过去,IT风险管理常被忽略或仅仅作为一个单纯的技术问题,但是,现在它已经成为组织治理的问题,是一个涉及到政府部门、监管机构、外部审计、技术服务提供商、董事会与管理层及所有利益相关者的问题。SOX法案更是通过内部控制有效性声明和严厉惩罚将法律与IT风险问题绑定。鉴于此,谨向上述人士推荐此书,相信本书的出版对于推动IT风险管理领域的发展有着非常积极的意义。
商业的发展已经进入了一个崭新的阶段,无论是对企业自身还是对企业的管理者,信息技术都发挥着越来越重要的作用。而更为重要的是信息技术也为我们带来了更多的风险。信息技术所发挥的作用涵盖了企业的战略决策、企业连续运作以及为企业发展带来变革的项目计划等方方面面。
信息技术之于现代企业的重要性体现在很多方面,包括企业对信息技术的高投入;信息技术在企业内部得到普遍应用;企业的业务依赖于信息技术系统不间断地正常运作;一旦信息技术失效,企业不得不忍受痛苦等。但最重要的还是信息技术在保持企业高效率运作,推动业务沿着战略发展道路上持续前行方面所扮演的战略性角色。
尽管在昨天的战役中,我们取得了胜利,但是庆功的时刻可能还远未到来。在自身得到持续、快速发展的同时,信息技术也为商业领域的各项变革带来了重大机遇。创新并不是计算技术行业所特有的。创新同样也为通讯、协同技术等诸多方面带来了巨大的变化。创新还使得客户同供应商之间的联系更直接、更快捷。
照耀在苹果上的阳光已经移开很多次了。发生在信息技术开发、部署和运作上的大量失败案例已经证明,信息技术同样具有高风险:
● 开发:正像拥有悠久历史的Standish集团发表的“CHAOS(混沌)”报告[1]中所指出的,统计表明信息技术项目通常都不会像我们预想的那样取得实效。对信息技术项目而言,时间延迟、超出预算大概只能算是家常便饭—— 还有很多信息技术项目压根就不可能完成。项目开发失败所带来的费用上的浪费、商机的丧失以及机构为此所付出的其他代价是信息技术项目失败造成的最恶劣的几种影响之一。
●部署:信息技术的发展越来越多地依赖于“部署”,因为信息技术的进步并不是靠几个关在屋子里的“开发组”就能做到的。除了要把产品设计、开发出来,还要把产品打包、销售出去,需要面对修改、集成和测试这样一些重大挑战。信息技术产品和服务的设计、制造、销售和维护过程的开销可能存在着很大的差别。有些可能非常顺利,代价很小。也有些可能因为需要管理成千上万个补丁,而要多花费数百万美元之巨。通常,只有那些较大型的任务才会得到较规范的项目管理。只有很少的机构对应用、中间件和基础设施的复杂配置进行跟踪管理。
●运作:大型企业的分支机构运作可能同信息技术的开发、部署没有直接关联—— 这些分支机构的运作可能由外包伙伴、满天飞的支持团队甚至于靠远程支援来获得支持。然而,即便只是为了保障本地的业务运作畅顺,信息技术也是非常关键的一环。经理们应该明白他们当前为客户提供的服务所面对的风险。
然而,同上述几个层面的失败相比,战略层面的失败可能更难以察觉—— 比如选择了错误的行动时机或者选择了错误的销售商。有的时候,有关信息技术的战略决策可能只是一个假象,或者只是放弃这个市场的前奏。信息技术交付失败很可能恰恰是整个机构在大战略上的成功。在.com风行的时期,大声鼓吹“战略信息技术”的合作伙伴们倒是在场外保持“老经济”蓝筹股的股价方面做得很成功。一旦泡沫破裂,他们也就只能面对彻底的失败。
最后,业务管理人员也是要为信息技术失效负上一定的责任—— 因为他们只是渴望成功的荣耀。在他们看来,荣耀就是一切!在业务运作中,他们总是打着信息技术的旗号来提出种种事关业务管理的决策意见。而信息技术本身所能承担的只是那些保障业务运转的系统、过程和流程的责任。遗憾的是,很多人的思维总是不能超越ROI(投资回报)和成本效益分析的樊篱。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved