项目管理资源网

您的位置:项目管理资源网 >> IT通信项目管理

探讨CIO如何识别IT风险管理“可能性”问题

2011/1/17 15:29:49 |  12916次阅读 |  来源:中国养殖网   【已有0条评论】发表评论

正如信息系统具有潜在的投资回报一样,信息系统同样具有潜在的风险。IT与业务的融合,在带来企业效率提升和持续竞争力的同时,也加剧了业务可能面临的风险。信息系统任何细微的变故,都有可能导致业务流程完全失效。正因为如此,IT风险管理受到了越来越多企业高管层特别是CIO的关注。一定程度上,CIO所面对的管理,更多的是对各种“可能性和不确定性”即“风险”的管理。

然而,IT风险及IT风险管理,一直是一个颇有争议的概念。由于对风险的理解和认识程度不同,或对风险的研究的角度不同,其定义还存在很多争议。

国际内部审计协会(IIA)对风险定义为:“可能对目标的实现产生影响的事件发生的不确定性。”并指出风险的衡量标准是后果与可能性。而国际标准化组织ISO/IEC“Guide73:2002”中关于风险的定义为:“事件发生的可能性及其后果的结合”。COSO发布的《企业风险管理-整合框架》中则将风险定义为:“一个事项将会发生并给目标实现带来负面影响的可能性。”

对于IT风险的认识,同样存在着不同的观点。2006年1月出版的《IT风险——基于IT治理的风险管理之道》一书中认为,所谓IT风险就是指对业务造成负面影响的信息技术失效。2006年9月,中国银监会颁布的《银行业金融机构信息系统风险管理指引》中,信息系统风险是指:“信息系统在规划、研发、建设、运行、维护、监控及退出过程中,由于技术和管理缺陷产生的操作、法律和声誉等风险”。2007年2月赛门铁克公司发布的《IT风险管理报告》中认为,IT风险包括安全性、可用性、能力和合规性四个方面。

正因为这些争议的存在,目前各家企业对IT风险管理方面的理解和做法也存在着差异。这些差异,往往让很多希望加强IT风险管理的企业和CIO们束手无措。为此,某杂志邀请到了民生证券股份有限公司信息技术总监景忠、中国海洋石油总公司审计监察部IT审计经理王宇文、ITGov信息系统审计专家王东红,围绕IT风险管理的相关话题,展开了讨论。

对于IT风险的概念特别是IT风险涵盖的范围,现在仍然存在争议,各位是怎么理解IT风险管理的?景忠:对于证券行业来讲,IT系统的风险管理几乎是天天都在抓。从我们的角度来讲,IT风险主要包括系统的风险、人员的风险和IT投入的风险等方面。

系统的风险主要是软件、硬件和网络等设备的潜在风险,这与传统的信息安全有很多类似的地方。人员的风险则是指内部人员作弊或者疏忽造成的风险,和关键岗位人员流失带来的风险等所有与人为因素有关的潜在风险。IT投入的风险也非常容易理解,既然是投入就一定要有产出,不管这种产出是显性还是隐性的,但是,也并不是所有的IT投入都能看到产出,甚至很多企业IT项目以失败告终的案例也时有发生。王宇文:IT的作用就是支撑企业的业务运作和运营管理,因此,IT风险实际上就是业务的风险,抛开业务单纯讲IT风险是没有意义的。从审计部门角度来看,之所以关注IT风险,就是要看一旦这些系统出问题,会对业务造成什么样的影响。

国资委出台的《中央企业全面风险管理指引》中将风险定义为:未来的不确定性对企业实现其经营目标的影响,一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等,并将风险分为纯粹风险和机会风险。因此,我们认为IT风险主要是IT系统有可能对业务和经营目标造成的潜在风险。IT是属于横向业务支持领域,IT风险会体现在所有业务风险中。由于IT有其特殊的技术内涵和特点,往往在实际操作时IT风险管理相对来说比较独立。

王东红:前面两位更多的是从实践工作中,对IT风险管理的理解和

    项目经理胜任力免费测评PMQ上线啦!快来测测你排多少名吧~

    http://www.leadge.com/pmqhd/index.html

“项目管理生根计划”
企业项目经理能力培养和落地发展方案下载>>

分享道


网站文章版权归原作者所有,如有认为侵权请联系我们,将于1个工作日内作出处理!
网友评论【 发表评论 0条 】
网友评论(共0 条评论)..
验证码: 点击刷新

请您注意护互联网安全的决定》及中华人民共和国其他各项有关法律法规或间接导致的民事或刑事法律责任
·您在项目管理资源网新闻评论发表的作品,项目管理资源网有权在网站内保留、转载、引用或者删除
·参与本评论即表明您已经阅读并接受上述条款