正如信息系統(tǒng)具有潛在的投資回報一樣,信息系統(tǒng)同樣具有潛在的風(fēng)險�����。IT與業(yè)務(wù)的融合��,在帶來企業(yè)效率提升和持續(xù)競爭力的同時�,也加劇了業(yè)務(wù)可能面臨的風(fēng)險。信息系統(tǒng)任何細(xì)微的變故����,都有可能導(dǎo)致業(yè)務(wù)流程完全失效。正因為如此�,IT風(fēng)險管理受到了越來越多企業(yè)高管層特別是CIO的關(guān)注。一定程度上����,CIO所面對的管理,更多的是對各種“可能性和不確定性”即“風(fēng)險”的管理���。
然而�����,IT風(fēng)險及IT風(fēng)險管理�����,一直是一個頗有爭議的概念����。由于對風(fēng)險的理解和認(rèn)識程度不同,或?qū)︼L(fēng)險的研究的角度不同��,其定義還存在很多爭議�。
國際內(nèi)部審計協(xié)會(IIA)對風(fēng)險定義為:“可能對目標(biāo)的實現(xiàn)產(chǎn)生影響的事件發(fā)生的不確定性?!辈⒅赋鲲L(fēng)險的衡量標(biāo)準(zhǔn)是后果與可能性。而國際標(biāo)準(zhǔn)化組織ISO/IEC“Guide73:2002”中關(guān)于風(fēng)險的定義為:“事件發(fā)生的可能性及其后果的結(jié)合”�。COSO發(fā)布的《企業(yè)風(fēng)險管理-整合框架》中則將風(fēng)險定義為:“一個事項將會發(fā)生并給目標(biāo)實現(xiàn)帶來負(fù)面影響的可能性?����!?/P>
對于IT風(fēng)險的認(rèn)識���,同樣存在著不同的觀點����。2006年1月出版的《IT風(fēng)險——基于IT治理的風(fēng)險管理之道》一書中認(rèn)為,所謂IT風(fēng)險就是指對業(yè)務(wù)造成負(fù)面影響的信息技術(shù)失效��。2006年9月��,中國銀監(jiān)會頒布的《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險管理指引》中����,信息系統(tǒng)風(fēng)險是指:“信息系統(tǒng)在規(guī)劃��、研發(fā)����、建設(shè)、運行�、維護(hù)、監(jiān)控及退出過程中����,由于技術(shù)和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險”���。2007年2月賽門鐵克公司發(fā)布的《IT風(fēng)險管理報告》中認(rèn)為����,IT風(fēng)險包括安全性、可用性�、能力和合規(guī)性四個方面。
正因為這些爭議的存在�,目前各家企業(yè)對IT風(fēng)險管理方面的理解和做法也存在著差異。這些差異�����,往往讓很多希望加強(qiáng)IT風(fēng)險管理的企業(yè)和CIO們束手無措�。為此,某雜志邀請到了民生證券股份有限公司信息技術(shù)總監(jiān)景忠�、中國海洋石油總公司審計監(jiān)察部IT審計經(jīng)理王宇文、ITGov信息系統(tǒng)審計專家王東紅���,圍繞IT風(fēng)險管理的相關(guān)話題��,展開了討論��。
對于IT風(fēng)險的概念特別是IT風(fēng)險涵蓋的范圍���,現(xiàn)在仍然存在爭議,各位是怎么理解IT風(fēng)險管理的?景忠:對于證券行業(yè)來講,IT系統(tǒng)的風(fēng)險管理幾乎是天天都在抓���。從我們的角度來講����,IT風(fēng)險主要包括系統(tǒng)的風(fēng)險����、人員的風(fēng)險和IT投入的風(fēng)險等方面���。
系統(tǒng)的風(fēng)險主要是軟件���、硬件和網(wǎng)絡(luò)等設(shè)備的潛在風(fēng)險,這與傳統(tǒng)的信息安全有很多類似的地方�����。人員的風(fēng)險則是指內(nèi)部人員作弊或者疏忽造成的風(fēng)險��,和關(guān)鍵崗位人員流失帶來的風(fēng)險等所有與人為因素有關(guān)的潛在風(fēng)險�����。IT投入的風(fēng)險也非常容易理解���,既然是投入就一定要有產(chǎn)出�����,不管這種產(chǎn)出是顯性還是隱性的��,但是�����,也并不是所有的IT投入都能看到產(chǎn)出����,甚至很多企業(yè)IT項目以失敗告終的案例也時有發(fā)生。王宇文:IT的作用就是支撐企業(yè)的業(yè)務(wù)運作和運營管理�����,因此����,IT風(fēng)險實際上就是業(yè)務(wù)的風(fēng)險,拋開業(yè)務(wù)單純講IT風(fēng)險是沒有意義的����。從審計部門角度來看����,之所以關(guān)注IT風(fēng)險�����,就是要看一旦這些系統(tǒng)出問題���,會對業(yè)務(wù)造成什么樣的影響���。
國資委出臺的《中央企業(yè)全面風(fēng)險管理指引》中將風(fēng)險定義為:未來的不確定性對企業(yè)實現(xiàn)其經(jīng)營目標(biāo)的影響�,一般可分為戰(zhàn)略風(fēng)險、財務(wù)風(fēng)險�、市場風(fēng)險、運營風(fēng)險��、法律風(fēng)險等����,并將風(fēng)險分為純粹風(fēng)險和機(jī)會風(fēng)險。因此�,我們認(rèn)為IT風(fēng)險主要是IT系統(tǒng)有可能對業(yè)務(wù)和經(jīng)營目標(biāo)造成的潛在風(fēng)險。IT是屬于橫向業(yè)務(wù)支持領(lǐng)域,IT風(fēng)險會體現(xiàn)在所有業(yè)務(wù)風(fēng)險中���。由于IT有其特殊的技術(shù)內(nèi)涵和特點�,往往在實際操作時IT風(fēng)險管理相對來說比較獨立����。
王東紅:前面兩位更多的是從實踐工作中,對IT風(fēng)險管理的理解和認(rèn)識來談的��,我主要從理論的角度談?wù)?/P>