在過去十年中�����,IT所帶來(lái)的風(fēng)險(xiǎn)在大多數(shù)公司中已經(jīng)出現(xiàn)了顯著的變化?�,F(xiàn)今����,IT問題所帶來(lái)的潛在風(fēng)險(xiǎn)�,已經(jīng)遠(yuǎn)遠(yuǎn)超出IT投資本身,這種情況幾乎普遍存在����。比如���,很多公司花費(fèi)數(shù)百萬(wàn)美元部署了ERP系統(tǒng),一旦這個(gè)系統(tǒng)停止工作一周���,其帶來(lái)的損失,可能要超過系統(tǒng)部署成本的十倍以上����。
近來(lái),就發(fā)生了與IT問題有關(guān)的兩個(gè)案例:禮來(lái)公司(Eli Lilly)意外泄露了600多名Prozac(一種抗抑郁癥藥物)使用者的姓名和地址����,其帶來(lái)的直接后果是,美國(guó)聯(lián)邦貿(mào)易委員會(huì)(Federal Trade Commission)頒布了一項(xiàng)為期20年的法令����,法令規(guī)定,將對(duì)公司的IT安全每年進(jìn)行審核���。另一個(gè)案例是����,電子游戲廠商瓦爾伏公司(Valve)由于一個(gè)簡(jiǎn)單的安全漏洞而丟失了一種新游戲的源代碼。結(jié)果���,這個(gè)游戲不得不推遲六個(gè)月上市�����,公司花費(fèi)數(shù)月進(jìn)行研發(fā)所帶來(lái)的競(jìng)爭(zhēng)優(yōu)勢(shì)也因此而喪失殆盡�。
當(dāng)你意識(shí)到�,公司丟失一小部分內(nèi)部機(jī)密數(shù)據(jù)可能會(huì)帶來(lái)多大的損失,你就能對(duì)幾乎所有公司都面對(duì)的風(fēng)險(xiǎn)有一個(gè)總體認(rèn)識(shí)��。這也意味著����,CIO們比過去的責(zé)任更大了。企業(yè)期望由CIO們來(lái)應(yīng)對(duì)這些風(fēng)險(xiǎn)���。CIO別無(wú)選擇�。對(duì)新型CIO而言���,風(fēng)險(xiǎn)管理已經(jīng)成為他們工作中不可或缺的一部分�����。(見邊欄《新型CIO》)�����。顧能公司(Gartner)日前對(duì)上百名CIO進(jìn)行了年度調(diào)查�,CIO們?cè)谡{(diào)查中提出了四種他們關(guān)注的風(fēng)險(xiǎn):
● 企業(yè)聯(lián)系:公司與供應(yīng)商、合作伙伴���、消費(fèi)者之間的聯(lián)系愈發(fā)緊密�����,這不僅使企業(yè)對(duì)他們的依賴度越來(lái)越高,而且也帶來(lái)了企業(yè)信息被竊取或?yàn)E用的可能�����。如果企業(yè)的這些關(guān)系管理不善�����,就會(huì)帶來(lái)新的風(fēng)險(xiǎn)��。這種風(fēng)險(xiǎn),傳統(tǒng)的IT觀念并沒有考慮到�����。
● 符合法規(guī)要求:由于管理不善及隨之而生的犯罪行為��,使得許多公司最終經(jīng)營(yíng)失敗���。政府因此出臺(tái)了多項(xiàng)法規(guī)����,希望減少濫用管理權(quán)力的現(xiàn)象���,并對(duì)濫用管理權(quán)力者進(jìn)行懲罰��。但這樣做的同時(shí)����,這也為公司處理和保護(hù)信息帶來(lái)了法律風(fēng)險(xiǎn)�。
● 消費(fèi)者要求保護(hù)隱私:消費(fèi)者關(guān)心隱私,主要是因?yàn)楦`取身份信息和個(gè)人信息的行為不斷增加��,同時(shí)���,也和政府出臺(tái)的多項(xiàng)反恐計(jì)劃有關(guān)���。缺乏隱私保護(hù)��,對(duì)公司而言�,是一種新的消費(fèi)者風(fēng)險(xiǎn)���;同時(shí)���,不能遵守剛出臺(tái)的隱私法,也使公司面臨新的法律風(fēng)險(xiǎn)�。
● IT問題帶來(lái)的損失不斷上升:IT問題不僅會(huì)影響到公司的客戶、客戶的客戶以及供應(yīng)商����,而且也有可能給企業(yè)的商譽(yù)帶來(lái)巨大損害���,并使公司面臨民事和刑事的雙重懲罰。
整體考慮
在IT風(fēng)險(xiǎn)管理上���,CIO們面臨的一個(gè)共同問題是�,IT風(fēng)險(xiǎn)帶來(lái)的威脅、IT風(fēng)險(xiǎn)的影響面�����、IT風(fēng)險(xiǎn)的范圍����,都要大大超過以往。因此�����,很多企業(yè)并沒有很好理解���,應(yīng)該如何去化解這些新的風(fēng)險(xiǎn)和消除這些風(fēng)險(xiǎn)的影響—要么是企業(yè)的CIO不熟悉如何管理業(yè)務(wù)風(fēng)險(xiǎn)�,要么是企業(yè)的管理者對(duì)IT問題所帶來(lái)的風(fēng)險(xiǎn)不重視�����。
我們的研究顯示���,CIO們把IT風(fēng)險(xiǎn)劃分為好幾類��,比如應(yīng)用���、架構(gòu)和供應(yīng)商等����,而沒有把IT風(fēng)險(xiǎn)和業(yè)務(wù)風(fēng)險(xiǎn)作為一個(gè)整體來(lái)考慮�����。由于這種劃分�,使得CIO們也搞不清,究竟有多少IT預(yù)算用在了風(fēng)險(xiǎn)管理上��。在我們的調(diào)查中�����,CIO們估計(jì)他們把IT預(yù)算的6~7%用在風(fēng)險(xiǎn)管理上�。然而,當(dāng)把這些風(fēng)險(xiǎn)管理支出進(jìn)行具體分解后���,實(shí)際的風(fēng)險(xiǎn)管理開支數(shù)據(jù)可能要翻上一番,達(dá)到約15%����。對(duì)IT風(fēng)險(xiǎn)進(jìn)行分類管理的辦法���,在過去可能是有效的,但在IT已經(jīng)深深融入企業(yè)業(yè)務(wù)流程的今天��,就已經(jīng)不再合適�����。
不能把IT風(fēng)險(xiǎn)管理與業(yè)務(wù)風(fēng)險(xiǎn)管理綜合起來(lái)進(jìn)行整體考慮�����,這樣將使企業(yè)陷入愈發(fā)危險(xiǎn)的境地����。因?yàn)閷?duì)這兩種風(fēng)險(xiǎn)的管理相互交叉,其結(jié)果會(huì)影響到整個(gè)公司�����。在安全或者技術(shù)上出現(xiàn)的問題��,很容易就會(huì)從IT問題演變?yōu)檎麄€(gè)公司的問題����,進(jìn)而影響到消費(fèi)者的忠誠(chéng)度�,企業(yè)