那么如何整體的去控制IT的風險呢？我這里畫了一個圖：


    在這里我們要引進一些國際上最標準的一些實踐，比如信息安全管理，把安全變成一個標準，按照標準去做，我們現(xiàn)在講安全就是防火墻，可能你想不全，國際上 現(xiàn)在有一個標準他想的就很全面，他從方面考慮安全，按照這個去做，不會有很大的偏差；IT服務管理，比如IT流程如何去規(guī)劃，也可以有一個國際的標準 ITIL，或者行業(yè)更佳的實踐，把運維如何組織好，把服務遞交出去，達到這個要求，還有別的項目管理控制等等。都可以在不同的階段你把它引入進來，最后我 們應該形成一個PDCA，報謂PDCA就是檢查控制，技術審計。這樣的一個框架可能是控制風險高度性的，有一定基礎的，這么一個框架。而且這個框架我們正 在實踐當中。

做的時候也未必是從頭來，可能就是從哪先下手，比如先從安全下手，運維然后不斷的與其領導溝通，IT搞好，你現(xiàn)在的治理結構不合理呀，因為這事情不是一 件容易的事，讓領導去接納，然后成立這樣的一個組織，把這樣的功能賦予IT，不是一件容易的事。要慢慢的去做，這里面可以分步的去做。因為時間的原因不具 體的太多的說它了。
    最后，我在總結一下，治理就是制度的安排，制度要解決的問題是對什么東西進行決策，IT的原則構架、基礎設 施、業(yè)務需求、IT投資等，這些事到底誰來管，以前講人治，人治就是領導來辦，或者技術人員說的算，實際上都不對。一種好的治理不同的方面有不同的模式， 有的技術人員一起談，有的可能就說算了，領導要說了這個事情要研究，我們要把這些流程通過最佳實踐把它管理起來，現(xiàn)在信息管理好的比如就是IT服務管理 ITIL，我們要把好的國際上的最佳實踐把它引用過來，到我們IT風險控制里來，在加上一些比如企業(yè)數(shù)據(jù)化操作，業(yè)務連續(xù)性，IT項目管理等等。
    一般來講企來要把IT風險控制框架建好，治理機制完善起來，是需要分步去走的。第一步就是分步規(guī)劃架構設計，即使以前沒做過這事，回過頭來做也不晚，通 過業(yè)務建模和IT架構規(guī)劃設計等把其功能完善，第二步完IT治理，達到初步的控制，第三要進行量化管理，要做到精細控制，要分幾年去實施的。企業(yè)信息化一 定要建立游戲規(guī)劃，信息系統(tǒng)與業(yè)務之間脫節(jié)，要建立一個技術委員會，由最高領導參預來進行討論的，?最后確保IT的出發(fā)點和歸宿，IT不是玩的一定要為企 業(yè)創(chuàng)造價值，出發(fā)點歸宿一定是這一點。?
    實際上這個框架就是一個COSO的控制框架，我們今天不詳細講。這個框架有很多的IT的東 西。IT風險管理框架的目標就是完善IT風險控制體系，降低IT成本，實現(xiàn)IT與企業(yè)戰(zhàn)略、管理、業(yè)務、安全的深度融合，使IT為企業(yè)持續(xù)地創(chuàng)造價值，有 效率并有效果地進行信息化。IT風險管理框架的原則就是建立IT治理機制，使IT治理成為公司治理的一部分，在組織的最高決策層上對信息化的進行監(jiān)管與制衡。
    這些東西做好要把他變成一個風險管理體系，IT人員一般講什么設備，這樣是不對的，我們發(fā)現(xiàn)很多事要做好呀還是要回到管理上 來，用管理理念來梳理這些好的理念，如PDCA，做什么事要先有計劃，計劃好了去做，做完檢查，檢查完要更改，實際上一個循環(huán)，首先要把IT治理和風險的 框架搭建起來，首先要完善IT治理的結構，就是在戰(zhàn)略方面IT的事不要IT部門自己說了算，一定要放到公司的層面上來，老板呀?jīng)Q策人等都要來參與，IT做 好你也不能脫離業(yè)務，脫離業(yè)務是兩回事，那也做不好，所以業(yè)務上管理上要梳理，比如你對業(yè)務需求的識別，業(yè)務需求要敏銳，不要關在家里閉門造車，否則你的 IT又是兩層皮。
    還有就是業(yè)務的建模和數(shù)據(jù)的標準化，制定好了一定要把數(shù)數(shù)據(jù)化，模型化標準化，這個與IT建設還無有什么關系， 是技術性的工作，在技術上在做一套IT的規(guī)劃，規(guī)劃的基礎上我們要樹立一些我們的業(yè)務流程，IT的流程，我們可以把每個流程都樹立的清清楚楚，他到底應該 怎么樣，比如做IT戰(zhàn)略規(guī)劃到底有幾個步奏呀，應該怎么去做呀，建立這樣的一個框架出來，這樣不會有大大偏差。

    項目經(jīng)理勝任力免費測評PMQ上線啦！快來測測你排多少名吧~

    http://opto-elec.com.cn/pmqhd/index.html