【文章內容簡介】 是可以起到降低風險所帶來的負面影響。3．4 降低IT項目風險管理的方案 一、 商業(yè)運營風險一個評估要判斷解決還是忽略某個具有挑戰(zhàn)的威脅的風險。分析挑戰(zhàn)性的威脅可以幫助企業(yè)決定是否投入必要的資源來戰(zhàn)勝威脅。 　　判斷如何對來自非傳統(tǒng)的資源的挑戰(zhàn)性威脅做出合理反映是非常困難的。例如，許多高技術企業(yè)都認為微軟只不過是一群哈佛的退學生而已。他們因為沒有理解到這個風險而付出了沉痛的代價。 　　適當?shù)木徑夤ぞ呤且粋€可以評估所有相關風險的良好的商業(yè)情況。對于新的商業(yè)機會來說，一個徹底的風險評估對于成功來說，就像是精確投入資金一樣重要。 二、計劃風險對于通過的或者現(xiàn)有的計劃來說，管理的關鍵集中在計劃或者項目是否會在預算之內，高質量的按時交貨。風險可以通過有效的項目管理和定期監(jiān)控來降低。 三、業(yè)務中斷風險這種類型的風險影響了公司在困難的環(huán)境下繼續(xù)運營的能力。場景從崩潰的服務器到被毀滅的建筑物，范圍極其廣泛。在大多數(shù)情況中，一個崩潰的服務器對于某些人來說只引起了微小的問題。相反，一個被毀滅的建筑物可能讓所有的企業(yè)運行都停頓下來了。 　　風險可以通過持續(xù)的運行(COOP)計劃來降低，這個計劃描述了業(yè)務如何在各種困難中繼續(xù)運轉。大多數(shù)企業(yè)在開始的時候都會為數(shù)據(jù)中心準備了IT災難恢復計劃(DRP)。最終，DRP需要被擴寬，以便將重點集中在重新存儲業(yè)務處理和發(fā)展為一個成熟的COOP計劃上。 四、市場風險 這種類型的風險可以劃分為地域和特定行業(yè)的風險。地域風險包括戰(zhàn)爭，恐怖行動和瘟疫，還有國家和進口限制。這些風險根據(jù)不同的國家、社會供應鏈的復雜度，以及該行業(yè)對于政治領導人的重要意義而有所區(qū)別。特定行業(yè)的風險也是多種多樣。例如，金融服務必須通過信用擠壓，債務抵押義務的徹底崩潰，以及結構化投資手段來進行競爭。消費產品制造商可能會因為“flash mobs”通過社會網(wǎng)絡傾銷他們的產品而感到苦惱。 　　場景計劃可以通過制定應對各種不可能的事件的反應來降低風險。最重要的是，它嘗試發(fā)現(xiàn)先前未知的風險，因為最危險的風險通常是你沒有識別的風險。 　　采購行為——特別是離岸——增加了各個種類的風險。對這些風險的評估必須要解決類似通訊、邏輯困難、供應商變化，以及知識產權等特殊的關鍵點。 　　在著手開始任何風險評估之前，弄清楚哪個類型的風險對于你的執(zhí)行管理來說最為緊要。然后選擇合適的風險降低工具來解決潛在的困難。根據(jù)財務結果，風險的保單才會被批準。 　　徹底的風險評估可以為解決潛在威脅的結構化準備帶來創(chuàng)造性的思維，這些創(chuàng)造性的思維對于成功至關重要。正如那句流傳已久的格言所說，“預先警告就是預先武裝?！? 第四章 適應IT風險管理的策略IT建設就是要沿IT規(guī)劃這條路走下去，將藍圖變?yōu)楝F(xiàn)實。首先要做簡單的需求分析、選型、數(shù)據(jù)準備、流程優(yōu)化；然后實施、二次開發(fā)、系統(tǒng)切換，最后系統(tǒng)上線及維護。需求分析的原則是準確，應做到不重不漏，深度適宜；選型嘛，只選對的，不選貴的，從廠商綜合實力、系統(tǒng)質量（功能與需求的匹配、技術先進性、可集成性、二次開發(fā)量及難易程度等）、價格、售后服務等幾個維度衡量；數(shù)據(jù)準備要扎實、流程優(yōu)化要實際；至于實施與二次開發(fā)，重點是質量、成本與進度，實在是一言難盡，需要考慮的東西太多了，個中滋味，自己體會，是一兩篇文章所不能說清楚的。IT建設的重點考慮的因素包括：人員與能力的匹配、需求的把握、數(shù)據(jù)標準化、項目實施、系統(tǒng)集成等，其中基礎是需求的把握、數(shù)據(jù)的標準化，關鍵是是項目實施和系統(tǒng)集成，人員與能力匹配是基礎的基礎。IT建設需要各層面的協(xié)同：一把手領導、業(yè)務部門主導、IT部門支撐。也就是說，一把手是把握方向、強勢推動，主要解決的問題是方向的正確與阻力的克服。業(yè)務部門要對項目的實施效果負責，制定整體計劃、協(xié)調內部資源、推動習慣的改變與系統(tǒng)的使用，主要解決的是需求、推動與協(xié)調。IT部門要把好技術關，做好技術支持，培訓好用戶，項目中的具體技術活都是IT部門的事情，解決的是技術問題。IT建設是一個周而復始，持續(xù)改進的過程，每個周期開始前都需要系統(tǒng)評估。如果繼續(xù)前面的比方，IT建設就是買合適的車（系統(tǒng)選型），理好貨（數(shù)據(jù)標準化），選好站（流程優(yōu)化）、學會開車、坐車（實施及培訓使用），不同運輸方式的銜接（系統(tǒng)集成），使貨物（數(shù)據(jù)信息）順暢、高效的到達目的地。 COSO框架下的IT風險管理框架COSO風險管理框架是各上市公司為符合薩班斯法案要求而采納的主要方法，我國銀監(jiān)會發(fā)布的《商業(yè)銀行內部控制評價試行辦法》也采用了COSO內控體系的方法論，其中也涉及了IT內控制的內容。企業(yè)在實施風險管理過程中，四個目標都應當有IT的相關內容，其八個過程也有相應的IT內容，例如：COSO的“控制環(huán)境”對應著IT的“IT治理、法規(guī)及標準符合性”，“風險評估”對應著“IT風險評估及影響分析”等。這八個方面的各項控制又可進一步分三個層次的控制，一是公司層控制、二是應用層控制，三是一般控制層或稱基礎層控制。A、公司級控制公司級控制主要與COSO中的控制環(huán)境及風險評估有關，為一般控制和應用控制設置基調。公司級控制一般包括以下內容：最高管理層設定的基調與方向；職業(yè)道德中的正直性、價值觀、勝任能力；IT管理哲學和業(yè)務運行類型；對IT管理層的授權與責任；IT政策與程序；IT組織中人員的責任與技能。B、應用控制應用控制是為保證業(yè)務過程的正常運行，而設計在應用系統(tǒng)中控制措施，以防止和檢測錯誤的和非授權的交易，保證交易處理的完整性、準確性、合法性及適當授權。一般在應用系統(tǒng)中的以下環(huán)節(jié)建立應用控制：進行計算時；實施數(shù)據(jù)合法性驗證和編輯檢查時；與其他系統(tǒng)有數(shù)據(jù)接口時；管理層需要依靠應用系統(tǒng)進行完整、準確的排序、匯總和報告關鍵信息時；限制對交易和數(shù)據(jù)訪問時。C、一般控制一般控制就是保證計算機信息系統(tǒng)能夠以持續(xù)、正確的方式運行的政策與程序，包括數(shù)據(jù)中心運營、系統(tǒng)軟件獲取與維護、訪問安全、應用系統(tǒng)開發(fā)和維護等內容。一般控制能對通過編程實現(xiàn)的應用系統(tǒng)控制機能提供支持，一般控制有時也稱為一般計算機控制和信息技術控制。一般控制過程主要包括：安全管理；應用系統(tǒng)變更控制；數(shù)據(jù)管理；災難恢復；數(shù)據(jù)中心運營；問題管理；資產管理。IT風險管理的過程也類似于企業(yè)風險的過程，主要有以下風險識別、風險分析、風險處理、風險監(jiān)督、風險報告及改進的過程()：以上三個層次的IT風險管理，在組織中可以分階段地通過一個個的IT風險控制項目，例如COBIT (Control Objectives for Information and related Technology, 控制框架)、ISMS(Information Security Management System, 信息安全管理體系)、ITSM( IT Service Management，IT服務管理)、BCP(Business Continuity Plan, 業(yè)務持續(xù)性計劃)、CMMI(Capability Maturity Model Integration, 能力成熟度模型集成)等進行實施，也可以選擇其中的某些過程進行整合后實施（）。對于所建立IT內部控制措施是否能有效地控制風險，還需要通過第三方對組織內部措施的有效性進行獨立審計，出具審計報告，以證明內部控制措施完備性。以上過程是許多上市公司在建立符合薩班斯法要求的IT風險控制框架時的主要方法，這種方法的主要優(yōu)點是把IT風險放在企業(yè)風險的高度進行管理，容易得到管理層的理解與支持，涉及的風險較全面，控制與改進的方法較完備。缺點是控制的粒度還較粗，還不能適當對IT進行精細控制的要求。我們結合以上內容，進行合理擴充并增加控制的粒度，提出了一套適應我國IT風險實際情況的控制框架。一、建立信息化的“游戲規(guī)則”建造一個信息系統(tǒng)是容易的，讓這個系統(tǒng)正常地運轉起來并能實現(xiàn)業(yè)務價值，則是現(xiàn)實的難題。雖然采用先進的IT技術與產品、優(yōu)秀的管理方法在一定的程度上能降低IT風險，但并不十分保險，只有通過為IT引入一定的結構、規(guī)則與標準，使IT在“他律”（IT治理）的基礎上進行“自律”（IT管理），才能使得IT風險在一定的框架內上下左右浮動，不超過企業(yè)計劃中的風險范圍。這個框架就是IT風險管理框架，也可以稱為IT的“游戲規(guī)則”，忽略了規(guī)則的建立是國內信息化成功率低的根源，我們應當把建立信息化的“游戲規(guī)則”看成是信息化的重要內容之一。二、IT風險管理框架的目標完善IT風險控制體系，降低IT成本，實現(xiàn)IT與企業(yè)戰(zhàn)略、管理、業(yè)務、安全的深度融合，使IT為企業(yè)持續(xù)地創(chuàng)造價值，有效率并有效果地進行信息化。三、IT風險管理框架的原則建立IT治理機制，使IT治理成為公司治理的一部分，在組織的最高決策層上對信息化的進行監(jiān)管