正如信息系統(tǒng)具有潛在的投資回報(bào)一樣���,信息系統(tǒng)同樣具有潛在的風(fēng)險(xiǎn)����。IT與業(yè)務(wù)的融合,在帶來(lái)企業(yè)效率提升和持續(xù)競(jìng)爭(zhēng)力的同時(shí)��,也加劇了業(yè)務(wù)可能面臨的風(fēng)險(xiǎn)����。信息系統(tǒng)任何細(xì)微的變故,都有可能導(dǎo)致業(yè)務(wù)流程完全失效����。正因?yàn)槿绱?�,IT風(fēng)險(xiǎn)管理受到了越來(lái)越多企業(yè)高管層特別是CIO的關(guān)注�����。一定程度上,CIO所面對(duì)的管理���,更多的是對(duì)各種“可能性和不確定性”即“風(fēng)險(xiǎn)”的管理�。
然而����,IT風(fēng)險(xiǎn)及IT風(fēng)險(xiǎn)管理,一直是一個(gè)頗有爭(zhēng)議的概念�����。由于對(duì)風(fēng)險(xiǎn)的理解和認(rèn)識(shí)程度不同���,或?qū)︼L(fēng)險(xiǎn)的研究的角度不同���,其定義還存在很多爭(zhēng)議。
國(guó)際內(nèi)部審計(jì)協(xié)會(huì)(IIA)對(duì)風(fēng)險(xiǎn)定義為:“可能對(duì)目標(biāo)的實(shí)現(xiàn)產(chǎn)生影響的事件發(fā)生的不確定性��?����!辈⒅赋鲲L(fēng)險(xiǎn)的衡量標(biāo)準(zhǔn)是后果與可能性�����。而國(guó)際標(biāo)準(zhǔn)化組織ISO/IEC“Guide73:2002”中關(guān)于風(fēng)險(xiǎn)的定義為:“事件發(fā)生的可能性及其后果的結(jié)合”。COSO發(fā)布的《企業(yè)風(fēng)險(xiǎn)管理-整合框架》中則將風(fēng)險(xiǎn)定義為:“一個(gè)事項(xiàng)將會(huì)發(fā)生并給目標(biāo)實(shí)現(xiàn)帶來(lái)負(fù)面影響的可能性�����?�!?/P>
對(duì)于IT風(fēng)險(xiǎn)的認(rèn)識(shí)����,同樣存在著不同的觀點(diǎn)。2006年1月出版的《IT風(fēng)險(xiǎn)——基于IT治理的風(fēng)險(xiǎn)管理之道》一書(shū)中認(rèn)為�����,所謂IT風(fēng)險(xiǎn)就是指對(duì)業(yè)務(wù)造成負(fù)面影響的信息技術(shù)失效����。2006年9月,中國(guó)銀監(jiān)會(huì)頒布的《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》中���,信息系統(tǒng)風(fēng)險(xiǎn)是指:“信息系統(tǒng)在規(guī)劃、研發(fā)�����、建設(shè)、運(yùn)行�����、維護(hù)���、監(jiān)控及退出過(guò)程中�����,由于技術(shù)和管理缺陷產(chǎn)生的操作�����、法律和聲譽(yù)等風(fēng)險(xiǎn)”����。2007年2月賽門鐵克公司發(fā)布的《IT風(fēng)險(xiǎn)管理報(bào)告》中認(rèn)為����,IT風(fēng)險(xiǎn)包括安全性、可用性、能力和合規(guī)性四個(gè)方面�。
正因?yàn)檫@些爭(zhēng)議的存在,目前各家企業(yè)對(duì)IT風(fēng)險(xiǎn)管理方面的理解和做法也存在著差異����。這些差異,往往讓很多希望加強(qiáng)IT風(fēng)險(xiǎn)管理的企業(yè)和CIO們束手無(wú)措���。為此��,某雜志邀請(qǐng)到了民生證券股份有限公司信息技術(shù)總監(jiān)景忠�、中國(guó)海洋石油總公司審計(jì)監(jiān)察部IT審計(jì)經(jīng)理王宇文��、ITGov信息系統(tǒng)審計(jì)專家王東紅�,圍繞IT風(fēng)險(xiǎn)管理的相關(guān)話題,展開(kāi)了討論���。
對(duì)于IT風(fēng)險(xiǎn)的概念特別是IT風(fēng)險(xiǎn)涵蓋的范圍���,現(xiàn)在仍然存在爭(zhēng)議,各位是怎么理解IT風(fēng)險(xiǎn)管理的?景忠:對(duì)于證券行業(yè)來(lái)講�����,IT系統(tǒng)的風(fēng)險(xiǎn)管理幾乎是天天都在抓。從我們的角度來(lái)講����,IT風(fēng)險(xiǎn)主要包括系統(tǒng)的風(fēng)險(xiǎn)�、人員的風(fēng)險(xiǎn)和IT投入的風(fēng)險(xiǎn)等方面。
系統(tǒng)的風(fēng)險(xiǎn)主要是軟件�����、硬件和網(wǎng)絡(luò)等設(shè)備的潛在風(fēng)險(xiǎn)��,這與傳統(tǒng)的信息安全有很多類似的地方�。人員的風(fēng)險(xiǎn)則是指內(nèi)部人員作弊或者疏忽造成的風(fēng)險(xiǎn),和關(guān)鍵崗位人員流失帶來(lái)的風(fēng)險(xiǎn)等所有與人為因素有關(guān)的潛在風(fēng)險(xiǎn)��。IT投入的風(fēng)險(xiǎn)也非常容易理解�,既然是投入就一定要有產(chǎn)出,不管這種產(chǎn)出是顯性還是隱性的���,但是��,也并不是所有的IT投入都能看到產(chǎn)出��,甚至很多企業(yè)IT項(xiàng)目以失敗告終的案例也時(shí)有發(fā)生�����。王宇文:IT的作用就是支撐企業(yè)的業(yè)務(wù)運(yùn)作和運(yùn)營(yíng)管理����,因此,IT風(fēng)險(xiǎn)實(shí)際上就是業(yè)務(wù)的風(fēng)險(xiǎn)���,拋開(kāi)業(yè)務(wù)單純講IT風(fēng)險(xiǎn)是沒(méi)有意義的��。從審計(jì)部門角度來(lái)看���,之所以關(guān)注IT風(fēng)險(xiǎn),就是要看一旦這些系統(tǒng)出問(wèn)題�,會(huì)對(duì)業(yè)務(wù)造成什么樣的影響。
國(guó)資委出臺(tái)的《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》中將風(fēng)險(xiǎn)定義為:未來(lái)的不確定性對(duì)企業(yè)實(shí)現(xiàn)其經(jīng)營(yíng)目標(biāo)的影響��,一般可分為戰(zhàn)略風(fēng)險(xiǎn)�、財(cái)務(wù)風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)�、運(yùn)營(yíng)風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)等�����,并將風(fēng)險(xiǎn)分為純粹風(fēng)險(xiǎn)和機(jī)會(huì)風(fēng)險(xiǎn)。因此�����,我們認(rèn)為IT風(fēng)險(xiǎn)主要是IT系統(tǒng)有可能對(duì)業(yè)務(wù)和經(jīng)營(yíng)目標(biāo)造成的潛在風(fēng)險(xiǎn)���。IT是屬于橫向業(yè)務(wù)支持領(lǐng)域,IT風(fēng)險(xiǎn)會(huì)體現(xiàn)在所有業(yè)務(wù)風(fēng)險(xiǎn)中��。由于IT有其特殊的技術(shù)內(nèi)涵和特點(diǎn)��,往往在實(shí)際操作時(shí)IT風(fēng)險(xiǎn)管理相對(duì)來(lái)說(shuō)比較獨(dú)立���。
王東紅:前面兩位更多的是從實(shí)踐工作中�����,對(duì)IT風(fēng)險(xiǎn)管理的理解和認(rèn)識(shí)來(lái)談的�,我主要從理論的角度談?wù)?/P>