IT風險管理框架研究

信息安全風險這個大家都比較明白，我們現在這個安全這塊形勢越來越嚴峻，安全方這面比如講的病毒呀，黑客呀，我們與其斗爭了這么多年，出現了這么多的產品，發現越到后面我們越被動，越是到現在越是不知所措，安全形勢越來越嚴峻，以前的做木馬做病毒的人是為了炫耀自己，現在做木馬做病毒的人是一個產業鏈，盜取別人的東西進行交易買賣，形成了黑色的產業鏈，這個就比較可怕，互聯網的風險越來越大，在你瀏覽網站的時候病毒悄悄的就感染了你的系統，時時刻刻盯著你的電腦資料，所以安全的風險越來越嚴峻。

　　業務持續的風險除了前面講的這些風險以外，比如發生大的水災呀，我們的IT會不會中斷呀，比如2003年非典的時候，什么設備都沒壞，但我的業務確斷掉了，樓被封了，進不去，這也是IT風險控制要考慮的內容。

　　還有一個內容比較重要就是績效風險，講IT只是講投入不講產出，我們在IT上投入很多很多，不知道大家有沒有這樣一個概念，投入多少錢，實際上我這有幾個統計數字，2005年我國在信息化建設上投入了2829億，06年是3227億，估計到2007年就達到4236億，增幅是很快的，這里面的大頭是誰呢，不說都明白，是電信，政府，銀行，企業投入也很大的，在企業里一定涉及到投入回報，投入產出比，但是我們IT上很少有人會去算投入產出，提高管理水平管理效益，提高多少呀不知道說不清楚，這里面也是有一個黑洞，要有一套方法把我們績效表達出來，這樣你才知道我們明年投入在什么地方，哪一點是浪費的，關于這個事情我們的嘉賓姚樂先生會在后面有一個演講。

　　現在的法律法歸要求的越來越高，比如剛才提到的SOX法，他是美國的一個法律，跟我們有什么影響呀，我們國內有很多上市公司，所以你也必須做依從性，為什么要依從性呢，什么法太嚴密了，以前我們說違法就違法了，會通告一個會批評一下，做出相應的處罰，比如現在很多的上市公司的老總補罰了10萬20萬，他也不在乎那點錢，這個法可不一樣，首先罰的非常大，個人可以罰款到五百萬美元，企業罰款到兩千萬，但這還不是最重要的，還有一件最重要的是要做牢，如果這個公司造假，CEO、CFO最多要做20年的牢，這個他就害怕了，這個法律對我們有影響，對全世界都有影響，我們國家現在財政部及相關部門組織這么一個專家組，正在研究中國的SOX法，可能未來兩三年之內中國也會推行這套東西，要求所有的上市公司也要做控制。

　　做內控和我們做IT有什么關系呢？太有關系，我們這些內控怎么去體現，我講財務報告不能造假，財務報告是在財務系統里，你那個財務系統不可能授權不完備，讓人隨便改，得保證它的可靠性，財務系統從業務系統那里來的，業務系統裝在數據庫里，數據庫裝在服務器上，服務器在網絡上，完全串在一起，IT本身要可靠，要從IT一直到你的財務系統，都要可靠，有一個地方有露洞的話你都談不上，所以說要SOX法實施起來這么難了，而且SOX法離不開CIO，雖然SOX法只追究CFO、CEO的責任，如果CFO、CEO的日子不好過了，你CIO還跑得了嘛？所以最后統計SOX法有40%的工作量是在IT上。

　講了這么多的風險怎么辦，實際上我覺得今天提出來就是要建立一套制度，或人治，靠某某人領導重視，還有我們要搞的典型政府信息化的典型，企業的模式，這東西只是曇花一現，企業要把IT做好一定把他變成種制度，決定IT能夠真正做的好不是一兩個人的技術，技術已經不是很重要了，技術的東西總是能買到，但是把技術控制好、用好靠的是制度，靠的是管理，最終靠的是人，所以我們要建立一個有效的制度安排。

　　回過頭來我們發現國內的一些信息化建設走了很多彎路，我們有一點和國外有區別的是我們不太重視游戲規則的制訂，IT一定先要把規則建立起來，包括制度和控制，建起來以后我們發現IT風險小多了，所以我們要強調建立一種制度，IT風險控制其實上就是企業重要的組成部分。

　　那么如何整體的去控制IT的風險呢？我這里畫了一個圖：

　　還有就是業務的建模和數據的標準化，制定好了一定要把數數據化，模型化標準化，這個與IT建設還無有什么關系，是技術性的工作，在技術上在做一套IT的規劃，規劃的基礎上我們要樹立一些我們的業務流程，IT的流程，我們可以把每個流程都樹立的清清楚楚，他到底應該怎么樣，比如做IT戰略規劃到底有幾個步奏呀，應該怎么去做呀，建立這樣的一個框架出來，這樣不會有大大偏差

文章來源于領測軟件測試網 http://www.kjueaiud.com/