IT風險管理框架研究

風險管理是一個比較時髦的詞，我們都在講企業的風險管理，包括賴老師講的SOX法，實際上就是控制企業的風險，引用一些控制措施，其中里面的控制措施里就有一個非常重要的內容就是IT的，IT如何去控制風險，IT如何為企業的風險做出應用的貢獻，實際上這就是我們要研究的內容。實際上也是我們很多信息化管理者正在思考的問題，是到底是從哪里下手去做這個事情，這個事情的題目是一個很大的題目，到底從如何下手，那么我就結何我的實際經驗和一些我研究的內容給大家做一些介紹。

　　首先給大家介紹一下我國信息化的現狀，那么我國信息化是這樣從78年到現在大概也就二三十年的時間，力度比較大的信息化建設，那么到今天為止實際上我們已經基本走過了一個基本的階段，我們以前的信息化是什么呢，注重了對行業的覆蓋，對企業的覆蓋，硬件的配置等等，把什么建起來，把應用的系統建起來，那么從2000年開始，我們把重點就開始轉移了，我們慢慢轉移到信息化見效了，要做出貢獻了，為業務解決問題了，為業務創造價值了，這是我我們更多的關注的內容。

　　至于用什么產品，雖然也很重要，但是已經讓位給了IT如何為社會為政府創造價值就這么一個層面上來了，那么這個時候去講究什么呢，講究IT如何提供服務，如何控制他的風險，如何更好的來創造更多的本身的價值在里面，這個時候我們更多關注是IT本身更多的風險，這是為什么呢？打個比方，今天我們用電用水一樣，政府和企業不可分割的一部分，我們可能平時感覺不到，但是一但沒有的話你就會感覺到你可能會受不了，你的企業可能就會停止運轉，政府也可能會受影響，所以這種依賴性比較高的風險迫使我們去考慮如何控制IT，如何支持我們企業的組織、社會IT正常的運維。

　　從這幾十年的IT實踐來看，IT的風險其實很大，我們回過頭來看，我總結了幾條，實際上還遠遠不只是這些，這里面是幾個比較重要的，比如IT治理的風險，剛才賴老師也提到IT治理的風險，我們現在很少提到這個詞，但其實是件很重要的事，還有規劃和架構的風險，我們也講規劃，但是我們這個規劃與真正的標準化的可操作性的規劃還是有一定的距離，我們還有項目管理風險，技術設施風險，應用系統風險，應用交互風險，信息安全風險，業務持續風險，IT績效風險等等，我想隨著時間的發展，還會有新的風險還會層出不窮的。

　　那么我簡單分析一下這里面幾個比較重要的風險：

　　第一IT治理風險，這幾年的發展，我們發現我們國內的信息規劃特別是我們就看看搞的特別好的企業，我們講有幾大模式，我們講的斯達造紙廠IT信息化做的特別好，講鞏義電子政務做的好，我們看這些做的好的企業和政府有一個很重要的原因是什么，他的一把手特別重視，他的主要領導特別重視，一個比較懂行，別外一個可能是善于利用社會資源，領導重視做的比較好，有的單位可能做的不太好也有很多原因可能就是把IT當技術去處理了，我們講實際上這個“人治”的時代，還沒有到法制沒有到一個真正治理的階段，還要靠真的領導去認識那他就做的好。

　　對我們現在的這個社會來講，靠人治是遠遠不夠的，不能滿足要求的，一定把他變成制度化的東西，不管是換了哪些領導，我們的這個企業還是要往前發展的，那么我們的IT應該是什么樣，就是什么樣，不因為領導重視不重視而忽略或受到重視，在這個層面上我們國家目前都還基本在人治的層面上，沒有建設成這么一個治理的概念。信息化是一個從治理層的關注，把它變成一個制度，需要有一個制度化，規范化，標準化，這里要涉及到許多機制，我們IT不光是技術的問題，實際上還有很多戰略問題，管理、業務流程實踐都要涵蓋在里面，真正把這個制度建立起來，IT才會擺脫現在的狀況。這是第一點，也是我們感受比較深的。

　　第二個就是規劃和架構的風險，我們每個企業實際上政府在做信息化的時候都在做規劃，五年規劃，三年規劃，我們的網絡建設規劃，應用規劃，但好多規劃實際上做的層面還是不夠具體的，還不夠標準化，操作起來還有許多誤區在里面，王仰富先生會給規劃這方面的內容，他講的是一種國際上比較流行操作的一種手段，怎么去進行規劃，而不是我們現在做的方式，這個問題我不展開講。

　下面談項目管理風險，IT最終去實踐，如果規劃好了一個架構出來，如何去實踐就變成一個項目，項目周期很長，比如去開發一個ERP軟件，這個項目需要很長時間，這個風險就非常大，這么長的一個軟件項目投資那么大，如果這個項目控制不好，風險非常大，這里面有幾個統計數字，就是在美國信息化這么發達的國家，他的成功率也不是很高。我們國家呢，大家可能感受到這個就更不用說了，項目控制項目的審計，項目的監理，我們有一些有效的控制手段，但是這里面風險依然很大。

　　還有基礎設施的風險，大家都知道現在的網絡是越來越復雜，補丁露洞越來越多，開發層度越來越深，但是風險越來越高。這是為什么呢？因為系統越來越復雜，這是一個非常自然的、信息化固有的風險。另外一方面我們對這個IT設施依賴性特別強，我們是不可忍受的，有人做過統計銀行對IT的依賴最多不超過兩天，證券公司網絡停機不能超過半個小時，半個小時以上就是事故了。商企企業，實際上我們對他的依賴性是很強的，不能容忍任何的失誤，經濟發展的更新化越來越快，基礎設施上的風險依然在加大。

　　另一個風險是應用系統的風險，想到風險把目標放在安全上，實際上我們應用軟件應用系統在開發過程當中，充滿著風險，就是比如需求是不是清楚呀，我們現在開發出的軟件不是我們想要的東西，因為經常是搞技術的人弄來一些人，在那做調研，軟件開發公司來公司做調查，弄很多人在開發軟件，搞軟件的人不太懂業務，懂業務的人不太弄技術，有很大的脫節在里面，這只是一個風險。實際上還有一個風險就是我們在做軟件開發的時候，很少把安全的控制做在軟件的本身里面，舉個例子去年的時候發生在日本的一個證券公司叫瑞穗證券，他是接受委脫人的指令操盤，進行證券買賣，結果他在接受指令的時候，操盤員敲錯了，本來應該是一股61萬日元一股，結果他敲反了，造成很大的損失，幾分鐘證券公司損失了270億日元，相當于16億人民幣，大家都在說這個操盤員臭手，實際上我們作為風險管理人員審視這件事發現不是那個人手臭，你去操作你可能某一天也會出錯，他實際上是一種控制的趨勢，特別在應用開發方面上，很顯然的錯誤沒有在業務方面加強控制在軟件上表現出來，這是一個巨大的缺陷，軟件開發商不會主動的去給你業務部門搞這個事，太麻煩了，如果你自己不提，但是我們業務部門又很少提這樣的風險上的要求，我們很多軟件開發有這樣的趨勢在里面，除了供用需求以外，我們將來還需要功能需要，軟件開發功能需求加在一起做出軟件開發的需求。

　　還有就是IT服務交互風險，我的IT有露洞了，補丁包該打的都打了，服務器又特別好，那也不能百分之百的說你的IT好，實際上對用戶來講他關注的是服務，不管你用的是什么數據庫還是什么的服務器，我們更多的關注的是這服務器性能好不好，一定要把IT的硬件軟件要變成一個服務，為客戶服務，這個理念也要在我們的IT中體現出來。