IT项目风险管理框架研究[4]

那么如何整体的去控制IT的风险呢?我这里画了一个图：

　　在这里我们要引进一些国际上最标准的一些实践，比如信息安全管理，把安全变成一个标准，按照标准去做，我们现在讲安全就是防火墙，可能你想不全，国际上现在有一个标准他想的就很全面，他从方面考虑安全，按照这个去做，不会有很大的偏差；IT服务管理，比如IT流程如何去规划，也可以有一个国际的标准 ITIL，或者行业更佳的实践，把运维如何组织好，把服务递交出去，达到这个要求，还有别的项目管理控制等等。都可以在不同的阶段你把它引入进来，最后我们应该形成一个PDCA，报谓PDCA就是检查控制，技术审计。这样的一个框架可能是控制风险高度性的，有一定基础的，这么一个框架。而且这个框架我们正在实践当中。

　　做的时候也未必是从头来，可能就是从哪先下手，比如先从安全下手，运维然后不断的与其领导沟通，IT搞好，你现在的治理结构不合理呀，因为这事情不是一 件容易的事，让领导去接纳，然后成立这样的一个组织，把这样的功能赋予IT，不是一件容易的事。要慢慢的去做，这里面可以分步的去做。因为时间的原因不具体的太多的说它了。

　　最后，我在总结一下，治理就是制度的安排，制度要解决的问题是对什么东西进行决策，IT的原则构架、基础设施、业务需求、IT投资等，这些事到底谁来管，以前讲人治，人治就是领导来办，或者技术人员说的算，实际上都不对。一种好的治理不同的方面有不同的模式，有的技术人员一起谈，有的可能就说算了，领导要说了这个事情要研究，我们要把这些流程通过最佳实践把它管理起来，现在信息管理好的比如就是IT服务管理 ITIL，我们要把好的国际上的最佳实践把它引用过来，到我们IT风险控制里来，在加上一些比如企业数据化操作，业务连续性，IT项目管理等等。

　　一般来讲企来要把IT风险控制框架建好，治理机制完善起来，是需要分步去走的。第一步就是分步规划架构设计，即使以前没做过这事，回过头来做也不晚，通过业务建模和IT架构规划设计等把其功能完善，第二步完IT治理，达到初步的控制，第三要进行量化管理，要做到精细控制，要分几年去实施的。企业信息化一 定要建立游戏规划，信息系统与业务之间脱节，要建立一个技术委员会，由最高领导参预来进行讨论的，?最后确保IT的出发点和归宿，IT不是玩的一定要为企 业创造价值，出发点归宿一定是这一点。?

　　实际上这个框架就是一个COSO的控制框架，我们今天不详细讲。这个框架有很多的IT的东 西。IT风险管理框架的目标就是完善IT风险控制体系，降低IT成本，实现IT与企业战略、管理、业务、安全的深度融合，使IT为企业持续地创造价值，有效率并有效果地进行信息化。IT风险管理框架的原则就是建立IT治理机制，使IT治理成为公司治理的一部分，在组织的最高决策层上对信息化的进行监管与制衡。

• IT项目风险管理框架研究[3]
• IT项目风险管理框架研究[2]
• IT项目风险管理框架研究[1]
• 高级管理者如何管控项目的进度
• 广电总局整顿DAB手机电视 CMMB受到挑战