业务持续的风险除了前面讲的这些风险以外,比如发生大的水灾呀,我们的IT会不会中断呀,比如2003年非典的时候,什么设备都没坏,但我的业务确断掉了,楼被封了,进不去,这也是IT风险控制要考虑的内容。
还有一个内容比较重要就是绩效风险,讲IT只是讲投入不讲产出,我们在IT上投入很多很多,不知道大家有没有这样一个概念,投入多少钱,实际上我这有几个统计数字,2005年我国在信息化建设上投入了2829亿,06年是3227亿,估计到2007年就达到4236亿,增幅是很快的,这里面的大头是谁呢,不说都明白,是电信,政府,银行,企业投入也很大的,在企业里一定涉及到投入回报,投入产出比,但是我们IT上很少有人会去算投入产出,提高管理水平管理效益,提高多少呀不知道说不清楚,这里面也是有一个黑洞,要有一套方法把我们绩效表达出来,这样你才知道我们明年投入在什么地方,哪一点是浪费的,关于这个事情我们的嘉宾姚乐先生会在后面有一个演讲。
现在的法律法归要求的越来越高,比如刚才提到的SOX法,他是美国的一个法律,跟我们有什么影响呀,我们国内有很多上市公司,所以你也必须做依从性,为什么要依从性呢,什么法太严密了,以前我们说违法就违法了,会通告一个会批评 一下,做出相应的处罚,比如现在很多的上市公司的老总补罚了10万20万,他也不在乎那点钱,这个法可不一样,首先罚的非常大,个人可以罚款到五百万美 元,企业罚款到两千万,但这还不是最重要的,还有一件最重要的是要做牢,如果这个公司造假,CEO、CFO最多要做20年的牢,这个他就害怕了,这个法律对我们有影响,对全世界都有影响,我们国家现在财政部及相关部门组织这么一个专家组,正在研究中国的SOX法,可能未来两三年之内中国也会推行这套东西, 要求所有的上市公司也要做控制。
做内控和我们做IT有什么关系呢?太有关系,我们这些内控怎么去体现,我讲财务报告不能造假,财务报告是在财务系统里,你那个财务系统不可能授权不完备,让人随便改,得保证它的可靠性,财务系统从业务系统那里来的,业务系统装在数据库里,数据库装在服务器上,服务器在网络上,完全串在一起,IT本身要可靠,要从IT一直到你的财务系统,都要可靠,有一个地方有露洞的话你都谈不上,所以说要SOX法实施起来这么难了,而且SOX法离不开CIO,虽然SOX法只追究CFO、CEO的责任,如果CFO、CEO的日子不好过了,你CIO还跑得了嘛?所以最后统计SOX法有40%的工作量是在IT上。
讲了这么多的风险怎么办,实际上我觉得今天提出来就是要建立一套制度,或人治,靠某某 人领导重视,还有我们要搞的典型政府信息化的典型,企业的模式,这东西只是昙花一现,企业要把IT做好一定把他变成种制度,决定IT能够真正做的好不是一两个人的技术,技术已经不是很重要了,技术的东西总是能买到,但是把技术控制好、用好靠的是制度,靠的是管理,最终靠的是人,所以我们要建立一个有效的制度安排。
回过头来我们发现国内的一些信息化建设走了很多弯路,我们有一点和国外有区别的是我们不太重视游戏规则的制订,IT一定先要把规则建立起来,包括制度和控制,建起来以后我们发现IT风险小多了,所以我们要强调建立一种制度,IT风险控制其实上就是企业重要的组成部分。
文章来源于领测软件测试网 https://www.ltesting.net/