一、資訊化面臨的風險
九十年代以來,資訊技術得到了快速的發展和廣泛的應用,資訊化已成為全球經濟社會發展的顯著特征,并逐漸向一場全方位的社會變革演進。目前,資訊技術己深入到各行各業,甚至影響并改變着普通百姓的生活方式,資訊資源也日益成為重要生産要素、無形資産和社會财富。
由于國内經濟的持續增長為資訊化提供了良好的外部環境和充足的投入資金,各行各業的資訊化呈現出一派欣欣向榮的景象,我國資訊化在推行電子政務、振興軟體産業、加強資訊安全保障、加強資訊資源開發利用、加快發展電子商務等方面取得了可喜的進展。同時,資訊化的應用也有力地推動了中國的經濟持續增長、産業的更新、競争力的提高,資訊化與經濟發展形成了良性循環。
從二十多年的資訊化實踐來看,目前我國的資訊化正處在一個由初級水準的投入期,向中進階水準的見效期過渡的關鍵時期,資訊化的重點己從注重對行業和企業的覆寫,注重硬體産品的配備,逐漸過渡到強調整合和開發利用資訊資源,對客戶需求做出快速反應,提高應用水準和服務品質,使組織的價值最大化。在這一階段資訊化的機會與風險并存,許多以前還沒有涉及的深層次問題都會一一暴露出來,這将考驗我們是否已經做好必要的心理準備和采取有效的應對措施。
IT治理風險
中國的資訊化建設仍然屬于"人治時代",資訊化的随意性較大,企業還沒有就資訊化形成相關的制度,缺少對資訊化進行整體規劃、實施與控制的決策機制和責任擔當架構。資訊化成功與否往往在很大程度上取決于最高管理層對資訊化的了解和個人上司力大小的影響,這種不确定性增加了組織的資訊化風險,這是IT治理風險的宏觀展現。
組織在資訊化過程中所涉及IT規劃、實施、運作、檢查等一系統IT流程,缺乏制度化與标準化的限制,缺乏部門之間及流程之間協調、溝通的機制,造成IT系統與業務需求的“邏輯錯位”,同時也造成了一個個的 資訊“孤島”,這是IT治理風險的微觀展現。如何在組織中建立較完善的IT治理機制,使資訊化的決策與實施成為組織中的一種完善的制度存在,己是擺在我們面前的迫切任務。
IT可用性風險
而随着資訊化的深入,組織的核心應用系統都己構架在IT平台之上,越來越多的政府、商業、教育等機構的業務正常運作離不開IT系統。随着IT技術的高速發展,IT平台(如硬體、網絡、系統)的複雜性越來越高,各種系統漏洞層出不窮,頻繁的停機事件令使用者窮于應付;就算是IT技術系統沒有漏洞,也不等于就能提供優質的IT服務;另一方面,國内許多組織不能建立有效的故障管理、變更管理、配置管理等IT服務管理流程也是造成IT系統停機的原因;缺乏必要業務連續性計劃也是造成IT可用性降低的重要原因。
IT系統的停機将使組織的業務受到巨大損失、造成聲譽下降、競争優勢喪失。2006年幾起資訊安全事件,如:銀聯計算機故障造成不能跨行取款,首都機場離港系統故障造成大量旅客滞留機場,5月份開始的A股交易量連續井噴造成多家證券公司出現“堵單”等事件,就生動地告誡我們,由于脆弱的基礎設施和IT管理流程,使得這種不斷增強的對IT的依賴性就是潛在的風險。
資訊安全風險
在資訊化的整合見效期,對組織而言資訊比以往具有更高的價值,而資訊固有的弱點決定其易傳播、易毀損、易僞造。網際網路給我們帶來便利的同時,網上行動的遠端化以及網際網路“無政府狀态”,使得資訊安全面臨嚴峻的挑戰,即使是一個中學生,通過黑客網站的簡單教育訓練,也能發起具有危害性的攻擊。目前網際網路上黑客網站已超過3萬個,一些有影響力的黑客網站的會員超過萬人。黑客攻擊網站的行動此起彼伏,造成許多商業網站、政府網站被入侵,大量網銀使用者網上銀行存款被盜,許多敏感機密資訊被洩露。
據統計去年産生的電腦病毒和木馬的數量達到23萬個,其中90%以上帶有明顯的利益特征,有竊取個人資料、各種賬号密碼等行為,嚴重威脅着網際網路的安全。第一毒王“熊貓燒香”病毒己造成超過一千萬的個人及企業使用者中毒,直接及間接經濟損失高達億元以上。
IT績效風險
國内在資訊與資訊系統上的投資規模與成本都在不斷擴大,高投入帶來了高風險。根據商務部研究院資訊咨詢中心提供的資料,2005年我國在資訊化改造提升方面的投入達到了2829億,2006年是3227億元,預計2007年将達到4236億元。從2005到2007年中國行業資訊化投入的絕對增加額将達到 1300億以上,未來幾年行業資訊化IT投入将進入了高增長期。如果IT投資行為如果不能帶來合理的回報,将使組織面臨巨大風險。這幾年國内資訊化失敗的案例比比皆是,如果規劃不當、控制不嚴,IT系統不能帶來預期的業務價值,那麼,巨額的資訊化投入很可能造成新一輪的“投資黑洞”
IT績效風險另一表現就是對IT的投資績效和運作績效不能進行有效測量。不能測量意味着無法了解目前IT系統的“健康狀況”,就不能有效地發現存在的問題,并采取有針對性的改進措施。
合規性風險
由于IT在社會和經濟生活越來越充當重要角色,國内外近年來出台了許多法律法規加強對IT的監管。
例如,2002年美國國會釋出了《薩班斯—奧克斯利法案》,在這個法案中明确提出了所有上市公司都必須加強風險管理,建立有效的内部控制架構,以確定上市公司遵守證券法律以提高公司披露的準确性和可靠性,進而保護投資者及其他目的。在美國上市的公衆公司需要投入大量的人力、物力和财力來建立内部控制,中國在美國上市的中石化、中國人壽、新浪、亞信等企業也為此付出了巨大的努力。據美國Financial Executive International組織對321個公司的調查顯示,在一個規模比較大、年營業收入超過50億美元的公司,建立此體系至少需要470萬美元,維系其運轉需要每年150萬美元。
雖然薩班斯法沒有直接明确對IT的要求,但企業在實施符合法案要求的内控過程時,發現IT方面的工作量竟然占到了40%以上,這是因為一方面IT要作為管理組織業務風險的工具與手段,例如,對财務應用系統的機密性、完整性控制,以及對業務交易資訊的監督與資料采集都離不開IT系統;另一方面IT本身的風險,例如網絡風險、系統風險、應用風險,也是薩班斯法關注的重要内容,特别是如何使已有的IT流程和應用系統中的控制符合薩班斯法的要求是CIO最為頭痛的問題。
近年來,國内行業主管部門一直在要求企業加強風險管理。2004年9月30日中國銀監會釋出了《商業銀行内部控制評價試行辦法》,旨在為規範和加強對商業銀行内部控制評價,督促商業銀行建立内部控制體系,健全内部控制機制,保證商業銀行穩健運作,其中包括了對建立銀行計算機系統内部控制的要求。2006年3月1日銀監會釋出《電子銀行業務管理辦法》和《電子銀行安全評估指引》,直接對技術風險較大的電子銀行提出了進行獨立的或相對獨立的資訊系統審計的要求。與此同時,其他行業監管部門也準備出台類似的風險管理措施。中國财政部于2006年10月發起成立企業内部控制标準委員會,其目的是為推動企業完善治理結構和内部限制機制。企業内部控制标準委員會的成立,預示着我國企業在内部控制方面将迎來一部類似美國《薩班斯法案》的标準體系,屆時必将對IT風險控制提出相應的要求。
這些方面并沒有涵蓋所有的IT風險,反映的問題也隻是冰山之一角,不同的行業在不同的時期,其IT風險有着不同的表現形式。在應對這些IT風險時,我們也曾有過各種風險控制方法和模型,但一般都是針對技術風險提出來的,偏重于某一技術領域,而且大多是采用事後反應式的控制措施。在資訊化的整合見效期,這種單一的“救火模式”将使我們疲于應付各種層出不窮的風險。特别對于像制度、流程、人員行為等方面有可能涉及組織核心價值的風險,傳統的控制方法存在明顯不足。
科學合理的IT風險管理體系應當具有前瞻性的、全局性的控制機制,能融合防範與應對資訊安全、IT治理、IT管理、IT服務、IT應用、IT項目、IT基礎設施、業務連續性、IT外包等方面的風險,并能有效地指導組織控制IT風險,使IT戰略與企業戰略相融合,促進IT為組織持續地創造價值,以實作有效益的資訊化。
二、COSO企業風險管理架構
在研究與探讨IT風險管理架構時,讓我們先跳出IT,從行業監管者及企業管理者的角度來觀察是如何管理企業風險,順着這樣的思路,接合我們國内IT風險控制的具體情況,我們建立一個既符合COSO要求,又能指導企業一步步實施對IT的風險控制的IT風險管理架構。
從行業監管者和企業管理層來看,對企業風險進行控制是保護企業核心競争力的有效手段,IT風險是企業風險管理的有效組成部分。不管是什麼規模的組織,都需要有一套控制指南來有效地管理企業内外各種各樣的風險,并随着業務環境的變化和新技術的發展及時更新,才能保證企業健康、持續地發展,有效的風險管理己成為企業發展的主旋律。
COSO是行業監管者及企業管理者最常使用的風險管理架構。COSO企業風險管理架構于2004年4月由美國COSO委員會正式頒布。COSO委員會認為企業風險管理是一個由企業的董事會、管理層和其他員工共同參與的,應用于企業戰略制定和企業内部各個層次和部門的,用于識别可能對企業造成潛在影響的事項,并在其風險容納量(Risk Appetite)範圍内管理風險的,為企業目标的實作提供合理保證的過程。此架構要求企業管理者以風險組合的觀點看待風險,對包括IT風險在内的所有風險進行識别并采取措施使企業所承擔的風險在風險容納量的範圍内。
COSO管理架構的主要内容:
風險管理目标
确定企業的戰略
提高企業營運效率,取得好的經營效果;
保證企業報告的可靠性;
遵循相關法律法規的要求。
為達成以上目标,管理風險的主要過程有:
控制環境
任何企業的核心是企業中的人及其活動。人的活動在環境中進行,人的品性包括操守、價值觀和能力等,它們是構成環境的重要要素之一,又與環境互相影響、互相作用。環境要素是推動企業發展的引擎,也是其他要素的核心。
目标制定
在風險管理架構中,由于要針對不同的目标分析其相應的風險,是以目标的制定自然就成為風險管理流程的首要步驟,并将其确認為風險管理架構的一部分。
事項識别
企業風險管理和内部控制架構都承認風險來自于企業内、外部各種因素,而且可能在企業各個層面上出現,并且應根據對實作企業目标的潛在影響來确認風險。
風險評估
企業必須制定目标,該目标必須和生産、營銷、财務等作業相結合。為此,企業也必須設立可辨認、分析和管理相關風險的機制,以了解自己所面臨的風險,并适時加以處理。
風險反應
企業風險管理架構提出對風險的四種反應方案:規避、減少、轉移和接受風險。
控制活動
企業必須制定控制政策及程式,并予以執行,以幫助管理當局保證其控制目标的實作,其用以辨認并用以處理風險所必須采取的行動業已有效落實。
資訊和溝通
圍繞在控制活動周圍的是資訊與溝通系統。這些系統使企業内部的員工能取得他們在執行、管理和控制企業經營過程中所需的資訊,并交換這些資訊。
監督
整個内部控制的過程必須施以恰當的監督,通過監督活動在必要時對其加以修正。監控是一個評價内部控制運作組織的過程。
實施控制的地點
組織的各個層面實施控制,例如,在總公司、分公司、業務機關、機關部門、實體層都需要建立相應的控制。
COSO風險管理架構是各上市公司為符合薩班斯法案要求而采納的主要方法,我國銀監會釋出的《商業銀行内部控制評價試行辦法》也采用了COSO内控體系的方法論,其中也涉及了IT内控制的内容。COSO風險管理架構給我們有以下啟發:
要站在企業管理者的角度來看待風險,企業風險是由包括IT風險在内的其他風險組合而成。
強調“人”的重要性,組織中的每一個人對風險管理都負有責任;
強調“軟控制”的作用。“軟控制”主要指那些屬于精神層面的事物,如進階管理階層的管理風格、管理哲學、企業文化、内部控制意識等,“軟控制”影響人的行為。
強調風險管理是一個“動态過程”,風險管理是一個發現問題、解決問題、發現新問題、解決新問題的循環往複的PDCA過程。
明确指出内部控制隻能做到“合理”保證,目标達成的可能性受許多先天條件不足及各種“不确定性”的影響。
沒有不花錢的内部控制,也不存在完美無缺的内部控制。
三、COSO架構下的IT風險管理架構
企業在實施風險管理過程中,四個目标都應當有IT的相關内容,其八個過程也有相應的IT内容,例如:COSO的“控制環境”對應着IT的“IT治理、法規及标準符合性”,“風險評估”對應着“IT風險評估及影響分析”等。
這八個方面的各項控制又可進一步分三個層次的控制,一是公司層控制、二是應用層控制,三是一般控制層或稱基礎層控制。
公司級控制
公司級控制主要與COSO中的控制環境及風險評估有關,為一般控制和應用控制設定基調。公司級控制一般包括以下内容:
最高管理層設定的基調與方向
職業道德中的正直性、價值觀、勝任能力
IT管理哲學和業務運作類型
對IT管理層的授權與責任
IT政策與程式
IT組織中人員的責任與技能
一般控制
一般控制就是保證計算機資訊系統能夠以持續、正确的方式運作的政策與程式,包括資料中心營運、系統軟體擷取與維護、通路安全、應用系統開發和維護等内容。一般控制能對通過程式設計實作的應用系統控制機能提供支援,一般控制有時也稱為一般計算機控制和資訊技術控制。一般控制過程主要包括:
安全管理
應用系統變更控制
資料管理
災難恢複
資料中心營運
問題管理
資産管理
應用控制
應用控制是為保證業務過程的正常運作,而設計在應用系統中控制措施,以防止和檢測錯誤的和非授權的交易,保證交易處理的完整性、準确性、合法性及适當授權。一般在應用系統中的以下環節建立應用控制:
進行計算時;
實施資料合法性驗證和編輯檢查時;
與其他系統有資料接口時;
管理層需要依靠應用系統進行完整、準确的排序、彙總和報告關鍵資訊時;
限制對交易和資料通路時。
IT風險管理的過程也類似于企業風險的過程,主要有以下風險識别、風險分析、風險處理、風險監督、風險報告及改進的過程:
以上三個層次的IT風險管理,在組織中可以分階段地通過一個個的IT風險控制項目,例如COBIT、ISMS、ITSM、BCP、CMMI等進行實施,也可以選擇其中的某些過程進行整合後實施。
對于所建立IT内部控制措施是否能有效地控制風險,還需要通過第三方對組織内部措施的有效性進行獨立審計,出具審計報告,以證明内部控制措施完備性。
以上過程是許多上市公司在建立符合薩班斯法要求的IT風險控制架構時的主要方法,這種方法的主要優點是把IT風險放在企業風險的高度進行管理,容易得到管理層的了解與支援,涉及的風險較全面,控制與改進的方法較完備。缺點是控制的粒度還較粗,還不能适當對IT進行精細控制的要求。
四、适用的IT風險管理架構
我們結合以上内容,進行合理擴充并增加控制的粒度,提出了一套适應我國IT風險實際情況的控制架構。
建立資訊化的“遊戲規則”
建造一個資訊系統是容易的,讓這個系統正常地運轉起來并能實作業務價值,則是現實的難題。雖然采用先進的IT技術與産品、優秀的管理方法在一定的程度上能降低IT風險,但并不十分保險,隻有通過為IT引入一定的結構、規則與标準,使IT在“他律”(IT治理)的基礎上進行“自律”(IT管理),才能使得IT風險在一定的架構内上下左右浮動,不超過企業計劃中的風險範圍。
這個架構就是IT風險管理架構,也可以稱為IT的“遊戲規則”,忽略了規則的建立是國内資訊化成功率低的根源,我們應當把建立資訊化的“遊戲規則”看成是資訊化的重要内容之一。
IT風險管理架構的目标
完善IT風險控制體系,降低IT成本,實作IT與企業戰略、管理、業務、安全的深度融合,使IT為企業持續地創造價值,有效率并有效果地進行資訊化。
IT風險管理架構的原則
建立IT治理機制,使IT治理成為公司治理的一部分,在組織的最高決策層上對資訊化的進行監管與制衡;
對IT進行規劃,確定IT戰略與業務戰略的一緻,資訊化一定要為業務所想、為業務所用,IT與業務的分離是資訊化面臨的最大風險。在總體規劃指導下進行應用、資料和技術方面的架構設計,以獲得标準化的技術規範與指南。
在技術與管理上保證和各種異構IT資源能在統一的架構環境下,實作協同工作、無縫地進行資料交換。
采用國際上得到普遍認可的IT控制标準(例如:COBIT、ITIL、ISO27001)及行業最佳實踐,為資訊化管理提供規範和标準;
識别組織中的重要IT過程,确定其目标、功能與職責。梳理出縱向上的技術管理過程和橫向上的客戶服務過程,推行過程管理的思想;
持續地評估IT績效,可以從整體資訊化績效、IT項目績效及IT人員績效等多個方面進行評估,以了解目前IT狀況,為及進的調整與改進提供依據;
通過PDCD的過程,即計劃、實施、調整、改進的循環,使資訊化保持在可持續發展的軌道上,階段性地進行資訊系統審計,以發現存在的偏離,及時調整到資訊化的最終目标上來。
IT風險管理架構的内容
根據IT風險管理的目标和原則,我們給出IT風險管理架構的一種具體實作,其步驟如圖所示:
IT風險管理架構各環節描述如下:
完善IT治理結構
從宏觀上來說,IT治理要綜合公司治理結構、企業戰略規劃,使IT治理作為公司治理的一部分,也就是要确定IT原則、IT架構、基礎設施、應用設施和投資優先順序的決策權歸屬和職責分工。通過建立IT委員會的方式來建立良好的治理結構,通過對權力的監督與平衡,就可把IT戰略風險與管理風險控制在一定範圍内,那麼無論由誰來上司,IT的建設就不會大起大落。
從微觀上來說,為保護IT與業務目标一緻,有限利用IT資源,提高績效,降低風險與控制成本,需按照國際普遍接受的企業内部控制标準COBIT,在IT的計劃與組織、獲得與實施、傳遞與支援、監控四個領域建立IT控制過程,有效地控制IT建設的整個生命周期的風險。
業務需求識别
目前企業競争激烈、内部變革頻繁,要實作IT與業務的融合,就需要建立一套具備一定适應能力,能夠識别不斷變化的業務需求,并能夠快速有效地作為響應的機制。業務需求是促進IT發展的源動力,準确、及時地捕捉組織的業務需求,并使之成為資訊化建設與調整的依據,這是降低IT風險的可靠保證。
對業務需求的識别,需要IT人員了解企業的業務流程,并站在業務管理者的角度思考企業發展的重大問題,這對IT人員的提出了新的挑戰。
業務模組化
資訊化項目無論是網絡建設、安全建設,還是應用開發,都需要了解組織特征,确定業務流程,應當在資訊化之前就為組織建立可靠的業務模型。業務模組化可以建立一個複雜業務的抽象描述,使其成為同業務中各項目相關人員(如擁有者、管理者、雇員和客戶)交流的基礎。一旦能更好地了解業務功能,我們就能較容易地完善業務流程,較容易地發現、識别新的業務機會(即業務的完善或革新),并為網絡建設、安全建設及應用開發提供準确的需求定義。
資料标準化
“資訊孤島現象”是資訊化的另一個較大風險,現在許多行業都在進行資料大集中,但遇到很多問題,進展緩慢,這都與沒有做好前期資料規劃、實施資料标準化有關。IT系統的建設首先要以資料為中心,資料是穩定的,處理是多變的。資料标準化可以根本上解決資料品質控制問題,減少資料處理系統中資料元素總數,提供便捷而準确的資訊,使用者友善快速地檢索到所需資訊。資料标準化為提高資訊的互操作性、減少資訊孤島、降低資訊化的風險奠定了基礎。
IT規劃與架構設計
IT系統規劃是以組織的目标、戰略、目的、過程以及資訊需求為基礎,識别并選擇建立哪種IT系統以及什麼時間建立的過程。通過IT規劃,明确IT的投資方向,實作可控的IT投資成本,在有效地管理資訊化有關風險的基礎上,獲得可持續改進和提升的IT能力。有效的IT規劃可以将組織戰略目标轉化為IT系統的戰略目标的過程,是現代企業的戰略規劃的重要組成部分,是企業商業模式創新的最好機會,是企業管理系統變革的準備和前奏。
在總體規劃的指導下,需要進行企業的整體IT架構設計,IT架構由應用、資料、技術架構構成,架構為IT标準化提供了依據和架構,有力地指導IT标準化的工作。IT标準化是架構應用的手段,是架構“落地”的工具,同時,在标準化過程中整個架構逐漸完善。
IT業務流程優化
按照國際通行的IT控制架構,建立并優化從資訊技術的規劃與組織、采集與實施、傳遞與支援、監控等四個方面的多個資訊技術處理過程。從品質、成本、時間、資源使用率、系統效率、保密性、完整性、可用性等方面來保證資訊的安全性、可靠性、有效性。
建立資訊安全管理體系
建立資訊安全管理體系是建立資訊安全防線的起點,ISO27001是一個可以指導組織安全實踐的資訊安全管理标準,它從管理、技術、人員、過程的角度來定義、建立、實施資訊安全管理體系,保障組織的資訊安全“滴水不漏”,確定組織業務的持續營運,維護企業的競争優勢。
IT服務管理
IT服務管理是一種以流程為導向、以客戶為中心的方法,它通過整合IT服務與組織業務,提高組織IT服務提供和服務支援的能力及其水準。建立有效的IT服務管理體系有助于為組織提高IT服務的有效性與經濟性,可以消除 “資訊技術人員充當救火隊員”的局面。通過對業務支撐系統實施IT服務管理,對組織的各種資源進行優化,形成全面、統一、集中的管理構架及服務管理流程,確定資訊系統企業發展提供可靠、經驗、高效的資訊服務
IT項目管理與監理
IT項目管理就是以項目為對象的系統管理方法,通過一個臨時性的、專門的柔性組織,運用相關的知識、技術和手段,對項目進行高效率的計劃、組織、指導和控制,以實作項目全過程的動态管理和項目目标的綜合協調與優化。在IT項目管理中,可結合PMBOK和 PRINCE2的方法,使PMBOK定位于項目管理知識架構,PRINCE2定位于項目管理實施指南。
IT項目監理的中心任務是要規劃和控制工程項目的投資、進度和品質三大目标;監理的基本方法是目标規劃、動态控制、組織協調和合同管理;監理工作貫穿規劃、設計、實施和驗收的全過程。資訊工程監理正是通過投資控制、進度控制、品質控制以及合同管理和資訊管理來對工程項目進行監督和管理,保證工程的順利進行和工程品質。具體的監理辦法可參照資訊産業部釋出的《資訊系統工程監理暫行規定》。
IT應急計劃
組織應當制定和執行應急計劃,通過預防性和恢複性措施的結合,把災難或者安全事故(例如可能由于自然災害、突發事件、裝置故障和故意的行為)所導緻的破壞減少到一個可以接受的水準。IT應急計劃呈現了在緊急事件發生後為了維持和恢複關鍵的IT服務所進行的範圍廣泛的活動。IT應急計劃适合于廣泛的緊急事件準備環境,包括組織和業務處理連續性及恢複計劃。為了對影響組織IT系統、業務處理和設施的外部威脅作出反應,并恢複和保持連續性的活動,組織通常會應用一系列計劃進行準備工作。
IT資源協同
IT資源協同可以通過架構設計、技術産品、管理協調、業務外包及建立共享服務中心等多種方式實作。其目的是實作資訊共享、業務整合和資源優化,以破解“資訊孤島”、“應用孤島”和“資源孤島”三大難題。
IT資源協同首先是對資訊的高度共享。資訊共享是為了最大限度的發揮其本身的價值,無論是企業管理者、員工、還是外部的合作夥伴,都可以很友善的查找到相關的資訊以支援事務的處理,并利用資訊創造新的價值。
其次是對各個業務的整合。這些業務盡管更多的時候從屬于企業的不同人員、不同部門,但本質上來說它們都是緊密關聯的,并形成企業特有的業務體系,企業需要對各個業務進行充分的整合以使業務能夠協調和平滑運作,任何業務鍊的“斷折”或業務的“死角”都會對企業的營運産生影響。
第三是對各種資源的調配和優化。這些資源包括企業的人、财、物、資訊和流程,當企業實作了資訊共享和業務整合後,企業的“神經網絡體系”才能夠高效和通暢的運轉,并使這些資源能夠突破各種壁壘和障礙,在企業統一管理和協調下為共同的目标實作而服務。
IT績效測量
對IT進行績效測量無論是在國内還是國外都是一個難點。對IT進行績效測量首先應當進行IT投資效益分析,使投資的成本和收益都明細化和具體化,以輔助進行IT投資決策和IT投資風險控制。
其次,是對IT進行财務管理。IT财務管理包括IT預算、IT會計及IT計費。IT預算為IT的營運提供預算計劃,進而為維持和改善服務預測未來的花費。IT會計核算保證了花費在準許的計劃範圍之内,并且使資金得到很好的利用。IT計費使我們對向一個特定業務單元提供服務的成本有一個更好的了解,并且使業務部門對自己的服務消費更加負有責任。
第三是進行IT績效分析。持續地評估IT績效,可以從整體資訊化績效、IT項目績效及IT人員績效等多個方面進行評估,以了解目前IT狀況,使IT和業務部門都知道IT對實作業務目标的貢獻是怎樣的,幫助IT組織将工作與關鍵業務目标結合在一起,并通過客觀評價報告和改進績效,幫助組織獲得業務部門上司的信任,為及進的調整與改進提供依據。
資訊系統審計
資訊系統審計是一個擷取并評價證據,以判斷計算機系統是否能夠保證資産的安全、資料的完整以及有效率地利用組織的資源并有效果地實作組織目标的過程。由于資訊技術在經營、管理領域的廣泛運用,資訊系統審計已經貫穿在各種審計之中,成為審計全過程的一部分。資訊系統審計是一種控制資訊系統風險的有效方式,它是從獨立的、第三方的的角度來審視資訊化過程中的各種風險,合理地鑒證被審計機關資訊系統及其處理、産生的資訊的真實性、完整性與可靠性,政策遵循的一貫性,并可對IT的績效進行審計,以發現偏離,促進及進進行調整。
五、IT風險控制架構的實施步驟
建立IT風險管理架構是組織控制IT風險、確定組織實作其業務目标的有效方式,以上所介紹IT風險控制架構是通過多年的研究及實踐總結出來的通用方法論,不同的組織在建立控制架構的過程中,還要根據自身的實際情況應地制宜,靈活應用。
一般來說,組織在建立與完善IT風險管理架構時,可以分以下幾個階段實作:
第一階段:IT資源普查、建立初步控制
目标
總體治理架構的指導下,初步建立IT風險控制體系,為業務系統運作提供較可靠的保障。
主要措施:
業務流程調查,識别主要業務流程,并進行初步模組化;
為企業的業務活動建立标準的資料體系,并具有快速識别新的業務需求和進行業務模組化的能力;
進行IT架構設計,形成應用、資料、技術架構方面的規範與指南;
梳理IT流程、劃分安全域及識别資訊資産,進行風險評估;
按照ISO27001、COBIT規範建立較可靠的資訊安全管理和IT控制體系;
建立資訊系統審計制度,從獨立、客觀的角度保證系統安全;
建立内部員工教育訓練制度,實施全員教育訓練。
–
第二階段:資源協同、全面控制
目标:
實作有效的資源協同,為業務活動提供可靠的支撐,深化IT風險控制,實作應用系統與安全系統的全面內建。
建立統一的應用系統平台,實作IT資源協同,為己有業務及新業務提供靈活可靠的支撐平台;
建立統一安全保障平台,實作應用系統與安全系統全面內建;
建立IT服務管理機制,提高客戶對IT服務的滿意度;
深化資訊安全管理、資訊系統審計,建立較為完善的IT治理環境;
對IT組織、人員、流程、項目建立較為科學的績效考核制度。
第三階段:業務創新、完善控制