而且,我们需要在事故发生前进行“明智”的预防。所谓“明智”指的是,我们为降低风险所投入的成本是值得的,而且,总成本既包括流程最初实施、还包括往后继续进行这一全部过程中的所有花费。
12条建议
以下是实现预防性控制的12条建议。一旦发现有风险存在并试图预防时,IT人员可以以此为参照来进行管理。
管理层的言行:管理人员必须对自身行为设置期望值,并有所约束。他们不但要对员工提出一些行为和道德上的要求,而且还必须不断地用自身行动去证实。他们必须时刻谨慎,否则,“一失足成千古恨”。
选拔人才:确保在第一时间内选拔到合适人才。选拔时,要考虑人员的文化和技术背景。背景还要和任务角色相符。一个部门在一开始就选用合适的人来开展工作,会达到事半功倍的效果。
部门设计和工作分工:部门设计要合理,以便人员职责和角色分工有意义。如果一个人被授权的工作同控制期望相背离的话,他就不可能认同所谓的职责分工。也就是说,部门设计时,一定要满足控制流程的需要,而不是设置无形障碍来防碍流程的实施。
政策和程序:制定一套正规政策和标准程序,有助于约束员工行为,并帮助了解流程是如何实施的。为了使这些政策和程序有效,必须要对员工进行定期培训,使其参与有意识的运动,运用探测性控制和审计等。
培训:有许多部门频繁抱怨说,他们的工作要依赖于员工,然而在员工身上的投入却收效甚微。对此,他们深感疑惑。当然,为确保员工具备工作必需的技巧,适当培训是很有必要的。这些技巧不仅包括从外界学到的技能,还包括针对内部系统和流程而开展的培训。从最基本上来说,对于任何事情,若一无所知就无从下手。因此,除非员工拥有一些必备的技能工具,否则他们是不能胜任质量管理工作的。
有意识的活动:这对于保持一个人的思维敏捷是至关重要的。活动通常利用多种渠道让人们获取信息。这些信息涉及广泛,从海报到每日邮,到时事通讯、午宴及竞赛等。但这并
不是说活动就取代了培训,而是通过这种方式,强化了正规培训项目中本应包括的一些核心点,进而也可促进新的培训开发。
负责任:在此背景下,所谓的责任是指人们要为自己的行为、或无所作为负责。说到底,这也是处事风格的问题。终端信息在传递过程中,要尽量避免一些有害行为的重复发生。这并不是说要对这些行为有一个严格的衡量标准,而是说,任何一个事件的起因和后果都要与个人责任挂钩。
纠错流程:由于人员因素、流程失误或技术原因而出现不良后果时,就必须采取一定措施来降低今后事故再次发生的可能性。这些行为可能是培训,流程重造,附加技术等等。关键是当事故发生时,一定要在分析风险、成本、效益的基础上对其进行评价,并采取相应预防措施。
指标分析:部门必须制定一些能够有效衡量流程及实施成果的指标,以确保行动实施的正确性。此外,还必须每隔一定时间对收集到的数据进行评估, 以检查流程是否处于控制轨道还是已脱离控制,并在事故发生前主动采取行动。
系统设计或构建:设计合理的系统,以便获得良好的职责分工,开展有效的访问控制,变更控制及应用实施控制,同时预防事故发生。这对应用系统、网络及数据库等都是适用的。一开始就对控制要求十分了解的工程学方法,必将最终制造一个性能优良的系统。在此需要谨记,在最初设计良好的控制流程,远比以后试图改进它要容易得多。
相关股东:为预防事故发生,IT部门和项目小组成员必须包括相关股东在内,并弄清这些股东的要求。比如,在重建一个应急系统,或检测一个购买系统时,项目组有内部审计人员在内比根本没有要好的多。此外,控制要求也是系统设计时需要考虑的因素。 标杆:不要试图去研究大量发生的事故来确保流程的正确性,参考成千上万个成功经验所汇聚而成的标准吧,以此来预防失误。比如BSI、ISO、ITIL、NIST、SEI等都是流程信息管理的珍宝。
总之,企业要运用与公司面对的风险相适应的预防性控制流程。此种流程有许多方式可供选择,以上仅仅是一些简单建议。文章的主旨在于,企业要尽快采取合理有效的措施来预防问题的发生,以此增强部门实现目标的可能性。 链接
BSI:英国标准学会(BSI)是世界上最早的全国性标准化机构,它不受政府控制但得到了政府的大力支持。BSI把标准化和质量管理以及对外贸易紧密结合起来开展工作。BSI管理体系包括针对质量管理的ISO 9000、针对信息安全管理的BS 7799、针对IT服务管理的BS 15000、TL 9000电信行业质量管理体系等。
ISO: 国际标准化组织(ISO)是世界最大的、非政府性国际标准化组织。它成立于1947年2月23日,其前身为国家标准化协会国际联合会(ISA)和联合国标准协调委员会(UNSCC)。ISO的主要工作是制修订与出版国际标准。ISO标准和范围涉及除电工与电子工程以外的所有领域;电工与电子工程标准,由国际电工委员会(IEC)负责制修订;信息技术标准化工作由ISO和IEC共同负责。1987年11月,这两大国际组织成立了ISO/IEC的JTCI联合技术委员会即“信息技术委员会”,现有50个成员团体参加其工作。至今共制修订8205个国际标准。
NIST:美国国家标准技术院(NIST) 是美国商务部所属研究机构。它一直做推广和维护度量标准工作。它还致力于鼓励和帮助行业和科学研究来开发使用这些标准。
SEI:软件工程协会(SEI)是由美国国防部于1984年建立的一个由联邦政府资助的研发中心,它被授权负责解决软件工程技术的发展。SEI是美国卡内基梅隆大学(Carnegie Mellon)的直属机构,并得到美国国防部副部长办公厅(负责采购和技术)的资助
