IT风险管理框架研究

信息安全风险这个大家都比较明白，我们现在这个安全这块形势越来越严峻，安全方这面比如讲的病毒呀，黑客呀，我们与其斗争了这么多年，出现了这么多的产品，发现越到后面我们越被动，越是到现在越是不知所措，安全形势越来越严峻，以前的做木马做病毒的人是为了炫耀自己，现在做木马做病毒的人是一个产业链，盗取别人的东西进行交易买卖，形成了黑色的产业链，这个就比较可怕，互联网的风险越来越大，在你浏览网站的时候病毒悄悄的就感染了你的系统，时时刻刻盯着你的电脑资料，所以安全的风险越来越严峻。

　　业务持续的风险除了前面讲的这些风险以外，比如发生大的水灾呀，我们的IT会不会中断呀，比如2003年非典的时候，什么设备都没坏，但我的业务确断掉了，楼被封了，进不去，这也是IT风险控制要考虑的内容。

　　还有一个内容比较重要就是绩效风险，讲IT只是讲投入不讲产出，我们在IT上投入很多很多，不知道大家有没有这样一个概念，投入多少钱，实际上我这有几个统计数字，2005年我国在信息化建设上投入了2829亿，06年是3227亿，估计到2007年就达到4236亿，增幅是很快的，这里面的大头是谁呢，不说都明白，是电信，政府，银行，企业投入也很大的，在企业里一定涉及到投入回报，投入产出比，但是我们IT上很少有人会去算投入产出，提高管理水平管理效益，提高多少呀不知道说不清楚，这里面也是有一个黑洞，要有一套方法把我们绩效表达出来，这样你才知道我们明年投入在什么地方，哪一点是浪费的，关于这个事情我们的嘉宾姚乐先生会在后面有一个演讲。

　　现在的法律法归要求的越来越高，比如刚才提到的SOX法，他是美国的一个法律，跟我们有什么影响呀，我们国内有很多上市公司，所以你也必须做依从性，为什么要依从性呢，什么法太严密了，以前我们说违法就违法了，会通告一个会批评一下，做出相应的处罚，比如现在很多的上市公司的老总补罚了10万20万，他也不在乎那点钱，这个法可不一样，首先罚的非常大，个人可以罚款到五百万美元，企业罚款到两千万，但这还不是最重要的，还有一件最重要的是要做牢，如果这个公司造假，CEO、CFO最多要做20年的牢，这个他就害怕了，这个法律对我们有影响，对全世界都有影响，我们国家现在财政部及相关部门组织这么一个专家组，正在研究中国的SOX法，可能未来两三年之内中国也会推行这套东西，要求所有的上市公司也要做控制。

　　做内控和我们做IT有什么关系呢？太有关系，我们这些内控怎么去体现，我讲财务报告不能造假，财务报告是在财务系统里，你那个财务系统不可能授权不完备，让人随便改，得保证它的可靠性，财务系统从业务系统那里来的，业务系统装在数据库里，数据库装在服务器上，服务器在网络上，完全串在一起，IT本身要可靠，要从IT一直到你的财务系统，都要可靠，有一个地方有露洞的话你都谈不上，所以说要SOX法实施起来这么难了，而且SOX法离不开CIO，虽然SOX法只追究CFO、CEO的责任，如果CFO、CEO的日子不好过了，你CIO还跑得了嘛？所以最后统计SOX法有40%的工作量是在IT上。

　讲了这么多的风险怎么办，实际上我觉得今天提出来就是要建立一套制度，或人治，靠某某人领导重视，还有我们要搞的典型政府信息化的典型，企业的模式，这东西只是昙花一现，企业要把IT做好一定把他变成种制度，决定IT能够真正做的好不是一两个人的技术，技术已经不是很重要了，技术的东西总是能买到，但是把技术控制好、用好靠的是制度，靠的是管理，最终靠的是人，所以我们要建立一个有效的制度安排。

　　回过头来我们发现国内的一些信息化建设走了很多弯路，我们有一点和国外有区别的是我们不太重视游戏规则的制订，IT一定先要把规则建立起来，包括制度和控制，建起来以后我们发现IT风险小多了，所以我们要强调建立一种制度，IT风险控制其实上就是企业重要的组成部分。

　　那么如何整体的去控制IT的风险呢？我这里画了一个图：

　　还有就是业务的建模和数据的标准化，制定好了一定要把数数据化，模型化标准化，这个与IT建设还无有什么关系，是技术性的工作，在技术上在做一套IT的规划，规划的基础上我们要树立一些我们的业务流程，IT的流程，我们可以把每个流程都树立的清清楚楚，他到底应该怎么样，比如做IT战略规划到底有几个步奏呀，应该怎么去做呀，建立这样的一个框架出来，这样不会有大大偏差

文章来源于领测软件测试网 https://www.ltesting.net/