幾年前�����,風險管理還是一個金融經(jīng)濟學的專用語。但是最近,這一概念卻開始向IT領域滲透���,并且成為CIO們的熱點話題。
對于首席信息官(CIO)來說��,碰到下列情況無疑是一場噩夢:項目做到一半���,負責項目實施的公司倒閉了;電子郵件服務器崩潰而備份工作又數(shù)月沒有進行�����;野蠻施工單位挖斷電纜使整個期貨交易系統(tǒng)癱瘓����。
這些幾乎令CIO心臟驟停的時刻描述出了各類風險導致IT失效時的恐懼。今天����,由于IT深深植根于企業(yè)業(yè)務結構之中,任何重大的IT失效都會造成極其嚴重的影響����。
今年年初��,日本“活力門”(Live Door)事件引發(fā)的交易系統(tǒng)癱瘓就是一個典型例子�����。由于日本檢查機構對日本三大門戶網(wǎng)站之一的“活力門”網(wǎng)站總部及其關聯(lián)公司進行了搜查���,東京證券交易所因“活力門”事件導致交易量大增,超過其電腦系統(tǒng)處理能力極限��,結果該交易所于當?shù)貢r間下午2點40分提前停止交易��,致使投資者蒙受了巨大損失�����。此事件同時也導致了東京證券交易所相關IT負責人的離職���。
在國內(nèi)�,由于IT失敗導致業(yè)務陷入困境的典型案例是哈爾濱醫(yī)藥集團(下稱哈藥集團)的企業(yè)資源計劃(ERP)項目����。由于實施方利瑪公司在項目實施期間的倒閉,造成哈藥集團ERP項目的實施團隊全部離職�。城門失火�����,殃及池魚����,哈藥集團投資巨大的整個項目也被迫終止����,給哈藥集團帶來重大損失。
“IT對于現(xiàn)代企業(yè)的重要性從它高昂的投資�、技術的滲透性,對于它持續(xù)運作的依賴和它癱瘓時我們所遭受的痛苦中可見一斑���。”美國PA咨詢公司的兩位咨詢顧問在他們合著的新作《擊敗IT危機》中寫道��,“IT危機是巨大和普遍的��。它們可能大到使企業(yè)破產(chǎn)���,而大多數(shù)企業(yè)卻沒有系統(tǒng)或全面的方法來加以應對�?��!?
因此��,風險管理——過去一個金融經(jīng)濟學的專用語——開始向IT領域中滲透���,并且成為熱點話題�。
上海期貨交易所技術管理委員會主任李大鵬認為:IT風險管理的內(nèi)涵���,可以分成幾類�。一類是IT項目實施時的風險管理����;一類是系統(tǒng)運行中IT本身失效的風險管理;還有一類是外部的危機導致IT系統(tǒng)失效的風險管理�����。從廣義上來說�����,項目范圍界定極差而且實施欠佳��;第三方服務失?�。粏T工參與IT欺詐��;備份碟盤失竊�����;賣方誤導自己產(chǎn)品的能力��;新規(guī)則導致需要變更主要軟件等等都屬于風險管理的一部分�。
IT風險管理談論趨熱同時說明CIO的責任越來越重大了。太平洋保險集團信息總監(jiān)程明甚至認為��,企業(yè)資產(chǎn)管理都是IT風險管理的重要組成部分��,“企業(yè)資產(chǎn)管理對預測和發(fā)現(xiàn)企業(yè)業(yè)務運營中的潛在風險有著非常關鍵的作用�����?���!?在程明看來�����,這說明了IT風險管理所涉及的內(nèi)容已經(jīng)從最初的IT安全領域,擴展到了企業(yè)業(yè)務安全上�。
雖然“IT風險管理”對于大多數(shù)企業(yè)用戶還相當神秘,但與風險共生卻是廣大CIO共同的心態(tài)�。上海中路集團前IT負責人吳淵學就曾表示:“對于風險,CIO不應寄希望于在短期排除風險���,而是要有長期管理風險的準備����?!庇纱丝磥恚趶碗s的應用環(huán)境中成功規(guī)避各類因素導致的IT風險����,需要的是強大而有效的系統(tǒng)管理理念和手段。
重在事前控制
上海黃金搭檔生物科技有限公司(下稱黃金搭檔)IT項目負責人朱永明講了這樣一個故事�����。
魏文王問名醫(yī)扁鵲說:“你們家兄弟三人�,都精于醫(yī)術,到底哪一位醫(yī)術最好呢�����?”扁鵲回答說:“大哥最好,二哥次之�,我最差。我大哥治病��,是治病于病情發(fā)作之前�����。由于一般人不知道他事先能鏟除病因�����,所以他的名氣無法傳出去�����,只有我們家里的人才知道�。我二哥治病,是治病于病情剛剛發(fā)作之時����。一般人以為他只能治輕微的小病�����,所以他只在我們的村子里才小有名氣。而我扁鵲治病��,是治病于病情嚴重之時�。一般人看見的都是我在經(jīng)脈上穿針管來放血、在皮膚上