完整考慮企業(yè)IT風險管理的需求及其實現(xiàn)方式���,可以幫助企業(yè)更準確地估計業(yè)務保護的成本,從而確保企業(yè)的投資水平在成本最優(yōu)的前提下滿足風險管理的需要�。
每個企業(yè)在經營中都有可能發(fā)生風險����,如何化解和減少風險是企業(yè)經營者必須研究的�����,因此�,企業(yè)的風險管理非常重要���。隨著企業(yè)對信息技術的依賴性不斷增強��,加強IT風險管理�����,成為越來越多的企業(yè)關注的焦點��。
風險管理不容回避
如今�,企業(yè)面臨的風險的復雜性隨著市場全球化的發(fā)展而日益提高���,推動企業(yè)風險管理的監(jiān)管力度也隨之越來越大�,不少行業(yè)為保護企業(yè)在不穩(wěn)定的商業(yè)環(huán)境中穩(wěn)定運轉而頒布了專門的法規(guī)�����。
由十國主要金融服務相關機構牽頭發(fā)起的《巴塞爾第二號協(xié)定》(Basel Ⅱ Accord)中,不僅對資本風險進行約束����,而且還涉及到經營風險,包括IT系統(tǒng)給公司帶來的風險��。換句話說��,該協(xié)定強制要求采用企業(yè)風險管理體系�����,并關注IT風險管理�����。
信息系統(tǒng)審計和控制協(xié)會(Isaca)也制訂了信息和相關技術控制目標(Cobit)�����,這份文檔同樣概述了怎樣擬訂企業(yè)風險管理框架�����。而頒布這兩項方案的目的都是為了促進風險管理機制在企業(yè)的應用。
此外�,還有著名的《薩班斯-奧克斯利法案》(Sarbanes-Oxley),其404條款規(guī)定:所有在美上市企業(yè)都要建立內部控制體系�����,其中包括控制環(huán)境�、風險評估����、控制活動、信息溝通以及監(jiān)督5個部分����。而且,法案對企業(yè)建立的內部控制活動的記錄作了許多詳細而嚴格的細節(jié)上的規(guī)定����。如此一來���,404條款就成為外國公司邁入美國股市的“高門檻”���。
事實上����,隨著全球化的業(yè)務大集中�����、數(shù)據大集中趨勢�����,IT越來越滲透到企業(yè)運營的每一個方面���、環(huán)節(jié)和流程��。與此同時��,IT也成為企業(yè)業(yè)務運營面臨的主要風險之一����。
企業(yè)中的IT管理者們往往被各種各樣的因素困擾�,譬如由于成本的限制,總是無法圓滿地解決這些問題�。另一些企業(yè)由于業(yè)務模式過于復雜,以至于IT部門雖然感知到風險的存在���,但根本無從知道風險究竟在何處���,何時會爆發(fā)�����,也無法對潛在風險進行評估���。
那么,企業(yè)IT管理者到底應當如何清晰地了解潛在風險����、需求和相應的投資額度����,又如何有效規(guī)避風險呢?
扭轉觀念
任何方面的漏洞與變化都會影響到業(yè)務運營所需要的服務級別�。通過全盤規(guī)劃和考慮,采用整體化的解決方案��,企業(yè)能夠構建可靠的基礎設施����,從而根據業(yè)務發(fā)展情況靈活調整IT的可用性與性能�����。
在進行企業(yè)IT風險管理控制的過程中��,技術固然是一個重要組成部分�,但要取得出色的IT運營效果��,員工技能與最佳實踐同樣缺一不可�。
其中,將業(yè)務連續(xù)性����、可用性與安全性的意識融入到企業(yè)文化和各種運營機制中,使其成為開展與維持業(yè)務運營的必不可少的組成部分����,可能是最艱巨的任務,但一旦實現(xiàn)�����,也就從觀念上和根本上提高了企業(yè)管控風險的能力�����。
正確評估
企業(yè)在構建靈活安全的IT環(huán)境之前,首先要透徹地了解自身的業(yè)務需求�、所面臨的威脅與風險、以及IT系統(tǒng)出現(xiàn)故障對各關鍵業(yè)務流程的影響等各方面因素�。只有正確分析和面對可能存在的各類風險,并正確評估各類風險可能造成的影響��,才能采取正確有效的措施來規(guī)避風險�。
值得一提的是,一直被低估的停機成本事實上高得超乎想像�。Infonetics Research是一家國際市場調研公司,專門從事北美�、歐洲與亞洲地區(qū)的數(shù)據網絡與電信行業(yè)調研工作。
Infonetics近期實施了一項客戶調查項目�����,調查內容是關于網絡中斷及其對于大型企業(yè)的影響�。該調查的研究報告稱�,美國大企業(yè)每年IT停機成本占其收入的3.6%,其中制造企業(yè)的停機成本在收入