舒翼

【摘要】现代企业对IT的依赖愈来愈高，IT风险成为越来越突出的问题。本文重点阐述IT风险和IT治理的基本概念，以及二者之间的主要联系，介绍使用IT治理观念实现对于IT风险管理控制的主要方法。

【关键词】IT治理 IT风险 管控方法

一、前言

随着经济的发展和IT技术的进步，各行各业对IT技术和IT系统的依赖程度越来越高。但是在IT系统的运营过程当中，无法避免出现因计算机软件、硬件、客观环境、主观人为等因素导致IT系统部分或全部无法提供正常服务的情况。因此，IT风险对于使用IT系统服务的企业和客户，对于依赖IT系统开展服务的业务是否能正常办理影响极大，必须要重视IT风险的管理和控制。

二、IT治理和IT风险

IT风险主要是指信息科技在运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。巴塞尔协议将IT风险归为操作风险，IT风险一般是发生在机构在应用IT技术参加工作的过程中，对于IT应用目标可能会出现一些影响结果的不确定性事件，具有明确的不确定性[1]。

IT治理是一种引导和控制企业各种关系和流程的结构，这种结构安排，旨在通过平衡信息技术及其流程中的风险和收益，增加价值，以实现企业目标，是关系和过程的综合，通过对IT技术进行治理和控制的方式，来实现对于企业的指导和控制，从而对于IT和在此过程中出现的风险等进行控制，同时实现企业价值的增值，实现企业发展的战略目标[2]。

要全面使用IT治理的理念来对IT风险进行管理控制，首先要对IT风险和IT治理以及二者之间的关系做到全面的了解。正如企业需要公司治理一样，信息化也需要IT治理，在信息化过程中，IT治理就是为鼓励IT应用的期望行为而明确的决策权归属和责任担当框架[3]。建造和运营一个或者若干个信息系统是容易的，让这个系统正常地运转起来并能稳定的实现业务价值才是现实的难题。虽然采用先进的IT技术与产品、优秀的管理方法在一定的程度上能降低IT风险，但并不十分保险。只有通过为IT引入一定的结构、规则、标准等框架，使IT在IT治理的基础上进行“自律”，才能使得IT风险在一定区间内浮动，不超过企业对IT风险的容忍度。

三、管控方法

（一）以IT治理思想应对IT价值风险。

IT和人员、资金、客户关系一样，都是企业运营所依赖的重要战略资源。企业必需要应对IT资源的投入产出风险。IT与业务分离是企业信息化的最大风险，优秀的企业在信息化过程中所投入的IT资源（包括数据、技术、设备、IT人员等）应该得到充分的利用和回报，保证其符合并能够支撑企业的战略目标，为企业赢得竞争优势。如果企业对IT资源的投入无法满足业务需求，甚至于业务背离，那么IT非但不会助力企业发展，反而可能成为企业的沉重负担。

为了规避风险，企业需要对IT活动进行控制，比对企业目标找出偏差，并进行修正。IT治理就是控制、找出偏差、修正IT活动的循环，以此达到控制风险（获取安全性，可靠性和一致性）和实现利益（增长的效益和效率）的双重目标，使企业能充分利用信息和信息资源的优势，实现利润最大化。如此治理能够保证企业在进行IT资源投资时，将初步的期望细化为具体要求，针对这些具体要求细致地进行IT资源的引入和使用，从而消除IT资源的盲目投入。IT活动同企业目标之间不断的纠正偏差的IT治理理念，也可以帮助企业根据不断变化的内外部环境适当的调整IT战略，充分降低IT风险，保证IT资产能够持续发挥效益。[4]

（二）建立适合自身的IT风险管理框架

企业需要依据自身特点和环境特征建立风险管理框架来帮助其实现IT治理下的战略目标。本着成本和效益的原则，IT风险管理框架在基本层面所要描述的要素，应当适用于内部控制环境所面临的风险水平不同的多个组织实体，即便是性质不同的组织所需要的风险管理的要素也应当是保持一致的，所谓的管理有效就是要正确的找到控制成本与控制收益之间的平衡点，然后以一个合理的水平管理风险。

目前，有很多国际上流行的控制框架可供借鉴，如COSO-ERM、CobiT、ITGov信息化风险管控体系等。通过IT风险管理框架的建立，可以明晰企业自身的IT风险偏好和容忍度，这是整个IT风险管理体系中居于宏观的主导地位的策略性指标，包括了企业愿意承担何种IT风险，最多承担多少IT风险，以何种方式承担这些风险等指标，为企业IT风险管理指明了方向，也明确了企业IT风险管理的广度和深度。通过IT风险管理框架的建立，可以梳理IT风险的识别与评估，应对与控制、评价与计量、检测与报告等管理流程。

（三）建立适合企业自身的IT风险管理机制和IT风险管理体制

企业IT风险管理框架的有效运行还需要建立IT风险管理的报告制度、监督机制、培训机制、人力资源安排、组织机构与职责体系、文化与行为准则等基本要件。

在组织架构与制度层面，应建立起在董事会或高级管理层的领导下，层次化管理的IT风险管理架构的职责和分工体系，制定风险管理制度，风险管理手册等制度文档；应有明确的机构负责对整个企业IT风险管理体系的运转进行审计监督，并通过审计对风险管理体系的执行情况、质量、效力进行评估；应落实IT风险管理的考核及奖惩机制。

四、结束语

现代企业对IT资源的依赖越来越高，但企业必须明确IT风险，并管理好这种风险。“IT治理=IT治理思想+IT治理模式+IT治理体制+IT治理机制”的IT治理理念为IT风险管理提供了思路、方法和工具，指导和帮助企业有效、可靠的利用IT资源，使之为企业提供更加强大、持续的推动力。

参考文献：

[1]欧志翔，全飞，李霁.银行IT 风险管理分析[D].广州：暨南大学，华南农业大学，2013.

[2]吴以四.识别 IT 风险[J]. 信息方略，2012，（17）.

[3]彼得？维尔， 珍妮？W.罗斯.IT治理——一流绩效企业的IT治理之道[M]，北京：商务印书馆，2015.9（2012.6重印）.