完整考慮企業(yè)IT風險管理的需求及其實現(xiàn)方式,可以幫助企業(yè)更準確地估計業(yè)務保護的成本,從而確保企業(yè)的投資水平在成本最優(yōu)的前提下滿足風險管理的需要��。
每個企業(yè)在經(jīng)營中都有可能發(fā)生風險����,如何化解和減少風險是企業(yè)經(jīng)營者必須研究的,因此�,企業(yè)的風險管理非常重要。隨著企業(yè)對信息技術(shù)的依賴性不斷增強���,加強IT風險管理��,成為越來越多的企業(yè)關(guān)注的焦點�。
風險管理不容回避
如今��,企業(yè)面臨的風險的復雜性隨著市場全球化的發(fā)展而日益提高�����,推動企業(yè)風險管理的監(jiān)管力度也隨之越來越大,不少行業(yè)為保護企業(yè)在不穩(wěn)定的商業(yè)環(huán)境中穩(wěn)定運轉(zhuǎn)而頒布了專門的法規(guī)�����。
由十國主要金融服務相關(guān)機構(gòu)牽頭發(fā)起的《巴塞爾第二號協(xié)定》(Basel Ⅱ Accord)中����,不僅對資本風險進行約束,而且還涉及到經(jīng)營風險��,包括IT系統(tǒng)給公司帶來的風險�����。換句話說�����,該協(xié)定強制要求采用企業(yè)風險管理體系����,并關(guān)注IT風險管理。
信息系統(tǒng)審計和控制協(xié)會(Isaca)也制訂了信息和相關(guān)技術(shù)控制目標(Cobit)�,這份文檔同樣概述了怎樣擬訂企業(yè)風險管理框架。而頒布這兩項方案的目的都是為了促進風險管理機制在企業(yè)的應用。
此外��,還有著名的《薩班斯-奧克斯利法案》(Sarbanes-Oxley)�����,其404條款規(guī)定:所有在美上市企業(yè)都要建立內(nèi)部控制體系���,其中包括控制環(huán)境、風險評估����、控制活動、信息溝通以及監(jiān)督5個部分��。而且��,法案對企業(yè)建立的內(nèi)部控制活動的記錄作了許多詳細而嚴格的細節(jié)上的規(guī)定�。如此一來,404條款就成為外國公司邁入美國股市的“高門檻”�。
事實上,隨著全球化的業(yè)務大集中���、數(shù)據(jù)大集中趨勢���,IT越來越滲透到企業(yè)運營的每一個方面����、環(huán)節(jié)和流程��。與此同時���,IT也成為企業(yè)業(yè)務運營面臨的主要風險之一�����。
企業(yè)中的IT管理者們往往被各種各樣的因素困擾���,譬如由于成本的限制,總是無法圓滿地解決這些問題����。另一些企業(yè)由于業(yè)務模式過于復雜,以至于IT部門雖然感知到風險的存在���,但根本無從知道風險究竟在何處����,何時會爆發(fā),也無法對潛在風險進行評估�����。
那么��,企業(yè)IT管理者到底應當如何清晰地了解潛在風險�����、需求和相應的投資額度����,又如何有效規(guī)避風險呢���?
扭轉(zhuǎn)觀念
任何方面的漏洞與變化都會影響到業(yè)務運營所需要的服務級別��。通過全盤規(guī)劃和考慮��,采用整體化的解決方案�,企業(yè)能夠構(gòu)建可靠的基礎(chǔ)設施����,從而根據(jù)業(yè)務發(fā)展情況靈活調(diào)整IT的可用性與性能。
在進行企業(yè)IT風險管理控制的過程中,技術(shù)固然是一個重要組成部分����,但要取得出色的IT運營效果,員工技能與最佳實踐同樣缺一不可���。
其中�����,將業(yè)務連續(xù)性����、可用性與安全性的意識融入到企業(yè)文化和各種運營機制中���,使其成為開展與維持業(yè)務運營的必不可少的組成部分��,可能是最艱巨的任務��,但一旦實現(xiàn)�,也就從觀念上和根本上提高了企業(yè)管控風險的能力��。
正確評估
企業(yè)在構(gòu)建靈活安全的IT環(huán)境之前��,首先要透徹地了解自身的業(yè)務需求、所面臨的威脅與風險��、以及IT系統(tǒng)出現(xiàn)故障對各關(guān)鍵業(yè)務流程的影響等各方面因素�����。只有正確分析和面對可能存在的各類風險���,并正確評估各類風險可能造成的影響,才能采取正確有效的措施來規(guī)避風險�����。
值得一提的是���,一直被低估的停機成本事實上高得超乎想像�����。Infonetics Research是一家國際市場調(diào)研公司��,專門從事北美�����、歐洲與亞洲地區(qū)的數(shù)據(jù)網(wǎng)絡與電信行業(yè)調(diào)研工作����。
Infonetics近期實施了一項客戶調(diào)查項目,調(diào)查內(nèi)容是關(guān)于網(wǎng)絡中斷及其對于大型企業(yè)的影響��。該調(diào)查的研究報告稱����,美國大企業(yè)每年IT停機成本占其收入的3.6%,其中制造企業(yè)的停機成本在收入中所占比例為9%���,金融服務機構(gòu)則高達16%.此外��,停機還使企業(yè)面臨員工效率降低以及企業(yè)在客戶與股東中的聲譽受損等其它難以量化的潛在風險�����。
巧妙平衡
企業(yè)在進行風險的規(guī)避和管控的過程中��,往往要面臨著如何平衡風險管理與業(yè)務保護成本的挑戰(zhàn)���。根據(jù)惠普多年來在該領(lǐng)域的經(jīng)驗,建議企業(yè)IT管理者采取分層次���、分步驟的方式來做出合理決策�����,實現(xiàn)風險規(guī)避與成本之間的巧妙平衡����。
一般情況下,我們會建議企業(yè)首先認真分析每個業(yè)務流程可能遭遇的風險及其影響�,力求解決下列關(guān)鍵問題:
需要何種級別的可用性?
一旦發(fā)生重大停機事故�,業(yè)務對數(shù)據(jù)損失的承受能力有多大?
業(yè)務流程能夠承受的停機時間極限����?
需要何種級別的安全性�����?
然而���,風險管理是一個系統(tǒng)性的工作�。一般來說�����,一套完整的IT風險管理方法包括以下4個步驟。
步驟1:確定業(yè)務需求��。對整個企業(yè)內(nèi)所有涉及合規(guī)性�、可用性、安全性和業(yè)務連續(xù)性的業(yè)務流程和應用的要求進行評估��。衡量停機對各業(yè)務應用與流程的影響�。
步驟2:評估風險等級。對可用性����、安全性與持續(xù)性進行全面且深入的評估,以確定風險領(lǐng)域�,制定保護IT環(huán)境、改善IT服務的策略���。將企業(yè)目前現(xiàn)行的實踐與“最佳信息技術(shù)基礎(chǔ)設施信息庫(ITIL)”推薦的最佳實踐進行比較��,了解差距�����,根據(jù)業(yè)務影響確定風險等級�。
步驟3:設計與實施解決方案。將需求轉(zhuǎn)化為切實可行的技術(shù)與服務解決方案��,其中包括存儲�����、數(shù)據(jù)庫��、應用���、系統(tǒng)�����、網(wǎng)絡和環(huán)境基礎(chǔ)設施等����。制定持續(xù)性服務改進計劃����。
步驟4:監(jiān)控��、管理與發(fā)展����。制定IT服務管理政策����,建立培訓機制�,采用最佳實踐調(diào)整人員與優(yōu)化流程。在業(yè)務發(fā)展過程中�����,對持續(xù)性與可用性計劃進行再評估��、監(jiān)控�、審計與測試。
通過以上4步驟��,完整考慮企業(yè)IT風險管理的需求及其實現(xiàn)方式���,可以幫助企業(yè)更準確地估計業(yè)務保護的成本�,從而確保企業(yè)的投資水平在成本最優(yōu)的前提下滿足風險管理的需要����。
美國大企業(yè)每年的IT停機成本占其收入的3.6%,其中制造企業(yè)的停機成本在收入中所占比例為9%,金融服務機構(gòu)則高達16%����。
