那么如何整体的去控制IT的风险呢？我这里画了一个图：

　　在这里我们要引进一些国际上最标准的一些实践，比如信息安全管理，把安全变成一个标准，按照标准去做，我们现在讲安全就是防火墙，可能你想不全，国际上现在有一个标准他想的就很全面，他从方面考虑安全，按照这个去做，不会有很大的偏差；IT服务管理，比如IT流程如何去规划，也可以有一个国际的标准ITIL，或者行业更佳的实践，把运维如何组织好，把服务递交出去，达到这个要求，还有别的项目管理控制等等。都可以在不同的阶段你把它引入进来，最后我们应该形成一个PDCA，报谓PDCA就是检查控制，技术审计。这样的一个框架可能是控制风险高度性的，有一定基础的，这么一个框架。而且这个框架我们正在实践当中。  
       
　　做的时候也未必是从头来，可能就是从哪先下手，比如先从安全下手，运维然后不断的与其领导沟通，IT搞好，你现在的治理结构不合理呀，因为这事情不是一件容易的事，让领导去接纳，然后成立这样的一个组织，把这样的功能赋予IT，不是一件容易的事。要慢慢的去做，这里面可以分步的去做。因为时间的原因不具体的太多的说它了。

　　最后，我在总结一下，治理就是制度的安排，制度要解决的问题是对什么东西进行决策，IT的原则构架、基础设施、业务需求、IT投资等，这些事到底谁来管，以前讲人治，人治就是领导来办，或者技术人员说的算，实际上都不对。一种好的治理不同的方面有不同的模式，有的技术人员一起谈，有的可能就说算了，领导要说了这个事情要研究，我们要把这些流程通过最佳实践把它管理起来，现在信息管理好的比如就是IT服务管理ITIL，我们要把好的国际上的最佳实践把它引用过来，到我们IT风险控制里来，在加上一些比如企业数据化操作，业务连续性，IT项目管理等等。

　　一般来讲企来要把IT风险控制框架建好，治理机制完善起来，是需要分步去走的。第一步就是分步规划架构设计，即使以前没做过这事，回过头来做也不晚，通过业务建模和IT架构规划设计等把其功能完善，第二步完IT治理，达到初步的控制，第三要进行量化管理，要做到精细控制，要分几年去实施的。企业信息化一定要建立游戏规划，信息系统与业务之间脱节，要建立一个技术委员会，由最高领导参预来进行讨论的， 最后确保IT的出发点和归宿，IT不是玩的一定要为企业创造价值，出发点归宿一定是这一点。 

　　实际上这个框架就是一个COSO的控制框架，我们今天不详细讲。这个框架有很多的IT的东西。IT风险管理框架的目标就是完善IT风险控制体系，降低IT成本，实现IT与企业战略、管理、业务、安全的深度融合，使IT为企业持续地创造价值，有效率并有效果地进行信息化。IT风险管理框架的原则就是建立IT治理机制，使IT治理成为公司治理的一部分，在组织的最高决策层上对信息化的进行监管与制衡。

　　这些东西做好要把他变成一个风险管理体系，IT人员一般讲什么设备，这样是不对的，我们发现很多事要做好呀还是要回到管理上来，用管理理念来梳理这些好的理念，如PDCA，做什么事要先有计划，计划好了去做，做完检查，检查完要更改，实际上一个循环，首先要把IT治理和风险的框架搭建起来，首先要完善IT治理的结构，就是在战略方面IT的事不要IT部门自己说了算，一定要放到公司的层面上来，老板呀决策人等都要来参与，IT做好你也不能脱离业务，脱离业务是两回事，那也做不好，所以业务上管理上要梳理，比如你对业务需求的识别，业务需求要敏锐，不要关在家里闭门造车，否则你的IT又是两层皮。

　　还有就是业务的建模和数据的标准化，制定好了一定要把数数据化，模型化标准化，这个与IT建设还无有什么关系，是技术性的工作，在技术上在做一套IT的规划，规划的基础上我们要树立一些我们的业务流程，IT的流程，我们可以把每个流程都树立的清清楚楚，他到底应该怎么样，比如做IT战略规划到底有几个步奏呀，应该怎么去做呀，建立这样的一个框架出来，这样不会有大大偏差。
转贴于：http://www.leadge.com

    项目经理胜任力免费测评PMQ上线啦！快来测测你排多少名吧~

    http://www.leadge.com/pmqhd/index.html