三、IT風險管理的三核心紀律
IT風險管理能力建立在三項核心紀律上:(1)堅實的IT運行平台;(2)規劃良好的風險治理機制;(3)風險意識的文化,研究顯示成功的IT風險管理能力養成方案,可自此三項紀律中,擇一開始推動。
IT運行平台主要由IT基礎設施、應用系統、IT人員以及相應的管控程序、制度等所構成,堅實的IT運行平台可減少問題發生的機率、加快問題一但發生時的解決與恢復速度,也使企業易於評估風險、易於進行系統的維護與變動。
建構堅實的IT運行平台首先需檢討現有運行平台狀況,施行基本的控制程序,再推動IT基礎設施與應用系統的簡化方案。簡化觀念的落實是最具成本效益的IT風險管理措施,不但長期可降低IT維運成本,亦可避免風險的發生,但是除非是新創企業,一般企業皆已有龐大的既存系統資產,難以採行一次簡化IT基礎設施與應用系統的方案,因此多以漸進方式,逐步簡化、標準化IT基礎設施,並利用業務需求的機會,分批調整應用系統配置,因此相對於其他兩項IT風險管理核心紀律,建立堅實的IT運行平台,企業需投入最多的時間與資源。
風險治理機制是制定並管理一組流程與組織結構,以定義風險政策及標準,辨識風險輕重緩急,管控風險可能的發展趨勢,並確保遵循政策與標準;可提供企業以整體的角度,審視風險,投資應對方案,並檢討成果。脆弱的風險治理機制導致企業以破碎的角度管理風險,產生以下問題:(1)風險的影響程度與輕重未被充分了解;(2)投資管控未被充分了解的風險議題;(3)風險管理工作的效能未被充分了解;(4)可能產生影響巨大,超過部分單位可以控制的風險。企業推動風險治理 須承擔龐雜的費用與時間成本,且工作的投資回報難以量化,因此企業經常以實驗的方式,尋求實施風險治理的最佳方式。
風險意識文化是指面對風險議題時,個人責任及行為態度的表現,企業內每一位員工應該重視組織整體的風險,分享、討論彼此對風險的認知,並主動負責管理風險。具備風險意識文化的企業,通常存在有特定專業領域的風險管理經驗,且內部人員亦對組織的可能風險,有普遍的認知,並被鼓勵公開討論與管理風險。建立風險意識文化,需要管理高層明確地表態支持,並付諸行動。
沒有留言:
張貼留言