科學(xué)合理的IT風(fēng)險(xiǎn)管理體系應(yīng)當(dāng)具有前瞻性的、全局性的控制機(jī)制,能融合防范與應(yīng)對(duì)信息安全、IT治理、IT管理、IT服務(wù)、IT應(yīng)用、IT項(xiàng)目、IT基礎(chǔ)設(shè)施、業(yè)務(wù)連續(xù)性、IT外包等方面的風(fēng)險(xiǎn),并能有效地指導(dǎo)組織控制IT風(fēng)險(xiǎn),使IT戰(zhàn)略與企業(yè)戰(zhàn)略相融合,促進(jìn)IT為組織持續(xù)地創(chuàng)造價(jià)值,以實(shí)現(xiàn)有效益的信息化。
一、信息化面臨的風(fēng)險(xiǎn)
九十年代以來,信息技術(shù)得到了快速的發(fā)展和廣泛的應(yīng)用,信息化已成為全球經(jīng)濟(jì)社會(huì)發(fā)展的顯著特征,并逐步向一場(chǎng)全方位的社會(huì)變革演進(jìn)。當(dāng)前,信息技術(shù)己深入到各行各業(yè),甚至影響并改變著普通百姓的生活方式,信息資源也日益成為重要生產(chǎn)要素、無形資產(chǎn)和社會(huì)財(cái)富。
由于國(guó)內(nèi)經(jīng)濟(jì)的持續(xù)增長(zhǎng)為信息化提供了良好的外部環(huán)境和充足的投入資金,各行各業(yè)的信息化呈現(xiàn)出一派欣欣向榮的景象,我國(guó)信息化在推行電子政務(wù)、振興軟件產(chǎn)業(yè)、加強(qiáng)信息安全保障、加強(qiáng)信息資源開發(fā)利用、加快發(fā)展電子商務(wù)等方面取得了可喜的進(jìn)展。同時(shí),信息化的應(yīng)用也有力地推動(dòng)了中國(guó)的經(jīng)濟(jì)持續(xù)增長(zhǎng)、產(chǎn)業(yè)的升級(jí)、競(jìng)爭(zhēng)力的提高,信息化與經(jīng)濟(jì)發(fā)展形成了良性循環(huán)。
從二十多年的信息化實(shí)踐來看,目前我國(guó)的信息化正處在一個(gè)由初級(jí)水平的投入期,向中高級(jí)水平的見效期過渡的關(guān)鍵時(shí)期,信息化的重點(diǎn)己從注重對(duì)行業(yè)和企業(yè)的覆蓋,注重硬件產(chǎn)品的配備,逐步過渡到強(qiáng)調(diào)整合和開發(fā)利用信息資源,對(duì)客戶需求做出快速反應(yīng),提高應(yīng)用水平和服務(wù)質(zhì)量,使組織的價(jià)值大化。在這一階段信息化的機(jī)會(huì)與風(fēng)險(xiǎn)并存,許多以前還沒有涉及的深層次問題都會(huì)一一暴露出來,這將考驗(yàn)我們是否已經(jīng)做好必要的思想準(zhǔn)備和采取有效的應(yīng)對(duì)措施。
IT治理風(fēng)險(xiǎn)
中國(guó)的信息化建設(shè)仍然屬于"人治時(shí)代",信息化的隨意性較大,企業(yè)還沒有信息化形成相關(guān)的制度,缺少對(duì)信息化進(jìn)行整體規(guī)劃、實(shí)施與控制的決策機(jī)制和責(zé)任擔(dān)當(dāng)框架。信息化成功與否往往在很大程度上取決于高管理層對(duì)信息化的理解和個(gè)人領(lǐng)導(dǎo)力大小的影響,這種不確定性增加了組織的信息化風(fēng)險(xiǎn),這是IT治理風(fēng)險(xiǎn)的宏觀體現(xiàn)。
組織在信息化過程中所涉及IT規(guī)劃、實(shí)施、運(yùn)行、檢查等一系統(tǒng)IT流程,缺乏制度化與標(biāo)準(zhǔn)化的約束,缺乏部門之間及流程之間協(xié)調(diào)、溝通的機(jī)制,造成IT系統(tǒng)與業(yè)務(wù)需求的“邏輯錯(cuò)位”,同時(shí)也造成了一個(gè)個(gè)的 信息“孤島”,這是IT治理風(fēng)險(xiǎn)的微觀體現(xiàn)。如何在組織中建立較完善的IT治理機(jī)制,使信息化的決策與實(shí)施成為組織中的一種完善的制度存在,己是擺在我們面前的迫切任務(wù)。
IT可用性風(fēng)險(xiǎn)
而隨著信息化的深入,組織的核心應(yīng)用系統(tǒng)都己構(gòu)架在IT平臺(tái)之上,越來越多的政府、商業(yè)、教育等機(jī)構(gòu)的業(yè)務(wù)正常運(yùn)行離不開IT系統(tǒng)。隨著IT技術(shù)的高速發(fā)展,IT平臺(tái)(如硬件、網(wǎng)絡(luò)、系統(tǒng))的復(fù)雜性越來越高,各種系統(tǒng)漏洞層出不窮,頻繁的停機(jī)事件令用戶窮于應(yīng)付;算是IT技術(shù)系統(tǒng)沒有漏洞,也不等于能提供優(yōu)質(zhì)的IT服務(wù);另一方面,國(guó)內(nèi)許多組織不能建立有效的故障管理、變更管理、配置管理等IT服務(wù)管理流程也是造成IT系統(tǒng)停機(jī)的原因;缺乏必要業(yè)務(wù)連續(xù)性計(jì)劃也是造成IT可用性降低的重要原因。
IT系統(tǒng)的停機(jī)將使組織的業(yè)務(wù)受到巨大損失、造成聲譽(yù)下降、競(jìng)爭(zhēng)優(yōu)勢(shì)喪失。2006年幾起信息安全事件,如:銀聯(lián)計(jì)算機(jī)故障造成不能跨行取款,首都機(jī)場(chǎng)離港系統(tǒng)故障造成大量旅客滯留機(jī)場(chǎng),5月份開始的A股交易量連續(xù)井噴造成多家證券公司出現(xiàn)“堵單”等事件,生動(dòng)地告誡我們,由于脆弱的基礎(chǔ)設(shè)施和IT管理流程,使得這種不斷增強(qiáng)的對(duì)IT的依賴性是潛在的風(fēng)險(xiǎn)。
信息安全風(fēng)險(xiǎn)
在信息化的整合見效期,對(duì)組織而言信息比以往具有更高的價(jià)值,而信息固有的弱點(diǎn)決定其易傳播、易毀損、易偽造;ヂ(lián)網(wǎng)給我們帶來便利的同時(shí),網(wǎng)上行動(dòng)的遠(yuǎn)程化以及互聯(lián)網(wǎng)“無政府狀態(tài)”,使得信息安全面臨嚴(yán)峻的挑戰(zhàn),即使是一個(gè)中學(xué)生,通過黑客網(wǎng)站的簡(jiǎn)單培訓(xùn),也能發(fā)起具有危害性的攻擊。目前互聯(lián)網(wǎng)上黑客網(wǎng)站已超過3萬個(gè),一些有影響力的黑客網(wǎng)站的會(huì)員超過萬人。黑客攻擊網(wǎng)站的行動(dòng)此起彼伏,造成許多商業(yè)網(wǎng)站、政府網(wǎng)站被入侵,大量網(wǎng)銀用戶網(wǎng)上銀行存款被盜,許多敏感機(jī)密信息被泄露。
據(jù)統(tǒng)計(jì)去年產(chǎn)生的電腦病毒和木馬的數(shù)量達(dá)到23萬個(gè),其中90%以上帶有明顯的利益特征,有竊取個(gè)人資料、各種賬號(hào)密碼等行為,嚴(yán)重威脅著互聯(lián)網(wǎng)的安全。第一毒王“熊貓燒香”病毒己造成超過一千萬的個(gè)人及企業(yè)用戶中毒,直接及間接經(jīng)濟(jì)損失高達(dá)億元以上。
IT績(jī)效風(fēng)險(xiǎn)
國(guó)內(nèi)在信息與信息系統(tǒng)上的投資規(guī)模與成本都在不斷擴(kuò)大,高投入帶來了高風(fēng)險(xiǎn)。根據(jù)商務(wù)部研究院信息咨詢中心提供的數(shù)據(jù),2005年我國(guó)在信息化改造提升方面的投入達(dá)到了2829億,2006年是3227億元,預(yù)計(jì)2007年將達(dá)到4236億元。從2005到2007年中國(guó)行業(yè)信息化投入的增加額將達(dá)到 1300億以上,未來幾年行業(yè)信息化IT投入將進(jìn)入了高增長(zhǎng)期。如果IT投資行為如果不能帶來合理的回報(bào),將使組織面臨巨大風(fēng)險(xiǎn)。這幾年國(guó)內(nèi)信息化失敗的案例比比皆是,如果規(guī)劃不當(dāng)、控制不嚴(yán),IT系統(tǒng)不能帶來預(yù)期的業(yè)務(wù)價(jià)值,那么,巨額的信息化投入很可能造成新一輪的“投資黑洞”
IT績(jī)效風(fēng)險(xiǎn)另一表現(xiàn)是對(duì)IT的投資績(jī)效和運(yùn)行績(jī)效不能進(jìn)行有效測(cè)量。不能測(cè)量意味著無法了解當(dāng)前IT系統(tǒng)的“健康狀況”,不能有效地發(fā)現(xiàn)存在的問題,并采取有針對(duì)性的改進(jìn)措施。
合規(guī)性風(fēng)險(xiǎn)
由于IT在社會(huì)和經(jīng)濟(jì)生活越來越充當(dāng)重要角色,國(guó)內(nèi)外近年來出臺(tái)了許多法律法規(guī)加強(qiáng)對(duì)IT的監(jiān)管。
例如,2002年美國(guó)國(guó)會(huì)發(fā)布了《薩班斯—奧克斯利法案》,在這個(gè)法案中明確提出了所有上市公司都必須加強(qiáng)風(fēng)險(xiǎn)管理,建立有效的內(nèi)部控制框架,以確保上市公司遵守證券法律以提高公司披露的準(zhǔn)確性和可靠性,從而保護(hù)投資者及其他目的。在美國(guó)上市的公眾公司需要投入大量的人力、物力和財(cái)力來建立內(nèi)部控制,中國(guó)在美國(guó)上市的中石化、中國(guó)人壽、新浪、亞信等企業(yè)也為此付出了巨大的努力。據(jù)美國(guó)Financial Executive International組織對(duì)321個(gè)公司的調(diào)查顯示,在一個(gè)規(guī)模比較大、年?duì)I業(yè)收入超過50億美元的公司,建立此體系至少需要470萬美元,維系其運(yùn)轉(zhuǎn)需要每年150萬美元。