君乐宝IT风险预警管理制度
一、目的
为保障我公司信息安全,提升信息化项目建设质量;有效规避并防范信息化建设及应用的风险,根据《全面风险管理制度第二版》,
结合我公司实际情况,制定该制度。
二、适用范围
君乐宝及其控股或有管辖权的单位和部门。
三、IT风险定义
IT风险是指由于IT建设所处环境和条件的不确定性,导致最终结
果与我们的期望产生背离,并给企业和相关人员带来损失的可能性。
具体内容如下:
1.系统合规风险,指所建设或使用的信息系统未满足国家相关政策、法规要求的风险。
2.技术应用风险,是指所选型系统未充分考虑已有或未来信息系统标准,技术标准不兼容、架构不支撑大数据处理等方面的风险。
3.采购成本风险,是指采购价格远高于市场正常水平、因需求变更造成的费用增加或出现未估算的成本造成采购成本失控的风险。
4.系统适用风险,是指系统安全性、稳定性和易用性方面未达到要求的风险。
5.建设进度风险,是指项目建设未能按预定的工期完工影响企业或相关部门正常运营的风险。
6.信息安全风险,是指所选信息系统未满足行业安全标准或相关信
息安全标准的风险。
7.人员异动风险,是指在项目实施过程中乙方双方关键参与人员出现变动影响项目推进形成的风险。
四、职责与分工
四、IT风险识别
IT风险识别,是指承建单位在收集资料和调查研究的基础上,运用各种方法对尚未发生的潜在风险以及客观存在的各种风险进行系
统归类和全面识别。
IT风险识别不是一次能够完成的,它在整个信息化建设运作过程中定期而有计划地进行。
4.1IT风险识别主要依据以下几个原则:
4.1.1由粗及细,由细及粗信息技术部负责主要风险的管控,业务部门负责日常风险的识别和管控。
4.1.2多种识别方法的选择与综合运用
对于重要的IT风险应采用两种以上方法进行识别和分析。
4.1.3谨慎排除可能的风险
不轻易否定或排除某些风险,要通过认真的分析进行确认或排除。
必要时进行实验论证,对于不能排除但又不能肯定予以确认的风险按确认考虑。
4.1.4全员参与原则
由于IT风险识别的广泛性,要求风险管理人员应尽量向有关人
员广泛征求意见并进行归纳整理,以求对IT风险的全面了解。
4.1.5动态识别原则
风险识别的全生命周期性表明随着项目生命期的发展,项目不同阶段会有不同的风险。
为了识别随时可能出现的新风险,必须预先制定一个连续的风险识别计划,满足风险动态识别的需要。
4.1.6经济原则
经济原则是指依据项目风险影响的大小来确定投入风险识别的
资源和精力。
4.1.7资料积累原则
资料的不断积累是开展风险管理的重要基础,风险识别过程中产生的记录是主要的也是重要的风险资料之一,风险识别工作开展前应准备好将要用到的记录表格,当风险识别工作完成后,将所获取的相关资料整理保存。
4.2IT风险识别的方法
(1)文件审核。
就是从风险整体和详尽范围两个方面对计划与假设、文件及其他资料进行结构性的审核,从而对潜在的风险进行识别。
(2)SWOT分析。
SWOT分析用于IT风险识别时,就是对其本身的优劣势和外部环境的机会与威胁进行综合分析,对风险作出系统的评价,最终达到识别IT风险的目的。
(3)德尔菲法。
德尔菲法是专家们就某一主题达成一致意见的方法。
对风险识别而言,就是风险管理专员对项目风险进行识别,并达成一致性意见。
这种方法有助于减少数据方面的偏见,并避免因个人因素对结果产生不良影响。
(4)现场考察法。
在风险识别阶段,风险管理专员对现场进行勘察非
常重要。
特别是较大的IT项目,风险管理专员应通过直接观察现场的系统操作,以便能够更多、更细致地识别项目的潜在损失。
五、IT风险预警
IT风险依据其影响的严重程度和区间划分为3个等级:主要为低度风险、中度风险和高度风险;分别对应的预警期间为:黄色预警(低度风险),橙色预警(中度风险)和红色预警(高度风险),划分依据和标准如下:
5.1 有下列情形之一的,进行黄色预警:
◎中标(招标或比价)厂商报价高于平均二次报价,超过10%,但不超过20%的;
◎开发类项目合同付款:预付超过30%,开发未完成付款超过50%的
5.2有下列情形之一的,进行橙色预警:
◎中标(招标或比价)厂商报价高于平均二次报价,超过20%,但不超过40%的;
5.3 有下列情形之一的,进行红色预警:
◎中标(招标或比价)厂商报价高于平均二次报价,超过40%及以上的;
信息技术部根据已识别的IT风险及其严重程度、影响范围评定其风险等级和预警等级;并向涉及部门下发《IT风险预警通知单》附件1,接受部门在收到《IT风险预警通知单》后依据风险等级按以下原则进行:
1.一级至二级风险接受部门负责人需组织人员对风险进行分析,并向信息技术部反馈整改措施和整改效果。
2.三级至四级风险由信息技术部指派专人会同接受部门相关组成风险管控小组对风险进行全面分析并制定改进计划,由信息技术部批准并派人督导改进,结果上报财务中心总经理和接受部门事业部/中心总经理。
3.五级风险为重大风险,由信息技术部经理上报财务中心总经理同意后下发《IT项目风险预警通知单》,并由信息技术部经理主导由接受部门和涉及部门组成项目风险管控小组,对已识别风险的严重程度和影响范围进行评估,并编制评估报告、改善计划上报财务中心总经理、接受部门及涉及部门中心/事业部批准后,进行风险控制和改善,改善进度和结果向改善计划上报财务中心总经理、接受部门及涉及部门中心/事业部汇报。
六、考核办法
收到《IT项目风险预警通知单》,未按规定时间给出反馈和整改措施的,给予该项目经办人200元罚款,给予该项目负责人500元罚款。
七、附则
本制度自下发之日起开始执行,由信息技术部负责解释。
八、附件
君乐宝IT风险预警通知单文件编号预警级别
接收部门接收人
接收地点预警时间
风
险
事
件
描
述
可
能
产
生
的
影
响
应
采
取
的
措
施
接收人签收接收部门负责人
签发人____________________
签发日期_______年____月____日
君乐宝IT风险预警回执单
文件编号预警级别
回执部门回执人
预
警
应
对
措
施
回执人签字回执部门负责人
君乐宝IT风险预警回执单文件编号预警级别
回执部门回执人
预
警
应
对
措
施
回执人签字回执部门负责人。