四、適用的IT風(fēng)險(xiǎn)管理框架

我們結(jié)合以上內(nèi)容，進(jìn)行合理擴(kuò)充并增加控制的粒度，提出了一套適應(yīng)我國(guó)IT風(fēng)險(xiǎn)實(shí)際情況的控制框架。

建立信息化的“游戲規(guī)則”

建造一個(gè)信息系統(tǒng)是容易的，讓這個(gè)系統(tǒng)正常地運(yùn)轉(zhuǎn)起來(lái)并能實(shí)現(xiàn)業(yè)務(wù)價(jià)值，則是現(xiàn)實(shí)的難題。雖然采用先進(jìn)的IT技術(shù)與產(chǎn)品、的管理方法在一定的程度上能降低IT風(fēng)險(xiǎn)，但并不十分保險(xiǎn)，只有通過(guò)為IT引入一定的結(jié)構(gòu)、規(guī)則與標(biāo)準(zhǔn)，使IT在“他律”(IT治理)的基礎(chǔ)上進(jìn)行“自律”(IT管理)，才能使得IT風(fēng)險(xiǎn)在一定的框架內(nèi)上下左右浮動(dòng)，不超過(guò)企業(yè)計(jì)劃中的風(fēng)險(xiǎn)范圍。

這個(gè)框架是IT風(fēng)險(xiǎn)管理框架，也可以稱為IT的“游戲規(guī)則”，忽略了規(guī)則的建立是國(guó)內(nèi)信息化成功率低的根源，我們應(yīng)當(dāng)把建立信息化的“游戲規(guī)則”看成是信息化的重要內(nèi)容之一。

IT風(fēng)險(xiǎn)管理框架的目標(biāo)

完善IT風(fēng)險(xiǎn)控制體系，降低IT成本，實(shí)現(xiàn)IT與企業(yè)戰(zhàn)略、管理、業(yè)務(wù)、安全的深度融合，使IT為企業(yè)持續(xù)地創(chuàng)造價(jià)值，有效率并有效果地進(jìn)行信息化。

IT風(fēng)險(xiǎn)管理框架的原則

建立IT治理機(jī)制，使IT治理成為公司治理的一部分，在組織的高決策層上對(duì)信息化的進(jìn)行監(jiān)管與制衡;

對(duì)IT進(jìn)行規(guī)劃，確保IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致，信息化一定要為業(yè)務(wù)所想、為業(yè)務(wù)所用，IT與業(yè)務(wù)的分離是信息化面臨的大風(fēng)險(xiǎn)。在總體規(guī)劃指導(dǎo)下進(jìn)行應(yīng)用、數(shù)據(jù)和技術(shù)方面的架構(gòu)設(shè)計(jì)，以獲得標(biāo)準(zhǔn)化的技術(shù)規(guī)范與指南。

在技術(shù)與管理上保證和各種異構(gòu)IT資源能在統(tǒng)一的架構(gòu)環(huán)境下，實(shí)現(xiàn)協(xié)同工作、無(wú)縫地進(jìn)行數(shù)據(jù)交換。

采用國(guó)際上得到普遍認(rèn)可的IT控制標(biāo)準(zhǔn)(例如：COBIT、ITIL、ISO27001)及行業(yè)佳實(shí)踐，為信息化管理提供規(guī)范和標(biāo)準(zhǔn);

識(shí)別組織中的重要IT過(guò)程，確定其目標(biāo)、功能與職責(zé)。梳理出縱向上的技術(shù)管理過(guò)程和橫向上的客戶服務(wù)過(guò)程，推行過(guò)程管理的思想;

持續(xù)地評(píng)估IT績(jī)效，可以從整體信息化績(jī)效、IT項(xiàng)目績(jī)效及IT人員績(jī)效等多個(gè)方面進(jìn)行評(píng)估，以了解當(dāng)前IT狀況，為及進(jìn)的調(diào)整與改進(jìn)提供依據(jù);

通過(guò)PDCD的過(guò)程，即計(jì)劃、實(shí)施、調(diào)整、改進(jìn)的循環(huán)，使信息化保持在可持續(xù)發(fā)展的軌道上，階段性地進(jìn)行信息系統(tǒng)審計(jì)，以發(fā)現(xiàn)存在的偏離，及時(shí)調(diào)整到信息化的終目標(biāo)上來(lái)。

IT風(fēng)險(xiǎn)管理框架的內(nèi)容

根據(jù)IT風(fēng)險(xiǎn)管理的目標(biāo)和原則，我們給出IT風(fēng)險(xiǎn)管理框架的一種具體實(shí)現(xiàn)，其步驟如圖所示：