企業最大的危機皆來自疏於考量,或是遲於考量的風險,因此企業應預估未來可能的IT風險事項。企業首先需檢視其策略或是內、外環境變動所產生的風險事項,並以4A(Availability、Access、Accuracy、Agility)的層面分析風險對業務的影響,形成一套風險控制策略,再據以決定調整三項風險紀律(最佳化運作基礎、建置風險治理機制、建立風險認知文化)的工作範圍。
外部環境因素的變化一般皆有跡象顯示可能發生的風險,例如:法令規範的更動,可能將衝擊企業在4A各風險層面上的消長,進而影響企業在三項風險管理紀律上的投資分配決策;而企業策略的變化,例如:合作結盟、委外、新產品與服務、新市場開發等等,亦帶來相關的風險,高階管理層應理解這些可能的風險,並支持在三項風險管理紀律上的因應工作。
大多數企業的業務策略皆在持續的變化中,企業的IT風險管理策略也應該定期檢討,以考量策略變化所帶來的可能風險,並確認後續降低風險工作的進行。
十、改善IT風險管理的十大方向
- 視IT風險為業務風險
- 以4A(可用性、取得性、正確性、敏捷性)層面評量長、短期風險
- 立即防堵風險漏洞,並預期更多風險的到來
- 簡化IT運行基礎
- 建置風險治理架構與程序,將IT風險管理融入日常業務流程與決策之中
- 使員工具備相關的風險、弱點以及管理政策的認知
- 創建風險認知文化
- 衡量相關效益
- 展望未來
- 以典範領導
沒有留言:
張貼留言