企业面临日益严重的IT风险。企业在IT建设的整个生命周期当中的都面临着大量的风险,有效管理这些风险将是企业未来12个月到18个月最为关注的7个问题之一(ISACA,2008)。
IT面临的风险有哪些?
企业面临日益严重的IT风险。企业在IT建设的整个生命周期当中的都面临着大量的风险,有效管理这些风险将是企业未来12个月到18个月最为关注的7个问题之一(ISACA,2008)。
IT与业务战略一致性风险
IT战略与业务战略脱节是治理不到位所导致的风险的突出体现。ITGI对CEO和CIO进行的调查显示,93%受访者认为IT对企业战略重要和非常重要,但36%的调查对象认为目前IT战略与业务战略之间的匹配问题难以令人满意(ITGI,2008)。美国信息管理协会(SIM)自1980年以来定期调查信息管理领域最重要的问题,近年来的调查表明IT与业务战略的匹配问题已上升为最重要的问题。中国IT治理研究中心(ITGov)也将IT战略与业务战略的匹配问题列为IT治理的首要问题。伦敦证交所1993年取消的耗时10年,花费达1亿美元的“金牛座”计划和2004年以失败告终的英国电子大学的失败(耗资6200万英镑),无不是战略性失败(Ernie Jordan,Luke Silcock,2006)。Neirotti、Paolucci在1998-2003年通过案例研究和对30家意大利公司的调查得出结论:IT治理和IT管理实践的不同导致他们IT应用效果的差异(Neirotti and Paolucci,2007)。王众托院士认为“信息化工程的失败归根到底是信息技术和管理业务的脱节”(王众托,2000)。Luftman和Brier 研究发现影响IT规划与业务规划一致性的6个最重要的驱动因素和6个主要的限制因素,见表1-1战略整合的驱动因素与限制因素(Luftman and Brier,1999)。这些因素主要集中在IT与业务的沟通、IT组织架构以及IT管理人员的能力等方面。
-1 战略整合的驱动因素与限制因素
驱动因素、限制因素
高级管理层支持IT、IT与业务缺乏紧密联系
IT融入战略发展 IT层次不分明
IT了解业务、IT难以满足承诺
次分明、IT管理缺乏领导能力
IT项目投资IT项目风险大,周期长,风险大。Verhoef和McFarlen的研究发现,在IT风险排序中,项目风险列在首位,特别是大型项目(Verhoef,2002;McFarlen,1981)。从事技术研究与咨询的Standish 集团从1994年开始对公司IT项目进行周期性的研究,耗时7年。他们发现公司IT方面采取的行动失败率很高,一半以上(53%)的IT项目超期并超出预算,IT项目的1/3取消,项目的超期平均是初期估计值的222%,仅有不足16%的项目,是在最初的时间计划和预算控制内完成。他们还发现完成项目的比例在大公司中甚至更少,这一比例是9%。即使在完成的项目中,也只有42%的项目成功交付,实现了最初的计划要求。项目失败的原因在于企业IT 项目管理控制能力差,管理成熟度低(The Standish Group,1994)。
IT运维风险
IT项目完成后,本该为企业创造价值的运维阶段却使得企业不但会投入甚至比IT建设投资还要多的运维资源,而且还会面临许多风险。
当前,我国信息化已经进入建设与运维并重和以运维为主要特征的阶段,这也标志着延续多年的信息化推进方式要有根本性转变;2008年ITGI全球IT治理状况报告中,IT服务交付风险被认为是最重要的IT风险之一,排在第二位(ITGI,2008)。“随着实时企业观念的推进,即使是最小的中断——关键业务系统几分钟或是几小时的储运损耗、关键供应商或是外部服务供应商服务的中断、都可能带来极为严重的商业后果(孙强,2006)”。2006年4月22日银联由于准备上线的某外围设备的隐性缺陷,诱发了跨行交易系统主机的缺陷,使主机发生故障。全国近9亿张银联卡整整7个小时不能正常跨行ATM机取款和交易(东方网,2006)。2006年10月11日首都机场离港系统瘫痪50分钟,几千人滞留机场,多驾飞机延误(新华网,2006)。南京火车站电脑售票系统突然发生死机故障,整个车站售票处于瘫痪状态;广东省工行因系统故障,全线停业一个半小时等等。据调查显示,这些IT运维事件中20%是技术原因,80%是IT服务管理控制不完善的结果(孙强,2006)。
信息资产的安全风险
所谓信息资产是指“一种在资产负债表之外,结果逐渐积累,可以被用来提升竞争优势的信息(Jordan,1994)”。美国联邦审计署把信息资产看作是重要的国家基础设施(GAO,2003)。然而国内外病毒破坏、数据被盗或被篡改等信息安全事件频繁发生。澳大利亚CD环球保存了30万客户的信用卡记录,黑客盗取了25000份信息卡资料发布在互联网上。2006年2月27日,北京市二中院开庭审理程稚瀚涉嫌利用网络技术手段盗取北京移动通信公司充值卡密码,致使北京移动通信公司损失近380万元一案。风险控制能力的缺失使中国移动投入1.2亿元建设的网络安全不堪一击(孙强,2006)。这些事件暴露出企业存在重大的信息安全控制缺陷,其实一个外包人员密码管理制度的执行就可以避免类似中国移动的事件发生,很多安全问题,不在于与安全技术的先进与否,而在于我们的信息安全意识和信息安全管理制度。IT系统及存储在其中的信息资产的保护在组织中日益成为战略要求,信息技术内部控制也将成为内部控制发展的另一个焦点和方向。
合法合规风险
2008年ISACA公布了“全球最受关注的业务/技术问题”调查报告,受访者为3173位IT管理者、IT审计或合规人员以及信息安全管理人员,结果显示合规问题是今后企业最重要的问题,名列首位(ISACA,2008)。
由于信息技术风险的影响越来越大,各国际组织和政府部门相继出台IT风险控制相关标准与规范。欧洲、日本等各国纷纷加强了对企业IT控制的严格要求。信息技术对内部控制的影响已经引起各类协会组织的关注,国际信息系统审计与控制协会(ISACA)、内部审计师协会(IIA)等组织都提出了相应的信息技术内部控制框架,美国注册会计师协会(AICPA)也考虑信息技术对内部控制的影响,修改发布了相应的审计准则。在我国,国务院国资委2006年发布的《中央企业全面风险管理指引》和2009年7月日正式实施的《企业内部控制基本规范》也对IT控制进行的规范。
从以上分析可以看出,IT价值交付的过程就是企业管理控制IT风险的过程,IT给企业带来价值与善治的IT治理(IT管理)密不可分,具备IT治理(IT管理)能力不仅是企业实现业务目标的内在要求,也是合法合规的外在要求。
但是目前由于企业对IT治理(IT管理)缺乏正确的认识,许多企业IT治理(IT管理)能力低下。ITGI国际总裁Lynn Lawton曾说,全球有许多组织由于没有实施有效的IT管控措施,都在无谓地牺牲资金、工作效率和竞争优势。我国企业在遵循SOX方案上也曾交过高昂的学费。善治的企业能够给利益相关者带来更好的回报,信息技术管理也不例外。企业高管需要对IT工作进行指导、监控和评估,适当控制与IT有关的风险,开展IT商业价值评估(孙强,2008)。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved