近年来，随着信息技术在企业中得到越来越广泛的应用，信息技术风险管理逐渐被企业管理者所重视，特别是在美国安然、世通等因粉饰业绩而导致企业崩溃的案件发生后，如何有效防止公司信息管理的不完全性，降低信息技术管理不当所引发的一系列风险成为众多学者以及企业管理人士在IT风险管理领域关注的焦点。本文根据企业IT治理的架构方案，对企业IT风险管理中的组织结构和管理流程进行了总结和整理，对原有的IT风险管理框架进行了整合。
　　1. IT治理的架构及目标
　　IT治理是围绕着IT投资决策的企业治理过程，而一个优秀的IT治理架构包含三个方面：组织结构,即由谁负责决策，组织结构的形式如何，组织结构中各成员的责任分别是什么；流程，即IT投资决策是如何作出的，在决策流程中，投资建议、投资评估、批准投资和区分优先级是如何进行的；沟通，即这些决策和流程的结果如果度量，如何监控，又如何得到沟通，在高级管理层、执行层、业务层、IT雇员以及股东之间，投资决策采用何种机制加以沟通。
　　构建IT治理架构着眼于四个方面的目标，它们分别是：
　　1）IT结合与价值：IT治理的优先目标之一是保证业务体同IT的结合。围绕着IT投资，组建必要的组织及流程，能从管理上保证只有哪些同战略性业务目标紧密结合的IT项目才能得到批准、得到资金，并具有优先权。
　　2）责任：说到底，管制其实就意味着责任。SOX法案倾向于把财务信息的可信性、完整性及财务控制归结为高级管理层的责任。
　　3） 效能衡量：IT治理的责任要求企业保持良好的记录，特别是实施平衡计分法。IT平衡计分法包括四个方面的内容：IT价值、用户、优良的执行能力、未来的方向。
　　4）风险管理：越来越多的组织的未来价值建构在IT之上。同IT相关的风险常常等同于对业务带来的风险。
　　可以看到企业IT风险管理是IT治理架构实施的一个重要目标之一，其管理组织结构与管理流程应与IT治理架构中因素保持一致。
　　2. IT风险管理的组织结构构造
　　基于以上理论基础，我们给出企业IT风险管理的组织结构如下：
　　1) 风险管理委员会：负责企业所有风险的管理、监督，由高级管理者组成。并负责制定符合企业发展战略的风险管理制度及风险应对决策。各不同风险领导小组及监管委员会以及其它与风险治理相关的部门均向其负责。
　　2) IT风险管理部门：企业中领导并负责IT风险管理的机构，一般由CIO负责领导。其主要职责为制定IT风险管理流程，对企业IT预算的可行性给以指导性意见，在事故发生时负责业务的恢复。
　　3) 风险监管委员会：企业内对风险控制进行监督指导的组织。对各风险管理部门制定的各种方案、流程进行审查。一般由多个部门内的专家构成。
　　4) IT风险经理：负责对具体的IT风险节点进行管控，同时根据分析部门提供的IT风险预测制定相应的操作规范及应急措施。从本质上讲IT风险经理是企业内部负责具体风险管理操作的人员。
　　5) 项目经理：协助IT风险经理完成对项目风险的监控与管理。
　　6) IT风险分析部门：负责IT风险的预测、度量、统计，为IT风险管理部门制定管理策略以及IT经理的具体操作提供参考。并为风险防范资金分配提供依据。
　　7) 其它相关部门：这些部门包括企业预算部门，审计部门以及各业务部门和资产评估部门。
　　3. IT风险管理的流程组织
　　针对以上组织结构，我们制定出企业IT风险管理流程如下：
　　1) 依据企业现有IT资源对信息资产进行评估，确立信息资产在总固定资产中的比例，并对企业IT实施能力进行自审，从而确立可承受的IT风险损失价值。
　　2) IT风险识别：结合企业主要业务类别，对企业IT在建项目及待建项目以及已有IT应用进行检查，确立风险节点，形成企业IT风险清单。
　　3) IT风险预测，根据企业IT风险的历史数据，运用风险度量方法，对IT的预期损失作出估计，为IT风险防范分配资金---该资金用于在风险事故发生时终止损失，恢复业务运行。
　　4) IT风险日常管理与控制：IT经理以及项目经理依据IT风险管理规则对企业内各风险节点及项目风险进行管理与控制，在发现潜在风险采取对策并上报IT风险管理委员会。
　　5) IT盈利与损失统计：在正常运营下核算企业IT投入的收益与盈利，在危机发生时，衡量风险造成的损失，并与风险预测值比较，向风险管理委员提交风险报告。
　　6) 风险再评级：依据年度风险总结，对企业风险等级进行再评级，为下年风险管理策略提供依据。
　　综上所述，我们得到了企业执行IT风险管理的组织结构及流程，针对组织结构及流程可以进一步去分析企业IT风险的涉险部门，并依据流程对企业原有的组织结构及业务流程进行改造，以使其符合IT风险管理的需要。构建IT风险管理的组织结构及管理流程的目标是将IT风险管理融入到企业管理的日常工作中来，进一步为企业IT风险的数据收集提供基础，从而为实现IT风险的量化管理提供帮助(作者单位：合肥工业大学管理学院 )

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。