四、適用的IT風險管理框架
我們結(jié)合以上內(nèi)容,進行合理擴充并增加控制的粒度,提出了一套適應我國IT風險實際情況的控制框架。
建立信息化的“游戲規(guī)則”
建造一個信息系統(tǒng)是容易的,讓這個系統(tǒng)正常地運轉(zhuǎn)起來并能實現(xiàn)業(yè)務價值,則是現(xiàn)實的難題。雖然采用先進的IT技術(shù)與產(chǎn)品、的管理方法在一定的程度上能降低IT風險,但并不十分保險,只有通過為IT引入一定的結(jié)構(gòu)、規(guī)則與標準,使IT在“他律”(IT治理)的基礎上進行“自律”(IT管理),才能使得IT風險在一定的框架內(nèi)上下左右浮動,不超過企業(yè)計劃中的風險范圍。
這個框架是IT風險管理框架,也可以稱為IT的“游戲規(guī)則”,忽略了規(guī)則的建立是國內(nèi)信息化成功率低的根源,我們應當把建立信息化的“游戲規(guī)則”看成是信息化的重要內(nèi)容之一。
IT風險管理框架的目標
完善IT風險控制體系,降低IT成本,實現(xiàn)IT與企業(yè)戰(zhàn)略、管理、業(yè)務、安全的深度融合,使IT為企業(yè)持續(xù)地創(chuàng)造價值,有效率并有效果地進行信息化。
IT風險管理框架的原則
建立IT治理機制,使IT治理成為公司治理的一部分,在組織的高決策層上對信息化的進行監(jiān)管與制衡;
對IT進行規(guī)劃,確保IT戰(zhàn)略與業(yè)務戰(zhàn)略的一致,信息化一定要為業(yè)務所想、為業(yè)務所用,IT與業(yè)務的分離是信息化面臨的大風險。在總體規(guī)劃指導下進行應用、數(shù)據(jù)和技術(shù)方面的架構(gòu)設計,以獲得標準化的技術(shù)規(guī)范與指南。
在技術(shù)與管理上保證和各種異構(gòu)IT資源能在統(tǒng)一的架構(gòu)環(huán)境下,實現(xiàn)協(xié)同工作、無縫地進行數(shù)據(jù)交換。
采用國際上得到普遍認可的IT控制標準(例如:COBIT、ITIL、ISO27001)及行業(yè)佳實踐,為信息化管理提供規(guī)范和標準;
識別組織中的重要IT過程,確定其目標、功能與職責。梳理出縱向上的技術(shù)管理過程和橫向上的客戶服務過程,推行過程管理的思想;
持續(xù)地評估IT績效,可以從整體信息化績效、IT項目績效及IT人員績效等多個方面進行評估,以了解當前IT狀況,為及進的調(diào)整與改進提供依據(jù);
通過PDCD的過程,即計劃、實施、調(diào)整、改進的循環(huán),使信息化保持在可持續(xù)發(fā)展的軌道上,階段性地進行信息系統(tǒng)審計,以發(fā)現(xiàn)存在的偏離,及時調(diào)整到信息化的終目標上來。
IT風險管理框架的內(nèi)容
根據(jù)IT風險管理的目標和原則,我們給出IT風險管理框架的一種具體實現(xiàn),其步驟如圖所示: