【文章內(nèi)容簡介】 是可以起到降低風(fēng)險所帶來的負面影響。3．4 降低IT項目風(fēng)險管理的方案 一、 商業(yè)運營風(fēng)險一個評估要判斷解決還是忽略某個具有挑戰(zhàn)的威脅的風(fēng)險。分析挑戰(zhàn)性的威脅可以幫助企業(yè)決定是否投入必要的資源來戰(zhàn)勝威脅。 　　判斷如何對來自非傳統(tǒng)的資源的挑戰(zhàn)性威脅做出合理反映是非常困難的。例如，許多高技術(shù)企業(yè)都認為微軟只不過是一群哈佛的退學(xué)生而已。他們因為沒有理解到這個風(fēng)險而付出了沉痛的代價。 　　適當?shù)木徑夤ぞ呤且粋€可以評估所有相關(guān)風(fēng)險的良好的商業(yè)情況。對于新的商業(yè)機會來說，一個徹底的風(fēng)險評估對于成功來說，就像是精確投入資金一樣重要。 二、計劃風(fēng)險對于通過的或者現(xiàn)有的計劃來說，管理的關(guān)鍵集中在計劃或者項目是否會在預(yù)算之內(nèi)，高質(zhì)量的按時交貨。風(fēng)險可以通過有效的項目管理和定期監(jiān)控來降低。 三、業(yè)務(wù)中斷風(fēng)險這種類型的風(fēng)險影響了公司在困難的環(huán)境下繼續(xù)運營的能力。場景從崩潰的服務(wù)器到被毀滅的建筑物，范圍極其廣泛。在大多數(shù)情況中，一個崩潰的服務(wù)器對于某些人來說只引起了微小的問題。相反，一個被毀滅的建筑物可能讓所有的企業(yè)運行都停頓下來了。 　　風(fēng)險可以通過持續(xù)的運行(COOP)計劃來降低，這個計劃描述了業(yè)務(wù)如何在各種困難中繼續(xù)運轉(zhuǎn)。大多數(shù)企業(yè)在開始的時候都會為數(shù)據(jù)中心準備了IT災(zāi)難恢復(fù)計劃(DRP)。最終，DRP需要被擴寬，以便將重點集中在重新存儲業(yè)務(wù)處理和發(fā)展為一個成熟的COOP計劃上。 四、市場風(fēng)險 這種類型的風(fēng)險可以劃分為地域和特定行業(yè)的風(fēng)險。地域風(fēng)險包括戰(zhàn)爭，恐怖行動和瘟疫，還有國家和進口限制。這些風(fēng)險根據(jù)不同的國家、社會供應(yīng)鏈的復(fù)雜度，以及該行業(yè)對于政治領(lǐng)導(dǎo)人的重要意義而有所區(qū)別。特定行業(yè)的風(fēng)險也是多種多樣。例如，金融服務(wù)必須通過信用擠壓，債務(wù)抵押義務(wù)的徹底崩潰，以及結(jié)構(gòu)化投資手段來進行競爭。消費產(chǎn)品制造商可能會因為“flash mobs”通過社會網(wǎng)絡(luò)傾銷他們的產(chǎn)品而感到苦惱。 　　場景計劃可以通過制定應(yīng)對各種不可能的事件的反應(yīng)來降低風(fēng)險。最重要的是，它嘗試發(fā)現(xiàn)先前未知的風(fēng)險，因為最危險的風(fēng)險通常是你沒有識別的風(fēng)險。 　　采購行為——特別是離岸——增加了各個種類的風(fēng)險。對這些風(fēng)險的評估必須要解決類似通訊、邏輯困難、供應(yīng)商變化，以及知識產(chǎn)權(quán)等特殊的關(guān)鍵點。 　　在著手開始任何風(fēng)險評估之前，弄清楚哪個類型的風(fēng)險對于你的執(zhí)行管理來說最為緊要。然后選擇合適的風(fēng)險降低工具來解決潛在的困難。根據(jù)財務(wù)結(jié)果，風(fēng)險的保單才會被批準。 　　徹底的風(fēng)險評估可以為解決潛在威脅的結(jié)構(gòu)化準備帶來創(chuàng)造性的思維，這些創(chuàng)造性的思維對于成功至關(guān)重要。正如那句流傳已久的格言所說，“預(yù)先警告就是預(yù)先武裝。” 第四章 適應(yīng)IT風(fēng)險管理的策略IT建設(shè)就是要沿IT規(guī)劃這條路走下去，將藍圖變?yōu)楝F(xiàn)實。首先要做簡單的需求分析、選型、數(shù)據(jù)準備、流程優(yōu)化；然后實施、二次開發(fā)、系統(tǒng)切換，最后系統(tǒng)上線及維護。需求分析的原則是準確，應(yīng)做到不重不漏，深度適宜；選型嘛，只選對的，不選貴的，從廠商綜合實力、系統(tǒng)質(zhì)量（功能與需求的匹配、技術(shù)先進性、可集成性、二次開發(fā)量及難易程度等）、價格、售后服務(wù)等幾個維度衡量；數(shù)據(jù)準備要扎實、流程優(yōu)化要實際；至于實施與二次開發(fā)，重點是質(zhì)量、成本與進度，實在是一言難盡，需要考慮的東西太多了，個中滋味，自己體會，是一兩篇文章所不能說清楚的。IT建設(shè)的重點考慮的因素包括：人員與能力的匹配、需求的把握、數(shù)據(jù)標準化、項目實施、系統(tǒng)集成等，其中基礎(chǔ)是需求的把握、數(shù)據(jù)的標準化，關(guān)鍵是是項目實施和系統(tǒng)集成，人員與能力匹配是基礎(chǔ)的基礎(chǔ)。IT建設(shè)需要各層面的協(xié)同：一把手領(lǐng)導(dǎo)、業(yè)務(wù)部門主導(dǎo)、IT部門支撐。也就是說，一把手是把握方向、強勢推動，主要解決的問題是方向的正確與阻力的克服。業(yè)務(wù)部門要對項目的實施效果負責，制定整體計劃、協(xié)調(diào)內(nèi)部資源、推動習(xí)慣的改變與系統(tǒng)的使用，主要解決的是需求、推動與協(xié)調(diào)。IT部門要把好技術(shù)關(guān)，做好技術(shù)支持，培訓(xùn)好用戶，項目中的具體技術(shù)活都是IT部門的事情，解決的是技術(shù)問題。IT建設(shè)是一個周而復(fù)始，持續(xù)改進的過程，每個周期開始前都需要系統(tǒng)評估。如果繼續(xù)前面的比方，IT建設(shè)就是買合適的車（系統(tǒng)選型），理好貨（數(shù)據(jù)標準化），選好站（流程優(yōu)化）、學(xué)會開車、坐車（實施及培訓(xùn)使用），不同運輸方式的銜接（系統(tǒng)集成），使貨物（數(shù)據(jù)信息）順暢、高效的到達目的地。 COSO框架下的IT風(fēng)險管理框架COSO風(fēng)險管理框架是各上市公司為符合薩班斯法案要求而采納的主要方法，我國銀監(jiān)會發(fā)布的《商業(yè)銀行內(nèi)部控制評價試行辦法》也采用了COSO內(nèi)控體系的方法論，其中也涉及了IT內(nèi)控制的內(nèi)容。企業(yè)在實施風(fēng)險管理過程中，四個目標都應(yīng)當有IT的相關(guān)內(nèi)容，其八個過程也有相應(yīng)的IT內(nèi)容，例如：COSO的“控制環(huán)境”對應(yīng)著IT的“IT治理、法規(guī)及標準符合性”，“風(fēng)險評估”對應(yīng)著“IT風(fēng)險評估及影響分析”等。這八個方面的各項控制又可進一步分三個層次的控制，一是公司層控制、二是應(yīng)用層控制，三是一般控制層或稱基礎(chǔ)層控制。A、公司級控制公司級控制主要與COSO中的控制環(huán)境及風(fēng)險評估有關(guān)，為一般控制和應(yīng)用控制設(shè)置基調(diào)。公司級控制一般包括以下內(nèi)容：最高管理層設(shè)定的基調(diào)與方向；職業(yè)道德中的正直性、價值觀、勝任能力；IT管理哲學(xué)和業(yè)務(wù)運行類型；對IT管理層的授權(quán)與責任；IT政策與程序；IT組織中人員的責任與技能。B、應(yīng)用控制應(yīng)用控制是為保證業(yè)務(wù)過程的正常運行，而設(shè)計在應(yīng)用系統(tǒng)中控制措施，以防止和檢測錯誤的和非授權(quán)的交易，保證交易處理的完整性、準確性、合法性及適當授權(quán)。一般在應(yīng)用系統(tǒng)中的以下環(huán)節(jié)建立應(yīng)用控制：進行計算時；實施數(shù)據(jù)合法性驗證和編輯檢查時；與其他系統(tǒng)有數(shù)據(jù)接口時；管理層需要依靠應(yīng)用系統(tǒng)進行完整、準確的排序、匯總和報告關(guān)鍵信息時；限制對交易和數(shù)據(jù)訪問時。C、一般控制一般控制就是保證計算機信息系統(tǒng)能夠以持續(xù)、正確的方式運行的政策與程序，包括數(shù)據(jù)中心運營、系統(tǒng)軟件獲取與維護、訪問安全、應(yīng)用系統(tǒng)開發(fā)和維護等內(nèi)容。一般控制能對通過編程實現(xiàn)的應(yīng)用系統(tǒng)控制機能提供支持，一般控制有時也稱為一般計算機控制和信息技術(shù)控制。一般控制過程主要包括：安全管理；應(yīng)用系統(tǒng)變更控制；數(shù)據(jù)管理；災(zāi)難恢復(fù)；數(shù)據(jù)中心運營；問題管理；資產(chǎn)管理。IT風(fēng)險管理的過程也類似于企業(yè)風(fēng)險的過程，主要有以下風(fēng)險識別、風(fēng)險分析、風(fēng)險處理、風(fēng)險監(jiān)督、風(fēng)險報告及改進的過程()：以上三個層次的IT風(fēng)險管理，在組織中可以分階段地通過一個個的IT風(fēng)險控制項目，例如COBIT (Control Objectives for Information and related Technology, 控制框架)、ISMS(Information Security Management System, 信息安全管理體系)、ITSM( IT Service Management，IT服務(wù)管理)、BCP(Business Continuity Plan, 業(yè)務(wù)持續(xù)性計劃)、CMMI(Capability Maturity Model Integration, 能力成熟度模型集成)等進行實施，也可以選擇其中的某些過程進行整合后實施（）。對于所建立IT內(nèi)部控制措施是否能有效地控制風(fēng)險，還需要通過第三方對組織內(nèi)部措施的有效性進行獨立審計，出具審計報告，以證明內(nèi)部控制措施完備性。以上過程是許多上市公司在建立符合薩班斯法要求的IT風(fēng)險控制框架時的主要方法，這種方法的主要優(yōu)點是把IT風(fēng)險放在企業(yè)風(fēng)險的高度進行管理，容易得到管理層的理解與支持，涉及的風(fēng)險較全面，控制與改進的方法較完備。缺點是控制的粒度還較粗，還不能適當對IT進行精細控制的要求。我們結(jié)合以上內(nèi)容，進行合理擴充并增加控制的粒度，提出了一套適應(yīng)我國IT風(fēng)險實際情況的控制框架。一、建立信息化的“游戲規(guī)則”建造一個信息系統(tǒng)是容易的，讓這個系統(tǒng)正常地運轉(zhuǎn)起來并能實現(xiàn)業(yè)務(wù)價值，則是現(xiàn)實的難題。雖然采用先進的IT技術(shù)與產(chǎn)品、優(yōu)秀的管理方法在一定的程度上能降低IT風(fēng)險，但并不十分保險，只有通過為IT引入一定的結(jié)構(gòu)、規(guī)則與標準，使IT在“他律”（IT治理）的基礎(chǔ)上進行“自律”（IT管理），才能使得IT風(fēng)險在一定的框架內(nèi)上下左右浮動，不超過企業(yè)計劃中的風(fēng)險范圍。這個框架就是IT風(fēng)險管理框架，也可以稱為IT的“游戲規(guī)則”，忽略了規(guī)則的建立是國內(nèi)信息化成功率低的根源，我們應(yīng)當把建立信息化的“游戲規(guī)則”看成是信息化的重要內(nèi)容之一。二、IT風(fēng)險管理框架的目標完善IT風(fēng)險控制體系，降低IT成本，實現(xiàn)IT與企業(yè)戰(zhàn)略、管理、業(yè)務(wù)、安全的深度融合，使IT為企業(yè)持續(xù)地創(chuàng)造價值，有效率并有效果地進行信息化。三、IT風(fēng)險管理框架的原則建立IT治理機制，使IT治理成為公司治理的一部分，在組織的最高決策層上對信息化的進行監(jiān)管