科學合理的IT風險管理體系應當具有前瞻性的、全局性的控制機制，能融合防范與應對信息安全、IT治理、IT管理、IT服務、IT應用、IT項目、IT基礎設施、業(yè)務連續(xù)性、IT外包等方面的風險，并能有效地指導組織控制IT風險，使IT戰(zhàn)略與企業(yè)戰(zhàn)略相融合，促進IT為組織持續(xù)地創(chuàng)造價值，以實現(xiàn)有效益的信息化。

    一、信息化面臨的風險

    九十年代以來，信息技術得到了快速的發(fā)展和廣泛的應用，信息化已成為全球經濟社會發(fā)展的顯著特征，并逐步向一場全方位的社會變革演進。當前，信息技術己深入到各行各業(yè)，甚至影響并改變著普通百姓的生活方式，信息資源也日益成為重要生產要素、無形資產和社會財富。

    由于國內經濟的持續(xù)增長為信息化提供了良好的外部環(huán)境和充足的投入資金，各行各業(yè)的信息化呈現(xiàn)出一派欣欣向榮的景象，我國信息化在推行電子政務、振興軟件產業(yè)、加強信息安全保障、加強信息資源開發(fā)利用、加快發(fā)展電子商務等方面取得了可喜的進展。同時，信息化的應用也有力地推動了中國的經濟持續(xù)增長、產業(yè)的升級、競爭力的提高，信息化與經濟發(fā)展形成了良性循環(huán)。

    從二十多年的信息化實踐來看，目前我國的信息化正處在一個由初級水平的投入期，向中高級水平的見效期過渡的關鍵時期，信息化的重點己從注重對行業(yè)和企業(yè)的覆蓋，注重硬件產品的配備，逐步過渡到強調整合和開發(fā)利用信息資源，對客戶需求做出快速反應，提高應用水平和服務質量，使組織的價值最大化。在這一階段信息化的機會與風險并存，許多以前還沒有涉及的深層次問題都會一一暴露出來，這將考驗我們是否已經做好必要的思想準備和采取有效的應對措施。

    IT治理風險

    中國的信息化建設仍然屬于"人治時代"，信息化的隨意性較大，企業(yè)還沒有就信息化形成相關的制度，缺少對信息化進行整體規(guī)劃、實施與控制的決策機制和責任擔當框架。信息化成功與否往往在很大程度上取決于最高管理層對信息化的理解和個人領導力大小的影響，這種不確定性增加了組織的信息化風險，這是IT治理風險的宏觀體現(xiàn)。

    組織在信息化過程中所涉及IT規(guī)劃、實施、運行、檢查等一系統(tǒng)IT流程，缺乏制度化與標準化的約束，缺乏部門之間及流程之間協(xié)調、溝通的機制，造成IT系統(tǒng)與業(yè)務需求的“邏輯錯位”，同時也造成了一個個的 信息“孤島”，這是IT治理風險的微觀體現(xiàn)。如何在組織中建立較完善的IT治理機制，使信息化的決策與實施成為組織中的一種完善的制度存在，己是擺在我們面前的迫切任務。

    IT可用性風險

    而隨著信息化的深入，組織的核心應用系統(tǒng)都己構架在IT平臺之上，越來越多的政府、商業(yè)、教育等機構的業(yè)務正常運行離不開IT系統(tǒng)。隨著IT技術的高速發(fā)展，IT平臺（如硬件、網絡、系統(tǒng)）的復雜性越來越高，各種系統(tǒng)漏洞層出不窮，頻繁的停機事件令用戶窮于應付；就算是IT技術系統(tǒng)沒有漏洞，也不等于就能提供優(yōu)質的IT服務；另一方面，國內許多組織不能建立有效的故障管理、變更管理、配置管理等IT服務管理流程也是造成IT系統(tǒng)停機的原因；缺乏必要業(yè)務連續(xù)性計劃也是造成IT可用性降低的重要原因。

    IT系統(tǒng)的停機將使組織的業(yè)務受到巨大損失、造成聲譽下降、競爭優(yōu)勢喪失。2006年幾起信息安全事件，如：銀聯(lián)計算機故障造成不能跨行取款，首都機場離港系統(tǒng)故障造成大量旅客滯留機場，5月份開始的A股交易量連續(xù)井噴造成多家證券公司出現(xiàn)“堵單”等事件，就生動地告誡我們，由于脆弱的基礎設施和IT管理流程，使得這種不斷增強的對IT的依賴性就是潛在的風險。

    信息安全風險

    在信息化的整合見效期，對組織而言信息比以往具有更高的價值，而信息固有的弱點決定其易傳播、易毀損、易偽造?；ヂ?lián)網給我們帶來便利的同時，網上行動的遠程化以及互聯(lián)網“無政府狀態(tài)”，使得信息安全面臨嚴峻的挑戰(zhàn)，即使是一個中學生，通過黑客網站的簡單培訓，也能發(fā)起具有危害性的攻擊。目前互聯(lián)網上黑客網站已超過3萬個，一些有影響力的黑客網站的會員超過萬人。黑客攻擊網站的行動此起彼伏，造成許多商業(yè)網站、政府網站被入侵，大量網銀用戶網上銀行存款被盜，許多敏感機密信息被泄露。

    據(jù)統(tǒng)計去年產生的電腦病毒和木馬的數(shù)量達到23萬個，其中90%以上帶有明顯的利益特征，有竊取個人資料、各種賬號密碼等行為，嚴重威脅著互聯(lián)網的安全。第一毒王“熊貓燒香”病毒己造成超過一千萬的個人及企業(yè)用戶中毒，直接及間接經濟損失高達億元以上。

    IT績效風險

    國內在信息與信息系統(tǒng)上的投資規(guī)模與成本都在不斷擴大，高投入帶來了高風險。根據(jù)商務部研究院信息咨詢中心提供的數(shù)據(jù)，2005年我國在信息化改造提升方面的投入達到了2829億，2006年是3227億元，預計2007年將達到4236億元。從2005到2007年中國行業(yè)信息化投入的絕對增加額將達到 1300億以上，未來幾年行業(yè)信息化IT投入將進入了高增長期。如果IT投資行為如果不能帶來合理的回報，將使組織面臨巨大風險。這幾年國內信息化失敗的案例比比皆是，如果規(guī)劃不當、控制不嚴，IT系統(tǒng)不能帶來預期的業(yè)務價值，那么，巨額的信息化投入很可能造成新一輪的“投資黑洞”

    IT績效風險另一表現(xiàn)就是對IT的投資績效和運行績效不能進行有效測量。不能測量意味著無法了解當前IT系統(tǒng)的“健康狀況”，就不能有效地發(fā)現(xiàn)存在的問題，并采取有針對性的改進措施。

    合規(guī)性風險

    由于IT在社會和經濟生活越來越充當重要角色，國內外近年來出臺了許多法律法規(guī)加強對IT的監(jiān)管。

    例如，2002年美國國會發(fā)布了《薩班斯—奧克斯利法案》，在這個法案中明確提出了所有上市公司都必須加強風險管理，建立有效的內部控制框架，以確保上市公司遵守證券法律以提高公司披露的準確性和可靠性，從而保護投資者及其他目的。在美國上市的公眾公司需要投入大量的人力、物力和財力來建立內部控制，中國在美國上市的中石化、中國人壽、新浪、亞信等企業(yè)也為此付出了巨大的努力。據(jù)美國Financial Executive International組織對321個公司的調查顯示，在一個規(guī)模比較大、年營業(yè)收入超過50億美元的公司，建立此體系至少需要470萬美元，維系其運轉需要每年150萬美元。

    雖然薩班斯法沒有直接明確對IT的要求，但企業(yè)在實施符合法案要求的內控過程時，發(fā)現(xiàn)IT方面的工作量竟然占到了40%以上，這是因為一方面IT要作為管理組織業(yè)務風險的工具與手段，例如，對財務應用系統(tǒng)的機密性、完整性控制，以及對業(yè)務交易信息的監(jiān)督與數(shù)據(jù)采集都離不開IT系統(tǒng)；另一方面IT本身的風險，例如網絡風險、系統(tǒng)風險、應用風險，也是薩班斯法關注的重要內容，特別是如何使已有的IT流程和應用系統(tǒng)中的控制符合薩班斯法的要求是CIO最為頭痛的問題。

    近年來，國內行業(yè)主管部門一直在要求企業(yè)加強風險管理。2004年9月30日中國銀監(jiān)會發(fā)布了《商業(yè)銀行內部控制評價試行辦法》，旨在為規(guī)范和加強對商業(yè)銀行內部控制評價，督促商業(yè)銀行建立內部控制體系，健全內部控制機制，保證商業(yè)銀行穩(wěn)健運行，其中包括了對建立銀行計算機系統(tǒng)內部控制的要求。2006年3月1日銀監(jiān)會發(fā)布《電子銀行業(yè)務管理辦法》和《電子銀行安全評估指引》，直接對技術風險較大的電子銀行提出了進行獨立的或相對獨立的信息系統(tǒng)審計的要求。與此同時，其他行業(yè)監(jiān)管部門也準備出臺類似的風險管理措施。中國財政部于2006年10月發(fā)起成立企業(yè)內部控制標準委員會，其目的是為推動企業(yè)完善治理結構和內部約束機制。企業(yè)內部控制標準委員會的成立，預示著我國企業(yè)在內部控制方面將迎來一部類似美國《薩班斯法案》的標準體系，屆時必將對IT風險控制提出相應的要求。

    這些方面并沒有涵蓋所有的IT風險，反映的問題也只是冰山之一角，不同的行業(yè)在不同的時期，其IT風險有著不同的表現(xiàn)形式。在應對這些IT風險時，我們也曾有過各種風險控制方法和模型，但一般都是針對技術風險提出來的，偏重于某一技術領域，而且大多是采用事后反應式的控制措施。在信息化的整合見效期，這種單一的“救火模式”將使我們疲于應付各種層出不窮的風險。特別對于像制度、流程、人員行為等方面有可能涉及組織核心價值的風險，傳統(tǒng)的控制方法存在明顯不足。

    科學合理的IT風險管理體系應當具有前瞻性的、全局性的控制機制，能融合防范與應對信息安全、IT治理、IT管理、IT服務、IT應用、IT項目、IT基礎設施、業(yè)務連續(xù)性、IT外包等方面的風險，并能有效地指導組織控制IT風險，使IT戰(zhàn)略與企業(yè)戰(zhàn)略相融合，促進IT為組織持續(xù)地創(chuàng)造價值，以實現(xiàn)有效益的信息化。

    二、COSO企業(yè)風險管理框架

    在研究與探討IT風險管理框架時，讓我們先跳出IT，從行業(yè)監(jiān)管者及企業(yè)管理者的角度來觀察是如何管理企業(yè)風險，順著這樣的思路，接合我們國內IT風險控制的具體情況，我們建立一個既符合COSO要求，又能指導企業(yè)一步步實施對IT的風險控制的IT風險管理框架。

    從行業(yè)監(jiān)管者和企業(yè)管理層來看，對企業(yè)風險進行控制是保護企業(yè)核心競爭力的有效手段，IT風險是企業(yè)風險管理的有效組成部分。不管是什么規(guī)模的組織，都需要有一套控制指南來有效地管理企業(yè)內外各種各樣的風險，并隨著業(yè)務環(huán)境的變化和新技術的發(fā)展及時更新，才能保證企業(yè)健康、持續(xù)地發(fā)展，有效的風險管理己成為企業(yè)發(fā)展的主旋律。

    COSO是行業(yè)監(jiān)管者及企業(yè)管理者最常使用的風險管理框架。COSO企業(yè)風險管理框架于2004年4月由美國COSO委員會正式頒布。COSO委員會認為企業(yè)風險管理是一個由企業(yè)的董事會、管理層和其他員工共同參與的，應用于企業(yè)戰(zhàn)略制定和企業(yè)內部各個層次和部門的，用于識別可能對企業(yè)造成潛在影響的事項，并在其風險容納量(Risk Appetite)范圍內管理風險的，為企業(yè)目標的實現(xiàn)提供合理保證的過程。此框架要求企業(yè)管理者以風險組合的觀點看待風險，對包括IT風險在內的所有風險進行識別并采取措施使企業(yè)所承擔的風險在風險容納量的范圍內。

 

 

 

    COSO管理框架的主要內容：

?  風險管理目標

    確定企業(yè)的戰(zhàn)略

    提高企業(yè)運營效率，取得好的經營效果；

    保證企業(yè)報告的可靠性；
 
    遵循相關法律法規(guī)的要求。

?  為達成以上目標，管理風險的主要過程有：

    控制環(huán)境

    任何企業(yè)的核心是企業(yè)中的人及其活動。人的活動在環(huán)境中進行，人的品性包括操守、價值觀和能力等，它們是構成環(huán)境的重要要素之一，又與環(huán)境相互影響、相互作用。環(huán)境要素是推動企業(yè)發(fā)展的引擎，也是其他要素的核心。

    目標制定

    在風險管理框架中，由于要針對不同的目標分析其相應的風險，因此目標的制定自然就成為風險管理流程的首要步驟，并將其確認為風險管理框架的一部分。

    事項識別

    企業(yè)風險管理和內部控制框架都承認風險來自于企業(yè)內、外部各種因素，而且可能在企業(yè)各個層面上出現(xiàn)，并且應根據(jù)對實現(xiàn)企業(yè)目標的潛在影響來確認風險。

    風險評估

    企業(yè)必須制定目標，該目標必須和生產、營銷、財務等作業(yè)相結合。為此，企業(yè)也必須設立可辨認、分析和管理相關風險的機制，以了解自己所面臨的風險，并適時加以處理。

    風險反應

    企業(yè)風險管理框架提出對風險的四種反應方案：規(guī)避、減少、轉移和接受風險。

    控制活動

    企業(yè)必須制定控制政策及程序，并予以執(zhí)行，以幫助管理當局保證其控制目標的實現(xiàn)，其用以辨認并用以處理風險所必須采取的行動業(yè)已有效落實。

    信息和溝通

    圍繞在控制活動周圍的是信息與溝通系統(tǒng)。這些系統(tǒng)使企業(yè)內部的員工能取得他們在執(zhí)行、管理和控制企業(yè)經營過程中所需的信息，并交換這些信息。

    監(jiān)督

    整個內部控制的過程必須施以恰當?shù)谋O(jiān)督，通過監(jiān)督活動在必要時對其加以修正。監(jiān)控是一個評價內部控制運行組織的過程。

    實施控制的地點

    組織的各個層面實施控制，例如，在總公司、分公司、業(yè)務單位、單位部門、實體層都需要建立相應的控制。

    COSO風險管理框架是各上市公司為符合薩班斯法案要求而采納的主要方法，我國銀監(jiān)會發(fā)布的《商業(yè)銀行內部控制評價試行辦法》也采用了COSO內控體系的方法論，其中也涉及了IT內控制的內容。COSO風險管理框架給我們有以下啟發(fā)：

    要站在企業(yè)管理者的角度來看待風險，企業(yè)風險是由包括IT風險在內的其他風險組合而成。

    強調“人”的重要性，組織中的每一個人對風險管理都負有責任；

    強調“軟控制”的作用。“軟控制”主要指那些屬于精神層面的事物，如高級管理階層的管理風格、管理哲學、企業(yè)文化、內部控制意識等，“軟控制”影響人的行為。

    強調風險管理是一個“動態(tài)過程”，風險管理是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復的PDCA過程。

    明確指出內部控制只能做到“合理”保證，目標達成的可能性受許多先天條件不足及各種“不確定性”的影響。

    沒有不花錢的內部控制，也不存在完美無缺的內部控制。

    三、COSO框架下的IT風險管理框架

    企業(yè)在實施風險管理過程中，四個目標都應當有IT的相關內容，其八個過程也有相應的IT內容，例如：COSO的“控制環(huán)境”對應著IT的“IT治理、法規(guī)及標準符合性”，“風險評估”對應著“IT風險評估及影響分析”等。

    這八個方面的各項控制又可進一步分三個層次的控制，一是公司層控制、二是應用層控制，三是一般控制層或稱基礎層控制。

    公司級控制

    公司級控制主要與COSO中的控制環(huán)境及風險評估有關，為一般控制和應用控制設置基調。公司級控制一般包括以下內容：

    最高管理層設定的基調與方向

    職業(yè)道德中的正直性、價值觀、勝任能力

    IT管理哲學和業(yè)務運行類型

    對IT管理層的授權與責任

    IT政策與程序

    IT組織中人員的責任與技能

    一般控制

    一般控制就是保證計算機信息系統(tǒng)能夠以持續(xù)、正確的方式運行的政策與程序，包括數(shù)據(jù)中心運營、系統(tǒng)軟件獲取與維護、訪問安全、應用系統(tǒng)開發(fā)和維護等內容。一般控制能對通過編程實現(xiàn)的應用系統(tǒng)控制機能提供支持，一般控制有時也稱為一般計算機控制和信息技術控制。一般控制過程主要包括：

    安全管理

    應用系統(tǒng)變更控制

    數(shù)據(jù)管理

    災難恢復

    數(shù)據(jù)中心運營

    問題管理

    資產管理

?  應用控制

    應用控制是為保證業(yè)務過程的正常運行，而設計在應用系統(tǒng)中控制措施，以防止和檢測錯誤的和非授權的交易，保證交易處理的完整性、準確性、合法性及適當授權。一般在應用系統(tǒng)中的以下環(huán)節(jié)建立應用控制：

    進行計算時；

    實施數(shù)據(jù)合法性驗證和編輯檢查時；

    與其他系統(tǒng)有數(shù)據(jù)接口時；

    管理層需要依靠應用系統(tǒng)進行完整、準確的排序、匯總和報告關鍵信息時；

    限制對交易和數(shù)據(jù)訪問時。

    IT風險管理的過程也類似于企業(yè)風險的過程，主要有以下風險識別、風險分析、風險處理、風險監(jiān)督、風險報告及改進的過程：

 

 

    以上三個層次的IT風險管理，在組織中可以分階段地通過一個個的IT風險控制項目，例如COBIT、ISMS、ITSM、BCP、CMMI等進行實施，也可以選擇其中的某些過程進行整合后實施。

 

 

    對于所建立IT內部控制措施是否能有效地控制風險，還需要通過第三方對組織內部措施的有效性進行獨立審計，出具審計報告，以證明內部控制措施完備性。

    以上過程是許多上市公司在建立符合薩班斯法要求的IT風險控制框架時的主要方法，這種方法的主要優(yōu)點是把IT風險放在企業(yè)風險的高度進行管理，容易得到管理層的理解與支持，涉及的風險較全面，控制與改進的方法較完備。缺點是控制的粒度還較粗，還不能適當對IT進行精細控制的要求。

    四、適用的IT風險管理框架

    我們結合以上內容，進行合理擴充并增加控制的粒度，提出了一套適應我國IT風險實際情況的控制框架。

    建立信息化的“游戲規(guī)則”

    建造一個信息系統(tǒng)是容易的，讓這個系統(tǒng)正常地運轉起來并能實現(xiàn)業(yè)務價值，則是現(xiàn)實的難題。雖然采用先進的IT技術與產品、優(yōu)秀的管理方法在一定的程度上能降低IT風險，但并不十分保險，只有通過為IT引入一定的結構、規(guī)則與標準，使IT在“他律”（IT治理）的基礎上進行“自律”（IT管理），才能使得IT風險在一定的框架內上下左右浮動，不超過企業(yè)計劃中的風險范圍。

    這個框架就是IT風險管理框架，也可以稱為IT的“游戲規(guī)則”，忽略了規(guī)則的建立是國內信息化成功率低的根源，我們應當把建立信息化的“游戲規(guī)則”看成是信息化的重要內容之一。

    IT風險管理框架的目標

    完善IT風險控制體系，降低IT成本，實現(xiàn)IT與企業(yè)戰(zhàn)略、管理、業(yè)務、安全的深度融合，使IT為企業(yè)持續(xù)地創(chuàng)造價值，有效率并有效果地進行信息化。

    IT風險管理框架的原則

    建立IT治理機制，使IT治理成為公司治理的一部分，在組織的最高決策層上對信息化的進行監(jiān)管與制衡；

    對IT進行規(guī)劃，確保IT戰(zhàn)略與業(yè)務戰(zhàn)略的一致，信息化一定要為業(yè)務所想、為業(yè)務所用，IT與業(yè)務的分離是信息化面臨的最大風險。在總體規(guī)劃指導下進行應用、數(shù)據(jù)和技術方面的架構設計，以獲得標準化的技術規(guī)范與指南。

    在技術與管理上保證和各種異構IT資源能在統(tǒng)一的架構環(huán)境下，實現(xiàn)協(xié)同工作、無縫地進行數(shù)據(jù)交換。

    采用國際上得到普遍認可的IT控制標準（例如：COBIT、ITIL、ISO27001）及行業(yè)最佳實踐，為信息化管理提供規(guī)范和標準；

    識別組織中的重要IT過程，確定其目標、功能與職責。梳理出縱向上的技術管理過程和橫向上的客戶服務過程，推行過程管理的思想；

    持續(xù)地評估IT績效，可以從整體信息化績效、IT項目績效及IT人員績效等多個方面進行評估，以了解當前IT狀況，為及進的調整與改進提供依據(jù)；

    通過PDCD的過程，即計劃、實施、調整、改進的循環(huán)，使信息化保持在可持續(xù)發(fā)展的軌道上，階段性地進行信息系統(tǒng)審計，以發(fā)現(xiàn)存在的偏離，及時調整到信息化的最終目標上來。

    IT風險管理框架的內容

    根據(jù)IT風險管理的目標和原則，我們給出IT風險管理框架的一種具體實現(xiàn)，其步驟如圖所示：

 

    IT風險管理框架各環(huán)節(jié)描述如下：

    完善IT治理結構

    從宏觀上來說，IT治理要綜合公司治理結構、企業(yè)戰(zhàn)略規(guī)劃，使IT治理作為公司治理的一部分，也就是要確定IT原則、IT架構、基礎設施、應用設施和投資優(yōu)先順序的決策權歸屬和職責分工。通過建立IT委員會的方式來建立良好的治理結構，通過對權力的監(jiān)督與平衡，就可把IT戰(zhàn)略風險與管理風險控制在一定范圍內，那么無論由誰來領導，IT的建設就不會大起大落。

    從微觀上來說，為保護IT與業(yè)務目標一致，有限利用IT資源，提高績效，降低風險與控制成本，需按照國際普遍接受的企業(yè)內部控制標準COBIT，在IT的計劃與組織、獲得與實施、交付與支持、監(jiān)控四個領域建立IT控制過程，有效地控制IT建設的整個生命周期的風險。

    業(yè)務需求識別

    當前企業(yè)競爭激烈、內部變革頻繁，要實現(xiàn)IT與業(yè)務的融合，就需要建立一套具備一定適應能力，能夠識別不斷變化的業(yè)務需求，并能夠快速有效地作為響應的機制。業(yè)務需求是促進IT發(fā)展的源動力，準確、及時地捕捉組織的業(yè)務需求，并使之成為信息化建設與調整的依據(jù)，這是降低IT風險的可靠保證。

    對業(yè)務需求的識別，需要IT人員了解企業(yè)的業(yè)務流程，并站在業(yè)務管理者的角度思考企業(yè)發(fā)展的重大問題，這對IT人員的提出了新的挑戰(zhàn)。

    業(yè)務建模

    信息化項目無論是網絡建設、安全建設，還是應用開發(fā)，都需要了解組織特征，確定業(yè)務流程，應當在信息化之前就為組織建立可靠的業(yè)務模型。業(yè)務建模可以創(chuàng)建一個復雜業(yè)務的抽象描述，使其成為同業(yè)務中各項目相關人員(如擁有者、管理者、雇員和客戶)交流的基礎。一旦能更好地理解業(yè)務功能，我們就能較容易地完善業(yè)務流程，較容易地發(fā)現(xiàn)、識別新的業(yè)務機會(即業(yè)務的完善或革新)，并為網絡建設、安全建設及應用開發(fā)提供準確的需求定義。
    數(shù)據(jù)標準化

    “信息孤島現(xiàn)象”是信息化的另一個較大風險，現(xiàn)在許多行業(yè)都在進行數(shù)據(jù)大集中，但遇到很多問題，進展緩慢，這都與沒有做好前期數(shù)據(jù)規(guī)劃、實施數(shù)據(jù)標準化有關。IT系統(tǒng)的建設首先要以數(shù)據(jù)為中心，數(shù)據(jù)是穩(wěn)定的，處理是多變的。數(shù)據(jù)標準化可以根本上解決數(shù)據(jù)質量控制問題，減少數(shù)據(jù)處理系統(tǒng)中數(shù)據(jù)元素總數(shù)，提供便捷而準確的信息，用戶方便快速地檢索到所需信息。數(shù)據(jù)標準化為提高信息的互操作性、減少信息孤島、降低信息化的風險奠定了基礎。

    IT規(guī)劃與架構設計

    IT系統(tǒng)規(guī)劃是以組織的目標、戰(zhàn)略、目的、過程以及信息需求為基礎，識別并選擇建立哪種IT系統(tǒng)以及什么時間建立的過程。通過IT規(guī)劃，明確IT的投資方向，實現(xiàn)可控的IT投資成本，在有效地管理信息化有關風險的基礎上，獲得可持續(xù)改進和提升的IT能力。有效的IT規(guī)劃可以將組織戰(zhàn)略目標轉化為IT系統(tǒng)的戰(zhàn)略目標的過程，是現(xiàn)代企業(yè)的戰(zhàn)略規(guī)劃的重要組成部分，是企業(yè)商業(yè)模式創(chuàng)新的最好機會，是企業(yè)管理系統(tǒng)變革的準備和前奏。

    在總體規(guī)劃的指導下，需要進行企業(yè)的整體IT框架設計，IT架構由應用、數(shù)據(jù)、技術架構構成，架構為IT標準化提供了依據(jù)和框架，有力地指導IT標準化的工作。IT標準化是架構應用的手段，是架構“落地”的工具，同時，在標準化過程中整個架構逐步完善。

    IT業(yè)務流程優(yōu)化

    按照國際通行的IT控制框架，建立并優(yōu)化從信息技術的規(guī)劃與組織、采集與實施、交付與支持、監(jiān)控等四個方面的多個信息技術處理過程。從質量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性。

    建立信息安全管理體系

    建立信息安全管理體系是建立信息安全防線的起點，ISO27001是一個可以指導組織安全實踐的信息安全管理標準，它從管理、技術、人員、過程的角度來定義、建立、實施信息安全管理體系，保障組織的信息安全“滴水不漏”，確保組織業(yè)務的持續(xù)運營，維護企業(yè)的競爭優(yōu)勢。

    IT服務管理

    IT服務管理是一種以流程為導向、以客戶為中心的方法，它通過整合IT服務與組織業(yè)務，提高組織IT服務提供和服務支持的能力及其水平。建立有效的IT服務管理體系有助于為組織提高IT服務的有效性與經濟性，可以消除 “信息技術人員充當救火隊員”的局面。通過對業(yè)務支撐系統(tǒng)實施IT服務管理，對組織的各種資源進行優(yōu)化，形成全面、統(tǒng)一、集中的管理構架及服務管理流程，確保信息系統(tǒng)企業(yè)發(fā)展提供可靠、經驗、高效的信息服務

    IT項目管理與監(jiān)理

    IT項目管理就是以項目為對象的系統(tǒng)管理方法，通過一個臨時性的、專門的柔性組織，運用相關的知識、技術和手段，對項目進行高效率的計劃、組織、指導和控制，以實現(xiàn)項目全過程的動態(tài)管理和項目目標的綜合協(xié)調與優(yōu)化。在IT項目管理中，可結合PMBOK和 PRINCE2的方法，使PMBOK定位于項目管理知識架構，PRINCE2定位于項目管理實施指南。

    IT項目監(jiān)理的中心任務是要規(guī)劃和控制工程項目的投資、進度和質量三大目標;監(jiān)理的基本方法是目標規(guī)劃、動態(tài)控制、組織協(xié)調和合同管理；監(jiān)理工作貫穿規(guī)劃、設計、實施和驗收的全過程。信息工程監(jiān)理正是通過投資控制、進度控制、質量控制以及合同管理和信息管理來對工程項目進行監(jiān)督和管理，保證工程的順利進行和工程質量。具體的監(jiān)理辦法可參照信息產業(yè)部發(fā)布的《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》。

    IT應急計劃

    組織應當制定和執(zhí)行應急計劃，通過預防性和恢復性措施的結合，把災難或者安全事故（例如可能由于自然災害、突發(fā)事件、設備故障和故意的行為）所導致的破壞減少到一個可以接受的水平。IT應急計劃呈現(xiàn)了在緊急事件發(fā)生后為了維持和恢復關鍵的IT服務所進行的范圍廣泛的活動。IT應急計劃適合于廣泛的緊急事件準備環(huán)境，包括組織和業(yè)務處理連續(xù)性及恢復計劃。為了對影響組織IT系統(tǒng)、業(yè)務處理和設施的外部威脅作出反應，并恢復和保持連續(xù)性的活動，組織通常會應用一系列計劃進行準備工作。

    IT資源協(xié)同

    IT資源協(xié)同可以通過架構設計、技術產品、管理協(xié)調、業(yè)務外包及建立共享服務中心等多種方式實現(xiàn)。其目的是實現(xiàn)信息共享、業(yè)務整合和資源優(yōu)化，以破解“信息孤島”、“應用孤島”和“資源孤島”三大難題。

    IT資源協(xié)同首先是對信息的高度共享。信息共享是為了最大限度的發(fā)揮其本身的價值，無論是企業(yè)管理者、員工、還是外部的合作伙伴，都可以很方便的查找到相關的信息以支持事務的處理，并利用信息創(chuàng)造新的價值。

    其次是對各個業(yè)務的整合。這些業(yè)務盡管更多的時候從屬于企業(yè)的不同人員、不同部門，但本質上來說它們都是緊密關聯(lián)的，并形成企業(yè)特有的業(yè)務體系，企業(yè)需要對各個業(yè)務進行充分的整合以使業(yè)務能夠協(xié)調和平滑運作，任何業(yè)務鏈的“斷折”或業(yè)務的“死角”都會對企業(yè)的運營產生影響。

    第三是對各種資源的調配和優(yōu)化。這些資源包括企業(yè)的人、財、物、信息和流程，當企業(yè)實現(xiàn)了信息共享和業(yè)務整合后，企業(yè)的“神經網絡體系”才能夠高效和通暢的運轉，并使這些資源能夠突破各種壁壘和障礙，在企業(yè)統(tǒng)一管理和協(xié)調下為共同的目標實現(xiàn)而服務。

    IT績效測量

    對IT進行績效測量無論是在國內還是國外都是一個難點。對IT進行績效測量首先應當進行IT投資效益分析，使投資的成本和收益都明細化和具體化，以輔助進行IT投資決策和IT投資風險控制。

    其次，是對IT進行財務管理。IT財務管理包括IT預算、IT會計及IT計費。IT預算為IT的運營提供預算計劃，從而為維持和改善服務預測未來的花費。IT會計核算保證了花費在批準的計劃范圍之內，并且使資金得到很好的利用。IT計費使我們對向一個特定業(yè)務單元提供服務的成本有一個更好的了解，并且使業(yè)務部門對自己的服務消費更加負有責任。

    第三是進行IT績效分析。持續(xù)地評估IT績效，可以從整體信息化績效、IT項目績效及IT人員績效等多個方面進行評估，以了解當前IT狀況，使IT和業(yè)務部門都知道IT對實現(xiàn)業(yè)務目標的貢獻是怎樣的，幫助IT組織將工作與關鍵業(yè)務目標結合在一起，并通過客觀評價報告和改進績效，幫助組織獲得業(yè)務部門領導的信任，為及進的調整與改進提供依據(jù)。

    信息系統(tǒng)審計

    信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷計算機系統(tǒng)是否能夠保證資產的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程。由于信息技術在經營、管理領域的廣泛運用，信息系統(tǒng)審計已經貫穿在各種審計之中，成為審計全過程的一部分。信息系統(tǒng)審計是一種控制信息系統(tǒng)風險的有效方式，它是從獨立的、第三方的的角度來審視信息化過程中的各種風險，合理地鑒證被審計單位信息系統(tǒng)及其處理、產生的信息的真實性、完整性與可靠性，政策遵循的一貫性，并可對IT的績效進行審計，以發(fā)現(xiàn)偏離，促進及進進行調整。

    五、IT風險控制框架的實施步驟

    建立IT風險管理框架是組織控制IT風險、確保組織實現(xiàn)其業(yè)務目標的有效方式，以上所介紹IT風險控制框架是通過多年的研究及實踐總結出來的通用方法論，不同的組織在建立控制框架的過程中，還要根據(jù)自身的實際情況應地制宜，靈活應用。

    一般來說，組織在建立與完善IT風險管理框架時，可以分以下幾個階段實現(xiàn)：

 

    第一階段：IT資源普查、建立初步控制

    目標

    總體治理框架的指導下，初步建立IT風險控制體系，為業(yè)務系統(tǒng)運行提供較可靠的保障。

    主要措施：

    業(yè)務流程調查，識別主要業(yè)務流程，并進行初步建模；

    為企業(yè)的業(yè)務活動建立標準的數(shù)據(jù)體系，并具有快速識別新的業(yè)務需求和進行業(yè)務建模的能力；

    進行IT架構設計，形成應用、數(shù)據(jù)、技術架構方面的規(guī)范與指南；

    梳理IT流程、劃分安全域及識別信息資產，進行風險評估；

    按照ISO27001、COBIT規(guī)范建立較可靠的信息安全管理和IT控制體系；

    建立信息系統(tǒng)審計制度，從獨立、客觀的角度保證系統(tǒng)安全；

    建立內部員工培訓制度，實施全員培訓。

    第二階段：資源協(xié)同、全面控制

    目標：

    實現(xiàn)有效的資源協(xié)同，為業(yè)務活動提供可靠的支撐，深化IT風險控制，實現(xiàn)應用系統(tǒng)與安全系統(tǒng)的全面集成。

    主要措施：

    建立統(tǒng)一的應用系統(tǒng)平臺，實現(xiàn)IT資源協(xié)同，為己有業(yè)務及新業(yè)務提供靈活可靠的支撐平臺；

    建立統(tǒng)一安全保障平臺，實現(xiàn)應用系統(tǒng)與安全系統(tǒng)全面集成；

    建立IT服務管理機制，提高客戶對IT服務的滿意度；

    深化信息安全管理、信息系統(tǒng)審計，建立較為完善的IT治理環(huán)境；

    對IT組織、人員、流程、項目建立較為科學的績效考核制度。

    第三階段：業(yè)務創(chuàng)新、完善控制

    目標：

    IT風險控制與企業(yè)風險控制高度融合，IT戰(zhàn)略成為企業(yè)戰(zhàn)略的重要組成部分，IT為企業(yè)創(chuàng)造新的競爭機遇。

    主要措施：

    IT戰(zhàn)略成為組織決策層的重要議題，IT參與企業(yè)流程再造，IT可以為企業(yè)創(chuàng)造新的利潤增長點；

    為整個組織提供高質量的IT服務，建立全組織的IT共享服務中心；

    IT成為利潤中心，對IT進行財務核算和全面的績效評估；

    IT控制進一步完善，IT風險控制與企業(yè)風險控制高度融合，形成良好的信息安全企業(yè)文化，IT成為提升組織核心競爭力的“發(fā)動機”。