风险是遭受损失的可能性,没有风险的环境即没有任何不确定因素的环境是不存在的。

风险无所谓好坏,风险是造成将来损失的可能因素,虽然损失本身可视为不利因素,但它可以帮助我们认识到机会可能会带来未来的收益,风险中存在机会,机会又孕育着风险。

风险也并不可怕,但必须加以控制。

美国安达信(Arthur Andersen)咨询公司曾提出一种企业经营风险框架,将企业整体的经营风险划分为3大类。环境风险是指影响企业实现其目标进而对企业生存构成威胁的外部力量;程序风险是指影响企业内部业务程序有效实施和导致各种资产损耗、流失和破坏的内部力量;决策信息风险则是指造成战略决策、业务决策和财务决策信息失真、过时或使用失当的内外部力量。

信息技术风险主要属于企业经营风险框架中的程序类风险,但对环境风险和决策信息风险也有一定的影响。

信息技术风险大致包括如下5方面内容:

1)完整性风险(integrity risk)。即数据未经授权使用或不完整或不准确而造成的风险。这种风险通常与用户界面的设计、数据处理程序、灾害恢复程序、数据控制机制及信息安全机制等有关;

2)存取风险(access risk)。即系统、数据或信息存取不当而导致的风险。在互联网和电子商务日益普及的今天,存取风险是企业面临的主要威胁之一。存取风险主要与业务程序的确立、应用系统的安全、数据管理控制、数据处理环境、网络安全、计算机和通信设备状况等有关;

3)获得性风险(availability risk)。即影响数据或信息的可获得性的风险。主要与数据处理过程的动态监控、数据恢复技术、备份和应急计划等有关。

4)体系结构风险(infrastructure risk)。即信息技术体系结构规划不合理或未能与业务结构实现调配所带来的风险。主要与信息技术组织的健全、信息安全文化的培育、信息技术资源配置、信息安全系统的设计和运行、计算机和网络操作环境、数据管理的内在统一性等有关;

5)其它相关风险(other business risk)。即其他影响企业业务活动的技术性风险。主要与信息技术对业务目标的支持、业务流程周期、存货预警系统、业务中断、产品信息反馈系统、业务的流动性管理等有关。

信息技术风险管理框架是由风险管理要素(战略和政策调控、资源配置、事态监控和结构界定)和信息技术环境(程序、应用、数据管理、平台、网络和物理设施)构成的。

信息技术环境结构大体上也就是信息技术体系结构,该结构可以从两种角度考察,自上而下展示系统的形成和实现过程,自下而上描述系统的支撑和服务过程。

该结构的具体内涵:底层是物理设施层,主要是指支撑信息技术的建筑、能源设施、环境控制设施以及其它辅助设施;第二层是网络层,主要是指局域网、广域网、互联网、内联网、外联网以及其它网络通信设施;第三层是平台层,主要是指由大型机、小型机、服务器、路由器、台式计算机、手提计算机、打印机等硬件和操作系统等通用软件所构成的操作平台;第四层是数据管理层,主要是指数据输入、处理、存储、输出流程和数据库管理软件等;第五层是应用层,主要是指各种应用软件如财务软件、供销存软件等;最顶层是程序层,主要是指业务运行过程及其程序化。信息技术环境结构中的每一层都潜藏着风险因素,信息技术风险管理的职能就是识别并持续监控这些风险因素。

发表于: 2005-05-12 16:12 肖利华 阅读(951) 评论(0) 收藏 好文推荐

本博客所有内容,若无特殊声明,皆为博主原创作品,未经博主授权,任何人不得复制、转载、摘编等任何方式进行使用和传播。

作者该类其他博文:

发表评论(网友发言只代表个人观点,不代表本网站观点或立场。)

您尚未登录,请先【登录或注册