面对脆弱的IT 企业风险管理如何下手

日期: 2008-08-27 来源:TechTarget中国 英文

  国内信息化现状与IT风险 公司非常脆弱


  从国内信息化现状来看,由于经济的持续增长,多年来各行各业的信息化一直呈现出一派欣欣向荣的景象,国内信息化工作已取得了巨大的进展,“以信息化带动工业化”的基本国策已经深入人心,但是我们也逐渐发现,国内信息化高速发展背景下,各行业的信息化工作并不一帆风顺,存在着各种各样的问题,例如:


  信息化建设各自为政,形成了各种各样的信息孤岛;


  重硬件购买,轻软件和咨询服务,信息高速路上无车可跑;


  IT 应用与业务需求之间逻辑错位,IT设施最后成了摆设;


  重视安全技术,轻视安全管理,IT安全可靠性没有保证;


  IT建设缺乏绩效评估机制,长期的高投入与低产出使IT成了“投资黑洞”;


  国内企业ERP建设过程中,充满了“企业家的眼泪”;


  CIO及信息技术人员变成“救火队员”,其作用逐渐边缘化…


  能真正成功信息化项目可谓凤毛麟角,从相关统计来看,企业信息化项目失败率高70%以上,这引起了产业部门和用户部门的忧虑,也受到一些IT业有识之土的关注,我们逐渐认识到信息化给组织带来竞争优势的同时,也同时给组织带来了巨大的风险。


  应当如何有效地控制IT风险?如何使IT战略与企业战略相融合?如何让IT为组织持续地创造价值?如何实现“有效益的信息化”?如何建立信息化的 “科学发展观”?这些重大问题己迫切地摆在了我们面前。


  企业风险管理对IT的要求


  从企业管理层面来看,企业风险管理已成为大型公司保护企业核心竞争力的有效手段。不管是什么规模的组织,都需要有一套控制指南来有效地管理企业内外各种各样的风险,并随着业务环境的变化和新技术的发展及时更新,才能保证企业健康、持续地发展,有效的风险管理己成为企业发展的主旋律。


  2002年美国国会发布了《萨班斯—奥克斯利法案》,在这个法案中明确提出了所有上市公司都必须加强风险管理,建立有效的内部控制框架,以确保上市公司遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。此法案是有史以来对上市公司影响最大的一部法律,为了符合法案的要求,在美国上市的公众公司需要投入大量的人力、物力和财力来建立内部控制,中国在美国上市的中石化、中国人寿、新浪、亚信等企业也为此付出了巨大的努力。据美国Financial &#101xecutive International组织对321个公司的调查显示,在一个规模比较大、年营业收入超过50亿美元的公司,建立此体系至少需要470万美元,维系其运转需要每年150万美元。


  在建立符合《萨班斯—奥克斯利法案》要求的企业风险管理与内部控制的工作中, IT的份量占到了40%以上,这是因为一方面IT要作为管理组织业务风险的工具与手段,例如,对财务应用系统的机密性、完整性控制,以及对业务交易信息的监督与数据采集都离不开IT系统;另一方面IT本身的风险,例如网络风险、系统风险、应用风险,也是SOX关注的重要内容,因此《萨班斯—奥克斯利法案》把IT推到了企业风险管理的风尖浪口。


  近年来,国内行业主管部门一直在要求企业加强风险管理。2004年9月30日中国银监会发布了《商业银行内部控制评价试行办法》,旨在为规范和加强对商业银行内部控制评价,督促商业银行建立内部控制体系,健全内部控制机制,保证商业银行稳健运行,其中包括了对建立银行计算机系统内部控制的要求。2006年3月1日银监会发布《电子银行业务管理办法》和《电子银行安全评估指引》,直接对技术风险较大的电子银行提出了进行独立的或相对独立的信息系统审计的要求。


  目前IT治理已经在中国企业有了越来越多的实践探索。IT治理体现在IT治理机制、IT治理流程和IT领导力等方面,归根到底是责任担当机制,目的是实现IT与业务的融合,完善公司治理和实践科学的信息化发展观。中国IT管理咨询的一个现实是,头疼医头,脚疼医脚,瞎子摸象,各报一角,难以做到有效的整合,让咨询发挥合力,IT治理的出现,提供了一次机会,那就是建立一个综合的框架,让企业在各方面所作的咨询工作围绕着业务战略发挥合力。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 测试发布文章

    列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表摘要列表

  • 影子IT攻坚战 CIO还要学会更多

    企业高层们正在努力研究如何应对影子IT时代,IT转型领导者PA咨询公司精益生产专家Derek Lonsdale认为,为了减少影子技术的使用,尽量缩小由此造成的扰动,集中式IT部门有三项主要任务。找出这些任务,并收听解决这些问题的建议。  

  • 专家:有多少云计算风险可以避免?

    IT服务供应商CDW公司的云技术专家Stephen Braat,日前分享了他对于云计算风险管理的看法。

  • 中小企业转型思考:域名有多重要?

    在互联网时代,域名也成为了一个品牌的象征以及企业展开营销推广活动的基础,毕竟线上与线下世界紧密交织在一起。坚实的域名给中小企业带来可靠性和安全性,对今天的中小企业和客户关系维护来说,这点至关重要。