项目管理资源网

您的位置:项目管理资源网 >> IT通信项目管理

探讨CIO如何识别IT风险

2011/3/28 9:37:08 |  6878次阅读 |  来源:网友转载   【已有0条评论】发表评论

我的理解。目前来看,银监会对于IT风险的定义是比较全面的,它符合当今世界全面风险管理的发展趋势,是一个全生命周期的风险。而IT风险管理目前在研究和实践中都还没有一个统一的定义。

在我看来,IT风险管理,已经从狭义的IT技术风险发展到了IT全生命周期管理的阶段,因此,IT风险管理也可以称为“IT全面风险管理”。综合比较主流的IT风险管理定义,不妨可以对IT风险管理给出这样的定义,所谓IT风险管理是指围绕信息化战略目标,通过在信息系统的规划、开发与建设,运行与维护,监控与评价管理的各个阶段中执行风险管理的基本流程,包括风险管理策略制定、风险识别、风险评估,进而选择适当的处理方法加以控制、处理,达到信息化可持续发展的目标。

三位的表述虽然略有不同,但是都谈到了IT风险与业务的关系。是不是只有当企业的业务与IT足够紧密时,才会考虑IT风险管理?王宇文:在信息化发展的初期,信息系统使用得比较少,这种情况下,产生风险的概率自然比较低。因为大部分的业务流程与IT都是脱离的,不论IT的状况如何,业务都能照常进行,从业务角度来看,IT带来的潜在风险就微乎其微。随着业务流程对IT依赖程度的不断加深,IT的作用变得越发明显,IT可能对业务带来的潜在风险也就会更多,相比之下,这时候IT风险管理也就显得更加重要。

但是,并不是说只有信息化发展到业务与IT足够紧密时,才应该考虑IT风险管理。在信息化的前期,虽然信息系统比较少,仍然需要适当考虑IT风险管理,因为风险的规避更多的是未雨绸缪的工作。

从中海油的经验来看,也确实是这样,IT系统建设的时候,我们就同步把很多风险管理和内部控制的内容考虑进去,这样做显然比IT做完了再去考虑风险和内控,进而对IT进行改造,要更有优势。

业务流程是企业战略落地的具体实现,IT系统就是业务流程的自动化,IT风险管理就是流程风险管理的一部分,而IT系统本身也是降低业务流程风险的手段。目前,国际OCEG组织提出的GRC框架也定义了IT系统在企业治理、风险及合规管理中的作用和标准。

王东红:“只有当企业的业务与IT足够紧密时,才应该考虑IT风险管理,”这句话看起来有些道理,却很不全面。IT风险,不仅是IT本身的风险,IT对企业的流程、战略等都会造成潜在风险,只要一部分流程依赖于IT,就有可能产生这种风险。另外,在信息系统建设初期,虽然业务与IT的紧密程度很低,但是这时候往往是企业对信息化建设进行大规模投资的时候,这些IT投入的产出也是有风险存在的,这也是IT风险的一部分。

景忠:是否应该考虑IT风险管理,我觉得这其中更多地与企业的业务类型有关。如果企业的业务虽然密切依赖IT,但是如果业务能够承受IT停顿带来的风险,那么,不考虑IT风险管理也可以。同时,还要与IT风险管理本身所产生的成本进行权衡。

IT风险包括的内容很多,在信息化发展的不同阶段,可能IT风险管理的侧重点会不同,比如大规模建设时期,可能重点更多的是放在IT投入的风险上,而当大规模建设初步结束之后,更多的是从维护业务稳定等方面考虑IT风险。

对IT风险进行管理的前提,是先识别IT风险。在识别IT风险方面,民生证券有哪些做法?

景忠:证券行业的特殊性让我们对风险管理一直非常重视,IT风险管理也是整个风险管理工作中非常重要的一部分。从目前的组织架构来看,涉及到 IT风险管理的主要有IT决策委员会、风险管理部和信息技术部。IT决策委员会主要从战略发展的高度对IT投入进行把控,降低IT投入的产出风险。风险管理部更多的是从业务角度看IT可能对业务造成的潜在影响,并找出这些潜在的

    项目经理胜任力免费测评PMQ上线啦!快来测测你排多少名吧~

    http://www.leadge.com/pmqhd/index.html

“项目管理生根计划”
企业项目经理能力培养和落地发展方案下载>>

分享道


网站文章版权归原作者所有,如有认为侵权请联系我们,将于1个工作日内作出处理!
网友评论【 发表评论 0条 】
网友评论(共0 条评论)..
验证码: 点击刷新

请您注意护互联网安全的决定》及中华人民共和国其他各项有关法律法规或间接导致的民事或刑事法律责任
·您在项目管理资源网新闻评论发表的作品,项目管理资源网有权在网站内保留、转载、引用或者删除
·参与本评论即表明您已经阅读并接受上述条款