近16年时间里已经有近100家上市公司,1000家企业和近10000名管理者成为THLDL大课堂学习型社区中的一员。

管理资讯|领导力首页 > 管理资讯 > 管理 > 风险管理 > 如何建立有效的IT风险管理框架(图)

如何建立有效的IT风险管理框架(图)

时间:2011-09-06 15:11:41 来源:考试大

  企业要把IT做好一定把他变成种制度,决定IT能够真正做的好不是一两个人的技术,技术已经不是很重要了,技术的东西总是能买到,但是把技术控制好、用好靠的是制度,靠的是管理,最终靠的是人,所以我们要建立一个有效的制度安排,要做好风险控制,这首先就需要建立一个风险管理框架。

  回过头来我们发现国内的一些信息化建设走了很多弯路,我们有一点和国外有区别的是我们不太重视游戏规则的制订,IT一定先要把规则建立起来,包括制度和控制,建起来以后我们发现IT风险小多了,所以我们要强调建立一种制度,IT风险控制其实上就是企业重要的组成部分。

  那么如何整体的去控制IT的风险呢?我这里画了一个图:

  在这里我们要引进一些国际上最标准的一些实践,比如信息安全管理,把安全变成一个标准,按照标准去做,我们现在讲安全就是防火墙,可能你想不全,国际上现在有一个标准他想的就很全面,他从方面考虑安全,按照这个去做,不会有很大的偏差;IT服务管理,比如IT流程如何去规划,也可以有一个国际的标准ITIL,或者行业更佳的实践,把运维如何组织好,把服务递交出去,达到这个要求,还有别的项目管理控制等等。都可以在不同的阶段你把它引入进来,最后我们应该形成一个PDCA,报谓PDCA就是检查控制,技术审计。这样的一个风险管理框架thldl.org.cn可能是控制风险高度性的,有一定基础的,这么一个风险管理框架。而且这个风险管理框架我们正在实践当中。

  做的时候也未必是从头来,可能就是从哪先下手,比如先从安全下手,运维然后不断的与其领导沟通,IT搞好,你现在的治理结构不合理呀,因为这事情不是一件容易的事,让领导去接纳,然后成立这样的一个组织,把这样的功能赋予IT,不是一件容易的事。要慢慢的去做,这里面可以分步的去做。因为时间的原因不具体的太多的说它了。

  最后,我在总结一下,治理就是制度的安排,制度要解决的问题是对什么东西进行决策,IT的原则构架、基础设施、业务需求、IT投资等,这些事到底谁来管,以前讲人治,人治就是领导来办,或者技术人员说的算,实际上都不对。一种好的治理不同的方面有不同的模式,有的技术人员一起谈,有的可能就说算了,领导要说了这个事情要研究,我们要把这些流程通过最佳实践把它管理起来,现在信息管理好的比如就是IT服务管理ITIL,我们要把好的国际上的最佳实践把它引用过来,到我们IT风险控制里来,在加上一些比如企业数据化操作,业务连续性,IT项目管理等等。

  一般来讲企来要把IT风险管理框架建好,治理机制完善起来,是需要分步去走的。第一步就是分步规划架构设计,即使以前没做过这事,回过头来做也不晚,通过业务建模和IT架构规划设计等把其功能完善,第二步完IT治理,达到初步的控制,第三要进行量化管理,要做到精细控制,要分几年去实施的。企业信息化一定要建立游戏规划,信息系统与业务之间脱节,要建立一个技术委员会,由最高领导参预来进行讨论的,最后确保IT的出发点和归宿,IT不是玩的一定要为企业创造价值,出发点归宿一定是这一点。

  实际上这个风险管理框架就是一个COSO的控制框架,我们今天不详细讲。这个风险管理框架有很多的IT的东西。IT风险管理框架的目标就是完善IT风险控制体系,降低IT成本,实现IT与企业战略、管理、业务、安全的深度融合,使IT为企业持续地创造价值,有效率并有效果地进行信息化。IT风险管理框架的原则就是建立IT治理机制,使IT治理成为公司治理的一部分,在组织的最高决策层上对信息化的进行监管与制衡。

  这些东西做好要把他变成一个风险管理体系,IT人员一般讲什么设备,这样是不对的,我们发现很多事要做好呀还是要回到管理上来,用管理理念来梳理这些好的理念,如PDCA,做什么事要先有计划,计划好了去做,做完检查,检查完要更改,实际上一个循环,首先要把IT治理和风险管理框架搭建起来,首先要完善IT治理的结构,就是在战略方面IT的事不要IT部门自己说了算,一定要放到公司的层面上来,老板呀决策人等都要来参与,IT做好你也不能脱离业务,脱离业务是两回事,那也做不好,所以业务上管理上要梳理,比如你对业务需求的识别,业务需求要敏锐,不要关在家里闭门造车,否则你的IT又是两层皮。

  还有就是业务的建模和数据的标准化,制定好了一定要把数数据化,模型化标准化,这个与IT建设还无有什么关系,是技术性的工作,在技术上在做一套IT的规划,规划的基础上我们要树立一些我们的业务流程,IT的流程,我们可以把每个流程都树立的清清楚楚,他到底应该怎么样,比如做IT战略规划到底有几个步奏呀,应该怎么去做呀,建立这样的一个风险管理框架出来,这样不会有大大偏差。

电话:400-658-1599

传真:010-62798843-20
邮箱:unitraining@tsinghua.edu.cn

地址:北京海淀区清华大学华业大厦3608室
邮编:100084

联系电话:400-658-1599 秦老师:18910732278(免费企业创始人班) 司老师:13370142998(资本运营企业创始人班)

Copyright 2000 - 2016 www.thldl.org.cn All rights reserved. THLDL大课堂 管理培训 企业培训 版权所有. 京ICP备12035889号-5