好的游戏规则扼杀风险 IT治理诀窍在控制

日期: 2008-05-04 作者:陈伟 来源:TechTarget中国

  风险管理现在是一个比较时髦的词。从企业风险的层面上需要引用一些控制措施,其中就有一个非常重要的内容——IT风险控制。而IT如何控制风险?IT如何为企业的风险作出它应有的贡献?这是个很大的题目,到底怎么下手?
 
  为什么IT风险那么重要?
 
    我国企业信息化从1978年开始到现在大概也就二三十年的时间,到现在我们已经走过了一个基本的建设阶段。我们以前的信息化注重行业的覆盖以及硬件配置等等。从2000年开始,我们的重点开始转移了,因为越来越的企业和单位意识到,我们的信息化要见效了,真正要为业务作贡献了,也就是IT如何能为企业、社会、为政府创造价值的层面上来了。
 
    在我们研究IT创造价值的时候,需要更多的去关注IT本身的风险,因为IT已经成为现代社会生活所不可分割的一部分,就像电、空气和水一样重要,一旦没有了的话,企业可能会停止运转,政府也可能会受影响。所以,这种依赖性比较高的风险迫使我们去考虑如何控制IT,如何令IT支持社会和企业的正常运转。


  IT的风险
 
    在IT所面临的风险里,比较重要的有这样几个:
   
    第一个是IT治理风险。在我国,信息化做得好的一个重要原因是一把手重视,IT主管比较懂行,另外可能因为善于利用社会资源。有的单位做不好的重要原因之一在于把IT当成技术去处理了。而这突显了我国还处于人治时代,还没有达到真正的治理阶段,但实际上对这个社会来讲,靠人治已经远远不能满足要求,一定要把它变成制度化形式。因为不管换了哪届领导,企业和社会还是要往前发展的,IT应该是什么样就是什么样,不因为领导的重视不重视而重视或受到忽略。
 
    而且IT不光是技术的问题,实际上还是战略的一方面,真正把IT制度建设起来,IT才能摆脱目前的这种人治状况。
 
    第二是规划和架构的风险。每个企业或政府单位在做信息化的时候都在做规划,但很多规划实际上还不够具体不够标准化。
 
    第三就是项目管理风险。IT架构规划好了以后,实际上要按照一个一个的项目去实施。有的项目实施周期很长,有的要历时半年到一年的时间,甚至两年以上。这样的风险非常大。据有人统计,就是在美国信息化那么发达的国家,项目的成功率也不太高。
 
    第四是基础设施的风险。网络越来越复杂,补丁包越来越多,开发程度也越来越深,这也导致IT风险越来越大。另外,我们对IT基础设施的依赖性又特别强。前几年,有人做过统计,银行对IT的依赖,宕机时间最多不能超过两天。实际上到现在,忍耐度已经大大降低了——比如证券交易,交易所的网络停机不能超过半个小时,超过半个小时以上就是事故了。
 
    第五个是应用系统的风险。应用系统的风险在于需求是否清晰。很多的情况下,人们的需求与实际脱节,搞软件的人不太懂业务,懂业务的人又不太懂软件开发里面的一些具体操作方法,导致需求混乱。
 
    第六个是软件安全控制风险。日本一家证券公司委托人的指令,操盘进行证券买卖,其中一个操盘员把键敲错了,本来应该是一股61万日元,敲错了变成一日元61股,才十几分钟,这个证券公司就损失了270亿日元,相当于16亿元人民币。人们都在指责这个操盘员,但实际上我们作为风险管理人员去审视这件事,发现,换了谁去操作,某一天都可能出错,因为这实际是应用软件控制的缺失,这是一个巨大的缺陷。因为现在的软件开发商不会主动去给业务部门做,而实际上,除了功能的需求外,我们对软件还有安全和运营的需求。
 
    第七个是IT服务交付风险。什么叫服务交付风险?即使服务商提供的软件系统没有漏洞,但也不等于说用户对系统百分百满意,因为他关注的是服务。他不管你的系统使用的是什么名牌,也不管采用的是什么技术,只管业务能不能很快完成、交易能不能更加迅速。
 
    第八个信息安全风险,则比较常见。而且信息安全的形势越来越严峻。以前做木马写病毒的人大多还只是为了炫耀自己的技术,而现在,病毒已经成为一个产业链:有人专门写病毒,有人专门的抓取“肉鸡”(可以植入病毒的电脑),专门有人在偷信息……形成了一条黑色产业链。
 
    第九个则是业务延续的风险。天灾人祸等都会导致业务的硬性中断,这个风险也要考虑在内。
 
    第十个则是绩效风险。以前讲IT只讲投入不讲产出,但对IT到底投了多少钱这个概念我们需要有。2005年我国在信息化改造提升方面投入了2829亿,2006年是3227亿元。增幅非常快。企业里最讲究的是投入回报率,但对IT,我们很少有人去算投入产出,这就产生了黑洞。
 
    第十一个就是合规性的风险。合规性以前只针对一般的企业风险,现在已经慢慢过渡到IT部分。如果国内企业到美国上市,就必须要遵从萨班斯法。萨班斯法的罚款额度非常大,针对个人可以罚款到500万美元,企业可以罚款到2000万。最重要的是,如果企业不合规,老板可能要面临牢狱之灾。我们国家财政部、证监会,及相关部门已经组织了一个专家组,正在研究中国式的萨班斯法,可能在未来的几年内也推行这方面的法律,要求所有的上市公司都要遵循。
 
    这样的法案跟IT更是有着直接关系。比如财务报告保存在财务系统里,财务系统的数据从业务系统来,业务系统的数据也存放在相关的数据库里,数据库又是保存在服务器上,服务器还可能跟网络互联……因此,只要有漏洞,就可能被IT系统出卖。因此,合规的问题不再只是CEO、CFO的职责,IT部门在这方面也将渐渐承担主角。


  面对风险怎么办?
 
    面对这么多风险,我们到底怎么办?我认为,第一是要建立一套IT制度,改变过去靠人治的方式。
 
    从公司最高层面来说要把IT治理环境建立起来。然后基础层面的网络、数据库、安全以及应用系统,都需要获取可靠的授权,然后,要通过一个一个的标准,进行战术性的IT治理流程。这些都建好了之后,关键要把它变成一个PTC的风险控制体系。
 
    在战略层面把IT的治理结构完善之后,就要进行公司业务层面的梳理。梳理完业务流程后,我们可以按生命周期把IT分为计划、组织、获取、实施,交付、支持和监控等几个方面。比如IT规划到底有几个步骤,到底应该怎么做,建立一个框架式的东西。
 
    同时还要考虑资源协调。为了建设统一的平台,我们可以引入一些国际上标准化的最佳实践,比如说信息安全管理和IT服务管理。最后,我认为应该形成一个审计制度,引入一套控制理念。


    实际上,治理就是一种制度的安排。这个制度要解决什么问题呢?首先解决的是决策问题。决策不能靠人治的领导拍板,技术人员说了算也不对。一种好的治理架构应该在不同的方面有不同的决策模式,有的需要坐在一起谈,有的需要技术人员说了算,有的必须由领导拍板。


    进行IT治理也需要有几个阶段。第一步,我认为比较重要的就是要进行规划和架构的设计。第二步就是要完善IT功能治理,达到初步的控制。到了第三个阶段,让IT实现跟业务融合,实现业务信息的安全。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

陈伟
陈伟

戴尔公共事业部教育行业总监

相关推荐

  • 测试发布文章

    列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表

  • 影子IT攻坚战 CIO还要学会更多

    企业高层们正在努力研究如何应对影子IT时代,IT转型领导者PA咨询公司精益生产专家Derek Lonsdale认为,为了减少影子技术的使用,尽量缩小由此造成的扰动,集中式IT部门有三项主要任务。找出这些任务,并收听解决这些问题的建议。  

  • 专家:有多少云计算风险可以避免?

    IT服务供应商CDW公司的云技术专家Stephen Braat,日前分享了他对于云计算风险管理的看法。

  • 中小企业转型思考:域名有多重要?

    在互联网时代,域名也成为了一个品牌的象征以及企业展开营销推广活动的基础,毕竟线上与线下世界紧密交织在一起。坚实的域名给中小企业带来可靠性和安全性,对今天的中小企业和客户关系维护来说,这点至关重要。