本篇论文目录导航:
【题目】信息技术中的风险管理探究
【第一章】信息技术风险控制研究绪论
【第二章】信息技术风险分析
【第三章】信息技术风险案例分析
【第四章】信息技术风险管理现状与模型
【第五章】信息技术风险管理的应用与挑战
【结论/参考文献】风险管理在信息技术中的应用结论及参考文献
第四章 信息技术风险管理
由于当前薄弱的合规风险管理能力,个别员工或者组织的集体违规会造成很大的风险,导致组织的价值损失。信息技术在企业和机构中被高度应用,信息技术风险管理可以提升企业价值和企业品牌形象。信息技术风险管理是系统整体的管理过程,贯穿整个企业组织和生产流程。信息技术帮助企业进行风险管理,如安全、性能、可用和合规风险管理。信息技术风险管理仍然需要组织和管理人员的参与。本章节在分析信息技术风险的当前情况后,从组织管理的角度研究风险管理模型和要素。
一、信息技术风险管理现状
(一)信息技术风险管理技术
从 2005 年 10 月至 2006 年 10 月,赛安软件对超过 500 家企业的 28 个 IT 负责人进行信息技术风险相关问题的调查①,参与者来源广泛,职业和地域分布均匀。
在调查中,按组织应对风险的有效性采取的不同方法定义两个指标:技术控制和流程管理控制。同时将企业按抗风险能力分为强、好、弱和差四类。从图 4可以看出,在抗风险强的企业中,技术控制手段比流程控制手段更为有效,大概高出 10 个百分点。
流程和信息技术在不同的组织风险控制中的贡献有差异。抗风险能力较弱的组织主要依赖流程,更多的手段是对人的培训、宣传、惩罚和激励等。组织的信息化水平一般比较低、规模也比较小,并且集中于劳动密集型的企业。对于技术和知识是公司主要资产的企业,其信息化水平一般较高,在风险管理中对信息技术的使用比较多,同时组织的整体风险管理水平也比较强。
财富世界 100 强中 98 家在使用赛安软件信息保护解决方案,该保护系统集成防病毒和防火墙功能,并且采用分层防护功能,对各种威胁采取同阶段和不同层次的防护。当今世界复杂的威胁环境需要先进的系统防护,在各种威胁中以大规模的恶意软件为主。
基于缺陷数据对产品进行质量分析,得出信息技术风险率。本文数据来源于此产品的缺陷数据库,选取缺陷 82087 例,其中发布后缺陷 =6929 例。
(二)信息技术风险管理现状
通过上文对产品的缺陷库分析发现,该产品的信息技术风险率为 8.44%,是一个比较低的水平。整体缺陷都集中在 S1、S2,相对于客户缺陷,说明该产品的测试过程比较完善。客户缺陷无论按照严重性还是优先级都呈现一个典型的正态分布特性。本文选取 638 件公开风险事件,与赛安软件的产品的数据进行对比,分析赛安软件的产品和风险损失的关系。
分析数据主要来源于 Infowatch 和 Google.Infowatch 集团是一个创新型的安全咨询科技公司,专注于开发及提供先进的综合技术和服务,主要提供如下服务:专用数据丢失的预防和保护、知识产权保护、客户体验和声誉管理、组织风险管理、组织法规遵从解决方案等。本文选取来自 Infowatch 分析实验室的公开数据 638 件,Infowatch 的数据库泄漏事件包括员工在组织内有意或无意的信息泄露事件,以及已在媒体或其他公开来源的报道(包括博客和网上论坛)事件。
数据主要选取之 Infowatch 数据库中的损失金额和日期,并按照赛安软件关于信息技术风险的分类定义进行分类,即可用性风险、安全风险、合规风险和性能风险四大类。并且对 Infowatch 中选取的信息技术风险事件进行互联网关注度统计。主要通过 Google 搜索引擎提供的网页评级技术,对信息技术风险事件按标题为关键字进行搜索,并以搜索得到的结果作为该事件关注度值。
根据对 Infowatch 提供的 2006 年到 2013 年的数据统计显示①,在过去的六年中,意外和故意泄漏的数量总体在逐年增加,从图 6 中可以看到风险事件在六年间的详细情况,然而从图 7 可以看出,风险事件成为公共或公开事件的比例却没有随之增长,2013 年的公开风险事件的显着增多源于知名的斯诺登事件②。
本文接下来对已知的 638 例公开事件进行更多维度的分析。在 638 例事件中,56 件有明确损失金额的估计或披露。通过图 8 可以看出,实际金额损失巨大的事件不一定有较高的互联网关注度,反之互联网关注度大的不一定损失金额比较大。
换句话说,金额损失巨大的不一定最受关注,或者可以说风险事件中组织无形价值的损失程度并不正相关与实际罚款或金额损失。
本文对此现象进行简单细分,关注度比较高的事件多源于政府、公共事业等组织。本文选取关注度 1000 作为阀值,共有 19 个事件超过阀值。从图 9 可以看出,政府医疗等公共事件更容易成为网络上的热点。
本文对信息技术风险和缺陷统一分为对应的四类,对于技术风险分为可用性风险、安全风险、合规风险和性能风险;缺陷按照类型分为可用缺陷、安全缺陷、合规缺陷和性能缺陷。图 10 是研发阶段的缺陷数据和公开风险数据对比。从图中可以看出,可用性缺陷是关系到产品能否发布的重要指标,因而可用性缺陷在整体中占比比较大,接近 60%,也说明系统开发过程中系统可用性得到足够的重视和投入。而在公开的信息技术风险中可用性风险占比很低,性能、合规和安全的比例相对比较大。
由此可见,信息技术风险与开发过程相比,在可用性方面差距大,开发过程解决很多系统的可用性问题。接下来本文将对信息技术风险和客户缺陷做一个类似对比,客户缺陷发生在产品发布之后。从图 11 可以看出,差距缩小比较多,但是合规风险相对要高出 15%, 说明合规性风险相对较难在开发环节被发现。
图 12 综合所有指标进行对比,可以看出:安全是损失最大、风险最多、网络关注度高且是客户缺陷中的主要组成部分,表明大部分人认为信息技术风险就是网络安全的现状。合规风险所占损失和风险事件中是比例比较高,达到 20%,损失更是达到 35%;合规性在开发过程中关注明显不够,是受限于合规性所要求的专一知识。合规性更加专业化,要求安全公司的产品经理应该拥有法律法规等专业知识,反映安全公司对风险安全规定,如巴塞尔协议等考虑得不够。因此开发的产品的合规性更多地是依赖于系统管理人员的策略配置,而人员的错误是不可避免,再由赛安软件公司的研究结果表明,信息技术的管理相对于流程管理更为有效。
所以应当加大系统安全软件对法律、法规的功能表述和研究。
通过对信息技术风险防护软件缺陷与公开风险事件按风险类型分类及相互比较分析,得出如下结论:
1. 信息技术风险管理的最有效手段是用信息技术去管理信息技术风险,信息技术在信息技术风险管理中的有效性更高于人员管理培训。
2. 信息技术管理对信息技术风险中安全风险、性能风险、可用风险和合规风险都有支持,其中对合规风险的支持因为需要综合跨行业的技术能力而比较薄弱。
随着世界对信息化系统和流程更加依赖,管理系统风险就成为一种必然。风险(包括安全、可用性、性能和合规性风险)管理已成为管理人员和董事会的一个重要挑战。信息技术风险是操作风险中的重要部分,信息技术已经成为业务过程中的必要技术手段,很多可能产生操作风险的源头都不可避免的伴随着信息技术。操作风险,包括可能的操作效果或结果导致的可能风险,如外部自然灾害、政府法规的变化、内部流程对产品或服务的质量影响、组织和数据中心的性能、知识产权流失、监管或法律控制等。
风险管理能力是竞争力的一个方面,它提升企业承担风险的信心,提升组织的竞争优势。赛安软件公司的首席战略官格雷戈休斯称:“风险管理不仅仅是用技术来解决安全问题,通过适当的规划和广泛的支持,它给一个组织带来信心,不断创新,超越竞争对手。”①风险管理能力是企业的重要价值,信息技术是构成风险管理能力的重要组成,因此,信息技术在信息技术风险管理中起着关键作用,同时,信息技术的技术特性导致信息技术在合规风险管理方面的先天不足,需要组织管理予以补充。
二、信息技术风险管理模型
(一)风险管理模型
在 90 年代,伴随巴林银行事件的重大影响,COSO 就提出“整体内部管理控制框架”②.内部控制是一个接近企业管理且容易实施的措施,它包含一系列的组织控制管理过程:系统控制、风险评估、行为控制、信息的沟通和控制。随后英国金融服务管理局提出对风险进行内容管理和过程管理。
巴塞尔委员会从监督和管理的角度提出一些列的原则和管理措施:环境建设、风险识别计量和控制、以及信息披露。
1.构建系统有效的风险管理环境
巴塞尔委员会要求必须首先构建利于风险管理的环境,从组织和公司文化层次上对风险管理进行支持,必须营造各级管理者自觉保持提高道德操守的文化环境。首先,公司董事会必须了解组织的风险所在,并允许实施相关风险控制系统且定期检查。其次,董事会必须让风险控制系统处在有效的监督之下,监督必须是独立、专业和训练有素的团队。最后,高级管理团队必须积极组织和落实董事会关于风险管理控制的决策。
2.风险识别计量和控制
巴塞尔委员会要求各组织应该根据自己的情况实施风险计量模型,必须能识别、监测和评估相应的风险,主要包含一系列的内容:首先,应该能识别和评估系统中的操作风险。其次,应该监测程序和系统操作风险情况并向董事会作定期报告。再次,应该有正确的风险战略政策,并作定期检查和调整。最后,应该制定针对风险损失的应对措施,确保风险损失的影响面最低。
3.信息披露的重要作用
巴塞尔委员会要求充分的信息披露,使市场的监督力量得到使用。市场监督的使用能有效促使内部风险管理控制的实施。
(二)信息技术风险管理模型
管理学的思想家巴纳德(Chester Barnard)认为组织管理的首要是共同的目标和协作的意愿,因此要在风险管理上做的优秀,构建良好的风险管理环境就相当重要;从决策者、管理者到实施者都要有风险管理的基因。风险管理是个投入大,却不直接产生盈利的活动,作为公司 CEO,利润最能突出其业绩,都尽量将风险留给后任继承人。要使风险管理在组织中有效发挥效能,那么从董事会和公司文化的决策层上就首先要有一个共同的目标,那就是风险管理必须成为组织管理的重要的组成,而且确实是利于组织长期稳定地发展。其次,在高级管理层和员工层面上,需要有一个协作的意愿;风险管理的效能离不开具体执行和直接实施管理的人员。
但是风险管理是项长期且持久坚持下去才能有好的收益的活动,并且投资效益比不是线形增长。因此风险管理在一线员工更多的是风险控制,把风险管理做成风险控制,做成不能踩的红线,并且制度化,形式化。所以在银行,会有相当大风险控制相关的规章制度,并导致部门墙产生。积极有效能的组织,必须在风险管理上有共同的目标和协作的意愿,就有两种组织结构:
1.风险管理附于各部门组织管理之中。
2.独立的风险管理部门。
风险管理与组织管理有机结合能最快最直接的进行风险管理,弊端是作为管理者必须在风险管理和业务的诱惑之间做决策,风险管理取决于管理者的能力水平。对管理者有一个较高的要求,往往发展出需要或依赖相应的知识专家支持的决策情景,而且如果有多个决策者的情况下,目标往往不统一,难以协作。在风险是个偶然事件的前提下,冒险会产生额外利益的诱惑下,往往风险管理会被边缘化。独立的风险管理部门则解决第一种风险管理架构的不足,风管理部门从整体专家角度作一个整体的风险控制,独立的风险管理组织在内部更容易达到共同的目标和协作的意愿。 由于风险管理的实施是在业务部门的活动中,时效性和对外沟通协作是个很大的问题,因此风险管理部门比较喜欢使用规章制度和信息技术手段。使用信息技术进行风险管理具有一系列的好处:
1.时效性会提高很多。
2.信息技术控制更加信息化,信息沟通的效率比较高。
沟通在组织中有着重要作用,对于使用信息技术的组织,人员日常工作中可能是在跟信息技术的终端进行沟通。沟通①中包含丰富的信息量,其中属于文字的据统计只有 3%,其它非语义内容如,语调、表情等占比很多。对于大量靠文字与用户进行交互的信息技术来说,是个巨大的挑战。所以,信息技术的语义的完整无误的表述是降低风险损失的首要且切实有效的措施。信息越是能摆脱人的感情、价值观、期望和感知等因素,它就越具有信息的作用,就越有效率。因此要想人员与信息技术之间的沟通有效,就既需要信息技术去照顾人员在沟通中对感知的强烈心理需求,也需要工作人员通过一定的培训达到一定的技能,能有效理解信息技术的表述。巴纳德认为有效的沟通需要共同的经历,所以信息技术的设计者与信息技术的使用者需要有一个共同经历,不然就有可能设计出来一个具有糟糕的用户体验的信息技术系统来,会增加风险损失发生的可能性。信息技术有一系列的效能:记录存储、知识分析、流程控制、管理控制和信息沟通。信息技术已经渗透到企业的每个角落,发挥更多作用。信息技术作为记录存储、流程控制和信息沟通的基本功能已经被大量使用,知识分析和管理控制的功能在一些复杂业务上已开始使用,比如证券投资分析和交易等。
操作风险管理需要从信息技术和人员管理两个方面去进行实现,并且二者相互促进,合理的使用信息技术和人员管理能有效提高风险管理的效能。所以优秀的企业是在这些方面都做到优秀。优秀的风险管理必须有优秀的组织环境的支撑。
风险管理就要从组织上的三个层次,两个纬度进行分析和构建。
风险管理过程中人和信息技术参与的程度在不同的组织风险管理等级中表现不同。一级中,主要表现为人员参与,风险管理主要依赖人员个人素质;二级中,仍然主要是人员参与,但是不在是个人,而是一定的整体风险识别和沟通能力;三级中,信息技术手段采用比较多,与人员相互结合,有规范的风险识别和量化能力、沟通监督机制等。
三、小结
信息技术风险管理中,信息技术是重要的手段;全球众多企业依赖安全厂商提供的信息技术风险保护解决方案。当前的信息技术风险解决方案已经能防范安全风险、可用性风险和性能风险和合规风险。然而由于信息技术自身的特点,合规风险并不能很好的防范。因此,信息技术风险管理也离不开组织风险管理环境的建设。综合研究信息技术风险的现状和组织风险管理模型,得出如下结论:
1.信息技术风险管理的第一要素是企业的风险管理战略,采用什么样的风险管理战略,建立什么样的风险管理环境对信息技术风险管理至关重要。
2.信息技术风险管理中合规风险是信息技术管理的不足,需要组织管理予以补充。信息技术管理帮助识别和管理风险,但是组织管理中的负责人的风险意识和能力仍然非常重要,知法犯法往往能造成更大的风险的产生。信息技术风险管理需要组织和信息技术共同的管理和配合。
3.信息技术风险管理在环境、识别和沟通三个层次上构建成整个风险管理组织层次。信息技术和人员贯穿于整个组织层次中,起着主要作用。信息技术与人员的质量关系到组织战略实施、风险识别和风险沟通的有效性的重要影响因素。
