科学合理的IT风险管理体系应当具有前瞻性的、全局性的控制机制,能融合防范与应对信息安全、IT治理、IT管理、IT服务、IT应用、IT项目、IT基础设施、业务连续性、IT外包等方面的风险,并能有效地指导组织控制IT风险,使IT战略与企业战略相融合,促进IT为组织持续地创造价值,以实现有效益的信息化。
一、信息化面临的风险
九十年代以来,信息技术得到了快速的发展和广泛的应用,信息化已成为全球经济社会发展的显著特征,并逐步向一场全方位的社会变革演进。当前,信息技术己深入到各行各业,甚至影响并改变着普通百姓的生活方式,信息资源也日益成为重要生产要素、无形资产和社会财富。
由于国内经济的持续增长为信息化提供了良好的外部环境和充足的投入资金,各行各业的信息化呈现出一派欣欣向荣的景象,我国信息化在推行电子政务、振兴软件产业、加强信息安全保障、加强信息资源开发利用、加快发展电子商务等方面取得了可喜的进展。同时,信息化的应用也有力地推动了中国的经济持续增长、产业的升级、竞争力的提高,信息化与经济发展形成了良性循环。
从二十多年的信息化实践来看,目前我国的信息化正处在一个由初级水平的投入期,向中高级水平的见效期过渡的关键时期,信息化的重点己从注重对行业和企业的覆盖,注重硬件产品的配备,逐步过渡到强调整合和开发利用信息资源,对客户需求做出快速反应,提高应用水平和服务质量,使组织的价值大化。在这一阶段信息化的机会与风险并存,许多以前还没有涉及的深层次问题都会一一暴露出来,这将考验我们是否已经做好必要的思想准备和采取有效的应对措施。
IT治理风险
中国的信息化建设仍然属于"人治时代",信息化的随意性较大,企业还没有信息化形成相关的制度,缺少对信息化进行整体规划、实施与控制的决策机制和责任担当框架。信息化成功与否往往在很大程度上取决于高管理层对信息化的理解和个人领导力大小的影响,这种不确定性增加了组织的信息化风险,这是IT治理风险的宏观体现。
组织在信息化过程中所涉及IT规划、实施、运行、检查等一系统IT流程,缺乏制度化与标准化的约束,缺乏部门之间及流程之间协调、沟通的机制,造成IT系统与业务需求的“逻辑错位”,同时也造成了一个个的 信息“孤岛”,这是IT治理风险的微观体现。如何在组织中建立较完善的IT治理机制,使信息化的决策与实施成为组织中的一种完善的制度存在,己是摆在我们面前的迫切任务。
IT可用性风险
而随着信息化的深入,组织的核心应用系统都己构架在IT平台之上,越来越多的政府、商业、教育等机构的业务正常运行离不开IT系统。随着IT技术的高速发展,IT平台(如硬件、网络、系统)的复杂性越来越高,各种系统漏洞层出不穷,频繁的停机事件令用户穷于应付;算是IT技术系统没有漏洞,也不等于能提供优质的IT服务;另一方面,国内许多组织不能建立有效的故障管理、变更管理、配置管理等IT服务管理流程也是造成IT系统停机的原因;缺乏必要业务连续性计划也是造成IT可用性降低的重要原因。
IT系统的停机将使组织的业务受到巨大损失、造成声誉下降、竞争优势丧失。2006年几起信息安全事件,如:银联计算机故障造成不能跨行取款,首都机场离港系统故障造成大量旅客滞留机场,5月份开始的A股交易量连续井喷造成多家证券公司出现“堵单”等事件,生动地告诫我们,由于脆弱的基础设施和IT管理流程,使得这种不断增强的对IT的依赖性是潜在的风险。
信息安全风险
在信息化的整合见效期,对组织而言信息比以往具有更高的价值,而信息固有的弱点决定其易传播、易毁损、易伪造。互联网给我们带来便利的同时,网上行动的远程化以及互联网“无政府状态”,使得信息安全面临严峻的挑战,即使是一个中学生,通过黑客网站的简单培训,也能发起具有危害性的攻击。目前互联网上黑客网站已超过3万个,一些有影响力的黑客网站的会员超过万人。黑客攻击网站的行动此起彼伏,造成许多商业网站、政府网站被入侵,大量网银用户网上银行存款被盗,许多敏感机密信息被泄露。
据统计去年产生的电脑病毒和木马的数量达到23万个,其中90%以上带有明显的利益特征,有窃取个人资料、各种账号密码等行为,严重威胁着互联网的安全。第一毒王“熊猫烧香”病毒己造成超过一千万的个人及企业用户中毒,直接及间接经济损失高达亿元以上。
IT绩效风险
国内在信息与信息系统上的投资规模与成本都在不断扩大,高投入带来了高风险。根据商务部研究院信息咨询中心提供的数据,2005年我国在信息化改造提升方面的投入达到了2829亿,2006年是3227亿元,预计2007年将达到4236亿元。从2005到2007年中国行业信息化投入的增加额将达到 1300亿以上,未来几年行业信息化IT投入将进入了高增长期。如果IT投资行为如果不能带来合理的回报,将使组织面临巨大风险。这几年国内信息化失败的案例比比皆是,如果规划不当、控制不严,IT系统不能带来预期的业务价值,那么,巨额的信息化投入很可能造成新一轮的“投资黑洞”
IT绩效风险另一表现是对IT的投资绩效和运行绩效不能进行有效测量。不能测量意味着无法了解当前IT系统的“健康状况”,不能有效地发现存在的问题,并采取有针对性的改进措施。
合规性风险
由于IT在社会和经济生活越来越充当重要角色,国内外近年来出台了许多法律法规加强对IT的监管。
例如,2002年美国国会发布了《萨班斯—奥克斯利法案》,在这个法案中明确提出了所有上市公司都必须加强风险管理,建立有效的内部控制框架,以确保上市公司遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。在美国上市的公众公司需要投入大量的人力、物力和财力来建立内部控制,中国在美国上市的中石化、中国人寿、新浪、亚信等企业也为此付出了巨大的努力。据美国Financial Executive International组织对321个公司的调查显示,在一个规模比较大、年营业收入超过50亿美元的公司,建立此体系至少需要470万美元,维系其运转需要每年150万美元。