新商業(yè)風險管理講義.ppt

1、新商業(yè)風險管理,信息技術(shù)對企業(yè)商務(wù)的影響,隨著網(wǎng)絡(luò)經(jīng)濟的發(fā)展，電子商務(wù)的應用，越來越多的公司應用信息技術(shù)，并將它們整合到日常的商務(wù)流程中去，使信息技術(shù)對整個的公司的發(fā)展起重要的作用。信息技術(shù)對企業(yè)商務(wù)重要的影響有如下幾點： 企業(yè)的發(fā)展戰(zhàn)略、戰(zhàn)術(shù)決策； 企業(yè)產(chǎn)品和服務(wù)的設(shè)計； 企業(yè)成本管理； 企業(yè)員工的雇用、技能的培養(yǎng)； 企業(yè)文化、信息的共享； 企業(yè)的客戶服務(wù)； 企業(yè)供應商與合作伙伴的供應鏈管理；,信息技術(shù)帶來新商業(yè)風險,企業(yè)在投資和應用信息技術(shù)的過程中，除了得到效益外，也產(chǎn)生了新的商業(yè)風險。所以企業(yè)都必須注意投資和應用信息技術(shù)時的風險管理。例如，電子商務(wù)交易過程中，可以從電子數(shù)據(jù)交換系統(tǒng)（ED

2、I）、電子資金調(diào)撥系統(tǒng)（EFT）、銷售點系統(tǒng)（POS）等系統(tǒng)中獲得商業(yè)上的各種數(shù)據(jù)，對這些數(shù)據(jù)的分析可獲得市場分布、人口地理學、產(chǎn)品分銷、資金結(jié)算等等資料，這些資料都是企業(yè)戰(zhàn)略制定和業(yè)務(wù)管理的關(guān)鍵。如果這些電子商務(wù)系統(tǒng)出現(xiàn)障礙，即使是POS系統(tǒng)或超市的條碼掃描系統(tǒng)出現(xiàn)故障，也會使企業(yè)的戰(zhàn)略實施和業(yè)務(wù)管理難以進行，給企業(yè)商務(wù)帶來不良的后果。這就是一種網(wǎng)絡(luò)經(jīng)濟中出現(xiàn)的新的風險信息技術(shù)的商業(yè)風險。,新商業(yè)風險管理的基本內(nèi)容,管理知識：提高企業(yè)內(nèi)部對信息技術(shù)風險管理的意識；掌握新商業(yè)風險管理知識。 管理方案：從整個行業(yè)出發(fā)來分析企業(yè)風險，形成風險管理方案； 商務(wù)整合：將企業(yè)商務(wù)戰(zhàn)略與信息技術(shù)戰(zhàn)略整合在

3、一起，形成企業(yè)的整體戰(zhàn)略，這對信息技術(shù)風險管理的成功是非常關(guān)鍵的。如果沒有進行商務(wù)整合，那么，要確認業(yè)務(wù)程序與信息技術(shù)使用中所產(chǎn)生的業(yè)務(wù)風險之間的聯(lián)系將會很困難。必須把信息技術(shù)風險看成商業(yè)風險就必須進行商務(wù)整合。將商業(yè)風險管理擴展到企業(yè)各個部門內(nèi)，從而促使所有的雇員對風險管理負責并了解無效技術(shù)管理的危害。所以，商務(wù)整合對進行完整的、綜合的風險管理框架起著重要作用，包括了信息技術(shù)相關(guān)風險的分析和傳統(tǒng)意義上的業(yè)務(wù)風險的分析； 測量評估：對信息技術(shù)的作用進行測量，評估。信息技術(shù)對核心業(yè)務(wù)的影響不斷增強，信息技術(shù)在當今的商業(yè)核心業(yè)務(wù)中處于關(guān)鍵地位；要對信息技術(shù)在企業(yè)流程中的作用進行必要測量。 風險轉(zhuǎn)移

4、：在企業(yè)接受現(xiàn)有水平的風險；調(diào)整產(chǎn)品和服務(wù)的價格以補償風險損失；進行風險轉(zhuǎn)移，例如：購買保險之前應具備一套適當?shù)?、正式的程序來識別和探究信息技術(shù)相關(guān)風險來源；通過制定和實施風險管理程序，將風險降低到可以承受的水平。 重點管理：把握特定類型的新商業(yè)風險的管理。主要有以下三種類型： 綜合性風險：指數(shù)據(jù)未經(jīng)批準使用或不完整或不準確而變得不可靠所造成的風險。 獲得性風險：指不能及時獲得所需信息而導致的風險。 相關(guān)性風險：指無論是自身建立的信息還是由應用系統(tǒng)總結(jié)出的信息，都不適用或者不及時而帶來的風險。 網(wǎng)絡(luò)安全管理：網(wǎng)絡(luò)安全也構(gòu)成新商業(yè)風險，例如，通過網(wǎng)絡(luò)侵入企業(yè)系統(tǒng)的計算機“黑客”和計算機病毒，會破

5、壞客戶服務(wù)系統(tǒng)或?qū)е滦畔⑹д嫔踔寥縼G失。分配計算（借助于客戶服務(wù)網(wǎng)絡(luò)進行的信息管理）使信息可以在一定范圍內(nèi)傳播。但是，分配計算也給企業(yè)安全性帶來了風險。一般在同一條網(wǎng)絡(luò)上的信息所有者并非只有一個。一些信息對企業(yè)相當敏感，所以對客戶服務(wù)環(huán)境的有效管理就顯得很重要。,新商業(yè)風險主要類型,完整性鳳險 這種風險大多來自應用系統(tǒng)，應用系統(tǒng)可對商業(yè)數(shù)據(jù)的輸入、處理、歸納和貯存等。當系統(tǒng)障礙時，就可能造成數(shù)據(jù)未經(jīng)授權(quán)被使用或數(shù)據(jù)不完整、不準確而造成風險。 接入風險 接入網(wǎng)絡(luò)時，數(shù)據(jù)或信息存取不當而導致風險。這種風險來自網(wǎng)絡(luò)和電子商務(wù)的不斷發(fā)展。由于黑客和電子欺詐行為的存在，人們要保護自己的系統(tǒng)免受侵擾。人

6、們就必須設(shè)法保護電話線路、網(wǎng)絡(luò)纜線和計算機，以便盡力對數(shù)據(jù)和信息進行保密。存取風險可能由于不合理的責任分工造成的風險，如，未經(jīng)授權(quán)的人進入數(shù)據(jù)庫帶來了風險，或違反信息保密性法律規(guī)則引起的相關(guān)風險。 基礎(chǔ)設(shè)施風險 指企業(yè)不具備完整的信息技術(shù)基礎(chǔ)設(shè)施而造成的風險。這種基礎(chǔ)設(shè)施是指能夠以低成本、高效率的方式，構(gòu)建信息技術(shù)的商業(yè)應用模式，它包括信息技術(shù)基礎(chǔ)。信息技術(shù)基礎(chǔ)設(shè)施主要包括以下幾部分：硬件；網(wǎng)絡(luò)；軟件；人員；程序。系統(tǒng)的完整性是要保證定義、開發(fā)、維護和運作處理信息環(huán)境和應用系統(tǒng)正常運作所必備。所以它對商業(yè)運作產(chǎn)生的影響最大，存在風險也最大。 獲得性風險： 這是指企業(yè)在獲得數(shù)據(jù)時的風險，如破壞者

7、們經(jīng)常利用郵件轟炸來阻礙服務(wù)，或者對服務(wù)系統(tǒng)提出虛假請求，這給提供服務(wù)帶風險。金融服務(wù)業(yè)是典型的依賴于準確、及時信息而運作的行業(yè)。在這方面的風險較大。所以企業(yè)要有一個有效的方式來管理價格風險、流動性風險和信用風險，必須具備特定的系統(tǒng)。這種系統(tǒng)要使需求者對所需信息實時可用、隨時可得，并能進行評價。,一、完整性鳳險（ Integrity risk）,完整性鳳險大多來自應用系統(tǒng)，應用系統(tǒng)可對商業(yè)數(shù)據(jù)的輸入、處理、歸納和貯存等。當系統(tǒng)障礙時，就可能造成數(shù)據(jù)未經(jīng)授權(quán)被使用或數(shù)據(jù)不完整、不準確而造成風險。它主要在系統(tǒng)以下部分表現(xiàn)出來： 用戶界面（User interface）:必須給予正確的設(shè)定，有足夠的

8、限定，以確保只有有效的數(shù)據(jù)才能進入系統(tǒng)，并且這些數(shù)據(jù)是完整的。 處理（Processing）:使系統(tǒng)有能力控制處理各種數(shù)據(jù)，以確保數(shù)據(jù)的處理完整性和及時性。病毒使系統(tǒng)對數(shù)據(jù)處理的完整性造成特別威脅。這類威脅能對關(guān)鍵業(yè)務(wù)程序造成巨大的沖擊。 對錯誤處理（Error Processing）:系統(tǒng)應用適當?shù)某绦蚝推渌到y(tǒng)方法來確保任何進入系統(tǒng)的數(shù)據(jù)都受到檢測，并已作了修正。可以準確地、完整地和及時地處理錯誤數(shù)據(jù)。對錯誤數(shù)據(jù)的檢測在金融業(yè)顯得十分重要。 界面（Interface）：應有系統(tǒng)預警顯示，以確保各種數(shù)據(jù)的準確完整地傳輸。 變化處理（Change Management）：對變化有處理能力的流程

9、，通過這些流程，應用系統(tǒng)的任何改變均能傳輸并予以實行。 數(shù)據(jù)（Data）:數(shù)據(jù)管理和控制，既包括處理數(shù)據(jù)的安全和完整，也包括對數(shù)據(jù)庫和數(shù)據(jù)結(jié)構(gòu)的有效管理。數(shù)據(jù)的完整性可能會因為程序錯誤引起，如對數(shù)據(jù)用不正確的程序來處理；或發(fā)生管理程序錯誤。,二、接入風險（Access risk）,接入風險是指接入網(wǎng)絡(luò)時，數(shù)據(jù)或信息存取不當而導致風險。這種風險來自網(wǎng)絡(luò)和電子商務(wù)的不斷發(fā)展。由于黑客和電子欺詐行為的存在，人們要保護自己的系統(tǒng)免受侵擾。人們就必須設(shè)法保護電話線路、網(wǎng)絡(luò)纜線和計算機，以便盡力對數(shù)據(jù)和信息進行保密。存取風險可能由于不合理的責任分工造成的風險，如，未經(jīng)授權(quán)的人進入數(shù)據(jù)庫帶來了風險，或違反信

10、息保密性法律規(guī)則引起的相關(guān)風險。 業(yè)務(wù)流程（Business Process）:企業(yè)確定某一業(yè)務(wù)流程和流程運作方式。 應用軟件（Application）： 采用相應的應用軟件，給用戶提供完成工作所需要的安全的接入方式。并限制對安全有破壞的接入，如欺騙行為，避免由于員工接觸過多的信息導致對數(shù)據(jù)意外或無意的改動。 數(shù)據(jù)和數(shù)據(jù)管理（Data and management）:為用戶提供接入特殊數(shù)據(jù)或數(shù)據(jù)庫通路的網(wǎng)絡(luò)環(huán)境。 流程的環(huán)境（Processing environment）:一般指不恰當?shù)剡M人主計算機業(yè)務(wù)流程處理環(huán)境和獲取該環(huán)境中儲存的程序和數(shù)據(jù)。 網(wǎng)絡(luò)（Network）:接入網(wǎng)絡(luò)聯(lián)系用戶和流程

11、環(huán)境。接入風險是由于不恰當?shù)剡M入網(wǎng)絡(luò)本身的風險所導致的。 硬件設(shè)備（Physical）：保護設(shè)備不受破壞、偷竊或不恰當?shù)亟佑|。,三、基礎(chǔ)設(shè)施風險（infrastructure risk）,基礎(chǔ)設(shè)施風險指企業(yè)不具備完整的信息技術(shù)基礎(chǔ)設(shè)施而造成的風險。信息技術(shù)基礎(chǔ)設(shè)施主要包括以下幾部分：硬件；網(wǎng)絡(luò)；軟件；人員；程序。系統(tǒng)的完整性是要保證定義、開發(fā)、維護和運作處理信息環(huán)境和應用系統(tǒng)正常運作所必備。所以它對商業(yè)運作產(chǎn)生的影響最大，存在風險也最大。基礎(chǔ)設(shè)施風險有下列內(nèi)容： 組織計劃（Organisation Planning）:基礎(chǔ)設(shè)施對在商業(yè)流程中所采用的信息技術(shù)進行清楚地界定和闡述，確保企業(yè)經(jīng)理層對

12、信息技術(shù)的應用計劃有足夠的支持，并有充足的人才和流程計劃，以確保系統(tǒng)實施的成功。 應用系統(tǒng)的定義和開發(fā)（Application systems definition and deployment）： 基礎(chǔ)設(shè)施要保證應用系統(tǒng)滿足業(yè)務(wù)和用戶的需要。就必須決定購買整個應用系統(tǒng)解決方案，還是按用客需求開發(fā)新的解決方案。應確保應用系統(tǒng)的所有變動應遵守一定的結(jié)構(gòu)，以確保與關(guān)鍵控制點保持連續(xù)性和一致性。例如，典型的結(jié)構(gòu)要求所有變化必須在事前被用戶所驗證和通過。 邏輯安全和安全管理（Logical security and security administration）：基礎(chǔ)設(shè)施應確保企業(yè)足以應付接入風險。

13、要建立、維護和監(jiān)督內(nèi)部安全綜合系統(tǒng)，該系統(tǒng)在數(shù)據(jù)和信息的完整性和保密性方面要符合管理層的政策。 計算機和網(wǎng)絡(luò)操作（Computer and network operations）：基礎(chǔ)設(shè)施應確保信息系統(tǒng)和相關(guān)的網(wǎng)絡(luò)環(huán)境是在管理層的政策下，在安全和受保護的環(huán)境下運作。計算機操作人員對信息處理的責任，應該是被明確界定、衡量和監(jiān)督。通常計算機技術(shù)人員作出的主動性行為，也可衡量與監(jiān)視計算機和網(wǎng)絡(luò)運行，確保系統(tǒng)為用戶提供滿意的、持續(xù)的支持。 數(shù)據(jù)和數(shù)據(jù)管理（Data and database management）：基礎(chǔ)設(shè)施應確保那些用于支持應用系統(tǒng)和終端報告所需要的數(shù)據(jù)和數(shù)據(jù)庫，既有相互的內(nèi)部統(tǒng)一性，

14、又有定義的連貫性，可滿足企業(yè)商務(wù)需要和減少潛在的閑置。 核心業(yè)務(wù)數(shù)據(jù)恢復（Business data center recovery）：基礎(chǔ)設(shè)施應確保企業(yè)中各種核心業(yè)務(wù)數(shù)據(jù)的災難性恢復，以確保商業(yè)計劃的充分實施，保證滿足用戶在需要時可得到相關(guān)和技術(shù)支持。,四、獲得性風險（Availability risk）,獲得性風險是指企業(yè)在獲得數(shù)據(jù)時的風險，如破壞者們經(jīng)常利用郵件轟炸來阻礙服務(wù)，或者對服務(wù)系統(tǒng)提出虛假請求，這給網(wǎng)絡(luò)用戶提供服務(wù)帶來了一種危險。金融服務(wù)業(yè)是典型的依賴于準確、及時信息而運作的行業(yè)。在這方面的風險較大。所以企業(yè)要有一個有效的方式來管理價格風險、流動性風險和信用風險，必須具備特定的

15、系統(tǒng)。這種系統(tǒng)要使需求者對所需信息實時可用、隨時可得，并能進行評價。這種系統(tǒng)應當嚴格控制數(shù)據(jù)，防止未經(jīng)授權(quán)的存取改變數(shù)據(jù)。 獲得性風險表現(xiàn)在如下三個方面： 通過事先對行為的監(jiān)督和對系統(tǒng)問題的解決，都能夠避免此類的風險。如，硬盤的存儲能力對信息系統(tǒng)來說是很重要的，這可以不斷地予以監(jiān)督確保它足以支持企業(yè)商務(wù)流程的運作。 獲得性風險與系統(tǒng)的短期中斷有關(guān)聯(lián)。對此可運用備份和恢復技術(shù)使中斷影響的范圍最小化。如，大多數(shù)企業(yè)已經(jīng)認識到每天至少一次對關(guān)鍵數(shù)據(jù)進行備份的重要性。這樣在處理過程中丟失數(shù)據(jù)的影響能被控制在上一個備份以后的數(shù)據(jù)投入的范圍內(nèi)。 獲得性風險與信息處理過程長時間中斷有關(guān)聯(lián)，其重點是諸如備份與

16、應急計劃等控制手段。,五、其他與商務(wù)相關(guān)的風險（ Other business risks）,信息策略與商務(wù)策略整合后，還產(chǎn)生了一些與此相關(guān)的風險，這也是作為風險管理應加以注意的部分，因為它們可能對企業(yè)商務(wù)產(chǎn)生不利的影響。 正確性風險（Validity risk）企業(yè)應用系統(tǒng)建立必須合適本企業(yè)狀況，這種風險包括決策過程中所需信息是否正確性的風險，除此之外還直接涉及到經(jīng)營運行過程中的信息的正確性風險，如，企業(yè)員工不能及時性獲得所需要的正確信息的風險。正確性風險問題對金融服務(wù)業(yè)也及為重要，例如，銀行機構(gòu)通過實時系統(tǒng)運用利息率和風險報告等工具來監(jiān)控它們的利率波動的風險。如果時間不準確，那么，這些工具

17、所提供的信息就毫無用處。另外信息技術(shù)系統(tǒng)提供的管理方面的數(shù)據(jù)報告，如果不準確，可能導致領(lǐng)導者的決策失誤。 效率風險（Efficiency risk）對應用程序的選擇應有效率性?？赡苡幸恍┏绦虿荒軡M足客戶的需求。如果把技術(shù)引人到商務(wù)流程中去，而又不能產(chǎn)生出效率，就沒有意義。所以規(guī)劃應考慮到效率的風險。企業(yè)系統(tǒng)基礎(chǔ)設(shè)施應包括商業(yè)策略保持一致的信息技術(shù)策略，對信息技術(shù)策略與商業(yè)策略的整合應很明確，以實現(xiàn)管理層的商業(yè)目標。 周期性風險（Cycle time risk）這是指商務(wù)活動的周期性，如果商務(wù)周期性過長，如供應鏈過長導致商務(wù)周期性過長，這樣企業(yè)效益就會受影響。信息技術(shù)策略應用到商務(wù)流程中去，應促

18、使商務(wù)周期性縮短。但是，在具體實施過程中，可能由于信息技術(shù)基礎(chǔ)設(shè)施不足，或由于系統(tǒng)原因，使商務(wù)周期性的延長，達不到原來所希望的商務(wù)目標。采用信息技術(shù)在商業(yè)流程中，對周期性問題應當事先考慮清楚。 報廢鳳險（Obsolescence risk）企業(yè)庫存常常是由信息技術(shù)系統(tǒng)來管理。為了有效地管理庫存和避免報廢或過剩，業(yè)務(wù)上要求數(shù)據(jù)的完整性、準確性、及時性。由于系統(tǒng)的問題可能影響數(shù)據(jù)的正確傳輸，引起庫存的報廢。這也是信息系統(tǒng)的風險之一。 業(yè)務(wù)中斷風險（Business interruption risk）企業(yè)的業(yè)務(wù)有一個連續(xù)的過程，應用軟件的操作主要依賴于信息系統(tǒng)。因此，信息系統(tǒng)的應急計劃應是整個商業(yè)

19、延續(xù)計劃的一部分，災難恢復計劃應該是商業(yè)計劃的一部分，以避免業(yè)務(wù)中斷的風險。 產(chǎn)品失敗風險（Product fail risk）正確的產(chǎn)品信息來自企業(yè)內(nèi)部網(wǎng)和信息系統(tǒng)，如果一個企業(yè)監(jiān)督和記錄次品數(shù)據(jù)不準確，就可能造成產(chǎn)品的失敗。在應用信息系統(tǒng)控制生產(chǎn)流程時，這方面的風險應給予足夠的重視。另外，產(chǎn)品銷售的反饋信息，企業(yè)能發(fā)現(xiàn)用戶對產(chǎn)品的意見，通過獲得這類信息，企業(yè)因此可以管理產(chǎn)品失敗風險，以及有關(guān)顧客服務(wù)和聲譽的風險。,如何管理新商業(yè)風險,有效的商業(yè)風險管理并非僅為一種職能，更是一個過程。所以，只有在商業(yè)風險范圍內(nèi)對采用信息技術(shù)后的企業(yè)進行風險管理，才能有效地回避新商業(yè)風險。這里有兩個關(guān)鍵點值得

20、注意： 在信息時代的復雜商業(yè)環(huán)境中，任何一家電子化企業(yè)要想獲得成功，都必須構(gòu)造一幅清晰的關(guān)于識別、衡量、控制與監(jiān)測所有類型風險的行車圖。 有效的風險管理并不只是一種職能，還是一個過程，是一個識別和管理所有潛在重大風險的過程，它涵蓋了所有的企業(yè)商務(wù)活動以及各層次的企業(yè)組織。 主要內(nèi)容：商業(yè)風險管理程序 新商業(yè)IT風險管理要素： 戰(zhàn)略規(guī)劃 配置管理 流程監(jiān)測 技術(shù)結(jié)構(gòu)的界定 管理框架,一、商業(yè)風險管理程序,為了識別、衡量、控制與監(jiān)測風險，企業(yè)需要有一套恰當?shù)娘L險管理程序，它包括了六個步驟： 確立管理目的和目標：根據(jù)企業(yè)的市場目標，確定商業(yè)風險承受限度。 評估商業(yè)風險：識別導致風險的主要因素，這些因

21、素對業(yè)務(wù)的成功至關(guān)重要；研究風險的來源，判斷風險是來自企業(yè)外部，還是企業(yè)內(nèi)部的商務(wù)運作過程。衡量風險的重要性的程度以及發(fā)生的可能性。 制定商業(yè)風險管理戰(zhàn)略：風險管理戰(zhàn)略必須確定風險位置和責任，以便制定和實施相應的管理與控制程序。風險管理戰(zhàn)略有可選性，包括：回避不可承受的風險、轉(zhuǎn)嫁風險通過購買保險，與其他企業(yè)結(jié)成戰(zhàn)略同盟、共同投資。與獨立的當事人簽訂契約性風險分擔協(xié)議等途徑。接受現(xiàn)有水平下的風險，即自我保險。接受風險，通過各種監(jiān)控手段將風險降低到一個可接受的程度，可接受度是管理中的風險限度所確定的。 設(shè)置并實施風險控制程序：確保合適的員工設(shè)置和實施風險控制程序。每一道風險承受能力的程序都必須符合

22、企業(yè)管理者規(guī)定的風險承受度。 監(jiān)測商業(yè)風險管理程序?qū)嵤┬Ч罕O(jiān)測風險控制程序?qū)嵤┑男Ч?，對于企業(yè)達到市場目標、企業(yè)戰(zhàn)略具有關(guān)鍵意義?？捎善髽I(yè)中高級經(jīng)理實施監(jiān)測，由程序和業(yè)務(wù)的操作者具體實施。 改善商業(yè)風險管理程序（見下頁）,（接上頁）改善商業(yè)風險管理程序,在實施風險管理過程中，不斷完善風險管理程序。通過監(jiān)測確定在管理過程中出現(xiàn)的不足，以及商業(yè)環(huán)境變化而需要相應地調(diào)整風險管理程序。采用這種不斷更新、不斷完善的思想是極為重要的。在電子化企業(yè)中，在電子商務(wù)的過程中，應用信息技術(shù)所產(chǎn)生的風險就是一種商業(yè)風險。所以，應該把這種當作商業(yè)風險的一部分來進行評估。采用一種綜合的方案來進行風險管理，就是要領(lǐng)導者

23、識別上面所述的企業(yè)應用信息技術(shù)時產(chǎn)生新的商業(yè)風險。并將這種風險與整體商業(yè)風險結(jié)合起來考慮。建立一個適合本企業(yè)的風險管理程序。例如：一個公司的程序如下 提供一種領(lǐng)導機制，并由上級部門確定風險管理的基調(diào)。 為整體風險管理進行資源配置。 建立風險管理框架和總體規(guī)劃。 確定目標限度及個人責任。 確認標準會計分類和業(yè)務(wù)損失。 建立風險度量系統(tǒng)和早期預警指示。 將風險控制管理狀況與獎勵機制相聯(lián)系。 從以上可以看出這個公司不僅具備一套整體性的風險管理方案，而且還掌握了風險管理中具有關(guān)鍵作用的因素，包括：高素質(zhì)的領(lǐng)導才能、個人責任。標準的界定以及業(yè)績的監(jiān)測等。借助于預警程序和高級經(jīng)理部門的參與，信誠公司將這種

24、商業(yè)風險管理推廣到業(yè)務(wù)運行的各個層次，確保了整個公司內(nèi)部信用的連貫性。如圖所示：新商業(yè)風險管理程序。（見下頁）,新商業(yè)風險管理程序圖解,二、新商業(yè)風險管理框架,安達信公司的提供了一個信息技術(shù)風險管理框架，可作為電子化企業(yè)引入IT技術(shù)時，制定總體風險管理戰(zhàn)略的特殊結(jié)構(gòu)。風險控制程序既有對經(jīng)濟環(huán)境的風險普遍性適用，也適用特定環(huán)境下風險的特殊性。例如，電子商務(wù)要求交易雙方采用CA認證，這是控制風險的普遍性的要求。對于特殊的風險控制，可以用軟件加密，防止密碼泄露，電子簽名等，從而防止未經(jīng)授權(quán)的接入風險。商業(yè)風險控制以信息系統(tǒng)做預防性的控制最為有效。當系統(tǒng)設(shè)置好后，要比人工控制的效果要好的多。見下圖,信

25、息技術(shù)風險管理框架圖解,一、戰(zhàn)略規(guī)劃,企業(yè)電子商務(wù)總體戰(zhàn)略，應包括信息技術(shù)風險管理戰(zhàn)略和政策的制定，它應包括企業(yè)信息風險管理的內(nèi)容，應說明戰(zhàn)略實施，相關(guān)人員責任界定。同時它也是企業(yè)商務(wù)流程，應用程序設(shè)定基礎(chǔ)。企業(yè)中任何一個標準、方針、方案都在這個基礎(chǔ)上設(shè)立。這些標準、方針、方案能夠詳細闡明某一程序如何運行。例如，系統(tǒng)安全問題，有關(guān)政策就可以這樣規(guī)定：所有的用戶都必須經(jīng)過授權(quán)，使用用戶身份認證和特定密碼。這個規(guī)定加上一些具體的細則，來保證企業(yè)用戶在授權(quán)下許可進入系統(tǒng)。風險管理戰(zhàn)略和政策的制定包括如下內(nèi)容： 程序：1、企業(yè)知識資產(chǎn)保護程序；2、新技術(shù)評估策略；3、信息技術(shù)相關(guān)鳳險的評估、管理和監(jiān)測

26、責任；4、傳達信息技術(shù)和相關(guān)風險，指定共同商業(yè)風險語言； 應用：1、系統(tǒng)更新生命周期的標準；2、設(shè)計與購買軟件的決策； 數(shù)據(jù)管理：1、數(shù)據(jù)所有權(quán)；2、數(shù)據(jù)庫的設(shè)計和管理；3、專有數(shù)據(jù)的使用與保護；4、員工、客戶及其他人員所擁有數(shù)據(jù)使用與保護； 平臺：1、支持硬件和軟件平臺的各項標準；2、確定平臺規(guī)劃、設(shè)計、支持與保險的責任； 網(wǎng)絡(luò)：1、經(jīng)授權(quán)的賣方與服務(wù)產(chǎn)品規(guī)格；2、網(wǎng)絡(luò)規(guī)劃、設(shè)計支持與保險的責任； 實際設(shè)施：1、確定信息處理地點和設(shè)備的所有者責任；2、電腦和業(yè)務(wù)范圍外信息內(nèi)容的保護；3、政策的維護與支持； 政策制定還應包括一些保證政策得到落實的一些程序 訓練和培養(yǎng)人才程序 對計算機和網(wǎng)絡(luò)技術(shù)

27、結(jié)構(gòu)進行管理的程序； 對應用系統(tǒng)或技術(shù)環(huán)境變化進行管理的程序； 增加、改變或刪除用戶進入系統(tǒng)的程序； 利用輔助平臺等支持用戶的程序； 制訂和檢驗業(yè)務(wù)持續(xù)性計劃的程序。 任何商業(yè)風險，如果是系統(tǒng)中的一個或多個層次時，就必須制定相應的策略主動地采取相應程序進行有效的管理。,二、系統(tǒng)配置的管理,由于信息技術(shù)的不斷發(fā)展，新技術(shù)不斷出現(xiàn)，企業(yè)要根據(jù)需要，不斷升級系統(tǒng)程序，采用最新的信息技術(shù)集成到現(xiàn)有流程中，以保證企業(yè)戰(zhàn)略目標和政策的持續(xù)性，這樣才能確保相關(guān)商務(wù)風險的控制。統(tǒng)配置包括如下內(nèi)容： 程序 信息技術(shù)風險預警方案 新雇員在信息技術(shù)風險中的地位及職責 商業(yè)持續(xù)性計劃和關(guān)鍵業(yè)務(wù)流程的退出方案 應用 新系統(tǒng)應用中的用戶定位程序 批準并實施應用系統(tǒng)轉(zhuǎn)變的權(quán)利界定 數(shù)據(jù)管理 數(shù)據(jù)庫改革的程序與責任 顯示、訓練和維持數(shù)據(jù)存儲與數(shù)據(jù)開發(fā)系統(tǒng)事態(tài)監(jiān)測 平臺 促使用戶轉(zhuǎn)用標準平臺的程序 文本控制管理程序和軟件更新、分配程序 制定保持和檢測復蘇計劃的程序 進入控制管理程序與任務(wù) 網(wǎng)絡(luò) 網(wǎng)絡(luò)結(jié)構(gòu)、運行及安全性管理的程序 實際設(shè)施 信息技術(shù)設(shè)備工作地點的安全結(jié)構(gòu) 必要的能源設(shè)施和環(huán)境控制設(shè)施的安置,三、流程監(jiān)測系統(tǒng),動態(tài)監(jiān)測系統(tǒng)是用來識別企業(yè)商務(wù)運作過程及網(wǎng)絡(luò)商業(yè)環(huán)境中的變化，一