IT項目風(fēng)險管理框架研究

風(fēng)險管理是一個比較時髦的詞，我們都在講企業(yè)的風(fēng)險管理，包括賴老師講的SOX法，實際上就是控制企業(yè)的風(fēng)險，引用一些控制措施，其中里面的控制措施里就 有一個非常重要的內(nèi)容就是IT的，IT如何去控制風(fēng)險，IT如何為企業(yè)的風(fēng)險做出應(yīng)用的貢獻，實際上這就是我們要研究的內(nèi)容。實際上也是我們很多信息化管理者正在思考的問題，是到底是從哪里下手去做這個事情，這個事情的題目是一個很大的題目，到底從如何下手，那么我就結(jié)何我的實際經(jīng)驗和一些我研究的內(nèi)容給大家做一些介紹。 　　

首先給大家介紹一下我國信息化的現(xiàn)狀，那么我國信息化是這樣從78年到現(xiàn)在大概也就二三十年的時間，力度比較大的信息化建設(shè)，那么到今天為止實際上我們已經(jīng)基本走過了一個基本的階段，我們以前的信息化是什么呢，注重了對行業(yè)的覆蓋，對企業(yè)的覆蓋，硬件的配置等等， 把什么建起來，把應(yīng)用的系統(tǒng)建起來，那么從2000年開始，我們把重點就開始轉(zhuǎn)移了，我們慢慢轉(zhuǎn)移到信息化見效了，要做出貢獻了，為業(yè)務(wù)解決問題了，為業(yè)務(wù)創(chuàng)造價值了，這是我我們更多的關(guān)注的內(nèi)容。 　　

至于用什么產(chǎn)品，雖然也很重要，但是已經(jīng)讓位給了IT如何為社會為政府創(chuàng)造價值就這么一個層面上來了，那么這個時候去講究什么呢，講究IT如何提供服務(wù)，如何控制他的風(fēng)險，如何更好的來創(chuàng)造更多的本身的價值在里面，這個時候我們更多關(guān)注 是IT本身更多的風(fēng)險，這是為什么呢?打個比方，今天創(chuàng)新互聯(lián)用電用水一樣，政府和企業(yè)不可分割的一部分，我們可能平時感覺不到，但是一但沒有的話你就會感覺 到你可能會受不了，你的企業(yè)可能就會停止運轉(zhuǎn)，政府也可能會受影響，所以這種依賴性比較高的風(fēng)險迫使我們?nèi)タ紤]如何控制IT，如何支持我們企業(yè)的組織、社會IT正常的運維。 　　

從這幾十年的IT實踐來看，IT的風(fēng)險其實很大，我們回過頭來看，我總結(jié)了幾條，實際上還遠遠不只是這些，這里面是幾個比較重要的，比如IT治理的風(fēng)險，剛才賴老師也提到IT治理的風(fēng)險，我們現(xiàn)在很少提到這個詞，但其實是件很重要的事，還有規(guī)劃和架構(gòu)的風(fēng)險，我們也講規(guī)劃，但是我們這個規(guī)劃與真正的標準化的可操作性的規(guī)劃還是有一定的距離，我們還有項目管理風(fēng)險，技術(shù)設(shè)施風(fēng)險，應(yīng)用系統(tǒng)風(fēng)險，應(yīng)用交互風(fēng)險，信息 安全風(fēng)險，業(yè)務(wù)持續(xù)風(fēng)險，IT績效風(fēng)險等等，我想隨著時間的發(fā)展，還會有新的風(fēng)險還會層出不窮的。 　　 　　

第一IT治理風(fēng)險，這幾年的發(fā)展，我們發(fā)現(xiàn)我們國內(nèi)的信息規(guī)劃特別是我們就看看搞的特別好的企業(yè)，我們講有幾大模式，我們講的斯達造紙廠IT信息化做的特別好，講鞏義電子政務(wù)做的好，我們看這些做的好的企業(yè)和政府有一個很重要的原因是什么，他的一把手特別重視，他的主要領(lǐng)導(dǎo)特別重視，一個比較懂行，別外一個可能是善于利用社會資源，領(lǐng)導(dǎo)重視做的比較好，有的單位可能做的不太好也有很多原因可能就是把IT當技術(shù)去處理了，我們講實際上這個“人治”的時代，還沒有到法制沒有到一個 真正治理的階段，還要靠真的領(lǐng)導(dǎo)去認識那他就做的好。 　　

對我們現(xiàn)在的這個社會來講，靠人治是遠遠不夠的，不能滿足要求的，一定把他 變成制度化的東西，不管是換了哪些領(lǐng)導(dǎo)，我們的這個企業(yè)還是要往前發(fā)展的，那么我們的IT應(yīng)該是什么樣，就是什么樣，不因為領(lǐng)導(dǎo)重視不重視而忽略或受到重視，在這個層面上我們國家目前都還基本在人治的層面上，沒有建設(shè)成這么一個治理的概念。信息化是一個從治理層的關(guān)注，把它變成一個制度，需要有一個制度化，規(guī)范化，標準化，這里要涉及到許多機制，我們IT不光是技術(shù)的問題，實際上還有很多戰(zhàn)略問題，管理、業(yè)務(wù)流程實踐都要涵蓋在里面，真正把這個制度建立起來，IT才會擺脫現(xiàn)在的狀況。這是第一點，也是我們感受比較深的。 　　

第二個就是規(guī)劃和架構(gòu)的風(fēng)險，我們每個企業(yè)實際上政府在做信息化的時候都在做規(guī)劃，五年規(guī)劃，三年規(guī)劃，我們的網(wǎng)絡(luò)建設(shè)規(guī)劃，應(yīng)用規(guī)劃，但好多規(guī)劃實際上做的層面還是不夠具體的，還不夠標準化，操作起來還有許多誤區(qū)在里面，王仰富先生會給規(guī)劃這方面的內(nèi)容，他講的是一種國際上比較流行操作的一種手段，怎么去進行規(guī)劃，而不是我們現(xiàn)在做的方式，這個問題我不展開講。 　　

下面談項目管理風(fēng)險，IT最終去實踐，如果規(guī)劃好了一個架構(gòu)出來，如何去實踐就變成一個項目，項目周期很長， 比如去開發(fā)一個ERP軟件，這個項目需要很長時間，這個風(fēng)險就非常大，這么長的一個軟件項目投資那么大，如果這個項目控制不好，風(fēng)險非常大，這里面有幾個統(tǒng)計數(shù)字，就是在美國信息化這么發(fā)達的國家，他的成功率也不是很高。我們國家呢，大家可能感受到這個就更不用說了，項目控制項目的審計，項目的監(jiān)理，我們有一些有效的控制手段，但是這里面風(fēng)險依然很大。 　　

還有基礎(chǔ)設(shè)施的風(fēng)險，大家都知道現(xiàn)在的網(wǎng)絡(luò)是越來越復(fù)雜，補丁露洞越來越多，開發(fā)層度越來越深，但是風(fēng)險越來越高。這是為什么呢?因為系統(tǒng)越來越復(fù)雜，這是一個非常自然的、信息化固有的風(fēng)險。另外一方面我們對這個IT設(shè)施依賴性特別 強，我們是不可忍受的，有人做過統(tǒng)計銀行對IT的依賴最多不超過兩天，證券公司網(wǎng)絡(luò)停機不能超過半個小時，半個小時以上就是事故了。商企企業(yè)，實際上我們對他的依賴性是很強的，不能容忍任何的失誤，經(jīng)濟發(fā)展的更新化越來越快，基礎(chǔ)設(shè)施上的風(fēng)險依然在加大。 　　

另一個風(fēng)險是應(yīng)用系統(tǒng)的風(fēng)險，想到風(fēng)險把目標放在安全上，實際上我們應(yīng)用軟件應(yīng)用系統(tǒng)在開發(fā)過程當中，充滿著風(fēng)險，就是比如需求是不是清楚呀，我們現(xiàn)在開發(fā)出的軟件不是我們想要的 東西，因為經(jīng)常是搞技術(shù)的人弄來一些人，在那做調(diào)研，軟件開發(fā)公司來公司做調(diào)查，弄很多人在開發(fā)軟件，搞軟件的人不太懂業(yè)務(wù)，懂業(yè)務(wù)的人不太弄技術(shù)，有很 大的脫節(jié)在里面，這只是一個風(fēng)險。實際上還有一個風(fēng)險就是我們在做軟件開發(fā)的時候，很少把安全的控制做在軟件的本身里面，舉個例子去年的時候發(fā)生在日本的 一個證券公司叫瑞穗證券，他是接受委脫人的指令操盤，進行證券買賣，結(jié)果他在接受指令的時候，操盤員敲錯了，本來應(yīng)該是一股61萬日元一股，結(jié)果他敲反 了，造成很大的損失，幾分鐘證券公司損失了270億日元，相當于16億人民幣，大家都在說這個操盤員臭手，實際上我們作為風(fēng)險管理人員審視這件事發(fā)現(xiàn)不是 那個人手臭，你去操作你可能某一天也會出錯，他實際上是一種控制的趨勢，特別在應(yīng)用開發(fā)方面上，很顯然的錯誤沒有在業(yè)務(wù)方面加強控制在軟件上表現(xiàn)出來，這是一個巨大的缺陷，軟件開發(fā)商不會主動的去給你業(yè)務(wù)部門搞這個事，太麻煩了，如果你自己不提，但是我們業(yè)務(wù)部門又很少提這樣的風(fēng)險上的要求，我們很多軟件 開發(fā)有這樣的趨勢在里面，除了供用需求以外，我們將來還需要功能需要，軟件開發(fā)功能需求加在一起做出軟件開發(fā)的需求。 　　

還有就是 IT服務(wù)交互風(fēng)險，我的IT有露洞了，補丁包該打的都打了，服務(wù)器又特別好，那也不能百分之百的說你的IT好，實際上對用戶來講他關(guān)注的是服務(wù)，不管你用的是什么數(shù)據(jù)庫還是什么的服務(wù)器，我們更多的關(guān)注的是這服務(wù)器性能好不好，一定要把IT的硬件軟件要變成一個服務(wù)，為客戶服務(wù)，這個理念也要在我們的IT 中體現(xiàn)出來。 　　

信息安全風(fēng)險這個大家都比較明白，我們現(xiàn)在這個安全這塊形勢越來越嚴峻，安全方這面比如講的病毒呀，黑客呀，我們與其斗爭了這么多年，出現(xiàn)了這么多的產(chǎn)品，發(fā)現(xiàn)越到后面我們越被動，越是到現(xiàn)在越是不知所措，安全形勢越來越嚴峻，以前的做木馬做病毒的人是為了炫耀自己， 現(xiàn)在做木馬做病毒的人是一個產(chǎn)業(yè)鏈，盜取別人的東西進行交易買賣，形成了黑色的產(chǎn)業(yè)鏈，這個就比較可怕，互聯(lián)網(wǎng)的風(fēng)險越來越大，在你瀏覽網(wǎng)站的時候病毒悄 悄的就感染了你的系統(tǒng)，時時刻刻盯著你的電腦資料，所以安全的風(fēng)險越來越嚴峻。 　　

業(yè)務(wù)持續(xù)的風(fēng)險除了前面講的這些風(fēng)險以外，比如發(fā)生大的水災(zāi)呀，我們的IT會不會中斷呀，比如2003年非典的時候，什么設(shè)備都沒壞，但我的業(yè)務(wù)確斷掉了，樓被封了，進不去，這也是IT風(fēng)險控制要考慮的內(nèi)容。 　　

還有一個內(nèi)容比較重要就是績效風(fēng)險，講IT只是講投入不講產(chǎn)出，我們在IT上投入很多很多，不知道大家有沒有這樣一個概念，投入多少錢，實際上我這有幾個統(tǒng)計數(shù)字，2005年我國在信息化建設(shè)上投入了2829億，06年是3227億，估計到2007年就達到4236億，增幅是很快的，這里面的大頭是誰呢，不說都明白，是電信，政府，銀行，企業(yè)投入也很大的，在企業(yè)里一定涉及到投入回報，投入產(chǎn)出比，但是我們IT上很少有人會去算投入產(chǎn)出，提高管理水平管理效益，提高多少呀不知道說不清楚，這里面也是有一個黑洞，要有一套方法把我們績效表達出來，這樣你才知道我們明年投入在什么地方，哪一點是浪費的，關(guān)于這個事情我們的嘉賓姚樂先生會在后面有一個演講。 　　

現(xiàn)在的法律法歸要求的越來越高，比如剛才提到的SOX法，他是美國的一個法律，跟我們有什么影響呀，我們國內(nèi)有很多上市公司，所以你也必須做依從性，為什么要依從性呢，什么法太嚴密了，以前我們說違法就違法了，會通告一個會批評 一下，做出相應(yīng)的處罰，比如現(xiàn)在很多的上市公司的老總補罰了10萬20萬，他也不在乎那點錢，這個法可不一樣，首先罰的非常大，個人可以罰款到五百萬美 元，企業(yè)罰款到兩千萬，但這還不是最重要的，還有一件最重要的是要做牢，如果這個公司造假，CEO、CFO最多要做20年的牢，這個他就害怕了，這個法律對我們有影響，對全世界都有影響，我們國家現(xiàn)在財政部及相關(guān)部門組織這么一個專家組，正在研究中國的SOX法，可能未來兩三年之內(nèi)中國也會推行這套東西， 要求所有的上市公司也要做控制。 　　

做內(nèi)控和我們做IT有什么關(guān)系呢?太有關(guān)系，我們這些內(nèi)控怎么去體現(xiàn)，我講財務(wù)報告不能造假，財務(wù)報告是在財務(wù)系統(tǒng)里，你那個財務(wù)系統(tǒng)不可能授權(quán)不完備，讓人隨便改，得保證它的可靠性，財務(wù)系統(tǒng)從業(yè)務(wù)系統(tǒng)那里來的，業(yè)務(wù)系統(tǒng)裝在數(shù)據(jù)庫里，數(shù)據(jù)庫裝在服務(wù)器上，服務(wù)器在網(wǎng)絡(luò)上，完全串在一起，IT本身要可靠，要從IT一直到你的財務(wù)系統(tǒng)，都要可靠，有一個地方有露洞的話你都談不上，所以說要SOX法實施起來這么難了，而且SOX法離不開CIO，雖然SOX法只追究CFO、CEO的責(zé)任，如果CFO、CEO的日子不好過了，你CIO還跑得了嘛?所以最后統(tǒng)計SOX法有40%的工作量是在IT上。 　　

講了這么多的風(fēng)險怎么辦，實際上我覺得今天提出來就是要建立一套制度，或人治，靠某某 人領(lǐng)導(dǎo)重視，還有我們要搞的典型政府信息化的典型，企業(yè)的模式，這東西只是曇花一現(xiàn)，企業(yè)要把IT做好一定把他變成種制度，決定IT能夠真正做的好不是一兩個人的技術(shù)，技術(shù)已經(jīng)不是很重要了，技術(shù)的東西總是能買到，但是把技術(shù)控制好、用好靠的是制度，靠的是管理，最終靠的是人，所以我們要建立一個有效的制度安排。 　　

回過頭來我們發(fā)現(xiàn)國內(nèi)的一些信息化建設(shè)走了很多彎路，我們有一點和國外有區(qū)別的是我們不太重視游戲規(guī)則的制訂，IT一定先要把規(guī)則建立起來，包括制度和控制，建起來以后我們發(fā)現(xiàn)IT風(fēng)險小多了，所以我們要強調(diào)建立一種制度，IT風(fēng)險控制其實上就是企業(yè)重要的組成部分。 　　

那么如何整體的去控制IT的風(fēng)險呢?我這里畫了一個圖： 　　 　　在這里我們要引進一些國際上最標準的一些實踐，比如信息安全管理，把安全變成一個標準，按照標準去做，我們現(xiàn)在講安全就是防火墻，可能你想不全，國際上現(xiàn)在有一個標準他想的就很全面，他從方面考慮安全，按照這個去做，不會有很大的偏差；IT服務(wù)管理，比如IT流程如何去規(guī)劃，也可以有一個國際的標準 ITIL，或者行業(yè)更佳的實踐，把運維如何組織好，把服務(wù)遞交出去，達到這個要求，還有別的項目管理控制等等。都可以在不同的階段你把它引入進來，最后我們應(yīng)該形成一個PDCA，報謂PDCA就是檢查控制，技術(shù)審計。這樣的一個框架可能是控制風(fēng)險高度性的，有一定基礎(chǔ)的，這么一個框架。而且這個框架我們正在實踐當中。 　　 　　 　　做的時候也未必是從頭來，可能就是從哪先下手，比如先從安全下手，運維然后不斷的與其領(lǐng)導(dǎo)溝通，IT搞好，你現(xiàn)在的治理結(jié)構(gòu)不合理呀，因為這事情不是一 件容易的事，讓領(lǐng)導(dǎo)去接納，然后成立這樣的一個組織，把這樣的功能賦予IT，不是一件容易的事。要慢慢的去做，這里面可以分步的去做。因為時間的原因不具體的太多的說它了。 　　

最后，我在總結(jié)一下，治理就是制度的安排，制度要解決的問題是對什么東西進行決策，IT的原則構(gòu)架、基礎(chǔ)設(shè)施、業(yè)務(wù)需求、IT投資等，這些事到底誰來管，以前講人治，人治就是領(lǐng)導(dǎo)來辦，或者技術(shù)人員說的算，實際上都不對。一種好的治理不同的方面有不同的模式，有的技術(shù)人員一起談，有的可能就說算了，領(lǐng)導(dǎo)要說了這個事情要研究，我們要把這些流程通過好實踐把它管理起來，現(xiàn)在信息管理好的比如就是IT服務(wù)管理 ITIL，我們要把好的國際上的好實踐把它引用過來，到我們IT風(fēng)險控制里來，在加上一些比如企業(yè)數(shù)據(jù)化操作，業(yè)務(wù)連續(xù)性，IT項目管理等等。 　　

一般來講企來要把IT風(fēng)險控制框架建好，治理機制完善起來，是需要分步去走的。第一步就是分步規(guī)劃架構(gòu)設(shè)計，即使以前沒做過這事，回過頭來做也不晚，通過業(yè)務(wù)建模和IT架構(gòu)規(guī)劃設(shè)計等把其功能完善，第二步完IT治理，達到初步的控制，第三要進行量化管理，要做到精細控制，要分幾年去實施的。企業(yè)信息化一 定要建立游戲規(guī)劃，信息系統(tǒng)與業(yè)務(wù)之間脫節(jié)，要建立一個技術(shù)委員會，由高領(lǐng)導(dǎo)參預(yù)來進行討論的，?最后確保IT的出發(fā)點和歸宿，IT不是玩的一定要為企 業(yè)創(chuàng)造價值，出發(fā)點歸宿一定是這一點。　　

實際上這個框架就是一個COSO的控制框架，我們今天不詳細講。這個框架有很多的IT的東 西。IT風(fēng)險管理框架的目標就是完善IT風(fēng)險控制體系，降低IT成本，實現(xiàn)IT與企業(yè)戰(zhàn)略、管理、業(yè)務(wù)、安全的深度融合，使IT為企業(yè)持續(xù)地創(chuàng)造價值，有效率并有效果地進行信息化。IT風(fēng)險管理框架的原則就是建立IT治理機制，使IT治理成為公司治理的一部分，在組織的高決策層上對信息化的進行監(jiān)管與制衡。 　　

這些東西做好要把他變成一個風(fēng)險管理體系，IT人員一般講什么設(shè)備，這樣是不對的，我們發(fā)現(xiàn)很多事要做好呀還是要回到管理上來，用管理理念來梳理這些好的理念，如PDCA，做什么事要先有計劃，計劃好了去做，做完檢查，檢查完要更改，實際上一個循環(huán)，首先要把IT治理和風(fēng)險的框架搭建起來，首先要完善IT治理的結(jié)構(gòu)，就是在戰(zhàn)略方面IT的事不要IT部門自己說了算，一定要放到公司的層面上來，老板呀?jīng)Q策人等都要來參與，IT做好你也不能脫離業(yè)務(wù)，脫離業(yè)務(wù)是兩回事，那也做不好，所以業(yè)務(wù)上管理上要梳理，比如你對業(yè)務(wù)需求的識別，業(yè)務(wù)需求要敏銳，不要關(guān)在家里閉門造車，否則你的IT又是兩層皮。 　　

還有就是業(yè)務(wù)的建模和數(shù)據(jù)的標準化，制定好了一定要把數(shù)數(shù)據(jù)化，模型化標準化，這個與IT建設(shè)還無有什么關(guān)系， 是技術(shù)性的工作，在技術(shù)上在做一套IT的規(guī)劃，規(guī)劃的基礎(chǔ)上我們要樹立一些我們的業(yè)務(wù)流程，IT的流程，我們可以把每個流程都樹立的清清楚楚，他到底應(yīng)該 怎么樣，比如做IT戰(zhàn)略規(guī)劃到底有幾個步奏呀，應(yīng)該怎么去做呀，建立這樣的一個框架出來，這樣不會有大大偏差。

分享文章：IT項目風(fēng)險管理框架研究
網(wǎng)站路徑：http://www.muchs.cn/news31/154131.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供移動網(wǎng)站建設(shè)、品牌網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站、網(wǎng)站維護、搜索引擎優(yōu)化、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)