我們根據COSO風(fēng)險控制原則,對IT控制的內容進(jìn)行合理擴充餅干增加控制的粒度,提出了一套適應我國IT風(fēng)險實(shí)際情況的綜合性風(fēng)險管理框架。
1.建立信息化的“游戲規則”
對企業(yè)大量的信息化失敗案例和對信息化建設中深層次機制問(wèn)題的研究,我們發(fā)現信息化也像企業(yè)管理一樣,需要制度創(chuàng )新,在信息化過(guò)程中,“制度重于一切”的定律同樣適用。例如,建造一個(gè)信息系統是容易的,讓這個(gè)系統正常地運轉起來(lái)并能實(shí)現業(yè)務(wù)價(jià)值,則是現實(shí)難題。雖然采用先進(jìn)的IT技術(shù)與產(chǎn)品、優(yōu)秀的管理方法在一定的程度上能降低IT風(fēng)險,但并不十分保險,只有通過(guò)為IT引入一定的結構、規則與標準,使IT在“他律”(IT治理)的基礎上進(jìn)行“自律”(IT管理),才能使得IT風(fēng)險在一定的框架內上下左右浮動(dòng),不超過(guò)且計劃中的風(fēng)險范圍。
通俗的說(shuō)我們在規劃信息化時(shí),除了要關(guān)注IT技術(shù)外,還要建立能使IT正常運轉的制度,或者稱(chēng)為IT治理機制。正如公司需要治理一樣,IT也需要進(jìn)行治理,就是要從制度、標準、規范的角度來(lái)重新認識IT問(wèn)題并完善IT治理機制,這是目前走出IT建設誤區的良方。IT治理是國際IT領(lǐng)域中的一個(gè)新的概念,用于描述企業(yè)或政府是否采用有效的機制,使IT的應用能夠完成組織賦予它的使命,同時(shí)平衡信息技術(shù)與過(guò)程的風(fēng)險,確保實(shí)現組織的戰略目標。
為完善企業(yè)的IT治理,在戰略層面上,要綜合公司治理結構、企業(yè)戰略規劃,使IT治理作為公司治理的一部分,在治理結構上體現IT的位置與作用,使IT議題要進(jìn)入董事會(huì )(或者是監事會(huì )、最高管理當局)下的戰略委員會(huì )、審計委員會(huì )、安全委員會(huì );IT執行與監管要分開(kāi),監管機制要獨立并持續運行、溝通與反饋機制要持續有效。
在戰術(shù)面上,為保護IT與業(yè)務(wù)目標一致,有限利用IT資源,提高績(jì)效,降低風(fēng)險與控制成本,需按照國際普遍接受的企業(yè)內部控制標準建立有效的IT控制框架并監控實(shí)施。
這個(gè)框架也可成為IT風(fēng)險管理框架,或稱(chēng)為IT的“游戲規則”,忽略了規則的建立是國內信息化成功率低的根源,我們應當把建立信息化的“游戲規則”看成是信息化的重要內容之一。
2.IT風(fēng)險管理框架的目標
完善IT風(fēng)險控制體系,降低IT成本,實(shí)現IT與企業(yè)戰略、管理、業(yè)務(wù)、安全的深度融合,使IT為企業(yè)持續地創(chuàng )造價(jià)值,有效率并有效果地進(jìn)行信息化建設。
3.IT風(fēng)險管理框架的內容
根據IT風(fēng)險管理的目標和原則,我們給出IT風(fēng)險管理框架的一種具體實(shí)現,其步驟如下圖所示。
4.IT風(fēng)險管理架構的原則
IT風(fēng)險管理架構應遵循如下原則:
·在戰略層面,建立IT治理機制,使IT治理成為公司治理的一部分,在組織最高決策層上對信息化建設進(jìn)行監管與制衡 。
·在戰術(shù)面上,為保護IT業(yè)務(wù)目標一致,有限利用IT資源,提高績(jì)效,降低風(fēng)險與控制成本,需按照國際普遍接受的企業(yè)內部控制標準。
·采用國際上得到普遍認可的IT控制標準(例如,COBIT、ITIL、ISO27001)及行業(yè)最佳實(shí)踐,為信息化管理提供規范和標準。
·識別組織中的重要IT過(guò)程,確定其目標、功能與職責。梳理出縱向上的技術(shù)管理過(guò)程和橫向上的客戶(hù)服務(wù)過(guò)程,推行過(guò)程管理的思想。
·通過(guò)PDCD的過(guò)程,即計劃、實(shí)施、調整、改進(jìn)循環(huán),使信息化保持在可持續發(fā)展的軌道上,階段性地進(jìn)行信息系統審計,以發(fā)現存在的偏離,及時(shí)調整到信息化的最終目標上來(lái)。
·持續地評估IT績(jì)效,可以從整體信息化績(jì)效、IT項目績(jì)效及IT人員績(jì)效等多方面進(jìn)行評估,以了解當前IT狀況,為及時(shí)的調整與改進(jìn)提供依據。
