项目管理资源网

您的位置:项目管理资源网 >> IT通信项目管理

探讨CIO如何识别IT风险

2011/3/28 9:37:08 |  6876次阅读 |  来源:网友转载   【已有0条评论】发表评论

们企业的内部审计,已经从“挑毛病”转变为帮助和促进业务部门的管理,更多扮演的是咨询师的角色。我们从IT风险审计的专业角度,发现IT的管理及信息系统存在的隐藏风险,并与IT部门一起面对风险进行应对,从前两次审计的过程和结果来看,IT部门对于IT审计确实是比较欢迎的,因为我们的目标都是共同的,那就是降低IT风险的发生,提高IT管理水平,确保业务稳定和公司目标的顺利实现。

对于已经发现的IT风险,又该如何实施管理,具体流程是什么样的?

王宇文:对于发现的潜在IT风险,首先要明确应该采取什么样的处理措施,这些处理措施包括承担、规避、分担、转移和减轻等等。经过对风险的评估排序,就可以了解风险对企业影响的大小和发生概率。高风险是业务不能容忍的,就一定要采取措施减少或减轻,有些是可以勉强接受的,或者有客观条件限制的就可以进行转移或者减轻。这个过程中也需要进行评估和权衡,因为很多措施的采用都需要追加投资,在确定之前一定要评估这些投资是否值得,评估完成之后才会采取相应的措施。

对于每一个识别出来的风险,相应的部门签字确认之后,每个风险都有相应的责任人,风险责任人要不断跟踪这些风险,定期对风险处理的措施和效果进行评估,确保风险得到有效控制,审计部门也要定期对风险的管理进行检查评价。

为了确保风险管理的措施能落到实处,中海油同样做了很多工作。审计监察部专门开发了全集团统一的风险管理信息系统,进入系统中,可以随时查看当前的风险列表,每个风险由什么部门负责、需要在什么时间采取什么措施将风险降低到什么程度,以及相应的完成情况,都一目了然。领导层可以随时对风险管理工作进行跟踪和监督。我们这套系统也得到了国资委的肯定。

除了风险管理信息系统确保实时跟踪和监督之外,中海油还通过科学合理的组织结构、将风险管理效果与绩效考核挂钩等手段,确保风险管理落到实处。

随着风险管理工作的深入,我们的认识也在逐步提高,风险管理涉及到的流程管理、制度体系管理是整个企业管理的核心,以往这些管理都是分散在各个部门独立管理的,现在,我们正在扩充风险管理系统功能,以流程管理为核心建立企业管理框架模型,把组织、制度、管理、监督等管理功能与流程管理有机地关联在一起,使企业管理更加清晰、有效。

景忠,你在前面谈到了目前有内部巡检、IT审计和IT决策委员会对潜在IT风险进行三重把关,这已经是很完备的体系了,你觉得还有哪些可以改进的地方吗?

景忠:有一个问题我一直在担心,那就是供应商可能带来的风险。目前来看,证券行业的供应商就那么几家,可选择的余地很小,这些供应商的系统是不是存在漏洞,券商的IT部门很难有能力去检测,并且,这些供应商的突然变故也会对我们造成很大的影响,比如之前Novell公司的转型,就给很多券商带来了不小的麻烦。还有去年证券行业推行的第三方存管,当时很多券商也都比较仓促,是否存在风险还需要进一步核实。

这些外部因素造成的潜在风险,目前仍然缺乏比较有效的手段去及时发现,这是整个行业都普遍面临的风险,不是一两家券商就能解决的,需要有更高层面特别是监管机构的组织,才能更好地解决这些问题。

中海油和民生证券对IT风险管理都非常重视,相信大多数企业的IT风险管理都还没有达到他们的水平。王东红,对于如何更好地实施IT风险管理,你能不能给点建议?

王东红:目前来看,国内企业的IT风险管理主要面临如下挑战:董事会和高级管理层缺乏对信息技术的关注和统筹安排,对IT风险了解甚少;信息技术风险分层次、分部门管理,职责分散,分支机构IT风险管理职能缺失,岗位缺失,缺乏统一的IT风险战略和策略;无序购

    项目经理胜任力免费测评PMQ上线啦!快来测测你排多少名吧~

    http://www.leadge.com/pmqhd/index.html

“项目管理生根计划”
企业项目经理能力培养和落地发展方案下载>>

分享道


网站文章版权归原作者所有,如有认为侵权请联系我们,将于1个工作日内作出处理!
网友评论【 发表评论 0条 】
网友评论(共0 条评论)..
验证码: 点击刷新

请您注意护互联网安全的决定》及中华人民共和国其他各项有关法律法规或间接导致的民事或刑事法律责任
·您在项目管理资源网新闻评论发表的作品,项目管理资源网有权在网站内保留、转载、引用或者删除
·参与本评论即表明您已经阅读并接受上述条款