正如信息系统具有潜在的投资回报一样，信息系统同样具有潜在的风险。IT与业务的融合，在带来企业效率提升和持续竞争力的同时，也加剧了业务可能面临的风险。信息系统任何细微的变故，都有可能导致业务流程完全失效。正因为如此，IT风险管理受到了越来越多企业高管层特别是CIO的关注。一定程度上，CIO所面对的管理，更多的是对各种“可能性和不确定性”即“风险”的管理。
　　
　　然而，IT风险及IT风险管理，一直是一个颇有争议的概念。由于对风险的理解和认识程度不同，或对风险的研究的角度不同，其定义还存在很多争议。
　　
　　国际内部审计协会(IIA)对风险定义为：“可能对目标的实现产生影响的事件发生的不确定性。”并指出风险的衡量标准是后果与可能性。而国际标准化组织ISO/IEC“Guide73:2002”中关于风险的定义为：“事件发生的可能性及其后果的结合”。COSO发布的《企业风险管理-整合框架》中则将风险定义为：“一个事项将会发生并给目标实现带来负面影响的可能性。”
　　
　　对于IT风险的认识，同样存在着不同的观点。2006年1月出版的《IT风险——基于IT治理的风险管理之道》一书中认为，所谓IT风险就是指对业务造成负面影响的信息技术失效。2006年9月，中国银监会颁布的《银行业金融机构信息系统风险管理指引》中，信息系统风险是指：“信息系统在规划、研发、建设、运行、维护、监控及退出过程中，由于技术和管理缺陷产生的操作、法律和声誉等风险”。2007年2月赛门铁克公司发布的《IT风险管理报告》中认为，IT风险包括安全性、可用性、能力和合规性四个方面。
　　
　　正因为这些争议的存在，目前各家企业对IT风险管理方面的理解和做法也存在着差异。这些差异，往往让很多希望加强IT风险管理的企业和CIO们束手无措。为此，CIOINSIGHT杂志邀请到了民生证券股份有限公司信息技术总监景忠、中国海洋石油总公司审计监察部IT审计经理王宇文、ITGov信息系统审计专家王东红，围绕IT风险管理的相关话题，展开了讨论。
　　
　　对于IT风险的概念特别是IT风险涵盖的范围，现在仍然存在争议，各位是怎么理解IT风险管理的？景忠：对于证券行业来讲，IT系统的风险管理几乎是天天都在抓。从我们的角度来讲，IT风险主要包括系统的风险、人员的风险和IT投入的风险等方面。
　　
　　系统的风险主要是软件、硬件和网络等设备的潜在风险，这与传统的信息安全有很多类似的地方。人员的风险则是指内部人员作弊或者疏忽造成的风险，和关键岗位人员流失带来的风险等所有与人为因素有关的潜在风险。IT投入的风险也非常容易理解，既然是投入就一定要有产出，不管这种产出是显性还是隐性的，但是，也并不是所有的IT投入都能看到产出，甚至很多企业IT项目以失败告终的案例也时有发生。王宇文：IT的作用就是支撑企业的业务运作和运营管理，因此，IT风险实际上就是业务的风险，抛开业务单纯讲IT风险是没有意义的。从审计部门角度来看，之所以关注IT风险，就是要看一旦这些系统出问题，会对业务造成什么样的影响。
　　
　　国资委出台的《中央企业全面风险管理指引》中将风险定义为：未来的不确定性对企业实现其经营目标的影响，一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等，并将风险分为纯粹风险和机会风险。因此，我们认为IT风险主要是IT系统有可能对业务和经营目标造成的潜在风险。IT是属于横向业务支持领域，IT风险会体现在所有业务风险中。由于IT有其特殊的技术内涵和特点，往往在实际操作时IT风险管理相对来说比较独立。
　　
　　王东红：前面两位更多的是从实践工作中，对IT风险管理的理解和认识来谈的，我主要从理论的角度谈谈我的理解。目前来看，银监会对于IT风险的定义是比较全面的，它符合当今世界全面风险管理的发展趋势，是一个全生命周期的风险。而IT风险管理目前在研究和实践中都还没有一个统一的定义。
　　
　　在我看来，IT风险管理，已经从狭义的IT技术风险发展到了IT全生命周期管理的阶段，因此，IT风险管理也可以称为“IT全面风险管理”。综合比较主流的IT风险管理定义，不妨可以对IT风险管理给出这样的定义，所谓IT风险管理是指围绕信息化战略目标，通过在信息系统的规划、开发与建设，运行与维护，监控与评价管理的各个阶段中执行风险管理的基本流程，包括风险管理策略制定、风险识别、风险评估，进而选择适当的处理方法加以控制、处理，达到信息化可持续发展的目标。
　　
　　三位的表述虽然略有不同，但是都谈到了IT风险与业务的关系。是不是只有当企业的业务与IT足够紧密时，才会考虑IT风险管理？王宇文：在信息化发展的初期，信息系统使用得比较少，这种情况下，产生风险的概率自然比较低。因为大部分的业务流程与IT都是脱离的，不论IT的状况如何，业务都能照常进行，从业务角度来看，IT带来的潜在风险就微乎其微。随着业务流程对IT依赖程度的不断加深，IT的作用变得越发明显，IT可能对业务带来的潜在风险也就会更多，相比之下，这时候IT风险管理也就显得更加重要。
　　
　　

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。