科學合理的IT風險管理體系應當具有前瞻性的、全局性的控制機制,能融合防范與應對信息安全、IT治理、IT管理、IT服務、IT應用、IT項目、IT基礎設施、業務連續性、IT外包等方面的風險,并能有效地指導組織控制IT風險,使IT戰略與企業戰略相融合,促進IT為組織持續地創造價值,以實現有效益的信息化。
一、信息化面臨的風險
九十年代以來,信息技術得到了快速的發展和廣泛的應用,信息化已成為全球經濟社會發展的顯著特征,并逐步向一場全方位的社會變革演進。當前,信息技術己深入到各行各業,甚至影響并改變著普通百姓的生活方式,信息資源也日益成為重要生產要素、無形資產和社會財富。
由于國內經濟的持續增長為信息化提供了良好的外部環境和充足的投入資金,各行各業的信息化呈現出一派欣欣向榮的景象,我國信息化在推行電子政務、振興軟件產業、加強信息安全保障、加強信息資源開發利用、加快發展電子商務等方面取得了可喜的進展。同時,信息化的應用也有力地推動了中國的經濟持續增長、產業的升級、競爭力的提高,信息化與經濟發展形成了良性循環。
從二十多年的信息化實踐來看,目前我國的信息化正處在一個由初級水平的投入期,向中高級水平的見效期過渡的關鍵時期,信息化的重點己從注重對行業和企業的覆蓋,注重硬件產品的配備,逐步過渡到強調整合和開發利用信息資源,對客戶需求做出快速反應,提高應用水平和服務質量,使組織的價值大化。在這一階段信息化的機會與風險并存,許多以前還沒有涉及的深層次問題都會一一暴露出來,這將考驗我們是否已經做好必要的思想準備和采取有效的應對措施。
IT治理風險
中國的信息化建設仍然屬于"人治時代",信息化的隨意性較大,企業還沒有信息化形成相關的制度,缺少對信息化進行整體規劃、實施與控制的決策機制和責任擔當框架。信息化成功與否往往在很大程度上取決于高管理層對信息化的理解和個人領導力大小的影響,這種不確定性增加了組織的信息化風險,這是IT治理風險的宏觀體現。
組織在信息化過程中所涉及IT規劃、實施、運行、檢查等一系統IT流程,缺乏制度化與標準化的約束,缺乏部門之間及流程之間協調、溝通的機制,造成IT系統與業務需求的“邏輯錯位”,同時也造成了一個個的 信息“孤島”,這是IT治理風險的微觀體現。如何在組織中建立較完善的IT治理機制,使信息化的決策與實施成為組織中的一種完善的制度存在,己是擺在我們面前的迫切任務。
IT可用性風險
而隨著信息化的深入,組織的核心應用系統都己構架在IT平臺之上,越來越多的政府、商業、教育等機構的業務正常運行離不開IT系統。隨著IT技術的高速發展,IT平臺(如硬件、網絡、系統)的復雜性越來越高,各種系統漏洞層出不窮,頻繁的停機事件令用戶窮于應付;算是IT技術系統沒有漏洞,也不等于能提供優質的IT服務;另一方面,國內許多組織不能建立有效的故障管理、變更管理、配置管理等IT服務管理流程也是造成IT系統停機的原因;缺乏必要業務連續性計劃也是造成IT可用性降低的重要原因。
IT系統的停機將使組織的業務受到巨大損失、造成聲譽下降、競爭優勢喪失。2006年幾起信息安全事件,如:銀聯計算機故障造成不能跨行取款,首都機場離港系統故障造成大量旅客滯留機場,5月份開始的A股交易量連續井噴造成多家證券公司出現“堵單”等事件,生動地告誡我們,由于脆弱的基礎設施和IT管理流程,使得這種不斷增強的對IT的依賴性是潛在的風險。
信息安全風險
在信息化的整合見效期,對組織而言信息比以往具有更高的價值,而信息固有的弱點決定其易傳播、易毀損、易偽造。互聯網給我們帶來便利的同時,網上行動的遠程化以及互聯網“無政府狀態”,使得信息安全面臨嚴峻的挑戰,即使是一個中學生,通過黑客網站的簡單培訓,也能發起具有危害性的攻擊。目前互聯網上黑客網站已超過3萬個,一些有影響力的黑客網站的會員超過萬人。黑客攻擊網站的行動此起彼伏,造成許多商業網站、政府網站被入侵,大量網銀用戶網上銀行存款被盜,許多敏感機密信息被泄露。
據統計去年產生的電腦病毒和木馬的數量達到23萬個,其中90%以上帶有明顯的利益特征,有竊取個人資料、各種賬號密碼等行為,嚴重威脅著互聯網的安全。第一毒王“熊貓燒香”病毒己造成超過一千萬的個人及企業用戶中毒,直接及間接經濟損失高達億元以上。
IT績效風險
國內在信息與信息系統上的投資規模與成本都在不斷擴大,高投入帶來了高風險。根據商務部研究院信息咨詢中心提供的數據,2005年我國在信息化改造提升方面的投入達到了2829億,2006年是3227億元,預計2007年將達到4236億元。從2005到2007年中國行業信息化投入的增加額將達到 1300億以上,未來幾年行業信息化IT投入將進入了高增長期。如果IT投資行為如果不能帶來合理的回報,將使組織面臨巨大風險。這幾年國內信息化失敗的案例比比皆是,如果規劃不當、控制不嚴,IT系統不能帶來預期的業務價值,那么,巨額的信息化投入很可能造成新一輪的“投資黑洞”
IT績效風險另一表現是對IT的投資績效和運行績效不能進行有效測量。不能測量意味著無法了解當前IT系統的“健康狀況”,不能有效地發現存在的問題,并采取有針對性的改進措施。
合規性風險
由于IT在社會和經濟生活越來越充當重要角色,國內外近年來出臺了許多法律法規加強對IT的監管。
例如,2002年美國國會發布了《薩班斯—奧克斯利法案》,在這個法案中明確提出了所有上市公司都必須加強風險管理,建立有效的內部控制框架,以確保上市公司遵守證券法律以提高公司披露的準確性和可靠性,從而保護投資者及其他目的。在美國上市的公眾公司需要投入大量的人力、物力和財力來建立內部控制,中國在美國上市的中石化、中國人壽、新浪、亞信等企業也為此付出了巨大的努力。據美國Financial Executive International組織對321個公司的調查顯示,在一個規模比較大、年營業收入超過50億美元的公司,建立此體系至少需要470萬美元,維系其運轉需要每年150萬美元。
