科學(xué)合理的IT風(fēng)險(xiǎn)管理體系應(yīng)當(dāng)具有前瞻性的、全局性的控制機(jī)制，能融合防范與應(yīng)對信息安全、IT治理、IT管理、IT服務(wù)、IT應(yīng)用、IT項(xiàng)目、IT基礎(chǔ)設(shè)施、業(yè)務(wù)連續(xù)性、IT外包等方面的風(fēng)險(xiǎn)，并能有效地指導(dǎo)組織控制IT風(fēng)險(xiǎn)，使IT戰(zhàn)略與企業(yè)戰(zhàn)略相融合，促進(jìn)IT為組織持續(xù)地創(chuàng)造價(jià)值，以實(shí)現(xiàn)有效益的信息化。

一、信息化面臨的風(fēng)險(xiǎn)

九十年代以來，信息技術(shù)得到了快速的發(fā)展和廣泛的應(yīng)用，信息化已成為全球經(jīng)濟(jì)社會發(fā)展的顯著特征，并逐步向一場全方位的社會變革演進(jìn)。當(dāng)前，信息技術(shù)己深入到各行各業(yè)，甚至影響并改變著普通百姓的生活方式，信息資源也日益成為重要生產(chǎn)要素、無形資產(chǎn)和社會財(cái)富。

由于國內(nèi)經(jīng)濟(jì)的持續(xù)增長為信息化提供了良好的外部環(huán)境和充足的投入資金，各行各業(yè)的信息化呈現(xiàn)出一派欣欣向榮的景象，我國信息化在推行電子政務(wù)、振興軟件產(chǎn)業(yè)、加強(qiáng)信息安全保障、加強(qiáng)信息資源開發(fā)利用、加快發(fā)展電子商務(wù)等方面取得了可喜的進(jìn)展。同時(shí)，信息化的應(yīng)用也有力地推動(dòng)了中國的經(jīng)濟(jì)持續(xù)增長、產(chǎn)業(yè)的升級、競爭力的提高，信息化與經(jīng)濟(jì)發(fā)展形成了良性循環(huán)。

從二十多年的信息化實(shí)踐來看，目前我國的信息化正處在一個(gè)由初級水平的投入期，向中高級水平的見效期過渡的關(guān)鍵時(shí)期，信息化的重點(diǎn)己從注重對行業(yè)和企業(yè)的覆蓋，注重硬件產(chǎn)品的配備，逐步過渡到強(qiáng)調(diào)整合和開發(fā)利用信息資源，對客戶需求做出快速反應(yīng)，提高應(yīng)用水平和服務(wù)質(zhì)量，使組織的價(jià)值大化。在這一階段信息化的機(jī)會與風(fēng)險(xiǎn)并存，許多以前還沒有涉及的深層次問題都會一一暴露出來，這將考驗(yàn)我們是否已經(jīng)做好必要的思想準(zhǔn)備和采取有效的應(yīng)對措施。

IT治理風(fēng)險(xiǎn)

中國的信息化建設(shè)仍然屬于"人治時(shí)代"，信息化的隨意性較大，企業(yè)還沒有信息化形成相關(guān)的制度，缺少對信息化進(jìn)行整體規(guī)劃、實(shí)施與控制的決策機(jī)制和責(zé)任擔(dān)當(dāng)框架。信息化成功與否往往在很大程度上取決于高管理層對信息化的理解和個(gè)人領(lǐng)導(dǎo)力大小的影響，這種不確定性增加了組織的信息化風(fēng)險(xiǎn)，這是IT治理風(fēng)險(xiǎn)的宏觀體現(xiàn)。

組織在信息化過程中所涉及IT規(guī)劃、實(shí)施、運(yùn)行、檢查等一系統(tǒng)IT流程，缺乏制度化與標(biāo)準(zhǔn)化的約束，缺乏部門之間及流程之間協(xié)調(diào)、溝通的機(jī)制，造成IT系統(tǒng)與業(yè)務(wù)需求的“邏輯錯(cuò)位”，同時(shí)也造成了一個(gè)個(gè)的 信息“孤島”，這是IT治理風(fēng)險(xiǎn)的微觀體現(xiàn)。如何在組織中建立較完善的IT治理機(jī)制，使信息化的決策與實(shí)施成為組織中的一種完善的制度存在，己是擺在我們面前的迫切任務(wù)。

IT可用性風(fēng)險(xiǎn)

而隨著信息化的深入，組織的核心應(yīng)用系統(tǒng)都己構(gòu)架在IT平臺之上，越來越多的政府、商業(yè)、教育等機(jī)構(gòu)的業(yè)務(wù)正常運(yùn)行離不開IT系統(tǒng)。隨著IT技術(shù)的高速發(fā)展，IT平臺(如硬件、網(wǎng)絡(luò)、系統(tǒng))的復(fù)雜性越來越高，各種系統(tǒng)漏洞層出不窮，頻繁的停機(jī)事件令用戶窮于應(yīng)付;算是IT技術(shù)系統(tǒng)沒有漏洞，也不等于能提供優(yōu)質(zhì)的IT服務(wù);另一方面，國內(nèi)許多組織不能建立有效的故障管理、變更管理、配置管理等IT服務(wù)管理流程也是造成IT系統(tǒng)停機(jī)的原因;缺乏必要業(yè)務(wù)連續(xù)性計(jì)劃也是造成IT可用性降低的重要原因。

IT系統(tǒng)的停機(jī)將使組織的業(yè)務(wù)受到巨大損失、造成聲譽(yù)下降、競爭優(yōu)勢喪失。2006年幾起信息安全事件，如：銀聯(lián)計(jì)算機(jī)故障造成不能跨行取款，首都機(jī)場離港系統(tǒng)故障造成大量旅客滯留機(jī)場，5月份開始的A股交易量連續(xù)井噴造成多家證券公司出現(xiàn)“堵單”等事件，生動(dòng)地告誡我們，由于脆弱的基礎(chǔ)設(shè)施和IT管理流程，使得這種不斷增強(qiáng)的對IT的依賴性是潛在的風(fēng)險(xiǎn)。

信息安全風(fēng)險(xiǎn)

在信息化的整合見效期，對組織而言信息比以往具有更高的價(jià)值，而信息固有的弱點(diǎn)決定其易傳播、易毀損、易偽造�；ヂ�(lián)網(wǎng)給我們帶來便利的同時(shí)，網(wǎng)上行動(dòng)的遠(yuǎn)程化以及互聯(lián)網(wǎng)“無政府狀態(tài)”，使得信息安全面臨嚴(yán)峻的挑戰(zhàn)，即使是一個(gè)中學(xué)生，通過黑客網(wǎng)站的簡單培訓(xùn)，也能發(fā)起具有危害性的攻擊。目前互聯(lián)網(wǎng)上黑客網(wǎng)站已超過3萬個(gè)，一些有影響力的黑客網(wǎng)站的會員超過萬人。黑客攻擊網(wǎng)站的行動(dòng)此起彼伏，造成許多商業(yè)網(wǎng)站、政府網(wǎng)站被入侵，大量網(wǎng)銀用戶網(wǎng)上銀行存款被盜，許多敏感機(jī)密信息被泄露。

據(jù)統(tǒng)計(jì)去年產(chǎn)生的電腦病毒和木馬的數(shù)量達(dá)到23萬個(gè)，其中90%以上帶有明顯的利益特征，有竊取個(gè)人資料、各種賬號密碼等行為，嚴(yán)重威脅著互聯(lián)網(wǎng)的安全。第一毒王“熊貓燒香”病毒己造成超過一千萬的個(gè)人及企業(yè)用戶中毒，直接及間接經(jīng)濟(jì)損失高達(dá)億元以上。

IT績效風(fēng)險(xiǎn)

國內(nèi)在信息與信息系統(tǒng)上的投資規(guī)模與成本都在不斷擴(kuò)大，高投入帶來了高風(fēng)險(xiǎn)。根據(jù)商務(wù)部研究院信息咨詢中心提供的數(shù)據(jù)，2005年我國在信息化改造提升方面的投入達(dá)到了2829億，2006年是3227億元，預(yù)計(jì)2007年將達(dá)到4236億元。從2005到2007年中國行業(yè)信息化投入的增加額將達(dá)到 1300億以上，未來幾年行業(yè)信息化IT投入將進(jìn)入了高增長期。如果IT投資行為如果不能帶來合理的回報(bào)，將使組織面臨巨大風(fēng)險(xiǎn)。這幾年國內(nèi)信息化失敗的案例比比皆是，如果規(guī)劃不當(dāng)、控制不嚴(yán)，IT系統(tǒng)不能帶來預(yù)期的業(yè)務(wù)價(jià)值，那么，巨額的信息化投入很可能造成新一輪的“投資黑洞”

IT績效風(fēng)險(xiǎn)另一表現(xiàn)是對IT的投資績效和運(yùn)行績效不能進(jìn)行有效測量。不能測量意味著無法了解當(dāng)前IT系統(tǒng)的“健康狀況”，不能有效地發(fā)現(xiàn)存在的問題，并采取有針對性的改進(jìn)措施。

合規(guī)性風(fēng)險(xiǎn)

由于IT在社會和經(jīng)濟(jì)生活越來越充當(dāng)重要角色，國內(nèi)外近年來出臺了許多法律法規(guī)加強(qiáng)對IT的監(jiān)管。

例如，2002年美國國會發(fā)布了《薩班斯—奧克斯利法案》，在這個(gè)法案中明確提出了所有上市公司都必須加強(qiáng)風(fēng)險(xiǎn)管理，建立有效的內(nèi)部控制框架，以確保上市公司遵守證券法律以提高公司披露的準(zhǔn)確性和可靠性，從而保護(hù)投資者及其他目的。在美國上市的公眾公司需要投入大量的人力、物力和財(cái)力來建立內(nèi)部控制，中國在美國上市的中石化、中國人壽、新浪、亞信等企業(yè)也為此付出了巨大的努力。據(jù)美國Financial Executive International組織對321個(gè)公司的調(diào)查顯示，在一個(gè)規(guī)模比較大、年?duì)I業(yè)收入超過50億美元的公司，建立此體系至少需要470萬美元，維系其運(yùn)轉(zhuǎn)需要每年150萬美元。