舒翼

【摘要】現(xiàn)代企業(yè)對IT的依賴愈來愈高，IT風險成為越來越突出的問題。本文重點闡述IT風險和IT治理的基本概念，以及二者之間的主要聯(lián)系，介紹使用IT治理觀念實現(xiàn)對于IT風險管理控制的主要方法。

【關鍵詞】IT治理 IT風險 管控方法

一、前言

隨著經(jīng)濟的發(fā)展和IT技術的進步，各行各業(yè)對IT技術和IT系統(tǒng)的依賴程度越來越高。但是在IT系統(tǒng)的運營過程當中，無法避免出現(xiàn)因計算機軟件、硬件、客觀環(huán)境、主觀人為等因素導致IT系統(tǒng)部分或全部無法提供正常服務的情況。因此，IT風險對于使用IT系統(tǒng)服務的企業(yè)和客戶，對于依賴IT系統(tǒng)開展服務的業(yè)務是否能正常辦理影響極大，必須要重視IT風險的管理和控制。

二、IT治理和IT風險

IT風險主要是指信息科技在運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。巴塞爾協(xié)議將IT風險歸為操作風險，IT風險一般是發(fā)生在機構(gòu)在應用IT技術參加工作的過程中，對于IT應用目標可能會出現(xiàn)一些影響結(jié)果的不確定性事件，具有明確的不確定性[1]。

IT治理是一種引導和控制企業(yè)各種關系和流程的結(jié)構(gòu)，這種結(jié)構(gòu)安排，旨在通過平衡信息技術及其流程中的風險和收益，增加價值，以實現(xiàn)企業(yè)目標，是關系和過程的綜合，通過對IT技術進行治理和控制的方式，來實現(xiàn)對于企業(yè)的指導和控制，從而對于IT和在此過程中出現(xiàn)的風險等進行控制，同時實現(xiàn)企業(yè)價值的增值，實現(xiàn)企業(yè)發(fā)展的戰(zhàn)略目標[2]。

要全面使用IT治理的理念來對IT風險進行管理控制，首先要對IT風險和IT治理以及二者之間的關系做到全面的了解。正如企業(yè)需要公司治理一樣，信息化也需要IT治理，在信息化過程中，IT治理就是為鼓勵IT應用的期望行為而明確的決策權(quán)歸屬和責任擔當框架[3]。建造和運營一個或者若干個信息系統(tǒng)是容易的，讓這個系統(tǒng)正常地運轉(zhuǎn)起來并能穩(wěn)定的實現(xiàn)業(yè)務價值才是現(xiàn)實的難題。雖然采用先進的IT技術與產(chǎn)品、優(yōu)秀的管理方法在一定的程度上能降低IT風險，但并不十分保險。只有通過為IT引入一定的結(jié)構(gòu)、規(guī)則、標準等框架，使IT在IT治理的基礎上進行“自律”，才能使得IT風險在一定區(qū)間內(nèi)浮動，不超過企業(yè)對IT風險的容忍度。

三、管控方法

（一）以IT治理思想應對IT價值風險。

IT和人員、資金、客戶關系一樣，都是企業(yè)運營所依賴的重要戰(zhàn)略資源。企業(yè)必需要應對IT資源的投入產(chǎn)出風險。IT與業(yè)務分離是企業(yè)信息化的最大風險，優(yōu)秀的企業(yè)在信息化過程中所投入的IT資源（包括數(shù)據(jù)、技術、設備、IT人員等）應該得到充分的利用和回報，保證其符合并能夠支撐企業(yè)的戰(zhàn)略目標，為企業(yè)贏得競爭優(yōu)勢。如果企業(yè)對IT資源的投入無法滿足業(yè)務需求，甚至于業(yè)務背離，那么IT非但不會助力企業(yè)發(fā)展，反而可能成為企業(yè)的沉重負擔。

為了規(guī)避風險，企業(yè)需要對IT活動進行控制，比對企業(yè)目標找出偏差，并進行修正。IT治理就是控制、找出偏差、修正IT活動的循環(huán)，以此達到控制風險（獲取安全性，可靠性和一致性）和實現(xiàn)利益（增長的效益和效率）的雙重目標，使企業(yè)能充分利用信息和信息資源的優(yōu)勢，實現(xiàn)利潤最大化。如此治理能夠保證企業(yè)在進行IT資源投資時，將初步的期望細化為具體要求，針對這些具體要求細致地進行IT資源的引入和使用，從而消除IT資源的盲目投入。IT活動同企業(yè)目標之間不斷的糾正偏差的IT治理理念，也可以幫助企業(yè)根據(jù)不斷變化的內(nèi)外部環(huán)境適當?shù)恼{(diào)整IT戰(zhàn)略，充分降低IT風險，保證IT資產(chǎn)能夠持續(xù)發(fā)揮效益。[4]

（二）建立適合自身的IT風險管理框架

企業(yè)需要依據(jù)自身特點和環(huán)境特征建立風險管理框架來幫助其實現(xiàn)IT治理下的戰(zhàn)略目標。本著成本和效益的原則，IT風險管理框架在基本層面所要描述的要素，應當適用于內(nèi)部控制環(huán)境所面臨的風險水平不同的多個組織實體，即便是性質(zhì)不同的組織所需要的風險管理的要素也應當是保持一致的，所謂的管理有效就是要正確的找到控制成本與控制收益之間的平衡點，然后以一個合理的水平管理風險。

目前，有很多國際上流行的控制框架可供借鑒，如COSO-ERM、CobiT、ITGov信息化風險管控體系等。通過IT風險管理框架的建立，可以明晰企業(yè)自身的IT風險偏好和容忍度，這是整個IT風險管理體系中居于宏觀的主導地位的策略性指標，包括了企業(yè)愿意承擔何種IT風險，最多承擔多少IT風險，以何種方式承擔這些風險等指標，為企業(yè)IT風險管理指明了方向，也明確了企業(yè)IT風險管理的廣度和深度。通過IT風險管理框架的建立，可以梳理IT風險的識別與評估，應對與控制、評價與計量、檢測與報告等管理流程。

（三）建立適合企業(yè)自身的IT風險管理機制和IT風險管理體制

企業(yè)IT風險管理框架的有效運行還需要建立IT風險管理的報告制度、監(jiān)督機制、培訓機制、人力資源安排、組織機構(gòu)與職責體系、文化與行為準則等基本要件。

在組織架構(gòu)與制度層面，應建立起在董事會或高級管理層的領導下，層次化管理的IT風險管理架構(gòu)的職責和分工體系，制定風險管理制度，風險管理手冊等制度文檔；應有明確的機構(gòu)負責對整個企業(yè)IT風險管理體系的運轉(zhuǎn)進行審計監(jiān)督，并通過審計對風險管理體系的執(zhí)行情況、質(zhì)量、效力進行評估；應落實IT風險管理的考核及獎懲機制。

四、結(jié)束語

現(xiàn)代企業(yè)對IT資源的依賴越來越高，但企業(yè)必須明確IT風險，并管理好這種風險?！癐T治理=IT治理思想+IT治理模式+IT治理體制+IT治理機制”的IT治理理念為IT風險管理提供了思路、方法和工具，指導和幫助企業(yè)有效、可靠的利用IT資源，使之為企業(yè)提供更加強大、持續(xù)的推動力。

參考文獻：

[1]歐志翔，全飛，李霽.銀行IT 風險管理分析[D].廣州：暨南大學，華南農(nóng)業(yè)大學，2013.

[2]吳以四.識別 IT 風險[J]. 信息方略，2012，（17）.

[3]彼得？維爾， 珍妮？W.羅斯.IT治理——一流績效企業(yè)的IT治理之道[M]，北京：商務印書館，2015.9（2012.6重印）.