2022-05-16 分類: 網(wǎng)站建設(shè)
風險管理是一個比較時髦的詞,我們都在講企業(yè)的風險管理,包括賴老師講的SOX法,實際上就是控制企業(yè)的風險,引用一些控制措施,其中里面的控制措施里就 有一個非常重要的內(nèi)容就是IT的,IT如何去控制風險,IT如何為企業(yè)的風險做出應用的貢獻,實際上這就是我們要研究的內(nèi)容。實際上也是我們很多信息化管理者正在思考的問題,是到底是從哪里下手去做這個事情,這個事情的題目是一個很大的題目,到底從如何下手,那么我就結(jié)何我的實際經(jīng)驗和一些我研究的內(nèi)容給大家做一些介紹。
首先給大家介紹一下我國信息化的現(xiàn)狀,那么我國信息化是這樣從78年到現(xiàn)在大概也就二三十年的時間,力度比較大的信息化建設(shè),那么到今天為止實際上我們已經(jīng)基本走過了一個基本的階段,我們以前的信息化是什么呢,注重了對行業(yè)的覆蓋,對企業(yè)的覆蓋,硬件的配置等等, 把什么建起來,把應用的系統(tǒng)建起來,那么從2000年開始,我們把重點就開始轉(zhuǎn)移了,我們慢慢轉(zhuǎn)移到信息化見效了,要做出貢獻了,為業(yè)務(wù)解決問題了,為業(yè)務(wù)創(chuàng)造價值了,這是我我們更多的關(guān)注的內(nèi)容。
至于用什么產(chǎn)品,雖然也很重要,但是已經(jīng)讓位給了IT如何為社會為政府創(chuàng)造價值就這么一個層面上來了,那么這個時候去講究什么呢,講究IT如何提供服務(wù),如何控制他的風險,如何更好的來創(chuàng)造更多的本身的價值在里面,這個時候我們更多關(guān)注 是IT本身更多的風險,這是為什么呢?打個比方,今天創(chuàng)新互聯(lián)用電用水一樣,政府和企業(yè)不可分割的一部分,我們可能平時感覺不到,但是一但沒有的話你就會感覺 到你可能會受不了,你的企業(yè)可能就會停止運轉(zhuǎn),政府也可能會受影響,所以這種依賴性比較高的風險迫使我們?nèi)タ紤]如何控制IT,如何支持我們企業(yè)的組織、社會IT正常的運維。
從這幾十年的IT實踐來看,IT的風險其實很大,我們回過頭來看,我總結(jié)了幾條,實際上還遠遠不只是這些,這里面是幾個比較重要的,比如IT治理的風險,剛才賴老師也提到IT治理的風險,我們現(xiàn)在很少提到這個詞,但其實是件很重要的事,還有規(guī)劃和架構(gòu)的風險,我們也講規(guī)劃,但是我們這個規(guī)劃與真正的標準化的可操作性的規(guī)劃還是有一定的距離,我們還有項目管理風險,技術(shù)設(shè)施風險,應用系統(tǒng)風險,應用交互風險,信息 安全風險,業(yè)務(wù)持續(xù)風險,IT績效風險等等,我想隨著時間的發(fā)展,還會有新的風險還會層出不窮的。
第一IT治理風險,這幾年的發(fā)展,我們發(fā)現(xiàn)我們國內(nèi)的信息規(guī)劃特別是我們就看看搞的特別好的企業(yè),我們講有幾大模式,我們講的斯達造紙廠IT信息化做的特別好,講鞏義電子政務(wù)做的好,我們看這些做的好的企業(yè)和政府有一個很重要的原因是什么,他的一把手特別重視,他的主要領(lǐng)導特別重視,一個比較懂行,別外一個可能是善于利用社會資源,領(lǐng)導重視做的比較好,有的單位可能做的不太好也有很多原因可能就是把IT當技術(shù)去處理了,我們講實際上這個“人治”的時代,還沒有到法制沒有到一個 真正治理的階段,還要靠真的領(lǐng)導去認識那他就做的好。
對我們現(xiàn)在的這個社會來講,靠人治是遠遠不夠的,不能滿足要求的,一定把他 變成制度化的東西,不管是換了哪些領(lǐng)導,我們的這個企業(yè)還是要往前發(fā)展的,那么我們的IT應該是什么樣,就是什么樣,不因為領(lǐng)導重視不重視而忽略或受到重視,在這個層面上我們國家目前都還基本在人治的層面上,沒有建設(shè)成這么一個治理的概念。信息化是一個從治理層的關(guān)注,把它變成一個制度,需要有一個制度化,規(guī)范化,標準化,這里要涉及到許多機制,我們IT不光是技術(shù)的問題,實際上還有很多戰(zhàn)略問題,管理、業(yè)務(wù)流程實踐都要涵蓋在里面,真正把這個制度建立起來,IT才會擺脫現(xiàn)在的狀況。這是第一點,也是我們感受比較深的。
第二個就是規(guī)劃和架構(gòu)的風險,我們每個企業(yè)實際上政府在做信息化的時候都在做規(guī)劃,五年規(guī)劃,三年規(guī)劃,我們的網(wǎng)絡(luò)建設(shè)規(guī)劃,應用規(guī)劃,但好多規(guī)劃實際上做的層面還是不夠具體的,還不夠標準化,操作起來還有許多誤區(qū)在里面,王仰富先生會給規(guī)劃這方面的內(nèi)容,他講的是一種國際上比較流行操作的一種手段,怎么去進行規(guī)劃,而不是我們現(xiàn)在做的方式,這個問題我不展開講。
下面談項目管理風險,IT最終去實踐,如果規(guī)劃好了一個架構(gòu)出來,如何去實踐就變成一個項目,項目周期很長, 比如去開發(fā)一個ERP軟件,這個項目需要很長時間,這個風險就非常大,這么長的一個軟件項目投資那么大,如果這個項目控制不好,風險非常大,這里面有幾個統(tǒng)計數(shù)字,就是在美國信息化這么發(fā)達的國家,他的成功率也不是很高。我們國家呢,大家可能感受到這個就更不用說了,項目控制項目的審計,項目的監(jiān)理,我們有一些有效的控制手段,但是這里面風險依然很大。
還有基礎(chǔ)設(shè)施的風險,大家都知道現(xiàn)在的網(wǎng)絡(luò)是越來越復雜,補丁露洞越來越多,開發(fā)層度越來越深,但是風險越來越高。這是為什么呢?因為系統(tǒng)越來越復雜,這是一個非常自然的、信息化固有的風險。另外一方面我們對這個IT設(shè)施依賴性特別 強,我們是不可忍受的,有人做過統(tǒng)計銀行對IT的依賴最多不超過兩天,證券公司網(wǎng)絡(luò)停機不能超過半個小時,半個小時以上就是事故了。商企企業(yè),實際上我們對他的依賴性是很強的,不能容忍任何的失誤,經(jīng)濟發(fā)展的更新化越來越快,基礎(chǔ)設(shè)施上的風險依然在加大。
另一個風險是應用系統(tǒng)的風險,想到風險把目標放在安全上,實際上我們應用軟件應用系統(tǒng)在開發(fā)過程當中,充滿著風險,就是比如需求是不是清楚呀,我們現(xiàn)在開發(fā)出的軟件不是我們想要的 東西,因為經(jīng)常是搞技術(shù)的人弄來一些人,在那做調(diào)研,軟件開發(fā)公司來公司做調(diào)查,弄很多人在開發(fā)軟件,搞軟件的人不太懂業(yè)務(wù),懂業(yè)務(wù)的人不太弄技術(shù),有很 大的脫節(jié)在里面,這只是一個風險。實際上還有一個風險就是我們在做軟件開發(fā)的時候,很少把安全的控制做在軟件的本身里面,舉個例子去年的時候發(fā)生在日本的 一個證券公司叫瑞穗證券,他是接受委脫人的指令操盤,進行證券買賣,結(jié)果他在接受指令的時候,操盤員敲錯了,本來應該是一股61萬日元一股,結(jié)果他敲反 了,造成很大的損失,幾分鐘證券公司損失了270億日元,相當于16億人民幣,大家都在說這個操盤員臭手,實際上我們作為風險管理人員審視這件事發(fā)現(xiàn)不是 那個人手臭,你去操作你可能某一天也會出錯,他實際上是一種控制的趨勢,特別在應用開發(fā)方面上,很顯然的錯誤沒有在業(yè)務(wù)方面加強控制在軟件上表現(xiàn)出來,這是一個巨大的缺陷,軟件開發(fā)商不會主動的去給你業(yè)務(wù)部門搞這個事,太麻煩了,如果你自己不提,但是我們業(yè)務(wù)部門又很少提這樣的風險上的要求,我們很多軟件 開發(fā)有這樣的趨勢在里面,除了供用需求以外,我們將來還需要功能需要,軟件開發(fā)功能需求加在一起做出軟件開發(fā)的需求。
還有就是 IT服務(wù)交互風險,我的IT有露洞了,補丁包該打的都打了,服務(wù)器又特別好,那也不能百分之百的說你的IT好,實際上對用戶來講他關(guān)注的是服務(wù),不管你用的是什么數(shù)據(jù)庫還是什么的服務(wù)器,我們更多的關(guān)注的是這服務(wù)器性能好不好,一定要把IT的硬件軟件要變成一個服務(wù),為客戶服務(wù),這個理念也要在我們的IT 中體現(xiàn)出來。
信息安全風險這個大家都比較明白,我們現(xiàn)在這個安全這塊形勢越來越嚴峻,安全方這面比如講的病毒呀,黑客呀,我們與其斗爭了這么多年,出現(xiàn)了這么多的產(chǎn)品,發(fā)現(xiàn)越到后面我們越被動,越是到現(xiàn)在越是不知所措,安全形勢越來越嚴峻,以前的做木馬做病毒的人是為了炫耀自己, 現(xiàn)在做木馬做病毒的人是一個產(chǎn)業(yè)鏈,盜取別人的東西進行交易買賣,形成了黑色的產(chǎn)業(yè)鏈,這個就比較可怕,互聯(lián)網(wǎng)的風險越來越大,在你瀏覽網(wǎng)站的時候病毒悄 悄的就感染了你的系統(tǒng),時時刻刻盯著你的電腦資料,所以安全的風險越來越嚴峻。
業(yè)務(wù)持續(xù)的風險除了前面講的這些風險以外,比如發(fā)生大的水災呀,我們的IT會不會中斷呀,比如2003年非典的時候,什么設(shè)備都沒壞,但我的業(yè)務(wù)確斷掉了,樓被封了,進不去,這也是IT風險控制要考慮的內(nèi)容。
還有一個內(nèi)容比較重要就是績效風險,講IT只是講投入不講產(chǎn)出,我們在IT上投入很多很多,不知道大家有沒有這樣一個概念,投入多少錢,實際上我這有幾個統(tǒng)計數(shù)字,2005年我國在信息化建設(shè)上投入了2829億,06年是3227億,估計到2007年就達到4236億,增幅是很快的,這里面的大頭是誰呢,不說都明白,是電信,政府,銀行,企業(yè)投入也很大的,在企業(yè)里一定涉及到投入回報,投入產(chǎn)出比,但是我們IT上很少有人會去算投入產(chǎn)出,提高管理水平管理效益,提高多少呀不知道說不清楚,這里面也是有一個黑洞,要有一套方法把我們績效表達出來,這樣你才知道我們明年投入在什么地方,哪一點是浪費的,關(guān)于這個事情我們的嘉賓姚樂先生會在后面有一個演講。
現(xiàn)在的法律法歸要求的越來越高,比如剛才提到的SOX法,他是美國的一個法律,跟我們有什么影響呀,我們國內(nèi)有很多上市公司,所以你也必須做依從性,為什么要依從性呢,什么法太嚴密了,以前我們說違法就違法了,會通告一個會批評 一下,做出相應的處罰,比如現(xiàn)在很多的上市公司的老總補罰了10萬20萬,他也不在乎那點錢,這個法可不一樣,首先罰的非常大,個人可以罰款到五百萬美 元,企業(yè)罰款到兩千萬,但這還不是最重要的,還有一件最重要的是要做牢,如果這個公司造假,CEO、CFO最多要做20年的牢,這個他就害怕了,這個法律對我們有影響,對全世界都有影響,我們國家現(xiàn)在財政部及相關(guān)部門組織這么一個專家組,正在研究中國的SOX法,可能未來兩三年之內(nèi)中國也會推行這套東西, 要求所有的上市公司也要做控制。
做內(nèi)控和我們做IT有什么關(guān)系呢?太有關(guān)系,我們這些內(nèi)控怎么去體現(xiàn),我講財務(wù)報告不能造假,財務(wù)報告是在財務(wù)系統(tǒng)里,你那個財務(wù)系統(tǒng)不可能授權(quán)不完備,讓人隨便改,得保證它的可靠性,財務(wù)系統(tǒng)從業(yè)務(wù)系統(tǒng)那里來的,業(yè)務(wù)系統(tǒng)裝在數(shù)據(jù)庫里,數(shù)據(jù)庫裝在服務(wù)器上,服務(wù)器在網(wǎng)絡(luò)上,完全串在一起,IT本身要可靠,要從IT一直到你的財務(wù)系統(tǒng),都要可靠,有一個地方有露洞的話你都談不上,所以說要SOX法實施起來這么難了,而且SOX法離不開CIO,雖然SOX法只追究CFO、CEO的責任,如果CFO、CEO的日子不好過了,你CIO還跑得了嘛?所以最后統(tǒng)計SOX法有40%的工作量是在IT上。
講了這么多的風險怎么辦,實際上我覺得今天提出來就是要建立一套制度,或人治,靠某某 人領(lǐng)導重視,還有我們要搞的典型政府信息化的典型,企業(yè)的模式,這東西只是曇花一現(xiàn),企業(yè)要把IT做好一定把他變成種制度,決定IT能夠真正做的好不是一兩個人的技術(shù),技術(shù)已經(jīng)不是很重要了,技術(shù)的東西總是能買到,但是把技術(shù)控制好、用好靠的是制度,靠的是管理,最終靠的是人,所以我們要建立一個有效的制度安排。
回過頭來我們發(fā)現(xiàn)國內(nèi)的一些信息化建設(shè)走了很多彎路,我們有一點和國外有區(qū)別的是我們不太重視游戲規(guī)則的制訂,IT一定先要把規(guī)則建立起來,包括制度和控制,建起來以后我們發(fā)現(xiàn)IT風險小多了,所以我們要強調(diào)建立一種制度,IT風險控制其實上就是企業(yè)重要的組成部分。
那么如何整體的去控制IT的風險呢?我這里畫了一個圖: 在這里我們要引進一些國際上最標準的一些實踐,比如信息安全管理,把安全變成一個標準,按照標準去做,我們現(xiàn)在講安全就是防火墻,可能你想不全,國際上現(xiàn)在有一個標準他想的就很全面,他從方面考慮安全,按照這個去做,不會有很大的偏差;IT服務(wù)管理,比如IT流程如何去規(guī)劃,也可以有一個國際的標準 ITIL,或者行業(yè)更佳的實踐,把運維如何組織好,把服務(wù)遞交出去,達到這個要求,還有別的項目管理控制等等。都可以在不同的階段你把它引入進來,最后我們應該形成一個PDCA,報謂PDCA就是檢查控制,技術(shù)審計。這樣的一個框架可能是控制風險高度性的,有一定基礎(chǔ)的,這么一個框架。而且這個框架我們正在實踐當中。 做的時候也未必是從頭來,可能就是從哪先下手,比如先從安全下手,運維然后不斷的與其領(lǐng)導溝通,IT搞好,你現(xiàn)在的治理結(jié)構(gòu)不合理呀,因為這事情不是一 件容易的事,讓領(lǐng)導去接納,然后成立這樣的一個組織,把這樣的功能賦予IT,不是一件容易的事。要慢慢的去做,這里面可以分步的去做。因為時間的原因不具體的太多的說它了。
最后,我在總結(jié)一下,治理就是制度的安排,制度要解決的問題是對什么東西進行決策,IT的原則構(gòu)架、基礎(chǔ)設(shè)施、業(yè)務(wù)需求、IT投資等,這些事到底誰來管,以前講人治,人治就是領(lǐng)導來辦,或者技術(shù)人員說的算,實際上都不對。一種好的治理不同的方面有不同的模式,有的技術(shù)人員一起談,有的可能就說算了,領(lǐng)導要說了這個事情要研究,我們要把這些流程通過好實踐把它管理起來,現(xiàn)在信息管理好的比如就是IT服務(wù)管理 ITIL,我們要把好的國際上的好實踐把它引用過來,到我們IT風險控制里來,在加上一些比如企業(yè)數(shù)據(jù)化操作,業(yè)務(wù)連續(xù)性,IT項目管理等等。
一般來講企來要把IT風險控制框架建好,治理機制完善起來,是需要分步去走的。第一步就是分步規(guī)劃架構(gòu)設(shè)計,即使以前沒做過這事,回過頭來做也不晚,通過業(yè)務(wù)建模和IT架構(gòu)規(guī)劃設(shè)計等把其功能完善,第二步完IT治理,達到初步的控制,第三要進行量化管理,要做到精細控制,要分幾年去實施的。企業(yè)信息化一 定要建立游戲規(guī)劃,信息系統(tǒng)與業(yè)務(wù)之間脫節(jié),要建立一個技術(shù)委員會,由高領(lǐng)導參預來進行討論的,?最后確保IT的出發(fā)點和歸宿,IT不是玩的一定要為企 業(yè)創(chuàng)造價值,出發(fā)點歸宿一定是這一點。
實際上這個框架就是一個COSO的控制框架,我們今天不詳細講。這個框架有很多的IT的東 西。IT風險管理框架的目標就是完善IT風險控制體系,降低IT成本,實現(xiàn)IT與企業(yè)戰(zhàn)略、管理、業(yè)務(wù)、安全的深度融合,使IT為企業(yè)持續(xù)地創(chuàng)造價值,有效率并有效果地進行信息化。IT風險管理框架的原則就是建立IT治理機制,使IT治理成為公司治理的一部分,在組織的高決策層上對信息化的進行監(jiān)管與制衡。
這些東西做好要把他變成一個風險管理體系,IT人員一般講什么設(shè)備,這樣是不對的,我們發(fā)現(xiàn)很多事要做好呀還是要回到管理上來,用管理理念來梳理這些好的理念,如PDCA,做什么事要先有計劃,計劃好了去做,做完檢查,檢查完要更改,實際上一個循環(huán),首先要把IT治理和風險的框架搭建起來,首先要完善IT治理的結(jié)構(gòu),就是在戰(zhàn)略方面IT的事不要IT部門自己說了算,一定要放到公司的層面上來,老板呀?jīng)Q策人等都要來參與,IT做好你也不能脫離業(yè)務(wù),脫離業(yè)務(wù)是兩回事,那也做不好,所以業(yè)務(wù)上管理上要梳理,比如你對業(yè)務(wù)需求的識別,業(yè)務(wù)需求要敏銳,不要關(guān)在家里閉門造車,否則你的IT又是兩層皮。
還有就是業(yè)務(wù)的建模和數(shù)據(jù)的標準化,制定好了一定要把數(shù)數(shù)據(jù)化,模型化標準化,這個與IT建設(shè)還無有什么關(guān)系, 是技術(shù)性的工作,在技術(shù)上在做一套IT的規(guī)劃,規(guī)劃的基礎(chǔ)上我們要樹立一些我們的業(yè)務(wù)流程,IT的流程,我們可以把每個流程都樹立的清清楚楚,他到底應該 怎么樣,比如做IT戰(zhàn)略規(guī)劃到底有幾個步奏呀,應該怎么去做呀,建立這樣的一個框架出來,這樣不會有大大偏差。
分享文章:IT項目風險管理框架研究
網(wǎng)站路徑:http://m.newbst.com/news31/154131.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供移動網(wǎng)站建設(shè)、品牌網(wǎng)站建設(shè)、響應式網(wǎng)站、網(wǎng)站維護、搜索引擎優(yōu)化、關(guān)鍵詞優(yōu)化
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容