2008-12-26 08:37:12 来源:计世网
往年提这个话题大家觉得风险智能离我相对远,因为现在是实施企业系统、确保安全、确保客户满意度。但今年大家知道背景下,我们叫金融危机的背景下,对于IT整个行业来讲,对CIO来讲,影响都很大。
为什么我们提出风险智能性的CIO呢?其实我觉得如果是往年提这个话题大家觉得风险智能离我相对远,因为现在是实施企业系统、确保安全、确保客户满意度。但今年大家知道背景下,我们叫金融危机的背景下,对于IT整个行业来讲,包括我们企业部门来讲,影响都很大,更促使大家把精力、资源、成本、先进投入到哪些应该公司风险最大的环节,这我是我们提出风险智能的含义。整个用风险导向架控公司的管控。提到这个话题,我之前跟一个客户参加了一个会,在座也有我们德勤华永的客户,这个客户正在实施ICP,我们跟他们谈一些ICP实施后的复合业务,重点是数据挖掘技术实现公司高层怎么从系统里很及时的、全面的要到我想要的信息,这个IT部门绞尽脑汁考虑搭建什么报表体系,按照管理体系做。
从而看到IT的主管或者CIO,迫切的需求是说如何跟公司业务挂钩,这也是今天我们的主题,当然还有其他服务。这个CIO说,在当今环境下,CIO面临的压力可以总结成一句话,就是说我们必须按照公司要求把事做好,这是当前在做的,同时要做的更好,做的更快,两之小时之内可能就让你响应。在国内企业我们刚刚做了一项调查,做明年预算的时候有40%的企业在不同程度的削减明年IT各方面投资,基本我们接触到、看到的情况是比较普遍的情况。另外IT不是以往的救火式的,这边来了需求、问题、变更或者具体的系统更改就马上去用我的资源投入,IT怎么更灵活、主动的跟公司业务和重大风险领域挂钩,这可能是在当今IT资源越来越紧张的情况下的思维和策略。
其实金融海啸,更主要的含义,今天CIO面临的压力,我们前期做了一项调研,前六位的地方,第一是资源很少,但公司让我提高资源整个使用效率,就是能效比的问题,我要提高比如服务设备的投资,用更小的投资,用更小的服务器提供更多的服务,减少投资。第二公司各个层面对信息质量要求越来越高,时间越来越短。第三是现在很多企业在不同地方上市,上美国、日本包括香港、国内,其实在当今环境下,可能大家接触过,整个资本市场对公司的要求,企业如果有很复杂的IT系统,遵循的成本、合规性的紧迫性也是CIO面临的压力。
第四项是宕机时间,客户不能查询到这个频率,怎么用更省钱的技术解决这个问题。第五是客户满意度,如何建立一套合适SL级别,可能需要风险导向的SL签的可能是更加主动一些,哪个地方不是很重点的话可能就差一些,这也是一个资源分配的问题。另外是成本,所以这六项也是CIO面临的情况。这个环境下,我们讲的金融危机,其实无疑加重了这些方面,不是IT部门就不干活了?不是这个含义,也不是把预算100%减掉了。而是每个部门,包括IT在内,心里都有很大的压力,怎么做的更好,今天的主题IT即业务,怎么和业务目标一致。风险智能性的CIO是讲风险管理的理念,是跟业务风险挂钩的。在座都是从事IT行业的,大家都在谈保证业务导向是符合公司重大风险领域,我去那个地方挖掘机会或者规避灾难性风险。IT支持业务,同时IT风险管理也就支持业务风险管理。
我们探讨ITIL的时候,往往只是服务或者运维这样的含义,怎么把事做的更有效力,客户别天天投诉我们,可能里面有十个方面,怎么配制、变更、财务控制好等等,但我们强调能够把风险的含义从头彻尾贯彻到十个领域里去,关注整个IT运作有哪些风险。第二整个机构我们面临哪些风险,IT部门不只是考虑本部门的东西,要站在公司的角度。第三是软硬件怎么跟公司配合。然后是战略性风险,这是很大、很虚,但有些客户做的非常好,包括我们看到的客户IT部门和市场部门成立了战情分析小组,这个环境下已经处于战斗状态,有一些制造业、建筑业等行业,都会有这样的问题。这家公司实际上是IT部门和市场部门成立了战情分析小组,运用IT的手段,在第一时间知道整个领域或者宏观经济或者他们客户最新的动态。这个东西好象不是IT部门做的么?这就是公司战略的风险,公司下一步发展面临什么问题呢?这通常不是IT部门要想的,我只是保证你系统不宕机等等要求。但现在IT部门在分析风险之后,就是系统分析公司的风险之后,就会发现有一些风险可以给公司以及自己部门带来机会的领域,比如这个例子,我们看的挺好,做完之后觉得CIO很创新,好象我以前从来没听过,这是一个好的例子。
最新德勤华永发布一个如何把风险管理到一个,在一个大家比较舒服的状态,有九个方面,企业如何搭建这样的风险智能平台,基本上前四条就是说我们IT部门在以前做了很多合规,等等认证,不同角度加强IT管理,但我们强调前四个方面,能不能用风险的角度,重新探讨和业务结合的问题。后面是看公司高官、治理层能不能通过IT系统给公司建立很透明的信息传递机制,第六项是风险管理计划设计、实施和维护。再往下是怎么落实风险,哪些风险需要管,后面具体说业务部门的支持,比如财务、人事、IT部门怎么具体实现。然后是一些机制,使得公司风险管控体制不断完善。
这是我们提出风险智能,去年很快的反映出的概念,叫风险智能,不只是IT智能。大家看到这个外围是企业面临的各种各样的外部和内部的压力,我们提到的调研报告里,我们发现有九个风险是目前亚太地区CIO比较关注的,在未来一段时间内大家关注的领域,第一知识产权和信息保护投诉的风险,这方面风险可能在中国越来越迫切,德勤华永协助一家跨国公司,做一件什么事呢?他的产品或者软件,比如卖给这位先生,是不是正确的使用,我们协助他,这使得中国的企业在这方面越来越有压力。第二风险是网络安全和客户信息保密问题。第三是外包和离岸,现在的背景下,外包公司的压力非常大,因为他们以前毛利率本来就低,客户订单减少量的优势也减少了。第四是移动技术的风险,比如移动的设备,包括公司网络移动搭建等等。第五是加速计算,比如运城计算。
第六是病毒,还有第三方服务,还有企业并购过程中IT风险。我们刚刚接了一个项目,帮助A客户看B客户的系统,是不是跟将来A要收购B,B整个IT是不是很好的结合,并购的话IT越来越重要了。第九是法规和遵循性的风险,如果将来在座各位公司希望在美国、国内上市,这样的资本市场的要求,对IT控制的要求就会越来越大,我相信有一些同志有亲身的体验。这九个风险是IT部门感知到的风险源。通过风险智能,公司怎么应对呢?我说一大堆风险不能照做以前的模式,其实可能要变一变方式,怎么变呢?绿色的圆圈其实有两个圈,中间是蓝色的,是我们强调的整个公司无论是运维、安全还是系统变更,从IT的角度,你必须重新审视一下公司的目标,就是发展与实施战略,这块业务,比如上一个ERP系统,是不是足以跟公司的呼叫中心、制造流程配合,然后根据这点你看实施这些系统有什么风险,有没有过度投资的风险,我们是不是可以避免投资或者推迟投资,整个系统实施过程中是不是给企业规避一些风险,这是一套专门的方法。这些风险有大有小,有紧迫性的,有不重要的,如何应对这些风险,从而整内部的运维、安全以及变更管理等措施,不是按照标准导向,最后是闭环的管理。
最外面是说从哪几个角度加强IT风险管理,一方面是人员,一方面是具体业务流程,第三方面是信息技术。这是说IT环境下,大家看到右边的圈,IT部门要从哪些角度规划、管理我所面临的各种各样风险,比如需要在IT战略角度考虑,需要治理、合规角度考虑,考虑信息安全、数据质量,包括IT风险内审,使得整个机构IT部门是一个很清楚的规避这些风险。这强调的是IT风险和企业风险一致性的问题,不是IT风险单独拿出来。我讲一些重点内容,这是现在我们提出的风险管理框架,这里从整个公司来看,从上一层叫IT治理,这里有具体的要做的事,具体有治理、策略、评估活动以及沟通等等。中间这个环节,政策和限制风险整合这块是把企业的数据、业务和架构整合起来考虑。下面是不同业务单位的识别,最后是基础的工作。
IT整个风险管理架构,我们从风险的角度把传统IT事项再分类,大家看到下面的一些领域可能比较熟悉,通过风险整合的方式,使得你的企业会更加智能。这里提到一个概念,用这种模式,大家会谈到整合的问题,比如会27001、20000,怎么整合在一起考虑,因为否则很多企业面临一个困惑,今年我上了一个认证,后年上了一些认证,到底有没有起导作用,现在谈整合的问题,我们是从风险管理的角度提出整合。我们强调了IT风险管理,总体来说风险管理还是运营层面和IT圈子里做的事情,现在很提倡IT上升到战略层面,这个东西提了很多年,但真正怎么落实是很重要的。
风险智能性的CIO怎么做,具体有一些措施,最后一部分我们看到这里有很多案例和细节,最后我希望大家有机会可以做一下,问了15个问题,你可以回答是或者不,判断一下自己的企业是不是实现了风险智能,你的CIO是不是智能化管理公司风险,使公司出现大灾难的时候,不至于业务上受到很大损失,这15个问题大家有机会可以看看。基本上来讲,我们提到刚才的调研报告,我们看到虽然有43%的公司缩减IT预算,但在金砖四国大家整个企业界的信心指数还是高居榜首,我们希望和同行一起,在这个时代下把我们的企业做得更好。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。