賽門鐵克：企業IT部門對風險認知缺乏共識

根據賽門鐵克「IT風險管理研究報告」，企業內部IT組織各職務對於IT風險的認知普遍缺乏共識，進而造成流程控管不良，增加風險產生的可能性。

賽門鐵克發布該公司第一期的IT風險管理研究報告（Symantec IT Risk Management Report），顯示出企業IT組織不同職務看待風險漏洞有顯著差異，特別是與「營運流程」及「法規遵循風險」相關的風險認知。數字顯示，有28%的IT專業人員將法規遵循風險視為重大風險，卻只有16%的IT總監認為是重大風險；另外，有22%的IT專業人員認為營運流程風險對IT作業是重大風險，卻只有8%的IT高階管理者認為其風險重大。

這些數據顯出企業IT部門在「決策」與「實施」上的認知差距。賽門鐵克大中華區資訊科技治理與風險管理資深首席顧問曹如瑋表示，IT風險管理成功的要素首先便在於內部人員IT觀點與業務協調的一致性。反之，認知不一致不僅會導致資源浪費，更有可能產生流程控管上的問題。

該份報告也點出企業在流程控管能力的不足。有75%的組織認為自己在流程控管的表現不佳，其中又以「資產控管」的能力表現最差，只有38 % 的受訪者認為在施行資產盤點、分類及管理流程上具有足夠的有效性。

另一方面，數據也顯示企業對於IT風險管理缺乏信心。調查結果指出，有66% 的受訪者預期每5年至少會發生一次重大法規遵循事件；此外，58% 的受訪者預期每 5 年至少會發生一次重大資料流失，像是因為資料中心停擺、資料毀損，或安全系統漏洞等事件而導致的資料流失。

曹如瑋對此提出建議，強調企業要有效執行風險控管流程，首先必須先了解IT風險的組合（Portfolio），再進一步針對組織內部規劃出一套風險概況（Risk profile），最後再發展一套有效的整治（Remediation）計畫。

然而有許多企業對於法規的規範與標準制定仍然不夠了解。賽門鐵克全球則結合CSI、Intitude of Internal Auditor（IIA）、Protiviti等機構，共同成立1個網站，向企業介紹各種法規內容，並公布各種調查研究報告，以及IT專家建議與法規遵循的做法等。

曹如瑋指出，這個網站目前將針對公共事業部門、電信業、金融業、高科技製造業、大型醫院等重度依賴IT的企業進行推廣，至於推廣的方式，則會透過研討會與媒體交流的方式來進行。

「賽門鐵克 IT 風險管理研究報告」是一份全新的報告。目的是要協助IT 高階管理者及操作人員了解構成一套有效 IT 風險管理策略的要素。報告調查為期12個月，從2005年10月至2006年10月為止。訪問母體為賽門鐵克從全球、跨產業的企業組織中收集超過500份問卷資料而來，受訪者涵蓋IT 經理人至IT 高階管理者。