新商業(yè)風(fēng)險(xiǎn)管理

新商業(yè)風(fēng)險(xiǎn)管理第一頁(yè)，共二十三頁(yè)。信息技術(shù)對(duì)企業(yè)商務(wù)的影響隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，電子商務(wù)的應(yīng)用，越來(lái)越多的公司應(yīng)用信息技術(shù)，并將它們整合到日常的商務(wù)流程中去，使信息技術(shù)對(duì)整個(gè)的公司的發(fā)展起重要的作用。信息技術(shù)對(duì)企業(yè)商務(wù)重要的影響有如下幾點(diǎn)：企業(yè)的發(fā)展戰(zhàn)略、戰(zhàn)術(shù)決策；企業(yè)產(chǎn)品和服務(wù)的設(shè)計(jì)；企業(yè)成本管理；企業(yè)員工的雇用、技能的培養(yǎng)；企業(yè)文化、信息的共享；企業(yè)的客戶服務(wù)；企業(yè)供應(yīng)商與合作伙伴的供應(yīng)鏈管理；第二頁(yè)，共二十三頁(yè)。信息技術(shù)帶來(lái)新商業(yè)風(fēng)險(xiǎn)企業(yè)在投資和應(yīng)用信息技術(shù)的過(guò)程中，除了得到效益外，也產(chǎn)生了新的商業(yè)風(fēng)險(xiǎn)。所以企業(yè)都必須注意投資和應(yīng)用信息技術(shù)時(shí)的風(fēng)險(xiǎn)管理。例如，電子商務(wù)交易過(guò)程中，可以從電子數(shù)據(jù)交換系統(tǒng)（EDI）、電子資金調(diào)撥系統(tǒng)（EFT）、銷售點(diǎn)系統(tǒng)（POS）等系統(tǒng)中獲得商業(yè)上的各種數(shù)據(jù)，對(duì)這些數(shù)據(jù)的分析可獲得市場(chǎng)分布、人口地理學(xué)、產(chǎn)品分銷、資金結(jié)算等等資料，這些資料都是企業(yè)戰(zhàn)略制定和業(yè)務(wù)管理的關(guān)鍵。如果這些電子商務(wù)系統(tǒng)出現(xiàn)障礙，即使是POS系統(tǒng)或超市的條碼掃描系統(tǒng)出現(xiàn)故障，也會(huì)使企業(yè)的戰(zhàn)略實(shí)施和業(yè)務(wù)管理難以進(jìn)行，給企業(yè)商務(wù)帶來(lái)不良的后果。這就是一種網(wǎng)絡(luò)經(jīng)濟(jì)中出現(xiàn)的新的風(fēng)險(xiǎn)——信息技術(shù)的商業(yè)風(fēng)險(xiǎn)。第三頁(yè)，共二十三頁(yè)。新商業(yè)風(fēng)險(xiǎn)管理的基本內(nèi)容管理知識(shí)：提高企業(yè)內(nèi)部對(duì)信息技術(shù)風(fēng)險(xiǎn)管理的意識(shí)；掌握新商業(yè)風(fēng)險(xiǎn)管理知識(shí)。管理方案：從整個(gè)行業(yè)出發(fā)來(lái)分析企業(yè)風(fēng)險(xiǎn)，形成風(fēng)險(xiǎn)管理方案；商務(wù)整合：將企業(yè)商務(wù)戰(zhàn)略與信息技術(shù)戰(zhàn)略整合在一起，形成企業(yè)的整體戰(zhàn)略，這對(duì)信息技術(shù)風(fēng)險(xiǎn)管理的成功是非常關(guān)鍵的。如果沒(méi)有進(jìn)行商務(wù)整合，那么，要確認(rèn)業(yè)務(wù)程序與信息技術(shù)使用中所產(chǎn)生的業(yè)務(wù)風(fēng)險(xiǎn)之間的聯(lián)系將會(huì)很困難。必須把信息技術(shù)風(fēng)險(xiǎn)看成商業(yè)風(fēng)險(xiǎn)就必須進(jìn)行商務(wù)整合。將商業(yè)風(fēng)險(xiǎn)管理擴(kuò)展到企業(yè)各個(gè)部門內(nèi)，從而促使所有的雇員對(duì)風(fēng)險(xiǎn)管理負(fù)責(zé)并了解無(wú)效技術(shù)管理的危害。所以，商務(wù)整合對(duì)進(jìn)行完整的、綜合的風(fēng)險(xiǎn)管理框架起著重要作用，包括了信息技術(shù)相關(guān)風(fēng)險(xiǎn)的分析和傳統(tǒng)意義上的業(yè)務(wù)風(fēng)險(xiǎn)的分析；測(cè)量評(píng)估：對(duì)信息技術(shù)的作用進(jìn)行測(cè)量，評(píng)估。信息技術(shù)對(duì)核心業(yè)務(wù)的影響不斷增強(qiáng)，信息技術(shù)在當(dāng)今的商業(yè)核心業(yè)務(wù)中處于關(guān)鍵地位；要對(duì)信息技術(shù)在企業(yè)流程中的作用進(jìn)行必要測(cè)量。風(fēng)險(xiǎn)轉(zhuǎn)移：在企業(yè)接受現(xiàn)有水平的風(fēng)險(xiǎn)；調(diào)整產(chǎn)品和服務(wù)的價(jià)格以補(bǔ)償風(fēng)險(xiǎn)損失；進(jìn)行風(fēng)險(xiǎn)轉(zhuǎn)移，例如：購(gòu)買保險(xiǎn)之前應(yīng)具備一套適當(dāng)?shù)?、正式的程序?lái)識(shí)別和探究信息技術(shù)相關(guān)風(fēng)險(xiǎn)來(lái)源；通過(guò)制定和實(shí)施風(fēng)險(xiǎn)管理程序，將風(fēng)險(xiǎn)降低到可以承受的水平。重點(diǎn)管理：把握特定類型的新商業(yè)風(fēng)險(xiǎn)的管理。主要有以下三種類型：綜合性風(fēng)險(xiǎn)：指數(shù)據(jù)未經(jīng)批準(zhǔn)使用或不完整或不準(zhǔn)確而變得不可靠所造成的風(fēng)險(xiǎn)。獲得性風(fēng)險(xiǎn)：指不能及時(shí)獲得所需信息而導(dǎo)致的風(fēng)險(xiǎn)。相關(guān)性風(fēng)險(xiǎn)：指無(wú)論是自身建立的信息還是由應(yīng)用系統(tǒng)總結(jié)出的信息，都不適用或者不及時(shí)而帶來(lái)的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全管理：網(wǎng)絡(luò)安全也構(gòu)成新商業(yè)風(fēng)險(xiǎn)，例如，通過(guò)網(wǎng)絡(luò)侵入企業(yè)系統(tǒng)的計(jì)算機(jī)“黑客”和計(jì)算機(jī)病毒，會(huì)破壞客戶服務(wù)系統(tǒng)或?qū)е滦畔⑹д嫔踔寥縼G失。分配計(jì)算（借助于客戶／服務(wù)網(wǎng)絡(luò)進(jìn)行的信息管理）使信息可以在一定范圍內(nèi)傳播。但是，分配計(jì)算也給企業(yè)安全性帶來(lái)了風(fēng)險(xiǎn)。一般在同一條網(wǎng)絡(luò)上的信息所有者并非只有一個(gè)。一些信息對(duì)企業(yè)相當(dāng)敏感，所以對(duì)客戶／服務(wù)環(huán)境的有效管理就顯得很重要。第四頁(yè)，共二十三頁(yè)。新商業(yè)風(fēng)險(xiǎn)主要類型

完整性鳳險(xiǎn)這種風(fēng)險(xiǎn)大多來(lái)自應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)可對(duì)商業(yè)數(shù)據(jù)的輸入、處理、歸納和貯存等。當(dāng)系統(tǒng)障礙時(shí)，就可能造成數(shù)據(jù)未經(jīng)授權(quán)被使用或數(shù)據(jù)不完整、不準(zhǔn)確而造成風(fēng)險(xiǎn)。接入風(fēng)險(xiǎn)接入網(wǎng)絡(luò)時(shí)，數(shù)據(jù)或信息存取不當(dāng)而導(dǎo)致風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)來(lái)自網(wǎng)絡(luò)和電子商務(wù)的不斷發(fā)展。由于黑客和電子欺詐行為的存在，人們要保護(hù)自己的系統(tǒng)免受侵?jǐn)_。人們就必須設(shè)法保護(hù)電話線路、網(wǎng)絡(luò)纜線和計(jì)算機(jī)，以便盡力對(duì)數(shù)據(jù)和信息進(jìn)行保密。存取風(fēng)險(xiǎn)可能由于不合理的責(zé)任分工造成的風(fēng)險(xiǎn)，如，未經(jīng)授權(quán)的人進(jìn)入數(shù)據(jù)庫(kù)帶來(lái)了風(fēng)險(xiǎn)，或違反信息保密性法律規(guī)則引起的相關(guān)風(fēng)險(xiǎn)。基礎(chǔ)設(shè)施風(fēng)險(xiǎn)指企業(yè)不具備完整的信息技術(shù)基礎(chǔ)設(shè)施而造成的風(fēng)險(xiǎn)。這種基礎(chǔ)設(shè)施是指能夠以低成本、高效率的方式，構(gòu)建信息技術(shù)的商業(yè)應(yīng)用模式，它包括信息技術(shù)基礎(chǔ)。信息技術(shù)基礎(chǔ)設(shè)施主要包括以下幾部分：硬件；網(wǎng)絡(luò)；軟件；人員；程序。系統(tǒng)的完整性是要保證定義、開發(fā)、維護(hù)和運(yùn)作處理信息環(huán)境和應(yīng)用系統(tǒng)正常運(yùn)作所必備。所以它對(duì)商業(yè)運(yùn)作產(chǎn)生的影響最大，存在風(fēng)險(xiǎn)也最大。獲得性風(fēng)險(xiǎn)：這是指企業(yè)在獲得數(shù)據(jù)時(shí)的風(fēng)險(xiǎn)，如破壞者們經(jīng)常利用郵件轟炸來(lái)阻礙服務(wù)，或者對(duì)服務(wù)系統(tǒng)提出虛假請(qǐng)求，這給提供服務(wù)帶風(fēng)險(xiǎn)。金融服務(wù)業(yè)是典型的依賴于準(zhǔn)確、及時(shí)信息而運(yùn)作的行業(yè)。在這方面的風(fēng)險(xiǎn)較大。所以企業(yè)要有一個(gè)有效的方式來(lái)管理價(jià)格風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)和信用風(fēng)險(xiǎn)，必須具備特定的系統(tǒng)。這種系統(tǒng)要使需求者對(duì)所需信息實(shí)時(shí)可用、隨時(shí)可得，并能進(jìn)行評(píng)價(jià)。第五頁(yè)，共二十三頁(yè)。一、完整性鳳險(xiǎn)（Integrityrisk）完整性鳳險(xiǎn)大多來(lái)自應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)可對(duì)商業(yè)數(shù)據(jù)的輸入、處理、歸納和貯存等。當(dāng)系統(tǒng)障礙時(shí)，就可能造成數(shù)據(jù)未經(jīng)授權(quán)被使用或數(shù)據(jù)不完整、不準(zhǔn)確而造成風(fēng)險(xiǎn)。它主要在系統(tǒng)以下部分表現(xiàn)出來(lái)：用戶界面（Userinterface）:必須給予正確的設(shè)定，有足夠的限定，以確保只有有效的數(shù)據(jù)才能進(jìn)入系統(tǒng)，并且這些數(shù)據(jù)是完整的。處理（Processing）:使系統(tǒng)有能力控制處理各種數(shù)據(jù)，以確保數(shù)據(jù)的處理完整性和及時(shí)性。病毒使系統(tǒng)對(duì)數(shù)據(jù)處理的完整性造成特別威脅。這類威脅能對(duì)關(guān)鍵業(yè)務(wù)程序造成巨大的沖擊。對(duì)錯(cuò)誤處理（ErrorProcessing）:系統(tǒng)應(yīng)用適當(dāng)?shù)某绦蚝推渌到y(tǒng)方法來(lái)確保任何進(jìn)入系統(tǒng)的數(shù)據(jù)都受到檢測(cè)，并已作了修正?？梢詼?zhǔn)確地、完整地和及時(shí)地處理錯(cuò)誤數(shù)據(jù)。對(duì)錯(cuò)誤數(shù)據(jù)的檢測(cè)在金融業(yè)顯得十分重要。界面（Interface）：應(yīng)有系統(tǒng)預(yù)警顯示，以確保各種數(shù)據(jù)的準(zhǔn)確完整地傳輸。變化處理（ChangeManagement）：對(duì)變化有處理能力的流程，通過(guò)這些流程，應(yīng)用系統(tǒng)的任何改變均能傳輸并予以實(shí)行。數(shù)據(jù)（Data）:數(shù)據(jù)管理和控制，既包括處理數(shù)據(jù)的安全和完整，也包括對(duì)數(shù)據(jù)庫(kù)和數(shù)據(jù)結(jié)構(gòu)的有效管理。數(shù)據(jù)的完整性可能會(huì)因?yàn)槌绦蝈e(cuò)誤引起，如對(duì)數(shù)據(jù)用不正確的程序來(lái)處理；或發(fā)生管理程序錯(cuò)誤。第六頁(yè)，共二十三頁(yè)。二、接入風(fēng)險(xiǎn)（Accessrisk）接入風(fēng)險(xiǎn)是指接入網(wǎng)絡(luò)時(shí)，數(shù)據(jù)或信息存取不當(dāng)而導(dǎo)致風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)來(lái)自網(wǎng)絡(luò)和電子商務(wù)的不斷發(fā)展。由于黑客和電子欺詐行為的存在，人們要保護(hù)自己的系統(tǒng)免受侵?jǐn)_。人們就必須設(shè)法保護(hù)電話線路、網(wǎng)絡(luò)纜線和計(jì)算機(jī)，以便盡力對(duì)數(shù)據(jù)和信息進(jìn)行保密。存取風(fēng)險(xiǎn)可能由于不合理的責(zé)任分工造成的風(fēng)險(xiǎn)，如，未經(jīng)授權(quán)的人進(jìn)入數(shù)據(jù)庫(kù)帶來(lái)了風(fēng)險(xiǎn)，或違反信息保密性法律規(guī)則引起的相關(guān)風(fēng)險(xiǎn)。業(yè)務(wù)流程（BusinessProcess）:企業(yè)確定某一業(yè)務(wù)流程和流程運(yùn)作方式。應(yīng)用軟件（Application）：采用相應(yīng)的應(yīng)用軟件，給用戶提供完成工作所需要的安全的接入方式。并限制對(duì)安全有破壞的接入，如欺騙行為，避免由于員工接觸過(guò)多的信息導(dǎo)致對(duì)數(shù)據(jù)意外或無(wú)意的改動(dòng)。數(shù)據(jù)和數(shù)據(jù)管理（Dataandmanagement）:為用戶提供接入特殊數(shù)據(jù)或數(shù)據(jù)庫(kù)通路的網(wǎng)絡(luò)環(huán)境。流程的環(huán)境（Processingenvironment）:一般指不恰當(dāng)?shù)剡M(jìn)人主計(jì)算機(jī)業(yè)務(wù)流程處理環(huán)境和獲取該環(huán)境中儲(chǔ)存的程序和數(shù)據(jù)。網(wǎng)絡(luò)（Network）:接入網(wǎng)絡(luò)聯(lián)系用戶和流程環(huán)境。接入風(fēng)險(xiǎn)是由于不恰當(dāng)?shù)剡M(jìn)入網(wǎng)絡(luò)本身的風(fēng)險(xiǎn)所導(dǎo)致的。硬件設(shè)備（Physical）：保護(hù)設(shè)備不受破壞、偷竊或不恰當(dāng)?shù)亟佑|。第七頁(yè)，共二十三頁(yè)。三、基礎(chǔ)設(shè)施風(fēng)險(xiǎn)（infrastructurerisk）基礎(chǔ)設(shè)施風(fēng)險(xiǎn)指企業(yè)不具備完整的信息技術(shù)基礎(chǔ)設(shè)施而造成的風(fēng)險(xiǎn)。信息技術(shù)基礎(chǔ)設(shè)施主要包括以下幾部分：硬件；網(wǎng)絡(luò)；軟件；人員；程序。系統(tǒng)的完整性是要保證定義、開發(fā)、維護(hù)和運(yùn)作處理信息環(huán)境和應(yīng)用系統(tǒng)正常運(yùn)作所必備。所以它對(duì)商業(yè)運(yùn)作產(chǎn)生的影響最大，存在風(fēng)險(xiǎn)也最大。基礎(chǔ)設(shè)施風(fēng)險(xiǎn)有下列內(nèi)容：組織計(jì)劃（OrganisationPlanning）:基礎(chǔ)設(shè)施對(duì)在商業(yè)流程中所采用的信息技術(shù)進(jìn)行清楚地界定和闡述，確保企業(yè)經(jīng)理層對(duì)信息技術(shù)的應(yīng)用計(jì)劃有足夠的支持，并有充足的人才和流程計(jì)劃，以確保系統(tǒng)實(shí)施的成功。應(yīng)用系統(tǒng)的定義和開發(fā)（Applicationsystemsdefinitionanddeployment）：基礎(chǔ)設(shè)施要保證應(yīng)用系統(tǒng)滿足業(yè)務(wù)和用戶的需要。就必須決定購(gòu)買整個(gè)應(yīng)用系統(tǒng)解決方案，還是按用客需求開發(fā)新的解決方案。應(yīng)確保應(yīng)用系統(tǒng)的所有變動(dòng)應(yīng)遵守一定的結(jié)構(gòu)，以確保與關(guān)鍵控制點(diǎn)保持連續(xù)性和一致性。例如，典型的結(jié)構(gòu)要求所有變化必須在事前被用戶所驗(yàn)證和通過(guò)。邏輯安全和安全管理（Logicalsecurityandsecurityadministration）：基礎(chǔ)設(shè)施應(yīng)確保企業(yè)足以應(yīng)付接入風(fēng)險(xiǎn)。要建立、維護(hù)和監(jiān)督內(nèi)部安全綜合系統(tǒng)，該系統(tǒng)在數(shù)據(jù)和信息的完整性和保密性方面要符合管理層的政策。計(jì)算機(jī)和網(wǎng)絡(luò)操作（Computerandnetworkoperations）：基礎(chǔ)設(shè)施應(yīng)確保信息系統(tǒng)和相關(guān)的網(wǎng)絡(luò)環(huán)境是在管理層的政策下，在安全和受保護(hù)的環(huán)境下運(yùn)作。計(jì)算機(jī)操作人員對(duì)信息處理的責(zé)任，應(yīng)該是被明確界定、衡量和監(jiān)督。通常計(jì)算機(jī)技術(shù)人員作出的主動(dòng)性行為，也可衡量與監(jiān)視計(jì)算機(jī)和網(wǎng)絡(luò)運(yùn)行，確保系統(tǒng)為用戶提供滿意的、持續(xù)的支持。數(shù)據(jù)和數(shù)據(jù)管理（Dataanddatabasemanagement）：基礎(chǔ)設(shè)施應(yīng)確保那些用于支持應(yīng)用系統(tǒng)和終端報(bào)告所需要的數(shù)據(jù)和數(shù)據(jù)庫(kù)，既有相互的內(nèi)部統(tǒng)一性，又有定義的連貫性，可滿足企業(yè)商務(wù)需要和減少潛在的閑置。核心業(yè)務(wù)數(shù)據(jù)恢復(fù)（Businessdatacenterrecovery）：基礎(chǔ)設(shè)施應(yīng)確保企業(yè)中各種核心業(yè)務(wù)數(shù)據(jù)的災(zāi)難性恢復(fù)，以確保商業(yè)計(jì)劃的充分實(shí)施，保證滿足用戶在需要時(shí)可得到相關(guān)和技術(shù)支持。第八頁(yè)，共二十三頁(yè)。四、獲得性風(fēng)險(xiǎn)（Availabilityrisk）獲得性風(fēng)險(xiǎn)是指企業(yè)在獲得數(shù)據(jù)時(shí)的風(fēng)險(xiǎn)，如破壞者們經(jīng)常利用郵件轟炸來(lái)阻礙服務(wù)，或者對(duì)服務(wù)系統(tǒng)提出虛假請(qǐng)求，這給網(wǎng)絡(luò)用戶提供服務(wù)帶來(lái)了一種危險(xiǎn)。金融服務(wù)業(yè)是典型的依賴于準(zhǔn)確、及時(shí)信息而運(yùn)作的行業(yè)。在這方面的風(fēng)險(xiǎn)較大。所以企業(yè)要有一個(gè)有效的方式來(lái)管理價(jià)格風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)和信用風(fēng)險(xiǎn)，必須具備特定的系統(tǒng)。這種系統(tǒng)要使需求者對(duì)所需信息實(shí)時(shí)可用、隨時(shí)可得，并能進(jìn)行評(píng)價(jià)。這種系統(tǒng)應(yīng)當(dāng)嚴(yán)格控制數(shù)據(jù)，防止未經(jīng)授權(quán)的存取改變數(shù)據(jù)。獲得性風(fēng)險(xiǎn)表現(xiàn)在如下三個(gè)方面：通過(guò)事先對(duì)行為的監(jiān)督和對(duì)系統(tǒng)問(wèn)題的解決，都能夠避免此類的風(fēng)險(xiǎn)。如，硬盤的存儲(chǔ)能力對(duì)信息系統(tǒng)來(lái)說(shuō)是很重要的，這可以不斷地予以監(jiān)督確保它足以支持企業(yè)商務(wù)流程的運(yùn)作。獲得性風(fēng)險(xiǎn)與系統(tǒng)的短期中斷有關(guān)聯(lián)。對(duì)此可運(yùn)用備份和恢復(fù)技術(shù)使中斷影響的范圍最小化。如，大多數(shù)企業(yè)已經(jīng)認(rèn)識(shí)到每天至少一次對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行備份的重要性。這樣在處理過(guò)程中丟失數(shù)據(jù)的影響能被控制在上一個(gè)備份以后的數(shù)據(jù)投入的范圍內(nèi)。獲得性風(fēng)險(xiǎn)與信息處理過(guò)程長(zhǎng)時(shí)間中斷有關(guān)聯(lián)，其重點(diǎn)是諸如備份與應(yīng)急計(jì)劃等控制手段。第九頁(yè)，共二十三頁(yè)。五、其他與商務(wù)相關(guān)的風(fēng)險(xiǎn)（Otherbusinessrisks）信息策略與商務(wù)策略整合后，還產(chǎn)生了一些與此相關(guān)的風(fēng)險(xiǎn)，這也是作為風(fēng)險(xiǎn)管理應(yīng)加以注意的部分，因?yàn)樗鼈兛赡軐?duì)企業(yè)商務(wù)產(chǎn)生不利的影響。正確性風(fēng)險(xiǎn)（Validityrisk）企業(yè)應(yīng)用系統(tǒng)建立必須合適本企業(yè)狀況，這種風(fēng)險(xiǎn)包括決策過(guò)程中所需信息是否正確性的風(fēng)險(xiǎn)，除此之外還直接涉及到經(jīng)營(yíng)運(yùn)行過(guò)程中的信息的正確性風(fēng)險(xiǎn)，如，企業(yè)員工不能及時(shí)性獲得所需要的正確信息的風(fēng)險(xiǎn)。正確性風(fēng)險(xiǎn)問(wèn)題對(duì)金融服務(wù)業(yè)也及為重要，例如，銀行機(jī)構(gòu)通過(guò)實(shí)時(shí)系統(tǒng)運(yùn)用利息率和風(fēng)險(xiǎn)報(bào)告等工具來(lái)監(jiān)控它們的利率波動(dòng)的風(fēng)險(xiǎn)。如果時(shí)間不準(zhǔn)確，那么，這些工具所提供的信息就毫無(wú)用處。另外信息技術(shù)系統(tǒng)提供的管理方面的數(shù)據(jù)報(bào)告，如果不準(zhǔn)確，可能導(dǎo)致領(lǐng)導(dǎo)者的決策失誤。效率風(fēng)險(xiǎn)（Efficiencyrisk）對(duì)應(yīng)用程序的選擇應(yīng)有效率性?？赡苡幸恍┏绦虿荒軡M足客戶的需求。如果把技術(shù)引人到商務(wù)流程中去，而又不能產(chǎn)生出效率，就沒(méi)有意義。所以規(guī)劃應(yīng)考慮到效率的風(fēng)險(xiǎn)。企業(yè)系統(tǒng)基礎(chǔ)設(shè)施應(yīng)包括商業(yè)策略保持一致的信息技術(shù)策略，對(duì)信息技術(shù)策略與商業(yè)策略的整合應(yīng)很明確，以實(shí)現(xiàn)管理層的商業(yè)目標(biāo)。周期性風(fēng)險(xiǎn)（Cycletimerisk）這是指商務(wù)活動(dòng)的周期性，如果商務(wù)周期性過(guò)長(zhǎng)，如供應(yīng)鏈過(guò)長(zhǎng)導(dǎo)致商務(wù)周期性過(guò)長(zhǎng)，這樣企業(yè)效益就會(huì)受影響。信息技術(shù)策略應(yīng)用到商務(wù)流程中去，應(yīng)促使商務(wù)周期性縮短。但是，在具體實(shí)施過(guò)程中，可能由于信息技術(shù)基礎(chǔ)設(shè)施不足，或由于系統(tǒng)原因，使商務(wù)周期性的延長(zhǎng)，達(dá)不到原來(lái)所希望的商務(wù)目標(biāo)。采用信息技術(shù)在商業(yè)流程中，對(duì)周期性問(wèn)題應(yīng)當(dāng)事先考慮清楚。報(bào)廢鳳險(xiǎn)（Obsolescencerisk）企業(yè)庫(kù)存常常是由信息技術(shù)系統(tǒng)來(lái)管理。為了有效地管理庫(kù)存和避免報(bào)廢或過(guò)剩，業(yè)務(wù)上要求數(shù)據(jù)的完整性、準(zhǔn)確性、及時(shí)性。由于系統(tǒng)的問(wèn)題可能影響數(shù)據(jù)的正確傳輸，引起庫(kù)存的報(bào)廢。這也是信息系統(tǒng)的風(fēng)險(xiǎn)之一。業(yè)務(wù)中斷風(fēng)險(xiǎn)（Businessinterruptionrisk）企業(yè)的業(yè)務(wù)有一個(gè)連續(xù)的過(guò)程，應(yīng)用軟件的操作主要依賴于信息系統(tǒng)。因此，信息系統(tǒng)的應(yīng)急計(jì)劃應(yīng)是整個(gè)商業(yè)延續(xù)計(jì)劃的一部分，災(zāi)難恢復(fù)計(jì)劃應(yīng)該是商業(yè)計(jì)劃的一部分，以避免業(yè)務(wù)中斷的風(fēng)險(xiǎn)。產(chǎn)品失敗風(fēng)險(xiǎn)（Productfailrisk）正確的產(chǎn)品信息來(lái)自企業(yè)內(nèi)部網(wǎng)和信息系統(tǒng)，如果一個(gè)企業(yè)監(jiān)督和記錄次品數(shù)據(jù)不準(zhǔn)確，就可能造成產(chǎn)品的失敗。在應(yīng)用信息系統(tǒng)控制生產(chǎn)流程時(shí)，這方面的風(fēng)險(xiǎn)應(yīng)給予足夠的重視。另外，產(chǎn)品銷售的反饋信息，企業(yè)能發(fā)現(xiàn)用戶對(duì)產(chǎn)品的意見(jiàn)，通過(guò)獲得這類信息，企業(yè)因此可以管理產(chǎn)品失敗風(fēng)險(xiǎn)，以及有關(guān)顧客服務(wù)和聲譽(yù)的風(fēng)險(xiǎn)。第十頁(yè)，共二十三頁(yè)。如何管理新商業(yè)風(fēng)險(xiǎn)有效的商業(yè)風(fēng)險(xiǎn)管理并非僅為一種職能，更是一個(gè)過(guò)程。所以，只有在商業(yè)風(fēng)險(xiǎn)范圍內(nèi)對(duì)采用信息技術(shù)后的企業(yè)進(jìn)行風(fēng)險(xiǎn)管理，才能有效地回避新商業(yè)風(fēng)險(xiǎn)。這里有兩個(gè)關(guān)鍵點(diǎn)值得注意：在信息時(shí)代的復(fù)雜商業(yè)環(huán)境中，任何一家電子化企業(yè)要想獲得成功，都必須構(gòu)造一幅清晰的關(guān)于識(shí)別、衡量、控制與監(jiān)測(cè)所有類型風(fēng)險(xiǎn)的行車圖。有效的風(fēng)險(xiǎn)管理并不只是一種職能，還是一個(gè)過(guò)程，是一個(gè)識(shí)別和管理所有潛在重大風(fēng)險(xiǎn)的過(guò)程，它涵蓋了所有的企業(yè)商務(wù)活動(dòng)以及各層次的企業(yè)組織。主要內(nèi)容：商業(yè)風(fēng)險(xiǎn)管理程序新商業(yè)IT風(fēng)險(xiǎn)管理要素：戰(zhàn)略規(guī)劃配置管理流程監(jiān)測(cè)技術(shù)結(jié)構(gòu)的界定管理框架第十一頁(yè)，共二十三頁(yè)。一、商業(yè)風(fēng)險(xiǎn)管理程序?yàn)榱俗R(shí)別、衡量、控制與監(jiān)測(cè)風(fēng)險(xiǎn)，企業(yè)需要有一套恰當(dāng)?shù)娘L(fēng)險(xiǎn)管理程序，它包括了六個(gè)步驟：確立管理目的和目標(biāo)：根據(jù)企業(yè)的市場(chǎng)目標(biāo)，確定商業(yè)風(fēng)險(xiǎn)承受限度。評(píng)估商業(yè)風(fēng)險(xiǎn)：識(shí)別導(dǎo)致風(fēng)險(xiǎn)的主要因素，這些因素對(duì)業(yè)務(wù)的成功至關(guān)重要；研究風(fēng)險(xiǎn)的來(lái)源，判斷風(fēng)險(xiǎn)是來(lái)自企業(yè)外部，還是企業(yè)內(nèi)部的商務(wù)運(yùn)作過(guò)程。衡量風(fēng)險(xiǎn)的重要性的程度以及發(fā)生的可能性。制定商業(yè)風(fēng)險(xiǎn)管理戰(zhàn)略：風(fēng)險(xiǎn)管理戰(zhàn)略必須確定風(fēng)險(xiǎn)位置和責(zé)任，以便制定和實(shí)施相應(yīng)的管理與控制程序。風(fēng)險(xiǎn)管理戰(zhàn)略有可選性，包括：回避不可承受的風(fēng)險(xiǎn)、轉(zhuǎn)嫁風(fēng)險(xiǎn)通過(guò)購(gòu)買保險(xiǎn)，與其他企業(yè)結(jié)成戰(zhàn)略同盟、共同投資。與獨(dú)立的當(dāng)事人簽訂契約性風(fēng)險(xiǎn)分擔(dān)協(xié)議等途徑。接受現(xiàn)有水平下的風(fēng)險(xiǎn)，即自我保險(xiǎn)。接受風(fēng)險(xiǎn)，通過(guò)各種監(jiān)控手段將風(fēng)險(xiǎn)降低到一個(gè)可接受的程度，可接受度是管理中的風(fēng)險(xiǎn)限度所確定的。設(shè)置并實(shí)施風(fēng)險(xiǎn)控制程序：確保合適的員工設(shè)置和實(shí)施風(fēng)險(xiǎn)控制程序。每一道風(fēng)險(xiǎn)承受能力的程序都必須符合企業(yè)管理者規(guī)定的風(fēng)險(xiǎn)承受度。監(jiān)測(cè)商業(yè)風(fēng)險(xiǎn)管理程序?qū)嵤┬Ч罕O(jiān)測(cè)風(fēng)險(xiǎn)控制程序?qū)嵤┑男Ч?，?duì)于企業(yè)達(dá)到市場(chǎng)目標(biāo)、企業(yè)戰(zhàn)略具有關(guān)鍵意義。可由企業(yè)中高級(jí)經(jīng)理實(shí)施監(jiān)測(cè)，由程序和業(yè)務(wù)的操作者具體實(shí)施。改善商業(yè)風(fēng)險(xiǎn)管理程序（見(jiàn)下頁(yè)）第十二頁(yè)，共二十三頁(yè)。（接上頁(yè)）改善商業(yè)風(fēng)險(xiǎn)管理程序在實(shí)施風(fēng)險(xiǎn)管理過(guò)程中，不斷完善風(fēng)險(xiǎn)管理程序。通過(guò)監(jiān)測(cè)確定在管理過(guò)程中出現(xiàn)的不足，以及商業(yè)環(huán)境變化而需要相應(yīng)地調(diào)整風(fēng)險(xiǎn)管理程序。采用這種不斷更新、不斷完善的思想是極為重要的。在電子化企業(yè)中，在電子商務(wù)的過(guò)程中，應(yīng)用信息技術(shù)所產(chǎn)生的風(fēng)險(xiǎn)就是一種商業(yè)風(fēng)險(xiǎn)。所以，應(yīng)該把這種當(dāng)作商業(yè)風(fēng)險(xiǎn)的一部分來(lái)進(jìn)行評(píng)估。采用一種綜合的方案來(lái)進(jìn)行風(fēng)險(xiǎn)管理，就是要領(lǐng)導(dǎo)者識(shí)別上面所述的企業(yè)應(yīng)用信息技術(shù)時(shí)產(chǎn)生新的商業(yè)風(fēng)險(xiǎn)。并將這種風(fēng)險(xiǎn)與整體商業(yè)風(fēng)險(xiǎn)結(jié)合起來(lái)考慮。建立一個(gè)適合本企業(yè)的風(fēng)險(xiǎn)管理程序。例如：一個(gè)公司的程序如下·提供一種領(lǐng)導(dǎo)機(jī)制，并由上級(jí)部門確定風(fēng)險(xiǎn)管理的基調(diào)?！檎w風(fēng)險(xiǎn)管理進(jìn)行資源配置?！そL(fēng)險(xiǎn)管理框架和總體規(guī)劃?！ご_定目標(biāo)限度及個(gè)人責(zé)任?！ご_認(rèn)標(biāo)準(zhǔn)會(huì)計(jì)分類和業(yè)務(wù)損失。·建立風(fēng)險(xiǎn)度量系統(tǒng)和早期預(yù)警指示。·將風(fēng)險(xiǎn)控制管理狀況與獎(jiǎng)勵(lì)機(jī)制相聯(lián)系。從以上可以看出這個(gè)公司不僅具備一套整體性的風(fēng)險(xiǎn)管理方案，而且還掌握了風(fēng)險(xiǎn)管理中具有關(guān)鍵作用的因素，包括：高素質(zhì)的領(lǐng)導(dǎo)才能、個(gè)人責(zé)任。標(biāo)準(zhǔn)的界定以及業(yè)績(jī)的監(jiān)測(cè)等。借助于預(yù)警程序和高級(jí)經(jīng)理部門的參與，信誠(chéng)公司將這種商業(yè)風(fēng)險(xiǎn)管理推廣到業(yè)務(wù)運(yùn)行的各個(gè)層次，確保了整個(gè)公司內(nèi)部信用的連貫性。如圖所示：新商業(yè)風(fēng)險(xiǎn)管理程序。（見(jiàn)下頁(yè)）第十三頁(yè)，共二十三頁(yè)。新商業(yè)風(fēng)險(xiǎn)管理程序圖解建立管理目的與目標(biāo)、風(fēng)險(xiǎn)限度、風(fēng)險(xiǎn)承受水平商業(yè)風(fēng)險(xiǎn)評(píng)估、識(shí)別、探究、度量制定商業(yè)風(fēng)險(xiǎn)管理戰(zhàn)略改善商業(yè)風(fēng)險(xiǎn)管理過(guò)程商業(yè)風(fēng)險(xiǎn)實(shí)施效果的監(jiān)測(cè)制定/實(shí)施風(fēng)險(xiǎn)控制程序?規(guī)避?價(jià)格?轉(zhuǎn)嫁?接受決策信息第十四頁(yè)，共二十三頁(yè)。二、新商業(yè)風(fēng)險(xiǎn)管理框架安達(dá)信公司的提供了一個(gè)信息技術(shù)風(fēng)險(xiǎn)管理框架，可作為電子化企業(yè)引入IT技術(shù)時(shí)，制定總體風(fēng)險(xiǎn)管理戰(zhàn)略的特殊結(jié)構(gòu)。風(fēng)險(xiǎn)控制程序既有對(duì)經(jīng)濟(jì)環(huán)境的風(fēng)險(xiǎn)普遍性適用，也適用特定環(huán)境下風(fēng)險(xiǎn)的特殊性。例如，電子商務(wù)要求交易雙方采用CA認(rèn)證，這是控制風(fēng)險(xiǎn)的普遍性的要求。對(duì)于特殊的風(fēng)險(xiǎn)控制，可以用軟件加密，防止密碼泄露，電子簽名等，從而防止未經(jīng)授權(quán)的接入風(fēng)險(xiǎn)。商業(yè)風(fēng)險(xiǎn)控制以信息系統(tǒng)做預(yù)防性的控制最為有效。當(dāng)系統(tǒng)設(shè)置好后，要比人工控制的效果要好的多。見(jiàn)下圖第十五頁(yè)，共二十三頁(yè)。信息技術(shù)風(fēng)險(xiǎn)管理框架圖解硬件設(shè)施網(wǎng)絡(luò)平臺(tái)數(shù)據(jù)應(yīng)用流程戰(zhàn)略規(guī)劃結(jié)構(gòu)界定流程監(jiān)測(cè)配置管理第十六頁(yè)，共二十三頁(yè)。一、戰(zhàn)略規(guī)劃企業(yè)電子商務(wù)總體戰(zhàn)略，應(yīng)包括信息技術(shù)風(fēng)險(xiǎn)管理戰(zhàn)略和政策的制定，它應(yīng)包括企業(yè)信息風(fēng)險(xiǎn)管理的內(nèi)容，應(yīng)說(shuō)明戰(zhàn)略實(shí)施，相關(guān)人員責(zé)任界定。同時(shí)它也是企業(yè)商務(wù)流程，應(yīng)用程序設(shè)定基礎(chǔ)。企業(yè)中任何一個(gè)標(biāo)準(zhǔn)、方針、方案都在這個(gè)基礎(chǔ)上設(shè)立。這些標(biāo)準(zhǔn)、方針、方案能夠詳細(xì)闡明某一程序如何運(yùn)行。例如，系統(tǒng)安全問(wèn)題，有關(guān)政策就可以這樣規(guī)定：所有的用戶都必須經(jīng)過(guò)授權(quán)，使用用戶身份認(rèn)證和特定密碼。這個(gè)規(guī)定加上一些具體的細(xì)則，來(lái)保證企業(yè)用戶在授權(quán)下許可進(jìn)入系統(tǒng)。風(fēng)險(xiǎn)管理戰(zhàn)略和政策的制定包括如下內(nèi)容：程序：1、企業(yè)知識(shí)資產(chǎn)保護(hù)程序；2、新技術(shù)評(píng)估策略；3、信息技術(shù)相關(guān)鳳險(xiǎn)的評(píng)估、管理和監(jiān)測(cè)責(zé)任；4、傳達(dá)信息技術(shù)和相關(guān)風(fēng)險(xiǎn)，指定共同商業(yè)風(fēng)險(xiǎn)語(yǔ)言；應(yīng)用：1、系統(tǒng)更新生命周期的標(biāo)準(zhǔn)；2、設(shè)計(jì)與購(gòu)買軟件的決策；數(shù)據(jù)管理：1、數(shù)據(jù)所有權(quán)；2、數(shù)據(jù)庫(kù)的設(shè)計(jì)和管理；3、專有數(shù)據(jù)的使用與保護(hù)；4、員工、客戶及其他人員所擁有數(shù)據(jù)使用與保護(hù)；平臺(tái)：1、支持硬件和軟件平臺(tái)的各項(xiàng)標(biāo)準(zhǔn)；2、確定平臺(tái)規(guī)劃、設(shè)計(jì)、支持與保險(xiǎn)的責(zé)任；網(wǎng)絡(luò)：1、經(jīng)授權(quán)的賣方與服務(wù)／產(chǎn)品規(guī)格；2、網(wǎng)絡(luò)規(guī)劃、設(shè)計(jì)支持與保險(xiǎn)的責(zé)任；實(shí)際設(shè)施：1、確定信息處理地點(diǎn)和設(shè)備的所有者責(zé)任；2、電腦和業(yè)務(wù)范圍外信息內(nèi)容的保護(hù)；3、政策的維護(hù)與支持；政策制定還應(yīng)包括一些保證政策得到落實(shí)的一些程序訓(xùn)練和培養(yǎng)人才程序?qū)τ?jì)算機(jī)和網(wǎng)絡(luò)技術(shù)結(jié)構(gòu)進(jìn)行管理的程序；對(duì)應(yīng)用系統(tǒng)或技術(shù)環(huán)境變化進(jìn)行管理的程序；增加、改變或刪除用戶進(jìn)入系統(tǒng)的程序；利用輔助平臺(tái)等支持用戶的程序；制訂和檢驗(yàn)業(yè)務(wù)持續(xù)性計(jì)劃的程序。任何商業(yè)風(fēng)險(xiǎn)，如果是系統(tǒng)中的一個(gè)或多個(gè)層次時(shí)，就必須制定相應(yīng)的策略主動(dòng)地采取相應(yīng)程序進(jìn)行有效的管理。硬件設(shè)施網(wǎng)絡(luò)平臺(tái)數(shù)據(jù)應(yīng)用流程戰(zhàn)略規(guī)劃結(jié)構(gòu)界定流程監(jiān)測(cè)配置管理第十七頁(yè)，共二十三頁(yè)。二、系統(tǒng)配置的管理由于信息技術(shù)的不斷發(fā)展，新技術(shù)不斷出現(xiàn)，企業(yè)要根據(jù)需要，不斷升級(jí)系統(tǒng)程序，采用最新的信息技術(shù)集成到現(xiàn)有流程中，以保證企業(yè)戰(zhàn)略目標(biāo)和政策的持續(xù)性，這樣才能確保相關(guān)商務(wù)風(fēng)險(xiǎn)的控制。統(tǒng)配置包括如下內(nèi)容：程序信息技術(shù)風(fēng)險(xiǎn)預(yù)警方案新雇員在信息技術(shù)風(fēng)險(xiǎn)中的地位及職責(zé)商業(yè)持續(xù)性計(jì)劃和關(guān)鍵業(yè)務(wù)流程的退出方案應(yīng)用新系統(tǒng)應(yīng)用中的用戶定位程序批準(zhǔn)并實(shí)施應(yīng)用系統(tǒng)轉(zhuǎn)變的權(quán)利界定數(shù)據(jù)管理數(shù)據(jù)庫(kù)改革的程序與責(zé)任顯示、訓(xùn)練和維持?jǐn)?shù)據(jù)存儲(chǔ)與數(shù)據(jù)開發(fā)系統(tǒng)事態(tài)監(jiān)測(cè)平臺(tái)促使用戶轉(zhuǎn)用標(biāo)準(zhǔn)平臺(tái)的程序文本控制管理程序和軟件更新、分配程序制定保持和檢測(cè)復(fù)蘇計(jì)劃的程序進(jìn)入控制管理程序與任務(wù)網(wǎng)絡(luò)網(wǎng)絡(luò)結(jié)構(gòu)、運(yùn)行及安全性管理的程序?qū)嶋H設(shè)施信息技術(shù)設(shè)備工作地點(diǎn)的安全結(jié)構(gòu)必要的能源設(shè)施和環(huán)境控制設(shè)施的安置硬件設(shè)施網(wǎng)絡(luò)平臺(tái)數(shù)據(jù)應(yīng)用流程戰(zhàn)略規(guī)劃結(jié)構(gòu)界定流程監(jiān)測(cè)配置管理第十八頁(yè)，共二十三頁(yè)。三、流程監(jiān)測(cè)系統(tǒng)動(dòng)態(tài)監(jiān)測(cè)系統(tǒng)是用來(lái)識(shí)別企業(yè)商務(wù)運(yùn)作過(guò)程及網(wǎng)絡(luò)商業(yè)環(huán)境中的變化，一些變化可能會(huì)逐漸破壞風(fēng)險(xiǎn)控制的有效性。如，企業(yè)原有一個(gè)系統(tǒng)災(zāi)難恢復(fù)計(jì)劃，由于商務(wù)的運(yùn)作，商業(yè)數(shù)據(jù)的增加，一年以后可能就不能按原計(jì)劃在系統(tǒng)中恢復(fù)數(shù)據(jù)庫(kù)等。這可能帶來(lái)巨大的商業(yè)風(fēng)險(xiǎn)。這就需要?jiǎng)討B(tài)監(jiān)測(cè)系統(tǒng)來(lái)監(jiān)測(cè)系統(tǒng)狀態(tài)，保證能及時(shí)性調(diào)節(jié)系統(tǒng)程序。風(fēng)險(xiǎn)管理動(dòng)態(tài)監(jiān)測(cè)系統(tǒng)如下：程序?qū)ν獠口厔?shì)及信息技術(shù)相關(guān)事態(tài)的監(jiān)測(cè)任務(wù)界定如下：技術(shù)市場(chǎng)與競(jìng)爭(zhēng)法律和規(guī)章應(yīng)用監(jiān)測(cè)應(yīng)用系統(tǒng)出錯(cuò)概率、數(shù)據(jù)質(zhì)量特殊情況等的程序；數(shù)據(jù)管理有關(guān)數(shù)據(jù)存儲(chǔ)能力、成本質(zhì)量和安全性的趨勢(shì)與事態(tài)的監(jiān)測(cè)程序平臺(tái)對(duì)系統(tǒng)運(yùn)行能力、費(fèi)用、質(zhì)量及安全性的有關(guān)趨勢(shì)與事態(tài)進(jìn)行評(píng)估的程序網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)容量費(fèi)用、質(zhì)量及安全性的相關(guān)趨勢(shì)與事態(tài)進(jìn)行評(píng)估的程序?qū)嶋H設(shè)施對(duì)工作地點(diǎn)重置的效果及信息技術(shù)設(shè)備與設(shè)施的物理結(jié)構(gòu)的改變進(jìn)行了評(píng)估的責(zé)任硬件設(shè)施網(wǎng)絡(luò)平臺(tái)數(shù)據(jù)應(yīng)用流程戰(zhàn)略規(guī)劃結(jié)構(gòu)界定流程監(jiān)測(cè)配置管理第十九頁(yè)，共二十三頁(yè)。四