雖然薩班斯法沒有直接明確對IT的要求,但企業(yè)在實施符合法案要求的內控過程時,發(fā)現(xiàn)IT方面的工作量竟然占到了40%以上�����,這是因為一方面IT要作為管理組織業(yè)務風險的工具與手段����,例如����,對財務應用系統(tǒng)的機密性�����、完整性控制��,以及對業(yè)務交易信息的監(jiān)督與數(shù)據(jù)采集都離不開IT系統(tǒng);另一方面IT本身的風險����,例如網絡風險�����、系統(tǒng)風險���、應用風險���,也是薩班斯法關注的重要內容����,特別是如何使已有的IT流程和應用系統(tǒng)中的控制符合薩班斯法的要求是CIO為頭痛的問題。
近年來����,國內行業(yè)主管部門一直在要求企業(yè)加強風險管理��。2004年9月30日中國銀監(jiān)會發(fā)布了《商業(yè)銀行內部控制評價試行辦法》�,旨在為規(guī)范和加強對商業(yè)銀行內部控制評價���,督促商業(yè)銀行建立內部控制體系�,健全內部控制機制����,保證商業(yè)銀行穩(wěn)健運行,其中包括了對建立銀行計算機系統(tǒng)內部控制的要求�����。2006年3月1日銀監(jiān)會發(fā)布《電子銀行業(yè)務管理辦法》和《電子銀行安全評估指引》���,直接對技術風險較大的電子銀行提出了進行獨立的或相對獨立的信息系統(tǒng)審計的要求���。與此同時,其他行業(yè)監(jiān)管部門也準備出臺類似的風險管理措施�����。中國財政部于2006年10月發(fā)起成立企業(yè)內部控制標準委員會�����,其目的是為推動企業(yè)完善治理結構和內部約束機制。企業(yè)內部控制標準委員會的成立��,預示著我國企業(yè)在內部控制方面將迎來一部類似美國《薩班斯法案》的標準體系��,屆時必將對IT風險控制提出相應的要求����。
這些方面并沒有涵蓋所有的IT風險,反映的問題也只是冰山之一角�,不同的行業(yè)在不同的時期,其IT風險有著不同的表現(xiàn)形式��。在應對這些IT風險時�����,我們也曾有過各種風險控制方法和模型����,但一般都是針對技術風險提出來的�����,偏重于某一技術領域,而且大多是采用事后反應式的控制措施���。在信息化的整合見效期���,這種單一的“救火模式”將使我們疲于應付各種層出不窮的風險。特別對于像制度�、流程、人員行為等方面有可能涉及組織核心價值的風險���,傳統(tǒng)的控制方法存在明顯不足��。
科學合理的IT風險管理體系應當具有前瞻性的��、全局性的控制機制���,能融合防范與應對信息安全、IT治理�����、IT管理���、IT服務��、IT應用���、IT項目��、IT基礎設施���、業(yè)務連續(xù)性、IT外包等方面的風險���,并能有效地指導組織控制IT風險��,使IT戰(zhàn)略與企業(yè)戰(zhàn)略相融合�����,促進IT為組織持續(xù)地創(chuàng)造價值�����,以實現(xiàn)有效益的信息化���。
二、COSO企業(yè)風險管理框架
在研究與探討IT風險管理框架時,讓我們先跳出IT����,從行業(yè)監(jiān)管者及企業(yè)管理者的角度來觀察是如何管理企業(yè)風險��,順著這樣的思路���,接合我們國內IT風險控制的具體情況����,我們建立一個既符合COSO要求����,又能指導企業(yè)一步步實施對IT的風險控制的IT風險管理框架。
從行業(yè)監(jiān)管者和企業(yè)管理層來看����,對企業(yè)風險進行控制是保護企業(yè)核心競爭力的有效手段,IT風險是企業(yè)風險管理的有效組成部分����。不管是什么規(guī)模的組織,都需要有一套控制指南來有效地管理企業(yè)內外各種各樣的風險���,并隨著業(yè)務環(huán)境的變化和新技術的發(fā)展及時更新����,才能保證企業(yè)健康、持續(xù)地發(fā)展���,有效的風險管理己成為企業(yè)發(fā)展的主旋律���。
COSO是行業(yè)監(jiān)管者及企業(yè)管理者常使用的風險管理框架。COSO企業(yè)風險管理框架于2004年4月由美國COSO委員會正式頒布���。COSO委員會認為企業(yè)風險管理是一個由企業(yè)的董事會���、管理層和其他員工共同參與的,應用于企業(yè)戰(zhàn)略制定和企業(yè)內部各個層次和部門的��,用于識別可能對企業(yè)造成潛在影響的事項�,并在其風險容納量(Risk Appetite)范圍內管理風險的,為企業(yè)目標的實現(xiàn)提供合理保證的過程��。此框架要求企業(yè)管理者以風險組合的觀點看待風險�����,對包括IT風險在內的所有風險進行識別并采取措施使企業(yè)所承擔的風險在風險容納量的范圍內。
COSO管理框架的主要內容:
風險管理目標
確定企業(yè)的戰(zhàn)略
提高企業(yè)運營效率���,取得好的經營效果;
保證企業(yè)報告的可靠性;
遵循相關法律法規(guī)的要求���。
為達成以上目標����,管理風險的主要過程有:
控制環(huán)境
任何企業(yè)的核心是企業(yè)中的人及其活動。人的活動在環(huán)境中進行��,人的品性包括操守����、價值觀和能力等,它們是構成環(huán)境的重要要素之一�,又與環(huán)境相互影響、相互作用����。環(huán)境要素是推動企業(yè)發(fā)展的引擎,也是其他要素的核心���。
