舒翼

【摘要】現(xiàn)代企業(yè)對IT的依賴愈來愈高，IT風(fēng)險成為越來越突出的問題。本文重點(diǎn)闡述IT風(fēng)險和IT治理的基本概念，以及二者之間的主要聯(lián)系，介紹使用IT治理觀念實(shí)現(xiàn)對于IT風(fēng)險管理控制的主要方法。

【關(guān)鍵詞】IT治理 IT風(fēng)險 管控方法

一、前言

隨著經(jīng)濟(jì)的發(fā)展和IT技術(shù)的進(jìn)步，各行各業(yè)對IT技術(shù)和IT系統(tǒng)的依賴程度越來越高。但是在IT系統(tǒng)的運(yùn)營過程當(dāng)中，無法避免出現(xiàn)因計算機(jī)軟件、硬件、客觀環(huán)境、主觀人為等因素導(dǎo)致IT系統(tǒng)部分或全部無法提供正常服務(wù)的情況。因此，IT風(fēng)險對于使用IT系統(tǒng)服務(wù)的企業(yè)和客戶，對于依賴IT系統(tǒng)開展服務(wù)的業(yè)務(wù)是否能正常辦理影響極大，必須要重視IT風(fēng)險的管理和控制。

二、IT治理和IT風(fēng)險

IT風(fēng)險主要是指信息科技在運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險。巴塞爾協(xié)議將IT風(fēng)險歸為操作風(fēng)險，IT風(fēng)險一般是發(fā)生在機(jī)構(gòu)在應(yīng)用IT技術(shù)參加工作的過程中，對于IT應(yīng)用目標(biāo)可能會出現(xiàn)一些影響結(jié)果的不確定性事件，具有明確的不確定性[1]。

IT治理是一種引導(dǎo)和控制企業(yè)各種關(guān)系和流程的結(jié)構(gòu)，這種結(jié)構(gòu)安排，旨在通過平衡信息技術(shù)及其流程中的風(fēng)險和收益，增加價值，以實(shí)現(xiàn)企業(yè)目標(biāo)，是關(guān)系和過程的綜合，通過對IT技術(shù)進(jìn)行治理和控制的方式，來實(shí)現(xiàn)對于企業(yè)的指導(dǎo)和控制，從而對于IT和在此過程中出現(xiàn)的風(fēng)險等進(jìn)行控制，同時實(shí)現(xiàn)企業(yè)價值的增值，實(shí)現(xiàn)企業(yè)發(fā)展的戰(zhàn)略目標(biāo)[2]。

要全面使用IT治理的理念來對IT風(fēng)險進(jìn)行管理控制，首先要對IT風(fēng)險和IT治理以及二者之間的關(guān)系做到全面的了解。正如企業(yè)需要公司治理一樣，信息化也需要IT治理，在信息化過程中，IT治理就是為鼓勵I(lǐng)T應(yīng)用的期望行為而明確的決策權(quán)歸屬和責(zé)任擔(dān)當(dāng)框架[3]。建造和運(yùn)營一個或者若干個信息系統(tǒng)是容易的，讓這個系統(tǒng)正常地運(yùn)轉(zhuǎn)起來并能穩(wěn)定的實(shí)現(xiàn)業(yè)務(wù)價值才是現(xiàn)實(shí)的難題。雖然采用先進(jìn)的IT技術(shù)與產(chǎn)品、優(yōu)秀的管理方法在一定的程度上能降低IT風(fēng)險，但并不十分保險。只有通過為IT引入一定的結(jié)構(gòu)、規(guī)則、標(biāo)準(zhǔn)等框架，使IT在IT治理的基礎(chǔ)上進(jìn)行“自律”，才能使得IT風(fēng)險在一定區(qū)間內(nèi)浮動，不超過企業(yè)對IT風(fēng)險的容忍度。

三、管控方法

（一）以IT治理思想應(yīng)對IT價值風(fēng)險。

IT和人員、資金、客戶關(guān)系一樣，都是企業(yè)運(yùn)營所依賴的重要戰(zhàn)略資源。企業(yè)必需要應(yīng)對IT資源的投入產(chǎn)出風(fēng)險。IT與業(yè)務(wù)分離是企業(yè)信息化的最大風(fēng)險，優(yōu)秀的企業(yè)在信息化過程中所投入的IT資源（包括數(shù)據(jù)、技術(shù)、設(shè)備、IT人員等）應(yīng)該得到充分的利用和回報，保證其符合并能夠支撐企業(yè)的戰(zhàn)略目標(biāo)，為企業(yè)贏得競爭優(yōu)勢。如果企業(yè)對IT資源的投入無法滿足業(yè)務(wù)需求，甚至于業(yè)務(wù)背離，那么IT非但不會助力企業(yè)發(fā)展，反而可能成為企業(yè)的沉重負(fù)擔(dān)。

為了規(guī)避風(fēng)險，企業(yè)需要對IT活動進(jìn)行控制，比對企業(yè)目標(biāo)找出偏差，并進(jìn)行修正。IT治理就是控制、找出偏差、修正IT活動的循環(huán)，以此達(dá)到控制風(fēng)險（獲取安全性，可靠性和一致性）和實(shí)現(xiàn)利益（增長的效益和效率）的雙重目標(biāo)，使企業(yè)能充分利用信息和信息資源的優(yōu)勢，實(shí)現(xiàn)利潤最大化。如此治理能夠保證企業(yè)在進(jìn)行IT資源投資時，將初步的期望細(xì)化為具體要求，針對這些具體要求細(xì)致地進(jìn)行IT資源的引入和使用，從而消除IT資源的盲目投入。IT活動同企業(yè)目標(biāo)之間不斷的糾正偏差的IT治理理念，也可以幫助企業(yè)根據(jù)不斷變化的內(nèi)外部環(huán)境適當(dāng)?shù)恼{(diào)整IT戰(zhàn)略，充分降低IT風(fēng)險，保證IT資產(chǎn)能夠持續(xù)發(fā)揮效益。[4]

（二）建立適合自身的IT風(fēng)險管理框架

企業(yè)需要依據(jù)自身特點(diǎn)和環(huán)境特征建立風(fēng)險管理框架來幫助其實(shí)現(xiàn)IT治理下的戰(zhàn)略目標(biāo)。本著成本和效益的原則，IT風(fēng)險管理框架在基本層面所要描述的要素，應(yīng)當(dāng)適用于內(nèi)部控制環(huán)境所面臨的風(fēng)險水平不同的多個組織實(shí)體，即便是性質(zhì)不同的組織所需要的風(fēng)險管理的要素也應(yīng)當(dāng)是保持一致的，所謂的管理有效就是要正確的找到控制成本與控制收益之間的平衡點(diǎn)，然后以一個合理的水平管理風(fēng)險。

目前，有很多國際上流行的控制框架可供借鑒，如COSO-ERM、CobiT、ITGov信息化風(fēng)險管控體系等。通過IT風(fēng)險管理框架的建立，可以明晰企業(yè)自身的IT風(fēng)險偏好和容忍度，這是整個IT風(fēng)險管理體系中居于宏觀的主導(dǎo)地位的策略性指標(biāo)，包括了企業(yè)愿意承擔(dān)何種IT風(fēng)險，最多承擔(dān)多少IT風(fēng)險，以何種方式承擔(dān)這些風(fēng)險等指標(biāo)，為企業(yè)IT風(fēng)險管理指明了方向，也明確了企業(yè)IT風(fēng)險管理的廣度和深度。通過IT風(fēng)險管理框架的建立，可以梳理IT風(fēng)險的識別與評估，應(yīng)對與控制、評價與計量、檢測與報告等管理流程。

（三）建立適合企業(yè)自身的IT風(fēng)險管理機(jī)制和IT風(fēng)險管理體制

企業(yè)IT風(fēng)險管理框架的有效運(yùn)行還需要建立IT風(fēng)險管理的報告制度、監(jiān)督機(jī)制、培訓(xùn)機(jī)制、人力資源安排、組織機(jī)構(gòu)與職責(zé)體系、文化與行為準(zhǔn)則等基本要件。

在組織架構(gòu)與制度層面，應(yīng)建立起在董事會或高級管理層的領(lǐng)導(dǎo)下，層次化管理的IT風(fēng)險管理架構(gòu)的職責(zé)和分工體系，制定風(fēng)險管理制度，風(fēng)險管理手冊等制度文檔；應(yīng)有明確的機(jī)構(gòu)負(fù)責(zé)對整個企業(yè)IT風(fēng)險管理體系的運(yùn)轉(zhuǎn)進(jìn)行審計監(jiān)督，并通過審計對風(fēng)險管理體系的執(zhí)行情況、質(zhì)量、效力進(jìn)行評估；應(yīng)落實(shí)IT風(fēng)險管理的考核及獎懲機(jī)制。

四、結(jié)束語

現(xiàn)代企業(yè)對IT資源的依賴越來越高，但企業(yè)必須明確IT風(fēng)險，并管理好這種風(fēng)險?！癐T治理=IT治理思想+IT治理模式+IT治理體制+IT治理機(jī)制”的IT治理理念為IT風(fēng)險管理提供了思路、方法和工具，指導(dǎo)和幫助企業(yè)有效、可靠的利用IT資源，使之為企業(yè)提供更加強(qiáng)大、持續(xù)的推動力。

參考文獻(xiàn)：

[1]歐志翔，全飛，李霽.銀行IT 風(fēng)險管理分析[D].廣州：暨南大學(xué)，華南農(nóng)業(yè)大學(xué)，2013.

[2]吳以四.識別 IT 風(fēng)險[J]. 信息方略，2012，（17）.

[3]彼得？維爾， 珍妮？W.羅斯.IT治理——一流績效企業(yè)的IT治理之道[M]，北京：商務(wù)印書館，2015.9（2012.6重?。?