[原创]IT风险无处不在－2007 IT风险管理京沪双城峰会有感

 

收到同事转发的2007 IT风险管理京沪双城峰会报名申请表时曾经犹豫是否要去参加。最终还是决定去看看，因为下半年服务管理部将要考虑投诉风险控制机制，所以希望能够从这次峰会了解一些风险控制的内容。

一天听下来，由于IT风险管理知识的欠缺和IT风险控制实践的空白，还是无法对IT风险管理形成一个比较全面的认识。这倒有些辜负了到场嘉宾的一番苦心。

看看到场嘉宾的来头都不小，有德勤华永会计师事务所高级经理、ANC区域经理、CA技术顾问、IBM资深顾问、IDS高级咨询顾问、Symantec资深技术顾问等。其实我们要看的并不是嘉宾的头衔，而是他们与IT风险控制的关系。从他们的工作内容，就可以大概地看到IT风险涉及的范围：IT审计、IT设备、IT技术等等。

峰会的主题是IT风险的控制和管理。在嘉宾高峰对话中，这个主题被深化为“如何量化风险和风险评估”，并列出四个提纲：量化风险评估和管理的重要性；量化风险评估和管理的前提；怎样把风险评估和管理形成一种文化；量化的方法和看法。在整个高峰对话中，听了嘉宾的发言和来宾的提问，我对IT风险的控制和管理有了一个初级的认识：直接的风险量化有困难，但可以间接地实现。风险的量化是模糊的，不可能做到精确的计量，而且也没有这个必要。

峰会从头至尾，IT风险管理一直在我的脑海中出现，这也是强化学习的好处，出现的多了，思维会被动地思考些什么。IT风险的动态过程和控制：识别、评估、控制、监测和改进。这是我听完一天的峰会留下印象最深的内容，因为这个动态过程比较容易理解，而且应用到下半年的投诉风险控制机制也是可行的。

    IT出现的同时也带来了新的风险，当IT和业务越来越分不开时，有效的IT风险管理就成为商业的必备条件。说这句话的目的只有一个：不论何时何地，我们都不能对IT风险视而不见。因为IT风险已经无处不在！

昨天刚听了IT风险控制和审计，今早在公交车上就看到一则新闻：一家医院重复计费278次。按照德勤顾问的说法，假设要对这家医院进行财务审计之前有IT审计，那么IT审计的结果就是这家医院的数据不可信，财务审计仍需要从原始单据开展工作了。

推荐到鲜果： 查阅更多相关主题的帖子: IT风险管理