加强IT风险管理 建立完善安全监视与响应机制

　　来势汹涌的金融风暴，使全球企业所处的环境发生了剧烈的变化。某市场研究机构最新调查表明，由于金融危机的影响，一些企业都已经或考虑减少未来1~3年用于IT项目的预算，并停止优先度较低的在建IT项目。

　　然而，有资料显示，如今企业包括敏感数据、客户信息以及公司基础设施等都面临着日益严峻的IT风险，而在经济动荡时期，企业更加无法承受自身安全所带来的问题。

　　GDS万国数据流程管理部总监陈扬昀认为，如何在预算有限的情况下，严格控制有可能发生的隐患，对企业进行有效的IT风险管理，是所有企业都必须直面的问题。

管理难度加大

　　谈及目前企业所处的环境，陈扬昀表示，一方面受金融危机影响，目前企业的经营环境并不乐观，员工的满意度和工作责任感下降，加之部分离职员工可能带走公司内部数据、泄露公司秘密等，企业内部的人员安全风险迅速提升。

　　另一方面，一些失业人员对公司充满抱怨，他们很可能采取一些极端的方法来报复公司。而且随着失业人员的增加，也会导致犯罪率的提升，这就使公司外部也陷于风险之中。

　　据介绍在目前企业预算有限的情况下，企业领导者首先考虑的肯定是保证业务的连续性发展，然后再去考虑更多别的事情。IT安全对业务直接影响较小，在经济相对不景气的情况下，除非有合规的要求，否则企业不会在安全治理方面投入过多的管理资源。在技术上投资预算的缩小，会导致安全设备与解决方案升级速度降低，这也会增加企业面临的风险。

　　另外，也有很多企业IT技术人员编制并不充裕，即使有意去做IT风险管理，也会在执行上带来较多的风险。

　　陈扬昀坦言，这些因素都大大增加了企业IT风险管理的难度。

服务商面临机遇

　　凡事都有两面性，虽然经济环境恶化，导致企业业务发展相对放缓，不过专家表示，这也为企业重新思考IT风险管理道路提供了时间和机遇，使企业可以有时间好好审视公司的内外环境，综合考虑各种因素，从而找到一条适合自己的风险管理之路。

　　在目前的环境下，很多企业的预算都有缩减，但预算的减少对企业IT风险管理来说，未必是一件坏事。从另一个方面来说，预算减少可以促使企业对IT风险管理实现“从量到质”的调整，企业会更注重管理所取得的成果，也会潜心研究如何在最少的预算基础上，如何为企业带来最大的价值，从而达到少花钱、多办事的目的。

　　专家介绍，现在的经济形势可能会对一些IT风险管理产品线的发展带来影响，但也会推动另外一些机会的发展，比如外包服务的发展。因为在企业预算比较多的情况下，更多的是考虑请人、买产品、上方案等比较直接的方式；但现在钱比较少，如果还想做很多事情的话，就会选择一些外包服务。对此，陈扬昀非常乐观，他说：“当前形势对外包服务提供商来说是一个机会；对企业用户来说，进行IT外包服务，也是一个少花钱、多办事的有效方式。”

建立安全监视与响应机制

　　在谈到企业IT风险管理的具体实施策略时，专家表示，建立完善的安全监视与响应机制十分必要，只有这样企业才能及时发现存在的风险，并以最快的速度解决风险，保障企业业务的有序进行。

　　专家建议，企业建立完善的风险监视与响应机制，可分成5步进行：

　　设计企业的风险控制架构。这需要综合考虑公司的内部环境，员工的诚信和道德价值观，管理层的理念和经营风格，公司的组织架构、权限、职责分配、人力资源政策及程序等多种因素，然后结合这些因素设计出合理的风险控制架构。

　　对公司进行风险评估。只有进行风险评估，找到企业可能存在的风险及其表现形式与产生根源，管理层才能针对目标风险采取必要的措施进行管理。进行风险评估的前提条件是设立目标，它是内部控制得以实施的先决条件。在设立目标之后，再识别与设立目标相关的风险，评估被识别风险的后果和可能性，然后再针对风险结果，考虑适当的控制活动。

　　采取控制活动。控制活动是为确保风险控制目标的实现，而建立的政策、程序与相关技术手段，简单来说就是企业内部风险控制流程与工具的建设。它包括一系列不同的活动，如批准、授权、查证、核对、职责分工以及技术手段的部署等。上述控制活动贯穿于企业的所有层次和部门，目的是通过这些措施与技术手段规范企业人员的行为，提升企业抗风险的能力。

　　保持信息沟通。在风险监视与响应的框架内，风险控制的工作不能凭一两个部门或人员的能力就能完成，需要在企业内部形成全力。因此，信息能否及时、有效、准确地被相关人员获得并理解成了风险监控与响应框架中的重要一环。企业需要在企业内部建设有效的信息渠道，让信息有效地在企业内部上行、下行与并行流动。最终使企业的所有人员明白各自在控制活动中的职责与任务。此外，企业还需要与企业外部的利益相关者建立良好的信息沟通渠道，以影响企业内部的风险管理框架。

　　进行持续监督。无论是哪种管理系统通过一定时期运行后，就需要通过持续的监控行为、独立的评审来评估控制活动的有效性。一旦发现内部控制的缺陷，就应分析缺陷，提出整改建议，使各项制度规章不断得到完善和补充。