风险管理是一个比较时髦的词,我们都在讲企业的风险管理,包括赖老师讲的SOX法,实际上就是控制企业的风险,引用一些控制措施,其中里面的控制措施里就 有一个非常重要的内容就是IT的,IT如何去控制风险,IT如何为企业的风险做出应用的贡献,实际上这就是我们要研究的内容。实际上也是我们很多信息化管理者正在思考的问题,是到底是从哪里下手去做这个事情,这个事情的题目是一个很大的题目,到底从如何下手,那么我就结何我的实际经验和一些我研究的内容给大家做一些介绍。
首先给大家介绍一下我国信息化的现状,那么我国信息化是这样从78年到现在大概也就二三十年的时间,力度比较大的信息化建设,那么到今天为止实际上我们已经基本走过了一个基本的阶段,我们以前的信息化是什么呢,注重了对行业的覆盖,对企业的覆盖,硬件的配置等等, 把什么建起来,把应用的系统建起来,那么从2000年开始,我们把重点就开始转移了,我们慢慢转移到信息化见效了,要做出贡献了,为业务解决问题了,为业务创造价值了,这是我我们更多的关注的内容。
至于用什么产品,虽然也很重要,但是已经让位给了IT如何为社会为政府创造价值就这么一个层面上来了,那么这个时候去讲究什么呢,讲究IT如何提供服务,如何控制他的风险,如何更好的来创造更多的本身的价值在里面,这个时候我们更多关注 是IT本身更多的风险,这是为什么呢?打个比方,今天我们用电用水一样,政府和企业不可分割的一部分,我们可能平时感觉不到,但是一但没有的话你就会感觉 到你可能会受不了,你的企业可能就会停止运转,政府也可能会受影响,所以这种依赖性比较高的风险迫使我们去考虑如何控制IT,如何支持我们企业的组织、社会IT正常的运维。
从这几十年的IT实践来看,IT的风险其实很大,我们回过头来看,我总结了几条,实际上还远远不只是这些,这里面是几个比较重要的,比如IT治理的风险,刚才赖老师也提到IT治理的风险,我们现在很少提到这个词,但其实是件很重要的事,还有规划和架构的风险,我们也讲规划,但是我们这个规划与真正的标准化的可操作性的规划还是有一定的距离,我们还有项目管理风险,技术设施风险,应用系统风险,应用交互风险,信息 安全风险,业务持续风险,IT绩效风险等等,我想随着时间的发展,还会有新的风险还会层出不穷的。
那么我简单分析一下这里面几个比较重要的风险: