企業必須在三項風險管理紀律(最佳化IT運行基礎、建置風險治理機制、建立風險認知文化)方面皆達到合格的程度;不過一般具備極佳IT風險管理機制的企業,皆傾向專注發展三項風管紀律中的一項,主要是因為選擇先專注一項風險紀律,可以較快的速度展開工作,並為其他紀律的推廣打下基礎,而如何選擇適合專注的風險紀律,則端視企業的文化、當下情況與能力,目的是儘可能使企業順利地接受並建立風險管理機制。
合格的IT運行基礎須能承受一般常見的攻擊與失誤狀況,所具備的措施與特徵包括:持續關注與修補系統漏洞、編製並演練業務持續計劃、建立系統架構、簡化並汰換老舊、複雜與不符架構的系統。當企業經常需緊急動員消弭災難,即是該企業不具備合格良好IT運行基礎的徵兆。
合格的風險治理機制所具備的措施與特徵包括:定期進行的風險評估、風險政策與標準的遵循與例外處理的程序、專人負責的風險治理流程、建立並維護完整的風險紀錄、持續一致的風險評估方式、引用業界最佳風險控制實務等等。良好的IT風險治理機制將導致較佳的查核結果,當企業的高階主管層無法完整描述該企業的風險治理程序時,即表示該企業不具備合格良好的風險治理機制。
合格的風險認知文化即是心裡上高度安全的風險探討氛圍,所具備的特徵有:風險議題持續為高階管理層決策的考量重點之一、各階層員工多能明白了解所面對的風險以及通報、處理流程、經常性的風險狀況與衡量通報、定期舉辦風險教育訓練等等。當企業高階主管思考企業未來發展策略時,亦能將可能的風險議題併入研討時,即表示該企業具備合格且良好的風險認知文化。
企業文化、當下狀況與能力是企業選擇專注何種風險紀律的重要因素。企業文化最成功的改變方式來自於高階管理層的往下推動,當企業習於精心安排的制度、流程與規範,則有益於該企業先專注建置風險治理機制;而當企業重視專業經驗與知識、尊重顧問意見、重視業務獨立性並容忍產品與服務的多樣性,則有益於該企業先專注於建立風險認知文化;當企業可能是在新創或是重新再造的階段時,由於追求技術平台的延展能力、彈性與效能,較有益於該企業專注於最佳化其IT運行平台。
相對於最佳化IT運行基礎,企業通常以建立風險治理機制或是風險認知文化為專注焦點,因為成本較為低廉,也較為容易推展。例如企業可以利用內部對於專業技術與知識的尊重氛圍,先專注於推動風險認知文化,再以其成果為基礎,逐步改善IT運行基礎以及風險治理機制。
較大型企業的IT風險管理工作,傾向先專注於風險治理機制的建立,主要是因為治理機制與其配合的流程是大型企業達到經濟規模的重要方式,且已經大量建置的系統基礎,使得大型企業須耗費大量成本以簡化IT運行基礎,因此多優先推動風險治理程序的建置,改善風險認知文化,以獲取逐漸改善IT運行基礎的動能。小型企業的IT風險管理工作,則多先專注於建立風險認知文化,或是改善IT運行基礎,取決條件端視其已建置的系統規模,或是組織層級的複雜程度。
處於密集規範產業中的企業,例如:金融業、藥品業、醫療業中的企業,以及政府機構組織,傾向專注於建立IT風險治理流程;而處於成熟產業中的企業,例如:紡織、製紙、鋼鐵等,則傾向專注於無須重大投資的情況下,簡化其基礎架構與應用系統;至於經常遭受來自多方面攻擊的企業,例如:微軟,則建立風險認知文化將是重要的風險管理工作焦點。
不同國家地域的規範與實務也影響企業IT風險管理工作的重點,為符合部分國家、地區實施的法案,於該國家、地區營業的企業將不可避免地專注於風險治理機制的建立。另外,企業目前具備的能力將是規劃啟動該企業風險管理工作的考量重點。
企業可依據其現況與能力,選擇IT風險管理工作的重點發展紀律,並利用其過程與成果產生動能,持續推動其他紀律的改善與建置。企業必須在三項風險管理紀律上,皆達到合格的發展程度,IT風險管理工作方可能產生效益,選擇重點發展紀律只是臨時的工作焦點,企業將隨著其能力的成熟與需求的變化而改變其風險管理的工作焦點,並持續精進。
沒有留言:
張貼留言