风险防范-降低IT风险的重要性：从风险暴露到依从性管理（AMT 刘宇 编译）

  随着运作流程和技术基础架构越来越复杂和分离化，

业务状态

企业正面对以应用、电子记录保持、事件、平台、过程和安全暴露为形式的风险暴露。然而，很多IT高层人员对他们的脆弱和失败可能带来的潜在损失缺乏足够的知识和数据。持续更新的立法和管制需求、业务对数据依赖性的不断增加、区域和全球不确定性要求公司有规律地评价业务、运作和技术能力对支持这些需求和降低风险的可靠性。IT高层经理应该与高层、内部审计、LOB和他们的自己部门一起工作来评估暴露存在于哪些地方，建立缓解的需求和治理程序，评估关键架构组成部分的重要性，判断潜在的消耗成本。

一旦业务、运作和技术基础架构的风险暴露得到描述，关键高层管理者、内部审计、IT和LOB成员应该讨论发现以决定如何适当地定位能力和资金，以降低风险暴露。每季度应该记录发现，建立降低计划，回顾流程以确保努力的方向正确，并且预算被分散地持续使用。IT高层经理应该讲述和需要适当的依从性实践，如果没有以外，过程应该被坚持，并且应该进行集中式的监督来确保与以建立需求的一致性和完全依从性。

在多数部分，工作努力是分散的，在很多业务合作伙伴、合同商、和雇员之间分散。这种复杂的业务模型与分散的监督需求自动的监督流程；否则公司将发现自身缺乏依从性，因为手工流程可能忽略一些关键的标示，导致公司面对不适当的风险。IT高层应该将依从方法与现存软件、业务流程、配置管理、开发、运作流程、安全工具和考虑购买风险保险的应用一致。

IT的角色是支持现存的业务，并且通过允许公司资本化系统中存储的系统实现资本化。基于电子数据有效交易业务的能力要求访问需求只被给予哪些正确认证的团队，以及数据整合、适当可用性和来自未授权视图和修改的安全。不幸的是，风险总是存在，并且人类不是完美的，很多企业缺乏适当的流程和技术来确保数据、基础架构、网络、软件和系统容错能力、完整性等得到充分减轻。

按照2001年由Fortera公司（一家风险管理公司）进行的调查，大约84%的被调查者认为需要IT风险管理，因为常常有失败的、延迟的或者预算不足的项目经验。另外，90%的公司一致认为，拥有服务契约（流程）来确保可度量性，保护企业利益对高价值是适度的。不幸的是，调查中问题的答案显示，缺乏偶然性预算和现场流程。近年早期，National Computing Centre公司进行的更深刻的研究也产生了基本类似的结果。

风险以很多形式出现，每个形式应该在各自的业务环境中理解，以评估扩展损耗的风险。关键IT风险因子包括业务对IT增加的依赖性、复杂和分散的技术和人员及系统的分散分布、不充足和分散的认证、侵入检测和其他安全量度。另外，迅速膨胀的业务需求要求IT部门发现方法来降低业务限制，主要手段在企业内部以及与业务合作伙伴之间实现自动化、增加可用性、整合流程和技术。外部因素包括不断进步的立法、实践风险包括天意、敌对员工、能源涨价和敌意供给和黑客的威胁。

暴露点应该程序化、技术化地在端到端的业务角度来回顾。IT经理应该与高层管理者、内部审计、LOB管理团队一起工作以评估关键应用、数据和基础架构组成部分、和潜在失败成本的业务风险，在恢复努力最有效的为止开始架构。这种风险评估活动应该集中于获得和鉴别应用、业务过程、数据库、网络和系统的关键特性。例如，当研究事件风险时，高层管理者和业务单元应该基于一些潜在的停止期间来划分失败成本（比如5分钟、30分钟、1小时、或者1周），发生概率和事件，基于这些变动，结论将会发生变化。

业务风险、组织风险和技术风险共同组成了全部的IT风险，应该被独立以及在各交叉点正确理解以降低风险暴露。降低每个领域风险所需的差别、效果和方法应该由IT高层经理通过回顾失败的个体点，以及系统与流程之间的互动等方法来理解。图为详细的IT风险类型和特性：

业务风险

业务风险的存在，当流程和系统不能满足成本降低、治理、生产提升和收入创造所需的业务需求。在业务风险可能通过应用之前和应用中的适当建模和风险检测来降低。

组织风险

当用户不能或者不愿意使用流程和系统可用性，或者与需求完全融合时，就发生了组织风险。组织风险通过与关键利益相关者和用户关于流程、系统特性、和治理工具的有效沟通降低，同时，自动治理工具的开发应该抓取自动治理工具的开发以实现监控，报告与规范的违反。

技术风险

当系统没有从供给得到适当保护，当系统不能够得到预期结果，当错过了项目期限，当存储信息过时和老化导致不能完全恢复实，技术风险就出现了。技术风险通过使用执行、整合技术、安全最佳实践和技术更新来降低。在广泛应用之前操控新技术使假设合理化，确保需求能够通过最小化技术风险获得。

降低IT风险需要强依从性的项目，包括通讯、授权、执行、监控、政策和过程、预防和监督。United States Sentencing Commission (USSC)最初将这7个元素作为联邦的判断标准；然而他们在依从度管理中可以平等地应用。为了适当地联合、整合、管理和监控治理情况，IT高层管理者将需要稳固的自动化工具来确保依从度和可信度。如图提供了有效依从度管理的7个元素。

图：有效依从度管理模型的7个要素

权威授权

依从度的责任应该在组织内被授权，业务和IT成员有权力确保实施。责任可能被授权，最终的权威却不可以。政策和过程必须能够立刻处理委任或者省略所带来的违反。

沟通

沟通包括理解治理依从度的重要性和使用的方法。何时的沟通技术应该包括需求、政策、过程、和报告参数的分发。日常会议应该在执行、实现和依从性确保层次和群体内部沟通中每季度发生，作为需求来使努力有效，提醒人们这些行动正受到监控。电子通讯审计应该被维护来辅助防御性的政策实施。

实施一致性

政策和流程应该谨慎地映射到与合作伙伴、每天运作、开发努力和风险降低协同努力有关的依从度实施中。当标记问题出现、呈现推荐的解决方案、坚持失败标记适当的管理、或者意外过程时，需要采用自动技术。作为规则，所有的整合和弹性企业最终效果都超过了简单的一个区域。

未来预防

企业可能不能从开始就有效整合所有的风险降低技术。，或者可能需要改变政策和流程来适应新的风险、威胁和法律问题。IT管理者应该开发例外过程来包括反馈和更正过程，以回顾政策何时不能实现，并且评估何处以及变更是否合适。另外，内部审计、IT、法律、LOB和其他关键高层管理者应该日常讨论定义最适合解决方案的挑战。

监控和报告

内部IT风险缓解的努力将专注于建立关键性的阶层式结构来决定哪个风险问题应该得到解决，以什么样的顺序发生。项目发起的所有者需要正确授权，报告成功度，确保参与团队继续沟通，直到现有威胁和进步。另外，中心化的报告和管理可以超越企业系统，提供查看板和所需的精炼化视图。

监督

IT、内部审计、LOB和其他关键高层管理者将最终对依从性项目的成功或者失败承担责任，并将需要适当的监督来监控风险降低过程和标准化粘合度。风险降低可能揭示新的业务机会，以与其他市场参与者一起降低成本。

政策和程序

应该正确建立依从度政策和程序来降低IT风险，将其在组织内散布并且在中心化的仓库中存储。更新应该每月进行，直接在仓库中反映。随着风险降低过程继续，技术应该被整合到系统中，流程应该被更新以确保依从度。

上述依从度战略的清晰、一致和日常沟通将帮助确保治理目标能够达到。既然运作和技术在与业务结合时将需要其自身的调节，受影响的个人将需要一定时间的一致性，IT高层经理需要平衡需求。当变动在很多情况下显著时，IT高层经理将需要建立培训项目来辅助转变。另外，也需要雇员责任和工作描述来支持依从度努力，IT经理应该与其他的关键经理一起工作来诱导实现技术和依从度的热情。

结论

IT经理应该与其他高层经理一起合作，创建和采用风险降低的政策、过程、战略和技术。确保治理战略应该是全球实现的，并且被业务合作伙伴使用来确保实现和依从度的一致性。IT高层经理应该设定审计回顾委员会，包括内部审计、IT、LOB利益相关者，以确保适当地暴露水平，并且对市场力量和业务需求的变化做出适应。当更多的用户通过双向沟通熟悉了新的政策、过程和需求后，很可能他们将服从于监管和立法需求，因此降低了风险。

作者联系方式：arthur.liu@AMTeam.org