正如信息系统具有潜在的投资回报一样,信息系统同样具有潜在的风险。IT与业务的融合,在带来企业效率提升和持续竞争力的同时,也加剧了业务可能面临的风险。信息系统任何细微的变故,都有可能导致业务流程完全失效。正因为如此,IT风险管理受到了越来越多企业高管层特别是CIO的关注。一定程度上,CIO所面对的管理,更多的是对各种“可能性和不确定性”即“风险”的管理。
然而,IT风险及IT风险管理,一直是一个颇有争议的概念。由于对风险的理解和认识程度不同,或对风险的研究的角度不同,其定义还存在很多争议。
国际内部审计协会(IIA)对风险定义为:“可能对目标的实现产生影响的事件发生的不确定性。”并指出风险的衡量标准是后果与可能性。而国际标准化组织ISO/IEC“Guide73:2002”中关于风险的定义为:“事件发生的可能性及其后果的结合”。COSO发布的《企业风险管理-整合框架》中则将风险定义为:“一个事项将会发生并给目标实现带来负面影响的可能性。”
对于IT风险的认识,同样存在着不同的观点。2006年1月出版的《IT风险——基于IT治理的风险管理之道》一书中认为,所谓IT风险就是指对业务造成负面影响的信息技术失效。2006年9月,中国银监会颁布的《银行业金融机构信息系统风险管理指引》中,信息系统风险是指:“信息系统在规划、研发、建设、运行、维护、监控及退出过程中,由于技术和管理缺陷产生的操作、法律和声誉等风险”。2007年2月赛门铁克公司发布的《IT风险管理报告》中认为,IT风险包括安全性、可用性、能力和合规性四个方面。
正因为这些争议的存在,目前各家企业对IT风险管理方面的理解和做法也存在着差异。这些差异,往往让很多希望加强IT风险管理的企业和CIO们束手无措。为此,某杂志邀请到了民生证券股份有限公司信息技术总监景忠、中国海洋石油总公司审计监察部IT审计经理王宇文、ITGov信息系统审计专家王东红,围绕IT风险管理的相关话题,展开了讨论。
对于IT风险的概念特别是IT风险涵盖的范围,现在仍然存在争议,各位是怎么理解IT风险管理的?景忠:对于证券行业来讲,IT系统的风险管理几乎是天天都在抓。从我们的角度来讲,IT风险主要包括系统的风险、人员的风险和IT投入的风险等方面。
系统的风险主要是软件、硬件和网络等设备的潜在风险,这与传统的信息安全有很多类似的地方。人员的风险则是指内部人员作弊或者疏忽造成的风险,和关键岗位人员流失带来的风险等所有与人为因素有关的潜在风险。IT投入的风险也非常容易理解,既然是投入就一定要有产出,不管这种产出是显性还是隐性的,但是,也并不是所有的IT投入都能看到产出,甚至很多企业IT项目以失败告终的案例也时有发生。王宇文:IT的作用就是支撑企业的业务运作和运营管理,因此,IT风险实际上就是业务的风险,抛开业务单纯讲IT风险是没有意义的。从审计部门角度来看,之所以关注IT风险,就是要看一旦这些系统出问题,会对业务造成什么样的影响。
国资委出台的《中央企业全面风险管理指引》中将风险定义为:未来的不确定性对企业实现其经营目标的影响,一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等,并将风险分为纯粹风险和机会风险。因此,我们认为IT风险主要是IT系统有可能对业务和经营目标造成的潜在风险。IT是属于横向业务支持领域,IT风险会体现在所有业务风险中。由于IT有其特殊的技术内涵和特点,往往在实际操作时IT风险管理相对来说比较独立。
王东红:前面两位更多的是从实践工作中,对IT风险管理的理解和认识来谈的,我主要从理论的角度谈谈