正因为如此，IT风险管理受到了越来越多企业高管层特别是CIO的关注。一定程度上，CIO所面对的管理，更多的是对各种“可能性和不确定性”即“风险”的管理。 　　然而，IT风险及IT风险管理，一直是一个颇有争议的概念。由于对风险的理解和认识程度不同，或对风险的研究的角度不同，其定义还存在很多争议。 　　国际内部审计协会(IIA)对风险定义为：“可能对目标的实现产生影响的事件发生的不确定性。”并指出风险的衡量标准是后果与可能性。而国际标准化组织ISO/IEC“Guide73:2002”中关于风险的定义为：“事件发生的可能性及其后果的结合”。COSO发布的《企业风险管理-整合框架》中则将风险定义为：“一个事项将会发生并给目标实现带来负面影响的可能性。” 　　对于IT风险的认识，同样存在着不同的观点。2006年1月出版的《IT风险——基于IT治理的风险管理之道》一书中认为，所谓IT风险就是指对业务造成负面影响的信息技术失效。2006年9月，中国银监会颁布的《银行业金融机构信息系统风险管理指引》中，信息系统风险是指：“信息系统在规划、研发、建设、运行、维护、监控及退出过程中，由于技术和管理缺陷产生的操作、法律和声誉等风险”。2007年2月赛门铁克公司发布的《IT风险管理报告》中认为，IT风险包括安全性、可用性、能力和合规性四个方面。 　　正因为这些争议的存在，目前各家企业对IT风险管理方面的理解和做法也存在着差异。这些差异，往往让很多希望加强IT风险管理的企业和CIO们束手无措。为此，某杂志邀请到了民生证券股份有限公司信息技术总监景忠、中国海洋石油总公司审计监察部IT审计经理王宇文、ITGov信息系统审计专家王东红，围绕IT风险管理的相关话题，展开了讨论。 　　对于IT风险的概念特别是IT风险涵盖的范围，现在仍然存在争议，各位是怎么理解IT风险管理的?景忠：对于证券行业来讲，IT系统的风险管理几乎是天天都在抓。从我们的角度来讲，IT风险主要包括系统的风险、人员的风险和IT投入的风险等方面。 　　系统的风险主要是软件、硬件和网络等设备的潜在风险，这与传统的信息安全有很多类似的地方。人员的风险则是指内部人员作弊或者疏忽造成的风险，和关键岗位人员流失带来的风险等所有与人为因素有关的潜在风险。IT投入的风险也非常容易理解，既然是投入就一定要有产出，不管这种产出是显性还是隐性的，但是，也并不是所有的IT投入都能看到产出，甚至很多企业IT项目以失败告终的案例也时有发生。王宇文：IT的作用就是支撑企业的业务运作和运营管理，因此，IT风险实际上就是业务的风险，抛开业务单纯讲IT风险是没有意义的。从审计部门角度来看，之所以关注IT风险，就是要看一旦这些系统出问题，会对业务造成什么样的影响。 　　国资委出台的《中央企业全面风险管理指引》中将风险定义为：未来的不确定性对企业实现其经营目标的影响，一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等，并将风险分为纯粹风险和机会风险。因此，我们认为IT风险主要是IT系统有可能对业务和经营目标造成的潜在风险。IT是属于横向业务支持领域，IT风险会体现在所有业务风险中。由于IT有其特殊的技术内涵和特点，往往在实际操作时IT风险管理相对来说比较独立。 　　王东红：前面两位更多的是从实践工作中，对IT风险管理的理解和认识来谈的，我主要从理论的角度谈谈我的理解。目前来看，银监会对于IT风险的定义是比较全面的，它符合当今世界全面风险管理的发展趋势，是一个全生命周期的风险。而IT风险管理目前在研究和实践中都还没有一个统一的定义。 　　在我看来，IT风险管理，已经从狭义的IT技术风险发展到了IT全生命周期管理的阶段，因此，IT风险管理也可以称为“IT全面风险管理”。综合比较主流的IT风险管理定义，不妨可以对IT风险管理给出这样的定义，所谓IT风险管理是指围绕信息化战略目标，通过在信息系统的规划、开发与建设，运行与维护，监控与评价管理的各个阶段中执行风险管理的基本流程，包括风险管理策略制定、风险识别、风险评估，进而选择适当的处理方法加以控制、处理，达到信息化可持续发展的目标。 　　三位的表述虽然略有不同，但是都谈到了IT风险与业务的关系。是不是只有当企业的业务与IT足够紧密时，才会考虑IT风险管理?王宇文：在信息化发展的初期，信息系统使用得比较少，这种情况下，产生风险的概率自然比较低。因为大部分的