雖然薩班斯法沒(méi)有直接明確對(duì)IT的要求���,但企業(yè)在實(shí)施符合法案要求的內(nèi)控過(guò)程時(shí)���,發(fā)現(xiàn)IT方面的工作量竟然占到了40%以上���,這是因?yàn)橐环矫鍵T要作為管理組織業(yè)務(wù)風(fēng)險(xiǎn)的工具與手段�,例如�,對(duì)財(cái)務(wù)應(yīng)用系統(tǒng)的機(jī)密性、完整性控制��,以及對(duì)業(yè)務(wù)交易信息的監(jiān)督與數(shù)據(jù)采集都離不開(kāi)IT系統(tǒng);另一方面IT本身的風(fēng)險(xiǎn)��,例如網(wǎng)絡(luò)風(fēng)險(xiǎn)��、系統(tǒng)風(fēng)險(xiǎn)�����、應(yīng)用風(fēng)險(xiǎn)�����,也是薩班斯法關(guān)注的重要內(nèi)容���,特別是如何使已有的IT流程和應(yīng)用系統(tǒng)中的控制符合薩班斯法的要求是CIO為頭痛的問(wèn)題。
近年來(lái)���,國(guó)內(nèi)行業(yè)主管部門一直在要求企業(yè)加強(qiáng)風(fēng)險(xiǎn)管理。2004年9月30日中國(guó)銀監(jiān)會(huì)發(fā)布了《商業(yè)銀行內(nèi)部控制評(píng)價(jià)試行辦法》�,旨在為規(guī)范和加強(qiáng)對(duì)商業(yè)銀行內(nèi)部控制評(píng)價(jià)���,督促商業(yè)銀行建立內(nèi)部控制體系,健全內(nèi)部控制機(jī)制���,保證商業(yè)銀行穩(wěn)健運(yùn)行�,其中包括了對(duì)建立銀行計(jì)算機(jī)系統(tǒng)內(nèi)部控制的要求��。2006年3月1日銀監(jiān)會(huì)發(fā)布《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評(píng)估指引》�����,直接對(duì)技術(shù)風(fēng)險(xiǎn)較大的電子銀行提出了進(jìn)行獨(dú)立的或相對(duì)獨(dú)立的信息系統(tǒng)審計(jì)的要求����。與此同時(shí)��,其他行業(yè)監(jiān)管部門也準(zhǔn)備出臺(tái)類似的風(fēng)險(xiǎn)管理措施��。中國(guó)財(cái)政部于2006年10月發(fā)起成立企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)�����,其目的是為推動(dòng)企業(yè)完善治理結(jié)構(gòu)和內(nèi)部約束機(jī)制�。企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)的成立,預(yù)示著我國(guó)企業(yè)在內(nèi)部控制方面將迎來(lái)一部類似美國(guó)《薩班斯法案》的標(biāo)準(zhǔn)體系�����,屆時(shí)必將對(duì)IT風(fēng)險(xiǎn)控制提出相應(yīng)的要求�。
這些方面并沒(méi)有涵蓋所有的IT風(fēng)險(xiǎn),反映的問(wèn)題也只是冰山之一角���,不同的行業(yè)在不同的時(shí)期,其IT風(fēng)險(xiǎn)有著不同的表現(xiàn)形式����。在應(yīng)對(duì)這些IT風(fēng)險(xiǎn)時(shí),我們也曾有過(guò)各種風(fēng)險(xiǎn)控制方法和模型����,但一般都是針對(duì)技術(shù)風(fēng)險(xiǎn)提出來(lái)的,偏重于某一技術(shù)領(lǐng)域�����,而且大多是采用事后反應(yīng)式的控制措施����。在信息化的整合見(jiàn)效期,這種單一的“救火模式”將使我們疲于應(yīng)付各種層出不窮的風(fēng)險(xiǎn)��。特別對(duì)于像制度����、流程、人員行為等方面有可能涉及組織核心價(jià)值的風(fēng)險(xiǎn)�,傳統(tǒng)的控制方法存在明顯不足���。
科學(xué)合理的IT風(fēng)險(xiǎn)管理體系應(yīng)當(dāng)具有前瞻性的�����、全局性的控制機(jī)制�����,能融合防范與應(yīng)對(duì)信息安全����、IT治理���、IT管理、IT服務(wù)�、IT應(yīng)用、IT項(xiàng)目��、IT基礎(chǔ)設(shè)施���、業(yè)務(wù)連續(xù)性��、IT外包等方面的風(fēng)險(xiǎn),并能有效地指導(dǎo)組織控制IT風(fēng)險(xiǎn)�,使IT戰(zhàn)略與企業(yè)戰(zhàn)略相融合,促進(jìn)IT為組織持續(xù)地創(chuàng)造價(jià)值���,以實(shí)現(xiàn)有效益的信息化�。
二��、COSO企業(yè)風(fēng)險(xiǎn)管理框架
在研究與探討IT風(fēng)險(xiǎn)管理框架時(shí)���,讓我們先跳出IT,從行業(yè)監(jiān)管者及企業(yè)管理者的角度來(lái)觀察是如何管理企業(yè)風(fēng)險(xiǎn)���,順著這樣的思路�,接合我們國(guó)內(nèi)IT風(fēng)險(xiǎn)控制的具體情況,我們建立一個(gè)既符合COSO要求�,又能指導(dǎo)企業(yè)一步步實(shí)施對(duì)IT的風(fēng)險(xiǎn)控制的IT風(fēng)險(xiǎn)管理框架�����。
從行業(yè)監(jiān)管者和企業(yè)管理層來(lái)看�����,對(duì)企業(yè)風(fēng)險(xiǎn)進(jìn)行控制是保護(hù)企業(yè)核心競(jìng)爭(zhēng)力的有效手段��,IT風(fēng)險(xiǎn)是企業(yè)風(fēng)險(xiǎn)管理的有效組成部分����。不管是什么規(guī)模的組織,都需要有一套控制指南來(lái)有效地管理企業(yè)內(nèi)外各種各樣的風(fēng)險(xiǎn)����,并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時(shí)更新���,才能保證企業(yè)健康�、持續(xù)地發(fā)展,有效的風(fēng)險(xiǎn)管理己成為企業(yè)發(fā)展的主旋律�。
COSO是行業(yè)監(jiān)管者及企業(yè)管理者常使用的風(fēng)險(xiǎn)管理框架。COSO企業(yè)風(fēng)險(xiǎn)管理框架于2004年4月由美國(guó)COSO委員會(huì)正式頒布��。COSO委員會(huì)認(rèn)為企業(yè)風(fēng)險(xiǎn)管理是一個(gè)由企業(yè)的董事會(huì)、管理層和其他員工共同參與的���,應(yīng)用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個(gè)層次和部門的�,用于識(shí)別可能對(duì)企業(yè)造成潛在影響的事項(xiàng)��,并在其風(fēng)險(xiǎn)容納量(Risk Appetite)范圍內(nèi)管理風(fēng)險(xiǎn)的����,為企業(yè)目標(biāo)的實(shí)現(xiàn)提供合理保證的過(guò)程����。此框架要求企業(yè)管理者以風(fēng)險(xiǎn)組合的觀點(diǎn)看待風(fēng)險(xiǎn),對(duì)包括IT風(fēng)險(xiǎn)在內(nèi)的所有風(fēng)險(xiǎn)進(jìn)行識(shí)別并采取措施使企業(yè)所承擔(dān)的風(fēng)險(xiǎn)在風(fēng)險(xiǎn)容納量的范圍內(nèi)�。
COSO管理框架的主要內(nèi)容:
風(fēng)險(xiǎn)管理目標(biāo)
確定企業(yè)的戰(zhàn)略
提高企業(yè)運(yùn)營(yíng)效率,取得好的經(jīng)營(yíng)效果;
保證企業(yè)報(bào)告的可靠性;
遵循相關(guān)法律法規(guī)的要求�。
為達(dá)成以上目標(biāo)�����,管理風(fēng)險(xiǎn)的主要過(guò)程有:
控制環(huán)境
任何企業(yè)的核心是企業(yè)中的人及其活動(dòng)。人的活動(dòng)在環(huán)境中進(jìn)行��,人的品性包括操守�、價(jià)值觀和能力等,它們是構(gòu)成環(huán)境的重要要素之一����,又與環(huán)境相互影響、相互作用���。環(huán)境要素是推動(dòng)企業(yè)發(fā)展的引擎,也是其他要素的核心���。
