認(rèn)識來談的��,我主要從理論的角度談?wù)勎业睦斫?。目前來看����,銀監(jiān)會對于IT風(fēng)險的定義是比較全面的����,它符合當(dāng)今世界全面風(fēng)險管理的發(fā)展趨勢,是一個全生命周期的風(fēng)險�����。而IT風(fēng)險管理目前在研究和實踐中都還沒有一個統(tǒng)一的定義����。
在我看來�,IT風(fēng)險管理����,已經(jīng)從狹義的IT技術(shù)風(fēng)險發(fā)展到了IT全生命周期管理的階段��,因此����,IT風(fēng)險管理也可以稱為“IT全面風(fēng)險管理”。綜合比較主流的IT風(fēng)險管理定義����,不妨可以對IT風(fēng)險管理給出這樣的定義,所謂IT風(fēng)險管理是指圍繞信息化戰(zhàn)略目標(biāo)�����,通過在信息系統(tǒng)的規(guī)劃、開發(fā)與建設(shè)��,運行與維護��,監(jiān)控與評價管理的各個階段中執(zhí)行風(fēng)險管理的基本流程�,包括風(fēng)險管理策略制定���、風(fēng)險識別�、風(fēng)險評估���,進而選擇適當(dāng)?shù)奶幚矸椒右钥刂?����、處理�����,達到信息化可持續(xù)發(fā)展的目標(biāo)�����。
三位的表述雖然略有不同���,但是都談到了IT風(fēng)險與業(yè)務(wù)的關(guān)系����。是不是只有當(dāng)企業(yè)的業(yè)務(wù)與IT足夠緊密時�,才會考慮IT風(fēng)險管理?王宇文:在信息化發(fā)展的初期,信息系統(tǒng)使用得比較少�,這種情況下,產(chǎn)生風(fēng)險的概率自然比較低�����。因為大部分的業(yè)務(wù)流程與IT都是脫離的��,不論IT的狀況如何�,業(yè)務(wù)都能照常進行,從業(yè)務(wù)角度來看��,IT帶來的潛在風(fēng)險就微乎其微�����。隨著業(yè)務(wù)流程對IT依賴程度的不斷加深����,IT的作用變得越發(fā)明顯����,IT可能對業(yè)務(wù)帶來的潛在風(fēng)險也就會更多��,相比之下��,這時候IT風(fēng)險管理也就顯得更加重要����。
但是���,并不是說只有信息化發(fā)展到業(yè)務(wù)與IT足夠緊密時�,才應(yīng)該考慮IT風(fēng)險管理��。在信息化的前期����,雖然信息系統(tǒng)比較少,仍然需要適當(dāng)考慮IT風(fēng)險管理����,因為風(fēng)險的規(guī)避更多的是未雨綢繆的工作�����。
從中海油的經(jīng)驗來看��,也確實是這樣����,IT系統(tǒng)建設(shè)的時候�����,我們就同步把很多風(fēng)險管理和內(nèi)部控制的內(nèi)容考慮進去����,這樣做顯然比IT做完了再去考慮風(fēng)險和內(nèi)控,進而對IT進行改造�����,要更有優(yōu)勢�����。
業(yè)務(wù)流程是企業(yè)戰(zhàn)略落地的具體實現(xiàn)�����,IT系統(tǒng)就是業(yè)務(wù)流程的自動化,IT風(fēng)險管理就是流程風(fēng)險管理的一部分�,而IT系統(tǒng)本身也是降低業(yè)務(wù)流程風(fēng)險的手段。目前���,國際OCEG組織提出的GRC框架也定義了IT系統(tǒng)在企業(yè)治理����、風(fēng)險及合規(guī)管理中的作用和標(biāo)準(zhǔn)�。
王東紅:“只有當(dāng)企業(yè)的業(yè)務(wù)與IT足夠緊密時,才應(yīng)該考慮IT風(fēng)險管理��,”這句話看起來有些道理�,卻很不全面��。IT風(fēng)險,不僅是IT本身的風(fēng)險�,IT對企業(yè)的流程、戰(zhàn)略等都會造成潛在風(fēng)險����,只要一部分流程依賴于IT,就有可能產(chǎn)生這種風(fēng)險�����。另外��,在信息系統(tǒng)建設(shè)初期,雖然業(yè)務(wù)與IT的緊密程度很低����,但是這時候往往是企業(yè)對信息化建設(shè)進行大規(guī)模投資的時候,這些IT投入的產(chǎn)出也是有風(fēng)險存在的�����,這也是IT風(fēng)險的一部分����。
景忠:是否應(yīng)該考慮IT風(fēng)險管理,我覺得這其中更多地與企業(yè)的業(yè)務(wù)類型有關(guān)�。如果企業(yè)的業(yè)務(wù)雖然密切依賴IT,但是如果業(yè)務(wù)能夠承受IT停頓帶來的風(fēng)險��,那么�,不考慮IT風(fēng)險管理也可以���。同時,還要與IT風(fēng)險管理本身所產(chǎn)生的成本進行權(quán)衡��。
IT風(fēng)險包括的內(nèi)容很多��,在信息化發(fā)展的不同階段���,可能IT風(fēng)險管理的側(cè)重點會不同�����,比如大規(guī)模建設(shè)時期�����,可能重點更多的是放在IT投入的風(fēng)險上����,而當(dāng)大規(guī)模建設(shè)初步結(jié)束之后�,更多的是從維護業(yè)務(wù)穩(wěn)定等方面考慮IT風(fēng)險�。
對IT風(fēng)險進行管理的前提���,是先識別IT風(fēng)險��。在識別IT風(fēng)險方面�����,民生證券有哪些做法?
景忠:證券行業(yè)的特殊性讓我們對風(fēng)險管理一直非常重視,IT風(fēng)險管理也是整個風(fēng)險管理工作中非常重要的一部分�。從目前的組織架構(gòu)來看��,涉及到 IT風(fēng)險管理的主要有IT決策委員會����、風(fēng)險管理部和信息技術(shù)部。IT決策委員會主要從戰(zhàn)略發(fā)展的高度對IT投入進行把控����,降低I