6月21日下午，由CIO時代網(wǎng)主辦的第五屆中國軟件交易會IT治理與卓越運維論壇在大連世界博覽中心成功舉辦，來自全國各地的專家、學者、CIO及媒體記者們齊聚一堂，共同探討了中國信息化深入應用的深層次問題。本文根據(jù)嘉賓現(xiàn)場演講整理而成。

　　大家下午好，非常榮幸今天有機會來為大家做一次交流，我演講的題目是IT風險管理框架。

　　風險管理是一個比較時髦的詞，我們都在講企業(yè)的風險管理，包括賴老師講的SOX法，實際上就是控制企業(yè)的風險，引用一些控制措施，其中里面的控制措施里就有一個非常重要的內容就是IT的，IT如何去控制風險，IT如何為企業(yè)的風險做出應用的貢獻，實際上這就是我們要研究的內容。實際上也是我們很多信息化管理者正在思考的問題，是到底是從哪里下手去做這個事情，這個事情的題目是一個很大的題目，到底從如何下手，那么我就結何我的實際經(jīng)驗和一些我研究的內容給大家做一些介紹。

　　首先給大家介紹一下我國信息化的現(xiàn)狀，那么我國信息化是這樣從78年到現(xiàn)在大概也就二三十年的時間，力度比較大的信息化建設，那么到今天為止實際上我們已經(jīng)基本走過了一個基本的階段，我們以前的信息化是什么呢，注重了對行業(yè)的覆蓋，對企業(yè)的覆蓋，硬件的配置等等，把什么建起來，把應用的系統(tǒng)建起來，那么從2000年開始，我們把重點就開始轉移了，我們慢慢轉移到信息化見效了，要做出貢獻了，為業(yè)務解決問題了，為業(yè)務創(chuàng)造價值了，這是我我們更多的關注的內容。

　　至于用什么產品，雖然也很重要，但是已經(jīng)讓位給了IT如何為社會為政府創(chuàng)造價值就這么一個層面上來了，那么這個時候去講究什么呢，講究IT如何提供服務，如何控制他的風險，如何更好的來創(chuàng)造更多的本身的價值在里面，這個時候我們更多關注是IT本身更多的風險，這是為什么呢？打個比方，今天我們用電用水一樣，政府和企業(yè)不可分割的一部分，我們可能平時感覺不到，但是一但沒有的話你就會感覺到你可能會受不了，你的企業(yè)可能就會停止運轉，政府也可能會受影響，所以這種依賴性比較高的風險迫使我們去考慮如何控制IT，如何支持我們企業(yè)的組織、社會IT正常的運維。

　　從這幾十年的IT實踐來看，IT的風險其實很大，我們回過頭來看，我總結了幾條，實際上還遠遠不只是這些，這里面是幾個比較重要的，比如IT治理的風險，剛才賴老師也提到IT治理的風險，我們現(xiàn)在很少提到這個詞，但其實是件很重要的事，還有規(guī)劃和架構的風險，我們也講規(guī)劃，但是我們這個規(guī)劃與真正的標準化的可操作性的規(guī)劃還是有一定的距離，我們還有項目管理風險，技術設施風險，應用系統(tǒng)風險，應用交互風險，信息安全風險，業(yè)務持續(xù)風險，IT績效風險等等，我想隨著時間的發(fā)展，還會有新的風險還會層出不窮的。

　　那么我簡單分析一下這里面幾個比較重要的風險：

　　第一IT治理風險，這幾年的發(fā)展，我們發(fā)現(xiàn)我們國內的信息規(guī)劃特別是我們就看看搞的特別好的企業(yè)，我們講有幾大模式，我們講的斯達造紙廠IT信息化做的特別好，講鞏義電子政務做的好，我們看這些做的好的企業(yè)和政府有一個很重要的原因是什么，他的一把手特別重視，他的主要領導特別重視，一個比較懂行，別外一個可能是善于利用社會資源，領導重視做的比較好，有的單位可能做的不太好也有很多原因可能就是把IT當技術去處理了，我們講實際上這個“人治”的時代，還沒有到法制沒有到一個真正治理的階段，還要靠真的領導去認識那他就做的好。

　　對我們現(xiàn)在的這個社會來講，靠人治是遠遠不夠的，不能滿足要求的，一定把他變成制度化的東西，不管是換了哪些領導，我們的這個企業(yè)還是要往前發(fā)展的，那么我們的IT應該是什么樣，就是什么樣，不因為領導重視不重視而忽略或受到重視，在這個層面上我們國家目前都還基本在人治的層面上，沒有建設成這么一個治理的概念。信息化是一個從治理層的關注，把它變成一個制度，需要有一個制度化，規(guī)范化，標準化，這里要涉及到許多機制，我們IT不光是技術的問題，實際上還有很多戰(zhàn)略問題，管理、業(yè)務流程實踐都要涵蓋在里面，真正把這個制度建立起來，IT才會擺脫現(xiàn)在的狀況。這是第一點，也是我們感受比較深的。

　　第二個就是規(guī)劃和架構的風險，我們每個企業(yè)實際上政府在做信息化的時候都在做規(guī)劃，五年規(guī)劃，三年規(guī)劃，我們的網(wǎng)絡建設規(guī)劃，應用規(guī)劃，但好多規(guī)劃實際上做的層面還是不夠具體的，還不夠標準化，操作起來還有許多誤區(qū)在里面，王仰富先生會給規(guī)劃這方面的內容，他講的是一種國際上比較流行操作的一種手段，怎么去進行規(guī)劃，而不是我們現(xiàn)在做的方式，這個問題我不展開講。

　　下面談項目管理風險，IT最終去實踐，如果規(guī)劃好了一個架構出來，如何去實踐就變成一個項目，項目周期很長，比如去開發(fā)一個ERP軟件，這個項目需要很長時間，這個風險就非常大，這么長的一個軟件項目投資那么大，如果這個項目控制不好，風險非常大，這里面有幾個統(tǒng)計數(shù)字，就是在美國信息化這么發(fā)達的國家，他的成功率也不是很高。我們國家呢，大家可能感受到這個就更不用說了，項目控制項目的審計，項目的監(jiān)理，我們有一些有效的控制手段，但是這里面風險依然很大。

　　還有基礎設施的風險，大家都知道現(xiàn)在的網(wǎng)絡是越來越復雜，補丁露洞越來越多，開發(fā)層度越來越深，但是風險越來越高。這是為什么呢？因為系統(tǒng)越來越復雜，這是一個非常自然的、信息化固有的風險。另外一方面我們對這個IT設施依賴性特別強，我們是不可忍受的，有人做過統(tǒng)計銀行對IT的依賴最多不超過兩天，證券公司網(wǎng)絡停機不能超過半個小時，半個小時以上就是事故了。商企企業(yè)，實際上我們對他的依賴性是很強的，不能容忍任何的失誤，經(jīng)濟發(fā)展的更新化越來越快，基礎設施上的風險依然在加大。

　　另一個風險是應用系統(tǒng)的風險，想到風險把目標放在安全上，實際上我們應用軟件應用系統(tǒng)在開發(fā)過程當中，充滿著風險，就是比如需求是不是清楚呀，我們現(xiàn)在開發(fā)出的軟件不是我們想要的東西，因為經(jīng)常是搞技術的人弄來一些人，在那做調研，軟件開發(fā)公司來公司做調查，弄很多人在開發(fā)軟件，搞軟件的人不太懂業(yè)務，懂業(yè)務的人不太弄技術，有很大的脫節(jié)在里面，這只是一個風險。實際上還有一個風險就是我們在做軟件開發(fā)的時候，很少把安全的控制做在軟件的本身里面，舉個例子去年的時候發(fā)生在日本的一個證券公司叫瑞穗證券，他是接受委脫人的指令操盤，進行證券買賣，結果他在接受指令的時候，操盤員敲錯了，本來應該是一股61萬日元一股，結果他敲反了，造成很大的損失，幾分鐘證券公司損失了270億日元，相當于16億人民幣，大家都在說這個操盤員臭手，實際上我們作為風險管理人員審視這件事發(fā)現(xiàn)不是那個人手臭，你去操作你可能某一天也會出錯，他實際上是一種控制的趨勢，特別在應用開發(fā)方面上，很顯然的錯誤沒有在業(yè)務方面加強控制在軟件上表現(xiàn)出來，這是一個巨大的缺陷，軟件開發(fā)商不會主動的去給你業(yè)務部門搞這個事，太麻煩了，如果你自己不提，但是我們業(yè)務部門又很少提這樣的風險上的要求，我們很多軟件開發(fā)有這樣的趨勢在里面，除了供用需求以外，我們將來還需要功能需要，軟件開發(fā)功能需求加在一起做出軟件開發(fā)的需求。

　　還有就是IT服務交互風險，我的IT有露洞了，補丁包該打的都打了，服務器又特別好，那也不能百分之百的說你的IT好，實際上對用戶來講他關注的是服務，不管你用的是什么數(shù)據(jù)庫還是什么的服務器，我們更多的關注的是這服務器性能好不好，一定要把IT的硬件軟件要變成一個服務，為客戶服務，這個理念也要在我們的IT中體現(xiàn)出來。

　　信息安全風險這個大家都比較明白，我們現(xiàn)在這個安全這塊形勢越來越嚴峻，安全方這面比如講的病毒呀，黑客呀，我們與其斗爭了這么多年，出現(xiàn)了這么多的產品，發(fā)現(xiàn)越到后面我們越被動，越是到現(xiàn)在越是不知所措，安全形勢越來越嚴峻，以前的做木馬做病毒的人是為了炫耀自己，現(xiàn)在做木馬做病毒的人是一個產業(yè)鏈，盜取別人的東西進行交易買賣，形成了黑色的產業(yè)鏈，這個就比較可怕，互聯(lián)網(wǎng)的風險越來越大，在你瀏覽網(wǎng)站的時候病毒悄悄的就感染了你的系統(tǒng)，時時刻刻盯著你的電腦資料，所以安全的風險越來越嚴峻。

　　業(yè)務持續(xù)的風險除了前面講的這些風險以外，比如發(fā)生大的水災呀，我們的IT會不會中斷呀，比如2003年非典的時候，什么設備都沒壞，但我的業(yè)務確斷掉了，樓被封了，進不去，這也是IT風險控制要考慮的內容。

　　還有一個內容比較重要就是績效風險，講IT只是講投入不講產出，我們在IT上投入很多很多，不知道大家有沒有這樣一個概念，投入多少錢，實際上我這有幾個統(tǒng)計數(shù)字，2005年我國在信息化建設上投入了2829億，06年是3227億，估計到2007年就達到4236億，增幅是很快的，這里面的大頭是誰呢，不說都明白，是電信，政府，銀行，企業(yè)投入也很大的，在企業(yè)里一定涉及到投入回報，投入產出比，但是我們IT上很少有人會去算投入產出，提高管理水平管理效益，提高多少呀不知道說不清楚，這里面也是有一個黑洞，要有一套方法把我們績效表達出來，這樣你才知道我們明年投入在什么地方，哪一點是浪費的，關于這個事情我們的嘉賓姚樂先生會在后面有一個演講。

　　現(xiàn)在的法律法歸要求的越來越高，比如剛才提到的SOX法，他是美國的一個法律，跟我們有什么影響呀，我們國內有很多上市公司，所以你也必須做依從性，為什么要依從性呢，什么法太嚴密了，以前我們說違法就違法了，會通告一個會批評一下，做出相應的處罰，比如現(xiàn)在很多的上市公司的老總補罰了10萬20萬，他也不在乎那點錢，這個法可不一樣，首先罰的非常大，個人可以罰款到五百萬美元，企業(yè)罰款到兩千萬，但這還不是最重要的，還有一件最重要的是要做牢，如果這個公司造假，CEO、CFO最多要做20年的牢，這個他就害怕了，這個法律對我們有影響，對全世界都有影響，我們國家現(xiàn)在財政部及相關部門組織這么一個專家組，正在研究中國的SOX法，可能未來兩三年之內中國也會推行這套東西，要求所有的上市公司也要做控制。

　　做內控和我們做IT有什么關系呢？太有關系，我們這些內控怎么去體現(xiàn)，我講財務報告不能造假，財務報告是在財務系統(tǒng)里，你那個財務系統(tǒng)不可能授權不完備，讓人隨便改，得保證它的可靠性，財務系統(tǒng)從業(yè)務系統(tǒng)那里來的，業(yè)務系統(tǒng)裝在數(shù)據(jù)庫里，數(shù)據(jù)庫裝在服務器上，服務器在網(wǎng)絡上，完全串在一起，IT本身要可靠，要從IT一直到你的財務系統(tǒng)，都要可靠，有一個地方有露洞的話你都談不上，所以說要SOX法實施起來這么難了，而且SOX法離不開CIO，雖然SOX法只追究CFO、CEO的責任，如果CFO、CEO的日子不好過了，你CIO還跑得了嘛？所以最后統(tǒng)計SOX法有40%的工作量是在IT上。

　　講了這么多的風險怎么辦，實際上我覺得今天提出來就是要建立一套制度，或人治，靠某某人領導重視，還有我們要搞的典型政府信息化的典型，企業(yè)的模式，這東西只是曇花一現(xiàn)，企業(yè)要把IT做好一定把他變成種制度，決定IT能夠真正做的好不是一兩個人的技術，技術已經(jīng)不是很重要了，技術的東西總是能買到，但是把技術控制好、用好靠的是制度，靠的是管理，最終靠的是人，所以我們要建立一個有效的制度安排。

　　回過頭來我們發(fā)現(xiàn)國內的一些信息化建設走了很多彎路，我們有一點和國外有區(qū)別的是我們不太重視游戲規(guī)則的制訂，IT一定先要把規(guī)則建立起來，包括制度和控制，建起來以后我們發(fā)現(xiàn)IT風險小多了，所以我們要強調建立一種制度，IT風險控制其實上就是企業(yè)重要的組成部分。