那么如何整體的去控制IT的風(fēng)險(xiǎn)呢�����?我這里畫(huà)了一個(gè)圖:
在這里我們要引進(jìn)一些國(guó)際上最標(biāo)準(zhǔn)的一些實(shí)踐�,比如信息安全管理���,把安全變成一個(gè)標(biāo)準(zhǔn),按照標(biāo)準(zhǔn)去做���,我們現(xiàn)在講安全就是防火墻���,可能你想不全���,國(guó)際上現(xiàn)在有一個(gè)標(biāo)準(zhǔn)他想的就很全面,他從方面考慮安全��,按照這個(gè)去做���,不會(huì)有很大的偏差���;IT服務(wù)管理,比如IT流程如何去規(guī)劃��,也可以有一個(gè)國(guó)際的標(biāo)準(zhǔn)ITIL�����,或者行業(yè)更佳的實(shí)踐�,把運(yùn)維如何組織好���,把服務(wù)遞交出去��,達(dá)到這個(gè)要求���,還有別的項(xiàng)目管理控制等等���。都可以在不同的階段你把它引入進(jìn)來(lái),最后我們應(yīng)該形成一個(gè)PDCA���,報(bào)謂PDCA就是檢查控制��,技術(shù)審計(jì)�����。這樣的一個(gè)框架可能是控制風(fēng)險(xiǎn)高度性的�,有一定基礎(chǔ)的���,這么一個(gè)框架���。而且這個(gè)框架我們正在實(shí)踐當(dāng)中。
做的時(shí)候也未必是從頭來(lái)��,可能就是從哪先下手��,比如先從安全下手,運(yùn)維然后不斷的與其領(lǐng)導(dǎo)溝通��,IT搞好���,你現(xiàn)在的治理結(jié)構(gòu)不合理呀����,因?yàn)檫@事情不是一件容易的事�,讓領(lǐng)導(dǎo)去接納,然后成立這樣的一個(gè)組織���,把這樣的功能賦予IT����,不是一件容易的事�����。要慢慢的去做���,這里面可以分步的去做����。因?yàn)闀r(shí)間的原因不具體的太多的說(shuō)它了����。
最后,我在總結(jié)一下�,治理就是制度的安排,制度要解決的問(wèn)題是對(duì)什么東西進(jìn)行決策�����,IT的原則構(gòu)架�����、基礎(chǔ)設(shè)施����、業(yè)務(wù)需求、IT投資等�,這些事到底誰(shuí)來(lái)管,以前講人治���,人治就是領(lǐng)導(dǎo)來(lái)辦���,或者技術(shù)人員說(shuō)的算��,實(shí)際上都不對(duì)����。一種好的治理不同的方面有不同的模式��,有的技術(shù)人員一起談����,有的可能就說(shuō)算了,領(lǐng)導(dǎo)要說(shuō)了這個(gè)事情要研究�,我們要把這些流程通過(guò)最佳實(shí)踐把它管理起來(lái),現(xiàn)在信息管理好的比如就是IT服務(wù)管理ITIL�����,我們要把好的國(guó)際上的最佳實(shí)踐把它引用過(guò)來(lái)���,到我們IT風(fēng)險(xiǎn)控制里來(lái)��,在加上一些比如企業(yè)數(shù)據(jù)化操作���,業(yè)務(wù)連續(xù)性,IT項(xiàng)目管理等等。
一般來(lái)講企來(lái)要把IT風(fēng)險(xiǎn)控制框架建好�,治理機(jī)制完善起來(lái),是需要分步去走的���。第一步就是分步規(guī)劃架構(gòu)設(shè)計(jì),即使以前沒(méi)做過(guò)這事��,回過(guò)頭來(lái)做也不晚�����,通過(guò)業(yè)務(wù)建模和IT架構(gòu)規(guī)劃設(shè)計(jì)等把其功能完善�����,第二步完IT治理�����,達(dá)到初步的控制���,第三要進(jìn)行量化管理��,要做到精細(xì)控制����,要分幾年去實(shí)施的。企業(yè)信息化一定要建立游戲規(guī)劃�����,信息系統(tǒng)與業(yè)務(wù)之間脫節(jié)��,要建立一個(gè)技術(shù)委員會(huì)�,由最高領(lǐng)導(dǎo)參預(yù)來(lái)進(jìn)行討論的, 最后確保IT的出發(fā)點(diǎn)和歸宿���,IT不是玩的一定要為企業(yè)創(chuàng)造價(jià)值����,出發(fā)點(diǎn)歸宿一定是這一點(diǎn)�。
實(shí)際上這個(gè)框架就是一個(gè)COSO的控制框架,我們今天不詳細(xì)講�����。這個(gè)框架有很多的IT的東西��。IT風(fēng)險(xiǎn)管理框架的目標(biāo)就是完善IT風(fēng)險(xiǎn)控制體系���,降低IT成本�,實(shí)現(xiàn)IT與企業(yè)戰(zhàn)略、管理���、業(yè)務(wù)�、安全的深度融合�,使IT為企業(yè)持續(xù)地創(chuàng)造價(jià)值,有效率并有效果地進(jìn)行信息化��。IT風(fēng)險(xiǎn)管理框架的原則就是建立IT治理機(jī)制����,使IT治理成為公司治理的一部分����,在組織的最高決策層上對(duì)信息化的進(jìn)行監(jiān)管與制衡。
這些東西做好要把他變成一個(gè)風(fēng)險(xiǎn)管理體系�,IT人員一般講什么設(shè)備,這樣是不對(duì)的��,我們發(fā)現(xiàn)很多事要做好呀還是要回到管理上來(lái)���,用管理理念來(lái)梳理這些好的理念���,如PDCA����,做什么事要先有計(jì)劃�,計(jì)劃好了去做,做完檢查�����,檢查完要更改�����,實(shí)際上一個(gè)循環(huán)�����,首先要把IT治理和風(fēng)險(xiǎn)的框架搭建起來(lái)�����,首先要完善IT治理的結(jié)構(gòu)��,就是在戰(zhàn)略方面IT的事不要IT部門(mén)自己說(shuō)了算���,一定要放到公司的層面上來(lái)�����,老板呀?jīng)Q策人等都要來(lái)參與��,IT做好你也不能脫離業(yè)務(wù)�����,脫離業(yè)務(wù)是兩回事���,那也做不好�����,所以業(yè)務(wù)上管理上要梳理,比如你對(duì)業(yè)務(wù)需求的識(shí)別���,業(yè)務(wù)需求要敏銳�����,不要關(guān)在家里閉門(mén)造車�,否則你的IT又是兩層皮。
還有就是業(yè)務(wù)的建模和數(shù)據(jù)的標(biāo)準(zhǔn)化����,制定好了一定要把數(shù)數(shù)據(jù)化,模型化標(biāo)準(zhǔn)化�,這個(gè)與IT建設(shè)還無(wú)有什么關(guān)系,是技術(shù)性的工作�,在技術(shù)上在做一套IT的規(guī)劃,規(guī)劃的基礎(chǔ)上我們要樹(shù)立一些我們的業(yè)務(wù)流程�,IT的流程,我們可以把每個(gè)流程都樹(shù)立的清清楚楚����,他到底應(yīng)該怎么樣,比如做IT戰(zhàn)略規(guī)劃到底有幾個(gè)步奏呀�����,應(yīng)該怎么去做呀�����,建立這樣的一個(gè)框架出來(lái)�,這樣不會(huì)有大大偏差。
轉(zhuǎn)貼于:http://www.vanceur.cn
項(xiàng)目經(jīng)理勝任力免費(fèi)測(cè)評(píng)PMQ上線啦���!快來(lái)測(cè)測(cè)你排多少名吧~
http://www.vanceur.cn/pmqhd/index.html
