IT如何控制风险？IT如何为企业的风险作出它应有的贡献？这是个很大的题目，到底怎么下手？
   
    为什么IT风险那么重要？我国企业信息化从1978年开始到现在大概也就二三十年的时间，到现在我们已经走过了一个基本的建设阶段。我们以前的信息化注重行业的覆盖以及硬件配置等等。从2000年开始，我们的重点开始转移了，因为越来越的企业和单位意识到，我们的信息化要见效了，真正要为业务作贡献了，也就是IT如何能为企业、社会、为政府创造价值的层面上来了。

    在我们研究IT创造价值的时候，需要更多的去关注IT本身的风险，因为IT已经成为现代社会生活所不可分割的一部分，就像电、空气和水一样重要，一旦没有了的话，企业可能会停止运转，政府也可能会受影响。所以，这种依赖性比较高的风险迫使我们去考虑如何控制IT，如何令IT支持社会和企业的正常运转。

    在IT所面临的风险里，比较重要的有如下几个：

    第一个是IT治理风险。在我国，信息化做得好的一个重要原因是一把手重视，IT主管比较懂行，另外可能因为善于利用社会资源。有的单位做不好的重要原因之一在于把IT当成技术去处理了。而这突显了我国还处于人治时代，还没有达到真正的治理阶段，但实际上对这个社会来讲，靠人治已经远远不能满足要求，一定要把它变成制度化形式。因为不管换了哪届领导，企业和社会还是要往前发展的，IT应该是什么样就是什么样，不因为领导的重视不重视而重视或受到忽略。

    而且IT不光是技术的问题，实际上还是战略的一方面，真正把IT制度建设起来，IT才能摆脱目前的这种人治状况。

    第二是规划的风险。每个企业或政府单位在做信息化的时候都在做规划，但很多规划实际上还不够具体不够标准化，当然这也是客观存在且不可避免的。凡事没有一次性的完美。

    第三就是项目管理风险。IT架构规划好了以后，实际上要按照一个一个的项目去实施。有的项目实施周期很长，有的要历时半年到一年的时间，甚至两年以上。

    第四是基础设施的风险。网络越来越复杂，补丁包越来越多，开发程度也越来越深，这也导致IT风险越来越大。另外，我们对IT基础设施的依赖性又特别强。

    第五个是应用系统的风险。应用系统的风险在于需求是否清晰。很多的情况下，人们的需求与实际脱节，搞软件的人不太懂业务，懂业务的人又不太懂软件开发里面的一些具体操作方法，导致需求混乱。

    第六个是软件安全控制风险。

    第七个是IT服务交付风险。什么叫服务交付风险？即使服务商提供的软件系统没有漏洞，但也不等于说用户对系统百分百满意，因为他关注的是服务。这种大多在国企比较显著。

    第八个信息安全风险，则比较常见。而且信息安全的形势越来越严峻。以前做木马写病毒的人大多还只是为了炫耀自己的技术，而现在，病毒已经成为一个产业链：有人专门写病毒，有人专门的抓取“肉鸡”（可以植入病毒的电脑），专门有人在偷信息……形成了一条黑色产业链。

    第九个则是业务延续的风险。天灾人祸等都会导致业务的硬性中断，这个风险也要考虑在内。

    第十个则是绩效风险。以前讲IT只讲投入不讲产出，但对IT到底投了多少钱这个概念我们需要有。2005年我国在信息化改造提升方面投入了2829亿，2006年是3227亿元。增幅非常快。企业里最讲究的是投入回报率，但对IT，我们很少有人去算投入产出，这就产生了黑洞。

    第十一个就是合规性的风险。合规性以前只针对一般的企业风险，现在已经慢慢过渡到IT部分。如果国内企业到美国上市，就必须要遵从萨班斯法。

    面对这么多风险，我们到底怎么办？

    第一是要建立一套IT制度，改变过去靠人治的方式。

    从公司最高层面来说要把IT治理环境建立起来。然后基础层面的网络、数据库、安全以及应用系统，都需要获取可靠的授权，然后，要通过一个一个的标准，进行战术性的IT治理流程。这些都建好了之后，关键要把它变成一个PTC的风险控制体系。

    在战略层面把IT的治理结构完善之后，就要进行公司业务层面的梳理。梳理完业务流程后，我们可以按生命周期把IT分为计划、组织、获取、实施，交付、支持和监控等几个方面。比如IT规划到底有几个步骤，到底应该怎么做，建立一个框架式的东西。

    同时还要考虑资源协调。为了建设统一的平台，我们可以引入一些国际上标准化的最佳实践，比如说信息安全管理和IT服务管理。最后，我认为应该形成一个审计制度，引入一套控制理念。

    实际上，治理就是一种制度的安排。这个制度要解决什么问题呢？首先解决的是决策问题。决策不能靠人治的领导拍板，技术人员说了算也不对。一种好的治理架构应该在不同的方面有不同的决策模式，有的需要坐在一起谈，有的需要技术人员说了算，有的必须由领导拍板。

    进行IT治理也需要有几个阶段。第一步，我认为比较重要的就是要进行规划和架构的设计。第二步就是要完善IT功能治理，达到初步的控制。到了第三个阶段，让IT实现跟业务融合，实现业务信息的安全。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。