進(jìn)行合理擴(kuò)充并增加控制的粒度,提出了一套適應(yīng)我國IT風(fēng)險實(shí)際情況的控制框架。
建立信息化的“游戲規(guī)則”
建造一個信息系統(tǒng)是容易的�,讓這個系統(tǒng)正常地運(yùn)轉(zhuǎn)起來并能實(shí)現(xiàn)業(yè)務(wù)價值,則是現(xiàn)實(shí)的難題���。雖然采用先進(jìn)的IT技術(shù)與產(chǎn)品、優(yōu)秀的管理方法在一定的程度上能降低IT風(fēng)險���,但并不十分保險�,只有通過為IT引入一定的結(jié)構(gòu)、規(guī)則與標(biāo)準(zhǔn)�����,使IT在“他律”(IT治理)的基礎(chǔ)上進(jìn)行“自律”(IT管理)���,才能使得IT風(fēng)險在一定的框架內(nèi)上下左右浮動���,不超過企業(yè)計(jì)劃中的風(fēng)險范圍。
這個框架就是IT風(fēng)險管理框架�,也可以稱為IT的“游戲規(guī)則”,忽略了規(guī)則的建立是國內(nèi)信息化成功率低的根源�,我們應(yīng)當(dāng)把建立信息化的“游戲規(guī)則”看成是信息化的重要內(nèi)容之一。
IT風(fēng)險管理框架的目標(biāo)
完善IT風(fēng)險控制體系�,降低IT成本,實(shí)現(xiàn)IT與企業(yè)戰(zhàn)略�、管理、業(yè)務(wù)����、安全的深度融合,使IT為企業(yè)持續(xù)地創(chuàng)造價值�,有效率并有效果地進(jìn)行信息化�����。
IT風(fēng)險管理框架的原則
建立IT治理機(jī)制���,使IT治理成為公司治理的一部分,在組織的最高決策層上對信息化的進(jìn)行監(jiān)管與制衡;
對IT進(jìn)行規(guī)劃����,確保IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致,信息化一定要為業(yè)務(wù)所想�����、為業(yè)務(wù)所用�,IT與業(yè)務(wù)的分離是信息化面臨的最大風(fēng)險。在總體規(guī)劃指導(dǎo)下進(jìn)行應(yīng)用��、數(shù)據(jù)和技術(shù)方面的架構(gòu)設(shè)計(jì)�����,以獲得標(biāo)準(zhǔn)化的技術(shù)規(guī)范與指南���。
在技術(shù)與管理上保證和各種異構(gòu)IT資源能在統(tǒng)一的架構(gòu)環(huán)境下����,實(shí)現(xiàn)協(xié)同工作�、無縫地進(jìn)行數(shù)據(jù)交換。
采用國際上得到普遍認(rèn)可的IT控制標(biāo)準(zhǔn)(例如:COBIT��、ITIL��、ISO27001)及行業(yè)最佳實(shí)踐���,為信息化管理提供規(guī)范和標(biāo)準(zhǔn);
識別組織中的重要IT過程�����,確定其目標(biāo)�����、功能與職責(zé)�。梳理出縱向上的技術(shù)管理過程和橫向上的客戶服務(wù)過程��,推行過程管理的思想;
持續(xù)地評估IT績效����,可以從整體信息化績效�����、IT項(xiàng)目績效及IT人員績效等多個方面進(jìn)行評估����,以了解當(dāng)前IT狀況��,為及進(jìn)的調(diào)整與改進(jìn)提供依據(jù);
通過PDCD的過程�����,即計(jì)劃��、實(shí)施��、調(diào)整��、改進(jìn)的循環(huán)���,使信息化保持在可持續(xù)發(fā)展的軌道上���,階段性地進(jìn)行信息系統(tǒng)審計(jì),以發(fā)現(xiàn)存在的偏離,及時調(diào)整到信息化的最終目標(biāo)上來��。
IT風(fēng)險管理框架的內(nèi)容
根據(jù)IT風(fēng)險管理的目標(biāo)和原則�����,我們給出IT風(fēng)險管理框架的一種具體實(shí)現(xiàn)�,其步驟如圖所示:
IT風(fēng)險管理框架各環(huán)節(jié)描述如下:
完善IT治理結(jié)構(gòu)
從宏觀上來說�,IT治理要綜合公司治理結(jié)構(gòu)、企業(yè)戰(zhàn)略規(guī)劃����,使IT治理作為公司治理的一部分,也就是要確定IT原則�����、IT架構(gòu)�����、基礎(chǔ)設(shè)施�����、應(yīng)用設(shè)施和投資優(yōu)先順序的決策權(quán)歸屬和職責(zé)分工。通過建立IT委員會的方式來建立良好的治理結(jié)構(gòu)���,通過對權(quán)力的監(jiān)督與平衡�����,就可把IT戰(zhàn)略風(fēng)險與管理風(fēng)險控制在一定范圍內(nèi)��,那么無論由誰來領(lǐng)導(dǎo)�����,IT的建設(shè)就不會大起大落�����。
從微觀上來說��,為保護(hù)IT與業(yè)務(wù)目標(biāo)一致�,有限利用IT資源��,提高績效�,降低風(fēng)險與控制成本,需按照國際普遍接受的企業(yè)內(nèi)部控制標(biāo)準(zhǔn)COBIT��,在IT的計(jì)劃與組織、獲得與實(shí)施����、交付與支持、監(jiān)控四個領(lǐng)域建立IT控制過程�����,有效地控制IT建設(shè)的整個生命周期的風(fēng)險����。
業(yè)務(wù)需求識別
當(dāng)前企業(yè)競爭激烈���、內(nèi)部變革頻繁���,要實(shí)現(xiàn)IT與業(yè)務(wù)的融合,就需要建立一套具備一定適應(yīng)能力����,能夠識別不斷變化的業(yè)務(wù)需求,并能夠快速有效地作為響應(yīng)的機(jī)制���。業(yè)務(wù)需求是促進(jìn)IT發(fā)展的源動力�����,準(zhǔn)確�����、及時地捕捉組織的業(yè)務(wù)需求���,并使之成為信息化建設(shè)與調(diào)整的依據(jù)��,這是降低IT風(fēng)險的可靠保證�。
對業(yè)務(wù)需求的識別����,需要IT人員了解企業(yè)的業(yè)務(wù)流程,并站在業(yè)務(wù)管理者的角度思考企業(yè)發(fā)展的重大問題����,這對IT人員的提出了新的挑戰(zhàn)。
業(yè)務(wù)建模