"IT Risk: Turning Business Threats into Competitive Advantage"(Harvard Business School Press, 2007),也是MIT Sloan Management School Center for Information Systems Research (CISR)出版的一部資訊管理方面的研究成果,專注在資訊科技(IT)的風險管理領域。與CISR的研究風格一致,本書亦是以企業管理者的高角度,檢視資訊科技應用後所帶來的風險與機會,提出在制度方面與管理思想方面的應對之道。在資訊科技的應用對企業的營運日益關鍵的現在與未來,對一向將資訊科技風險歸責於資訊部門的企業高層主管而言,這本書將可帶給他們條理明晰、論證完整的思考體系,從而正確地看待資訊科技的風險與價值,制定正確有效的管理決策。 本書係根據CISR以及Gartner Executive Programs兩研究單位,針對134家企業的實訪查與研究結果編輯而成,除前言外,共分九章,提供整體性的IT風險成因與影響的說明,並發展管理策略,設計分析工具,以求有效掌握風險,化危機為轉機。依章節編排,個人整理內容與心得如下:
一、導論
IT風險所造成的災難事故從不短缺,其共通點皆是:(1)對企業內、外部的人員、組織造成損失與傷害;(2)對企業的聲譽造成傷害,並引起主管機關的關注;(3)暴露出企業一般管理工作的疏失。本書的研究顯示,大多數IT風險的成因並不是來自技術或是低階的人員操作問題,而是企業的IT監督與治理工作的疏失,具體而言就是:
(1)無效的IT治理:IT治理的定義為"制定決策權與權責架構,以鼓勵期待中的IT應用行為",企業缺乏適當的權責與決策架構,可引導業務方面參與IT相關決策,將使企業因各單位的自行其事,而產生未來整合困難、彈性不足的風險,且在無業務單位的配合下,IT主管可能對潛在的風險有錯誤的假設。
(2)失控的複雜性:缺乏堅實的分析、設計與管控基礎,複雜的系統需要大量的人力與技術投入操作與管理,不但難以提升效能,絕對易於產生風險。
(3)對風險的輕忽:將造成作業方面的風險,狀況包括:失傳或不適用的知識、基礎設施的不當管理、員工對風險的忽視與不在意、系統未能偵測預警問題活動等。
IT風險是企業營運本質上的問題,而非僅是IT管理方式上問題,IT主管應該清楚傳遞IT風險的業務後果,並營造一個可由業務主管參與討論的決策環境,使企業管理層能主動積極參與風險相關決策活動,並確信風險管理措施的推動與落實。
IT風險影響業務成果,已成為業務風險,必須以管理業務風險的立場進行管理,而應具備的管理能力則包括:(1)以企業整體的角度看待IT風險,以業務語言描述、溝通IT風險議題;(2)聚焦三項風險管理的紀律:簡化的IT運營基礎、建置風險治理程序、強化風險意識文化。
視IT風險為業務風險進行管理,可以獲得業務效益,因為企業將因較少的問題與穩固的IT運營基礎,而可專注於有生產力的工作,並追求有價值的業務機會。
沒有留言:
張貼留言