科學(xué)合理的IT風(fēng)險管理體系應(yīng)當(dāng)具有前瞻性的、全局性的控制機制，能融合防范與應(yīng)對信息安全、IT治理、IT管理、IT服務(wù)、IT應(yīng)用、IT項目、IT基礎(chǔ)設(shè)施、業(yè)務(wù)連續(xù)性、IT外包等方面的風(fēng)險，并能有效地指導(dǎo)組織控制IT風(fēng)險，使IT戰(zhàn)略與企業(yè)戰(zhàn)略相融合，促進(jìn)IT為組織持續(xù)地創(chuàng)造價值，以實現(xiàn)有效益的信息化。

    一、信息化面臨的風(fēng)險

    九十年代以來，信息技術(shù)得到了快速的發(fā)展和廣泛的應(yīng)用，信息化已成為全球經(jīng)濟社會發(fā)展的顯著特征，并逐步向一場全方位的社會變革演進(jìn)。當(dāng)前，信息技術(shù)己深入到各行各業(yè)，甚至影響并改變著普通百姓的生活方式，信息資源也日益成為重要生產(chǎn)要素、無形資產(chǎn)和社會財富。

    由于國內(nèi)經(jīng)濟的持續(xù)增長為信息化提供了良好的外部環(huán)境和充足的投入資金，各行各業(yè)的信息化呈現(xiàn)出一派欣欣向榮的景象，我國信息化在推行電子政務(wù)、振興軟件產(chǎn)業(yè)、加強信息安全保障、加強信息資源開發(fā)利用、加快發(fā)展電子商務(wù)等方面取得了可喜的進(jìn)展。同時，信息化的應(yīng)用也有力地推動了中國的經(jīng)濟持續(xù)增長、產(chǎn)業(yè)的升級、競爭力的提高，信息化與經(jīng)濟發(fā)展形成了良性循環(huán)。

    從二十多年的信息化實踐來看，目前我國的信息化正處在一個由初級水平的投入期，向中高級水平的見效期過渡的關(guān)鍵時期，信息化的重點己從注重對行業(yè)和企業(yè)的覆蓋，注重硬件產(chǎn)品的配備，逐步過渡到強調(diào)整合和開發(fā)利用信息資源，對客戶需求做出快速反應(yīng)，提高應(yīng)用水平和服務(wù)質(zhì)量，使組織的價值最大化。在這一階段信息化的機會與風(fēng)險并存，許多以前還沒有涉及的深層次問題都會一一暴露出來，這將考驗我們是否已經(jīng)做好必要的思想準(zhǔn)備和采取有效的應(yīng)對措施。

    IT治理風(fēng)險

    中國的信息化建設(shè)仍然屬于"人治時代"，信息化的隨意性較大，企業(yè)還沒有就信息化形成相關(guān)的制度，缺少對信息化進(jìn)行整體規(guī)劃、實施與控制的決策機制和責(zé)任擔(dān)當(dāng)框架。信息化成功與否往往在很大程度上取決于最高管理層對信息化的理解和個人領(lǐng)導(dǎo)力大小的影響，這種不確定性增加了組織的信息化風(fēng)險，這是IT治理風(fēng)險的宏觀體現(xiàn)。

    組織在信息化過程中所涉及IT規(guī)劃、實施、運行、檢查等一系統(tǒng)IT流程，缺乏制度化與標(biāo)準(zhǔn)化的約束，缺乏部門之間及流程之間協(xié)調(diào)、溝通的機制，造成IT系統(tǒng)與業(yè)務(wù)需求的“邏輯錯位”，同時也造成了一個個的 信息“孤島”，這是IT治理風(fēng)險的微觀體現(xiàn)。如何在組織中建立較完善的IT治理機制，使信息化的決策與實施成為組織中的一種完善的制度存在，己是擺在我們面前的迫切任務(wù)。

    IT可用性風(fēng)險

    而隨著信息化的深入，組織的核心應(yīng)用系統(tǒng)都己構(gòu)架在IT平臺之上，越來越多的政府、商業(yè)、教育等機構(gòu)的業(yè)務(wù)正常運行離不開IT系統(tǒng)。隨著IT技術(shù)的高速發(fā)展，IT平臺（如硬件、網(wǎng)絡(luò)、系統(tǒng)）的復(fù)雜性越來越高，各種系統(tǒng)漏洞層出不窮，頻繁的停機事件令用戶窮于應(yīng)付；就算是IT技術(shù)系統(tǒng)沒有漏洞，也不等于就能提供優(yōu)質(zhì)的IT服務(wù)；另一方面，國內(nèi)許多組織不能建立有效的故障管理、變更管理、配置管理等IT服務(wù)管理流程也是造成IT系統(tǒng)停機的原因；缺乏必要業(yè)務(wù)連續(xù)性計劃也是造成IT可用性降低的重要原因。

    IT系統(tǒng)的停機將使組織的業(yè)務(wù)受到巨大損失、造成聲譽下降、競爭優(yōu)勢喪失。2006年幾起信息安全事件，如：銀聯(lián)計算機故障造成不能跨行取款，首都機場離港系統(tǒng)故障造成大量旅客滯留機場，5月份開始的A股交易量連續(xù)井噴造成多家證券公司出現(xiàn)“堵單”等事件，就生動地告誡我們，由于脆弱的基礎(chǔ)設(shè)施和IT管理流程，使得這種不斷增強的對IT的依賴性就是潛在的風(fēng)險。

    信息安全風(fēng)險

    在信息化的整合見效期，對組織而言信息比以往具有更高的價值，而信息固有的弱點決定其易傳播、易毀損、易偽造。互聯(lián)網(wǎng)給我們帶來便利的同時，網(wǎng)上行動的遠(yuǎn)程化以及互聯(lián)網(wǎng)“無政府狀態(tài)”，使得信息安全面臨嚴(yán)峻的挑戰(zhàn)，即使是一個中學(xué)生，通過黑客網(wǎng)站的簡單培訓(xùn)，也能發(fā)起具有危害性的攻擊。目前互聯(lián)網(wǎng)上黑客網(wǎng)站已超過3萬個，一些有影響力的黑客網(wǎng)站的會員超過萬人。黑客攻擊網(wǎng)站的行動此起彼伏，造成許多商業(yè)網(wǎng)站、政府網(wǎng)站被入侵，大量網(wǎng)銀用戶網(wǎng)上銀行存款被盜，許多敏感機密信息被泄露。

    據(jù)統(tǒng)計去年產(chǎn)生的電腦病毒和木馬的數(shù)量達(dá)到23萬個，其中90%以上帶有明顯的利益特征，有竊取個人資料、各種賬號密碼等行為，嚴(yán)重威脅著互聯(lián)網(wǎng)的安全。第一毒王“熊貓燒香”病毒己造成超過一千萬的個人及企業(yè)用戶中毒，直接及間接經(jīng)濟損失高達(dá)億元以上。

    IT績效風(fēng)險

    國內(nèi)在信息與信息系統(tǒng)上的投資規(guī)模與成本都在不斷擴大，高投入帶來了高風(fēng)險。根據(jù)商務(wù)部研究院信息咨詢中心提供的數(shù)據(jù)，2005年我國在信息化改造提升方面的投入達(dá)到了2829億，2006年是3227億元，預(yù)計2007年將達(dá)到4236億元。從2005到2007年中國行業(yè)信息化投入的絕對增加額將達(dá)到 1300億以上，未來幾年行業(yè)信息化IT投入將進(jìn)入了高增長期。如果IT投資行為如果不能帶來合理的回報，將使組織面臨巨大風(fēng)險。這幾年國內(nèi)信息化失敗的案例比比皆是，如果規(guī)劃不當(dāng)、控制不嚴(yán)，IT系統(tǒng)不能帶來預(yù)期的業(yè)務(wù)價值，那么，巨額的信息化投入很可能造成新一輪的“投資黑洞”

    IT績效風(fēng)險另一表現(xiàn)就是對IT的投資績效和運行績效不能進(jìn)行有效測量。不能測量意味著無法了解當(dāng)前IT系統(tǒng)的“健康狀況”，就不能有效地發(fā)現(xiàn)存在的問題，并采取有針對性的改進(jìn)措施。

    合規(guī)性風(fēng)險

    由于IT在社會和經(jīng)濟生活越來越充當(dāng)重要角色，國內(nèi)外近年來出臺了許多法律法規(guī)加強對IT的監(jiān)管。

    例如，2002年美國國會發(fā)布了《薩班斯—奧克斯利法案》，在這個法案中明確提出了所有上市公司都必須加強風(fēng)險管理，建立有效的內(nèi)部控制框架，以確保上市公司遵守證券法律以提高公司披露的準(zhǔn)確性和可靠性，從而保護(hù)投資者及其他目的。在美國上市的公眾公司需要投入大量的人力、物力和財力來建立內(nèi)部控制，中國在美國上市的中石化、中國人壽、新浪、亞信等企業(yè)也為此付出了巨大的努力。據(jù)美國Financial Executive International組織對321個公司的調(diào)查顯示，在一個規(guī)模比較大、年營業(yè)收入超過50億美元的公司，建立此體系至少需要470萬美元，維系其運轉(zhuǎn)需要每年150萬美元。

    雖然薩班斯法沒有直接明確對IT的要求，但企業(yè)在實施符合法案要求的內(nèi)控過程時，發(fā)現(xiàn)IT方面的工作量竟然占到了40%以上，這是因為一方面IT要作為管理組織業(yè)務(wù)風(fēng)險的工具與手段，例如，對財務(wù)應(yīng)用系統(tǒng)的機密性、完整性控制，以及對業(yè)務(wù)交易信息的監(jiān)督與數(shù)據(jù)采集都離不開IT系統(tǒng)；另一方面IT本身的風(fēng)險，例如網(wǎng)絡(luò)風(fēng)險、系統(tǒng)風(fēng)險、應(yīng)用風(fēng)險，也是薩班斯法關(guān)注的重要內(nèi)容，特別是如何使已有的IT流程和應(yīng)用系統(tǒng)中的控制符合薩班斯法的要求是CIO最為頭痛的問題。

    近年來，國內(nèi)行業(yè)主管部門一直在要求企業(yè)加強風(fēng)險管理。2004年9月30日中國銀監(jiān)會發(fā)布了《商業(yè)銀行內(nèi)部控制評價試行辦法》，旨在為規(guī)范和加強對商業(yè)銀行內(nèi)部控制評價，督促商業(yè)銀行建立內(nèi)部控制體系，健全內(nèi)部控制機制，保證商業(yè)銀行穩(wěn)健運行，其中包括了對建立銀行計算機系統(tǒng)內(nèi)部控制的要求。2006年3月1日銀監(jiān)會發(fā)布《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評估指引》，直接對技術(shù)風(fēng)險較大的電子銀行提出了進(jìn)行獨立的或相對獨立的信息系統(tǒng)審計的要求。與此同時，其他行業(yè)監(jiān)管部門也準(zhǔn)備出臺類似的風(fēng)險管理措施。中國財政部于2006年10月發(fā)起成立企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會，其目的是為推動企業(yè)完善治理結(jié)構(gòu)和內(nèi)部約束機制。企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會的成立，預(yù)示著我國企業(yè)在內(nèi)部控制方面將迎來一部類似美國《薩班斯法案》的標(biāo)準(zhǔn)體系，屆時必將對IT風(fēng)險控制提出相應(yīng)的要求。

    這些方面并沒有涵蓋所有的IT風(fēng)險，反映的問題也只是冰山之一角，不同的行業(yè)在不同的時期，其IT風(fēng)險有著不同的表現(xiàn)形式。在應(yīng)對這些IT風(fēng)險時，我們也曾有過各種風(fēng)險控制方法和模型，但一般都是針對技術(shù)風(fēng)險提出來的，偏重于某一技術(shù)領(lǐng)域，而且大多是采用事后反應(yīng)式的控制措施。在信息化的整合見效期，這種單一的“救火模式”將使我們疲于應(yīng)付各種層出不窮的風(fēng)險。特別對于像制度、流程、人員行為等方面有可能涉及組織核心價值的風(fēng)險，傳統(tǒng)的控制方法存在明顯不足。

    科學(xué)合理的IT風(fēng)險管理體系應(yīng)當(dāng)具有前瞻性的、全局性的控制機制，能融合防范與應(yīng)對信息安全、IT治理、IT管理、IT服務(wù)、IT應(yīng)用、IT項目、IT基礎(chǔ)設(shè)施、業(yè)務(wù)連續(xù)性、IT外包等方面的風(fēng)險，并能有效地指導(dǎo)組織控制IT風(fēng)險，使IT戰(zhàn)略與企業(yè)戰(zhàn)略相融合，促進(jìn)IT為組織持續(xù)地創(chuàng)造價值，以實現(xiàn)有效益的信息化。

    二、COSO企業(yè)風(fēng)險管理框架

    在研究與探討IT風(fēng)險管理框架時，讓我們先跳出IT，從行業(yè)監(jiān)管者及企業(yè)管理者的角度來觀察是如何管理企業(yè)風(fēng)險，順著這樣的思路，接合我們國內(nèi)IT風(fēng)險控制的具體情況，我們建立一個既符合COSO要求，又能指導(dǎo)企業(yè)一步步實施對IT的風(fēng)險控制的IT風(fēng)險管理框架。

    從行業(yè)監(jiān)管者和企業(yè)管理層來看，對企業(yè)風(fēng)險進(jìn)行控制是保護(hù)企業(yè)核心競爭力的有效手段，IT風(fēng)險是企業(yè)風(fēng)險管理的有效組成部分。不管是什么規(guī)模的組織，都需要有一套控制指南來有效地管理企業(yè)內(nèi)外各種各樣的風(fēng)險，并隨著業(yè)務(wù)環(huán)境的變化和新技術(shù)的發(fā)展及時更新，才能保證企業(yè)健康、持續(xù)地發(fā)展，有效的風(fēng)險管理己成為企業(yè)發(fā)展的主旋律。

    COSO是行業(yè)監(jiān)管者及企業(yè)管理者最常使用的風(fēng)險管理框架。COSO企業(yè)風(fēng)險管理框架于2004年4月由美國COSO委員會正式頒布。COSO委員會認(rèn)為企業(yè)風(fēng)險管理是一個由企業(yè)的董事會、管理層和其他員工共同參與的，應(yīng)用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個層次和部門的，用于識別可能對企業(yè)造成潛在影響的事項，并在其風(fēng)險容納量(Risk Appetite)范圍內(nèi)管理風(fēng)險的，為企業(yè)目標(biāo)的實現(xiàn)提供合理保證的過程。此框架要求企業(yè)管理者以風(fēng)險組合的觀點看待風(fēng)險，對包括IT風(fēng)險在內(nèi)的所有風(fēng)險進(jìn)行識別并采取措施使企業(yè)所承擔(dān)的風(fēng)險在風(fēng)險容納量的范圍內(nèi)。

 

 

 

    COSO管理框架的主要內(nèi)容：

?  風(fēng)險管理目標(biāo)

    確定企業(yè)的戰(zhàn)略

    提高企業(yè)運營效率，取得好的經(jīng)營效果；

    保證企業(yè)報告的可靠性；
 
    遵循相關(guān)法律法規(guī)的要求。

?  為達(dá)成以上目標(biāo)，管理風(fēng)險的主要過程有：

    控制環(huán)境

    任何企業(yè)的核心是企業(yè)中的人及其活動。人的活動在環(huán)境中進(jìn)行，人的品性包括操守、價值觀和能力等，它們是構(gòu)成環(huán)境的重要要素之一，又與環(huán)境相互影響、相互作用。環(huán)境要素是推動企業(yè)發(fā)展的引擎，也是其他要素的核心。

    目標(biāo)制定

    在風(fēng)險管理框架中，由于要針對不同的目標(biāo)分析其相應(yīng)的風(fēng)險，因此目標(biāo)的制定自然就成為風(fēng)險管理流程的首要步驟，并將其確認(rèn)為風(fēng)險管理框架的一部分。

    事項識別

    企業(yè)風(fēng)險管理和內(nèi)部控制框架都承認(rèn)風(fēng)險來自于企業(yè)內(nèi)、外部各種因素，而且可能在企業(yè)各個層面上出現(xiàn)，并且應(yīng)根據(jù)對實現(xiàn)企業(yè)目標(biāo)的潛在影響來確認(rèn)風(fēng)險。

    風(fēng)險評估

    企業(yè)必須制定目標(biāo)，該目標(biāo)必須和生產(chǎn)、營銷、財務(wù)等作業(yè)相結(jié)合。為此，企業(yè)也必須設(shè)立可辨認(rèn)、分析和管理相關(guān)風(fēng)險的機制，以了解自己所面臨的風(fēng)險，并適時加以處理。

    風(fēng)險反應(yīng)

    企業(yè)風(fēng)險管理框架提出對風(fēng)險的四種反應(yīng)方案：規(guī)避、減少、轉(zhuǎn)移和接受風(fēng)險。

    控制活動

    企業(yè)必須制定控制政策及程序，并予以執(zhí)行，以幫助管理當(dāng)局保證其控制目標(biāo)的實現(xiàn)，其用以辨認(rèn)并用以處理風(fēng)險所必須采取的行動業(yè)已有效落實。

    信息和溝通

    圍繞在控制活動周圍的是信息與溝通系統(tǒng)。這些系統(tǒng)使企業(yè)內(nèi)部的員工能取得他們在執(zhí)行、管理和控制企業(yè)經(jīng)營過程中所需的信息，并交換這些信息。

    監(jiān)督

    整個內(nèi)部控制的過程必須施以恰當(dāng)?shù)谋O(jiān)督，通過監(jiān)督活動在必要時對其加以修正。監(jiān)控是一個評價內(nèi)部控制運行組織的過程。

    實施控制的地點

    組織的各個層面實施控制，例如，在總公司、分公司、業(yè)務(wù)單位、單位部門、實體層都需要建立相應(yīng)的控制。

    COSO風(fēng)險管理框架是各上市公司為符合薩班斯法案要求而采納的主要方法，我國銀監(jiān)會發(fā)布的《商業(yè)銀行內(nèi)部控制評價試行辦法》也采用了COSO內(nèi)控體系的方法論，其中也涉及了IT內(nèi)控制的內(nèi)容。COSO風(fēng)險管理框架給我們有以下啟發(fā)：

    要站在企業(yè)管理者的角度來看待風(fēng)險，企業(yè)風(fēng)險是由包括IT風(fēng)險在內(nèi)的其他風(fēng)險組合而成。

    強調(diào)“人”的重要性，組織中的每一個人對風(fēng)險管理都負(fù)有責(zé)任；

    強調(diào)“軟控制”的作用。“軟控制”主要指那些屬于精神層面的事物，如高級管理階層的管理風(fēng)格、管理哲學(xué)、企業(yè)文化、內(nèi)部控制意識等，“軟控制”影響人的行為。

    強調(diào)風(fēng)險管理是一個“動態(tài)過程”，風(fēng)險管理是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復(fù)的PDCA過程。

    明確指出內(nèi)部控制只能做到“合理”保證，目標(biāo)達(dá)成的可能性受許多先天條件不足及各種“不確定性”的影響。

    沒有不花錢的內(nèi)部控制，也不存在完美無缺的內(nèi)部控制。

    三、COSO框架下的IT風(fēng)險管理框架

    企業(yè)在實施風(fēng)險管理過程中，四個目標(biāo)都應(yīng)當(dāng)有IT的相關(guān)內(nèi)容，其八個過程也有相應(yīng)的IT內(nèi)容，例如：COSO的“控制環(huán)境”對應(yīng)著IT的“IT治理、法規(guī)及標(biāo)準(zhǔn)符合性”，“風(fēng)險評估”對應(yīng)著“IT風(fēng)險評估及影響分析”等。

    這八個方面的各項控制又可進(jìn)一步分三個層次的控制，一是公司層控制、二是應(yīng)用層控制，三是一般控制層或稱基礎(chǔ)層控制。

    公司級控制

    公司級控制主要與COSO中的控制環(huán)境及風(fēng)險評估有關(guān)，為一般控制和應(yīng)用控制設(shè)置基調(diào)。公司級控制一般包括以下內(nèi)容：

    最高管理層設(shè)定的基調(diào)與方向

    職業(yè)道德中的正直性、價值觀、勝任能力

    IT管理哲學(xué)和業(yè)務(wù)運行類型

    對IT管理層的授權(quán)與責(zé)任

    IT政策與程序

    IT組織中人員的責(zé)任與技能

    一般控制

    一般控制就是保證計算機信息系統(tǒng)能夠以持續(xù)、正確的方式運行的政策與程序，包括數(shù)據(jù)中心運營、系統(tǒng)軟件獲取與維護(hù)、訪問安全、應(yīng)用系統(tǒng)開發(fā)和維護(hù)等內(nèi)容。一般控制能對通過編程實現(xiàn)的應(yīng)用系統(tǒng)控制機能提供支持，一般控制有時也稱為一般計算機控制和信息技術(shù)控制。一般控制過程主要包括：

    安全管理

    應(yīng)用系統(tǒng)變更控制

    數(shù)據(jù)管理

    災(zāi)難恢復(fù)

    數(shù)據(jù)中心運營

    問題管理

    資產(chǎn)管理

?  應(yīng)用控制

    應(yīng)用控制是為保證業(yè)務(wù)過程的正常運行，而設(shè)計在應(yīng)用系統(tǒng)中控制措施，以防止和檢測錯誤的和非授權(quán)的交易，保證交易處理的完整性、準(zhǔn)確性、合法性及適當(dāng)授權(quán)。一般在應(yīng)用系統(tǒng)中的以下環(huán)節(jié)建立應(yīng)用控制：

    進(jìn)行計算時；

    實施數(shù)據(jù)合法性驗證和編輯檢查時；

    與其他系統(tǒng)有數(shù)據(jù)接口時；

    管理層需要依靠應(yīng)用系統(tǒng)進(jìn)行完整、準(zhǔn)確的排序、匯總和報告關(guān)鍵信息時；

    限制對交易和數(shù)據(jù)訪問時。

    IT風(fēng)險管理的過程也類似于企業(yè)風(fēng)險的過程，主要有以下風(fēng)險識別、風(fēng)險分析、風(fēng)險處理、風(fēng)險監(jiān)督、風(fēng)險報告及改進(jìn)的過程：

 

 

    以上三個層次的IT風(fēng)險管理，在組織中可以分階段地通過一個個的IT風(fēng)險控制項目，例如COBIT、ISMS、ITSM、BCP、CMMI等進(jìn)行實施，也可以選擇其中的某些過程進(jìn)行整合后實施。

 

 

    對于所建立IT內(nèi)部控制措施是否能有效地控制風(fēng)險，還需要通過第三方對組織內(nèi)部措施的有效性進(jìn)行獨立審計，出具審計報告，以證明內(nèi)部控制措施完備性。

    以上過程是許多上市公司在建立符合薩班斯法要求的IT風(fēng)險控制框架時的主要方法，這種方法的主要優(yōu)點是把IT風(fēng)險放在企業(yè)風(fēng)險的高度進(jìn)行管理，容易得到管理層的理解與支持，涉及的風(fēng)險較全面，控制與改進(jìn)的方法較完備。缺點是控制的粒度還較粗，還不能適當(dāng)對IT進(jìn)行精細(xì)控制的要求。

    四、適用的IT風(fēng)險管理框架

    我們結(jié)合以上內(nèi)容，進(jìn)行合理擴充并增加控制的粒度，提出了一套適應(yīng)我國IT風(fēng)險實際情況的控制框架。

    建立信息化的“游戲規(guī)則”

    建造一個信息系統(tǒng)是容易的，讓這個系統(tǒng)正常地運轉(zhuǎn)起來并能實現(xiàn)業(yè)務(wù)價值，則是現(xiàn)實的難題。雖然采用先進(jìn)的IT技術(shù)與產(chǎn)品、優(yōu)秀的管理方法在一定的程度上能降低IT風(fēng)險，但并不十分保險，只有通過為IT引入一定的結(jié)構(gòu)、規(guī)則與標(biāo)準(zhǔn)，使IT在“他律”（IT治理）的基礎(chǔ)上進(jìn)行“自律”（IT管理），才能使得IT風(fēng)險在一定的框架內(nèi)上下左右浮動，不超過企業(yè)計劃中的風(fēng)險范圍。

    這個框架就是IT風(fēng)險管理框架，也可以稱為IT的“游戲規(guī)則”，忽略了規(guī)則的建立是國內(nèi)信息化成功率低的根源，我們應(yīng)當(dāng)把建立信息化的“游戲規(guī)則”看成是信息化的重要內(nèi)容之一。

    IT風(fēng)險管理框架的目標(biāo)

    完善IT風(fēng)險控制體系，降低IT成本，實現(xiàn)IT與企業(yè)戰(zhàn)略、管理、業(yè)務(wù)、安全的深度融合，使IT為企業(yè)持續(xù)地創(chuàng)造價值，有效率并有效果地進(jìn)行信息化。

    IT風(fēng)險管理框架的原則

    建立IT治理機制，使IT治理成為公司治理的一部分，在組織的最高決策層上對信息化的進(jìn)行監(jiān)管與制衡；

    對IT進(jìn)行規(guī)劃，確保IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致，信息化一定要為業(yè)務(wù)所想、為業(yè)務(wù)所用，IT與業(yè)務(wù)的分離是信息化面臨的最大風(fēng)險。在總體規(guī)劃指導(dǎo)下進(jìn)行應(yīng)用、數(shù)據(jù)和技術(shù)方面的架構(gòu)設(shè)計，以獲得標(biāo)準(zhǔn)化的技術(shù)規(guī)范與指南。

    在技術(shù)與管理上保證和各種異構(gòu)IT資源能在統(tǒng)一的架構(gòu)環(huán)境下，實現(xiàn)協(xié)同工作、無縫地進(jìn)行數(shù)據(jù)交換。

    采用國際上得到普遍認(rèn)可的IT控制標(biāo)準(zhǔn)（例如：COBIT、ITIL、ISO27001）及行業(yè)最佳實踐，為信息化管理提供規(guī)范和標(biāo)準(zhǔn)；

    識別組織中的重要IT過程，確定其目標(biāo)、功能與職責(zé)。梳理出縱向上的技術(shù)管理過程和橫向上的客戶服務(wù)過程，推行過程管理的思想；

    持續(xù)地評估IT績效，可以從整體信息化績效、IT項目績效及IT人員績效等多個方面進(jìn)行評估，以了解當(dāng)前IT狀況，為及進(jìn)的調(diào)整與改進(jìn)提供依據(jù)；

    通過PDCD的過程，即計劃、實施、調(diào)整、改進(jìn)的循環(huán)，使信息化保持在可持續(xù)發(fā)展的軌道上，階段性地進(jìn)行信息系統(tǒng)審計，以發(fā)現(xiàn)存在的偏離，及時調(diào)整到信息化的最終目標(biāo)上來。

    IT風(fēng)險管理框架的內(nèi)容

    根據(jù)IT風(fēng)險管理的目標(biāo)和原則，我們給出IT風(fēng)險管理框架的一種具體實現(xiàn)，其步驟如圖所示：

 

    IT風(fēng)險管理框架各環(huán)節(jié)描述如下：

    完善IT治理結(jié)構(gòu)

    從宏觀上來說，IT治理要綜合公司治理結(jié)構(gòu)、企業(yè)戰(zhàn)略規(guī)劃，使IT治理作為公司治理的一部分，也就是要確定IT原則、IT架構(gòu)、基礎(chǔ)設(shè)施、應(yīng)用設(shè)施和投資優(yōu)先順序的決策權(quán)歸屬和職責(zé)分工。通過建立IT委員會的方式來建立良好的治理結(jié)構(gòu)，通過對權(quán)力的監(jiān)督與平衡，就可把IT戰(zhàn)略風(fēng)險與管理風(fēng)險控制在一定范圍內(nèi)，那么無論由誰來領(lǐng)導(dǎo)，IT的建設(shè)就不會大起大落。

    從微觀上來說，為保護(hù)IT與業(yè)務(wù)目標(biāo)一致，有限利用IT資源，提高績效，降低風(fēng)險與控制成本，需按照國際普遍接受的企業(yè)內(nèi)部控制標(biāo)準(zhǔn)COBIT，在IT的計劃與組織、獲得與實施、交付與支持、監(jiān)控四個領(lǐng)域建立IT控制過程，有效地控制IT建設(shè)的整個生命周期的風(fēng)險。

    業(yè)務(wù)需求識別

    當(dāng)前企業(yè)競爭激烈、內(nèi)部變革頻繁，要實現(xiàn)IT與業(yè)務(wù)的融合，就需要建立一套具備一定適應(yīng)能力，能夠識別不斷變化的業(yè)務(wù)需求，并能夠快速有效地作為響應(yīng)的機制。業(yè)務(wù)需求是促進(jìn)IT發(fā)展的源動力，準(zhǔn)確、及時地捕捉組織的業(yè)務(wù)需求，并使之成為信息化建設(shè)與調(diào)整的依據(jù)，這是降低IT風(fēng)險的可靠保證。

    對業(yè)務(wù)需求的識別，需要IT人員了解企業(yè)的業(yè)務(wù)流程，并站在業(yè)務(wù)管理者的角度思考企業(yè)發(fā)展的重大問題，這對IT人員的提出了新的挑戰(zhàn)。

    業(yè)務(wù)建模

    信息化項目無論是網(wǎng)絡(luò)建設(shè)、安全建設(shè)，還是應(yīng)用開發(fā)，都需要了解組織特征，確定業(yè)務(wù)流程，應(yīng)當(dāng)在信息化之前就為組織建立可靠的業(yè)務(wù)模型。業(yè)務(wù)建?？梢詣?chuàng)建一個復(fù)雜業(yè)務(wù)的抽象描述，使其成為同業(yè)務(wù)中各項目相關(guān)人員(如擁有者、管理者、雇員和客戶)交流的基礎(chǔ)。一旦能更好地理解業(yè)務(wù)功能，我們就能較容易地完善業(yè)務(wù)流程，較容易地發(fā)現(xiàn)、識別新的業(yè)務(wù)機會(即業(yè)務(wù)的完善或革新)，并為網(wǎng)絡(luò)建設(shè)、安全建設(shè)及應(yīng)用開發(fā)提供準(zhǔn)確的需求定義。
    數(shù)據(jù)標(biāo)準(zhǔn)化

    “信息孤島現(xiàn)象”是信息化的另一個較大風(fēng)險，現(xiàn)在許多行業(yè)都在進(jìn)行數(shù)據(jù)大集中，但遇到很多問題，進(jìn)展緩慢，這都與沒有做好前期數(shù)據(jù)規(guī)劃、實施數(shù)據(jù)標(biāo)準(zhǔn)化有關(guān)。IT系統(tǒng)的建設(shè)首先要以數(shù)據(jù)為中心，數(shù)據(jù)是穩(wěn)定的，處理是多變的。數(shù)據(jù)標(biāo)準(zhǔn)化可以根本上解決數(shù)據(jù)質(zhì)量控制問題，減少數(shù)據(jù)處理系統(tǒng)中數(shù)據(jù)元素總數(shù)，提供便捷而準(zhǔn)確的信息，用戶方便快速地檢索到所需信息。數(shù)據(jù)標(biāo)準(zhǔn)化為提高信息的互操作性、減少信息孤島、降低信息化的風(fēng)險奠定了基礎(chǔ)。

    IT規(guī)劃與架構(gòu)設(shè)計

    IT系統(tǒng)規(guī)劃是以組織的目標(biāo)、戰(zhàn)略、目的、過程以及信息需求為基礎(chǔ)，識別并選擇建立哪種IT系統(tǒng)以及什么時間建立的過程。通過IT規(guī)劃，明確IT的投資方向，實現(xiàn)可控的IT投資成本，在有效地管理信息化有關(guān)風(fēng)險的基礎(chǔ)上，獲得可持續(xù)改進(jìn)和提升的IT能力。有效的IT規(guī)劃可以將組織戰(zhàn)略目標(biāo)轉(zhuǎn)化為IT系統(tǒng)的戰(zhàn)略目標(biāo)的過程，是現(xiàn)代企業(yè)的戰(zhàn)略規(guī)劃的重要組成部分，是企業(yè)商業(yè)模式創(chuàng)新的最好機會，是企業(yè)管理系統(tǒng)變革的準(zhǔn)備和前奏。

    在總體規(guī)劃的指導(dǎo)下，需要進(jìn)行企業(yè)的整體IT框架設(shè)計，IT架構(gòu)由應(yīng)用、數(shù)據(jù)、技術(shù)架構(gòu)構(gòu)成，架構(gòu)為IT標(biāo)準(zhǔn)化提供了依據(jù)和框架，有力地指導(dǎo)IT標(biāo)準(zhǔn)化的工作。IT標(biāo)準(zhǔn)化是架構(gòu)應(yīng)用的手段，是架構(gòu)“落地”的工具，同時，在標(biāo)準(zhǔn)化過程中整個架構(gòu)逐步完善。

    IT業(yè)務(wù)流程優(yōu)化

    按照國際通行的IT控制框架，建立并優(yōu)化從信息技術(shù)的規(guī)劃與組織、采集與實施、交付與支持、監(jiān)控等四個方面的多個信息技術(shù)處理過程。從質(zhì)量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性。

    建立信息安全管理體系

    建立信息安全管理體系是建立信息安全防線的起點，ISO27001是一個可以指導(dǎo)組織安全實踐的信息安全管理標(biāo)準(zhǔn)，它從管理、技術(shù)、人員、過程的角度來定義、建立、實施信息安全管理體系，保障組織的信息安全“滴水不漏”，確保組織業(yè)務(wù)的持續(xù)運營，維護(hù)企業(yè)的競爭優(yōu)勢。

    IT服務(wù)管理

    IT服務(wù)管理是一種以流程為導(dǎo)向、以客戶為中心的方法，它通過整合IT服務(wù)與組織業(yè)務(wù)，提高組織IT服務(wù)提供和服務(wù)支持的能力及其水平。建立有效的IT服務(wù)管理體系有助于為組織提高IT服務(wù)的有效性與經(jīng)濟性，可以消除 “信息技術(shù)人員充當(dāng)救火隊員”的局面。通過對業(yè)務(wù)支撐系統(tǒng)實施IT服務(wù)管理，對組織的各種資源進(jìn)行優(yōu)化，形成全面、統(tǒng)一、集中的管理構(gòu)架及服務(wù)管理流程，確保信息系統(tǒng)企業(yè)發(fā)展提供可靠、經(jīng)驗、高效的信息服務(wù)

    IT項目管理與監(jiān)理

    IT項目管理就是以項目為對象的系統(tǒng)管理方法，通過一個臨時性的、專門的柔性組織，運用相關(guān)的知識、技術(shù)和手段，對項目進(jìn)行高效率的計劃、組織、指導(dǎo)和控制，以實現(xiàn)項目全過程的動態(tài)管理和項目目標(biāo)的綜合協(xié)調(diào)與優(yōu)化。在IT項目管理中，可結(jié)合PMBOK和 PRINCE2的方法，使PMBOK定位于項目管理知識架構(gòu)，PRINCE2定位于項目管理實施指南。

    IT項目監(jiān)理的中心任務(wù)是要規(guī)劃和控制工程項目的投資、進(jìn)度和質(zhì)量三大目標(biāo);監(jiān)理的基本方法是目標(biāo)規(guī)劃、動態(tài)控制、組織協(xié)調(diào)和合同管理；監(jiān)理工作貫穿規(guī)劃、設(shè)計、實施和驗收的全過程。信息工程監(jiān)理正是通過投資控制、進(jìn)度控制、質(zhì)量控制以及合同管理和信息管理來對工程項目進(jìn)行監(jiān)督和管理，保證工程的順利進(jìn)行和工程質(zhì)量。具體的監(jiān)理辦法可參照信息產(chǎn)業(yè)部發(fā)布的《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》。

    IT應(yīng)急計劃

    組織應(yīng)當(dāng)制定和執(zhí)行應(yīng)急計劃，通過預(yù)防性和恢復(fù)性措施的結(jié)合，把災(zāi)難或者安全事故（例如可能由于自然災(zāi)害、突發(fā)事件、設(shè)備故障和故意的行為）所導(dǎo)致的破壞減少到一個可以接受的水平。IT應(yīng)急計劃呈現(xiàn)了在緊急事件發(fā)生后為了維持和恢復(fù)關(guān)鍵的IT服務(wù)所進(jìn)行的范圍廣泛的活動。IT應(yīng)急計劃適合于廣泛的緊急事件準(zhǔn)備環(huán)境，包括組織和業(yè)務(wù)處理連續(xù)性及恢復(fù)計劃。為了對影響組織IT系統(tǒng)、業(yè)務(wù)處理和設(shè)施的外部威脅作出反應(yīng)，并恢復(fù)和保持連續(xù)性的活動，組織通常會應(yīng)用一系列計劃進(jìn)行準(zhǔn)備工作。

    IT資源協(xié)同

    IT資源協(xié)同可以通過架構(gòu)設(shè)計、技術(shù)產(chǎn)品、管理協(xié)調(diào)、業(yè)務(wù)外包及建立共享服務(wù)中心等多種方式實現(xiàn)。其目的是實現(xiàn)信息共享、業(yè)務(wù)整合和資源優(yōu)化，以破解“信息孤島”、“應(yīng)用孤島”和“資源孤島”三大難題。

    IT資源協(xié)同首先是對信息的高度共享。信息共享是為了最大限度的發(fā)揮其本身的價值，無論是企業(yè)管理者、員工、還是外部的合作伙伴，都可以很方便的查找到相關(guān)的信息以支持事務(wù)的處理，并利用信息創(chuàng)造新的價值。

    其次是對各個業(yè)務(wù)的整合。這些業(yè)務(wù)盡管更多的時候從屬于企業(yè)的不同人員、不同部門，但本質(zhì)上來說它們都是緊密關(guān)聯(lián)的，并形成企業(yè)特有的業(yè)務(wù)體系，企業(yè)需要對各個業(yè)務(wù)進(jìn)行充分的整合以使業(yè)務(wù)能夠協(xié)調(diào)和平滑運作，任何業(yè)務(wù)鏈的“斷折”或業(yè)務(wù)的“死角”都會對企業(yè)的運營產(chǎn)生影響。

    第三是對各種資源的調(diào)配和優(yōu)化。這些資源包括企業(yè)的人、財、物、信息和流程，當(dāng)企業(yè)實現(xiàn)了信息共享和業(yè)務(wù)整合后，企業(yè)的“神經(jīng)網(wǎng)絡(luò)體系”才能夠高效和通暢的運轉(zhuǎn)，并使這些資源能夠突破各種壁壘和障礙，在企業(yè)統(tǒng)一管理和協(xié)調(diào)下為共同的目標(biāo)實現(xiàn)而服務(wù)。

    IT績效測量

    對IT進(jìn)行績效測量無論是在國內(nèi)還是國外都是一個難點。對IT進(jìn)行績效測量首先應(yīng)當(dāng)進(jìn)行IT投資效益分析，使投資的成本和收益都明細(xì)化和具體化，以輔助進(jìn)行IT投資決策和IT投資風(fēng)險控制。

    其次，是對IT進(jìn)行財務(wù)管理。IT財務(wù)管理包括IT預(yù)算、IT會計及IT計費。IT預(yù)算為IT的運營提供預(yù)算計劃，從而為維持和改善服務(wù)預(yù)測未來的花費。IT會計核算保證了花費在批準(zhǔn)的計劃范圍之內(nèi)，并且使資金得到很好的利用。IT計費使我們對向一個特定業(yè)務(wù)單元提供服務(wù)的成本有一個更好的了解，并且使業(yè)務(wù)部門對自己的服務(wù)消費更加負(fù)有責(zé)任。

    第三是進(jìn)行IT績效分析。持續(xù)地評估IT績效，可以從整體信息化績效、IT項目績效及IT人員績效等多個方面進(jìn)行評估，以了解當(dāng)前IT狀況，使IT和業(yè)務(wù)部門都知道IT對實現(xiàn)業(yè)務(wù)目標(biāo)的貢獻(xiàn)是怎樣的，幫助IT組織將工作與關(guān)鍵業(yè)務(wù)目標(biāo)結(jié)合在一起，并通過客觀評價報告和改進(jìn)績效，幫助組織獲得業(yè)務(wù)部門領(lǐng)導(dǎo)的信任，為及進(jìn)的調(diào)整與改進(jìn)提供依據(jù)。

    信息系統(tǒng)審計

    信息系統(tǒng)審計是一個獲取并評價證據(jù)，以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標(biāo)的過程。由于信息技術(shù)在經(jīng)營、管理領(lǐng)域的廣泛運用，信息系統(tǒng)審計已經(jīng)貫穿在各種審計之中，成為審計全過程的一部分。信息系統(tǒng)審計是一種控制信息系統(tǒng)風(fēng)險的有效方式，它是從獨立的、第三方的的角度來審視信息化過程中的各種風(fēng)險，合理地鑒證被審計單位信息系統(tǒng)及其處理、產(chǎn)生的信息的真實性、完整性與可靠性，政策遵循的一貫性，并可對IT的績效進(jìn)行審計，以發(fā)現(xiàn)偏離，促進(jìn)及進(jìn)進(jìn)行調(diào)整。

    五、IT風(fēng)險控制框架的實施步驟

    建立IT風(fēng)險管理框架是組織控制IT風(fēng)險、確保組織實現(xiàn)其業(yè)務(wù)目標(biāo)的有效方式，以上所介紹IT風(fēng)險控制框架是通過多年的研究及實踐總結(jié)出來的通用方法論，不同的組織在建立控制框架的過程中，還要根據(jù)自身的實際情況應(yīng)地制宜，靈活應(yīng)用。

    一般來說，組織在建立與完善IT風(fēng)險管理框架時，可以分以下幾個階段實現(xiàn)：

 

    第一階段：IT資源普查、建立初步控制

    目標(biāo)

    總體治理框架的指導(dǎo)下，初步建立IT風(fēng)險控制體系，為業(yè)務(wù)系統(tǒng)運行提供較可靠的保障。

    主要措施：

    業(yè)務(wù)流程調(diào)查，識別主要業(yè)務(wù)流程，并進(jìn)行初步建模；

    為企業(yè)的業(yè)務(wù)活動建立標(biāo)準(zhǔn)的數(shù)據(jù)體系，并具有快速識別新的業(yè)務(wù)需求和進(jìn)行業(yè)務(wù)建模的能力；

    進(jìn)行IT架構(gòu)設(shè)計，形成應(yīng)用、數(shù)據(jù)、技術(shù)架構(gòu)方面的規(guī)范與指南；

    梳理IT流程、劃分安全域及識別信息資產(chǎn)，進(jìn)行風(fēng)險評估；

    按照ISO27001、COBIT規(guī)范建立較可靠的信息安全管理和IT控制體系；

    建立信息系統(tǒng)審計制度，從獨立、客觀的角度保證系統(tǒng)安全；

    建立內(nèi)部員工培訓(xùn)制度，實施全員培訓(xùn)。

    第二階段：資源協(xié)同、全面控制

    目標(biāo)：

    實現(xiàn)有效的資源協(xié)同，為業(yè)務(wù)活動提供可靠的支撐，深化IT風(fēng)險控制，實現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)的全面集成。

    主要措施：

    建立統(tǒng)一的應(yīng)用系統(tǒng)平臺，實現(xiàn)IT資源協(xié)同，為己有業(yè)務(wù)及新業(yè)務(wù)提供靈活可靠的支撐平臺；

    建立統(tǒng)一安全保障平臺，實現(xiàn)應(yīng)用系統(tǒng)與安全系統(tǒng)全面集成；

    建立IT服務(wù)管理機制，提高客戶對IT服務(wù)的滿意度；

    深化信息安全管理、信息系統(tǒng)審計，建立較為完善的IT治理環(huán)境；

    對IT組織、人員、流程、項目建立較為科學(xué)的績效考核制度。

    第三階段：業(yè)務(wù)創(chuàng)新、完善控制

    目標(biāo)：

    IT風(fēng)險控制與企業(yè)風(fēng)險控制高度融合，IT戰(zhàn)略成為企業(yè)戰(zhàn)略的重要組成部分，IT為企業(yè)創(chuàng)造新的競爭機遇。

    主要措施：

    IT戰(zhàn)略成為組織決策層的重要議題，IT參與企業(yè)流程再造，IT可以為企業(yè)創(chuàng)造新的利潤增長點；

    為整個組織提供高質(zhì)量的IT服務(wù)，建立全組織的IT共享服務(wù)中心；

    IT成為利潤中心，對IT進(jìn)行財務(wù)核算和全面的績效評估；

    IT控制進(jìn)一步完善，IT風(fēng)險控制與企業(yè)風(fēng)險控制高度融合，形成良好的信息安全企業(yè)文化，IT成為提升組織核心競爭力的“發(fā)動機”。