认识来谈的,我主要从理论的角度谈谈我的理解。目前来看,银监会对于IT风险的定义是比较全面的,它符合当今世界全面风险管理的发展趋势,是一个全生命周期的风险。而IT风险管理目前在研究和实践中都还没有一个统一的定义。
在我看来,IT风险管理,已经从狭义的IT技术风险发展到了IT全生命周期管理的阶段,因此,IT风险管理也可以称为“IT全面风险管理”。综合比较主流的IT风险管理定义,不妨可以对IT风险管理给出这样的定义,所谓IT风险管理是指围绕信息化战略目标,通过在信息系统的规划、开发与建设,运行与维护,监控与评价管理的各个阶段中执行风险管理的基本流程,包括风险管理策略制定、风险识别、风险评估,进而选择适当的处理方法加以控制、处理,达到信息化可持续发展的目标。
三位的表述虽然略有不同,但是都谈到了IT风险与业务的关系。是不是只有当企业的业务与IT足够紧密时,才会考虑IT风险管理?王宇文:在信息化发展的初期,信息系统使用得比较少,这种情况下,产生风险的概率自然比较低。因为大部分的业务流程与IT都是脱离的,不论IT的状况如何,业务都能照常进行,从业务角度来看,IT带来的潜在风险就微乎其微。随着业务流程对IT依赖程度的不断加深,IT的作用变得越发明显,IT可能对业务带来的潜在风险也就会更多,相比之下,这时候IT风险管理也就显得更加重要。
但是,并不是说只有信息化发展到业务与IT足够紧密时,才应该考虑IT风险管理。在信息化的前期,虽然信息系统比较少,仍然需要适当考虑IT风险管理,因为风险的规避更多的是未雨绸缪的工作。
从中海油的经验来看,也确实是这样,IT系统建设的时候,我们就同步把很多风险管理和内部控制的内容考虑进去,这样做显然比IT做完了再去考虑风险和内控,进而对IT进行改造,要更有优势。
业务流程是企业战略落地的具体实现,IT系统就是业务流程的自动化,IT风险管理就是流程风险管理的一部分,而IT系统本身也是降低业务流程风险的手段。目前,国际OCEG组织提出的GRC框架也定义了IT系统在企业治理、风险及合规管理中的作用和标准。
王东红:“只有当企业的业务与IT足够紧密时,才应该考虑IT风险管理,”这句话看起来有些道理,却很不全面。IT风险,不仅是IT本身的风险,IT对企业的流程、战略等都会造成潜在风险,只要一部分流程依赖于IT,就有可能产生这种风险。另外,在信息系统建设初期,虽然业务与IT的紧密程度很低,但是这时候往往是企业对信息化建设进行大规模投资的时候,这些IT投入的产出也是有风险存在的,这也是IT风险的一部分。
景忠:是否应该考虑IT风险管理,我觉得这其中更多地与企业的业务类型有关。如果企业的业务虽然密切依赖IT,但是如果业务能够承受IT停顿带来的风险,那么,不考虑IT风险管理也可以。同时,还要与IT风险管理本身所产生的成本进行权衡。
IT风险包括的内容很多,在信息化发展的不同阶段,可能IT风险管理的侧重点会不同,比如大规模建设时期,可能重点更多的是放在IT投入的风险上,而当大规模建设初步结束之后,更多的是从维护业务稳定等方面考虑IT风险。
对IT风险进行管理的前提,是先识别IT风险。在识别IT风险方面,民生证券有哪些做法?
景忠:证券行业的特殊性让我们对风险管理一直非常重视,IT风险管理也是整个风险管理工作中非常重要的一部分。从目前的组织架构来看,涉及到 IT风险管理的主要有IT决策委员会、风险管理部和信息技术部。IT决策委员会主要从战略发展的高度对IT投入进行把控,降低I