企业信息系统的风险管理和控制体系模型如何应用在现实的企业过程中?这是一个令人关注的问题。本节通过一个案例研究来探讨企业信息系统风险管理和控制的过程。
31:能否用一个案例来说明IT风险管理和控制的过程?
企业信息系统的风险管理和控制体系模型如何应用在现实的企业过程中?这是一个令人关注的问题。本节通过一个案例研究来探讨企业信息系统风险管理和控制的过程。
1.背景
随着信息技术的发展与银监会发布的《银行机构信息系统风险管理指引》,银行等金融机构对信息安全的认识不断深入。加强金融机构的IT风险管理,健全信息安全管理的机制,辅助企业实现信息安全策略,成为银行金融机构的迫切需求。F金融企业的信息中心也担负着确保整个机构系统安全稳定运营的重要责任。主要提供如下服务:
IT规划与管理——包括整个机构的信息化规划、架构设计、投资管理、组织管理、标准化管理、项目管理等;
IT建设与开发——包括软件系统的开发和采购与基础设施的建设;
应用系统与基础设施维护——包括核心业务系统、办公自动化系统、桌面系统、网络系统、视频系统等。
2.项目需求与目标
当前,国内金融机构的IT风险管理主要面临以下挑战:董事会和高级管理层缺乏对信息科技的关注和统筹安排,对IT风险了解甚少;信息科技风险分层次、分部门管理,职责分散,分支机构IT风险管理职能缺失,岗位缺失,缺乏统一的IT风险战略和策略;无序购置和外包的现象十分严重,导致软硬件及核心技术受制于人;缺乏有效的预警机制,对IT风险没有进行全面的事前、事中、事后监测和控制;IT风险人才匮乏,已经成为制约金融业IT建设和风险管控能力提高的重要瓶颈;金融业IT风险事件呈现多发态势,等等。作为国内典型的金融机构,F金融企业也面临着类似的情况。
日益严格的外部监管要求,迫使F金融企业必须从整体考虑内部控制管理的有效性。由于信息系统与财务报告的高度关联,用于承载业务和管理的信息系统也需要加强控制以达到合法合规的要求。
为了应对内外部环境带来的挑战,F金融企业实施全面有效的IT风险管理势在必行。F金融企业的管理层决定对公司的IT风险进行全面的识别、分析和控制,提出控制和解决这些风险的方法。通过建立一套科学的IT风险管理体系,确保F公司信息系统的稳定运行。
3.项目思路
项目思路见图7-10。
资料来源:中国IT治理研究中心(ITGov),网址:www.itgov.org.cn
4.ITGov提供的指导
现状分析:通过人员访谈、文档审核、现场观察、工作量分析等形成IT现状报告;
风险评估:通过识别关键业务和IT风险、业务影响分析(RTO),形成风险评估矩阵和风险地图;
体系设计:根据风险地图制定相应的风险管理体系,包括组织架构、风险偏好程度、风险预警指标、风险管理流程及相关制度;
测试改进:对流程和指标的有效性进行抽样测试,找出不足,并进行完善;
构建监控平台:在目前监控平台的基础上进行风险管理平台的建设,成为全面客观、及时反映IT风险的有效手段;
持续改进:构建持续改进计划,包括制度和培训,使风险管理融入日常操作中。
5.实施效果
F金融企业通过搭建并实施IT风险管理体系,实施风险识别、分析、控制和评价,在相应的控制范围内取得了良好的效果。当然,这个体系的实施和运行,需要得到企业内部所有人员的支持和协助,特别是企业战略层和管理层的高度重视和支持,在全员沟通与调配适当的条件下,以共同保证整个IT风险管理体系的实施效果。
总之,IT风险管理体系的实施是满足外部监管要求以及实现企业战略支撑的必要手段,通过对各信息资源以及系统各流程采取风险控制措施,来提高信息化建设投入的收益,降低投入风险,进而降低系统的成本,提升企业的核心竞争力。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved