项目管理资源网

您的位置:项目管理资源网 >> IT通信项目管理

探讨CIO如何识别IT风险

2011/3/28 9:37:08 |  6874次阅读 |  来源:网友转载   【已有0条评论】发表评论

IT风险。我们IT部门更多的是从信息系统运行、维护的角度去看系统的潜在风险。

在IT部门内部,我们会每月进行严格的定期安全巡检,这个巡检不仅涉及核心系统,还包括日常管理、设施维护等IT部门的方方面面。为此我们已经形成了固定的表格,每次巡检会按照表格逐个核对,检查涉及IT部门的每一个流程。我们还会有监控,仅监控的表格每天就有6张,对于发现的潜在问题都能立刻解决。

景忠更多的是从IT部门的角度谈对IT风险的管理。王宇文,你能否谈谈中海油的IT审计部门是怎么对IT风险进行审计的?

王宇文:在以前,审计部门主要是对企业财务、企业经营等的最后结果进行审计,现在审计工作正在不断前移,从对结果的审计前移到对制度、流程、实际执行过程进行以风险为导向的全周期的审计,包括对风险的识别和控制,因为这些结果的产生往往是由之前的不规范造成的。IT审计也是对风险进行事前控制的有效环节之一。

从去年开始,审计监察部已经对集团的下属上市公司进行过两次IT审计,主要是依据COBIT。我们对COBIT要求的34个流程进行了某些简化,并根据中海油的业务特点增加了一些内容,并以企业标准的形式发布了中海油内部的信息系统审计标准。IT部门根据这个要点进行风险控制和管理,我们也是依据要点中的内容进行IT审计。

在中海油,IT审计不是单独进行的,而是与整个公司审计一并进行的。IT部门与IT审计部门关注风险的角度确实有所不同,但是都会遵循相应的标准规范。王东红,请你给我们介绍一下目前主流的标准规范有哪些?

王东红:IT风险是业务与IT技术结合的产物。未雨绸缪,让一切风险和意外尽在掌握之中是一件非常重要的事情。于是,如何在这些潜在风险转化为灾难之前,就能迅速地被发现,显得极为重要。

除了刚刚中海油提到的COBIT之外,还有很多团体、组织或学者建立了风险管理模型,包括澳大利亚—新西兰联合委员会的AS/NZE4360、英国商务部OGC发布的M-o-R模型、DavidMcName模型、加拿大CICA的CoCo内部控制框架、1997COSO内部控制-整合框架、IIA研究基金IASB的ERM框架、2004COSO-ERM模型等。其实,这些模型都不是IT风险管理的模型,然而由于其广泛适用性,现在不仅适用于企业风险管理,也适用于IT风险管理。这也正说明了IT风险其实就是业务风险的一部分,因为管控的手段都是类似的。

2006年银监会发布了关于IT风险管理的行业指引——《银行业金融机构信息系统风险管理指引》,这是我国第一部IT风险管理规范。

至于究竟哪些规范更适合,很难有统一的答案。相比之下,COBIT是国际公认的IT治理架构,这个由国际IT治理协会研究发布的模型目前被世界各地的企业广为采用,它不仅是为用户和审计者而设计的,同时也为管理层和公司流程的所有者提供了详细的指导。

IT审计部门对信息系统的审计实际上就是要“挑毛病”和“找漏洞”,面对IT审计部门的这种“挑毛病”,IT部门是什么样的态度呢?

景忠:我觉得IT审计是个很好的事情,关键要看这项工作能否落到实处。IT审计本质上是一种控制,以确认IT是否有效率、效果、安全、合规以及可靠。就目前普遍开展的IT审计而言,IT审计在合规性、安全性、可靠性等方面的实质性作用是毋庸置疑的,而对于IT的效率及效果涉及得却很少。

我觉得IT审计要做好,审计师必须要了解我们系统的特点,知道系统的关键点在哪儿,需要检查哪些内容,这些方面对审计师的水平要求很高,会有一定的难度。但是,如果IT审计师水平不高,IT审计的效果就很难预料。

王宇文:IT审计特别是我

    项目经理胜任力免费测评PMQ上线啦!快来测测你排多少名吧~

    http://www.leadge.com/pmqhd/index.html

“项目管理生根计划”
企业项目经理能力培养和落地发展方案下载>>

分享道


网站文章版权归原作者所有,如有认为侵权请联系我们,将于1个工作日内作出处理!
网友评论【 发表评论 0条 】
网友评论(共0 条评论)..
验证码: 点击刷新

请您注意护互联网安全的决定》及中华人民共和国其他各项有关法律法规或间接导致的民事或刑事法律责任
·您在项目管理资源网新闻评论发表的作品,项目管理资源网有权在网站内保留、转载、引用或者删除
·参与本评论即表明您已经阅读并接受上述条款