陈伟风险管理，从人治到机制-IT风险管理研究框架

2009年版IT风险管理研究框架谷安天下陈伟第1页共5页作者简介：陈伟，前某著名国际咨询公司合伙人，清华大学EMBA班、北京大学CIO班特聘教授，在IT行业服务管理、系统集成、软件开发、信息安全与控制领域有十八年工作经验，著有《信息安全管理——全球最佳实务与实施指南》、《经营分析与信息技术》、《国际认证信息系统审计师认证指南》能，参与翻译《索耶内部审计》，《中国计算机用户》CSO专栏作假，发表多篇IT治理论文。1信息化的风险目前中国的信息化建设仍然属于“人治时代”，信息化的随意性较大，一方面组织缺乏对信息化进行整体规划、实施与控制的决策机制和责任担当框架，也没有形成信息化相关的制度；另一方面组织在信息化过程中所涉及IT规划、实施、运行、检查的一系统IT流程，缺乏制度化与标准化的约束，缺乏部门之间及流程之间协调、沟通的机制，造成IT系统与业务需求的“逻辑错位”。这就导致组织在信息化过程中存在很多风险，诸如技术标准不兼容的架构风险，信息化投资无法得到回报的绩效风险，开发的应用系统脆弱的风险或满足不了业务需要的风险等等。因而建立较完善的IT治理机制来解决信息化面临的风险，己是迫切地摆在我们面前的任务。2风险管理框架谷安天下通过对企业大量的信息化失败案例和对信息化建设中深层次机制问题的研究，发现信息化也像企业管理一样，需要制度创新，在信息化过程中，“制度重于一切”的定律同样适用。例如，建造一个信息系统是容易的，让这个系统正常地运转起来并能实现业务价值，则是现实的难题。因而我们在规划信息化的时候，除了要关注IT技术外，还要建立IT治理机制使企业能达到信息化的目标。而进行IT风险管理是进行IT治理的最有效手段之一。谷安天下根据组织在信息化中存在的多方面的风险，结合COSO风险控制原理，对IT治理的内容进行合理扩充并增加控制的粒度，提出了一套适应我国IT风险实际情况的综合性风险管理框架。IT风险管理框架的目标完善IT风险控制体系，降低IT成本，实现IT与企业战略、管理、业务、安全的深度融合，使IT真正满足业务发展的需求，为企业持续创造价值。第2页共5页IT风险管理框架的原则在战略层面，要综合公司治理结构和企业战略规划来建立IT治理机制，使IT治理成为公司治理的一部分，在组织最高决策层上对信息化进行监管与制衡，使沟通与反馈机制持续有效；在战术面上，为保护IT与业务目标一致，有限利用IT资源，提高绩效，降低风险与控制成本，需按照国际普遍接受的企业内部控制标准；对IT进行规划，确保IT战略与业务战略的一致，信息化一定要为业务所想、为业务所用，IT与业务的分离是信息化面临的最大风险；采用国际上得到普遍认可的IT控制标准（例如：COBIT、ITIL、ISO27001）及行业最佳实践，为信息化管理提供标准或规范；识别组织中的重要IT过程，确定其目标、活动与职责。梳理出纵向的技术管理过程和横向的客户服务过程，推行过程管理的思想；通过PDCD的过程，即计划、实施、调整、改进的循环，使信息化保持在可持续发展的轨道上，阶段性地进行信息系统审计和过程目标评估，以发现存在的偏离并及时调整到IT治理的目标上来；持续地评估IT绩效，可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估，以了解当前IT状况，为及时的调整与改进提供依据。IT风险管理框架的内容根据IT风险管理的目标和原则，我们给出IT风险管理框架的一种具体实现，其步骤如图所示：第3页共5页3IT风险管理框架的建立过程在组织中建立完整的IT风险管理框架是一项长期的工作，不可能一蹴而就，应当从基础到高级，从容易到复杂一步步分阶段实现，最终使IT成为组织的核心竞争力。第4页共5页第一阶段：IT规划与架构设计目标：进行信息化基础建设，构筑支撑业务运行的IT基础平台，建立完善的技术框架和管理流程。主要措施：业务流程调查，识别主要业务流程，并进行初步建模；为企业的业务活动建立标准的数据体系，并具有快速识别新的业务需求和进行业务建模的能力；审视业务战略，建立IT愿景目标，进行IT规划与架构设计，建立规范的IT技术标准与管理标准；建立项目管理与监理制度，对项目进行绩效分析与控制。建立内部员工培训制度，实施全员培训。第二阶段：完善IT治理、初步控制目标：在总体治理框架的指导下，初步建立IT风险控制体系，为业务系统运行提供较可靠的保障。主要措施：建立IT治理委员会，完善IT决策机制及职责担当框架，确保IT战略进入组织的业务战略，使IT进入组织最高管理层的日常议题；划分安全域，识别信息资产，进行风险评估，按照ISO27001建立信息安全管理体系，保护组织信息资产的机密性、完整性及可用性；按照ITIL规范建立IT服务管理体系，保护组织IT服务的可靠交付，提高运行绩效和客户满意度；按照CMMI标准的要求，完善组织的软件开发过程，提高软件的质量；建立业务持续性计划BCP，保证组织的业务及IT在发生较大的灾难时能保证业务的持续运行。第三阶段：资源协同、全面控制目标：实现有效的资源协同，为业务活动提供可靠的支撑，深化IT风险控制，实现应用系统与安全系统的全面集成。主要措施：建立统一的应用系统平台，实现IT资源协同，为己有业务及新业务提供第5页共5页灵活可靠的支撑平台；建立统一安全保障平台，建立有效的应用控制机制，实现应用系统与安全系统全面集成；完善IT服务管理机制，进一步提高客户对IT服务的满意度，对IT服务进行量化管理；梳理各类IT流程、建设规范化的IT流程控制框架，明确各流程的KPI、KGI及CMM等级，形成完备的IT流程控制体系；建立信息系统审计制度，从独立、客观的角度保证IT系统的效率与效果；对IT组织、人员、流程、项目建立较为科学的绩效考核制度。第四阶段：业务创新、完善控制目标：IT风险控制与企业风险控制高度融合，IT战略成为企业战略的重要组成部分，IT为企业创造新的竞争机遇。主要措施：IT战略成为组织决策层的重要议题，IT参与企业流程再造，IT可以为企业创造新的利润增长点；为整个组织提供高质量的IT服务，建立全组织的IT共享服务中心；IT成为利润中心，对IT进行财务核算；IT控制进一步完善，IT风险控制与企业风险控制高度融合，形成良好的信息安全企业文化。总之，建立IT风险管理框架是组织控制IT风险、确保组织实现其业务目标的有效方式，以上所介绍IT风险控制过程是谷安天下通过多年的研究及实践总结出来的通用方法论，不同的组织在建立控制的过程中，还要根据自身的实际情况应地制宜，灵活应用。——文档结束——