您的位置:軟件測試 > 軟件項目管理 > 風(fēng)險管理 >
IT風(fēng)險管理研究框架
作者:網(wǎng)絡(luò)轉(zhuǎn)載 發(fā)布時間:[ 2013/6/21 16:02:18 ] 推薦標簽:

雖然薩班斯法沒有直接明確對IT的要求,但企業(yè)在實施符合法案要求的內(nèi)控過程時,發(fā)現(xiàn)IT方面的工作量竟然占到了40%以上,這是因為一方面IT要作為管理組織業(yè)務(wù)風(fēng)險的工具與手段,例如,對財務(wù)應(yīng)用系統(tǒng)的機密性、完整性控制,以及對業(yè)務(wù)交易信息的監(jiān)督與數(shù)據(jù)采集都離不開IT系統(tǒng);另一方面IT本身的風(fēng)險,例如網(wǎng)絡(luò)風(fēng)險、系統(tǒng)風(fēng)險、應(yīng)用風(fēng)險,也是薩班斯法關(guān)注的重要內(nèi)容,特別是如何使已有的IT流程和應(yīng)用系統(tǒng)中的控制符合薩班斯法的要求是CIO為頭痛的問題。

近年來,國內(nèi)行業(yè)主管部門一直在要求企業(yè)加強風(fēng)險管理。2004年9月30日中國銀監(jiān)會發(fā)布了《商業(yè)銀行內(nèi)部控制評價試行辦法》,旨在為規(guī)范和加強對商業(yè)銀行內(nèi)部控制評價,督促商業(yè)銀行建立內(nèi)部控制體系,健全內(nèi)部控制機制,保證商業(yè)銀行穩(wěn)健運行,其中包括了對建立銀行計算機系統(tǒng)內(nèi)部控制的要求。2006年3月1日銀監(jiān)會發(fā)布《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評估指引》,直接對技術(shù)風(fēng)險較大的電子銀行提出了進行獨立的或相對獨立的信息系統(tǒng)審計的要求。與此同時,其他行業(yè)監(jiān)管部門也準備出臺類似的風(fēng)險管理措施。中國財政部于2006年10月發(fā)起成立企業(yè)內(nèi)部控制標準委員會,其目的是為推動企業(yè)完善治理結(jié)構(gòu)和內(nèi)部約束機制。企業(yè)內(nèi)部控制標準委員會的成立,預(yù)示著我國企業(yè)在內(nèi)部控制方面將迎來一部類似美國《薩班斯法案》的標準體系,屆時必將對IT風(fēng)險控制提出相應(yīng)的要求。

這些方面并沒有涵蓋所有的IT風(fēng)險,反映的問題也只是冰山之一角,不同的行業(yè)在不同的時期,其IT風(fēng)險有著不同的表現(xiàn)形式。在應(yīng)對這些IT風(fēng)險時,我們也曾有過各種風(fēng)險控制方法和模型,但一般都是針對技術(shù)風(fēng)險提出來的,偏重于某一技術(shù)領(lǐng)域,而且大多是采用事后反應(yīng)式的控制措施。在信息化的整合見效期,這種單一的“救火模式”將使我們疲于應(yīng)付各種層出不窮的風(fēng)險。特別對于像制度、流程、人員行為等方面有可能涉及組織核心價值的風(fēng)險,傳統(tǒng)的控制方法存在明顯不足。

科學(xué)合理的IT風(fēng)險管理體系應(yīng)當(dāng)具有前瞻性的、全局性的控制機制,能融合防范與應(yīng)對信息安全、IT治理、IT管理、IT服務(wù)、IT應(yīng)用、IT項目、IT基礎(chǔ)設(shè)施、業(yè)務(wù)連續(xù)性、IT外包等方面的風(fēng)險,并能有效地指導(dǎo)組織控制IT風(fēng)險,使IT戰(zhàn)略與企業(yè)戰(zhàn)略相融合,促進IT為組織持續(xù)地創(chuàng)造價值,以實現(xiàn)有效益的信息化。

二、COSO企業(yè)風(fēng)險管理框架

在研究與探討IT風(fēng)險管理框架時,讓我們先跳出IT,從行業(yè)監(jiān)管者及企業(yè)管理者的角度來觀察是如何管理企業(yè)風(fēng)險,順著這樣的思路,接合我們國內(nèi)IT風(fēng)險控制的具體情況,我們建立一個既符合COSO要求,又能指導(dǎo)企業(yè)一步步實施對IT的風(fēng)險控制的IT風(fēng)險管理框架。

從行業(yè)監(jiān)管者和企業(yè)管理層來看,對企業(yè)風(fēng)險進行控制是保護企業(yè)核心競爭力的有效手段,IT風(fēng)險是企業(yè)風(fēng)險管理的有效組成部分。不管是什么規(guī)模的組織,都需要有一套控制指南來有效地管理企業(yè)內(nèi)外各種各樣的風(fēng)險,并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時更新,才能保證企業(yè)健康、持續(xù)地發(fā)展,有效的風(fēng)險管理己成為企業(yè)發(fā)展的主旋律。

COSO是行業(yè)監(jiān)管者及企業(yè)管理者常使用的風(fēng)險管理框架。COSO企業(yè)風(fēng)險管理框架于2004年4月由美國COSO委員會正式頒布。COSO委員會認為企業(yè)風(fēng)險管理是一個由企業(yè)的董事會、管理層和其他員工共同參與的,應(yīng)用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個層次和部門的,用于識別可能對企業(yè)造成潛在影響的事項,并在其風(fēng)險容納量(Risk Appetite)范圍內(nèi)管理風(fēng)險的,為企業(yè)目標的實現(xiàn)提供合理保證的過程。此框架要求企業(yè)管理者以風(fēng)險組合的觀點看待風(fēng)險,對包括IT風(fēng)險在內(nèi)的所有風(fēng)險進行識別并采取措施使企業(yè)所承擔(dān)的風(fēng)險在風(fēng)險容納量的范圍內(nèi)。

COSO管理框架的主要內(nèi)容:

風(fēng)險管理目標

    確定企業(yè)的戰(zhàn)略
    提高企業(yè)運營效率,取得好的經(jīng)營效果;
    保證企業(yè)報告的可靠性;
    遵循相關(guān)法律法規(guī)的要求。

為達成以上目標,管理風(fēng)險的主要過程有:

控制環(huán)境

任何企業(yè)的核心是企業(yè)中的人及其活動。人的活動在環(huán)境中進行,人的品性包括操守、價值觀和能力等,它們是構(gòu)成環(huán)境的重要要素之一,又與環(huán)境相互影響、相互作用。環(huán)境要素是推動企業(yè)發(fā)展的引擎,也是其他要素的核心。

上一頁12345678下一頁
軟件測試工具 | 聯(lián)系我們 | 投訴建議 | 誠聘英才 | 申請使用列表 | 網(wǎng)站地圖
滬ICP備07036474 2003-2017 版權(quán)所有 上海澤眾軟件科技有限公司 Shanghai ZeZhong Software Co.,Ltd