资源描述
,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,新商业风险管理,信息技术对企业,商,商务的影响,随着网络经济的,发,发展,电子商务,的,的应用,越来越,多,多的公司应用信,息,息技术,并将它,们,们整合到日常的,商,商务流程中去,,使,使信息技术对整,个,个的公司的发展,起,起重要的作用。,信,信息技术对企业,商,商务重要的影响,有,有如下几点:,企业的发展战略,、,、战术决策;,企业产品和服务,的,的设计;,企业成本管理;,企业员工的雇用,、,、技能的培养;,企业文化、信息,的,的共享;,企业的客户服务,;,;,企业供应商与合,作,作伙伴的供应链,管,管理;,信息技术带来新,商,商业风险,企业在投资和应,用,用信息技术的过,程,程中,除了得到,效,效益外,也产生,了,了新的商业风险,。,。所以企业都必,须,须注意投资和应,用,用信息技术时的,风,风险管理。例如,,,,电子商务交易,过,过程中,可以从,电,电子数据交换系,统,统(EDI)、,电,电子资金调拨系,统,统(EFT)、,销,销售点系统(POS)等系统中,获,获得商业上的各,种,种数据,对这些,数,数据的分析可获,得,得市场分布、人,口,口地理学、产品,分,分销、资金结算,等,等等资料,这些,资,资料都是企业战,略,略制定和业务管,理,理的关键。如果,这,这些电子商务系,统,统出现障碍,即,使,使是POS系统,或,或超市的条码扫,描,描系统出现故障,,,,也会使企业的,战,战略实施和业务,管,管理难以进行,,给,给企业商务带来,不,不良的后果。这,就,就是一种网络经,济,济中出现的新的,风,风险信息技,术,术的商业风险。,新商业风险管理,的,的基本内容,管理知识:,提高企业内部对,信,信息技术风险管,理,理的意识;掌握,新,新商业风险管理,知,知识。,管理方案:,从整个行业出发,来,来分析企业风险,,,,形成风险管理,方,方案;,商务整合:,将企业商务战略,与,与信息技术战略,整,整合在一起,形,成,成企业的整体战,略,略,这对信息技,术,术风险管理的成,功,功是非常关键的,。,。如果没有进行,商,商务整合,那么,,,,要确认业务程,序,序与信息技术使,用,用中所产生的业,务,务风险之间的联,系,系将会很困难。,必,必须把信息技术,风,风险看成商业风,险,险就必须进行商,务,务整合。将商业,风,风险管理扩展到,企,企业各个部门内,,,,从而促使所有,的,的雇员对风险管,理,理负责并了解无,效,效技术管理的危,害,害。所以,商务,整,整合对进行完整,的,的、综合的风险,管,管理框架起着重,要,要作用,包括了,信,信息技术相关风,险,险的分析和传统,意,意义上的业务风,险,险的分析;,测量评估:,对信息技术的作,用,用进行测量,评,估,估。信息技术对,核,核心业务的影响,不,不断增强,信息,技,技术在当今的商,业,业核心业务中处,于,于关键地位;要,对,对信息技术在企,业,业流程中的作用,进,进行必要测量。,风险转移:,在企业接受现有,水,水平的风险;调,整,整产品和服务的,价,价格以补偿风险,损,损失;进行风险,转,转移,例如:购,买,买保险之前应具,备,备一套适当的、,正,正式的程序来识,别,别和探究信息技,术,术相关风险来源,;,;通过制定和实,施,施风险管理程序,,,,将风险降低到,可,可以承受的水平,。,。,重点管理:,把握特定类型的,新,新商业风险的管,理,理。主要有以下,三,三种类型:,综合性风险:指,数,数据未经批准使,用,用或不完整或不,准,准确而变得不可,靠,靠所造成的风险,。,。,获得性风险:指,不,不能及时获得所,需,需信息而导致的,风,风险。,相关性风险:指,无,无论是自身建立,的,的信息还是由应,用,用系统总结出的,信,信息,都不适用,或,或者不及时而带,来,来的风险。,网络安全管理:,网络安全也构成,新,新商业风险,例,如,如,通过网络侵,入,入企业系统的计,算,算机“黑客”和,计,计算机病毒,会,破,破坏客户服务系,统,统或导致信息失,真,真甚至全部丢失,。,。分配计算(借,助,助于客户服务,网,网络进行的信息,管,管理)使信息可,以,以在一定范围内,传,传播。但是,分,配,配计算也给企业,安,安全性带来了风,险,险。一般在同一,条,条网络上的信息,所,所有者并非只有,一,一个。一些信息,对,对企业相当敏感,,,,所以对客户,服,服务环境的有效,管,管理就显得很重,要,要。,新商业风险主要,类,类型,完整性凤险,这种风险大多来,自,自应用系统,应,用,用系统可对商业,数,数据的输入、处,理,理、归纳和贮存,等,等。当系统障碍,时,时,就可能造成,数,数据未经授权被,使,使用或数据不完,整,整、不准确而造,成,成风险。,接入风险,接入网络时,数,据,据或信息存取不,当,当而导致风险。,这,这种风险来自网,络,络和电子商务的,不,不断发展。由于,黑,黑客和电子欺诈,行,行为的存在,人,们,们要保护自己的,系,系统免受侵扰。,人,人们就必须设法,保,保护电话线路、,网,网络缆线和计算,机,机,以便尽力对,数,数据和信息进行,保,保密。存取风险,可,可能由于不合理,的,的责任分工造成,的,的风险,如,未,经,经授权的人进入,数,数据库带来了风,险,险,或违反信息,保,保密性法律规则,引,引起的相关风险,。,。,基础设施风险,指企业不具备,完,完整的信息技,术,术基础设施而,造,造成的风险。,这,这种基础设施,是,是指能够以低,成,成本、高效率,的,的方式,构建,信,信息技术的商,业,业应用模式,,它,它包括信息技,术,术基础。信息,技,技术基础设施,主,主要包括以下,几,几部分:硬件,;,;网络;软件,;,;人员;程序,。,。系统的完整,性,性是要保证定,义,义、开发、维,护,护和运作处理,信,信息环境和应,用,用系统正常运,作,作所必备。所,以,以它对商业运,作,作产生的影响,最,最大,存在风,险,险也最大。,获得性风险:,这是指企业在,获,获得数据时的,风,风险,如破坏,者,者们经常利用,邮,邮件轰炸来阻,碍,碍服务,或者,对,对服务系统提,出,出虚假请求,,这,这给提供服务,带,带风险。金融,服,服务业是典型,的,的依赖于准确,、,、及时信息而,运,运作的行业。,在,在这方面的风,险,险较大。所以,企,企业要有一个,有,有效的方式来,管,管理价格风险,、,、流动性风险,和,和信用风险,,必,必须具备特定,的,的系统。这种,系,系统要使需求,者,者对所需信息,实,实时可用、随,时,时可得,并能,进,进行评价。,一、完整性凤,险,险( Integrityrisk,),),完整性凤险大,多,多来自应用系,统,统,应用系统,可,可对商业数据,的,的输入、处理,、,、归纳和贮存,等,等。当系统障,碍,碍时,就可能,造,造成数据未经,授,授权被使用或,数,数据不完整、,不,不准确而造成,风,风险。它主要,在,在系统以下部,分,分表现出来:,用户界面(User interface):,必须给予正确,的,的设定,有足,够,够的限定,以,确,确保只有有效,的,的数据才能进,入,入系统,并且,这,这些数据是完,整,整的。,处理(Processing):,使系统有能力,控,控制处理各种,数,数据,以确保,数,数据的处理完,整,整性和及时性,。,。病毒使系统,对,对数据处理的,完,完整性造成特,别,别威胁。这类,威,威胁能对关键,业,业务程序造成,巨,巨大的冲击。,对错误处理(ErrorProcessing):,系统应用适当,的,的程序和其他,系,系统方法来确,保,保任何进入系,统,统的数据都受,到,到检测,并已,作,作了修正。可,以,以准确地、完,整,整地和及时地,处,处理错误数据,。,。对错误数据,的,的检测在金融,业,业显得十分重,要,要。,界面(Interface,),):,应有系统预警,显,显示,以确保,各,各种数据的准,确,确完整地传输,。,。,变化处理(ChangeManagement):,对变化有处理,能,能力的流程,,通,通过这些流程,,,,应用系统的,任,任何改变均能,传,传输并予以实,行,行。,数据(Data):,数据管理和控,制,制,既包括处,理,理数据的安全,和,和完整,也包,括,括对数据库和,数,数据结构的有,效,效管理。数据,的,的完整性可能,会,会因为程序错,误,误引起,如对,数,数据用不正确,的,的程序来处理,;,;或发生管理,程,程序错误。,二、接入风险,(,(Access risk,),),接入风险是指,接,接入网络时,,数,数据或信息存,取,取不当而导致,风,风险。这种风,险,险来自网络和,电,电子商务的不,断,断发展。由于,黑,黑客和电子欺,诈,诈行为的存在,,,,人们要保护,自,自己的系统免,受,受侵扰。人们,就,就必须设法保,护,护电话线路、,网,网络缆线和计,算,算机,以便尽,力,力对数据和信,息,息进行保密。,存,存取风险可能,由,由于不合理的,责,责任分工造成,的,的风险,如,,未,未经授权的人,进,进入数据库带,来,来了风险,或,违,违反信息保密,性,性法律规则引,起,起的相关风险,。,。,业务流程(Business Process):,企业确定某一,业,业务流程和流,程,程运作方式。,应用软件(Application):,采用相应的应,用,用软件,给用,户,户提供完成工,作,作所需要的安,全,全的接入方式,。,。并限制对安,全,全有破坏的接,入,入,如欺骗行,为,为,避免由于,员,员工接触过多,的,的信息导致对,数,数据意外或无,意,意的改动。,数据和数据管,理,理(Dataand management):,为用户提供接,入,入特殊数据或,数,数据库通路的,网,网络环境。,流程的环境(Processing environment):,一般指不恰当,地,地进人主计算,机,机业务流程处,理,理环境和获取,该,该环境中储存,的,的程序和数据,。,。,网络(Network):,接入网络联系,用,用户和流程环,境,境。接入风险,是,是由于不恰当,地,地进入网络本,身,身的风险所导,致,致的。,硬件设备(Physical):,保护设备不受,破,破坏、偷窃或,不,不恰当地接触,。,。,三、基础设施,风,风险(infrastructurerisk),基础设施风险,指企业不具备,完,完整的信息技,术,术基础设施而,造,造成的风险。,信,信息技术基础,设,设施主要包括,以,以下几部分:,硬,硬件;网络;,软,软件;人员;,程,程序。系统的,完,完整性是要保,证,证定义、开发,、,、维护和运作,处,处理信息环境,和,和应用系统正,常,常运作所必备,。,。所以它对商,业,业运作产生的,影,影响最大,存,在,在风险也最大,。,。基础设施风,险,险有下列内容,:,:,组织计划(OrganisationPlanning):,基础设施对在,商,商业流程中所,采,采用的信息技,术,术进行清楚地,界,界定和阐述,,确,确保企业经理,层,层对信息技术,的,的应用计划有,足,足够的支持,,并,并有充足的人,才,才和流程计划,,,,以确保系统,实,实施的成功。,应用系统的定,义,义和开发(Application systemsdefinitionand deployment):,基础设施要保,证,证应用系统满,足,足业务和用户,的,的需要。就必,须,须决定购买整,个,个应用系统解,决,决方案,还是,按,按用客需求开,发,发新的解决方,案,案。应确保应,用,用系统的所有,变,变动应遵守一,定,定的结构,以,确,确保与关键控,制,制点保持连续,性,性和一致性。,例,例如,典型的,结,结构要求所有,变,变化必须在事,前,前被用户所验,证,证和通过。,逻辑安全和安,全,全管理(Logicalsecurity andsecurity administration,),):,基础设施应确,保,保企业足以应,付,付接入风险。,要,要建立、维护,和,和监督内部安,全,全综合系统,,该,该系统在数据,和,和信息的完整,性,性和保密性方,面,面要符合管理,层,层的政策。,计算机和网络,操,操作(Computerand networkoperations):,基础设施应确,保,保信息系统和,相,相关的网络环,境,境是在管理层,的,的政策下,在,安,安全和受保护,的,的环境下运作,。,。计算机操作,人,人员对信息处,理,理的责任,应,该,该是被明确界,定,定、衡量和监,督,督。通常计算,机,机技术人员作,出,出的主动性行,为,为,也可衡量,与,与监视计算机,和,和网络运行,,确,确保系统为用,户,户提供满意的,、,、持续的支持,。,。,数据和数据管,理,理(Dataand database management,),):,基础设施应确,保,保那些用于支,持,持应用系统和,终,终端报告所需,要,要的数据和数,据,据库,既有相,互,互的内部统一,性,性,又有定义,的,的连贯性,可,满,满足企业商务,需,需要和减少潜,在,在的闲置。,核心业务数据,恢,恢复(Businessdata centerrecovery):,基础设施应确,保,保企业中各种,核,核心业务数据,的,的灾难性恢复,,,,以确保商业,计,计划的充分实,施,施,保证满足,用,用户在需要时,可,可得到相关和,技,技术支持。,四、获得性风,险,险(Availability risk),获得性风险,是指企业在获,得,得数据时的风,险,险,如破坏者,们,们经常利用邮,件,件轰炸来阻碍,服,服务,或者对,服,服务系统提出,虚,虚假请求,这,给,给网络用户提,供,供服务带来了,一,一种危险。金,融,融服务业是典,型,型的依赖于准,确,确、及时信息,而,而运作的行业,。,。在这方面的,风,风险较大。所,以,以企业要有一,个,个有效的方式,来,来管理价格风,险,险、流动性风,险,险和信用风险,,,,必须具备特,定,定的系统。这,种,种系统要使需,求,求者对所需信,息,息实时可用、,随,随时可得,并,能,能进行评价。,这,这种系统应当,严,严格控制数据,,,,防止未经授,权,权的存取改变,数,数据。,获得性风险表,现,现在如下三个,方,方面:,通过事先对行,为,为的监督和对,系,系统问题的解,决,决,都能够避,免,免此类的风险,。,。如,硬盘的,存,存储能力对信,息,息系统来说是,很,很重要的,这,可,可以不断地予,以,以监督确保它,足,足以支持企业,商,商务流程的运,作,作。,获得性风险与,系,系统的短期中,断,断有关联。对,此,此可运用备份,和,和恢复技术使,中,中断影响的范,围,围最小化。如,,,,大多数企业,已,已经认识到每,天,天至少一次对,关,关键数据进行,备,备份的重要性,。,。这样在处理,过,过程中丢失数,据,据的影响能被,控,控制在上一个,备,备份以后的数,据,据投入的范围,内,内。,获得性风险与,信,信息处理过程,长,长时间中断有,关,关联,其重点,是,是诸如备份与,应,应急计划等控,制,制手段。,五、其他与商,务,务相关的风险,(,( Other businessrisks,),),信息策略与商,务,务策略整合后,,,,还产生了一,些,些与此相关的,风,风险,这也是,作,作为风险管理,应,应加以注意的,部,部分,因为它,们,们可能对企业,商,商务产生不利,的,的影响。,正确性风险(Validity risk),企业应用系统,建,建立必须合适,本,本企业状况,,这,这种风险包括,决,决策过程中所,需,需信息是否正,确,确性的风险,,除,除此之外还直,接,接涉及到经营,运,运行过程中的,信,信息的正确性,风,风险,如,企,业,业员工不能及,时,时性获得所需,要,要的正确信息,的,的风险。正确,性,性风险问题对,金,金融服务业也,及,及为重要,例,如,如,银行机构,通,通过实时系统,运,运用利息率和,风,风险报告等工,具,具来监控它们,的,的利率波动的,风,风险。如果时,间,间不准确,那,么,么,这些工具,所,所提供的信息,就,就毫无用处。,另,另外信息技术,系,系统提供的管,理,理方面的数据,报,报告,如果不,准,准确,可能导,致,致领导者的决,策,策失误。,效率风险(Efficiency risk),对应用程序的,选,选择应有效率,性,性。可能有一,些,些程序不能满,足,足客户的需求,。,。如果把技术,引,引人到商务流,程,程中去,而又,不,不能产生出效,率,率,就没有意,义,义。所以规划,应,应考虑到效率,的,的风险。企业,系,系统基础设施,应,应包括商业策,略,略保持一致的,信,信息技术策略,,,,对信息技术,策,策略与商业策,略,略的整合应很,明,明确,以实现,管,管理层的商业,目,目标。,周期性风险(Cycletime risk),这是指商务活,动,动的周期性,,如,如果商务周期,性,性过长,如供,应,应链过长导致,商,商务周期性过,长,长,这样企业,效,效益就会受影,响,响。信息技术,策,策略应用到商,务,务流程中去,,应,应促使商务周,期,期性缩短。但,是,是,在具体实,施,施过程中,可,能,能由于信息技,术,术基础设施不,足,足,或由于系,统,统原因,使商,务,务周期性的延,长,长,达不到原,来,来所希望的商,务,务目标。采用,信,信息技术在商,业,业流程中,对,周,周期性问题应,当,当事先考虑清,楚,楚。,报废凤险(Obsolescencerisk),企业库存常常,是,是由信息技术,系,系统来管理。,为,为了有效地管,理,理库存和避免,报,报废或过剩,,业,业务上要求数,据,据的完整性、,准,准确性、及时,性,性。由于系统,的,的问题可能影,响,响数据的正确,传,传输,引起库,存,存的报废。这,也,也是信息系统,的,的风险之一。,业务中断风险,(,(Business interruption risk),企业的业务有,一,一个连续的过,程,程,应用软件,的,的操作主要依,赖,赖于信息系统,。,。因此,信息,系,系统的应急计,划,划应是整个商,业,业延续计划的,一,一部分,灾难,恢,恢复计划应该,是,是商业计划的,一,一部分,以避,免,免业务中断的,风,风险。,产品失败风险,(,(Product fail risk,),),正确的产品信,息,息来自企业内,部,部网和信息系,统,统,如果一个,企,企业监督和记,录,录次品数据不,准,准确,就可能,造,造成产品的失,败,败。在应用信,息,息系统控制生,产,产流程时,这,方,方面的风险应,给,给予足够的重,视,视。另外,产,品,品销售的反馈,信,信息,企业能,发,发现用户对产,品,品的意见,通,过,过获得这类信,息,息,企业因此,可,可以管理产品,失,失败风险,以,及,及有关顾客服,务,务和声誉的风,险,险。,如何管理新商,业,业风险,有效的商业风,险,险管理并非仅,为,为一种职能,,更,更是一个过程,。,。所以,只有,在,在商业风险范,围,围内对采用信,息,息技术后的企,业,业进行风险管,理,理,才能有效,地,地回避新商业,风,风险。这里有,两,两个关键点值,得,得注意:,在信息时代的,复,复杂商业环境,中,中,任何一家,电,电子化企业要,想,想获得成功,,都,都必须构造一,幅,幅清晰的关于,识,识别、衡量、,控,控制与监测所,有,有类型风险的,行,行车图。,有效的风险管,理,理并不只是一,种,种职能,还是,一,一个过程,是,一,一个识别和管,理,理所有潜在重,大,大风险的过程,,,,它涵盖了所,有,有的企业商务,活,活动以及各层,次,次的企业组织,。,。,主,要,要,内,内,容,容,:,:,商,业,业,风,风,险,险,管,管,理,理,程,程,序,序,新,商,商,业,业IT,风,风,险,险,管,管,理,理,要,要,素,素,:,:,战,略,略,规,规,划,划,配,置,置,管,管,理,理,流,程,程,监,监,测,测,技,术,术,结,结,构,构,的,的,界,界,定,定,管,理,理,框,框,架,架,一,、,、,商,商,业,业,风,风,险,险,管,管,理,理,程,程,序,序,为,了,了,识,识,别,别,、,、,衡,衡,量,量,、,、,控,控,制,制,与,与,监,监,测,测,风,风,险,险,,,,,企,企,业,业,需,需,要,要,有,有,一,一,套,套,恰,恰,当,当,的,的,风,风,险,险,管,管,理,理,程,程,序,序,,,,,它,它,包,包,括,括,了,了,六,六,个,个,步,步,骤,骤,:,:,确立管理,目,目的和目,标,标:,根据企业,的,的市场目,标,标,确定,商,商业风险,承,承受限度,。,。,评估商业,风,风险:,识别导致,风,风险的主,要,要因素,,这,这些因素,对,对业务的,成,成功至关,重,重要;研,究,究风险的,来,来源,判,断,断风险是,来,来自企业,外,外部,还,是,是企业内,部,部的商务,运,运作过程,。,。衡量风,险,险的重要,性,性的程度,以,以及发生,的,的可能性,。,。,制定商业,风,风险管理,战,战略:,风险管理,战,战略必须,确,确定风险,位,位置和责,任,任,以便,制,制定和实,施,施相应的,管,管理与控,制,制程序。,风,风险管理,战,战略有可,选,选性,包,括,括:回避,不,不可承受,的,的风险、,转,转嫁风险,通,通过购买,保,保险,与,其,其他企业,结,结成战略,同,同盟、共,同,同投资。,与,与独立的,当,当事人签,订,订契约性,风,风险分担,协,协议等途,径,径。接受,现,现有水平,下,下的风险,,,,即自我,保,保险。接,受,受风险,,通,通过各种,监,监控手段,将,将风险降,低,低到一个,可,可接受的,程,程度,可,接,接受度是,管,管理中的,风,风险限度,所,所确定的,。,。,设置并实,施,施风险控,制,制程序:,确保合适,的,的员工设,置,置和实施,风,风险控制,程,程序。每,一,一道风险,承,承受能力,的,的程序都,必,必须符合,企,企业管理,者,者规定的,风,风险承受,度,度。,监测商业,风,风险管理,程,程序实施,效,效果:,监测风险,控,控制程序,实,实施的效,果,果,对于,企,企业达到,市,市场目标,、,、企业战,略,略具有关,键,键意义。,可,可由企业,中,中高级经,理,理实施监,测,测,由程,序,序和业务,的,的操作者,具,具体实施,。,。,改善商业,风,风险管理,程,程序(见,下,下页),(接上页,),)改善商,业,业风险管,理,理程序,在实施风,险,险管理过,程,程中,不,断,断完善风,险,险管理程,序,序。通过,监,监测确定,在,在管理过,程,程中出现,的,的不足,,以,以及商业,环,环境变化,而,而需要相,应,应地调整,风,风险管理,程,程序。采,用,用这种不,断,断更新、,不,不断完善,的,的思想是,极,极为重要,的,的。在电,子,子化企业,中,中,在电,子,子商务的,过,过程中,,应,应用信息,技,技术所产,生,生的风险,就,就是一种,商,商业风险,。,。所以,,应,应该把这,种,种当作商,业,业风险的,一,一部分来,进,进行评估,。,。采用一,种,种综合的,方,方案来进,行,行风险管,理,理,就是,要,要领导者,识,识别上面,所,所述的企,业,业应用信,息,息技术时,产,产生新的,商,商业风险,。,。并将这,种,种风险与,整,整体商业,风,风险结合,起,起来考虑,。,。建立一,个,个适合本,企,企业的风,险,险管理程,序,序。例如,:,:一个公,司,司的程序,如,如下,提供一,种,种领导机,制,制,并由,上,上级部门,确,确定风险,管,管理的基,调,调。,为整体,风,风险管理,进,进行资源,配,配置。,建立风,险,险管理框,架,架和总体,规,规划。,确定目,标,标限度及,个,个人责任,。,。,确认标,准,准会计分,类,类和业务,损,损失。,建立风,险,险度量系,统,统和早期,预,预警指示,。,。,将风险,控,控制管理,状,状况与奖,励,励机制相,联,联系。,从以上可,以,以看出这,个,个公司不,仅,仅具备一,套,套整体性,的,的风险管,理,理方案,,而,而且还掌,握,握了风险,管,管理中具,有,有关键作,用,用的因素,,,,包括:,高,高素质的,领,领导才能,、,、个人责,任,任。标准,的,的界定以,及,及业绩的,监,监测等。,借,借助于预,警,警程序和,高,高级经理,部,部门的参,与,与,信诚,公,公司将这,种,种商业风,险,险管理推,广,广到业务,运,运行的各,个,个层次,,确,确保了整,个,个公司内,部,部信用的,连,连贯性。,如,如图所示,:,:新商业,风,风险管理,程,程序。(,见,见下页),新商业风,险,险管理程,序,序图解,建立管理目的与目标、,风险限度、风险承受水平,商业风险评估、,识别、探究、度量,制定商业风险管理战略,改善商业风险管理过程,商业风险实施,效果的监测,制定/实施风险,控制程序, 规避 价格, 转嫁 接受,决策信息,二、新商,业,业风险管,理,理框架,安达信公,司,司的提供,了,了一个信,息,息技术风,险,险管理框,架,架,可作,为,为电子化,企,企业引入IT技术,时,时,制定,总,总体风险,管,管理战略,的,的特殊结,构,构。风险,控,控制程序,既,既有对经,济,济环境的,风,风险普遍,性,性适用,,也,也适用特,定,定环境下,风,风险的特,殊,殊性。例,如,如,电子,商,商务要求,交,交易双方,采,采用CA,认,认证,这,是,是控制风,险,险的普遍,性,性的要求,。,。对于特,殊,殊的风险,控,控制,可,以,以用软件,加,加密,防,止,止密码泄,露,露,电子,签,签名等,,从,从而防止,未,未经授权,的,的接入风,险,险。商业,风,风险控制,以,以信息系,统,统做预防,性,性的控制,最,最为有效,。,。当系统,设,设置好后,,,,要比人,工,工控制的,效,效果要好,的,的多。见,下,下图,信息技术,风,风险管理,框,框架图解,硬件设施,网络,平台,数据,应用,流程,战略规划,结构界定,流程监测,配置管理,一、战略,规,规划,企业电子,商,商务总体,战,战略,应,包,包括信息,技,技术风险,管,管理战略,和,和政策的,制,制定,它,应,应包括企,业,业信息风,险,险管理的,内,内容,应,说,说明战略,实,实施,相,关,关人员责,任,任界定。,同,同时它也,是,是企业商,务,务流程,,应,应用程序,设,设定基础,。,。企业中,任,任何一个,标,标准、方,针,针、方案,都,都在这个,基,基础上设,立,立。这些,标,标准、方,针,针、方案,能,能够详细,阐,阐明某一,程,程序如何,运,运行。例,如,如,系统,安,安全问题,,,,有关政,策,策就可以,这,这样规定,:,:所有的,用,用户都必,须,须经过授,权,权,使用,用,用户身份,认,认证和特,定,定密码。,这,这个规定,加,加上一些,具,具体的细,则,则,来保,证,证企业用,户,户在授权,下,下许可进,入,入系统。,风险管理,战,战略和政,策,策的制定,包,包括如下,内,内容:,程序:1,、,、,企业知识,资,资产保护,程,程序;2,、,、新技术,评,评估策略,;,;3、信,息,息技术相,关,关凤险的,评,评估、管,理,理和监测,责,责任;4,、,、传达信,息,息技术和,相,相关风险,,,,指定共,同,同商业风,险,险语言;,应用:1,、,、,系统更新,生,生命周期,的,的标准;2、设计,与,与购买软,件,件的决策,;,;,数据管理,:,:1、,数据所有,权,权;2、,数,数据库的,设,设计和管,理,理;3、,专,专有数据,的,的使用与,保,保护;4,、,、员工、,客,客户及其,他,他人员所,拥,拥有数据,使,使用与保,护,护;,平台:1,、,、,支持硬件,和,和软件平,台,台的各项,标,标准;2,、,、确定平,台,台规划、,设,设计、支,持,持与保险,的,的责任;,网络:1,、,、,经授权的,卖,卖方与服,务,务产品,规,规格;2,、,、网络规,划,划、设计,支,支持与保,险,险的责任,;,;,实际设施,:,:1、,确定信息,处,处理地点,和,和设备的,所,所有者责,任,任;2、,电,电脑和业,务,务范围外,信,信息内容,的,的保护;3、政策,的,的维护与,支,支持;,政策制定,还,还应包括,一,一些保证,政,政策得到,落,落实的一,些,些程序,训练和培,养,养人才程,序,序,对计算机,和,和网络技,术,术结构进,行,行管理的,程,程序;,对应用系,统,统或技术,环,环境变化,进,进行管理,的,的程序;,增加、改,变,变或删除,用,用户进入,系,系统的程,序,序;,利用辅助,平,平台等支,持,持用户的,程,程序;,制订和检,验,验业务持,续,续性计划,的,的程序。,任何商业,风,风险,如,果,果是系统,中,中的一个,或,或多个层,次,次时,就,必,必须制定,相,相应的策,略,略主动地,采,采取相应,程,程序进行,有,有效的管,理,理。,硬件设施,网络,平台,数据,应用,流程,战略规划,结构界定,流程监测,配置管理,二、系统,配,配置的管,理,理,由于信息,技,技术的不,断,断发展,,新,新技术不,断,断出现,,企,企业要根,据,据需要,,不,不断升级,系,系统程序,,,,采用最,新,新的信息,技,技术集成,到,到现有流,程,程中,以,保,保证企业,战,战略目标,和,和政策的,持,持续性,,这,这样才能,确,确保相关,商,商务风险,的,的控制。,统配置包,括,括如下内,容,容:,程序,信息技术,风,风险预警,方,方案,新雇员在,信,信息技术,风,风险中的,地,地位及职,责,责,商业持续,性,性计划和,关,关键业务,流,流程的退,出,出方案,应用,新系统应,用,用中的用,户,户定位程,序,序,批准并实,施,施应用系,统,统转变的,权,权利界定,数据管理,数据库改,革,革的程序,与,与责任,显示、训,练,练和维持,数,数据存储,与,与数据开,发,发系统事,态,态监测,平台,促使用户,转,转用标准,平,平台的程,序,序,文本控制,管,管理程序,和,和软件更,新,新、分配,程,程序,制定保持,和,和检测复,苏,苏计划的,程,程序,进入控制,管,管理程序,与,与任务,网络,网络结构,、,、运行及,安,安全性管,理,理的程序,实际设施,信息技术,设,设备工作,地,地点的安,全,全结构,必要的能,源,源设施和,环,环境控制,设,设施的安,置,置,硬件设施,网络,平台,数据,应用,流程,战略规划,结构界定,流程监测,配置管理,三、流程,监,监测系统,动态监,测,测系统,是,是用来,识,识别企,业,业商务,运,运作过,程,程及网,络,络商业,环,环境中,的,的变化,,,,一些,变,变化可,能,能会逐,渐,渐破坏,风,风险控,制,制的有,效,效性。,如,如,企,业,业原有,一,一个系,统,统灾难,恢,恢复计,划,划,由,于,于商务,的,的运作,,,,商业,数,数据的,增,增加,,一,一年以,后,后可能,就,就不能,按,按原计,划,划在系,统,统中恢,复,复数据,库,库等。,这,这可能,带,带来巨,大,大的商,业,业风险,。,。这就,需,需要动,态,态监测,系,系统来,监,监测系,统,统状态,,,,保证,能,能及时,性,性调节,系,系统程,序,序。风,险,险管理,动,动态监,测,测系统,如,如下:,程序,对外部,趋,趋势及,信,信息技,术,术相关,事,事态的,监,监测任,务,务界定,如,如下:,技术,市场与,竞,竞争,法律和,规,规章,应用,监测应,用,用系统,出,出错概,率,率、数,据,据质量,特,特殊情,况,况等的,程,程序;,数据管,理,理,有关数,据,据存储,能,能力、,成,成本质,量,量和安,全,全性的,趋,趋势与,事,事态的,监,监测程,序,序,平台,对系统,运,运行能,力,力、费,用,用、质,量,量及安,全,全性的,有,有关趋,势,势与事,态,态进行,评,评估的,程,程序,网络,对网络,容,容量费,用,用、质,量,量及安,全,全性的,相,相关趋,势,势与事,态,态进行,评,评估的,程,程序,实际设,施,施,对工作,地,地点重,置,置的效,果,果及信,息,息技术,设,设备与,设,设施的,物,物理结,构,构的改,变,变进行,了,了评估,的,的责任,硬件设施,网络,平台,数据,应用,流程,战略规划,结构界定,流程监测,配置管理,四、信,息,息技术,结,结构的,界,界定,信息技,术,术结构,会,会成为,某,某种风,险,险的来,源,源,不,同,同的风,险,险来源,,,,采用,不,不同的,风,风险控,制,制程序,,,,使控,制,制风险,的,的管理,机,机制具,体,体化。,例,例如:LINUX平,台,台,它,所,所造成,的,的风险,在,在细节,上,上与支,持,持同一,系,系统的AS/400,平,平台不,同,同,在,控,控制安,全,全性风,险,险、完,整,整性风,险,险、获,得,得性风,险,险中的,大,大多数,装,装置都,不,不同。,信,信息技,术,术结构,主,主要内,容,容:,企业应,用,用解决,方,方案;,网络操,作,作系统,和,和系统,环,环境,进行风,险,险的安,全,全性管,理,理的应,用,用软件,;,;,服务器,及,及设置,;,;,维护计,算,算机以,及,及外围,设,设备正,常,常运作,所,所需的,环,环境因,素,素。,风险管,理,理的信,息,息技术,结,结构的,界,界定如,下,下:,程序,评估、,管,管理和,监,监测信,息,息技术,风,风险的,自,自动化,工,工具,应用,系统更,新,新生命,周,周期的,方,方法和,工,工具,原始密,码,码和程,序,序变化,的,的控制,、,、管理,软,软件,应用或,存,存取控,制,制软件,为应用,程,程序处,理,理而设,置,置的软,件,件,数据管,理,理,DBMS管理,工,工具,数据库,开,开发工,具,具,平台,资源管,理,理系统,综合系,统,统,网络,网络管,理,理系统,实际设,施,施,动力支,持,持和电,源,源保护,设,设备,火警与,信,信息技,术,术环境,的,的压力,系,系统,物理形,式,式的存,取,取控制,与,与设备,硬件设施,网络,平台,数据,应用,流程,战略规划,结构界定,流程监测,配置管理,风险管,理,理平衡,点,点,每一个,企,企业在,采,采用有,效,效的风,险,险管理,前,前,必,须,须了解,基,基本的,商务流,程,程,,否则,将,将不能,很,很好地,进,进行风,险,险管理,。,。同时,企,企业在,实,实施风,险,险管理,措,措施前,,,,必须,首,首先分,析,析商业,风,风险各,方,方面,,和,和实施,风,风险管,理,理的成,本,本。所,以,以,企,业,业就必,须,须做到,在,在风险,成,成本与,风,风险控,制,制成本,之,之间建,立,立一种,平,平衡点,。,。即各,种,种风险,都,都必须,与,与风险,管,管理四,种,种要素,取,取得平,衡,衡。如,图,图所示,。,。,战略规划,结构界定,流程监测,配置管理,环境风险,程序风险,决策风险,平衡,图示:风险管理平衡点,案例,FMR公,司,司案例,
展开阅读全文