IT风险管理研究框架

四、适用的IT风险管理框架

我们结合以上内容，进行合理扩充并增加控制的粒度，提出了一套适应我国IT风险实际情况的控制框架。

建立信息化的“游戏规则”

建造一个信息系统是容易的，让这个系统正常地运转起来并能实现业务价值，则是现实的难题。虽然采用先进的IT技术与产品、优秀的管理方法在一定的程度上能降低IT风险，但并不十分保险，只有通过为IT引入一定的结构、规则与标准，使IT在“他律”（IT治理）的基础上进行“自律”（IT管理），才能使得IT风险在一定的框架内上下左右浮动，不超过企业计划中的风险范围。

这个框架就是IT风险管理框架，也可以称为IT的“游戏规则”，忽略了规则的建立是国内信息化成功率低的根源，我们应当把建立信息化的“游戏规则”看成是信息化的重要内容之一。

IT风险管理框架的目标

完善IT风险控制体系，降低IT成本，实现IT与企业战略、管理、业务、安全的深度融合，使IT为企业持续地创造价值，有效率并有效果地进行信息化。

IT风险管理框架的原则

建立IT治理机制，使IT治理成为公司治理的一部分，在组织的最高决策层上对信息化的进行监管与制衡；

对IT进行规划，确保IT战略与业务战略的一致，信息化一定要为业务所想、为业务所用，IT与业务的分离是信息化面临的最大风险。在总体规划指导下进行应用、数据和技术方面的架构设计，以获得标准化的技术规范与指南。

在技术与管理上保证和各种异构IT资源能在统一的架构环境下，实现协同工作、无缝地进行数据交换。

采用国际上得到普遍认可的IT控制标准（例如：COBIT、ITIL、ISO27001）及行业最佳实践，为信息化管理提供规范和标准；

识别组织中的重要IT过程，确定其目标、功能与职责。梳理出纵向上的技术管理过程和横向上的客户服务过程，推行过程管理的思想；

持续地评估IT绩效，可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估，以了解当前IT状况，为及进的调整与改进提供依据；

通过PDCD的过程，即计划、实施、调整、改进的循环，使信息化保持在可持续发展的轨道上，阶段性地进行信息系统审计，以发现存在的偏离，及时调整到信息化的最终目标上来。

IT风险管理框架的内容

根据IT风险管理的目标和原则，我们给出IT风险管理框架的一种具体实现，其步骤如图所示：

IT风险管理框架各环节描述如下：

完善IT治理结构

从宏观上来说，IT治理要综合公司治理结构、企业战略规划，使IT治理作为公司治理的一部分，也就是要确定IT原则、IT架构、基础设施、应用设施和投资优先顺序的决策权归属和职责分工。通过建立IT委员会的方式来建立良好的治理结构，通过对权力的监督与平衡，就可把IT战略风险与管理风险控制在一定范围内，那么无论由谁来领导，IT的建设就不会大起大落。

从微观上来说，为保护IT与业务目标一致，有限利用IT资源，提高绩效，降低风险与控制成本，需按照国际普遍接受的企业内部控制标准COBIT，在IT的计划与组织、获得与实施、交付与支持、监控四个领域建立IT控制过程，有效地控制IT建设的整个生命周期的风险。

业务需求识别

当前企业竞争激烈、内部变革频繁，要实现IT与业务的融合，就需要建立一套具备一定适应能力，能够识别不断变化的业务需求，并能够快速有效地作为响应的机制。业务需求是促进IT发展的源动力，准确、及时地捕捉组织的业务需求，并使之成为信息化建设与调整的依据，这是降低IT风险的可靠保证。

对业务需求的识别，需要IT人员了解企业的业务流程，并站在业务管理者的角度思考企业发展的重大问题，这对IT人员的提出了新的挑战。

业务建模

信息化项目无论是网络建设、安全建设，还是应用开发，都需要了解组织特征，确定业务流程，应当在信息化之前就为组织建立可靠的业务模型。业务建模可以创建一个复杂业务的抽象描述，使其成为同业务中各项目相关人员(如拥有者、管理者、雇员和客户)交流的基础。一旦能更好地理解业务功能，我们就能较容易地完善业务流程，较容易地发现、识别新的业务机会(即业务的完善或革新)，并为网络建设、安全建设及应用开发提供准确的需求定义。

数据标准化

“信息孤岛现象”是信息化的另一个较大风险，现在许多行业都在进行数据大集中，但遇到很多问题，进展缓慢，这都与没有做好前期数据规划、实施数据标准化有关。IT系统的建设首先要以数据为中心，数据是稳定的，处理是多变的。数据标准化可以根本上解决数据质量控制问题，减少数据处理系统中数据元素总数，提供便捷而准确的信息，用户方便快速地检索到所需信息。数据标准化为提高信息的互操作性、减少信息孤岛、降低信息化的风险奠定了基础。

IT风险管理研究框架

四、适用的IT风险管理框架

我们结合以上内容，进行合理扩充并增加控制的粒度，提出了一套适应我国IT风险实际情况的控制框架。

建立信息化的“游戏规则”

建造一个信息系统是容易的，让这个系统正常地运转起来并能实现业务价值，则是现实的难题。虽然采用先进的IT技术与产品、优秀的管理方法在一定的程度上能降低IT风险，但并不十分保险，只有通过为IT引入一定的结构、规则与标准，使IT在“他律”（IT治理）的基础上进行“自律”（IT管理），才能使得IT风险在一定的框架内上下左右浮动，不超过企业计划中的风险范围。

这个框架就是IT风险管理框架，也可以称为IT的“游戏规则”，忽略了规则的建立是国内信息化成功率低的根源，我们应当把建立信息化的“游戏规则”看成是信息化的重要内容之一。

IT风险管理框架的目标

完善IT风险控制体系，降低IT成本，实现IT与企业战略、管理、业务、安全的深度融合，使IT为企业持续地创造价值，有效率并有效果地进行信息化。

IT风险管理框架的原则

建立IT治理机制，使IT治理成为公司治理的一部分，在组织的最高决策层上对信息化的进行监管与制衡；

对IT进行规划，确保IT战略与业务战略的一致，信息化一定要为业务所想、为业务所用，IT与业务的分离是信息化面临的最大风险。在总体规划指导下进行应用、数据和技术方面的架构设计，以获得标准化的技术规范与指南。

在技术与管理上保证和各种异构IT资源能在统一的架构环境下，实现协同工作、无缝地进行数据交换。

采用国际上得到普遍认可的IT控制标准（例如：COBIT、ITIL、ISO27001）及行业最佳实践，为信息化管理提供规范和标准；

识别组织中的重要IT过程，确定其目标、功能与职责。梳理出纵向上的技术管理过程和横向上的客户服务过程，推行过程管理的思想；

持续地评估IT绩效，可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估，以了解当前IT状况，为及进的调整与改进提供依据；

通过PDCD的过程，即计划、实施、调整、改进的循环，使信息化保持在可持续发展的轨道上，阶段性地进行信息系统审计，以发现存在的偏离，及时调整到信息化的最终目标上来。

IT风险管理框架的内容

根据IT风险管理的目标和原则，我们给出IT风险管理框架的一种具体实现，其步骤如图所示：

IT风险管理框架各环节描述如下：

完善IT治理结构

从宏观上来说，IT治理要综合公司治理结构、企业战略规划，使IT治理作为公司治理的一部分，也就是要确定IT原则、IT架构、基础设施、应用设施和投资优先顺序的决策权归属和职责分工。通过建立IT委员会的方式来建立良好的治理结构，通过对权力的监督与平衡，就可把IT战略风险与管理风险控制在一定范围内，那么无论由谁来领导，IT的建设就不会大起大落。

从微观上来说，为保护IT与业务目标一致，有限利用IT资源，提高绩效，降低风险与控制成本，需按照国际普遍接受的企业内部控制标准COBIT，在IT的计划与组织、获得与实施、交付与支持、监控四个领域建立IT控制过程，有效地控制IT建设的整个生命周期的风险。

业务需求识别

当前企业竞争激烈、内部变革频繁，要实现IT与业务的融合，就需要建立一套具备一定适应能力，能够识别不断变化的业务需求，并能够快速有效地作为响应的机制。业务需求是促进IT发展的源动力，准确、及时地捕捉组织的业务需求，并使之成为信息化建设与调整的依据，这是降低IT风险的可靠保证。

对业务需求的识别，需要IT人员了解企业的业务流程，并站在业务管理者的角度思考企业发展的重大问题，这对IT人员的提出了新的挑战。

业务建模

信息化项目无论是网络建设、安全建设，还是应用开发，都需要了解组织特征，确定业务流程，应当在信息化之前就为组织建立可靠的业务模型。业务建模可以创建一个复杂业务的抽象描述，使其成为同业务中各项目相关人员(如拥有者、管理者、雇员和客户)交流的基础。一旦能更好地理解业务功能，我们就能较容易地完善业务流程，较容易地发现、识别新的业务机会(即业务的完善或革新)，并为网络建设、安全建设及应用开发提供准确的需求定义。

数据标准化

“信息孤岛现象”是信息化的另一个较大风险，现在许多行业都在进行数据大集中，但遇到很多问题，进展缓慢，这都与没有做好前期数据规划、实施数据标准化有关。IT系统的建设首先要以数据为中心，数据是稳定的，处理是多变的。数据标准化可以根本上解决数据质量控制问题，减少数据处理系统中数据元素总数，提供便捷而准确的信息，用户方便快速地检索到所需信息。数据标准化为提高信息的互操作性、减少信息孤岛、降低信息化的风险奠定了基础。