新商業(yè)風(fēng)險管理

1、新商業(yè)風(fēng)險管理 信息技術(shù)對企業(yè)商務(wù)的影響信息技術(shù)對企業(yè)商務(wù)的影響l隨著網(wǎng)絡(luò)經(jīng)濟的發(fā)展，電子商務(wù)的應(yīng)用，越來越多的公司應(yīng)用信息技術(shù)，并將它們整合到日常的商務(wù)流程中去，使信息技術(shù)對整個的公司的發(fā)展起重要的作用。信息技術(shù)對企業(yè)商務(wù)重要的影響有如下幾點：企業(yè)的發(fā)展戰(zhàn)略、戰(zhàn)術(shù)決策；企業(yè)產(chǎn)品和服務(wù)的設(shè)計；企業(yè)成本管理；企業(yè)員工的雇用、技能的培養(yǎng)；企業(yè)文化、信息的共享；企業(yè)的客戶服務(wù)；企業(yè)供應(yīng)商與合作伙伴的供應(yīng)鏈管理； 信息技術(shù)帶來新商業(yè)風(fēng)險l企業(yè)在投資和應(yīng)用信息技術(shù)的過程中，除了得到效益外，也產(chǎn)生了新的商業(yè)風(fēng)險。所以企業(yè)都必須注意投資和應(yīng)用信息技術(shù)時的風(fēng)險管理。例如，電子商務(wù)交易過程中，可以從電子數(shù)據(jù)交換

2、系統(tǒng)（EDI）、電子資金調(diào)撥系統(tǒng)（EFT）、銷售點系統(tǒng)（POS）等系統(tǒng)中獲得商業(yè)上的各種數(shù)據(jù)，對這些數(shù)據(jù)的分析可獲得市場分布、人口地理學(xué)、產(chǎn)品分銷、資金結(jié)算等等資料，這些資料都是企業(yè)戰(zhàn)略制定和業(yè)務(wù)管理的關(guān)鍵。如果這些電子商務(wù)系統(tǒng)出現(xiàn)障礙，即使是POS系統(tǒng)或超市的條碼掃描系統(tǒng)出現(xiàn)故障，也會使企業(yè)的戰(zhàn)略實施和業(yè)務(wù)管理難以進行，給企業(yè)商務(wù)帶來不良的后果。這就是一種網(wǎng)絡(luò)經(jīng)濟中出現(xiàn)的新的風(fēng)險信息技術(shù)的商業(yè)風(fēng)險。 新商業(yè)風(fēng)險管理的基本內(nèi)容l管理知識：管理知識：提高企業(yè)內(nèi)部對信息技術(shù)風(fēng)險管理的意識；掌握新商業(yè)風(fēng)險管理知識。l管理方案：管理方案：從整個行業(yè)出發(fā)來分析企業(yè)風(fēng)險，形成風(fēng)險管理方案；l商務(wù)整合：商務(wù)

3、整合：將企業(yè)商務(wù)戰(zhàn)略與信息技術(shù)戰(zhàn)略整合在一起，形成企業(yè)的整體戰(zhàn)略，這對信息技術(shù)風(fēng)險管理的成功是非常關(guān)鍵的。如果沒有進行商務(wù)整合，那么，要確認業(yè)務(wù)程序與信息技術(shù)使用中所產(chǎn)生的業(yè)務(wù)風(fēng)險之間的聯(lián)系將會很困難。必須把信息技術(shù)風(fēng)險看成商業(yè)風(fēng)險就必須進行商務(wù)整合。將商業(yè)風(fēng)險管理擴展到企業(yè)各個部門內(nèi)，從而促使所有的雇員對風(fēng)險管理負責(zé)并了解無效技術(shù)管理的危害。所以，商務(wù)整合對進行完整的、綜合的風(fēng)險管理框架起著重要作用，包括了信息技術(shù)相關(guān)風(fēng)險的分析和傳統(tǒng)意義上的業(yè)務(wù)風(fēng)險的分析；l測量評估：測量評估：對信息技術(shù)的作用進行測量，評估。信息技術(shù)對核心業(yè)務(wù)的影響不斷增強，信息技術(shù)在當(dāng)今的商業(yè)核心業(yè)務(wù)中處于關(guān)鍵地位；要對

4、信息技術(shù)在企業(yè)流程中的作用進行必要測量。l風(fēng)險轉(zhuǎn)移：風(fēng)險轉(zhuǎn)移：在企業(yè)接受現(xiàn)有水平的風(fēng)險；調(diào)整產(chǎn)品和服務(wù)的價格以補償風(fēng)險損失；進行風(fēng)險轉(zhuǎn)移，例如：購買保險之前應(yīng)具備一套適當(dāng)?shù)?、正式的程序來識別和探究信息技術(shù)相關(guān)風(fēng)險來源；通過制定和實施風(fēng)險管理程序，將風(fēng)險降低到可以承受的水平。l重點管理：重點管理：把握特定類型的新商業(yè)風(fēng)險的管理。主要有以下三種類型：綜合性風(fēng)險：指數(shù)據(jù)未經(jīng)批準使用或不完整或不準確而變得不可靠所造成的風(fēng)險。獲得性風(fēng)險：指不能及時獲得所需信息而導(dǎo)致的風(fēng)險。相關(guān)性風(fēng)險：指無論是自身建立的信息還是由應(yīng)用系統(tǒng)總結(jié)出的信息，都不適用或者不及時而帶來的風(fēng)險。l網(wǎng)絡(luò)安全管理：網(wǎng)絡(luò)安全管理：網(wǎng)絡(luò)安全

5、也構(gòu)成新商業(yè)風(fēng)險，例如，通過網(wǎng)絡(luò)侵入企業(yè)系統(tǒng)的計算機“黑客”和計算機病毒，會破壞客戶服務(wù)系統(tǒng)或?qū)е滦畔⑹д嫔踔寥縼G失。分配計算（借助于客戶服務(wù)網(wǎng)絡(luò)進行的信息管理）使信息可以在一定范圍內(nèi)傳播。但是，分配計算也給企業(yè)安全性帶來了風(fēng)險。一般在同一條網(wǎng)絡(luò)上的信息所有者并非只有一個。一些信息對企業(yè)相當(dāng)敏感，所以對客戶服務(wù)環(huán)境的有效管理就顯得很重要。 新商業(yè)風(fēng)險主要類型l 完整性鳳險完整性鳳險這種風(fēng)險大多來自應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)可對商業(yè)數(shù)據(jù)的輸入、處理、歸納和貯存等。當(dāng)系統(tǒng)障礙時，就可能造成數(shù)據(jù)未經(jīng)授權(quán)被使用或數(shù)據(jù)不完整、不準確而造成風(fēng)險。l接入風(fēng)險接入風(fēng)險接入網(wǎng)絡(luò)時，數(shù)據(jù)或信息存取不當(dāng)而導(dǎo)致風(fēng)險。這種風(fēng)

6、險來自網(wǎng)絡(luò)和電子商務(wù)的不斷發(fā)展。由于黑客和電子欺詐行為的存在，人們要保護自己的系統(tǒng)免受侵擾。人們就必須設(shè)法保護電話線路、網(wǎng)絡(luò)纜線和計算機，以便盡力對數(shù)據(jù)和信息進行保密。存取風(fēng)險可能由于不合理的責(zé)任分工造成的風(fēng)險，如，未經(jīng)授權(quán)的人進入數(shù)據(jù)庫帶來了風(fēng)險，或違反信息保密性法律規(guī)則引起的相關(guān)風(fēng)險。l基礎(chǔ)設(shè)施風(fēng)險基礎(chǔ)設(shè)施風(fēng)險指企業(yè)不具備完整的信息技術(shù)基礎(chǔ)設(shè)施而造成的風(fēng)險。這種基礎(chǔ)設(shè)施是指能夠以低成本、高效率的方式，構(gòu)建信息技術(shù)的商業(yè)應(yīng)用模式，它包括信息技術(shù)基礎(chǔ)。信息技術(shù)基礎(chǔ)設(shè)施主要包括以下幾部分：硬件；網(wǎng)絡(luò)；軟件；人員；程序。系統(tǒng)的完整性是要保證定義、開發(fā)、維護和運作處理信息環(huán)境和應(yīng)用系統(tǒng)正常運作所必備

7、。所以它對商業(yè)運作產(chǎn)生的影響最大，存在風(fēng)險也最大。l獲得性風(fēng)險：獲得性風(fēng)險：這是指企業(yè)在獲得數(shù)據(jù)時的風(fēng)險，如破壞者們經(jīng)常利用郵件轟炸來阻礙服務(wù)，或者對服務(wù)系統(tǒng)提出虛假請求，這給提供服務(wù)帶風(fēng)險。金融服務(wù)業(yè)是典型的依賴于準確、及時信息而運作的行業(yè)。在這方面的風(fēng)險較大。所以企業(yè)要有一個有效的方式來管理價格風(fēng)險、流動性風(fēng)險和信用風(fēng)險，必須具備特定的系統(tǒng)。這種系統(tǒng)要使需求者對所需信息實時可用、隨時可得，并能進行評價。 一、完整性鳳險（一、完整性鳳險（ Integrity risk）l完整性鳳險大多來自應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)可對商業(yè)數(shù)據(jù)的輸入、處理、歸納和貯存等。當(dāng)系統(tǒng)障礙時，就可能造成數(shù)據(jù)未經(jīng)授權(quán)被使用或數(shù)

8、據(jù)不完整、不準確而造成風(fēng)險。它主要在系統(tǒng)以下部分表現(xiàn)出來：用戶界面（用戶界面（User interface）:必須給予正確的設(shè)定，有足夠的限定，以確保只有有效的數(shù)據(jù)才能進入系統(tǒng)，并且這些數(shù)據(jù)是完整的。處理（處理（Processing）:使系統(tǒng)有能力控制處理各種數(shù)據(jù)，以確保數(shù)據(jù)的處理完整性和及時性。病毒使系統(tǒng)對數(shù)據(jù)處理的完整性造成特別威脅。這類威脅能對關(guān)鍵業(yè)務(wù)程序造成巨大的沖擊。對錯誤處理（對錯誤處理（Error Processing）:系統(tǒng)應(yīng)用適當(dāng)?shù)某绦蚝推渌到y(tǒng)方法來確保任何進入系統(tǒng)的數(shù)據(jù)都受到檢測，并已作了修正?？梢詼蚀_地、完整地和及時地處理錯誤數(shù)據(jù)。對錯誤數(shù)據(jù)的檢測在金融業(yè)顯得十分重要。

9、界面（界面（Interface）：）：應(yīng)有系統(tǒng)預(yù)警顯示，以確保各種數(shù)據(jù)的準確完整地傳輸。變化處理（變化處理（Change Management）：）：對變化有處理能力的流程，通過這些流程，應(yīng)用系統(tǒng)的任何改變均能傳輸并予以實行。數(shù)據(jù)（數(shù)據(jù)（Data）:數(shù)據(jù)管理和控制，既包括處理數(shù)據(jù)的安全和完整，也包括對數(shù)據(jù)庫和數(shù)據(jù)結(jié)構(gòu)的有效管理。數(shù)據(jù)的完整性可能會因為程序錯誤引起，如對數(shù)據(jù)用不正確的程序來處理；或發(fā)生管理程序錯誤。 二、接入風(fēng)險（二、接入風(fēng)險（Access risk）l接入風(fēng)險是指接入網(wǎng)絡(luò)時，數(shù)據(jù)或信息存取不當(dāng)而導(dǎo)致風(fēng)險。這種風(fēng)險來自網(wǎng)絡(luò)和電子商務(wù)的不斷發(fā)展。由于黑客和電子欺詐行為的存在，人們要

10、保護自己的系統(tǒng)免受侵擾。人們就必須設(shè)法保護電話線路、網(wǎng)絡(luò)纜線和計算機，以便盡力對數(shù)據(jù)和信息進行保密。存取風(fēng)險可能由于不合理的責(zé)任分工造成的風(fēng)險，如，未經(jīng)授權(quán)的人進入數(shù)據(jù)庫帶來了風(fēng)險，或違反信息保密性法律規(guī)則引起的相關(guān)風(fēng)險。業(yè)務(wù)流程（業(yè)務(wù)流程（Business Process）:企業(yè)確定某一業(yè)務(wù)流程和流程運作方式。應(yīng)用軟件（應(yīng)用軟件（Application）：）： 采用相應(yīng)的應(yīng)用軟件，給用戶提供完成工作所需要的安全的接入方式。并限制對安全有破壞的接入，如欺騙行為，避免由于員工接觸過多的信息導(dǎo)致對數(shù)據(jù)意外或無意的改動。數(shù)據(jù)和數(shù)據(jù)管理（數(shù)據(jù)和數(shù)據(jù)管理（Data and management）:為用戶

11、提供接入特殊數(shù)據(jù)或數(shù)據(jù)庫通路的網(wǎng)絡(luò)環(huán)境。流程的環(huán)境（流程的環(huán)境（Processing environment）:一般指不恰當(dāng)?shù)剡M人主計算機業(yè)務(wù)流程處理環(huán)境和獲取該環(huán)境中儲存的程序和數(shù)據(jù)。網(wǎng)絡(luò)（網(wǎng)絡(luò)（Network）:接入網(wǎng)絡(luò)聯(lián)系用戶和流程環(huán)境。接入風(fēng)險是由于不恰當(dāng)?shù)剡M入網(wǎng)絡(luò)本身的風(fēng)險所導(dǎo)致的。硬件設(shè)備（硬件設(shè)備（Physical）：）：保護設(shè)備不受破壞、偷竊或不恰當(dāng)?shù)亟佑|。 三、基礎(chǔ)設(shè)施風(fēng)險（三、基礎(chǔ)設(shè)施風(fēng)險（infrastructure risk）l基礎(chǔ)設(shè)施風(fēng)險基礎(chǔ)設(shè)施風(fēng)險指企業(yè)不具備完整的信息技術(shù)基礎(chǔ)設(shè)施而造成的風(fēng)險。信息技術(shù)基礎(chǔ)設(shè)施主要包括以下幾部分：硬件；網(wǎng)絡(luò)；軟件；人員；程序。系統(tǒng)的

12、完整性是要保證定義、開發(fā)、維護和運作處理信息環(huán)境和應(yīng)用系統(tǒng)正常運作所必備。所以它對商業(yè)運作產(chǎn)生的影響最大，存在風(fēng)險也最大?；A(chǔ)設(shè)施風(fēng)險有下列內(nèi)容：組織計劃（組織計劃（Organisation Planning）:基礎(chǔ)設(shè)施對在商業(yè)流程中所采用的信息技術(shù)進行清楚地界定和闡述，確保企業(yè)經(jīng)理層對信息技術(shù)的應(yīng)用計劃有足夠的支持，并有充足的人才和流程計劃，以確保系統(tǒng)實施的成功。應(yīng)用系統(tǒng)的定義和開發(fā)（應(yīng)用系統(tǒng)的定義和開發(fā)（Application systems definition and deployment）：）： 基礎(chǔ)設(shè)施要保證應(yīng)用系統(tǒng)滿足業(yè)務(wù)和用戶的需要。就必須決定購買整個應(yīng)用系統(tǒng)解決方案，還是按用

13、客需求開發(fā)新的解決方案。應(yīng)確保應(yīng)用系統(tǒng)的所有變動應(yīng)遵守一定的結(jié)構(gòu)，以確保與關(guān)鍵控制點保持連續(xù)性和一致性。例如，典型的結(jié)構(gòu)要求所有變化必須在事前被用戶所驗證和通過。邏輯安全和安全管理（邏輯安全和安全管理（Logical security and security administration）：）：基礎(chǔ)設(shè)施應(yīng)確保企業(yè)足以應(yīng)付接入風(fēng)險。要建立、維護和監(jiān)督內(nèi)部安全綜合系統(tǒng)，該系統(tǒng)在數(shù)據(jù)和信息的完整性和保密性方面要符合管理層的政策。計算機和網(wǎng)絡(luò)操作（計算機和網(wǎng)絡(luò)操作（Computer and network operations）：）：基礎(chǔ)設(shè)施應(yīng)確保信息系統(tǒng)和相關(guān)的網(wǎng)絡(luò)環(huán)境是在管理層的政策下，在安全和

14、受保護的環(huán)境下運作。計算機操作人員對信息處理的責(zé)任，應(yīng)該是被明確界定、衡量和監(jiān)督。通常計算機技術(shù)人員作出的主動性行為，也可衡量與監(jiān)視計算機和網(wǎng)絡(luò)運行，確保系統(tǒng)為用戶提供滿意的、持續(xù)的支持。數(shù)據(jù)和數(shù)據(jù)管理（數(shù)據(jù)和數(shù)據(jù)管理（Data and database management）：）：基礎(chǔ)設(shè)施應(yīng)確保那些用于支持應(yīng)用系統(tǒng)和終端報告所需要的數(shù)據(jù)和數(shù)據(jù)庫，既有相互的內(nèi)部統(tǒng)一性，又有定義的連貫性，可滿足企業(yè)商務(wù)需要和減少潛在的閑置。核心業(yè)務(wù)數(shù)據(jù)恢復(fù)（核心業(yè)務(wù)數(shù)據(jù)恢復(fù)（Business data center recovery）：）：基礎(chǔ)設(shè)施應(yīng)確保企業(yè)中各種核心業(yè)務(wù)數(shù)據(jù)的災(zāi)難性恢復(fù)，以確保商業(yè)計劃的充分實

15、施，保證滿足用戶在需要時可得到相關(guān)和技術(shù)支持。 四、獲得性風(fēng)險（四、獲得性風(fēng)險（Availability risk）l獲得性風(fēng)險獲得性風(fēng)險是指企業(yè)在獲得數(shù)據(jù)時的風(fēng)險，如破壞者們經(jīng)常利用郵件轟炸來阻礙服務(wù)，或者對服務(wù)系統(tǒng)提出虛假請求，這給網(wǎng)絡(luò)用戶提供服務(wù)帶來了一種危險。金融服務(wù)業(yè)是典型的依賴于準確、及時信息而運作的行業(yè)。在這方面的風(fēng)險較大。所以企業(yè)要有一個有效的方式來管理價格風(fēng)險、流動性風(fēng)險和信用風(fēng)險，必須具備特定的系統(tǒng)。這種系統(tǒng)要使需求者對所需信息實時可用、隨時可得，并能進行評價。這種系統(tǒng)應(yīng)當(dāng)嚴格控制數(shù)據(jù)，防止未經(jīng)授權(quán)的存取改變數(shù)據(jù)。 獲得性風(fēng)獲得性風(fēng)險表現(xiàn)在如下三個方面：險表現(xiàn)在如下三個方面

16、：通過事先對行為的監(jiān)督和對系統(tǒng)問題的解決，都能夠避免此類的風(fēng)險。如，硬盤的存儲能力對信息系統(tǒng)來說是很重要的，這可以不斷地予以監(jiān)督確保它足以支持企業(yè)商務(wù)流程的運作。獲得性風(fēng)險與系統(tǒng)的短期中斷有關(guān)聯(lián)。對此可運用備份和恢復(fù)技術(shù)使中斷影響的范圍最小化。如，大多數(shù)企業(yè)已經(jīng)認識到每天至少一次對關(guān)鍵數(shù)據(jù)進行備份的重要性。這樣在處理過程中丟失數(shù)據(jù)的影響能被控制在上一個備份以后的數(shù)據(jù)投入的范圍內(nèi)。獲得性風(fēng)險與信息處理過程長時間中斷有關(guān)聯(lián)，其重點是諸如備份與應(yīng)急計劃等控制手段。 五、其他與商務(wù)相關(guān)的風(fēng)險（五、其他與商務(wù)相關(guān)的風(fēng)險（ Other business risks）l信息策略與商務(wù)策略整合后，還產(chǎn)生了一些

17、與此相關(guān)的風(fēng)險，這也是作為風(fēng)險管理應(yīng)加以注意的部分，因為它們可能對企業(yè)商務(wù)產(chǎn)生不利的影響。正確性風(fēng)險（正確性風(fēng)險（Validity risk）企業(yè)應(yīng)用系統(tǒng)建立必須合適本企業(yè)狀況，這種風(fēng)險包括決策過程中所需信息是否正確性的風(fēng)險，除此之外還直接涉及到經(jīng)營運行過程中的信息的正確性風(fēng)險，如，企業(yè)員工不能及時性獲得所需要的正確信息的風(fēng)險。正確性風(fēng)險問題對金融服務(wù)業(yè)也及為重要，例如，銀行機構(gòu)通過實時系統(tǒng)運用利息率和風(fēng)險報告等工具來監(jiān)控它們的利率波動的風(fēng)險。如果時間不準確，那么，這些工具所提供的信息就毫無用處。另外信息技術(shù)系統(tǒng)提供的管理方面的數(shù)據(jù)報告，如果不準確，可能導(dǎo)致領(lǐng)導(dǎo)者的決策失誤。效率風(fēng)險（效率風(fēng)險

18、（Efficiency risk）對應(yīng)用程序的選擇應(yīng)有效率性。可能有一些程序不能滿足客戶的需求。如果把技術(shù)引人到商務(wù)流程中去，而又不能產(chǎn)生出效率，就沒有意義。所以規(guī)劃應(yīng)考慮到效率的風(fēng)險。企業(yè)系統(tǒng)基礎(chǔ)設(shè)施應(yīng)包括商業(yè)策略保持一致的信息技術(shù)策略，對信息技術(shù)策略與商業(yè)策略的整合應(yīng)很明確，以實現(xiàn)管理層的商業(yè)目標。周期性風(fēng)險（周期性風(fēng)險（Cycle time risk）這是指商務(wù)活動的周期性，如果商務(wù)周期性過長，如供應(yīng)鏈過長導(dǎo)致商務(wù)周期性過長，這樣企業(yè)效益就會受影響。信息技術(shù)策略應(yīng)用到商務(wù)流程中去，應(yīng)促使商務(wù)周期性縮短。但是，在具體實施過程中，可能由于信息技術(shù)基礎(chǔ)設(shè)施不足，或由于系統(tǒng)原因，使商務(wù)周期性的延

19、長，達不到原來所希望的商務(wù)目標。采用信息技術(shù)在商業(yè)流程中，對周期性問題應(yīng)當(dāng)事先考慮清楚。報廢鳳險（報廢鳳險（Obsolescence risk）企業(yè)庫存常常是由信息技術(shù)系統(tǒng)來管理。為了有效地管理庫存和避免報廢或過剩，業(yè)務(wù)上要求數(shù)據(jù)的完整性、準確性、及時性。由于系統(tǒng)的問題可能影響數(shù)據(jù)的正確傳輸，引起庫存的報廢。這也是信息系統(tǒng)的風(fēng)險之一。業(yè)務(wù)中斷風(fēng)險（業(yè)務(wù)中斷風(fēng)險（Business interruption risk）企業(yè)的業(yè)務(wù)有一個連續(xù)的過程，應(yīng)用軟件的操作主要依賴于信息系統(tǒng)。因此，信息系統(tǒng)的應(yīng)急計劃應(yīng)是整個商業(yè)延續(xù)計劃的一部分，災(zāi)難恢復(fù)計劃應(yīng)該是商業(yè)計劃的一部分，以避免業(yè)務(wù)中斷的風(fēng)險。產(chǎn)品失敗

20、風(fēng)險（產(chǎn)品失敗風(fēng)險（Product fail risk）正確的產(chǎn)品信息來自企業(yè)內(nèi)部網(wǎng)和信息系統(tǒng)，如果一個企業(yè)監(jiān)督和記錄次品數(shù)據(jù)不準確，就可能造成產(chǎn)品的失敗。在應(yīng)用信息系統(tǒng)控制生產(chǎn)流程時，這方面的風(fēng)險應(yīng)給予足夠的重視。另外，產(chǎn)品銷售的反饋信息，企業(yè)能發(fā)現(xiàn)用戶對產(chǎn)品的意見，通過獲得這類信息，企業(yè)因此可以管理產(chǎn)品失敗風(fēng)險，以及有關(guān)顧客服務(wù)和聲譽的風(fēng)險。 如何管理新商業(yè)風(fēng)險l有效的商業(yè)風(fēng)險管理并非僅為一種職能，更是一個過程。所以，只有在商業(yè)風(fēng)險范圍內(nèi)對采用信息技術(shù)后的企業(yè)進行風(fēng)險管理，才能有效地回避新商業(yè)風(fēng)險。這里有兩個關(guān)鍵點值得注意：在信息時代的復(fù)雜商業(yè)環(huán)境中，任何一家電子化企業(yè)要想獲得成功，都必須

21、構(gòu)造一幅清晰的關(guān)于識別、衡量、控制與監(jiān)測所有類型風(fēng)險的行車圖。有效的風(fēng)險管理并不只是一種職能，還是一個過程，是一個識別和管理所有潛在重大風(fēng)險的過程，它涵蓋了所有的企業(yè)商務(wù)活動以及各層次的企業(yè)組織。l主要內(nèi)容：主要內(nèi)容：商業(yè)風(fēng)險管理程序l新商業(yè)新商業(yè)IT風(fēng)險管理要素：風(fēng)險管理要素：戰(zhàn)略規(guī)劃配置管理流程監(jiān)測技術(shù)結(jié)構(gòu)的界定管理框架 一、商業(yè)風(fēng)險管理程序一、商業(yè)風(fēng)險管理程序l為了識別、衡量、控制與監(jiān)測風(fēng)險，企業(yè)需要有一套恰當(dāng)?shù)娘L(fēng)險管理程序，它包括了六個步驟：確立管理目的和目標：確立管理目的和目標：根據(jù)企業(yè)的市場目標，確定商業(yè)風(fēng)險承受限度。評估商業(yè)風(fēng)險：評估商業(yè)風(fēng)險：識別導(dǎo)致風(fēng)險的主要因素，這些因素對業(yè)

22、務(wù)的成功至關(guān)重要；研究風(fēng)險的來源，判斷風(fēng)險是來自企業(yè)外部，還是企業(yè)內(nèi)部的商務(wù)運作過程。衡量風(fēng)險的重要性的程度以及發(fā)生的可能性。制定商業(yè)風(fēng)險管理戰(zhàn)略：制定商業(yè)風(fēng)險管理戰(zhàn)略：風(fēng)險管理戰(zhàn)略必須確定風(fēng)險位置和責(zé)任，以便制定和實施相應(yīng)的管理與控制程序。風(fēng)險管理戰(zhàn)略有可選性，包括：回避不可承受的風(fēng)險、轉(zhuǎn)嫁風(fēng)險通過購買保險，與其他企業(yè)結(jié)成戰(zhàn)略同盟、共同投資。與獨立的當(dāng)事人簽訂契約性風(fēng)險分擔(dān)協(xié)議等途徑。接受現(xiàn)有水平下的風(fēng)險，即自我保險。接受風(fēng)險，通過各種監(jiān)控手段將風(fēng)險降低到一個可接受的程度，可接受度是管理中的風(fēng)險限度所確定的。設(shè)置并實施風(fēng)險控制程序：設(shè)置并實施風(fēng)險控制程序：確保合適的員工設(shè)置和實施風(fēng)險控制程序

23、。每一道風(fēng)險承受能力的程序都必須符合企業(yè)管理者規(guī)定的風(fēng)險承受度。監(jiān)測商業(yè)風(fēng)險管理程序?qū)嵤┬Ч罕O(jiān)測商業(yè)風(fēng)險管理程序?qū)嵤┬Ч罕O(jiān)測風(fēng)險控制程序?qū)嵤┑男Ч?，對于企業(yè)達到市場目標、企業(yè)戰(zhàn)略具有關(guān)鍵意義。可由企業(yè)中高級經(jīng)理實施監(jiān)測，由程序和業(yè)務(wù)的操作者具體實施。改善商業(yè)風(fēng)險管理程序（見下頁）改善商業(yè)風(fēng)險管理程序（見下頁） （接上頁）改善商業(yè)風(fēng)險管理程序（接上頁）改善商業(yè)風(fēng)險管理程序l在實施風(fēng)險管理過程中，不斷完善風(fēng)險管理程序。通過監(jiān)測確定在管理過程中出現(xiàn)的不足，以及商業(yè)環(huán)境變化而需要相應(yīng)地調(diào)整風(fēng)險管理程序。采用這種不斷更新、不斷完善的思想是極為重要的。在電子化企業(yè)中，在電子商務(wù)的過程中，應(yīng)用信息技術(shù)所

24、產(chǎn)生的風(fēng)險就是一種商業(yè)風(fēng)險。所以，應(yīng)該把這種當(dāng)作商業(yè)風(fēng)險的一部分來進行評估。采用一種綜合的方案來進行風(fēng)險管理，就是要領(lǐng)導(dǎo)者識別上面所述的企業(yè)應(yīng)用信息技術(shù)時產(chǎn)生新的商業(yè)風(fēng)險。并將這種風(fēng)險與整體商業(yè)風(fēng)險結(jié)合起來考慮。建立一個適合本企業(yè)的風(fēng)險管理程序。例如：一個公司的程序如下提供一種領(lǐng)導(dǎo)機制，并由上級部門確定風(fēng)險管理的基調(diào)。為整體風(fēng)險管理進行資源配置。建立風(fēng)險管理框架和總體規(guī)劃。確定目標限度及個人責(zé)任。確認標準會計分類和業(yè)務(wù)損失。建立風(fēng)險度量系統(tǒng)和早期預(yù)警指示。將風(fēng)險控制管理狀況與獎勵機制相聯(lián)系。l從以上可以看出這個公司不僅具備一套整體性的風(fēng)險管理方案，而且還掌握了風(fēng)險管理中具有關(guān)鍵作用的因素，包括

25、：高素質(zhì)的領(lǐng)導(dǎo)才能、個人責(zé)任。標準的界定以及業(yè)績的監(jiān)測等。借助于預(yù)警程序和高級經(jīng)理部門的參與，信誠公司將這種商業(yè)風(fēng)險管理推廣到業(yè)務(wù)運行的各個層次，確保了整個公司內(nèi)部信用的連貫性。如圖所示：新商業(yè)風(fēng)險管理程序。（見下頁） 新商業(yè)風(fēng)險管理程序圖解建立管理目的與目標、風(fēng)險限度、風(fēng)險承受水平商業(yè)風(fēng)險評估、識別、探究、度量制定商業(yè)風(fēng)險管理戰(zhàn)略改善商業(yè)風(fēng)險管理過程商業(yè)風(fēng)險實施效果的監(jiān)測制定/實施風(fēng)險控制程序 規(guī)避 價格 轉(zhuǎn)嫁 接受決 策 信息 二、新商業(yè)風(fēng)險管理框架二、新商業(yè)風(fēng)險管理框架l安達信公司的提供了一個信息技術(shù)風(fēng)險管理框架，可作為電子化企業(yè)引入IT技術(shù)時，制定總體風(fēng)險管理戰(zhàn)略的特殊結(jié)構(gòu)。風(fēng)險控制程

26、序既有對經(jīng)濟環(huán)境的風(fēng)險普遍性適用，也適用特定環(huán)境下風(fēng)險的特殊性。例如，電子商務(wù)要求交易雙方采用CA認證，這是控制風(fēng)險的普遍性的要求。對于特殊的風(fēng)險控制，可以用軟件加密，防止密碼泄露，電子簽名等，從而防止未經(jīng)授權(quán)的接入風(fēng)險。商業(yè)風(fēng)險控制以信息系統(tǒng)做預(yù)防性的控制最為有效。當(dāng)系統(tǒng)設(shè)置好后，要比人工控制的效果要好的多。見下圖 信息技術(shù)風(fēng)險管理框架圖解硬件設(shè)施網(wǎng)絡(luò)平臺數(shù)據(jù)應(yīng)用流程戰(zhàn)略規(guī)劃結(jié)構(gòu)界定流程監(jiān)測配置管理 一、戰(zhàn)略規(guī)劃一、戰(zhàn)略規(guī)劃l企業(yè)電子商務(wù)總體戰(zhàn)略，應(yīng)包括信息技術(shù)風(fēng)險管理戰(zhàn)略和政策的制定，它應(yīng)包括企業(yè)信息風(fēng)險管理的內(nèi)容，應(yīng)說明戰(zhàn)略實施，相關(guān)人員責(zé)任界定。同時它也是企業(yè)商務(wù)流程，應(yīng)用程序設(shè)定基礎(chǔ)

27、。企業(yè)中任何一個標準、方針、方案都在這個基礎(chǔ)上設(shè)立。這些標準、方針、方案能夠詳細闡明某一程序如何運行。例如，系統(tǒng)安全問題，有關(guān)政策就可以這樣規(guī)定：所有的用戶都必須經(jīng)過授權(quán)，使用用戶身份認證和特定密碼。這個規(guī)定加上一些具體的細則，來保證企業(yè)用戶在授權(quán)下許可進入系統(tǒng)。風(fēng)險管理戰(zhàn)略和政策的制定包括如下內(nèi)容：風(fēng)險管理戰(zhàn)略和政策的制定包括如下內(nèi)容：程序：程序：1、企業(yè)知識資產(chǎn)保護程序；2、新技術(shù)評估策略；3、信息技術(shù)相關(guān)鳳險的評估、管理和監(jiān)測責(zé)任；4、傳達信息技術(shù)和相關(guān)風(fēng)險，指定共同商業(yè)風(fēng)險語言；應(yīng)用：應(yīng)用：1、系統(tǒng)更新生命周期的標準；2、設(shè)計與購買軟件的決策；數(shù)據(jù)管理：數(shù)據(jù)管理：1、數(shù)據(jù)所有權(quán)；2、數(shù)

28、據(jù)庫的設(shè)計和管理；3、專有數(shù)據(jù)的使用與保護；4、員工、客戶及其他人員所擁有數(shù)據(jù)使用與保護；平臺：平臺：1、支持硬件和軟件平臺的各項標準；2、確定平臺規(guī)劃、設(shè)計、支持與保險的責(zé)任；網(wǎng)絡(luò)：網(wǎng)絡(luò)：1、經(jīng)授權(quán)的賣方與服務(wù)產(chǎn)品規(guī)格；2、網(wǎng)絡(luò)規(guī)劃、設(shè)計支持與保險的責(zé)任；實際設(shè)施：實際設(shè)施：1、確定信息處理地點和設(shè)備的所有者責(zé)任；2、電腦和業(yè)務(wù)范圍外信息內(nèi)容的保護；3、政策的維護與支持；政策制定還應(yīng)包括一些保證政策得到落實的一些程序政策制定還應(yīng)包括一些保證政策得到落實的一些程序l訓(xùn)練和培養(yǎng)人才程序l對計算機和網(wǎng)絡(luò)技術(shù)結(jié)構(gòu)進行管理的程序；l對應(yīng)用系統(tǒng)或技術(shù)環(huán)境變化進行管理的程序；l增加、改變或刪除用戶進入系統(tǒng)

29、的程序；l利用輔助平臺等支持用戶的程序；l制訂和檢驗業(yè)務(wù)持續(xù)性計劃的程序。l任何商業(yè)風(fēng)險，如果是系統(tǒng)中的一個或多個層次時，就必須制定相應(yīng)的策略主動地采取相應(yīng)程序進行有效的管理。硬件設(shè)施網(wǎng)絡(luò)平臺數(shù)據(jù)應(yīng)用流程戰(zhàn)略規(guī)劃結(jié)構(gòu)界定流程監(jiān)測配置管理 二、系統(tǒng)配置的管理二、系統(tǒng)配置的管理l由于信息技術(shù)的不斷發(fā)展，新技術(shù)不斷出現(xiàn)，企業(yè)要根據(jù)需要，不斷升級系統(tǒng)程序，采用最新的信息技術(shù)集成到現(xiàn)有流程中，以保證企業(yè)戰(zhàn)略目標和政策的持續(xù)性，這樣才能確保相關(guān)商務(wù)風(fēng)險的控制。統(tǒng)配置包括如下內(nèi)容：統(tǒng)配置包括如下內(nèi)容：程序程序l信息技術(shù)風(fēng)險預(yù)警方案l新雇員在信息技術(shù)風(fēng)險中的地位及職責(zé)l商業(yè)持續(xù)性計劃和關(guān)鍵業(yè)務(wù)流程的退出方案應(yīng)

30、用應(yīng)用l新系統(tǒng)應(yīng)用中的用戶定位程序l批準并實施應(yīng)用系統(tǒng)轉(zhuǎn)變的權(quán)利界定數(shù)據(jù)管理數(shù)據(jù)管理l數(shù)據(jù)庫改革的程序與責(zé)任l顯示、訓(xùn)練和維持數(shù)據(jù)存儲與數(shù)據(jù)開發(fā)系統(tǒng)事態(tài)監(jiān)測平臺平臺l促使用戶轉(zhuǎn)用標準平臺的程序l文本控制管理程序和軟件更新、分配程序l制定保持和檢測復(fù)蘇計劃的程序l進入控制管理程序與任務(wù)網(wǎng)絡(luò)網(wǎng)絡(luò)l網(wǎng)絡(luò)結(jié)構(gòu)、運行及安全性管理的程序?qū)嶋H設(shè)施實際設(shè)施l信息技術(shù)設(shè)備工作地點的安全結(jié)構(gòu)l必要的能源設(shè)施和環(huán)境控制設(shè)施的安置硬件設(shè)施網(wǎng)絡(luò)平臺數(shù)據(jù)應(yīng)用流程戰(zhàn)略規(guī)劃結(jié)構(gòu)界定流程監(jiān)測配置管理 三、流程監(jiān)測系統(tǒng)三、流程監(jiān)測系統(tǒng)l動態(tài)監(jiān)測系統(tǒng)是用來識別企業(yè)商務(wù)運作過程及網(wǎng)絡(luò)商業(yè)環(huán)境中的變化，一些變化可能會逐漸破壞風(fēng)險控制的有效性。如，企業(yè)原有一個系統(tǒng)災(zāi)難恢復(fù)計劃，由于商務(wù)的運作，商業(yè)數(shù)據(jù)的增加，一年以后可能就不能按原計劃在系統(tǒng)中恢復(fù)數(shù)據(jù)庫等。這可能帶來巨大的商業(yè)風(fēng)險。這就需要動態(tài)監(jiān)測系統(tǒng)來監(jiān)測系統(tǒng)狀態(tài)，保證能及時性調(diào)節(jié)系統(tǒng)程序。