淺析it治理管控it風險的方法

1、<p>　　淺析IT治理管控IT風險的方法</p><p>　　【摘要】現(xiàn)代企業(yè)對IT的依賴愈來愈高，IT風險成為越來越突出的問題。本文重點闡述IT風險和IT治理的基本概念，以及二者之間的主要聯(lián)系，介紹使用IT治理觀念實現(xiàn)對于IT風險管理控制的主要方法。 </p><p>　　【關鍵詞】IT治理 IT風險 管控方法 </p><p><b>　　

2、一、前言 </b></p><p>　　隨著經(jīng)濟的發(fā)展和IT技術的進步，各行各業(yè)對IT技術和IT系統(tǒng)的依賴程度越來越高。但是在IT系統(tǒng)的運營過程當中，無法避免出現(xiàn)因計算機軟件、硬件、客觀環(huán)境、主觀人為等因素導致IT系統(tǒng)部分或全部無法提供正常服務的情況。因此，IT風險對于使用IT系統(tǒng)服務的企業(yè)和客戶，對于依賴IT系統(tǒng)開展服務的業(yè)務是否能正常辦理影響極大，必須要重視IT風險的管理和控制。 </p&g

3、t;<p>　　二、IT治理和IT風險 </p><p>　　IT風險主要是指信息科技在運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。巴塞爾協(xié)議將IT風險歸為操作風險，IT風險一般是發(fā)生在機構在應用IT技術參加工作的過程中，對于IT應用目標可能會出現(xiàn)一些影響結果的不確定性事件，具有明確的不確定性[1]。 </p><p>　　IT治理是一

4、種引導和控制企業(yè)各種關系和流程的結構，這種結構安排，旨在通過平衡信息技術及其流程中的風險和收益，增加價值，以實現(xiàn)企業(yè)目標，是關系和過程的綜合，通過對IT技術進行治理和控制的方式，來實現(xiàn)對于企業(yè)的指導和控制，從而對于IT和在此過程中出現(xiàn)的風險等進行控制，同時實現(xiàn)企業(yè)價值的增值，實現(xiàn)企業(yè)發(fā)展的戰(zhàn)略目標[2]。 </p><p>　　要全面使用IT治理的理念來對IT風險進行管理控制，首先要對IT風險和IT治理以及二者之

5、間的關系做到全面的了解。正如企業(yè)需要公司治理一樣，信息化也需要IT治理，在信息化過程中，IT治理就是為鼓勵IT應用的期望行為而明確的決策權歸屬和責任擔當框架[3]。建造和運營一個或者若干個信息系統(tǒng)是容易的，讓這個系統(tǒng)正常地運轉(zhuǎn)起來并能穩(wěn)定的實現(xiàn)業(yè)務價值才是現(xiàn)實的難題。雖然采用先進的IT技術與產(chǎn)品、優(yōu)秀的管理方法在一定的程度上能降低IT風險，但并不十分保險。只有通過為IT引入一定的結構、規(guī)則、標準等框架，使IT在IT治理的基礎上進行“自律

6、”，才能使得IT風險在一定區(qū)間內(nèi)浮動，不超過企業(yè)對IT風險的容忍度。 </p><p><b>　　三、管控方法 </b></p><p>　　（一）以IT治理思想應對IT價值風險。 </p><p>　　IT和人員、資金、客戶關系一樣，都是企業(yè)運營所依賴的重要戰(zhàn)略資源。企業(yè)必需要應對IT資源的投入產(chǎn)出風險。IT與業(yè)務分離是企業(yè)信息化的最大風險

7、，優(yōu)秀的企業(yè)在信息化過程中所投入的IT資源（包括數(shù)據(jù)、技術、設備、IT人員等）應該得到充分的利用和回報，保證其符合并能夠支撐企業(yè)的戰(zhàn)略目標，為企業(yè)贏得競爭優(yōu)勢。如果企業(yè)對IT資源的投入無法滿足業(yè)務需求，甚至于業(yè)務背離，那么IT非但不會助力企業(yè)發(fā)展，反而可能成為企業(yè)的沉重負擔。 </p><p>　　為了規(guī)避風險，企業(yè)需要對IT活動進行控制，比對企業(yè)目標找出偏差，并進行修正。IT治理就是控制、找出偏差、修正IT活動

8、的循環(huán)，以此達到控制風險（獲取安全性，可靠性和一致性）和實現(xiàn)利益（增長的效益和效率）的雙重目標，使企業(yè)能充分利用信息和信息資源的優(yōu)勢，實現(xiàn)利潤最大化。如此治理能夠保證企業(yè)在進行IT資源投資時，將初步的期望細化為具體要求，針對這些具體要求細致地進行IT資源的引入和使用，從而消除IT資源的盲目投入。IT活動同企業(yè)目標之間不斷的糾正偏差的IT治理理念，也可以幫助企業(yè)根據(jù)不斷變化的內(nèi)外部環(huán)境適當?shù)恼{(diào)整IT戰(zhàn)略，充分降低IT風險，保證IT資產(chǎn)能夠

9、持續(xù)發(fā)揮效益。[4] </p><p>　?。ǘ┙⑦m合自身的IT風險管理框架 </p><p>　　企業(yè)需要依據(jù)自身特點和環(huán)境特征建立風險管理框架來幫助其實現(xiàn)IT治理下的戰(zhàn)略目標。本著成本和效益的原則，IT風險管理框架在基本層面所要描述的要素，應當適用于內(nèi)部控制環(huán)境所面臨的風險水平不同的多個組織實體，即便是性質(zhì)不同的組織所需要的風險管理的要素也應當是保持一致的，所謂的管理有效就是要正確

10、的找到控制成本與控制收益之間的平衡點，然后以一個合理的水平管理風險。 </p><p>　　目前，有很多國際上流行的控制框架可供借鑒，如COSO-ERM、CobiT、ITGov信息化風險管控體系等。通過IT風險管理框架的建立，可以明晰企業(yè)自身的IT風險偏好和容忍度，這是整個IT風險管理體系中居于宏觀的主導地位的策略性指標，包括了企業(yè)愿意承擔何種IT風險，最多承擔多少IT風險，以何種方式承擔這些風險等指標，為企業(yè)I

11、T風險管理指明了方向，也明確了企業(yè)IT風險管理的廣度和深度。通過IT風險管理框架的建立，可以梳理IT風險的識別與評估，應對與控制、評價與計量、檢測與報告等管理流程。 </p><p>　　（三）建立適合企業(yè)自身的IT風險管理機制和IT風險管理體制 </p><p>　　企業(yè)IT風險管理框架的有效運行還需要建立IT風險管理的報告制度、監(jiān)督機制、培訓機制、人力資源安排、組織機構與職責體系、文化

12、與行為準則等基本要件。 </p><p>　　在組織架構與制度層面，應建立起在董事會或高級管理層的領導下，層次化管理的IT風險管理架構的職責和分工體系，制定風險管理制度，風險管理手冊等制度文檔；應有明確的機構負責對整個企業(yè)IT風險管理體系的運轉(zhuǎn)進行審計監(jiān)督，并通過審計對風險管理體系的執(zhí)行情況、質(zhì)量、效力進行評估；應落實IT風險管理的考核及獎懲機制。 </p><p><b>　　

13、四、結束語 </b></p><p>　　現(xiàn)代企業(yè)對IT資源的依賴越來越高，但企業(yè)必須明確IT風險，并管理好這種風險?！癐T治理=IT治理思想+IT治理模式+IT治理體制+IT治理機制”的IT治理理念為IT風險管理提供了思路、方法和工具，指導和幫助企業(yè)有效、可靠的利用IT資源，使之為企業(yè)提供更加強大、持續(xù)的推動力。 </p><p><b>　　參考文獻： </

14、b></p><p>　　[1]歐志翔，全飛，李霽.銀行IT 風險管理分析[D].廣州：暨南大學，華南農(nóng)業(yè)大學，2013. </p><p>　　[2]吳以四.識別 IT 風險[J]. 信息方略，2012，（17）. </p><p>　　[3]彼得？維爾， 珍妮？W.羅斯.IT治理――一流績效企業(yè)的IT治理之道[M]，北京：商務印書館，2015.9（2012