如何建立有效的IT风险管理框架（图）

　　企业要把IT做好一定把他变成种制度，决定IT能够真正做的好不是一两个人的技术，技术已经不是很重要了，技术的东西总是能买到，但是把技术控制好、用好靠的是制度，靠的是管理，最终靠的是人，所以我们要建立一个有效的制度安排，要做好风险控制，这首先就需要建立一个风险管理框架。

　　回过头来我们发现国内的一些信息化建设走了很多弯路，我们有一点和国外有区别的是我们不太重视游戏规则的制订，IT一定先要把规则建立起来，包括制度和控制，建起来以后我们发现IT风险小多了，所以我们要强调建立一种制度，IT风险控制其实上就是企业重要的组成部分。

　　那么如何整体的去控制IT的风险呢？我这里画了一个图：

　　在这里我们要引进一些国际上最标准的一些实践，比如信息安全管理，把安全变成一个标准，按照标准去做，我们现在讲安全就是防火墙，可能你想不全，国际上现在有一个标准他想的就很全面，他从方面考虑安全，按照这个去做，不会有很大的偏差；IT服务管理，比如IT流程如何去规划，也可以有一个国际的标准ITIL，或者行业更佳的实践，把运维如何组织好，把服务递交出去，达到这个要求，还有别的项目管理控制等等。都可以在不同的阶段你把它引入进来，最后我们应该形成一个PDCA，报谓PDCA就是检查控制，技术审计。这样的一个风险管理框架(风控网)可能是控制风险高度性的，有一定基础的，这么一个风险管理框架。而且这个风险管理框架我们正在实践当中。

　　做的时候也未必是从头来，可能就是从哪先下手，比如先从安全下手，运维然后不断的与其领导沟通，IT搞好，你现在的治理结构不合理呀，因为这事情不是一件容易的事，让领导去接纳，然后成立这样的一个组织，把这样的功能赋予IT，不是一件容易的事。要慢慢的去做，这里面可以分步的去做。因为时间的原因不具体的太多的说它了。

　　最后，我在总结一下，治理就是制度的安排，制度要解决的问题是对什么东西进行决策，IT的原则构架、基础设施、业务需求、IT投资等，这些事到底谁来管，以前讲人治，人治就是领导来办，或者技术人员说的算，实际上都不对。一种好的治理不同的方面有不同的模式，有的技术人员一起谈，有的可能就说算了，领导要说了这个事情要研究，我们要把这些流程通过最佳实践把它管理起来，现在信息管理好的比如就是IT服务管理ITIL，我们要把好的国际上的最佳实践把它引用过来，到我们IT风险控制里来，在加上一些比如企业数据化操作，业务连续性，IT项目管理等等。

　　一般来讲企来要把IT风险管理框架建好，治理机制完善起来，是需要分步去走的。第一步就是分步规划架构设计，即使以前没做过这事，回过头来做也不晚，通过业务建模和IT架构规划设计等把其功能完善，第二步完IT治理，达到初步的控制，第三要进行量化管理，要做到精细控制，要分几年去实施的。企业信息化一定要建立游戏规划，信息系统与业务之间脱节，要建立一个技术委员会，由最高领导参预来进行讨论的，最后确保IT的出发点和归宿，IT不是玩的一定要为企业创造价值，出发点归宿一定是这一点。

　　实际上这个风险管理框架就是一个COSO的控制框架，我们今天不详细讲。这个风险管理框架有很多的IT的东西。IT风险管理框架的目标就是完善IT风险控制体系，降低IT成本，实现IT与企业战略、管理、业务、安全的深度融合，使IT为企业持续地创造价值，有效率并有效果地进行信息化。IT风险管理框架的原则就是建立IT治理机制，使IT治理成为公司治理的一部分，在组织的最高决策层上对信息化的进行监管与制衡。

　　这些东西做好要把他变成一个风险管理体系，IT人员一般讲什么设备，这样是不对的，我们发现很多事要做好呀还是要回到管理上来，用管理理念来梳理这些好的理念，如PDCA，做什么事要先有计划，计划好了去做，做完检查，检查完要更改，实际上一个循环，首先要把IT治理和风险管理框架搭建起来，首先要完善IT治理的结构，就是在战略方面IT的事不要IT部门自己说了算，一定要放到公司的层面上来，老板呀决策人等都要来参与，IT做好你也不能脱离业务，脱离业务是两回事，那也做不好，所以业务上管理上要梳理，比如你对业务需求的识别，业务需求要敏锐，不要关在家里闭门造车，否则你的IT又是两层皮。

　　还有就是业务的建模和数据的标准化，制定好了一定要把数数据化，模型化标准化，这个与IT建设还无有什么关系，是技术性的工作，在技术上在做一套IT的规划，规划的基础上我们要树立一些我们的业务流程，IT的流程，我们可以把每个流程都树立的清清楚楚，他到底应该怎么样，比如做IT战略规划到底有几个步奏呀，应该怎么去做呀，建立这样的一个风险管理框架出来，这样不会有大大偏差。

如何建立有效的IT风险管理框架（图）

　　企业要把IT做好一定把他变成种制度，决定IT能够真正做的好不是一两个人的技术，技术已经不是很重要了，技术的东西总是能买到，但是把技术控制好、用好靠的是制度，靠的是管理，最终靠的是人，所以我们要建立一个有效的制度安排，要做好风险控制，这首先就需要建立一个风险管理框架。

　　回过头来我们发现国内的一些信息化建设走了很多弯路，我们有一点和国外有区别的是我们不太重视游戏规则的制订，IT一定先要把规则建立起来，包括制度和控制，建起来以后我们发现IT风险小多了，所以我们要强调建立一种制度，IT风险控制其实上就是企业重要的组成部分。

　　那么如何整体的去控制IT的风险呢？我这里画了一个图：

　　在这里我们要引进一些国际上最标准的一些实践，比如信息安全管理，把安全变成一个标准，按照标准去做，我们现在讲安全就是防火墙，可能你想不全，国际上现在有一个标准他想的就很全面，他从方面考虑安全，按照这个去做，不会有很大的偏差；IT服务管理，比如IT流程如何去规划，也可以有一个国际的标准ITIL，或者行业更佳的实践，把运维如何组织好，把服务递交出去，达到这个要求，还有别的项目管理控制等等。都可以在不同的阶段你把它引入进来，最后我们应该形成一个PDCA，报谓PDCA就是检查控制，技术审计。这样的一个风险管理框架(风控网)可能是控制风险高度性的，有一定基础的，这么一个风险管理框架。而且这个风险管理框架我们正在实践当中。

　　做的时候也未必是从头来，可能就是从哪先下手，比如先从安全下手，运维然后不断的与其领导沟通，IT搞好，你现在的治理结构不合理呀，因为这事情不是一件容易的事，让领导去接纳，然后成立这样的一个组织，把这样的功能赋予IT，不是一件容易的事。要慢慢的去做，这里面可以分步的去做。因为时间的原因不具体的太多的说它了。

　　最后，我在总结一下，治理就是制度的安排，制度要解决的问题是对什么东西进行决策，IT的原则构架、基础设施、业务需求、IT投资等，这些事到底谁来管，以前讲人治，人治就是领导来办，或者技术人员说的算，实际上都不对。一种好的治理不同的方面有不同的模式，有的技术人员一起谈，有的可能就说算了，领导要说了这个事情要研究，我们要把这些流程通过最佳实践把它管理起来，现在信息管理好的比如就是IT服务管理ITIL，我们要把好的国际上的最佳实践把它引用过来，到我们IT风险控制里来，在加上一些比如企业数据化操作，业务连续性，IT项目管理等等。

　　一般来讲企来要把IT风险管理框架建好，治理机制完善起来，是需要分步去走的。第一步就是分步规划架构设计，即使以前没做过这事，回过头来做也不晚，通过业务建模和IT架构规划设计等把其功能完善，第二步完IT治理，达到初步的控制，第三要进行量化管理，要做到精细控制，要分几年去实施的。企业信息化一定要建立游戏规划，信息系统与业务之间脱节，要建立一个技术委员会，由最高领导参预来进行讨论的，最后确保IT的出发点和归宿，IT不是玩的一定要为企业创造价值，出发点归宿一定是这一点。

　　实际上这个风险管理框架就是一个COSO的控制框架，我们今天不详细讲。这个风险管理框架有很多的IT的东西。IT风险管理框架的目标就是完善IT风险控制体系，降低IT成本，实现IT与企业战略、管理、业务、安全的深度融合，使IT为企业持续地创造价值，有效率并有效果地进行信息化。IT风险管理框架的原则就是建立IT治理机制，使IT治理成为公司治理的一部分，在组织的最高决策层上对信息化的进行监管与制衡。

　　这些东西做好要把他变成一个风险管理体系，IT人员一般讲什么设备，这样是不对的，我们发现很多事要做好呀还是要回到管理上来，用管理理念来梳理这些好的理念，如PDCA，做什么事要先有计划，计划好了去做，做完检查，检查完要更改，实际上一个循环，首先要把IT治理和风险管理框架搭建起来，首先要完善IT治理的结构，就是在战略方面IT的事不要IT部门自己说了算，一定要放到公司的层面上来，老板呀决策人等都要来参与，IT做好你也不能脱离业务，脱离业务是两回事，那也做不好，所以业务上管理上要梳理，比如你对业务需求的识别，业务需求要敏锐，不要关在家里闭门造车，否则你的IT又是两层皮。

　　还有就是业务的建模和数据的标准化，制定好了一定要把数数据化，模型化标准化，这个与IT建设还无有什么关系，是技术性的工作，在技术上在做一套IT的规划，规划的基础上我们要树立一些我们的业务流程，IT的流程，我们可以把每个流程都树立的清清楚楚，他到底应该怎么样，比如做IT战略规划到底有几个步奏呀，应该怎么去做呀，建立这样的一个风险管理框架出来，这样不会有大大偏差。