几年前,风险管理还是一个金融经济学的专用语。但是最近,这一概念却开始向IT领域渗透,并且成为CIO们的热点话题。
对于首席信息官(CIO)来说,碰到下列情况无疑是一场噩梦:项目做到一半,负责项目实施的公司倒闭了;电子邮件服务器崩溃而备份工作又数月没有进行;野蛮施工单位挖断电缆使整个期货交易系统瘫痪。
这些几乎令CIO心脏骤停的时刻描述出了各类风险导致IT失效时的恐惧。今天,由于IT深深植根于企业业务结构之中,任何重大的IT失效都会造成极其严重的影响。
今年年初,日本“活力门”(Live Door)事件引发的交易系统瘫痪就是一个典型例子。由于日本检查机构对日本三大门户网站之一的“活力门”网站总部及其关联公司进行了搜查,东京证券交易所因“活力门”事件导致交易量大增,超过其电脑系统处理能力极限,结果该交易所于当地时间下午2点40分提前停止交易,致使投资者蒙受了巨大损失。此事件同时也导致了东京证券交易所相关IT负责人的离职。
在国内,由于IT失败导致业务陷入困境的典型案例是哈尔滨医药集团(下称哈药集团)的企业资源计划(ERP)项目。由于实施方利玛公司在项目实施期间的倒闭,造成哈药集团ERP项目的实施团队全部离职。
城门失火,殃及池鱼,哈药集团投资巨大的整个项目也被迫终止,给哈药集团带来重大损失。
“IT对于现代企业的重要性从它高昂的投资、技术的渗透性,对于它持续运作的依赖和它瘫痪时我们所遭受的痛苦中可见一斑。”美国PA咨询公司的两位咨询顾问在他们合著的新作《击败IT危机》中写道,“IT危机是巨大和普遍的。它们可能大到使企业破产,而大多数企业却没有系统或全面的方法来加以应对。”
因此,风险管理——过去一个金融经济学的专用语——开始向IT领域中渗透,并且成为热点话题。
上海期货交易所技术管理委员会主任李大鹏认为:IT风险管理的内涵,可以分成几类。一类是IT项目实施时的风险管理;一类是系统运行中IT本身失效的风险管理;还有一类是外部的危机导致IT系统失效的风险管理。
从广义上来说,项目范围界定极差而且实施欠佳;第三方服务失败;员工参与IT欺诈;备份碟盘失窃;卖方误导自己产品的能力;新规则导致需要变更主要软件等等都属于风险管理的一部分。
IT风险管理谈论趋热同时说明CIO的责任越来越重大了。太平洋保险集团信息总监程明甚至认为,企业资产管理都是IT风险管理的重要组成部分,“企业资产管理对预测和发现企业业务运营中的潜在风险有着非常关键的作用。” 在程明看来,这说明了IT风险管理所涉及的内容已经从最初的IT安全领域,扩展到了企业业务安全上。
虽然“IT风险管理”对于大多数企业用户还相当神秘,但与风险共生却是广大CIO共同的心态。上海中路集团前IT负责人吴渊学就曾表示:“对于风险,CIO不应寄希望于在短期排除风险,而是要有长期管理风险的准备。”由此看来,要在复杂的应用环境中成功规避各类因素导致的IT风险,需要的是强大而有效的系统管理理念和手段。
重在事前控制
上海黄金搭档生物科技有限公司(下称黄金搭档)IT项目负责人朱永明讲了这样一个故事。
魏文王问名医扁鹊说:“你们家兄弟三人,都精于医术,到底哪一位医术最好呢?”扁鹊回答说:“大哥最好,二哥次之,我最差。我大哥治病,是治病于病情发作之前。由于一般人不知道他事先能铲除病因,所以他的名气无法传出去,只有我们家里的人才知道。我二哥治病,是治病于病情刚刚发作之时。一般人以为他只能治轻微的小病,所以他只在我们的村子里才小有名气。而我扁鹊治病,是治病于病情严重之时。一般人看见的都是我在经脉上穿针管来放血、在皮