每个企业在经营中都有可能发生风险,如何化解和减少风险是企业经营者必须研究的,因此,企业的风险管理非常重要。这项工作要求企业家在头脑中首先明确企业业务运营面临着哪些潜在风险,然后有的放矢地采取措施。而随着企业对信息技术的依赖性不断增强,加强IT风险管理,成为越来越多的企业关注的焦点。
IT风险管理:企业法规遵从和长远发展的需要
如今,企业面临的风险的复杂性随着市场全球化的发展而日益提高,推动企业风险管理的监管力度也随之越来越大,不少行业为保护企业在不稳定的商业环境中稳定运转而颁布了专门的法规。譬如,由十国主要金融服务相关机构牵头发起的《巴塞尔第二号协定》(BaselⅡAccord)中,不仅对资本风险进行约束,而且还涉及到经营风险,包括IT系统给公司带来的风险。换句话说,该协定强制要求采用企业风险管理体系,并关注IT风险管理。作为一家旨在打击欺诈性财务报告的组织,特里德威委员会下设的发起组织委员会(COSO)颁布了企业风险管理框架。信息系统审计和控制协会(Isaca)也制订了信息和相关技术控制目标(Cobit),这份文档同样概述了怎样拟订企业风险管理框架。而颁布这两项方案的目的都是为了促进风险管理机制在企业的应用。
此外,还有著名的《萨班斯-奥克斯利法案》(Sarbanes-Oxley),其404条款规定:所有在美上市企业都要建立内部控制体系,其中包括控制环境、风险评估、控制活动、信息沟通以及监督5个部分。而且,法案对企业建立的内部控制活动的记录作了许多详细而严格的细节上的规定。如此一来,404条款就成为外国公司迈入美国股市的“高门槛”,也是该法案中最难操作、最复杂、耗费成本最高的一个。
事实上,随着全球化的业务大集中、数据大集中趋势,IT越来越渗透到企业运营的每一个方面、环节和流程。与此同时,IT也成为企业业务运营面临的主要风险之一。不仅仅是出于遵守行业法规的需要,不少企业从自身长远发展的角度出发也已认识到需要采取更加有效的措施,来保护业务运营并提供出色的IT日常可用性。而企业中的IT管理者们往往被各种各样的因素困扰。他们有的意识到自己正面临的潜在风险,并且对风险有着较为深入的认识,但是由于成本的限制,总是无法圆满地解决这些问题。另一些企业由于业务模式过于复杂,以至于IT部门虽然感知到风险的存在,但根本无从知道风险究竟在何处,何时会爆发,也无法对潜在风险进行评估。那么,企业IT管理者到底应当如何清晰地了解潜在风险、需求和相应的投资额度,又如何有效规避风险呢?
扭转观念:整体布局实现业务连续性及高可用性
根据惠普在帮助企业进行IT风险管理方面多年来积累的经验,对于复杂的IT环境,采用单一的解决方案处理IT运营风险问题的效果并不理想。业务连续性、可用性与安全性是一个相互依存的整体,应该以集成、系统的方式进行处理。任何方面的漏洞与变化都会影响到业务运营所需要的服务级别。通过全盘规划和考虑,采用整体化的解决方案,企业能够构建可靠的基础设施,从而根据业务发展情况灵活调整IT的可用性与性能。
在进行企业IT风险管理控制的过程中,技术固然是一个重要组成部分,但要取得出色的IT运营效果,员工技能与最佳实践同样缺一不可。其中,将业务连续性、可用性与安全性的意识融入到企业文化和各种运营机制中,使其成为开展与维持业务运营的必不可少的组成部分,可能是最艰巨的任务,但一旦实现,也就从观念上和根本上提高了企业管控风险的能力。
正确评估:了解潜在风险的破坏力
企业在构建灵活安全的IT环境之前,首先要透彻地了解自身的业务需求、所面临的威胁与风险、以及IT系统出现故障对
项目经理胜任力免费测评PMQ上线啦!快来测测你排多少名吧~
http://www.leadge.com/pmqhd/index.html
