我的理解���。目前來看�����,銀監(jiān)會(huì)對(duì)于IT風(fēng)險(xiǎn)的定義是比較全面的�����,它符合當(dāng)今世界全面風(fēng)險(xiǎn)管理的發(fā)展趨勢(shì)����,是一個(gè)全生命周期的風(fēng)險(xiǎn)���。而IT風(fēng)險(xiǎn)管理目前在研究和實(shí)踐中都還沒有一個(gè)統(tǒng)一的定義��。
在我看來�,IT風(fēng)險(xiǎn)管理,已經(jīng)從狹義的IT技術(shù)風(fēng)險(xiǎn)發(fā)展到了IT全生命周期管理的階段����,因此,IT風(fēng)險(xiǎn)管理也可以稱為“IT全面風(fēng)險(xiǎn)管理”��。綜合比較主流的IT風(fēng)險(xiǎn)管理定義���,不妨可以對(duì)IT風(fēng)險(xiǎn)管理給出這樣的定義�����,所謂IT風(fēng)險(xiǎn)管理是指圍繞信息化戰(zhàn)略目標(biāo)�����,通過在信息系統(tǒng)的規(guī)劃�����、開發(fā)與建設(shè)�,運(yùn)行與維護(hù)����,監(jiān)控與評(píng)價(jià)管理的各個(gè)階段中執(zhí)行風(fēng)險(xiǎn)管理的基本流程�,包括風(fēng)險(xiǎn)管理策略制定����、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估�,進(jìn)而選擇適當(dāng)?shù)奶幚矸椒右钥刂啤⑻幚?���,達(dá)到信息化可持續(xù)發(fā)展的目標(biāo)。
三位的表述雖然略有不同�����,但是都談到了IT風(fēng)險(xiǎn)與業(yè)務(wù)的關(guān)系�。是不是只有當(dāng)企業(yè)的業(yè)務(wù)與IT足夠緊密時(shí),才會(huì)考慮IT風(fēng)險(xiǎn)管理?王宇文:在信息化發(fā)展的初期�����,信息系統(tǒng)使用得比較少���,這種情況下,產(chǎn)生風(fēng)險(xiǎn)的概率自然比較低����。因?yàn)榇蟛糠值臉I(yè)務(wù)流程與IT都是脫離的����,不論IT的狀況如何��,業(yè)務(wù)都能照常進(jìn)行����,從業(yè)務(wù)角度來看,IT帶來的潛在風(fēng)險(xiǎn)就微乎其微�����。隨著業(yè)務(wù)流程對(duì)IT依賴程度的不斷加深��,IT的作用變得越發(fā)明顯���,IT可能對(duì)業(yè)務(wù)帶來的潛在風(fēng)險(xiǎn)也就會(huì)更多�����,相比之下����,這時(shí)候IT風(fēng)險(xiǎn)管理也就顯得更加重要。
但是�,并不是說只有信息化發(fā)展到業(yè)務(wù)與IT足夠緊密時(shí),才應(yīng)該考慮IT風(fēng)險(xiǎn)管理����。在信息化的前期,雖然信息系統(tǒng)比較少���,仍然需要適當(dāng)考慮IT風(fēng)險(xiǎn)管理�����,因?yàn)轱L(fēng)險(xiǎn)的規(guī)避更多的是未雨綢繆的工作�。
從中海油的經(jīng)驗(yàn)來看����,也確實(shí)是這樣,IT系統(tǒng)建設(shè)的時(shí)候�,我們就同步把很多風(fēng)險(xiǎn)管理和內(nèi)部控制的內(nèi)容考慮進(jìn)去,這樣做顯然比IT做完了再去考慮風(fēng)險(xiǎn)和內(nèi)控�,進(jìn)而對(duì)IT進(jìn)行改造,要更有優(yōu)勢(shì)��。
業(yè)務(wù)流程是企業(yè)戰(zhàn)略落地的具體實(shí)現(xiàn)����,IT系統(tǒng)就是業(yè)務(wù)流程的自動(dòng)化,IT風(fēng)險(xiǎn)管理就是流程風(fēng)險(xiǎn)管理的一部分���,而IT系統(tǒng)本身也是降低業(yè)務(wù)流程風(fēng)險(xiǎn)的手段���。目前,國際OCEG組織提出的GRC框架也定義了IT系統(tǒng)在企業(yè)治理��、風(fēng)險(xiǎn)及合規(guī)管理中的作用和標(biāo)準(zhǔn)����。
王東紅:“只有當(dāng)企業(yè)的業(yè)務(wù)與IT足夠緊密時(shí),才應(yīng)該考慮IT風(fēng)險(xiǎn)管理����,”這句話看起來有些道理,卻很不全面��。IT風(fēng)險(xiǎn)��,不僅是IT本身的風(fēng)險(xiǎn)���,IT對(duì)企業(yè)的流程���、戰(zhàn)略等都會(huì)造成潛在風(fēng)險(xiǎn)�����,只要一部分流程依賴于IT��,就有可能產(chǎn)生這種風(fēng)險(xiǎn)����。另外���,在信息系統(tǒng)建設(shè)初期�,雖然業(yè)務(wù)與IT的緊密程度很低�,但是這時(shí)候往往是企業(yè)對(duì)信息化建設(shè)進(jìn)行大規(guī)模投資的時(shí)候,這些IT投入的產(chǎn)出也是有風(fēng)險(xiǎn)存在的���,這也是IT風(fēng)險(xiǎn)的一部分����。
景忠:是否應(yīng)該考慮IT風(fēng)險(xiǎn)管理�����,我覺得這其中更多地與企業(yè)的業(yè)務(wù)類型有關(guān)。如果企業(yè)的業(yè)務(wù)雖然密切依賴IT���,但是如果業(yè)務(wù)能夠承受IT停頓帶來的風(fēng)險(xiǎn),那么�,不考慮IT風(fēng)險(xiǎn)管理也可以。同時(shí)��,還要與IT風(fēng)險(xiǎn)管理本身所產(chǎn)生的成本進(jìn)行權(quán)衡���。
IT風(fēng)險(xiǎn)包括的內(nèi)容很多�����,在信息化發(fā)展的不同階段����,可能IT風(fēng)險(xiǎn)管理的側(cè)重點(diǎn)會(huì)不同��,比如大規(guī)模建設(shè)時(shí)期��,可能重點(diǎn)更多的是放在IT投入的風(fēng)險(xiǎn)上�����,而當(dāng)大規(guī)模建設(shè)初步結(jié)束之后,更多的是從維護(hù)業(yè)務(wù)穩(wěn)定等方面考慮IT風(fēng)險(xiǎn)����。
對(duì)IT風(fēng)險(xiǎn)進(jìn)行管理的前提,是先識(shí)別IT風(fēng)險(xiǎn)�����。在識(shí)別IT風(fēng)險(xiǎn)方面��,民生證券有哪些做法?
景忠:證券行業(yè)的特殊性讓我們對(duì)風(fēng)險(xiǎn)管理一直非常重視����,IT風(fēng)險(xiǎn)管理也是整個(gè)風(fēng)險(xiǎn)管理工作中非常重要的一部分。從目前的組織架構(gòu)來看�����,涉及到 IT風(fēng)險(xiǎn)管理的主要有IT決策委員會(huì)�����、風(fēng)險(xiǎn)管理部和信息技術(shù)部����。IT決策委員會(huì)主要從戰(zhàn)略發(fā)展的高度對(duì)IT投入進(jìn)行把控����,降低IT投入的產(chǎn)出風(fēng)險(xiǎn)�����。風(fēng)險(xiǎn)管理部更多的是從業(yè)務(wù)角度看IT可能對(duì)業(yè)務(wù)造成的潛在影響����,并找出這些潛在的