在成本最優(yōu)的前提下滿足風(fēng)險(xiǎn)管理的需要

1、在成本最優(yōu)的前提下滿足風(fēng)險(xiǎn)管理的需要完整考慮企業(yè)IT風(fēng)險(xiǎn)管理的需求及其實(shí)現(xiàn)方式，可以幫助企業(yè)更精確地估計(jì)業(yè)務(wù)保護(hù)的成本，從而確保企業(yè)的投資水平在成本最優(yōu)的前提下滿意風(fēng)險(xiǎn)管理的需要。 每個(gè)企業(yè)在經(jīng)營(yíng)中都有可能發(fā)生風(fēng)險(xiǎn)，如何化解和削減風(fēng)險(xiǎn)是企業(yè)經(jīng)營(yíng)者必需研究的，因此，企業(yè)的風(fēng)險(xiǎn)管理特別重要。隨著企業(yè)對(duì)信息技術(shù)的依靠性不斷增加，加強(qiáng)IT風(fēng)險(xiǎn)管理，成為越來(lái)越多的企業(yè)關(guān)注的焦點(diǎn)。 風(fēng)險(xiǎn)管理不容回避 如今，企業(yè)面臨的風(fēng)險(xiǎn)的復(fù)雜性隨著市場(chǎng)全球化的發(fā)展而日益提高，推動(dòng)企業(yè)風(fēng)險(xiǎn)管理的監(jiān)管力度也隨之越來(lái)越大，不少行業(yè)為保護(hù)企業(yè)在不穩(wěn)定的商業(yè)環(huán)境中穩(wěn)定運(yùn)轉(zhuǎn)而頒布了特地的法規(guī)。 由十國(guó)主要金融服務(wù)相關(guān)機(jī)構(gòu)牽頭發(fā)起的巴

2、塞爾第二號(hào)協(xié)定（BaselAccord）中，不僅對(duì)資本風(fēng)險(xiǎn)進(jìn)行約束，而且還涉及到經(jīng)營(yíng)風(fēng)險(xiǎn)，包括IT系統(tǒng)給公司帶來(lái)的風(fēng)險(xiǎn)。換句話說(shuō)，該協(xié)定強(qiáng)制要求采用企業(yè)風(fēng)險(xiǎn)管理體系，并關(guān)注IT風(fēng)險(xiǎn)管理。 信息系統(tǒng)審計(jì)和掌握協(xié)會(huì)（Isaca）也制訂了信息和相關(guān)技術(shù)掌握目標(biāo)（Cobit），這份文檔同樣概述了怎樣擬訂企業(yè)風(fēng)險(xiǎn)管理框架。而頒布這兩項(xiàng)方案的目的都是為了促進(jìn)風(fēng)險(xiǎn)管理機(jī)制在企業(yè)的應(yīng)用。 此外，還有聞名的薩班斯奧克斯利法案（Sarbanes-Oxley），其404條款規(guī)定：全部在美上市企業(yè)都要建立內(nèi)部掌握體系，其中包括掌握環(huán)境、風(fēng)險(xiǎn)評(píng)估、掌握活動(dòng)、信息溝通以及監(jiān)督5個(gè)部分。而且，法案對(duì)企業(yè)建立的內(nèi)部掌握活動(dòng)的

3、記錄作了很多具體而嚴(yán)格的細(xì)節(jié)上的規(guī)定。如此一來(lái)，404條款就成為外國(guó)公司邁入美國(guó)股市的“高門(mén)檻”。 事實(shí)上，隨著全球化的業(yè)務(wù)大集中、數(shù)據(jù)大集中趨勢(shì)，IT越來(lái)越滲透到企業(yè)運(yùn)營(yíng)的每一個(gè)方面、環(huán)節(jié)和流程。與此同時(shí)，IT也成為企業(yè)業(yè)務(wù)運(yùn)營(yíng)面臨的主要風(fēng)險(xiǎn)之一。 企業(yè)中的IT管理者們往往被各種各樣的因素困擾，譬如由于成本的限制，總是無(wú)法圓滿地解決這些問(wèn)題。另一些企業(yè)由于業(yè)務(wù)模式過(guò)于復(fù)雜，以至于IT部門(mén)雖然感知到風(fēng)險(xiǎn)的存在，但根本無(wú)從知道風(fēng)險(xiǎn)畢竟在何處，何時(shí)會(huì)爆發(fā)，也無(wú)法對(duì)潛在風(fēng)險(xiǎn)進(jìn)行評(píng)估。 那么，企業(yè)IT管理者究竟應(yīng)當(dāng)如何清楚地了解潛在風(fēng)險(xiǎn)、需求和相應(yīng)的投資額度，又如何有效規(guī)避風(fēng)險(xiǎn)呢？ 扭轉(zhuǎn)觀念 任何方面

4、的漏洞與變化都會(huì)影響到業(yè)務(wù)運(yùn)營(yíng)所需要的服務(wù)級(jí)別。通過(guò)全盤(pán)規(guī)劃和考慮，采用整體化的解決方案，企業(yè)能夠構(gòu)建牢靠的基礎(chǔ)設(shè)施，從而依據(jù)業(yè)務(wù)發(fā)展?fàn)顩r敏捷調(diào)整IT的可用性與性能。 在進(jìn)行企業(yè)IT風(fēng)險(xiǎn)管理掌握的過(guò)程中，技術(shù)當(dāng)然是一個(gè)重要組成部分，但要取得精彩的IT運(yùn)營(yíng)效果，員工技能與最佳實(shí)踐同樣缺一不可。 其中，將業(yè)務(wù)連續(xù)性、可用性與安全性的意識(shí)融入到企業(yè)文化和各種運(yùn)營(yíng)機(jī)制中，使其成為開(kāi)展與維持業(yè)務(wù)運(yùn)營(yíng)的必不可少的組成部分，可能是最艱難的任務(wù)，但一旦實(shí)現(xiàn)，也就從觀念上和根本上提高了企業(yè)管控風(fēng)險(xiǎn)的能力。 正確評(píng)估 企業(yè)在構(gòu)建敏捷安全的IT環(huán)境之前，首先要透徹地了解自身的業(yè)務(wù)需求、所面臨的威逼與風(fēng)險(xiǎn)、以及IT系

5、統(tǒng)出現(xiàn)故障對(duì)各關(guān)鍵業(yè)務(wù)流程的影響等各方面因素。只有正確分析和面對(duì)可能存在的各類風(fēng)險(xiǎn)，并正確評(píng)估各類風(fēng)險(xiǎn)可能造成的影響，才能采取正確有效的措施來(lái)規(guī)避風(fēng)險(xiǎn)。 值得一提的是，一直被低估的停機(jī)成本領(lǐng)實(shí)上高得超乎想像。InfoneticsResearch是一家國(guó)際市場(chǎng)調(diào)研公司，特地從事北美、歐洲與亞洲地區(qū)的數(shù)據(jù)網(wǎng)絡(luò)與電信行業(yè)調(diào)研工作。 Infonetics近期實(shí)施了一項(xiàng)客戶調(diào)查項(xiàng)目，調(diào)查內(nèi)容是關(guān)于網(wǎng)絡(luò)中斷及其對(duì)于大型企業(yè)的影響。該調(diào)查的研究報(bào)告稱，美國(guó)大企業(yè)每年IT停機(jī)成本占其收入的3.6，其中制造企業(yè)的停機(jī)成本在收入中所占比例為9，金融服務(wù)機(jī)構(gòu)則高達(dá)16%。此外，停機(jī)還使企業(yè)面臨員工效率降低以及企業(yè)在

6、客戶與股東中的聲譽(yù)受損等其它難以量化的潛在風(fēng)險(xiǎn)。 奇妙平衡 企業(yè)在進(jìn)行風(fēng)險(xiǎn)的規(guī)避和管控的過(guò)程中，往往要面臨著如何平衡風(fēng)險(xiǎn)管理與業(yè)務(wù)保護(hù)成本的挑戰(zhàn)。依據(jù)惠普多年來(lái)在該領(lǐng)域的經(jīng)驗(yàn)，建議企業(yè)IT管理者采取分層次、分步驟的方式來(lái)做出合理決策，實(shí)現(xiàn)風(fēng)險(xiǎn)規(guī)避與成本之間的奇妙平衡。 一般狀況下，我們會(huì)建議企業(yè)首先專心分析每個(gè)業(yè)務(wù)流程可能遭遇的風(fēng)險(xiǎn)及其影響，力求解決下列關(guān)鍵問(wèn)題： 需要何種級(jí)別的可用性？ 一旦發(fā)生重大停機(jī)事故，業(yè)務(wù)對(duì)數(shù)據(jù)損失的承受能力有多大？ 業(yè)務(wù)流程能夠承受的停機(jī)時(shí)間極限？ 需要何種級(jí)別的安全性？ 然而，風(fēng)險(xiǎn)管理是一個(gè)系統(tǒng)性的工作。一般來(lái)說(shuō)，一套完整的IT風(fēng)險(xiǎn)管理方法包括以下4個(gè)步驟。 步驟

7、1：確定業(yè)務(wù)需求。對(duì)整個(gè)企業(yè)內(nèi)全部涉及合規(guī)性、可用性、安全性和業(yè)務(wù)連續(xù)性的業(yè)務(wù)流程和應(yīng)用的要求進(jìn)行評(píng)估。衡量停機(jī)對(duì)各業(yè)務(wù)應(yīng)用與流程的影響。 步驟2：評(píng)估風(fēng)險(xiǎn)等級(jí)。對(duì)可用性、安全性與持續(xù)性進(jìn)行全面且深入的評(píng)估，以確定風(fēng)險(xiǎn)領(lǐng)域，制定保護(hù)IT環(huán)境、改善IT服務(wù)的策略。將企業(yè)目前現(xiàn)行的實(shí)踐與“最佳信息技術(shù)基礎(chǔ)設(shè)施信息庫(kù)（ITIL）”推薦的最佳實(shí)踐進(jìn)行比較，了解差距，依據(jù)業(yè)務(wù)影響確定風(fēng)險(xiǎn)等級(jí)。 步驟3：設(shè)計(jì)與實(shí)施解決方案。將需求轉(zhuǎn)化為切實(shí)可行的技術(shù)與服務(wù)解決方案，其中包括存儲(chǔ)、數(shù)據(jù)庫(kù)、應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)和環(huán)境基礎(chǔ)設(shè)施等。制定持續(xù)性服務(wù)改進(jìn)計(jì)劃。 步驟4：監(jiān)控、管理與發(fā)展。制定IT服務(wù)管理政策，建立培訓(xùn)機(jī)制，采用最佳實(shí)踐調(diào)整人員與優(yōu)化流程。在業(yè)務(wù)發(fā)展過(guò)程中，對(duì)持續(xù)性與可用性計(jì)劃進(jìn)行再評(píng)估、監(jiān)控、審計(jì)與測(cè)試。 通過(guò)以上4步驟，完整考慮企業(yè)IT風(fēng)險(xiǎn)管理的需求及其實(shí)