扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
往年提这个话题大家觉得风险智能离我相对远,因为现在是实施企业系统、确保安全、确保客户满意度。但今年大家知道背景下,我们叫金融危机的背景下,对于IT整个行业来讲,对CIO来讲,影响都很大。
为什么我们提出风险智能性的CIO呢?其实我觉得如果是往年提这个话题大家觉得风险智能离我相对远,因为现在是实施企业系统、确保安全、确保客户满意度。但今年大家知道背景下,我们叫金融危机的背景下,对于IT整个行业来讲,包括我们企业部门来讲,影响都很大,更促使大家把精力、资源、成本、先进投入到哪些应该公司风险最大的环节,这我是我们提出风险智能的含义。整个用风险导向架控公司的管控。提到这个话题,我之前跟一个客户参加了一个会,在座也有我们德勤华永的客户,这个客户正在实施ICP,我们跟他们谈一些ICP实施后的复合业务,重点是数据挖掘技术实现公司高层怎么从系统里很及时的、全面的要到我想要的信息,这个IT部门绞尽脑汁考虑搭建什么报表体系,按照管理体系做。
从而看到IT的主管或者CIO,迫切的需求是说如何跟公司业务挂钩,这也是今天我们的主题,当然还有其他服务。这个CIO说,在当今环境下,CIO面临的压力可以总结成一句话,就是说我们必须按照公司要求把事做好,这是当前在做的,同时要做的更好,做的更快,两之小时之内可能就让你响应。在国内企业我们刚刚做了一项调查,做明年预算的时候有40%的企业在不同程度的削减明年IT各方面投资,基本我们接触到、看到的情况是比较普遍的情况。另外IT不是以往的救火式的,这边来了需求、问题、变更或者具体的系统更改就马上去用我的资源投入,IT怎么更灵活、主动的跟公司业务和重大风险领域挂钩,这可能是在当今IT资源越来越紧张的情况下的思维和策略。
其实金融海啸,更主要的含义,今天CIO面临的压力,我们前期做了一项调研,前六位的地方,第一是资源很少,但公司让我提高资源整个使用效率,就是能效比的问题,我要提高比如服务设备的投资,用更小的投资,用更小的服务器提供更多的服务,减少投资。第二公司各个层面对信息质量要求越来越高,时间越来越短。第三是现在很多企业在不同地方上市,上美国、日本包括香港、国内,其实在当今环境下,可能大家接触过,整个资本市场对公司的要求,企业如果有很复杂的IT系统,遵循的成本、合规性的紧迫性也是CIO面临的压力。
第四项是宕机时间,客户不能查询到这个频率,怎么用更省钱的技术解决这个问题。第五是客户满意度,如何建立一套合适SL级别,可能需要风险导向的SL签的可能是更加主动一些,哪个地方不是很重点的话可能就差一些,这也是一个资源分配的问题。另外是成本,所以这六项也是CIO面临的情况。这个环境下,我们讲的金融危机,其实无疑加重了这些方面,不是IT部门就不干活了?不是这个含义,也不是把预算100%减掉了。而是每个部门,包括IT在内,心里都有很大的压力,怎么做的更好,今天的主题IT即业务,怎么和业务目标一致。风险智能性的CIO是讲风险管理的理念,是跟业务风险挂钩的。在座都是从事IT行业的,大家都在谈保证业务导向是符合公司重大风险领域,我去那个地方挖掘机会或者规避灾难性风险。IT支持业务,同时IT风险管理也就支持业务风险管理。
我们探讨ITIL的时候,往往只是服务或者运维这样的含义,怎么把事做的更有效力,客户别天天投诉我们,可能里面有十个方面,怎么配制、变更、财务控制好等等,但我们强调能够把风险的含义从头彻尾贯彻到十个领域里去,关注整个IT运作有哪些风险。第二整个机构我们面临哪些风险,IT部门不只是考虑本部门的东西,要站在公司的角度。第三是软硬件怎么跟公司配合。然后是战略性风险,这是很大、很虚,但有些客户做的非常好,包括我们看到的客户IT部门和市场部门成立了战情分析小组,这个环境下已经处于战斗状态,有一些制造业、建筑业等行业,都会有这样的问题。这家公司实际上是IT部门和市场部门成立了战情分析小组,运用IT的手段,在第一时间知道整个领域或者宏观经济或者他们客户最新的动态。这个东西好象不是IT部门做的么?这就是公司战略的风险,公司下一步发展面临什么问题呢?这通常不是IT部门要想的,我只是保证你系统不宕机等等要求。但现在IT部门在分析风险之后,就是系统分析公司的风险之后,就会发现有一些风险可以给公司以及自己部门带来机会的领域,比如这个例子,我们看的挺好,做完之后觉得CIO很创新,好象我以前从来没听过,这是一个好的例子。
最新德勤华永发布一个如何把风险管理到一个,在一个大家比较舒服的状态,有九个方面,企业如何搭建这样的风险智能平台,基本上前四条就是说我们IT部门在以前做了很多合规,等等认证,不同角度加强IT管理,但我们强调前四个方面,能不能用风险的角度,重新探讨和业务结合的问题。后面是看公司高官、治理层能不能通过IT系统给公司建立很透明的信息传递机制,第六项是风险管理计划设计、实施和维护。再往下是怎么落实风险,哪些风险需要管,后面具体说业务部门的支持,比如财务、人事、IT部门怎么具体实现。然后是一些机制,使得公司风险管控体制不断完善。
这是我们提出风险智能,去年很快的反映出的概念,叫风险智能,不只是IT智能。大家看到这个外围是企业面临的各种各样的外部和内部的压力,我们提到的调研报告里,我们发现有九个风险是目前亚太地区CIO比较关注的,在未来一段时间内大家关注的领域,第一知识产权和信息保护投诉的风险,这方面风险可能在中国越来越迫切,德勤华永协助一家跨国公司,做一件什么事呢?他的产品或者软件,比如卖给这位先生,是不是正确的使用,我们协助他,这使得中国的企业在这方面越来越有压力。第二风险是网络安全和客户信息保密问题。第三是外包和离岸,现在的背景下,外包公司的压力非常大,因为他们以前毛利率本来就低,客户订单减少量的优势也减少了。第四是移动技术的风险,比如移动的设备,包括公司网络移动搭建等等。第五是加速计算,比如运城计算。
第六是病毒,还有第三方服务,还有企业并购过程中IT风险。我们刚刚接了一个项目,帮助A客户看B客户的系统,是不是跟将来A要收购B,B整个IT是不是很好的结合,并购的话IT越来越重要了。第九是法规和遵循性的风险,如果将来在座各位公司希望在美国、国内上市,这样的资本市场的要求,对IT控制的要求就会越来越大,我相信有一些同志有亲身的体验。这九个风险是IT部门感知到的风险源。通过风险智能,公司怎么应对呢?我说一大堆风险不能照做以前的模式,其实可能要变一变方式,怎么变呢?绿色的圆圈其实有两个圈,中间是蓝色的,是我们强调的整个公司无论是运维、安全还是系统变更,从IT的角度,你必须重新审视一下公司的目标,就是发展与实施战略,这块业务,比如上一个ERP系统,是不是足以跟公司的呼叫中心、制造流程配合,然后根据这点你看实施这些系统有什么风险,有没有过度投资的风险,我们是不是可以避免投资或者推迟投资,整个系统实施过程中是不是给企业规避一些风险,这是一套专门的方法。这些风险有大有小,有紧迫性的,有不重要的,如何应对这些风险,从而整内部的运维、安全以及变更管理等措施,不是按照标准导向,最后是闭环的管理。
最外面是说从哪几个角度加强IT风险管理,一方面是人员,一方面是具体业务流程,第三方面是信息技术。这是说IT环境下,大家看到右边的圈,IT部门要从哪些角度规划、管理我所面临的各种各样风险,比如需要在IT战略角度考虑,需要治理、合规角度考虑,考虑信息安全、数据质量,包括IT风险内审,使得整个机构IT部门是一个很清楚的规避这些风险。这强调的是IT风险和企业风险一致性的问题,不是IT风险单独拿出来。我讲一些重点内容,这是现在我们提出的风险管理框架,这里从整个公司来看,从上一层叫IT治理,这里有具体的要做的事,具体有治理、策略、评估活动以及沟通等等。中间这个环节,政策和限制风险整合这块是把企业的数据、业务和架构整合起来考虑。下面是不同业务单位的识别,最后是基础的工作。
IT整个风险管理架构,我们从风险的角度把传统IT事项再分类,大家看到下面的一些领域可能比较熟悉,通过风险整合的方式,使得你的企业会更加智能。这里提到一个概念,用这种模式,大家会谈到整合的问题,比如会27001、20000,怎么整合在一起考虑,因为否则很多企业面临一个困惑,今年我上了一个认证,后年上了一些认证,到底有没有起导作用,现在谈整合的问题,我们是从风险管理的角度提出整合。我们强调了IT风险管理,总体来说风险管理还是运营层面和IT圈子里做的事情,现在很提倡IT上升到战略层面,这个东西提了很多年,但真正怎么落实是很重要的。
风险智能性的CIO怎么做,具体有一些措施,最后一部分我们看到这里有很多案例和细节,最后我希望大家有机会可以做一下,问了15个问题,你可以回答是或者不,判断一下自己的企业是不是实现了风险智能,你的CIO是不是智能化管理公司风险,使公司出现大灾难的时候,不至于业务上受到很大损失,这15个问题大家有机会可以看看。基本上来讲,我们提到刚才的调研报告,我们看到虽然有43%的公司缩减IT预算,但在金砖四国大家整个企业界的信心指数还是高居榜首,我们希望和同行一起,在这个时代下把我们的企业做得更好。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者