四、適用的IT風險管理框架

我們結(jié)合以上內(nèi)容，進行合理擴充并增加控制的粒度，提出了一套適應我國IT風險實際情況的控制框架。

建立信息化的“游戲規(guī)則”

建造一個信息系統(tǒng)是容易的，讓這個系統(tǒng)正常地運轉(zhuǎn)起來并能實現(xiàn)業(yè)務價值，則是現(xiàn)實的難題。雖然采用先進的IT技術(shù)與產(chǎn)品、的管理方法在一定的程度上能降低IT風險，但并不十分保險，只有通過為IT引入一定的結(jié)構(gòu)、規(guī)則與標準，使IT在“他律”(IT治理)的基礎上進行“自律”(IT管理)，才能使得IT風險在一定的框架內(nèi)上下左右浮動，不超過企業(yè)計劃中的風險范圍。

這個框架是IT風險管理框架，也可以稱為IT的“游戲規(guī)則”，忽略了規(guī)則的建立是國內(nèi)信息化成功率低的根源，我們應當把建立信息化的“游戲規(guī)則”看成是信息化的重要內(nèi)容之一。

IT風險管理框架的目標

完善IT風險控制體系，降低IT成本，實現(xiàn)IT與企業(yè)戰(zhàn)略、管理、業(yè)務、安全的深度融合，使IT為企業(yè)持續(xù)地創(chuàng)造價值，有效率并有效果地進行信息化。

IT風險管理框架的原則

建立IT治理機制，使IT治理成為公司治理的一部分，在組織的高決策層上對信息化的進行監(jiān)管與制衡;

對IT進行規(guī)劃，確保IT戰(zhàn)略與業(yè)務戰(zhàn)略的一致，信息化一定要為業(yè)務所想、為業(yè)務所用，IT與業(yè)務的分離是信息化面臨的大風險。在總體規(guī)劃指導下進行應用、數(shù)據(jù)和技術(shù)方面的架構(gòu)設計，以獲得標準化的技術(shù)規(guī)范與指南。

在技術(shù)與管理上保證和各種異構(gòu)IT資源能在統(tǒng)一的架構(gòu)環(huán)境下，實現(xiàn)協(xié)同工作、無縫地進行數(shù)據(jù)交換。

采用國際上得到普遍認可的IT控制標準(例如：COBIT、ITIL、ISO27001)及行業(yè)佳實踐，為信息化管理提供規(guī)范和標準;

識別組織中的重要IT過程，確定其目標、功能與職責。梳理出縱向上的技術(shù)管理過程和橫向上的客戶服務過程，推行過程管理的思想;

持續(xù)地評估IT績效，可以從整體信息化績效、IT項目績效及IT人員績效等多個方面進行評估，以了解當前IT狀況，為及進的調(diào)整與改進提供依據(jù);

通過PDCD的過程，即計劃、實施、調(diào)整、改進的循環(huán)，使信息化保持在可持續(xù)發(fā)展的軌道上，階段性地進行信息系統(tǒng)審計，以發(fā)現(xiàn)存在的偏離，及時調(diào)整到信息化的終目標上來。

IT風險管理框架的內(nèi)容

根據(jù)IT風險管理的目標和原則，我們給出IT風險管理框架的一種具體實現(xiàn)，其步驟如圖所示：