IT建设管中的风险理财大毕业论文.doc

大学自学考试本科毕业论文论 文 题 目： IT建设管中的风险理 摘 要随着信息化经济时代的到来，IT项目被越来越多地应用到各行各业。IT项目的管理研究也越来越受到关注，但是在IT项目建设中，风险在项目建设中的影响很大，往往给项目的推进和项目的成功带来损害或威胁，这是不以人的意志为转移的。IT项目风险管理研究在国外己有十多年的历史，但我国尚未普遍开展IT项目风险管理的研究和实践，总结前人的经验教训、探讨适合我国国情的风险管理体系是论文的理论意义。本文首先对项目管理、IT项目、IT项目风险管理等理论进行了阐述，然后回顾和研究了国内外发展现状，了解项目管理包含的知识领域和项目中的几大过程，阐述风险管理在项目管理中的重要性。在文章最后，着重提出了IT项目风险管理中“人”的风险因素分析，并结合前人，提出了相应的应对对策。【关键词】： 风险管理 信息化 项目建设 信息技术SummaryAs the information economy of the times, more and more IT projects to be applied to all walks of life. IT project management research more and more attention, but in the IT projects, the project risks in the construction of a great impact on the progress of the project are to the success of the project and bring harm or threat, and this is not of mans will transfer. IT project risk management study abroad has 10 years of history, but has not yet been generally carried out in China IT project risk management research and practice, summed up the experiences and lessons of their predecessors; suitable for Chinas national conditions of the risk management system is paper theoretical significance. This article first project management, IT projects, IT project risk management theory was expounded, and then review and study the development of the status quo at home and abroad, including the understanding of project management knowledge areas and projects in the eight major processes on risk management in project management the importance of IT projects. In the article finally, the focus on risk management in IT projects, people risk factor analysis, combined with our predecessors and the corresponding response measures.Key Words： Risk Management InformationConstruction projects IT (Information Technology)目 录第一章 引言411背景412研究课题意义4第二章 IT建设中存在的风险521信息社会中建设中的各种风险5第三章 IT项目风险管理的过程93.1 COSO企业风险管理框架93.2 COSO管理框架的主要内容：1034 降低IT项目风险管理的方案11第四章 适应IT风险管理的策略134.1 COSO框架下的IT风险管理框架134.2适用的IT风险管理框架164.3 IT风险管理框架各环节介绍:184.4 IT风险控制框架的实施步骤22第七章 结束语24第一章 引言11背景21世纪是信息项目化管理的社会,项目管理将成为社会管理。企业管理现代化的重要内容和技术手段。项目是在复杂的自然和社会环境中进行的,面临着多种因素的影响,风险无时不在,无处不在.由于人的有限理性,项目活动主体对风险往往不能进行有效控制,悲剧时常发生。随着社会的发展和科技的进步,人们对风险的认识也在不断发展。深化,风险不仅仅会带来损失,有时也蕴藏着机遇,而蕴含着机遇的领域又普遍充满着风险.在人类社会从工业经济向知识经济逐步发展过程中,面临着知识社会的高风险,因此我们必须正视风险,深刻理解风险的内在含义,系统掌握项目风险管理的理论和技术方法。 12研究课题意义项目风险管理(Project Risk Management)是现代管理科学的重要分支,是在经济学、管理学、行为科学、运筹学、概率统计、计算机科学、系统论、控制论、信息论等学科和现代工程技术的基础上,结合社会发展和科技进步而逐渐形成的边缘性学科。项目风险管理问题起源于第一次世界大战中战败的德国,20世纪30年代在美国得到了发展,50年代以来受到了欧美各国的普遍重视和广泛应用,特别是20世纪80年代以来,随着高新技术的快速发展,以及经济的全球化,项目风险管理研究逐步向系统化。专业化的方向发展,管理范围和应用领域也不断扩展,特别是在工程领域。金融领域得到了高度重视和快速发展。我国目前对项目风险的管理仍是一个薄弱环节,风险意识不强,风险管理机制不健全,没有真正形成项目动态风险管理的机制和模式。因此,项目风险管理的研究对促进我国经济稳定、持续、快速的发展具有重大的现实意义。第二章 IT建设中存在的风险21信息社会中建设中的各种风险I.信息化面临的风险九十年代以来，信息技术得到了快速的发展和广泛的应用，信息化已成为全球经济社会发展的显著特征，并逐步向一场全方位的社会变革演进。当前，信息技术己深入到各行各业，甚至影响并改变着普通百姓的生活方式，信息资源也日益成为重要生产要素、无形资产和社会财富。由于国内经济的持续增长为信息化提供了良好的外部环境和充足的投入资金，各行各业的信息化呈现出一派欣欣向荣的景象，我国信息化在推行电子政务、振兴软件产业、加强信息安全保障、加强信息资源开发利用、加快发展电子商务等方面取得了可喜的进展。同时，信息化的应用也有力地推动了中国的经济持续增长、产业的升级、竞争力的提高，信息化与经济发展形成了良性循环。从二十多年的信息化实践来看，目前我国的信息化正处在一个由初级水平的投入期，向中高级水平的见效期过渡的关键时期，信息化的重点己从注重对行业和企业的覆盖，注重硬件产品的配备，逐步过渡到强调整合和开发利用信息资源，对客户需求做出快速反应，提高应用水平和服务质量，使组织的价值最大化。在这一阶段信息化的机会与风险并存，许多以前还没有涉及的深层次问题都会一一暴露出来，这将考验我们是否已经做好必要的思想准备和采取有效的应对措施。.IT治理风险中国的信息化建设仍然属于人治时代，信息化的随意性较大，企业还没有就信息化形成相关的制度，缺少对信息化进行整体规划、实施与控制的决策机制和责任担当框架。信息化成功与否往往在很大程度上取决于最高管理层对信息化的理解和个人领导力大小的影响，这种不确定性增加了组织的信息化风险，这是IT治理风险的宏观体现。组织在信息化过程中所涉及IT规划、实施、运行、检查等一系统IT流程，缺乏制度化与标准化的约束，缺乏部门之间及流程之间协调、沟通的机制，造成IT系统与业务需求的“逻辑错位”，同时也造成了一个个的 信息“孤岛”，这是IT治理风险的微观体现。如何在组织中建立较完善的IT治理机制，使信息化的决策与实施成为组织中的一种完善的制度存在，己是摆在我们面前的迫切任务。.IT可用性风险而随着信息化的深入，组织的核心应用系统都己构架在IT平台之上，越来越多的政府、商业、教育等机构的业务正常运行离不开IT系统。随着IT技术的高速发展，IT平台（如硬件、网络、系统）的复杂性越来越高，各种系统漏洞层出不穷，频繁的停机事件令用户穷于应付；就算是IT技术系统没有漏洞，也不等于就能提供优质的IT服务；另一方面，国内许多组织不能建立有效的故障管理、变更管理、配置管理等IT服务管理流程也是造成IT系统停机的原因；缺乏必要业务连续性计划也是造成IT可用性降低的重要原因。IT系统的停机将使组织的业务受到巨大损失、造成声誉下降、竞争优势丧失。2006年几起信息安全事件，如：银联计算机故障造成不能跨行取款，首都机场离港系统故障造成大量旅客滞留机场，5月份开始的A股交易量连续井喷造成多家证券公司出现“堵单”等事件，就生动地告诫我们，由于脆弱的基础设施和IT管理流程，使得这种不断增强的对IT的依赖性就是潜在的风险。.信息安全风险在信息化的整合见效期，对组织而言信息比以往具有更高的价值，而信息固有的弱点决定其易传播、易毁损、易伪造。互联网给我们带来便利的同时，网上行动的远程化以及互联网“无政府状态”，使得信息安全面临严峻的挑战，即使是一个中学生，通过黑客网站的简单培训，也能发起具有危害性的攻击。目前互联网上黑客网站已超过3万个，一些有影响力的黑客网站的会员超过万人。黑客攻击网站的行动此起彼伏，造成许多商业网站、政府网站被入侵，大量网银用户网上银行存款被盗，许多敏感机密信息被泄露。据统计去年产生的电脑病毒和木马的数量达到23万个，其中90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网的安全。第一毒王“熊猫烧香”病毒己造成超过一千万的个人及企业用户中毒，直接及间接经济损失高达亿元以上。.IT绩效风险国内在信息与信息系统上的投资规模与成本都在不断扩大，高投入带来了高风险。根据商务部研究院信息咨询中心提供的数据，2005年我国在信息化改造提升方面的投入达到了2829亿，2006年是3227亿元，预计2007年将达到4236亿元。从2005到2007年中国行业信息化投入的绝对增加额将达到 1300亿以上，未来几年行业信息化IT投入将进入了高增长期。如果IT投资行为如果不能带来合理的回报，将使组织面临巨大风险。这几年国内信息化失败的案例比比皆是，如果规划不当、控制不严，IT系统不能带来预期的业务价值，那么，巨额的信息化投入很可能造成新一轮的“投资黑洞”IT绩效风险另一表现就是对IT的投资绩效和运行绩效不能进行有效测量。不能测量意味着无法了解当前IT系统的“健康状况”，就不能有效地发现存在的问题，并采取有针对性的改进措施。.合规性风险由于IT在社会和经济生活越来越充当重要角色，国内外近年来出台了许多法律法规加强对IT的监管。例如，2002年美国国会发布了萨班斯奥克斯利法案，在这个法案中明确提出了所有上市公司都必须加强风险管理，建立有效的内部控制框架，以确保上市公司遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。在美国上市的公众公司需要投入大量的人力、物力和财力来建立内部控制，中国在美国上市的中石化、中国人寿、新浪、亚信等企业也为此付出了巨大的努力。据美国Financial Executive International组织对321个公司的调查显示，在一个规模比较大、年营业收入超过50亿美元的公司，建立此体系至少需要470万美元，维系其运转需要每年150万美元。虽然萨班斯法没有直接明确对IT的要求，但企业在实施符合法案要求的内控过程时，发现IT方面的工作量竟然占到了40%以上，这是因为一方面IT要作为管理组织业务风险的工具与手段，例如，对财务应用系统的机密性、完整性控制，以及对业务交易信息的监督与数据采集都离不开IT系统；另一方面IT本身的风险，例如网络风险、系统风险、应用风险，也是萨班斯法关注的重要内容，特别是如何使已有的IT流程和应用系统中的控制符合萨班斯法的要求是CIO最为头痛的问题。近年来，国内行业主管部门一直在要求企业加强风险管理。2004年9月30日中国银监会发布了商业银行内部控制评价试行办法，旨在为规范和加强对商业银行内部控制评价，督促商业银行建立内部控制体系，健全内部控制机制，保证商业银行稳健运行，其中包括了对建立银行计算机系统内部控制的要求。2006年3月1日银监会发布电子银行业务管理办法和电子银行安全评估指引，直接对技术风险较大的电子银行提出了进行独立的或相对独立的信息系统审计的要求。与此同时，其他行业监管部门也准备出台类似的风险管理措施。中国财政部于2006年10月发起成立企业内部控制标准委员会，其目的是为推动企业完善治理结构和内部约束机制。企业内部控制标准委员会的成立，预示着我国企业在内部控制方面将迎来一部类似美国萨班斯法案的标准体系，届时必将对IT风险控制提出相应的要求。这些方面并没有涵盖所有的IT风险，反映的问题也只是冰山之一角，不同的行业在不同的时期，其IT风险有着不同的表现形式。在应对这些IT风险时，我们也曾有过各种风险控制方法和模型，但一般都是针对技术风险提出来的，偏重于某一技术领域，而且大多是采用事后反应式的控制措施。在信息化的整合见效期，这种单一的“救火模式”将使我们疲于应付各种层出不穷的风险。特别对于像制度、流程、人员行为等方面有可能涉及组织核心价值的风险，传统的控制方法存在明显不足。科学合理的IT风险管理体系应当具有前瞻性的、全局性的控制机制，能融合防范与应对信息安全、IT治理、IT管理、IT服务、IT应用、IT项目、IT基础设施、业务连续性、IT外包等方面的风险，并能有效地指导组织控制IT风险，使IT战略与企业战略相融合，促进IT为组织持续地创造价值，以实现有效益的信息化。简单点来讲IT建设中常见的风险点有以下几条：1、对IT建设的目标、效果预期不明白、不清楚；2、对IT建设将会带来的业务、流程、制度、管理方式的变革，以及在实施信息化之前要进行的管理变革的难度没有思想准备；3、对建设的范围、策略、步骤不清楚或者执行不到位，导致信息化越做越偏离目标；第三章 IT项目风险管理的过程3.1 COSO企业风险管理框架在研究与探讨IT风险管理框架时，让我们先跳出IT，从行业监管者及企业管理者的角度来观察是如何管理企业风险，顺着这样的思路，接合我们国内IT风险控制的具体情况，我们建立一个既符合COSO要求，又能指导企业一步步实施对IT的风险控制的IT风险管理框架。从行业监管者和企业管理层来看，对企业风险进行控制是保护企业核心竞争力的有效手段，IT风险是企业风险管理的有效组成部分。不管是什么规模的组织，都需要有一套控制指南来有效地管理企业内外各种各样的风险，并随着业务环境的变化和新技术的发展及时更新，才能保证企业健康、持续地发展，有效的风险管理己成为企业发展的主旋律。COSO是行业监管者及企业管理者最常使用的风险管理框架。COSO企业风险管理框架于2004年4月由美国COSO委员会正式颁布。COSO委员会认为企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项，并在其风险容纳量(Risk Appetite)范围内管理风险的，为企业目标的实现提供合理保证的过程。此框架要求企业管理者以风险组合的观点看待风险，对包括IT风险在内的所有风险进行识别并采取措施使企业所承担的风险在风险容纳量的范围内。图3.13.2 COSO管理框架的主要内容：一、 风险管理目标：确定企业的战略；提高企业运营效率，取得好的经营效果；保证企业报告的可靠性； 遵循相关法律法规的要求。二、为达成以上目标，管理风险的主要过程有： 1控制环境任何企业的核心是企业中的人及其活动。人的活动在环境中进行，人的品性包括操守、价值观和能力等，它们是构成环境的重要要素之一，又与环境相互影响、相互作用。环境要素是推动企业发展的引擎，也是其他要素的核心。2目标制定在风险管理框架中，由于要针对不同的目标分析其相应的风险，因此目标的制定自然就成为风险管理流程的首要步骤，并将其确认为风险管理框架的一部分。3事项识别企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素，而且可能在企业各个层面上出现，并且应根据对实现企业目标的潜在影响来确认风险。4风险评估企业必须制定目标，该目标必须和生产、营销、财务等作业相结合。为此，企业也必须设立可辨认、分析和管理相关风险的机制，以了解自己所面临的风险，并适时加以处理。5风险反应企业风险管理框架提出对风险的四种反应方案：规避、减少、转移和接受风险。6控制活动企业必须制定控制政策及程序，并予以执行，以帮助管理当局保证其控制目标的实现，其用以辨认并用以处理风险所必须采取的行动业已有效落实。7信息和沟通围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。8监督整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。监控是一个评价内部控制运行组织的过程。9实施控制的地点组织的各个层面实施控制，例如，在总公司、分公司、业务单位、单位部门、实体层都需要建立相应的控制。项目风险按类别的分类可以分为四类，征对不同的风险需要不同的缓解工具，虽然不能完全消除风险的威害，但是可以起到降低风险所带来的负面影响。34 降低IT项目风险管理的方案 一、 商业运营风险一个评估要判断解决还是忽略某个具有挑战的威胁的风险。分析挑战性的威胁可以帮助企业决定是否投入必要的资源来战胜威胁。 判断如何对来自非传统的资源的挑战性威胁做出合理反映是非常困难的。例如，许多高技术企业都认为微软只不过是一群哈佛的退学生而已。他们因为没有理解到这个风险而付出了沉痛的代价。 适当的缓解工具是一个可以评估所有相关风险的良好的商业情况。对于新的商业机会来说，一个彻底的风险评估对于成功来说，就像是精确投入资金一样重要。 二、计划风险对于通过的或者现有的计划来说，管理的关键集中在计划或者项目是否会在预算之内，高质量的按时交货。风险可以通过有效的项目管理和定期监控来降低。 三、业务中断风险这种类型的风险影响了公司在困难的环境下继续运营的能力。场景从崩溃的服务器到被毁灭的建筑物，范围极其广泛。在大多数情况中，一个崩溃的服务器对于某些人来说只引起了微小的问题。相反，一个被毁灭的建筑物可能让所有的企业运行都停顿下来了。 风险可以通过持续的运行(COOP)计划来降低，这个计划描述了业务如何在各种困难中继续运转。大多数企业在开始的时候都会为数据中心准备了IT灾难恢复计划(DRP)。最终，DRP需要被扩宽，以便将重点集中在重新存储业务处理和发展为一个成熟的COOP计划上。 四、市场风险 这种类型的风险可以划分为地域和特定行业的风险。地域风险包括战争，恐怖行动和瘟疫，还有国家和进口限制。这些风险根据不同的国家、社会供应链的复杂度，以及该行业对于政治领导人的重要意义而有所区别。特定行业的风险也是多种多样。例如，金融服务必须通过信用挤压，债务抵押义务的彻底崩溃，以及结构化投资手段来进行竞争。消费产品制造商可能会因为“flash mobs”通过社会网络倾销他们的产品而感到苦恼。 场景计划可以通过制定应对各种不可能的事件的反应来降低风险。最重要的是，它尝试发现先前未知的风险，因为最危险的风险通常是你没有识别的风险。 采购行为特别是离岸增加了各个种类的风险。对这些风险的评估必须要解决类似通讯、逻辑困难、供应商变化，以及知识产权等特殊的关键点。 在着手开始任何风险评估之前，弄清楚哪个类型的风险对于你的执行管理来说最为紧要。然后选择合适的风险降低工具来解决潜在的困难。根据财务结果，风险的保单才会被批准。 彻底的风险评估可以为解决潜在威胁的结构化准备带来创造性的思维，这些创造性的思维对于成功至关重要。正如那句流传已久的格言所说，“预先警告就是预先武装。” 第四章 适应IT风险管理的策略IT建设就是要沿IT规划这条路走下去，将蓝图变为现实。首先要做简单的需求分析、选型、数据准备、流程优化；然后实施、二次开发、系统切换，最后系统上线及维护。需求分析的原则是准确，应做到不重不漏，深度适宜；选型嘛，只选对的，不选贵的，从厂商综合实力、系统质量（功能与需求的匹配、技术先进性、可集成性、二次开发量及难易程度等）、价格、售后服务等几个维度衡量；数据准备要扎实、流程优化要实际；至于实施与二次开发，重点是质量、成本与进度，实在是一言难尽，需要考虑的东西太多了，个中滋味，自己体会，是一两篇文章所不能说清楚的。IT建设的重点考虑的因素包括：人员与能力的匹配、需求的把握、数据标准化、项目实施、系统集成等，其中基础是需求的把握、数据的标准化，关键是是项目实施和系统集成，人员与能力匹配是基础的基础。IT建设需要各层面的协同：一把手领导、业务部门主导、IT部门支撑。也就是说，一把手是把握方向、强势推动，主要解决的问题是方向的正确与阻力的克服。业务部门要对项目的实施效果负责，制定整体计划、协调内部资源、推动习惯的改变与系统的使用，主要解决的是需求、推动与协调。IT部门要把好技术关，做好技术支持，培训好用户，项目中的具体技术活都是IT部门的事情，解决的是技术问题。IT建设是一个周而复始，持续改进的过程，每个周期开始前都需要系统评估。如果继续前面的比方，IT建设就是买合适的车（系统选型），理好货（数据标准化），选好站（流程优化）、学会开车、坐车（实施及培训使用），不同运输方式的衔接（系统集成），使货物（数据信息）顺畅、高效的到达目的地。4.1 COSO框架下的IT风险管理框架COSO风险管理框架是各上市公司为符合萨班斯法案要求而采纳的主要方法，我国银监会发布的商业银行内部控制评价试行办法也采用了COSO内控体系的方法论，其中也涉及了IT内控制的内容。企业在实施风险管理过程中，四个目标都应当有IT的相关内容，其八个过程也有相应的IT内容，例如：COSO的“控制环境”对应着IT的“IT治理、法规及标准符合性”，“风险评估”对应着“IT风险评估及影响分析”等。这八个方面的各项控制又可进一步分三个层次的控制，一是公司层控制、二是应用层控制，三是一般控制层或称基础层控制。A、公司级控制公司级控制主要与COSO中的控制环境及风险评估有关，为一般控制和应用控制设置基调。公司级控制一般包括以下内容：最高管理层设定的基调与方向；职业道德中的正直性、价值观、胜任能力；IT管理哲学和业务运行类型；对IT管理层的授权与责任；IT政策与程序；IT组织中人员的责任与技能。B、应用控制应用控制是为保证业务过程的正常运行，而设计在应用系统中控制措施，以防止和检测错误的和非授权的交易，保证交易处理的完整性、准确性、合法性及适当授权。一般在应用系统中的以下环节建立应用控制：进行计算时；实施数据合法性验证和编辑检查时；与其他系统有数据接口时；管理层需要依靠应用系统进行完整、准确的排序、汇总和报告关键信息时；限制对交易和数据访问时。C、一般控制一般控制就是保证计算机信息系统能够以持续、正确的方式运行的政策与程序，包括数据中心运营、系统软件获取与维护、访问安全、应用系统开发和维护等内容。一般控制能对通过编程实现的应用系统控制机能提供支持，一般控制有时也称为一般计算机控制和信息技术控制。一般控制过程主要包括：安全管理；应用系统变更控制；数据管理；灾难恢复；数据中心运营；问题管理；资产管理。IT风险管理的过程也类似于企业风险的过程，主要有以下风险识别、风险分析、风险处理、风险监督、风险报告及改进的过程(图4.1)：图4.1以上三个层次的IT风险管理，在组织中可以分阶段地通过一个个的IT风险控制项目，例如COBIT (Control Objectives for Information and related Technology, 控制框架)、ISMS(Information Security Management System, 信息安全管理体系)、ITSM( IT Service Management，IT服务管理)、BCP(Business Continuity Plan, 业务持续性计划)、CMMI(Capability Maturity Model Integration, 能力成熟度模型集成)等进行实施，也可以选择其中的某些过程进行整合后实施（图4.2）。图4.2对于所建立IT内部控制措施是否能有效地控制风险，还需要通过第三方对组织内部措施的有效性进行独立审计，出具审计报告，以证明内部控制措施完备性。以上过程是许多上市公司在建立符合萨班斯法要求的IT风险控制框架时的主要方法，这种方法的主要优点是把IT风险放在企业风险的高度进行管理，容易得到管理层的理解与支持，涉及的风险较全面，控制与改进的方法较完备。缺点是控制的粒度还较粗，还不能适当对IT进行精细控制的要求。4.2适用的IT风险管理框架我们结合以上内容，进行合理扩充并增加控制的粒度，提出了一套适应我国IT风险实际情况的控制框架。一、建立信息化的“游戏规则”建造一个信息系统是容易的，让这个系统正常地运转起来并能实现业务价值，则是现实的难题。虽然采用先进的IT技术与产品、优秀的管理方法在一定的程度上能降低IT风险，但并不十分保险，只有通过为IT引入一定的结构、规则与标准，使IT在“他律”（IT治理）的基础上进行“自律”（IT管理），才能使得IT风险在一定的框架内上下左右浮动，不超过企业计划中的风险范围。这个框架就是IT风险管理框架，也可以称为IT的“游戏规则”，忽略了规则的建立是国内信息化成功率低的根源，我们应当把建立信息化的“游戏规则”看成是信息化的重要内容之一。二、IT风险管理框架的目标完善IT风险控制体系，降低IT成本，实现IT与企业战略、管理、业务、安全的深度融合，使IT为企业持续地创造价值，有效率并有效果地进行信息化。三、IT风险管理框架的原则建立IT治理机制，使IT治理成为公司治理的一部分，在组织的最高决策层上对信息化的进行监管与制衡；对IT进行规划，确保IT战略与业务战略的一致，信息化一定要为业务所想、为业务所用，IT与业务的分离是信息化面临的最大风险。在总体规划指导下进行应用、数据和技术方面的架构设计，以获得标准化的技术规范与指南。在技术与管理上保证和各种异构IT资源能在统一的架构环境下，实现协同工作、无缝地进行数据交换。采用国际上得到普遍认可的IT控制标准（例如：COBIT、ITIL、ISO27001）及行业最佳实践，为信息化管理提供规范和标准；识别组织中的重要IT过程，确定其目标、功能与职责。梳理出纵向上的技术管理过程和横向上的客户服务过程，推行过程管理的思想；持续地评估IT绩效，可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估，以了解当前IT状况，为及进的调整与改进提供依据；通过PDCD的过程，即计划、实施、调整、改进的循环，使信息化保持在可持续发展的轨道上，阶段性地进行信息系统审计，以发现存在的偏离，及时调整到信息化的最终目标上来。根据IT风险管理的目标和原则，我们给出IT风险管理框架的一种具体实现，其步骤如下图4.3所示：图4.34.3 IT风险管理框架各环节介绍:一、完善IT治理结构从宏观上来说，IT治理要综合公司治理结构、企业战略规划，使IT治理作为公司治理的一部分，也就是要确定IT原则、IT架构、基础设施、应用设施和投资优先顺序的决策权归属和职责分工。通过建立IT委员会的方式来建立良好的治理结构，通过对权力的监督与平衡，就可把IT战略风险与管理风险控制在一定范围内，那么无论由谁来领导，IT的建设就不会大起大落。从微观上来说，为保护IT与业务目标一致，有限利用IT资源，提高绩效，降低风险与控制成本，需按照国际普遍接受的企业内部控制标准COBIT，在IT的计划与组织、获得与实施、交付与支持、监控四个领域建立IT控制过程，有效地控制IT建设的整个生命周期的风险。二、业务需求识别当前企业竞争激烈、内部变革频繁，要实现IT与业务的融合，就需要建立一套具备一定适应能力，能够识别不断变化的业务需求，并能够快速有效地作为响应的机制。业务需求是促进IT发展的源动力，准确、及时地捕捉组织的业务需求，并使之成为信息化建设与调整的依据，这是降低IT风险的可靠保证。对业务需求的识别，需要IT人员了解企业的业务流程，并站在业务管理者的角度思考企业发展的重大问题，这对IT人员的提出了新的挑战。三、业务建模信息化项目无论是网络建设、安全建设，还是应用开发，都需要了解组织特征，确定业务流程，应当在信息化之前就为组织建立可靠的业务模型。业务建模可以创建一个复杂业务的抽象描述，使其成为同业务中各项目相关人员(如拥有者、管理者、雇员和客户)交流的基础。一旦能更好地理解业务功能，我们就能较容易地完善业务流程，较容易地发现、识别新的业务机会(即业务的完善或革新)，并为网络建设、安全建设及应用开发提供准确的需求定义。四、数据标准化“信息孤岛现象”是信息化的另一个较大风险，现在许多行业都在进行数据大集中，但遇到很多问题，进展缓慢，这都与没有做好前期数据规划、实施数据标准化有关。IT系统的建设首先要以数据为中心，数据是稳定的，处理是多变的。数据标准化可以根本上解决数据质量控制问题，减少数据处理系统中数据元素总数，提供便捷而准确的信息，用户方便快速地检索到所需信息。数据标准化为提高信息的互操作性、减少信息孤岛、降低信息化的风险奠定了基础。五、IT规划与架构设计IT系统规划是以组织的目标、战略、目的、过程以及信息需求为基础，识别并选择建立哪种IT系统以及什么时间建立的过程。通过IT规划，明确IT的投资方向，实现可控的IT投资成本，在有效地管理信息化有关风险的基础上，获得可持续改进和提升的IT能力。有效的IT规划可以将组织战略目标转化为IT系统的战略目标的过程，是现代企业的战略规划的重要组成部分，是企业商业模式创新的最好机会，是企业管理系统变革的准备和前奏。在总体规划的指导下，需要进行企业的整体IT框架设计，IT架构由应用、数据、技术架构构成，架构为IT标准化提供了依据和框架，有力地指导IT标准化的工作。IT标准化是架构应用的手段，是架构“落地”的工具，同时，在标准化过程中整个架构逐步完善。六、IT业务流程优化按照国际通行的IT控制框架，建立并优化从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面的多个信息技术处理过程。从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性。七、建立信息安全管理体系建立信息安全管理体系是建立信息安全防线的起点，ISO27001是一个可以指导组织安全实践的信息安全管理标准，它从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系，保障组织的信息安全“滴水不漏”，确保组织业务的持续运营，维护企业的竞争优势。八、IT服务管理IT服务管理是一种以流程为导向、以客户为中心的方法，它通过整合IT服务与组织业务，提高组织IT服务提供和服务支持的能力及其水平。建立有效的IT服务管理体系有助于为组织提高IT服务的有效性与经济性，可以消除 “信息技术人员充当救火队员”的局面。通过对业务支撑系统实施IT服务管理，对组织的各种资源进行优化，形成全面、统一、集中的管理构架及服务管理流程，确保信息系统企业发展提供可靠、经验、高效的信息服务。九、IT项目管理与监理IT项目管理就是以项目为对象的系统管理方法，通过一个临时性的、专门的柔性组织，运用相关的知识、技术和手段，对项目进行高效率的计划、组织、指导和控制，以实现项目全过程的动态管理和项目目标的综合协调与优化。在IT项目管理中，可结合PMBOK和 PRINCE2的方法，使PMBOK定位于项目管理知识架构，PRINCE2定位于项目管理实施指南。IT项目监理的中心任务是要规划和控制工程项目的投资、进度和质量三大目标;监理的基本方法是目标规划、动态控制、组织协调和合同管理；监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制以及合同管理和信息管理来对工程项目进行监督和管理，保证工程的顺利进行和工程质量。具体的监理办法可参照信息产业部发布的信息系统工程监理暂行规定。十、IT应急计划组织应当制定和执行应急计划，通过预防性和恢复性措施的结合，把灾难或者安全事故（例如可能由于自然灾害、突发事件、设备故障和故意的行为）所导致的破坏减少到一个可以接受的水平。IT应急计划呈现了在紧急事件发生后为了维持和恢复关键的IT服务所进行的范围广泛的活动。IT应急计划适合于广泛的紧急事件准备环境，包括组织和业务处理连续性及恢复计划。为了对影响组织IT系统、业务处理和设施的外部威胁作出反应，并恢复和保持连续性的活动，组织通常会应用一系列计划进行准备工作。 十一、IT资源协同IT资源协同可以通过架构设计、技术产品、管理协调、业务外包及建立共享服务中心等多种方式实现。其目的是实现信息共享、业务整合和资源优化，以破解“信息孤岛”、“应用孤岛”和“资源孤岛”三大难题。IT资源协同首先是对信息的高度共享。信息共享是为了最大限度的发挥其本身的价值，无论是企业管理者、员工、还是外部的合作伙伴，都可以很方便的查找到相关的信息以支持事务的处理，并利用信息创造新的价值。其次是对各个业务的整合。这些业务尽管更多的时候从属于企业的不同人员、不同部门，但本质上来说它们都是紧密关联的，并形成企业特有的业务体系，企业需要对各个业务进行充分的整合以使业务能够协调和平滑运作，任何业务链的“断折”或业务的“死角”都会对企业的运营产生影响。第三是对各种资源的调配和优化。这些资源包括企业的人、财、物、信息和流程，当企业实现了信息共享和业务整合后，企业的“神经网络体系”才能够高效和通畅的运转，并使这些资源能够突破各种壁垒和障碍，在企业统一管理和协调下为共同的目标实现而服务。十二、IT绩效测量对IT进行绩效测量无论是在国内还是国外都是一个难点。对IT进行绩效测量首先应当进行IT投资效益分析，使投资的成本和收益都明细化和具体化，以辅助进行IT投资决策和IT投资风险控制。其次，是对IT进行财务管理。IT财务管理包括IT预算、IT会计及IT计费。IT预算为IT的运营提供预算计划，从而为维持和改善服务预测未来的花费。IT会计核算保证了花费在批准的计划范围之内，并且使资金得到很好的利用。IT计费使我们对向一个特定业务单元提供服务的成本有一个更好的了解，并且使业务部门对自己的服务消费更加负有责任。 第三是进行IT绩效分析。持续地评估IT绩效，可以从整体信息化绩效、IT项目绩效及IT人员绩效等多个方面进行评估，以了解当前IT状况，使IT和业务部门都知道IT对实现业务目标的贡献是怎样的，帮助IT组织将工作与关键业务目标结合在一起，并通过客观评价报告和改进绩效，帮助组织获得业务部门领导的信任，为及进的调整与改进提供依据。十三、信息系统审计信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。由于信息技术在经营、管理领域的广泛运用，信息系统审计已经贯穿在各种审计之中，成为审计全过程的一部分。信息系统审计是一种控制信息系统风险的有效方式，它是从独立的、第三方的的角度来审视信息化过程中的各种风险，合理地鉴证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性，政策遵循的一贯性，并可对IT的绩效进行审计，以发现偏离，促进及进进行调整。4.4 IT风险控制框架的实施步骤建立IT风险管理框架是组织控制IT风险、确保组织实现其业务目标的有效方式，以上所介绍IT风险控制框架是通过多年的研究及实践总结出来的通用方法论，不同的组织在建立控制框架的过程中，还要根据自身的实际情况应地制宜，灵活应用。一般来说，组织在建立与完善IT风险管理框架时，可以分以下几个阶段实现(图4.4)： 图4.4第一阶段：IT资源普查、建立初步控制目标:总体治理框架的指导下，初步建立IT风险控制体系，为业务系统运行提供较可靠的保障。主要措施：业务流程调查，识别主要业务流程，并进行初步建模；为企业的业务活动建立标准的数据体系，并具有快速识别新的业务需求和进行业务建模的能力；进行IT架构设计，形成应用、数据、技术架构方面的规范与指南；梳理IT流程、划分安全域及识别信息资产，进行风险评估；按照ISO27001、COBIT规范建立较可靠的信息安全管理和IT控制体系；建立信息系统审计制度，从独立、客观的角度保证系统安全；建立内部员工培训制度，实施全员培训。第二阶段：资源协同、全面控制目标：实现有效的资源协同，为业务活动提供可靠的支撑，深化IT风险控制，实现应用系统与安全系统的全面集成。主要措施：建立统一的应用系统平台，实现IT资源协同，为己有业务及新业务提供灵活可靠的支撑平台；建立统一安全保障平台，实现应用系统与安全系统全面集成；建立IT服务管理机制，提高客户对IT服务的满意度；深化信息安全管理、信息系统审计，建立较为完善的IT治理环境；对IT组织、人员、流程、项目建立较为科学的绩效考核制度。第三阶段：业务创新、完善控制目标：IT风险控制与企业风险控制高度融合，IT战略成为企业战略的重要组成部分，IT为企业创造新的竞争机遇。主要措施：IT战略成为组织决策层的重要议题，IT参与企业流程再造，IT可以为企业创造新的利润增长点；为整个组织提供高质量的IT服务，建立全组织的IT共享服务中心；IT成为利润中心，对IT进行财务核算和全面的绩效评估；IT控制进一步完善，IT风险控制与企业风险控制高度融合，形成良好的信息安全企业文化，IT成为提升组织核心竞争力的“发动机”。综上所述，在IT建设中COSO风险管理框架给我们有以下启发：要站在企业管理者的角度来看待风险，企业风险是由包括IT风险在内的其他风险组合而成。强调“人”的重要性，组织中的每一个人对风险管理都负有责任；强调“软控制”的作用。“软控制”主要指那些属于精神层面的事物，如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等，“软控制”影响人的行为。强调风险管理是一个“动态过程”，风险管理是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的PDCA过程。明确指出内部控制只能做到“合理”保证，目标达成的可能性受许多先天条件不足及各种“不确定性”的影响。 没有不花钱的内部控制，也不存在完美无缺的内部控制。第七章 结束语在此本课题的研究已经结束了，通过对IT建设中的项目风险管理的研究使我们了解了项目管理、IT项目、IT项目风险管理等理论的知识，大致了解项目风险管理的控制的策略。在实际的应用中，我们应当用科学的方法去解决IT建设中的所面临的一些风险问题，去将项目风险带来的负面影响减少到最小程度。本文的论述虽然已告尾声，还有些不足的地方。在讲述IT建设中涉及的行业没有展开来讲，只是选取了企业中和IT的共性进行比较论述。希望指导老师多给些宝贵建议。致