二、4A的風險管理架構
以業務觀點解讀IT風險的後果是相當必要的行為,未加考量業務需求與實務的IT風險管理方案,可能在技術方面是正確的,但是通常仍不夠充分,以備援系統規劃為例,真正要解決的問題是如何使業務再度正確營運,而非僅是系統的恢復運作,因此企業應促使IT與業務雙方,正確地溝通IT風險議題,取得共識。 針對未預期的IT事件對企業營運的可用性(Availability)、取得性(Access)、正確性(Accuracy)與敏捷性(Agility)等四項業務目標的潛在影響,本書提出所謂的4A風險管理架構,作為IT與業務單位間溝通IT風險的共通語言基礎,任何IT風險的表達,皆應該描述其對此四項業務目標的潛在影響程度。
建議企業應準備IT風險調查表,定期請管理高層明確針對4A(Availability、Access、Accuracy、Agility)項目,研討風險議題,將管理高層的業務策略變動因素納入風險考量,並以企業整體的角度,辨識IT風險的輕重緩急,以及管控的重點,獲取各單位在風險議題上的共識。管理高層IT風險調查結果將轉交一般作業管理人員,再由他們深入了解這些風險議題,檢驗操作實務,或是提出其他可能的風險。透過明確的IT風險調查,企業可以有效獲取整體一致的IT風險認知,了解風險的影響程度與後果,依優先次序,投資應對方案。
不同企業對於4A的四項由IT實現的業務目標,各有不同的容忍程度,企業的業務與IT單位可利用4A風險管理架構,溝通彼此對於IT風險的認知,了解4A當中,何者與目前企業營運攸關,協商4A項目中的投資優先次序,從而取得可共同接受的取捨條件,達到風險的平衡控制。
沒有留言:
張貼留言