淺析it治理管控it風(fēng)險(xiǎn)的方法

1、<p>　　淺析IT治理管控IT風(fēng)險(xiǎn)的方法</p><p>　　【摘要】現(xiàn)代企業(yè)對(duì)IT的依賴愈來(lái)愈高，IT風(fēng)險(xiǎn)成為越來(lái)越突出的問(wèn)題。本文重點(diǎn)闡述IT風(fēng)險(xiǎn)和IT治理的基本概念，以及二者之間的主要聯(lián)系，介紹使用IT治理觀念實(shí)現(xiàn)對(duì)于IT風(fēng)險(xiǎn)管理控制的主要方法。 </p><p>　　【關(guān)鍵詞】IT治理 IT風(fēng)險(xiǎn) 管控方法 </p><p><b>　　

2、一、前言 </b></p><p>　　隨著經(jīng)濟(jì)的發(fā)展和IT技術(shù)的進(jìn)步，各行各業(yè)對(duì)IT技術(shù)和IT系統(tǒng)的依賴程度越來(lái)越高。但是在IT系統(tǒng)的運(yùn)營(yíng)過(guò)程當(dāng)中，無(wú)法避免出現(xiàn)因計(jì)算機(jī)軟件、硬件、客觀環(huán)境、主觀人為等因素導(dǎo)致IT系統(tǒng)部分或全部無(wú)法提供正常服務(wù)的情況。因此，IT風(fēng)險(xiǎn)對(duì)于使用IT系統(tǒng)服務(wù)的企業(yè)和客戶，對(duì)于依賴IT系統(tǒng)開(kāi)展服務(wù)的業(yè)務(wù)是否能正常辦理影響極大，必須要重視IT風(fēng)險(xiǎn)的管理和控制。 </p&g

3、t;<p>　　二、IT治理和IT風(fēng)險(xiǎn) </p><p>　　IT風(fēng)險(xiǎn)主要是指信息科技在運(yùn)用過(guò)程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。巴塞爾協(xié)議將IT風(fēng)險(xiǎn)歸為操作風(fēng)險(xiǎn)，IT風(fēng)險(xiǎn)一般是發(fā)生在機(jī)構(gòu)在應(yīng)用IT技術(shù)參加工作的過(guò)程中，對(duì)于IT應(yīng)用目標(biāo)可能會(huì)出現(xiàn)一些影響結(jié)果的不確定性事件，具有明確的不確定性[1]。 </p><p>　　IT治理是一

4、種引導(dǎo)和控制企業(yè)各種關(guān)系和流程的結(jié)構(gòu)，這種結(jié)構(gòu)安排，旨在通過(guò)平衡信息技術(shù)及其流程中的風(fēng)險(xiǎn)和收益，增加價(jià)值，以實(shí)現(xiàn)企業(yè)目標(biāo)，是關(guān)系和過(guò)程的綜合，通過(guò)對(duì)IT技術(shù)進(jìn)行治理和控制的方式，來(lái)實(shí)現(xiàn)對(duì)于企業(yè)的指導(dǎo)和控制，從而對(duì)于IT和在此過(guò)程中出現(xiàn)的風(fēng)險(xiǎn)等進(jìn)行控制，同時(shí)實(shí)現(xiàn)企業(yè)價(jià)值的增值，實(shí)現(xiàn)企業(yè)發(fā)展的戰(zhàn)略目標(biāo)[2]。 </p><p>　　要全面使用IT治理的理念來(lái)對(duì)IT風(fēng)險(xiǎn)進(jìn)行管理控制，首先要對(duì)IT風(fēng)險(xiǎn)和IT治理以及二者之

5、間的關(guān)系做到全面的了解。正如企業(yè)需要公司治理一樣，信息化也需要IT治理，在信息化過(guò)程中，IT治理就是為鼓勵(lì)I(lǐng)T應(yīng)用的期望行為而明確的決策權(quán)歸屬和責(zé)任擔(dān)當(dāng)框架[3]。建造和運(yùn)營(yíng)一個(gè)或者若干個(gè)信息系統(tǒng)是容易的，讓這個(gè)系統(tǒng)正常地運(yùn)轉(zhuǎn)起來(lái)并能穩(wěn)定的實(shí)現(xiàn)業(yè)務(wù)價(jià)值才是現(xiàn)實(shí)的難題。雖然采用先進(jìn)的IT技術(shù)與產(chǎn)品、優(yōu)秀的管理方法在一定的程度上能降低IT風(fēng)險(xiǎn)，但并不十分保險(xiǎn)。只有通過(guò)為IT引入一定的結(jié)構(gòu)、規(guī)則、標(biāo)準(zhǔn)等框架，使IT在IT治理的基礎(chǔ)上進(jìn)行“自律

6、”，才能使得IT風(fēng)險(xiǎn)在一定區(qū)間內(nèi)浮動(dòng)，不超過(guò)企業(yè)對(duì)IT風(fēng)險(xiǎn)的容忍度。 </p><p><b>　　三、管控方法 </b></p><p>　?。ㄒ唬┮訧T治理思想應(yīng)對(duì)IT價(jià)值風(fēng)險(xiǎn)。 </p><p>　　IT和人員、資金、客戶關(guān)系一樣，都是企業(yè)運(yùn)營(yíng)所依賴的重要戰(zhàn)略資源。企業(yè)必需要應(yīng)對(duì)IT資源的投入產(chǎn)出風(fēng)險(xiǎn)。IT與業(yè)務(wù)分離是企業(yè)信息化的最大風(fēng)險(xiǎn)

7、，優(yōu)秀的企業(yè)在信息化過(guò)程中所投入的IT資源（包括數(shù)據(jù)、技術(shù)、設(shè)備、IT人員等）應(yīng)該得到充分的利用和回報(bào)，保證其符合并能夠支撐企業(yè)的戰(zhàn)略目標(biāo)，為企業(yè)贏得競(jìng)爭(zhēng)優(yōu)勢(shì)。如果企業(yè)對(duì)IT資源的投入無(wú)法滿足業(yè)務(wù)需求，甚至于業(yè)務(wù)背離，那么IT非但不會(huì)助力企業(yè)發(fā)展，反而可能成為企業(yè)的沉重負(fù)擔(dān)。 </p><p>　　為了規(guī)避風(fēng)險(xiǎn)，企業(yè)需要對(duì)IT活動(dòng)進(jìn)行控制，比對(duì)企業(yè)目標(biāo)找出偏差，并進(jìn)行修正。IT治理就是控制、找出偏差、修正IT活動(dòng)

8、的循環(huán)，以此達(dá)到控制風(fēng)險(xiǎn)（獲取安全性，可靠性和一致性）和實(shí)現(xiàn)利益（增長(zhǎng)的效益和效率）的雙重目標(biāo)，使企業(yè)能充分利用信息和信息資源的優(yōu)勢(shì)，實(shí)現(xiàn)利潤(rùn)最大化。如此治理能夠保證企業(yè)在進(jìn)行IT資源投資時(shí)，將初步的期望細(xì)化為具體要求，針對(duì)這些具體要求細(xì)致地進(jìn)行IT資源的引入和使用，從而消除IT資源的盲目投入。IT活動(dòng)同企業(yè)目標(biāo)之間不斷的糾正偏差的IT治理理念，也可以幫助企業(yè)根據(jù)不斷變化的內(nèi)外部環(huán)境適當(dāng)?shù)恼{(diào)整IT戰(zhàn)略，充分降低IT風(fēng)險(xiǎn)，保證IT資產(chǎn)能夠

9、持續(xù)發(fā)揮效益。[4] </p><p>　?。ǘ┙⑦m合自身的IT風(fēng)險(xiǎn)管理框架 </p><p>　　企業(yè)需要依據(jù)自身特點(diǎn)和環(huán)境特征建立風(fēng)險(xiǎn)管理框架來(lái)幫助其實(shí)現(xiàn)IT治理下的戰(zhàn)略目標(biāo)。本著成本和效益的原則，IT風(fēng)險(xiǎn)管理框架在基本層面所要描述的要素，應(yīng)當(dāng)適用于內(nèi)部控制環(huán)境所面臨的風(fēng)險(xiǎn)水平不同的多個(gè)組織實(shí)體，即便是性質(zhì)不同的組織所需要的風(fēng)險(xiǎn)管理的要素也應(yīng)當(dāng)是保持一致的，所謂的管理有效就是要正確

10、的找到控制成本與控制收益之間的平衡點(diǎn)，然后以一個(gè)合理的水平管理風(fēng)險(xiǎn)。 </p><p>　　目前，有很多國(guó)際上流行的控制框架可供借鑒，如COSO-ERM、CobiT、ITGov信息化風(fēng)險(xiǎn)管控體系等。通過(guò)IT風(fēng)險(xiǎn)管理框架的建立，可以明晰企業(yè)自身的IT風(fēng)險(xiǎn)偏好和容忍度，這是整個(gè)IT風(fēng)險(xiǎn)管理體系中居于宏觀的主導(dǎo)地位的策略性指標(biāo)，包括了企業(yè)愿意承擔(dān)何種IT風(fēng)險(xiǎn)，最多承擔(dān)多少IT風(fēng)險(xiǎn)，以何種方式承擔(dān)這些風(fēng)險(xiǎn)等指標(biāo)，為企業(yè)I

11、T風(fēng)險(xiǎn)管理指明了方向，也明確了企業(yè)IT風(fēng)險(xiǎn)管理的廣度和深度。通過(guò)IT風(fēng)險(xiǎn)管理框架的建立，可以梳理IT風(fēng)險(xiǎn)的識(shí)別與評(píng)估，應(yīng)對(duì)與控制、評(píng)價(jià)與計(jì)量、檢測(cè)與報(bào)告等管理流程。 </p><p>　　（三）建立適合企業(yè)自身的IT風(fēng)險(xiǎn)管理機(jī)制和IT風(fēng)險(xiǎn)管理體制 </p><p>　　企業(yè)IT風(fēng)險(xiǎn)管理框架的有效運(yùn)行還需要建立IT風(fēng)險(xiǎn)管理的報(bào)告制度、監(jiān)督機(jī)制、培訓(xùn)機(jī)制、人力資源安排、組織機(jī)構(gòu)與職責(zé)體系、文化

12、與行為準(zhǔn)則等基本要件。 </p><p>　　在組織架構(gòu)與制度層面，應(yīng)建立起在董事會(huì)或高級(jí)管理層的領(lǐng)導(dǎo)下，層次化管理的IT風(fēng)險(xiǎn)管理架構(gòu)的職責(zé)和分工體系，制定風(fēng)險(xiǎn)管理制度，風(fēng)險(xiǎn)管理手冊(cè)等制度文檔；應(yīng)有明確的機(jī)構(gòu)負(fù)責(zé)對(duì)整個(gè)企業(yè)IT風(fēng)險(xiǎn)管理體系的運(yùn)轉(zhuǎn)進(jìn)行審計(jì)監(jiān)督，并通過(guò)審計(jì)對(duì)風(fēng)險(xiǎn)管理體系的執(zhí)行情況、質(zhì)量、效力進(jìn)行評(píng)估；應(yīng)落實(shí)IT風(fēng)險(xiǎn)管理的考核及獎(jiǎng)懲機(jī)制。 </p><p><b>　　

13、四、結(jié)束語(yǔ) </b></p><p>　　現(xiàn)代企業(yè)對(duì)IT資源的依賴越來(lái)越高，但企業(yè)必須明確IT風(fēng)險(xiǎn)，并管理好這種風(fēng)險(xiǎn)。“IT治理=IT治理思想+IT治理模式+IT治理體制+IT治理機(jī)制”的IT治理理念為IT風(fēng)險(xiǎn)管理提供了思路、方法和工具，指導(dǎo)和幫助企業(yè)有效、可靠的利用IT資源，使之為企業(yè)提供更加強(qiáng)大、持續(xù)的推動(dòng)力。 </p><p><b>　　參考文獻(xiàn)： </

14、b></p><p>　　[1]歐志翔，全飛，李霽.銀行IT 風(fēng)險(xiǎn)管理分析[D].廣州：暨南大學(xué)，華南農(nóng)業(yè)大學(xué)，2013. </p><p>　　[2]吳以四.識(shí)別 IT 風(fēng)險(xiǎn)[J]. 信息方略，2012，（17）. </p><p>　　[3]彼得？維爾， 珍妮？W.羅斯.IT治理――一流績(jī)效企業(yè)的IT治理之道[M]，北京：商務(wù)印書(shū)館，2015.9（2012