開創資訊科技風險管理新價值 

 

近年的經濟衰退已為資訊科技組織帶來雙重問題。資訊科技(IT)風險管理比起以往更為重要;然而面臨資金短缺,組織需在資訊科技風險管理上發掘更能吸引企業高階主管的議題,使高階主管在有限的資金下產生投資的動機。正當組織費盡心思找出所有投資中最具價值的項目時,他們同時也開始思考如何從風險管理活動中得到更多價值,包括運用風險管理的洞察特性改善資訊科技及企業流程管理;而此議題的重要性遠大於企業縮減風險管理成本。

遺憾的是,提升資訊科技風險管理價值一事在企業間進行得並不順遂。資訊科技風險管理涉及廣泛層面,不同部門的管理者(如安全、營運持續、專案管理及法規遵循)在這一方面通常以獨立作業居多。

長久以來,企業總無法明確將資訊科技風險管理歸類在企業風險或資訊科技風險。科技風險管理者需先適應所有從一般到特定領域資訊科技的風險管理指南,或者嘗試統整出特定領域的指南。這兩種方式對企業都有些許幫助,但這兩種方式卻都無法呈現一完整概念:在數位化及全球資訊互通日漸頻繁的商業環境下,資訊科技風險便等同於企業風險,其重要性與日俱增。而近日國際電腦稽核協會 (ISACA)以 COBIT 框架為基礎發布之 Risk IT 為跨部門之風險管理,在資訊 科技風險管理層面上,提供各部門更多執行方案上的選擇。如此專家便提出這樣的疑問:『我們該針對哪些層面來增進資訊科技風險管理效率及提升其價值?』

本文以下將針對資訊科技風險管理之三大原則、此三大原則與風險管理價值及 ISACA 框架之關係加以論述。在此三大原則的發展及應用上臻至成熟的公司不僅風險管理得當,同時也可運用資訊科技風險管理來改善內部資訊科技管理與經營成果。他們的風險管理投資為企業資訊科技風險管理創造四個新價值:更少的意外、更有效率的資訊科技流程、更高的企業一致性及靈活度。

資訊科技風險管理三大原則

在許多組織中,資訊科技風險管理上的目標皆是確保公司不會因導入資訊科技而遭受意外事件的波及,如預期外的停機、駭客入侵、過量的專案或法規遵循等問題。事實上,許多組織皆已初步採用不同層面的資訊科技風險管理。然而組織通常只著重於保護面而非改善面,即使花費甚鉅,仍未真正提升其價值。此外,他們通常未能察覺這些保護機制可能會妨礙風險管理上的靈活度。

麻省理工學院(MIT)最近一項研究發現結合三大資訊科技風險管理原則便可有效對應阻擾企業達成主要四大 目標之風險1

此四大目標為可靠性、安全性、準確性及靈活性。在資訊科技風險管理投資上獲取較高價值的公司在此三大原則皆已發展成熟:

  • 企業內部有一管理完善之資訊科技基礎架構 (IT foundation),並可視不同狀況調整其複雜度。
  • 企業內部有一風險治理流程來辨識企業將面臨哪些風險並決議其因應之道。
  • 企業內部已建立起風險意識文化,在此風氣下員工皆可適時適地察覺風險存在,且不需避諱談論這些議題。

此三大原則共同運行將有助組織查覺當下面臨之風險,適時做出因應決策並降低風險對組織造成的危害。

2008 年中,此文章作者群針對來自六個不同國家的 258 位資深主管進行問卷調查(其中 100 位來自資訊科技部門,158 位來自非資訊科技部門) 2。受訪者皆代表該組織中最資深之資訊科技主管,或所從事之業務與資訊科技有關聯之主管。問卷題目皆來自先前相關研究清楚定義之概念,包含先前麻省理工資訊系統研究中心所做過之資訊系統相關研究 3。問卷上各個項目經統計性檢測後合併發展成主要研究架構,用以檢視組織風險管理成熟度與重要組織營運成果間的關係。

研究分析發現,此三大原則在提升組織資訊科技風險管理價值上,皆各別有所貢獻(如下圖 1)。組織確實需要成熟的風險治理,但這一部分明顯不足。成熟的風險治理提升了組織對風險的關注,也提高了股東參與風險管理投資的意願,同時也在組織決策上提供更多的資訊。然而,若要真正改善組織的資訊科技風險管理,就必須從改變資訊科技基礎架構及風險意識文化開始。據統計,上述兩者發展越成熟的公司,相較於其他公司,不但意外發生的機率較低,所獲得的利益更是多出許多。而統計資料也指出,這些公司的組織效益較高,與商業資訊化的一致性與靈活度 也較高。

雖保護基礎架構與建立風險意識對於 COBIT4 使用者來說已再熟悉也不過,但資訊科技風險管理者們仍須關注更深遠的議題。

在風險治理程序上,管理者們應將目標放在改善資訊科技基礎架構及建立風險意識文化,而非僅僅守住不穩固的基礎或僅在組織間舉辦風險意識相關訓練課程。舉個非資訊科技領域的例子來說,長久以來風險治理已成功降低商業航空上的人員死亡率。這樣的成果並不止歸功於良好的風險治理程序,也歸功於良好的機身設計與維護,以及員工間風險意識文化的建立。在資訊科技領域上,COBIT 提供各組織於資訊科技基礎建構上,包含降低風險投資,一套規劃、建置、投資監控及操作的準則。在許多資訊科技環境下,企業會針對資訊科技的基礎維護添增一層保護,但這些都是不夠的。企業通常只能在風險管理上獲得有限的價值,因為他們只將投資重點放在保護鬆散的基礎架構,而非讓整體基礎架構變得更容易運行。若以上述航空業的案例來解釋,便是在駕駛艙中添加更多機具來讓駕駛員更容易察覺飛航狀況及問題,但卻沒有解決引擎設計上的問題。

何謂在此三大原則上更加熟練?

風險治理程序乃指一包含政策、流程及角色定位之套裝規劃,讓組織可監控資訊科技風險並針對資訊科技風險做出更好的因應決策。在大多數公司裡會有一中央團隊為企業建構企業風險相關政策及處理流程。當公司內部管理者們意識到並著手處理存在之風險時,便會同時告知中央團隊哪些屬於最高風險。一全面之企業管理委員會會優先投入緩解組織最高風險的工作;企業內部管理者們則著重於處理層級較低之風險。風險治理較成熟的公司擁有明確的風險分類與指南來依序評估風險,同時也有制式的例外處理程序及關鍵風險指標。他們同時也落實資訊科技與企業風險管理程序上的整合。

若組織內部沒有一位流程擁有者,組織流程便無法改善。根據本文作者群調查指出,僅半數左右 (百分之四十八)的公司有指派流程擁有者來負責資訊科技風險管理事宜;僅約三分之一的公司擁有正式的風險分類或例外處理程序。正式的風險分類可幫助公司逐一辨識及比較各類風險。例外處理程序更為重要,組織可因處理例外事件得到成長。由於例外事件會導致組織程序複雜化,因此例外事件也會提高資訊科技基礎架構運行上的風險。有鑑於此,無論在專案執行期間及執行後,企業組織皆需格外重視例外事件的管理。

僅百分之二十八的受訪者表示能有效運用關鍵風險指標(KRIs)5 。要達成企業分析儀表板上完整整合之關鍵風險指標並非易事,但企業仍可從較簡單的項目開始執行。金融服務業者 PFPC (現為 PNC 全球投資服務公司)便是從追蹤問題單量與員工流動率開始做起 6,7 。而其他公司也開始執行諸如密碼重設、專案達成率、帳務調節失敗、恢復時間、入侵嘗試等項目。在當今環境中,企業組織必需更熟悉如何依據現狀彙整及執行各項關鍵風險指標,並將彙整後的關鍵風險指標運用在控制設計上。

此外,另一個重要議題是尚有百分之六十六的公司未有效將資訊科技風險納入企業風險管理(ERM)當中。一般企業風險管理通則如風險管 理標準(ARMS)8 、澳洲/紐西蘭風險管理標準(AS/NZS 4360)9 或 COSO 企業風險管理架構 10,並無明確指示如何處理資訊科技風險,但 Risk IT 風險框架可擴大各公司自企業風險管理框架到企業流程間技術先後關係上的規劃層面。

資訊科技基礎架構是一套基礎設施,用以支援各項資訊科技技術及支援確保流程順利運作之技術人員。資訊科技基礎架構發展成熟的公司擁有管理良好的基礎設施、清楚定義的企業持續營運計畫、並對於技術與企業流程間的連結有清楚的認知。除此之外,他們更擁有完善的企業架構來確保資訊科技基礎架構符合組織所需,且不會太過複雜。

不成熟的資訊科技基礎架構—過度複雜或管理太鬆散—都會引發風險。軟體間升級不一致及依存過度複雜皆會時常導致設施運行失敗,難以復原,更難以轉變,浪費維護資源且設施靈活度也遭受限制。

雖五分之三的受訪者皆表示他們的基礎設施維護良好且公司內部皆有完善的企業持續營運計畫,企業仍需防範未然。某一公司三間辦公室分別在六個月內遭受同一種電腦病毒入侵,因資訊科技人員並未第一時間通報公司內部各處關於此病毒的相關訊息及因應方式;而在另一家公司,資訊科技人員在安裝更新檔時,則是例行性忽略了其中一組伺服器。因此,維護資訊科技基礎架構最好的方式,便是良好的設計與控管,像是運用 COBIT 所提及的內容,及像是信息技術基礎構架庫(ITIL)11 中所提到的作業管理程序。在 COBIT 術語中,這些是屬於交付與支持(Deliver and Support,DS)及監測與評估(Monitor and Evaluate,ME)部分的程序。

雖然多數的公司對於自身資訊科技基礎架構設施維護上都感到滿意,但並非大多數的公司都能簡化資訊科技基礎架構。僅百分之四十的公司確信自身資訊科技基礎架構並未過度複雜,或者,僅百分之四十的公司確定其內部員工了解資訊科技與企業流程間的關聯性。Risk IT 中的風險 評估(RE)流程對此議題相當有幫助,尤其是 RE3.1(資訊科技資源到企業流程間的規劃)及其後的流程。管理者們可運用風險收益的方式來平衡某些報酬率可能較低的投資,也可利用風險評估流程中所提及的方式來改善企業流程,而非只是保護或控制它。此外,也可採用專案層級的資訊科技治理機制(像是 COBIT 中的獲得與實施 [AI]流程及 Val IT 12 中的投資管理[IM]流程)來減少資訊科技基礎架構長久以來過度複雜的問題。

舉例來說,在需優先執行或執行中的專案中,有些公司會將企業架構標準與複雜度列入決策議題。英特爾公司在需優先執行的專案上,不僅以策略聯盟及預期財務報酬為基準,同時也配合公司的架構標準方向。一家消費食品製造商指出,若某些專案可降低企業架構上的複雜度,那麼這些專案在優先順序的排定上將會被優先考量。另外,金融服務業者 PFPC 則是針對專案所需管理及傳送過程採用風險導向之查核點。

風險意識文化為第三項原則。這並不是風險規避文化,也不是僅需要公司舉辦意識訓練課程;不同於風險規避文化,在風險意識文化下,員工皆了解自身行為會帶來哪些風險,不避諱公開討論風險相關議題且願意共同解決公司所面臨之風險或意外。成熟的風險意識文化可讓公司更安全也更為靈活,員工皆了解如何避開風險過高之行為,也了解如何解決引發不必要風險之意外狀況。然而,在持續維持該文化的同時,員工也了解過度的保護會引發組織靈活度上的危機(意即過度死板)。當員工了解何種風險值得投資,也了解何種狀況與行為會引發不必要的風險時,公司便可冒更多的風險來追求更大的報酬。

成熟風險意識文化的建立並非偶然,而是需公司全體自覺地建立,並由領導階層來強化。在風險意識文化成熟的公司中,員工皆會了解自身工作上的風險及如何控管,也可在公開的情況下針對風險議題侃侃而談,並將風險納入自身商業談話的議題當中,而員工也會在領導階層強化建立風險意識文化及不斷的提醒下受到鼓舞。

五分之三的受訪企業表示公開談論資訊科技風險在員工間是很自然的事,但僅三分之一左右的員工受過有效的風險相關訓練,或可經旁人指點加強風險控管事宜。而僅百分之二十七的受訪企業表示在討論資訊科技商務議題時會包含風險這一區塊,顯示運用風險意識來改善資訊科技決策方式的人仍占少數。探討資訊科技風險議題,如組織內部既有資訊科技資產整合上的緊密程度,或是否要在專案中使用非標準化的技術等等,對於企業找出可同時達成預期目標又可降低作業風險的方法相當有幫助。此外,比起因「這樣太危險」的想法而停滯不前,清楚去了解一新無線行動裝置所暗藏的風險,可帶給企業更長遠的利益,不只可讓企業做出更適切的決策,也可提升企業風險意識及改善企業校準。

此項原則的目的是要讓風險意識文化在資訊科技領域中普及化,就像安全文化在高風險產業中一般。幾乎每個石油大廠一開始都需召開會議,針對安全議題逐一簡要探討。管理人也經常提醒員工注意安全相關議題。高階主管們經常討論風險議題,並在員工疏忽時提醒他們。資訊科技領域的高階主管可效法高風險產業主管的做法來提升企業風險意識文化。此項原則也與 ISACA 第三部分 Risk IT 執業者指南及 Risk IT 的風險治理(RG)程序 1 與程序 2(尤其是 RG1.5)相對應。

在成熟風險管理下開創新價值

大多數企業在這三大原則上都已有長足的進步,但在運用此三大原則的成熟度上卻不盡相同。對於 ISACA 會員及 COBIT 使用者來說,掌控資訊科技基礎架構的重要性不言而喻。然而, COBIT 較少強調簡化基礎架構、建立風險意識文化及提升風險治理上的成熟度。Risk IT 將 COBIT 做延伸,更加強調風險治理及文化的部分;但無論是 COBIT 或 Risk IT,都沒有專精於基礎架構上的簡化13 。問卷調查中提供了資訊科技風險管理人一些建議,使他們可以在資訊風險管理上開創更多的商業價值—改善資訊科技管理,而非僅僅確保企業不受資訊科技意外事件的影響。

第一,三大原則間的成熟度需均衡發展。若三大原則中僅一或兩者發展成熟,成效將遠不如三者皆發展成熟。舉例來說,專注於 COBIT 中的交付與支持(DS)過程而忽略 Risk IT 中的風險評估(RE)流程將可能誤導整體程序,或甚至浪費多餘的資金在不同層面的維修上。同樣的,建立起龐大的風險治理制度卻沒有改善資訊科技基礎架構與風險意識文化,就像是人盛裝打扮後卻漫無目的一般。由其是在當今競爭激烈的經濟環境下,風險管理者必須專注以創新且全面性的方式來投資與評估,而非僅修正某些常見的風險。

第二,成熟度需經由三大原則來評估與改進。風險管理者可藉由 Risk IT 或其它框架中的成熟度模型來評估自身組織14。接著管理者們必須指出各原則發展上的落差,經調整修正各原則後將整體成熟度帶向適切的發展。舉例來說,若一企業為 COBIT 營運商,該企業或許會擁有一些改善網路或倉儲的機制,但卻不知該如何建立客戶群。在這種狀況下,最明智的方式或許是先提升自身風險治理上的成熟度來改善企業資訊科技校準,使股東支持該企業後續上的投資。資訊科技治理流程在專注於資訊科技法規遵循與稽核的公司中會發展得較成熟,但管理人或許需不斷思考如何突破僅止於「紙上談兵」的運作模式,以突顯真正的營運衝擊。然而,或許亦有其他公司仍固守過度複雜的基礎架構,因而忽略可藉由簡化架構來降低營運風險的機會。

第三,資訊科技風險管理概念需與其他資訊科技及企業管理流程嚴謹整合。管理者們若可將資訊科技風險視為企業目標的一環,那麼便可將資訊科技基礎架構導向正確的方向—讓整體架構更簡化,而非只改善管理的部分。而這些管理者們也藉由讓員工了解操作性資訊科技風險的起因,及在資訊科技相關重大決策中突顯暗藏於其中的風險,來強化組織中的風險意識文化。以風險考量為基準的各項方案皆有助於資訊科技及商業主管們更精確調整其目標。

再者,藉由影響決策,風險治理可讓組織獲得事半功倍的成效,而非一昧固守遭風險蒙蔽的決策結果。它降低意外的發生,同時讓基礎建設更加成熟,企業獲利也因此提高。舉例來說,任職於信用卡公司及加拿大銀行的作業風險管理者表示當檢視企業流程風險時,他們都發現能有效重組企業流程的方法。因藉由提升企業效益與服務品質,他們原先在風險管理上的投資已得到相當大的回報。

最後,資訊科技主管們可與其他擁有共同目標的主管們一起合作,來讓資訊科技相關活動所產出的結果更好。資訊科技治理、企業架構設計、企業持續營運、資訊科技法規、企業安全及專案組合管理等部門管理人都有理由強調風險及其報酬的重要性、更簡化的基礎架構以及更具風險意識的企業文化。潛在的企業夥伴在投資的先後順序及專案執行上通常都較風險管理者有影響力。相對來說,在風險考量上,風險管理者有時也可幫助這些夥伴的新提議在組織內部更加合理化。舉例來說,許多企業架構設計工程師發現遵守沙賓法案中風險相關條例有助於釐清一開始無法合理化的困難點。

結論

調查數據指出,上述三大原則:風險治理流程、資訊科技基礎架構、風險意識文化都已發展成熟的公司,很明顯較少發生意外,且資訊科技運作效益、企業調準能力及靈活度都較高。但發展成熟意味著這些公司須著重在比基礎更深一層的地方,而非僅僅只有辨識風險、固守既有資產與提高查覺週遭威脅的能力。擁有成熟風險管理能力的公司懂得以風險治理來降低基礎架構的複雜度。他們不僅只會察覺風險;而是在查覺風險之外,建立起在組織中可以恣意探討風險議題的文化,且一切相關討論都被視為合理。他們不只降低意外發生的機率,同時亦提高了企業整體效益。而這些企業在風險管理的投資上所獲得的報酬,除了造就更有效益的風險管理外,也造就了更有效益的資訊科技管理與企業成果。

作者簡介

The authors continue their research into IT and enterprise risk management. If you are interested in being a case study or survey participant, please contact George Westerman at georgew@mit.edu or Brian Barnier at brian@valuebridgeadvisors.com.

1 Westerman, George; Richard Hunter; IT Risk: Turning Business Threats Into Competitive Advantage, Harvard Business School Press, 2007
2 This article is the third paper based on this research. Previous papers are: Westerman, G.; B. Barnier; “How Mature Is Your IT Risk Management?,” MIT Sloan CISR Research Briefing, vol. VIII, no. 3C, December 2008. Westerman, G.; B. Barnier; “IT Risk Management: Balanced Maturity Can Yield Big Results,” IBM white paper, February 2009.
3 Op cit, Westerman and Hunter
4 COBIT (IT Governance Institute, 1996-2007) is an IT governance framework and supporting tool set that allows managers to bridge the gaps among control requirements, technical issues and business risks. CobiT enables clear policy development and good practice for IT control throughout organizations. More information is available at www.isaca.org/cobit.
5 As defined in Risk IT (ISACA, 2009, www.isaca.org/riskit), “Any metric showing that the enterprise is subject to, or has a high probability of being subject to, a risk that exceeds the defined risk tolerance is a KRI.” KRIs are described in more detail in section 7, “Essentials of Risk Response,” of Risk IT.
6 Westerman, G.; R. Walpole; “PFPC: Building an IT Risk Management Competency,” MIT Sloan CISR Working Paper #348
7 Op cit, Westerman and Hunter
8 The Institute of Risk Management (IRM), The Association of Insurance and Risk Managers (AIRMIC) and ALARM (The Public Risk Management Association), A Risk Management Standard (ARMS), UK, 2002, www.theirm.org/publications/documents/Risk_Management_Standard_030820.pdf
9 Standards Australia and Standards New Zealand, AS/NZS 4360:2004, Australian/New Zealand Standard for Risk Management, 2004
10 Committee of Sponsoring Organizations (COSO) of the Treadway Commission, Enterprise Risk Management—Integrated Framework (COSO ERM), 2004. This should not be confused with the COSO Control Framework that is familiar to many CobiT practitioners. A summary of COSO ERM is available at www.coso.org.
11 Office of Government Commerce, IT Infrastructure Library V3, UK, 2008
12 Val IT (ISACA, 2008, www.isaca.org/valit) is an ISACA framework and supporting publications addressing the governance of IT-enabled business investments.
13 To cover this, ISACA provides a 281-page mapping from COBIT to The Open Group Architecture Framework (TOGAF). See ISACA, COBIT® Mapping: Mapping of TOGAF 8.1 With COBIT® 4.0, 2007, www.isaca.org/cobitmapping.
14 Readers are welcome to contact the authors for the short set of assessment questions used in their research.

作者: George Westerman, DBA
is a research scientist at the Massachusetts Institute of Technology Sloan Center for Information Systems Research (MIT CISR) and faculty chair for the IT for the Non-IT Executive course. His research and executive level teaching examine management challenges at the interface between IT and business units such as risk management, innovation and communicating about value. He is coauthor (with Richard Hunter) of IT Risk: Turning Business Threats Into Competitive Advantage and The Real Business of IT: How CIOs Create and Communicate Value. He can be reached at georgew@mit.edu.

Brian Barnier, CGEIT
advises business and IT executives on getting better business results from IT through improved risk-return balance— whether cost cutting or building capabilities for recovery. He is also a teacher, writer and member of multiple best practices committees, including ISACA’s IT Enterprise Risk Management Task Force, which oversaw the development of ISACA’s Risk IT: Based on COBIT® framework. His writing includes contributing to the recent Wiley & Sons book Risk Management in Finance.

譯者:張碩毅, 國立中正大學會計與資訊科技學系教授