信息科技风险管理策略精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的信息科技风险管理策略主题范文，仅供参考，欢迎阅读并收藏。

第1篇：信息科技风险管理策略范文

【 关键词 】 金融机构；信息科技；风险管理

1 引言

随着信息科技水平的不断提高，信息科技在给小微金融机构中带来作用的同时也不断增加了信息科技风险，给小微金融机构的经营发展带来了挑战。当前，小微金融机构对信息科技风险管理的水平还比较低，如何有效控制与管理信息科技风险，是当前小微金融机构在信息化建设过程中必须面对的重要课题。

2 小微金融机构信息科技所面临的风险

小微金融机构信息科技风险指的小微金融机构在运用信息科技的过程中，因技术漏洞、管理缺陷等人为的或自然的原因而造成的问题或危机。在当前信息技术与银行业务深度融合的情况下，信息科技风险事件涉及的范围广、程度深，给银行等其他金融机构带来较大的经济损失，尤其在小微金融机构中，信息科技风险带来的损失更为严重。

3 小微金融机构信息科技风险管理中存在的问题

3.1 信息科技风险管理的技术水平较低

从现状来看，我国小微金融机构信息科技风险管理的技术水平较低主要体现在如下方面，首先，以银行为代表的大部分小微金融机构缺乏专业化的信息资产风险管理机构，缺乏系统的信息系统管理政策、技术标准及监督、绩效评估工作，领导者与风险管理部门无法实现对风险管理的有效监督。另一方面，小微金融机构对信息科技安风险管理的工作仍停留在定性的层面，缺乏对信息技术风险管理专业的定量分析。与此同时，金融机构信息科技风险管理的IT风险管理手段仅停留在制度检查层面，缺乏技术支持，对风险管理的预防措施有限，对风险管理的技术控制难度大，其信息系统的自我控制的能力较差。

3.2 基础设施安全建设存在隐患

从我国小微金融机构基础设施安全建设情况来看，存在较大的隐患。

一方面，机房管理滞后，在我国小微金融机构的机房中，存在着防水火及供电不达标的问题，且缺乏相应的防雷系统、门禁系统等，机房安全管理严重滞后；另一方面，网络运行安全性不高，由于金融机构的分支机构及营业网点及业务都处于数据集中的状态中，这样就给金融机构网络的稳定性及通畅性提出了更高要求，而在小微金融机构中，存在未按监管要求配置主备通讯线路的现象，容易导致营业网点出现业务办理受阻的现象，致使信息科技风险隐患增加。

4 应急处置能力低

信息系统的集中及数据爆炸式的增长使金融机构的应急处置面临巨大的挑战，尤其对于小微金融机构来说，其应急保障机制更为落后。在我国小微金融机构中，一般都设有信息系统的应急预案，但对于预案却缺乏相应的应急演练，在系统发生紧急事故时，无法对问题实施预案应急措施。其次，部分小微金融机构的系统应急预案覆盖面笼统，缺乏针对性和操作性，缺乏有效的技术支持。另外，风险管理的人员的应急处理能力较低，对重大信息科技风险的应急执行缺乏有效性，导致风险损失增加。

5 加强小微金融机构信息科技风险管理对策

5.1 提升信息科技风险管控能力

小微金融机构要提高信息科技风险管理的水平，首先应该提高其信息科技风险管控的能力，因此，小微金融机构有必要建立三个机制。

第一，信息科技风险管理保障机制。金融机构领导者应该提高风险管理意识，将信息科技风险管理工作纳入议事日程，并建立健全的信息科技风险管理机构的和岗位责任制度，充分发挥出安全检查、风险监控、审计监督的作用；加强对信息科技风险管控人员的培训与管理，并加大违规行为的处罚力度，提高其风险管理的能力。

第二，信息科技风险评估和预警机制。小微金融机构应该在充分分析信息科技风险对金融机构影响的基础上，有针对性的落实风险评估制度和建立信息科技风险监测制度，将风险分类并制定相应的风险报告机制，使信息科技部门与业务部门紧密联合起来，加强沟通协调，提高对信息科技风险的评估与预防能力。

第三、信息科技风险应急处理机制。小微金融机构要加强对信息备份、灾难恢复及业务连续的管理，对应急预案要加以培训和演练，将应急和灾备工作从技术管理层面提升到全行工作层面，以提高应对信息系统安全事件的团队应急能力。

5.2 加强基础设施安全建设

加强金融机构基础设施安全建设，有利于提高基础设施安全水平，进而有利于降低信息科技风险。小微金融机构应加强基础设施安全建设投入，重点加强机房消防系统、防雷系统、UPS等的技术投入，完善机房基础设施并完善机房管理制度，保证系统设备的正常运行，加强对系统设备故障的预测与报警。并设立专门的技术设施检查维修小组，负责基础设施的安全维护工作，确保基础设施安全管理的有效性。

5.3 强化金融交易监管

随着金融环境与金融交易方式的变化，信息化的金融交易也带来了一定的信息科技风险，小微金融机构应该采取措施强化金融交易监管。

一方面，要加快网络金融安全立法进程，制定金融安全政策和标准，成立对应的网络金融安全管理部门，指导网络金融的发展，并严厉打击网络金融犯罪；另一方面，要建立跨部门的现代化信息安全管理网络，实现对金融机构业务信息安全风险的及时、动态、全面、连续的监管。还应该借鉴国外的网络安全管理模式，建立适合于我国小微金融机构信息化建设的网络框架，以实时的监管小微金融机构业务，保证交易的安全性。

5.4 加强对从业人员的素质建设和岗位管理

相对于大型及核心金融机构，小微金融机构从业人员的专业素质及岗位配置明显落后，小微金融机构应该加大对农村金融机构人员的投入，积极引进高素质的信息科技人员，并对原有的从业人员进行定期的培训工作，提高其信息科技风险防范意识与风险管理能力。同时，金融机构还应增加对信息系统管理、运行、维护等岗位人员的配置，以完善职责分配，落实岗位制衡。最后，完善相应的信息科技风险管理制度，加强信息科技风险审计，完善激励约束机制，激发从业人员的主观能动性，从整体上提升小微金融机构信息科技风险管理的水平。

6 结束语

在信息科技风险管理的工作中，小微金融机构要从安全制度建设及技术手段上加强对风险的防范与管理，在全面、可行的安全防护措施中，将信息科技风险降低到最低的程度，进而才能保证小微金融机构得到稳定的发展。

参考文献

[1] 陈文雄.发展银行业信息科技 风险管理意识须先行[J].中国金融，2009（07）.

[2] 唐磊.商业银行信息科技风险现状与管理策略分析[J].中国金融电脑，2009（02）.

第2篇：信息科技风险管理策略范文

信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础，还关系到整个银行业的安全和国家金融体系的稳定，因此国家金融监管部门对银行信息科技风险管理日益重视，对银行信息科技风险管理提出了明确要求，各商业银行也普遍提髙了对信息科技风险管理的关注程度。

1.加强信息科技风险管理是金融监管部门高度重视的重要问题

中国银监会主席刘明康在信息科技风险管理与评价审计工作会议上指出，根据近几年国际上出现的信息系统故障事件分析，如果银行信息系统中断1小时，将直接影响该行的基本支付业务；中断1天，将对其声誉造成极大伤害；中断2〜3天以上不能恢复，将直接危及银行乃至整个金融系统的稳定。这在一定程度上反映了国家金融监管部门对信息科技风险的深刻认识和日益重视。2008年7月，银监会颁发了《银行业金融机构信息系统安全保障问责方案》，明确各银行的法定代表人为本单位信息系统安全保障的第一责任人，并要求逐级签订信息系统安全保障责任书。同时，中国人民银行、银监会组织全国金融机构开展了奥运信息科技风险全面自查工作，并相继对各主要商业银行进行了现场专项检查；国家审计署也在对6家大型商业银行的2008年度全面审计工作中首次引入了信息科技审计的内容，着重从信息安全的角度出发，站在维护国家金融稳定和国家安全的髙度，分析当前我国银行业信息科技工作面临的主要风险，并提出了有针对性的改进建议。国家有关监管和审计部门推出的这些卓有成效的管理措施，对银行不断改进和完善信息科技风险管理工作具有十分重要的指导意义，充分体现出了我国政府对银行业信息科技风险管理的尚度重视。

2.加强信息科技风险管理是新《巴塞尔资本协议》的基本要求

在2004年正式公布的新《巴塞尔资本协议》中，重新修订了银行风险的分类和定义，强调银行在进行风险管理的时候，不仅要重视传统的信用风险、市场风险、流动性风险，而且要将防范操作风险放在一个重要的地位，并将信息科技风险明确划归操作风险的范畴，从而使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。

3.加强信息科技风险管理是银行提高IT治理水平的需要

根据IT治理模型，IT风险管理与战略一致性、资源管理、绩效评估等构成IT治理总体架构，而且是其中的一个重要方面。随着各家银行信息化建设的深入，对信息科技风险的认识也在逐步加深，从单一的信息安全转变为涵盖生产运行、应用研发、信息安全等方面的全面IT风险管理，信息科技风险管理水平体现了银行的信息化程度和整体的风险管理水平。在商业银行完成股份制改造和上市之后，商业银行已普遍认识到信息科技方面一旦发生风险事件，不仅会影响业务的正常办理，还可能会对银行的声誉和市值产生负面影响，因此更加重视信息科技风险管理，对加强信息科技风险管理提出了更髙的要求。

二、加强信息科技风险管理的相应举措

根据国际权威机构信息系统审计与控制委员会(ISACA)的信息系统风险控制和IT审计工作的最佳实践指南，信息科技风险管理应关注IT治理、软件生命周期管理（即项目开发与变更）、IT服务交付与支持(即系统运行维护）、信息安全、业务连续性管理等五大领域。在上述领域，各家商业银行纷纷采取了各种风险管理措施。下面以中国工商银行股份有限公司（以下简称“工商银行”）为例进行介绍。

多年来，工商银行坚持“科技兴行'“科技引领”发展战略，建立了集约化的科技组织体系，并逐步建立了与国际大银行相适应的先进的科技体系和技术平台。自2006年起，工商银行正式将信息科技风险纳入了全行风险管理体系，作为操作风险管理的重要内容，并在信息科技风险管理方面开展了大量工作。

1.信息科技风险管理组织体系工商银行成立了信息系统应急领导小组，由行长担任组长，主管副行长任副组长，信息科技部、办公室、个人金融部、运行管理部等相关部门负责人为成员，负责领导和组织信息系统重大事件的应急处理、灾难备份和恢复、计算机信息系统的安全防护等工作。科技部门定期向董事会、行长办公会、技术审查委员会、风险管理委员会汇报信息科技风险管理工作。同时，工商银行总行以及分行的科技部门均设有负责信息科技风险管理的部门，建立了一支专业的风险防护队伍，为加强信息科技风险管理提供了组织保障。

2008年，国家有关监管、审计部门对工商银行目前的信息科技风险管理情况都给予了较髙的评价，认为工商银行构建了较完整的信息科技治理结构，构成了信息科技管理、信息科技风险管理和信息科技审计三道防线。

2.项目开发管理

针对由于版本质量造成的应用研发风险，工商银行采取了一系列措施，严格保障应用系统研发质量。一是不断改进研发和测试管理流程，加强需求管理、项目方案审查、研发过程管理和项目质量控制；二是及时优化调整应用版本、测试和投产策略，针对版本投产比较频繁等情况，明确了“版本集中投产”的原则，切实降低因版本投产和生产变更带来的风险隐患；三是与业务部门密切配合，力卩强沟通和协调，实现风险共担。

3.运行维护和操作管理

生产运行风险是信息科技风险的突出表现，并且根据实际情况统计，大约有50%的生产运行风险是由管理操作原因引起的。为此，工商银行始终坚持“将确保信息系统安全稳定运行放在信息科技工作首位”的指导思想，并持续强化运行管理操作的各项措施，降低系统运行风险。一是建立了全行统一集中的监控管理平台(ECC)，对主机和开放平台等各类应用系统进行实时监控，实现生产操作、监控的自动化；二是通过部署帮助台系统、网络管理系统、性能容量管理系统、资源管理系统等工具和系统，逐步提髙生产运行管理的自动化程度；三是建立了完备的应急管理体系，明确了应急预案和流程，确保出现紧急事件情况下能够进行妥善处理，将事件影响降至最低。

4.信息安全管理

信息安全管理的核心是要建立健全信息安全的内部控制体系，通过技术和管理手段，确保银行信息系统和数据的机密性、完整性和可用性。为此，工商银行建立了一支专门的信息安全防护队伍，及时分析和解决存在的各类信息安全隐患。同时，积极落实信息安全体系规范和信息安全等级保护措施，部署了入侵检测、漏洞扫描等一系列信息安全防护工具，实施了客户端安全管理。由于采取了及时有效的防御措施，假冒网站、网络攻击等事件虽然时有发生，伹没有对信息系统的稳定运行造成不良影响。特别是在北京奥运会期间，工商银行成功抵御了针对网上银行系统的恶意攻击，保障了电子银行业务正常开展，维护了企业声誉。

5.业务连续性管理

多年来，工商银行始终坚持“数据集中处理、主机灾难备份、平台多点接入、业务跨区受理”的原则开展信息系统技术体系建设，自行建立了国内同业领先的完善的技术灾备体系。2003年以后，工商银行建立了核心业务异地灾难备份系统，实施了同城磁盘镜像，成为国内同业第一家同时具备同城和异地灾备系统的银行，为保障信息系统的连续性运行奠定了技术基础。与此同时，工商银行依靠自身力量制定了《信息系统连续性运作计划（ITCP)》，并从2005年开始，每年都进行一次全行业务级灾难恢复应急演练，模拟在上海的生产中心发生灾难或信息系统长时间无法得到恢复的情况下，将全行核心业务切换到北京的灾备中心的技术和业务处理，有效保障了灾备系统的有效性。

三、加强信息科技风险管理需要思考的若干问题

目前，商业银行在实施信息科技风险管理过程中主要面对以下几方面的问题。

1.要关注信息科技风险计量和相关标准规范体系建设

对于银行来说，操作风险本身就是一种比较难以控制的风险，目前世界银行业也没有一种公认的成熟方法来计量。新《巴塞尔资本协议》要求2007年所有的银行都要开始按照协议规定的三种方法中的一种来计算经济资本，进而控制操作风险。伹据调查，60%以上的银行未从2007年开始对操作风险实行量化管理，大多数银行的预期实施时间是2010年〜2012年。可见，银行业在对于整个操作风险的管理体系、流程、计量方法和工具等方面的探索还远远落后于传统的信用风险和市场风险管理等领域。而银行信息科技风险除了人为误操作因素以外，还与日趋复杂的信息系统软硬件环境直接相关，因此要对其进行科学、准确的度量和评估，存在更大难度。从全球范围来看，尽管国际上一些大银行在信息科技风险管理方面已经积累了一定的经验，伹迄今为止真正构建出有效的、完善的、可量化的信息科技风险管理体系的银行却为数寥寥。因此，国内银行业需要首先考虑建立一套量化的指标体系，科学衡量银行的信息科技风险。同时，建议相关主管部门牵头在信息科技管理领域建立相应的标准规范，以指导和促进国内商业银行提髙信息科技风险管理的规范化、标准化水平。

2.正确认识灾难备份体系建设的内涵

建立完备的灾备体系对银行的重要意义毋庸置疑，伹灾备体系建设应遵循什么样的标准和原则，是否所有银行系统都遵循同样的标准建设灾备系统，是商业银行在灾备体系规划和建设过程中需要认真考虑的问题。通常情况下，银行可以根据业务系统的重要性、灾难恢复的时效性要求和银行自身的风险承受能力等因素，参考相关国际标准n，综合评定划分灾备等级，确定业务恢复时间（RTO)、业务丢失时间（RPO)等关键指标，在此基础上，遵循成本效益的原则，按照相应的标准开展灾备建设。目前，国外现代化商业银行普遍采用此种做法，首先确定系统的灾备等级，并相应实施不同的灾备策略，重点对关键设施和系统实施髙等级的灾备保护措施。

因此，建议国内相关行业主管部门积极引导各商业银行根据实际情况，采取分级实施、逐步推进的原则，借鉴国外银行的先进经验，优先确保关键设施和重要业务系统的连续性运作，在实现灾备体系建设目标的同时，也相应降低建设和维护的成本。

3.信息科技风险管理需要业务部门的关注和共同参与

与应用产品创新工作需要科技部门和业务部门共同完成类似，虽然信息科技风险管理更多关注的是IT领域，伹其中相当一部分内容与业务部门息息相关。

在业务连续性管理方面，在科技部门建成了灾备系统的基础上，需要业务部门制定业务层面的应急计划，指导业务人员在信息系统中断和恢复时进行业务的应急处理，从而与科技部门协同开展应急恢复工作。

第3篇：信息科技风险管理策略范文

中国商业银行信息科技风险管理评估还处在研究发展阶段,为了使中国商业银行对信息科技的使用状况进行评估,使商业银行更全面、更科学地掌握自身信息科技风险情况,评估其在防控各种信息科技风险方面的总体效果,从而对商业银行的信息科技风险表现形态和内在风险控制能力进行的科学、审慎的评估与判断,制定相应的管理措施,达到防范信息科技风险的目的。本文在借鉴美国金融业统一的技术风险评估体系URSIT(UniformRatingSys-temInformationTechnology)①和国际公认的信息系统安全与技术管理和控制标准COBIT(ControlObjectivesforInformationandRelatedTechnolo-gy)②的经验、方法和成果基础之上,结合中国商业银行风险评估的特点,特别是商业银行信息科技风险关注点,构造了适合中国商业银行信息科技风险的评估模型、指标体系。

一、信息科技风险评估体系设计思想

URSIT是美国联邦机构金融检查委员会(FederalFinancialInstitutionsExaminationCoun-cil,FFIEC)制定的与骆驼(CAMELS)评级体系相一致的美国金融业统一的技术风险评级体系[1]。1978年,FFIEC首次推荐各金融机构采用URSIT,它作为一套专门的技术风险监管工具被美国的金融机构以及IT服务提供商广泛应用在技术风险检查中[2]。

随着信息技术的不断进步与发展,URSIT也进行了多次相应的修改。1998年,FFIEC在参考了COBIT基础之上,结合金融行业的特点,增加了衡量执行效果的判断标准,使URSIT更科学,也更易于执行[3]。

中国商业银行信息科技风险评估体系在表达上与《商业银行信息科技风险管理指引》和《股份制商业银行风险评级体系》保持一致[4]153-167,首先确定若干评估度量域,每一个度量域包含若干度量类,在确定评估度量域时,借鉴银监会《商业银行信息科技风险管理指引》的九个方面:信息科技治理,信息科技风险管理,信息安全,系统开发、测试与维护,信息科技运行,业务连续性管理,外包管理,内部审计和外部审计,同时结合中国商业银行信息科技风险特征进行设置。

二、多级指标体系的构建

考虑到评级指标有多个类别和多个层次的特性,中国商业银行信息科技风险指标体系结构可以采用多级指标形式,即在每一父类指标下又包含若干个子类指标[5]。按照从属关系依次分为度量域、度量类、度量项等。如果一个指标下又包含多个指标,则该指标称为一个指标项,否则成为一个指标。信息科技风险评级指标体系以ISO27001标准所约定的信息安全管理体系的框架,采用域、类、指标划分的三层结构,从上到下分别包含9个域、46类和841项度量指标[6]。具体的商业银行信息科技风险评级指标体系结构如表1所示。

我们把综合评级中的九评级单项指标称为“一级指标”。综合评级的分值由九个“一级指标”分值加权汇总求得。从单项评级模型上看,每个单项评级指标(一级指标)的分值又由其下的多个指标(二级指标)分值加权汇总得出。“三级指标”分值加权汇总得出“二级指标”的分值。如果“三级指标”仍不能独立说明情况,还需要其他多个指标来辅助,那么就需要制定“四级指标”。单项评级模型中的指标级数可根据需要来确定。

三、评估模型的设计

中国商业银行信息科技风险评估模型是由单项评估模型和综合评估模型组成,各项指标归属于不同的信息科技域、相关主题和责任部门,通过对各单项指标评估数据的汇总,可以形成对商业银行信息科技风险的整体评估[7]。

单项评估模型为:

在进行信息科技风险单项评估时,根据按照已经设定好的单项指标评分标准进行评分,并赋予不同的指标相应的权重属性,最后进行加权求和得出单项评估分值。

评估信息科技风险管理工作成效,需要考虑控制措施定义、控制措施执行情况和工作记录情况三个方面,结合控制缺失造成风险的高低,最终进行综合评估。为此,我们假设单项指标的评分标准为0、1、2、3、4、5共六个级别。例如,单项评估中A域的“信息安全管理体系”,包含有n个度量类;Ai表示为A域中第i个度量类的分值,它是一个0~5之间的值,此评估标准综合评估模型为:Risk=A×WA+B×WB+…+J×WJ其中,变量Risk表示为商业银行信息科技风险总量;变量A,B,…,X表示为商业银行信息科技风险中相关的度量域;变量WA,WB,…,WX表示A,B,…,X各度量域的综合评估权重值。

四、评估中应注意的问题

(一)权重的确定

指标权重的选取对最终的评级结果很重要,不同指标在技术风险监管中的重要程度不尽相同[8]。因此应该根据具体情况考虑给不同的指标赋予适当的权重,以表明其重要性。

指标权重的确定方法可分为主观赋权法和客观赋权法[9]。主观赋权法是根据人们主观上对各指标的重要程度理解来决定权重的方法,如Delphi方法;而客观赋权法就是根据各指标间的相关关系或各指标值的差异程度来确定权重,如主成分分析法、熵值法、相关系数法等。另外,还有层次分析法,它实际上是一种主客观相结合的赋权方法。笔者建议将多种赋权方法组合使用,即以Delphi法通过反复征求专家意见得到不同指标权重的初值;再通过层次分析法根据各指标权重的相对重要性构造判断矩阵,计算出各层次指标的组合权重;最后利用熵值法对得到的组合权重进行修正。

应该说明的是,随着中国对银行信息科技风险监管的加强和重视,不同指标的权重大小应随着银行信息科技风险的变化和监管的重点与难点的变化而适时做出调整。

(二)筛选形成信息科技风险评估控制表和信息科技风险评估表

对于信息科技风险评估控制表和信息科技风险评估表的筛选应按以下步骤进行:1.筛选工具。选用Excel2003或Excel2007作为筛选工具。Excel2003可以满足一般的筛选功能,Excel2007在进行多项条件(两项以上)筛选时更加方便。

2.分情况筛选。在确定信息科技风险评估对象所涉及单位、参与评估的人员岗位、一级控制域和二级控制域后,可按照以下步骤对信息科技风险评估控制矩阵进行筛选。

(1)根据评估对象所属控制域对“一级控制域”和“二级控制域”列进行筛选。假定评估对象所属的一级控制域为“信息安全”,二级控制域为“物理及环境的安全管理”,筛选时应选择一级控制域列为“信息安全”并且二级控制域列为“物理及环境的安全管理”的筛选条件,完成筛选。

(2)根据评估对象所涉及单位,对“适用单位”列进行筛选。

假定评估对象是所涉及的单位是数据中心(上海),筛选时应选择“适用单位”列包含“所有单位”或“数据中心(上海)”的筛选条件,完成筛选。选择多项条件时通过“自定义”设置选项。在弹出的自定义自动筛选方式窗口中,适用单位选择的设置。如果使用Excel2007,可直接勾选多项条件。

(3)根据评估对象涉及的人员岗位,对“适用角色”列进行筛选。

假定评估对象是所涉及的人员岗位包括“项目经理”和“所有岗位”,筛选时应选择“适用角色”列包含“所有岗位”或“项目经理”的筛选条件,完成筛选。

3.形成信息科技风险评估控制表和信息科技

风险评估表。在完成上述筛选工作后,还需要按照以下步骤形成信息科技风险评估控制表和信息科技风险评估表。

(1)将从信息科技风险评估控制矩阵中筛选出来的行和表头全部都拷贝到一个新表中,形成信息科技风险评估控制表,作为单独文件保存。

(2)以信息科技风险评估控制表为基础,删除表中的“风险值”、“参考文件”、“参考文件章节”、“适用单位”、“适用角色”列的内容,形成信息科技风险评估表,作为单独文件保存。

(3)应按照模板要求调整信息科技风险评估控制表和信息科技风险评估表格式,包含模版中的基本要素,并且尽量美观,方便填写。

五、实证分析

对某行的运行管理领域开展信息科技风险评估,下面为应用此评估模型实证检验的结果(见表3)及分析。

1.变更管理。变更管理包括版本投产变更和运行变更管理两部分,共包括20个风险点,126个题目,存在差异项28个,占评估要点的22.22%。评估发现的差异项主要体现在变更申请、变更方案的制定等方面。

在变更要素的规范性方面,某行存在的差异主要包括变更申请时间不符合要求、变更回退方案不够详细、变更审批流程不规范等方面,要求加强变更管理,严格执行科技制度的有关规定。

2.操作管理。本次操作管理领域风险评估共包括14个风险点,29个题目,存在差异项13个,占评估要点的44.83%。评估发现的差异项主要体现在操作培训、操作准备、操作实施、操作记录方面的风险。

在操作实施方面,由于分行操作人员有限,目前无法对所有生产操作内容做到全部双人操作,部分操作只能做到事后检查复核,可能存在一定的操作风险。建议基于现状加强事后检查复核的力度,通过补偿控制措施降低操作风险。

3.事件管理。本次事件管理领域风险评估共包括14个风险点,53个题目,存在差异项9个,占评估要点的16.98%。评估发现的差异项主要体现在生产故障事件报告、生产故障事件受理、生产故障事件解决、生产故障事件反馈方面的风险。某行在生产故障事件反馈环节对于一些业务部门提交的事件单,在事件解决后由于各种原因无法及时联系到业务部门人员,无法按照制度要求在一个工作日内关闭事件。

4.数据管理。本次数据管理领域风险评估共包括13个风险点,61个题目,存在差异项10个,占评估要点的16.39%。评估发现的差异项主要体现在数据存储介质和数据抽检管理、数据保密管理、数据变形策略等方面。其中数据变形策略在某行实际工作中尚未开展,主要原因是某行缺乏成熟的数据变形策略,目前暂未下发过某行数据变形工具,某行无法对数据实施变形。

第4篇：信息科技风险管理策略范文

银行IT审计意义

目前，信息系统的正常运行已经成为银行业务正常运营的最基本条件之一，信息科技在有力提升银行核心竞争力的同时，信息科技风险也愈发突出和集中，信息科技风险控制已成为银行业风险管理的重要内容，而IT审计作为银行业风险管理体系的重要组成部分，其重要性和必要性已经日益得到银行业管理层的关注。同时，国家相关部门对信息系统的管控也越来越重视，自2006年8月《银行业金融机构信息系统风险管理指引》开始，银监会正式对银行科技风险进行监管，近年来推出一系列制度和措施（见表1），监管工作逐步走向规范化。通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性，也成为银行业实施IT审计的重要目的之一。

因此，银行业加强和规范IT审计，既是自身发展和获取竞争优势的内在需要，也是监管当局的外部要求。

银行IT审计标准

准确地运用标准和参照，成为顺利开展IT审计工作的重要前提之一。

COBIT

COBIT(Control Objectives for Information and related Technology) 是由信息系统审计与控制基金会最早在1996年制定的IT治理模型。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准，也是目前国际上通用的信息系统审计的标准之一。COBIT是一个基于控制的IT治理模型，其制定的宗旨是跨越业务控制和IT控制之间的鸿沟，从而建立一个面向业务目标的IT控制框架。

COBIT本身并非针对IT审计的专门论述，其面向的使用者可以是企业中想通过改善IT过程实现经营目标的管理者，也可以是业务过程的所有者，即用户，也可以为IT审计师。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。在最新的COBIT5.0版本中，COBIT已经被称作“一个治理和管理企业IT的业务框架”。

COBIT4.1版本中经典的体系框架一直为众多使用者参考使用，它包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档（见图1）。管理指南为每个过程提供了关键成功因素、关键目标指标和关键绩效指标等，并根据这些指标对每个过程进行了成熟度模型的划分；而审计指南，则就审计的控制目标、调查对象、需要掌握的证据及如何进行测试和评估做出了详细的说明。

COBIT4.1版本中的流程参考模型将所有与信息系统相关的活动进行了划分，主要包括34个流程，分属4个域。而COBIT 5.0的参考模型涵盖了治理和管理流程的完整集合，共分为37个流程。COBIT5.0流程参考模型是COBIT4.1流程参考模型的继承者，同时也融合了风险IT、价值IT流程模型。COBIT的广泛通用性也造就了它在应用上的弱点和难点，即COBIT中对相关流程和控制目标的描述过于笼统普适，需要使用者结合企业的实际情况和专业经验进行较大的定制化方可实施。

因此，COBIT模型的最大作用是将IT过程、IT资源与企业的策略和目标联系了起来，保障了企业的IT战略目标和其业务发展目标的一致性，也在IT管理层、IT技术人员/用户和IT审计师之间搭建了桥梁。

《商业银行信息科技风险管理指引》

近年来，随着银监会信用风险、商业风险和操作风险管理指引的，以及“巴塞尔协议II”在银行业内的逐步实施，推动了银行内部风险管理机制的建立和健全。但是，在全面风险管理的框架下，目前银行的信息科技风险管理机制滞后于业务风险管理体系的发展，并未建立体系化的风险管控机制，成为了银行风险管理体系中的短板。这主要体现在，信息科技风险治理组织不健全、风险管理制度不完善、风险处理过程规划依据不充分以及风险监控指标不明确等方面。

2009年的《商业银行信息科技风险管理指引》(以下简称《指引》)，定义了商业银行信息科技风险的总体框架，即在当前商业银行普遍的信息科技现状下，可能存在的重大信息科技风险的范围，使商业银行的风险管理过程，能够集中精力在相关领域中。

《指引》确定了九大管理领域，即：信息科技治理；信息科技风险管理；信息安全；信息系统开发、测试和维护；信息科技运行；业务连续性管理；外包；内部审计；外部审计。这些领域覆盖了信息科技管理的大多数重要活动，这些活动中存在的风险，可能会对业务产生重大影响，因此对这些领域的风险识别和管理，应当在信息科技风险管理中优先对待。

在这九大领域中，IT审计占两个，分别是内部审计和外部审计。而《指引》本身，就是一个针对银行的框架完整的IT审计标准，银行可以参考这个标准，开展IT审计工作。

IT审计标准选择

实践中使用的标准远不止上述两个，而且，这两个标准建立本身就参照了很多IT相关的较为成熟的标准。如，COBIT制定时参照的标准就有ISO系列的相关IT技术标准、审计行为准则等等；《指引》其中“信息安全”管理领域的内容建立就是参照信息安全管理体系的国际标准ISO27001。

第5篇：信息科技风险管理策略范文

关键词：公路工程；造价；风险控制；管理策略

Abstract: as the highway engineering project development is a high-risk work, if prior to take positive risk management strategy, project implementation process can avoid or reduce many risks. This article through to the highway engineering cost risk characteristics, risk management research, explaining the highway engineering cost risk identification of the main steps, analyzes the highway engineering cost risk management strategy.

Key words: the highway engineering; Cost; Risk control; Management strategy

中图分类号：TU723.3 文献标识码：A文章编号：

1公路工程造价风险

1.1 公路工程造价风险因素

导致出现公路工程造价风险的原因主要有：（1）项目规划设计方案陈旧，目标优化错误、未进行优化优选。（2）项目设计、规划深度不够。在公路工程项目设计过程中，可能存在构思错误、设计内容不全、规划设计深度不够、重要边界条件遗漏、设计参数选用不合理、采用规范不恰当、未考虑当地工程水文地质条件和施工可行性等现象。（3）承、发包方式选择不合理。合同条款遗漏、合同类型选择有误、表达有误、不严谨、合同管理不力、引起大量索赔。（4）汇率变化。一些高速公路项目会需要大量国外进口材料，项目投资估算时是按照当时汇率预留进口材料的费用，但实际进口材料时，需要支付的外币升值，开发商需必须额外付出开发费用。（5）项目实施期间出现通货膨胀现象。人工、材料费用上涨、国家调整产业政策，采用新的要求或更高的技术标准，致使公路工程项目成本大幅增加。（6）不可抗力。不可抗力是指一个有经验的工程师不能克服、不能避免的客观情况。不可抗力包括自然现象，如地震、雪崩、火山爆发、暴雨、飓风、暴雪、洪水、泥石流等，也包括一些社会现象，如政府禁令、爆炸、战争、火灾等。

1.2公路工程造价风险的特点

（1）可变性。可变性是指在实施项目的整个过程中，各种风险在质和量上可以变化。随着项目的施工进度，有些风险得到控制或消除，有些风险会发生并得到相应的处理，而同时在项目的每一阶段都可能出现新的风险。风险发生的程度决定了工程造价风险的大小，所以，公路工程造价风险具有可变性。（2）全程性。在公路工程项目实施过程的各个方面、各个阶段都存在着各种不确定性因素。这些不确定性因素都会问接或直接地对公路工程造价产生影响。这种风险是不以人的意志为转移并超越人们主观意识的而存在的，并且在项目的整个周期内，风险是无处不在的。（3）被动性。任何一种具体风险的发生都是由诸多风险因素共同作用造成的结果，它是一种随机现象。个别风险事故发生的偶然性，这些因素导致了公路工程造价风险管理的被动性。

2 公路工程造价风险识别

所谓的公路工程造价风险识别就是在未发生风险之前对公路工程项目各阶段潜在的风险及产生原因进行实现判别、分析，找出和确定主要的风险因素，相应地加强对公路工程造价的风险管理。

目前，在工程风险管理实践中已形成一些比较成熟的风险识别方法，但对于公路工程造价风险识别的方法还没有全面、系统的论述和实践。所以，在公路工程造价管理中，对风险的管理相对来说还比较薄弱，风险管理者尚且不能够提前、全面地识别公路工程项目造价管理中可能存在的风险，从而导致公路工程造价超支或公路工程项目管理失败。产生这种状况的主要原因是现有工程项目风险识别方法的不完善性和公路工程造价风险识别本身的艰巨性。

3 公路工程造价风险管理策略

3.1公路工程造价风险管理策略目标

公路工程造价风险管理策略就是辅助项目经理部事先建立处理项目风险的基本策略。由于公路工程项目的开发是一项高风险的工作，若事先能够采取积极的风险管理策略，项目实施过程中就可以避免或降低许多风险。

3.2 公路工程造价风险管理策略的内容

控制环境是一种氛围，是内部控制其他要素的基础，它直接影响公路工程项目实施控制的自觉性和组织成员的控制意识，并决定其他控制因素能否发挥起作用。影响控制环境的因素是多方面的，最主要的是公路工程项目管理者的整体素质，尤其是公路工程造价工程师的素质。高素质的人才不仅可以保障公路工程的质量，而且孩可以加强风险管理，为企业节约大量的处理风险的经济成本。所以，公路工程造价风险管理应从完善公路工程项目造价内部控制环境，提高公路工程企业管理者的素质入手。

设立良好的造价风险控制活动。风险控制活动是确保管理层的指令得以实现的程序或政策。一般来说，风险控制活动包括程序和政策两个方面，风险控制活动出现在整个项目组织内的各个职能部门。政策规定应该做什么，程序则使政策得以运行并产生积极地效果，政策是程序的基础。公路工程项目造价控制应按照特定的流程设立风险控制活动，同时对于重要的业务环节制定具体的风险控制程序。

进行充分的风险评估。提高公路工程项目内部控制效果的关键是风险评估。若事先进行了全面的风险评估，那么在项目开始之前，管理者就能尽可能地采取措施控制已预知的造价风险，就会对影响公路工程项目造价的关键环节可以做到心中有数。

加强信息沟通和流动。对于公路工程项目组织成员来说，若要顺利履行职责，首要要做的就是及时准确地取得所需的各种信息，并把自己得到的信息反馈给组织的其他各个成员。信息管理系统不仅处理公路工程建设内部所产生的各种信息，同时也处理与外部环境相关的信息。

加强公路工程项目的内部监督。若要确保公路工程项目造价内部控制制度能够被切实地执行并取得良好的效果，相关部门就必须加强公路工程项目造价控制的内部监督工作。

参考文献：

【1】林德明.公路工程造价控制与管理[J].山西建筑,2009

【2】邓铁军.工程风险管理[M].人民交通出版社,2008

【3】孟志鹏.浅析土木工程中的造价控制[J].改革与开放,2010

第6篇：信息科技风险管理策略范文

关键词：商业银行 信息系统外包 管理对策

一、商业银行信息科技外包过程管理存在的问题

一是外包风险文化缺失。外包风险尚未真正纳入全行全面风险管理范畴与整体工作部署。外包风险仅在科技条线开展管理与预防，尚未在各条线引起必要的重视与管理预防，没有很好地纳入全行全面的风险管理体系框架中，这种片面的条线重视现状将存在一旦出现IT外包风险，导致发生不可控制的被动局面，甚至还将会损害银行在市场上的公众形象。

二是信息科技外包决策不够完善。外包决策过程存在一定的主观性。在外包的分析描述中，没有提供必要的分析依据，比如实质的调研报告、讨论纪要以及相关具体调研的数据等材料支持整个调研过程。外包服务商的选择上，外包采购方式来源于单一来源。在外包服务商选择过程中缺乏规范化的定性与定量指标，缺乏运用较为系统的具有可操作性的理论和方法为IT决策提供指导。

三是信息科技外包合同设计与执行存在不足。合同条款设计不完备，缺乏灵活性和必要的约束条款。缺少针对外包服务的业务连续性的安排、外包服务的审计和检查、不得将外包活动变相转包、限制成本增加等合同条款的约定，缺乏对外包服务中可能出现的重大损失、人员变动和外包协议意外终止等情况的应对措施，尚未明确信息科技外包服务商必须提供的最低服务水平、外包应急预案及演练等。外包合同执行情况的动态管理不足。外包合同管理人员根据项目经理提交的阶段报告执行阶段款项的支付，缺少对现有合同的有效状态、待支付费用状况、支付的合理性等进行事前管理，缺少对合同数据的分类统计与分析的主动性。

四是信息科技外包服务商的管理和约束机制尚不健全。当纸质约束无法实现降低企业面临的风险时，就需要把精力和重点放在外包供应商的选择上，通过甄别具有良好的合作潜力的外包伙伴来降低信息科技外包可能带来的风险。从部分商业银行外包服务商的整体管理情况来看，尚未建立起完善的外包商准入评级体系及后续评价机制，尚未做到对外包商的技术实力、经营状况、社会信誉等因素进行有效合理的评定，尚未实现外包商分级管理。

二、商业银行信息系统外包过程管理对策

（一）建立全面的外包风险管理文化

于银行来说，科技不仅是科技部门的科技，更是全行的科技。全面风险管理体系应该是全方位、全过程、全员的风险管理方式。银行的信息科技建设与银行的风险管理是一项整体性的工作，良好的风险管理文化是IT外包顺利实现的基础，银行的风险防范意识应该始终贯穿于实施外包的所有阶段，并明确操作流程，风险种类及防范措施。

（二）建立两阶段信息系统外包过程管理模型

对于信息系统外包过程管理来说，过程管理方法也是一种改善外包管理、提升外包绩效的非常有效的方法。信息科技外包过程实际上是一个复杂又系统的分析、判断、执行和评估的过程，各个过程之间是相互联系和作用的，只有对诸过程进行系统的应用、管理和连续的控制，才能实现外包过程管理的有效控制，进而实现整个外包活动的成功和延续。

（三）建立信息系统外包管理标准

供应商选择的好坏关系到外包业务能否成功，是防范外包风险最重要的一步。供应商的经验，技术，能力、资本、信誉、对金融业的熟悉程度、自身发展的稳定性、已有类似业绩等都是影响外包业务能否按约完成的重要因素。因此，只有选择了专业水平高、服务质量好、信誉卓著的优质的外包商作为合作伙伴才能最大限度的降低银行业务外包的信用风险，增强外包成功的可能性。

参考文献：

[1]刘现伟.企业信息系统外包战略实证研究[M].北京：经济管理出版社，2011

[2]孙琪霞.陈菊红.基于缺口视觉的信息技术外包三阶段决策模型研究.情报杂志[J].2008.27（12）：71-74

[3]刘莉.吴绒.李楠.金融外包管理[M].北京：化学工业出版社.2012

第7篇：信息科技风险管理策略范文

2.沈阳君航房地产开发有限公司，辽宁沈阳110141

摘要 建设工程作为一项比较复杂的工程，在建设工程合同管理中总会存在一定的风险。毕竟我国现在工程建设发育并不完善，建设交易市场也不规范。在这种条件下，要想保证项目工程顺利进行，就应该对合同中出现的风险问题进行管理。本文主要对建设工程合同中的承包人资质风险、合同文本风险及招标风险进行分析，并在此基础上提出了相应监理策略。

关键词 建设工程合同；风险管理；监理措施

中图分类号TU71 文献标识码A 文章编号 1674-6708（2012）61-0027-02

随着建筑工程不断的发展，建设工程合同显得越来越重要。其不仅能明确发包人与承包人之间的权利义务关系协议，同时也能在工程实施阶段约束承包方和发包方之间的行为。然而因建筑工程规模较大、工期较强，再加上材料消耗之大等，这就加大的工程合同风险管理。要想使建设工程合同风险管理得到有效的控制，就应该采取相应的监理策略。如何解决建设工程合同中的风险问题并采取相应的措施，已经成为建设工程合同管理的重点。

1 建筑工程合同中存在的风险

1.1 承包人资质风险

承包人在承包工程项目的时候，必须出示相应的函件，以证明自己有能力承包相应的项目工程。虽然相应法律对此进行了明确规定，但是在实际工程建设中，一些承包人没有施工企业资质、实际是工人资质的前提下，借用其他有施工资格企业资质签订建设工程合同，势必会给建设工程合同带来一定的风险。

1.2 合同文本风险

国家工商部门和建设部为了使建筑市场更加规范，更好的对其进行管理，制定与建筑施工相关的合同文本，并明确规定了建设工程发包方和承包的责任、权利及相应的风险。虽然一些工程建设单位知道这些规定，但其为了逃避义务，逃避风险，并没有按照文本规定行事，而是自己制定或是采用一些不规范的文本签约。这些合同因不是按照文本规范制定的，其内容比较笼统、含糊，只是将不重要的内容写入其中，而忽视重要内容，这就给建设工程合同留下了隐患。此外，一些建筑工程单位只是口头允诺而忽视以政府命令的方式下达相关任务，而合同却等到施工完成后再补签，这种合同不仅不能起到合同应有的约束作用，也会加大建筑工程合同风险。

1.3 招投标风险

就目前现状来看，虽然在一些法律中明确了在签订建设工程合同必须用招投标的形式进行，国内相关建设工程也普遍用这种招投标方式，特别是比较大型的工程建设工程采用这种方式签订工程合同，但是这些工程建设发包方用这种方式进行招投标的时候，常会忽视招投标的合法性、可操作性。这种不按照相关程序的规定就签订合同的行为，势必会给建设工程合同带来一定风险。

2 建设工程合同风险管理监理策略

2.1 工程担保策略

在建设工程合同中，不仅发包方有一定的合同风险，承包方也会有一定的合同风险。双方在降低合同风险上有共同点，就是利用工程保险或是担保来尽可能的降低其合同风险。在合同中，涉及到的保险比较多，并对其进行明确的分类。不仅包括人身伤亡保险，还有工程险及第三方责任险。这些保险在工程实施的过程中就会实施应用，在对其进行应用之前，监理人应该对相应的风险进行审查，并及时督促承发双方缴纳相应的保险，一旦发生相应的事件，监理人要及时对其进行记录并协助保险公司人员解决相应问题。发包人在投资的过程中，会要求承包人出示工程投标函、支预付款函等相应证明材料。为了确保函件的准确性，监理人负责对承包人函件进行审查，合格后才能签订合同，以避免不必要的合同风险。

2.2 经济策略

一般情况下，发包方在投资预算的过程中就会对可能预见风险进行考虑，为了将风险降至最低，发包方会备有一定的风险资金，并将其列入暂定金额，一旦工程项目合同在实施过程中出现相应的问题或是不确定的费用，就可以利用这一暂定金额，缓解合同风险。对于承包方来说，其风险资金来源于报价中的风险附加费，其作用是当合同风险发生时，能够利用这部分资金弥补合同风险中部分损失，使合同价格和风险责任能达到一定的平衡。为了更好的降低合同风险，承包方会采取一定的报价策略以达到风险转移的目的。

2.3 技术和组织策略

在工程施工中总会存在一定风险，为了提高风险应变能力和抵抗能力，承包方在签订合同的时候，就应该不断地完善组织机构和人员的综合素质，让精通合同的专业人士参与到合同签订中来共同商讨合同的签订。在大中型建设合同中，常由发包方负责合同起草，并聘请法律专家或咨询顾问共同起草相应文件，在起草过程中，必然存在不利于承包方的条件。在这种情况下，承包方在合同签订商讨中，必须有一个精通工程技术、法律、经营管理等综合素质的工程监理。只有这样，才能使合同谈判更加平衡，信息更加对称，同时也能增加承包方的判断能力和风险识别能力。

2.4 加强索赔管理策略

施工合同作为工程建设中最重要的合同，其是索赔的依据，是合同管理的延续。其一般都是在工程开始之前进行签订的，在签订的时候并未能将施工过程中出现的问题全面考虑进去，毕竟那些问题是不确定的是施工之后发生的。因此，必须加强索赔管理。承包方签订合同的时候，要对可能发生的不利因素进行预见，并对合同的变更和索赔的可能性进行分析，采取相应合同管理和索赔策略。监理人作为风险管理重要组成部分，在工程合同履行过程中，应该根据施工过程中出现的状况进行法律分析，以最大限度的维护承包方权益，使工程建设更加规范，在提高生存能力的同时，也能将合同风险降至最低。

3 结论

建筑工程作为一种能维护发包方和承包方双方利益的合同，在建设工程管理中有重要的用。其不仅能使发包方和承包方双方履行相应的义务，同时也能为解决项目工程管理中出现的问题提供相应依据。但是由于建筑工程的复杂性，建设工程合同并不完善，在管理中总会出现一些风险。为了将建设工程合同中的风险管理降至最低，就应该采取相应的监理措施。

参考文献

[1]万琳，朱丽娜，刘强.工程合同风险管理分析[J].中小企业管理与科技(下旬刊)，2009(8).

[2]李春梅，钞锋.浅析工程项目的风险管理[J].现代经济信息，2009(13).

[3]李娜.施工企业合同风险管理探析[J].河北建筑工程学院报，2011(2).

第8篇：信息科技风险管理策略范文

【 关键词 】 企业信息；信息安全；风险管理；框架探究

1 引言

人类社会在不断发展，信息化逐渐融入人们生活。信息资源对于现代企业来讲，是每时每刻都存在的运转载体，各种重要数据、企业的知识产权等这些都是企业的内部信息，除这些信息外，其他相关方面的数据也被企业所利用，例如合作伙伴、客户、员工等资料，尤其是一些服务性企业，比如网商、快递公司、金融公司、通信公司、航空公司等，这些企业更需要以信息系统作为支撑，信息资源成为企业不可或缺的重要组成部分。

2 新形势下我国信息安全面临的问题

2.1 风险意识在主观上的淡薄

在我国信息安全上面，思想认识面临高风险的形势，大部分企业的管理高层对信息资产的认识严重不足。或者局限在IT的安全方面，没有合理的安全观念引导企业在信息安全管理方面的工作。信息安全管理制度的完整性缺乏，规范安全风险和安全法律法规对员工的培训缺乏，很多信息安全事故的发生都是因为安全意识的薄弱造成的。

2.2 缺乏信息安全管理系统的思想

大部分企业仍是将传统的管理方法用在安全管理模式中，这种出现问题再去想弥补的方法是静态的管理，不能在提前进行信息安全风险评估上做更有效的信息系统管理。

2.3 信息安全不仅仅是技术部门的事

多数企业认为信息安全的责任和义务都是IT部门的，造成信息技术部门无法和企业内部其他部门互动，进而形成孤立的局面。但是，信息安全的实现需要各个部门的全员行动，特别是规范标准以及规章制度的贯彻落实，更牵涉到企业的每一名员工，全员行动的要求更是不能缺少。

2.4 存在重视安全技术而轻视安全管理的情况

现今为止，仍有很多企业仅仅依赖产品安全，认为信息安全就是信息产品安全。一般企业现在都会采用计算机和网络技术来构建企业的信息系统，但是没有把相应的管理措施开展到位。信息安全问题应该加强做好管理工作，不能单从技术方面着手。

2.5 现代管理手段与理论欠缺

日益庞大的现代化信息规模与越来越复杂的网络结构，让现有的风险管理手段和理论都不足以让企业信息安全得到完全的满足，企业应该结合实际情况和需要，把国际上优异的信息安全风险管理理论以及先进的最佳实践用作指导，以此达到信息安全的目的。

3 企业信息安全风险管理的框架探究

企业信息安全风险管理的框架包括两个部分，一是企业信息安全风险管理的过程，二是企业信息安全风险管理的实施。其中，实施是过程的保障，整合各种资源要通过实施才能达到；过程是实施的前提，对过程的清楚有利于建立企业信息安全风险管理的统一理解，以此逐渐实现信息安全风险管理。企业信息安全风险管理包括风险分析、风险计划、风险识别、风险监督、计划实施、风险改进六个动态过程。

信息安全风险管理是动态、持续性过程，信息安全通过潜在的风险识别、分析，同时进行计划、实施、监督、改善，然后再进入到下一个循环里，通过持续不断的循环活动进行有计划、持续的控制，不断改进。

参照戴明的PDCA质量管理模式，把安全项目实施划分为四个阶段，分别是准备和策划、执行和部署、监控和检查、评价和改进，实施阶段有几个工作步骤：（1）准备和策划工作阶段，首先调研信息安全风险管理现状，接着进行风险评估，然后编制信息安全风险管理方案；（2）执行和部署工作阶段，进行部署安排，按计划执行，接着进行安全培训；（3）监控和检查工作阶段，做好企业安全现状检查，预测未来的变化；（4）评价和改进工作阶段，制定改善措施，响应紧急事件。

4 企业信息安全风险管理的实施

在风险管理中人、过程、基础结构和实施是四大影响风险管理能力的关键因素，企业的信息安全风险管理能力同时也受着这四个因素制约，所以企业信息安全管理中十分重要的就是人通过各类资源和企业基础结构达到信息安全风险管理过程的实施活动。

企业在开始尝试安全风险管理实施之前，很重要的一点是应该检验现有安全风险管理的完善度。假如企业在安全风险管理上没有规范的流程和正式的策略，就会出现框架的实施非常艰难。换句话说让企业有一些正式的策略和明确的指导，将避免大多数员工都在工作中不知所措。假如在安全风险管理上发现企业相对不够成熟，则可以采取试点的形式，把安全风险管理实施到单个业务单元中，直到通过试运行在框架中显示有效以后，再考虑将其他业务单元导入至整个企业框架中。

框架实践需要以最优实践的经验为基准，必须有利于企业确定安全现状，同时按照需要的安全方向进行改进，企业的安全风险管理能力通过不断的提高，就能逐渐努力向着安全的目标前进。

5 结束语

进入信息化时代，企业已经把信息系统的高效、互联、精确的特征当作赖以生存和发展的必要条件。因此所伴随产生的信息安全风险就成了企业关注的重点问题。在此情况之下，企业建立信息安全风险管理机制，利用科学的方法和手段控制各种风险的发生显得尤为重要。动态循环是企业信息安全风险管理的一个过程，在风险评估的前提下，要落实对风险控制措施。同时对过程的实施要进行有效的控制和监督，这就需要一个明确清晰并且具有可操作性的信息安全风险框架来指导。还有需要探究的工作在信息安全风险管理领域里，但愿本文能引来更多这一领域探究，从而做出保障企业信息安全的贡献。

参考文献

[1] 陈慧勤.企业信息安全风险管理的框架研究[J].2011，21（40）：42-46.

[2] 惠志斌.企业IT风险管理的体系构建与实现路径[J].科技管理研究，2014，34（2）：36-55.

[3] 叶铭.企业动态信息安全风险控制系统的研究[J].2012，08（11）：81-85.

第9篇：信息科技风险管理策略范文

关键词：电力营销；电费风险；风险管理；营销策略

我国现阶段实行以公有制经济为主体，多种所有制经济共同发展的基本经济制度[1]，所以国有企业在我国经济主体中仍然占据重要地位，电力公司是国有企业中不可或缺的一部分，如何促进电力公司健康发展，需要政府相关部门发挥宏观调控的作用，改革电力公司现有发展模式，提升企业服务意识，加强营销管理，建设与企业相符的电费风险管理体系，简化电费收取程序，保障电力输送质量，建立电力公司区域战略品牌，树立良好口碑。

一、电力营销和电费风险的概念

电力营销是竞争激烈的市场经济产物，它以电力用户需求为中心，以改变共用关系为手段，满足用户对安全、可靠、合格的电力产品需求。主要包括给用户提供优质用电资源、实现电力公司最佳经济效益、打造电力公司良好企业品牌三方面目标[2]。电力营销作为一种新型发展理念，逐渐被电力企业发现并重视，但在实际推行过程中，出现了各种各样的问题，比如公司市场营销手段有限，潜在客户流失等，为解决此类问题，需要政府和电力公司相关部门通力协作，拓宽营销渠道，制定具体营销策略，完善电力营销管理体系，深化电力公司改革。电费风险是指在电力营销过程中电费收取不到位的现象，它影响着电力企业的发展，主要包含以下三方面：电力业务扩展风险、信息化电力系统风险和缴费安全风险[3]。电力企业只有根据自身实际情况，建立完善的电费风险管理体系，才能保障电力营销的顺利进行。

二、电力营销过程中产生电费风险的原因

随着我国经济的不断发展，电力需求量越来越多，用户需求与电力供给之间的矛盾引发了电费风险。电力企业需要加强风险防范意识，有效规避电力营销过程中产生的电费风险。

（一）电力企业服务意识薄弱，营销手段落后

电力资源是人们生活必需品，在传统的电力销售过程中，电力公司属于供不应求的“卖方市场”，使得电力公司员工忽视营销策略的重要性，形成了不重视用电客户需求的服务思维模式。比如媒体就曾曝光过在抄表过程中电力公司员工存在的不良服务：在湖南省某供电公司抄表员李某因暴雨天气不便出门，就没有在抄表例日对居民电表进行周期抄表，而是对用电客户所用电能进行估测，导致很多用电客户的电能使用超出实际电量。从这个实例中我们可以看出，电力企业员工工作态度有待端正，需要增加责任心，同时这种报道的出现，会使公众对电力企业产生不信任感，破坏公司树立的良好形象。

（二）电力企业缺乏对电费风险管理有效措施

当前电力企业的电费风险主要是指缴费安全风险，如何让用电客户及时、快速的缴纳电费，电力企业还缺乏相关有效管理措施。比如现在的电力市场中存在拖欠电费的情况，有些用电量过大的客户甚至出现拖欠一年的情况，这会给电力企业造成巨大的经济损失，也会加剧与用电客户之间的矛盾，所以在缴费过程中，电力企业应该对用电客户采取有效措施，了解客户实际需求，缓和与用电客户之间的矛盾，推进企业不断发展。

三、加强电力营销全过程电费风险管理的措施

电力企业只有通过加强电力营销过程管理，培养企业专业营销人才，提升企业服务水平，重视企业综合实力，才能适应激烈的市场竞争。

（一）完善电力企业内部管理体系，提升服务意识

电力企业需要改变发展观念，引进先进电费风险管理方法，提升公司服务意识，以客户需求为主，根据客户需求开展企业相关活动，建立完整的售前、售后体系，提供优质稳定用电资源，简化电费缴纳程序，节约用电客户时间。比如电力公司近期推行的“微笑服务”，让每一位前来缴费的用点客户都能享受到贴心、快速的服务，能够有效的缓解用电客户与企业之间的矛盾。提升员工服务质量，改善抄表不到位、电费收取错误的现象，培养员工“主人翁”意识。

（二）拓宽电费缴纳途径，推进电费风险管理信息化进程

拓宽电费缴纳途径，能有效地节省用电客户的时间，鼓励用电客户提前缴纳电费，减少企业电费损失，推进电费风险管理信息化进程。比如在2015年12月18日，浙江省温州市洞头县供电公司根据自己企业发展情况，引进“居民电费信用风险管理系统”，确保了电费100%收取，这个信用系统通过录入电费缴纳时间、缴纳方式和合同履行情况等信息，计算出用电客户的信用等级和风险等级，让电力公司根据这些数据资料分层建立客户管理体系。从这个实例中，我们可以看出，通过引进信息化技术，能及时发现欠费高风险用电客户，帮助公司减少经济损失。

（三）培养高素质电力营销人才，制定完整的电力营销策略

电力企业营销人员的职业素养直接影响着电费风险管理的效率，所以企业要加强对营销人才培养的重视，培养专门的电力营销人才，深入市场调查，制定合乎公司发展的电力营销策略。电力企业要引进先进的人才培养体系，提升员工服务意识，将营销战略贯彻在公司日常工作中。同时公司可以建立内部责任制度，将电费风险管理的责任明确到公司部门，拓宽用电客户监督渠道，提高电力工作人员责任意识，改善服务态度。

四、结束语

综上所述，加强电力营销全过程电费风险管理工作对推进电力公司发展具有积极意义，完整的电力营销系统能够提升公司服务意识，挖掘潜在用电客户，拓宽电力公司发展渠道。改善公司供电系统，为用电客户提供安全可靠的电力资源，培养忠实用户，提升公司综合竞争力，通过规避电费风险，帮助企业实现利益最大化，深化改革企业发展体系，转变用电客户观念，让用电客户积极主动缴纳电费，缓解用电客户与公司矛盾，协调电费收取与电费风险之间的关系，积极听取用户意见，保护客户权益。

参考文献：

[1]刘燕.电力营销全过程电费风险管理策略[J].时代金融,2015,33:270+275.

[2]赵清扬.关于电力营销全过程电费风险管控的研究[J].黑龙江科技信息,2014,34:39.