综合性的IT风险管理框架

我们根据COSO风险控制原则,对IT控制的内容进行合理扩充饼干增加控制的粒度,提出了一套适应我国IT风险实际情况的综合性风险管理框架。

1.建立信息化的“游戏规则”

对企业大量的信息化失败案例和对信息化建设中深层次机制问题的研究,我们发现信息化也像企业管理一样,需要制度创新,在信息化过程中,“制度重于一切”的定律同样适用。例如,建造一个信息系统是容易的,让这个系统正常地运转起来并能实现业务价值,则是现实难题。虽然采用先进的IT技术与产品、优秀的管理方法在一定的程度上能降低IT风险,但并不十分保险,只有通过为IT引入一定的结构、规则与标准,使IT在“他律”(IT治理)的基础上进行“自律”(IT管理),才能使得IT风险在一定的框架内上下左右浮动,不超过且计划中的风险范围。

通俗的说我们在规划信息化时,除了要关注IT技术外,还要建立能使IT正常运转的制度,或者称为IT治理机制。正如公司需要治理一样,IT也需要进行治理,就是要从制度、标准、规范的角度来重新认识IT问题并完善IT治理机制,这是目前走出IT建设误区的良方。IT治理是国际IT领域中的一个新的概念,用于描述企业或政府是否采用有效的机制,使IT的应用能够完成组织赋予它的使命,同时平衡信息技术与过程的风险,确保实现组织的战略目标。

为完善企业的IT治理,在战略层面上,要综合公司治理结构、企业战略规划,使IT治理作为公司治理的一部分,在治理结构上体现IT的位置与作用,使IT议题要进入董事会(或者是监事会、最高管理当局)下的战略委员会、审计委员会、安全委员会;IT执行与监管要分开,监管机制要独立并持续运行、沟通与反馈机制要持续有效。

在战术面上,为保护IT与业务目标一致,有限利用IT资源,提高绩效,降低风险与控制成本,需按照国际普遍接受的企业内部控制标准建立有效的IT控制框架并监控实施。

这个框架也可成为IT风险管理框架,或称为IT的“游戏规则”,忽略了规则的建立是国内信息化成功率低的根源,我们应当把建立信息化的“游戏规则”看成是信息化的重要内容之一。

2.IT风险管理框架的目标

完善IT风险控制体系,降低IT成本,实现IT与企业战略、管理、业务、安全的深度融合,使IT为企业持续地创造价值,有效率并有效果地进行信息化建设。

3.IT风险管理框架的内容

根据IT风险管理的目标和原则,我们给出IT风险管理框架的一种具体实现,其步骤如下图所示。

4.IT风险管理架构的原则

IT风险管理架构应遵循如下原则:

·在战略层面,建立IT治理机制,使IT治理成为公司治理的一部分,在组织最高决策层上对信息化建设进行监管与制衡 。

·在战术面上,为保护IT业务目标一致,有限利用IT资源,提高绩效,降低风险与控制成本,需按照国际普遍接受的企业内部控制标准。

·采用国际上得到普遍认可的IT控制标准(例如,COBIT、ITIL、ISO27001)及行业最佳实践,为信息化管理提供规范和标准。

·识别组织中的重要IT过程,确定其目标、功能与职责。梳理出纵向上的技术管理过程和横向上的客户服务过程,推行过程管理的思想。

·通过PDCD的过程,即计划、实施、调整、改进循环,使信息化保持在可持续发展的轨道上,阶段性地进行信息系统审计,以发现存在的偏离,及时调整到信息化的最终目标上来。

·持续地评估IT绩效,可以从整体信息化绩效、IT项目绩效及IT人员绩效等多方面进行评估,以了解当前IT状况,为及时的调整与改进提供依据。