1、2009 年版 IT 风险管理研究框架 谷安天下 陈伟 第 1 页 共 5 页 作者简介: 陈伟,前某著名国际咨询公司合伙人,清华大学 EMBA班、北京大学 CIO班特聘教授,在 IT行业服务管理、系统集成、软件开发、信息安全与控制领域有十八年工作经验,著有信息安全管理 全球最佳实务与实施指南、经营分析与信息技术、国际认证信息系统审计师认证指南能,参与翻译索耶内部审计,中国计算机用户 CSO 专栏作假,发表多篇 IT治理论文 。 1 信息化的风险 目前 中国的信息化建设仍然属于 “ 人治时代 ” ,信息化的随意性较大 ,一方面组织缺乏对 信息化 进行整体规划、实施与控制的决策机制 和责任担当框
2、架 , 也没有形成信息化相关的制度 ;另一方面组织在信息化过程中所涉及 IT 规划、实施、运行、检查的一系统 IT 流程,缺乏制度化与标准化的约束,缺乏部门之间及流程之间协调、沟通的机制,造成 IT系统与业务需求的“逻辑错位”。这就导致组织在信息化过程中存在很多风险,诸如技术 标准不兼容 的架构风险,信息化投资无法得到回报的绩效风险,开发的应用系统脆弱的风险或满足不了业务需要的风险等等。因而建立较完善的 IT 治理机制来解决信息化面临的风险,己是迫切地摆在我们面前的任务。 2 风险管理框架 谷安天下通过对企业大量的 信息化 失 败案例和对信息化 建设中深层次机制问题的研究 ,发现信息化也像企业
3、管理一样,需要制度创新,在 信息化 过程中,“ 制度重于一切 ”的定律同样适用。 例如,建造一个信息系统是容易的,让这个系统 正常 地运转起来 并能实现业务价值, 则是现实的难题。 因而我们在规划信息化的时候,除了要关注 IT技术外,还要建立 IT治理机制使企业能达到信息化的目标。而进行 IT风险管理是进行 IT 治理的最有效手段之一。 谷安天下根据组织在信息化中存在的多方面的风险,结合 COSO 风险控制原理,对 IT治理的内容进行合理扩充并增加控制的粒度,提出了一套适应我国 IT风险实际情况的综合性风险管理框架。 IT 风险管理框架的目标 完善 IT 风险控制体系,降低 IT 成本,实现
4、IT 与企业战略、管理、业务、安全的深度融合,使 IT真正满足业务发展的需求,为企业持续创造价值。 第 2 页 共 5 页 IT 风险管理框架的原则 在战略层面, 要综合公司治理结构和企业战略规划来 建立 IT治理机制,使 IT 治理成为公司治理的一部分,在组织最高决策层上对 信息化 进行监管 与 制衡 ,使 沟通与反馈机制持续有效 ; 在战术面上,为保护 IT与业务目标一致,有限利用 IT资源,提高绩效,降低风险与控制成本,需按照国际普遍接受的企业内部控制标准; 对 IT 进行规划,确保 IT战略与业务战略的一致,信息化一定要为业务所想、为业务所用, IT与业务的分离是信息化面临的最大风险;
5、 采用国际上得到普遍认可的 IT控制标准(例如: COBIT、 ITIL、 ISO27001)及行业最佳实践,为 信息化管理 提供 标准 或 规范 ; 识别组织中的重要 IT过程,确定其目标、活动与职责。梳理出纵向的技术管理过程和横向的客户服务过程,推行过程管理的思想; 通过 PDCD 的过程,即计划、实施、调整、改进的循环,使信息化保持在可持续发展的轨道上,阶段性地进行信息系统 审计 和过程目标评估,以发现存在的偏 离并及时调整到 IT治理的目标上来; 持续地评估 IT绩效,可以从整体信息化绩效、 IT项目绩效及 IT人员绩效等多个方面进行评估,以了解当前 IT 状况,为及时的调整与改进提供
6、依据。 IT 风险管理框架的内容 根据 IT风险管理的目标和原则,我们给出 IT风险管理框架的一种具体实现,其步骤如图所示: 第 3 页 共 5 页 3 IT 风险管理框架的建立过程 在组织中建立完整的 IT风险管理框架是一项长期的工作,不可能一蹴而就,应当从基础到高级,从容易到复杂一步步分阶段实现,最终使 IT 成为组织的核心竞争力。 第 4 页 共 5 页 第一阶段: IT 规划与架构设计 目标 :进行信息化基础建设,构筑支撑业务运行的 IT 基础平台,建立完善的技术框架和管理流程。 主要措施 : 业务流程调查,识别主要业务流程,并进行初步建模; 为企业的业务活动建立标准的数据体系,并具有
7、快速识别新的业务需求和进行业务建模的能力; 审视业务战略,建立 IT愿景目标,进行 IT规划与架构设计,建立规范的IT 技术标准与管理标准; 建立项目管理与监理制度,对项目进行绩效分析与控制。 建立内部员工培训制度,实施全员培训。 第二阶段:完善 IT 治理、初步控制 目标: 在总体治理框架的指导下,初步建立 IT 风险控制体系,为业务 系统运行提供较可靠的保障。 主要措施: 建立 IT 治理委员会,完善 IT 决策机制及职责担当框架,确保 IT 战略进入组织的业务战略,使 IT 进入组织最高管理层的日常议题; 划分安全域,识别信息资产,进行风险评估,按照 ISO27001 建立信息安全管理体
8、系,保护组织信息资产的机密性、完整性及可用性; 按照 ITIL 规范建立 IT 服务管理体系,保护组织 IT 服务的可靠交付,提高运行绩效和客户满意度; 按照 CMMI标准的要求,完善组织的软件开发过程,提高软件的质量; 建立业务持续性计划 BCP,保证组织的业务及 IT 在发生较大的灾难时 能保证业务的持续运行。 第三阶段:资源协同、全面控制 目标 :实现有效的资源协同,为业务活动提供可靠的支撑,深化 IT风险控制,实现应用系统与安全系统的全面集成。 主要措施: 建立统一的应用系统平台,实现 IT 资源协同,为己有业务及新业务提供第 5 页 共 5 页 灵活可靠的支撑平台; 建立统一安全保障
9、平台,建立有效的应用控制机制,实现应用系统与安全系统全面集成; 完善 IT 服务管理机制,进一步提高客户对 IT 服务的满意度,对 IT 服务进行量化管理; 梳理各类 IT 流程、建设规范化的 IT 流程控制框架,明确各流程的 KPI、KGI 及 CMM 等级,形成 完备的 IT流程控制体系; 建立信息系统审计制度,从独立、客观的角度保证 IT系统的效率与效果; 对 IT 组织、人员、流程、项目建立较为科学的绩效考核制度。 第四阶段:业务创新、完善控制 目标 : IT 风险控制与企业风险控制高度融合, IT 战略成为企业战略的重要组成部分, IT为企业创造新的竞争机遇。 主要措施 : IT 战略成为组织决策层的重要议题, IT 参与企业流程再造, IT可以为企业创造新的利润增长点; 为整个组织提供高质量的 IT服务,建立全组织的 IT共享服务中心; IT 成为利润中心,对 IT 进行财务核算; IT 控制进一步 完善, IT 风险控制与企业风险控制高度融合,形成良好的信息安全企业文化。 总之,建立 IT风险管理框架是组织控制 IT风险、确保组织实现其业务目标的有效方式,以上所介绍 IT 风险控制过程是谷安天下通过多年的研究及实践总结出来的通用方法论,不同的组织在建立控制的过程中,还要根据自身的实际情况应地制宜,灵活应用。 文档结束
