一、信息化面临的风险
九十年代以来,信息技术得到了快速的发展和广泛的应用,信息化已成为全球经济社会发展的显著特征,并逐步向一场全方位的社会变革演进。当前,信息技术己深入到各行各业,甚至影响并改变着普通百姓的生活方式,信息资源也日益成为重要生产要素、无形资产和社会财富。
由于国内经济的持续增长为信息化提供了良好的外部环境和充足的投入资金,各行各业的信息化呈现出一派欣欣向荣的景象,我国信息化在推行电子政务、振兴软件产业、加强信息安全保障、加强信息资源开发利用、加快发展电子商务等方面取得了可喜的进展。同时,信息化的应用也有力地推动了中国的经济持续增长、产业的升级、竞争力的提高,信息化与经济发展形成了良性循环。
从二十多年的信息化实践来看,目前我国的信息化正处在一个由初级水平的投入期,向中高级水平的见效期过渡的关键时期,信息化的重点己从注重对行业和企业的覆盖,注重硬件产品的配备,逐步过渡到强调整合和开发利用信息资源,对客户需求做出快速反应,提高应用水平和服务质量,使组织的价值最大化。在这一阶段信息化的机会与风险并存,许多以前还没有涉及的深层次问题都会一一暴露出来,这将考验我们是否已经做好必要的思想准备和采取有效的应对措施。
IT治理风险
中国的信息化建设仍然属于"人治时代",信息化的随意性较大,企业还没有就信息化形成相关的制度,缺少对信息化进行整体规划、实施与控制的决策机制和责任担当框架。信息化成功与否往往在很大程度上取决于最高管理层对信息化的理解和个人领导力大小的影响,这种不确定性增加了组织的信息化风险,这是IT治理风险的宏观体现。
组织在信息化过程中所涉及IT规划、实施、运行、检查等一系统IT流程,缺乏制度化与标准化的约束,缺乏部门之间及流程之间协调、沟通的机制,造成IT系统与业务需求的“逻辑错位”,同时也造成了一个个的 信息“孤岛”,这是IT治理风险的微观体现。如何在组织中建立较完善的IT治理机制,使信息化的决策与实施成为组织中的一种完善的制度存在,己是摆在我们面前的迫切任务。
IT可用性风险
而随着信息化的深入,组织的核心应用系统都己构架在IT平台之上,越来越多的政府、商业、教育等机构的业务正常运行离不开IT系统。随着IT技术的高速发展,IT平台(如硬件、网络、系统)的复杂性越来越高,各种系统漏洞层出不穷,频繁的停机事件令用户穷于应付;就算是IT技术系统没有漏洞,也不等于就能提供优质的IT服务;另一方面,国内许多组织不能建立有效的故障管理、变更管理、配置管理等IT服务管理流程也是造成IT系统停机的原因;缺乏必要业务连续性计划也是造成IT可用性降低的重要原因。
IT系统的停机将使组织的业务受到巨大损失、造成声誉下降、竞争优势丧失。2006年几起信息安全事件,如:银联计算机故障造成不能跨行取款,首都机场离港系统故障造成大量旅客滞留机场,5月份开始的A股交易量连续井喷造成多家证券公司出现“堵单”等事件,就生动地告诫我们,由于脆弱的基础设施和IT管理流程,使得这种不断增强的对IT的依赖性就是潜在的风险。
信息安全风险
在信息化的整合见效期,对组织而言信息比以往具有更高的价值,而信息固有的弱点决定其易传播、易毁损、易伪造。互联网给我们带来便利的同时,网上行动的远程化以及互联网“无政府状态”,使得信息安全面临严峻的挑战,即使是一个中学生,通过黑客网站的简单培训,也能发起具有危害性的攻击。目前互联网上黑客网站已超过3万个,一些有影响力的黑客网站的会员超过万人。黑客攻击网站的行动此起彼伏,造成许多商业网站、政府网站被入侵,大量网银用户网上银行存款被盗,许多敏感机密信息被泄露。
据统计去年产生的电脑病毒和木马的数量达到23万个,其中90%以上带有明显的利益特征,有窃取个人资料、各种账号密码等行为,严重威胁着互联网的安全。第一毒王“熊猫烧香”病毒己造成超过一千万的个人及企业用户中毒,直接及间接经济损失高达亿元以上。
IT绩效风险
国内在信息与信息系统上的投资规模与成本都在不断扩大,高投入带来了高风险。根据商务部研究院信息咨询中心提供的数据,2005年我国在信息化改造提升方面的投入达到了2829亿,2006年是3227亿元,预计2007年将达到4236亿元。从2005到2007年中国行业信息化投入的绝对增加额将达到 1300亿以上,未来几年行业信息化IT投入将进入了高增长期。如果IT投资行为如果不能带来合理的回报,将使组织面临巨大风险。这几年国内信息化失败的案例比比皆是,如果规划不当、控制不严,IT系统不能带来预期的业务价值,那么,巨额的信息化投入很可能造成新一轮的“投资黑洞”
IT绩效风险另一表现就是对IT的投资绩效和运行绩效不能进行有效测量。不能测量意味着无法了解当前IT系统的“健康状况”,就不能有效地发现存在的问题,并采取有针对性的改进措施。
合规性风险
由于IT在社会和经济生活越来越充当重要角色,国内外近年来出台了许多法律法规加强对IT的监管。
例如,2002年美国国会发布了《萨班斯—奥克斯利法案》,在这个法案中明确提出了所有上市公司都必须加强风险管理,建立有效的内部控制框架,以确保上市公司遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。在美国上市的公众公司需要投入大量的人力、物力和财力来建立内部控制,中国在美国上市的中石化、中国人寿、新浪、亚信等企业也为此付出了巨大的努力。据美国Financial Executive International组织对321个公司的调查显示,在一个规模比较大、年营业收入超过50亿美元的公司,建立此体系至少需要470万美元,维系其运转需要每年150万美元。
虽然萨班斯法没有直接明确对IT的要求,但企业在实施符合法案要求的内控过程时,发现IT方面的工作量竟然占到了40%以上,这是因为一方面IT要作为管理组织业务风险的工具与手段,例如,对财务应用系统的机密性、完整性控制,以及对业务交易信息的监督与数据采集都离不开IT系统;另一方面IT本身的风险,例如网络风险、系统风险、应用风险,也是萨班斯法关注的重要内容,特别是如何使已有的IT流程和应用系统中的控制符合萨班斯法的要求是CIO最为头痛的问题。
近年来,国内行业主管部门一直在要求企业加强风险管理。2004年9月30日中国银监会发布了《商业银行内部控制评价试行办法》,旨在为规范和加强对商业银行内部控制评价,督促商业银行建立内部控制体系,健全内部控制机制,保证商业银行稳健运行,其中包括了对建立银行计算机系统内部控制的要求。2006年3月1日银监会发布《电子银行业务管理办法》和《电子银行安全评估指引》,直接对技术风险较大的电子银行提出了进行独立的或相对独立的信息系统审计的要求。与此同时,其他行业监管部门也准备出台类似的风险管理措施。中国财政部于2006年10月发起成立企业内部控制标准委员会,其目的是为推动企业完善治理结构和内部约束机制。企业内部控制标准委员会的成立,预示着我国企业在内部控制方面将迎来一部类似美国《萨班斯法案》的标准体系,届时必将对IT风险控制提出相应的要求。
这些方面并没有涵盖所有的IT风险,反映的问题也只是冰山之一角,不同的行业在不同的时期,其IT风险有着不同的表现形式。在应对这些IT风险时,我们也曾有过各种风险控制方法和模型,但一般都是针对技术风险提出来的,偏重于某一技术领域,而且大多是采用事后反应式的控制措施。在信息化的整合见效期,这种单一的“救火模式”将使我们疲于应付各种层出不穷的风险。特别对于像制度、流程、人员行为等方面有可能涉及组织核心价值的风险,传统的控制方法存在明显不足。
科学合理的IT风险管理体系应当具有前瞻性的、全局性的控制机制,能融合防范与应对信息安全、IT治理、IT管理、IT服务、IT应用、IT项目、IT基础设施、业务连续性、IT外包等方面的风险,并能有效地指导组织控制IT风险,使IT战略与企业战略相融合,促进IT为组织持续地创造价值,以实现有效益的信息化。
二、COSO企业风险管理框架
在研究与探讨IT风险管理框架时,让我们先跳出IT,从行业监管者及企业管理者的角度来观察是如何管理企业风险,顺着这样的思路,接合我们国内IT风险控制的具体情况,我们建立一个既符合COSO要求,又能指导企业一步步实施对IT的风险控制的IT风险管理框架。
从行业监管者和企业管理层来看,对企业风险进行控制是保护企业核心竞争力的有效手段,IT风险是企业风险管理的有效组成部分。不管是什么规模的组织,都需要有一套控制指南来有效地管理企业内外各种各样的风险,并随着业务环境的变化和新技术的发展及时更新,才能保证企业健康、持续地发展,有效的风险管理己成为企业发展的主旋律。
COSO是行业监管者及企业管理者最常使用的风险管理框架。COSO企业风险管理框架于2004年4月由美国COSO委员会正式颁布。COSO委员会认为企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项,并在其风险容纳量(Risk Appetite)范围内管理风险的,为企业目标的实现提供合理保证的过程。此框架要求企业管理者以风险组合的观点看待风险,对包括IT风险在内的所有风险进行识别并采取措施使企业所承担的风险在风险容纳量的范围内。
COSO管理框架的主要内容:
风险管理目标
确定企业的战略
提高企业运营效率,取得好的经营效果;
保证企业报告的可靠性;
遵循相关法律法规的要求。
为达成以上目标,管理风险的主要过程有:
控制环境
任何企业的核心是企业中的人及其活动。人的活动在环境中进行,人的品性包括操守、价值观和能力等,它们是构成环境的重要要素之一,又与环境相互影响、相互作用。环境要素是推动企业发展的引擎,也是其他要素的核心。
目标制定
在风险管理框架中,由于要针对不同的目标分析其相应的风险,因此目标的制定自然就成为风险管理流程的首要步骤,并将其确认为风险管理框架的一部分。
事项识别
企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素,而且可能在企业各个层面上出现,并且应根据对实现企业目标的潜在影响来确认风险。
风险评估
企业必须制定目标,该目标必须和生产、营销、财务等作业相结合。为此,企业也必须设立可辨认、分析和管理相关风险的机制,以了解自己所面临的风险,并适时加以处理。
风险反应
企业风险管理框架提出对风险的四种反应方案:规避、减少、转移和接受风险。
控制活动
企业必须制定控制政策及程序,并予以执行,以帮助管理当局保证其控制目标的实现,其用以辨认并用以处理风险所必须采取的行动业已有效落实。
信息和沟通
围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。
监督
整个内部控制的过程必须施以恰当的监督,通过监督活动在必要时对其加以修正。监控是一个评价内部控制运行组织的过程。
实施控制的地点
组织的各个层面实施控制,例如,在总公司、分公司、业务单位、单位部门、实体层都需要建立相应的控制。
COSO风险管理框架是各上市公司为符合萨班斯法案要求而采纳的主要方法,我国银监会发布的《商业银行内部控制评价试行办法》也采用了COSO内控体系的方法论,其中也涉及了IT内控制的内容。COSO风险管理框架给我们有以下启发:
要站在企业管理者的角度来看待风险,企业风险是由包括IT风险在内的其他风险组合而成。
强调“人”的重要性,组织中的每一个人对风险管理都负有责任;
强调“软控制”的作用。“软控制”主要指那些属于精神层面的事物,如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等,“软控制”影响人的行为。
强调风险管理是一个“动态过程”,风险管理是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的PDCA过程。
明确指出内部控制只能做到“合理”保证,目标达成的可能性受许多先天条件不足及各种“不确定性”的影响。
没有不花钱的内部控制,也不存在完美无缺的内部控制。
三、COSO框架下的IT风险管理框架
企业在实施风险管理过程中,四个目标都应当有IT的相关内容,其八个过程也有相应的IT内容,例如:COSO的“控制环境”对应着IT的“IT治理、法规及标准符合性”,“风险评估”对应着“IT风险评估及影响分析”等。
这八个方面的各项控制又可进一步分三个层次的控制,一是公司层控制、二是应用层控制,三是一般控制层或称基础层控制。
公司级控制
公司级控制主要与COSO中的控制环境及风险评估有关,为一般控制和应用控制设置基调。公司级控制一般包括以下内容:
最高管理层设定的基调与方向
职业道德中的正直性、价值观、胜任能力
IT管理哲学和业务运行类型
对IT管理层的授权与责任
IT政策与程序
IT组织中人员的责任与技能
一般控制
一般控制就是保证计算机信息系统能够以持续、正确的方式运行的政策与程序,包括数据中心运营、系统软件获取与维护、访问安全、应用系统开发和维护等内容。一般控制能对通过编程实现的应用系统控制机能提供支持,一般控制有时也称为一般计算机控制和信息技术控制。一般控制过程主要包括:
安全管理
应用系统变更控制
数据管理
灾难恢复
数据中心运营
问题管理
资产管理
应用控制
应用控制是为保证业务过程的正常运行,而设计在应用系统中控制措施,以防止和检测错误的和非授权的交易,保证交易处理的完整性、准确性、合法性及适当授权。一般在应用系统中的以下环节建立应用控制:
进行计算时;
实施数据合法性验证和编辑检查时;
与其他系统有数据接口时;
管理层需要依靠应用系统进行完整、准确的排序、汇总和报告关键信息时;
限制对交易和数据访问时。
IT风险管理的过程也类似于企业风险的过程,主要有以下风险识别、风险分析、风险处理、风险监督、风险报告及改进的过程:
以上三个层次的IT风险管理,在组织中可以分阶段地通过一个个的IT风险控制项目,例如COBIT、ISMS、ITSM、BCP、CMMI等进行实施,也可以选择其中的某些过程进行整合后实施。
对于所建立IT内部控制措施是否能有效地控制风险,还需要通过第三方对组织内部措施的有效性进行独立审计,出具审计报告,以证明内部控制措施完备性。
以上过程是许多上市公司在建立符合萨班斯法要求的IT风险控制框架时的主要方法,这种方法的主要优点是把IT风险放在企业风险的高度进行管理,容易得到管理层的理解与支持,涉及的风险较全面,控制与改进的方法较完备。缺点是控制的粒度还较粗,还不能适当对IT进行精细控制的要求。
四、适用的IT风险管理框架
我们结合以上内容,进行合理扩充并增加控制的粒度,提出了一套适应我国IT风险实际情况的控制框架。
建立信息化的“游戏规则”
建造一个信息系统是容易的,让这个系统正常地运转起来并能实现业务价值,则是现实的难题。虽然采用先进的IT技术与产品、优秀的管理方法在一定的程度上能降低IT风险,但并不十分保险,只有通过为IT引入一定的结构、规则与标准,使IT在“他律”(IT治理)的基础上进行“自律”(IT管理),才能使得IT风险在一定的框架内上下左右浮动,不超过企业计划中的风险范围。
这个框架就是IT风险管理框架,也可以称为IT的“游戏规则”,忽略了规则的建立是国内信息化成功率低的根源,我们应当把建立信息化的“游戏规则”看成是信息化的重要内容之一。
IT风险管理框架的目标
完善IT风险控制体系,降低IT成本,实现IT与企业战略、管理、业务、安全的深度融合,使IT为企业持续地创造价值,有效率并有效果地进行信息化。
IT风险管理框架的原则
建立IT治理机制,使IT治理成为公司治理的一部分,在组织的最高决策层上对信息化的进行监管与制衡;
对IT进行规划,确保IT战略与业务战略的一致,信息化一定要为业务所想、为业务所用,IT与业务的分离是信息化面临的最大风险。在总体规划指导下进行应用、数据和技术方面的架构设计,以获得标准化的技术规范与指南。
在技术与管理上保证和各种异构IT资源能在统一的架构环境下,实现协同工作、无缝地进行数据交换。
采用国际上得到普遍认可的IT控制标准(例如:COBIT、ITIL、ISO27001)及行业最佳实践,为信息化管理提供规范和标准;
识别组织中的重要IT过程,确定其目标、功能与职责。梳理出纵向上的技术管理过程和横向上的客户服务过程,推行过程管理的思想;
持续地评估IT绩效,可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估,以了解当前IT状况,为及进的调整与改进提供依据;
通过PDCD的过程,即计划、实施、调整、改进的循环,使信息化保持在可持续发展的轨道上,阶段性地进行信息系统审计,以发现存在的偏离,及时调整到信息化的最终目标上来。
IT风险管理框架的内容
根据IT风险管理的目标和原则,我们给出IT风险管理框架的一种具体实现,其步骤如图所示:
IT风险管理框架各环节描述如下:
完善IT治理结构
从宏观上来说,IT治理要综合公司治理结构、企业战略规划,使IT治理作为公司治理的一部分,也就是要确定IT原则、IT架构、基础设施、应用设施和投资优先顺序的决策权归属和职责分工。通过建立IT委员会的方式来建立良好的治理结构,通过对权力的监督与平衡,就可把IT战略风险与管理风险控制在一定范围内,那么无论由谁来领导,IT的建设就不会大起大落。
从微观上来说,为保护IT与业务目标一致,有限利用IT资源,提高绩效,降低风险与控制成本,需按照国际普遍接受的企业内部控制标准COBIT,在IT的计划与组织、获得与实施、交付与支持、监控四个领域建立IT控制过程,有效地控制IT建设的整个生命周期的风险。
业务需求识别
当前企业竞争激烈、内部变革频繁,要实现IT与业务的融合,就需要建立一套具备一定适应能力,能够识别不断变化的业务需求,并能够快速有效地作为响应的机制。业务需求是促进IT发展的源动力,准确、及时地捕捉组织的业务需求,并使之成为信息化建设与调整的依据,这是降低IT风险的可靠保证。
对业务需求的识别,需要IT人员了解企业的业务流程,并站在业务管理者的角度思考企业发展的重大问题,这对IT人员的提出了新的挑战。
业务建模
信息化项目无论是网络建设、安全建设,还是应用开发,都需要了解组织特征,确定业务流程,应当在信息化之前就为组织建立可靠的业务模型。业务建模可以创建一个复杂业务的抽象描述,使其成为同业务中各项目相关人员(如拥有者、管理者、雇员和客户)交流的基础。一旦能更好地理解业务功能,我们就能较容易地完善业务流程,较容易地发现、识别新的业务机会(即业务的完善或革新),并为网络建设、安全建设及应用开发提供准确的需求定义。
数据标准化
“信息孤岛现象”是信息化的另一个较大风险,现在许多行业都在进行数据大集中,但遇到很多问题,进展缓慢,这都与没有做好前期数据规划、实施数据标准化有关。IT系统的建设首先要以数据为中心,数据是稳定的,处理是多变的。数据标准化可以根本上解决数据质量控制问题,减少数据处理系统中数据元素总数,提供便捷而准确的信息,用户方便快速地检索到所需信息。数据标准化为提高信息的互操作性、减少信息孤岛、降低信息化的风险奠定了基础。
IT规划与架构设计
IT系统规划是以组织的目标、战略、目的、过程以及信息需求为基础,识别并选择建立哪种IT系统以及什么时间建立的过程。通过IT规划,明确IT的投资方向,实现可控的IT投资成本,在有效地管理信息化有关风险的基础上,获得可持续改进和提升的IT能力。有效的IT规划可以将组织战略目标转化为IT系统的战略目标的过程,是现代企业的战略规划的重要组成部分,是企业商业模式创新的最好机会,是企业管理系统变革的准备和前奏。
在总体规划的指导下,需要进行企业的整体IT框架设计,IT架构由应用、数据、技术架构构成,架构为IT标准化提供了依据和框架,有力地指导IT标准化的工作。IT标准化是架构应用的手段,是架构“落地”的工具,同时,在标准化过程中整个架构逐步完善。
IT业务流程优化
按照国际通行的IT控制框架,建立并优化从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面的多个信息技术处理过程。从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性。
建立信息安全管理体系
建立信息安全管理体系是建立信息安全防线的起点,ISO27001是一个可以指导组织安全实践的信息安全管理标准,它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系,保障组织的信息安全“滴水不漏”,确保组织业务的持续运营,维护企业的竞争优势。
IT服务管理
IT服务管理是一种以流程为导向、以客户为中心的方法,它通过整合IT服务与组织业务,提高组织IT服务提供和服务支持的能力及其水平。建立有效的IT服务管理体系有助于为组织提高IT服务的有效性与经济性,可以消除 “信息技术人员充当救火队员”的局面。通过对业务支撑系统实施IT服务管理,对组织的各种资源进行优化,形成全面、统一、集中的管理构架及服务管理流程,确保信息系统企业发展提供可靠、经验、高效的信息服务
IT项目管理与监理
IT项目管理就是以项目为对象的系统管理方法,通过一个临时性的、专门的柔性组织,运用相关的知识、技术和手段,对项目进行高效率的计划、组织、指导和控制,以实现项目全过程的动态管理和项目目标的综合协调与优化。在IT项目管理中,可结合PMBOK和 PRINCE2的方法,使PMBOK定位于项目管理知识架构,PRINCE2定位于项目管理实施指南。
IT项目监理的中心任务是要规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理;监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理,保证工程的顺利进行和工程质量。具体的监理办法可参照信息产业部发布的《信息系统工程监理暂行规定》。
IT应急计划
组织应当制定和执行应急计划,通过预防性和恢复性措施的结合,把灾难或者安全事故(例如可能由于自然灾害、突发事件、设备故障和故意的行为)所导致的破坏减少到一个可以接受的水平。IT应急计划呈现了在紧急事件发生后为了维持和恢复关键的IT服务所进行的范围广泛的活动。IT应急计划适合于广泛的紧急事件准备环境,包括组织和业务处理连续性及恢复计划。为了对影响组织IT系统、业务处理和设施的外部威胁作出反应,并恢复和保持连续性的活动,组织通常会应用一系列计划进行准备工作。
IT资源协同
IT资源协同可以通过架构设计、技术产品、管理协调、业务外包及建立共享服务中心等多种方式实现。其目的是实现信息共享、业务整合和资源优化,以破解“信息孤岛”、“应用孤岛”和“资源孤岛”三大难题。
IT资源协同首先是对信息的高度共享。信息共享是为了最大限度的发挥其本身的价值,无论是企业管理者、员工、还是外部的合作伙伴,都可以很方便的查找到相关的信息以支持事务的处理,并利用信息创造新的价值。
其次是对各个业务的整合。这些业务尽管更多的时候从属于企业的不同人员、不同部门,但本质上来说它们都是紧密关联的,并形成企业特有的业务体系,企业需要对各个业务进行充分的整合以使业务能够协调和平滑运作,任何业务链的“断折”或业务的“死角”都会对企业的运营产生影响。
第三是对各种资源的调配和优化。这些资源包括企业的人、财、物、信息和流程,当企业实现了信息共享和业务整合后,企业的“神经网络体系”才能够高效和通畅的运转,并使这些资源能够突破各种壁垒和障碍,在企业统一管理和协调下为共同的目标实现而服务。
IT绩效测量
对IT进行绩效测量无论是在国内还是国外都是一个难点。对IT进行绩效测量首先应当进行IT投资效益分析,使投资的成本和收益都明细化和具体化,以辅助进行IT投资决策和IT投资风险控制。
其次,是对IT进行财务管理。IT财务管理包括IT预算、IT会计及IT计费。IT预算为IT的运营提供预算计划,从而为维持和改善服务预测未来的花费。IT会计核算保证了花费在批准的计划范围之内,并且使资金得到很好的利用。IT计费使我们对向一个特定业务单元提供服务的成本有一个更好的了解,并且使业务部门对自己的服务消费更加负有责任。
第三是进行IT绩效分析。持续地评估IT绩效,可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估,以了解当前IT状况,使IT和业务部门都知道IT对实现业务目标的贡献是怎样的,帮助IT组织将工作与关键业务目标结合在一起,并通过客观评价报告和改进绩效,帮助组织获得业务部门领导的信任,为及进的调整与改进提供依据。
信息系统审计
信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。由于信息技术在经营、管理领域的广泛运用,信息系统审计已经贯穿在各种审计之中,成为审计全过程的一部分。信息系统审计是一种控制信息系统风险的有效方式,它是从独立的、第三方的的角度来审视信息化过程中的各种风险,合理地鉴证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性,并可对IT的绩效进行审计,以发现偏离,促进及进进行调整。
五、IT风险控制框架的实施步骤
建立IT风险管理框架是组织控制IT风险、确保组织实现其业务目标的有效方式,以上所介绍IT风险控制框架是通过多年的研究及实践总结出来的通用方法论,不同的组织在建立控制框架的过程中,还要根据自身的实际情况应地制宜,灵活应用。
一般来说,组织在建立与完善IT风险管理框架时,可以分以下几个阶段实现:
第一阶段:IT资源普查、建立初步控制
目标
总体治理框架的指导下,初步建立IT风险控制体系,为业务系统运行提供较可靠的保障。
主要措施:
业务流程调查,识别主要业务流程,并进行初步建模;
为企业的业务活动建立标准的数据体系,并具有快速识别新的业务需求和进行业务建模的能力;
进行IT架构设计,形成应用、数据、技术架构方面的规范与指南;
梳理IT流程、划分安全域及识别信息资产,进行风险评估;
按照ISO27001、COBIT规范建立较可靠的信息安全管理和IT控制体系;
建立信息系统审计制度,从独立、客观的角度保证系统安全;
建立内部员工培训制度,实施全员培训。
–
第二阶段:资源协同、全面控制
目标:
实现有效的资源协同,为业务活动提供可靠的支撑,深化IT风险控制,实现应用系统与安全系统的全面集成。
建立统一的应用系统平台,实现IT资源协同,为己有业务及新业务提供灵活可靠的支撑平台;
建立统一安全保障平台,实现应用系统与安全系统全面集成;
建立IT服务管理机制,提高客户对IT服务的满意度;
深化信息安全管理、信息系统审计,建立较为完善的IT治理环境;
对IT组织、人员、流程、项目建立较为科学的绩效考核制度。
第三阶段:业务创新、完善控制