综合性的IT风险管理框架

我们根据COSO风险控制原则，对IT控制的内容进行合理扩充饼干增加控制的粒度，提出了一套适应我国IT风险实际情况的综合性风险管理框架。

1.建立信息化的“游戏规则”

对企业大量的信息化失败案例和对信息化建设中深层次机制问题的研究，我们发现信息化也像企业管理一样，需要制度创新，在信息化过程中，“制度重于一切”的定律同样适用。例如，建造一个信息系统是容易的，让这个系统正常地运转起来并能实现业务价值，则是现实难题。虽然采用先进的IT技术与产品、优秀的管理方法在一定的程度上能降低IT风险，但并不十分保险，只有通过为IT引入一定的结构、规则与标准，使IT在“他律”(IT治理)的基础上进行“自律”(IT管理)，才能使得IT风险在一定的框架内上下左右浮动，不超过且计划中的风险范围。

通俗的说我们在规划信息化时，除了要关注IT技术外，还要建立能使IT正常运转的制度，或者称为IT治理机制。正如公司需要治理一样，IT也需要进行治理，就是要从制度、标准、规范的角度来重新认识IT问题并完善IT治理机制，这是目前走出IT建设误区的良方。IT治理是国际IT领域中的一个新的概念，用于描述企业或政府是否采用有效的机制，使IT的应用能够完成组织赋予它的使命，同时平衡信息技术与过程的风险，确保实现组织的战略目标。

为完善企业的IT治理，在战略层面上，要综合公司治理结构、企业战略规划，使IT治理作为公司治理的一部分，在治理结构上体现IT的位置与作用，使IT议题要进入董事会(或者是监事会、最高管理当局)下的战略委员会、审计委员会、安全委员会;IT执行与监管要分开，监管机制要独立并持续运行、沟通与反馈机制要持续有效。

在战术面上，为保护IT与业务目标一致，有限利用IT资源，提高绩效，降低风险与控制成本，需按照国际普遍接受的企业内部控制标准建立有效的IT控制框架并监控实施。

这个框架也可成为IT风险管理框架，或称为IT的“游戏规则”，忽略了规则的建立是国内信息化成功率低的根源，我们应当把建立信息化的“游戏规则”看成是信息化的重要内容之一。

2.IT风险管理框架的目标

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友