|
IT失灵(不管是当机、安全发生漏洞、或专案失效),后果可能非常严重。
根据IT管理研究机构(ITGI)针对14个国家200位IT专业人士所作的研究调查显示,高达八成的组织机构委由IT经理而非企业高阶主管负责管理IT相关的风险。
由于IT资产庞大,IT相关的风险牵涉层面广泛,不过ITGI的调查显示,仅有三分之一企业的执行长加入IT风险管理计画。
对企业主管而言,了解IT相关的风险仍是吃力的挑战,毕竟许多主管并非技术方面的专家。少了技术方面的背景,企业主管如何能精进风险管理,确保公司的战略目标得以实现,不受IT风险拖累。
ITGI最近出版的“资讯风险:谁该负责?”提供以下建议:
董事们与高阶主管应该建立一套IT管理架构,正视风险管理,并以企业环境为背景,说清楚IT风险。羡阶段,有必要让高阶主管对于IT风险全力以赴,并负起该有的责任。要做到这点可以成立IT策略委员会,委员会成员包括IT与营运主管,直接向董事会负责。
风险管理应该全盘纳入管理流程,并切实贯彻,诸如定期向董事会与重要股东报告重大的风险。另外一个关键行动是将风险管理与企业目标紧密结合,然后以中肯、不争功诿过的态度,积极监督检讨风险,
董事会的查帐委员会应该将IT风险纳入考虑,委任专人负责查帐,并贯彻建言。董事会也要成立内部查帐计画(若有必要,也要成立外人查帐计画),透过这些计画充分正视IT风险。除了查帐计画,董事会得提供充分的资源落实IT目标,一旦碰到风险,也可以立刻提供资源处理。
IT控管出现弱点必须立刻获得主管的重视。主管首肯新的IT提案之后,应该要掌握风险与获利,确定在拟议战略计画时,将两者清楚纳入考虑。主管也要定期做风险评估,端出行动计画,解决浮出的风险。
最后是营运(实际用到IT服务的人士)必须负起营运相关的风险,包括和IT使用相关的风险。IT服务供应商应该提供咨询,和企业的管理阶层合作,确定作好万全的安全措施。
少了高层主管扛起风险管理之责,可能造成严重后果,包括忽略潜藏的可怕风险,行动走错方向,甚至大笔投资付之流水。反之,若能全力以赴于风险管理,将可加强IT控管。提高企业管理成效,避免企业发生IT失灵的严重后果,享受提高IT使用成效之利。
|
