完整考慮企業IT風險管理的需求及其實現方式,可以幫助企業更準確地估計業務保護的成本���,從而確保企業的投資水平在成本優的前提下滿足風險管理的需要。
每個企業在經營中都有可能發生風險,如何化解和減少風險是企業經營者必須研究的�����,因此�����,企業的風險管理非常重要�����。隨著企業對信息技術的依賴性不斷增強�����,加強IT風險管理��,成為越來越多的企業關注的焦點。
風險管理不容回避
如今����,企業面臨的風險的復雜性隨著市場全球化的發展而日益提高���,推動企業風險管理的監管力度也隨之越來越大�����,不少行業為保護企業在不穩定的商業環境中穩定運轉而頒布了專門的法規。
由十國主要金融服務相關機構牽頭發起的《巴塞爾第二號協定》(Basel Ⅱ Accord)中����,不僅對資本風險進行約束�,而且還涉及到經營風險�����,包括IT系統給公司帶來的風險��。換句話說,該協定強制要求采用企業風險管理體系����,并關注IT風險管理�����。
信息系統審計和控制協會(Isaca)也制訂了信息和相關技術控制目標(Cobit),這份文檔同樣概述了怎樣擬訂企業風險管理框架��。而頒布這兩項方案的目的都是為了促進風險管理機制在企業的應用�����。
此外�����,還有的《薩班斯-奧克斯利法案》(Sarbanes-Oxley),其404條款規定:所有在美上市企業都要建立內部控制體系�����,其中包括控制環境��、風險評估���、控制活動�、信息溝通以及監督5個部分�。而且,法案對企業建立的內部控制活動的記錄作了許多詳細而嚴格的細節上的規定����。如此一來�,404條款成為外國公司邁入美國股市的“高門檻”�。
事實上,隨著全球化的業務大集中����、數據大集中趨勢����,IT越來越滲透到企業運營的每一個方面���、環節和流程���。與此同時�,IT也成為企業業務運營面臨的主要風險之一���。
企業中的IT管理者們往往被各種各樣的因素困擾����,譬如由于成本的限制,總是無法圓滿地解決這些問題。另一些企業由于業務模式過于復雜,以至于IT部門雖然感知到風險的存在,但根本無從知道風險究竟在何處��,何時會爆發���,也無法對潛在風險進行評估����。
那么,企業IT管理者到底應當如何清晰地了解潛在風險、需求和相應的投資額度���,又如何有效規避風險呢?
扭轉觀念
任何方面的漏洞與變化都會影響到業務運營所需要的服務級別。通過全盤規劃和考慮,采用整體化的解決方案��,企業能夠構建可靠的基礎設施����,從而根據業務發展情況靈活調整IT的可用性與性能。
在進行企業IT風險管理控制的過程中,技術固然是一個重要組成部分,但要取得出色的IT運營效果,員工技能與佳實踐同樣缺一不可。
其中,將業務連續性、可用性與安全性的意識融入到企業文化和各種運營機制中�,使其成為開展與維持業務運營的必不可少的組成部分�����,可能是艱巨的任務��,但一旦實現�����,也從觀念上和根本上提高了企業管控風險的能力���。
正確評估
企業在構建靈活安全的IT環境之前�����,首先要透徹地了解自身的業務需求、所面臨的威脅與風險、以及IT系統出現故障對各關鍵業務流程的影響等各方面因素。只有正確分析和面對可能存在的各類風險,并正確評估各類風險可能造成的影響�,才能采取正確有效的措施來規避風險�。
值得一提的是�,一直被低估的停機成本事實上高得超乎想像。Infonetics Research是一家國際市場調研公司,專門從事北美��、歐洲與亞洲地區的數據網絡與電信行業調研工作�����。
Infonetics近期實施了一項客戶調查項目�,調查內容是關于網絡中斷及其對于大型企業的影響��。該調查的研究報告稱���,美國大企業每年IT停機成本占其收入的3.6%��,其中制造企業的停機成本在收入
中所占比例為9%,金融服務機構則高達16%��。此外��,停機還使企業面臨員工效率降低以及企業在客戶與股東中的聲譽受損等其它難以量化的潛在風險。
巧妙平衡
企業在進行風險的規避和管控的過程中����,往往要面臨著如何平衡風險管理與業務保護成本的挑戰�。根據惠普多年來在該領域的經驗�����,建議企業IT管理者采取分層次���、分步驟的方式來做出合理決策��,實現風險規避與成本之間的巧妙平衡。
一般情況下�,我們會建議企業首先認真分析每個業務流程可能遭遇的風險及其影響�,力求解決下列關鍵問題:
需要何種級別的可用性���?
一旦發生重大停機事故�,業務對數據損失的承受能力有多大?
業務流程能夠承受的停機時間極限�����?
需要何種級別的安全性�?
然而,風險管理是一個系統性的工作�。一般來說��,一套完整的IT風險管理方法包括以下4個步驟。
步驟1:確定業務需求���。對整個企業內所有涉及合規性、可用性����、安全性和業務連續性的業務流程和應用的要求進行評估�����。衡量停機對各業務應用與流程的影響�。
步驟2:評估風險等級。對可用性�����、安全性與持續性進行全面且深入的評估����,以確定風險領域,制定保護IT環境、改善IT服務的策略�����。將企業目前現行的實踐與“佳信息技術基礎設施信息庫(ITIL)”推薦的佳實踐進行比較,了解差距�����,根據業務影響確定風險等級�����。
步驟3:設計與實施解決方案�����。將需求轉化為切實可行的技術與服務解決方案,其中包括存儲��、數據庫��、應用�����、系統���、網絡和環境基礎設施等��。制定持續性服務改進計劃�。
步驟4:監控��、管理與發展��。制定IT服務管理政策,建立培訓機制,采用佳實踐調整人員與優化流程���。在業務發展過程中,對持續性與可用性計劃進行再評估、監控�����、審計與測試���。
通過以上4步驟�,完整考慮企業IT風險管理的需求及其實現方式,可以幫助企業更準確地估計業務保護的成本,從而確保企業的投資水平在成本優的前提下滿足風險管理的需要���。
美國大企業每年的IT停機成本占其收入的3.6%,其中制造企業的停機成本在收入中所占比例為9%,金融服務機構則高達16%。
