項目管理資源網

您的位置:項目管理資源網 >> IT通信項目管理

探討CIO如何識別IT風險管理“可能性”問題

2011/1/17 15:29:49 |  7747次閱讀 |  來源:中國養殖網   【已有0條評論】發表評論

正如信息系統具有潛在的投資回報一樣,信息系統同樣具有潛在的風險。IT與業務的融合,在帶來企業效率提升和持續競爭力的同時,也加劇了業務可能面臨的風險。信息系統任何細微的變故,都有可能導致業務流程完全失效。正因為如此,IT風險管理受到了越來越多企業高管層特別是CIO的關注。一定程度上,CIO所面對的管理,更多的是對各種“可能性和不確定性”即“風險”的管理。

然而,IT風險及IT風險管理,一直是一個頗有爭議的概念。由于對風險的理解和認識程度不同,或對風險的研究的角度不同,其定義還存在很多爭議。

國際內部審計協會(IIA)對風險定義為:“可能對目標的實現產生影響的事件發生的不確定性。”并指出風險的衡量標準是后果與可能性。而國際標準化組織ISO/IEC“Guide73:2002”中關于風險的定義為:“事件發生的可能性及其后果的結合”。COSO發布的《企業風險管理-整合框架》中則將風險定義為:“一個事項將會發生并給目標實現帶來負面影響的可能性。”

對于IT風險的認識,同樣存在著不同的觀點。2006年1月出版的《IT風險——基于IT治理的風險管理之道》一書中認為,所謂IT風險就是指對業務造成負面影響的信息技術失效。2006年9月,中國銀監會頒布的《銀行業金融機構信息系統風險管理指引》中,信息系統風險是指:“信息系統在規劃、研發、建設、運行、維護、監控及退出過程中,由于技術和管理缺陷產生的操作、法律和聲譽等風險”。2007年2月賽門鐵克公司發布的《IT風險管理報告》中認為,IT風險包括安全性、可用性、能力和合規性四個方面。

正因為這些爭議的存在,目前各家企業對IT風險管理方面的理解和做法也存在著差異。這些差異,往往讓很多希望加強IT風險管理的企業和CIO們束手無措。為此,某雜志邀請到了民生證券股份有限公司信息技術總監景忠、中國海洋石油總公司審計監察部IT審計經理王宇文、ITGov信息系統審計專家王東紅,圍繞IT風險管理的相關話題,展開了討論。

對于IT風險的概念特別是IT風險涵蓋的范圍,現在仍然存在爭議,各位是怎么理解IT風險管理的?景忠:對于證券行業來講,IT系統的風險管理幾乎是天天都在抓。從我們的角度來講,IT風險主要包括系統的風險、人員的風險和IT投入的風險等方面。

系統的風險主要是軟件、硬件和網絡等設備的潛在風險,這與傳統的信息安全有很多類似的地方。人員的風險則是指內部人員作弊或者疏忽造成的風險,和關鍵崗位人員流失帶來的風險等所有與人為因素有關的潛在風險。IT投入的風險也非常容易理解,既然是投入就一定要有產出,不管這種產出是顯性還是隱性的,但是,也并不是所有的IT投入都能看到產出,甚至很多企業IT項目以失敗告終的案例也時有發生。王宇文:IT的作用就是支撐企業的業務運作和運營管理,因此,IT風險實際上就是業務的風險,拋開業務單純講IT風險是沒有意義的。從審計部門角度來看,之所以關注IT風險,就是要看一旦這些系統出問題,會對業務造成什么樣的影響。

國資委出臺的《中央企業全面風險管理指引》中將風險定義為:未來的不確定性對企業實現其經營目標的影響,一般可分為戰略風險、財務風險、市場風險、運營風險、法律風險等,并將風險分為純粹風險和機會風險。因此,我們認為IT風險主要是IT系統有可能對業務和經營目標造成的潛在風險。IT是屬于橫向業務支持領域,IT風險會體現在所有業務風險中。由于IT有其特殊的技術內涵和特點,往往在實際操作時IT風險管理相對來說比較獨立。

王東紅:前面兩位更多的是從實踐工作中,對IT風險管理的理解和

    項目經理勝任力免費測評PMQ上線啦!快來測測你排多少名吧~

    http://www.kouhis.tw/pmqhd/index.html

“項目管理生根計劃”
企業項目經理能力培養和落地發展方案下載>>

分享道


網站文章版權歸原作者所有,如有認為侵權請聯系我們,將于1個工作日內作出處理!
網友評論【 發表評論 0條 】
網友評論(共0 條評論)..
驗證碼: 點擊刷新

請您注意護互聯網安全的決定》及中華人民共和國其他各項有關法律法規或間接導致的民事或刑事法律責任
·您在項目管理資源網新聞評論發表的作品,項目管理資源網有權在網站內保留、轉載、引用或者刪除
·參與本評論即表明您已經閱讀并接受上述條款
香港赛马会一肖中特