IT风险管理论文

IT风险管理论文（精选12篇）

IT风险管理论文 第1篇

随着移动互联网、物联网、大数据时代的到来,云计算业务迅猛发展,企业的业务数据越来越集中,这就要求IT组织(不管它是企业内部的还是外部的)提供更加安全、可靠的服务,并在提升服务质量的同时,降低维护成本。

为此,IT组织应以服务的生命周期为主线,按需设计服务,并确保服务设计与组织内的各职能单元无缝集成。建立以流程为核心的服务管理体系,在职能构架上实行流程式管理,提供专业化、标准化、规范化的服务。通过IT服务管理平台的建设,规范服务支撑各关键流程的运作,提高服务运营的可视化,为服务质量改进和成本控制提供依据。

2 建设基于ITIL的服务管理体系

IT服务管理的核心思想是,IT组织的主要工作就是提供低成本、高质量的IT服务。而IT服务的质量和成本则需从(购买IT服务的)客户和(使用IT服务的)用户方加以判断。IT组织实施IT服务管理的根本目标有三个:(1)以客户为中心提供IT服务;(2)提供高质量、低成本的服务;(3)提供的服务是可准确计价的。

2.1 ITIL

ITIL提供了IT组织实施IT服务管理的框架指南,涉及流程、功能定义及组织机构等。IT组织通过ITIL的实践,优化业务流程、提高效率,提高IT服务价值和用户满意度。

ITIL生命周期模型由面向流程的ITIL V2发展而来,定义了服务战略、服务设计、服务转换、服务运营和服务改进五个模块。其对应的主要流程模块如图1所示。

2.2 BISL、ASL与ITIL

ITIL定义了IT基础设施的运营管理的框架,BISL(业务信息系统管理库)和ASL(应用服务库)则定义了IT业务管理和应用管理的框架。

图1 ITIL流程模型

IT组织需将三者有机结合起来,才能定义完整的IT服务管理体系,三种框架的结合见图2。

图2 IT服务管理的三种框架

2.3 IT服务管理体系建设

IT组织以IT服务管理的三种框架为依据,根据服务价值链模型进行IT服务管理体系规划,主要包括六方面的内容:

(1)分析业务市场,明确服务需求,确定服务规模、范围及服务等级。

在进行竞争对手及监管策略的分析后,确定细分市场及目标市场。通过业务梳理,明确组织的业务目标,并进行IT服务规划。

(2)根据产品及业务策略,进行能力和资源的分析,制定成本收益目标及服务质量目标。进行服务能力体系的建设,明确服务级别管理要求,从而制定服务监控及服务支持要求,并建立服务运营流程。

(3)建立统一受理平台,受理用户服务请求。

(4)针对不同客户,进行服务支撑方案设计,明确服务运营流程。其中,基本的服务运营流程包括:

●IT服务过程管理:服务受理、故障管理、问题管理、变更管理、发布管理、配置管理、服务级别管理及安全管理等;

●IT服务资源管理:服务级别管理、知识管理、供应商管理、备品备件管理等;

●日常运行维护体系:服务监控、日常支撑操作等。

(5)建立通用技术保障体系,为服务提供技术保障。

(6)建立服务评价机制,并持续进行服务改进。

IT服务管理体系架构见图3。

图3 IT服务管理体系架构

3 IT服务管理平台

3.1 平台规划

IT组织在建立IT服务管理框架后,基于人工方式及纸质表单运行的IT服务管理体系,各个流程之间数据无法共享,导致流程效率低下,不利于业务的规模增长,且管理人员无法从现有的业务数据中提供有效的支撑用于业务决策(图4a),要求IT组织通过IT服务管理平台建设及应用,规范IT服务管理流程及数据,确保服务数据在各个流程中的共享,从而提高IT运营效率和服务质量(图4b)。

图4 IT服务管理平台实施前后数据流图

IT服务管理系统作为IT服务过程的管理工具,其建设目的是依据IT组织的服务管理体系要求,对服务交付过程进行管理,从而实现组织的IT服务目标。这些交付过程包括:日常运行维护管理、IT运营管理过程、服务过程的记录、测量、监督和评估等。根据IT服务管理框架,进行服务支撑流程、服务支撑组织、服务管理对象的梳理,明确各流程之间的关系、界面,并对服务支撑各环节产生的信息进行分析规范,规划IT服务管理平台的基本架构(如图5所示)。

●用户界面层:是用户访问平台的界面,可根据不同用户的权限及应用访问需求展示不同的用户视图;

●应用层:应用层实现统一接入、一点受理的功能。实现基于服务级别管理的事件管理、故障管理、问题管理、变更发布管理、资产配置管理等服务管理过程的管理。

●基础架构层:为应用层提供基本的数据管理、工作流引擎及基础配置信息管理,并提供API(应用程序编程接口)。

图5 IT服务管理系统架构图

●接口层:实现与监控系统、自动巡检系统及其他第三方系统的接口。

3.2 系统实现

(1)平台基本技术要求

IT服务管理平台在实现和部署方面,应该满足以下几个方面的基本技术要求:

●能够对包括网络系统、主机系统、存储/备份系统、应用系统、终端系统、安全系统、机房动力及环境等资源进行集中统一管理。

●系统结构清晰,能够采用层次化、模块化的设计理念,各功能模块功能独立、松耦合,而系统整体功能完备,便于客户根据需求自由组合。

●系统应具有较强的开放性和扩展性,通过插件体系和数据交换接口,可平滑地扩展系统功能并与第三方产品进行集成。

●能支持各类通用的硬件和操作系统平台。

●可对管理信息进行综合展现,可以根据用户需求定制个性化业务窗口,可支持定制化二次开发。

●满足系统使用过程中容量和效率的要求。

(2)平台开发框架

依据IT服务管理平台,确定平台开发框架采用JAVA技术,与主流平台及数据库兼容。基于模块化架构开发,通过应用API接口实现应用层对数据层的访问,具有良好的可伸缩性和可扩展性,并可根据客户需求进行快速业务部署,满足产品化需要。

系统在软件架构分为五层(见图6)。

图6 系统技术架构图

第一层为展示层,负责处理与用户的交互;

第二层为控制层,负责接收和处理展示层的数据;

第三层为业务层,负责处理系统功能业务逻辑,该层根据功能业务需要,与流程引擎、计划任务调度引擎进行交互;

第四层为缓存层,负责与缓存系统交互;

第五层为数据层,负责与数据库系统交互。

软件架构采用面向对象的设计方式进行整体设计,将业界经典的设计模式引入其中,通过细粒度的分层构架,每层各负其职,互不干扰,达到松耦合的设计目的,将系统功能的变更影响降到最低,使系统更易扩展、更易维护。

(3)流程引擎技术

采用自主研发的流程引擎组件,安全、稳定、灵活、可靠,具备二次开发能力。

●界面友好的可视化流程设计界面,支持拖拽操作;

●支持丰富的流程语义及节点类型;

●支持基于规则引擎的路径选择功能;

●工作流引擎采用先进的核心架构设计,支持分布式部署方式,支持水平扩展,可提供高可用、高性能的服务。

(4)接口管理

基于SOA(面向服务的体系架构)实现,系统中的每个最小执行单元都可以以服务的方式对外提供访问能力;系统提供丰富的对外接口协议,包括:webservice、socket、Restful API、基于数据库级的接口(DBLink、接口表)等,通过这些常用、标准的协议可以方便地与外系统进行数据交换。数据交换格式支持结构化文本(csv、json、xml)等。

4 IT服务管理平台在IT服务管理中的应用分析

笔者所在公司作为电信级的IT外包服务提供商,基于ITIL、ISO 20000、ISO 27001、ASL、BISL等国际标准体系,建立了成熟的IT服务体系,覆盖服务响应、服务交付和服务管控的全过程。在此基础上,依据自身业务特点及服务能力,建设应用IT服务管理系统,实现了电子化的服务流程定义、服务协议管理及服务监督管理等。

通过服务及运维管理过程的电子化闭环管理,实现生产运营的可控性。

该平台实现对服务支撑情况的可视化分析,帮助管理人员进行服务成本分析及服务质量考核,从而进行服务质量和流程的优化改善。

该平台依据主流的IT服务标准建设,具有良好的可伸缩性和可扩展性,可根据客户需求进行快速业务部署,具有良好的市场推广价值。

该平台已在联通集团、联通黑龙江分公司等ITO项目中部署使用,提高了服务及运维管理水平和效率并降低运维成本,提高了客户服务质量及满意度。

参考文献

[1]波恩(荷).IT服务管理国际标准体系[M].北京:清华大学出版社.2009.

[2]Mauricio Salatino.j BPM6 Developer Guide[M].UK:Packt Publishing Limited,2014.

[3]高杰.深入浅出j BPM[M].北京:人民邮电出版社,2009

[4]Frank Niessink,Hans van Vliet.Vrije大学IT服务能力成熟度模型[C/OL].荷兰阿姆斯特丹:Vrije大学.1999.(2015-03-17)[2016-08-24].http://doc.mbalib.com/view/a9b4dfaa25f2f56e40ca46af8666d5bf.html.

IT服务管理 第2篇

——ITSM的企业应用浅析

IT服务管理（IT Service Management，ITSM），是一套面向过程、以客户为中心的规范的管理方法，它通过集成IT服务和业务，协助企业提高其IT服务提供和支持能力。ITSM的本质是一套方法论，即帮助企业对IT系统的规划、研发、实施和运营进行有效管理的高质量方法论。IT服务管理结合了高质量服务不可缺少的流程、人员和技术三大要素——标准流程负责监控IT服务的运行状况，人员素质关系到服务质量的高低，技术则保证服务的质量和效率。这三大关键性要素的整合使ITSM 成为企业IT管理人员管理企业IT系统的法宝和利器。

IT服务管理的国标标准是ITIL，ITIL是英国政府中央计算机与电信管理中心（CCTA）于1980年开发的一套IT服务管理标准库，旨在解决IT服务质量不佳的情况。ITIL所强调的核心思想是应该从客户（业务）而不是IT 服务提供方（技术）的角度理解IT 服务需求。ITIL标准独立于任何厂商，且基本与组织性质和业务性质无关，另外其只总结IT服务管理领域最重要的实践部分。可以说ITIL只是IT服务管理实践的合理抽象，它仅明确指出应该做什么，但不讲如何做。当企业或其它组织具体实施ITIL时，就可以把标准具体化，建立自己的方法论。企业在运用含有质量管理思想的ITIL所提供的流程和最佳实践进行内部IT服务管理时，不仅可以提供用户满意的服务从而改善客户体验，还可以确保这个过程在符合成本效益规则的基础上位企业创造价值和利润。

IT服务管理不同于传统IT管理的最重要的特征在于，ITSM强调IT和业务需求有效融合的同时注重IT投入的成本和效益。从信息系统建设前来看，IT服务管理需要针对组织业务和客户的可用性需求对IT基础架构配置进行合理的安排和设计，避免盲目的IT投资和重复建设；从信息系统运作以后来看，IT服务管理需要通过事件管理、问题管理等流程支持IT基础架构和组织业务的持续运作，保证IT资源的有效利用和业务运作的高可用性、高持续性和高安全性。IT服务管理将所有IT投入纳入统一核算，为考核IT服务的成本和效益提供了可靠的评价依据。

“三分技术，七分管理”是技术与管理策略在整个IT行业中各自重要性的体现，没有完善的管理，技术就是再先进，也是无济于事的。而作为IT效能管理的ITSM，是一种提高IT管理效能的工具。对于管理者来说，ISO9000是一个很熟知的质量管理标准；从通俗意义上讲，ITSM就是一个把企业规范的运作体系利用IT系统进行管理的一种标准体系。它是一个整和了全世界很多成功企业信息管理经验的知识库，通过对前人经验与企业自身业务需求的分析，帮助企业把纯粹的IT投资，成功转化成有序的信息管理模式。对于公司的管理阶层来说，ITSM是一种提高管理效能的工具。

ITSM作为一个高效管理工具，其具有以下三个特点：

① 共性——ITSM是一种基于ITIL标准的信息化建设的国际管理规范。ITIL体系提供了“通用的语言”，为从事ITSM的相关人员提供了共同的模式、方法和同样的术语，使用户和服务提供者通过有共性的工具深入讨论用户的需求，很容易达成共识。

② 中立——ITSM为IT管理提供了实施框架，这样可以让用户不会受制于任何单独的服务提供商。ITSM不针对任何特殊的平台或技术，也不会因下一代操作系统的发布而改变。

③ 实用——ITSM是一种以流程为导向、以客户为中心的方法，它在兼顾理论和学术的同时，非常注重实用和灵活。

正是由于这些显著的特点，ITSM得到了越来越多企业的认可和青睐。对一个企业来说，不管其IT架构多大，都需要ITSM。近几年来，随着IT系统和技术的不断复杂化，现代企业面临着巨大的危机和挑战。因而企业需要对整个IT系统进行全面有效的管理，保持IT基础架构的可靠性和可用性，以便支撑业务的正常运作，扭转被动的局面。IT部门在满足企业业务需求的同时，还要承受来自内部和外部的压力，因此必须控制IT系统的预算，降低IT成本。总之，企业的竞争压力是不允许企业有丝毫的动作迟缓，所以IT部门必须提高运作变化的灵活性和反应速度。基于以上各种因素给企业运营带来的高风险威胁，企业需要进行分析和回避，以免造成毁灭性的打击。

企业为了增强竞争优势确立了以客户为中心，对外开拓市场，对内降低成本的服务理念，IT服务管理必须能够紧扣客户需求和业务流程，从而确保IT作为一种服务模式帮助企业实现目标。同时，由于IT投入巨大，组织为了降低成本必须评估和控制IT投资。这都促使传统的以技术为中心的IT管理模式向以服务为中心的IT管理模式的转变。IT服务管理以流程为导向、以客户为中心，通过整合IT服务与组织业务，提高了组织提供IT服务和对IT服务进行支持的能力和水准。

IT服务管理的核心思想是：IT组织，不管它是组织内部的还是外部的，都是IT服务提供者。IT组织的主要工作就是提供低成本、高质量的IT服务。而IT服务的质量和成本则需由IT服务的客户(购买服务的人或组织)和用户(使用服务的人或组织)加以判断。IT服务管理是以服务为中心的IT管理，与传统以技术为中心的IT管理有着根本的区别。IT服务管理将传统管理的重点如各种技术管理工作等进行规范整合，形成典型的流程。当用户需要IT服务时，IT组织根据用户的需求将流程组合成用户特定的IT服务，然后灵活、及时、有效地提供给用户，这样有利于保证服务质量，准确计算有关成本。

另外，IT服务管理不能等同于ERP、CRM和SCM等业务信息系统，ERP、CRM和SPM等面向业务管理，而IT服务管理面向IT管理，重点是IT系统的运营和管理，是确保组织战略得到有效执行的战术性和运营性活动。IT服务管理主要任务是管理客户和用户的IT需求。技术管理如系统管理和网络管理是IT服务管理的重要组成部分。IT服务管理的主要目标不是管理技术, 而是如何有效地利用IT资源恰当地满足业务部门的需求。

IT服务管理作为一种新的IT管理方法和理念，目前正处于方兴未艾的发展期。全球已有超过1万家公司和多个政府部门成功实施了基于ITIL的IT服务管理。相比较而言，我国IT服务管理还处于发展初期。从事IT服务管理及相关领域研究、咨询和培训的公司的数量相对较少，相关出版物严重缺乏，还没有成立相关的行业协会或论坛，尚处于概念推广的阶段。另外，我们对基本的IT服务管理理念宣传和推广还不够，同时存在成功案例少且有部分“伪案例”的问题，因而国内企业在ITSM领域扮演的只是一个追随者的角色。在“三流企业做产品，二流企业卖服务，一流企业定标准”这个IT行业的规律面前，我国企业在国际环境中处于一个极为不利的位置。总体上来说，在IT服务管理领域，我国与国外存在着10年以上的差距，所以形势并不容乐观。

但是，中国作为发展中的大国，如何利用好国外IT服务管理的经验，是我国企业和政府正在探索中的问题。就目前我国企业信息化应用状况来看，越来越多的企业已经认识到IT服务的价值，并进行了多方面的探索和实践，可是其效果并不是很理想。造成这种状况的一个重要原因，是因为大部分企业提供IT服务的过程还停留在“粗放式”的阶段，缺少成熟有效的方法的指导。而ITSM作为一个在国际上发展多年并取得很大成功的领域，其所倡导的标准化方法和流程，为我们提供了一种较好的思路。我们应当充分发挥后发优势，在吸收国际的先进管理理念和方法的基础上，进一步开发符合我国企业情况的、有中国特色的IT服务管理体系。

目前，IT服务管理已经走出了传统的电信和银行两大行业，开始在各个行业得到推进，政府部门、能源、制造业、IT行业的客户，不断得到增加。

然而，对于ITSM的实施，很多企业还是局限在事件监控的阶段，谈不上真正意义上的IT 服务管理。这种局限，与企业对ITSM 的认识有关，它们常常身陷在ITSM 实施的误区中。总的来讲，企业实施ITSM存在两种误区：

一是按照ITIL 流程，规划公司整体系统、设定流程。虽然ITIL是基于实际应用得出的最佳实践，但是企业不结合自身的业务状况，盲目照搬，可能会使流程与业务不符。另外，高额的实施费用、较长的实施周期，容易让企业失去信心，这也是ITSM 推广的难点之一。

二是企业片面注重了ITSM 方案下“所见即所得”式的实施效果，却往往忽略了实施之后，是否真的解决了IT 运维方面的实际问题。因此，企业应在实施ITSM与企业风险之间找到一个平衡点，才能更好地发挥ITSM 作为IT运维部门的管理平台，联系IT 系统与业务流程的纽带，保证业务系统可靠地运行，提高IT系统的效率，让IT更好地服务于业务的作用。

经过前几年IT服务管理市场的培育，越来越多的组织和人员了解IT服务管理，知道ITIL 和ISO20000，不少组织开始尝试将IT服务管理相关理念、标准和方法运用到组织的IT 管理当中。开展ITIL、ISO20000 培训和咨询的组织日益增多，这将带来IT服务管理培训咨询市场一定程度的增长。

展望2011年，中国IT服务管理整个领域（包括标准、应用实施、软件、咨询培训和产品实施等）将欲发活跃，充满商机，同时，整个市场也是竞争激烈。

此外，在IT 服务管理系统市场，一方面新的业务需求甚至公司战略对I T提出新要求，例如法律法规遵从等；另一方面目前I T所运营的环境还是相当脆弱，IT环境越来越复杂，业务对技术发展的依赖性越来越高，频繁的业务需求变化，必须要求IT能够充分了解业务需求以适应业务的变化。因此，各个公司都在寻求通过I T服务管理的最佳实践降低成本并改善服务水平。

国内外各厂商都看到了中国I T服务管理市场的发展潜力，许多原来做网络监控软件厂商都欲进入该领域，而且纷纷宣称自己的产品符合ITIL标准，属于IT服务管理产品，因此，未来中国I T服务管理市场竞争者将会日益增加，市场也会更加活跃。

面对中国的I T服务管理市场庞大的市场空间，如何能够迅速进驻并占据一定的市场份额，对于提供解决方案的厂商来说，需要在研究客户需求、提高产品技术水平的同时，还要针对中国企业的特点，增强以下几个方面的能力：一是支持I T管理提升和变革的能力。IT 服务管理产品要支持先进的管理模式和标准，厂商应具有一定的管理咨询服务能力，支持用户的管理变革和提升。同时，产品要具有一定的可扩展性和定制性，结合用户根据本企业的特点，支持定制化应用。二是实施服务能力。在系统实施上，厂商要具有实施服务能力，指导客户顺利实施系统。三是后期连续性的服务。IT 服务管理的实施和应用是一个分阶段的过程，需要不断更新和扩展，客户需要产品提供商能够提供后期连续性的服务。

IT项目风险管理理论与实践 第3篇

【关键词】IT项目；风险管理；理论与实践

我国在经济发展的今天，迫切需要利用现代先进的信息技术来促进我国经济社会的发展进步。现代企业已经不同于传统企业，现代企业在组成、运行、发展特征等方面都得到了巨大的进步，现代企业的发展也需要借助更加先进的技术，才能够达到更加高效的发展效果。在实际的IT项目风险管理工作中，各个企业遇到了许多问题，理论与实践不相符的现象非常普遍，不利于企业的发展进步。

一、IT项目管理现状

1.普遍性增加 我国的IT项目风险管理发生了一定的变化，相对于传统的IT项目风险管理来讲，其普遍性得到了很大的增加，我国各个企业在IT项目风险管理中投入的精力也得到了不同程度的增加，IT项目风险管理已经成为了各个企业在发展中必须进行的工作之一。就我国目前的发展情况来讲，我国的国际国内形势比较严峻，应当根据当前的发展形势，做出合理的调整，才能够促进我国的发展进步。IT项目风险管理工作普遍性的增加能够对我国的发展带来巨大的积极影响，促进我国社会的进步。

2.理论与实践不相符 在IT项目风险管理中，理论与实践受到了各个企业的高度重视。IT项目风险管理的理论与实践是关系到企业能否健康发展的重要问题，如果不能够得到正确科学的解决，就会阻碍企业的发展进步。在我国IT项目风险管理中，理论与实践不相符的问题依然存在，严重阻碍了我国企业的发展进步，我国企业针对这个问题，展开了调查研究，积极学习先进的经验，促进了IT项目风险管理问题的解决。在我国企业发展的将来，也应该进行不断的学习，才能够促进我国IT项目风险管理工作的科学化。

3.在改进中不断进步 我国现代企业的发展得到了许多动力，IT项目风险管理能够学习到许多经验，促进我国现代企业的发展进步。针对我国企业的IT项目风险管理，我国对其中出现的问题，采取了许多解决措施，除了学习更加先进的管理技术，还积极借鉴国外的经验与教训，促进了我国企业IT项目风险管理问题的解决，逐渐促进了IT项目风险管理理论与实践的统一。根据我国目前的发展情况来讲，我国企业的IT项目风险管理工作得到了巨大的进步，促进了企业的发展进步。在我国企业发展的将来，也应该不断积累发展经验，才能够促进我国企业的长远健康发展。[1]

二、IT项目风险管理实践特点

1.发展不成熟 在我国IT项目发展的早期，已经逐渐产生了IT项目风险管理的体系，这种体系在发展中不断进步，促进了IT项目风险管理体系的逐步完善。但是这种管理体系由于受到了诸多不利因素的影响，在发展中处于极大的不利地位，对于企业的发展来讲，也会产生消极作用，阻碍企业的发展进步。

2.不注重实践 在企业的IT项目风险管理工作中，既离不开理论工作，又需要高度重视实践工作。IT项目风險管理工作是一项具备长远发展利益的工作，对于企业的发展来讲，具备深远长久的意义。各个企业只有不断促进理论与实践工作的和谐统一，才能够促进企业IT项目风险管理工作朝着更加高效方向发展。

3.技术性低 我国IT项目风险管理涉及到许多方面，理论与实践问题是关系到企业的IT项目风险管理问题能否得到科学高效解决的重要因素之一。此外，在企业的IT项目风险管理工作中，技术性问题也受到了广大人民的重视。这是因为在我国企业的IT项目风险管理中，存在许多思想上的偏差，只注重思想上的假设，而不考虑我国技术能否对IT项目风险管理起到支撑作用，对我国企业的发展带来了不利影响。我国企业的发展既需要在思想上做到科学牢靠，又需要在技术上得到稳固的动力。在实践的过程中，我国企业必须处理好思想与技术两方面的问题，才能够促进我国企业IT项目风险管理工作水平的提高。[2]

三、IT项目风险管理理论与实践发展策略

1.进行软件开发 我国企业的IT项目风险管理需要促进理论与实践的统一，才能够对企业的发展起到积极意义。针对目前我国企业的IT项目风险管理中理论与实践不相符的问题，根据实际情况，进行风险管理的软件开发，是各个企业推荐的管理方法之一。这种IT项目风险管理方式已经得到了高度的重视，并且在实践活动中得到了检验。软件开发是当前我国企业IT项目风险管理中需要采取的重要措施之一，各个企业首先应该在思想上对此给予足够的重视。

2.注重步骤 我国企业IT项目风险管理工作需要注重工作步骤，这样才能够更好地促进理论与实践的相统一。在具体的IT项目风险管理工作中，首先应该对项目风险进行评估，对于理论与实践的统一问题，也应该进行合理的预测，注重工作步骤。为了完善企业的IT项目风险管理体系，应该提前设想企业的IT项目风险管理的完善工作需要的具体时间，进而在实际的管理工作中促进理论与实践的统一。促进我国企业的发展进步。

3.注重实践 我国企业的IT项目风险管理工作需要更加注重实践，才能够促进IT项目风险管理工作水平的上升。此外，借助外部经验，促进我国企业IT项目风险管理体系的不断完善，也是我国企业发展中需要做出的工作步骤之一。各个企业的发展能够促进我国经济社会的发展进步，各个企业需要利用内部与外部的有利因素与有利条件，不断克服阻碍自身发展的不利因素，促进IT项目风险管理工作水平的提升。

参考文献

[1]李浩良.IT项目风险管理理论与实践探讨[J].电脑知识与技术，2015，19：52-53.

IT风险管理论文 第4篇

一、IT风险管理框架的主要内容

框架提出了六大IT风险管理原则:与经营目标保持一致、对IT相关经营风险的管理应与全面ERM (企业风险管理) 相匹配、平衡IT风险的管理成本与效益、建立清晰而广泛的IT风险沟通机制、定义与强化各主体在已设定可接受风险容忍度范围内的执行责任时要从企业最高层设定正确的基调、IT风险管理是一个持续不断的过程并成为企业日常活动的组成部分。在框架中, IT风险被定义为经营风险, 并被划分为三大类:IT利益/价值能力方面的风险、IT规划与项目建设方面的风险、IT系统运行维护及服务方面的风险。

IT风险管理框架包括总体框架和实务指南。总体框架被划分为三个域:风险治理、风险评估和风险应对, 在风险治理域中, 定义了风险偏好、风险容忍度、规定了IT风险管理的相关责任主体的责任、风险意识、沟通与交流、风险文化;在风险评估域中, 描述了业务影响和风险情景;在风险应对域中, 规定了关键风险指标、对风险应对进行了定义、确定风险应对的优先次序。在上述三个域中, 每一个域都包括了三个过程模型, 其中, 风险治理包括建立并保持一个普遍的风险观、与ERM整合、做出有风险意识的企业决策三个过程;风险评估包括收集数据、风险分析、保持并随时更新风险清单三个过程;风险应对包括明确表达风险、管理风险、应对风险事项三个过程。其总体框架如 (图1) 所示。

资料来源:ISACA.The Risk IT Framework, 2009

上述九个过程的每个又分别包括多项关键活动, 关键活动的具体内容及其与COBIT及IT价值管理框架各项活动的联系在IT风险管理框架的每个过程模型中进行了详尽的描述。在过程模型中, 具体安排了四个方面的内容:一是对该过程进行说明;二是规定该过程的关键活动, 并建立每项关键活动的输入——输出对应表;三是为每个关键活动与相关责任主体之间建立RACI表 (R:负责人, A:问责即有一定责任, C:咨询, I:告知) ;四是定义了每个域的域目标、域度量指标、过程目标、过程度量指标、活动目标、活动度量指标。

IT风险管理框架为风险治理、风险评价、风险应对三个域分别提供了成熟度模型, 成熟度分为不存在、初始级、可重复级、已定义级、已管理级、优化级六个等级。在成熟度模型中, 对每一个等级进行了总描述, 并对每一个等级分别从意识与交流、责任与问责、目标设定及测量、政策及标准与程序、技能与专业知识、工具与自动化六个方面进行了详细描述。

二、IT风险管理框架与COBIT、IT价值管理框架的联系与区别

(一) IT风险管理框架与COBIT的联系与区别

1996年, COBIT作为一套专供企业经营者、IT专家、信息系统审计员与安全控制人员来强化和评估IT管理和控制的规范, 为IT的治理、安全与控制提供了一个一般适用的公认标准, 并辅助管理层进行IT治理。它已成为控制数据、系统和相关风险的优秀实践法则, 并逐渐被越来越多的用户所接受, 目前已更新到2007年的4.1版。COBIT通过设定一套最佳实践法则为“企业降低IT风险提供了方式或手段”, 而IT风险管理框架则建立了一个风险识别、治理及管理风险的框架, 体现的是最佳实践如何完成并实现, 为“企业管理IT风险提供了程序和方法”, IT风险管理框架基于COBIT, 同时是COBIT的补充和扩展, IT风险框架作为一个完整的框架, 在单独使用时也十分有效。

关于COBIT需要IT风险管理框架作为补充和扩展的原因, 我们可以从Treadway委员会的发起组织委员会 (COSO) 将1992年的《内部控制——整体框架》升级为2004年的《ERM——整体框架》的背景来认识。COSO的ERM定义为:“企业风险管理是一项持续性的过程, 由公司董事会、管理层和其它员工实施, 适用于策略制定和全公司范围, 可识别对公司有影响的潜在事项, 在风险承受能力以内管理风险, 为实现公司目标提供合理保障。”谢志华 (2007) 认为, 《ERM——整体框架》作为比《内部控制——整体框架》更高阶段的规范, 凸显了风险管理自身, 即把风险本身作为一个特定的要素进行管理, 以前的内部控制只是把风险控制作为一个控制目标。企业承受风险是必须的, “由于风险容忍度的形成, 风险控制就不仅仅是让风险不能发生, 而是在一定的条件下允许存在一定的风险”, 这样就需要“把风险本身作为一个特定的要素进行管理, 就必然涉及风险容忍度的设定、风险识别、风险评估和风险应对一个完整的风险管理过程。”IT风险管理框架正是把IT风险本身作为一个特定的要素进行管理的一个持续性过程模型, 而不是一年实施一两次, 强调了它是一个持续进行的过程, 以便企业能够实现设定的经营目标。

企业要生存和发展, 必须面对包括IT风险在内的各种风险, 管理层要管理IT风险, 需要识别可能对企业有影响的潜在事项, 在企业可能承受的风险范围内, 对IT风险进行处理和控制, 保证企业实现经营目标。IT风险管理框架的重大贡献是提供了对IT风险进行风险管理的原则、程序与方法, 能帮助企业更好地识别和控制风险, 从而将企业的IT风险控制在可以管理的范围之内。企业可利用该框架来帮助实施IT治理, 已经或打算采用COBIT作为其IT治理框架的企业可以用该框架来加强风险管理。

(二) IT风险管理框架、COBIT与IT价值管理框架的内在联系与区别

IT价值管理框架也以COBIT为基础, 它包含了IT投资评估选择相关的指导原则以及支持流程, 帮助企业从它们在信息技术和IT支持的变革上的投资中实现价值。企业的IT投资如能在行之有效的治理框架内运行良好, 就能够为企业提供创造价值的重要机会。相反, 如果没有高效的治理框架和良好的管理, 那么IT投资就会损毁价值。IT投资能带来高回报, 但前提是必须有正确的IT治理和管理模式。IT价值管理框架能够给领导人员提供清晰、切实可行的指导方针和配套措施, 此外, 它还能协助董事和管理层理解和执行自己在IT投资中扮演的角色。它也是对COBIT的扩展和补充, 它着眼于投资决定以及收益的实现, 而COBIT关注的是实行。

IT带来的风险和价值代表了硬币的两面, 所有企业都存在风险, 但必须达到一种平衡状态, 以避免破坏价值, 并确保不错过创造价值的机会。企业每个IT活动都包含风险和机会, 为了增加企业价值, 企业必须在经营中抓住各种机会, 而机会伴随着不确定性, 因此, 管理风险和机会已成为企业获取成功必须考虑的一项战略活动。IT风险管理与IT价值管理是对同一项IT活动的两个方面的管理, IT风险管理框架能帮助各级管理人员掌控风险, 以实现最大效益, 还有助于他们及时发现警示信号。在IT价值管理框架中, IT投资被当作组合投资来管理;IT投资包括各种能实现经营价值的活动;价值递送行为按重要的基本标准进行限定和监督, 并对任何变化和偏差做出及时回应;价值递送行为使得所有利益相关者参与其中, 并分配一定责任, 为效率和经营收益的实现负责;价值递送行为被持续监管, 评估及改进。IT价值管理框架有价值治理、组合管理、投资管理三个流程。IT风险管理框架与IT价值管理框架对同一项IT活动的管理是相互联系、相互补充的。它们都将IT活动与经营目标联系起来, 着眼于受托责任、平衡风险与价值。

综上所述, ISACA的IT风险管理框架、COBIT、IT价值管理框架共同构成了一个具有内在联系的IT风险控制总模型, 如 (图2) 所示:

资料来源:ISACA.The Risk IT Framework, 2009

三、ISACA的IT风险管理框架与其他框架或规范的比较与启示

(一) ISACA的IT风险管理框架与其他框架或规范的比较

ISACA的IT风险管理框架是首个IT领域的全面风险管理框架, 国际上还有许多其他风险管理框架或规范, 但是这些框架或规范要么是面向一般企业风险管理的, 只有一部分内容涉及到IT领域, 要么是专注于IT安全或服务方面的特定领域的, 所涵盖的IT领域范围有限, 因此, 至今都没有全面IT相关风险管理框架可用, ISACA发布的IT风险管理框架填补了这一空白。

与其他风险管理框架或规范相比, IT风险管理框架具有如下四个特征:一是适用性广泛, 目标受众包括企业最高执行层及需要指导或监控ERM的董事会成员、IT部门管理者及需要定义风险管理过程的业务部门、需要特殊IT风险指导的风险管理专业人员、外部利益相关者;二是涵盖了IT风险的所有方面, IT风险管理框架的原则参考了传统的企业风险管理框架或规范如COSO的《ERM——整合框架》 (2004) 、澳大利亚-新西兰的风险管理标准AS/NZS 4360 (2004) 、国际标准化组织的ISO 31000 (2009) 以及英国风险管理协会、保险和风险管理师协会以及公共部门风险管理协会的风险管理标准ARMS (2002) 的原则, 并将这些原则应用到专门的IT风险管理领域;三是它不是完全专注于某一特定IT领域的风险管理实践, 因而与现有的IT风险规范如国际标准化组织的ISO 20000 (2005) 、美国项目管理协会的PMBOK (2008) 、国际标准化组织的ISO 2700n (2005) 不同, 后三者分别专注于IT风险的某些特定方面如IT服务管理、IT项目管理、IT安全管理;四是提供了一整套最为完整而详尽的过程模型、实务指南及成熟度模型, 其他风险管理框架或规范都只包含了一部分内容。

(二) ISACA的IT风险管理框架对我国相关研究的启示

与国外的IT风险管理相关研究相比, 我国这方面的研究起步较晚, 相关研究有待进一步加强, 国内关于IT风险管理的研究主要集中在近几年, 这是国内经济发展和企业信息化发展与深入对IT风险控制要求日益增强的体现, 总体上来说, 我国现有的研究以对国外IT风险控制理论和方法、工具的应用研究为主, 在应用研究中, 案例研究又占了很大比重, 应用分析使用的工具以COBIT为最多;IT风险控制的方法研究方面, 信息安全评估方法、项目风险控制方法占了大多数, 引入了现代数学、计算机软件技术的一些最新成果;IT相关风险控制的理论研究方面, 主要集中在对IT风险控制的责任主体和治理模型的研究。因此, 迄今为止, 我国学者大多侧重于某一方面的研究, 侧重于对理论框架或规范的应用研究, 对企业的实证研究与综合性的整体研究较少。此外, 由于我国经济环境、企业管理体制的原因, 我国企业管理中还有一些“人治”的色彩, 企业管理基础薄弱、不规范, 工作方式因人而异, 加之我国很多企业由国有企业改制而来, 公司治理结构还有待完善, 并缺乏风险管理意识和机制。所以, 对于我国企业而言, 最迫切需要解决的是根据中国企业的实际情况, 识别、评估、应对信息化过程中的风险问题。因此, 有必要通过参考国际上IT风险控制方面的相关理论成果和最佳实践, 结合实证研究来揭示我国企业信息化风险及风险控制的实际情况, 在引进、消化、吸收西方最新的先进理论、方法和经验的基础上, 进行多角度的综合性分析, 这将有助于丰富和深化我国企业信息化风险控制的理论框架和实践对策。

摘要：ISACA最新发布了全球首个针对IT的全面风险管理框架, 填补了传统的企业风险管理和IT风险管理的空白, 并把IT风险本身作为一个特定的要素进行管理, 平衡风险与收益。本文解读了该框架, 分析了它与COBIT、IT价值管理框架的联系与区别, 并把该框架与传统企业风险管理及IT特定领域风险管理的框架或规范进行比较, 最后探讨了该框架对我国相关研究的启示。

关键词：IT风险,COBIT,IT价值,风险管理

参考文献

[1]ISACA.The Risk IT Framework, 2009, 12.

[2]ISACA.COBIT Management Guidelines, 4.1Edition, 2007, 5.

[3]Committee of Sponsoring Organizations ofthe Treadway Commission, Enterprise Risk Manage-ment—Integrated Framework, USA, 2004

[4]谢志华.内部控制、公司治理、风险管理:关系与整合[J].会计研究, 2007, 10.

IT运维管理 第5篇

目录

定义

IT运维管理包含内容

运维员三大法则

在网络的基础设施建设完成之后，整个网络处于运行状态，IT部门采用相关的管理方法，对运行环境（包括物理网络，软硬件环境等）、业务系统等进行维护管理，我们把这种IT管理的工作简称为IT运维管理。

IT运维管理包含内容

IT运维是IT管理的核心和重点部分，也是内容最多、最繁杂的部分，主要用于IT部门内部日常运营管理，涉及的对象分成两大部分，即IT业务系统和运维人员。其管理内容又可细分为七个子系统：

第一、设备管理：对网络设备、服务器设备、操作系统运行状况进行监控，对各种应用支持软件如数据库、中间件、群件以及各种通用或特定服务的监控管理，如邮件系统、DNS、Web等的监控与管理；

第二、数据/存储/容灾管理：对系统和业务数据进行统一存储、备份和恢复；第三、业务管理：包含对企业自身核心业务系统运行情况的监控与管理，对于业务的管理，主要关注该业务系统的CSF（关键成功因素Critical Success Factors）和KPI（关键绩效指标Key Performance Indicators）；

第四、目录/内容管理：该部分主要对于企业需要统一发布或因人定制的内容管理和对公共信息的管理；

第五、资源资产管理：管理企业中各IT系统的资源资产情况，这些资源资产可以是物理存在的，也可以是逻辑存在的，并能够与企业的财务部门进行数据交互；

第六、信息安全管理：该部分包含了许多方面的内容，目前信息安全管理主要依据的国际标准是ISO17799，该标准涵盖了信息安全管理的十大控制方面，36个控制目标和127中控制方式，如企业安全组织方式、资产分类与控制、人员安全、物理与环境安全、通信与运营安全、访问控制、业务连续性管理等；

第七、日常工作管理：该部分主要用于规范和明确运维人员的岗位职责和工作安排、提供绩效考核量化依据、提供解决经验与知识的积累与共享手段IT运行维护管理的每一个子系统中都包含着十分丰富的内容，实现完善的IT运维管理是企业提高经营水平和服务水平的关键。

运维员三大法则

华为如何管理全球IT 第6篇

而这个细节也揭示了2007年以来华为全球管控模式的转变。“华为原来的管控模式是以集团总部为中心运作。2007年以后，我们开始采用‘前端一线推动后端总部’的模式，这让信息流的方向完全倒转过来。”即将调入企业业务BG的华为流程与IT管理部首席信息官周良军表示，华为的IT部门不仅仅关注流程的效率，还关注全球的协同和全球员工的效率。

2011年，华为销售总收入已经高达2039亿元人民币，超过70%的销售收入来自海外业务，海外业务已经拓展到140多个国家，全球员工也达到了14万人。而2000年华为刚开始国际业务拓展时，当年海外市场销售额只有区区1亿美元，可谓今非昔比。全球业务的飞速发展，促使华为IT部门创新性地改变传统的IT资源供给模式，提升流程效率和员工的工作效率。

1998年是华为IT发展历程的一个重要分水岭。1998年以前，华为从建设零散的小系统开始走向集中化建设阶段，逐步开始建立统一规划、集中管控的模式，这一时期华为建立了统一的技术平台和统一规范的IT流程，这为2000年以后华为在全球的业务扩展打下了坚实的基础，IT部门通过信息技术将华为内部的管理延伸到全球各地，真正做到业务发展到哪里，流程和沟通就延伸到哪里，有效支撑了业务高速发展。

全球化IT管控

2000年后，随着华为在全球的业务扩展，华为IT部门便开始面临现实而复杂的IT资源部署和分配问题——员工的多国籍多语言，地域分布广泛，还要支持全球协同产品开发、销售服务以及供应交付等。华为IT部门面临的挑战是：如何通过信息技术将华为内部的管理延伸到全球各地？如何高效支撑业务拓展？

“国内很多企业的IT部门往往关注基础的技术工作，或者关注业务系统的一些工作，但是业务系统和人的效率往往不能很好地结合，致使公司的运作效率大打折扣。”周良军表示。对于华为这样一家立足全球、人员分散的企业而言，这个问题至关重要。因此，华为的IT部门的策略是：将关注点放在两个方面上——如何提升流程的效率以及员工的工作效率。

在随后进行的诸多的变革中，华为IT部门首先选择进行主干流程的变革。“就像人体大动脉，只有它打通了，其他的才会通。”周良军表示，“主干流程需要时间完善，它可以跑得慢一点，但是一定要非常简捷。”为了适应华为全球化的管控要求，华为采取集中控制分散资源的方式，建立全球垂直管理的IT组织，以统一的流程方式进行，在IT基础设施和应用平台上进行集中管理。在这种模式下，华为使用同一套研发协同的IT平台，实现对全球23个研发中心的一体化协同产品开发；并且使用一套业务处理IT平台，实现对全球140个国家业务的一体化业务运作。在这个过程中，华为的IT部门通过和外界顾问合作的方式，迅速吸取国际的先进做法；在主干流程的系统建设上，则采用成熟软件包的方式，迅速完成主干系统的构建。

“主干简捷、末端灵活”是当时华为确定的IT管理核心原则。主干系统基本构建完成后，华为的IT部门将更多的精力倾注在自主研发构建快速、灵活的末端应用上，这样做的深层价值是：对于华为这样一家全球化公司而言，全球的协同、前后方的沟通和协调工作繁多，尽量降低一线员工的学习成本，可以简单方便地处理业务。

因此，华为致力于构建全球的工作协同平台。目前它已经构建了基于桌面云技术的研发与办公协同平台。2011年，华为已经有3.5万名用户在这一平台上工作，2012年，这一数字将计划扩大到6.5万。与此同时，华为倾力打造它的全球移动办公平台eSpace，现在这个平台上已经有20万用户，其中移动用户超过8万，每天华为员工在这里召开的会议达到2万个，人均效率提升19分钟。

另一项典型应用是，华为内部的员工和管理者，包括销售、交付、研发等不同部门的员工都有基于自我角色的门户，在这里，他们可以使用基于统一通信服务、邮件服务等完成沟通和协作，可以获取基于角色的行业信息发布及订阅，也可以一目了然地处理个人待办事项，以及使用个人收藏功能更快地找到工作相关内容。

在这个过程中，华为IT部门不断接到来自业务部门和一线部门的多种IT需求。为了管理这些源源不断产生的需求，华为在内部成立了一套严格的IT需求管理架构。为了对业务部门提出的IT需求进行评估，华为的一线部门、业务部门和IT部门每个月都会坐在一起，对这些需求进行讨论，从整体架构的角度对这些项目进行评估。最终投票获得通过的需求，会被提交到更高层级的变革指导委员会进行审批。“IT是一项投资，这项资源要用在最需要的地方，最终达到全局优化，而非局部优化的效果。”周良军表示，“那些仅仅着眼于局部优化的项目在华为内部不会被通过。”

一线驱动

2005年以后，随着华为全球业务的发展，为了更迅速响应前端一线业务的需求，华为内部的管控模式开始逐步转变，原来自上而下的管控模式，逐步转向一线业务端推动管理总部、总部服务一线的方式。华为IT部门需要随之做出的调整是：逐步建立前端一线推动后端的模式，帮助前端员工迅速获取他们需要的信息。为了完成这一转变，周良军和团队成员不断深入一线，了解一线员工的需求。

周良军印象很深的一个事情是，华为承接的一个海外订单——印尼的全球网络建设，需要建设成千上万个站点。在这期间，华为总部不断接到抱怨，原来一线人员发现他们70%的时间都耗费在打电话上：了解供应链上的到货情况，以及其他信息协同的沟通事务，这让他们非常郁闷。

这个问题在2008年以后得到了很好的解决，订单信息的获取方式完全以前端一线员工的需求为主导，现在一线员工希望看到订单的所有状态信息时，IT部门已经设置了20多个信息点（包括到货情况、单点安装情况等），后端会在第一时间将这些信息主动提供给前端。与此同时，当前端的一线员工安装好站点之后，也会通过手机拍照将完成工作的信息传回后端。（传统的做法是，后端等待以及督促前端把这一信息上传到后端。）

与此同时，华为的员工都安装了具有统一通信功能的智能手机，当他们希望与后端总部的相关人员进行沟通时，随时可以将这个人拉入电话会议中，没有繁琐的会议号没有密码，只要对方回复“y”（yes）便可一键入会。在当初在传统的IT资源使用模式下，一线员工如果需要开会，需要和后端人员事先沟通，还需要提交线上申请或者沟通，之后才能通过电话设备或者视频会议设备进行；通过手机开会还需要输入会议号和密码。

现在，前端的一线人员需要后端提供服务时，所有的流程也发生了倒置。按照传统的做法，当一线提交一项申请时，后端的财务部门需要审批一次、供应链部门需要审批一次。现在的方式是，华为的IT部门会事先了解一线需要什么服务，此后在流程上进行设置，令后端可以迅速响应前端的需求。在传统的审批模式下，各级主管需要查看邮件进行审批，审批时间分散并且不及时，现在华为的IT部门将所有系统中需要审批的事项全部集中显示在一个界面上，便可以进行集中审批。

在这个过程中，华为的IT部门也在不断面临挑战。周良军介绍，在推动IT支持全球化战略的过程中，华为也有过一些经验教训。2005年，当华为IT部门开始在全球推动全球ERP项目时，按照惯常的IT思维，首先选择最难的巴西作为试点部署。然而，巴西的税收政策与大多数国家不同，通用的ERP软件需做大量的定制开发，影响了整体业务部署进展。最终他们决定改变策略，转而选择容易部署的国家和地区部署ERP，最后再推行到巴西等国家，同时IT部门在已有的通用系统版本上，再做本地化特殊处理也容易多了，这时候项目便很快得到推进。

现在回首过去10多年华为IT系统建设走过的路，周良军认为，架构管理很重要，企业需要搭建相应的业务流程架构、信息架构、技术架构，而不是零敲碎打，东一榔头西一棒子。“企业经常会进入一个误区——由于没有将IT和业务结合在一起加以衡量，导致无法真正看到IT的价值，最终导致企业的IT建设不连贯、不均衡。”周良军表示，这也是华为最初就极力避免的问题。

IT项目风险及其管理 第7篇

一、IT项目风险管理的相关概念

从广义上讲, 如果项目没有实现使用者或系统所有者最初的预期或目标时, 那项目可以说是失败的。这样的解释显然过于简单, 因为预期和目标在何时以及何种程度上完成是很难判断的。但一般意义上, 项目的成功与否我们可以用时间、预算和规格来衡量。通过这些标准, 彼姆 (Beam, 1994) 说只有2%的IT项目是成功的, 因为很多成功的项目延期或严重超出了预算。一旦项目实施失败, 必然会造成巨大损失, 甚至会导致公司业务的混乱。而导致项目实施失败的因素, 常常被人们说成是“风险”。因此沃德 (1997) 把项目风险定义为“项目绩效水平中隐藏着的严重的不确定性”。然而, 由于风险往往和巨额的利润联系在一起。IT项目开发中的风险可以定义为:由于在生产过程中遇到问题而使系统不能实现计划和预期收益率的机率 (雷曼尹, 2000) 。显然, 风险是和未来事件联系在一起的。

因此, 要想使IT项目成功, 必须进行风险管理。通行的穆非 (Murphy) 法则认为, 如果项目不是完全根据风险问题进行管理的话, 他们可能会遇到问题, 并且会无法挽救或者超过预算, 甚至导致全盘失败;麦克高迪 (Mc Gaughty, 1994) 干脆就把卓有成效的风险管理看成是一定范围内的科学和艺术。然而风险管理也不是独立的事情, 它应该作为项目管理的一个部分, 而且也不仅仅是存在于项目实施的早期。从理论上讲, 虽然IT项目风险管理开始于软件开发的生命周期 (SDLC) 的可行性研究阶段, 但实际上风险管理应该贯穿于项目的始终, 并需要持续的关注和评估。实施项目风险管理的直接益处就在于防范于未然, 及时识别风险并采取降低风险的措施, 从而减小不确定性和偏差, 把项目引向成功。开普斯 (Keepers) 国际银行运作零售银行 (Retai Banking) 就是在项目开发过程中成功应用风险管理的典型案例。

二、IT项目开发中的主要风险

我们知道, 风险有可能会随着时间慢慢消失, 但也有可能像“滚雪球”一样不断累积, 直到最后不可收拾。而且由于风险定义的差异性, 导致风险的种类也千差万别, 从细节上可以列举出无数的风险。但这种列举往往会冲淡人们对某些关键风险的关注程度。因此, 本文只关注IT项目中三类主要的风险:业务风险、开发风险、技术风险, 而且这三种风险在开发过程中在数量上是不平衡的。

1. 业务风险

业务风险是普遍存在的, 包括业务理解不当、开发过程中辅助项目的购买、不能适应业务需求的变化。很多项目运行出错就是因为没有正确地理解业务问题, 因此开发项目面临的最大风险就是项目主管人员对主要业务问题理解不完全或不充分。另外如果项目开发过程中需要企业本身购买相应的辅助设备或项目, 虽然这些东西与业务利益无关, 但对IT项目的开发或者实施是非常重要的。一旦缺少, 也必将带来严重的后果。业务风险还表现在项目无法紧跟业务的变化。因为业务变化就有可能改变最初的项目需求分析乃至项目规划。特别对于一些特殊的行业如金融而言, 金融创新不断, 业务变化频繁。这种变化会使得IT项目变得越来越庞大, 如果开发人员不能适应这种变化, 将会导致IT项目的失败。

2. 开发风险

开发风险可能出现在评估或计划的不足、开发过程中人员的频繁流动、开发工具的使用不当等方面。尽管这些风险发生时, 并不必然导致项目的全盘失败, 但能引起严重的延迟和极大的成本超支。首先, 项目的评估一直是个问题, 因为在做评估的过程中所需的东西大多是不现实的。在IT项目的可行性研究阶段, 最初执行的工作如分析、设计或规格, 可能是不够的或者是不正确的。再就是项目开发过程中, 或者是开发人员, 或者是客户的业务人员, 都有可能改变其职务。如果是项目开发的核心人员或业务的主管离开或调任时, 不可避免地会使项目遭受挫折。因为新来的人员要花相当时间来熟悉项目的细节以及业务问题。最后是开发工具, 主要是硬件和软件的开发工具应用不当的。

3. 技术风险

技术风险是指潜在的设计、实现、接口、验证和维护等方面的问题。此外, 技术的不确定性、技术平台、技术生命周期以及“过于先进”的技术也是风险因素。从保守的观点来看待风险, 过多领先的创新可能成为IT项目巨大的灾难。另外如果所选择的技术正处于其生命周期的末期, 也有可能产生投资上的诸多问题, 而且它也可能会缚住项目的手脚并且变得多余或陈腐。技术风险的威胁主要会对项目的质量及交付时间产生影响。一旦技术风险变成现实, 则开发工作可能变得很困难。

三、IT项目风险的主要后果

伯恩斯坦 (1996) 曾经说过, 梦魇在于我们决策的结果, 而不在于决策本身。风险也是这样, 风险并不可怕, 可怕的是它带来的后果。在此, 本文还是按照上面的分类方法, 来阐述各自带来的风险后果。

1. 业务风险后果

由于项目的主管人员对业务问题缺乏了解或了解得不充分, 将造成资源和机会的错误匹配, 导致资金使用不当。所谓隔行如隔山, 由于各行业都有其独特性, 使得项目主管很难深入理解, 这种现象也曾被格林德尼 (Grindley, 1992) 称作“文化隔阂”。他的研究表明, 文化隔阂是IT项目主管所面临的最大问题之一。第二个后果是, 业务部门与项目开发部门的合作越来越困难, 这种不和谐最容易导致项目开发时的“信息孤岛”, 这样项目开发就形同闭门造车。第三个后果是, 所开发的功能在实际工作中并不需要, 其结果必然是IT系统不能被采用或很快就被放弃。这种结果很常见, 往往是开发出来的系统由于过于复杂, 业务人员无法适应, 或者系统严重脱离实际, 导致系统最后的闲置。雷曼尹 (1997) 的研究表明, 避免这种后果, 需要一个正式的风险管理策略, 这也是开普斯 (Keepers) 国际银行所采用的策略。

2. 开发风险后果

由于IT项目往往规模很大, 所以评估和计划的不足将会导致预算严重超支和时间超期, 从而会导致项目失去高层领导的支持, 这是很多项目最终失败的原因。另外, 关键人员的离职是项目开发过程中越来越难管理的问题, 这种结果可能是延迟开发时间, 也可能导致成本上升和开发混乱, 造成项目质量降低, 甚至极端情况下不能交付系统。还有如开发工具的不合适或不够匹配, 它可以导致重新设计系统和重新编码, 这会由于高成本而导致放弃IT项目。比如2000年联想就是过分地相信MOVEX产品而导致了最后与三露厂之间噩梦般的结局。

3. 技术风险后果

由于所选择的技术不当或者是没能成功地执行, 其结果通常是项目的质量降低。另外, 到目前所遇到的最重要的技术困难在于新技术本身, 或者是在行业内是最新的, 或者是开发组以前没有用过的。这就需要时间和资金来应对新技术带来的新挑战, 稍有不慎, 会导致项目不能完成或者是系统缺乏稳定性。

四、IT项目的风险管理手段

各行业务本身就是与风险并存的, 因此在实施IT项目过程中会不可避免地遇到各种风险问题。项目风险管理的基本目标 (雷曼尹, 1997) 就是确定这些风险的行动路径, 然后选择必要的步骤来减小或消除风险。另外在这个过程中关键问题还在于管理的成本, 减小或转移风险的总成本不应该大于风险物化时所发生问题的成本, 因为往往会出现避免风险的花费比风险实际发生时的成本要大的多。但无论如何都要进行风险管理, 采取具体的手段来应对各种潜在的问题。

1. 确定专门的风险管理负责人

IT风险管理是一项极具挑战性的工作, 因为它要求组织内部必须做好充分的准备, 并且贯穿整个项目的始终, 这样才能保证项目的成功完成。IT项目的风险管理是非常耗时间和精力的, 这样就需要一个风险管理负责人, 这个人要求既懂金融业务又懂IT问题。当然如果项目非常小, 项目经理是可以兼任风险管理负责人的工作的。风险管理负责人, 必须始终对风险保持警惕, 并且能够制定风险防范计划, 采取合适的手段应对各种潜在的、突如其来的不确定性。

2. 选择合适的项目经理

现在IT行业里面, 顶着项目经理头衔的人越来越多, 取得PMP证书的人也越来越多, 但真正做起项目管理却不见成效。因此如何选择合适的项目经理, 对于一个IT项目的风险管理至关重要。一般而言, 可以从四个方面进行评判:知识、经历、能力、性格。这里特别强调对行业的了解, 这不单是对IT行业的深入了解, 还需要对其他行业的经营理念有所涉猎。知识掌握得是否扎实, 是否全面, 是否应用自如, 决定着项目经理的水准。在项目开发中, 项目经理要帮助风险管理负责人阐明风险和管理风险, 而且他也要让所有参与项目开发的人关注风险问题, 因此选择合适的项目经理是成功的关键。

3. 建立风险管理计划

如前所述, IT项目的风险管理应该作为项目的一个部分, 需要编制一个完善的管理计划。这包括四个阶段:识别风险、建立风险物化结果、理解风险的驱动因素、为最小化风险达成一致意见。按照前面的三种风险分类, 用聚焦的方法, 提出各自相应的风险问题, 从而形成项目的风险评价问卷。这有助于风险管理负责人能够考虑所有主要的或现在的相关风险。之后是检查风险物化后的结果或问题, 这可以为避免风险提供指南。紧接着要全面检验风险的驱动因素。如果能理解这些因素, 那风险管理负责人就可以在防止和避免风险方面发挥重要作用。最后就可以根据上述步骤建立和执行适当的行动方案。在这个过程中, 应该注意, 避免风险的成本不能超过解决风险物化后造成结果的成本。

4. 对项目参与人员进行业务培训

业务风险中很大一部分是由于参与人员对相关业务不熟悉或理解不充分, 特别是项目经理。因此必须在IT项目开始之前对其进行必要的业务培训, 使之能对业务流程有相应的理解, 并且有必要安排业务考核, 以便组成精干的开发队伍。

5. 建立定期风险审计进度计划

在IT项目的风险管理过程中需要认识这样一个事实:风险熵 (穆非, 1997) 在整个项目中是一直存在的。因此除了要检查风险管理计划外, 定时检查或审计风险水平也是很重要的。在国外的IT项目开发中通常应用风险评审技术 (VERT) 来做这个工作, 这可以为项目管理人员进行项目风险分析提供一系列行之有效的方法。

6. 建立应急计划

在项目开发过程中最困难的问题就是变化。这些变化常常是以一种极具威胁的方式出现的, 或者耗时间或者费资金, 而且变化的蔓延对项目的进行极其不利。当然项目从一开始, 就不可能知道最终确切的结果。而且由于这种不确定性, IT项目开发只能依赖当前没有变化的假设。然而如果适应不了这些变化, 那么应急方案也许是唯一能够挽救的措施, 这也是风险管理中最糟糕的结局。

从风险细节上讲, 管理的手段还有很多。比如, 加强对开发人员的管理, 避免人员的频繁流动, 做好项目的整体评估, 对准备运用的新技术进行小规模的实验, 像一般的项目一样建立项目监理制度等等, 当然取得管理层对项目的支持也是非常重要的。

五、结束语

企业IT内控与风险管理探析 第8篇

2002年美国国会发布的《萨班斯—奥克斯利法案》 (简称为SOX法案) 中明确提出了所有上市公司都必须加强风险管理, 建立有效的内部控制框架。2008年6月, 由国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》, 要求“内控”将自2009年7月1日起首先在上市公司范围内施行, 主要是针对国内财务及会计监控体制的发展趋势, 以及企业内部的委托-代理关系等各个方面的需求。2010年4月, 财政部、证监会、审计署、银监会、保监会五部门又联合发布了被称为“中国版萨班斯法案”的《企业内部控制配套指引》 (简称为指引) 。指引文件明确指出要把企业内部IT风险控制建设情况纳入上市公司日常监管的范围, 确保IT内控风险预警体系的执行质量。这使得国内企业开始重视IT内控在整个企业风险管控中的作用。

不论是SOX法案还是指引文件, 虽然因其主要关注的是和财务报告相关的信息系统, 故对合规性的要求有其特有的局限性, 但是由此产生的方法论和合规性实践, 对IT内控的理论发展和实践很有借鉴意义。

事实上, 随着IT应用的逐步深入, 企业的日常运营越来越依赖于IT系统的支撑, IT技术在现代企业中扮演着重要的角色。IT不仅作为财务流程的系统驱动, 还是控制整个企业业务活动的重要手段。因此, 企业进行内部风险控制应该从以IT为主的内部控制为突破口。但IT内部控制并不是孤立的, 它是企业以业务目标为主导的整体内部控制项目的一部分。

2 企业内控和信息化面临的风险

目前我国的信息化正处在一个由初级水平的投入期, 向中高级水平的见效期过渡的关键时期, 信息化的重点己从注重硬件设备的配备, 逐步过渡到强调整合和开发利用信息资源, 对客户需求做出快速反应, 提高应用水平和服务质量, 使组织的价值最大化的阶段。在这一阶段里信息化的机会与风险并存, 许多以前还没有考虑到的深层次问题都一一暴露出来, 这对企业将是个严峻的考验。

2.1 合规性风险

由于IT在生产和生活中充当越来越重要的角色, 国内外近年来出台了不少法律法规加强对IT进行监督和控制。

SOX法案的发布是确保上市公司遵守证券法律以提高公司披露的准确性和可靠性。虽然其没有直接明确对IT的要求, 但企业在实施符合法案要求的内控过程时, 发现IT方面的工作量竟然占到了相当大的比重。这是因为一方面IT要作为管理组织业务风险的工具与手段, 例如, 对财务应用系统的机密性、完整性控制, 以及对业务交易信息的监督和数据的采集;另一方面IT本身的风险, 例如系统风险、网络风险、应用风险, 也是SOX法案关注的重要内容。

另外, 国内的指引文件也明确指出了合规性风险, 具体为:第一, 信息系统缺乏或规划不合理, 可能造成信息孤岛或重复建设, 导致企业经营管理效率低下;第二, 系统开发不符合内部控制要求, 授权管理不当, 可能导致无法利用信息技术实施有效控制;第三, 系统运行维护和安全措施不到位, 可能导致信息泄漏或毁损, 系统无法正常行。

2.2 信息化建设风险

随着IT应用的不断深入, IT与业务的关联越来越紧密, 创造机会的同时也使IT面临着越来越多的问题。

2.2.1 IT规划与架构风险

企业在进行信息化建设的时候, 往往是由业务部门先提出业务需求, IT部门则根据不同的需求去选择不同的应用系统。这导致的结果为技术体系复杂混乱、技术标准不兼容、系统安全脆弱等等, 企业得到的是一个个条块化的IT架构。产生这些问题的原因主要有:第一, IT建设缺乏从组织角度出发的总体规划和架构设计。第二, IT部门在企业中处于从属的地位, 不具备话语权。第三, 企业高层对信息化整体建设的意识不够。

因此, 有效的IT规划可以将组织战略目标转化为IT系统的战略目标, 这是现代企业战略规划的重要组成部分, 也是企业商业模式创新的最好机会。这样可最大限度的避免这种自然发生的IT架构造成的混乱和复杂, 同时避免企业的IT战略方向及IT具体实现上存在的风险。

2.2.2 IT基础平台风险

技术的日新月异, 给IT基础平台 (如硬件、网络、系统) 带来高速发展的同时, 也给企业增加了各种各样的威胁。漏洞层出不穷、攻击的变化多端、频繁的当机等等让IT部门应对不暇。

企业对IT平台的依赖性越来越强的同时, IT系统的风险造成的企业损失也越来越大。硬件的故障、网络的中断、系统的崩溃每一个细小的环节都使得企业的管理者如坐针毡, 不得不又加大力度对IT基础设施更新换代。实际上, 高性能的基础设施并不能完全解决管理上的苦恼, 相反, 这些高性能的基础设施和脆弱的IT管理流程, 使得这种不断增强的对IT的依赖性就变成了潜在的更大的风险。

2.2.3 IT应用系统风险

开发和获取应用系统是组织实施信息化的核心内容, 但开发和获取应用系统是一个高风险的过程。首先, 如果组织所开发的应用系统不能准确地反映业务目标, 将产生IT应用与业务需求之间的逻辑错位风险。其次, 如果应用系统开发过程不能遵守相关规范和内置充分的安全措施, IT应用将面临系统脆弱性风险。第三, 如果应用系统不能经过严格的各种测试, IT应用将面临可靠性风险。最后, 如果应用系统不能周密地迁移、过渡到生产环境, IT应用系统将面临可用性风险。

此外, 应用系统风险还表现在以下应用控制方面:业务安全控制点是否在应用系统中得到有效实施;在应用系统中是否仅有完整的、准确的和有效的数据被输入和更新;处理过程是否完成了正确的任务;处理结果与预期目标是否相符合;输出数据是否得到了维护等等。

2.2.4 信息安全风险

在信息化日渐完善的今天, 信息比以往有了更高的价值。信息作为一种资源, 它的普遍性、共享性、增值性、可处理性和多效用性, 使其对企业来说具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏, 即保证信息的安全性。

但信息固有的特点也决定其具有易传播、易毁损、易伪造的弱点。而互联网环境下的信息安全则面临着更为严峻的挑战。IT部门在保证信息给企业带来效益的同时, 还要保证其保密、真实、完整、未授权拷贝的安全性。

3 IT内控对风险的管控

在应对这些各式各样的IT风险时, 我们有多种成熟的风险控制方法和模型, 但一般都是针对技术风险提出来的, 偏重于某一技术领域, 而且大多是采用事后反应式的控制措施。在信息化的高速发展期, 这种单一的应对模式将使IT部门处于一种头痛医头, 脚痛医脚的尴尬局面。特别对于像制度、流程、人员行为等方面有可能涉及组织核心价值的风险, 传统的控制方法显得有些力不从心。

为此, 信息化建设应当结合企业组织架构、业务范围、地域分布、技术能力等因素, 制定信息系统建设整体规划, 有序的组织信息系统开发、运行与维护, 优化IT管理流程, 防范经营风险。具体思路如下:

第一, 企业应当根据信息系统建设整体规划提出项目建设方案, 明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容, 按照规定的权限和程序审批后实施。

第二, 企业开发信息系统, 应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序, 实现手工环境下难以实现的控制功能。

第三, 企业应当加强信息系统开发全过程的跟踪管理, 组织开发单位与内部各单位的日常沟通和协调, 督促开发单位按时保质完成编程工作, 对配备的硬件设备和系统软件进行检查验收, 组织系统上线运行等。企业还应当组织独立于开发单位的专业人员对开发完成的信息系统进行验收测试, 并做好信息系统上线的各项准备工作。

第四, 企业应当加强信息系统运行与维护的管理, 制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范, 及时跟踪、发现和解决系统运行中存在的问题, 确保信息系统按照规定的程序、制度和操作规范持续稳定运行。

第五, 企业应当重视信息系统运行中的安全保密工作, 确定信息系统的安全等级, 建立不同等级信息的授权使用制度、用户管理制度和网络安全制度, 并定期对数据进行备份, 避免损失。对于服务器等关键信息设备, 未经授权, 任何人不得接触。

4 实施IT内控的思路及方法

4.1 IT内控实施理论支撑和思路

任何体系的构建都需要相应的标准及理论支持, IT内控也不例外, COBIT (Control Objectives for Information and related Technology) 和ISO27004就是最为典型的2个。COBIT作为国际上公认的最先进、最权威的信息安全与信息技术管理和控制的标准, 其不仅可以指导企业有效地利用信息资源, 而且可以指导企业有效地控制与信息相关的风险。所以建设和完善IT内部控制体系的指导框架必须同时结合企业内控框架和COBIT标准。COBIT建立了一个包含7个业务需求、20个业务目标、28个IT目标、34个IT过程、100多个控制管理目标的IT管理框架, 通过控制度、度量、标准三个纬度来度量IT过程能力。ISO27004 作为ISO27***系列中的一个重要组成部分, 对信息安全度量目标、度量项、度量过程、度量值乃至度量实施都给出了指引。

企业可以采用企业内部控制规范作为内控评估标准, 结合COBIT框架作为IT 控制的标准, 设计出符合规范要求的IT内部控制体系。

首先, 企业需要对IT相关的风险进行评估, 建立IT控制矩阵, 以COBIT为参照依据, 选取其中适合本身业务特点、复杂性和需求的控制流程和控制目标为对象, 建立IT内部控制框架, 作为后续制定控制文档体系和测试的基础。同时, 在具体控制措施上可融合ISO27001 (信息安全管理体系) 、ISO20000 (IT服务管理体系) 、Prince2 (IT项目管理) 、CMMI (软件开发过程控制) 等具体控制框架, 分阶段分步骤的实施。

4.2 IT内控实施前提

第一, 管理层重视和支持。

内控工作涉及到对各部门的检查和考核, 需要得到企业管理层的大力支持, 在此基础上, 可以确保相关工作高效、持续的落实, 具体工作实施也将在管理层的支持下得到顺利开展, 并确保IT内控建设及今后的实施过程中得到足够的资源支持。

第二, 健全的信息安全管理制度。

由于IT内控工作主要是对现有制度的执行情况以及日常工作中涉及安全管理部分内容的检查分析, 信息安全管理制度的建设是否成熟就显得尤为重要。既要有相关的管理办法, 也要有具体的操作、实施细则, 只有建立层次化的制度体系, 才能有效对信息安全管理提供制度支持。成熟的管理制度体系可以为IT内控工作提供充分的检查依据及相关的检查输入。

第三, 技术支持体系。

由于IT内控工作的开展需要大量信息的输入, 这些输入信息都是IT内控体系的评价基准, 只有根据大量真实客观的信息, 才能有效评估企业信息安全管理现状, 才能发现存在的问题与不足。这些信息既包括人工采集的信息, 也包含通过系统、设备采集的信息, 后者尤为重要。

第四, 各部门协调配合。

信息安全管理涉及企业信息管理的方方面面, 需要企业内各部门积极配合IT内控体系的建设及后续度量工作的开展, 唯有各部门之间相互协作、紧密配合, 才能确保度量工作高效、顺利、持续的开展。

4.3 IT内控实施方案

完整的体系架构、严格的权限管理、稳固的信息基础平台、安全的应用系统和全面的审计监控是保证IT内控合规的五大核心要素。企业可根据自身的特点, 针对这五大要素整理出IT内控实施方案, 打造出一个合规的IT内控体系。

第一阶段, 完善IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境, 同样IT内部控制环境是实施IT内部控制的基础。主要包括IT组织架构、IT决策与职责等。

第二阶段, 落实IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。此阶段的工作可以理解为IT战略与IT规划, IT风险识别与分析, 对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。

第三阶段, 明确IT控制措施。针对风险评估的结果, 在IT方面需要实施具体的IT控制措施, 包括IT技术类控制措施, 如防火墙、防病毒、入侵检测、身份管理、权限管理等, 以及IT管理类控制措施, 包括各类IT管控制度与流程, 如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离, 授权审批等。

第四阶段, 加强信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制, 建立服务机制与事件管理程序, 及时传达企业内部层级之间和与企业外部相关的信息。

第五阶段, 强化监督检查。需要建立IT内部控制体系的审核机制, 评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等, 和管理手段如内部IT审核、管理评审、专项检查等措施, 不断改进企业的IT内部控制。

5 总结

IT技术能帮助企业在内控和风险管理过程中实现可行、可控和可视, 使内控规范具体落地, 并且能对执行的效果进行评估、评价和信息反馈。IT内控是一个需要企业全员参与的体系, 它的安全、稳定和可靠尤为重要, 其整个授权和相关的权限管理对技术要求非常高。同时, IT内控也是一个需要逐步建设、长期规划的系统, 这就要求该系统的架构必须能够满足可扩展、个性化应用的需求。

科学合理的IT内控机制还应当具有前瞻性的、全局性的控制机制, 能融合防范与应对合规性、IT决策与管理、信息安全、IT应用、IT基础设施等方面的风险, 并能有效地指导组织控制IT风险, 使IT战略与企业战略相融合, 促进IT为组织持续地创造价值, 以帮助企业实现有效益的信息化。

参考文献

[1]吴以四, 陈博.正解IT内控[J].信息方略, 2008, (10) .

[2]财政部, 证监会, 审计署, 银监会, 保监会.企业内部控制配套指引[S].2010.

[3]陈伟.企业IT风险控制框架[EB/OL].http://sec.chinabyte.com/476/8659476.shtml.2008.

[4]龙振新.如何建立IT内控风险预警体系?[EB/OL].http://cio.chinabyte.com/235/11381235.shtml.2010.

IT建设中的风险管理研究 第9篇

1、信息化面临的风险。

九十年代以来, 信息技术得到了快速的发展和广泛的应用, 信息化已成为全球经济社会发展的显著特征, 并逐步向一场全方位的社会变革演进。当前, 信息技术己深入到各行各业, 甚至影响并改变着普通百姓的生活方式, 信息资源也日益成为重要生产要素、无形资产和社会财富。

2、IT治理风险。

中国的信息化建设仍然属于“人治时代”, 信息化的随意性较大, 企业还没有就信息化形成相关的制度, 缺少对信息化进行整体规划、实施与控制的决策机制和责任担当框架。信息化成功与否往往在很大程度上取决于最高管理层对信息化的理解和个人领导力大小的影响, 这种不确定性增加了组织的信息化风险, 这是IT治理风险的宏观体现。

3、IT可用性风险。

而随着信息化的深入, 组织的核心应用系统都己构架在IT平台之上, 越来越多的政府、商业、教育等机构的业务正常运行离不开IT系统。

4、信息安全风险。

交易在信息化的整合见效期, 对组织而言信息比以往具有更高的价值, 而信息固有的弱点决定其易传播、易毁损、易伪造。互联网给我们带来便利的同时, 网上行动的远程化以及互联网“无政府状态”, 使得信息安全面临严峻的挑战, 即使是一个中学生, 通过黑客网站的简单培训, 也能发起具有危害性的攻击。

二、IT项目风险管理的过程

1、COSO企业风险管理框架。

COSO是行业监管者及企业管理者最常使用的风险管理框架。COSO企业风险管理框架于2004年4月由美国C O S O委员会正式颁布。COSO委员会认为企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的, 应用于企业战略制定和企业内部各个层次和部门的, 用于识别可能对企业造成潜在影响的事项, 并在其风险容纳量 (Risk Appetite) 范围内管理风险的, 为企业目标的实现提供合理保证的过程。此框架要求企业管理者以风险组合的观点看待风险, 对包括IT风险在内的所有风险进行识别并采取措施使企业所承担的风险在风险容纳量的范围内。

2、降低IT项目风险管理的方案

(1) 商业运营风险。一个评估要判断解决还是忽略某个具有挑战的威胁的风险。分析挑战性的威胁可以帮助企业决定是否投入必要的资源来战胜威胁。

(2) 计划风险。这对于通过的或者现有的计划来说, 管理的关键集中在计划或者项目是否会在预算之内, 高质量的按时交货。风险可以通过有效的项目管理和定期监控来降低。。

(3) 业务中断风险。这种类型的风险影响了公司在困难的环境下继续运营的能力。场景从崩溃的服务器到被毁灭的建筑物, 范围极其广泛。在大多数情况中, 一个崩溃的服务器对于某些人来说只引起了微小的问题。相反, 一个被毁灭的建筑物可能让所有的企业运行都停顿下来了。

(4) 市场风险。场景计划可以通过制定应对各种不可能的事件的反应来降低风险。最重要的是, 它尝试发现先前未知的风险, 因为最危险的风险通常是你没有识别的风险。

三、适应IT风险管理的策略

现代IT建设就是要沿IT规划这条路走下去, 将蓝图变为现实。

IT建设的重点考虑的因素包括:人员与能力的匹配、需求的把握、数据标准化、项目实施、系统集成等, 其中基础是需求的把握、数据的标准化, 关键是项目实施和系统集成, 人员与能力匹配是基础的基础。

IT建设是一个周而复始, 持续改进的过程, 每个周期开始前都需要系统评估。

四、适用的IT风险管理框架

我们结合以上内容, 进行合理扩充并增加控制的粒度, 提出了一套适应我国IT风险实际情况的控制框架。

1、建立信息化的“游戏规则”。

建造一个信息系统是容易的, 让这个系统正常地运转起来并能实现业务价值, 则是现实的难题。虽然采用先进的IT技术与产品、优秀的管理方法在一定的程度上能降低IT风险, 但并不十分保险, 只有通过为IT引入一定的结构、规则与标准, 使IT在“他律” (IT治理) 的基础上进行“自律” (IT管理) , 才能使得IT风险在一定的框架内上下左右浮动, 不超过企业计划中的风险范围。

这个框架就是IT风险管理框架, 也可以称为IT的“游戏规则”, 忽略了规则的建立是国内信息化成功率低的根源, 我们应当把建立信息化的“游戏规则”看成是信息化的重要内容之一。

2、IT风险管理框架的目标。

完善IT风险控制体系, 降低IT成本, 实现IT与企业战略、管理、业务、安全的深度融合, 使IT为企业持续地创造价值, 有效率并有效果地进行信息化。

3、IT风险管理框架的原则。

建立IT治理机制, 使IT治理成为公司治理的一部分, 在组织的最高决策层上对信息化的进行监管与制衡。

对IT进行规划, 确保IT战略与业务战略的一致, 信息化一定要为业务所想、为业务所用, IT与业务的分离是信息化面临的最大风险。在总体规划指导下进行应用、数据和技术方面的架构设计, 以获得标准化的技术规范与指南。

在技术与管理上保证和各种异构I T资源能在统一的架构环境下, 实现协同工作、无缝地进行数据交换。

摘要：随着信息化经济时代的到来, IT项目被越来越多地应用到各行各业。IT项目的管理研究也越来越受到关注, 但是在IT项目建设中, 风险在项目建设中的影响很大, 往往给项目的推进和项目的成功带来损害或威胁, 这是不以人的意志为转移的。

关键词：风险管理,信息化,项目建设,信息技术

参考文献

[1]、李东.企业信息化管理 (上) [J]北京大学出版社, 2002 (03) .

[2]、 (美) 凯西.施瓦尔贝.IT项目管理[J]机械工业出版社, 2004 (02) .

浅谈公司IT管理 第10篇

IT管理包括以下内容:信息化规划 (咨询) 、设备和软件选型、网络系统和应用软件系统建设、整个网络系统的日常维护管理和升级等。企业迅速发展数字化, 提高数字化质量及企业工作效率, 是节约信息化成本的一种途径, 也为个人用户提供巨大的帮助。IT管理从字面的意思就是信息化管理。主要表现在:通过网络及相应的管理软件, 更加快速、有效地提高企业的管理效率, 以及更加有效地提高企业的资金流通速度, 从而节约管理成本, 提高企业利润。

二、如何有效进行IT管理系统软件的选型与实施

(一) 管理软件的选择

由于公司的规模大小不同, 资金和人才的限制, 大规模的公司可以针对自身的发展平台和实力来定制自己的系统软件。因公司起步不久, 并不适合去花耗过多的资源去定制开发复杂的系统;而应该选用适合自身的成熟软件。就我国而言, 对于公司企业管理信息化已经推行了十多年, 几乎每个行业都有相对成熟的管理软件。成熟软件相对定制软件比有无可比拟的优势;其具有价格低廉、性能稳定、操作简单、可持续升级等优势。

一个市场上成熟管理软件很多, 对一个公司来说怎样才能选择适合自己进行IT管理的软件?

1、选择具有良好的售后服务保障体系的公司和软件经销商。

中小型公司企业人员流动率高、业务流程不稳定、更新发展速度快等特性。人员更换, 需要软件公司重新培训;企业发展、流程变更, 软件需要及时升级;管理软件不是一次消耗品, 管理软件售出后并不是义务终止, 软件公司还要为客户提供源源不断的售后服务。因此, 选择具有良好的售后服务保障体系的公司和软件经销商尤为重要。

2、选择具有持续的管理升级创新能力的。

市场是变化的, 管理也是变化的。尤其是中小型企业发展的需求决定其管理方法不可能一成不变, 这就要求所选的软件公司也要具有持续的管理升级创新能力。好的管理软件公司因其管理思想总是站在市场最前沿, 也能有利地促动和带动中小企业管理能力的提升。

3、选择适合自己、性价比好的。

性价比永远都是中小型企业关注的重点。价格在企业承受范围内, 要看管理软件是否能满足企业主要管理需求, 不能片面追求价格便宜, 而忽略管理信息化的本质。不同的品牌, 商品特性不同;即使商品特性雷同, 因不同品牌价格差异很大。客户要多加比较, 选择适合自己、性价比好的管理软件是管理信息化顺利实施的前提条件。

(二) IT管理信息化的实施

IT管理信息化应如何去建设, 中小型公司与大型企业存在区别。大型企业的管理信息化是以实现企业资源配置最优化为目的, 而中小型公司基本是以销售为核心的进销存业务管理体系, 中小型公司在进行IT管理信息化建设时应注意以下两大原则:

1、关注重点, 分步实施。

公司的IT管理信息化是一个渐进增效的过程, 循环滚动式投入更适合中小型公司。因为管理信息化建设与公司当前的管理水平、员工素质息息相关, 员工从认识到接受到掌握管理信息化需要过程。中小型公司资源是有限的, 根据企业整体经营状况, 确定企业主要信息化需求, 集中精力进行突破, 成功后再继续扩延。

2、高层重视, 持续监督。

IT管理系统软件的实施、使用, 使得管理信息透明化, 减轻了管理层的工作量, 且使管理层对企业一目了然、心中有数, 但增加了员工的工作量。例如以往员工只要自己心中有数, 业务达标就可以, 而现在必需把客户资料、业务机会等录入软件中, 将以前私有化的资料公开化, 管理软件严重触犯了个人的某些利益, 相应也会遭到各种理由拒绝、抵制。作为企业高层管理者一定要重视, 要把管理软件放在与业务同等位置上, 要持续地监督和推动, 才能保证信息化的成功和实施。

三、公司IT管理看法分析

随着Internet网络急剧扩大和上网用户迅速增加, 风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统, 引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对Internet安全政策的认识不足, 这些风险正日益严重。

针对公司局域网中存在的安全隐患, 在进行安全方案设计时, 下述安全风险我们必须要认真考虑, 并且要针对面临的风险采取相应的安全措施。风险由多种因素引起, 与公司局域网结构和系统的应用、局域网内网络服务器可靠性等因素密切相关。本文列出部分这类风险因素:网络物理是否安全;网络平台是否安全;系统是否安全;应用是否安全;管理是否安全。针对每一类安全风险, 结合公司局域网的实际情况, 具体的分析网络安全风险。

(一) 物理安全风险分析

网络物理安全的风险是多种多样的。网络的物理安全主要是指地震、水灾、火灾等环境事故、电源故障、人为操作失误或错误、设备被盗、被毁。它是整个网络系统安全的前提。在公司局域网内, 由于网络的物理跨度不大, 只要制定健全的安全管理制度, 做好备份, 并且加强网络设备和机房的管理, 这些风险是可以避免的。

(二) 网络平台的安全风险分析

网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。

1、公开服务器面临的威胁。

公司局域网内公开服务器区 (WWW、EMAIL等服务器) 作为公司的信息发布平台, 一旦不能运行后者受到攻击, 对公司的声誉影响巨大。同时公开服务器本身要为外界服务, 必须开放相应的服务;每天, 黑客都在试图闯入Internet节点, 这些节点如果不保持警惕, 可能连黑客怎么闯入的都不知道, 甚至会成为黑客入侵其他站点的跳板。因此, 公司网络管理人员要对Interne安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离, 避免网络结构信息外泄;同时还要对外网的服务请求加以过滤, 只允许正常通信的数据包到达相应主机, 其他的请求服务在到达主机之前就应该遭到拒绝。

2、整个网络结构和路由状况。

安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。在公司局域网络系统中, 只使用了一台路由器, 用作与Internet连结的边界路由器, 网络结构相对简单, 具体配置时可以考虑使用静态路由, 这就大大减少了因网络结构和网络路由造成的安全风险。

3、系统的安全风险分析。

所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。网络操作系统、网络硬件平台的可靠性:对于我国而言, 没有绝对安全的操作系统可以选择, 无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统, 其开发厂商必然有其Back-Door。我们可以这样讲:没有完全安全的操作系统。但是, 我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制, 提高系统的安全性。因此, 不但要选用尽可能可靠的操作系统和硬件平台。而且, 必须加强登录过程的认证 (特别是在到达服务器主机之前的认证) , 确保用户的合法性;应该严格限制登录者的操作权限, 将其完成的操作限制在最小的范围内。

4、应用的安全风险分析。

应用系统的安全跟具体的应用有关, 它涉及很多方面。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性, 它包括很多方面。应用的安全涉及面很广, 以目前Internet上应用最为广泛的E-mail系统来说, 其解决方案有几十种, 但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的, 因此一套详尽的测试软件是相当必须的。但是应用系统是不断发展且应用类型是不断增加的, 其结果是安全漏洞也是不断增加且隐藏越来越深。因此, 保证应用系统的安全也是一个随网络发展不断完善的过程。信息的安全性涉及到:机密信息泄露、未经授权的访问、破坏信息完整性、破坏系统的可用性等。由于公司局域网跨度不大, 绝大部分重要信息都在内部传递, 因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的 (比如领导子网、财务系统传递的重要信息) 可以考虑在应用级进行加密, 针对具体的应用直接在应用系统开发时进行加密。

5、管理的安全风险分析。

管理是网络中安全最最重要的部分在责权不明, 管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明, 管理混乱, 使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地, 或者员工有意无意泄漏他们所知道的一些重要信息, 而管理上却没有相应制度来约束。

四、结束语

现代市场的竞争越来越激烈, 利润越来越薄, 成本不断提高, 企业与企业间商品、供应链等越来越同质化, 企业要想生存、发展, 赢得竞争, 更多的是在比拼企业的战略和经营管理技术, 而信息技术的不断发展, 信息系统与经营管理技术的不断结合, 使得信息系统已经可以左右企业的发展甚至生死, 在企业战略和经营管理中占据十分重要的地位。IT管理的优劣可以决定信息系统在企业的作用, 做好IT管理, 不但将减少企业的一个负担, 更加为企业发展增加一个助推器。

摘要：IT管理已经是大家耳熟能详的一个词汇, 可是要确切地表述其内涵、职责却是有些难度。那么这样又如何区分IT管理的职责;我们在IT管理中应该如何针对管理系统进行选型与有效的实施信息化管理, 更能体现IT管理的效益;针对在公司IT管理上的软硬件产品 (如网络、计算机、打印机等) 管理我们应注意哪方面。文章将对此进行深入的探讨和分析, 并提出相关评价与独特的看法;并对其安全管理进行分析并提出建议。

IT企业的全面预算管理 第11篇

在工业经济时代，公司的组织架构、管理控制系统都是根据工业经济时代的竞争特点而设计的。这个时代的特点是变化是缓慢的，逐步积累的，价值的创造主要靠资本与机器设备，因此管理者可以运用一些反应缓慢的战术性的管理控制系统来进行管理，例如预算管理。这些系统已不适应今天的动态、快速变化、人才才是创造价值的最大资本的环境。越来越多的公司无法忍受预算行为对公司员工创造力和主动性带来的危害。而知识经济时代员工创造力和主动性却是企业价值创造的主力军和决定性力量，这就对预算管理的改进提出了迫切的需求。

全面预算管理是战术层面的管理系统，目前众多的全面预算管理书籍都说预算编制的基础是基于企业的战略，但战略目标和战略具有很强的概括性，预算这种战术性的管理系统是不能直接以战略为依据的,从战略到预算需要一套系统来链接。平衡记分卡体系（包括战略地图）能清晰的描述战略、并通过具体的目标值与指标来衡量战略的执行情况；平衡计分卡有将战略与管理系统进行衔接的能力，全面预算管理作为战术层面的管理系统只有建立在平衡计分卡的基础上才能与战略紧密的链接起来并把战略在财务系统上体现和落实下来。预算如果符合和支持平衡记分卡指标的目标和措施，则最终将对企业的战略目标和战略的实现产生积极作用。

基于平衡计分卡的预算管理相比传统预算管理有以下优势：

1、过程管理与目标管理并重。平衡计分卡既注重对经营目标完成程度的管理，又注重对经营目标实现过程、驱动因素的管理。基于平衡计分卡的预算管理系统能使过程管理和目标管理并重，使我们既能监控企业财务目标完成情况，更能关注内部经营过程、学习与成长这两个驱动因素和顾客与市场的结果指标来全面地掌控财务目标的实现过程、差异与变动原因，从而实现了企业的过程管理与目标管理相结合。

2、财务指标与非财务指标并存。单一的财务目标容易助长短期思维，阻碍公司对能力发展和价值定位所需要的中长期投资。如果我们的预算管理（从编制到测量分析）是从客户、内部经营过程、学习与成长等非财务指标出发，就能使我们的管理者更系统更全面地考虑问题。

3、短期目标与长期目标平衡。由于平衡计分卡使用非财务指标和因果关系链，囊括了几乎能够影响企业业绩的所有重要指标，各指标间存在紧密的因果关系，因此它能够帮助企业寻找其成功的关键因素和相应的关键绩效指标，通过这种因果关系链，企业可以将其长期目标层层分解为短期目标，在此基础上确定企业付诸行动的长期战略目标，使其不脱离实际，具有可行性。这样当企业实现了经过自上而下分解的短期目标时，实质上在向长期战略目标靠近。从而预防了管理人员可能出现牺牲企业的战略利益以实现某些方面的短期目标的行为。

基于平衡计分卡的预算编制流程：首先将企业的战略分解为一系列战略主题，画出战略地图并形成不同层面的战略目标；确定股东价值差距（财务层面）,调整客户价值主张，确定关键成功因素，运用平衡计分卡将战略地图目标转化为指标和目标值；最后，为实现特定指标的目标值，制定行动方案和工作计划，就能据此编制出紧紧围绕战略执行的预算了。

参考文献：

[1]刘俊勇.化战略为预算——基于战略地图的预算编制.中国总会计师.2006.

[2]高晨.企业预算管理——以战略为导向.北京:中国财政经济出版社.

[3]卡普兰,诺顿.平衡计分卡:化战略为行动.广东经济出版社.2004.

[4]卡普兰,诺顿.战略地图:化无形资产为有形成果.广东经济出版社.2005.

[5]卡普兰,诺顿.平衡计分卡战略实践.中国人民大学出版社.2009.

IT运营问题管理探究 第12篇

关键词：IT运营,问题,管理,流程,方法

1 前言

在日常IT运营中，有很多突发事件和问题纠结，使我们的日常工作陷于混乱无序中。要从根本上减少或消除突发事件的发生，就要通过问题管理方法与流程设法找到突发事件的根本原因，采取根除这些原因的措施，彻底消除突发事件或潜在的突发事件。

2 问题管理的相关概念

问题是指一个或多个事件的原因。问题管理的三要素是挖掘问题、表达问题、解决问题。其中，挖掘问题包括发现问题、分析问题和界定问题；解决问题包括制定解决方案、实施解决方案和跟踪反馈；表达问题不是独立的环节，而是体现和融入挖掘问题和解决问题的每一个环节之中。问题管理的目标是将IT系统内由错误引起的故障对业务的负面影响减到最小，并预防这些相关的故障的再度发生。问题管理和故障管理的不同。故障管理强调故障恢复的速度；问题管理强调的是找出故障产生的根源，从而制定恰当的解决方案或防止其再次发生的预防措施。问题的来源主要有以下几个：

服务台或一线/二线支持人员在处理故障时，在服务恢复后认为仍需对故障进行后续分析处理的，可以结束故障处理流程，创建新的问题单（问题单应该和故障单建立关联），启动问题处理流程；

在维护过程中发现的潜在故障，尚未影响业务的，应创建问题单；

定期工作分析会中对故障进行趋势分析发现的问题，应创建问题单；

问题管理的组织架构包括问题管理员、问题处理团队和问题经理。问题管理员的职责是跟踪问题的处理情况，督促问题处理，在问题解决后进行复核和归档；问题处理人员的职责是对问题进行分析，查找问题根源，针对问题可能引起的故障制定应急处理方案；制定问题的解决方案或变通方案、解决计划等，然后落实处理方案，解决问题或减少问题发生。问题经理领导问题处理团队的工作，负责进度控制、质量控制和资源协调，并对问题的解决负责。问题经理向问题管理人员负责，定期向问题管理人员汇报问题处理进度。问题经理由问题管理员指定。

3 问题管理流程

解决问题一般自上而下分析，由问题管理员牵头组织进行问题处理、协调、评估和管控，以实现充分调动资源，提升执行效果的目的。问题管理流程如右图。

对于故障处理和维护过程中发现的问题，问题管理员先对问题进行分类和划定优先级；并指派相应系统的一线维护责任单位负责人作为问题经理，负责问题的解决，和问题经理商定问题解决期限；问题经理负责组织本单位人员成立问题处理团队。

如果找到了问题根源，在制定解决问题的方案之前，需要先制定应对该问题可能引起故障的应急处理方案（排障方案），记入知识库，以便提供给故障处理流程使用。应急处理方案中应该描述该问题可能引起的故障现象，以及迅速排除故障、恢复服务的方法。为了保证及时地制定故障处理方案，减少故障发生时对业务的影响，需要限定问题处理团队从开始工作到制定应急方案的时限，根据不同的问题优先级，有不同的时限要求。问题管理要建立问题升级制度，当问题处理团队无法解决问题时，可向问题管理人员申请问题升级，请求其他技术专家参与，或者请求高级别领导进行协调。升级的原因一般有两种：一是因为技术处理能力不足需要升级，增加团队成员；二是需要高级别领导协调。

问题处理团队制定问题处理方案，根据需要制订方案的实施计划、回退方案等。如方案实施对业务有影响，则需要先在测试环境下测试通过。问题处理方案有两种：一种是彻底解决问题的方案；如果因为受到资源或者是技术条件的限制，无法彻底解决问题，那么问题处理团队应该给出变通方案。变通方案可以是技术措施，也可以是业务措施，或者是客服的解释口径。变通方案不能彻底杜绝问题的再次发生，但是可以减少问题发生的几率，或者是在问题发生时的补救措施。

问题管理要建立问题处理结果评估制度。每个问题都由问题管理人员牵头组织相关部门和人员进行处理结果评估，评估通过后方可结束该问题。参与问题处理结果评估的人员根据问题性质和影响范围由相关技术部门和业务部门相关人员组成。在确定评估参加人员时应注意避免由问题处理团队人员的本单位人员进行评估。问题管理人员负责管理问题知识库。对成功通过评估的问题，问题管理员将问题处理过程所有相关记录输出为“已知问题”记录，记入知识库，并关闭问题。

4 问题管理方法

问题管理采用分级管理，应设立专人做问题管理员。针对每个问题指定问题经理，问题经理管控问题的具体执行进度、方案、资源等，并对问题管理人员汇报。问题处理团队对问题经理汇报。

问题的管理采用类似项目管理的方式，问题管理员和问题经理之间、问题经理和问题处理团队之间以项目计划作为主要的沟通和管控工具：问题处理团队在开始工作之初，就需要在问题经理的领导下制定详细的工作计划，标明关键的里程碑；问题经理就该工作计划和问题管理人员进行沟通，并获得问题管理人员的同意；在工作过程中，问题经理要不断追踪计划的执行情况，并按照汇报时间要求定期向问题管理人员汇报；如果因为某种原因需要调整工作计划，也需要向问题管理人员汇报并获得问题管理人员的同意。

问题管理员根据问题影响范围和重要性，判断问题优先级。问题管理人员主要根据问题优先级来协调问题处理团队的资源和工作计划，当资源不足时，先处理优先级高的问题。如果同一个问题处理团队同时在处理多个问题，可以将多个问题的处理计划合并在一起向问题管理员汇报，以方便表明资源的争用情况和问题解决的优先级。

问题管理员每月回顾和产生问题管理报表，统计本月所有历史、新提出、解决中、按计划已经解决、超计划未解决的问题数量。对没有解决的问题，应召开问题管理会议，对这些问题进行评估，决定是否要修改问题处理计划，或者增加资源支持。

5 结束语

问题管理是ITIL五个服务管理之一。通过问题管理可以极大地减少IT事件的数量和IT部门的工作量，提高IT人员的工作效率，提升IT服务质量和管理水平。IT运营问题管理方法需要进一步进行研讨和实践，管理流程根据实际运行情况，需要进一步进行优化，使问题管理更加高效、有序、常态化。

参考文献

[1] (荷兰) 博恩 (Bon, J.V.) 主编;章斌译.IT服务管理—基于ITIL的全球最佳实践.清华大学出版社.2006.1

[2]陈宏峰, 张亮, 黄新峰, 黄爽, 翰纬.翰纬ITIL v3白皮书.IT管理研究咨询中心出版.2007.7