風(fēng)險(xiǎn)管理：提高企業(yè)IT風(fēng)險(xiǎn)管理能力

每個(gè)企業(yè)在經(jīng)營(yíng)中都有可能發(fā)生風(fēng)險(xiǎn)，如何化解和減少風(fēng)險(xiǎn)是企業(yè)經(jīng)營(yíng)者必須研究的，因此，企業(yè)的風(fēng)險(xiǎn)管理非常重要。這項(xiàng)工作要求企業(yè)家在頭腦中首先明確企業(yè)業(yè)務(wù)運(yùn)營(yíng)面臨著哪些潛在風(fēng)險(xiǎn)，然后有的放矢地采取措施。而隨著企業(yè)對(duì)信息技術(shù)的依賴性不斷增強(qiáng)，加強(qiáng)IT風(fēng)險(xiǎn)管理，成為越來(lái)越多的企業(yè)關(guān)注的焦點(diǎn)。
    IT風(fēng)險(xiǎn)管理：企業(yè)法規(guī)遵從和長(zhǎng)遠(yuǎn)發(fā)展的需要
    如今，企業(yè)面臨的風(fēng)險(xiǎn)的復(fù)雜性隨著市場(chǎng)全球化的發(fā)展而日益提高，推動(dòng)企業(yè)風(fēng)險(xiǎn)管理的監(jiān)管力度也隨之越來(lái)越大，不少行業(yè)為保護(hù)企業(yè)在不穩(wěn)定的商業(yè)環(huán)境中穩(wěn)定運(yùn)轉(zhuǎn)而頒布了專門(mén)的法規(guī)。譬如，由十國(guó)主要金融服務(wù)相關(guān)機(jī)構(gòu)牽頭發(fā)起的《巴塞爾第二號(hào)協(xié)定》（BaselⅡAccord）中，不僅對(duì)資本風(fēng)險(xiǎn)進(jìn)行約束，而且還涉及到經(jīng)營(yíng)風(fēng)險(xiǎn)，包括IT系統(tǒng)給公司帶來(lái)的風(fēng)險(xiǎn)。換句話說(shuō)，該協(xié)定強(qiáng)制要求采用企業(yè)風(fēng)險(xiǎn)管理體系，并關(guān)注IT風(fēng)險(xiǎn)管理。作為一家旨在打擊欺詐性財(cái)務(wù)報(bào)告的組織，特里德威委員會(huì)下設(shè)的發(fā)起組織委員會(huì)（COSO）頒布了企業(yè)風(fēng)險(xiǎn)管理框架。信息系統(tǒng)審計(jì)和控制協(xié)會(huì)（Isaca）也制訂了信息和相關(guān)技術(shù)控制目標(biāo)（Cobit），這份文檔同樣概述了怎樣擬訂企業(yè)風(fēng)險(xiǎn)管理框架。而頒布這兩項(xiàng)方案的目的都是為了促進(jìn)風(fēng)險(xiǎn)管理機(jī)制在企業(yè)的應(yīng)用。
    此外，還有的《薩班斯－奧克斯利法案》（Sarbanes-Oxley），其404條款規(guī)定：所有在美上市企業(yè)都要建立內(nèi)部控制體系，其中包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息溝通以及監(jiān)督5個(gè)部分。而且，法案對(duì)企業(yè)建立的內(nèi)部控制活動(dòng)的記錄作了許多詳細(xì)而嚴(yán)格的細(xì)節(jié)上的規(guī)定。如此一來(lái)，404條款就成為外國(guó)公司邁入美國(guó)股市的“高門(mén)檻”，也是該法案中難操作、復(fù)雜、耗費(fèi)成本高的一個(gè)。
    事實(shí)上，隨著全球化的業(yè)務(wù)大集中、數(shù)據(jù)大集中趨勢(shì)，IT越來(lái)越滲透到企業(yè)運(yùn)營(yíng)的每一個(gè)方面、環(huán)節(jié)和流程。與此同時(shí)，IT也成為企業(yè)業(yè)務(wù)運(yùn)營(yíng)面臨的主要風(fēng)險(xiǎn)之一。不僅僅是出于遵守行業(yè)法規(guī)的需要，不少企業(yè)從自身長(zhǎng)遠(yuǎn)發(fā)展的角度出發(fā)也已認(rèn)識(shí)到需要采取更加有效的措施，來(lái)保護(hù)業(yè)務(wù)運(yùn)營(yíng)并提供出色的IT日?？捎眯?。而企業(yè)中的IT管理者們往往被各種各樣的因素困擾。他們有的意識(shí)到自己正面臨的潛在風(fēng)險(xiǎn)，并且對(duì)風(fēng)險(xiǎn)有著較為深入的認(rèn)識(shí)，但是由于成本的限制，總是無(wú)法圓滿地解決這些問(wèn)題。另一些企業(yè)由于業(yè)務(wù)模式過(guò)于復(fù)雜，以至于IT部門(mén)雖然感知到風(fēng)險(xiǎn)的存在，但根本無(wú)從知道風(fēng)險(xiǎn)究竟在何處，何時(shí)會(huì)爆發(fā)，也無(wú)法對(duì)潛在風(fēng)險(xiǎn)進(jìn)行評(píng)估。那么，企業(yè)IT管理者到底應(yīng)當(dāng)如何清晰地了解潛在風(fēng)險(xiǎn)、需求和相應(yīng)的投資額度，又如何有效規(guī)避風(fēng)險(xiǎn)呢？
    扭轉(zhuǎn)觀念：整體布局實(shí)現(xiàn)業(yè)務(wù)連續(xù)性及高可用性
    根據(jù)惠普在幫助企業(yè)進(jìn)行IT風(fēng)險(xiǎn)管理方面多年來(lái)積累的經(jīng)驗(yàn)，對(duì)于復(fù)雜的IT環(huán)境，采用單一的解決方案處理IT運(yùn)營(yíng)風(fēng)險(xiǎn)問(wèn)題的效果并不理想。業(yè)務(wù)連續(xù)性、可用性與安全性是一個(gè)相互依存的整體，應(yīng)該以集成、系統(tǒng)的方式進(jìn)行處理。任何方面的漏洞與變化都會(huì)影響到業(yè)務(wù)運(yùn)營(yíng)所需要的服務(wù)級(jí)別。通過(guò)全盤(pán)規(guī)劃和考慮，采用整體化的解決方案，企業(yè)能夠構(gòu)建可靠的基礎(chǔ)設(shè)施，從而根據(jù)業(yè)務(wù)發(fā)展情況靈活調(diào)整IT的可用性與性能。
    在進(jìn)行企業(yè)IT風(fēng)險(xiǎn)管理控制的過(guò)程中，技術(shù)固然是一個(gè)重要組成部分，但要取得出色的IT運(yùn)營(yíng)效果，員工技能與佳實(shí)踐同樣缺一不可。其中，將業(yè)務(wù)連續(xù)性、可用性與安全性的意識(shí)融入到企業(yè)文化和各種運(yùn)營(yíng)機(jī)制中，使其成為開(kāi)展與維持業(yè)務(wù)運(yùn)營(yíng)的必不可少的組成部分，可能是艱巨的任務(wù)，但一旦實(shí)現(xiàn)，也就從觀念上和根本上提高了企業(yè)管控風(fēng)險(xiǎn)的能力。
    正確評(píng)估：了解潛在風(fēng)險(xiǎn)的破壞力
    企業(yè)在構(gòu)建靈活安全的IT環(huán)境之前，首先要透徹地了解自身的業(yè)務(wù)需求、所面臨的威脅與風(fēng)險(xiǎn)、以及IT系統(tǒng)出現(xiàn)故障對(duì)各關(guān)鍵業(yè)務(wù)流程的影響等各方面因素。只有正確分析和面對(duì)可能存在的各類(lèi)風(fēng)險(xiǎn)，并正確評(píng)估各類(lèi)風(fēng)險(xiǎn)可能造成的影響，才能采取正確有效的措施來(lái)規(guī)避風(fēng)險(xiǎn)。
    值得一提的是，一直被低估的停機(jī)成本事實(shí)上高得超乎想象。InfoneticsResearch是一家國(guó)際市場(chǎng)調(diào)研公司，專門(mén)從事北美、歐洲與亞洲地區(qū)的數(shù)據(jù)網(wǎng)絡(luò)與電信行業(yè)調(diào)研工作。Infonetics近期實(shí)施了一項(xiàng)客戶調(diào)查項(xiàng)目，調(diào)查內(nèi)容是關(guān)于網(wǎng)絡(luò)中斷及其對(duì)于大型企業(yè)的影響。該調(diào)查的研究報(bào)告稱，美國(guó)大企業(yè)每年的IT停機(jī)成本占其收入的3.6％，其中制造企業(yè)的停機(jī)成本在收入中所占比例為9％，金融服務(wù)機(jī)構(gòu)則高達(dá)16％。此外，停機(jī)還使企業(yè)面臨員工效率降低以及企業(yè)在客戶與股東中的聲譽(yù)受損等其它難以量化的潛在風(fēng)險(xiǎn)。停機(jī)對(duì)中國(guó)企業(yè)業(yè)務(wù)運(yùn)營(yíng)產(chǎn)生的不利影響究竟如何，目前還沒(méi)有特別準(zhǔn)確的調(diào)研分析，但可以肯定的是，停機(jī)成本在中國(guó)企業(yè)中也是不容忽視的。
    巧妙平衡：規(guī)避風(fēng)險(xiǎn)與保護(hù)成本
    企業(yè)在進(jìn)行風(fēng)險(xiǎn)的規(guī)避和管控的過(guò)程中，往往要面臨著如何平衡風(fēng)險(xiǎn)管理與業(yè)務(wù)保護(hù)成本的挑戰(zhàn)。根據(jù)惠普多年來(lái)在該領(lǐng)域的經(jīng)驗(yàn)，我們建議企業(yè)IT管理者采取分層次、分步驟的方式來(lái)做出合理決策，實(shí)現(xiàn)風(fēng)險(xiǎn)規(guī)避與成本之間的巧妙平衡。
    一般情況下，我們會(huì)建議企業(yè)首先認(rèn)真分析每個(gè)業(yè)務(wù)流程可能遭遇的風(fēng)險(xiǎn)及其影響，力求解決下列關(guān)鍵問(wèn)題：
    · 需要何種級(jí)別的可用性？
    · 一旦發(fā)生重大停機(jī)事故，業(yè)務(wù)對(duì)數(shù)據(jù)損失的承受能力有多大？
    · 業(yè)務(wù)流程能夠承受的停機(jī)時(shí)間極限？
    · 需要何種級(jí)別的安全性？
    作為業(yè)務(wù)連續(xù)性及高可用性解決方案方面的資深專家，惠普通常會(huì)和企業(yè)客戶一起，從業(yè)務(wù)連續(xù)性與可用性研討會(huì)入手來(lái)解決上述問(wèn)題。在這個(gè)互動(dòng)會(huì)議上，惠普顧問(wèn)專家們將與企業(yè)團(tuán)隊(duì)合作，對(duì)企業(yè)的機(jī)會(huì)、風(fēng)險(xiǎn)、優(yōu)勢(shì)與劣勢(shì)進(jìn)行評(píng)估，協(xié)助企業(yè)制訂無(wú)中斷的、可用的IT計(jì)劃。
    然而，風(fēng)險(xiǎn)管理是一個(gè)系統(tǒng)性的工作，上述的分析、咨詢只是企業(yè)規(guī)避IT風(fēng)險(xiǎn)的第一步。基于多年大量的實(shí)踐基礎(chǔ)，惠普專家采用一套完整的方法論，以企業(yè)的業(yè)務(wù)用戶需求為出發(fā)點(diǎn)，幫助企業(yè)IT管理者了解目前的IT風(fēng)險(xiǎn)管理狀況，以及要構(gòu)建靈活安全的基礎(chǔ)設(shè)施還需解決的問(wèn)題。同時(shí)，惠普推薦相應(yīng)的解決方案，并提供高度可用的IT基礎(chǔ)設(shè)施，幫助企業(yè)實(shí)現(xiàn)恢復(fù)時(shí)間、數(shù)據(jù)損失、安全性與可用性方面的目標(biāo)。
    一般來(lái)說(shuō)，一套完整的IT風(fēng)險(xiǎn)管理方法包括以下4個(gè)步驟。
    步驟1：確定業(yè)務(wù)需求。對(duì)整個(gè)企業(yè)內(nèi)所有涉及合規(guī)性、可用性、安全性和業(yè)務(wù)連續(xù)性的業(yè)務(wù)流程和應(yīng)用的要求進(jìn)行評(píng)估。衡量停機(jī)對(duì)各業(yè)務(wù)應(yīng)用與流程的影響。
    步驟2：評(píng)估風(fēng)險(xiǎn)等級(jí)。對(duì)可用性、安全性與持續(xù)性進(jìn)行全面且深入的評(píng)估，以確定風(fēng)險(xiǎn)領(lǐng)域，制定保護(hù)IT環(huán)境、改善IT服務(wù)的策略。將企業(yè)目前現(xiàn)行的實(shí)踐與“佳信息技術(shù)基礎(chǔ)設(shè)施信息庫(kù)（ITIL）”推薦的佳實(shí)踐進(jìn)行比較，了解差距，根據(jù)業(yè)務(wù)影響確定風(fēng)險(xiǎn)等級(jí)。
    步驟3：設(shè)計(jì)與實(shí)施解決方案。將需求轉(zhuǎn)化為切實(shí)可行的技術(shù)與服務(wù)解決方案，其中包括存儲(chǔ)、數(shù)據(jù)庫(kù)、應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)和環(huán)境基礎(chǔ)設(shè)施等。制定持續(xù)性服務(wù)改進(jìn)計(jì)劃。
    步驟4：監(jiān)控、管理與發(fā)展。制定IT服務(wù)管理政策，建立培訓(xùn)機(jī)制，采用佳實(shí)踐調(diào)整人員與優(yōu)化流程。在業(yè)務(wù)發(fā)展過(guò)程中，對(duì)持續(xù)性與可用性計(jì)劃進(jìn)行再評(píng)估、監(jiān)控、審計(jì)與測(cè)試。
    通過(guò)以上4步驟，完整考慮企業(yè)IT風(fēng)險(xiǎn)管理的需求及其實(shí)現(xiàn)方式，可以幫助企業(yè)更準(zhǔn)確地估計(jì)業(yè)務(wù)保護(hù)的成本，從而確保企業(yè)的投資水平在成本優(yōu)的前提下滿足風(fēng)險(xiǎn)管理的需要。
    此外值得一提的是，擁有充足資源，能夠自己實(shí)施全面戰(zhàn)略的企業(yè)并不多。此種情形下，借助一些專業(yè)公司的經(jīng)驗(yàn)往往比企業(yè)純粹自己摸索，閉門(mén)造車(chē)要更經(jīng)濟(jì)，更有效?；萜展驹跇I(yè)務(wù)持續(xù)性與可用性咨詢及解決方案方面積累了非常豐富的經(jīng)驗(yàn)，并且形成了一套相對(duì)科學(xué)完整的方法論和工具體系?；萜者€擁有全面的解決方案，可以幫助企業(yè)應(yīng)對(duì)數(shù)據(jù)保護(hù)與完整性；應(yīng)用的冗余與備份；數(shù)據(jù)庫(kù)、系統(tǒng)與網(wǎng)絡(luò)、數(shù)據(jù)中心的物理安全性與備份；身份認(rèn)證和管理；入侵檢查、病毒防范；漏洞檢測(cè)和主動(dòng)修補(bǔ)；現(xiàn)場(chǎng)和辦公場(chǎng)所備份與恢復(fù)；廣泛領(lǐng)域內(nèi)的災(zāi)難恢復(fù)等業(yè)務(wù)風(fēng)險(xiǎn)。在惠普的幫助下，企業(yè)不僅可以有效利用具有相似需求的行業(yè)客戶在數(shù)十年中總結(jié)積累的經(jīng)驗(yàn)，還可以利用惠普已經(jīng)通過(guò)佳實(shí)踐驗(yàn)證的工具與方式，獲取做出正確投資決策所必需的精確數(shù)據(jù)。因此，選擇與專業(yè)公司合作，往往也是巧妙平衡風(fēng)險(xiǎn)管理與保護(hù)成本的有效方法之一。