完整考慮企業(yè)IT風險管理的需求及其實現(xiàn)方式�,可以幫助企業(yè)更準確地估計業(yè)務保護的成本,從而確保企業(yè)的投資水平在成本優(yōu)的前提下滿足風險管理的需要。
每個企業(yè)在經營中都有可能發(fā)生風險���,如何化解和減少風險是企業(yè)經營者必須研究的,因此����,企業(yè)的風險管理非常重要。隨著企業(yè)對信息技術的依賴性不斷增強�,加強IT風險管理,成為越來越多的企業(yè)關注的焦點����。
風險管理不容回避
如今�����,企業(yè)面臨的風險的復雜性隨著市場全球化的發(fā)展而日益提高,推動企業(yè)風險管理的監(jiān)管力度也隨之越來越大�,不少行業(yè)為保護企業(yè)在不穩(wěn)定的商業(yè)環(huán)境中穩(wěn)定運轉而頒布了專門的法規(guī)。
由十國主要金融服務相關機構牽頭發(fā)起的《巴塞爾第二號協(xié)定》(Basel Ⅱ Accord)中���,不僅對資本風險進行約束���,而且還涉及到經營風險,包括IT系統(tǒng)給公司帶來的風險�����。換句話說��,該協(xié)定強制要求采用企業(yè)風險管理體系�����,并關注IT風險管理�。
信息系統(tǒng)審計和控制協(xié)會(Isaca)也制訂了信息和相關技術控制目標(Cobit),這份文檔同樣概述了怎樣擬訂企業(yè)風險管理框架�。而頒布這兩項方案的目的都是為了促進風險管理機制在企業(yè)的應用。
此外����,還有的《薩班斯-奧克斯利法案》(Sarbanes-Oxley)�����,其404條款規(guī)定:所有在美上市企業(yè)都要建立內部控制體系�,其中包括控制環(huán)境��、風險評估����、控制活動、信息溝通以及監(jiān)督5個部分����。而且,法案對企業(yè)建立的內部控制活動的記錄作了許多詳細而嚴格的細節(jié)上的規(guī)定�����。如此一來���,404條款成為外國公司邁入美國股市的“高門檻”�����。
事實上�,隨著全球化的業(yè)務大集中�����、數(shù)據(jù)大集中趨勢����,IT越來越滲透到企業(yè)運營的每一個方面、環(huán)節(jié)和流程���。與此同時���,IT也成為企業(yè)業(yè)務運營面臨的主要風險之一。
企業(yè)中的IT管理者們往往被各種各樣的因素困擾����,譬如由于成本的限制,總是無法圓滿地解決這些問題���。另一些企業(yè)由于業(yè)務模式過于復雜�,以至于IT部門雖然感知到風險的存在�,但根本無從知道風險究竟在何處,何時會爆發(fā)��,也無法對潛在風險進行評估。
那么���,企業(yè)IT管理者到底應當如何清晰地了解潛在風險��、需求和相應的投資額度�����,又如何有效規(guī)避風險呢�����?
扭轉觀念
任何方面的漏洞與變化都會影響到業(yè)務運營所需要的服務級別����。通過全盤規(guī)劃和考慮�����,采用整體化的解決方案�����,企業(yè)能夠構建可靠的基礎設施,從而根據(jù)業(yè)務發(fā)展情況靈活調整IT的可用性與性能����。
在進行企業(yè)IT風險管理控制的過程中�,技術固然是一個重要組成部分,但要取得出色的IT運營效果�����,員工技能與佳實踐同樣缺一不可�����。
其中����,將業(yè)務連續(xù)性、可用性與安全性的意識融入到企業(yè)文化和各種運營機制中�,使其成為開展與維持業(yè)務運營的必不可少的組成部分,可能是艱巨的任務�����,但一旦實現(xiàn)�����,也從觀念上和根本上提高了企業(yè)管控風險的能力。
正確評估
企業(yè)在構建靈活安全的IT環(huán)境之前���,首先要透徹地了解自身的業(yè)務需求�、所面臨的威脅與風險���、以及IT系統(tǒng)出現(xiàn)故障對各關鍵業(yè)務流程的影響等各方面因素����。只有正確分析和面對可能存在的各類風險�,并正確評估各類風險可能造成的影響,才能采取正確有效的措施來規(guī)避風險��。
值得一提的是���,一直被低估的停機成本事實上高得超乎想像��。Infonetics Research是一家國際市場調研公司�,專門從事北美��、歐洲與亞洲地區(qū)的數(shù)據(jù)網(wǎng)絡與電信行業(yè)調研工作�����。
Infonetics近期實施了一項客戶調查項目,調查內容是關于網(wǎng)絡中斷及其對于大型企業(yè)的影響����。該調查的研究報告稱,美國大企業(yè)每年IT停機成本占其收入的3.6%��,其中制造企業(yè)的停機成本在收入
中所占比例為9%���,金融服務機構則高達16%。此外����,停機還使企業(yè)面臨員工效率降低以及企業(yè)在客戶與股東中的聲譽受損等其它難以量化的潛在風險。
巧妙平衡
企業(yè)在進行風險的規(guī)避和管控的過程中�,往往要面臨著如何平衡風險管理與業(yè)務保護成本的挑戰(zhàn)。根據(jù)惠普多年來在該領域的經驗�,建議企業(yè)IT管理者采取分層次、分步驟的方式來做出合理決策�,實現(xiàn)風險規(guī)避與成本之間的巧妙平衡。
一般情況下�,我們會建議企業(yè)首先認真分析每個業(yè)務流程可能遭遇的風險及其影響,力求解決下列關鍵問題:
需要何種級別的可用性����?
一旦發(fā)生重大停機事故�����,業(yè)務對數(shù)據(jù)損失的承受能力有多大�?
業(yè)務流程能夠承受的停機時間極限����?
需要何種級別的安全性?
然而��,風險管理是一個系統(tǒng)性的工作�����。一般來說�,一套完整的IT風險管理方法包括以下4個步驟。
步驟1:確定業(yè)務需求����。對整個企業(yè)內所有涉及合規(guī)性、可用性����、安全性和業(yè)務連續(xù)性的業(yè)務流程和應用的要求進行評估�����。衡量停機對各業(yè)務應用與流程的影響����。
步驟2:評估風險等級����。對可用性、安全性與持續(xù)性進行全面且深入的評估����,以確定風險領域���,制定保護IT環(huán)境�����、改善IT服務的策略��。將企業(yè)目前現(xiàn)行的實踐與“佳信息技術基礎設施信息庫(ITIL)”推薦的佳實踐進行比較�,了解差距�,根據(jù)業(yè)務影響確定風險等級�����。
步驟3:設計與實施解決方案����。將需求轉化為切實可行的技術與服務解決方案�,其中包括存儲、數(shù)據(jù)庫��、應用�����、系統(tǒng)����、網(wǎng)絡和環(huán)境基礎設施等。制定持續(xù)性服務改進計劃���。
步驟4:監(jiān)控�����、管理與發(fā)展���。制定IT服務管理政策�����,建立培訓機制�,采用佳實踐調整人員與優(yōu)化流程���。在業(yè)務發(fā)展過程中�����,對持續(xù)性與可用性計劃進行再評估�����、監(jiān)控、審計與測試��。
通過以上4步驟�,完整考慮企業(yè)IT風險管理的需求及其實現(xiàn)方式,可以幫助企業(yè)更準確地估計業(yè)務保護的成本�,從而確保企業(yè)的投資水平在成本優(yōu)的前提下滿足風險管理的需要。
美國大企業(yè)每年的IT停機成本占其收入的3.6%�����,其中制造企業(yè)的停機成本在收入中所占比例為9%,金融服務機構則高達16%����。
