术的关注和统筹安排,对IT风险了解甚少;信息技术风险分层次、分部门管理,职责分散,分支机构IT风险管理职能缺失,岗位缺失,缺乏统一的IT风险战略和策略;无序购置和外包的现象十分严重,导致软硬件及核心技术受制于人;缺乏有效的预警机制,对IT风险没有进行全面的事前、事中、事后监测和控制;IT风险人才匮乏等,已经成为制约IT建设和风险管控能力提高的重要瓶颈;IT风险事件呈现多发态势等。
对于任何一家企业来讲,要想有效降低潜在的IT风险,就必须对上面的这些误区和挑战给予足够重视。面对几乎无处不在的信息技术风险威胁,我们无法逃避,我们必须面对挑战。对于大部分企业来讲,只有很少的信息技术风险经验,没有成熟的IT风险模型,更谈不上对IT风险进行度量了。因此,我们需要用理性的、实事求是的、现实的态度,来面对、防范并化解信息技术风险。
大体来讲,可以从这么四个方面着手推进这项工作:建立对机构信息技术风险负责的相应组织与架构;强化产品投产流程,系统与产品推出之前应进行详细的风险分析,准备好应对措施;现在开始着手调查、收集、分析同IT失效有关的风险损失、模式及相关性,为未来的信息技术风险建模与度量做好技术准备;培养员工的信息技术风险意识,建立与之相适应的企业文化。